Initialement prévue en Novembre, la sortie de Windows Server 2008 à été reportée par Microsoft pour coïncider avec la sortie du SP1 de Windows VISTA. Cette sortie correspond en France au deuxième opus de l’évènement Microsoft TechDays2008, qui se déroule du 11 au 13 Février 2008. Une fois n’est pas coutume la sortie française s’effectue avant la sortie mondiale !

Il est évidemment impossible de couvrir l’ensemble des nouveautés d’un tel produit. Cependant nous allons nous efforcer de présenter les fonctionnalités essentielles de Windows 2008 et tenter de vous expliquer comment ce nouveau système va révolutionner votre vie d’administrateur ! J

1.1 Pré-requis

-          Processeur à 1GHz

-          512 Mo de mémoire vive

-          8 Go d’espace disque

De manière plus réaliste, une configuration équipée d’un processeur double cœur, de 2Go de mémoire et d’environ 80Go d’espace disque sera nécessaire pour pouvoir exploiter au mieux les fonctionnalités de ce système.

1.2 Les éditions

On dénombre 4 éditions principales de Windows Server 2008 dont voici les prix indicatifs :

- Web : 469 $

- Standard : 999 $ avec 5 licences d’accès clients

- Enterprise : 3999 $ avec 25 licences d’accès clients

- Datacenter : 2999 $ par processeur

Chacune de ces édition est disponible en 32 et 64 bits (les deux versions étant présentes dans la boite) ainsi qu’en version Core (cf. partie 3 de cet article).

(*) Les licences incluent des spécificités au niveau de la virtualisation (cf. partie 10).
(**) Une édition Datacenter dédiée aux processeurs Itanium est toujours disponible (en parallèle aux versions x86 et x64). Elle est commercialisée 2999 $ / processeur.

2 Généralité

 2.1 Modification du noyau

Existant en version 32bits et 64 bits, Windows Server 2008 sera le dernier système serveur de Microsoft à supporter la plateforme 32bits. Son noyau intègre un certain nombre de nouveautés dont voici les principales :

- Support du Hot Plug PCI-Express là ou Windows Server 2003 ne supportait cette fonctionnalité qu’avec quelques cartes propriétaires.

- Support du remplacement à chaud de la mémoire alors que Windows Server 2003 n’en supportait que l’ajout.

- Support de l’ajout et du remplacement à chaud des processeurs.

- Une option d’autoréparation des systèmes de fichiers NTFS (Self-Healing) qui permet d’optimiser le processus de correction des erreurs NTFS.

 

2.2 L’outil Server manager

Sous Windows Server 2008, on distingue deux types de composants logiciels :

3 Server core

Lorsque vous installez Windows Server 2008, vous avez le choix entre une installation complète ou réduite (les fameuses versions Core).

Server Core est une édition épurée de toutes les applications et outils non nécessaires à l’exécution des 8 rôles suivants :

- Serveur Web (IIS)

- Serveur de fichiers et d’impression

- Virtualisation (Hyper-v)

- Contrôleur de domaine (AD DS)

- Annuaire applicatif (AD LDS)

- Serveur DHCP

- Serveur DNS

- Serveur de streaming multimédia(QWAVE)

Les fichiers applications et services non utiles à l’exécution de ces huit rôles ont été purement et simplement retirés du système. En sus d’occuper moins d’espace disque, cet environnement minimaliste offre :

- De meilleures performances (moins de services sont exécutés)

- Une sécurité accrue (en réduisant la surface d’attaque)

- Une maintenance simplifiée (de nombreux patchs ne seront pas nécessaires aux versions Core)

L’installation est classique jusqu’au démarrage où l’on ne voit qu’une invite de commande. Cette invite sera le seul compagnon de l’administrateur étant donné que l’interface graphique (explorer.exe et autres dépendances) n’est pas incluse.

Pour faciliter l’administration à partir de cette invite, de nouvelles commandes ont été intégrées au système pour permettre le contrôle de toutes les fonctionnalités.

