Windows Server 2008 Administration et exploitation

Windows

Server 2008

Administration et exploitation

Collection

Ressources Informatiques

Extrait

A. Présentation

1. Pré-requis matériel

Pour effectuer toutes les mises en pratique de ce chapitre vous allez utiliser les machines

virtuelles suivantes :

2. Objectifs

Une installation réussie ne se limite pas à installer le logiciel Windows Server 2008 mais débute par une planification suivie de l'installation proprement dite puis se termine par quelques tâches depost installationcomme la configuration initiale.

L'analyse de l'existant comprend l'identification du matériel, un audit des logiciels et offre la possibilité de consolider des rôles sur le même serveur physique y compris en utilisant la virtualisation.

Après la lecture du chapitre, vous saurez planifier correctement une installation, choisir la meilleure édition en fonction de son contexte, installer correctement Windows Server 2008 manuellement pour une édition complète et une édition minimale. Enfin, vous saurez effectuer les tâches indispensables depost installation.

B. Planification

1. Introduction

La planification de l'installation est une étape importante qui requiert un soin particulier dont les répercussions touchent des aspects liés :

-

aux performances du serveur,

-

à l'optimisation des ressources,

-

à la surface d'attaque du serveur,

-

à la mise en place d'un système hautement disponible,

-

au dimensionnement du matériel.

Les étapes de la planification comprennent :

-

l'identification des rôles,

-

le choix de l'option d'installation (complète ou minimale),

-

l'utilisation de la virtualisation,

-

le choix d'une édition,

-

le choix d'une version,

-

le choix du matériel.

-

la conformité par rapport aux stratégies,

-

la planification des licences.

Un plan de déploiement comprend l'analyse de l'environnement actuel, le design, l'architecture et la planification du déploiement.

Chapitre 5

186 Windows Server 2008

Savoir installer manuellement Windows c'est bien. Automatiser l'installation c'est mieux.

Pour cela, l'utilisation d'outils comme WAIK (Windows Automated Installation Kit) voire MDT (Microsoft Deployment Toolkit) qui permettent de réduire les coûts d'installation et de déploiement sont également introduits.

Enfin vous verrez quels chemins sont possibles en tant que mise à jour vers Windows Server 2008.

2. Identification de l'édition à installer

a. Identification des rôles

Les applications qui tournent sur Windows Server 2008 doivent être catégorisées en rôle afin de simplifier le travail de l'administrateur. Un rôle serveur définit la fonction qu'aura le serveur après son installation. Plusieurs rôles peuvent être attribués à un même serveur. Un rôle peut être prédéfini par Microsoft ou être défini par l'administrateur pour une application spécifique, on parle alors de rôle de serveur applicatif.

Le chapitre Outils de configuration et de gestion décrit les 17 rôles définis dans Windows Server 2008.

Le tableau suivant montre quelle édition choisir en fonction des rôles du serveur :

Rôle Standard Enterprise Datacenter Itanium Web Services Web IIS avec clients Internet

sans installation avec l'option Core

x x x x x

Services Web IIS avec clients AD x x x x x

Serveur applicatif x x x x

Services AD CS, Services de fichiers, Services NAP et Terminal Services en accès limité

x

Services AD CS, Services de fichiers, Services NAP et Terminal Services en accès complet

x x

Services AD FS x x

Autres rôles x x x

Il est recommandé de définir les rôles applicatifs de vos applications.

À ce stade, il n'est pas possible de réellement choisir une édition, tout au plus de lister les éditions possibles !

b. Sélection de l'option d'installation Core

Une fois les rôles du serveur identifiés, il faut choisir entre une installation complète ou Server Core.

ãEditionsENI-Allrightsreserved

L'option d'installation Server Core installe une version minimaliste de Windows dont l'objectif principal est de ne faire tourner qu'un nombre minimal de rôles prédéfinis :

-

Services Web (IIS7).

-

Services d'impression.

-

Services de domaine AD.

-

Services de domaine AD LDS.

-

Serveur DHCP.

-

Serveur DNS.

-

Services de fichiers.

-

Hyper-V (virtualisation).

Le Framework n'étant pas installé, le Server Core ne peut utiliserASP.NET pour le rôle services Web.

Le tableau suivant montre quelle édition supporte quel rôle avec l'option d'installationCore: Rôle Standard Enterprise Datacenter Itanium Web

Services Web IIS sans ASP.NET x x x x

Services d'impression x x x

Services de domaine AD x x x

Services de domaine AD LDS x x x

Serveur DHCP x x x

Serveur DNS x x x

Services de fichiers limités x

Services de fichiers x x

Hyper-V x x x

L'option d'installation Server Core a été conçue pour être utilisée en conjonction avec Hyper-V afin de fournir aux serveurs virtuels tous les services importants sur la partition parente.

