1 / 63

Les 11 bonnes raisons de migrer vers Windows Server 2008

Les 11 bonnes raisons de migrer vers Windows Server 2008. Fabrice Meillon -Microsoft France http://blogs.technet.com/fabricem_blogs. Objectif de la session. Quels bénéfices techniques à migrer vers Windows Server 2008 ?

Download Presentation

Les 11 bonnes raisons de migrer vers Windows Server 2008

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Les 11 bonnes raisons de migrer vers Windows Server 2008 Fabrice Meillon -Microsoft France http://blogs.technet.com/fabricem_blogs

  2. Objectif de la session • Quels bénéfices techniques à migrer vers Windows Server 2008 ? • Dois-je faire évoluer tout mon existant pour bénéficier de telle ou telle fonctionnalité ?

  3. Web Virtualisation Sécurité Fondamentaux

  4. Plateformes et versions • Plateformes • 32 bits (x86) et 64 bits (x64 et IA64*) • Dernière version 32 bits de Windows Server • Versions • Web, Standard**, Enterprise**,Datacenter** • Itanium* * Rôles et fonctionnalités limités - http://www.microsoft.com/windowsserver/bulletins/longhorn/itanium_bulletin.mspx ** versions avec et sans Hyper-V

  5. Installation Fondamentaux

  6. Objectifs • Simplifier et rationaliser l’installation du serveur

  7. Installation de Windows Server 2008 • Installation • Par fichier image (fichier .wim) • 2 options • Classique • Server Core • Configuration initiale • Initial Configuration Tasks • Administration du serveur • Server Manager • Gestion des rôles • Gestion des fonctionnalités

  8. Server Core Rôles du serveur (en plus de ceux de l’installation Core) • Option d’installation minimale • Surface d’exposition réduite • Interface en ligne de commande • Ensemble de rôles restreints • Choix à l’installation ! • N’est pas une plateforme applicative TS NPS IIS WDS Etc… Server Avec .Net 3.0, shell, outils, etc. Server Core- « Rôles » IIS Hyper-V AD LDS Media Server DNS DHCP File & Print AD Server Core Composants Sécurité, TCP/IP, Système de fichiers, RPC,plus d’autre sous-systèmes Core Server GUI, CLR, Shell, IE, Media, OE, etc.

  9. Active Directory Fondamentaux

  10. Objectifs • Disposer de mécanismes permettant une installation granulaire d’Active Directory • Améliorer la prise en charge des serveurs distribués géographiquement (agences) • Optimiser la consommation de bande passante • Elever le niveau de sécurité

  11. Active Directory dans Windows Server 2008 • Installation • Nouvel assistant de promotion en contrôleur de domaine • Prise en charge du mode Server Core • Sécurité • Authentification, autorisations et audit • Politiques multiples de mot de passe • Contrôleur de domaine en lecture seule • Performance • Réplication Sysvol différentielle • Administration • Active Directory sous forme de service, éditeur d’attributs • Protection contre les suppressions accidentelles • Administration des stratégies de groupe avec GPMC

  12. Politiques multiples de mots de passe • Aujourd’hui la politique des mots de passe appliquée se définit pour l’ensemble du domaine • Default Domain Policy dans un AD 2000/2003 • Pas assez granulaire pour certaines organisations • Avec Windows Server 2008 : il devient possible de définir des politiques de comptes au niveau des utilisateurs et des groupes du domaine • Ne s’applique pas ni à l’objet ordinateur ni aux comptes locaux (utilisateurs hors domaine) • Nécessite un niveau fonctionnel de domaine Windows Server 2008 • Le schéma doit être en version 2008 • Utilisation d’une nouvelle classe d’objets msDs-PasswordSettings

  13. Contrôleur de domaine en lecture seule (Read Only Domain Controller) • ‘BDC NT 4.0 le retour’ mais en version 2008 ! • Un DC en lecture seule !! • Réduire la surface d’exposition des DC • Réduire l’impact sur les utilisateurs et le reste de l’infrastructure Active Directory en cas de compromission ou de vol d’un DC • La copie locale de l’annuaire de chaque RODC est en lecture seule (droits en écriture très limités) • Réplication unidirectionnelle AD, FRS/DFS-R et DNS