Certains composants graphiques restent utilisables comme le Bloc-notes ou le Gestionnaire des tâches. Cependant tous les logiciels volumineux ou critiques en termes de sécurité ont été retirés. Voici quelques exemples d’applicatifs qui ne sont pas intégrés aux versions Core :

- Windows Explorer

- Panneau de configuration

- Internet Explorer / Windows Mail

- Media Player

- Les consoles MMC

- Wordpad/ Paint

 

4 Windows Server Failover Clustering

La fonctionnalité de mise en cluster disponible sous Windows Server 2008 a été rebaptisée par rapport aux anciennes versions. Elle ne s’appelle plus « MSCS » ni « Windows Server 2003 clustering services » mais « Windows Server Failover Clustering ».

Cette nouvelle implémentation des services de clustering supporte jusqu’à 16 nœuds sur un serveur équipé d’une architecture x64 (les architectures x86 et Itanium restent limitées à 8 nœuds).

L’assistant de configuration d’un nouveau cluster distingue quatre types d’implémentations :

1)Node Majority Quorum Configuration : Cluster avec quorum à jeu de majorité ou quorum MNS (pour Majority Node Set). Ce type de cluster reste en ligne tant qu’une majorité des nœuds le composant est opérationnelle. Ainsi, un cluster à 4 nœuds fonctionne tant que 3 nœuds sur 4 sont opérationnels (si un deuxième nœud tombe en panne, la majorité n’est plus atteinte et le service tombe).

2)Node and Disk Majority Quorum Configuration : Cette configuration est proche de la précédente. La seule différence est l’ajout d’un témoin (un disque partagé de type NAS ou SAN) qui agira comme un nœud dans le calcul de la majorité. Cette configuration augmente le niveau de tolérance aux pannes. En effet un cluster à 4 nœuds restera en ligne tant que 2 des nœuds (plus le disque partagé) seront fonctionnels.

3)Node and File Share Majority Quorum Configuration : Cette configuration utilise un partage de fichiers en tant que témoin. Hormis cela, elle est identique à la précédente.

4)No Majority (Disk Only) Quorum Configuration : Cette configuration utilise un quorum partagé (c’est-à-dire stocké sur un support de stockage de type NAS ou SAN). Cette implémentation est la seule ou le quorum n’est pas répliqué localement sur l’ensemble des nœuds ! Ce type de configuration n’implémente pas le principe de la majorité (un cluster à 4 nœuds reste fonctionnel tant qu’au moins un nœud est actif). Malheureusement ce système induit une unicité des données (si le support partagé est corrompu, le cluster est perdu !) et il devrait être de moins en moins utilisé dans les années à venir.

Le schéma ci-dessus représente un cluster à deux nœuds avec quorum partagé (à gauche) ainsi qu’un cluster à deux nœuds avec quorum à jeu de majorité.

Voici les quelques éléments à considérer pour choisir le type de cluster le plus adapté à votre environnement :

- Les clusters à quorum partagé représentent un risque à cause de l’unicité des données (on parle de SPOF pour Single Point Of Failure) et rendent impossible l’implémentation de cluster géo-localisés.

- Les clusters à quorum MNS facilitent la mise en œuvre de géocluster et procurent une sécurité des données (via la réplication).

- Les clusters à quorum MNS utilisant des témoins sous la forme de disques ou de partages de fichiers proposent un meilleur niveau de tolérance aux pannes (implémentation 2 et 3)

Retenez que les clusters les plus intéressants en termes de fonctionnalités sont ceux implémentant un quorum à majorité avec témoin.

L’utilisation de cluster à quorum partagé peut encore se justifier dans certains scénarios mais nécessite une plus grande rigueur au niveau des données (sauvegardes fréquentes, réplication du SAN…).

Windows Server Failover Clustering apporte aussi les nouveautés suivantes :

- Meilleures conditions de dépendance entre les ressources avec la possibilité d’utiliser des opérateurs ET/OU lors de la configuration des dépendances entres ressources.