L'option d'installation Server Core a comme avantage de minimiser l'empreinte en mémoire vive, de minimiser l'emprise de la place occupée sur le disque et de réduire la surface d'attaque.

Attention : la mise à jour d'une installation minimale vers une installation complète n'étant pas possible directement et l'absence de certains outils conviviaux influencent le choix de cette déclinaison d'installation.

Si les rôles dont vous avez besoin fonctionnent avec l'option d'installation Server Core, alors il faut les installer avec cette option.

À ce stade, il est possible de déterminer si l'option d'installation Server Core peut être utilisée ou non ainsi que la liste des éditions possibles.

Chapitre 5

188 Windows Server 2008

c. Haute disponibilité

Si les rôles ou les applications du serveur doivent être hautement disponibles, il faut en tenir compte lors de la planification (pour plus d'informations, consultez le chapitre Planification de la haute disponibilité).

Il est difficile de donner des recommandations sur la ou les méthodes à utiliser pour rendre un système hautement disponible. Chaque rôle peut disposer de plusieurs méthodes dont une peut être préférée par rapport aux autres. Dans d'autres cas, cela dépend du type de sous-rôle joué.

Néanmoins, le tableau suivant montre une ou plusieurs solutions hautement disponibles possibles en fonction du rôle. Ce tableau ne se veut pas exhaustif.

Rôle Cluster

NLB

Cluster failover

Redondance de serveurs

Mirroring Autre Active Directory Domain Services

AD DS

x Active Directory Certificates

services AD CS

x Active Directory Federation

Services AD FS

x Active Directory Lightweight Directory

AD LDS

x Active Directory Rights Managements

Services AD RMS

x

Serveur DHCP x x

Serveur DNS x x

Serveur Fax x

Services de fichiers x x x DFS

Hyper-V x

Services d'impression x

Services NAP x

Services UDDI x

Terminal Services x TS Broker

Services Web x

Windows Deployment Services x

Services Applications x x x x x

SQL Server x x Log shipping

Concernant les éditions possibles, le tableau suivant montre quelle édition supporte quelle solution hautement disponible.

ãEditionsENI-Allrightsreserved

Édition de Windows Server 2008

Cluster NLB

Cluster failover

Redondance de serveurs

Mirroring Autre

Standard x x Dépend du rôle Dépend du rôle

Enterprise x x x Dépend du rôle Dépend du rôle

Datacenter x x x Dépend du rôle Dépend du rôle

Itanium x x x Dépend du rôle Dépend du rôle

Web x x Dépend du rôle Dépend du rôle

À ce stade, la liste des éditions probables est la plus restrictive.

d. Virtualisation

La notion de rôle permet une gestion administrative plus aisée des serveurs de l'entreprise ainsi qu'un passage naturel à la virtualisation, chaque rôle virtualisé pouvant le cas échéant être déplacé sur le serveur physique le plus approprié. D'autre part, la virtualisation permet d'isoler facilement des applications qui ont du mal à coexister.

La virtualisation est un choix d'entreprise, certaines ne virtualisent rien, d'autres tout, mais la majorité trouve un équilibre entre serveurs physiques et serveurs virtualisés.

Actuellement, certains rôles applicatifs comme l'indexation de la recherche dansSharepoint Server 2007 sont non-recommandés pour un serveur virtuel car le coût dû aux accès disques peut être vraiment pénalisant en terme de performances.

Il faut toujours conserver à l'esprit les avantages amenés par la virtualisation, comme par exemple le fait de disposer d'un système qui permet de déplacer simplement un serveur virtuel d'un serveur physique à un autre même si le matériel est différent, mais également les désavantages, comme par exemple le temps d'arrêt induit par l'arrêt brutal du serveur physique puisque tous les serveurs virtuels seront arrêtés.

L'avantage de la virtualisation est de pouvoir réunir sur un ordinateur physique des serveurs virtuels dont les recommandations pour leurs rôles respectifs exigent d'être placés en solitaire sur un serveur même si le rôle ne consomme que peu de ressources. Le résultat de la virtualisation se traduit par la diminution du nombre physique de serveurs et a donc un impact non négligeable sur la consommation électrique.

Si le serveur doit être virtualisé, il est nécessaire de s'intéresser aux ressources qui sont consommées comme la mémoire, le processeur, les disques et le réseau. Il faut éviter de placer sur le même serveur hôte (serveur physique) des serveurs virtuels qui consomment trop le même type de ressource. Il faut vraiment les placer de manière complémentaire en terme de ressources.

Windows Server 2008 peut être installé en tant queserveur virtuel ou en tant que serveur hôte soit en utilisant des outils de virtualisation classiques comme Virtual Server 2005, soit en utilisant le nouveau moteur de virtualisationHyper-V.