  14. Séparation des rôles d’Administration(uniquement valable sur les RODC) • Le nombre d’administrateurs du domaine est souvent trop important • Dans la plupart des cas ce niveau de privilège n’est nécessaire que de manière locale • Windows Server 2008 fournit un nouveau niveau d’accès “local administrator” pour chaque RODC • Intègre tous les Builtin groups (Backup Operators, etc) • Empêche les modifications accidentelles d’Active Directory par les administrateurs locaux • N’empêche pas les modifications intentionnelles de la base locale par les administrateurs locaux

  15. Read-Only DCAuthentification AS_Req vers le RODC (requête pour TGT) RODC: regarde dans sa base: “Je n’ai pas les crédentiels de l’utilisateur" Transmet la requête vers un Windows Server 2008 DC Windows Server 2008 DC authentifie la demande Renvoi la réponse et la TGT vers le RODC (Hub signed TGT) RODC fournit le TGT à l’utilisateur et met en queue une demande de réplication pour les crédentiels Le Hub DC vérifie la politique de réplication des mots de passe pour savoir s’il peut être répliqué

  16. Active Directory Domain Services Read-Only DC - Déploiement • Mise en œuvre en environnement AD 2003 • S’assurer que la forêt est en mode fonctionnel 2003 • Utilisation de la réplication en mode LVR • Les RODC nécessitent la délégation contrainte Kerberos • Au minimum un DC en Windows Server 2008 • Le DC herbergeant le rôle PDC Emulateur doit être en version 2008 • ADPREP /ForestPrep(Mise à jour du schéma) • ADPREP /DomainPrep(Dans chaque domaine de la forêt si un ou plusieurs RODC doivent héberger le Global Catalog) • ADPREP /RodcPrep(Nouveau commutateur permettant de définir les ACL sur les partitions DNS pour la réplication RODC)

  17. Active Directory Domain Services Read-Only DC - Déploiement • Mise en œuvre en environnement AD 2008 • Le premier DC de la forêt ainsi que de chaque domaine ne peut pas être un RODC • Limitations • Les FSMO ne peuvent pas être des RODC • Les serveurs tête de pont (Bridge-head) ne peuvent pas être des RODC • Coexistence • DC Windows Server 2003 et 2008 en lecture-écriture et RODC peuvent coexister au sein du même site • Plusieurs RODC d’un même domaine ou de différents domaines peuvent coexister au sein du même site

  18. Administration du serveur Fondamentaux

  19. Objectifs • Rationaliser les outils d’administration • Elargir les possibilités offertes en terme d’administration locale et distante • Déployer plus rapidement de nouveaux systèmes (postes et serveurs)

  20. Administration et Windows Server 2008 • Le Server Manager • Windows PowerShell • Active Directory redémarrable • Administrateurs locaux sur RODC • Stratégies de groupes (GPO) (GPMC, admx/adml) • Journaux et structure des événements • Planificateur de tâches • Administration Windows à distance WinRM • Sauvegarde / restauration • Outils de diagnostics • Outils en ligne de commande

  21. Server Manager • Votre nouvel ami  • Rationnaliser les outils et disposer d’un outil central permettant d’ajouter, de configurer et de gérer les différents rôles et fonctionnalités du serveur • Un seul outil pour configurer Windows Server 2008 • Portail d’administration • Ligne de commande servermanagercmd.exe

  22. Server Core - Administration • Locale ou distante en ligne de commande • Outils basiques • WinRM et Windows Remote Shell pour l’exécution à distance • WMI et WMIC (locale et à distance) • Terminal Services (à distance) • Microsoft Management Console (à distance) • RPC, DCOM • SNMP • Planificateur de tâches • Evénements et transfert d’événements • Pas de support du code managé donc pas de support de Windows PowerShell

