Avis à tous les architectes et les administrateurs d’infrastructure, de poste de travail, de sécurité, d’applications et consorts : la nouvelle version majeure de Windows Server est bientôt de sortie. La mouture qui complète et optimise l’utilisation de Windows Vista en entreprise. Il s’agit donc de Windows Server 2008 (anciennement Longhorn Server), qui a fait son apparition dans nos contrées en version finale au mois de Février 2008. A quelques mois près, Microsoft tient ses objectifs de livrer une version de Windows Server tous les 2 ans avec une alternance de version majeure et version mineure : Windows Server 2003 en 2003, la version mineure R2 en 2005 et maintenant la version majeure Windows Server 2008.
Essayons de décortiquer la version Release Candidate 0 que nous avons entre les mains et téléchargeable à partir du site de Microsoft à l’adresse http://www.microsoft. com/windowsserver2008/default.mspx. Bien sur, nous nous devons de vous rappeler la consigne habituelle en ce qui concerne une version Release Candidate qui dit que toute version non finalisée peut être soumise à des changements jusqu’à la sortie finale du produit.
Commençons par brosser le portrait de cette nouvelle version. Windows Server 2008 inclut de très nombreuses nouveautés et améliorations profondes. Il y en a tellement et dans tellement de domaines que l’on peut se demander s’il vaut mieux vous présenter ce que ne fait pas Windows Server 2008 plutôt que ce que fait Windows Server 2008, ce sera plus rapide. Même si cela peut prêter à sourire, il y a une vraie interrogation de fond derrière cela : force est de constater que depuis Windows NT 4.0 Server, en très peu de temps, Windows Server est devenu tellement gros (en terme de fonctionnalités) qu’aujourd’hui, soyons clairs, un seul administrateur ne peut pas couvrir toutes les connaissances techniques que demande le produit. Donc la vraie question est : est-ce que cette nouvelle version est "digeste", c’est-à-dire suffisamment bien découpée (en rôles), flexible et à la fois complète pour que chaque spécialiste dans son domaine puisse exploiter effi-cacement le produit ? La réponse à cette question est : oui.
Une des importantes nouveautés de Windows Server 2008 est la présence de 2 modes d’installation. Nous connaissions jusqu’à présent les versions de Windows Server: Web, Standard, Entreprise et Datacenter, se rajoute maintenant, pour chaque version (sauf Web), un mode "complet" et un mode "Server Core". Le mode "complet" est celui que nous connaissons, avec l’interface graphique et un choix étendu de rôles et de fonctionnalités. Le mode "Server Core" est un mode plus restreint, avec comme unique interface une interface en ligne de commande. Tout se joue à l’installation de Windows Server 2008 : vous aurez le choix d’installer Windows Server en mode "complet" ou "Server Core". En choisissant "Server Core" vous pourrez ensuite sélectionner le rôle que vous voulez donner au serveur : contrôleur de domaine, DNS, DHCP, IIS, etc.
Ce sont des rôles très restreints. La liste des rôles est figée. De ce fait vous allez réduire la surface d’attaque (pas d’interface graphique ou presque, pas de code managé, pas d’Internet Explorer), réduire potentiellement les incidents et vous allez allouer vraiment toute la puissance de vôtre serveur au rôle qu’il tient. Ce n’est donc pas une plateforme applicative mais dédiée à un rôle. Une fois vôtre serveur installé en mode "Server Core" et devant le prompt de la ligne de commandes, renommez vôtre serveur avec la commande Netdom, activez vôtre version de Windows Server 2008 avec la commande slmgr.vbs -ato, configurez Windows Update au moyen de la commande cscript\windows\system32\scregedit. wsf /AU 4, entrez vôtre serveur dans le domaine avec Netdom ou convertissez- le en contrôleur de domaine avec dcpromo etc. Il va falloir vous y habituer et vous former, c’est sur, mais sachez que l’administration à distance à partir de MMC sera possible et Microsoft prévoit de livrer RSAT (Remote Server Administration Tools) pour Windows Vista, qui vous aidera dans l’administration à distance, en même temps que la sortie de Windows Server 2008.
Revenons à une installation plus classique de Windows Server. Une autre nouveauté importante : le Gestionnaire de serveur. Le nouvel ami des administrateurs. Le Gestionnaire de serveur vous permet de disposer d’un outil central permettant d’ajouter, de configurer et de gérer les différents rôles et fonctionnalités du serveur. En cela, le Gestionnaire de serveur contribue à une meilleure maitrise du produit, car il permet de ne pas "se perdre" dans tout le potentiel du serveur. Quel administrateur n’en a pas rêvé : un seul outil pour tout configurer ! De plus, son ergonomie est très bonne et cela facilite sa prise en main. Il est même déclinable en ligne de commande avec servermanager.exe.
Windows Server 2008 se doit également d’apporter des nouveautés et améliorations en termes de sécurité. Les objectifs, avec cette nouvelle version, sont d’améliorer la résistance du système par réduction de la surface d’exposition et des vecteurs potentiels d’attaque, de protéger les données et l’information et d’élever le niveau d’intégrité des réseaux d’entreprise. En cela, Windows Server 2008 inclut les apports de Windows Vista au niveau de la résilience du système (intégrité du code, renforcement des services, contrôle de l’usage des périphériques etc.), pare-feu bidirectionnel, contrôle des comptes utilisateurs mais aussi BitLocker pour protéger les disques.
