http://www.espace-microsoft.com/fr/articles http://www.espace-microsoft.com/fr/articles/25-installation-exchange-2007.html http://www.espace-microsoft.com/fr/articles/25-installation-exchange-2007.html Voici le tout premier article du site bestof-exchange. Cet article concerne bien evidement l'installation d'exchange 2007. Afin d'installer exchange 2007, il faut remplir les critères suivants Une machine compatible 64bits. Avoir installé Windows Server 2003 en version 64bits. Avoir installé Active Directory sur ce système. Avoir installé IIS. Une fois ces composants installé, cela ne suffit et il va falloir ajouter les compsants suivants Le framework dotnet 2.0 (via Windows Update). Microsoft Windows Powershell (http://support.microsoft.com/kb/926139). Une fois l'installation d'exchange lancé, les questions suivantes vous sont posées Une fois les roles et la configuration de base créée, des éléments de configuration supplémentaires vous seront demandé Pré-requis pour l'organisation Domaine en mode natif 2000 minimum. Hub transport role http://go.microsoft.com/fwlink/linkid=74465 Client Access Role http://go.microsoft.com/fwlink/linkid=74465 Mailbox Role http://go.microsoft.com/fwlink/linkid=74467 Thu, 12 Apr 2007 13:09:10 +0200 http://www.espace-microsoft.com/fr/articles/71-presentation-virtual-pc.html http://www.espace-microsoft.com/fr/articles/71-presentation-virtual-pc.html Introduction Virtual PC est un logiciel qui permet d'émuler un ordinateur. Cette solution de machine virtuelle est très utile afin de faire des tests sur différents produits. En effet, votre système hôte (votre ordinateur) reste intègre, alors que la machine invitée (machine virtuelle) se lance dans un environnement dédié. Ce document s'adresse aux utilisateurs disposant d'une version de Windows XP ou de Windows VISTA et vous y trouverez les points clés de Virtual PC afin d'accélérer sa prise en main. Configuration requise Virtual PC émule une machine virtuelle, il demande une configuration assez importante afin d'utiliser une voire plusieurs machine en même temps. Configuration de la machine hôte Processeur : 1,0 Ghz minimum Mémoire : 512 Mo de RAM minimum, 1,0 Go recommandé. Disque dur : 500 Mo, au moins 2,0 Go d'espace alloué pour le disque dur virtuel de chaque ordinateur virtuel. Lecteur CD/DVD VGA : 800x600 minimum Système d'exploitation : Windows XP Professionnel, Windows 2000 Professionnel. Windows XP Familiale avec SP2. Il est déconseillé d'exécuter Virtual PC sur Windows Familiale. Système d'exploitation invités pris en charge (pour les ordinateurs virtuels) Windows XP, Windows 2000 Professionnel, Windows NT Workstation 4.0, Windows Millennium Edition, Windows 98, Windows 95, MS-DOS 6.22, OS/2 Warp Version 4 Fix Pack 15, OS/2 Warp Convenience Pack 1 et OS/2 Warp Convenience Pack 2 Configuration de la machine invitée Afin d'exécuter plusieurs machines virtuelles en même temps, vous devez disposer de mémoire vive suffisante. Pour émuler 2 machines virtuelles Vous disposez de 512 Mo sur la machine hôte : Windows Server 2003 : 128 Mo allouée pour la machine invitée. Windows XP : 64 Mo allouée pour la machine invitée. Vous disposez de 1024 Mo sur la machine hôte : Windows Server 2003 : 256 Mo allouée pour la machine invitée. Windows XP : 128 Mo allouée pour la machine invitée. Pour émuler 4 machines virtuelles Vous disposez de 1024 Mo de mémoire vive sur l'ordinateur hôte. Windows Server 2003 : 128 Mo allouée pour les ordinateurs virtuels. Windows XP : 64 Mo pour les ordinateurs virtuels. Vous pouvez connaître la mémoire vive restante de l'ordinateur hôte dans la boite A propos de Virtual PC, onglet Informations. Installation de Virtual PC Où trouver Virtual PC ? Virtual PC est disponible gratuitement sur le site de Microsoft : http://www.microsoft.com/windows/products/winfamily/virtualpc/default.mspx Une fois l'executable téléchargé, lancez setupe.exe et suivez l'assistant d'installation de Virtual PC. A propos des disques durs virtuels Un disque dur virtuel (appelé aussi image VPC) est un fichier au format VHD (.vhd - Virtual Hard Disk) qui constitue le disque dur de la machine invitée. Pour réaliser des ateliers techniques, installé un système d'exploitation (Windows XP, Windows VISTA ou Windows Server 2003).sur des images VPC. Premier contact avec Virtual PC Une fois Virtual PC installé, vous trouverez la fenêtre suivante : Configuration des options Nous allons configurer les options de Virtual PC avant de créer des ordinateurs virtuels. Dans la console Virtual PC, cliquez sur Fichier, Options Nous allons configurer les options les plus intéressantes à savoir : Performances et Clavier. Performances Vous pouvez personnaliser le temps processeur alloué par machine virtuelle. Il est recommandé de choisir la première option pour les ordinateurs puissants et la deuxième option pour les configurations plus modeste. Aussi vous pouvez choisir la priorité de Virtual PC afin d'accélérer celui-ci ou de préserver l'état du système d'exploitation hôte. Clavier Virtual PC doit définir une touche hôte afin de sortir de la machine virtuelle. La touche hôte permet également d'envoyer des combinaisons de touches spéciales au système d'exploitation invité tel que CTRL+ALT+SUPPR (par exemple pour ouvrir une session). Voici les différentes combinaisons : Touche hôte + Entrée : mode plein écran. Touche hôte + Suppr : Ctrl+Alt+Suppr. Touche hôte + I : Installer les compléments ordinateurs virtuels. Touche hôte + P : Mettre la machine virtuelle en pause. Touche hôte + R : Redémarrer la machine virtuelle. Touche hôte + F4 : Fermer la machine virtuelle. Vous disposez de 3 modes de fermeture : Enregistrer l'état : Enregistre l'état de la machine, vous restaurez la machine et reprenez là où vous étiez. Option recommandée. Fermer le système d'exploitation : Ferme la session, ferme le système d'exploitation et éteint la machine invitée. Eteindre : Eteint directement la machine invitée sans sauvegarder les paramètres. Touche hôte + V : Coller les informations du Presse-papiers de la machine hôte vers la machine invitée. Il est recommandé d'utiliser une touche hôte qui ne pose pas problèmes avec différentes applications. Vous pouvez choisir la touche -sup2; ou F12 comme touche hôte. Pour choisir votre touche hôte cliquer sur la catégorie Clavier puis cliquez dans la zone Touche hôte actuelle et appuyez sur la touche hôte à définir. A propos des composants pour ordinateurs virtuels. Les Compléments pour ordinateurs virtuels sont inclus dans Virtual PC 2004 ou 2007 et peuvent être installés à partir du système d'exploitation invité lorsqu'il exécute un système d'exploitation pris en charge. Les Compléments pour ordinateurs virtuels présentent les fonctionnalités suivantes : Glisser-déplacer Partage de dossiers Souris intégrée Prise en charge du CD-ROM DOS Pilotes vidéo optimisés Synchronisation de l'horloge Partage du Presse-papiers Performances améliorées du système d'exploitation Redimensionnement dynamique de la fenêtre de l'ordinateur virtuel, avec ajustement automatique de la taille du Bureau du système d'exploitation invité Les Compléments pour ordinateurs virtuels sont disponibles pour les systèmes d'exploitation suivants : Windows XP Professionnel Windows XP Edition Tablet PC Windows 2000 Professionnel Windows Millennium Edition Windows 98 Windows 95 Windows NT 4.0 Workstation, Service Pack 6 MS-DOS 6.22 IBM OS/2 Warp 4 Fixpack 15, OS/2 Warp Convenience Pack 1 et OS/2 Warp Convenience Pack 2 Comment installer les composants pour ordinateur virtuels ? Une fois le système d'exploitation invité installé et démarré, il suffit d'appuyer sur la touche hôte + I pour installer les composants pour ordinateurs virtuels. Créer une nouvelle machine virtuelle Démarrage de l'assistant Dans la console Virtual PC, cliquez sur Nouveau. L'assistant de nouvel ordinateur virtuel démarre. Cliquez sur Suivant. Options de création Dans la page Options, choisissez l'option Créer un ordinateur virtuel, puis cliquez sur Suivant. Nom de l'ordinateur virtuel Dans la page Nom et emplacement de l'ordinateur virtuel, vous devez choisir un nom pour votre ordinateur virtuel par exemple : Windows Vista Vous pouvez modifier l'emplacement du fichier de configuration de la machine virtuelle en cliquant sur Parcourir. Par défaut, les fichiers de configurations (*.vmc) sont sotckés dans Mes Documents\Mes ordinateurs virtuels. Cliquez sur Suivant. Système d'exploitation Choisissez ensuite le système d'exploitation de la machine invitée. Mémoire Choisissez ensuite la mémoire allouée par l'ordinateur virtuel. Vous pouvez choisir l'option par défaut, ou définir la mémoire allouée en cliquant sur Réglant la mémoire vive. * Windows Server 2003 : 128 Mo de RAM minimum * Windows XP : 64 Mo de RAM minimum /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tableau Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:"Times New Roman"; mso-fareast-theme-font:minor-fareast; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin;} Cliquez sur Suivant. Disque dur virtuel Dans la page Options de disque dur virtuel, choisissez utiliser Un disque dur virtuel existant si vous avez récupéré une image VPC (.VHD - dans le cas des TPs par exemple) ou l'option Créer un disque dur virtuel si vous voulez installer un système d'exploitation (Hors TP). Cliquez sur Suivant. Choisissez l'emplacement de votre disque dur virtuel en cliquant sur Parcourir pour choisir l'image VPC qui est sur votre disque dur. Cliquez sur Suivant, puis sur Terminer Votre machine virtuelle est maintenant créée. Un nouvel ordinateur virtuel apparaît dans la Console Virtual PC. Personnaliser sa machine virtuelle Vous pouvez définir certains paramètres propres à un ordinateur virtuel en cliquant sur Paramètres après avoir sélectionné vote ordinateur virtuel. Mémoire La catégorie mémoire permet de modifier l'allocation de mémoire vive pour la machine virtuelle. Vous ne pouvez pas modifier l'allocation mémoire lorsque la machine virtuelle est en fonctionnant, en pause ou dans un état enregistré. Pour cela vous devez arrêter le système d'exploitation invité. Réseau La catégorie réseau permet d'ajouter des cartes réseaux pour le système d'exploitation invité. Dans le cadre des TPs vous devez choisir 2 cartes réseaux qui sont mappés sur votre carte réseau filaire physique. Vous pouvez ajouter jusqu'à 4 cartes réseaux. Vous pouvez choisir l'état Non connecté pour désactiver la carté réseau sur l'ordinateur invité. Concernant votre carte réseau sans-fil : Vous pouvez essayer de mapper une carte réseau virtuelle sur votre carte réseau sans-fil physique. Cependant toutes les cartes réseaux sans-fil ne sont pas supportées par Virtual PC et ceci peut entraîner des problèmes de communication. Il est fortement recommandé de mapper les cartes réseaux virtuelles sur la carte réseau filaire physique. Vous ne pouvez pas modifier le nombre de carte réseaux lorsque la machine virtuelle est en fonctionnant, en pause ou dans un état enregistré. Pour cela vous devez arrêter le système d'exploitation invité. Vous pouvez changer dynamiquement le mappage des cartes réseaux lorsque la machine virtuelle fonctionne. Pour cela faites un clic droit dans l'icône réseau dans la barre d'état, puis cliquez sur Paramètres réseaux. Capturer une image ISO Virtual PC permet de mapper votre lecteur CD/DVD physique vers le lecteur CD/DVD de la machine invitée. Virtual PC offre aussi la possibilité de monter une image ISO dans la machine invitée. Dans le menu CD, choisissez l'unité physique à utiliser ou cliquer sur Capturer l'image ISO pour choisir l'emplacement de l'image ISO. En réseau local, si l'image ISO figure sur un partage, vous pouvez monter directement l'image à partir du réseau en saisissant le chemin UNC (\\Serveur\Partage\Emplacement). FAQ Je ne vois pas ma carte réseau physique dans la liste des cartes réseaux des paramètres de mon ordinateur virtuel ? Dans les propriétés de votre connexion réseau physique (sur votre ordinateur) vous devez cocher le service Virtual Machine Network Services afin de mapper les cartes réseaux virtuelles vers votre carte réseau physique. Une fois ce changement effectué, vous devez redémarrer Virtual PC. Mon clavier écrit des chiffres à la place des lettres ! Par défaut, lorsque vous démarrer Windows XP ou Windows Server, celui-ci active le pavé numérique. Au premier démarrage de votre système d'exploitation invité, pensez à désactiver le verrouillage du pavé numérique. Pour désactiver le pavé numérique : Touche fonction de votre ordinateur + Verr Num. Sur les IBM : Maj droite+ Num/défil Vous pouvez également désactiver le verrouillage numérique du système d'exploitation invité en modifiant le registre. A faire sur le système d'exploitation invité : -middot; Démarrer, exécuter puis regedit -middot; Recherchez la clé HKEY_USERS\.DEFAULT\Control Panel\Keyboard -middot; Mettez 0 comme valeur pour la valeur InitialKeyboardIndicators et votre pavé numérique sera désactivé. Comment copier des fichiers ou du texte de mon système d'exploitation hôte vers mon ordinateur virtuel ? Par simple copier/coller (Ctrl+C/Ctrl+V), une fois les compléments pour ordinateurs virtuels installés. Où trouver Virtual PC ? Virtual PC est disponible en image ISO : http://www.microsoft.com/windows/products/winfamily/virtualpc/default.mspx Afin d'installer Virtual PC vous devez monter l'image ISO avec un utilitaire tel que Daemon-Tools ou extraire l'image ISO avec Winrar par exemple. Fri, 14 Nov 2008 15:45:00 +0200 http://www.espace-microsoft.com/fr/articles/73-decouverte-exchange-server-2007.html http://www.espace-microsoft.com/fr/articles/73-decouverte-exchange-server-2007.html 1. Introduction à Microsoft Exchange Server 2007 1.1 Historique d'Exchange Server Microsoft commercialise des produits liés à la messagerie électronique depuis bientôt 15 ans. Voici un bref historique de logiciel serveur d'abord nommé MS-Mail, puis renommé Exchange Server en 1996 MS-Mail 3.5 MS Mail est le premier système de messagerie client/serveur commercialisé par Microsoft (le client était intégré à Windows 95/NT4). Ce produit disposait de son propre service d'annuaire et les emails était accessible sous la forme d'un partage de fichiers. L'utilisation de Microsoft Mail dans de grandes organisations posait problème car une seule instance était limitée à 500 utilisateurs et la synchronisation de l'annuaire (et des listes d'adresses) n'était pas efficace. Exchange Server 4.0 Apparut en 1996, Exchange Server 4.0 est le remplaçant de Microsoft Mail. Il est basé sur le protocole de messagerie X.400 (comme avec MS Mail, de nombreux connecteurs sont disponibles pour fournir une interaction avec les autres protocoles de messagerie comme SMTP). Exchange Server 5.0 Le 23 Mai 1997, Microsoft commercialise la version 5 d'Exchange Server. Les principales nouveautés sont intégration du protocole SMTP en standard apparition d'un webmail nommé Exchange Web Access, puis Outlook Web Access nouvelle console d'administration Exchange Server 5.5 A partir de la version 5.5 (novembre 1997), Exchange est proposé en deux éditions standard et entreprise Sur la version standard, les bases de données sont limitées à 16Go alors que sur la version entreprise la limite est de 8To (même si Microsoft recommande de ne pas dépasser les 100Go...). Exchange 5.5 apporte le support du protocole IMAP4, le support du clustering à deux n-oeliguds (uniquement sur la version entreprise) et intègre la fonction calendrier dans OWA. Exchange Server 2000 Commercialisé le 29 novembre 2000, Exchange 2000 ne dispose plus de son propre annuaire LDAP. Le produit est dorénavant intégré à Active Directory ce qui complexifie grandement le processus de migration à partir des versions précédentes Exchange 2000 apporte aussi son lot d'amélioration sur les fonctions existantes (support des clusters à 4 n-oeliguds, amélioration d'Outlook Web Access...). Exchange Server 2003 Apparut 3 ans plus tard, Exchange 2003 reste dans la lignée d'Exchange 2000. Ses principales nouveautés concernent le domaine de la mobilité Intégration d'Outlook Mobile Access (interface Web conçue pour le réseau WAP) et d'ActiveSync (protocole permettant de synchroniser une boîte aux lettres sur un smartphone ou un pocket pc) Ajout d'un mode 'mis en cache' pour les clients MAPI (protocole RPC) Nouvelle interface pour Outlook Web Access Intégration du protocole RPC sur HTTPs qui permet de synchroniser un client MAPI (Outlook) via des requêtes HTTP (ou HTTPs) Le SP2 intègre deux fonctions liées à ActiveSnc le mode Direct Push qui permet de recevoir ses mails en temps réel, la fnction RemoteWipe qui permet d'effacer le contenu d'un téléphone ou d'un pocket pc volé ou perdu Le produit apporte aussi des fonctionnalités de filtrage anti-spam performantes (SenderID, IMF...). 1.2 Les nouveautés d'Exchange Server 2007 Exchange 2007 représente est une évolution importante pour Microsoft Le produit est intégralement redéveloppé en 64 bits avec la plateforme .net (une version 32 bits existe mais elle n'est pas commercialisée) Exchange 2007 est adapté au matériel actuel (optimisation pour les processeurs multi-core, support de grandes quantités de mémoire...) L'intégration à Active Directory est conservée et renforcée Les différentes fonctions d'Exchange sont éclatées en rôles pouvant être déployés de manière indépendante De nouveaux outils d'administration apparaissent (Exchange Management Console et Exchange Management Shell) Intégration d'un système de messagerie vocale basée sur la Voix sur IP (VoIP) Exchange 2007 apporte de nouveaux outils anti-spam ainsi qu'une nouvelle API antivirus Ajout de deux nouvelles fonctionnalités permettant d'assurer la haute disponibilité du service de messagerie (LCR et CCR) Intégration d'un système de règles de transport permettant de compartimenter facilement le système de messagerie Nouvelle interface Outlook Web Access (accès direct aux partages...) Etc. 1.3 Introduction à la notion de rôles Dans un système de messagerie basé sur Exchange Server 2003, on distingue deux types de serveurs les serveur dorsaux ou principaux les serveurs frontaux Un serveur dorsal héberge les boîtes aux lettres des utilisateurs, les dossiers publics et fournit l'accès aux clients MAPI. Un serveur frontal, quant à lui, n'héberge aucune boîte aux lettres et prend en charge tous les accès non MAPI (POP3, IMAP4, Webmail, RPC sur HTTPs...). Le serveur frontal est bien entendu amené à contacter l'annuaire ainsi que le ou les serveurs dorsaux pour trouver les informations contenues dans les boîtes aux lettres. Ce type d'architecture est appelée frontal/dorsal et permet de scinder la partie stockage de l'information (serveur dorsal) de l'accès aux données (serveur frontal). Cela permet d'équilibrer la charge de travail entre les machines et de fournir une meilleure sécurité (seul le serveur frontal sera publié sur Internet). De nombreuses entreprises ne font pas appel à ce type d'architecture et se contentent d'implémenter un ou plusieurs serveurs dorsaux (par défaut un serveur est considéré comme étant dorsal puisqu'il héberge des boîtes aux lettres et des dossiers publics). Dans ce cas, c'est le serveur dorsal qui gère les accès non MAPI. Avec Exchange Server 2007, la notion de rôle devient incontournable. Il n'y a plus deux, mais cinq rôles Certains doivent impérativement être implémentés pour obtenir un service de messagerie fonctionnel et d'autres sont optionnels (ils ajoutent des fonctionnalités supplémentaires ou bien permettent d'augmenter la sécurité). Voici une liste de ces cinq rôles accompagnés d'un petit descriptif Le rôle serveur de boîtes aux lettres (Mailbox Server) est l'équivalent du serveur dorsal dans une topologie Exchange 2003. Cette machine héberge les boîtes aux lettres des utilisateurs ainsi que les dossiers publics sous la forme de bases de données (ou banques). C'est aussi elle qui gère les accès des clients MAPI (en revanche le routage des message n'est pas assuré par ce serveur). Ce rôle est le seul pouvant être mis en cluster (sous-entendu avec les services de clustering Microsoft ou MSCS). Le rôle serveur d'accès client (Client Access Server) est l'équivalent du serveur frontal dans une topologie Exchange 2003. Cela inclut la gestion de tous les accès non-MAPI (OWA, AciveSync, POP3, IMAP4, Outlook Anywhere...) mais aussi support de nombreuses nouveautés comme la fonction d'accès au partages d'OWA/ActiveSync (encore appelée Direct File Access), le service de détection automatique (fonction autoconnect d'Outlook 2007), le système de planification des réunions (Concierge Calendar)... Le rôle serveur de transport Hub (Hub transport) est responsable du routage des messages pour son site Active Directory (équivalent serveur de tête de pont dans un groupe de routage Exchange 2003). Ce serveur est conçu pour rediriger les mails externes vers un serveur de transport Edge ou vers une passerelle SMTP (il peut éventuellement être configuré pour envoyer les mails externes lui-même). Il est recommandé de placer un antivirus sur le serveur 'hub' car c'est par lui que transitent les mails (des fonctions anti-spam peuvent être activées sur ce rôle). Le serveur 'hub' exécute aussi une fonction nommée transport dumpster qui est utilisée seulement si un cluster à réplication continue (ou CCR) est mis en place dans son site. Le rôle serveur de transport Edge (Edge Transport) fait office de passerelle SMTP. Ce serveur doit être accessible depuis Internet (port 25) et est typiquement situé dans une DMZ. Il traite tous les messages entrant et sortant de l'organisation et leur applique une stratégie anti-spam (Microsoft recommande aussi de déployer une solution antivirale sur le 'Edge' comme ForeFront Security for Exchange). Pour plus de sécurité le serveur 'Edge' n'appartient pas à la forêt Active Directory mais à un groupe de travail. Il exécute aussi une instance ADAM qui stocke la liste des destinataires de l'organisation. Cette instance est utilisée pour filtrer les mails et est mise à jour grâce à un serveur 'Hub' qui pousse les informations depuis Active Directory vers ADAM (réplication mono-directionnelle). Enfin, ce rôle est optionnel et doit impérativement être installé sur un serveur séparé (le serveur 'Hub' peut en effet se charger de l'envoi/réception des messages externes même si ça n'est pas son comportement par défaut). Le rôle serveur de messagerie unifiée (Unified Messaging) joue le rôle d'intermédiaire entre l'infrastructure téléphonique de l'entreprise et l'organisation Exchange. Ce rôle permet la consultation des boîtes aux lettres via une messagerie vocale (à partir d'un téléphone fixe ou mobile) et gère l'envoi des messages vocaux dans les boîtes aux lettres (les messages vocaux sont envoyés sous la forme de pièces jointes). Ce rôle inclut aussi la gestion des télécopies (fax) et est optionnel. Les rôles du serveur sont choisi lors de l'installation. Il est possible de rajouter des rôles supplémentaires ultérieurement dans une certaine mesure. En effet certains rôles s'avère incompatible (sur un cluster seul le rôle 'serveur de boîtes aux lettres' peut être déployé, le rôle 'transport edge' doit lui aussi être installé séparément). 1.4 Considérations sur l'architecture d'une infrastructure Exchange 2007 La notion de 'rôles' introduite avec Exchange 2007 influe fortement sur le placement des serveurs lors de la création d'infrastructures de messagerie complexes. Il est en effet possible d'éclater les rôles sur plusieurs serveurs physiques, voire de doubler les rôles critiques. Il faut aussi tenir compte des problématiques de performance, de sécurité et de tolérance aux pannes. Le schéma ci-dessous présente une infrastructure Exchange Server 2007 tout à fait classique Le site principal est de grande envergure et il possède une DMZ. Le rôle messagerie est ici mis en cluster pour assurer une tolérance aux pannes (il s'agit d'un cluster MSCS à deux n-oeliguds tout à fait classique et nommé SCC pour Single Copy Cluster). Les rôles serveur d'accès client (CAS), serveur de transport Hub et serveur de messagerie unifiée (UM) sont installés sur des machines distinctes. On remarque bien que le serveur UM interagit avec le PABX de l'entreprise (si le PABX ne supporte pas la voix sur IP, il faudra investir dans boitier intermédiaire). Enfin le serveur de transport Edge est placé en DMZ de manière à filtrer de manière sécurisée tous les mails entrant et sortant de l'organisation. Seul le serveur Edge et le serveur CAS doivent être accessibles depuis Internet (pour sécuriser la publication de ces serveurs il est recommandé de faire appel à une solution de filtrage applicatif comme ISA Server ou Microsoft Intelligent Application Gateway). Le site secondaire correspond à une structure plus modeste et il est composé de deux serveurs l'un exécutant le rôle 'messaging' et l'autre les rôles HUB et CAS. Il est à noter que les trois rôles aurait pu être placé sur le même serveur physique. Voici une liste de points à prendre en compte pour créer une architecture Exchange 2007 fonctionnelle, performante et sécurisée Un contrôleur de domaine (DC) ainsi qu'un serveur de catalogue global (GC) doivent impérativement être présents dans chaque site où est déployé un serveur Exchange (prévoir deux DC/GC pour assurer une tolérance aux pannes). Lorsque vous mettez en place un cluster SCC ou CCR, il ne peut exécuter que le rôle 'serveur de boîtes aux lettres'. Cela signifie que vous devrez posséder une machine supplémentaire pour exécuter les autres rôles 'critiques' (c'est-à-dire les rôles 'Hub' et 'Cas'). Les quatre rôles Messaging, Hub, Cas et Unified Messaging peuvent être combinés sur un seul et même serveur physique, même si cela n'est pas recommandé du point de vue des performances. Un serveur de transport Edge doit impérativement être placé en DMZ pour assurer la sécurité du flot de mails. Un serveur Hub doit obligatoirement être placé dans tous les sites Active Directory possédant un serveur exécutant le rôle messagerie (sinon le routage des messages entre ce site et les autres sites Active Directory ne sera pas assuré). Un serveur Cas doit obligatoirement être placé dans tous les sites Active Directory possédant un serveur exécutant le rôle messagerie (sinon les boîtes aux lettres de ce site ne seront pas accessibles via des protocoles non-MAPI). Microsoft préconise de placer un antivirus dédié à Exchange sur tous les serveurs exécutant les rôles 'Hub' et 'Edge' (c'est-à-dire sur tous les rôles gérant le routage et la remise des messages). Si le PABX de votre entreprise n'est pas compatible IP (id est ne supporte pas la VoIP), vous devrez investir dans un boîtier qui réalisera l'interfaçage entre le serveur Exchange UM et le PABX. Lorsqu'un cluster à réplication continue (CCR) est déployé, il est recommandé de lui affecter un maximum de n-oeliguds pour éviter des problèmes de convergence sur le quorum à majorité (ou quorum MNS). Etc. Bien entendu de nombreux autres aspects doivent être étudiés. C'est notamment le cas du choix du matériel qui s'avère délicat avec cette nouvelle mouture du produit (confère partie2 de ce même article). 