Table des matières. Chapitre 1 Les architectures TSE en entreprise

Transcription

1 Table des matières 1 Services RDS Chapitre 1 Les architectures TSE en entreprise 1. Présentation Le concept Approche contextuelle Une solution : les clients légers Principes technologiques Une communication simplifiée Une architecture centralisée La technologie MultiWin Une logique de diffusion Le poste de travail Bénéfices pour l'entreprise Fédérer la diversité Réduction de la bande passante Les sécurités Champs d'application Postes de travail bureautiques banalisés (Non) Renouvellement de parcs obsolètes Diffusion d'applications temps réel et sécurisées Diffusion d'applications via le Web Interconnexion de sites distants Informatique en milieux hostiles Postes nomades en 3G Les principaux acteurs du marché Les éditeurs Les constructeurs Un peu d'histoire

2 2 Services RDS de Windows Server 2008 R2 6. Quelques idées reçues Un concept nouveau Un projet global Un projet simpliste Un projet centralisé, donc risqué Des serveurs centraux imposants Chapitre 2 Tour d'horizon de Windows 2008 R2 1. Introduction Amélioration du contrôle Amélioration de la sécurité Amélioration de la flexibilité Améliorations apportées par le Service Pack Virtualisation Introduction Les différentes technologies de virtualisation Liste des fonctionnalités d'hyper-v Sécurité Isolation Performances Gestion simplifiée Allocation dynamique de la mémoire physique Introduction Pré-requis Principaux paramètres du gestionnaire Hyper-V Principaux paramètres de configuration des VM Architecture Recommandations pour les applications Microsoft usuelles Réservation mémoire pour la partition parente System Center Virtual Machine Manager (SCVMM)

3 Table des matières 3 3. Plate-forme d'application Web Outils de gestion améliorés Installation modulaire Modèle de configuration distribuée Dépannage et diagnostic Déploiement simplifié des applications Gestion des serveurs Assistant de configuration Initial (Initial Configuration Task ICT) Console d'administration du serveur (Server Manager) Administration du serveur en ligne de commande Administration à distance Windows Windows PowerShell Windows Server Core Gestion de l'impression Application de la stratégie et de la sécurité Protection NAP Fonctionnalités de sécurité avancée du pare-feu Windows Chiffrement de lecteur BitLocker Infrastructure à clefs publique (PKI) Cryptographie nouvelle génération (CNG) Contrôleurs de domaine en lecture seule Isolation de serveur et de domaine Accès centralisé aux applications Haute disponibilité Clusters de basculement Équilibrage de la charge réseau Sauvegarde de Windows Active Directory Nouvel assistant d'installation (Dcpromo) Active Directory Domain Services (Service de domaine AD). 141

4 4 Services RDS de Windows Server 2008 R2 9. Autres nouveautés ou améliorations Services de fichiers Explorateur de stockage SMB MPIO (Multi-Path Input Output) iscsi Initiator et isns Server Réseau DirectAccess RDS 2008 R2 simple mise à jour ou véritable révolution Chapitre 3 Services Bureau à distance 2008 R2 1. Client d'accès à distance version Introduction Nouvelles résolutions d'écran Utilisation de plusieurs moniteurs (Multimon) Support des polices ClearType Utilisation du client RDC Expérience utilisateur enrichie Nouvel environnement visuel Lecture audio/vidéo Flux audio bidirectionnel Authentification unique (Single Sign On) Introduction Paramétrage du SSO Distribution d'applications transparentes (RemoteApp) Introduction Mise en œuvre Avancées technologiques du portail web (RD Web Access) Introduction Installation

5 Table des matières Utilisation du portail par les clients Impressions simplifiées (RD Easy Print) Introduction Présentation de RD Easy Print Utilisation Nouvelles stratégies de sécurité Passerelle RDS 2008 R2 (RD Gateway) Introduction Mise en œuvre Console de gestion de la passerelle RDS Le nouveau Connection Broker Introduction Fonctionnalités disponibles Mise en œuvre Virtualisation IP des services Bureau à distance (RD IP Virtualization) Introduction Mise en œuvre Configuration avancée Gestion des licences Rappel : la gestion de licences TSE Gestion du type de CAL TSE Les périodes de fonctionnement global Gestion des CAL 2003 TSE par Utilisateur Gestion des CAL 2003 TSE par périphérique/dispositif Mise en œuvre dans le système d'information Gestionnaire de licences RDS 2008 R RemoteFX Introduction Qu est-ce que RemoteFX? Qui est concerné par cette fonctionnalité? RemoteFX dans RDP

6 6 Services RDS de Windows Server 2008 R Quelles fonctionnalités RemoteFX fournit-il? Quels paramètres ont été ajoutés ou modifiés? Éditions supportant RemoteFX? Comparaison des fonctionnalités disponibles en mode RDVH/VDI et RDSH Installation de RemoteFX sur un serveur RDSH Pré-requis Configuration Chapitre 4 Concepts avancés 1. Composants de Terminal Server Améliorations apportées au noyau Isolation de la session Les différents états des sessions Terminal local ou distant Reconnexion de session Option /console du client RDC Support des polices ClearType Prioritisation de l'affichage Installation automatisée des services RDS Certificats de passerelle RDS Pré-requis pour les certificats de passerelle Comment obtenir un certificat pour sa passerelle SSL Partage de Session sous 2008 R2 (Session Sharing) Création de session en parallèle (Parallel Session Creation) RDS ET WSRM (Windows System Resource Manager) Architecture réseau et haute disponibilité Haute disponibilité basée sur le DNS Haute disponibilité basée sur le DNS avec redirecteur dédié.. 312

7 Table des matières Haute disponibilité avec redirecteurs dédiés et NLB Pré-requis nécessaires pour l'utilisation de Network Load Balancing Installation du NLB Configuration du NLB Haute disponibilité avec redirecteurs dédiés, NLB et Connection Broker en cluster Service d'annuaire et stratégies de groupes Nouvelle infrastructure des GPO Introduction Amélioration de la détection réseau GPO locales multiples ADM vs ADMX Console de gestion des stratégies de groupe Stratégies de groupe Windows 2008 R Stratégies d'accès et sécurité du système Nouvelle version du noyau NT Restriction des comptes de services Environnement d'exécution des programmes Authentifications IPsec et support de NAP Gestion des impressions Gestion des applications PowerShell Introduction Fonctionnement Règle de nommage Exécution de Scripts Powershell PowerShell et WMI

8 8 Services RDS de Windows Server 2008 R2 Chapitre 5 Implémenter une architecture RDS 2008 R2 1. Méthodologie globale Phases du projet Détail des phases clés du projet Méthodologie spécifique à RDS Spécificités au niveau des phases du projet Conduite du changement Le choix de l'architecture réseau Le couple RDS/RDP et les performances réseaux Les composantes de la performance réseau selon RDS/RDP Consommation RDS/RDP de la bande passante Consommation RDP avec RemoteFX Évaluation du besoin en bande passante En fonction des utilisateurs En fonction du positionnement des serveurs Besoin en bande passante et besoin de sécurisation Le calibrage des serveurs Considérations d'ensemble Impact des applications Impact des utilisateurs Un gros serveur ou plusieurs petits? Le choix des composants Le(s) processeur(s) La mémoire RAM Le(s) disque(s) dur(s) Les redondances possibles Le sous-système disque L'alimentation Les cartes réseaux

9 Table des matières Les architectures alternatives Les serveurs lames Les architectures virtuelles Les architectures 64 bits Le plan de montée en charge Aller plus loin avec le VDI (RD Virtualization Host) Introduction Mise en œuvre Paramètres avancés Mise en œuvre de RemoteFX sur un serveur RDVH Pré-requis Paramétrage de l hôte Ajouter une carte vidéo 3D RemoteFX à une machine virtuelle Prise en charge de RemoteFX depuis un poste client Installation et paramétrages de la redirection USB avec RemoteFX Introduction Périphériques supportés Comparaison entre USB RemoteFX et High-Level RDP Schéma de l architecture Configuration côté «client» Validation du fonctionnement pour différents périphériques Index

10 TSE 2008 Terminal Server Edition Clients légers : Architecture et Implémentation Hervann ALLEGRE Cédric ORTEGA Résumé Ce livre sur TSE 2008 s adresse à des responsables informatiques sur le point de s engager dans la mise en œuvre d une solution clients légers, aussi bien qu à des informaticiens confrontés à l installation et à l administration de cette architecture en entreprise. Désormais appelés ""Services de Virtualisation de Présentation"", les Terminal Services de Windows 2008 font partie intégrante de toutes les nouvelles architectures des systèmes d informations des entreprises, de la simple PME aux plus grands groupes. Les auteurs ont réussi à synthétiser les possibilités réellement apportées par les architectures TSE, afin que le lecteur puisse s engager dans ce type de projet en toute connaissance de cause et maîtriser sa mise en place. Les premiers chapitres détaillent les architectures clients légers en entreprise (concept, principes technologiques, bénéfices pour l entreprise...) ainsi que les particularités de la solution TSE (composants de la solution, système de licences...). Les chapitres suivants décrivent l environnement du couple TSE/RDP sous Windows Server 2008 ainsi que les méthodologies d implémentation d une architecture TSE (choix de l architecture réseau, calibrage des serveurs...). L'auteur Cédric Ortega Professionnel de l'informatique depuis 12 ans, gérant fondateur de diverses petites SSII, Cédric Ortega est également consultant en Architectures Microsoft avec spécialisation clients légers (environ 140 projets gérés de 20 à postes). Ancien enseignant en Organisation des Systèmes d'informations à l'esc Grenoble et à l'esc Dijon, il rassemble dans cet ouvrage toute son expérience autant technique que pédagogique sur les architectures clients légers et comble ainsi le manque d'informations sur ce sujet et particulièrement sur la solution TSE. Hervann Allegre Professionnel de l informatique depuis 10 ans, Hervann Allegre a successivement exercé comme responsable informatique dans une PME puis en tant qu ingénieur système spécialisé dans les architectures Active Directory et Clients Légers pour des grands comptes. Sa forte expérience terrain apporte un éclairage technique très pertinent sur les principes d'architectures TSE 2008 présentés dans ce livre. Certifié Windows Server 2003 et Windows Server 2008, il exerce aujourd'hui en tant qu'architecte des solutions Microsoft et VMware, principalement dans des contextes hétérogènes et de migrations vers les plates-formes Windows Server Ce livre numérique a été conçu et est diffusé dans le respect des droits d auteur. Toutes les marques citées ont été déposées par leur éditeur respectif. La loi du 11 Mars 1957 n autorisant aux termes des alinéas 2 et 3 de l article 41, d une part, que les copies ou reproductions strictement réservées à l usage privé du copiste et non destinées à une utilisation collective, et, d autre part, que les analyses et les courtes citations dans un but d exemple et d illustration, toute représentation ou reproduction intégrale, ou partielle, faite sans le consentement de l auteur ou de ses ayants droit ou ayant cause, est illicite (alinéa 1er de l article 40). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal. Copyright Editions ENI - 1 -

11 Présentation 1. Le concept Quand Terminal Server, communément appelé "TSE", est activé sur un serveur Windows 2008, les utilisateurs autorisés peuvent se connecter à un véritable "bureau virtuel". Les applications de l utilisateur sont alors exécutées à 100 % sur le serveur au lieu de l être habituellement sur le poste local, et seul l écran (comprendre l image) du bureau virtuel de l utilisateur est transmis via le réseau. Conceptuellement, on peut assimiler le résultat visuel obtenu à des applications de prise de contrôle à distance comme PCAnywhere ou VNC (ces produits ne sont toutefois pas du tout équivalents à la solution TSE, et ne délivrent pas du tout les mêmes services aux utilisateurs). Le composant Terminal Server de Windows Server 2008 autorise l accès de clients distants aux applications et au bureau complet du serveur. Ces clients distants peuvent fonctionner sous Windows, Mac OS, certains Unix ou Linux, et peuvent être aussi bien des postes type PCs, MACs, portables, PDAs, tablettes tactiles que des terminaux passifs. Ils accèdent au serveur via une connexion TCP/IP s appuyant sur un LAN (Local Area Network), un WAN (Wide Area Network) ou même Internet. Dans ce mode de fonctionnement, Windows Server 2008 utilise un noyau système (kernel) spécifiquement modifié pour autoriser de multiples utilisateurs à se connecter simultanément au même serveur, et à utiliser les mêmes applications, chacun d eux utilisant son propre et unique bureau virtuel. Un même serveur peut alors supporter des dizaines, voire des centaines d utilisateurs simultanés. Les techniques d équilibrage de charge permettent à différents serveurs de se répartir le nombre d utilisateurs, et ainsi d accepter des centaines voire des milliers d utilisateurs. Les applications distantes qui tournent au sein d un bureau virtuel TSE Windows Server 2008 ont la capacité d accéder et/ou d interagir avec les applications installées localement sur le poste de l utilisateur. Ces applications locales et distantes peuvent partager des espaces disques, des lecteurs, des ports (série, parallèle, audio) et même le pressepapiers (fonction copier coller). Il est courant de voir les administrateurs paramétrer des postes de travail pour accéder en partie à des applications installées localement sur le système d exploitation du poste, et pour autre partie à des applications distantes, c est àdire hébergées sur un serveur TSE. Ces dernières peuvent être diffusées auprès de l utilisateur soit via un bureau virtuel complet, soit directement sans le bureau Windows (approche mono applicative). 2. Approche contextuelle Bien avant que ne soient connues et répandues les solutions clients légers et Terminal Server, il y eut une période riche en apprentissages de toutes sortes, techniques ou stratégiques, qui préfigura beaucoup de ce que nous pouvons constater désormais. Il faut, tout d abord, remonter dans les années , pour constater que l informatique en entreprise à cette époque était, certes, balbutiante dans beaucoup de PME PMI et souvent réservée à une élite ou à quelques services restreints de l entreprise, mais surtout qu elle répondait à une logique centralisée, basée sur des mainframes associés à des terminaux passifs (souvent appelés "postes de saisie" et manipulés par des "opérateurs de saisie"). Cette ère connut son heure de gloire, et à juste titre si l on considère que cette informatique centralisée à tendance fortement propriétaire était certes coûteuse, mais fiable, administrée efficacement par des services informatiques toutpuissants et, au final, rendait de bons et loyaux services à l entreprise pour un retour sur investissement facilement identifiable. Il n est pas rare de croiser encore aujourd hui certaines entreprises ou administrations maintenant avec succès de tels systèmes! En moyenne, ces architectures avaient une durée de vie moyenne oscillant entre 8 et plus de 20 ans! Puis ce fut l avènement du poste puissant, type MAC ou PC, qui améliora de façon dantesque l ergonomie de l interface homme machine et se coupla avec une logique de décentralisation des applications et du traitement. L évolution des réseaux et d Internet consacra en fin de siècle l hétérogénéité des systèmes d informations de l entreprise. Dès lors, le responsable informatique ou le directeur des systèmes d informations fut confronté à une problématique qui s apparente plus à la quadrature du cercle qu à une approche binaire bien connue : concilier budgets, fonctionnalités, disponibilité et performances. La problématique de l entreprise Il n est nul besoin de considérer une multinationale pour rencontrer cette problématique informatique, que l on peut qualifier de générique : il suffit de la pondérer légèrement d une entreprise à l autre pour se reconnaître rapidement

12 D une manière globale, il est demandé à l informatique et à son service : De mettre en œuvre des solutions techniques modernes et efficaces ; respectant les contraintes fonctionnelles et métiers de l entreprise, de plus en plus ouvertes, accessibles et souvent orientées web. D en assurer l exploitation quotidienne ; malgré les contraintes liées à la diversité des applications (versions, langages, pré requis...), des postes de travail (PCs, MACs, stations Unix, portables, PDAs, téléphones...), et de l entreprise ellemême (sites distants, filiales sous ou hors contrôle, groupes, personnels itinérants, télétravailleurs...), malgré les contraintes liées à certaines tâches d administration (gestion des déploiements et des mises à jour, suivi des versions, dépannages matériels et systèmes, migrations...). D en assurer la sécurité ; classique par des solutions de sauvegarde adaptées, face aux menaces extérieures : virus, vers, piratage..., face à la duplication ou fuite des données : postes itinérants, BDD synchronisées..., face aux "menaces" internes : fausses manipulations, installations et paramétrages "sauvages"... De fournir des solutions toujours plus performantes ou, a minima, pas moins ; malgré des réseaux WANs à faible bande passante, malgré une augmentation régulière du trafic réseau et des connexions distantes en plus grand nombre, malgré des applications de plus en plus gourmandes. Le tout, en réduisant au maximum les coûts. Le TCO TCO signifie Total Cost of Ownership, dont la traduction française peut être "Coût Total de Possession" du système d informations. L objectif est de savoir combien coûte réellement le système d informations à l entreprise, dans sa globalité. En effet, bien des responsables informatiques n ont pas une idée précise de ce que coûte l informatique à leur entreprise. De nombreux cabinets de consulting proposent des services d évaluation du TCO informatique pour une entreprise mais, bien qu elle reste difficile, prise dans sa globalité (moyenne d entreprises très significatives), une évaluation générique du TCO reste possible

13 Reprenons ici une source externe d évaluation (IDC/Interpose), que nous commenterons par la suite afin de mieux cerner les composantes budgétaires et donc les centres de coûts informatiques en entreprise, sur lesquels les solutions clients légers doivent apporter des leviers. L étude considérée date de 2001 et porte sur les 500 plus grandes entreprises américaines, sur cinq ans mais rapportée à un an. TCO en 2001 des 500 premières entreprises aux USA Le TCO se décompose en deux catégories distinctes : Les coûts directs : généralement bien appréhendés car facilement identifiables en entreprise. Les coûts indirects ou cachés : plus difficiles à identifier car moins sensitifs, ces coûts pourtant significatifs sont généralement purement et simplement oubliés. Commentaires sur les coûts directs Poste "Matériels & Logiciels" Ce poste correspond simplement aux achats de matériels ou logiciels. Il est intéressant de considérer que les achats ne représentent qu un dixième du TCO! Par exemple, lorsque l entreprise achète pour euros de matériels et logiciels, elle engage en fait euros de dépenses! Poste "Administration" Nous trouvons ici la masse salariale du service informatique (hors équipes de développement), ainsi que le montant des prestations externes (SSII...) liées à l intégration des matériels et logiciels achetés et à l administration courante des infrastructures (serveurs, réseaux...). Poste "Développement" Ce poste varie fortement d une entreprise à l autre. En effet, si l entreprise utilise des logiciels du marché, on ne trouve ici que le montant des prestations de développement complémentaires, les licences comptant dans "matériels & logiciels" et l intégration dans "administration". Si, au contraire, elle développe des spécifiques en interne ou via prestataire, on trouve alors, soit la masse salariale des équipes de développement, soit le montant des prestations. Le pourcentage moyen de 6 % est donc à utiliser précautionneusement. Poste "Support" On y trouve pêle mêle les contrats de maintenance, les extensions de garantie, la masse salariale ou le montant des prestations des équipes de HelpDesk (assistance utilisateurs) et de SAV, ainsi que l intégralité des formations - 3 -

14 informatiques (pour le service informatique comme pour les utilisateurs). On comprend dès lors le poids de près d un quart du TCO de ce poste. Poste "Communication" De modique, ce poste est passé à significatif avec l essor des technologies Internet et des connexions intersites distants, sans toutefois dépasser les 5 à 8 % selon les entreprises. Il tend à revenir sous la barre des 5 % avec l avènement des technologies xdsl forfaitaires et moins coûteuses. Il reste à pondérer selon les entreprises. Commentaires sur les coûts indirects ou cachés : Poste "Temps Utilisateur" C est l archétype de la publicité IBM "Ça imprime pas!". Un problème informatique et c est un utilisateur qui ne travaille plus ou mal, qui en dérange un autre pour se faire aider et puis finalement, c est tout un service... Le temps utilisateur est difficile à évaluer mais bien réel. Plus les utilisateurs perdent du temps à gérer leur informatique locale, plus l entreprise perd de l argent. Un poste "Temps utilisateur" faible est souvent synonyme d un poste "Support" important. Une bonne formation et un service Help Desk œuvrent en ce sens mais sont également coûteux : il ne s agit dès lors que d un déplacement de centre de coût... Bien sûr, cette orientation reste toutefois avantageuse sur le moyen long terme! Poste "Indisponibilité" Très rare mais très coûteux en cas de survenance, l indisponibilité touche un organe vital du système d informations : un serveur, le réseau, une application métier... Considérer ce poste à 0 % simplement parce qu il n y a pas eu de problèmes depuis longtemps est une grossière erreur : cela ne met pas à l abri pour l année à venir. Afin d anticiper ou d éviter une telle situation, ce sont les postes "matériels & logiciels" et les postes "administration" qui voient leurs proportions augmenter. Globalement, il faut considérer le TCO comme une réalité perceptible, certes chiffrable, mais dont la simple (re) connaissance peut permettre de ne pas s engager sur des solutions techniques inadaptées du point de vue financier et à long terme pour l entreprise. Nous laissons à votre appréciation le résultat d études TCO combinées de grands cabinets, qui pour une fois, semblent d accord Une solution : les clients légers - 4 -

15 Sans affirmer qu il s agit de la solution miracle, il reste assez évident que les architectures clients légers, et particulièrement celles basées sur TSE, apportent beaucoup d avantages à l entreprise, tant en termes techniques que financiers. Du point de vue du TCO, les architectures clients légers agissent directement et principalement sur les postes suivants : Le simple principe architectural permet de comprendre pourquoi le TCO est directement et positivement impacté par les solutions TSE. En effet, si l on considère une architecture centralisée et homogène, on facilite grandement l administration et toutes les tâches de support, tout en augmentant l efficacité des utilisateurs. L impact sur le poste achat "matériels & logiciels" est moindre, mais existe néanmoins malgré la baisse significative du coût d un poste type PC. Elle s exprime essentiellement par la non obsolescence sous 5 ans de postes de type terminaux, et donc la non nécessité de réinvestir à terme dans les postes de travail. Enfin, les autres postes peuvent aussi être améliorés au cas par cas, ce que vous pourrez découvrir via les champs d applications des solutions clients légers (cette partie sera développée ultérieurement dans le chapitre). L indisponibilité n est pas accrue, mais le risque oui : c est une conséquence logique de la centralisation et bien des solutions, souvent connues et maîtrisées par le service informatique, sont disponibles pour contenir ce risque puis le réduire. En résumé, on peut considérer que les architectures clients légers vont permettre à l entreprise de revenir d une informatique hétérogène, complexe et coûteuse, à une informatique centralisée, banalisée et pérenne, tout en : respectant les contraintes liées aux applications modernes (NTIC, bureautique avancée, PGI/ERP, émulations texte...) ; facilitant l administration du parc ; augmentant la disponibilité des outils ; réduisant les coûts par simple homogénéisation ; pérennisant les investissements passés et futurs

16 Principes technologiques 1. Une communication simplifiée Le principe technologique est très simple et loin d être novateur. Le serveur génère l image de l interface utilisateur, compresse cette image et l envoie au poste de travail qui la décompresse et l affiche à l écran. Dans l autre sens, l utilisateur interagit et les frappes clavier ou mouvements de la souris sont retournés au serveur. Pour être plus précis, la communication du serveur vers le poste de travail se résume au seul rafraîchissement de l image, compressée. En clair : si l utilisateur ne fait que lire un document statique (par exemple un document Word), alors rien ne change visuellement, donc rien n est échangé entre le serveur et le client (hormis quelques trames de contrôle de connexion). Si, par contre, l utilisateur bouge la souris, alors n est rafraîchie que la portion d image qui correspond au mouvement de la souris, soit un trait plus ou moins conséquent, mais qui reste très modique par rapport à la proportion de l écran qui n a pas changé. On perçoit immédiatement que la communication maximale entre un serveur TSE et un poste de travail correspond, en fait, au rafraîchissement de l intégralité de la surface de l écran visible, par exemple, lors d une bascule entre deux applications (par le raccourci [Alt][Tab] par exemple). On ressent aussi que la limite du système est atteinte dès que l on cherche à visualiser une vidéo en mode plein écran : à 24 images par seconde, le rafraîchissement est intégral et très fréquent (il serait plus judicieux de dire trop). A contrario, le poste de travail se contente de remonter les événements clavier et souris au serveur afin que celui ci puisse tenir compte des requêtes de l utilisateur, générer l image associée et l envoyer à l utilisateur afin qu il la visualise. Cet aller retour est parfois ressenti par l utilisateur sous forme de saccades et/ou de décalages à l affichage, dans des configurations sous calibrées ou des réseaux à trop faible bande passante. Cette communication entre le serveur TSE et le poste de travail est prise en charge par un protocole que l on peut grossièrement qualifier de "graphique" plutôt que "réseau". Il existe essentiellement deux protocoles concurrents : le protocole ICA de l éditeur CITRIX, et le protocole RDP de l éditeur MICROSOFT, objet particulier de ce livre. RDP signifie Remote Desktop Protocol. Il est souvent confondu avec TSE, qui signifie Terminal Server Edition, ce qui ne peut et surtout ne doit pourtant pas être un synonyme, même abusif, comme il sera expliqué plus loin dans le chapitre. D autres protocoles similaires, mais non directement concurrents car ne portant pas sur des environnements serveurs Microsoft Windows, peuvent être identifiés. C est notamment le cas du protocole X11 dans le monde Unix et Linux, historiquement précurseur mais très gourmand en ressources (bande passante notamment). Cette remarque pour souligner que l approche technologique protocolaire n est pas nouvelle, mais correspond plus à un retour aux sources amélioré. 2. Une architecture centralisée Compte tenu du principe technologique, les applications sont installées et exécutées directement sur et depuis le serveur : seule l image est transmise et affichée sur le poste utilisateur