En tant que serveur hôte, le moteur Hyper-V apporte de nouveaux avantages ainsi qu'un gain de performances.

Chapitre 5

190 Windows Server 2008

Le tableau suivant montre les possibilités de virtualiser Windows en fonction de quelques solutions existantes :

Serveur hôte Serveur virtuel

Virtual PC 2007 (uniquement pour des tests) x

Virtual Server 2005 R2 x x

Hyper-V x x

VMWare Server x x

VMWare ESX x

Le tableau suivant montre les licences de virtualisation incluses dans chaque édition :

Rôle Standard Enterprise Datacenter Itanium Web

Serveur hôte 1 1 1 1 1

Serveur virtuel 1 4 illimité 0

Au vu de ce qui précède, le choix de l'édition devient difficile car le coût absolu d'une édition standardpeut être largement compensé par le nombre de serveurs virtuels que l'on peut utiliser sur leséditions Enterprise,Datacenter ouItanium.

Avec la virtualisation, le coût a également son importance.

À ce stade, le choix peut encore s'être restreint.

e. Choix d'une édition

L'étape suivante consiste à choisir une édition du système d'exploitation ainsi que sa version 32 ou 64 bits.

Bien que plus chère, l'édition Enterprise présente un excellent choix dès que vous virtualisez des serveurs. En effet, la licence permet l'installation de quatre serveurs virtuels.

L'édition Datacenter permet même de faire tourner un nombre illimité de serveurs virtuels.

Son choix s'impose dans des fermes de serveurs virtualisés.

Pour un serveur physique, le choix peut vite devenir cornélien entre une édition Standard ou Enterprise si la décision est purement technique. Le tableau suivant montre les différences entre ces deux versions.

Standard Enterprise

Mise en cluster failover Non Oui max 16 nœuds

Service ADFS Non Oui

Service de certificats AD Uniquement création d'autorités de certificats

Pas de limitation Service de fichiers 1 DFS root Standalone

Pas de réplication DFS-R

Pas de limitation

ãEditionsENI-Allrightsreserved

Editions ENI

Windows Server 2008

Administration avancée

(2 ^ième édition)

Collection Expert IT

Extrait

2.1 Le choix de l'architecture réseaux

Deux point précis sont à étudier à ce niveau :

-

le choix de la zone DNS ;

-

le choix de la classe réseau.

2.1.1 La zone DNS

Deux aspects sont importants lors du choix de la zone DNS.

Le nom choisi pour la zone DNS doit correspondre à l’intégralité de l’entité (entre- prise, groupe, etc.) que l’on souhaite gérer. Ce nom doit pourvoir être accepté par toutes les entités dépendantes qui vont se retrouver dans cette zone. Le problème est beaucoup plus politique que technique !

Si une entité n’entre pas dans ce cadre, cela veut dire qu’une zone DNS spécifique devra lui être affectée.

Si la zone DNS doit être utilisée sur Internet, le domaine DNS sera forcément public et enregistré, c'est-à-dire utilisant une extension reconnue de type .fr, .com, .info... !

En revanche, pour un réseau interne, le domaine peut être public ou privé. Le choix le plus courant est alors d’utiliser un domaine DNS local avec une extension inconnue sur Internet. L’extension .local est très souvent utilisée sous la forme MaSociete.local. Le découpage entre ce qui est interne ou externe est plus facile à réaliser. En revanche, l’utilisation d’un même nom suppose une double administra- tion, plus complexe, donc des serveurs DNS différents pour ne rendre visible sur Internet que ce qu’il est souhaitable de montrer.

2.1.2 La classe réseau

Pour tous les réseaux internes, le choix se portera évidemment toujours sur les classes réseaux privées. Si l’on ne peut pas toujours modifier l’intégralité des réseaux existants pour des raisons souvent historiques, on peut au moins créer tous les nouveaux réseaux en suivant cette règle.

La classe du réseau se choisit en fonction du nombre de machines présentes sur le réseau, du nombre de sites, etc. Un réseau de classe C (192.168.0.X) représente souvent un bon choix initial. Il est toujours possible de changer de classe, de réseau ou même surtout d’utiliser plusieurs réseaux en fonction des besoins.

L’usage de TCPIP v6 n’est pas encore bien développé mais deviendra nécessaire dans les 2 ou 3 années qui suivent, principalement sur Internet. Sur le réseau local, il reste encore de nombreux logiciels qui ne sont pas compatibles, mais ceci devrait Administration avancée

ionsENI-Toutereproductioninterdite

2.2 L’installation d’un serveur DHCP

Si le service DHCP permet de mettre en place rapidement le réseau choisi, il per- met aussi de modifier rapidement et globalement une série de paramètres. Il reste encore quelques irréductibles qui n’utilisent pas ce service, mais c’est maintenant rarissime.