- Possibilité de configurer la fréquence des battements de cœurs ou « heartbeats » (option particulièrement utile pour prendre en compte les latences des liens WAN dans le cadre d’un géocluster)

En termes de compatibilité, il n’est pas possible de faire cohabiter au sein d’un même cluster un nœud sous Windows Server 2003 et un nœud sous Windows Server 2008. Un outil de migration facilitera la migration d’un cluster sous 2003 vers WSFC.

Voici une liste des services, applications et rôles Windows Server pouvant être mis en cluster :

- Les serveurs d’espace de noms DFS

- Les serveurs DHCP

- Les serveurs de fichiers

- Les serveurs WINS

- Les machines virtuelles Hyper-V

- Les serveurs d’impressions

- Toute application, script ou service générique

 

5 Active Directory

5.1 Les rôles liés à l’annuaire Active Directory

Windows Server 2008 inclus cinq rôles en rapport avec Active Directory :

- Active Directory Domain Services : Ce rôle correspond aux désormais classiques contrôleurs de domaine.

- Active Directory Lightweight Directory Services : Anciennement nommé ADAM ce rôle correspond à un service d’annuaire allégé, simplifié et extensible dont l’objectif est de stocker des données applicatives.

- Active Directory Right Management Services : Ce service permet de gérer les droits numériques. Il permet, entre autre, de sécuriser les documents Office (possibilité de verrouiller un document en lecture, de lui affecter une date d’expiration…) en fonction de l’utilisateur qui y accède. Ce service opère de nombreuses interactions avec l’annuaire AD DS et avec les services de certificats AD CA.

- Active Directory Federation Services : Les services de fédération permettent d’interconnecter plusieurs annuaires entres eux. L’objectif n’est pas de construire un méta-annuaire mais plutôt de fournir une ouverture de session unique (SSO) lorsqu’un utilisateur d’un annuaire 1 se connecte à une ressource d’un domaine 2.

- Active Directory Certificate Services : Ce rôle correspond aux services de certificats tels que nous les connaissions précédemment. Des protocoles de hachage plus sûrs sont désormais supportés (SHA-256, SHA-512…) et de nouveaux composants permettent de faciliter la publication des listes de révocations de certificats (CRL) et simplifie la génération de certificats destinés à des périphériques réseau (firewall, serveurs en DMZ…).

Dans la suite de cet article nous allons nous concentrer sur AD DS, ce composant étant de loin le plus répandu dans les entreprises.

5.2 Active Directory Domain Services (AD DS)

Active Directory Domain Services est le nouveau nom donné par Microsoft pour les services d’annuaire tels que nous les connaissons jusqu’à présent.

La première chose que l’on remarque lors de l’installation d’un contrôleur de domaine est l’amélioration apportée à l’assistant « dcpromo ». Ce Wizard permet dorénavant de configurer dès l’installation des paramètres comme le site Active Directory, la fonctionnalité de catalogue global ou bien encore le niveau fonctionnel de domaine ou de forêt souhaité.

A ce propos, Windows Server 2008 étrenne un niveau fonctionnel de domaine (et de forêt) supplémentaire (cf. capture ci-dessous).

Si le niveau fonctionnel de forêt n’apporte aucune nouveauté, le niveau fonctionnel de domaine s’avère hautement intéressant :

- Utilisation du protocole DFS-R (seule la différence de contenu des fichiers est répliquée) pour répliquer SYSVOL (en lieu et place du vieillissant service FRS)

- Support du chiffrement AES 128 et AES 256 au niveau de la méthode d’authentification Kerberos

- Création de multiples stratégies de mots de passe et de verrouillage de compte

Bien entendu, il sera nécessaire de migrer tous les contrôleurs de domaine vers Windows Server 2008 pour bénéficier de ces nouvelles options ! Pour effectuer cette migration il sera aussi nécessaire de mettre à jour le schéma de l’annuaire :

De nombreuses autres nouveautés ont pour but de faciliter les tâches administratives quotidiennes. On peut par exemple citer l’implémentation d’AD DS sous la forme d’un service Windows. Grace à cela, certaines opération de maintenance comme la restauration d’objet, la défragmentation ou bien encore le déplacement de la base de données, sont réalisables sans qu’il soit nécessaire de redémarrer le serveur en mode restauration des services d’annuaire !