En plus, Windows Server 2008 introduit un nouveau framework de cryptographie appelé CNG (Crypto Next Gen) qui, entre autre, implémente de façon native les algorithmes ECC (ECDSA, ECDH), SHA2 (Suite-B) et qui satisfait les exigences Critères Communs EAL4+ et FIPS (140-2 niv. 2) pour l’isolation forte et l’audit. Les services de certificats, dorénavant nommés ADCS (Active Directory Certificate Services), implémentent comme nouveauté le protocole OCSP (Online Certificate Status Protocol, conforme à la RFC 2560) qui peut être utilisé pour gérer et distribuer des informations sur l’état de révocation dans les cas où l’utilisation de la CRL conventionnelle ne serait pas une solution optimale. La sécurité est également renforcée avec ADRMS (Active Directory Right Management Services) qui, dans cette version Windows Server 2008, est une solution de gestion des droits d’utilisation et pas uniquement des droits d’accès, offrant une protection contextuelle et persistante. Le rôle ADRMS impose le chiffrement du contenu, apporte que les droits sont associés au contenu et pas au système de fichiers, offrant une protection indépendante de l’emplacement physique de stockage des données, pendant et après la publication.
Mais l’une des nouveautés de sécurité les plus "en vue" sur Windows Server 2008 est l’arrivée de NAP (Network Access Protection). NAP est bâti autour d’une architecture d’éléments clients et serveurs qui permettent de définir l’état de conformité logicielle et système souhaité pour les ordinateurs se connectant à un réseau d’entreprise. NAP n’a pas été conçu pour sécuriser le réseau des utilisateurs malveillants mais plutôt pour aider les administrateurs à maintenir la bonne santé des postes sur le réseau, ce qui permet d’assurer un meilleur niveau d’intégrité sur l’ensemble du réseau de l’entreprise. Le principe est simple (mais l’implémentation complexe) : un ordinateur client Windows Vista qui est connecté sur le réseau est "ausculté" par les serveurs de santé NAP Windows Server 2008 afin de déterminer si leur version d’Antivirus, patchs de sécurité, Antispyware et autre, sont en accord avec les règles en vigueur dans l’entreprise. Tant que ce n’est pas le cas, l’ordinateur est maintenu dans un réseau restreint et n’aura accès au réseau de l’entreprise que lorsqu’il sera à jour.
Windows Server 2008 se distingue également par les multiples nouveautés apportées au rôle de Terminal Server. Terminal Server avec Windows Server 2008 améliore l’expérience utilisateur et enrichit les scénarios d’usage comme permettre l’accès de n’importe où, faciliter le déploiement des applications, offrir un portail d’accès et une authentification unique. Le service Terminal Server introduit la Gateway Terminal Server (TS Gateway) qui permet de l’extérieur (maison, hôtel, partenaire, etc.) d’accéder aux applications Terminal Server de l’entreprise en encapsulant RDP dans RPS/HTTPS. Ce qui signifie qu’en passant par la passerelle, vous accèderez aux applis de l’entreprise sans monter de tunnel VPN (cela ne signifie pas pour autant que vous n’aurez pas à vous identifier !).
En cela, les stratégies CAP (Connection Authorization Policies) permettent de spécifier qui peut utiliser et donc se connecter à une TS Gateway et de spécifier des conditions spécifiques. Il suffit pour cela de définir un groupe d’utilisateurs dans Active Directory. Bien que les stratégies CAP autorisent les utilisateurs à accéder à la TS Gateway, elles n’autorisent pas ces utilisateurs à accéder aux ressources Terminal Server sur le réseau de l’entreprise. Pour cela il faut utiliser les RAP (Ressource Authorization Policies) qui permettent d’autoriser l’accès aux ressources à des utilisateurs connectés au travers de la passerelle. Entre autre nouveautés sur Terminal Server citons les améliorations sur les applications distantes (meilleure ergonomie, meilleure intégration, gestion centralisée et utilisation côte à côte avec les applications distantes), RDPSign qui permet de signer numériquement un fichier RDP et donc d’éviter l’exécution de distante de "faux" programmes, le nouveau portail TS Web sous la forme d’un "Web Part", les fonctionnalités de Single Sign On ainsi que Terminal Services Easy Print, pilote d’impression universel, qui redirige de façon transparente les imprimantes disponibles sur les clients sans installation des pilotes sur les serveurs.
Egalement vous pourrez transformer votre Windows Server 2008 en hyperviseur (qui sera baptisé Hyper- V). Cette fonctionnalité ne sortira pas tra aux entreprises de réduire leurs coûts, d’être plus souples et d’augmenter la disponibilité du système pour la consolidation des serveurs de production, la récupération après incident, le test et le développement ; associée à System Center Virtual Machine Manager, elle permettra également la gestion de bout en bout des centres de données dynamiques. Hyper-V étend considérablement les fonctionnalités jusqu’alors portées par Virtual Server 2005 R2 en améliorant les performances (de par son architecture d’hyperviseur), en s’ouvrant à d’autres scénarios d’usage et en étendant la notion de virtualisation de périphériques. A titre d’exemple, voici un tableau de comparaison entre Virtual Server 2005 R2 et Hyper-V.