1.5 Les différentes éditions d'Exchange Server 2007 A l'instar des précédentes versions, Exchange Server 2007 est disponible en édition standard et en édition entreprise. L'édition standard est limitée au niveau du nombre des bases de données (5 bases au maximum). En revanche la taille de ces bases n'est pas plafonnée (avec Exchange 2003 édition standard la taille maximale des fichiers est de 16Go en RTM et de 75Go si le SP2 est déployé ). Cela signifie que les bases de données peuvent 'grossir' indéfiniment à partir du moment où il y a suffisamment d'espace disque. Les bases de données peuvent être placées dans le même groupe de stockage ou bien dans cinq groupes de stockages distinct (en effet, l'édition standard d'Exchange 2007 supporte la création de cinq groupes de stockage au maximum). L'édition entreprise d'Exchange 2007 supporte quant à elle, jusqu'à 50 groupes de stockage pour un maximum de 50 bases de données. De plus seule l'édition entreprise supporte la mise en place d'un cluster à basculement (cluster SCC ou cluster CCR). Il est possible de passer d'une version à l'autre sans réinstaller. En effet il suffit de modifier la clé de produit via la console de management (cela est rendu possible car les mêmes sources sont utilisées pour les deux éditions). Par contre seuls les upgrades sont pris en compte (id est il est impossible de 'downgrader' sauf en désinstallant le produit). Voici une liste des changements de licence supportés Passer d'une licence TRIAL vers une licence standard Passer d'une licence TRIAL vers une licence entreprise Passer d'une licence standard vers une licence entreprise Remarque Une troisième édition d'Exchange Server 2007 devrait voir le jour avec Small Business Server pour Longhorn (la version d'Exchange actuellement intégrée à SBS 2003 devrait rester Exchange 2003). Pour l'instant Microsoft n'a pas communiqué sur les spécificités de l'édition SBS mais il y a fort à parier que le nombre de boîtes aux lettres et de base de données sera limité (même la taille des bases de données ne devrait pas l'être). Le système de licences d'accès client (ou CAL pour Client Access License) est toujours en place même si, cette fois-ci, Microsoft a décidé de scinder son offre en deux. On retrouve les CAL suivante CAL standard accès à la messagerie pour un utilisateur / ordinateur CAL entreprise ajoute le support de la messagerie unifiée (UM), d'Exchange Hosted Services et de la journalisation avancée Le tableau ci-dessous récapitule la politique tarifaire de Microsoft au sujet des licences d'accès client et des licences serveur Exchange Server 2007 édition standard 699 Exchange Server 2007 édition entreprise 3999 Licence d'accès client (CAL) standard 67 Licence d'accès client (CAL) entreprise 67 25 1.6 Exchange Server 2007 et virtualisation Seules les versions 64 bits d'Exchange 2007 sont commercialisées (une version 32 bits existe mais elle n'est pas vendue par Microsoft et a été crée uniquement pour les environnements de test). De leur côté, les deux logiciels de virtualisation actuellement commercialisés par Microsoft (Virtual PC 2007 et Virtual Server 2005 R2) sont uniquement capables de gérer des machines virtuelles en 32 bits (même si le système hôte est en 64 bits). Il est donc possible d'installer une version de test 32 bits d'Exchange 2007 dans une machine virtuelle mais en aucun cas cette version ne pourra être licenciée (puisque Microsoft ne vend que des licences pour la version 64 bits du produit). Cela est dommage car la virtualisation permet de réduire les coûts liés au matériel (par exemple dans le cas d'un cluster, il pourrait être intéressant de créer un n-oeligud passif sous la forme d'une machine virtuelle tout en conservant un n-oeligud actif dédié). L'arrivée de Longhorn Server changera la donne en matière de virtualisation En effet l'architecture du prochain OS serveur de Microsoft a été conçue de manière à généraliser la création et la mise en production de machines virtuelles (le système lui-même sera d'ailleurs considéré comme une machine virtuelle). Le sous-composant utilisé par Longhorn se nomme Hypervisor et il apportera, entre autre, le support du 64 bits dans les machines virtuelles. Par conséquent, il sera possible mettre en production Exchange 2007 sous la forme d'une machine virtuelle à partir du moment où Longhorn sera installé 1.7 Evaluer gratuitement Microsoft Exchange Server 2007 Microsoft met à disposition de nombreux moyens pour évaluer de manière totalement gratuite Microsoft Exchange 2007. Voici une liste des ressources les plus intéressantes Version d'essai du produit utilisable 120 jours (lien) Machine virtuelle préconfigurée avec Exchange Server 2007 utilisable 30 jours (lien) Virtual Labs sur Mirosoft Technet (lien) Remarque Si vous télécharger une version d'essai 32 bits, gardez à l'esprit que le serveur ne pourra pas être mis en production (Microsoft ne vend que des licences 64 bits la version 32 bits est présente uniquement pour des raisons de tests). De plus les versions d'essai 32 bits sont considérées comme des versions standard (même si les fonctionnalités de clustering sont activées là encore pour des raisons de test). Thu, 29 Mar 2007 02:45:00 +0200 http://www.espace-microsoft.com/fr/articles/14620-presentation-nouveautes-windows-2008.html http://www.espace-microsoft.com/fr/articles/14620-presentation-nouveautes-windows-2008.html 1 Présentation de Windows Server 2008 Tout d'abord connu sous le nom de code Longhorn Server, Windows Server 2008 est loin d'être une mise à jour mineure. En intégrant de nombreuses nouveautés dans l'ensemble des composants principaux de l'OS (Active directory, Terminal Server, IIS 7, Virtualisation, Server Core...) soyons sûrs que cette version fera date dans l'histoire des systèmes d'exploitation Microsoft. Initialement prévue en Novembre, la sortie de Windows Server 2008 à été reportée par Microsoft pour coïncider avec la sortie du SP1 de Windows VISTA. Cette sortie correspond en France au deuxième opus de l'évènement Microsoft TechDays2008, qui se déroule du 11 au 13 Février 2008. Une fois n'est pas coutume la sortie française s'effectue avant la sortie mondiale ! Il est évidemment impossible de couvrir l'ensemble des nouveautés d'un tel produit. Cependant nous allons nous efforcer de présenter les fonctionnalités essentielles de Windows 2008 et tenter de vous expliquer comment ce nouveau système va révolutionner votre vie d'administrateur ! 1.1 Pré-requis La mise en place d'un nouveau système d'exploitation entraîne généralement une mise à jour des pré-requis matériels. Windows Server 2008 n'échappe pas à la règle et nécessite des ressources plus importantes que Windows Server 2003 R2. Voici la configuration minimale pour faire fonctionner ce produit : Processeur à 1GHz 512 Mo de mémoire vive 8 Go d'espace disque De manière plus réaliste, une configuration équipée d'un processeur double coeur, de 2Go de mémoire et d'environ 80Go d'espace disque sera nécessaire pour pouvoir exploiter au mieux les fonctionnalités de ce système. 1.2 Les éditions On dénombre 4 éditions principales de Windows Server 2008 dont voici les prix indicatifs : Web : 469 $ Standard : 999 $ avec 5 licences d'accès clients Enterprise : 3999 $ avec 25 licences d'accès clients Datacenter : 2999 $ par processeur Chacune de ces édition est disponible en 32 et 64 bits (les deux versions étant présentes dans la boite) ainsi qu'en version Core (cf. partie 3 de cet article). (*) Les licences incluent des spécificités au niveau de la virtualisation (cf. partie 10). (**) Une édition Datacenter dédiée aux processeurs Itanium est toujours disponible (en parallèle aux versions x86 et x64). Elle est commercialisée 2999 $ / processeur. 2. Généralité 2.1 Modification du noyau Existant en version 32bits et 64 bits, Windows Server 2008 sera le dernier système serveur de Microsoft à supporter la plateforme 32bits. Son noyau intègre un certain nombre de nouveautés dont voici les principales : Support du Hot Plug PCI-Express là ou Windows Server 2003 ne supportait cette fonctionnalité qu'avec quelques cartes propriétaires. Support du remplacement à chaud de la mémoire alors que Windows Server 2003 n'en supportait que l'ajout. Support de l'ajout et du remplacement à chaud des processeurs. Une option d'autoréparation des systèmes de fichiers NTFS (Self-Healing) qui permet d'optimiser le processus de correction des erreurs NTFS. 2.2 L'outil Server manager Sous Windows Server 2008, on distingue deux types de composants logiciels : Les rôles qui ont pour objet de fournir un service aux utilisateurs (annuaire, résolution de noms, hébergement site Web, partage de fichiers et d'imprimantes...) Les fonctionnalités (features) qui offrent des options évoluées d'implémentation des rôles (réplication de fichiers, haute disponibilité, sauvegarde...) Server Manager est une console d'administration globale regroupant les outils correspondants à tous les rôles et fonctionnalités installés sur le serveur local. La console Server Manager combine les fonctionnalités des consoles « Gérer votre serveur » et « Ajout/Suppression de programmes ». L'objectif de cette console est de fournir un moyen simple de paramétrer les rôles et les fonctionnalités (voir capture d'écran ci-dessous). 3. Server Core Lorsque vous installez Windows Server 2008, vous avez le choix entre une installation complète ou réduite (les fameuses versions Core). Server Core est une édition épurée de toutes les applications et outils non nécessaires à l'exécution des 8 rôles suivants : Serveur Web (IIS) Serveur de fichiers et d'impression Virtualisation (Hyper-v) Contrôleur de domaine (AD DS) Annuaire applicatif (AD LDS) Serveur DHCP Serveur DNS Serveur de streaming multimédia(QWAVE) Les fichiers applications et services non utiles à l'exécution de ces huit rôles ont été purement et simplement retirés du système. En sus d'occuper moins d'espace disque, cet environnement minimaliste offre : De meilleures performances (moins de services sont exécutés) Une sécurité accrue (en réduisant la surface d'attaque) Une maintenance simplifiée (de nombreux patchs ne seront pas nécessaires aux versions Core) L'installation est classique jusqu'au démarrage où l'on ne voit qu'une invite de commande. Cette invite sera le seul compagnon de l'administrateur étant donné que l'interface graphique (explorer.exe et autres dépendances) n'est pas incluse. Pour faciliter l'administration à partir de cette invite, de nouvelles commandes ont été intégrées au système pour permettre le contrôle de toutes les fonctionnalités. Certains composants graphiques restent utilisables comme le Bloc-notes ou le Gestionnaire des tâches. Cependant tous les logiciels volumineux ou critiques en termes de sécurité ont été retirés. Voici quelques exemples d'applicatifs qui ne sont pas intégrés aux versions Core : Windows Explorer Panneau de configuration Internet Explorer / Windows Mail Media Player Les consoles MMC Wordpad/ Paint Focus : La commande dcpromo ne pouvant pas être lancée en mode graphique, il est nécessaire d'utiliser un fichier de réponse pour installer Active Directory (rôle AD DS). Ce fichier de réponse doit être généré à partir d'une installation classique (non Core) de Windows Server 2008. 4. Windows Server Failover Clustering La fonctionnalité de mise en cluster disponible sous Windows Server 2008 a été rebaptisée par rapport aux anciennes versions. Elle ne s'appelle plus « MSCS » ni « Windows Server 2003 clustering services » mais « Windows Server Failover Clustering ». Cette nouvelle implémentation des services de clustering supporte jusqu'à 16 noeuds sur un serveur équipé d'une architecture x64 (les architectures x86 et Itanium restent limitées à 8 noeuds). L'assistant de configuration d'un nouveau cluster distingue quatre types d'implémentations : Node Majority Quorum Configuration : Cluster avec quorum à jeu de majorité ou quorum MNS (pour Majority Node Set). Ce type de cluster reste en ligne tant qu'une majorité des noeuds le composant est opérationnelle. Ainsi, un cluster à 4 noeuds fonctionne tant que 3 noeuds sur 4 sont opérationnels (si un deuxième noeud tombe en panne, la majorité n'est plus atteinte et le service tombe). Node and Disk Majority Quorum Configuration : Cette configuration est proche de la précédente. La seule différence est l'ajout d'un témoin (un disque partagé de type NAS ou SAN) qui agira comme un noeud dans le calcul de la majorité. Cette configuration augmente le niveau de tolérance aux pannes. En effet un cluster à 4 noeuds restera en ligne tant que 2 des noeuds (plus le disque partagé) seront fonctionnels. Node and File Share Majority Quorum Configuration : Cette configuration utilise un partage de fichiers en tant que témoin. Hormis cela, elle est identique à la précédente. No Majority (Disk Only) Quorum Configuration : Cette configuration utilise un quorum partagé (c'est-à-dire stocké sur un support de stockage de type NAS ou SAN). Cette implémentation est la seule ou le quorum n'est pas répliqué localement sur l'ensemble des noeuds ! Ce type de configuration n'implémente pas le principe de la majorité (un cluster à 4 noeuds reste fonctionnel tant qu'au moins un noeud est actif). Malheureusement ce système induit une unicité des données (si le support partagé est corrompu, le cluster est perdu !) et il devrait être de moins en moins utilisé dans les années à venir. Le schéma ci-dessus représente un cluster à deux noeuds avec quorum partagé (à gauche) ainsi qu'un cluster à deux noeuds avec quorum à jeu de majorité. Voici les quelques éléments à considérer pour choisir le type de cluster le plus adapté à votre environnement : Les clusters à quorum partagé représentent un risque à cause de l'unicité des données (on parle de SPOF pour Single Point Of Failure) et rendent impossible l'implémentation de cluster géo-localisés. Les clusters à quorum MNS facilitent la mise en oeuvre de géocluster et procurent une sécurité des données (via la réplication). Les clusters à quorum MNS utilisant des témoins sous la forme de disques ou de partages de fichiers proposent un meilleur niveau de tolérance aux pannes (implémentation 2 et 3) Retenez que les clusters les plus intéressants en termes de fonctionnalités sont ceux implémentant un quorum à majorité avec témoin. L'utilisation de cluster à quorum partagé peut encore se justifier dans certains scénarios mais nécessite une plus grande rigueur au niveau des données (sauvegardes fréquentes, réplication du SAN...). Windows Server Failover Clustering apporte aussi les nouveautés suivantes : Meilleures conditions de dépendance entre les ressources avec la possibilité d'utiliser des opérateurs ET/OU lors de la configuration des dépendances entres ressources. Possibilité de configurer la fréquence des battements de coeurs ou « heartbeats » (option particulièrement utile pour prendre en compte les latences des liens WAN dans le cadre d'un géocluster) En termes de compatibilité, il n'est pas possible de faire cohabiter au sein d'un même cluster un noeud sous Windows Server 2003 et un noeud sous Windows Server 2008. Un outil de migration facilitera la migration d'un cluster sous 2003 vers WSFC. Voici une liste des services, applications et rôles Windows Server pouvant être mis en cluster : Les serveurs d'espace de noms DFS Les serveurs DHCP Les serveurs de fichiers Les serveurs WINS Les machines virtuelles Hyper-V Les serveurs d'impressions Toute application, script ou service générique 5. Active Directory 5.1 Les rôles liés à l'annuaire Active Directory Windows Server 2008 inclus cinq rôles en rapport avec Active Directory : Active Directory Domain Services : Ce rôle correspond aux désormais classiques contrôleurs de domaine. Active Directory Lightweight Directory Services : Anciennement nommé ADAM ce rôle correspond à un service d'annuaire allégé, simplifié et extensible dont l'objectif est de stocker des données applicatives. Active Directory Right Management Services : Ce service permet de gérer les droits numériques. Il permet, entre autre, de sécuriser les documents Office (possibilité de verrouiller un document en lecture, de lui affecter une date d'expiration...) en fonction de l'utilisateur qui y accède. Ce service opère de nombreuses interactions avec l'annuaire AD DS et avec les services de certificats AD CA. Active Directory Federation Services : Les services de fédération permettent d'interconnecter plusieurs annuaires entres eux. L'objectif n'est pas de construire un méta-annuaire mais plutôt de fournir une ouverture de session unique (SSO) lorsqu'un utilisateur d'un annuaire 1 se connecte à une ressource d'un domaine 2. Active Directory Certificate Services : Ce rôle correspond aux services de certificats tels que nous les connaissions précédemment. Des protocoles de hachage plus sûrs sont désormais supportés (SHA-256, SHA-512...) et de nouveaux composants permettent de faciliter la publication des listes de révocations de certificats (CRL) et simplifie la génération de certificats destinés à des périphériques réseau (firewall, serveurs en DMZ...). Dans la suite de cet article nous allons nous concentrer sur AD DS, ce composant étant de loin le plus répandu dans les entreprises. 5.1 Active Directory Domain Services ( AD DS) Active Directory Domain Services est le nouveau nom donné par Microsoft pour les services d'annuaire tels que nous les connaissons jusqu'à présent. La première chose que l'on remarque lors de l'installation d'un contrôleur de domaine est l'amélioration apportée à l'assistant « dcpromo ». Ce Wizard permet dorénavant de configurer dès l'installation des paramètres comme le site Active Directory, la fonctionnalité de catalogue global ou bien encore le niveau fonctionnel de domaine ou de forêt souhaité. A ce propos, Windows Server 2008 étrenne un niveau fonctionnel de domaine (et de forêt) supplémentaire (cf. capture ci-dessous). Si le niveau fonctionnel de forêt n'apporte aucune nouveauté, le niveau fonctionnel de domaine s'avère hautement intéressant : Utilisation du protocole DFS-R (seule la différence de contenu des fichiers est répliquée) pour répliquer SYSVOL (en lieu et place du vieillissant service FRS). Support du chiffrement AES 128 et AES 256 au niveau de la méthode d'authentification Kerberos. Création de multiples stratégies de mots de passe et de verrouillage de compte. Bien entendu, il sera nécessaire de migrer tous les contrôleurs de domaine vers Windows Server 2008 pour bénéficier de ces nouvelles options ! Pour effectuer cette migration il sera aussi nécessaire de mettre à jour le schéma de l'annuaire : De nombreuses autres nouveautés ont pour but de faciliter les tâches administratives quotidiennes. On peut par exemple citer l'implémentation d'AD DS sous la forme d'un service Windows. Grace à cela, certaines opération de maintenance comme la restauration d'objet, la défragmentation ou bien encore le déplacement de la base de données, sont réalisables sans qu'il soit nécessaire de redémarrer le serveur en mode restauration des services d'annuaire ! Dans le même esprit, un éditeur d'attribut est désormais intégré dans la console « Utilisateurs et ordinateurs Active Directory ». Cet éditeur se présente sous la forme d'un nouvel onglet et permet de modifier tous les attributs d'un objet sans pour autant devoir lancer des outils absconds comme « Adsiedit » ou bien encore « Ldp.exe ». Une autre option permet de protéger un objet contre une suppression malencontreuse. Finit les heures passées à restaurer l'OU principale de votre entreprise suite à une mauvaise manipulation ! Enfin certains détails sont notables comme la possibilité de filtrer les paramètres de GPO (cette fonctionnalité était demandée depuis des années !!!) ou bien l'intégration en standard de GPMC. Du point de vue de la sécurité plusieurs améliorations sont cruciales : La possibilité d'installer le rôle AD DS sur une version Core de Windows Server 2008 (réduction de la surface d'attaque et patch management simplifié). La possibilité de mettre en oeuvre des contrôleurs de domaine en lecture seule ou RoDC (pour « Read only Domain Controller »). Ce nouveau rôle est particulièrement intéressant dans les environnements où la sécurité physique du serveur ne peut pas être garantie (succursale, local technique non sûr). Un RoDC possède une base de données verrouillé en lecture et reçoit les mises à jour de l'annuaire via un mécanisme de réplication unidirectionnel. Enfin les mots de passe ne sont pas répliqués sur ce type de contrôleurs (cette règle est modifiable de manière granulaire). La possibilité de créer plusieurs stratégies de mots de passe / verrouillage de compte au sein du même domaine. La capture d'écran ci-dessous illustre cette troisième assertion. On remarque que trois stratégies de mots de passe sont présentes dans le conteneur « Password Settings Container ». Comme vous pouvez le voir ci-dessous, chaque stratégie de mot de passe est associée à un ou plusieurs groupes de sécurité. Lorsqu'un utilisateur appartient à plusieurs groupes liés à des stratégies de mots de passe différentes, la stratégie la plus prioritaire est appliquée. 6. Services réseau 6.1 Une pile TCP/IP entièrement repensée La pile TCP/IP de Windows Server 2008 est basée sur celle de Windows Vista. Les performances n'ont plus rien en commun avec celle des précédentes versions de Windows. Microsoft clame d'ailleurs haut et fort que ce composant réseau n'avait pas été autant modifié depuis 10 ans ! Microsoft annonce aussi des chiffres impressionnants (selon la firme de Redmond, des augmentations de performances de 30 à 40 fois peuvent être observées dans certaines conditions par rapport à Windows 2003) ! Nous avons cherché à réaliser des tests dans notre laboratoire et autant vous le dire tout de suite, les résultats sont à la hauteur de ce qui a été annoncé ! Par exemple, voici les performances obtenues lors de la copie d'une machine virtuelle Hyper-V de 7Go entre deux serveurs sous Windows Server 2008 équipée de cartes réseau Gigabit. On remarque que le réseau est quasiment utilisé à 100% de ses possibilités (107Mo/s sur cette capture avec des pointes à 115Mo/s pour un maximum théorique de 125Mo/s avec une carte gigabit) ! Ces excellentes performances sont confirmées par la console « Resource Manager » qui annonce 944Mb/s. Cette console nous permet aussi de remarquer que le disque dur écrit avec un débit de 64Mo/s et que la mémoire vive est fortement utilisée durant l'opération de copie (environ 500Mo sont monopolisés). L'utilisation d'une telle quantité de mémoire est tout simplement due au fait que le disque SATA2 de notre laboratoire n'est pas capable d'écrire à la volée toutes les données reçues sur la carte réseau. Voilà qui démontre, si cela était nécessaire, que cette nouvelle édition de Windows Server a besoin d'une bonne quantité de mémoire vive pour exprimer tout son potentiel (notre serveur de lab est équipé de 8Go de mémoire). Voici quelques éléments qui vous permettront de comprendre pourquoi un tel bond en termes de performances a été franchi avec la pile réseau de Windows Server 2008 : La pile TCP / IP intègre nativement IPv4 et IPv6 Intégration d'IPSec, de la qualité de service (QoS) et des fonctionnalités de firewalling au coeur de la pile réseau Support du TCP Chimney Offload qui permet de déporter la plupart des opérations de segmentation TCP sur le processeur matériel de la carte réseau Support du Received Side Scalling qui permet de répartir la quantité de données à traiter entre tous les processeurs ou coeurs du système (sous Windows Server 2003, un seul processeur ou coeur est utilisé) Intégration d'algorithmes de chiffrement et de hachage récents (SHA-256, SHA-512, AES 256 bits, WPA2 pour le WiFi...) Intégration de la norme SMB 2.0 pour les échanges de fichiers et du protocole LLTD pour la découverte des favoris réseaux en multicast 6.2 DNS Les fonctionnalités du serveur DNS évoluent aussi. Voici un aperçu succinct des nouvelles options disponibles : Chargement des fichiers de zone en tâche de fond (cela évite de saturer le serveur lorsque le service DNS démarre et doit charger des fichiers de zone volumineux) Zones DNS en lecture seule (ce type de zone est uniquement disponible sur les contrôleurs de domaine en lecture seul ou RoDC) Zones DNS Globales (ce type de zone a été conçus pour stocker les noms NetBIOS de toutes les postes d'une forêt - l'objectif est d'accélérer le remplacement des serveurs WINS) Interface plus complète pour ajouter les redirecteurs globaux et conditionnels Intégration d'un assistant permettant de créer plus facilement des zones DNS inversées pour les adresses au format IPv6 La capture d'écran ci-dessous met en valeur l'assistant de création. 6.3 Windows Deployment Services ( WDS) WDS correspond au nouveau système de déploiement de Microsoft. D'abord intégré comme composant additionnel de Windows Server 2003 (avec le SP2), il est dorénavant devenu un rôle à part entière. Rappelons que WDS supporte le format d'image WIM, qui est le nouveau format des package des OS Microsoft et que Windows VISTA et Windows 2008 sont distribué dans ce format. La principale nouveauté de WDS sous Windows Server 2008 est l'intégration d'un composant nommé « Transport Server » et ajoutant le support du multicast. Plusieurs options sont disponibles pour déployer des images en multicast : Session automatique (Auto-Cast) : le serveur WDS envois les données dès que le premier client se connecte (si un second client se connecte il récupère les données en cours d'upload) Session programmées (Scheduled Cast) : dans ce cas, l'envoi des données démarre à une heure précise ou bien lorsqu'il y a un nombre précis de client connectés au serveur. Remarque : Microsoft ne fournit pas de client multicast graphique (la connexion des clients au serveur WDS passe par l'exécution de la commande « wdsmcast.exe »). Les images de Windows PE n'intègrent pas toutes ce composant. Il peut être récupéré dans le kit d'installation automatisé (WAIK) pour Windows Server 2008. 