Dans le même esprit, un éditeur d’attribut est désormais intégré dans la console « Utilisateurs et ordinateurs Active Directory ». Cet éditeur se présente sous la forme d’un nouvel onglet et permet de modifier tous les attributs d’un objet sans pour autant devoir lancer des outils absconds comme « Adsiedit » ou bien encore « Ldp.exe ».

Une autre option permet de protéger un objet contre une suppression malencontreuse. Finit les heures passées à restaurer l’OU principale de votre entreprise suite à une mauvaise manipulation !

Enfin certains détails sont notables comme la possibilité de filtrer les paramètres de GPO (cette fonctionnalité était demandée depuis des années !!!) ou bien l’intégration en standard de GPMC.

 

Du point de vue de la sécurité plusieurs améliorations sont cruciales :

- La possibilité d’installer le rôle AD DS sur une version Core de Windows Server 2008 (réduction de la surface d’attaque et patch management simplifié)

- La possibilité de mettre en œuvre des contrôleurs de domaine en lecture seule ou RoDC (pour « Read only Domain Controller »). Ce nouveau rôle est particulièrement intéressant dans les environnements où la sécurité physique du serveur ne peut pas être garantie (succursale, local technique non sûr). Un RoDC possède une base de données verrouillé en lecture et reçoit les mises à jour de l’annuaire via un mécanisme de réplication unidirectionnel. Enfin les mots de passe ne sont pas répliqués sur ce type de contrôleurs (cette règle est modifiable de manière granulaire).

- La possibilité de créer plusieurs stratégies de mots de passe / verrouillage de compte au sein du même domaine

La capture d’écran ci-dessous illustre cette troisième assertion. On remarque que trois stratégies de mots de passe sont présentes dans le conteneur « Password Settings Container ».

Comme vous pouvez le voir ci-dessous, chaque stratégie de mot de passe est associée à un ou plusieurs groupes de sécurité. Lorsqu’un utilisateur appartient à plusieurs groupes liés à des stratégies de mots de passe différentes, la stratégie la plus prioritaire est appliquée.

 

6 Services réseau

6.1 Une pile TCP/IP entièrement repensée

La pile TCP/IP de Windows Server 2008 est basée sur celle de Windows Vista. Les performances n’ont plus rien en commun avec celle des précédentes versions de Windows. Microsoft clame d’ailleurs haut et fort que ce composant réseau n’avait pas été autant modifié depuis 10 ans !

Microsoft annonce aussi des chiffres impressionnants (selon la firme de Redmond, des augmentations de performances de 30 à 40 fois peuvent être observées dans certaines conditions par rapport à Windows 2003) ! Nous avons cherché à réaliser des tests dans notre laboratoire et autant vous le dire tout de suite, les résultats sont à la hauteur de ce qui a été annoncé !

Par exemple, voici les performances obtenues lors de la copie d’une machine virtuelle Hyper-V de 7Go entre deux serveurs sous Windows Server 2008 équipée de cartes réseau Gigabit.

On remarque que le réseau est quasiment utilisé à 100% de ses possibilités (107Mo/s sur cette capture avec des pointes à 115Mo/s pour un maximum théorique de 125Mo/s avec une carte gigabit) !

Ces excellentes performances sont confirmées par la console « Resource Manager » qui annonce 944Mb/s. Cette console nous permet aussi de remarquer que le disque dur écrit avec un débit de 64Mo/s et que la mémoire vive est fortement utilisée durant l’opération de copie (environ 500Mo sont monopolisés).