17 La centralisation est donc réelle et il convient de qualifier le poste de l utilisateur de simple poste de travail. Le terme plus adapté de "terminal" répond mieux encore à la réalité et reste perçu dans sa dimension graphique, mais dès qu il est qualifié de passif, le côté péjoratif ou inquiétant ressort, alors que dans les faits, c est bien le cas, puisque le terminal passif ne fait rien d autre que d afficher et de renvoyer les évènements claviers souris, comme les "anciens" terminaux passifs. En fait, il faut réaliser que le concept est resté le même qu avant, mais que c est simplement le protocole de communication graphique qui a changé, et surtout le serveur et ses capacités fonctionnelles. Même si le poste de travail est un réel poste puissant type PC, il devient, dès qu il utilise les protocoles ICA ou RDP, un simple terminal passif. Il est évident que, du point de vue de l entreprise, la solution globalement centralisée ne sera effective qu à la condition expresse que plusieurs postes puissent utiliser le même serveur. 3. La technologie MultiWin Les serveurs de type Windows TSE ont les caractéristiques suivantes : Ils sont multisessions : ils permettent d ouvrir plusieurs sessions simultanément. Bien qu ils aient toujours eu la capacité de partager des ressources (fichiers, imprimantes, services...), seul un administrateur à la fois pouvait se connecter à un serveur Windows en mode console (directement sur le clavier du serveur). La capacité du système à être multisessions permet désormais de connecter différentes occurrences de bureaux Windows sans nécessairement en être administrateur. Ils sont multiutilisateurs : ils permettent de connecter et gérer simultanément plusieurs utilisateurs aux différentes sessions ouvertes. En clair, l utilisateur 1 peut se connecter à la session 1 pour travailler avec l application 1, en même temps que l utilisateur 2 peut se connecter à la session 2 pour utiliser l application 2, voire la 1 aussi et en même temps

18 Ces deux capacités (multisessions et multiutilisateurs) forment ce que l on appelle la technologie MultiWin, dont toute architecture client léger a besoin pour fonctionner, et qui rassemble 80 % des fonctionnalités inhérentes à ce type de solution. Globalement, cela permet de mettre à disposition une seule occurrence d une application installée sur un seul serveur à x personnes qui vont pouvoir travailler en simultané. D autres systèmes furent ou sont multisessions et multiutilisateurs, à commencer par l ensemble des Unix, mais aussi en son temps Prolog ou d autres. La différence essentielle tient dans la mise à disposition d un protocole graphique performant et peu gourmand en vue de déploiements de masse. 4. Une logique de diffusion Bien que le client initie la demande de connexion au serveur TSE, il est philosophiquement plus juste de considérer la logique de diffusion des images depuis le serveur vers les postes clients. Le serveur TSE est alors positionné comme un "Frontal de diffusion", qui met à disposition de tout type de postes clients, via tout réseau TCP/IP, l ensemble des applications ou services serveurs de l entreprise qui sont alors "diffusés" sous forme de rafraîchissement d image compressée voire cryptée. Les applications considérées peuvent être de tout type, et pas nécessairement basées Windows ou I386. En effet, sur le serveur TSE frontal de diffusion, il ne peut y avoir que des applications basées Windows 32 ou 64 bits, mais les serveurs de back office ou applicatifs peuvent fonctionner sous tout système : AS400/OS400, Unix, systèmes propriétaires, etc. En effet, c est la partie cliente de ces serveurs applicatifs qui sera installée sur le serveur TSE, en l occurrence et le plus souvent une émulation au format Windows 32 bits (par exemple, une émulation cliente 5250 type Client Access pour Windows afin d accéder au serveur AS400 ). Il peut en être de même pour un navigateur Internet. La communication protocolaire ICA ou RDP s appuie sur TCP/IP, ce qui ouvre un panel de possibilités de plus en plus étendu en ce qui concerne les réseaux supportés. La combinaison avec des technologies de réseau privé virtuel ou VPN est possible voire conseillée : les protocoles ICA ou RDP sont alors encapsulés dans le tunnel. Bien que les solutions à faible bande passante soient supportées, attention toutefois aux connexions type GSM, le GPRS ou mieux la 3G restant vivement conseillés. Il est possible de diffuser en TSE : Soit un "bureau Windows virtuel complet", c est à dire que l utilisateur dispose d un environnement Windows classique et complet, comportant tous les accessoires et applicatifs installés sur le serveur (sous réserve de droits d exécution appropriés pour les applications). Soit une "mono application", c est à dire qu au sein d un poste de travail classique de type PC ou autre, une icône pointe vers une application non pas locale, mais diffusée en RDP ou ICA depuis un serveur TSE. Cette - 3 -

19 diffusion est aussi appelée application transparente. Le poste client qui permettra d interpréter les protocoles ICA ou RDP, et donc d afficher les images et d échanger avec le serveur, est quant à lui quasi universel. 5. Le poste de travail Les postes de travail "puissants" De type PC, MAC ou autre, le poste de travail dit "puissant" est réduit à sa plus simple expression dès qu il fonctionne en mode client léger, c est à dire connecté à un serveur TSE. Le client protocolaire se présente comme un très petit logiciel qui s installe localement sur le poste de travail et qui permet d établir la communication avec le serveur TSE. Il existe sous de nombreuses formes qui lui permettent de fonctionner sous différents systèmes d exploitation ou navigateurs : Logiciel : Remote Desktop Connection, Rdesktop, ApplidisSeamless ; client ICA Plug in : contrôle ActiveX TSAC, plug in Java HobJWT L usage de postes puissants en tant que clients d une architecture clients légers s avère fréquent dans les cas suivants : Les utilisateurs ont besoin d utiliser des applications locales, spécifiques, gourmandes en ressources ou dangereuses si centralisées (par exemple des applications de développement ou des applications de CAO/DAO), mais aussi quelques applications centralisées hébergées sur des serveurs TSE. C est un mode de fonctionnement mixte assez courant. Les utilisateurs travaillent sur un environnement Unix ou Mac, par exemple, mais doivent accéder en parallèle à des applications Windows. Cela permet d éviter d avoir 2 ou 3 ordinateurs sur le même bureau. L entreprise est propriétaire de son parc de postes de travail. Ce dernier, vieillissant ou pas, n est plus suffisamment performant pour répondre aux besoins/contraintes de nouveaux usages ou de nouvelles applications. Il est cependant financièrement très intéressant de conserver ces postes et de les transformer en simples postes clients TSE : ils trouveront une seconde jeunesse (sur le plan des performances ce sont celles du serveur qui seront désormais ressenties par les utilisateurs), voire une seconde vie (n étant plus que très faiblement sollicités, la probabilité de panne baisse de façon importante). Les terminaux passifs Les terminaux passifs constituent le poste client léger par excellence mais ne sont pas une nécessité technique. Ils se présentent sous différentes formes : terminal indépendant à associer avec un écran traditionnel, écran plat avec terminal intégré directement dans le socle de l écran, tablette tactile, etc. Un terminal est dit passif car son rôle est réduit au strict minimum dans une architecture TSE : il se contente de gérer la communication protocolaire avec le serveur et n exécute pas les applications manipulées par l utilisateur. C est donc un - 4 -

20 poste de travail simplifié au maximum qui comporte un système d exploitation relativement fermé voire propriétaire, luimême installé sur une mémoire permanente du poste : on ne peut ni l utiliser en tant que tel, ni le modifier (hormis quelques paramètres laissés à la discrétion de l administrateur), on ne peut que se connecter à un (ou plusieurs) serveur(s) TSE (ou autres). Ce type de postes remplace avantageusement les postes dits puissants car il finalise la démarche de centralisation du système d informations en banalisant le poste de l utilisateur. Leur simplicité les rend fiables sur le long terme (8 à 10 ans), la quantité de protocoles de communication intégrés et gérés les rendant plus ou moins universels. Les autres types de postes En fait, il suffit de pouvoir installer un quelconque client protocolaire, ICA ou RDP sur un ordinateur équipé d une connexion réseau gérant TCP/IP pour le transformer en poste de travail client léger. C est donc de plus en plus fréquemment le cas pour les mobiles type PDAs ou pour les tablettes à écran tactile. Il existe aussi des cartes additionnelles à insérer dans les ordinateurs pour les transformer en terminaux. Le principe souvent recherché reste de ne pas avoir à installer le logiciel client en question, mais plutôt d automatiser son déploiement par téléchargement lors d une première connexion à un serveur spécifique

21 Bénéfices pour l entreprise 1. Fédérer la diversité Nous l avons dit, une architecture clients légers est avant tout une architecture centralisée et homogène puisqu elle banalise le poste de travail client et s accommode de tout type de réseaux IP. Du point de vue de l entreprise, cette simple approche permet de réduire de façon drastique les coûts liés à la gestion des infrastructures hétérogènes. Impact sur le TCO Poste Administration : qui dit architecture centralisée dit à portée de main et réduite à quelques serveurs au lieu de centaines de machines. Il est évident qu il est plus simple, plus efficace et donc moins coûteux pour l entreprise, de gérer des serveurs TSE plutôt que les postes utilisateurs et chacune de leurs spécificités. Les actions de type mises à jour systèmes ou applicatives sont facilement réalisables car localisées, réduites à quelques serveurs et immédiatement applicables pour l ensemble des utilisateurs. Si l entreprise a des sites distants, nul besoin de prévoir des déplacements coûteux et contraignants. Si un problème générique survient, il est résolu beaucoup plus rapidement et pour l ensemble des utilisateurs. Poste Support : l assistance est simplifiée car tous les utilisateurs disposent des mêmes versions applicatives et surtout d un seul et même système d exploitation, dont la surveillance par voie d administration est bien plus efficace (nous pourrions dire réelle car combien d entreprises peuvent se payer le luxe d administrer les postes de travail?). Les problèmes sont donc limités et en cas de survenance, résolus directement à partir du serveur. En effet, les protocoles RDP ou ICA autorisent la prise en main à distance des sessions utilisateurs par le service informatique, augmentant ainsi la réactivité et l efficacité du service d assistance. Du point de vue de la formation, l impact est indirect mais s exprime par le simple fait que le personnel est formé sur des versions homogènes et disposera de ladite version dès son retour de formation, étant donné que le temps de migration d une version ou d une application à une autre se réduit à quelques heures voire minutes. Poste Temps Utilisateurs : un système unique, des applications homogènes et identiquement paramétrées réduisent les difficultés rencontrées par les utilisateurs dans leur usage quotidien du système d informations de l entreprise. L assistance interutilisateurs, bien que coûteuse et à éviter, se réduit aussi car elle devient plus efficace et moins systématique. Enfin, l utilisateur travaillant sur un système centralisé, dont il n est plus "maître", limite les fausses manipulations et les utilisations divergentes, sources fréquentes de problèmes notoires. 2. Réduction de la bande passante - 1 -

22 Le principe technologique des protocoles ICA ou RDP (communication graphique compressée limitée au rafraîchissement d écran dans un sens, et évènements clavier/souris dans l autre) induit une faible consommation de bande passante. À minima, lorsque l utilisateur ne manipule pas clavier ou souris et que rien ne bouge à l écran (lecture d un document par exemple), seules quelques trames de contrôle de connexion transitent sur le réseau (afin de vérifier que le poste est toujours connecté au serveur). Il y a à cet instant une consommation de bande passante quasi nulle. À maxima, lorsque l utilisateur rafraîchit l intégralité de la surface de l écran, par exemple lorsqu il va basculer d une application à une autre par le raccourci [Alt][Tab] sous Windows, la consommation de bande passante est de l ordre de 15 à 16 KBps. En moyenne, c est à dire en utilisation courante d un utilisateur actif mais pas forcené du [Alt][Tab], on constate que la bande passante consommée oscille entre 8 et 10 KBps. Nous avons volontairement, ici, repris les chiffres de constructeurs, éditeurs et autres acteurs du marché des clients légers pour attirer l attention sur l unité de mesure : les KBps (Kilo Byte par seconde), à ne pas confondre avec les Kbps (Kilo bits par seconde). Il y a un rapport de 1 à 8 entre les deux unités! Cette astuce commercialo marketing tend à faire croire que les protocoles clients légers ne consomment quasiment rien. Mais s ils consomment peu, il convient quand même de rétablir les valeurs ci dessus annoncées sur la base d une unité commune à celle utilisée pour déterminer la puissance des lignes télécom et réseaux : le Kbps. On obtient donc une consommation de bande passante oscillant entre quasi 0 Kpbs et 128 Kbps, avec une moyenne normalisée oscillant entre 0 et 80 Kbps par poste connecté. La sensation de réduction de bande passante vous apparaît moins évidente? Il faut alors intégrer deux dimensions supplémentaires : la simultanéité et la réalité de l entreprise. Considérons une dizaine d utilisateurs qui travaillent en mode client léger (c est à dire connectés via RDP à un serveur TSE). Le protocole ne consommant que l équivalent de la somme des rafraîchissements de l ensemble des écrans des utilisateurs, combien d écrans complets cela peut il représenter à l instant T? Car à l instant T+1, si les utilisateurs ne poursuivent pas leurs actions, la consommation retendra vers 0. On constate généralement que l on peut diviser le nombre d utilisateurs par 2 pour avoir la réponse, et multiplier par 64 Kbps par utilisateur pour obtenir un ordre de grandeur de la bande passante utilisée (ou nécessaire). Dans cet exemple : (10 / 2) x 64 Kbps = 320 Kbps pour 10 utilisateurs actifs. Dans la réalité de l entreprise, un salarié ne passe pas tout son temps à manipuler son ordinateur (sauf quelques activités ou postes spécifiques) : il téléphone, manipule du papier, participe à des réunions, etc. Cela reste donc difficile à évaluer, mais l on peut considérer dans notre exemple précédent de 10 utilisateurs simultanés qu ils représentent en fait une population moyenne de 15 à 20 salariés. La qualité du projet pilote sera déterminante pour bien connaître le profil de travail des utilisateurs dans l entreprise et donc bien calibrer ses lignes. Quoi qu il en soit, nous arrivons à un ordre de grandeur de 15 à 20 utilisateurs pour 320 Kbps de ligne télécom, par exemple, s il s agit de relier une agence au siège central. Si nous devions déployer le PGI (Progiciel de Gestion Intégré (ERP en Anglais)) de l entreprise sur cette agence en mode classique, c est à dire non client léger, et pas forcément client serveur étant donné le nombre d éditeurs qui de client serveur n en affiche que le nom vu les bandes passantes consommées réellement (combien d éditeurs réclamaient, il y a encore peu, un réseau 100 Mbps pour une dizaine de postes connectés?), il est certain que nos 15 à 20 utilisateurs ne pourraient se contenter d un lien à 320 Kbps. À tel point que les entreprises ont souvent résolu le problème en installant soit un petit serveur sur le site distant (avec tout l impact indirect sur les coûts d administration), soit une ligne télécom calibrée mais exorbitante et souvent saturée quand même, soit en ne déployant pas le PGI en question. On voit que l architecture clients légers va permettre à l entreprise : Soit de ne pas avoir à changer ses lignes réseaux pour supporter de nouveaux systèmes ou applications, ou plus d utilisateurs. Soit d augmenter le niveau de performance réel ressenti par l utilisateur au bout de la ligne. Soit de déployer des applications à destination de sites distants à très faible bande passante : connexions modems RTC pour des itinérants, connexions RNIS ou LS sur des sites très isolés, voire sur réseau GPRS, 3G, etc. Impact sur le TCO - 2 -

23 La réduction de bande passante n a pas de gros impact sur le TCO de l entreprise : elle permet surtout d apporter des solutions efficaces à des problèmes qui parfois n avaient pas pu être résolus. Selon le profil de l entreprise, l impact sur le poste Communication peut toutefois être notable : lignes internationales, grand nombre de lignes sous calibrées, etc. Un cas particulier s avère aussi financièrement très avantageux : si l entreprise dispose d un câblage informatique ne permettant pas de passer à des débits modernes de type 100 Mbps ou Gigabits (imaginez une administration de 500 postes de travail dans un bâtiment historique classé, avec un câblage obsolète). L architecture clients légers permet alors de conserver le câblage existant car elle se contente de faibles débits. Enfin, le poste Indisponibilité est positivement impacté : une saturation de bande passante aboutit à l impossibilité de poursuivre son travail, voire à des plantages applicatifs ou serveurs qui auront des répercussions immédiates sur l ensemble des utilisateurs, locaux ou distants... L architecture clients légers n aboutit pas à ce type de problèmes, comme nous pouvons le comprendre dans le bénéfice suivant. 3. Les sécurités Pas LA sécurité, mais bien LES sécurités! En effet, l architecture clients légers apporte, par essence même, un lot de bénéfices en terme de sécurité. Virus Vers Attaques Deux cas distincts sont à envisager : Le poste de travail client est de type poste puissant (genre PC). En ce cas, et bien que l on puisse cantonner le poste client à n être que l équivalent d un terminal connecté au serveur TSE, on dispose d une machine dotée d un système d exploitation plus ou moins vulnérable, mais en tout cas, à gérer comme habituellement (antivirus, antispyware, patchs de sécurité...). Bien souvent en pareil cas, il est judicieux de normaliser le poste avec un système d exploitation relativement fermé et/ou très sécurisé (Linux est souvent utilisé en ce sens), qui ne servira qu à démarrer et lancer le client protocolaire retenu. Malgré tout, l environnement applicatif de l utilisateur diffusé depuis le serveur TSE ne pourra être mis à mal par une attaque sur la machine locale : un virus ne peut passer d un système local à un serveur TSE par le seul biais d un protocole graphique. Ceci est particulièrement vrai pour les postes itinérants type ordinateurs portables. Ils sont souvent dotés d une connexion Internet libre, c està dire utilisable pour se connecter, certes, à l entreprise, mais aussi depuis n importe où pour surfer librement (via modem RTC ou mieux). Ces postes sont difficiles à gérer en terme de sécurité et par conséquent subissent fréquemment des attaques. Si la connexion à l entreprise se fait via les protocoles ICA ou RDP, l entreprise est protégée (du moins tant que le portable ne revient pas se connecter sur le réseau interne de l entreprise). Dans le pire des cas, l utilisateur ne pourra plus se connecter, mais les serveurs eux n auront subi aucun assaut. Le poste de travail client est de type terminal passif. Le plus souvent il ne dispose ni de lecteur CD, ni de lecteur disquette ou encore de disque dur. Il est alors impossible - 3 -

24 d introduire un virus ou une vulnérabilité dans le système d informations de l entreprise à partir du poste de travail. Certes, 90 % des problématiques proviennent désormais de l extérieur, mais dans une architecture centralisée, les points de passage sont très limités et donc plus facilement contrôlables et gérables (patchs de sécurité, version des navigateurs...). Installations "sauvages" Dans le cas du terminal passif et du fait de sa conception matérielle et système, il n est pas possible d installer localement quelque application que ce soit. Et dans le cas du serveur TSE, un utilisateur ne dispose pas des droits nécessaires ou suffisants pour ajouter des composants systèmes, des logiciels ou des périphériques à volonté : c est le rôle et la capacité unique du service informatique. Le système de l utilisateur reste propre, ce qui limite autant les problèmes de toutes sortes que les utilisations divergentes ou les vulnérabilités. Vol de données Bien qu il ne soit pas impossible de le faire (il s agirait dans ce cas d un paramétrage volontaire de l administrateur), le principe de l architecture clients légers tend à interdire les échanges de données entre le serveur TSE et le poste local d un utilisateur et l ensemble de ses périphériques de stockage (disques durs, disquettes, graveurs de CD, clés USB...). Dans le cas d un utilisateur itinérant, celui ci peut travailler avec l ensemble des applications et des données de l entreprise auxquelles il a droit, mais ne pourra pas copier (sauf paramétrage) les données localement sur son poste. L entreprise ne craint, dès lors, plus le vol ou la casse de l ordinateur et la perte ou la divulgation des données qui s en suit, de même que les salariés malhonnêtes ou en phase de départ. Les postes fréquemment sources (ou plutôt cibles) de problèmes sont souvent ceux de la direction de l entreprise, avec généralement son lot de données stratégiques. Il faut aussi considérer le piratage direct d une personne malveillante qui espionnerait (sniffer ou autre) le réseau de l entreprise : dans une architecture centralisée type TSE, il aurait le plaisir de capturer des fragments d images qu il ne pourrait coller bout à bout avec facilité et dont au final il ne pourrait faire qu un peu de retouche graphique... En architecture TSE, seules les extrémités sont à protéger : les flux sont, par essence, inintéressants. Coupures de connexions et autres plantages Du principe technologique même découle des avantages fonctionnels certains : En cas de coupure du réseau (fréquent sur les WANs ou les accès distants), seule l image ne peut plus s afficher sur le poste de travail (et seul l utilisateur ne peut plus travailler). Par contre, son application est toujours active sur le serveur, qui bascule en mode déconnecté en attendant patiemment que l utilisateur revienne se connecter. S il s agit de bases de données facilement corruptibles, ou de documents non encore enregistrés, rien n est perdu! Il n est plus besoin de se lancer dans des réindexations interminables ou de recommencer son travail. C est d autant plus intéressant pour les systèmes sensibles, que pour les utilisateurs distants. Ces derniers (et surtout l entreprise) bénéficient de la logique "temps réel" sans effort particulier : plus besoin de synchroniser des bases de données délocalisées et donc vulnérables, et tout travail entamé par l utilisateur est préservé quoi qu il arrive. Impact sur le TCO On l anticipe facilement : l impact sur le TCO est quasi complet

25 Globalement, et cela pourrait constituer un avantage à part entière, les architectures clients légers réduisent le TCO de façon drastique. Une étude Zona Research montre que le coût total de possession de 15 postes informatiques sur 5 ans en entreprise coûte 100 (base indicaire) pour une solution PC classique, et ne coûte que 43 pour une solution clients légers. On peut retenir un ordre d idée de 2 fois moins coûteux sur 5 ans. Et sur 5 ans seulement... Car il est difficile de faire vivre une architecture PC classique plus de 5 ans ; alors que si elle est basée sur des terminaux Windows, l architecture clients légers tiendra plus longtemps. En fait, il faudra renouveler les serveurs et les postes de travail pour la solution PC classique, alors qu il ne faudra renouveler que les serveurs pour la solution clients légers. L étude comparée reste donc possible mais accentue encore l intérêt pour les solutions clients légers! - 5 -

26 Champs d application Aussi nombreux que variés, nous ne présentons ici que quelques uns des champs d application possibles et courants en entreprise. Notez qu aucun ne peut couvrir 100 % du parc informatique de l entreprise et qu il convient de mettre en œuvre ce type d architecture de façon judicieuse, de les combiner pour en tirer la quintessence. 1. Postes de travail bureautiques banalisés Voici ce que peut être une installation type (pas modèle) en entreprise d une architecture clients légers : Les postes terminaux sont réservés à des utilisateurs dont le profil d utilisation est relativement standardisé. Il faut bien comprendre que cela ne signifie aucunement qu il faut se contenter de deux applications standards pour pouvoir correspondre au profil : il peut y avoir des applications métiers plus ou moins spécifiques gourmandes en ressources, des émulations sur d autres systèmes serveurs, etc. L essentiel reste de pouvoir déterminer des populations d utilisateurs dont le nombre et/ou le type d applications est similaire, donc qui sauront cohabiter sur un seul et même serveur : une application utilisée par seulement 1 ou 2 utilisateurs n a pas grand intérêt à être sur un serveur TSE. Cette architecture classique permettra à l entreprise de tirer les bénéfices évoqués et ainsi contrôler au mieux son TCO. Du point de vue de l utilisateur, outre le confort d utilisation amené par un poste stable qui fonctionne tous les jours de la même manière, c est la souplesse qui reste le grand intérêt de la solution. En effet, le mode déconnecté du serveur TSE permet de conserver sa session active sur le serveur : c est simplement l interaction image/clavier/souris qui ne s opère plus du poste devant lequel l utilisateur était connecté, le serveur attendant patiemment que la connexion se rétablisse, du même endroit ou... d ailleurs!, ce qui permet à l utilisateur de disposer de son travail en tout point du réseau de l entreprise : en salle de réunion, dans le bureau d un collègue, etc. De même, et si par hasard son poste venait à tomber en panne, il lui suffirait de trouver un poste quelconque libre (collègue en congé, poste libre service...), de se connecter avec ses identifiants (nom d utilisateur et mot de passe associé), pour pouvoir retravailler normalement. 2. (Non) Renouvellement de parcs obsolètes - 1 -