6.4 Autres nouveautés Les nouveautés de Windows Server 2008 au niveau du réseau sont trop nombreuses pour être toutes détaillées ici. Cependant voici quelques éléments qui méritent le détour : Le serveur DHCP supporte pleinement IPv6 et propose de créer des étendues spécifiques (les modes IPv6 « stateless » et « statefull » sont supportés) Le service de streaming multimédia a été entièrement refondu et se nomme maintenant QWAVE pour Quality Windows Audio Video Experience Le serveur VPN supporte le protocole SSTP (VPN SSL) Support de l'agrégation de carte réseau (fonctionnalité « Multipath IO ») 7. Sécurité Avec Windows Server 2008, la sécurité des systèmes « serveur » effectue un véritable bond en avant. Pour commencer cet OS reprend toutes les évolutions apportées par Windows Vista tant au niveau système (noyau plus sécurisé, services renforcés, UAC...) qu'au niveau réseau (pare-feu actif par défaut et filtrant le trafic entrant et sortant, Windows Defender, pile TCP / IP revue avec une intégration plus poussée d'IPSec...). De manière générale tous les composants de Windows Server 2008 ont été conçus de manière à rester plus sûrs que leurs prédécesseurs. On peut par exemple citer les versions Core, les contrôleurs de domaine en lecture seule, le support du protocole SSTP pour le VPN (le SSTP est un protocole permettant de monter des tunnels VPN SSL) ou bien encore les passerelles Terminal Server (TS Gateway). Enfin le rôle le plus intéressant du point de vue de la sécurité (et aussi le plus médiatisé) est bien entendu NAP pour Network Access Protection. L'objectif de ce composant est de permettre un contrôle précis des périphériques devant accéder au réseau de l'entreprise. Avec NAP, l'entreprise peut mettre en place une véritable politique de sécurité que tous les postes devront respecter sans quoi ils seront mis en quarantaine et leur accès au réseau sera limité, voire inexistant ! Cette quarantaine peut être réalisée de diverses manières. Voici les trois principales méthodes : Via le DHCP qui attribue des adresses appartenant à un VLAN de quarantaine (avec des routes limitées) Via une isolation IPSec (les postes non conformes ne reçoivent pas de certificat IPSec valides et ne peuvent pas communiquer avec leurs homologues sains) Via une authentification i802.1x (pour les postes accédant au réseau de l'entreprise via un VPN ou bien un réseau sans fil) 8. Terminal Server Des nouveautés très importantes ont été ajoutées aux services Terminal Server avec Windows 2008. Ainsi on notera 5 nouveautés de taille : 8.1 Passerelle TS Les passerelles Terminal Server permettent de rendre accessible des serveurs Terminal Server (ou des serveurs sur lesquels le bureau à distance est activé) via un tunnel TLS. Cette fonctionnalité permet d'éviter le recours à des tunnels VPN lourds à gérer et problématiques en termes de sécurité. Les passerelles Terminal Server peuvent interagir avec les serveurs NAP de manière à vérifier la conformité des postes clients (ainsi les ordinateurs non conformes seront mis en quarantaine et n'auront qu'un accès limité voire nul aux serveurs Terminal Server de l'entreprise). Le schéma ci-dessous symbolise le principe de fonctionnement d'une passerelle TS. On remarque bien que l'ordinateur client établit un tunnel TLS avec la passerelle TS située en DMZ (flèche rouge), puis que la passerelle TS se connecte au serveur demandé via le protocole RDP (flèche verte). Remarque : La version 6.0 du client RDP est nécessaire pour se connecter à une passerelle Terminal Server (pour rappel Windows Server 2008 étrenne la version 6.1 du protocole). 8.2 Applications distantes Les applications distantes permettent d'exécuter les programmes hébergés par les services Terminal Server sur les postes de travail des utilisateurs comme s'il s'agissait d'applications locales et non pas via un bureau virtuel. Cette fonctionnalité est reprise directement de Citrix Presentation Server. 8.3 Portail TS Web Cette interface permet d'accéder de l'extérieur à des applications publiées sur des serveurs TS internes (cf. capture ci-dessous). 8.4 Authentification unique Server Authentification est un nouveau système d'authentification basée sur le RDP 6 ; ce protocole authentifie les utilisateurs et assure au client connecté qu'il se trouve bien sur le serveur Terminal Server souhaité. Cette méthode protège des attaques de type « man in the middle ». 8.5 TS Easy print Dans le passé, pour imprimer une page sur une session Terminal server, il fallait installer les pilotes de l'imprimante sur le serveur Terminal Server. Cette installation pouvait causer des problèmes sur le serveur TS. TS Easy Print permet une solution de redirection vers une imprimante sans avoir à installer de pilote côté serveur ! Concrètement lorsque qu'un client lance une impression dans une session RDP, le fichier est envoyé vers une imprimante virtuelle qui génère un fichier XPS. Ce fichier est alors transféré à la machine locale, puis imprimé sans déformation ni altération du format. En plus des fonctionnalités que nous venons de citer, la nouvelle version de Terminal Server apporte d'autres nouveautés comme le support de nouvelles résolution 16/9 et 16/10 (ainsi que le support des écrans « splittés »), la priorisation des flux au sein du trafic RDP (avec RDP 6.1 les flux graphique et clavier/souris sont priorisés par rapport au flux d'impression et d'échange de données), le support d'un algorithme de compression plus performant ou bien encore l'intégration d'un environnement de travail très proche de celui intégré à Windows Vista (la fameuse option « Desktop Experience ». Enfin, comme pour les versions précédentes du produit, tous les paramètres des serveurs TS sont entièrement configurables via GPO. La capture d'écran ci-dessous met en valeur la fonction de compression du trafic RDP (supportée à partir du SP1 de Windows Vista !). Notez aussi la présence d'options relatives au composant rôle « Session Broker ». Cet élément est équivalent au service Session Directory de Windows Server 2003 qui permet de localiser les sessions RDP en cours sur des fermes de serveurs TS. Pour plus d'information sur ce rôle: http://www.espace-microsoft.com/fr/articles/14719-nouveautes-terminal-server-sous-windows-server-2008.html 9. Services Web ( IIS 7, WSS 3.0) 9.1 IIS Avec Windows Server 2003 et IIS 6.0 l'objectif de Microsoft était clairement de proposer un système plus sûr (support du TLS, service et langages dynamiques désactivés par défaut...) et plus fiable (pools d'applications) que IIS 5 sous Windows 2000 qui était loin d'être à la hauteur sur ces points. Avec IIS 7 sous Windows Server 2008, le géant de Redmond reprend les bases apportées par Windows Server 2003 et les travaille plus en profondeur. Les points les plus importants à retenir sont les suivants : Conception modulaire : cette architecture permet à IIS 7 d'être bien plus sécurisé (application du principe de réduction de la surface d'attaque). Configuration sous la forme de fichiers XML : dites adieux à la métabase ; il est maintenant possible de configurer IIS avec un simple éditeur de texte ! Mise en cluster du produit facilitée (on peut dupliquer très simplement les fichiers de configuration et éventuellement les placer dans un partage répliqué via DFS-R). De nouveaux outils de diagnostics poussés font leur apparition (console MMC, commande appcmd.exe pour les versions Core, outil URL Scan...). Autre nouvelle qui ravira des milliers d'administrateurs : le vieillissant composant FTP de IIS est en cours de refonte ! A l'heure actuelle (RC1) le produit n'est toujours pas intégré à Windows Server mais est disponible sur le site officiel de IIS 7 (www.iis.net). Ce nouveau composant apporte principalement le support du FTP sécurisé (chiffrement TLS) ainsi que la possibilité de restreindre l'accès au service en fonction de règles basées sur les groupes. Bien entendu toutes les fonctionnalités des versions précédentes comme les différents modes d'isolation restent d'actualité ! Pour plus d'information sur ce rôle: http://www.espace-microsoft.com/fr/articles/14718-presentation-iis-7-sous-windows-server-2008.html 9.2 WSS Windows Server 2008 supporte la version 3.0 de WSS (pour Windows SharePoint Services). L'objectif de WSS est de fournir un portail d'entreprise (intranet) permettant de centraliser et d'échanger des documents (versioning, recherche documentaire...) et de manière générale n'importe quelle donnée intéressante pour l'entreprise (fichier client, liste des derniers projets...). WSS est une plateforme extensible et permettant de mettre en place de véritables solutions CRM/ERP. Ce puissant outil de collaboration est évidemment capable d'interagir avec la plupart des plateformes Microsoft comme Exchange Server ou bien encore Active Directory. 10. Virtualisation On peut déjà tester ce qui sera une nouveauté majeure de Windows Server 2008 en l'occurrence Windows Server Virtualisation. Celui-ci est actuellement disponible en beta 1 et sera disponible en beta 2 au moment de la sortie finale de Windows Server 2008. Les équipes de Microsoft disposent de 180 jours pour garantir une intégration totale entre ce rôle de virtualisation et Windows Server 2008. Pour d'avantages d'informations sur cette innovation, nous vous invitons à consulter l'article qui lui est dédié à cette adresse : http://www.espace-microsoft.com/fr/articles/14621-hyper-v-l-avenir-la-virtualisation-selon-microsoft.html 11. Et le reste ... Nous avons souhaité mettre le focus sur trois « features » intégrés à Windows Server 2008. 11.1 Windows Internal Database Windows Internal Database est l'autre nom de Microsoft SQL Server 2005 édition express. Il s'agit d'une instance de Microsoft SQL Server 2005 exclusivement réservée à des applications Microsoft tels que Windows SharePoint Services 3.0, WSUS 3, Windows Server Update Service, Active Directory Rights Management Services ou bien encore Windows System Ressource Manager. 11.2 Windows Server Backup Disponible depuis Windows NT 3.1, NTBACKUP (outil de sauvegarde) cède la place à Windows Server Backup (WSB). WSB n'est pas intégré de base à Windows Server 2008 et doit être installé via Server Manager ou avec l'outil OCLIST.EXE et OCSETUP (la commande START /W OCSetup WindowsServerBackup permet de faire une installation silencieuse de WSB). WSB permet de sauvegarder et bien sur de restaurer le système d'exploitation (System State), les applications (ex: Exchange Server, SQL Server, Sharepoint...) ainsi que n'importe quelle données NTFS. Il est possible de planifier les sauvegardes pour protéger votre serveur des pertes de données. WSB propose deux modes de fonctionnement, via une interface graphique intégrée à Server Manager ou en ligne de commande via WBADMIN.EXE 11.3 Windows Powershell Tout d'abord connu sous le nom de code Monad, Windows Powershell permet de gérer l'ensemble du système, comme la gestion des services, la configuration de la date, la gestion des fichiers, des certificats etc.. Windows Powershell est un Shell qui supporte la complétion, il est basé sur le Framework .net 2 et qui est peut être interfacé avec le code dotnet. PowerShell est compatible avec toutes les versions de Windows qui supportent la version 2.0 de Framework .NET. Powershell propose un éventail de 130 commandes (appelés cmdlets pour command-applets) qui permettent d'administrer le système notamment les services, les processus, journaux d'événements, le registre... PowerShell possède une aide intégrée très complète. Taper la commande Get-Help Get-ChildItem pour obtenir l'aide. Ajouter les commutateurs - detailed ou- full pour afficher des niveaux de détails supplémentaires dans l'aide. 12. Conclusion 12.1 Notre expérience avec la RC1 Après plusieurs semaines d'utilisation nos retours sur la version RC1 de Windows Server 2008 sont très positifs ! Le produit s'est avéré très stables (hormis pour l'hyperviseur qui souffre encore de quelques défauts de jeunesse). De plus nous avons été réellement conquis tant par les fonctionnalités innovantes du produit (TS Gateway, NAP, pile réseau, les versions Core...) que par les améliorations apportées aux services existants (service d'annuaire amélioré, multicast dans WDS, VPN SSL, IIS 7.0, les services de clustering ...) ! 12.2 Que nous réserve l'avenir ? Microsoft doit mettre à jour tous ses produits serveur pour assurer une pleine compatibilité avec ce nouveau système. Si certains produits sont d'ores et déjà compatibles comme Exchange Server 2007 avec son SP1 ; d'autres comme la prochaine version d'ISA Server nécessitent un travail énorme et devront sans doute être entièrement réécrits ! Le développement des fonctionnalités de virtualisation de Windows Server 2008 représente aussi un important challenge pour Microsoft qui doit assurer sa crédibilité sur un marché très concurrentiel. Wed, 30 Jan 2008 05:45:00 +0200 http://www.espace-microsoft.com/fr/articles/14621-hyper-v-l-avenir-la-virtualisation-selon-microsoft.html http://www.espace-microsoft.com/fr/articles/14621-hyper-v-l-avenir-la-virtualisation-selon-microsoft.html 1 Présentation d'Hyper-V Microsoft fait un pas en avant important dans le monde de la virtualisation avec une intégration poussée de cette technologie dans la dernière génération de son système d'exploitation serveur, Windows server 2008. Ce module de virtualisation sera disponible en version finale 180 jours après la sortie du système d'exploitation. Cet article a pour but de vous fournir un aperçu des fonctionnalités d'Hyper-V, aussi connu sous le nom de Windows Server Virtualisation ou Viridian. Toutes les notions et procédures présentées dans cet article sont basées sur la version de Windows Server 2008 RC1 avec Hyper-V bêta. Un système d'exploitation dédié à la virtualisation appelé Microsoft Hyper-V Server est aussi en préparation. Ce système verra le jour par la suite mais il ne faudra pas confondre Hyper-V (fonctionnalité de Windows 2008) et Hyper-V Server (système dédié et autonome). 1.1 Pourquoi passer à la virtualisation ? La Virtualisation présente de nombreux avantages : Réduction des coûts d'acquisition du matériel. Le besoin en serveurs est moins important et l'utilisation du matériel et des ressources est optimisée. Réduction de la consommation électrique et de la place occupée par les serveurs. Simplification la mise en place de plateformes de test ou de production en réduisant le temps de mise à disposition d'un serveur. La gestion du parc machine est plus facile ce qui allège la charge des administrateurs. Augmentation de la disponibilité des serveurs avec une reprise d'activité plus rapide que pour une machine physique... Réduction du coût total de possession ou TCO (Total Cost of Ownership). 1.2 Les technologies de virtualisation actuelles Avant de rentrer dans les spécificités de l'implémentation réalisée par Microsoft, voici un état des lieux des technologies et des différentes mises en oeuvre que l'on trouve sur le marché. La virtualisation peut être définie comme un ensemble de technologies qui permettent de faire fonctionner simultanément plusieurs systèmes d'exploitation sur une seule machine. Pour cela, on passe par un moniteur de machines virtuelles (aussi appelé hyperviseur ou VMM) qui aura pour charge la virtualisation et la répartition des ressources du matériel physique. Pour atteindre cet objectif, il est nécessaire que l'exécution des instructions du processeur du système émulé ne soient pas directement réalisée par le CPU physique ce qui outrepasserait le moniteur de machines virtuelles et interférerait avec le système hôte. Hors l'architecture x86 possède 17 instructions qui sont justement interprétées directement par le processeur ce qui nécessite la mise en place de moyen détournés pour sa virtualisation. On dénombre trois grandes techniques pour la virtualisation d'un processeur x86 : L'émulation qui a pour objectif de créer un interpréteur de toutes les instructions du processeur. Les instructions de la machine émulée ne sont donc jamais directement exécutées par le processeur physique. Cette solution est très coûteuse en ressource mais permet une indépendance totale entre l'architecture physique et l'architecture émulée (On peut notamment citer l'émulation d'un processeur x86 sur une architecture PowerPC avec Virtual PC pour Mac). La virtualisation telle qu'on la connaît (avec des produits comme Virtual Server ou VMware ESX) analyse les instructions pour identifier celles qui sont sensibles et émule le fonctionnement de celles-ci. Les autres instructions sont exécutées par le processeur ce qui est moins pénalisant que de tout émuler. La para-virtualisation met en place pour sa part une communication entre le moniteur de machine virtuelle (hyperviseur) et le système invité (émulé). Pour éviter les 17 instructions problématiques, les systèmes invités effectuent des appels au moniteur de machine virtuelle (hypercalls) afin de le prévenir. C'est le principe le plus performant mais il nécessite un système émulé modifié pour fonctionner. Suite au déploiement rapide de la virtualisation dans les entreprises, les fabricants de processeur Intel et AMD ont intégrés de nouvelles instructions permettant entre autres de faciliter cette virtualisation. Elles permettent notamment de ne plus utiliser les 17 instructions sensibles dans les systèmes émulés et rendent donc les techniques précédentes inutiles dans la plupart des cas. Tout ceci serait plutôt 'simple' si la virtualisation ne concernait que le processeur. Hors tous les composants d'une machine doivent être virtualisés : la mémoire, les contrôleurs de disques et les contrôleurs réseaux. Concernant la mémoire, il faut intercepter les accès des environnements émulés afin de les rediriger vers des zones mémoires dédiées. Pour les contrôleurs de disques et réseau, il faut virtualiser les cartes contrôleurs afin d'en tirer le meilleur rendement. La plupart des produits actuels ne font qu'émuler ces périphériques, et perdent ainsi beaucoup en performance. 1.3 Présentation du rôle Hyper-V Hyper-V se caractérise par les fonctionnalités suivantes: Virtualisation des serveurs physiques 32 et 64 bits. Permet d'héberger des machines virtuelles multiprocesseurs et 64 bits ce que Virtual Server ne permet pas. Support de la mise en cluster des machines virtuelles (jusqu'à 16 noeuds). Permet d'assurer la haute disponibilité des machines virtualisées. Les fonctions de géo-cluster permettant de mettre en oeuvre des PRA (plans de reprise d'activité) de grande envergure. Nouvelle architecture de prise en charge matérielle. Exploite au mieux les instructions dédiées à la virtualisation des processeurs actuels. Facilite l'accès aux périphériques de base (disques, mise en réseau, vidéo, etc.) ainsi que leur utilisation avec l'architecture VSP/VSC (fournisseur et client de services virtuels). Plus connu sous le nom de « hyperviseur » ou encore « viridian », Hyper-V s'intègre complètement dans Windows Server 2008. Il permet l'émulation de nombreuses machines virtuelles sur une seule machine physique sans qu'il soit nécessaire d'installer un logiciel tiers. Chaque machine virtuelle tourne dans son propre environnement, ce qui permet une grande flexibilité pour faire tourner plusieurs systèmes d'exploitation et applications. Actuellement, une multitude de couches se superposent entre le système d'exploitation principal, les pilotes de périphériques, le logiciel de virtualisation et les machines virtuelles. Ce mode de fonctionnement alourdit l'exécution des machines virtuelles qui se retrouvent éloignées du matériel. L'architecture d'Hyper-V a pour objectif de donner aux machines virtuelles l'accès le plus direct au matériel de la machine physique en réduisant le nombre de couches. Pour cela, le système d'exploitation principal devient une machine virtuelle (appelé parent) fonctionnant au même niveau que les autres. Dans cette architecture, les pilotes s'exécutent dans chaque des machines virtuelles pour un accès rapide aux périphériques. 1.4 Pré-requis et licences Hyper-V requiert la configuration matérielle minimum suivante pour être installé : Un processeur 64 bits. En effet, l'hyperviseur ne fonctionne qu'avec des plateformes 64 bits comme Windows Server 2008 x64 Standard, Windows Server 2008 x64 Enterprise et Windows Server 2008 x64 Datacenter. Une Virtualisation assistée par matériel AMD-V (AMD Virtualization, connu sous le nom de code ' Pacifica') ou Intel VT (Virtualization Technologie). Une protection matérielle de l'exécution des données (Cette fonctionnalité empêche le processeur d'exécuter des instructions en mémoire qui n'ont pas été chargés en tant que programme mais en tant que données). Concernant les coûts, le prix est très attractif car la licence sera de 28$. Cette licence intégrera non seulement les droits d'utilisation du rôle Hyper-V mais aussi des licences pour les instances virtuelles qu'il exécutera. Le nombre d'instance fourni avec la licence varie en fonction des éditions de Windows Server 2008. En l'occurrence : Une instance virtuelle pour Windows Server 2008 Standard. Quatre instances virtuelles pour Windows Server 2008 Enterprise. Un nombre illimité d'instance pour Windows Server 2008 Datacenter. 1.5 Installation du rôle Hyper-V L'installation d'Hyper-V peut se faire soit sur une version complète de Windows server 2008, soit sur une version Windows Server 2008 Core Edition Attention : Pour installer Hyper-V dans la version RC1 de Windows Server 2008, il faut que tous les paramètres lors de l'installation soient en anglais. Une fois l'installation d'Hyper-V terminée, vous pouvez repasser en Français et en clavier AZERTY. 1.5.1 Installation d'Hyper-V sur une édition Windows Server Core L'installation d'Hyper-V sur une version Windows Server 2008 Core Edition se fait en ligne de commande en utilisant la commande ocsetup.exe. Pour lancer l'installation d'Hyper-V, taper les commandes suivantes : bcdedit /set hypervisorlaunchtype auto Start /w ocsetup Microsoft-Hyper-V Redémarrer le serveur une fois les commandes exécutées. La première commande permet de charger l'hyperviseur pendant le redémarrage. (Si vous n'exécutez pas cette commande, vous devrez redémarrer deux fois le serveur). L'hyperviseur est à présent installé sur votre serveur Core. 1.5.2 Gestion d'Hyper-V sur une édition Windows Server Core L'administration de l'hyperviseur se fait depuis une édition complète de Windows Server 2008. En effet, l'interface graphique et beaucoup de composants ne sont pas présents, ce qui a pour effet de réduire les risques de faille de sécurité. De plus, cette configuration permet d'économiser les ressources du serveur sur lequel elle est exécutée (mémoire, processeur etc.). Pour se connecter à un serveur core distant, utilisez soit la console Hyper-V Manager, soit sélectionnez le composant logiciel enfichable Microsoft Hyper-V Servers dans une console MMC et choisissez « Se connecter à ». 1.5.3 Virtual Machine Connection L'outil Virtual Machine Connection permet de prendre le contrôle des machines virtuelles distantes ou locales. Grâce à cet outil, vous pouvez vous connecter sur le serveur virtuel distant et utiliser votre clavier et votre souris physique. Vous contrôlez ainsi la machine virtuelle de la même façon qu'avec l'outil VMRC sous Virtual server. Cet outil utilise le protocole RDP pour transférer le déport de l'écran, du clavier et de la souris des machines virtuelles. 1.5.4 Installation d'Hyper-V sur une édition Windows 2008 server complète L'installation du rôle Windows Server Virtualisation s'effectue depuis la console Server Manager à partir de laquelle on installe le rôle Hyper-V sur le serveur. La console Server Manager permet une administration simplifiée en utilisant une console centralisée pour ajouter et gérer différents rôles, cette console permet aussi de définir l'état du serveur, visualiser les évènements critiques et analyser les erreurs de configurations. Une fois installé, le rôle Hyper-V s'ajoute dans la console Server Manager. Déroulez l'arborescence de Rôles. Aller dans Hyper-V depuis la console Server Manager. Pour supprimer le rôle : Allez dans la console Server Manager. Dans la zone roles Summary, cliquez sur remove roles. 2 Administration d'un ou plusieurs serveurs Hyper-V 2.1 Introduction aux outils d'administration Plusieurs moyens sont offerts à l'administrateur pour administrer les machines virtuelles ainsi que le rôle Hyper-V. Tout d'abord, la console de gestion qui se présente sous la forme d'un composant logiciel enfichable MMC 3.0. Fini donc les consoles sous la forme de page Web. L'interface est simple et intuitive et permet de contrôler au mieux les machines virtuelles. Le rôle Hyper-V est un service qui peut-être arrêté ou redémarré. Des commandes Powershell ainsi que des API WMI ont été ajoutées pour l'administration et le pilotage d'Hyper-V. Il est donc possible de scripter et de surveiller le rôle avec des scripts PowerShell et VBS. L'outil de centralisation de la gestion des environnements virtuels de Microsoft SCVMM (System Center Virtual Machine Manager) intégrera aussi dans sa future version la gestion non seulement de l'Hyper-V mais aussi celle de son principal concurrent VMware ESX. 2.2 Sauvegarde... Une nouvelle fonctionnalité est apparue avec Hyper-V. Il s'agit de l'utilisation des snapshots sur les machines virtuelles. Les snapshots permettent de sauvegarder l'état d'une machine virtuelle lorsqu'elle est en fonctionnement. Ils archivent les modifications sur le disque virtualisé et enregistrent le contenu de la mémoire vive. Cette mécanique permettant de restaurer le disque à un état antérieur (état au moment de la sauvegarde). Les snapshots utilisent le service VSS (Volume Shadow Service) de Windows Server 2008. Pour activer les snapshots, il suffit de sélectionner la machine virtuelle, et d'effectuer un clic droit sur Snapshot : Une fois sélectionné, une sauvegarde de l'état de la machine s'effectue : La console Server manager offre une vue détaillée des snapshots effectifs sur une machine virtuelle. On peut effectuer de nombreux snapshots pour une machine virtuelle et revenir sur l'état antérieur d'une machine en appliquant le snapshot souhaité. Même si la machine virtuelle est démarrée, il suffit de cliquer sur revert pour revenir à l'état d'un snapshot antérieur. Concernant l'administration, il sera possible de créer, d'appliquer, de renommer et de supprimer. Les snapshots permettent d'effectuer de nombreux tests sur des machines virtuelles et facilitent le diagnostic en environnement de test. 2.3 Suivi des performances L'intégration du rôle Hyper-V installe de nombreux compteurs dans l'analyseur de performance de Windows Server 2008. Sans détailler l'ensemble des 27 compteurs de performance ajoutés, on remarquera qu'il est possible d'analyser aussi bien l'hyperviseur, que les éléments d'infrastructure (Switch...), que les machines virtuelles ou les services de gestions du rôle Hyper-V. Une analyse détaillée sera donc réalisable sur l'ensemble des composants du système de virtualisation. 