L’utilisation d’une telle quantité de mémoire est tout simplement due au fait que le disque SATA2 de notre laboratoire n’est pas capable d’écrire à la volée toutes les données reçues sur la carte réseau. Voilà qui démontre, si cela était nécessaire, que cette nouvelle édition de Windows Server a besoin d’une bonne quantité de mémoire vive pour exprimer tout son potentiel (notre serveur de lab est équipé de 8Go de mémoire).

Voici quelques éléments qui vous permettront de comprendre pourquoi un tel bond en termes de performances a été franchi avec la pile réseau de Windows Server 2008 :

- La pile TCP / IP intègre nativement IPv4 et IPv6

- Intégration d’IPSec, de la qualité de service (QoS) et des fonctionnalités de firewalling au cœur de la pile réseau

- Support du TCP Chimney Offload qui permet de déporter la plupart des opérations de segmentation TCP sur le processeur matériel de la carte réseau

- Support du Received Side Scalling qui permet de répartir la quantité de données à traiter entre tous les processeurs ou cœurs du système (sous Windows Server 2003, un seul processeur ou cœur est utilisé)

- Intégration d’algorithmes de chiffrement et de hachage récents (SHA-256, SHA-512, AES 256 bits, WPA2 pour le WiFi…)

- Intégration de la norme SMB 2.0 pour les échanges de fichiers et du protocole LLTD pour la découverte des favoris réseaux en multicast

6.2 DNS

Les fonctionnalités du serveur DNS évoluent aussi. Voici un aperçu succinct des nouvelles options disponibles :

- Chargement des fichiers de zone en tâche de fond (cela évite de saturer le serveur lorsque le service DNS démarre et doit charger des fichiers de zone volumineux)

- Zones DNS en lecture seule (ce type de zone est uniquement disponible sur les contrôleurs de domaine en lecture seul ou RoDC)

- Zones DNS Globales (ce type de zone a été conçus pour stocker les noms NetBIOS de toutes les postes d’une forêt – l’objectif est d’accélérer le remplacement des serveurs WINS)

- Interface plus complète pour ajouter les redirecteurs globaux et conditionnels

- Intégration d’un assistant permettant de créer plus facilement des zones DNS inversées pour les adresses au format IPv6

La capture d’écran ci-dessous met en valeur l’assistant de création.

 

6.3 Windows Deployment Services (WDS)

WDS correspond au nouveau système de déploiement de Microsoft. D’abord intégré comme composant additionnel de Windows Server 2003 (avec le SP2), il est dorénavant devenu un rôle à part entière.

Rappelons que WDS supporte le format d’image WIM, qui est le nouveau format des package des OS Microsoft et que Windows VISTA et Windows 2008 sont distribué dans ce format.

La principale nouveauté de WDS sous Windows Server 2008  est l’intégration d’un composant nommé « Transport Server » et ajoutant le support du multicast.

Plusieurs options sont disponibles pour déployer des images en multicast :

- Session automatique (Auto-Cast) : le serveur WDS envois les données dès que le premier client se connecte (si un second client se connecte il récupère les données en cours d’upload)

- Session programmées (Scheduled Cast) : dans ce cas, l’envoi des données démarre à une heure précise ou bien lorsqu’il y a un nombre précis de client connectés au serveur.

Remarque : Microsoft ne fournit pas de client multicast graphique (la connexion des clients au serveur WDS passe par l’exécution de la commande « wdsmcast.exe »). Les images de Windows PE n’intègrent pas toutes ce composant. Il peut être récupéré dans le kit d’installation automatisé (WAIK) pour Windows Server 2008.