Parmi les nombreux composants de Windows 2008 R2, le service DHCP est un rôle.

2.2.1 Définition

Le protocole DHCP (Dynamic Host Configuration Protocol) a pour but de fournir une adresse IP et un masque à tout périphérique réseau (station, serveur ou autre) qui en fait la demande. Selon la configuration, d’autres paramètres tous aussi impor- tants seront transmis en même temps : les adresses IP de la route par défaut, des serveurs DNS à utiliser, des serveurs WINS et le suffixe de domaine pour ne citer que les principaux.

DHCP est souvent réservé aux stations, aux imprimantes et ne devrait servir qu’exceptionnellement aux serveurs.

2.2.2 L’installation

Comme pour tous les composants Windows, l’installation peut se faire graphique- ment ou en mode ligne de commande sans avoir besoin d’insérer le moindre média.

servermanagercmd –install DHCP

n

^Remarque

Attention, le service devra être mis en démarrage automatique ! sc \\%COMPUTERNAME% config DHCPServer start= auto

Le service peut ensuite être démarré de manière classique : NET START DHCPSERVER

Le démarrage du service permet de le rendre accessible et configurable.

Pour que le service DHCP commence à distribuer des adresses, il est indispensable de configurer et d’activer une étendue.

Attention, si le serveur qui héberge DHCP fait partie d’une forêt Active Directory, il doit en plus avoir été autorisé par des administrateurs membres du groupe

« Administrateurs de l’entreprise » ou ayant reçu les droits d’administration DHCP.

Le service DHCP, comme les autres services réseaux de références (DNS, WINS), devrait toujours être installé sur des serveurs disposant d’adresses IP fixes.

Mise en place des services réseaux d'entreprise

Chapitre 5

203

2.2.3 La configuration

La console d’administration DHCP est automatiquement installée en même temps que le service, mais peut aussi être lancée à partir de toute autre machine la possédant.

Y compris sur le serveur lui-même, sélectionnez le serveur DHCP (ou les serveurs) que vous souhaitez gérer. La liste des serveurs déjà autorisés s’affiche automatique- ment.

Pour autoriser un serveur DHCP, utilisez l’option Gérer les serveurs autorisés, puis cliquez sur le bouton Autoriser, et saisissez le nom ou l’adresse IP.

Les serveurs autorisés apparaissent avec une flèche verte.

Chaque serveur DHCP peut servir de nombreuses étendues, mais une seule pour chaque réseau IP.

Voici une étendue classique pour un réseau 192.168.2.X de classe C utilisant le masque standard 255.255.255.0 !

Administration avancée

ionsENI-Toutereproductioninterdite

La plage utilisée ne doit pas forcément utiliser la totalité de la classe réseau afin de laisser de la place pour les serveurs ou les adresses IP réservées pour les imprimantes.

La route par défaut fait partie des paramètres habituels liés à l’étendue.

Les options au niveau du serveur contiennent les paramètres qui sont valables globalement sur toutes les étendues.

Les options de serveur (005,006,015,046) servent de valeurs par défaut, mais sont remplacées par les options de l’étendue qui ont priorité.

Mise en place des services réseaux d'entreprise

Chapitre 5

205

-

La zone Nom de domaine DNS ne permet pas de spécifier plusieurs suffixes de recherche DNS. Si nécessaire, les stratégies proposent d’ajouter des suffixes de recherche.

-

Le Type de nœud avec la valeur 0x8 configure le mode de résolution hybride.

C'est-à-dire qu’une interrogation des serveurs DNS/WINS sera effectuée en premier, avec bascule en mode Broadcast en cas d’échec.

Certaines propriétés avancées du serveur DHCP peuvent être très intéressantes à configurer.

Par exemple, lorsque la zone Tentatives de détection de conflit est configurée avec une valeur supérieure à zéro, DHCP utilisera l’instruction ping pour détermi- ner l’existence éventuelle d’une machine sur cette adresse.

Administration avancée

ionsENI-Toutereproductioninterdite

La mise à jour dynamique des DNS est un élément particulièrement important à gérer.

Le bouton Configurer permet d’activer la protection des noms lors de l’inscrip- tion, les mises à jour et la suppression des enregistrements de type A et PTR.

Cette protection n’est effective que si le mode Mise à jour dynamique sécurisé est actif.

Lorsque les zones de recherche inverses (Reverse ARP) sont créées et utilisées, il est important de mettre à jour les enregistrements PTR et de ne pas les ignorer lorsque le bail est supprimé.

La durée du bail sera d’autant plus longue que le nombre d’adresses IP disponibles est important et que le risque de conflit est limité.

Mise en place des services réseaux d'entreprise

Chapitre 5

207