3 Gestion des machines virtuelle. 3.1 Création d'une machine virtuelle. Un assistant nommé New Virtual Machine Wizard permet de créer de très simplement une nouvelle machine virtuelle. Cet assistant est disponible dans la console Hyper-V Manager, dans le menu Action en cliquant sur New. Vous devez ensuite spécifier les informations suivantes pour la machine virtuelle : Le nom et l'emplacement de la machine virtuelle : Choisir un nom vous permettant d'identifier rapidement la machine et précisez l'emplacement de stockage de l'image si vous ne souhaitez pas la stocker dans le répertoire par défaut. La quantité de mémoire allouée : La quantité de mémoire vive doit être suffisante pour faire tourner votre configuration avec pour limite 64 Go par machine virtuelle. La configuration du réseau : Dans l'assistant, vous allez configurer le réseau qu'utilisera la carte réseau virtuelle. La configuration des réseaux utilisables sera détaillée un peu plus loin dans l'article. Pour ajouter d'autres cartes, il suffira une fois la machine créée de modifier sa configuration et ainsi ajouter un maximum de 8 cartes réseaux virtuelles (optimisées) ainsi que 4 cartes réseaux émulées (compatible PXE). La configuration des disques durs : Pendant la création, il sera possible de créer un disque sans avoir à passer par l'assistant (nous n'aurons donc pas accès à toutes les options que nous aborderons plus loin) ou de sélectionner un disque existant ou encore de configurer ce paramètre plus tard. En modifiant la configuration de la machine, il est possible d'ajouter jusqu'à 4 contrôleurs SCSI par machine virtuelle avec 255 disques par contrôleur. Les paramètres d'installation du système d'exploitation : Si vous souhaitez installer le système d'exploitation juste après avoir créé la machine virtuelle, il suffit de spécifier la méthode d'installation (CD/DVD, disquette virtuelle, réseau) et indiquer le média si nécessaire. Une fois ces informations saisies, vous pouvez commencer à utiliser votre machine virtuelle ou personnaliser de manière plus détaillée sa configuration. 3.2 Création d'un disque virtuel Un disque dur virtuel est représenté par un fichier dont le contenu est utilisé comme un disque physique au sein d'une machine virtuelle. Lors de la création du disque virtuel à l'aide de l'assistant New Virtual Hard Disk Wizard, on peut choisir entre 3 modes de fonctionnement : Disques à extension dynamique Un disque virtuel dynamique a pour but d'optimiser l'espace disque réel utilisé par le fichier (.vhd) représentant le disque dur virtuel. Le fichier fera environ 3 Mo à sa création même si le disque qu'il représente fait plusieurs Go. Il grossira au fur et à mesure de l'ajout de fichiers. A noter que la suppression des données sur ce type de disque ne permet pas pour autant d'en réduire la taille. Il faudra compacter le disque en utilisant l'assistant Edit Virtual Hard Disk. L'objectif du disque de différence est de permettre à une image virtuelle d'avoir comme base une autre image afin que seules les modifications soient enregistrées. Il s'agit d'un cliché différentiel. Cette fonction permet de personnaliser des configurations virtuelles existantes sans modifier les fichiers originaux du disque de la configuration. Il existe une différence entre les disques d'annulation et les disques de différence : un disque de différence s'applique à un disque dur virtuel uniquement alors que les disques d'annulation s'appliquent à tous les disques durs virtuels associés à une machine virtuelle. Une fois le type de disque sélectionné, il faut alors choisir entre : Disques de taille fixe Un disque virtuel de taille fixe signifie que le fichier occupe sur la partition le même espace que le disque qu'il représente. Si le disque virtuel fait 30Go, le fichier (.vhd) fera 30Go. L'avantage de cette configuration est qu'il y aura moins de soucis de fragmentation et que le changement de taille à la volée du fichier ne nécessitera pas de ressource. Il est malgré tout possible d'augmenter la taille du disque virtuel en utilisant l'assistant Edit Virtual Hard Disk qui permettra aussi de passer d'un disque fixe à un disque dynamique et inversement. Disques d'annulation ou disque de différence. La création d'un nouveau disque virtuel (Spécifier la taille du disque virtuel). La copie des données d'un disque physique existant : (crée un VHD qui contient les données du disque physique) 3.3 Création d'un réseau virtuel A l'aide de l'assistant Virtual Network Manager, disponible dans la console Hyper-V Manager, il est possible de créer des réseaux virtuels permettant de créer une topologie personnalisée. Pour cela on distingue trois configurations : Le réseau interne : permet aux machines virtuelles de communiquer entre-elles via un bouclage local. Cela permet de mettre en place un environnement sécurisé puisque les cartes réseau du serveur physique ne sont jamais utilisées (toutes les entrées/sorties du réseau interne sont stockées dans la mémoire vive). Les réseaux externes permettent à une ou à plusieurs machines virtuelles d'utiliser l'une des cartes réseau physiques de la machine hôte pour joindre le réseau de l'entreprise. Chaque réseau externe correspond à une carte réseau sur la machine physique Les réseaux virtuels personnalisés. Ces réseaux peuvent être isolés des cartes réseau physiques ou bien utiliser l'une d'elles pour se connecter au réseau de l'entreprise Vous pouvez ajouter, modifier et supprimer des réseaux virtuels pour fournir de nombreux moyens de communications. Chacune de vos cartes réseaux peut être connectée à différents réseaux virtuels. 3.4 Optimisation de la machine virtuelle Hyper-V a une orientation clairement tournée vers le marché de la virtualisation des systèmes serveur et seuls les systèmes invités (émulés) suivants bénéficient pour le moment d'une optimisation poussée : Windows Server 2008 (4 processeur virtuel maximum) Version 32 ou 64 bits. Windows 2003 server (1 processeur virtuel maximum) Version 32 ou 64 bits. Pour bénéficier du gain de performances apportées par l'hyperviseur, un ensemble de pilotes et de composants spécifiques doivent être installés dans les machines virtuelles. Dans le cas d'une migration des machines virtuelles à partir de Virtual Server ou de Virtual PC, il faudra les désinstaller avant la migration). L'intégration de composants pour les autres OS devrait voir le jour dans les futures versions d'Hyper-V. (Avant la RTPM). Concernant la prise en charge du système d'exploitation Linux, elle est assurée par une association avec XenSource dont les images sont prises en charge nativement par Hyper-V. 4 Hyper-V et la haute disponibilité Les services de mise en cluster de Windows Server 2008 prennent en charge la haute disponibilité des machines virtualisées. L'intégration forte dont bénéficie la virtualisation avec le système d'exploitation apporte des avantages importants par rapport à ce qui était réalisable avec Virtual Server 2005 R2. En effet, sous Virtual Server, c'était l'application Virtual Server elle-même qui était mise en cluster par l'intermédiaire de scripts. Il était donc difficile de granulariser la configuration de mise en cluster au niveau de la machine virtuelle et donc tout aussi difficile de répartir la charge des machines virtuelles sur plusieurs noeuds du cluster. Avec Windows Server 2008, se sont les machines virtuelles qui deviennent les ressources du système de clustering. Il est donc possible de créer une configuration de mise en cluster spécifique à chaque machine virtuelle et ainsi définir sur quel noeud chaque machine va s'exécuter. Associé aux de géo-cluster, le système permettra de déployer des plans de reprise d'activité. Ceci assurera une haute disponibilité aussi bien dans le cas d'interruptions planifiées (pour maintenance) que dans le cas de catastrophes. Voici les étapes permettant de mettre en place la haute disponibilité d'une machine virtuelle : Installez à l'aide de la console Server Manager le rôle « Hyper-V » ainsi que la fonctionnalité « Failover Clustering » sur chaque serveur physique qui sera membre du cluster. Créez le cluster à l'aide de l'assistant de création de cluster. Créez une nouvelle machine virtuelle à l'aide de l'assistant de création de machine virtuelle en vous assurant de stocker l'image dans un emplacement accessible à l'ensemble des serveurs du cluster. Dans l'outil d'administration du cluster, lancez l'Assistant Haute disponibilité afin de configurer la mise en cluster de la machine virtuelle de votre choix. Hyper-V devait initialement support les fonctions de migration rapide entre serveur Windows 2008 à partir du moment ou le VHD était stocké sur un SAN. 5 Conclusion Lors de nos tests sur la bêta 1, nous avons été enthousiasmés par ses nombreuses fonctionnalités : Support des machines virtuelles 64 bits, Gestion du SMP (symetric multiple processor) (jusqu'à 4 processeurs par machine virtuelle) et d'excellente performance dans les VM 2003 et 2008.... Cette bêta 1 souffre tout de même de quelques défauts de jeunesse : les composants pour machines virtuelles sont uniquement disponibles pour Windows Server 2003 et 2008 (pas de support optimisé de Windows Vista ou Windows XP pour l'instant) ce qui ne pose pas de problème pour de la mise en production mais reste plus contraignant dans les environnements de test. A l'heure où vous lirez ces lignes, une version améliorée (bêta 2) devrait être disponible. Que pouvons-nous attendre pour l'avenir ? Conquérir le marché de la virtualisation semble l'un des objectifs de Microsoft.. La stratégie du géant de Redmond est triple : Fournir une solution de virtualisation performante et fiable dont Hyper-V sera la pierre angulaire Assurer l'interopérabilité de ses produits avec les solutions concurrentes (intégration entre Xen et Hyper-V, administration des machines virtuelles Microsoft, Xen et VMWare au sein de SC VMM...) Conserver une grille tarifaire très compétitive (Hyper-V vendu en option à 28 $, les licences Windows Server 2008 Entreprise qui offrent la possibilité de mettre en production jusqu'à 4 machines virtuelles sans aucun surcoût de licence) Ce produit est donc lié à un bel avenir sur lequel Microsoft portera toute son attention. Sun, 03 Feb 2008 09:45:00 +0200 http://www.espace-microsoft.com/fr/articles/14718-presentation-iis-7-sous-windows-server-2008.html http://www.espace-microsoft.com/fr/articles/14718-presentation-iis-7-sous-windows-server-2008.html 1 Présentation de IIS 7 IIS7 (Internet Information Services) est la dernière version du serveur Web de Microsoft associé à la plateforme 2008. Cette nouvelle version est disponible dans une version allégée avec Windows Vista et en version complète avec Windows Server 2008. Une édition spéciale de Windows Server 2008 lui est d'ailleurs dédiée avec Windows Web Server 2008. Serveur Core L'installation de IIS 7 se fait par l'intermédiaire d'un rôle et il sera possible de l'installer aussi bien sur les plateformes complètes que sur les éditions core (éditions dépouillés et sans interface graphique du système) en se basant sur la commande suivante : Pkgmgr.exe /iu:IIS-WebServerRole Attention, la version core de Windows Server 2008 ne supportant pas le framework .NET, il ne sera pas possible d'héberger des applications ASP.NET dessus. Il faudra se contenter de l'hébergement des applications ASP, PHP, ... accompagné de mysql, sql serveur, ... L'architecture Ce nouveau serveur se base sur une nouvelle architecture qui change de manière importante de ce que l'on connaissait sous IIS6. IIS7 s'adaptera mieux aux différents scénarios d'implémentation, sera plus facile à administrer et plus performants. 2 Nouvelle architecture 2.1 Modulaire et extensible La dernière version du serveur Web IIS bénéficie d'une nouvelle architecture repensée qui facilite l'implémentation modulaire des fonctionnalités et ainsi l'extension des possibilités du serveur. Sous IIS6, l'implémentation était monolithique (formé d'un seul bloc de code) ce qui obligeai à tout installer si l'on voulait utiliser le serveur Web. L'extension passait alors uniquement par des filtres ISAPI (ASP.NET, ...). Sous IIS7, l'ensemble des fonctionnalités a été découpé en module qui s'intègre dans une procédure de traitement (pipeline). On va alors pouvoir charger ces modules selon les besoins. Les avantages directs de cette nouvelle architecture sont les suivants : Allègement du serveur qui bénéficie ainsi de meilleures performances. Une personnalisation plus poussée selon les besoins. Une plus grande facilitée à sécuriser le serveur par la réduction de la surface d'attaque. Une maintenance plus facile car seules les mises à jours des modules activés seront téléchargés et installés. L'installation du rôle serveur Web se fait par défaut avec un minimum de composant, mais voici les grandes familles de composants que l'on va pouvoir ajouter : Sécurité : Contient les différents modules d'authentification de IIS pour la prise en charge clients, les méthodes de filtrage de requête et la prise en charge du cryptage IP. Développement applicatif : Contient les modules de prise en charge pour le déploiement d'application (ex : ASP, ASP.NET, CGI, ISAPI, ...) Diagnostic : Modules de surveillances et de rapports sur l'activité du serveur Web. Serveur FTP : Modules de prise en charge du protocole FTP. Performance : Modules d'optimisation des performances par la compression des données envoyés aux clients. Administration : Modules d'administration avec la prise en charges de différentes méthodes (ex : WMI, Metabase, Scripts, ... ) 2.2 Intégration plus poussé de l'ASP.NET Jusqu'à présent intégré sous la forme d'un filtre ISAPI, le traitement de l'ensemble des fonctionnalités .NET était traité au niveau du filtre sans cohérence par rapport à la tâche qu'elle exécute. Par exemple, l'authentification en formulaire des applications .NET était gérée dans le filtre ISAPI donc de manière totalement dissocié de l'authentification de IIS6. Sous IIS7, deux modes d'intégration d'ASP.NET seront disponibles : Mode classique Identique au mode de fonctionnement sous IIS6, ce mode assurera la compatibilité avec les produits existant (Commerce Server, ...) et fonctionnera sur le principe du filtre ISAPI encapsulant tout. Mode intégré Dans le mode intégré, les modules .NET seront directement intégré dans le pipeline de traitement de IIS7 et ceci de manière cohérente. Les modules .NET auront ainsi une visibilité complète sur l'ensemble des requêtes reçu par le serveur Web pour le site ou ils sont activés (même sur l'accès aux fichiers static). 3 Facilité d'administration 3.1 Stockage de la configuration Web à l'aide de fichiers XML Sous IIS6, la configuration du serveur Web se trouvait dans une metabase au format XML. Avec IIS7, un nouveau système de configuration est disponible par l'intermédiaire de plusieurs fichiers XML. L'objectif de cette nouvelle interface de configuration étant de faciliter la mise en place mais aussi la maintenance de fermes de serveur Web frontaux se connectant à des serveurs dorsaux contenant les données en améliorant les possibilités de réplications entre les serveurs. applicationHost.config Le fichier applicationHost.config contient la configuration globale du serveur Web. Il contient la liste de tous les sites, les pools d'application, les paramètres par défaut, ... Vous pouvez trouver ce fichier dans le répertoire : C:\Windows\system32\inetsrv\config Redirection.config Le fichier redirection.config indiquera les affinités entre les serveurs physiques et les applications. web.config Un fichier web.config de premier niveau contiendra la configuration globale ASP.NET, puis si nécessaire des fichiers web.config pour chacun des sites contiendront une configuration spécifique aussi bien de la partie ASP.NET que de la partie serveur Web IIS par site. Web.config pourra se trouver localement sur le serveur web ou sur un serveur distant centralisant la configuration par l'intermédiaire d'un chemin UNC. Un changement de la configuration mettant à jour l'ensemble des serveurs. Ainsi tout comme ASP.net qui vous propose le fichier de configuration machine.config et les web.config pour chaque application, vous trouvez le même système de configuration utilisable avec IIS7. Compatibilité avec la metabase IIS6 Pour les applications utilisant les interfaces d'accès à la metabase IIS6 (Exchange 2007, ...), un module est disponible rendant compatible ces applications avec IIS7. Ce module ne pourra modifier que le fichier applicationHost.config du serveur. 3.2 Nouvel outil d'administration Présentant une interface plus claire, le nouvel outil d'administration d'IIS 7 présente l'avantage de centraliser l'administration de l'ensemble des modules du serveur Web lui-même et la configuration d'ASP.NET. Contrairement à la stratégie générale d'administration de Microsoft, l'outil d'administration de IIS7 n'est pas un composant enfichable mmc mais une console (inetmgr.exe) à part entière. N'utilisant plus le standard MMC, l'administration à distance passe maintenant par un service de management sur lequel va se connecter la console. Grace à ce composant, l'administration distante peut se faire à travers le protocole http (ou https) ce qui le rend accessible à travers la plupart des pare-feu. 3.3 Automatisation de l'administration à l'aide de WMI, PowerShell ou du framework .Net La nouvelle version du serveur Web de Microsoft introduit de nouvelles méthodes d'administration plus simple afin de faciliter l'automatisation de la configuration du serveur. Fournisseur WMI Un nouveau fournisseur WMI fait aussi son apparition (winmgmts:root/WebAdministration) proposant une solution unifiée pour la configuration de IIS et d'ASP.NET. Cette solution simplifie la création de script VBScript/Jscript. API .NET Une nouvelle API.Net (microsoft.web.administration) fait son apparition pour permettre aux développeurs d'utiliser du code managé pour manipuler les fichiers de configuration XML du nouveau serveur Web directement à partir d'application .Net. PowerShell Par l'intermédiaire des fournisseurs WMI et des API.NET, il est possible d'utiliser l'outil d'administration PowerShell pour piloter IIS7 et créer des scripts d'administration puissants et performants. L'outil appcmd.exe Et pour finir, l'outil en ligne de commande AppCMD.exe permettant de réaliser la plupart des tâches d'administration grâce à une syntaxe simple. Il permettra aussi l'écriture de script batch classique pour l'automatisation de taches simple 4 Optimisation des coûts de maintenance 4.1 Délégation d'administration L'administrateur pourra décider quels sont les fonctionnalités que les utilisateurs qui ne sont pas administrateur pourront contrôler. Les propriétaires des sites pourront déléguer les paramètres de délégation de IIS et d'ASP.NET sans avoir recourt à une élévation des privilèges en personnalisant le fichier web.config. L'utilisation de la configuration de la délégation via le fichier web.config facilitera le déploiement de la configuration. 4.2 Diagnostic rapide des problèmes de site et d'application. Un nouveau tracer pour traquer les erreurs a été ajouté basé sur le FREB (Failed Request Event Buffer). Le FREB enregistre l'ensemble des actions du serveur et copie ces informations dans le fichier de log lorsqu'une erreur est remontée. Cette fonctionnalité offre des possibilités beaucoup plus approfondies pour la recherche des origines d'une erreur. Avec une interface de présentation de l'erreur refondue et plus claire, IIS offre plusieurs niveaux d'analyse permettant de visualiser de façon détaillé les étapes du processus de traitement. Des conseils pour déboguer sont même proposés. L'administrateur ou le développeur peut alors voir les modules par lesquels la requête est passée ainsi que le module qui a généré l'erreur. 5 FastCGI pour la prise en charge efficace de PHP, PERL, ... Développé en partenariat avec Zend, FastCGI permet d'optimiser le fonctionnement des CGI avec des gains en performance pouvant atteindre le x25 par rapport aux CGI standard. Ainsi les interpréteurs des langages dynamiques comme PHP, Ruby, PERL sont plus fiable et plus performant. A la suite d'une simple installation du runtime correspondant au langage désiré, la prise en charge sera totale aussi bien en 32 bits qu'en 64 bits. 6 Conclusion Microsoft propose donc avec IIS une révision majeure de son serveur Web ou l'on appréciera particulièrement le système de module, le déploiement et la maintenance de ferme de serveur facilité et les efforts concluants pour mieux intégrer les autres langages dynamiques comme PHP. Tue, 17 Jun 2008 13:23:11 +0200 http://www.espace-microsoft.com/fr/articles/14719-nouveautes-terminal-server-sous-windows-server-2008.html http://www.espace-microsoft.com/fr/articles/14719-nouveautes-terminal-server-sous-windows-server-2008.html 1 Présentation Les avancées technologiques et fonctionnelles apportées avec Windows Server 2008 sont nombreuses dans de multiples domaines. La nouvelle édition de Terminal Server en bénéficie va plus loin encore en apportant une nouvelle dimension au produit par l'intermédiaire de nouveaux scénarios d'implémentation vraiment prometteur. Pour rappel, Terminal Server est un composant de la famille Windows Server permettant d'accéder à des applications et des données sur un serveur distant à travers un réseau. Pour cela un client léger compatible avec le protocole RDP (Remote Desktop Protocol) est utilisé, se client pouvant tourner sur toutes les plateformes et le traitement des données étant assuré par le serveur. Avec cette édition 2008, Microsoft a donc non seulement optimiser l'existant par l'intermédiaire d'une nouvelle version 6.1 du protocole RDP mais en a profité pour exploiter sa technologie pour permettre une intégration plus transparente de son utilisation avec les environnements des utilisateurs. On voit ainsi apparaitre avec cette nouvelle version un nouveau client de connexion en version 6.1 prenant en charges les nouveautés de la plateforme mais aussi de nouveaux outils correspondant aux nouveaux scénarios d'implémentation possible : TS RemoteApp : Les applications distantes exécutent les programmes hébergés par les services Terminal Server sur les postes de travail des utilisateurs comme s'il s'agissait d'applications locales et non pas via un bureau virtuel. TS Web Access : Cette interface dynamique facilite l'accès aux applications distantes par l'intermédiaire d'un page web rassemblant les raccourcis de lancement. TS Gateway : Les passerelles Terminal Server rendent accessibles des serveurs Terminal Server (ou des serveurs sur lesquels le bureau à distance est activé) via un tunnel HTTPS. Cela évite l'utilisation de tunnels VPN. TS Session Broker : Le rôle Session Brocker est l'équivalent du service Session Directory de Windows Server 2003 et permet de localiser les sessions RDP en cours sur des fermes de serveurs TS et de reconnecter les utilisateurs sur le serveur hébergeant sa session. TS EasyPrint : Cette passerelle universelle d'impression évite l'installation des pilotes des imprimantes locales des clients sur le serveur. 2 RDP 6.1 et son nouveau client La nouvelle plateforme Terminal Server 2008 s'appuie fortement sur la version 6.1 du protocole RDP qui nécessite le client Bureau à distance en version 6.1. Cette mise à jour est disponible avec les systèmes Server 2008, Vista SP1 et XP SP3. Pour les autres il faudra se contenter du client 6.0 qui supporte tout de même la majeure partie des nouvelles fonctionnalités. Concernant le détail de ces nouveautés, voila ce que l'on va pouvoir trouver : 2.1 Signature numérique des fichiers RDP Afin d'éviter la prolifération de fichier de connexion .rdp pointant vers des serveurs TS malicieux et facilitant ainsi la récupération d'information sensible, les fichiers RDP peuvent être signés numériquement pour garantir l'intégrité et la validité des informations qu'ils contiennent. Une nouvelle interface utilisateur permet d'accorder ou pas la confiance au fournisseur du fichier RDP. La décision de confiance de l'utilisateur quand à elle est contrôlable par stratégie de groupe. On pourra ainsi lister les éditeurs de confiances et interdire les fichiers non-signés. 2.2 Nouvelles résolutions disponibles Depuis la version 6.0 de RDP, le support des formats 16/9 et 16/10 ont été ajoutés pour prendre en charge les moniteurs avec une résolution comme le 1680 x 1050 ou le 1920 x 1200. La résolution maximale d'une session Terminal Server étant maintenant de 4096 x 2048. 2.3 Extension de la session TS sur plusieurs écran Par l'intermédiaire du commutateur mstsc /span, le bureau de la session terminal server peut s'étendre sur plusieurs moniteurs sur le client. Attention, il s'agira d'un bureau unique ayant une résolution large couvrant plusieurs moniteurs et non pas d'une émulation de plusieurs moniteurs. Les moniteurs doivent en outre être côte à côte alignés. 