27 Déclinaison du champ d application précédent, il est à l origine de nombreux projets clients légers en entreprise. En effet, on peut s accorder à considérer qu un parc de postes type PCs doit être renouvelé régulièrement, entre 3 ans et 5 ans selon les cas. Ceci signifie une "boucle TCO" complète à chaque échéance anniversaire, c est à dire qu il va falloir investir dans des matériels et des logiciels, qu il va falloir mettre en place tout cela (gros effort physique voire technique), former les utilisateurs, etc. Plus vicieux encore est le cas de parcs en location avec renouvellement imposé en fin de période, généralement 3 ans, car il peut imposer un renouvellement alors que les systèmes en place auraient pu tenir un ou deux ans de plus. La solution est d ailleurs souvent de prolonger les contrats de location, voire de se porter acquéreur de son parc. Deux solutions très coûteuses, pour aucun bénéfice fonctionnel supplémentaire, appréciées seulement par les financeurs. L architecture clients légers basée sur des terminaux passifs évite ces écueils. Elle est pérenne du point de vue du poste client et donc limite et simplifie toute opération de changement de système ou de migration applicative. Quand l entreprise se trouve face à une problématique de renouvellement d un parc PCs (obsolète ou non), il est financièrement plus intéressant d initier un projet clients légers, de mettre en œuvre des serveurs TSE et ainsi d avoir le choix : Soit de conserver (si possible) ses postes existants en leur faisant jouer le rôle de simples terminaux. Cela permet de ne pas avoir à réinvestir dans des postes de travail, d assurer leur mise en œuvre, etc. et au passage de trouver un retour sur investissement nouveau sur les investissements passés. Au fur et à mesure des pannes des postes (moins fréquentes car ils sont moins sollicités), il est alors intéressant de basculer progressivement vers de vrais terminaux passifs pour l ensemble des raisons évoquées dans les pages précédentes. Soit de remplacer immédiatement le parc PCs par un parc de terminaux (pour les populations correspondant aux critères suscités). Il est à ce titre plus intéressant de se porter acquéreur de son parc de terminaux passifs, quitte à le faire financer sur un plan purement bancaire, que de le louer auprès de sociétés spécialisées : il ne sera pas obsolète en 3 ans et donc rien ne sert de forcer son renouvellement par simple aspect contractuel et financier (à moins de pouvoir louer son parc avec renouvellement par masse financière plutôt que par nombre de postes). Si vous envisagez de conserver les postes existants, n oubliez pas de considérer nécessaire la conduite du changement auprès des utilisateurs : il serait regrettable que ces derniers rejettent la nouvelle infrastructure sous prétexte qu ils ont gardé "leur vieux poste". Il suffit de les impliquer fortement lors du pilote du projet, par exemple en leur démontrant que leur vieux poste connecté à la nouvelle infrastructure est plus rapide que le poste récent de leur voisin, ou encore en mettant en avant les nouveaux aspects fonctionnels apportés par la solution. 3. Diffusion d applications temps réel et sécurisées Pour illustrer ce champ d application, nous allons prendre deux exemples concrets. Soit une entreprise dotée d une force commerciale imposante, itinérante et particulièrement éparpillée. La mise en place d un projet de gestion de la relation client ou CRM va s accompagner d un lot de problématiques techniques et stratégiques. Au delà des aspects télécom, les utilisateurs vont vraisemblablement travailler en mode synchronisation en disposant sur leur portable ou leur PDA d une partie de la base de données commerciale. Ils auront du mal à accéder aux documentations techniques ou commerciales, aux informations liées à la production, aux niveaux de stock... Si leur poste tombe en panne, ce ne sera peut être que le travail de la journée qui sera perdu (dans l hypothèse d une synchronisation journalière), mais s ils se font voler leur portable ou PDA, c est la base de données de l entreprise qui part dans la nature. Et si l un des commerciaux décide de partir au profit d un concurrent? ou simplement reste en mauvais terme avec son employeur actuel? Soit une autre entreprise (ou la même), dont les équipes techniques procèdent à des relevés sur le terrain toute la journée sur leur portable ou PDA (données importantes car déclenchant soit des alertes, soit des interventions facturées ou des commandes de fournitures), ou font partie d un service préventif ou de la préparation d une action curative. Ces équipes envoient en fin de journée ou fin de semaine le bilan de leur travail, nerf de la guerre pour l entreprise. Que se passe t il si le poste tombe et se casse, ce qui reste fréquent pour du personnel technique qui travaille dans des conditions physiques souvent délicates? Nous vous laissons imaginer, dans ces deux hypothèses, les conséquences de faits bénins et fréquents en entreprise. L architecture centralisée TSE permet de s affranchir de cette problématique globale par son simple principe technologique de transfert d image et de non interruption du travail entamé par simple déconnexion entre le poste client et son serveur. Premièrement, le poste cassé, en panne ou volé est un simple poste d accès à l ensemble des données et applications de l entreprise, qui ne comporte alors aucune donnée locale : tout travail effectué est sécurisé (c est à dire pérennisé et protégé). Deuxièmement, le travail effectué n est pas synchronisé ou à synchroniser, il est en temps réel, ce qui signifie aussi que les informations mises à disposition de tout le personnel sont à jour (par exemple le planning des tournées de RDV ou - 2 -

28 les états de stock). Enfin, en cas de problème du poste de travail de l utilisateur, il n est pas toujours nécessaire de le faire revenir dans l entreprise (ou d attendre son retour) pour qu il puisse disposer d un outil à nouveau fonctionnel : il suffit qu il trouve sur son chemin un poste connecté ou connectable sur Internet pour pouvoir à nouveau accéder à son travail, le plus souvent là où il en était resté! 4. Diffusion d applications via le Web Il y a deux façons d interpréter le terme "via le Web" : soit le poste client se connecte à travers le Web sur son serveur TSE traditionnel, soit le poste client accède dans son navigateur Web à des applications diffusées par un serveur TSE. Dans le premier cas, il s agit simplement du mode de connexion utilisé entre le serveur TSE et le poste client : le réseau Internet en TCP/IP en l occurrence. Ceci est très pratique pour le personnel itinérant (direction, commerciaux...) dont on ne peut prévoir systématiquement d où il se connectera exactement. Sous réserve de routage et firewall consentants, ils trouvent leur chemin IP vers le serveur TSE qui les attend patiemment. Nous verrons d ailleurs plus loin que les contraintes de filtrage sont désormais moindre du fait de l encapsulation HTTPS de RDP 6. Sur le schéma précédent, et pour illustrer cette approche, nous voyons que le directeur M. Patron va pouvoir accéder depuis son hôtel à l intégralité de son système d informations grâce à une simple connexion modem RTC intégrée à son portable, doublée d une sécurisation classique VPN. Dans le cas du poste client qui accède dans son navigateur Web à des applications diffusées par un serveur TSE, il n est pas sous entendu que l utilisateur soit à l extérieur de l entreprise : ce peut être un usage normal pour certaines applications/populations, par exemple, si l entreprise a normalisé le navigateur Internet comme interface client par défaut (plutôt que le bureau Windows complet). Il s agit, comme le montre l écran suivant, de diffuser via le protocole ICA ou RDP une (ou plusieurs) application(s) dans un navigateur (pas nécessairement Microsoft d ailleurs)

29 L application peut être diffusée telle quelle, ou bien intégrée au sein d un portail d entreprise avec logos, informations complémentaires, etc. Le champ d application particulièrement intéressant en la matière est la diffusion d applications plus ou moins spécifiques dont il n existe pas de version Web, c est à dire basée sur HTML, ou dont le portage (re développement) serait trop long ou trop complexe et/ou coûteux. C est le cas de l exemple ci dessus : l application de CRM Sage Contact n existe pas en version Web, mais il est toutefois possible de la diffuser dans un navigateur grâce à TSE. Un dernier intérêt de ce mode de connexion est la non nécessité de déployer le client protocolaire RDP sur le poste de travail client : il se téléchargera automatiquement à la première connexion sur l URL associée, ce qui fera gagner un temps précieux lors d un nouveau déploiement en permettant une approche de "bascule à l instant T" d un système vers un autre. 5. Interconnexion de sites distants Ce champ d application assez fréquent en entreprise se décline selon le contexte de l entreprise elle même. L entreprise peut, par exemple, disposer de différents sites géographiques plus ou moins distants et plus ou moins nombreux. La diffusion, via TSE, d applications centralisées ou sensibles permettra de bénéficier des avantages techniques et financiers vus dans les pages précédentes. Elle permettra surtout la réduction de la bande passante dans les liens télécom existants et peut être la conservation des infrastructures existantes. Elle évitera, enfin, aux équipes techniques et de support de toujours prévoir des déplacements pour toute intervention technique. Dans le monde économique actuel, il est fréquent de voir les sociétés fusionner, se racheter... Il convient alors d homogénéiser, le plus souvent très rapidement, les systèmes d informations des 2 ou x sociétés, chacune d elles pouvant avoir n sites distants et surtout être basée sur des systèmes et des applications foncièrement différentes. L intérêt du déploiement d une solution clients légers vient dans sa capacité à mettre en œuvre l informatique d une société (ou d un site) dans l autre sans être intrusive : le client protocolaire est déployé en perruque (comprendre "pardessus" l installation existante) et permet ainsi l accès à tout ou partie du système d informations destiné à devenir le système référant, sans désinstaller et/ou détruire le système cible dans un premier temps. Sur le plan fonctionnel et applicatif, le système d informations du nouveau "groupe" s homogénéise donc très rapidement et le toilettage technique complémentaire pourra se faire en fort décalage temporel. Cette approche autorise aussi la machine arrière. 6. Informatique en milieux hostiles Les milieux dits hostiles peuvent l être du fait du contexte ou du fait des utilisateurs

30 Considérons une informatique située en entrepôts ou en chaînes de production, avec les particularités suivantes : environnement fortement poussiéreux ou sale, conditions climatiques aléatoires (entrepôts ouverts), mouvements de machines, véhicules ou pièces hasardeux... L architecture client léger va permettre de positionner en ces lieux des postes de type terminaux passifs, dont le capot sera dépourvu de ventilateur ou autre ouverture inutile, dont les pièces d usure (disque dur par exemple) sont absentes et l électronique réduite au minimum, donc globalement dont la résistance sera bien plus grande qu un poste type PC. Elle va permettre aussi de travailler en mode centralisé et/ou temps réel, donc toute coupure ne sera pas problématique pour le système d informations : coupure réseau due à des champs magnétiques forts lors de démarrage de machines outils par exemple, coupures et/ou pannes de postes dues à des maltraitances diverses du poste lui même, etc. Un milieu hostile humain peut être représenté par une population d utilisateurs non nécessairement mal intentionnés, mais surtout dont le comportement vis à vis du poste de travail est très irrespectueux des quelques règles de bons sens et des usages standardisés qui permettraient au poste de travail de fonctionner tous les jours normalement. C est par exemple le cas de l informatique dans les établissements éducatifs : chaque enfant et/ou étudiant découvre et apprend, donc manipule mal, un poste de travail qui d heure en heure et jour après jour n est jamais le même (ce n est pas son poste, c est seulement un poste parmi les postes). L approche clients légers va permettre de banaliser à l extrême le poste de travail de l utilisateur ainsi que de restreindre son utilisation au strict nécessaire et ainsi protéger le système malgré lui (l utilisateur). Les salles de formation peuvent être assimilées à des postes en libre service, qui peuvent être indifféremment utilisés, voire pointés vers des serveurs TSE différents en fonction du profil applicatif ou système nécessaire à l apprentissage du jour ou du groupe d étudiants présent face aux écrans. Les postes de type libre service existent aussi en entreprise : postes dans les halls d accueil, en salle de réunion, dans les parties communes, etc. 7. Postes nomades en GSM/GPRS/3G L objectif est de permettre l accès temps réel à des applications centralisées à des postes itinérants de type portables ou PDAs sous connexions GSM/GPRS/3G. Un serveur frontal TSE est alors positionné en DMZ (Zone Démilitarisée : partie du réseau isolée du LAN par un parefeu) : il accueille l interface client de l applicatif à diffuser et répond aux requêtes ICA ou RDP en provenance de l extérieur. La logique de diffusion est généralement mono applicative, la surface de l écran des postes type PDA étant trop réduite pour accueillir un bureau Windows complet. Il convient le plus souvent d adapter les interfaces clientes à la surface de l écran du PDA cible ; mais plutôt que de développer des applicatifs clients à installer sur le système d exploitation du PDA, dont les variétés et les versions sont pléthores et dont l entreprise sera dépendante, il est plus simple de redimensionner des interfaces Windows 32 ou 64 bits traditionnelles pour les "mettre à l échelle" correspondante et les diffuser sans se soucier du système du poste client

31 - 6 -

32 Les principaux acteurs du marché Nous précisons que les informations ci dessous ne peuvent être exhaustives et sont sujettes à de forts changements au fil du temps. 1. Les éditeurs Citrix L éditeur Citrix est à l origine des architectures clients légers telles que nous les connaissons aujourd hui. L architecture Citrix est désormais un presque synonyme d architecture Clients Légers, ce qui à mon sens est devenu fortement réducteur, mais toujours tellement vrai dans les esprits. Citrix a développé et promu la technologie MultiWin (serveurs multisessions et multiutilisateurs), source de 80 % des fonctionnalités d une architecture clients légers, dès le produit WinFrame, basé à l époque sur un noyau Windows NT 3.51 à interface Windows 3.x. Ce produit WinFrame a été décliné en diverses versions par des tiers éditeurs, aujourd hui quasi totalement disparus. WinFrame était déjà basé sur le protocole maison ICA : c est donc une solution clients légers globale que l on peut qualifier abusivement de 100 % Citrix. Avec l arrivée de Windows NT4 Server version TSE, c est le produit MetaFrame qui voit le jour, toujours appuyé sur le client/serveur protocolaire ICA, et qui perdure avec quelques évolutions de versions depuis Windows Server C est surtout dans ces versions une tierce solution, la technologie MultiWin étant passée dans les mains de Microsoft (cf. dans ce chapitre et cette section Un peu d histoire...). Citrix propose désormais de nombreuses fonctionnalités architecturées autour de Presentation Server, dernière évolution de l historique MetaFrame, suivant ainsi une stratégie cohérente de différenciation forte avec l orientation client léger simple. Citrix cherche ainsi à éviter tout positionnement concurrentiel simplement basé sur les protocoles ICA contre RDP, dont les évolutions et fonctionnalités 2008 s avèrent importantes. Microsoft Éditeur bien connu de Windows Server, il est passé de simple fournisseur de noyau système à l époque de Windows NT Server 3.51, au statut de fondation de toute architecture clients légers. C est en effet avec l avènement de Windows NT4 Server version TSE (Terminal Server Edition, d où le nom abrégé encore utilisé abondamment aujourd hui bien qu il n y ait plus de version TSE spécifique dans la gamme Windows Server) que Microsoft présente son client/serveur protocolaire RDP, concurrent de celui de Citrix, ICA et propose donc une solution complète (Microsoft dispose à cette date de la technologie MultiWin). C est avec Windows Server 2000 que les fonctionnalités TSE sont intégrées dans la version standard et donc découvertes et accessibles par l ensemble des acquéreurs d une licence Windows Server C est avec Windows Server 2003 que Microsoft met l accent sur ces technologies et propose une solution complète aussi standard que performante, dont les produits de Citrix ont nécessairement besoin pour fonctionner. C est enfin, avec Windows Server 2008, que Microsoft comble les derniers écarts fonctionnels qui lui étaient souvent reprochés. Les tierces solutions Systancia : la suite logicielle Applidis propose un package d outils de management et quelques fonctionnalités améliorées des solutions TSE basées sur le protocole RDP (notamment une intéressante interface d administration). C est une surcouche non assimilable à la suite Citrix MetaFrame, car complémentaire à l offre standard Microsoft TSE/RDP. ( 2X : les produits de la société 2X méritent aussi d être cités. Moins connues et/ou matures que les solutions Systancia (qui ont certes l avantage d être françaises), les applications 2X viennent elles aussi enrichir les architectures TSE, essentiellement 2003, car avec l avènement de TSE 2008, elles se justifient nettement moins ( NoMachine : éditeur issu du monde OpenSource, basant ces solutions sur le protocole NX, il mérite d être cité (htttp:// En effet, couplé à CrossOver, il permet la diffusion d applications Windows 32 bits à partir d un serveur Linux. 2. Les constructeurs - 1 -

33 HP NEOWARE Neoware et HP partageaient le leadership avec Wyse : depuis que HP a racheté Neoware fin 2007, le «couple» est désormais leader des constructeurs de terminaux Windows. Outre la qualité de ses suites logicielles, Neoware apporte à HP une gamme de terminaux Linux et étoffe en parallèle la gamme des terminaux Windows CE ou Xpe existante. Le positionnement important d HP auprès de nombreux grands comptes, mais aussi de sociétés de moindre importance, aura pour principal effet la généralisation des terminaux windows et peut être une incidence favorable sur les coûts d acquisition, pourtant déjà très bas. WYSE Leader historique du marché des clients légers, Wyse élargi son offre et tisse des partenariats importants, notamment avec VMWare sur les solutions de virtualisation, pour promouvoir des architectures de virtualisation d application, ou de VDI, plutôt que des matériels (à l image de la suite logicielle Wyse TCX). IMPACT Constructeur français proposant la gamme de terminaux Itium, il peine à s imposer malgré des produits de très bonne qualité, à ne pas négliger, notamment un intéressant Itium Screen (terminal intégré à un écran plat 17 ). AXEL Constructeur français qui aime à parler de platines plutôt que de terminaux. Grand spécialiste des terminaux point de vente, à la robustesse éprouvée, il propose des terminaux Windows souvent basés sur des développements propriétaires. 3. Un peu d histoire... Il est important de connaître un peu l histoire et l évolution du marché des clients légers, particulièrement du point de vue des deux éditeurs majeurs Microsoft et Citrix, afin de mieux comprendre le contexte actuel, et par là même, le pourquoi de ce livre. La grande épopée des solutions clients légers a réellement commencé avec la sortie de Windows NT4 Server version TSE. À cette époque, nous avons entendu dire que Microsoft avait racheté Citrix, ce qui était abusif dans les termes si l on considère les faits (encore aujourd hui relativement hermétiques) : - 2 -

34 Microsoft a racheté la technologie multi utilisateurs et multisessions MultiWin développée et maintenue par Citrix, avec vraisemblablement une partie des équipes techniques associées, pour disposer d un système réellement équivalent aux systèmes Unix, de ce point de vue. En contrepartie, Citrix a licencié Microsoft pour le produit Windows pour une durée déterminée ; c est à dire qu à chaque produit Windows Server avec TSE vendu, Citrix, touche des royalties. On peut dès lors clairement se poser la question de savoir qui fut le réel gagnant de la transaction : Microsoft, qui s ouvrait des portes technologiques nouvelles grâce à MultiWin ou Citrix qui toucha des royalties très conséquentes dans les années qui suivirent. Quoi qu il en soit, force est de constater que cette opération a permis à Microsoft de sortir le produit NT4 version TSE, associé à la toute première version 4 du client/serveur protocolaire RDP. Il s agissait donc d un produit spécifique, c est à dire différent de Windows NT4 Server simple, avec son versionning, ses problèmes et son support spécifiques. Une entreprise qui se portait acquéreur d une version Windows NT4 Server TSE, et donc payait au passage ses licences d accès client TSE (les fameuses CALs TSE), achetait donc une solution clients légers complète et, sur le papier, fonctionnelle. Sur le papier seulement, car objectivement, la couche MultiWin d origine Citrix fut un peu parachutée sur le noyau Windows NT et le client/serveur protocolaire RDP en était à ses balbutiements. En parallèle, le produit Citrix MetaFrame, exploitant au mieux un noyau MultiWin fort bien connu, et disposant d une avance technologique très importante au niveau du client/serveur protocolaire ICA, était la seule architecture réellement fonctionnelle et crédible. C est aussi à cette époque que ce type d architecture s est fait connaître et c est ainsi que nombre d éditeurs ou de sociétés de services en ingénierie informatique ont associé "architecture clients légers" avec "architecture Citrix". Le réel problème est que ce quasi adage n a depuis que rarement été remis en cause... Windows Server 2000 est certes avant tout l apparition d une interface type Windows 9x et d Active Directory, mais c est aussi l intégration de la "couche TSE" au sein d un produit désormais unifié. On ne peut pas dire que Microsoft ait fortement travaillé le MultiWin, ses efforts se sont plutôt concentrés sur son intégration avec le noyau Windows, et sur le client serveur protocolaire RDP, qui passe pour l occasion à sa version 5 côté serveur, et 5 puis rapidement 5.1 côté client sous l impulsion de Windows XP. C est comme toujours une solution complète et désormais fonctionnelle bien qu imparfaite que peuvent acquérir les entreprises. C est aussi la brique de base pour les solutions Citrix MetaFrame remises à jour, le MultiWin étant toujours et définitivement intégré au noyau et hors périmètre stratégique de l éditeur Citrix. On peut donc qualifier clairement Citrix MetaFrame de "surcouche" à Windows Server 2000, 80 % des fonctionnalités liées à l architecture clients légers faisant partie du noyau avec MultiWin intégré. Malgré tout, et surtout grâce à une avance technologique historique et quelques produits complémentaires comme le bureau transparent ou le portail Nfuse, Citrix et ICA conservent une confortable longueur d avance par rapport au couple natif Microsoft TSE/RDP. On peut cependant considérer que 50 % des mises en œuvre en entreprise peuvent se contenter du couple Microsoft, avec un avantage financier certain. Enfin, on constate à cette époque le fleurissement de prestataires clients légers, profitant de l intégration standard de TSE dans Windows 2000 pour s affirmer souvent hâtivement spécialistes, et donc promouvant le plus souvent et par facilité ou en tant que solution d ultime recours Citrix, confortant un peu plus l adage suscité. Windows Server 2003 reste une évolution mineure du système d exploitation de Microsoft sauf sur 3 points : l architecture.net, la souplesse apportée à Active Directory, et... les Terminal Services. En effet, le noyau MultiWin est repris et amélioré, ainsi que le client/ serveur protocolaire RDP qui s annonce en version 5.2. L écart se réduit fortement avec le couple Citrix ICA et l on peut quantifier le besoin fonctionnel de Citrix en entreprise à 1 ou 2 cas sur 10 seulement. En parallèle, les solutions alternatives s affinent (Systancia en tête). L adage "Clients légers = Citrix" reste fortement ancré dans les esprits. Avec la sortie de Windows 2008, et comme vous pouvez le découvrir, les fonctionnalités de base d une architecture clients légers sont désormais quasi équivalentes. Même la terminologie s estompe : Microsoft parle désormais de Présentation Virtualization et positionne donc les Terminal Services comme une sous technologie majeure! 4. Citrix ou Microsoft? Nous offrons à votre analyse les quatre points suivants qui, nous l imaginons, vous conduiront à des conclusions similaires aux nôtres et, de là, renforceront l intérêt que vous pourrez porter aux chapitres suivants du présent livre. Payer 2 fois pour la même chose Il faut bien comprendre que ce sera nécessairement et toujours a minima Microsoft en premier lieu, Citrix restant une surcouche technique et tarifaire. Pour mettre en œuvre une solution clients légers basée sur Citrix, une entreprise doit acquérir Windows Server 2008 ainsi que les licences d accès client (CALs ) TSE pour le nombre de postes concernés, c est à dire disposer d une solution complète et peut être pleinement fonctionnelle dans son cas (TSE plus RDP), avant - 3 -

35 de payer des licences Citrix en supplément, avec un ordre de grandeur tarifaire de 200 à 300 euros le poste connecté. Dans l hypothèse d un déploiement sur seulement 200 postes, le delta tarifaire est alors déjà de 40 à euros ; et il n est pas certain que l on n aurait pas pu se passer de la solution Citrix... Si l on prend le ratio précité, c est dans 80 % des cas que l on peut se contenter de la solution native Microsoft. Microsoft reste gagnant Que l entreprise choisisse ou non la solution Citrix, Microsoft gagne la même somme d argent, ni plus, ni moins. C est l entreprise qui subit les conséquences financières de son choix. Enfin, quel intérêt Microsoft aurait il à promouvoir une solution concurrente à Citrix, alors que ce dernier joue finalement le rôle de service commercial et marketing de luxe, et surtout... gratuit! Citrix, c est la facilité des non spécialistes Comme nous l avons expliqué plus haut, les intégrateurs ou autres prestataires de solutions métiers en entreprise ont validé les architectures basées sur Citrix comme étant pleinement fonctionnelles, alors que celles basées sur Microsoft non, mais à une époque désormais révolue. Quel intérêt aurait un tiers éditeur à valider une seconde plate forme technique pour ses produits, alors qu il dispose d une plate forme réellement performante, quasi standard du marché, et que son métier, c est le progiciel fourni, pas l infrastructure associée. Il est d ailleurs amusant et/ou désolant de constater que lorsque l on interroge un éditeur sur la compatibilité de son application avec une architecture TSE, la réponse est le plus souvent : "nos applications sont compatibles avec Citrix, nous ne validons pas ou ne supportons pas TSE". La vérité est qu une application ne peut qu être compatible ou pas avec le MultiWin : le choix du client/serveur protocolaire n a plus d influence sur la compatibilité. Une application compatible Citrix est nécessairement compatible Microsoft TSE/RDP. Citrix, c est la nécessité d un éditeur Il faut réaliser que Citrix ne dispose que de sa suite de produits logiciels pour architectures clients légers pour vivre ; ce qui condamne l éditeur à être commercialement excellent. Citrix est donc très dynamique auprès des entreprises clients, mais aussi et surtout auprès des sociétés de services, des éditeurs et autres prestataires logiciels. Ainsi pullulent des pseudos argumentaires techniques, qui comparent des choses peu comparables, dont Citrix ressort toujours (et étonnamment) grand vainqueur. Ce n est pas Microsoft qui contredira... Et c est l entreprise qui payera ses licences... Citrix a d ailleurs depuis plusieurs mois réorienté sa gamme de produits afin de prévenir le jour fatidique où, pour une raison encore insoupçonnée, les entreprises réaliseront que la valeur ajoutée réelle de l éditeur est bien moindre qu on ne l entend. Conclusion Pour toutes les raisons suscitées, et étant donné qu il faut payer la solution Microsoft TSE/RDP complète avant de pouvoir accéder à celle de Citrix, nous conseillons vivement de tester d abord la solution Microsoft, en faisant éventuellement appel à des prestataires réellement qualifiés bien qu il n existe pas de certification spécifique TSE : si d aventure, l entreprise est dans les 10 à 20 % de cas pour lesquels Citrix présente un réel avantage, alors elle en connaît le prix et la raison. Citrix est et reste un excellent produit