6.4 Autres nouveautés

Les nouveautés de Windows Server 2008 au niveau du réseau sont trop nombreuses pour être toutes détaillées ici. Cependant voici quelques éléments qui méritent le détour :

- Le serveur DHCP supporte pleinement IPv6 et propose de créer des étendues spécifiques (les modes IPv6 « stateless » et « statefull » sont supportés)

- Le service de streaming multimédia a été entièrement refondu et se nomme maintenant QWAVE pour Quality Windows Audio Video Experience

- Le serveur VPN supporte le protocole SSTP (VPN SSL)

- Support de l’agrégation de carte réseau (fonctionnalité « Multipath IO »)

7 Sécurité

Avec Windows Server 2008, la sécurité des systèmes « serveur » effectue un véritable bond en avant.

Pour commencer cet OS reprend toutes les évolutions apportées par Windows Vista tant au niveau système (noyau plus sécurisé, services renforcés, UAC…) qu’au niveau réseau (pare-feu actif par défaut et filtrant le trafic entrant et sortant, Windows Defender, pile TCP / IP revue avec une intégration plus poussée d’IPSec…).

De manière générale tous les composants de Windows Server 2008 ont été conçus de manière à rester plus sûrs que leurs prédécesseurs. On peut par exemple citer les versions Core, les contrôleurs de domaine en lecture seule, le support du protocole SSTP pour le VPN (le SSTP est un protocole permettant de monter des tunnels VPN SSL) ou bien encore les passerelles Terminal Server (TS Gateway).

Enfin le rôle le plus intéressant du point de vue de la sécurité (et aussi le plus médiatisé) est bien entendu NAP pour Network Access Protection. L’objectif de ce composant est de permettre un contrôle précis des périphériques devant accéder au réseau de l’entreprise.

Avec NAP, l’entreprise peut mettre en place une véritable politique de sécurité que tous les postes devront respecter sans quoi ils seront mis en quarantaine et leur accès au réseau sera limité, voire inexistant !

Cette quarantaine peut être réalisée de diverses manières. Voici les trois principales méthodes :

- Via le DHCP qui attribue des adresses appartenant à un VLAN de quarantaine (avec des routes limitées)

- Via une isolation IPSec (les postes non conformes ne reçoivent pas de certificat IPSec valides et ne peuvent pas communiquer avec leurs homologues sains)

- Via une authentification i802.1x (pour les postes accédant au réseau de l’entreprise via un VPN ou bien un réseau sans fil)

8 Terminal Server

Des nouveautés très importantes ont été ajoutées aux services Terminal Server avec Windows 2008. Ainsi on notera 5 nouveautés de taille :

- Passerelle TS : Les passerelles Terminal Server permettent de rendre accessible des serveurs Terminal Server (ou des serveurs sur lesquels le bureau à distance est activé) via un tunnel TLS. Cette fonctionnalité permet d’éviter le recours à des tunnels VPN lourds à gérer et problématiques en termes de sécurité. Les passerelles Terminal Server peuvent interagir avec les serveurs NAP de manière à vérifier la conformité des postes clients (ainsi les ordinateurs non conformes seront mis en quarantaine et n’auront qu’un accès limité voire nul aux serveurs Terminal Server de l’entreprise).
Le schéma ci-dessous symbolise le principe de fonctionnement d’une passerelle TS. On remarque bien que l’ordinateur client établit un tunnel TLS avec la passerelle TS située en DMZ (flèche rouge), puis que la passerelle TS se connecte au serveur demandé via le protocole RDP (flèche verte).

Remarque : La version 6.0 du client RDP est nécessaire pour se connecter à une passerelle Terminal Server (pour rappel Windows Server 2008 étrenne la version 6.1 du protocole).

- Applications distantes : Les applications distantes permettent d'exécuter les programmes hébergés par les services Terminal Server sur les postes de travail des utilisateurs comme s'il s'agissait d'applications locales et non pas via un bureau virtuel. Cette fonctionnalité est reprise directement de Citrix Presentation Server.

o       Portail TS Web: Cette interface permet d’accéder de l’extérieur à des applications publiées sur des serveurs TS internes (cf. capture ci-dessous.

- Authentification unique :Server Authentification est un nouveau système d’authentification basée sur le RDP 6 ; ce protocole authentifie les utilisateurs et assure au client connecté qu’il se trouve bien sur le serveur Terminal Server souhaité. Cette méthode protège des attaques de type « man in the middle ».