2.4 Support du lissage de police L'objectif de ClearType qui est apparu avec Windows XP est de lisser les polices afin d'en améliorer le rendu sur des moniteurs qui imposent aux pixels une position fixe comme les écrans plats. Cette technique de rendue est maintenant disponible à travers les sessions Terminal Server ce qui rend l'expérience utilisateur plus agréable. L'utilisation de cette fonctionnalité a pour contre partie l'augmentation de la bande passante utilisée. Pour utiliser le lissage de police il suffit de vérifier son activation sur Windows Server 2008 puis de l'activer dans la configuration de la connexion sur le client Bureau à distance. 2.5 Définition des priorités concernant le trafic lié à l'affichage Par l'intermédiaire de la base de registre, il est maintenant possible de définir la répartition de la bande passante RDP entre les canaux de communications d'affichage (Rendu de l'affichage et saisie clavier ou souris) et les autres canaux (transfert de fichiers, presse-papiers, travaux d'impression...). Cela permet de ne plus gêner le rendu graphique de la session lorsque l'on lance un transfert ou une impression entre la session distante et le client local. Ainsi en modifiant les valeurs suivantes de la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD, il sera possible d'activer le contrôle de flux et les pourcentages de bande passante : FlowControlDisable : Active ou désactive le contrôle. Actif par défaut. FlowControlDisplayBandwidth : Bande passante concernant l'affichage. Valeur maximale 255 et par défaut 70. FlowControlChannelBandwidth : Bande passante concernant le reste des échanges. Valeur maximale 255 et par défaut 30. FlowControlChargePostCompression : Détermine si la bande passante est répartie avant compression ou apres. Calcul avant compression par défaut. 2.6 Authentification unique (SSO) L'authentification unique va permettre à l'utilisateur de s'authentifier une seule fois sur le domaine lors de son ouverture de session et d'utiliser ces informations d'authentification pour se connecter à sa session terminale server sans devoir retaper son nom d'utilisateur et son mot de passe. Cette fonctionnalité n'est disponible qu'à partir des systèmes Windows XP SP3, Windows Vista et Windows Server 2008. Mise en place Utilisant le protocole Kerberos, l'ordinateur client et Terminal Server devront être membre du même domaine. Afin de se protéger des attaques de type « man in the middle », il sera nécessaire de spécifier au niveau d'une stratégie de groupe la liste des domaines ou serveurs vers lesquels les informations d'identités des utilisateurs seront transmises. 3 La passerelle Terminal Server 3.1 Principe de fonctionnement Les passerelles Terminal Server permettent de rendre accessible de multiples serveurs Terminal Server (ou des serveurs sur lesquels le bureau à distance est activé) via un tunnel TLS. Cette fonctionnalité permet d'éviter le recours à des tunnels VPN lourds à gérer et problématiques en termes de sécurité. Les passerelles Terminal Server peuvent interagir avec les serveurs NAP de manière à vérifier la conformité des postes clients (ainsi les ordinateurs non conformes seront mis en quarantaine et n'auront qu'un accès limité voire nul aux serveurs Terminal Server de l'entreprise). Le principe de fonctionnement d'une passerelle TS utilise un tunnel TLS (port 443) entre l'ordinateur client et la passerelle TS située en DMZ, puis la passerelle TS se connecte au serveur demandé via le protocole RDP. Ce principe est le même que celui utilisé par Outlook et Exchange 2003 (RPC over HTTPS). Il n'est alors pas nécessaire d'ouvrir d'autre port que le TCP 443 à destination de la passerelle TS sur le pare-feu. Ce rôle donne aussi bien accès aux serveurs Terminal Server, qu'aux applications distantes mais aussi aux bureaux à distance de Windows XP, Vista, Server 2003, Server 2008 afin de les administrer. Afin d'assurer une meilleure montée en charge et une meilleure disponibilité, les passerelles Terminal Server peuvent être organisées en fermes de serveurs si besoin. 3.2 Mise en place La mise en place d'un serveur de passerelle Terminal Server passe par la création de deux stratégies d'accès : La stratégie CAS (Connection Authorization Policy) Cette stratégie donne les conditions de connexion à la passerelle. Elle permet de spécifier quels sont les utilisateurs ou les groupes d'utilisateurs qui peuvent se connecter à la passerelle TS. A cela on peu ajouter d'autres conditions pour accéder à la passerelle TS comme le mode d'authentification supporté (Mot de passe et carte à puce), l'appartenance à un groupe d'ordinateur ou le type de ressources locales qui peuvent être redirigées (lecteurs, imprimantes, copier-coller, usb, ...). Il est aussi possible d'intégrer les passerelles TS à une infrastructure NAP pour analyser l'état de santé des machines qui se connectent. La stratégie RAP (Resource Authorization Policy) Une fois la stratégie CAS établie, il faut définir les autorisations d'accès vers les serveurs TS auxquels les utilisateurs vont pouvoir se connecter. Pour cela ont défini trois conditions qui sont les groupes d'utilisateurs qui peuvent se connecter, les groupes de serveurs TS auxquels ils pourront se connecter et les ports TCP autorisés (3389 par défaut). 4 Applications distantes et TS Web 4.1 Présentation des applications distantes Jusqu'à présent, l'utilisation du protocole RDP a toujours eu pour objectif la connexion à un bureau distant afin d'accéder à ses applications et ses données. Le principe des applications distantes sur Windows Server 2008 est d'exécuter les programmes hébergés par les services Terminal Server en les intégrants totalement au bureau local de l'utilisateur. En apparence, ces applications seront complètements fondues dans l'environnement de l'utilisateur en s'intégrant tout naturellement dans la barre des taches du bureau local. Le bureau local pourra aussi bénéficier de raccourcis dans le menu démarrer ou sur le bureau, de l'association des types de fichiers avec l'application distante, de l'intégration avec la zone de notification locale, du copier-coller entre les applications locales et distantes et de l'accès aux périphériques locaux depuis les applications publiées. 4.2 Déploiement des applications distantes Pour publier une application, il suffit de spécifier celle-ci dans une liste de l'outil de gestion des applications distantes. Une fois l'application publiée, il est possible d'en déployer les raccourcis par trois méthodes plus ou moins complètes : Soit créer un fichier rdp composé des éléments de connexion au serveur Terminal Serveur publiant l'application distante. Une passerelle Terminal Serveur, une signature du fichier RDP et des paramètres de configuration du protocole RDP pourront être ajoutés au fichier RDP si nécessaire. Soit créer un fichier msi intégrant non seulement le fichier rdp de connexion mais aussi des éléments d'intégrations plus poussés comme des raccourcis sur le bureau, dans le menu démarrer et l'association des types de fichiers. Cette dernière méthode permettant un déploiement facile via une stratégie de groupe. Soit publier l'application sur le portail TS Web que l'on abordera juste après. L'accès aux applications distantes est contrôlé par le même mécanisme que la publication de bureau classique terminal server. Pour accéder aux applications il faut donc être membre du groupe Remote Desktop ou avoir des autorisations sur le protocole RDP-Tcp tout comme pour les bureaux Terminal Server. 4.3 Portail TS Web Access Cette interface web permet d'accéder facilement aux applications distantes par la publication des raccourcis de lancement dans une page dont le contenu est administré par l'outil d'administration des applications distantes. Ainsi, elle se comporte comme un lanceur d'application tout en intégrant un client classique de connexion bureau à distance. L'apparence du portail peut être complètement personnalisée si nécessaire. 5 TS Easy print Jusqu'à présent, pour imprimer une page à partir d'une session Terminal server sur une imprimante connectée localement au client, il fallait installer les pilotes de l'imprimante sur le serveur Terminal Server. Cette installation pouvait causer des problèmes sur le serveur TS pour des raisons de compatibilité, de simplicité et de disponibilité des pilotes sur l'architecture du serveur (Version de l'O.S., 64 bits, ...). L'objectif de TS Easy Print est de faire une redirection transparente de l'impression vers l'imprimante locale sans avoir à installer de pilote côté serveur. Pour cela, lorsque qu'un client lance une impression dans une session Terminal Server, le fichier est envoyé vers une imprimante virtuelle qui génère un fichier au format XPS (XML Paper Specification). Ce fichier est alors transféré à la machine locale, puis imprimé sans déformation ni altération du format. A l'aide de ce mécanisme, toutes les options des pilotes constructeurs sont disponibles au sein de la session TS pour l'utilisateur et l'on bénéficie même d'une réduction de la bande passante utilisée entre le client et le serveur pour le transfert des travaux d'impression par l'utilisation d'une compression zip. Pour la mise en place, il faudra installer coté client les éléments suivants : Le client Bureau à distance v6.1 Le Framework .NET v3.0 sp1 Les pilotes de l'imprimante installés localement 6 Session Broker 6.1 Présentation de l'annuaire de session Session Broker a pour objectif de mieux répartir les sessions au sein d'une ferme de serveur TS. Ce composant est équivalent au service Session Directory de Windows Server 2003 qui permet de localiser les sessions RDP en cours sur des fermes de serveurs TS en les stockant dans un annuaire. La répartition de charge se fait ensuite en prenant en compte le nombre de session Terminal Server active sur le serveur TS et sur le poids de celui-ci dans la ferme. Ainsi lors de la connexion initiale d'un utilisateur, celui-ci est affecté au serveur le moins chargé de la ferme. Et lors de la reconnexion de ce même utilisateur sur une session déconnectée (et non pas fermée), l'annuaire de session est consulté pour le rediriger sur le serveur hébergeant sa session. Le service Session Broker surveille la disponibilité du service Terminal Services sur les serveurs appartenant à la ferme. Dans le cas ou l'un des serveurs de la ferme tombe en panne, le système assure la tolérance de panne en redirigeant les clients sur un autre serveur. Evidement les sessions en cours seront tout de même perdues. 6.2 Mise en place de TS Session Broker La mise en place de Session Broker passe par l'installation sur un serveur du rôle en question. Il faudra ensuite ajouter les serveurs TS au groupe local Session Directory Computers du serveur TS Session Broker. Et pour finir configurer via une stratégie de groupe chaque TS de la ferme. Ce service peut aussi être implémenté sous la forme d'un cluster. 7 Ce qu'il est aussi bon de savoir... Une expérience utilisateur plus proche du poste client Afin de ne pas perturber les utilisateurs, il est possible d'installer le thème de Windows Vista sur Windows 2008 pour que l'environnement de travail des bureaux distants soit très proche de celui des postes clients. Pour cela, il suffit d'installer l'option « Desktop Experience ». Une configuration intégrale par GPO Tous les paramètres des serveurs TS sont entièrement configurables via des stratégies de groupes. Une meilleure compatibilité des applications La compatibilité des applications a été améliorée par un système de virtualisation du registre et du système de fichiers (colonne virtualisation dans la colonne processus du gestionnaire de fichier) et une intégration avec les outils de compatibilité d'application (ACT). Ceci sonne la fin des scripts de compatibilité Une ouverture de session plus efficace et rapide La modification du noyau pour un support du mode multi-utilisateur amélioré et des modifications de l'architecture de WINLOGON permettent d'ouvrir un nombre sessions en parallèle correspondant au nombre de coeurs sur le serveur. Les ouvertures et les fermetures de session sont donc plus rapides. Tue, 17 Jun 2008 16:09:38 +0200 http://www.espace-microsoft.com/fr/articles/14730-tutorial-debuter-powershell.html http://www.espace-microsoft.com/fr/articles/14730-tutorial-debuter-powershell.html 1 Présentation PowerShell s'apparente fortement aux différents Shell que l'on peut trouver dans le monde UNIX en en reprenant la philosophie de base mais en ajoutant des fonctionnalités supplémentaires. On utilise ainsi de petites commandes simples que l'on va combiner à l'aide de pipe pour créer des fonctions complètes. Les principales caractéristiques de PowerShell sont les suivantes: Langage orienté objet: Ainsi lorsque l'on récupère une liste à la suite d'une commande, il ne sagit pas d'une simple liste mais bien d'objet avec leurs propriétés et leurs méthodes. Accès complet aux assemblies du framework .NET 2.0: Tous les objets du framework .NET peuvent être instancié dans PowerShell donnant accès à un nombre trés importants de fonctions. Extensibilité: Vous pouvez créer vos propres cmdlets (nom d'une commande PowerShell) afin de rendre scriptable vos applications facilements. Objet COM: Vous pouvez utiliser les objets COM Windows dans vos scripts. XML: Intégration poussée avec le XML. 2 Installation Pour mettre en place notre envirronement d'execution, les composants suivants sont necessaires: Installer le framework .NET 2.0 SP1 (http://www.microsoft.com/downloads/details.aspx?familyid=79BC3B77-E02C-4AD3-AACF-A7633F706BA5-displaylang=fr) Installer le PowerShell pour la version de votre système (http://www.microsoft.com/windowsserver2003/technologies/management/powershell/download.mspx) Eventuellement, vous pouvez installer une interface de dévellopement. Dans certain cas, il vous sera alors nécessaire de baisser le niveau de la stratégie d'execution avec la cmdlets 'Set-ExecutionPolicy Unrestricted'. 3 Premiers pas La convention de nom des cmdlets est composée de deux parties: Le verbe qui va indiquer l'action qui va être réalisée (new, set, get, enable, disable, remove, ...). Le nom de l'objet sur lequel la cmdlets va s'appliquer (Service, Mailbox, MailBoxDatabase, ...). PS > Get-Service Dans cet exemple, la commande Get-Service renvoie la liste des objets services du serveur avec leurs états. PS > Get-Service | Get-Member En ajoutant le pipe vers la commande Get-Member, on liste l'ensemble des méthodes membres des objets retournées par Get-Service. PS > Get-Service schedule | Format-List -Property * En utilisant la cmdlets Format-List, on va pouvoir séléctionner les propriétés ainsi que leurs états pour le service schedule. Voici quelques autres formats de sorties utilisables: PS > get-service | Format-List PS > get-service | Format-Custom PS > get-service | Format-Table PS > get-service | Format-Wide PS > get-service | format-table name, Servicetype, Canshutdown PS > ipconfig | findstr 'Address' On peu dans le cas de commande classique retournant du texte, faire un filtre pour rechercher une chaine de caractère précise. 4 Recherche d'aide Pour lister l'ensemble des paramètres d'une cmdlets, vous pouvez utiliser la commande Get-Help que l'on peut comparer à la commande man du monde unix. Plusieurs niveau de détail peuvent aussi être solicité par la commande get-help en ajoutant les paramêtres suivants: PS > Get-Help Get-Command -Detailed Le paramètre -detailled affiche en détail toutes les informations concernant les propriétés de la cmdlets get-command. PS > Get-Help Get-Command -Full Le paramètre -full affiche en détail toutes les rubriques d'aide de la cmdlets get-command. PS > Get-Help Get-Command -Examples Le paramètre -examples affiche des exemples d'utilisation de la cmdlets get-command. PS > Get-Help Get-Command -Parameter commandType Le paramètre get-help affiche en détail toutes les informations concernant le paramètre commandType de la cmdlets Get-Command. 5 Les commandes courantes PS > Get-Command Affiche les informations de base des cmdlets et des autres commandes PowerShell. PS > Get-Process Affiche la liste des processus tournant sur la machine locale. PS > Get-Service Affiche la liste des services s'executant sur la machine locale. PS > Get-Eventlog Affiche les informations du journal d'évènement local ainsi que son contenu. PS > Start-Transcript PS > Stop-Transcript Permet d'enregistrer les informations d'une session PowerShell. 6 Gestion des alias ( get-alias ) Les alias sont des commandes pointant vers une autre commande (ex: ps qui lance en fait Get-Process) PS > Get-Alias ps PS > get-alias | where-object {$_.definition -eq 'set-location'} PS > set-alias gh get-help PS > set-alias np c:\windows\notepad.exe PS > remove-item alias:ls 7 Variables et boucles Comme tout langage de script, PowerShell supporte les variables et les boucles. Ainsi pour stocker une valeur dans une variable, il suffit d'utiliser la commande suivante : PS > $result = ipconfig Pour utiliser une boucle afin d'afficher des numéros de ligne. for ($i=0 ; $i -lt $result.length; $i++ ) { '{0} {1}' -f $i, $result[$i] } La même chose avec un foreach... $i = 1; foreach($singleLine in $result) { $i++ '{0} {1}' -f $i, $singleLine } 8 Fonctions Des fonctions peuvent être créer en utilisant la syntaxe ci-dessous, des variables pourront être passées et retournées avec facilitée. $result = ipconfig function AddLineNumbers { $i = 1; foreach($singleLine in $args[0]) { $i++ '{0} {1}' -f $i, $singleLine } } AddLineNumbers $result 9 Scripting WMI (Windows Management Instrumentation) Vous pouvez acceder aux paramètres WMI trés simplement à l'aide de PowerShell: Get-WmiObject win32_bios -computername 127.0.0.1 Get-WmiObject -Class Win32_OperatingSystem -ComputerName 127.0.0.1 10 Le profile PowerShell Tous les alias, fonctions et variables sont ajoutés par defaut à la session courante. Afin de maintenir les changements dont vous avez besoin de manière permanante, il vous suffit de les ajouter à votre profil en editant l'un des fichiers suivants : %windir%\system32\WindowsPowerShell\v1.0\profile.ps1 Ce profil s'applique à tous les utilisateurs et à tous les shells. %windir%\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell_profile.ps1 Ce profil s'applique à tous les utilisateurs, mais uniquement au Shell Microsoft PowerShell. %UserProfile%\My Documents\WindowsPowerShell\profile.ps1 Ce profil s'applique uniquement à l'utilisateur en cours mais sur tous les shells. %UserProfile%\\MyDocuments\WindowsPowerShell\Microsoft.PowerShell_profile.ps1 Ce profil s'applique uniquement à l'utilisateur en cours mais uniquement au Shell Microsoft PowerShell. 11 Navigation PowerShell permet de naviguer dans differents environnements: Disques durs Variables Base de registre Alias ... PS > Get-PSDrive cd HKLM: ls cd system\currentcontrolset\control 12 Pour aller plus loin... Script Center de Microsoft http://www.microsoft.com/technet/scriptcenter/ Articles Tutoriaux Exemples ... Fri, 04 Sep 2009 11:17:09 +0200 http://www.espace-microsoft.com/fr/articles/14731-mise-cluster-exchange-2007-sous-windows-server-2008.html http://www.espace-microsoft.com/fr/articles/14731-mise-cluster-exchange-2007-sous-windows-server-2008.html 1 Ce qu'il faut savoir avant tout 1.1 Pré-requis L'installation d'Exchange 2007 sous Windows Server 2008 nécessite obligatoirement le service pack 1 d'exchange 2007. Si vous ne disposez pas d'un cd intégrant directement le service pack, il vous sera nécessaire de télécharger l'archive d'Exchange 2007 intégrant le SP1 sur le site de microsoft et de l'utiliser pour l'installation (http://www.microsoft.com/downloads/details.aspx?FamilyId=44C66AD6-F185-4A1D-A9AB-473C1188954C-displaylang=en) 1.2 Avantages L'association des deux produits facilite la mise en place d'Exchange 2007 et ajoute des fonctionnalités spécifiques à la mise en cluster : Localisation des noeuds Il est désormais possible de placer les noeuds d'un cluster à basculement (CCR ou SCC) dans plusieurs sous-réseaux différents. Auparavant, les noeuds devaient tous être placés dans le même sous-réseau. Ainsi lors de la configuration d'un géo-cluster (dont les noeuds se trouvent sur des sites géographiquement distants), il était nécessaire de mettre en place une configuration VLAN étendue qui simulait une connectivité directe entre les noeuds du cluster en cachant les routeurs par lesquels les paquets passaient. Dorénavant, une simple connectivité IP par le système de routage classique de l'entreprise suffira pour l'échange entre les noeuds, simplifiant d'autant l'architecture réseau pour mettre en place ce type de cluster. DHCP pour IPv4 Il était jusqu'alors nécessaire d'assigner une adresse IP fixe pour les IP virtuelles des ressources du cluster. Maintenant, cette ressource supporte la configuration DHCP en IP v4 permettant de centraliser la configuration IP sur le serveur DHCP. Support d'IPv6 Windows 2008 intègre nativement IPv6 dans sa nouvelle pile TCP/IP. Ce support bénéficie à Exchange 2007 qui peut dorénavant communiquer via ce protocole. Nouveaux modèles de quorum Là ou il était nécessaire de jongler avec les patchs et les lignes de commandes sous Windows Server 2003, Windows Server 2008 permet une mise en place simple des quatre types de cluster suivants : Majorité de noeuds : Cluster avec quorum à jeu de majorité ou quorum MNS (pour Majority Node Set). Ce type de cluster reste en ligne tant qu'une majorité des noeuds le composant est opérationnelle. Ainsi, un cluster à 4 noeuds fonctionne tant que 3 noeuds sur 4 sont opérationnels (si un deuxième noeud tombe en panne, la majorité absolue n'est plus atteinte et le service tombe). Majorité de noeuds avec disque témoin : Cette configuration est proche de la précédente. La seule différence est l'ajout d'un témoin (un disque partagé de type NAS ou SAN) qui agira comme un noeud dans le calcul de la majorité. Cette configuration augmente le niveau de tolérance aux pannes. En effet un cluster à 4 noeuds restera en ligne tant que 2 des noeuds (plus le disque partagé) seront fonctionnels. Majorité de noeuds avec partage de fichiers témoin : Cette configuration utilise un partage de fichiers en tant que témoin. Hormis cela, elle est identique à la précédente. Pas de majorité, uniquement disque : Cette configuration utilise un quorum partagé (c'est-à-dire stocké sur un support de stockage de type NAS ou SAN). Cette implémentation est la seule ou le quorum n'est pas répliqué localement sur l'ensemble des noeuds ! Ce type de configuration n'implémente pas le principe de la majorité (un cluster à 4 noeuds reste fonctionnel tant qu'au moins un noeud est actif). Malheureusement ce système induit une unicité des données (si le support partagé est corrompu, le cluster est perdu !) et il devrait être de moins en moins utilisé dans les années à venir. 1.3 Le modèle mis en place L'objectif de cet article est de présenter la mise en place d'un cluster du rôle MailBox d'Exchange 2007 de type CCR sous Windows Server 2008. Voici une représentation compacte des différents composants nécessaires à sa mise en place : Il est à noter que le domaine, le partage et les rôles Client Access et Hub Transport seront éclatés sur plusieurs serveurs lors de la mise en production de l'infrastructure. 2 Configuration de Windows Server 2008 2.1 Présentation des nouveautés Sous Windows Server 2008, la mise en cluster se présente sous la forme d'une fonctionnalité (features). Cette fonctionnalité a été rebaptisée par rapport aux anciennes versions. Elle ne s'appelle plus « MSCS » ni « Windows Server 2003 clustering services » mais « Windows Server Failover Clustering». Cette nouvelle implémentation des services de clustering supporte jusqu'à 16 noeuds sur un serveur équipé d'une architecture x64 (les architectures x86 et Itanium restent limitées à 8 noeuds). Son assistant de configuration supporte les quatre types d'implémentations que nous avons citées plus haut. 2.2 Mise en place du service de cluster Configuration réseau La mise en place des services de haute disponibilité de Windows Server 2008 nécessite la mise en place de deux sous réseau physiquement distinct. L'un de ces réseaux va assurer la communication entre les rôles MailBox, Transport, Client Access et les clients. C'est sur ce réseau « publique » que les éléments d'infrastructure comme Active Directory ou le DNS devront être mis en place. L'autre permettra une communication exclusive et privilégiée entre les noeuds du cluster. Active Directory Pour la mise en place de la fonctionnalité WSFC, il va être nécessaire d'installer un domaine Active Directory (rôle Active Directory Domain Services sous Windows Server 2008). Cette étape est obligatoire car la configuration du cluster va nécessiter l'utilisation d'un compte de domaine. Une fois le domaine installé, ajoutez l'ensemble des noeuds du cluster au domaine ainsi que les machines hébergeant les services Exchanges. Windows Server Failover Clustering Installez ensuite la fonctionnalité « Failover Clustering » sur les machines qui seront membre du cluster. La fonctionnalité installée, on pourra créer le cluster par l'intermédiaire d'un assistant. Durant la création, il nous sera possible de valider les éléments les plus fondamentaux pour la mise en place du cluster. C'est une fois le cluster créé que l'on va choisir son implémentation. 2.3 Configuration du Quorum MNS à partage témoin L'objectif de la haute disponibilité est de maintenir en ligne un service même dans le cas d'une défaillance grave aussi bien matériel que logiciel. Il est donc nécessaire de protéger l'ensemble des composants dont la panne pourrait conduire à un arrêt du système. Pour cela, la méthode la plus simple est de doubler l'ensemble des éléments sensibles. Dans cet esprit, le Quorum MNS (Majority Node Set) à partage témoin à pour charge de répliquer le Quorum qui contient la configuration du cluster sur l'ensemble des noeuds du cluster. Pour que le cluster soit en ligne, la majorité absolue des noeuds est nécessaire. Nombre de noeuds du cluster Majorité atteinte à 2 noeuds 2 noeuds 3 noeuds 2 noeuds 4 noeuds 3 noeuds 5 noeuds 3 noeuds 6 noeuds 4 noeuds 7 noeuds 4 noeuds 8 noeuds 5 noeuds Afin d'éviter des clusters bloqués par un partage à égalité parfaite du cluster, on ajoute une référence supplémentaire sous la forme d'un partage de fichier sur une machine qui n'est pas membre du cluster. Ce partage contiendra un répertoire et des fichiers témoins pour le cluster et permettra d'arbitrer les conflits dans le cas d'une connectivité coupée entre les noeuds. 