36 Quelques idées reçues 1. Un concept nouveau Si l on considère le principe technologique, l essence même des architectures centralisées couplées à des terminaux passifs date de bien avant l ère de postes puissants type PC. Ce qui est réellement nouveau, c est l application d un vieux principe aux qualités reconnues à des technologies et des outils modernes : interfaces graphiques puissantes et ergonomiques, Internet, etc. Et cela fait bientôt 10 ans que les nouvelles architectures clients légers passent en production dans les entreprises, avec une forte accélération depuis le passage à l an Un projet global La mise en œuvre d une solution TSE peut répondre à un besoin spécifique réduit. Elle peut être avantageusement déployée en tant que simple frontal de diffusion, sans remettre en cause l architecture existante. Il reste certain que si l on souhaite généraliser cette approche technologique et tirer la quintessence de ces architectures, le projet sera plus impliquant pour le reste de l infrastructure systèmes et réseaux de l entreprise. 3. Un projet simpliste Pour activer les Terminal Services, deux trois clics de souris suffisent à se connecter sur le serveur TSE! Certes, mais lors du passage en production à l échelle de l entreprise, les erreurs d architecture et surtout les utilisateurs sauront vous rappeler qu un projet clients légers est avant tout un projet de centralisation qui se prépare longuement. Les implications de sa mise en œuvre peuvent porter sur d autres technologies, elles aussi complexes, comme par exemple Active Directory, ses unités d organisation et stratégies associées. Il faut aussi considérer que, si la technologie est centrale et porte sur des serveurs, cela reste avant tout un projet utilisateur assez perturbant pour être rejeté lors du passage en production. 4. Un projet centralisé, donc risqué Certes la centralisation augmente le risque au point central : un serveur TSE en panne et c est l ensemble des utilisateurs qui est impacté. Les solutions de redondance existent bien évidemment, à commencer par l équilibrage de charge réseau, abusivement appelé clustering. C est encore une fois au niveau de l architecture globale du projet que cet écueil sera (facilement) évité. 5. Des serveurs centraux imposants Le calibrage des serveurs est un aspect stratégique de l architecture clients légers, mais l on croise autant de cas réels que d annonces commercialo technico marketing. La vérité est qu il faut en fonction du profil applicatif des serveurs, et des populations d utilisateurs, arbitrer entre le calibre et le nombre de serveurs. En clair, il faut faire un plan de montée en charge digne de ce nom dès que l on sort de la simple diffusion traditionnelle bureau Windows plus pack Office (ou tout autre couplage connu et déjà mis en production). Mais il est faux de penser qu il faut un serveur quadri processeur pour 50 utilisateurs au profil lambda! Comme nous le découvrirons plus avant dans ce livre, les architectures 64 bits permettent désormais de réduire le nombre de serveurs TSE 2008 par ferme

37 Windows Server Introduction La prochaine génération du système d exploitation phare de Microsoft, dont le nom de code était Longhorn, s appelle finalement sans beaucoup de surprise Windows En revanche, là où Microsoft entend ne pas rééditer les erreurs passées c est notamment dans le domaine de la sécurité. Pour ce faire, de nombreuses améliorations du système d exploitation ont été introduites. Pour autant, Microsoft a quand même mis l accent sur de nouvelles fonctionnalités permettant de rendre le système plus flexible, tout en le rendant plus granulaire. Par ailleurs, l ensemble des informations citées dans cet ouvrage s appuie sur la version RC0 de Windows 2008 et il se peut, bien entendu, que des changements mineurs soient opérés par Microsoft à sa sortie officielle. a. Amélioration du contrôle L installation de Windows 2008 est désormais basée sur des rôles, ce qui permet d avoir un contrôle plus fin de ses serveurs et de limiter le nombre de services inutilisés installés par défaut. La nouvelle MMC Gestionnaire de serveur permettra aux équipes informatiques de n installer que les fonctionnalités dont elle a besoin et sera épaulée par de nouveaux assistants qui automatiseront la plupart des tâches habituellement fastidieuses. De nombreux outils système ont été améliorés, tel le moniteur de performances, afin de mieux superviser son système et de signaler des problèmes potentiels avant qu ils ne deviennent bloquants. De plus, l accent a été mis sur l automatisation des tâches d administration avec l introduction d un nouveau langage de script, le PowerShell, qui remplacera sans nul doute le Vbscript dans les années à venir. b. Amélioration de la sécurité Windows 2008 propose d intégrer de nouvelles technologies de sécurité afin de renforcer le système d exploitation. Certaines innovations, tel que PatchGuard, permet de réduire la surface d attaque du noyau ce qui rendra le serveur plus stable. De nombreuses autres améliorations comme la protection de l accès réseau (NAP), les contrôleurs de domaine en lecture seule (RODC), une nouvelle infrastructure à clef publique (PKI) ou encore le renforcement des services Windows, contribuent à accroître la sécurité de votre infrastructure. c. Amélioration de la flexibilité Un des grands challenges des services informatiques est de pouvoir faire évoluer facilement son infrastructure au gré des nouveaux besoins de l entreprise et de ses utilisateurs. La mise en œuvre de nouvelles technologies, comme la passerelle SSL, permet de répondre aux besoins croissants de mobilité des utilisateurs en leur permettant d accéder aux données de l entreprise, où qu ils se trouvent. De même, Windows 2008 permettra d augmenter la vitesse de déploiement ainsi que la maintenance des systèmes grâce au nouveau service de déploiement Windows (WDS), de favoriser la consolidation par le biais de la virtualisation et également de sécuriser les contrôleurs de domaine des succursales grâce aux RODC. 2. Virtualisation a. Introduction Depuis quelques années, la démocratisation des outils informatiques a conduit les sociétés à se doter de nombreux serveurs, contrôleurs de domaine (généralement deux), messagerie, serveur de fichiers ; ajouter à cela un intranet, une Ged et quelques bases de données et nous arrivons vite à un très grand nombre de serveurs. Dès lors, nombreuses sont les sociétés qui sont tentées par le pari de la Virtualisation, non seulement pour consolider leurs infrastructures, mais aussi pour la mise en œuvre de plan de reprise d activité (PRA). Consolidation de serveurs - 1 -

38 Dans un environnement de production, mettre en œuvre un serveur qui ne serait sollicité qu à 10% de sa capacité de traitement serait une gageure. Pourtant si l on prend l exemple d un serveur DHCP, qui ne servirait qu à distribuer quelques centaines de baux, il semblerait un peu riche de lui dédier une machine. Dans ces conditions, les entreprises ont tendance à multiplier les petits rôles (dns, serveur de fichiers, impressions) sur le même serveur ce qui, paradoxalement, conduit souvent à en faire un goulet d étranglement dans les périodes de forte sollicitation. De plus, le nombre de ports ouverts sur le serveur étant plus important, cela augmente la surface d attaque de la machine et la rend plus vulnérable. Enfin, l application de correctifs (logiciel ou sécurité), sur un des services, peut engendrer des effets de bord sur les autres. L utilisation de la Virtualisation permet de consolider plusieurs rôles (précédemment hébergés sur des serveurs distincts) dans des machines virtuelles indépendantes, tout en partageant la même machine physique. Cette approche permet d optimiser l utilisation des ressources en les mutualisant, tout en s assurant que chaque rôle tournera dans un environnement virtuel isolé. Continuité de service Être en mesure d assurer une continuité de service, ou tout au moins une remise en service très brève en cas de crash d un serveur, est un autre challenge auquel sont confrontées les équipes informatiques. En effet, effectuer la restauration complète d un serveur peut s avérer long et fastidieux, surtout lorsque les appels des utilisateurs déconnectés se multiplient et qu il y a des attentes fortes au niveau de votre hiérarchie! Une solution efficace dans ce cas serait d avoir en spare le même modèle de serveur, mais il est évident que cela coûte cher, à la fois sur un plan matériel mais également logiciel. Dès lors, l autre moyen qui s offre à nous est bien sûr la Virtualisation. Pourquoi? me direz vous. Tout simplement parce que les machines virtuelles ne sont pas attachées au matériel qui les hébergent. Partant de ce postulat, il suffira de restaurer le fichier image sur un autre serveur virtuel en service (même s il n a pas la même configuration matérielle), de monter l image, et le tour est joué. b. Les différentes technologies de Virtualisation Moniteur de machine virtuel (VMM Virtual Machine Monitor) de Type 2 Architecture VMM de Type 2 Les machines virtuelles de Type 2 sont également appelées machine virtuelle de type processus (Process Virtual Machine) car elles isolent des services ou des applications. Dans ce type d architecture, on trouve le système d exploitation qui est directement installé sur le serveur physique, puis le moniteur de machine virtuelle (VMM) dont le rôle est de gérer les machines virtuelles, de leur attribuer des ressources et de conserver une isolation entre elles (c est, dans les faits, la couche de Virtualisation). Enfin, au dessus du VMM, on trouve les invités qui sont le plus couramment des applications qui tournent avec la JVM Java ou le CLR du.net Frameworks. Le gros point faible de ce type d infrastructure, outre les éventuels problèmes de stabilité, reste les performances. En effet, l accès aux ressources matérielles se fait d abord au travers du VMM puis de l OS hôte ce qui n est, bien sûr, pas le chemin le moins sinueux. Moniteur de machine virtuel (VMM Virtual Machine Monitor) hybride - 2 -

39 Architecture VMM de Type hybride Bien que la Virtualisation de type 2 soit utilisée quasi quotidiennement, par beaucoup sans le savoir, c est une autre technique de Virtualisation qui a, et de loin, la préférence des équipes informatiques. Dans un modèle hybride, le système d exploitation hôte ainsi que le moniteur de Virtualisation (VMM) accèdent directement au matériel (bien qu ils aient des niveaux d accès différents aux composants matériels), alors que les machines invitées tournent au dessus de la couche de Virtualisation. En fait, si l on y regarde d un peu plus près, on constate que le VMM accède aux ressources matérielles au travers du système hôte. Pour bien comprendre ce qui se passe, prenons l exemple des cycles processeurs : La machine hôte sollicite des cycles Cpu dans son contexte, les transmet au service VMM qui les met à disposition des machines virtuelles invitées qui en ont besoin ; on a donc un phénomène d aller retour permanent. Toutefois, la différence majeure avec le modèle précèdent, qui fonctionne en mode utilisateur, tient au fait que le VMM et l os Hôte tournent tous les deux en mode noyau, ce qui augmente les performances. Ce type de virtualisation, qui est actuellement celui utilisé par des produits comme Virtual server ou Vmware server, n est donc pas aussi performant que des machines physiques séparées. Par ailleurs, bien que l idée puisse apparaître séduisante, je vous déconseille d utiliser ce modèle de Virtualisation pour des serveurs Exchange ou des bases de données, au risque d être fort déçu par les performances globales du système. Moniteur de machine virtuel (VMM Virtual Machine Monitor) de Type 1 Architecture VMM de Type 1-3 -

40 Le troisième type de Virtualisation est le type 1 également connu sous le nom d Hypervisor. Un hyperviseur est une couche logicielle située entre le matériel et les systèmes d exploitation des machines invitées. Le but de cette couche intermédiaire est de créer des environnements d exécution isolés, appelés partitions, dans lesquelles les os invités seront exécutés. En fait, chaque partition comprend ses propres ressources matérielles (cpu, mémoire, périphérique ) et l hyperviseur est chargé de contrôler et d effectuer les arbitrages sur la couche matérielle sous jacente. Comme vous pouvez l imaginer, ce modèle est de loin le plus performant et se trouve être celui utilisé par Windows Toutefois il s agit là d un modèle générique que l on retrouve dans les faits sous deux variantes appelées Monolithic et Microkernelized. Monolithic Hypervisor Architecture "Monolithic Hypervisor" Dans ce modèle, l hyperviseur possède ses propres pilotes pour accéder au matériel sous jacent. Les VM invitées fonctionnent au dessus de l hyperviseur et accèdent au matériel par son intermédiaire. Par ailleurs, l une des machines virtuelles fournit la console d administration qui permet de paramétrer et de superviser toutes les machines tournant sur le système. Le modèle Monolithic fournit d excellentes performances mais peut présenter certaines faiblesses sur le plan de la sécurité et de la stabilité. Au demeurant, cette faiblesse est structurelle car elle est due aux pilotes qui tournent à un niveau très sensible. En fait, dans le cas où un programme malveillant serait en mesure de prendre le contrôle du pilote, tout le système serait compromis. L autre faiblesse du modèle est la stabilité. En effet, le pilote qui est amené à être mis à jour (notamment pour la prise en charge de nouveaux matériels) pourrait contenir des bugs ce qui mettrait en péril l ensemble des machines virtuelles invitées. Microkernelized Hypervisor - 4 -

41 Architecture "Microkernelized Hypervisor" Dans ce modèle, qui est celui utilisé par Windows 2008, les partitions correspondent à l unité de base prise en charge par l hyperviseur. La première partition est dite parent alors que les suivantes seront dites enfants. Une partition est composée d un espace d adressage physique, d un ou de plusieurs processeurs logiques, ainsi que des périphériques. L un des éléments capital de ce modèle est la pile de Virtualisation (Virtualization stack) qui est un ensemble d éléments logiciels qui collabore avec l hyperviseur pour supporter les machines virtuelles tournant sur le système. C est également elle qui se charge des opérations que n effectue pas directement l hyperviseur, comme par exemple la mise à disposition des ressources (cpu, mémoire ) demandées par les partitions enfants. L avantage significatif de ce modèle, par rapport au précèdent, est que les pilotes ne nécessitent pas de mise à jour. De plus, et bien que légèrement moins performante que le modèle monolithic, cette architecture offre une surface d attaque plus mince et s en trouve donc plus sécurisée. Windows Server Virtualization Wsv - 5 -

42 Architecture de Virtualisation sous Windows 2008 Tout d abord, il convient d être informé que les fonctionnalités qui seront décrites un peu plus loin ne seront pas immédiatement disponibles à la sortie de Windows 2008, mais environ trois mois plus tard. Ceci étant, il faut également savoir que la Virtualisation ne sera disponible que dans les versions 64 bits et qu il faudra disposer de processeurs intégrant les technologies Amd V ou Intel VT. Afin de mieux appréhender le fonctionnement de cette architecture, nous allons nous intéresser aux différentes partitions que l on pourra créer sous Wsv. Partition 1 Parent Pour bien comprendre le schéma ci dessus, il faut savoir que les quatre partitions présentées (1 parent et 3 enfants), fonctionnent toutes directement au dessus de l hyperviseur Windows. La partition Parent, qui tourne en mode noyau, pourra disposer soit de la version complète de Windows 2008, soit de sa déclinaison core. Bien entendu, cette déclinaison présente l énorme avantage d avoir une surface d attaque plus mince et donc un meilleur niveau de sécurité. D autre part, les trois principaux éléments hébergés dans cette partition sont les suivants : Virtualisation Service Provider VSP : le VSP communique avec les pilotes de périphériques et agit comme un multiplexeur fournissant un service de matériel. Par ailleurs, les requêtes sont transmises soit directement au matériel par l intermédiaire de son pilote, soit à des services natifs (comme le système de fichier). Virtual Service Machine (VM service) : ce service permet d administrer les machines virtuelles et leurs processus de travail (un Worker Process par VM tournant sur le système). VMBus : au plus bas niveau de la partition, on trouve le VMBus qui permet de faire communiquer entres elles les différentes VM tournant sur le système. Partition 2 "Enfant avec un Système d exploitation Intelligent" Une Vm invitée est considérée comme intelligente si son système d exploitation a conscience de tourner au dessus d un hyperviseur. Dans ce cas, l OS invité utilisera des interfaces optimisées ne nécessitant aucune émulation. Windows 2008 ou Vista font partie de ce type de systèmes, en revanche Windows 2003, qui est présenté dans le schéma précèdent, n est que partiellement intelligent car il s appuie sur un pilote spécifique. Virtual Service Client (VSC) : le VSC est un client tournant en mode noyau, qui agit comme un «solliciteur» de services auprès d un VSP. Par ailleurs, la notion fondamentale à retenir c est que l on aura toujours une paire VSC/VSP pour tous les types de périphériques. Pour bien comprendre le processus mis en œuvre, prenons le cas d une application qui souhaite écrire des données sur disque : L application sollicite le pilote du système de fichiers de la partition enfant

43 Le pilote du système de fichiers notifie au VSC qu un accès matériel est demandé. Le VSC transmet la requête, au travers du VMBus, au VSP correspondant dans la partition Parent (la fameuse paire VSC/VSP). Le VSP se charge d écrire sur le disque au travers de la pile de stockage et du pilote de port approprié. Enfin, d après les informations communiquées par Microsoft, Windows 2008 devrait fournir les paires VSC/VSP pour le stockage, le réseau, la vidéo et les périphériques clavier/souris. Pour les autres types de matériel, il faudra probablement attendre que les éditeurs tiers développent leurs propres paires VSC/VSP. Partition 3 "Enfant avec un Système d exploitation ancien" Pour les anciens systèmes d exploitation, on disposera d un fonctionnement équivalent à celui de Virtual Server qui se contente d émuler le matériel pris en charge par l OS. Partition 4 "Enfant avec un Système d exploitation Linux" Afin de permettre aux machines Linux de profiter de cette infrastructure avec des performances équivalentes à celles de Windows 2008, Microsoft a établi un partenariat avec XenSource (racheté par Citrix) afin de développer un VSC pour Linux. c. Liste des fonctionnalités de Windows Server Virtualization Les fonctionnalités énoncées ci après ne seront probablement pas toutes disponibles à la livraison de Wsv. En effet, pour des raisons de planning, il semblerait notamment, que les ajouts dynamiques de ressources ainsi que la migration à chaud des VM, ne doivent attendre encore un peu Sécurité Un serveur hébergeant plusieurs machines virtuelles, appelé serveur consolidé, est exposé aux mêmes risques qu un serveur non consolidé mais le rend d autant plus critique. En outre, ce regroupement de machines sur un système unique pose également le problème de séparation du rôle d administrateur. Wsv répond à ces différentes problématiques de sécurité de la manière suivante : Partitionnement fort : une machine virtuelle, s exécutant sur un serveur physique, fonctionne comme un conteneur de système d exploitation indépendant et totalement isolé des autres machines virtuelles (VM). Sécurité au niveau matériel : les dernières générations de serveurs disposent d une fonctionnalité appelée interdiction d exécution de données (DEP) qui contribue à limiter l exécution de vers et autres virus. Sécurité réseau : traduction automatique d adresses réseaux (NAT), pare feu ou encore protection de l accès réseau (NAP) font partie des fonctionnalités réseau permettant de protéger au mieux les machines virtuelles. Windows Server Virtualisation (Wsv) permet de créer un environnement dans lequel il est possible de configurer une charge de travail et un profil de sécurité spécifique à chaque système d exploitation. Wsv empêche l interaction entre les VM et le système hôte, limite le niveau de privilège dévolu au service exécutant chaque VM et assure ainsi qu une machine virtuelle défaillante ne compromette pas les autres. Isolation Un des défis de la Virtualisation est de faire cohabiter sur la même machine physique des serveurs Virtuels ayant des besoins totalement différents en ressources. Wsv propose plusieurs fonctionnalités permettant de rendre plus efficace l utilisation des ressources disponibles : Attribution de mémoire : avec Wsv, il est désormais possible d attribuer aux VM une quantité maximale et minimale garantie de RAM. Cette fonctionnalité permet aux administrateurs de créer une configuration qui équilibre les besoins de chaque VM au regard des performances globales du serveur. Ajout dynamique de matériel : une des grandes limitations des systèmes de Virtualisation actuel est l ajout de matériel aux machines virtuelles. Wsv permet d ajouter dynamiquement des processeurs logiques, de la mémoire, des cartes réseaux ou bien encore de l espace disque afin de pouvoir disposer d un système plus flexible avec un minimum d interruption de services. Flexibilité réseau : Wsv fournit aux VM des fonctionnalités de pare feu, de NAT et de Vlan permettant de - 7 -

44 répondre à des stratégies de sécurité réseau spécifiques. Toutes ces nouvelles capacités permettent de mieux répondre aux variations de charges constatées selon les périodes d activités. En effet, les fins de mois sont par exemple des périodes de forte activité des serveurs hébergeant des applications comptables et il sera désormais possible d attribuer à ces machines plus de ressources durant ces périodes sans pour autant redémarrer le système d exploitation invité. Performances Les progrès dans la conception et l intégration au matériel gérant la Virtualisation permettent de gérer des charges de travail plus contraignantes tout en assurant une meilleure flexibilité dans la répartition des ressources. Les principales améliorations sont les suivantes : L architecture de Virtualisation à faible surcharge basée sur la technologie d hyperviseur 64 Bits (Intel VT ou Amd «Pacifica») permet d améliorer les performances des systèmes d exploitation invités. La prise en charge multinoyau permet aux machines virtuelles de disposer d un maximum de huit processeurs logiques. Windows Server Virtualisation s exécute sur la version 64 Bits de Windows 2008 afin de mettre à disposition un maximum de mémoire aux machines virtuelles. En revanche, il est possible de consolider des systèmes invités 32 ou 64 Bits sur la même machine physique. L installation de Wsv peut se faire sur la version noyau (core) de Windows 2008 afin de mettre à disposition des machines virtuelles un maximum de capacité de traitement. Jusqu à présent l accès aux ressources disques des machines clientes ne pouvait se faire qu au travers de l hôte, ce qui ne permettait pas d avoir de bonnes performances d entrée/sortie. Wsv permet désormais un accès direct aux disques (locaux, san) ce qui permet d envisager la Virtualisation d applications telles que SQL ou Exchange. Gestion simplifiée Afin de pouvoir déployer des solutions de Virtualisation autant dans les centres d hébergement que dans les succursales, il convient de disposer de moyens centralisés de gestion de ces infrastructures. Wsv permet de répondre à ces contraintes grâce aux éléments suivants : Extensibilité : Wsv est prévu pour s interfacer avec d autres outils de la gamme Microsoft tels que Microsoft System Center Operations Manager (SCOM) ou Microsoft System Center Virtual Machine Manager, afin d assurer une gestion centralisée et une supervision des systèmes. Interface WMI : Windows Server Virtualisation intègre une nouvelle interface WMI (Windows Management Instrumentation) qui permet d accéder à la configuration du système par des scripts (powershell ou autre). Stratégie de groupe : Wsv s appuie sur l Active Directory (GPO) afin de paramétrer la machine hôte ou les machines virtuelles. d. System Center Virtual Machine Manager (SCVMM) L outil de gestion des machines virtuelles, intégré à Windows 2008, n est pas adapté à de larges implémentations d infrastructures virtuelles. Pour pallier cette faiblesse, Microsoft a développé un produit spécifique pour administrer de manière centralisée toutes les machines virtuelles, quelles soient sous Virtual Server 2005 ou sous Windows 2008 Wsv. Par ailleurs, outre la gestion des ressources, SCVMM permet également un déploiement rapide sur une infrastructure San, le déplacement des VM ou encore la transformation de machines Physiques en Virtuelles (P2V). 3. Plate forme d application Web Windows Server 2008 livre une plate forme unifiée pour la publication Web qui intègre Internet Information Services 7.0 (IIS7), ASP.NET et Windows Communication Foundation. Les principales évolutions de cette nouvelle mouture sont les suivantes : - 8 -

