Windows | Windows Server | Active directory | Exchange | SharePoint | SCCM | SCOM | Hyper-V | App-V
ACCUEIL Facebook Twitter Linked In Viadeo Flux RSS
Chapitres
1. Gestion plus efficace !
2.Sécurité renforcée
3. Une plus grande flexibilité
4 Conclusion

Articles suivants

Articles précédents
Nouveautés de Windows Server 2016 CTP2
Histoire de Microsoft et chronologie
Windows 10: Découvrez les nouveautés !
System Center 2012 Orchestrator: Présentation
Optimisation des performances d'un environnement Hyper-V


Publié le : 11/01/2007 11:45:00
Mise à jour le : 14/10/2011 20:24:42
Catégories :


Version imprimable

Auteur(s)

Loïc THOBOIS (Membre depuis le 04/09/2007 17:50:01)
Société : AVAEDOS
Fonction : Consultant / Formateur
Contactez cet auteur - Affichez les ressources de cet auteur
Nicolas MILBRAND (Membre depuis le 03/11/2010 13:25:59)
Société :
Fonction :
Contactez cet auteur - Affichez les ressources de cet auteur

10 raisons de passer à Longhorn Server

3. Une plus grande flexibilité

3.1 Refonte du service Terminal Serveur  !

Je ne vous le cache pas, c'est l'une des améliorations qui nous à séduite le plus et elle va sans doute changer vos habitudes, en généralisant l'utilisation de terminaux et ce n'importe où sur votre réseau grâce à son extraordinaire flexibilité !

Petit rappel, les services Terminal Serveur permettent entre autres d'héberger et centraliser vos applications, ensuite vos utilisateurs s'y connectent à distance pour les utiliser via un bureau virtuel (protocole Remote Desktop Protocole), l'avantage étant que les tâches sont réalisées coté serveur/cluster  !

Applications distantes

Quoi de neuf ? Windows Server "Longhorn" apporte aux services Terminal Server de nouvelles fonctionnalités. Désormais il est possible d'exécuter les programmes hébergés par les services Terminal Server sur les postes de travail des utilisateurs comme s'il s'agissait d'applications locales et non pas via un bureau virtuel. Cette technologie est vraiment spectaculaire.

La technologie est donc totalement invisible pour l'utilisateur final et rien ne l'empêche d'exécuter des programmes distants en parallèle des programmes locaux. (Le drag and drop entre application local/distance sera intégré dans une future version de Longhorn).

Passerelle Terminal Server

Un nouveau rôle de serveur d'infrastructure a également était introduit, il s'agit de la passerelle Terminal Server (TS Gateway).

Grâce à cette passerelle, Les utilisateurs accèdent aux terminaux et à leurs programmes distants à partir de n'importe quel point du globe tout en étant protégés par un pare-feu. Le protocole RDP est alors encapsulé dans un flux HTTPS. Tout comme le RPC over HTTPS pour les communications entre Outlook et Exchange, plus besoin d’établir de tunnel VPN.


Exemple d’utilisation de la nouvelle architecture introduite avec Longhorn

3.2 Windows Serveur virtualization

La virtualisation va faire un pas en avant très important avec Longhorn Server ! Voici une représentation couche par couche des systèmes de virtualisation actuels :

En résumé, une multitude de couches qui se succèdent et qui alourdissent d’autant l’exécution des machines virtuelles. Dans ce modèle, on distingue aussi une distance très importante entre les machines virtuelles et le matériel.

L’objectif de la nouvelle architecture d’émulation sous Longhorn Serveur est d’exploiter au mieux les nouvelles instructions dédiées à l’émulation des nouveaux processeurs.

En utilisant ces nouvelles instructions et par l’intermédiaire du tout nouveau Windows Hypervisor, toutes les VM auront un accès quasiment direct au matériel de la machine. Dans cette configuration en « serveur de machine virtuelle », même le système d’exploitation principal devient une machine virtuelle (appelé parent). Tout le monde est donc au même niveau.

Windows Hypervisor ne sera pas installé dans une configuration « sortie de boite », il le sera uniquement quand les composants de virtualisation seront installés sur Longhorn Serveur.

On obtient une architecture plus simple donc plus efficace qu’actuellement.

Quels sont les autres bénéfices concrètement ?

  • Une utilisation directe du matériel qui permet d’utiliser les instructions 64 bits ainsi que l’exploitation des environnements multiprocesseurs (jusqu'a 8 cœurs).  Plus grande utilisation de la mémoire vive, jusqu'a 32go par VM.
  • La modification à chaud de la configuration matérielle des machines virtuelles est aussi au programme avec notamment l’ajout à chaud de mémoire vive, processeur, périphérique de stockage et réseau dans une VM.
  • Administration via System Center Virtual Machine Manager.

3.3. Active Directory sur vos sites distants

Contrôleur de domaine en lecture seul (Read Only Domain Controller)

Actuellement, s’il n’est pas possible de garantir la sécurité physique des serveurs dans une succursale, deux solutions sont envisageables :

  • Les utilisateurs s'identifient via un réseau longue distance (WAN) avec comme inconvénients des temps d'authentifications relativement longs.
  • Implémenter un contrôleur de domaine malgré le risque qu’une personne dérobant ce serveur puisse récupérer la base de compte (mot de passe).

Avec Windows Serveur "Longhorn" une troisième solution est envisageable :

Placer une copie en lecture seule de la base de données d'annuaire Active Directory à proximité des utilisateurs situés sur les sites non sécurisés. Ainsi ils profitent d'un temps de connexion accéléré et d'un accès plus efficace aux ressources d'authentification du réseau. Ce nouveau type de contrôleur de domaine introduit par "Longhorn" est nommé Domain contrôleur en lecture seul ou RODC (Read-Only Domain Controller).