3 Installation d'Exchange 2007 SP1 3.1 Présentation des nouveautés Windows Server 2008 intègre de base un nombre important des composants qui sont nécessaires à l'installation d'Exchange 2007. La configuration n'en est que plus rapide et plus simple. Ainsi, le framework dotnet 2.0 et la console MMC version 3.0 sont directement présents dans le nouveau système. Certains aménagements seront toutefois à prendre en compte comme la compatibilité entre le serveur Web IIS 7 et Exchange 2007. Tout comme sous Windows Server 2003, Microsoft ne supporte que la version 64 bits d'Exchange ce qui implique qu'il sera obligatoire de déployer la version 64bits de Windows Server 2008 en production. Les versions 32 bits n'étant disponibles qu'à des fins de test. Pour la fonctionnalité WSFC, elle ne concerne que le rôle MailBox et n'influence pas l'installation des rôles Hub Transport, Client Access ou Edge. 3.2 Configuration des rôles Hub Transport et Client Access L'installation des rôles Hub Transport et Client Access passe donc par les pré-requis suivants : Windows PowerShell Bien que le système de scripting soit présent dans Windows Server 2008, il n'est pas installé par défaut. Il sera donc nécessaire d'installer cette fonctionnalité par le « Server Manager ». Serveur Web IIS L'installation du rôle Web Server (IIS) pose lui des soucis de compatibilité qui sont résolus à l'aide des composants d'émulation d'IIS 6 par-dessus IIS7. Exchange 2007 SP1 n'étant pas capable de communiquer directement avec les interfaces d'IIS7, les composants suivants doivent être installés sur la machine hébergeant le rôle Client Access. IIS 6 Metabase compatibility IIS 6 Managment console Compression des pages dynamique Méthodes d'authentification Rôles Hub Transport et Client Access Une fois les composants précédents installés, il suffit d'installer les rôles Hub Transport et Client Access de manière classique. 3.3 Configuration du rôle MailBox en cluster Afin de correspondre à la configuration du quorum, nous allons choisir un cluster de type CCR. Les clusters CCR ne présentent pas de point de faiblesse unique mettant en péril l'infrastructure, aucun matériel spécifique ni stockage partagé n'est requis. Ils permettent d'optimiser les temps et les répercutions du processus de sauvegarde et facilite la mise en place de géo-cluster. Pour l'installation des deux noeuds du cluster MailBox, deux composants sont requis. Windows PowerShell Installer cette fonctionnalité via le « Server Manager ». Server Web IIS IIS 6 Metabase compatibility IIS 6 Managment console Rôle MailBox en cluster L'installation du rôle MailBox se fait via un processus spécifique lié à sa mise en cluster. Il ne vous est donc pas possible de convertir un serveur hébergeant le rôle MailBox classique en cluster hormis en procédant à l'installation en parallèle du cluster puis en déplaçant les boîtes. Il faut d'abord réaliser l'installation du rôle MailBox en cluster actif sur le premier noeud. C'est pendant cette installation qu'il faudra faire le choix du type de cluster entre SCC et CCR. Puis l'installation du rôle MailBox en cluster passif sur le second noeud. 3.4 Configuration du cluster CCR Principe de fonctionnement Le principe d'un cluster CCR est basé sur le 'log shipping' et le 'log replay'. Le 'log shipping' (littéralement 'envoi des journaux' ou 'chargement des journaux') consiste à envoyer les transactions validées de la base de données du noeud actif vers la base de données du noeud passif. Cette technologie est utilisée de longue date dans d'autres produits Microsoft (on la retrouve par exemple avec SQL Server 2000 - SQL Server 2005). Le 'log replay' consiste à valider ces logs sur le noeud passif en les rejouant afin que le contenu des bases des deux noeuds soit identique. Avant le log shipping : Après le log shipping : CCR maintient donc une copie des banques de boîtes aux lettres (les bases de données) mais aussi des journaux de transactions via le log shipping. Cela diminue de façon importante la durée de restauration des données en cas de crash disque (ou en cas de corruption de la base de données). En effet, si le noeud sur lequel est stockée la base de données de production tombe en panne, le serveur Exchange, bascule automatiquement vers le noeud passif. Le service de réplication Exchange L'envoi des fichiers de logs est assuré par le service de réplication Exchange. Ce service a pour tache de transférer les logs entre les noeuds dans le cas d'un cluster CCR (Cluster Continuous Replication) mais il est aussi utilisé dans le même esprit du log shipping et log replay avec des implémentations LCR (Local Continuous Replication) ou SCR (Standby Continuous Replication). Le statut de ce service fournit des informations importantes pour l'analyse de l'état du cluster. Les statuts suivants sont disponibles depuis la version RTM d'Exchange 2007: Disabled : Le groupe de stockage n'a pas de copie configurée ou il n'y a pas de noeud passif pour le cluster. Failed : Le groupe de stockage n'est que partiellement configuré et la réplication ne peu pas se lancer. Seeding : L'envoi des logs est en coursDatabase seeding is in progress Copying : En cours de copie. Stopped : Log copying is stopped Healthy : The CCR copy is healthy and normal, and nothing is blocking or blocked Les statuts suivants ont était ajouté avec le SP1: ServiceDown : le service de réplication Exchange de l'ordinateur cible n'est pas accessible sur le réseau. Initializing : le service de réplication Microsoft Exchange sur l'ordinateur cible n'a pas achevé ses vérifications initiales au démarrage. Synchronizing : n'a pas achevé un réamorçage incrémentiel Administration du cluster CCR Depuis le service pack 1 d'Exchange 2007, il est possible de lancer la plupart des commandes liées à la gestion du cluster via l'outil graphique d'administration d'Exchange 2007. Cependant, si vous êtes un adepte de Powershell, voici la liste des cmdlets qui vous permettrons d'administrer aussi bien le cluster que le service de réplication Exchange qui lui est lié : Cluster : Start-ClusteredMailboxServer, Stop-ClusteredMailboxServer, Get-ClusteredMailboxServerStatus, Move-ClusteredMailboxServer Service de réplication : Disable-StorageGroupCopy, Enable-StorageGroupCopy, Restore-StorageGroupCopy, Resume-StorageGroupCopy, Suspend-StorageGroupCopy, Update-StorageGroupCopy, Get-StorageGroupCopyStatus 4 Ce que l'on peu améliorer... Le modèle présenté dans cet article avait pour objectif la mise en lumière de l'intégration d'Exchange 2007 SP1 avec le nouveau service de clustering de Windows Server 2008 et les avantages qu'apportent ces deux nouvelles versions. Afin de bénéficier d'une haute disponibilité totale de notre système de messagerie, il serait bon d'ajouter la mise en place d'une tolérance de panne sur le serveur frontal pour les rôles Hub Transport et Client Access. Pour assurer la tolérance de panne, des technologies comme le NLB (Network Load Balancing) ainsi que le round robin (répartition DNS) sont envisageables. Sat, 24 May 2008 17:45:00 +0200 http://www.espace-microsoft.com/fr/articles/18532-hyper-v-sous-windows-server-2008-r2.html http://www.espace-microsoft.com/fr/articles/18532-hyper-v-sous-windows-server-2008-r2.html Quelques rappels concernant Hyper-V sur Windows Server 2008 Pré-requis Hyper-V est une plateforme de virtualisation basée sur un hyperviseur. Elle fonctionne exclusivement sur Windows Server 2008 Edition Standard, Enterprise ou Datacenter en installation complète ou Core. On peut retrouver ce moteur dans une édition spéciale et gratuite appelée Microsoft Hyper-V Server 2008. Elle nécessite un processeur 64bits avec assistance pour la virtualisation (AMD AMD-V or Intel VT) et prévention d'exécution des données (AMD - NX no execute bit ou Intel - XD execute disable). Caractéristiques Cette plateforme permet l'exécution de machine virtuelle 32-bit (x86) - 64-bit (x64). Chaque machine virtuelle supporte jusqu'à 64 Go de mémoire et jusqu'à 4 processeurs (SMP). Windows Server 2008 intègre un support natif du cluster pour assurer la tolérance de panne et la migration rapide (Quick Migration). Le système supporte les sauvegardes à chaud grâce à l'intégration de clichés instantanés (Shadow Copy) et des snapshots (50 snapshots maximum par machine). Chaque disque virtuel peut atteindre jusqu'à 2 To. Il est possible en cumulant l'interface IDE (4 disques) et les 4 interfaces SCSI (64 disques) d'atteindre les 260 disques durs au total. Les machines virtuelles ont un accès direct aux disques pour de meilleures performances I/O (Entrées-Sorties). Chaque machine virtuelle peut avoir jusqu'à 12 interface réseau qui intègre les possibilités de VLAN. Panorama d'Hyper-V sur Windows Server 2008 R2 Basé sur l'architecture éprouvée d'Hyper-V sur Windows Server 2008, ce nouvel opus d'hyper-v intègre de nouvelles technologies comme Live motion (migration à chaud), TSV (couplage avec Terminal Server) mais aussi des améliorations d'architecture que nous allons détaillés comme l'allocation dynamique de mémoire, le support des améliorations des instructions d'assistance à la virtualisation d'Intel et AMD, le principe de parquement des coeurs de processeur, etc .... Coté caractéristique, il pourra gérer jusqu'à 32 processeurs sur la machine physique avec un maximum de 1 To de mémoire par machine virtuelle pour un maximum de 256 machines virtuelles. Live Migration Live Migration est sans aucun doute la fonctionnalité la plus attendue sur Windows Server 2008 R2 concernant Hyper-V. Elle vient se positionner en concurrence direct avec son équivalence chez VMware et son produit VMotion. L'objectif est d'offrir la possibilité aux administrateurs de déplacer une machine virtuelle d'un serveur physique à un autre sans déconnexion des clients de la machine virtuelle. Cela permet la mise en place de nouveau scénario d'implémentation : -middot; Continuité de service pendant les phases de maintenance des serveurs physique. -middot; Répartition des machines virtuelles afin d'optimiser la consommation d'énergétique. -middot; Répartition des machines virtuelles afin de repartir la charge des processeurs. Quick Migration (Windows Server 2008 Hyper-V) Actuellement avec Windows Server 2008, le déplacement d'une machine virtuelle passe par le processus Quick Migration. Le principe de fonctionnement est le suivant : 1. Sauvegarder l'état en sauvegardant la machine virtuelle sur la cible puis en enregistrant la mémoire de la machine virtuelle sur un espace de stockage partagé. 2. Déplacer la gestion du stockage de la source à la destination pour déplacer la machine virtuelle. 3. Restaurer l'état en chargeant la mémoire de la machine virtuelle à partir de l'espace de stockage partagé et lancer la machine virtuelle. Ce processus est très couteux en temps car il impose des étapes très longues qui peuvent induire un temps de déplacement prenant plusieurs minutes donc autant en indisponibilités. Live Migration (Windows Server 2008 R2 Hyper-V) Le passage de Quick Migration à Live Migration n'impose pas de mise à jour du système d'exploitation invité, ni de la machine virtuelle, ni de l'infrastructure de stockage ou de l'infrastructure réseau. Il est seulement nécessaire de migrer les machines virtuelles sur Hyper-V 2.0 et c'est tout. Avec Live Migration sous Windows Server 2008 R2, voici le processus exécuté à chaque demande de basculement d'un administrateur (ou d'un script) : 1. Le premier serveur physique contenant la machine virtuelle auquel sont connectés les clients copie l'ensemble du contenu de la mémoire de la machine virtuelle sur le serveur de destination. 2. La machine virtuelle est ensuite pré-chargée en mémoire dans le serveur de destination prête à être démarrée. 3. Pendant cette copie, les clients continuent d'accéder à la machine virtuelle sur le premier serveur et modifient le contenu de sa mémoire vive. Les emplacements mémoire modifiés sont ainsi repérés pour être copié à leur tour de manière incrémentiel (donc uniquement les changements) sur le serveur de destination. Dans la mesure où il y aura moins de donnée à copier (uniquement ce qui a été modifié depuis la copie précédente) la copie sera beaucoup plus rapide. 4. La machine virtuelle sur le premier serveur est alors mise en pause et une copie de l'état de la partition est transmise du premier serveur vers le serveur de destination. 5. On lance la machine virtuelle (qui est déjà en mémoire) sur le serveur de destination. Le laps de temps d'indisponibilité est donc très court. 6. Des requêtes ARP permettent alors de rediriger les clients sur le serveur de destination et dans la mesure où l'état de session est maintenu, aucune reconnexion n'est nécessaire pour le client. Avec ce processus, le temps de basculement est réduit à quelques secondes donc une quasi-transparence pour les clients. Cluster Shared Volume Jusqu'à présent sur Hyper-V, il était nécessaire de mettre en place l'architecture de cluster suivante pour bénéficier d'une solution de basculement : Chaque disque de stockage (principalement des SAN) contenant les vhd (disques des machines virtuels) était contrôlé de manière exclusive par un noeud. Seul ce noeud pouvait accéder au contenu du disque de stockage. Ainsi il était obligatoire que chaque Machine Virtuelle soit hébergée sur sa propre LUN (Unité de Disque Logique) afin de les isoler en cas de basculement. Cette limite posait des soucis multiples d'administration des SAN (le LUN étant alors l'unité la plus petite de basculement, difficulté avec la gestion des lettres de lecteurs, l'espace de stockage sous exploité, ...) Pour résoudre ce problème, un nouveau modèle de cluster a été mis au point : le Cluster Shared Volume (CSV). Le Cluster Shared Volume permet un accès concurrentiel (donc simultané) à un même système de fichier. Cela permet donc à plusieurs serveurs d'accéder au même contenu simultanément. La différence avec un partage de fichier réseau classique est qu'il n'est pas nécessaire aux serveurs d'être client d'une tiers machine donc même si l'une des machines tombe en panne, quelque soit cette machine, les autres pourront continuer à accéder au contenu du disque. Dans la mesure où l'accès est simultané pour tous les noeuds, une machine virtuelle peut être déplacée sans avoir à perdre le temps de prise de possession du disque et sans démontage et remontage de celui-ci. Cela permet donc de simplifier la mise en place de l'infrastructure en réduisant le nombre de LUN à une poignée et ceci même pour des dizaines de machines virtuelles. La configuration du cluster ainsi que la gestion des SAN et des machines virtuelles est elle aussi simplifiée et les performances lors des scénarios de tolérance de panne sont améliorées en simplifiant le processus de remonté des machines. Un chemin consolidé pour les espaces de stockage des machines virtuelles peut être utilisé afin que les fichiers ai les mêmes noms et chemins quelque soit le noeud du cluster. Les volumes CSV sont mis à disposition sous la forme de répertoires et de sous-répertoires sous le répertoire racine (ex : C:\ClusterStorage\Volume1\root>, C:\ClusterStorage\Volume2\root>, C:\ClusterStorage\Volume3\root>, ...) Aucun matériel ni logiciel spécifique n'est nécessaire, le système est compatible avec tous les types de fichiers sans limitation de structure ou de profondeur de l'arborescence. Aucun agent, installations supplémentaires ou système de fichiers spécifique n'est nécessaire pour sa mise en place. Le gestionnaire de cluster prend en charge directement Live Migration et SCVMM 2008 à partir du SP1 (System Center Virtual Machine Manager 2008 SP1), et permet même la mise en place de scénario de migration via stratégie. Affectation dynamique de la mémoire Cette fonctionnalité très prometteuse permet d'affecter un pool de mémoire à un ensemble de machine afin de la distribuer dynamiquement. Ainsi la mémoire est ajoutée/retirée à chaud sur les machines virtuelles sans interruption de production des services. Ce mécanisme est très encourageant car il permet d'administrer plus efficacement le principale facteur de limitation à la consolidation c'est-à-dire la quantité de mémoire allouée à chaque machine. Pour mettre en place cette fonctionnalité, il sera nécessaire de définir dans la configuration de la machine virtuelle les informations suivantes : -middot; La taille mémoire initiale (au démarrage de la machine virtuelle). -middot; La taille mémoire minimum (quantité mémoire minimum garantie). -middot; La taille mémoire maximum (quantité mémoire maximum utilisable). La mémoire sera ajoutée par l'intermédiaire de la fonctionnalité d'ajout de mémoire à chaud qui devra être supporté par le système d'exploitation de la machine virtuelle. Attention cette fonctionnalité n'est pas présente dans la bêta 1 de Windows Server 2008 R2 car cette option est encore en cours d'évaluation par Microsoft pour la rendre disponible dans la release candidate. Espérons que cette fonctionnalité ne disparaisse pas ... Prise en charge du matériel Gestion de la mémoire (SLAT) Hyper-V v2 supportera les dernières évolutions en matière d'assistance matérielle à la virtualisation avec le support du second niveau de translation d'adresse (SLAT - Second Level Address Translation). Cette nouveauté améliore les performances de gestion de la mémoire des machines virtuelles en affectant un espace mémoire dédié afin que les zones de mémoire physiques soient directement accessibles par les environnements virtuels. Ceci permet de réduire aussi la quantité de mémoire associé à cette gestion de 5% à 1%. Cette technologie est appelé Nested Page Tables (NPT) chez AMD et Extended Page Tables (EPT) chez Intel. Optimisation de l'utilisation des processeurs La nouvelle version d'Hyper-V exploite jusqu'à 32 processeur sur la machine physique qui n'en supportait que 24 sur Windows Server 2008 grâce à la mise à jour KB956710 (16 à l'origine). Windows Server 2008 R2 est le premier système d'exploitation serveur de Microsoft qui intégre de manière aussi poussée la gestion de l'énergie. Dans cette optique, il introduit une gestion avancée de l'affinité Processeur/Machine virtuelle en consolidant le traitement sur un nombre minimum de coeur processeur et en stoppant les coeurs inactifs. On bénéficie donc directement d'une économie d'énergie lié à l'utilisation d'un nombre minimum de processeur. Stockage virtuel Il est maintenant possible d'ajouter ou de retirer à la volée sans éteindre la machine virtuelle des disques virtuels (VHD) ou physique (partition) par l'intermédiaire du contrôleur SCSI virtuel. Cette nouvelle fonctionnalité permet d'améliorer le niveau de disponibilité des machines virtuelles, de mettre en place de nouveau scénario de sauvegarde, ... L'ajout ou la suppression de contrôleur de stockage (IDE ou SCSI) à chaud n'étant pas supporté. Réseau La prise en charge étendue du déchargement du traitement TCP/IP (TCP Offload) sur la carte réseau physique va permettre de diminuer la charge du processeur et ainsi améliorer les performances. Le système supporte aussi maintenant le Virtual Machine Queue (VMQ). Cette technologie permet de distribuer le traitement du trafic réseau de plusieurs machines virtuelles entre plusieurs processeurs permettant ainsi une diminution de l'utilisation CPU. Les -ldquo;Jumbo Frame-rdquo; sont aussi supportés avec des trames Ethernet de plus de 1500 octets (généralement de 9000 octets donc 6x plus d'informations par paquet). Interaction avec Terminal Server Hyper-v s'interface aussi maintenant avec Terminal server pour proposer des sessions Terminal serveur -TS (une session par utilisateur) et des machines virtuelles - TSV (une machine virtuelle par utilisateur). Cette nouvelle notion permet par l'intermédiaire du système de répartition de charge de TS Broker d'affecter une machine virtuelle prédéfinie lorsqu'un utilisateur se connecte. Cette architecture propose une expérience utilisateur unifiée pour les utilisateurs qu'ils se connectent sur une machine virtuelle ou sur une session Terminal Server. Il est possible d'affecter la machine virtuelle de manière temporaire à l'utilisateur (jusqu'à la fermeture de session) ou de manière permanente. Mon, 19 Jan 2009 16:57:21 +0200 http://www.espace-microsoft.com/fr/articles/18674-nouveautes-terminal-server-sous-windows-server-2008-r2.html http://www.espace-microsoft.com/fr/articles/18674-nouveautes-terminal-server-sous-windows-server-2008-r2.html Longtemps appelé Windows 7 Server, Windows Server 2008 R2 partage des avancées technologiques importantes avec Windows 7 dans le domaine des services de terminaux. De par l'importance des nouveautés apportées à l'expérience utilisateur et que nous allons détailler dans cet article, le service a été renommé RDS (Remote Desktop Services) sous Windows Server 2008 R2. Les évolutions de son protocole RDP, maintenant en version 7, amènent le bureau distant à un niveau proche d'une utilisation sur le poste local aussi bien du coté des performances que du rendu graphique. Avec ces nouveautés, Microsoft se rapproche encore de ces partenaires Quest et Citrix pour les fonctionnalités tout en leurs laissant une marge de manoeuvre leurs permettant d'innover. Rappel sur le protocole RDP RDP est un protocole permettant un rendu de l'interface de Windows à distance. Il permet actuellement un rendu à distance efficace des applications GDI mais converti les médias riches ainsi que les animations (flash, vidéos, ..) en graphisme simple (suite d'image) ce qui nuit à l'expérience utilisateur et aux performances. RDP propose un modèle extensible de canaux virtuels (rendu graphique, clavier/souris, périphériques distants, ...) utilisés comme base des nouveautés à venir. Une documentation détaillé est disponible sur la MSDN (+ de 2000 pages). Le protocole RDP est actuellement utilisé dans de nombreuses applications comme : Terminal Server Bureau à distance Assistance à distance Espace de collaboration Windows Media Center Extenders et la XBox 360 Contrôle à distance SCCM (System Center Configuration Manager) Administration des machines virtuelles Hyper-V Windows Live Mesh Quelles sont les nouveautés attendues pour la prochaine version ? Améliorer la richesse graphique avec une gestion avancée du multimédia, de la 3D, des animations, ... Forte demande pour que l'expérience utilisateur via le RDP se rapproche de celle locale. Diversifier les périphériques clients supportés. Quoi de neuf dans Windows Server 2008 R2 ? Avec Windows Server 2008 R2 et Windows 7, Microsoft propose un nombre de nouveautés technologiques et fonctionnelles importants : Support de Windows 7 Aero: Toutes les améliorations graphiques de l'interface aero incluant les effets 3D, la transparence et les déformations sont maintenant pleinement supportés à travers un bureau distant sans surcharge de l'utilisation processeur ni de la bande passante réseau. Optimisation du traitement via Direct2D et Direct 3D 10.1 : De nouvelles API Direct2D et Direct3D permettent d'utiliser des applications nécessitants une utilisation intense du graphisme à travers le protocole RDP sans surcharge de traitement. Cette partie sera détaillée plus loin dans l'article. Support complet des environnements multi-écran : Actuellement, la gestion des environnements multi-écrans en mode SPAN se contente d'un bureau unique que l'on allonge horizontalement pour qu'il couvre l'ensemble des moniteurs. Cela ne permet donc pas de gérer des environnements utilisant des résolutions différentes. Avec la version 7 du protocole RDP, la gestion avancée de l'affichage permet de prendre en compte 10 moniteurs avec non seulement des résolutions différentes mais aussi une gestion intelligente des fenêtres qui vont se maximiser au sein du moniteur en cours en non pas à travers les moniteurs comme jusqu'à présent. Redirection optimisée des flux DirectShow : Tous les flux vidéo issus de DirectShow sont maintenant redirigé par un canal dédié permettant une lecture fluide et normal sur les postes clients à condition que ceux-ci possèdent les bons codecs. Cette architecture permet ainsi de préserver une bande passante réseau ainsi qu'une charge processeur réduite coté serveur sachant que le décodage des vidéos se fera sur le client. Envoi bidirectionnel des flux audio : RDP jusqu'à Windows Server 2008 ne permettait qu'une sortie audio du serveur vers le client. Cette limitation maintenant révolue par l'implémentation d'une entrée audio qui remonte par exemple le son d'un micro du client vers le serveur et permet ainsi l'utilisation de service de visioconférence à travers une session distante. Un souci tout particulier a été porté sur la diminution du temps de latence de l'exécution des sons. L'architecture de rendu graphique du protocole RDP La nouvelle architecture s'oriente vers un partage des tâches ou l'on va pouvoir solliciter le poste client afin qu'il puisse assurer une partie du travail de rendu. La gestion du rendu graphique GDI, Direct 3D, Multimédia ou DWM (Gestionnaire de fenêtre depuis Windows VISTA) peut être confié au poste client pour un traitement plus léger coté serveur. Ainsi pour les applications utilisant des versions antérieures à DirectX10.1, le rendu sera effectué sur le serveur qui se chargera de générer des bitmaps et de les faires parvenir aux clients. Dans le cas ou l'application supporte les API DirectX 10.1 incluant les extensions de prise en charge distante (2D - 3D), les graphiques DirectX sont redirigés sur le client qui va alors assurer le rendu en local épargnant donc cette charge au serveur. Le moteur du client inclus donc un système de composition permettant de réassembler de manière cohérente les différents éléments de rendu (GDI, Direct 3D, Multimédia ou DWM) afin d'offrir un rendu final unifié. Rendu RDP coté serveur WPF, Silverlight, Flash, Direct3D10.1 et tout autre media... Rendu RDP coté client Direct2D, Direct3D 10.1, Document multimédia (nécessite des codes sur le client et ne supporte pas les DRM ou les licences) et GDI. Les bénéfices directs par rapport à la version 5.2 sont un Gain de 40% de Bande passante sous Windows XP/2003 et de 65% lors des diverses actions de défilement. Mise en place d'une infrastructure de bureau virtualisé Sous Windows Server 2008 R2, une interaction peut se faire entre