  23. Services de déploiement Windows(Windows Deployment Services) • Solution de déploiement pour Windows Server 2008 • Nouvelles technologies : WIM, IBS, WinPE • Ensemble d’outils pour personnaliser l’installation • Démarrage à distance d’un environnement de pré-installation (WinPE) • Notion de serveur PXE • Support du multicast  • Administration graphique et en ligne de commande • Wdsutil.exe

  24. Web Plateforme Web

  25. Objectifs • Fournir une plateforme modulaire • Assurer une sécurité par défaut • Disposer d’outils d’administration adaptés à tous les profils • Faciliter la collaboration administrateurs / développeurs • S’affranchir des restrictions existantes sur les versions antérieures

  26. Approche modulaire • Installation personnalisable : Plus de 40 modules • Un module est soit une DLL Win32 (module natif) soit du contenu .NET 2.0 dans une assembly (module managé) • Tous les modules peuvent être ajoutés, supprimés voire remplacés par des modules développés en C++ (API IIS 7.0) ou avec les API ASP.NET 2.0

  27. Configuration unifiée • IIS7 fournit aux développeurs et administrateurs un système de configuration unifiée pour le paramétrage d’ASP.NET et de IIS 7.0 sous la forme de fichiers XML. • Pour accéder à ces fichiers, IIS 7.0 dispose d’un ensemble de codes managés et d’API de scripting permettant d’agir sur cette configuration • IIS 7.0 permet également de stocker la configuration dans un fichier web.config situé dans le même répertoire que le site ou l’application. Ce fichier peut être copié de machine à machine, simplifiant ainsi les déploiements dans des fermes de serveurs Web

  28. Gestion des fermes web – configuration centralisée XML • Scénario d’usage pour les fermes de serveurs Web • Les serveurs web partagent un même fichier de configuration • Le fichier de configuration est accessible via un chemin UNC • Les paramètres de configuration sont stockées dans le fichier redirection.config • Disponible en Workgroup ou AD (compte local ou AD) UNC IIS7 AppHost.config IIS7 IIS7

  29. IIS 7- Administration Plusieurs méthodes • Console Internet Information Server Manager • Outil en ligne de commande : Appcmd.exe • Edition manuelle des fichiers XML de configuration • API Administration (pour développeurs .Net) • API Administration scriptée(pour administrateurs développeurs WMI)

  30. Délégation d’administration • La fonction de délégation dans IIS 7 permet : • Le verrouillage de sections de configuration pour contrôler quels paramétrages peuvent être définis dans les fichiers web.config (en général, une section de configuration de IIS correspond à un module de IIS) • De définir par site et application, les utilisateurs autorisés à utiliser la console IIS Manager pour : • Voir la configuration • Modifier la configuration des fonctions qui ont leur section "déverrouillée"

  31. Sécurité de IIS 7.0 • IIS 7.0 a été conçu avec les mêmes exigences et fondamentaux que IIS 6.0 et améliore encore cette approche sécurité sur 3 points : • Surface d’exposition réduite • IIS 6.0 = verrouillé par défaut • IIS 7.0 = installation minimale par défaut • Gestion de la sécurité plus flexible • Délégation granulaire de l’administration • Utilisateur et group par défaut (Built-in) • Nouvelles fonctions de sécurité • Au revoir URLScan, bonjour RequestFiltering • Nouveau : HiddenNamespaces

  32. Hyper-V • Terminal Server Virtualisation

  33. Virtualisation Terminal Server : Accès centralisé aux applications

  34. En agence En déplacement avec son ordinateur portable De la maison Terminal Services avec Windows Server 2008 Centre de données • Améliorer l’expérience utilisateur et enrichir les scénarios d’usages • Permettre l’accès de n’importe où • Faciliter le déploiement des applications • Offrir un portail d’accès • Authentification unique • Nouveautés • Passerelle TS • Applications distantes • Portail TS Web • Authentification unique (SSO) • Impression (EasyPrint)

  35. TS GatewayAccès distant au bureau et applications internes Internet LAN d’entreprise DMZ La maison TS Web HTTPS (TCP 443) RDP (TCP 3389) Active Directory RDP dans RPC/HTTPS RDP Hôtel, hotspot TS Gateway Terminal Server Pare-feuexterne Pare-feu interne Partenaire / employésur un site client Poste de travail (avec bureau distant)