Attention: ce modèle n’est pas à confondre avec le modèle introduit par NT4 : PDC et BDC (maitre//esclave) et l'infrastructure Active Directory reste bien multi-maitre, cependant il sera désormais possible d'assurer son intégrité en limitant son contenu.

Voici les caractéristiques des RODC (Longhorn Beta 2)

  • Il ne peut pas être Catalogue global
  • Pas de communication possible entre deux RODC, donc un seul par site
  • Par défaut, sa base ne possède pas de mot de passe "utilisateur", ce qui nécessite une utilisation du réseau pour s'identifier. Il est possible à l'aide de la stratégie de réplication des mots de passe de définir ceux qui seront répliqués.
  • Réplication unidirectionnelle, c'est un comportement normal puisque la base d'un RODC n'est pas modifiable. Ainsi le RODC se mettra à jour grâce au contrôleur de domaine "classique" défini lors de son installation.
  • Mise en cache des groupes universels activés par défaut.
  • Les applications suivantes seront supportées :Applications LDAP, ADFS, DNS, DHCP, FRS V1, DFSR (FRS V2), Group Policy, NAP, PKI, CA, IAS/VPN, DFS, SMS, ADSI queries, MOM

Caractéristiques des RODC prévues dans la Beta3 :

  • Le support du catalogue global mais uniquement pour l'utilisation des clients Outlook. En effet pour le moment sur un site distant disposant d'un RODC (beta2) vos clients Outlook sont dans l'incapacité de communiquer !
  • La possibilité de mettre deux RODC par site.

Limitations finales pour le RODC

  • Pas de version d’ADAM en lecture seule
  • Pas de support d’Exchange Server
  • Il ne sera pas possible de répliquer entre eux deux RODC

Voici un exemple classique d'utilisation de RODC placé dans un site distant non sécurisé, ce dernier est configuré pour communiquer et se mettre à jour grâce a un contrôleur de Domain "classique" situé dans votre réseau sécurisé.

  1. Bill un utilisateur du site distant souhaite s'identifier.
  2. Ce dernier va contacter son Contrôleur de domaine local (le KDC), ici un RODC.
  3. N’ayant pas les mots de passe des utilisateurs, il va donc transférer cette demande auprès d'un contrôleur de domaine "classique" situé dans un site distant.
  4. Le contrôleur de domaine "classique" traite sa demande et retourne les informations au RODC.
  5. Le RODC fournit l'information (TGT) au client.
  6. Ensuite le RODC initie une requête auprès du contrôleur de domaine "classique" afin de répliquer en local les mots de passe de l'utilisateur.
  7. Le contrôleur de domaine "classique" vérifie la politique de réplication des mots de passe afin de savoir si ce dernier peut ou non le répliquer sur le RODC.

Ainsi il est conseillé de configurer cette stratégie afin de ne répliquer que les mots de passe des utilisateurs présents sur le site. Ainsi, en cas de vol du RODC, il suffira de réinitialiser uniquement ces mots de passe.

Vue d'ensemble de la Stratégie de réplication des mots de passe, ici par exemple nous voyons que les mots de passe du groupe administrateurs ne sont pas répliqués

Actuellement, les fonctionnalités du RODC sont soumises à des modifications importantes et ne sont donc pas encore définitives.

AD redémarrable ("Restartable" Active Directory)

Sous Windows Server « Longhorn » le service d'annuaire Active directory est désormais un service redémarrable.

Ainsi le rôle d'infrastructure "Contrôleur de domaine" pourra être arrêté et démarré sans devoir redémarrer physiquement la machine.

Les administrateurs pourront donc exécuter des fonctions non réalisables lorsque ce service est en cours d'exécution (défragmentation hors ligne, application de patch, …).Ceci sans entrer dans le mode de restauration des services d'annuaire.

Ainsi le service d'annuaire peut prendre trois états :

  1. Services d'annuaire démarré : Le contrôleur de domaine fonctionne normalement.
  2. Services d'annuaire arrêté : Le serveur possède les caractéristiques d'un contrôleur de domaine dans le mode de restauration des services d'annuaire et d'un serveur membre d'un domaine.
  3. Mode de restauration des services d'annuaire. : Il n'a pas changé, vous utilisez le mot de passe de restauration de service défini lors de la promotion du serveur et la base de données Ntds.dit est hors ligne.

Conséquence directe : Dans certains cas, les temps de maintenances de la base d'annuaire sont considérablement réduis puisqu'il n'est plus nécessaire de passer dans un mode de restauration hors connexion.


Aperçu du contrôle des états du service d'annuaire Active Directory

 Bitlocker

Bitlocker est une technologie déjà présente dans Windows VISTA mais dont l’intérêt est d’autant plus important dans Longhorn Server.

C’est une solution de sécurité permettant de garantir l'intégrité des données sur un disque durs, ainsi que d’allonger au maximum le temps de récupération malveillante des données stockées sur celui-ci.

Une problématique bien connue des administrateurs de serveurs dispatchés sur plusieurs sites est d'assurer la sécurité et l'intégrité des informations contenues dans ces succursales qui ne sont pas dotés d'emplacements sécurisés. Avec un contrôleur de domaine ou un serveur d'infrastructure posé à la disposition de tous … n'importe qui le dérobant est capable de récupérer les informations contenues sur les disques durs !

La solution Bitlocker sécurise l'exécution du code jusqu'au moment du boot (à l’aide d’une puce TPM), et protège l'intégralité de votre disque dur par cryptage, ainsi sont protégées vos données mais également les fichiers systèmes.