les services RDS et Hyper-V. Ce type d'infrastructure communément appelé VDI (Virtual Desktop Infrastructure) permet la mise en place du pilotage du lancement des machines virtuel ainsi que leur accès par l'intermédiaire de l'infrastructure RDS. Les avantages de cette infrastructure sont multiples : Offrir aux utilisateurs un accès personnalisé ou temporaire à un environnement dédié. L'utilisateur aura alors accès à une machine (virtuelle sous Hyper-v) qui lui sera dédié. Permettre aux administrateurs de centraliser la gestion et l'administration des images utilisées par les clients dans un datacenter. L'administrateur stock les instances des machines sur une baie de stockage réseau et peu donc facilement les mettre à jour ou les sauvegarder. Faciliter le déploiement et la gestion des logiciels qui ne seront plus mutualisé sur un serveur unique mais installés de manière standard sur une machine dédiée (la machine virtuelle). Pour mettre en place cette infrastructure, voici les composants nécessaires : TS Virtualisation qui va héberger les clients virtuels à l'aide du rôle Hyper-V. TS Web Access qui va lister les ressources disponibles dans une page web afin de lancer les sessions. Session Broker qui va rediriger les requêtes de connexion sur le bon serveur hébergeant la machine virtuelle. TS Gateway qui va offrir une connexion sécurisé à l'infrastructure à travers Internet. Comme vous pouvez le voir, l'essentiel du travail de gestion du VDI sera effectuée par le composant Session Broker, voici un schéma des différentes étapes pour la connexion d'un client à son image virtuelle. Conclusion Le module terminal server maintenant appelé RDS (Remote Desktop Services) a fait un bon en avant très important pour se rapprocher des besoins et des souhaits des utilisateurs. Avec une exploitation mieux géré de la bande passante, du rendu graphique ainsi que la possibilité de mettre en place de manière intégré des environnements virtuels, cette mise à jour apporte un véritable gain en productivité pour les administrateurs et les utilisateurs finaux. Sat, 19 Sep 2009 14:45:00 +0200 http://www.espace-microsoft.com/fr/articles/18914-presentation-cluster-shared-volume-hyper-v-2-0.html http://www.espace-microsoft.com/fr/articles/18914-presentation-cluster-shared-volume-hyper-v-2-0.html Présentation de la mise en cluster du rôle Hyper-V Pour les facilités d'administration, de déploiement, les économies en énergie et en logistique, la virtualisation continue de se développer de manière importante même dans les scénarii les plus critiques. Nécessitant des besoins en haute disponibilité de plus en plus importants, Hyper-V ne déroge pas à la règle et la mise en cluster de machine virtuelle sera l'axe d'évolution le plus important de la prochaine version de Hyper-V intégré au nouveau Windows Server, Windows Server 2008 R2 (aussi connu sous le nom de Windows 7 Server). Cette version, attendue pour 2010, a pour objectif de permettre à Microsoft de rattraper son retard dans ce domaine face à son concurrent VMware et son produit VMotion en proposant des solutions de basculement de machine virtuelle d'un noeud à un autre en quelques secondes au maximum. Actuellement, Windows Server 2008 permet déjà une mise en cluster des machines avec une bascule rapide grâce à la technologie Quick Migration mais son principe de fonctionnement implique une indisponibilité longue des services. Ainsi, le cluster est obligé de : Sauvegarder la mémoire vive de la machine virtuelle sur un espace de stockage partagé Déplacer le contrôle de l'espace de stockage qui contient le disque durs virtuel pour rendre accessible la machine virtuelle sur le second noeud (server) du cluster. Recharger la mémoire vive de la machine virtuelle à partir de l'espace de stockage partagé sur le second noeud du cluster. Lancer la machine virtuelle. Ce processus est très long car il nécessite des étapes d'accès aux stockages pendant lesquels la machine n'est plus disponible (Sauvegarde et chargement de la mémoire vive, déplacement du média de stockage). Sous Windows Server 2008 R2, le rôle Hyper-V va bénéficier d'une nouvelle technique de basculement bien plus performante appelé Live Migration. L'objectif étant de basculer une machine virtuelle en quelques secondes et ainsi avoir une indisponibilité très faible en cas de dysfonctionnement. Son principe est simple : La mémoire vive de la machine virtuelle est copiée et pré-chargée directement sur le serveur de destination. Pendant cette copie, les clients continuent d'accéder à la machine virtuelle sur le premier serveur et les emplacements mémoire modifiés sont repérés pour être ensuite copiés à leur tour de manière incrémentielle (donc uniquement les changements) sur le serveur de destination. Il y aura moins de données à copier (uniquement ce qui a été modifié) et la copie sera beaucoup plus rapide. La machine virtuelle est alors mise en pause sur le premier serveur et redémarrée sur le second serveur. Des requêtes ARP redirigent les clients sur le nouveau serveur et dans la mesure où l'état de session est maintenu, aucune reconnexion n'est nécessaire pour le client. Dans ce processus, pour obtenir un temps d'indisponibilité très court, il est nécessaire de porter une attention toute particulière au temps de basculement de l'espace de stockage qui est chronophage. Ce basculement n'est habituellement pas un problème car comme dans la technologie Quick migration, un cluster n'a souvent qu'un noeud actif accédant aux données. Si l'application doit se déplacer vers un autre noeud, la ressource de stockage physique est démontée puis remontée vers le nouveau noeud actif, ce qui signifie un arrêt de quelques secondes pendant que l'espace de stockage est indisponible. Ce besoin de quelques secondes pour le déplacement n'est pas acceptable dans le cadre de la virtualisation ou l'on souhaite minimiser au maximum l'arrêt lors du déplacement d'une machine virtuelle entre les noeuds. La solution étant que plusieurs noeuds puissent accéder simultanément au VHD (disque virtuel) sur un espace de stockage. Présentation des Cluster Shared Volume Pour accompagner Live migration, Windows Server 2008 R2 met à disposition une nouvelle fonctionnalité avec son rôle Failover Clustering afin de rendre le système de fichiers NTFS clusterisé. Les disques de stockage sont ainsi visibles par tous les noeuds du cluster simultanément. Les volumes de cluster partagés (cluster shared volume) apparaissent comme des sous-dossiers d'un répertoire. Chaque espace de stockage est appelé volume (par exemple, C:\ ClusterStorage\ Volume1 et C:\ ClusterStorage\ Volume2) et va accueillir sa propre machine virtuelle. La particularité est que tous les noeuds du cluster peuvent accéder au contenu d'un fichier simultanément, ce qui signifie qu'il n'y a pas de délai si un autre noeud doit commencer à accéder à un VHD. Principe de fonctionnement NTFS traite deux types d'informations, les données qui sont le contenu des fichiers en eux même (le contenu de mon document Word par exemple) et les métadonnées qui sont les informations qui permettent d'organiser l'espace de stockage NTFS (l'emplacement où mon contenu se trouve physiquement sur le plateau de mon disque durs par exemple). Le principe de fonctionnement du CSV est le suivant : Pour permettre l'accès simultané, il va falloir coordonner les écritures des métadonnées pour éviter de nuire à l'intégrité des informations d'organisation de stockage du système NTFS. Pour cela, on va définir l'un des noeuds du clustered shared volume comme coordinateur et il aura pour charge de réaliser les écritures des métadonnées pour les autres noeuds. Donc tous les noeuds qui souhaitent écrire sur l'espace de stockage vont envoyer leur requête d'écriture de métadonnées au coordinateur par l'intermédiaire du réseau. Par contre lorsqu'il va s'agir d'écrire le contenu des données sur le volume, chaque noeud va pouvoir le faire directement. Ce travail consistant la majeur partie de la tâche d'écriture, il n'y aura pas ou très peu de goulot d'étranglement lors des accès classique à un CSV. CSV est mis en oeuvre par le biais du filtre csvfilter.sys qui est chargé de l'interception des demandes de métadonnées NTFS et de tous les I/O dans le cas où un noeud perd la communication avec le volume cible. Un noeud peut alors demander au coordonnateur de s'acquitter de toutes ses I/O si elle ne peut plus communiquer avec le volume cible. Chaque machine virtuelle étant placée dans son propre sous-dossier, vous n'avez plus besoin d'espace de stockage multiple pour obtenir des capacités de basculement granulaire. Les machines virtuelles vont pouvoir être déplacées de façon indépendante entre les noeuds du cluster.et un seul volume partagé clusterisé suffira (CSV). Ceci permet de réduire la complexité de l'infrastructure et de minimiser l'espace perdu lorsque l'on gère des centaines de petits LUN. Conclusion En résumé, ce système dédié dans un premier temps aux machines virtuelles et donc à Hyper-V permet de garantir un basculement planifié dans les meilleurs délais (scénarios de maintenance exclusivement) et ne pourra pas vraiment être utilisé et bénéfique dans le cadre d'une tolérance de panne. Wed, 20 May 2009 19:24:27 +0200 http://www.espace-microsoft.com/fr/articles/19329-presentation-exchange-server-2010.html http://www.espace-microsoft.com/fr/articles/19329-presentation-exchange-server-2010.html Présenté officiellement le 6 octobre par Steve Ballmer à Paris, Exchange Server 2010 est la dernière version du serveur de messagerie de Microsoft. Cette nouvelle version est une évolution d'Exchange 2007 qui avait posé de nouvelles bases pour l'architecture et l'administration de ce produit. Avec la précédente version d'Exchange Server, Microsoft a conforté sa position de leader dans le domaine de la messagerie d'entreprise en offrant des possibilités avancées pour la haute disponibilité, la montée en charge et l'administration centralisée avec, notamment, une intégration poussée de PowerShell. Avec Exchange 2010, Microsoft va plus loin en proposant une solution unifiée et simplifiée de la mise en cluster (DAG - Data Availability Group), de nouvelles possibilités d'administration des utilisateurs (par OWA - Outlook Web Access) ainsi que de nouveaux concepts comme les demandes d'abonnement à des groupes de distribution. La segmentation en rôles a ainsi été maintenue dans Exchange 2010 et les cinq rôles de bases ont été conservés (Mailbox, Client Access, HUB Transport, EDGE et Unified Messenging). Aucun rôle supplémentaire n'a été ajouté mais quelques aménagements et optimisations ont tout de même été réalisés. Je vous propose, au fil de cet article, de passer en revue les points suivants : L'installation d'Exchange Server 2010 L'évolution de l'architecture La mise en place d'une infrastructure hautement disponible Les nouvelles options d'administration Les nouveautés pour l'utilisateur Installation d'Exchange 2010 : Comme tous les nouveaux produits serveur de Microsoft, Exchange 2010 ne peut s'installer que sur des plateformes 64 bits. Déjà, à l'époque, Microsoft n'assurait le support d'Exchange 2007 en production que s'il avait été installé en version 64 bits. L'installation peut se faire sur Windows Server 2008 où il faut installer le Service Pack 2, le .NET Framework 3.5 Service Pack 1, la console PowerShell V2 et le composant Office Filter Pack. Windows Server 2008 R2 est également tout naturellement supporté. Coté Active Directory, le maître contrôleur de schémas et les catalogues globaux doivent être au minimum sous Windows Server 2003 SP1, le niveau fonctionnel minimum de la forêt en Windows Server 2003 et les RODC ne sont pas supportés. Afin de cohabiter, les serveurs Exchange 2007 doivent passer en Service Pack 2 minimum afin de préparer la forêt (l'organisation) et assurer la communication avec Exchange 2010. La seule modification majeure que l'on constatera dans l'assistant d'installation est la disparition du rôle Mailbox en cluster actif et passif car la haute disponibilité ne se fait plus directement par la mise en place d'un cluster mais par un nouveau système de réplication des bases de données (DAG) dont nous parlerons un peu plus loin. L'évolution de l'architecture : Exchange 2010 rompt ainsi avec l'architecture d'administration des bases de données que l'on connaissait depuis de nombreuses années sur Exchange. Sous Exchange 2010, il n'y a plus de groupes de stockage et la gestion des bases de données se fait de manière centralisée au niveau de l'organisation, à partir du noeud « Configuration de l'organisation\Mailbox » et non plus à partir du noeud « Configuration des Serveurs » sur chaque serveur. On pourra dorénavant stocker jusqu'à 100 bases de données par serveur ! Le moteur ESE (Extensible Storage Engine) a lui aussi été amélioré et, même s'il n'est toujours pas basé sur le moteur de SQL Serveur, ses performances ont été améliorées aussi bien en réduisant le nombre d'accès I/O (infrastructure disque nécessaire moins coûteuse) qu'en optimisant le mécanisme de la réplication pour la prise en charge de DAG. Concernant le suivi des messages, lorsqu'ils sont envoyés à un server Hub Transport Exchange 2010, ils sont stockés dans la base de données de Transport jusqu'à ce que le prochain serveur confirme le succès du transfert. Il est alors possible de mesurer les temps de latence des transferts entre chaque serveur. Les clients MAPI (Outlook) se connectent quand à eux dorénavant aux rôles Client Access Server et non plus au rôle Mailbox. Cela simplifie la sécurisation de l'infrastructure Exchange car il n'est plus nécessaire de permettre aux clients d'accéder en direct au serveur Mailbox qui contient les données, d'autant plus que le protocole MAPI utilise le protocole RPC et son affectation dynamique des ports, ce qui était compliqué à protéger à l'aide d'un firewall classique. La mise en place d'une infrastructure hautement disponible : La nouveauté majeure concernant l'infrastructure sur cette version 2010 d'exchange est la suppression de tous les modes de clustering, tels que nous les connaissions. En effet, finit les SCC, SCR, CCR, LCR, ... Exchange 2010 protège les informations de ses bases exclusivement grâce au nouveau système de réplication de données nommé Data Availability Group (DAG). Le cluster ne se fait maintenant plus au niveau du serveur mais au niveau de la base de données. Ce système a pour objectif de fiabiliser l'accès aux données, en évitant les problèmes de « Single Point Of Failure » avec notamment la suppression du stockage partagé des bases sur des SAN comme c'était le cas dans les architectures SCC. Il n'y a maintenant plus de risques que les données soient inaccessibles car les bases de données sont répliquées sur chacun des serveurs membres du DAG et ceci jusqu'à 16 serveurs en tout pour chacune des bases. Cette solution fiabilise l'accès au serveur de messagerie à partir d'une architecture composée de deux serveurs (4 serveurs minimum était nécessaire sous Exchange 2007 - 2 MailBox et 2 ClientAccess/HubTransport). Le principe de fonctionnement du DAG est très simple car il consiste à faire une copie de la base de données d'un serveur maitre sur tous les membres du DAG. Concernant la mise en place, il suffit de créer un groupe de disponibilité et d'installer la fonctionnalité « Failover Clustering » sur les serveurs du groupe de disponibilité. L'implémentation d'un DAG est aussi présentée comme un système de sauvegarde fiable, continu et efficace. Si la machine hébergeant la base de données maîtresse tombe en panne, le service de cluster bascule sur l'un des autres membres qui est donc complètement autonome. Evidement, cette technologie ne remplace pas les stratégies classiques de sauvegarde ayant pour objectif l'archivage des messages. Les nouvelles options d'administration : Tout comme pour Exchange 2007, l'administration se fait exclusivement par l'exécution de commande PowerShell (EMS - Exchange Management Shell), la console graphique (EMC - Exchange Management Console) n'étant qu'un frontal graphique pour lancer en arrière plan des commandes PowerShell. On remarquera tout de suite, à ce niveau, l'utilisation de PowerShell V2 qui va offrir de nouvelles possibilités dans l'administration distante. Cette intégration poussée fait l'objet d'une nouvelle fonction dans EMC (la console graphique d'administration) où l'on retrouvera, dans chaque boite de dialogue, un nouveau bouton en bas à gauche qui donnera en temps réel la commande PowerShell correspondante à la modification en cours. Exchange 2010 conserve donc son titre d'outil le mieux intégré à PowerShell dans la gamme des produits serveurs Microsoft. Plus aucune excuse pour ne pas maitriser cet environnement de scripting surpuissant... Dans la liste des petites fonctionnalités qui facilitent la vie, de nombreuses options ont été améliorées et/ou intégrées dans EMC alors qu'elles n'étaient jusqu'alors disponibles que sur EMS (Shell) . Il est maintenant possible de modifier les propriétés de plusieurs objets simultanément comme sur la console Utilisateurs et ordinateurs Active Directory. Une nouvelle fonctionnalité de gestion des permissions nommée Role Based Access Control (RBAC) fait également son apparition avec, pour objectif, d'éditer des modèles d'accès aux propriétés de plusieurs types d'objets. On peut ainsi éditer l'accès aux propriétés des objets suivants : Utilisateur, Groupe, Dossier Public, Agent de BAL, Contact, Recherche, ... Les fonctions automatiques de gestion du calendrier font aussi leur apparition dans l'interface graphique, alors qu'ils n'étaient précédemment disponibles que dans la console EMS. Lors du déplacement à chaud d'une boîte aux lettres, il n'y a plus de perte de connexion et un nouveau noeud de suivi du traitement permet de suivre l'évolution des transferts et de les annuler si besoin. Il est possible d'exporter des boites aux lettres au format PST directement dans la console. Une attention toute particulière a été donnée à la gestion des échanges entre organisations (forêts). Il est ainsi maintenant possible d'ajouter plusieurs forêts Exchange dans la même console, de déplacer une boîte aux lettres vers une autre organisation et de vérifier si une boîte aux lettres est déplaçable. Fonctionnalité attendue depuis longtemps, on peut maintenant directement gérer, depuis EMC (Console), l'activation de l'archivage des boites aux lettres. Concernant la surveillance du service de messagerie, une fonction d'analyse de l'état de l'organisation fait son apparition. Cette fonction analyse l'état général de santé de toute l'organisation et en offre une vue synthétique. Les commandes lancées par EMS (Shell) bénéficient quand à elles d'un système d'audit qui nous permettra de retrouver les actions administratives dans les journaux. Il est à noter, pour finir, que l'on peut créer un disclamer contenant des liens hypertextes, des images ainsi que du HTML. Les nouveautés pour l'utilisateur : En attendant Outlook 2010 qui devrait sortir en février 2010 avec le pack Office 2010 et qui bénéficiera de toutes les optimisations d'Exchange 2010, la principale nouveauté concernant les utilisateurs est le nouveau Outlook Web Access (OWA) qui présente un festival de nouvelles fonctions. D'un premier aspect identique à son prédécesseur, une nouvelle vue permettant l'organisation des messages par conversation a été ajoutée. Cette vue, que l'on pouvait déjà utiliser sur différents Webmail sur Internet, est très pratique pour se retrouver dans ses échanges lorsqu'ils sont nombreux et divers. Croyez moi, l'essayer c'est l'adopter ... On notera que la gestion des utilisateurs et des groupes de distribution peut maintenant se faire par un accès spécial d'Outlook Web Access. Vous pouvez déléguer (de manière granulaire) la gestion des utilisateurs et des groupes de distribution à un DRH ou responsable quelconque via une interface simple, sans avoir à le former sur les outils d'administration Exchange ou même pire, à PowerShell... C'est une fonctionnalité très pratique pour offrir plus d'autonomie aux utilisateurs. Il sera aussi possible de gérer l'appartenance aux groupes de distribution par un système d'abonnement : L'utilisateur désirant faire partie d'une liste de distribution pourra en faire la demande et, selon la configuration, il sera accepté automatiquement ou suite à l'approbation de l'administrateur du groupe. Les utilisateurs seront enfin aidés dans la gestion quotidienne de leurs emails avec la gestion des Favoris, les dossiers de recherche, la recherche de boîtes aux lettres, le filtrage de messages, les catégories de messages, la possibilité d'attacher des messages en pièce jointe, de nouvelles options dans le menu contextuel, l'intégration plus poussée avec OCS (Office Communication Server) avec les concepts de présence, la possibilité d'envoyer et de recevoir des SMS, le partage de calendrier entre différentes organisations .... Concernant les communications unifiées, la fonction de reconnaissance vocale (ASR) supporte plus de 16 langues et il est possible de construire des règles de réponse automatique pour les appels. Un aperçu du contenu d'un message vocal apparait maintenant dans Outlook et OWA et il est possible de se faire notifier par SMS un appel manqué. Conclusion : Exchange est plus que jamais un produit agréable à utiliser. Il est, dans sa version 2010, plus facile d'accès car tout a été conçu pour aller vite, que l'on administre un seul ou plusieurs serveurs. La fonction DAG est particulièrement intéressante pour fiabiliser son infrastructure et, comme je l'ai déjà écrit, dès que l'on a gouté au nouveau OWA, il est difficile de revenir en arrière... Bien sûr, on pourra toujours regretter que certaines fonctions ne soient toujours pas disponibles sur Exchange... Je pense notamment à l'administration des signatures de messages (coté serveur) qui me ferait, personnellement, gagner beaucoup de temps. Gageons qu'elle apparaisse dans Exchange 2013... Tue, 22 Sep 2009 00:25:32 +0200 http://www.espace-microsoft.com/fr/articles/19534-a-decouverte-la-console-active-directory-administrative-center.html http://www.espace-microsoft.com/fr/articles/19534-a-decouverte-la-console-active-directory-administrative-center.html Présentation de la nouvelle console Active Directory Administrative Center Windows Server apporte comme à chaque nouvelle version un certain nombre de nouveautés concernant Active Directory. Ainsi on a pu voir apparaitre avec la version 2008 R2 des fonctionnalités comme la corbeille Active Directory, l'intégration des machines en mode non connecté, l'ajout de commandes PowerShell (cmdlets) spécifiques ainsi que la console Centre d'administration Active Directory. Cet article porte justement sur cette nouvelle console d'administration. Pourquoi avoir créé la console Centre d'administration Active Directory ? Le constat est simple : il est assez délicat, jusqu'à aujourd'hui, avec les consoles d'administration graphiques actuelles (Utilisateurs et ordinateurs Active Directory, Domaine et approbations Active Directory, ...), d'administrer la quantité croissante d'objets que l'on retrouve dans l'annuaire Active Directory. De la même façon, les tâches les plus simples (réinitialisation de mots de passe, désactivation de comptes, ...) peuvent se révéler délicates à réaliser car il faut dans un premier temps localiser l'objet en question dans l'arborescence, puis exécuter l'action correspondante via les commandes contenues dans des menus contextuels riches en fonctionnalités. De nouveaux outils d'administration ont alors émergé comme PowerShell. Très pratiques et très puissants à l'utilisation (les administrateurs d'Exchange 2007 ou 2010 ne pourront pas dire le contraire...) ils permettent de facilement agir sur un nombre important d'objets quelque soit leur emplacement de stockage. Toutefois, ces outils basés sur la ligne de commande, même s'ils ont été conçus pour tous les administrateurs, ne pourront contenter les adeptes de l'interface graphique totalement allergiques au script et à la ligne de code. C'est pour cela que Microsoft à développé la console Centre d'administration Active Directory, qui arrive donc comme un complément à la console Utilisateurs et ordinateurs Active Directory, outil d'administration originel qui a vu le jour sous Windows 2000 avec la toute première version des services d'annuaire Microsoft( à noter que cette dernière est toujours disponible sous Windows Server 2008 R2). La console Centre d'administration Active Directory permettant un accès plus facile aux commandes les plus courantes tout en simplifiant l'accès aux objets. Le Centre d'administration Active Directory va permettre par ailleurs de gérer, à partir de d'une console unique, des objets dans n'importe quel domaine ou n'importe quelle foret (sous réserve de disposer des autorisations et des relations d'approbations adéquates). Installation et utilisation de la console Cette console d'administration est disponible sous Windows Server 2008 R2. Elle est également utilisable sous Windows 7 une fois les RSAT (Remote Server Administration Tools) installés (http://www.microsoft.com/downloads/details.aspx?FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d-displaylang=en). Pour pouvoir l'utiliser, il faut qu'au moins un contrôleur de domaine Active Directory sous Windows Server 2008 R2 soit déployé. Vous pourrez, avec cette console, réaliser les tâches suivantes : Créer et administrer les comptes utilisateur, les comptes d'ordinateurs et les groupes. Organiser les objets Active Directory à l'aide d'unités d'organisation. Se connecter à un ou plusieurs domaines et administrer les objets de manière centralisée dans la même console. La page d'accueil va vous permettre d'effectuer les actions courantes comme la réinitialisation du mot de passe d'un compte utilisateur ainsi que la recherche de contenu dans Active Directory. Deux modes de navigation s'offrent à l'administrateur : la navigation par arborescence usuelle et une navigation par colonne qui se révèle très pratique pour parcourir les objets en utilisant un minimum de place sur le bureau. Pour utiliser la console, il suffit d'ajouter dans l'arborescence de gauche les connexions représentants les conteneurs dans lesquels se trouvent les objets sur lesquels vous souhaitez agir (qu'ils soient dans le même domaine, la même forêt... ou pas). Les tâches sont définies en deux étapes : tout d'abord, il faut lister les objets concernés par une série de recherches et de filtres puis appliquer les actions concernant ces objets. Parmi ces actions, on peut citer celles portant sur l'état des objets (activation, désactivation, déplacement, ...), ou la modification des propriétés en série grâce à la fenêtre spécialement étudiée pour. A noter que la fenêtre de propriétés a été repensée pour présenter en une seule page les éléments les plus pertinents composant un objet. L'architecture de fonctionnement de la console Windows Server 2008 R2 introduit un Web Service pour l'accessibilité à Active Directory (AD). Ce service est utilisé entre autres par les commandes PowerShell et par la console Centre d'administration Active Directory. Il requiert l'ouverture du port TCP 9389. L'équivalent de ce Web Service est disponible pour les contrôleurs de domaines plus anciens comme Windows Server 2003 SP2 et Windows Server 2008 par l'intermédiaire du package Active Directory Management Gateway Service (ADMGS - http://www.microsoft.com/downloads/details.aspx?FamilyID=008940c6-0296-4597-be3e-1d24c1cf0dda-displaylang=en). Le principe de fonctionnement est identique à celui utilisé par les commandes Windows PowerShell pour Active Directory, la console Centre d'administration Active Directory étant une sorte de frontal graphiques aux commandes PowerShell. La même philosophie y est appliquée. Conclusion La première question que l'on se pose en utilisant cet outil est de savoir ce qu'il apporte par rapport à ceux déjà présent depuis la genèse d'Active Directory. Une fois la philosophie acquise, l'intérêt de ce nouvel outil est évident et il se révèle très pratique à l'usage. On regrettera cependant, de part le fonctionnement intrinsèque de l'outil, que les commandes Powershell générées ne soient pas visualisables comme c'est le cas sur Microsoft Exchange. Tue, 24 Nov 2009 15:56:54 +0200 http://www.espace-microsoft.com/fr/articles/20054-migration-exchange-2003-vers-2010-inter-foret.html http://www.espace-microsoft.com/fr/articles/20054-migration-exchange-2003-vers-2010-inter-foret.html 1 Présentation du scénario de migration Le scénario décrit dans le présent article est fréquemment rencontré ; notamment dans des scénarios de fusion ou de regroupement intra-groupe. Si les outils de migration intégrés à Exchange 2007 sont bien connus (commande Move-Mailbox notamment) ; Exchange 2010 intègre de nouveaux outils et de nouvelles commandes que nous allons détailler dans cet article. 