45 a. Outils de gestion améliorés Le nouveau gestionnaire IIS est un outil de gestion du serveur Web plus efficace. Il propose une prise en charge des paramètres de configuration d IIS et d ASP.NET, des données utilisateurs et des informations de diagnostic d exécution. La nouvelle interface utilisateurs permet aux administrateurs de sites Web de déléguer le contrôle administratif aux développeurs ou aux propriétaires du contenu d un site, réduisant ainsi les interventions des administrateurs. La nouvelle interface du gestionnaire IIS prend également en charge l administration à distance via http. Un nouvel outil de ligne de commande, (appcmd), est également inclus pour gérer et administrer les serveurs, les sites et les applications Web. b. Installation modulaire IIS7 est composé de plus de 40 modules séparés. Seule une partie des modules est installée par défaut et les administrateurs peuvent installer ou supprimer indépendamment n importe quel module. Cette approche permet d installer uniquement les options dont on a besoin et réduit ainsi le nombre de fonctionnalités qui doivent être gérées et mises à jour. Enfin, seuls les modules nécessaires s exécutent, ce qui améliore la sécurité en réduisant la surface d attaque du serveur Web. c. Modèle de configuration distribuée IIS7 introduit des améliorations majeures au mode de stockage et d accès aux données. L un des objectifs principaux de la version IIS7 est de permettre la configuration distribuée des paramètres d IIS, ce qui donne aux administrateurs la possibilité d indiquer les paramètres de configuration d IIS dans les fichiers qui sont enregistrés avec leur code et leur contenu. La configuration distribuée permet aux administrateurs de spécifier les paramètres de configuration pour un site ou une application Web dans le même annuaire que celui dans lequel le code ou le contenu est enregistré. En spécifiant les paramètres de configuration dans un fichier unique, la configuration distribuée autorise les administrateurs à déléguer l administration des fonctionnalités de site Web sélectionnées ou des applications Web. Les administrateurs peuvent également verrouiller des paramètres de configuration spécifiques pour qu ils ne puissent pas être modifiés par quelqu un d autre. En utilisant une configuration distribuée, les paramètres de configuration pour un site ou pour une application spécifique peuvent être copiés d un serveur à l autre quand l application est déplacée du développement au test, puis finalement à la production. d. Dépannage et diagnostic IIS7 facilite le dépannage du serveur Web grâce au diagnostic incorporé et à la prise en charge du traçage qui permettent à l administrateur de scruter le serveur Web et de consulter des informations de diagnostic détaillées en temps réel. Le diagnostic et le dépannage permettent à un développeur ou un administrateur de voir les requêtes qui s exécutent sur le serveur Web, ce qui permet de déterminer, par exemple, la requête dans un processus de travail qui consomme 100 % de l UC. e. Déploiement simplifié des applications IIS7 permet aux paramètres de configuration d IIS d être enregistrés dans des fichiers web.config, ce qui facilite énormément l utilisation de scripts (xcopy, robocopy ) pour copier des applications sur plusieurs serveurs Web, et permet de réduire la réplication, la synchronisation manuelle et autres tâches de configuration coûteuses en temps et sujettes aux erreurs. 4. Gestion des serveurs De la rationalisation de nouveaux serveurs à l automatisation des tâches de gestion répétitives, la simplification des tâches quotidiennes d administration est un thème central dans Windows Server Les outils de gestion centralisés et les fonctionnalités d automatisation permettent de gérer plus facilement les serveurs, services et imprimantes réseau, situés localement ou dans les succursales. a. Assistant de configuration Initial (Initial Configuration Task ICT) L installation de Windows 2008 s opère de la manière suivante : Saisie de la clé de licence : - 9 -

46 Choix de mode d installation : Choix de l emplacement du système :

47 Définition du mot de passe de l administrateur : Enfin le reste de la configuration s effectue à l aide de l assistant Tâche de configuration initiale(initial Configuration Task ICT) dans lequel on va spécifier les éléments suivants :

48 Fuseau horaire, configuration réseau, appartenance au domaine, nom de l ordinateur Mise à jour du serveur et configuration des mises à jours automatiques. Ajout des rôles et des fonctionnalités. Configuration du firewall, activation du bureau à distance. Par ailleurs, il est également à noter que l ICT n est pas disponible dans le cas d une mise à jour depuis une version antérieure de Windows. b. Console d administration du serveur (Server Manager) Windows Server 2008 propose une seule console unifiée pour gérer la configuration et les informations système d un serveur. Cette nouvelle interface d administration affiche l état, identifie les problèmes de configuration et gère tous les rôles installés sur le serveur. Le volet hiérarchie du gestionnaire de serveur contient des nœuds extensibles pour atteindre directement des consoles, afin de gérer des rôles spécifiques ou de trouver des options de sauvegarde et de récupération après incident

49 Assistants de configuration La plupart des tâches de configuration courantes, telles que la configuration ou la suppression d un ou plusieurs rôles, peuvent maintenant être réalisées en une seule opération grâce aux nouveaux assistants. Windows Server 2008 exécute des vérifications de dépendances à mesure que l utilisateur progresse dans les étapes, s assurant que tous les services requis par un rôle sélectionné sont installés et qu aucun service susceptible d être requis n est supprimé. Restriction d utilisation du gestionnaire de serveur Le gestionnaire de serveur ne peut pas être utilisé pour gérer des versions antérieures à Windows Le gestionnaire de serveur ne s installe pas sur Windows Vista ni sur les autres versions de Windows. Le gestionnaire de serveur n est pas disponible dans une installation de type core. c. Administration du serveur en ligne de commande Windows 2008 fournit également un puissant outil de lignes de commande appelé ServerManagerCmd.exe qui permet de réaliser les tâches ci après : Afficher la liste des rôles et fonctionnalités installés. Ajout de rôle et de fonctionnalité, soit individuellement, soit automatiquement, à l aide d un fichier de configuration au format Xml. Modification du paramétrage par défaut des rôles et fonctionnalités. Connexion à distance sur d autres serveurs Administration à distance des serveurs 2008 en mode core. d. Administration à distance Windows

50 Lorsque l on souhaite administrer des serveurs Windows 2003 à distance, on dispose de deux options : soit effectuer une prise de main à distance (remote desktop), soit installer les outils d administrations (adminpack.msi) ; mais qu en est il sous Windows 2008? On peut dire que c est sensiblement la même chose. En effet, comme on l a vu précédemment, la prise de main à distance est toujours disponible, en revanche l adminpack, lui, a été remplacé par les outils d administration à distance (RSAT (Remote Server Administration Tools)). En revanche, ce qui change c est qu il est désormais possible de sélectionner les outils à installer. Par ailleurs, ce qui est plus ennuyeux c est que l on ne pourra pas les installer, en tout cas lors de la sortie prévue de 2008, sur Windows Vista. Enfin, voici une liste de ce qu il sera possible d administrer : Rôle : Serveur d applications Serveur de télécopie Serveur DHCP Serveur DNS Serveur Web (IIS7) Services AD DS Services AD LDS Services AD RMS Services AD FS Services d impressions Services de certificats Active Directory Services de déploiement Windows Services de fichiers Services de stratégies et d accès réseau Services Terminal Server Services UDDI Fonctionnalités : Assistance à distance Base de données interne Windows Chiffrement du lecteur Bitlocker Client d impression Internet Client Telnet

51 Client TFTP Cluster de basculement Compression différentielle à distance Équilibrage de la charge réseau Expérience audio/vidéo haute qualité Expérience utilisateur Extension du serveur BITS.net frameworks 3.0 Sauvegarde Windows Server Gestionnaire des stratégies de groupe Gestionnaire de ressources système Windows Gestionnaire de stockage amovible Gestionnaire de stockage pour réseau SAN Kit d administration pour connection manager Message Queuing Moniteur de port LPR MPIO Outils d administration de serveurs distants Protocole de résolution de noms d homologues Proxy RPC sur http Serveur isns (Interent Storage Name Server) Serveur SMTP Serveur Telnet Serveur Wins Service d activation des processus Windows Service de réseau local sans fil Services SNMP

52 Services TCP/IP simplifiés Sous système pour les applications Unix Windows Powershell e. Windows PowerShell Pour tous les amoureux de la ligne de commande, dont je fais partie, la réalisation de scripts Shell sous Windows demeurait jusqu à présent un gros point noir pour l administration des systèmes. Bien sûr, il y a le VB Script qui permet d aller plus loin mais cela s apparente plus à du développement qu à du Shell Unix. Microsoft met à disposition des administrateurs un nouveau langage de ligne de commande appelé Windows PowerShell. En fait ce nouveau langage améliore l invite de commande Windows et Windows Script Host (WSH) en fournissant des cmdlets (outils de ligne de commande) qui ont exactement la même syntaxe que le langage de scripts. PowerShell prend fort heureusement en charge les scripts existants (par exemple :.VBs,.bat,.perl) de sorte qu il n est pas nécessaire de migrer immédiatement tous ses scripts pour adopter Windows PowerShell. f. Windows Server Core Lors de l installation de Windows Server 2008, les administrateurs peuvent maintenant choisir de faire une installation minimale dépourvue d interface graphique, ce qui permettra d une part d alléger l installation et d autre part de diminuer la surface d attaque en limitant le nombre de services implémentés. La première chose qui nous frappe est l absence de barre des tâches ou de menu démarrer dans le bureau (bien que l appellation Bureau soit impropre au mode Core). De même, on pourrait se demander comment lancer un explorateur Windows ou bien encore où trouver l assistant de configuration initial. Inutile de chercher, nous sommes bien entendu en présence d une installation minimaliste de Windows 2008 dépourvue de nombreux composants tels que : Bureau (pas de fond d écran ou d écran de veille) Explorateur Windows.NET Frameworks ni de CLR (ce qui veut dire pas de powershell) MMC Panneau de configuration Internet Explorer ou autre Outlook Express

53 Toutefois, bien que de nombreux outils graphiques ne soient plus présents, on retrouvera quand même la boîte à outils classique disponible en ligne de commande (cscript, defrag, certutil ). Le mode Core permet d installer les rôles suivants : Virtualisation Windows Server ; Serveur DHCP (Dynamic Host Configuration Protocol) ; Serveur DNS (Domain Name System) ; Serveur de fichiers ; Services d annuaire Active Directory (AD DS) ; Active Directory Lightweight Directory Services (AD LDS) ; Services Windows Media ; Gestion de l impression. Enfin, il existe plusieurs solutions afin d administrer un serveur core : Localement en ligne de commande ; Services Terminal serveur ; Outils d administration à distance. g. Gestion de l impression Plus une société est grande, plus le nombre d imprimantes est élevé et plus il faut de temps pour installer et gérer ces imprimantes. Windows Server 2008 inclut la gestion de l impression, qui est un composant logiciel enfichable (MMC) permettant aux administrateurs de gérer, de contrôler et de dépanner toutes les imprimantes de l entreprise (même celles des sites distants) à partir d une seule interface. De plus, la console permet de rechercher et d installer automatiquement des imprimantes réseau sur le sous réseau local du serveur d impression. En outre, l installation et la configuration des imprimantes sur des ordinateurs clients peut se faire directement à partir d une stratégie de groupe. 5. Application de la stratégie et de la sécurité Windows Server 2008 compte de nombreuses fonctionnalités dont le but est de s assurer que les clients sont en conformité avec la politique de sécurité en place dans l entreprise. Voici quelques unes des principales améliorations : Vérification de la "santé" du client : la protection NAP (Network Access Protection) permet aux administrateurs de configurer et de mettre en place des exigences en matière de santé et de sécurité avant d autoriser les machines clientes à accéder au réseau. Contrôle des autorités de certification : la nouvelle infrastructure à clé publique (PKI, Public Key Infrastructure) améliore les possibilités de contrôle et de dépannage des autorités de certification. Amélioration du pare feu : le nouveau Pare feu Windows avec sécurité avancée fournit un certain nombre d optimisations en matière de sécurité. Le chiffrement et la protection des données : Bitlocker protège les données sensibles en chiffrant le lecteur de disque

54 Outil cryptographique : une cryptologie nouvelle génération fournit une plate forme de développement cryptographique plus flexible. Isolation de serveur et de domaine : les ressources de serveur et de domaine peuvent être isolées pour limiter l accès aux ordinateurs authentifiés ou spécifiquement autorisés. Contrôleur de domaine en lecture seule (RODC) : le RODC est une nouvelle option d installation des contrôleurs de domaine destinée aux serveurs se trouvant sur des sites distants dont la sécurité n est pas toujours assurée. a. Protection NAP Plus les années passent et plus la protection de leur réseau devient un casse tête pour les équipes informatiques. En effet, il est de plus en plus rare de n avoir qu une population d utilisateurs au sein de l entreprise. De ce fait, il faut concilier les utilisateurs permanents, les nomades, les télétravailleurs, les consultants externes, etc. Tout cela se passerait probablement sans problèmes si l on avait la certitude que toutes les machines qui se connectent au réseau d entreprise sont saines. Toutefois, soyons réalistes, il n en est évidemment rien. Certaines machines n ont pas de firewall, d autres pas d anti virus (ou pas à jour), d autres encore n ont pas vu le site Windows Update depuis des millénaires Bref, tout cela nous conduit aux constats suivants : comment protéger efficacement mon réseau?, Comment être sûr que seules les machines saines peuvent accéder au réseau?, Qu adviendra t il si une machine non conforme essaie de se connecter?, Doit on l interdire complètement ou bien la diriger vers une zone de «quarantaine» permettant sa mise à jour? Bien qu il existe à ce jour quelques solutions (Association des adresses MAC aux comptes utilisateurs AD, contrôle de la «santé» des accès distants, Cisco NAC), fort peu d entre elles peuvent prétendre à une portée universelle. Cisco est quasi inexistant dans les petites et moyennes entreprises ; le contrôle des accès distants ne répond que partiellement au problème ; l association des adresses MAC (via le DHCP) aux comptes utilisateurs AD n empêche pas de se configurer une IP fixe ; il n est d autre part pas toujours simple d empêcher un DHCP de distribuer des adresses à qui le demande. La possibilité de monter des lecteurs réseau sur des serveurs d un domaine dont on ne fait pas partie agrémente également les réjouissances au menu des administrateurs Windows Principales fonctionnalités Microsoft, conscient de cette carence, a donc intégré à Windows 2008 ce que l on pourrait appeler une plate forme de mise en conformité dont le but est de travailler conjointement avec les solutions de sécurité déjà existantes (firewall, anti virus, système de mise à jour) afin de s assurer que seules les machines répondant aux critères définis par les équipes informatiques peuvent accéder aux ressources réseaux. NAP (Network Access Protection) est une infrastructure (composants et APIs) qui fournit le support à quatre composants : Health Policy Validation : les administrateurs peuvent configurer des stratégies de santé qui définissent des éléments tels que la configuration anti virus, les mises à jour de sécurité requises pour les ordinateurs se connectant au réseau, la présence d un Firewall Network Access Limitation : NAP permet de limiter l accès aux ressources réseaux pour les machines n ayant pas les pré requis. Il sera possible d interdire à une machine non conforme de se connecter à une autre, de la mettre en quarantaine dans un sous réseau avec un accès limité à certaines machines ou encore de se contenter de faire remonter sa présence aux administrateurs. Automatic remediation : dans le cas où un client est jugé non conforme, plusieurs solutions pourront être mises en œuvre comme par exemple : Interdire l accès au réseau et notifier au client que sa machine est jugée non conforme. Diriger le client vers un site web lui indiquant la démarche à suivre pour se remettre en conformité. Diriger le client vers une zone de mise à jour où un serveur lui appliquera les correctifs de sécurité ou encore les signatures anti virus nécessaires et, dès que celui ci sera de nouveau conforme à la stratégie de sécurité, il retrouvera un accès illimité aux ressources. Ongoing compliance : il serait bien entendu insuffisant de contrôler l état des clients uniquement au moment de la connexion et de ne plus le vérifier par la suite. En effet, si la stratégie d entreprise nécessite par exemple

55 l activation du firewall sur le client et que l utilisateur décide de le désactiver au cours de sa session sur le réseau, le client NAP détectera ce changement de conformité et réactivera automatiquement le Firewall. Enfin, NAP s appuie sur les protocoles suivants afin de sécuriser les accès : Mise en place d IPSec (Internet Protocol Security). Mise en place du protocole 802.1X/EAP. Mise en place d un réseau privé virtuel (VPN) pour le routage et l accès distant. Mise en place du protocole DHCP (Dynamic Host Configuration Protocole). Composants d une infrastructure NAP Dans la partie gauche du schéma, on retrouve les clients qui sollicitent un accès au réseau interne ainsi que les serveurs de mises à jour qui permettront une éventuelle mise en conformité des machines Les serveurs de mises à jour peuvent être des produits Microsoft (tel WSUS), ou tous autres produits d éditeurs tiers (Kaspersky, Alt iris ). Afin de pouvoir participer à une infrastructure NAP, les clients (Windows Vista, 2008 et XP) disposent d un agent composé de plusieurs couches : Agent de vérification de la conformité du système (SHA (System Health Agent)) : cet élément est chargé de vérifier que la machine satisfait aux pré requis d une machine saine. L agent intégré à Vista permet par exemple de valider la présence d un anti virus, de l activation du Firewall ou encore des mises à jour automatiques. De nombreux SHA devraient voir le jour pour prendre en charge les produits de sécurité d éditeurs tiers. Agent de mise en Quarantaine (QA (Quarantine Agent)) : cet élément est chargé de créer une liste à partir des éléments fournis par le SHA et de la transmettre à l agent de mise en application (EC (Enforcement Client)) pour qu il agisse en conséquence. Client de mise en application (EC (Enforcement Client)) : le client EC est chargé de mettre en application les restrictions d accès au réseau (complet, partiel ou nul) défini dans la stratégie de sécurité en fonction de la santé (conformité) du client. Dans la partie centrale, on trouve les périphériques de contrôle d accès au réseau. Ces éléments doivent être compatibles avec une infrastructure NAP afin d être en mesure de communiquer l état de santé des clients (SOH (Statement Of Healt)) aux serveurs NPS pour vérification. Dans le cas d un serveur Windows 2008, celui ci devra être doté d un composant appelé ES (Enforcement Server) qui est le complément, côté serveur, du EC client. (On trouvera par exemple côté serveur le composant DHCP NAP ES qui fonctionnera conjointement avec le composant DHCP NAP EC

56 intégré à Vista.) Enfin, dans la partie droite, on trouve les serveurs de stratégie réseau et les serveurs de validation de «l état de santé» du système des clients. La pierre angulaire de cette partie de l infrastructure NAP est le serveur NPS qui est un serveur Radius. Le serveur NPS comprend également plusieurs couches : Système de validation de la conformité du système (SHV (System Health Validator)) : cette partie est le pendant côté serveur du SHA évoqué précédemment. On trouvera là encore un SHV fourni par Microsoft mais également à terme des SHVs d éditeurs tiers. Serveur de quarantaine (QS (Quarantine Server)) : le Serveur de quarantaine agit comme un intermédiaire entre le SHV qui tourne sur le serveur NPS et l ES (Enforcement Server) qui tourne sur le serveur NAP. Aperçu du fonctionnement d une infrastructure NAP pour une connexion VPN L exemple ci dessus décrit le déroulement des différentes étapes lorsqu un client Windows Vista (avec le client NAP) essaie de se connecter à un serveur VPN sous Windows 2008 faisant partie d une infrastructure NAP déployée sur le réseau d entreprise. Le client essaie d établir une connexion au serveur VPN en utilisant le protocole PEAP (Protected Extensible Authentication Protocol). Le serveur VPN (serveur NAP) notifie au client NAP qu il doit lui transmettre le rapport sur l état de santé du client (SoH). Pour ce faire, le composant ES du serveur VPN communique en PEAP avec le composant EC du client afin qu il lui notifie son certificat de conformité (liste établie par l agent de mise en quarantaine (QA) à partir des informations transmises par les agents de vérification de la conformité (SHA)). Le serveur NAP établit une communication avec le serveur NPS en utilisant le protocole Radius. Le serveur NPS constitue une liste de conformités à partir des informations transmises par le serveur NAP et celles du serveur de validation de la conformité système (System Health Server). Si le serveur de mise en quarantaine (QS) détermine que le client n est pas conforme (signatures anti virus par exemple) il dresse une liste de nonconformité (SSoHR (System Statement Of Health Response)) indiquant que le client doit être dirigé vers un réseau à accès limité tant qu il n est pas identifié comme correct et la transmet au serveur NAP (VPN). Le serveur VPN applique un filtrage de packets afin de mettre le client en quarantaine. Celui ci est désormais authentifié mais dispose d un accès restreint au réseau. Le serveur NAP transmet la liste de non conformité au client NAP afin qu il effectue les actions nécessaires pour se mettre en conformité (téléchargement des signatures anti virus dans notre exemple). Quand l agent de vérification de la conformité (SHA) détermine que le client est maintenant conforme, une nouvelle liste d état de santé (SoH) est envoyée au serveur NAP qui la transmet au serveur NPS pour vérification. Si tout est désormais normal les restrictions sont levées et le client peut accéder à son réseau d entreprise

57 b. Fonctionnalités de sécurité avancée du pare feu Windows Le nouveau pare feu permet d autoriser ou de bloquer le trafic réseau selon sa configuration et les applications en cours d exécution. La capacité de prise en charge de l interception par le pare feu du trafic entrant et sortant est une des nouvelles fonctionnalités. Par ailleurs, l augmentation du nombre d options de configuration a conduit Microsoft à intégrer un nouveau composant logiciel enfichable MMC appelé Pare feu Windows avec sécurité avancée. Enfin, le pare feu Windows et IP Sec sont désormais configurés conjointement afin d empêcher les chevauchements de stratégies et les paramètres contradictoires. c. Chiffrement de lecteur BitLocker Le chiffrement de lecteur BitLocker est une nouvelle fonctionnalité de sécurité clé dans Windows Server 2008 qui aide à protéger les serveurs. BitLocker chiffre le contenu d un lecteur de disque afin d empêcher un éventuel voleur exécutant un système d exploitation parallèle ou pratiquant d autres outils logiciels de contourner les protections des fichiers et du système. BitLocker améliore la protection des données en réunissant deux sous fonctions majeures : le chiffrement de volume système et la vérification de l intégrité des composants d amorçage. L ensemble du volume système est chiffré, ce qui augmente la sécurité des serveurs distants situés dans les succursales. d. Infrastructure à clefs publique (PKI) Il existe un certain nombre d améliorations de l infrastructure de clé publique dans les systèmes d exploitation Windows Server La gestion a été facilitée dans tous les aspects de PKI, les services de révocation ont été retravaillés et la surface d attaque pour l inscription a ainsi diminué. Voici quelques unes des améliorations de la PKI : Enterprise PKI (PKIView) : est un composant logiciel enfichable MMC (Microsoft Management Console) qui est utilisé pour analyser l état de santé des autorités de certification et pour afficher des détails sur les certificats générés par l autorité de certification et publiés dans AD CS. Protocole OCSP (Online Certificate Status Protocol) : un répondeur en ligne basé sur le protocole OCSP (Online Certificate Status Protocol) peut être utilisé pour gérer et distribuer des informations sur l état de révocation, dans les cas où l utilisation de CRL conventionnelle ne serait pas une solution optimale. Service NDES (Network Device Enrollment Service) : le service NDES est un protocole de communication qui permet aux logiciels exécutés sur des périphériques réseau, tels que les routeurs et les commutateurs, qui ne peuvent pas être authentifiés autrement sur le réseau, d obtenir des certificats x509 auprès d une autorité de certification. Web Enrollment : ce nouveau contrôle Web Enrollment (inscription par le Web) est plus sûr et plus facile à rédiger en script. Stratégie de groupe et PKI : des paramètres de certificat dans la stratégie de groupe permettent aux administrateurs de gérer les paramètres de certificat à partir d un emplacement central pour tous les ordinateurs du domaine. e. Cryptographie nouvelle génération (CNG) La CNG fournit une plate forme de développement cryptographique flexible permettant aux professionnels de l informatique de créer, de mettre à jour et d utiliser des algorithmes cryptographiques personnalisés dans des applications à caractère cryptographique, telles que Active Directory Certificate Services (AD CS), Secure Sockets Layer (SSL) et Internet Protocol Security (IP Sec). CNG implémente les algorithmes cryptographiques de la Suite B du gouvernement américain, qui incluent des algorithmes pour le chiffrement, les signatures numériques, l échange de clés et le hachage. f. Contrôleurs de domaine en lecture seule Le contrôleur de domaine en lecture seule (RODC, Read only Domain Controller) est un nouveau type de contrôleur de domaine disponible dans le système d exploitation Windows Server 2008, conçu principalement pour être déployé dans des environnements de succursales. En dehors des mots de passe des comptes, le RODC renferme tous les objets et attributs des Services de domaine Active Directory (AD DS)