- TS Easy print :Dans le passé, pour imprimer une page sur une session Terminal server, il fallait installer les pilotes de l’imprimante sur le serveur Terminal Server. Cette installation pouvait causer des problèmes sur le serveur TS. TS Easy Print permet une solution de redirection vers une imprimante sans avoir à installer de pilote côté serveur ! Concrètement lorsque qu’un client lance une impression dans une session RDP, le fichier est envoyé vers une imprimante virtuelle qui génère un fichier XPS. Ce fichier est alors transféré à la machine locale, puis imprimé sans déformation ni altération du format.

En plus des fonctionnalités que nous venons de citer, la nouvelle version de Terminal Server apporte d’autres nouveautés comme le support de nouvelles résolution 16/9 et 16/10 (ainsi que le support des écrans « splittés »), la priorisation des flux au sein du trafic RDP (avec RDP 6.1 les flux graphique et clavier/souris sont priorisés par rapport au flux d’impression et d’échange de données), le support d’un algorithme de compression plus performant ou bien encore l’intégration d’un environnement de travail très proche de celui intégré à Windows Vista (la fameuse option « Desktop Experience ».

Enfin, comme pour les versions précédentes du produit, tous les paramètres des serveurs TS sont entièrement configurables via GPO. La capture d’écran ci-dessous met en valeur la fonction de compression du trafic RDP (supportée à partir du SP1 de Windows Vista !).

 

9 Services Web (IIS 7, WSS 3.0)

9.1 IIS

Avec Windows Server 2003 et IIS 6.0 l’objectif de Microsoft était clairement de proposer un système plus sûr (support du TLS, service et langages dynamiques désactivés par défaut…) et plus fiable (pools d’applications) que IIS 5 sous Windows 2000 qui était loin d’être à la hauteur sur ces points.

Avec IIS 7 sous Windows Server 2008, le géant de Redmond reprend les bases apportées par Windows Server 2003 et les travaille plus en profondeur. Les points les plus importants à retenir sont les suivants :

- Conception modulaire : cette architecture permet à IIS 7 d’être bien plus sécurisé (application du principe de réduction de la surface d’attaque).

- Configuration sous la forme de fichiers XML : dites adieux à la métabase ; il est maintenant possible de configurer IIS avec un simple éditeur de texte !

- Mise en cluster du produit facilitée (on peut dupliquer très simplement les fichiers de configuration et éventuellement les placer dans un partage répliqué via DFS-R).

- De nouveaux outils de diagnostics poussés font leur apparition (console MMC, commande appcmd.exe pour les versions Core, outil URL Scan…).

Autre nouvelle qui ravira des milliers d’administrateurs : le vieillissant composant FTP de IIS est en cours de refonte ! A l’heure actuelle (RC1) le produit n’est toujours pas intégré à Windows Server mais est disponible sur le site officiel de IIS 7 (www.iis.net).

Ce nouveau composant apporte principalement le support du FTP sécurisé (chiffrement TLS) ainsi que la possibilité de restreindre l’accès au service en fonction de règles basées sur les groupes. Bien entendu toutes les fonctionnalités des versions précédentes comme les différents modes d’isolation restent d’actualité !

9.2 WSS

Windows Server 2008 supporte la version 3.0 de WSS (pour Windows SharePoint Services).

L’objectif de WSS est de fournir un portail d’entreprise (intranet) permettant de centraliser et d’échanger des documents (versioning, recherche documentaire…) et de manière générale n’importe quelle donnée intéressante pour l’entreprise (fichier client, liste des derniers projets...).

WSS est une plateforme extensible et permettant de mettre en place de véritables solutions CRM/ERP. Ce puissant outil de collaboration est évidemment capable d’interagir avec la plupart des plateformes Microsoft comme Exchange Server ou bien encore Active Directory.