1.1 Présentation des objectifs de migration L'objectif du scenario est de migrer les boites aux lettres des utilisateurs d'une organisation Exchange 2003 vers une organisation Exchange 2010. Il s'agit donc d'un scénario de migration inter-forêt. A l'issue de la migration, les utilisateurs continueront à utiliser leur compte existant dans la forêt source et se connecteront à leur boîte Exchange 2010 avec ce dernier. Les boîtes aux lettres générées par le processus de migration seront donc de type « linked mailbox » ; à savoir associées avec des comptes désactivés dans la forêt de destination. Les comptes utilisateurs pourraient-être dans un second temps migrés sur le nouveau domaine en assurant une continuité d'accès aux anciennes ressources (du domaine source) via la conservation de l'historique SID. 1.2 Contexte de la migration Nous allons héberger sur deux serveurs nos deux forêts Active Directory. Le premier domaine aura pour nom egilia2003.lan et deviendra notre domaine source. Celui-ci sera hébergé sur un premier serveur sous Windows Server 2003 R2 (32bits) sur lequel nous aurons installé Active Directory, les composants IIS et le serveur Exchange 2003 et son Service Pack 2 (le SP2 est un pré-requis obligatoire à la migration vers Exchange 2010). Le second domaine aura pour nom egilia2010.lan et deviendra notre domaine de destination. Celui-ci sera hébergé sur un second serveur sous Windows Server 2008 R2 (64 bits) sur lequel nous aurons installé Active Directory, le composant FilterPack Office, les composants IIS et Exchange 2010. 1.3 Les outils utilisés La plupart des commandes qui vont être présentés dans cet article sont des cmdlets PowerShell. Elles seront à exécutées dans l'environnement PowerShell à partir du serveur Exchange 2010. 2 Déplacement de boites aux lettres 2.1 Préparation de la migration Pour migrer les informations entre les deux forêts, il va être nécessaire de mettre en place une relation d'approbation 'externe' ou de 'forêt' entre les deux domaines. Pour cela, il faut tout d'abord créer, sur les serveurs DNS respectifs des deux domaines, des redirecteurs conditionnels croisés entre les deux domaines. Ensuite nous allons créer une relation d'approbation entre les domaines (dans les deux sens) dans l'outil d'administration Domaine et approbation Active Directory. 2.2 Création des comptes utilisateurs dans la forêt Exchange 2010 Afin de migrer les boites, il est nécessaire de créer les objets utilisateurs au préalables sur le domaine de destination (Exchange 2010). Ces utilisateurs possèderont une boîte aux lettres mais seront désactivés. Il est conseillé d'utiliser un outil comme ADMT (Active Directory Migration Tool) pour créer ces comptes utilisateurs de manière à reprendre le SID du compte utilisateur existant dans l'attribut SID History. Cette opération permettra d'anticiper une éventuelle migration totale des comptes utilisateurs vers la nouvelle forêt (suppression de l'ancienne forêt). Actuellement, la dernière version d'ADMT disponible est la 3.1 qui ne supportent pas Windows Server 2008 R2. En attendant une nouvelle version qui corrigera le problème, il n'est possible de réaliser l'opération qu'à partir de Windows Server 2008. Nous allons dans notre cas utiliser une procédure de création classique d'un compte utilisateur. 2.3 Mise en conformité des comptes Afin de pouvoir déplacer nos boîtes aux lettres vers ces utilisateurs d'accueil, il est obligatoire de leur ajouter les extensions de messagerie (Type MailUser). Vous pouvez faire cela à l'aide de la commande suivante : [PS] C:\ >Get-User -Identity mmartineau | Enable-MailUser -ExternalEmailAddress mmartineau@egilia2003.lan Il est aussi nécessaire de copier le contenu de l'attribut msExchMailboxGuid du compte source (Exchange 2003) vers le compte d'accueil (Exchange 2010). Pour cela, vérifiez que les comptes distants sont bien joignables à partir d'Exchange 2010 : [PS] C:\>Get-Mailbox -Identity mmartineau -DomainController e2003.egilia2003.lan -Credential (Get-Credential EGILIA2003\Administrator) Ensuite, vous pouvez transférer les attributs, nous allons utiliser dans notre cas l'outil ADSI Edit que l'on va lancer à laide de la commande adsiedit.msc : Dans le domaine d'origine, nous allons copier le code Hexadécimale correspondant à l'attribut msExchMailboxGuid, puis le coller dans l'attribut du compte du domaine de destination. (Vous remarquerez que la représentation Hexadécimale n'est pas la même que la valeur de l'attribut). 2.4 Déplacement de la boite aux lettres Lancez le déplacement de la boite aux lettres vers le serveur Exchange 2010. [PS] C:\>New-MoveRequest -RemoteLegacy -Identity mmartineau -RemoteCredential (Get-Credential EGILIA2003\Administrator) -RemoteGlobalCatalog e2003.egilia2003.lan -TargetDeliveryDomain 'egilia2010.lan' -TargetDatabase 'Exchange 2010 Mailbox' Affichez les statistiques de déplacement jusqu'à voir apparaitre le statut Completed pour les boites transférées à l'aide de la commande suivante : [PS] C: >Get-MoveRequestStatistics - Identity mmartineau Testez la migration de la boite aux lettres en ouvrant une session sur Outlook Web Apps avec le compte migré sur le serveur CAS Exchange 2010 (Client Access). 2.5 Transformation du compte utilisateur avec boîte aux lettres en compte utilisateur lié Si notre souhait est de maintenir l'authentification sur le compte d'origine (Exchange 2003), le compte qui a été créé n'est pas satisfaisant car l'authentification se base maintenant sur le compte du domaine Exchange 2010 (le nouveau) et non pas sur celui d'origine (Exchange 2003). Pour résoudre cela nous allons déconnecter la boite aux lettres du compte d'accueil à l'aide de la commande suivante afin de retrouver un compte de type User : [PS] C:\>Disable-Mailbox -Identity mmartineau On peu alors vérifier que la boite aux lettres n'est plus liée au compte utilisateur à l'aide de la console Exchange Management Console, dans le noeud Disconnected Mailbox : Si les informations n'ont pas été mis à jour, vous pouvez lancez la commande suivante pour prendre en compte le statut déconnecté de la boite aux lettres : [PS] C:\>Clean-MailboxDatabase -Identity 'Exchange 2010 Mailbox' Afin de reconnecter le compte utilisateur à la boite aux lettres mais cette fois-ci en mode lié, désactivez le compte : Listez les boites aux lettres ainsi que leurs attributs MailboxGuid à l'aide de la commande suivante : [PS] C:\>Get-MailboxStatistics - Server e2010.egilia2010.lan | ft DisplayName,MailboxGuid Reconnectez ensuite la boite aux lettres à un compte lié à l'aide de la commande suivante : [PS] C:\>Connect-Mailbox -Identity 'MaiboxGuid>' -Database 'Exchange 2010 Mailbox' -User mmartineau -LinkedDomainController e2003.egilia2003.lan -LinkedCredential (Get-Credential EGILIA2003\Administrator) -LinkedMasterAccount mmartineau Vous avez ainsi votre compte de type Linked Mailbox. Et vous pouvez maintenant accéder à votre boîte aux lettres migrée sur Exchange 2010 à l'aide votre compte de forêt 2003. Comme vous avez pu le voir la procédure n'est pas simple mais peu facilement s'automatiser à l'aide d'un script PowerShell. Tue, 19 Jan 2010 14:45:35 +0200 http://www.espace-microsoft.com/fr/articles/20059-implementation-live-migration-hyper-v.html http://www.espace-microsoft.com/fr/articles/20059-implementation-live-migration-hyper-v.html Présentation de Live Migration L'objectif de cet article est de détailler l'implémentation de l'une des nouveautés majeures d'Hyper-V sur Windows Server 2008 R2. Cette fonctionnalité baptisée Live Migration se place en concurrence directe avec VMotion de VMware et permet de maintenir la disponibilité des machines virtuelles lors d'actions de maintenance sur les serveurs de virtualisation. Il peut se révéler assez délicat, sur une infrastructure virtualisée, d'être contraint d'arrêter les machines virtuelles lors d'une opération de maintenance sur le serveur physique nécessitant un redémarrage. L'objectif est donc de permettre le basculement d'une machine virtuelle d'un serveur physique à un autre de manière transparente, sans la moindre interruption de service... Principe de fonctionnement Avec Windows 2008, Microsoft proposait déjà un processus de basculement optimisé entre les serveurs physique nommé Quick Migration. Ce processus lance une sauvegarde de l'état de la machine virtuelle incluant le disque dur et la mémoire, puis restaure cet état sur le serveur de destination. L'avantage est que les opérations en cours ne sont pas interrompues car la machine est placée en « veille », mais les clients sont déconnectés durant la bascule. Avec Windows Server 2008 R2 et Live Migration, le serveur physique contenant la machine virtuelle copie le contenu de la mémoire sur le serveur de destination qui la précharge. Pendant cette copie, les clients continuent d'accéder à la machine virtuelle source modifiant entre autre le contenu de la mémoire vive, créant de se fait des divergences avec les copies du serveur cible. Les emplacements ainsi modifiés sont repérés pour être ensuite copiés à leurs tours de manière incrémentielle sur le serveur de destination. Dans la mesure où il y aura moins de données à répliquer (uniquement ce qui a été modifié depuis la copie précédente) la copie est beaucoup plus rapide. La machine virtuelle source est ensuite mise en pause puis la machine virtuelle cible (qui est déjà en mémoire) sur le serveur de destination est mise en route. Des requêtes ARP permettent de rediriger les clients sur le serveur de destination. Le temps d'indisponibilité est donc extrêmement court, aucune reconnexion n'est nécessaire pour le client. La migration est complètement transparente pour l'utilisateur. Il est a noter que ces technologies nécessitent tout de même une homogénéité des plateformes serveurs (AMD ou Intel) pour le basculement. Architecture Pour permettre ce tour de force, il est impossible de recourir aux anciennes techniques de gestion de disque que l'on trouve sur les clusters classiques car elles sont assez lourdes à administrer et requièrent un temps de basculement plus important. (un disque dur par machine virtuelle, temps de prise de contrôle du disque par un noeud, ...) Ainsi une nouvelle fonctionnalité exclusivement destinée à Hyper-V et à Live Migration appelée Cluster Shared Volume a été ajoutée dans les services de cluster de Windows Server 2008 R2. Cette solution basée sur le iSCSI (Protocole permettant le transport du SCSI sur un réseau TCP/IP classique) permet potentiellement aux différents noeuds d'accéder simultanément au même contenu. Afin de garantir l'intégrité des données (et éviter l'écrasement des informations d'un noeud par l'autre), un coordinateur devient responsable de l'organisation du disque et les autres noeuds sont clients de celui-ci. En cas de défaillance du coordinateur, un autre coordinateur est élu parmi les noeuds restants. Implémentation Voici la liste des différents points à ne pas oublier pour mettre en place Live Migration : Implémenter un domaine Active Directory Connecter les noeuds au SAN Installer le rôle Hyper-V sur les noeuds Créer un réseau virtuel Hyper-V commun sur les noeuds Configurer le Cluster Shared Volume avec le SAN Créer la machine virtuelle Tester la fonctionnalité Live Migration L'implémentation des services de cluster nécessite l'utilisation d'un domaine Active Directory pour que les ressources soient démarrées avec le même contexte de sécurité (même privilèges et autorisations) sur les deux noeuds. Il faut ensuite connecter les LUN iSCSI. Pour cela vous pouvez utiliser l'outil de connexion fourni par Windows nommé iSCSI Initiator. Il permettra de monter les volumes distants sur chacun des noeuds. Si vous souhaitez réaliser une maquette et que vous ne disposez pas de SAN, vous pouvez utiliser la version d'évaluation de l'outil Starwind qui émulera une baie SAN. L'installation du rôle Hyper-V est quand à elle tout à fait standard sur les deux noeuds. Il est simplement nécessaire que le nom du réseau virtuel permettant la prise en charge des clients soit le même sur les deux noeuds (souvent un réseau de type externe lié à la carte physique). En effet lors de la bascule, la machine virtuelle recherchera ce nom sur le noeud de destination pour se reconnecter au réseau. Il faut ensuite installer la fonctionnalité Failover Clustering sur les deux noeuds et configurer le cluster par l'intermédiaire de l'assistant. Le type de quorum (Jeu de noeud majoritaire, partage témoin, référence disque, ...) n'est pas important tant qu'il est fonctionnel. Il faut ensuite associer les disques issues du SAN au cluster. Puis activer l'option Cluster Shared Volume, qui va créer le répertoire C:\ClusterStorage sur l'ensemble des noeuds, ainsi que, pour chaque espace de stockage que vous aller ajouter, un sous-répertoire correspondant (ex : c:\ClusterStorage\Volume 1). A l'aide de l'outil d'administration du cluster, vous devez ensuite créer la machine virtuelle qui devra être stockée sur l'un des LUN montés (ex : c:\ClusterStorage\Volume 1). Cette manipulation intègre non seulement le processus de création de la machine virtuelle mais aussi la configuration de toutes les dépendances permettant de relancer la machine sur un autre noeud (disques durs, adresse ip, nom réseau, ...). Une fois la machine installée et opérationnelle, vous pouvez, à l'aide de l'outil d'administration du Cluster, basculer votre machine virtuelle d'un noeud à l'autre et constater le maintien de la connectivité. Conclusion Bien qu'il repose sur des technologies de clustering, Live Migration reste avant tout un outil de migration dans la mesure où les opérations de bascule requièrent une intervention. Il se révèlera comme un atout majeur dans les environnements requérant une haute disponibilité, lors de mises à jour logicielles ou matérielles requérant un arrêt / redémarrage des serveurs physiques (application de correctifs, prédiction de panne,...). Tue, 19 Jan 2010 16:38:24 +0200 http://www.espace-microsoft.com/fr/articles/20827-outils-migration-vers-environnement-hyper-v.html http://www.espace-microsoft.com/fr/articles/20827-outils-migration-vers-environnement-hyper-v.html Parmi les nombreux avantages apportés par la virtualisation de l'infrastructure d'un SI, la flexibilité et la consolidation font partie des plus appréciés. En effet, le principe même de la virtualisation apporte la flexibilité dans l'architecture de tout système implémenté directement sur un hyperviseur. De plus, quand on parle de consolidation, le problème de la migration de l'existant se pose très sérieusement et n'est pas souvent simple à résoudre. L'eco-système d'Hyper-V offre pour cela une multitude d'outils permettant de faciliter le processus de migration d'une machine physique vers un environnement virtuel : Ainsi, de nombreux développeurs ont contribué à étendre les possibilités d'Hyper-V grâce à la mise à disposition, souvent gratuite, d'outils très pratiques. Cet article a pour objectif de vous présenter les principes de la migration vers un environnement virtualisé par l'intermédiaire d'une sélection d'outils que nous avons sélectionné en les considérant comme incontournables : Disk2VHD Il s'agit là, sans doute, du plus spectaculaire d'entre eux ! Disk2VHD est un utilitaire gratuit faisant partie de la célèbre suite des outils Sysinternals conjointement développée par les non moins célèbres Mark Russinovich et Bryce Cogswell. A ce propos, je vous conseille de visiter régulièrement leur portail maintenant intégré à TechNet (http://technet.microsoft.com/en-us/sysinternals/default.aspx) ! c'est un vivier inépuisable d'outils gratuits pour l'environnement Windows, plus puissants et astucieux les uns que les autres. Disk2VHD est un utilitaire très simple d'utilisation permettant de transformer n'importe quel disque physique Windows en son équivalant virtuel, c'est à dire un fichier vhd (Virtual Hard Disk). Ce fichier pourra ensuite être utilisé directement, aussi bien sur Virtual PC que sur Hyper-V. Disk2VHD se distingue des autres utilitaires de création de VHD par la possibilité de créer une image 'à chaud' du système sur lequel il est lancé. Il utilise pour cela la technologie Shadow Copy. Cette technologie Shadow Copy est souvent utilisée dans les outils de sauvegarde afin d'accéder sans risque aux fichiers de modifications de ceux-ci pendant le processus de copie, tout en évitant les blocages liés aux verrous sur les fichiers. Vous pouvez-même créer votre fichier VHD sur le disque que vous êtes en train de convertir ! Cet outil est d'autant plus impressionnant que son interface est extrêmement simple : Pour l'utiliser, il vous suffit de sélectionner l'emplacement de destination du VHD à créer, les volumes que l'on souhaite convertir en fichier VHD (disk2VHD va créer un VHD pour chaque disque physique où résident les volumes sélectionnés) et pour finir lancer la création... C'est tout ! Lors de cette opération, les informations de partition et de volumétrie du disque sont maintenues sans autres configurations : Une fois le disque VHD créé, il vous suffit de créer une machine virtuelle dans Hyper-V (par exemple) et de lui associer le disque virtuel sur un contrôleur IDE. Le système d'exploitation invité (la machine virtuelle) va alors détecter le matériel virtuel au démarrage pour l'installer. Il est tout de même conseillé d'installer, par la suite, les composants additionnels liés à votre hyperviseur. Au delà de l'utilisation avec un hyperviseur, vous pouvez ensuite utiliser cette image pour faire un boot physique, comme le permet maintenant Windows 7 et Windows Server 2008 R2. Cet outil peut aussi être piloté par ligne de commande, ce qui est très pratique pour automatiser des sauvegardes en VHD. Exemple : disk2vhd * c:\Users\EGILIA Learning\Desktop\Disk2vhd\EGILIA-Win7.vhd WIM2VHD WIM2VHD est un script gratuit s'exécutant exclusivement en ligne de commande et permettant de convertir une image wim (Windows Image) en VHD. L'image wim est le nouveau format de fichier utilisé par Microsoft pour intégrer le processus de déploiement de ses systèmes d'exploitation, depuis Windows Vista et Windows Server 2008. Souhaitant homogénéiser les processus de déploiement, Microsoft a donné la possibilité de packager des systèmes d'exploitation personnalisés sous la même forme que celle utilisée sur le dvd original. A l'aide d'outil comme la nouvelle version de Sysprep ou encore ximage, il est possible de capturer un système existant et de le packager dans un fichier WIM afin de déployer l'OS aussi bien via le réseau (à l'aide de WDS) que via une clé USB ou encore en personnalisant un DVD. Partant du principe que l'image WIM contient une copie du système d'exploitation, le script WIM2VHD va transformer le WIM pour en faire un VHD autonome qui installera le système choisi (issu de l'image d'un dvd d'installation ou d'une image personnalisée), dès le démarrage de la machine virtuelle. Tout comme disk2VHD, WIM2VHD a pour objectif de créer un fichier VHD qu'il faudra ensuite importer dans la nouvelle machine de notre hyperviseur. Celui lancera, à son tour, le processus d'installation du système : Les prérequis de lancement du script sont les suivants : -bull; Windows 7, Windows Server 2008 R2 ou Windows Server 2008 avec Hyper-V -bull; Le WAIK pour Windows 7 -bull; Le fichier WIM d'un DVD d'installation ou une autre image WIM personnalisée Vous pouvez retrouver ces éléments à l'adresse suivante : http://code.msdn.microsoft.com/wim2vhd (anciennement codeplex). Pour le lancer, il vous faut disposer,au minimum, des paramètres suivants : /wim : pour spécifier l'emplacement du fichier WIM. /sku : pour spécifier la catalogue de l'image WIM à utiliser (quand plusieurs versions sont dans la même image WIM) Exemple : Création d'une image de Window 7 Ultimate appelée Windows7Ultimate.vhd CSCRIPT WIM2VHD.WSF /WIM:dvd>:\sources\install.wim /SKU:ULTIMATE /VHD:C:\Windows7Ultimate.vhd VMC2HV Dédié à la migration de machines virtuelles entre Virtual Server, Virtual PC et Hyper-V, VMC2HV ne va pas, contrairement aux deux précédents outils, travailler sur le VHD mais sur la configuration matérielle des machines virtuelles. Les fichiers VHD étant compatibles entre les différents produits de virtualisation de Microsoft, il suffit, lors d'une conversion vers Hyper-V, de porter son attention principalement sur le côté matériel : Dans un premier temps, il est conseillé de faire attention à la compatibilité des pilotes qui pourraient, dans certains cas, rendre la machine instable après migration. Dans un second temps, réalisez une configuration matérielle équivalente sur le nouvel hyperviseur. Pour résoudre les problèmes de pilotes, il est conseillé de désinstaller, à partir de l'hyperviseur d'origine (Virtual PC ou Virtual Server), les pilotes de l'environnement virtuel puis de réinstaller ceux de l'hyperviseur de destination (Hyper-V). Pour la partie configuration matérielle, VMC2HV va pouvoir nous aider : Sans être indispensable, il va permettre d'importer, en quelques clics, une configuration très proche de celle dont on disposait sur l'ancienne plateforme. Il est a noter qu'aucun pilote optimisé pour Windows NT 4 n'a encore été développé pour Hyper-V et que Microsoft recommande de laisser les environnements NT4 virtualisés sur des hyperviseurs de type Virtual Server 2005 R2. System Center Virtual Machine Manager 2008 (SCVMM2008) Cet outil payant, édité par Microsoft, a pour objectif d'offrir une meilleure expérience de gestion des environnements virtualisés. Il intègre un grand nombre de fonctionnalités telles que la conversion de machines virtuelles, la conversion de machines physiques, le scripting à l'aide de PowerShell, les Bibliothèques,.... Une édition dédiée aux PME, appelée Virtual Machine Manager 2008 Workgroup Edition (VMM WGE), existe également. Cette édition comprend les licences d'administration d'un nombre illimité de machines virtuelles pour un maximum de 5 hyperviseurs. SCVMM 2008 permet de gérer des environnements virtuels hétérogènes comme Virtual Server, Hyper-V ou encore VMware ESX (à condition que vous ayez installé VMware Virtual Center). De ce fait, il intègre des outils de qualité pour la migration de machines physiques ou virtuelles. Dans le cas de machines virtuelles, il sera capable de convertir, par exemple, des machines VMware vers Hyper-V . Dans le cas d'une migration à partir d'une machine physique, la procédure et les capacités de SCVMM sont très intéressantes : En effet,SCVMM va installer, à travers le réseau, un agent (attention au firewall...) sur la machine cible pour analyser ses besoins et les reproduire à l'identique sur la machine virtuelle cible (processeur, mémoire, disque, réseau, ...) Il lancera ensuite une série d'étapes (que l'assistant nous détaille au format PowerShell) afin de mener la migration à son terme. Tout est alors automatique et se passe à distance. Pendant ce temps la machine source continue à fonctionner. Une fois la migration terminée, la machine virtuelle sera pleinement operationnelle (même les composants d'intégration auront été installés). Selon la configuration choisie, la machine physique pourra même s'eteindre automatiquement et la machine virtuelle s'allumer à sa place. De fait, SCVMM justifie pleinement son positionnement payant par la qualité des procédures mises en place. Les autres outils... L'objectif premier de cet article étant de vous présenter les différentes orientations concernant les manipulations possibles autour de la migration de machines virtuelles spécifiquement vers Hyper-V, nous n'avons pas traité les autres outils tels que VMware converter ou Acronis, qui offrent également des avantages spécifiques. Tue, 18 May 2010 11:58:38 +0200