58 g. Isolation de serveur et de domaine Dans un réseau Microsoft Windows, les administrateurs peuvent logiquement isoler des ressources de serveur et de domaine pour limiter l accès aux ordinateurs authentifiés et autorisés. Par exemple, un réseau logique peut être créé dans le réseau physique existant, où les ordinateurs partagent une série commune d exigences pour les communications sécurisées. Chaque ordinateur, dans ce réseau isolé logiquement, doit fournir des informations d authentification aux autres ordinateurs du réseau isolé pour établir la connectivité. Deux types d isolation peuvent être utilisés pour protéger un réseau : Isolation du serveur : dans un scénario d isolation du serveur, les serveurs spécifiques sont configurés en utilisant la stratégie d IP Sec afin de n accepter que les communications authentifiées issues d autres ordinateurs. Par exemple, le serveur de base de données peut être configuré pour n accepter que les connexions du serveur d application Web. Isolation du domaine : pour isoler un domaine, les administrateurs peuvent utiliser l appartenance de domaine Active Directory afin de s assurer que les ordinateurs, membres d un domaine, n acceptent que les communications authentifiées et sécurisées émanant d autres ordinateurs membres du domaine. Le réseau isolé est composé uniquement d ordinateurs faisant partie du domaine. L isolation du domaine utilise la stratégie d IP Sec pour assurer la protection du trafic circulant entre les membres de domaine, y compris tous les ordinateurs clients et serveur. 6. Accès centralisé aux applications Windows Server 2008 apporte aux services Terminal Server des améliorations et des innovations qui optimisent le ressenti et la mobilité des utilisateurs, soit en leur permettant d exécuter des applications distantes sur leur bureau en parallèle de leurs applications locales, soit directement depuis un portail Web. Toutes les nouveautés seront détaillées plus loin dans cet ouvrage mais en voici un bref aperçu : a. Services Terminal Server Cette nouvelle fonctionnalité regroupe : Remote Desktop Connection 6.0 Expérience Bureau Authentification unique Terminal Services RemoteApp Passerelle Terminal Services (TS Gateway) Accès Web aux services Terminal Server 7. Haute disponibilité Une des missions principales d un service informatique est d assurer la disponibilité des applications critiques. Pour ce faire, il est évident qu un certain nombre d éléments, tels que les serveurs, les éléments actifs ou encore le stockage doivent être redondés afin d assurer la continuité de services. Il est courant aujourd hui d utiliser du Raid pour prévenir les pannes disques, de redonder ses liens réseau, et bien entendu d effectuer des sauvegardes sur bandes afin de prévenir toutes pertes de données. En revanche ce qui l est moins, c est de se prémunir contre les interruptions de services qui peuvent rapidement mettre en péril les activités de l entreprise. Un cluster est basiquement une collection de serveurs (appelés nœuds) qui fonctionnent conjointement afin d assurer la haute disponibilité des applications. Par ailleurs, l ajout de nœuds supplémentaires au cluster permet de pérenniser l infrastructure et de la rendre plus extensible. Depuis Windows NT4, et bien qu ayant changé plusieurs fois de nom au cours du temps, la famille des clusters Microsoft comprend en fait deux technologies : le cluster de serveurs et l équilibrage de la charge réseau

59 a. Clusters de basculement Un cluster de basculement, anciennement appelé cluster de serveurs, est un groupe d ordinateurs indépendants (nœuds) mais fonctionnant ensemble afin d assurer la disponibilité des applications et des services. Si un des nœuds du cluster est indisponible, un autre nœud prend le relais par un processus connu sous le nom de basculement (failover), assurant ainsi aux utilisateurs une interruption de services très courte (en général quelques secondes). Dans Windows Server 2008, les améliorations apportées aux clusters ont pour but de simplifier leur mise en œuvre, de les rendre plus sûrs et d améliorer leur stabilité. Voici une liste des nouveautés, dont certaines seront développées un peu plus loin : Assistant de validation : permet aux administrateurs de confirmer que le système, le stockage et la configuration réseau conviennent au cluster en réalisant les vérifications suivantes : Tests de nœuds : confirment que les serveurs exécutent la même version du système d exploitation et disposent des mêmes mises à jour logicielles. Tests réseau : déterminent si le cluster dispose d au moins deux sous réseaux séparés. Tests de stockage : analysent si l unité de stockage est correctement configurée pour que tous les nœuds de clusters aient accès à tous les disques partagés. Gestion du stockage : Prise en charge des partitions GPT ; Ajout dynamique de ressources disque ; Performance et stabilité améliorées ; Maintenance disque. Nouveau modèle de Quorum Réseau et sécurité Nouveau modèle de Quorum Dans un cluster Windows 2003 (et version antérieure), la présence du disque Quorum est indispensable à son fonctionnement. Bien que la fiabilité du matériel (San, Raid.) soit en constante évolution, la panne du disque Quorum conduit inexorablement au plantage du cluster tout entier. Sous Windows 2003, on trouve deux modèles de Quorum : Shared Disk Quorum Model : dans ce modèle, également appelé modèle standard, l ensemble des nœuds du cluster partagent un disque qui contient le Quorum Majority Node Set : dans celui là, chacun des nœuds dispose d une réplique locale du disque Quorum. Ce modèle est généralement peu utilisé car il se prête mieux au cluster disposant de deux nœuds (bien qu il soit possible depuis le service pack 1 de Windows 2003 d utiliser un partage de fichiers pour remplacer la présence du troisième nœud). Sous Windows 2008, en revanche, les deux modèles ont été fusionnés pour donner naissance à un modèle mixte appelé Majority Quorum Model, censé combiner le meilleur des deux approches. Le disque Quorum, désormais appelé Witness Disk, n est plus un point unique de rupture comme c était notamment le cas avec le modèle à disque partagé (ce qui peut paraître paradoxal quand on parle de haute disponibilité). Dans les faits, chaque nœud du cluster, ainsi que le Quorum (Witness Disk) se voient attribuer un vote avec un poids identique. En cas de défaillance d un des votants, cela n impacte donc plus l ensemble du cluster qui continue de fonctionner normalement (le Quorum ayant le même poids que chaque nœud). En d autres termes, les clusters à deux nœuds (les plus fréquemment rencontrés dans les entreprises), utilisant le modèle à ressource partagée, peuvent désormais continuer de fonctionner en l absence du disque Quorum. Pour résumer, voici les différentes configurations qu il sera possible de mettre en œuvre :

60 Majority Quorum : les nœuds et le quorum votent. Majority Nodes : les nœuds votent (équivalent au MNS sous Windows 2003). Witness Disk : le quorum vote (équivalent au quorum à disque partagé sous Windows 2003). File Share Witness : les nœuds votent, plus un serveur de fichiers indépendant (utilisé pour les géocluster par exemple). Amélioration de la gestion du stockage Afin de permettre une meilleure prise en charge des architectures San, le driver de disque cluster (clusdisk.sys) a été complètement réécrit sous Windows La première conséquence est la suppression des commandes de réinitialisation du bus SCSI. La deuxième est un nouveau mécanisme de protection du disque Quorum afin qu il ne se retrouve jamais dans un état incohérent qui pourrait conduire à la corruption des données. Le disque Quorum ne doit plus nécessairement avoir une lettre de lecteur puisqu un accès direct à la ressource disque est maintenant possible. Prise en charge des partitions GPT (GUID Partition Table) : les disques GPT peuvent avoir des partitions dépassant les deux téraoctets, disposent d une redondance incorporée, (contrairement aux disques à partition MBR (Master Boot Record)) et acceptent jusqu à 128 partitions par disque. Les outils de récupération de cluster sont intégrés et permettent notamment le rétablissement des associations entre ressources physiques et unités logiques. Maintenance disque facilitée : le mode Maintenance a été amélioré de manière significative, pour que les administrateurs puissent exécuter des outils servant à vérifier, réparer, sauvegarder ou restaurer des disques plus facilement et avec un minimum de perturbation du cluster (utilisation du VSS). Amélioration du réseau et de la sécurité Windows 2008 intègre la nouvelle pile Tcp/IP déjà présente sous Windows Vista qui comprend de nombreuses nouveautés (sortant du cadre de cet ouvrage) et qui permet aux clusters de basculement le support complet d IPV6. Support du DHCP. Suppression des dernières dépendances avec le protocole Netbios ; seul le DNS est maintenant utilisé (plus de diffusion NetBIOS intempestive sur le réseau). Remplacement du protocole RPC sur UDP au profit de Tcp pour les battements de cœur (Heartbeats) du cluster (time out configurable aisément). Possibilité d avoir des nœuds du cluster dans des sous réseaux différents et donc des clusters sur différents sites géographiques (sans passer par du Vlan). Suppression du compte utilisateur de domaine, nécessaire au lancement du service de cluster, qui est remplacé par le compte Local System. Suppression du protocole NTLM dans les authentifications au sein du cluster (Kerberos uniquement maintenant). b. Équilibrage de la charge réseau L équilibrage de la charge réseau (NLB) est une fonctionnalité qui permet de distribuer la charge réseau entre plusieurs serveurs (utilisé notamment avec IIS ou TSE). Il s agit d un système flexible dans lequel l ajout ou le retrait de machines supplémentaires (augmentation de la charge ou défaillance d un des nœuds) se fait de manière transparente pour les clients

61 Les améliorations apportées au NLB comprennent : La prise en charge d IPv6 : NLB prend entièrement en charge IPv6 pour toutes les communications. La prise en charge de NDIS 6.0 : le pilote NLB a été entièrement réécrit pour utiliser le nouveau modèle de filtre léger NDIS 6.0. NDIS 6.0 conserve une compatibilité avec les versions précédentes. Améliorations WMI : les améliorations apportées à l espace de noms MicrosoftNLB concernent IPv6 et la prise en charge de plusieurs adresses IP dédiées. Fonctionnalité améliorée avec ISA Server : ISA Server peut configurer plusieurs adresses IP dédiées pour chaque nœud NLB pour les scénarios dans lesquels les clients se connectent en IPv4 et IPv6. Prise en charge de plusieurs adresses IP dédiées par nœud : NLB prend entièrement en charge la définition de plusieurs adresses IP dédiées par nœud (précédemment, une seule adresse IP dédiée par nœud était prise en charge), autorisant l hébergement de plusieurs applications sur le même cluster NLB dans le cas où des applications séparées nécessiteraient leur propre adresse IP dédiée. c. Sauvegarde de Windows Windows 2008 intègre un nouvel outil de sauvegarde et de restauration qui remplace efficacement le très honorable Ntbackup (disponible depuis les premières versions de Windows NT) qui ne supportait évidemment pas la comparaison avec des logiciels de sauvegarde d éditeurs tiers. La fonctionnalité de sauvegarde peut être utilisée pour protéger tout le serveur de manière efficace et fiable sans se soucier des complexités de la technologie de sauvegarde et de récupération. De nouveaux assistants sont également disponibles pour faciliter la mise en œuvre des sauvegardes, mais également pour la restauration d éléments ou de volumes entiers. Ce nouvel outil utilise à la fois les clichés instantanés (fonctionnalité déjà disponible avec Windows 2003), mais aussi, et c est une nouveauté, une sauvegarde par bloc (comme sous Vista) permettant une sauvegarde et une restauration plus efficace du système d exploitation. Enfin, une fois la première sauvegarde complète effectuée, des sauvegardes incrémentielles, qui enregistrent uniquement les données qui ont changé depuis la dernière sauvegarde, s exécutera automatiquement. 8. Active Directory

62 Comme on pouvait s y attendre Windows 2008 apportera son lot de nouvelles fonctionnalités, mais également de vocabulaire. En effet, et bien qu ayant la même fonction, un certain nombre de services déjà disponibles sous Windows 2003 changent de nom afin d adopter la racine commune AD. Voici de quoi s y retrouver un peu : Active Directory Services devient Active Directory Domain Services (AD DS). Active Directory Application Mode (ADAM) devient Active Directory Lightweight Directory Services (AD LDS). Certificate Services devient Active Directory Certificate Services (AD CS). Windows Right Management Services devient Active Directory Right Management Services (AD RMS). Active Directory Federation Services (ADFS) conserve son nom mais gagne un espace entre le D et le F pour devenir AD FS. a. Nouvel assistant d installation (Dcpromo) Afin de faciliter la mise en œuvre d un domaine Active Directory, Windows 2008 intègre un nouvel assistant d installation doté d un mode avancé. Le premier point à noter lors de l installation d un domaine Windows 2008 est qu il n accepte plus, par défaut, l authentification des machines pré Windows 2000 utilisant des algorithmes de cryptage faible ; cela impacte bien entendu les bonnes vieilles machines sous NT4 mais également Samba ou encore certains NAS. Configuration Dns Dans le cas où un serveur Dns valide n est pas détecté par l assistant, celui ci, comme sous Windows 2003, propose son installation

63 Création de la forêt Active Directory Nom NetBIOS (et oui certaines idées ont la vie dure ) Définition du niveau fonctionnel

64 Options complémentaires Cette fenêtre d option est propre à 2008 et permet de sélectionner des options complémentaires pour un contrôleur de domaine. On notera notamment la possibilité de définir notre DC comme serveur de catalogue global mais également comme contrôleur de domaine en lecture seule (ce qui est une nouveauté déjà évoquée et détaillée un peu plus loin dans ce chapitre). Dans notre exemple, le DC est le premier contrôleur de domaine de la forêt et sera donc automatiquement serveur de catalogue global. Emplacement des fichiers

65 Mot de passe de restauration des services d annuaire Enfin, il est maintenant possible d exporter, dans un fichier, les paramètres sélectionnés afin de les réutiliser dans une installation sans assistance. b. Active Directory Domain Services (Service de domaine AD) Parmi les principales améliorations apportées à l Active Directory, voici celles qui me paraissent les plus importantes : Amélioration des audits Contrôleurs de domaines en lecture seule Service Active Directory Stratégie de mots de passe multiples Amélioration des audits Tout d abord, il est important de préciser que la console de gestion des stratégies de groupe est enfin installée nativement avec Windows Il va sans dire que, bien qu ayant toujours sensiblement les mêmes fonctionnalités, celle ci a été relookée et améliorée. En ce qui concerne les audits Ad, ceux ci s activent en deux étapes de la même manière que sous Windows 2003 : Éditer la stratégie Default Domain Controllers Policy et activer l option Auditer l accès au service d annuaire (Configuration ordinateur\paramètres Windows\Paramètres de sécurité\stratégies locales\stratégie d audit)

66 Positionner l audit sur les objets (SACL System Access Control List) ; dans l exemple ci après on va positionner l audit sur l OU Audit pour le groupe utilisateurs authentifiés : Ouvrir la MMC utilisateurs et ordinateurs Active directory. Activer les fonctionnalités avancées. Afficher les propriétés de l OU, aller dans l onglet Sécurité\Avancé puis sur l onglet Audit. Ajouter le groupe Utilisateurs authentifiés. Choisir Les objets descendants uniquement dans la liste Appliquer et sélectionner Écrire toutes les propriétés en réussite puis valider

67 Fermer toutes les fenêtres en validant sur OK. Effectuer la modification d un attribut d un compte utilisateur puis ouvrir le journal des événements

68 À ce stade, on est en droit de se dire "et alors?" ; en effet, hormis la nouvelle MMC on retrouve sensiblement les mêmes informations qu avec Windows En fait, tout comme l iceberg, le plus important est ce qui ne se voit pas ; là où sous Windows 2003 on avait uniquement l option Auditer l accès au service d annuaire, on dispose désormais des sous catégories suivantes activables en ligne de commande : Accès Active Directory Modification du service d annuaire Réplication du service d annuaire Réplication du service d annuaire détaillé Il est maintenant possible de suivre les modifications opérées sur un objet dès lors que l on active son audit (auditpol /set /category:"accès DS" /success:enable : activation de l audit pour toute la catégorie Accès DS). L Id d événement 5136 permet d avoir l état de l objet avant et après sa modification

69 Valeur de l attribut Adresse avant modification

70 Valeur de l attribut Adresse après modification Pour de nombreux administrateurs, le suivi des versions des objets présente peu d intérêt. Cependant, dans le cas où l on souhaite assurer un minimum de sécurité dans son infrastructure, il devient indispensable de suivre l historique des évolutions tout au long de la vie d un objet. Enfin, comme il peut être lourd d auditer tous les attributs d un objet, il est désormais possible de modifier le schéma afin de choisir ce qui doit être audité. Contrôleur de domaine en lecture seule Une autre nouveauté disponible dans AD DS, et pas des moindres, est le contrôleur de domaine en lecture seule (RODC (Read Only Domain Controller)) dont la particularité est de disposer d une base Active Directory en lecture seule. Certains nostalgiques pourraient se dire que l on est de retour à la grande époque de Windows NT4 et de ses BDC, pourtant il s agit en fait d une évolution majeure de la sécurité. Pour bien comprendre l intérêt des RODC, il convient de faire un rappel concernant les solutions existantes sous Windows D une manière générale les sites informatiques principaux disposent d un accès sécurisé aux salles serveurs et des ressources humaines nécessaires à leurs administrations. En revanche, ce n est malheureusement pas le cas des succursales où il est commun de trouver un contrôleur de domaine posé sur une table et accessible à tous (il m est même arrivé d en trouver dans des salles de bain, des pièces régulièrement inondées ou encore des placards ). Malgré cela, il n existe à ce jour que deux options à la disposition des administrateurs pour permettre aux utilisateurs des sites distants de se connecter au réseau d entreprise : Mettre un contrôleur de domaine sur le site qui se réplique avec les serveurs du siège : dans ce cas, les utilisateurs peuvent s authentifier localement même si le lien Wan est coupé. Toutefois, le vol du serveur ou de la base de donnée AD mettrait en péril la sécurité de toute l entreprise. Ne pas mettre de DC sur le site et effectuer les authentifications vers le siège au travers du lien WAN : le problème de cette méthode, outre les lenteurs de connexion, est l impossibilité de se connecter au réseau si le lien Wan est indisponible ou fortement saturé par d autres flux. Pour résumer, avec Windows 2003, les administrateurs disposent de deux solutions : mettre un contrôleur de

71 domaine sur le site ou authentifier les utilisateurs au travers du WAN. Avec Windows 2008, on dispose enfin d une alternative grâce au RODC qui permettra de mettre un contrôleur de domaine dans les succursales, sans mettre en péril la sécurité de son réseau d entreprises. Comme nous l avons déjà évoqué précédemment, un RODC dispose d une base de données en lecture seule ce qui veut dire en d autres termes que la synchronisation sera unidirectionnelle et aura toujours lieu d un DC normal vers un RODC. En outre, cela signifie également qu il ne sera pas possible d effectuer des réplications intra site entre deux RODC. Un RODC sera également un centre de distribution de clefs (KDC (Key Distribution Center) pour le site sur lequel il est implanté et pourra donc répondre aux requêtes de tickets Kerberos émises par les comptes utilisateurs et ordinateurs de son site. En revanche, comme il ne dispose pas d une base de données d annuaire en écriture, il ne sera pas en mesure de stocker les informations d identification (couple utilisateur, mot de passe) fournies par les comptes utilisateurs et ordinateurs lors du processus d authentification. Lorsqu un utilisateur essaie de s authentifier, le RODC contacte un DC du site central afin d obtenir une copie des informations d identification. La réponse fournie par le DC au RODC varie en fonction de la stratégie de réplication de mot de passe configuré pour celui ci. Dans le cas où la réplication des informations d identification est autorisée, le RODC met en cache ces informations pour pouvoir les réutiliser ultérieurement (tant qu elles sont valides). Le résultat de ce mode de fonctionnement est que si le RODC d un site est dérobé, seuls quelques comptes seront compromis (ceux dont la réplication est autorisée) et non l intégralité de l annuaire. Bien que les fonctionnalités évoquées semblent alléchantes, ceux d entre vous qui connaissent les entrailles de l AD doivent se dire "mais qu en est il du catalogue global et du DNS?" Comme tout le monde le sait (ou non), la présence de ces deux éléments est fortement souhaitable sur les sites distants et, de ce fait, un RODC pourra héberger ces deux fonctions. Lors du dcpromo, l installation d un serveur Dns local sera proposé par défaut, ce qui permettra la réplication des zones Dns intégrées AD et le paramétrage automatique du solver DNS local. Tout cela semble en apparence parfait, mais qu en est il des mises à jour dynamiques des enregistrements DNS? Tout d abord, il conviendra de paramétrer le DNS principal des clients pour pointer sur le RODC (l utilisation d un DHCP facilite grandement la chose), et le Dns secondaire vers un DC du site central (au cas où). Ensuite, lorsqu un client essaiera de mettre à jour ses enregistrements Dns auprès du RODC, celui ci dirigera la demande vers un vrai DC afin qu il procède à la mise à jour puis, peu après, le RODC contacte le DC afin de mettre à jour ses informations locales (réplication du DC vers le RODC). Dans le cas où aucun DC n est disponible pour la mise à jour (coupure réseau par exemple), l enregistrement ne sera disponible localement que lors de la prochaine réplication planifiée. Enfin la dernière nouveauté liée au RODC, c est qu il est désormais possible de déléguer l administration locale du serveur à un simple utilisateur. Cela permettra aux petits sites ne disposant que d un relais informatique de réaliser certaines opérations sur le serveur local (installation d un pilote de périphérique demandé par l administrateur central par exemple) qui nécessitait précédemment d être admin du domaine. De fait, une éventuelle mauvaise manipulation sur le serveur n aura plus d impact sur le reste de l annuaire AD. Service Active Directory Une autre nouveauté de Windows 2008 est la possibilité de redémarrer les services d annuaire sans pour autant démarrer le serveur en mode de restauration des services d annuaire. En fait, AD DS est désormais un service Windows qu il est possible d arrêter pour effectuer des opérations de maintenance (défragmentation hors ligne de la base par exemple)

72 Toutefois, certains services liés à AD seront également stoppés en même temps que l annuaire (DNS par exemple). Alors que les précédentes versions des services d annuaires ne pouvaient prendre que deux états (normal ou restauration des services d annuaires), la version 2008, elle, en compte trois : AD démarré : les services d annuaires sont activés et les clients peuvent êtres authentifiés. Restauration AD : identique aux précédentes versions ([F8] au démarrage du serveur). AD arrêté : dans cet état, un contrôleur de domaine est à la fois identique à un DC en mode de restauration des services d annuaires, et également à un simple serveur membre. De fait, bien que la base de données AD soit hors ligne, le serveur est quand même accessible pour les clients (sous réserve d être authentifié par un autre DC en ligne). Stratégie de mot de passe multiple Dans les précédentes versions des services d annuaire de Microsoft, il n était possible de disposer que d une stratégie de mot de passe valable pour le domaine entier (définie dans la gpo stratégie de domaine par défaut). Une des évolutions d Active Directory avec Windows Server 2008 consiste en la possibilité de définir non plus une seule mais de multiples politiques de mots de passe au sein d un domaine. Pour ce faire, une nouvelle classe d objet appelée mds PasswordSettings a été ajoutée

73 Afin de pouvoir gérer des stratégies de mot de passe spécifique, il convient de créer un objet PSO dont les critères positionnables sont les suivants : Ordre de précédence (msds PasswordSettingsPrecedence) : ce paramètre caractérise un ordre de préférence dans le cas où plusieurs stratégies s appliqueraient au même objet. Stocker les mots de passe de manière chiffrée réversible (ms DS PasswordReversibleEncryptionEnabled) : utilisé notamment pour les Mac. Nombre de mots de passe conservés dans l historique (ms DS PasswordHistoryLength) : ce paramètre spécifie combien d anciens mots de passe ne seront pas réutilisables. Utilisation de mots de passe complexes (ms DS PasswordComplexityEnabled) : force les utilisateurs à utiliser des mots de passe complexes contenant notamment des chiffres, des majuscules et des caractères spéciaux. Longueur minimale du mot de passe (ms DS MinimumPasswordLength) : fixe le nombre de caractères minimum demandé aux utilisateurs. Durée de validité minimale du mot de passe (msds MinimumPasswordAge) : détermine l intervalle de temps durant lequel les utilisateurs ne pourront pas changer leur mot de passe. Nombre d essais infructueux avant verrouillage du compte (msds LockoutThreshold) : nombre de tentatives acceptées avant le blocage du compte. Durée d observation du verrouillage du compte (msds LockoutObservationWindow) : précise au bout de combien de temps le compteur des essais infructueux sera réinitialisé. Durée de verrouillage du compte (msds LockoutDuration) : définit la durée de verrouillage d un compte utilisateur. Enfin, après avoir créé les objets PSO, il conviendra de les affecter soit à un groupe (de préférence) soit à un utilisateur. 9. Autres nouveautés ou améliorations a. Serveur de fichiers Sous Windows 2008, la fonction de serveur de fichiers est désormais un rôle à part entière et, de ce fait, on dispose maintenant d une console MMC spécifique appelée Gestion du partage et du stockage. Cette console permet d avoir une vue centralisée des partages et des volumes configurés sur le serveur. Les actions qu il sera possible d effectuer dans les onglets sont les suivantes : Partages : cesser de partager, configurer

74 Volumes : étendre, formater, configurer, supprimer Cette console dispose également de deux nouveaux assistants permettant de paramétrer des partages ou des volumes. L assistant Prévision du stockage permet de paramétrer des LUN, de créer ou encore formater des volumes. Windows 2008 supporte de nombreux protocoles tels que fibre channel ou encore iscsi

75 L assistant Prévision du partage permet, quant à lui, de créer des partages SMB ou NFS, de positionner des permissions Ntfs, la configuration hors connexion ou encore de définir une stratégie de quota. Au rayon des bonnes nouvelles, on notera que l énumération basée sur l accès (module complémentaire sous Windows 2003 permettant de ne voir que les répertoires auquel on a accès) est maintenant intégrée sous Windows 2008, et qu il sera également possible de filtrer le type de fichiers contenus dans un répertoire (adieu mp3, avi et autres fichiers disons non professionnels)

76 b. Explorateur de stockage L explorateur de stockage est une console MMC permettant de gérer les infrastructures SAN, qu elles soient basées sur Fibre Channel ou sur iscsi. La console se présente sous la forme d un arbre dépliable et permet de visualiser la topologie de votre SAN, sans avoir à maîtriser les outils propriétaires des divers fabricants

77 c. SMB 2.0 SMB est un protocole de partage de fichiers dont la version actuelle (1.0) a été développée il y a environ quinze ans, pour les premiers réseaux Microsoft (Microsoft Lan Manager). Malgré de nombreuses qualités et quelques évolutions au fil du temps, SMB 1.0 est un protocole bavard qui génère beaucoup de trafic réseau et supporte un nombre restreint de partage de fichiers. Pour Windows 2008 et Vista, Microsoft a donc complètement réécrit le protocole qui promet d être nettement plus performant. Parmi les évolutions annoncées, on peut citer : Support des commandes multiples dans le même paquet. Augmentation de la taille des buffers. Augmentation du nombre de partages et de fichiers ouverts simultanément sur le serveur. Meilleure gestion des micro coupures réseau. Les figures ci dessous (source Microsoft) permettent d entrevoir l optimisation effectuée sur le protocole SMB 2 dans l utilisation de la bande passante du réseau. Dans les faits, cela devrait permettre d augmenter significativement les taux de transferts de fichiers