10 Virtualisation

On peut déjà tester ce qui sera une nouveauté majeure de Windows Server 2008 en l’occurrence Windows Server Virtualisation.

Celui-ci est actuellement disponible en beta 1 et sera disponible en beta 2 au moment de la sortie finale de Windows Server 2008. Les équipes de Microsoft disposent de 180 jours pour garantir une intégration totale entre ce rôle de virtualisation et Windows Server 2008.

Pour d’avantages d’informations sur cette innovation, nous vous invitons à consulter l’article qui lui est dédié dans ce présent numéro.

 

11 Et le reste …

Nous avons souhaité mettre le focus sur trois « features » intégrés à Windows Server 2008.

11.1 Windows Internal Database

Windows Internal Database est l’autre nom de Microsoft SQL Server 2005 édition express. Il s’agit d’une instance de Microsoft SQL Server 2005 exclusivement réservée à des applications Microsoft tels que Windows SharePoint Services 3.0, WSUS 3, Windows Server Update Service, Active Directory Rights Management Services ou bien encore Windows System Ressource Manager.

11.2 Windows Server backup

Disponible depuis Windows NT 3.1, NTBACKUP (outil de sauvegarde) cède la place à Windows Server Backup (WSB).

WSB n’est pas intégré de base à Windows Server 2008 et doit être installé via Server Manager ou avec l’outil OCLIST.EXE et OCSETUP (la commande START /W OCSetup WindowsServerBackup permet de faire une installation silencieuse de WSB).

WSB permet de sauvegarder et bien sur de restaurer le système d’exploitation (System State), les applications (ex: Exchange Server, SQL Server, Sharepoint…) ainsi que n’importe quelle données NTFS. Il est possible de planifier les sauvegardes pour protéger votre serveur des pertes de données.

WSB propose deux modes de fonctionnement, via une interface graphique intégrée à Server Manager ou en ligne de commande via WBADMIN.EXE

11.3 Windows powershell

Tout d’abord connu sous le nom de code Monad, Windows Powershell permet de gérer l'ensemble du système, comme la gestion des services, la configuration de la date, la gestion des fichiers, des certificats etc..

Windows Powershell est un Shell qui supporte la complétion, il est basé sur le Framework .net 2 et qui est peut être interfacé avec le code dotnet.

PowerShell est compatible avec toutes les versions de Windows qui supportent la version 2.0 de Framework .NET.

Powershell propose un éventail de 130 commandes (appelés cmdlets pour command-applets) qui permettent d'administrer le système notamment les services, les processus, journaux d'événements, le registre…

PowerShell possède une aide intégrée très complète. Taper la commande Get-Help Get-ChildItem pour obtenir l’aide. Ajouter les commutateurs – detailed ou– full pour afficher des niveaux de détails supplémentaires dans l’aide.

12 Conclusion

12.1 Notre expérience avec la RC1

Après plusieurs semaines d’utilisation nos retours sur la version RC1 de Windows Server 2008 sont très positifs ! Le produit s’est avéré très stables (hormis pour l’hyperviseur qui souffre encore de quelques défauts de jeunesse).

De plus nous avons été réellement conquis tant par les fonctionnalités innovantes du produit (TS Gateway, NAP, pile réseau, les versions Core…) que par les améliorations apportées aux services existants (service d’annuaire amélioré, multicast dans WDS, VPN SSL, IIS 7.0, les services de clustering …) !

12.2 Que nous réserve l’avenir ?

Microsoft doit mettre à jour tous ses produits serveur pour assurer une pleine compatibilité avec ce nouveau système.

Si certains produits sont d’ores et déjà compatibles comme Exchange Server 2007 avec son SP1 ; d’autres comme la prochaine version d’ISA Server nécessitent un travail énorme et devront sans doute être entièrement réécrits !

Le développement des fonctionnalités de virtualisation de Windows Server 2008 représente aussi un important challenge pour Microsoft qui doit assurer sa crédibilité sur un marché très concurrentiel.