  36. Les applications distantes (Remote Apps) Bénéfices: Meilleure ergonomie, diminution la complexité (bureaux multiples), Intégration avec le client RDP 6.x Gestion centralisée des applications Déploiement de l’application sans installation des binaires sur le poste (.msi, .rdp) • Applications qui s’exécutent sur le Serveur TS • Intégration avec le bureau de l’utilisateur sous la forme de raccourcis • Accès aux données locales • Intégration dans la barre de taches et les menus • Glisser & Déplacer • Côte à côte avec les applications locales

  37. Virtualisation Virtualisation

  38. VM 2“Enfant” VM 2“Enfant” VM 1“Parent” VirtualHard Disks (VHD) VM 2 VM 3 Virtual Server 2005 R2 Windows Server 2003 Hardware Evolution de l’offre de virtualisation Microsoft Plateforme de virtualisation et de gestion

  39. Windows Server 2008 Hyper-V • Objectifs • Améliorer les performances : fondé sur un hyperviseur • S’ouvrir de nouveaux scénarios d’usage • Etendre considérablement la notion de virtualisation de périphériques • Définition • Hyperviseur : fine couche logicielle situé sous tous les OS • Partition parente : une partition qui gère ses enfants • Partitions enfants : toutes partitions qui sont démarrées, gérées et arrêtées par leur parent • Pile de virtualisation: la collection des composants qui s’exécutent dans la partition parente pour la gestion de la machine virtuelle

  40. Virtualization Stack Fournisseur : Microsoft Hyper-V VM WorkerProcesses WMI Provider ISV VMMService OEM Noyau Windows Noyau OS invité VirtualizationServiceProviders(VSPs) Server Core ou classique IHVDrivers Hyperviseur Windows VirtualizationServiceClients(VSCs) Optimisations VMBus Architecture de Hyper-V Partition Parente Partition Enfant Applications Mode Utilisateur Mode Noyau Hardware Server Designed for Windows

  41. Windows Server 2008 Hyper-V

  42. Sécurité Sécurité & respect des politiques

  43. Objectifs • Améliorer la résistance du système par réduction de la surface d’exposition et des vecteurs potentiels d’attaques. • Protéger les données et les informations • Elever le niveau d’intégrité des réseaux d’entreprise

  44. Windows Server 2008 et la sécurité Amélioration de la résistance du système par réduction de la surface et des vecteurs potentiels d’attaques. + Protection des données et informations • Résilience du système • Intégrité du code • Renforcement des services Windows • Contrôle de l’usage des périphériques • Mise à jour du système • Fonctions réseaux • Pare-feu bidirectionnel / IPSec • Network Access Protection (NAP) • User Account Control (UAC) • Internet Explorer 7 • Filtre Anti-phishing, mode protégé • Démarrage sécurisé et chiffrement intégral de volume (BitLocker) • Active Directory / Right Management Services • Crypto NextGeneration, Active Directory / Certificates Services

  45. Protection des données avec BitLocker Drive Encryption • BitLocker est un moyen de chiffrer intégralement un volume sous Windows Vista et Windows Server 2008 • L’objectif est de se protéger l’information contenue sur le disque en cas de vol ou d’attaque « Offline » • Combiné avec l’utilisation d’un TPM (version 1.2 et plus) • En complément du RODC, BitLocker aide à réduire la surface d’attaque des serveurs hébergés dans des locaux moins sécurisés que des centres de données

  46. Network Access Protection (NAP) • NAP est composé de composants clients et de composants serveurs qui permettent de définir l’état de conformité logicielle et système souhaité pour les ordinateurs se connectant à un réseau d’entreprise • NAP n’est pas conçu pour sécuriser un réseau vis à vis d’utilisateurs malveillants. Il a été conçu pour aider les administrateurs à maintenir la bonne santé des postes sur le réseau, ce qui permet ainsi d’assurer un meilleur niveau d’intégrité sur l’ensemble du réseau de l’entreprise

More Related