78 Comparaison des protocoles SMB 2 et SMB1 sur un réseau Lan Comparaison des protocoles SMB 2 et SMB1 sur un réseau Wan d. MPIO (Multi Path Input Output) Nombre d administrateurs pensent que mettre en place du Raid sur les serveurs suffit à assurer une haute disponibilité de leurs applications. Bien que leur raisonnement ne soit pas totalement erroné, la question à se poser est : Que se passerait il si une carte raid ou encore une nappe tombait en panne? La réponse tombe évidemment sous le sens et c est le problème majeur de ce type de solution qui ne procure qu un chemin logique unique vers les données. Une autre approche, que l on trouve dans les infrastructures SAN, est de mettre en œuvre un chemin logique multiple (multipathing) en assurant la redondance des éléments intermédiaires tels que les cartes, les switchs ou les câbles, situés entre le serveur et les unités de stockage. En effet, la mise en œuvre d un chemin logique multiple (multipath I/O) permet aux applications installées sur le serveur de continuer à avoir accès à leurs données, même lors de la défaillance d un des composants. En outre, MPIO permet également d assurer une répartition de charge des opérations de lecture/écriture sur les différents chemins logiques définis entre le serveur et les unités de stockage

79 MPIO est en fait un pilote développé par Microsoft, qui était jusqu à présent un composant indépendant et qui est désormais disponible dans les fonctionnalités installables sous Windows Schéma logique d une infrastructure SAN utilisant Mpio Le nouveau pilote MPIO de Windows 2008 permet de mettre en œuvre plusieurs politiques de répartition de charge : Failover : pas de répartition des entrées/sorties, un chemin préférentiel est défini tandis que les autres sont en attente. Fail back : même logique que précédemment, mais dès que le chemin privilégié est de nouveau opérationnel, il sera utilisé en priorité. Round Robin : tous les chemins seront employés pour répartir les requêtes d E/S sur le principe du tourniquet (même logique que le round robin DNS). Round Robin with subset of path : une partie des chemins logiques est allouée au tourniquet tandis que le reste est en attente d une éventuelle défaillance. Dynamic Least Queue, Depth : les E/S sont dirigées vers le chemin ayant le moins de requêtes en attente. Weighted Path : chaque chemin reçoit un poids indiquant son niveau de priorité. Le chemin ayant le poids le plus faible sera utilisé en priorité pour servir les requêtes. e. iscsi Initiator et isns Server iscsi (internet Small Computer System Interface) est un protocole utilisé pour interconnecter des serveurs, des clients ou des systèmes de stockage en s appuyant sur un réseau TCP/IP. iscsi a été initialement développé afin de procurer une alternative moins coûteuse au protocole Fibre Channel (FC) communément utilisé dans les infrastructures SAN. Bien que de nombreuses entreprises ressentent le besoin d une infrastructure SAN, l idée d investir dans un réseau FC, coûteux et complexe, en parallèle de leur réseau Lan est souvent un élément rédhibitoire. De fait, le développement croissant de solutions SAN/iSCSI bon marché permet au plus grand nombre de s équiper. Enfin, un autre intérêt du iscsi est qu il est simple à mettre en œuvre et ne nécessite que peu de matériel (usuellement un serveur, une unité de stockage compatible iscsi, le tout branché sur un switch Gigabit). Une autre fonctionnalité de Windows 2008 est isns (internet Storage Name Service) qui permet de simplifier la gestion des infrastructures iscsi complexes

80 f. Réseau Bon nombre de perfectionnements ont été réalisés sous Windows 2008, mais les deux qui me semblent les plus intéressants sont les suivants : Prise en charge du protocole IP V6 par le nouveau serveur DHCP. Nouveau client VPN SSL appelé pour l occasion SSTP (Secure Socket Tunneling Protocol), permettant d utiliser une connexion SSL (port 443). Bien que de multiples autres fonctionnalités ou améliorations soient également disponibles dans Windows 2008, elles feront sans nul doute l objet de nombreux autres ouvrages. Il est maintenant temps de nous intéresser plus particulièrement aux nouveautés proposées par Terminal Server dans cette mouture

81 Client d accès à distance version 6 1. Introduction Comme ce fut jadis le cas avec l arrivée de Windows 2003, Microsoft a retravaillé en profondeur tant la partie serveur que la partie client afin d améliorer encore le confort des utilisateurs (et accessoirement celui des administrateurs). Les nouvelles fonctionnalités du client sont les suivantes : nouvelles résolutions d écran ; utilisation de plusieurs moniteurs ; nouvel environnement visuel ; support des polices «ClearType» ; prioritisation de l affichage. Afin de pouvoir profiter de ces nouvelles possibilités, il faudra disposer d un serveur TSE 2008 et du client RDC 6 (disponibles nativement avec Vista et optionnels avec XP). Toutefois, certaines applications ne seront disponibles qu avec le couple Windows 2008 et Vista. 2. Nouvelles résolutions d écran Le client RDC 6 prend en charge des résolutions plus larges et permet également d utiliser plusieurs écrans afin d étendre (horizontalement) la taille du bureau. Dans les versions précédentes de TSE, la résolution d écran ne supportait qu un ratio 4:3 avec un maximum de 1600*1200. Avec le client 6, il sera possible d avoir des ratios de 16:9 voire 16:10 et une résolution allant jusqu à 4096*2048. Le paramétrage personnalisé de la résolution se fait directement dans le fichier rdp dans lequel il faudra positionner les options suivantes : desktopwidth:i:<valeur> desktopheight:i:<valeur> Où les champs <valeur> représentent la résolution souhaitée, par exemple 1920 *1200 (voir la Knowledge Base n (sur le site Web Microsoft) qui détaillent les différentes options disponibles). 3. Utilisation de plusieurs moniteurs (Monitor Spanning) Le monitor spanning permet d étendre son bureau TSE sur plusieurs moniteurs. Afin de pouvoir utiliser cette technique, les écrans doivent répondre aux pré requis suivants : Même résolution pour tous les moniteurs (par exemple 2 écrans en 1024*768). Seul l alignement horizontal est supporté. La résolution totale des écrans ne doit pas dépasser 4096*2048. Le paramétrage du monitor spanning se fait directement dans le fichier rdp dans lequel il faudra positionner les options suivantes : Span:i:<valeur> Si <valeur> = 0, «monitor spanning» desactivé If <valeur> = 1, «monitor spanning» activé - 1 -

82 Il est également possible d activer le spanning depuis la console avec la commande mstsc /span. 4. Nouvel environnement visuel Windows 2008 dispose d une fonctionnalité appelée expérience utilisateur qui permet au client RDC de mettre, à disposition des utilisateurs, un bureau de type Vista. 5. Support des polices ClearType Avant d entrer dans les détails de ce que Microsoft appelle le Font smoothing, il convient de faire un petit rappel sur ce que sont les polices ClearType (merci à Wikipedia pour la définition qui suit) : Les écrans dont la conception matérielle imposent une position fixe aux pixels, comme les écrans plats modernes, peuvent subir d importantes déformations de crénelage qui se manifestent par des traits dentelés lorsqu on affiche des petits éléments à forts contrastes comme du texte. ClearType utilise une technique d anticrénelage au niveau du sous pixel afin de réduire fortement les défauts perceptibles (les artefacts), lors de l affichage des manuscrits, et fait apparaître des caractères plus lisses et plus lisibles. Bien que les détails de la mise en œuvre précise de ClearType appartiennent à Microsoft, les principes, sur lesquels ClearType est fondé, sont anciens et bien connus car ils ont déjà été utilisés sur d autres systèmes d affichage, comme les ordinateurs à téléviseur NTSC des années Comme la plupart des autres types de rendu subpixellaire, ClearType implique un accommodement où l on sacrifie un aspect de la qualité de l image (sa couleur ou sa chrominance) en faveur d un autre (sombre ou éclairé, sa luminance). Ce compromis améliore l apparence du texte car, lorsque l on lit un document en noir et blanc, la luminance est plus importante que la chrominance. Ce compromis fonctionne car il exploite certaines particularités de notre vision. Bien que tout le monde ne soit pas coutumier du fait, ce qu il faut retenir c est que Windows 2008 intègre le support des polices ClearType ce qui permet d obtenir un affichage du texte plus précis, transparent et lisse, notamment sur les écrans LCD qui tendent à se démocratiser largement. Dans les faits, Windows 2008 Terminal Server peut être configuré pour fournir le support des polices ClearType à un ordinateur client se connectant avec le client d accès à distance. Cette fonctionnalité, appelée Font Smoothing, est disponible avec Windows Vista, XP ou 2003 utilisant le client RDC 6. Afin de mettre à disposition des clients le Font Smoothing, il faut vérifier que la prise en charge ClearType est activée (par défaut normalement) sur le serveur, en allant dans le Panneau de configuration Personnalisation Couleurs et apparences des fenêtres Effets

83 Ensuite, il faut activer le lissage des polices dans les options avancées du client Rdc 6 : Bien que l activation du lissage des polices amène un confort visuel supplémentaire aux utilisateurs, il faut bien garder à l esprit que cela induit également une augmentation de la consommation de bande passante de l ordre de 4 à 10 fois, d après les tests effectués par Microsoft

84 6. Prioritisation de l affichage La prioritisation de l affichage (disponible jusqu à présent uniquement sous Citrix) est également une nouveauté intéressante car elle permet de contrôler les canaux virtuels afin d assurer une priorité plus élevée pour l écran, le clavier et la souris, au détriment par exemple des impressions ou du transfert de fichiers. La prioritisation permettra également d assurer des performances d affichage correctes même dans le cas d une utilisation intensive de la bande passante disponible. Par défaut, le ratio sera de 70% pour l affichage et les périphériques d entrées et de 30% pour le reste. 7. Utilisation du client RDC 6 a. Options disponibles en ligne de commande La commande Mstsc /? permet d afficher les options disponibles. b. Lancement du client Démarrer Programmes accessoires Connexion Bureau à distance - 4 -

85 c. Confort Visuel Le client RDC 6 supporte désormais une palette de couleurs en qualité optimale 32 bits ainsi que le lissage des polices (déjà évoqué précédemment). Il est à noter cependant que le paramétrage défini sur le client ne s appliquera que s il est autorisé coté serveur. d. Redirection des ressources locales - 5 -

86 Avec la nouvelle version du client RDC, il est maintenant possible de paramétrer plus finement les périphériques locaux (plug and play) pouvant être redirigés dans la session TSE. Attention : tous les types de périphériques USB ne sont pas supportés (notamment le support Twain). e. Authentification du serveur Depuis plusieurs années, Microsoft a fait de la sécurité du système d informations son cheval de bataille. Pourtant, lorsque l on se connecte à un Terminal Server 2003, l aspect sécurité se résume à saisir son compte et son mot de passe dans la fenêtre de connexion. Certains se diront peut être "et alors ça ne suffit pas?", et bien à cela je répondrai "Comment être sûr que je suis en train de saisir mon précieux sésame sur la bonne machine?". Comme je ne suis évidemment pas le seul à m être posé cette question, Microsoft a intégré une étape intermédiaire, appelée authentification serveur, avant la fenêtre de connexion, qui permet de s assurer de la validité du serveur sur lequel je m apprête à m authentifier. Cette nouvelle fonctionnalité dispose de trois options : - 6 -

87 Toujours connecter, même si l authentification échoue : si cette option est activée (option par défaut), vous pouvez établir une connexion même si l identité de l ordinateur distant ne peut pas être vérifiée. M avertir si l authentification échoue : si cette option est activée, l utilisateur est averti si l identité de l ordinateur distant ne peut pas être reconnue et il est invité à choisir ce qu il souhaite faire. Ne pas connecter si l authentification échoue : si cette option est activée et que l identité de l ordinateur distant ne peut pas être confirmée, la connexion échouera. f. Authentification niveau réseau (NLA) L authentification au niveau réseau (NLA (Network Level Authentication)) est un complément de sécurité à la classique authentification des utilisateurs. Ce processus opère avant qu une connexion complète ne soit établie entre le client et le serveur, qui se matérialise par l apparition de la fenêtre de connexion. Dans les faits, pour qu un client puisse se connecter à un serveur TSE, il doit au préalable être authentifié par celui ci. Bien que cette nouvelle fonctionnalité présente un intérêt non négligeable en terme de sécurité, celle ci n est pas disponible, dans sa version actuelle, pour les clients antérieurs à Windows Vista/2008 (voir ci dessous). Client RDC 6 sous Windows XP (Authentification au niveau du réseau non prise en charge) - 7 -

88 Client RDC 6 sous Windows 2008 (Authentification au niveau du réseau prise en charge) Afin d activer NLA, il faut modifier le paramétrage par défaut du serveur 2008 (qui accepte n importe quelle version du client par défaut), et activer les authentifications NLA : Panneau de configuration Système Paramètres d utilisation à distance Enfin, si un client sous Windows XP tente d établir une connexion à un serveur TSE 2008 sur lequel NLA est activé, il aura le message d erreur ci après : g. Passerelle Terminal service (TS) Le client RDC V6 possède désormais une nouvelle option lui permettant de se connecter à un serveur TS par Internet, de manière sécurisée, en utilisant une passerelle qui encapsule le protocole Rdp dans du Https. Parmi les avantages de cette solution, on peut citer les éléments suivants : Plus besoin de Vpn pour accéder aux applications publiées sous TSE. Réduction des problèmes de translation induits par les firewalls. L absence de Vpn facilite le partage de la connexion avec d autres applications installées sur l ordinateur client. Le paramétrage de la passerelle TS se réalise de la manière suivante : Dans l onglet Connexion du client d accès à distance Paramètres - 8 -

89 Les méthodes d ouverture de session sont celles ci : M autoriser à sélectionner ultérieurement : le choix de la méthode de connexion s effectue lors de la connexion. Demander le mot de passe : demande à l utilisateur le mot de passe à l initialisation de la connexion. Carte à puce : demande à l utilisateur d insérer sa carte à puce lors de la connexion. L option Ignorer le serveur de passerelle TS pour les adresses locales permet de ne pas diriger le trafic vers la passerelle lorsque la connexion est initiée depuis le réseau local

90 Authentification unique (Single Sign On) 1. Introduction L authentification unique (ou identification unique : en anglais Single Sign On ou SSO) est une méthode permettant à un utilisateur de ne procéder qu à une seule authentification pour accéder à plusieurs applications informatiques (ou sites web sécurisés). Les objectifs du SSO sont multiples : Simplifier, pour l utilisateur, la gestion de ses mots de passe : en effet, plus l utilisateur doit gérer de mots de passe, plus il aura tendance à utiliser des mots de passe similaires ou simples à mémoriser (voire même mettre un post It sous son clavier ou dans un tiroir), abaissant par la même occasion le niveau de sécurité du système d informations. Simplifier la gestion des données personnelles détenues par les différents services en ligne, en les coordonnant par des mécanismes de type méta annuaire. Simplifier la définition et la mise en œuvre de politiques de sécurité. Jusqu à présent, pour établir une connexion à un serveur TSE, l utilisateur devait, soit entrer son mot de passe (ou son code Pin dans le cas d une smart card) à chaque connexion (ce qui exaspère généralement les utilisateurs), soit enregistrer celui ci "en dur" dans un fichier rdp (ce qui reste une faille de sécurité très importante). La fonctionnalité de SSO sera disponible en mode bureau ou applications distantes et supportera les authentifications par mot de passe ou smart card. Enfin, la mise en œuvre du SSO nécessitera un client sous Windows Vista, un serveur Windows 2008 et un environnement Active Directory. 2. Paramétrage du SSO a. Coté Serveur L activation du SSO sur un serveur TSE nécessite de configurer le connecteur Rdp, via la console Configuration des services Terminal Server, en positionnant le paramètre Couche de sécurité sur Négocier ou SSL

91 b. Coté client Afin d activer le SSO coté client (Vista uniquement), le plus simple est de passer par une stratégie de sécurité (mais il est également possible d utiliser gpedit.msc) afin de positionner le paramètre Autoriser la délégation des informations d identification par défaut situé dans Configuration Ordinateur Modèles d administration Système Délégation d information d identification pour y ajouter la liste du ou des serveur(s) RemoteApp (préfixé par termsrv/ ; par exemple termsrv/tse2008.w2k8forest.local)

92 Distribution d applications transparentes 1. Introduction TS RemoteApp est une fonctionnalité qui permet aux utilisateurs d accéder à des applications exécutées à distance par le biais des services TS (Terminal Services). L application distante se lance directement par le menu démarrer du poste de travail de l utilisateur et apparaît de manière identique à une véritable application locale (fenêtre redimensionnable et accessible dans la barre des tâches). Avec Windows 2008, plusieurs méthodes seront disponibles pour donner l accès aux applications distantes : Utilisation d un lien dans une page Web. Utilisation d un fichier rdp. Ajout d une icône dans le menu démarrer (via un MSI). Double clic sur un fichier (doc par exemple) dont l extension a été associé à une application distante (via un MSI). Attention : l accès aux applications distantes déployées par un fichier rdp ou MSI est possible avec le client RDC 6 ou 6.1, en revanche l accès via le site Web nécessite la version Mise en œuvre a. Installation du service Terminal Server

93 Avant de se lancer dans l installation des services Terminal Server, il faut bien s assurer qu aucune application (que l on souhaite déployer aux utilisateurs) n est déjà installée sous peine de s apercevoir a posteriori qu elle ne fonctionne pas ou mal Ouvrir la console gestionnaire de serveur et lancer l assistant d ajout d un nouveau rôle : Choisir le ou les rôle(s) à installer : - 2 -

94 Choisir la méthode d authentification en gardant bien à l esprit que l authentification au niveau réseau n est pas supportée par les clients antérieurs à Windows Vista. Spécifier le mode de licence à utiliser (ce point sera expliqué plus loin dans cet ouvrage) : - 3 -

95 Sélectionner les groupes autorisés à utiliser les services TS : Le groupe sélectionné précédemment sera automatiquement ajouté au groupe local Utilisateurs du bureau à distance du serveur TSE. Un récapitulatif des choix effectués vous sera proposé avant de lancer l installation, et un redémarrage du serveur sera nécessaire : - 4 -

96 Après le redémarrage du serveur, l assistant d installation indiquera le résultat de l installation : b. Installation des applications Après la configuration initiale du TSE, on peut installer les applications qui seront déployées aux utilisateurs. Pour ce faire, il est nécessaire de mettre le TSE dans un mode de fonctionnement particulier appelé mode installation, ce qui peut s effectuer de plusieurs manières : Lancer Installer une application sur un serveur Terminal Server situé dans le panneau de configuration. Ouvrir une invite de commande et taper la commande change user /Install, procéder à l installation du produit, puis à la fin de l installation taper la commande change user /execute. Attention cette série de commandes doit être exécutée pour chaque application à installer. c. Publication des applications Lancer la console Gestionnaire RemoteApp TS qui se trouve dans les outils d administration ou taper la commande remoteprograms.msc. Lancer l assistant d ajout des programmes RemoteApp : - 5 -

97 Sélectionner les applications (si une application n apparaît pas, ajouter le fichier exécutable en cliquant sur Parcourir). Si des paramètres supplémentaires doivent être positionnés (par exemple des arguments de ligne de commande), sélectionner l application concernée et cliquer sur Propriétés

98 Une fois la validation effectuée, les applications apparaissent en bas de la console : Il est à noter qu il est possible d effectuer un export des applications paramétrées, afin d accélérer la mise en œuvre d un serveur TS supplémentaire. Les pré requis pour effectuer cette opération en direct (sans passer par un export/import de fichiers) sont les suivants : Utiliser un compte d administrateur. Les applications doivent exister sur le serveur cible. WMI doit être opérationnel. d. Paramétrage des options par défaut Le paramétrage des options utilisées par défaut par les clients distants se fait dans Paramètre du serveur Terminal Server. Les options paramétrables portent sur les points suivants : Paramétrage Terminal Server : - 7 -

99 Passerelle TS : Signature numérique : - 8 -

100 Paramètres RDP : e. Déploiement des applications sur les clients Afin de mettre à disposition des clients les applications paramétrées précédemment, il est possible d utiliser soit des fichiers RDP soit des packages MSI, que l on positionnera sur un partage réseau ou que l on poussera sur les machines clientes par le biais de SMS ou de l AD (ou tous autres outils de déploiement). La création de ces fichiers se fait directement depuis le gestionnaire RemoteApp TS : - 9 -

101 Sélectionner l application désirée et cliquer sur Créer le fichier.rdp : Effectuer les paramétrages souhaités, puis valider (il est conseillé d utiliser un partage réseau comme emplacement pour le package). Sélectionner l application désirée (un choix multiple est possible) et cliquer sur Créer le package Windows Installer. Effectuer les paramétrages souhaités, puis valider (il est conseillé d utiliser un partage réseau comme emplacement pour le package). Définir le positionnement des raccourcis (menu démarrer, bureau ) et l association des extensions de fichiers. Si une association est effectuée, alors l ouverture d un fichier local se fera dans une application distante. Maintenant que les packages sont créés, il ne reste plus qu à définir la méthode de déploiement adéquate : Le plus simple, mais aussi le moins flexible, est d indiquer à ses utilisateurs le chemin réseau (ou faire un mappage dans un script) vers le partage. Si cette solution est implémentée, n oubliez pas de positionner des permissions sur les fichiers, afin d en limiter l utilisation aux utilisateurs (groupes de préférence) concernés

102 La solution que nous conseillons est l utilisation d un outil de déploiement de package tel que SMS, Landesk ou bien l Active Directory. Dans l exemple qui va suivre, un déploiement via une stratégie de groupe AD sera utilisé : Lancer la mmc Gestion de stratégie de groupe et créer un nouvel objet Gpo sur l OU contenant les machines concernées, et positionner un filtrage de sécurité (afin de choisir les groupes d utilisateurs qui recevront les applications). Éditer la stratégie, déployer l arborescence pour atteindre la stratégie d installation de logiciel, puis créer un nouveau package :

103 Choisir les packages à déployer et la méthode de déploiement. Après le déploiement sur les postes clients, les applications seront disponibles dans le menu démarrer :

104 Le lancement d une application depuis le poste client, bien que s exécutant à distance, apparaîtra alors à l utilisateur comme si elle s exécutait localement : c est ce que l on appelle dans le jargon une application seamless :

105 - 14 -

106 Portail Web d accès aux services TSE Introduction Dans la version précédente de TSE, il existait une version Web du client RDC que l on pouvait déployer à partir d une page Web publiée sous IIS (sous réserve d avoir les droits d installer un ActiveX). L ajout, dans une page Web, d un appel à cet ActiveX permettait d ouvrir un bureau à distance à l intérieur de son navigateur Internet. Avec l avènement du client RDC 6, le composant ActiveX est maintenant intégré, permettant en outre d accéder au nouveau portail Web et d y lancer des applications publiées. 2. Installation du TS Web Access L installation de ce composant se fait depuis le gestionnaire de serveur, dans l option Ajouter un service de rôle. L installation du portail Web nécessite la présence d IIS7 et de WPAS (Windows Process Activation Service), et propose son installation si celui ci n est pas détecté par le programme d installation. Lorsque l installation est achevée, un raccourci vers est ajouté dans les outils d administration ainsi que deux groupes locaux (TS Web Access Administrators et Ordinateurs Accès Web TS)

107 Dans le cas où le serveur TS Web Access n est pas lui même le serveur RemoteApp, il faudra autoriser celui ci en l ajoutant au groupe local Ordinateurs Accès Web TS. Enfin, il est possible de choisir la source des données (local host par défaut) utilisée pour peupler le portail à partir de l onglet Configuration de l interface d administration. 3. Utilisation du portail par les clients Tout d abord, avant de pouvoir utiliser le portail il faudra disposer de la version 6.1 du client RDC qui sera disponible avec le SP1 de Vista et le SP3 de XP, dans le cas contraire vous obtiendrez ce message : - 2 -

108 Dès lors que le client RDC 6.1 est installé, le lancement d une application se fait par un simple clic dans le portail. À ce stade du développement du TS Web Access, le reproche majeur que l on puisse faire, outre l austérité du portail (qui peut être modifié ou intégré à un intranet), c est qu il n est pas possible de choisir quelles applications seront mises à disposition de quels utilisateurs. En effet, le portail affichera toutes les applications paramétrées dans la console RemoteApp de sa source de données. En outre, la tolérance de panne est également problématique car il n est pas chose facile de faire pointer le serveur TS Web Access sur plusieurs sources de données

109 Impressions simplifiées 1. Introduction Depuis les premières versions de Terminal Server, les impressions ont toujours été un point dur, voire même, dans certains cas, un casse tête insoluble, et ce, pour deux raisons : les pilotes d impression et la consommation de bande passante. Afin de résoudre ces problèmes, de nombreux éditeurs (Citrix, Thinprint) proposent des pilotes dits universels qui remplacent le système d impression classique. 2. Présentation de TS Easy Print Pour ne pas être en reste, Microsoft a enfin pris le problème à bras le corps, et propose, avec Windows 2008, un système d impression sans pilote appelé TS Easy Print qui permet de simplifier la redirection des imprimantes clientes. Dans les faits, TS Easy Print agit comme un proxy pour toutes les demandes d impression et les réoriente vers la machine cliente, sans pour autant installer un quelconque pilote sur le serveur TSE. Pré requis À la date d écriture de cet ouvrage, TS Easy print nécessite Windows Vista SP1 avec le client RDC 6.1 et le Framework 3.0 SP1. Toutefois, le service pack 3 de Windows XP devrait également permettre son utilisation. 3. Activation L installation sur le serveur TSE se résume à l ajout des fonctionnalités Framework 3.0 et XPS Viewer. Une fois ces fonctionnalités installées, une imprimante XPS est créée sur le serveur TSE. 4. Utilisation - 1 -

110 Afin de bien comprendre ce qu il se passe, plusieurs imprimantes ont été déclarées sur un poste client Windows Vista. Le lancement d une application distante permet de valider le fait que la redirection des imprimantes locales dans la session distante soit effective. Dans notre exemple, l activation de la nouvelle option de réorientation de l imprimante par défaut (nouvelle option des Gpo) permet de rediriger uniquement l imprimante par défaut du client (ici, une HP LaserJet 4). L affichage des propriétés de l imprimante permet de voir que celle ci apparaît comme un modèle Terminal Services Easy Print confirmant bien l utilisation de ce mode d impression

111 Par ailleurs, l affichage des options d impression permet de valider le fait que l on dispose bien de toutes les options paramétrables pour ce modèle d imprimante. Enfin, si l on regarde les imprimantes du serveur TSE, on s aperçoit également qu aucune nouvelle imprimante n apparaît sur le serveur confirmant bien la transparence de l opération de redirection

112 5. Nouvelles stratégies de sécurité Windows 2008 propose évidemment son lot de nouvelles stratégies paramétrables pour les services Terminal Server. Pour s assurer que les clients utilisent bien TS Easy Print et limite le nombre d imprimantes à rediriger dans la session TSE, deux nouvelles stratégies sont particulièrement intéressantes : Ces stratégies se situent sous le nœud : Configuration Ordinateur \ Stratégies \ Modèles d administration \ Services Terminal Serveur \ Terminal Serveur \ redirection de l imprimante. Utiliser d abord le pilote d imprimante de la fonction d impression facile des services Terminal Server Les valeurs possibles sont : Activez ou ne configurez pas ce paramètre de stratégie : le serveur Terminal Server tente d abord d utiliser le pilote de la fonction d impression facile des services Terminal Server pour installer toutes les imprimantes clientes. Si, pour une raison quelconque, le pilote d imprimante de la fonction d impression facile des services Terminal Server ne peut pas être utilisé, un pilote d imprimante sur le serveur Terminal Server correspondant à l imprimante cliente est utilisé. Si le serveur Terminal Server n a pas de pilote d imprimante correspondant à l imprimante cliente, l imprimante cliente n est pas disponible pour la session des services Terminal Server. Désactivez ce paramètre de stratégie : le serveur Terminal Server tente de trouver un pilote d imprimante adéquat pour installer l imprimante cliente. Si le serveur Terminal Server n a pas de pilote d imprimante correspondant à l imprimante cliente, il tente d utiliser le pilote de la fonction d impression facile des services Terminal Server pour installer l imprimante cliente. Si, pour une raison quelconque, le pilote d imprimante de la fonction impression facile des services Terminal Server ne peut pas être utilisé, l imprimante cliente n est pas disponible pour la session des services Terminal Server. Rediriger uniquement l imprimante cliente par défaut Les valeurs possibles sont : Activez ce paramètre de stratégie : seule l imprimante cliente par défaut est redirigée dans les sessions Terminal Server. Désactivez ou ne configurez pas ce paramètre de stratégie : toutes les imprimantes clientes sont redirigées dans les sessions des services Terminal Server

113 Passerelle TSE 2008 (TS Gateway) 1. Introduction Le rôle de passerelle pour les services Terminal Server (bureau ou applications distantes) permet aux utilisateurs nomades de se connecter aux ressources de l entreprise à partir de n importe quel accès Internet. Cette passerelle s appuie toujours sur le protocole RDP mais l encapsule dans le protocole HTTPS, afin de sécuriser la connexion dans un tunnel crypté. a. Intérêts de la solution TS Gateway autorise un accès sécurisé au réseau interne sans utiliser de client VPN. TS Gateway accepte une connexion point à point (RDP) au réseau plutôt que d ouvrir l intégralité des ressources. TS Gateway admet l établissement d une connexion vers des machines situées derrière un pare feu en ouvrant une connexion sur le port 443 (généralement autorisé) au lieu du port standard Rdp (3389) qui est normalement bloqué. La console de gestion permet de définir les stratégies d autorisation que devront respecter les clients ouvrant une session sur le réseau ; on citera par exemple : Utilisateurs ou groupes autorisés à se connecter Ressources qui seront accessibles Groupe d appartenance de la machine cliente Type d authentification (mot de passe, smart card ou autre) Utilisation de NAP (Network Access Protection) Activation de la redirection des périphériques locaux Utilisation conjointe avec ISA Server Audit des événements de connexion b. Synoptique de fonctionnement - 1 -

114 Fonctionnement d une architecture TS Gateway L ordinateur client, situé dans la zone Internet, tente d établir une connexion avec un serveur TSE situé sur le réseau interne, derrière une paire de pare feu. La passerelle TS est cachée derrière le premier pare feu qui supprime la partie http des paquets entrants et lui transmet les paquets Rdp. La passerelle TS interroge le serveur de stratégie réseau (si une infrastructure NAP est présente) afin de vérifier si le client est autorisé à utiliser le serveur TSE, puis interroge l Active Directory afin de procéder à l authentification de l utilisateur. Enfin, une fois authentifié, l utilisateur peut lancer les applications distantes disponibles sur le serveur TSE. 2. Mise en œuvre a. Pré requis Windows 2008 Certificat SSL Active Directory IIS 7 Proxy RPC sur http Serveur NPS Service d activation des processus Windows b. Installation Installation d un certificat SSL : Le certificat peut être délivré par une autorité de certification publique (telle VeriSign) ou privée, voire même autosignée à des fins de maquettage

115 Dans le cas où le certificat n émanerait pas d une autorité de certification publique, il faudrait ajouter le certificat délivré sur les serveurs TSE et les postes clients. Définition d une stratégie d autorisation des connexions au service Terminal Server (TS CAP) : Les stratégies CAP permettent de préciser qui peut utiliser et donc se connecter à la passerelle TS. Pour ce faire, il suffit de déterminer un groupe d utilisateurs qui peut être local à la passerelle ou dans l annuaire Active Directory : Attention, bien que les stratégies CAP autorisent les utilisateurs à accéder à la passerelle, elles ne les autorisent pas pour autant à se connecter aux ressources Terminal Server. Choix de la méthode d authentification : - 3 -

116 Définition de la stratégie d accès aux ressources (TS RAP) : Les stratégies d autorisation d accès aux ressources permettent de déterminer les ressources réseaux internes (ordinateurs) auxquelles les utilisateurs distants peuvent avoir accès via la passerelle TS. Installation d un serveur NPS : Les utilisateurs distants se connectant au réseau via la passerelle TS, sont autorisés à accéder aux ordinateurs du réseau interne s ils répondent aux conditions spécifiées dans au moins une stratégie d autorisation des connexions et une stratégie d autorisation d accès aux ressources. c. Console de gestion de la passerelle TS La console de gestion permet de paramétrer toutes les options disponibles sur la passerelle, de créer les stratégies d autorisation des connexions et d accès aux ressources. La console permet également de visualiser et de gérer les connexions actives sur la passerelle TS

117 - 5 -

118 Rappel : la gestion de licences TSE 2003 Ce chapitre est généralement complexe du fait de la variété des possibilités d achat et de gestion des licences achetées, mais surtout des situations dans lesquelles les entreprises se trouvent. Comme vous pourrez le découvrir plus loin, vous disposez de 120 jours de tranquillité afin de comprendre tout cela et de mettre correctement en œuvre le système de licences de Terminal Server, sans gêner le fonctionnement global de votre solution. Étant donné que les services TSE sont inclus dans le système serveur Windows 2003, et qu il n y a donc pas de licence serveur particulière à acquérir pour pouvoir utiliser les fonctionnalités TSE, ce chapitre portera exclusivement sur les mécanismes de gestion des licences d accès client, communément appelées CALs par abréviation (Client Access License en anglais), et particulièrement sur les licences associées à Windows 2003 Server (sauf précision contraire pour des systèmes plus anciens). 1. Les deux catégories de CALs Pour pouvoir se connecter à un serveur TSE, un poste client doit disposer de deux CALs différentes. Disposer ne veut pas nécessairement dire installées : selon le système du poste client, il n y a pas de manipulation particulière à faire sur le poste lui même (et c est généralement le cas à 98%). Cela veut donc dire qu il convient d acquérir ses licences conformément aux préconisations de l éditeur, voire de les installer sur un serveur de licences comme nous le verrons plus loin. La première licence que doit posséder le poste client est une licence d accès client Windows 2003 Server, que l on peut qualifier assez facilement de CAL 2003 standard, sans faire analogie avec la version de Windows 2003 Server lui même. Cette licence est nécessaire pour accéder aux ressources d un serveur Windows 2003, telles que les fichiers, les imprimantes, Active Directory, etc. Dans le cas spécifique de l accès aux services TSE, le poste client doit posséder une licence d accès client aux services de terminaux pour Windows 2003 Server, que l on peut appeler couramment CAL 2003 TSE. Cette licence doit être installée sur un serveur de licences CALs TSE dans les 120 jours suivant le premier accès au serveur. 2. Les licences applicatives Le principe reste relativement simple : si un certain nombre de clients accède à un serveur TSE diffusant une application A, alors vous devez vous porter acquéreur du nombre de licences correspondant au nombre de clients qui POTENTIELLEMENT peuvent y accéder. En général donc, le nombre de licences de l application A à acquérir correspond au nombre de licences CALs TSE achetées pour ce serveur. Cette approche peut être pondérée par la mise en œuvre de techniques particulières comme par exemple les stratégies de restrictions logicielles, afin de réduire le nombre de licences à acquérir en fonction du nombre d utilisateurs réels d une application plutôt que l ensemble des utilisateurs du serveur TSE. Il est aussi possible de rentrer dans un contexte de licences concurrentes dès lors qu un serveur TSE dédié sera limité en nombre d accès au niveau du couple port de connexion/écouteur RDP Tcp. 3. Les trois types de CALs Que ce soit pour les CALs 2003 standard ou les CALs 2003 TSE, il existe trois types de licences : les licences par utilisateur (user en anglais) ou par périphérique/dispositif (device en anglais), et la licence External Connector. La différenciation de type par utilisateur et par périphérique/dispositif n existait pas avec les précédentes versions de Windows Server. Elle a été créée pour répondre aux besoins des entreprises, tant en terme de gestion des licences que de réduction des coûts globaux de licences, en permettant de coller au mieux à l organisation de l entreprise. Donc les CALs 2000 TSE, nécessaires avec toutes versions de Windows 2000 Server dont les services de terminaux ont été activés, correspondent en fait à l actuelle licence par périphérique/dispositif. Ceci a pour conséquence d établir le type de licence actuellement livré par défaut si aucune précision sur le type n est apportée lors de la commande de CALs 2003 TSE : la licence par périphérique/dispositif ; ce qui est d autant plus dommage que les entreprises ont généralement plus un profil d organisation interne collant avec le type par utilisateur que par périphérique/dispositif. Soyez donc vigilants lors de vos achats. a. La CAL 2003 TSE par Utilisateur Ce type de CAL est attribué à l utilisateur des services de terminaux, c est à dire que c est le couple nom d utilisateur/mot de passe, ou plutôt l identifiant unique correspondant, qui possède et utilise la licence. Concrètement, l utilisateur pourra se connecter à un ou plusieurs serveurs TSE, à partir de n importe quel poste de - 1 -

119 travail, en utilisant une seule licence pour tous ces accès. On perçoit de suite l intérêt financier pour l entreprise dont les utilisateurs sont plus ou moins mobiles et se connectent de postes différents (au bureau, depuis la maison ou de chez les clients, ), ou possèdent plusieurs postes (un fixe et un portable par exemple). C est dans le doute, le choix de type de licences qu il faudrait faire par défaut. b. La CAL 2003 TSE par périphérique/dispositif Ce type de CAL est attribué au poste de travail à partir duquel un utilisateur quelconque se connecte au serveur TSE. Ce type de licences est intéressant pour les postes de travail qui sont utilisés par plusieurs personnes au fil du temps, comme par exemple deux secrétaires à mi temps se partageant le même poste ou encore des postes en atelier utilisés par des personnels travaillant en équipe. Il est très intéressant pour tous les postes de type libreservice, salles de formation, etc. Une salle de formation de 20 postes verra peut être défiler des centaines d utilisateurs par an, mais 20 CALs suffiront c. La CAL External Connector Si l entreprise souhaite mettre en œuvre un serveur TSE afin que des clients, des partenaires ou même le public accède à des applications hébergées chez elle, elle ne peut connaître de façon précise ni les postes ni les utilisateurs qui accèderont à ce serveur. La licence External Connector permet de ne pas avoir à choisir entre les deux types par utilisateur ou par périphérique/dispositif, et offre un nombre illimité d accès aux serveurs TSE. Attention : cette licence est réservée pour des utilisateurs non salariés de l entreprise. Pour reprendre les termes exacts de l éditeur : «Une personne «extérieure à l entreprise» est tout utilisateur autre qu une personne employée par l entreprise ou l une de ses filiales en tant que salarié, prestataire indépendant, agent, fournisseur de services». d. Les CALs gratuites L histoire de l enchaînement des sorties des produits Windows 2000 Server TSE, des CALs TSE associées, puis de Windows XP Professionnel, et enfin de Windows 2003 Server TSE et des nouvelles CALs TSE associées, a conduit à une situation particulière qui incita Microsoft à considérer que dans certaines situations, les CALs 2003 TSE avaient déjà été acquises par l entreprise et n avaient pas à être repayées. C est le cas des entreprises qui auraient acheté des licences du système d exploitation Windows XP Professionnel avant le 24 Avril 2003, date de sortie officielle de Windows 2003 Server et accessoirement jour des 30 ans de l auteur (tout un symbole ) : dans ce cas, chaque licence Windows XP Pro achetée donne droit à une licence CAL 2003 TSE gratuite. Si l entreprise a passé un accord d achat de licences de type Open avec Software Assurance, elle dispose aussi de la mise à jour automatique de ses licences CALs 2000 TSE vers des CALs 2003 TSE. Sinon, toute licence CAL 2000 TSE achetée pour un serveur Windows 2000 TSE est obsolète et doit être rachetée pour pouvoir fonctionner avec un serveur Windows 2003 TSE. 4. La gestion des CALs 2003 TSE La gestion des CALs 2003 TSE est prise en charge par un serveur de licences installé nécessairement sous Windows 2003 Server : Tout serveur sous Windows 2003 Server est activé auprès de Microsoft Clearinghouse (en général via une connexion Web automatique, mais cela peut être fait à la main ou par téléphone), ainsi que les licences CALs 2003 TSE qui doivent être installées puis activées pour être reconnues. Elles sont alors gérées par le gestionnaire des licences Terminal Server ou TSLM en anglais. a. Le service TSLM Le gestionnaire des licences Terminal Server, ou TSLM en anglais, doit être installé sur un serveur Windows 2003 quelconque. Il est alors accessible via la console COMPOSANT LOGICIEL ENFICHABLE gestionnaire des licences Terminal Server qui se trouve dans les outils d administration du serveur

120 Quelconque, c est à dire qu il peut être contrôleur de domaine Active Directory, mais ce n est plus une obligation, ce qui permet d intégrer une solution TSE 2003 dans un système d informations géré par un annuaire Novell, Unix ou autre. Il n est pas nécessaire non plus que le serveur de licences soit un serveur TSE à part entière. Ce service est indépendant des versions standard, enterprise et datacenter de Windows 2003 Server. Toutefois une restriction existe, liée au périmètre de gestion du service TSLM défini lors de l installation du service (ajout/suppression de composants Windows) : Si le périmètre choisi est Toute votre entreprise, vous ne pourrez installer un serveur de licences d entreprise que sur un contrôleur de domaine ou sur un serveur membre d un domaine et non sur un serveur autonome car ce rôle est publié vers Active Directory. Si le périmètre choisi est Votre domaine ou groupe de travail, il n est pas nécessaire que l ordinateur sur lequel vous installez le serveur de licences soit un contrôleur de domaine. Malgré tout, si vous voulez que le serveur de licences soit automatiquement détecté par les serveurs Terminal Server qui communiquent avec lui, l ordinateur sur lequel vous l installez doit être un contrôleur de domaine. Si l ordinateur sur lequel vous prévoyez d installer le serveur de licences se trouve dans un groupe de travail, il sera détecté automatiquement, uniquement par les serveurs Terminal Server situés sur le même sous réseau. Le faible niveau de ressources consommées permet de placer le service TSLM sur un serveur remplissant d autres rôles sans soucis de performance. Pour fixer les idées, le service TSLM consomme moins de 10 Mo de RAM et la taille de la base de données pour CALs gérées n excède pas 5 Mo. Cette base est par défaut stockée dans le répertoire C:\WINDOWS\system32 \lserver du serveur de licences. Lors de l installation du service TSLM, il va falloir choisir entre les deux périmètres de gestion proposés : Toute votre entreprise : en ce cas, le service TSLM servira des licences CALs 2003 TSE à tout serveur TSE situé dans le même site Active Directory que lui même, qu ils appartiennent ou non à un même domaine. Comme nous l avons dit plus haut, il faut alors être contrôleur ou a minima membre de l un des domaines du site. Votre domaine ou groupe de travail : en ce cas, le service TSLM servira des licences CALs 2003 TSE uniquement aux serveurs situés dans le même domaine ou dans le même sous réseau que le groupe de travail. Il faut ensuite l activer par le biais de la console gestionnaire des licences terminal server : clic droit sur le serveur et choisir activer. La procédure automatique via le Web est pleinement fonctionnelle si le serveur dispose d une connexion! En cas de réactivation d un même serveur de licences, il conviendra de se munir de son contrat de licence Microsoft et de contacter le service téléphonique indiqué dans l assistant

121 Les serveurs TSE installés chercheront à se connecter automatiquement à un serveur de licences TSLM actif. Il est possible qu aucun serveur de licences ne soit trouvé ou au contraire qu il y en ait plusieurs et que le serveur TSE n ait pas trouvé le bon (entendre celui qui convient à l administrateur). Il peut donc être intéressant de spécifier expressément le serveur de licences TSLM auquel le serveur TSE doit se référer. Pour ce faire, et uniquement si vous disposez du Service Pack 1 de Windows 2003 Server, cliquez sur Configuration des services Terminal Server dans Outils d administration du serveur TSE, puis dans l arborescense de la console, cliquez sur Paramètres du serveur. Dans le volet d informations, cliquez avec le bouton droit sur Mode détection du serveur de licences, puis cliquez sur Propriétés. Cliquez sur Utiliser ces serveurs de licences et tapez le nom et l adresse IP des serveurs de licences dans la zone de texte, en les séparant par des virgules. Cliquez sur Vérifier les noms, apportez toutes les corrections nécessaires et cliquez sur OK. Si vous ne disposez pas du Service Pack 1, il faut alors aller dans la base de registre du serveur TSE, et se positionner sur la clé : HKLM\System\CurrentControlSet\Services\TermService\Parameters Dans le menu Edition, choisissez Nouveau Clé, puis tapez LicenseServers pour nommer la nouvelle clé. Dans cette nouvelle clé, dans le menu Edition, choisissez Nouveau Clé, et tapez le nom NetBIOS du serveur de licences que vous voulez utiliser, puis appuyez sur [Entrée]. Le nom de la nouvelle clé peut aussi être l une des désignations suivantes qui représentent le serveur de licences : le nom NetBIOS du serveur ; le nom de domaine complet du serveur ; l adresse IP du serveur. Il faudra ensuite vraisemblablement redémarrer votre serveur. b. Gestion du type de CAL TSE Comme nous l avons vu plus haut, le gestionnaire de licences TSLM doit considérer deux types de licences CALs 2003 TSE : les licences par utilisateur et les licences par périphérique/dispositif. Il est possible de gérer les deux types de licences sur un même serveur de licences, mais un serveur TSE ne prendra en charge qu un seul type de licences à la fois. Sur le serveur de licences TSLM, il suffit d ajouter autant de licences que nécessaire, qui peuvent être de type différent, grâce à l assistant du composant logiciel enfichable gestionnaire des licences Terminal Server. Elles seront alors gérées comme décrit un peu plus bas. Sur le serveur TSE, il faut spécifier quel type de licences doit être utilisé par le client pour pouvoir établir une connexion. Par défaut, le type est par périphérique/dispositif. Pour le changer, il faut aller : soit dans le composant logiciel enfichable configuration des services terminal server dans les Outils d administration, rubrique paramètres du serveur, et dans la partie droite, double cliquer sur licence pour - 4 -

122 changer le mode. Note : il est important de ne pas se laisser perturber par la phrase «n est actuellement pas gérée.», comme nous le verrons plus loin. Soit si vous disposez du Service Pack 1 de Windows 2003 Server, aller dans la stratégie de groupe local du serveur TSE, partie Configuration Ordinateur \ Modèles d administration \ Composants Windows \ Services Terminal Server, et sur le paramètre Définir le mode de concession de licences Terminal Server pour activer le mode Par utilisateur. Note importante : la stratégie de groupe remplace la configuration définie à l aide de l outil Configuration des services Terminal Server. Pour changer une stratégie pour un domaine ou une unité d organisation, connectez vous au contrôleur de domaine principal en tant qu administrateur, puis ouvrez la Stratégie de groupe en utilisant le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, ce qui vous permettra de spécifier quel ensemble de postes dispose d une licence par périphérique/dispositif et quelle population d utilisateurs dispose d une licence par utilisateur. c. Les périodes de fonctionnement global Si le gestionnaire de licences terminal server TSLM n est pas installé et activé, le serveur 2003 TSE sera tout de même fonctionnel durant 120 jours après la première requête TSE émise par un client et répondra à toutes les requêtes des clients suivants. Le 121 ème jour, aucun client ne pourra se connecter sur ce serveur. Si un client émet une requête sur un serveur TSE sans que ce dernier ne dispose de CAL 2003 TSE valide (c est à dire installée et activée), il est alors autorisé et utilise une licence CAL TSE temporaire d une durée de vie de 90 jours. Le 91 ème, ce client spécifique ne pourra plus se connecter au serveur TSE. Il est donc possible de faire fonctionner un serveur TSE au maximum 210 Jours sans disposer de CALs TSE d aucune sorte. Il faut pour cela être précis dans l enchaînement des opérations : faire fonctionner le serveur TSE sans avoir installé de serveur de licences TSLM durant 119 jours, le 120 ème jour, installer les serveurs de licences TSLM et raccrocher le serveur TSE à ce dernier afin de commencer à utiliser les 90 jours de licences temporaires. Si vous procédez tout d un bloc lors de l installation initiale, vous ne disposerez en fait que de la période de 90 jours correspondant aux licences temporaires fournies par le serveur TSLM. Nous attirons toutefois votre attention sur le fait que la période de 120 jours n est pas une période de gratuité et n affranchit pas l entreprise de payer ses licences CALs 2003 TSE. C est une période technique octroyée pour faciliter la mise en œuvre technique d architectures complexes ou longues à déployer. Durant les 15 jours précédant l expiration de la licence CAL TSE temporaire fournie à l utilisateur et si la gestion de licences CALs TSE n a pas été correctement mise en place, un message d avertissement s affiche sur la session de l utilisateur à chaque nouvelle ouverture de session. Il est possible de réduire ce délai (attention de ne pas le passer à 0, vous n auriez plus l information et de sérieux dysfonctionnements pourraient survenir) en allant dans la base de registre, dans la section HKLM, sur la clé LicensingGracePeriodExpirationWarningDays. Comme nous allons le voir, ces périodes ont des influences directes sur le mécanisme de fonctionnement au quotidien du système de licences. d. Gestion des CALs 2003 TSE par Utilisateur Voici donc un mode de gestion qui a le mérite d être simple et efficace : il est inexistant! Ceci explique la phrase ésotérique «L allocation de licences par utilisateurs n est actuellement pas gérée.» qui s affiche lorsque l on veut spécifier le mode de gestion des licences d un serveur TSE dans le composant logiciel enfichable «Configuration des services Terminal Server». L explication est historique : Microsoft voulait mettre en place, avec Windows 2003, un système de gestion de licences CALs TSE par processeur mais devant la levée de bouclier des entreprises clientes, décida au dernier moment de mettre en place la gestion des CALs TSE par utilisateur (ce qui est nettement plus pratique). Mais n ayant plus le temps matériel de développer ladite gestion et ne souhaitant pas pour cela retarder la date de sortie de son produit serveur, il n y eut finalement de ce mode de gestion que le nom et la possibilité de basculer vers un mode non géré! En clair, si l entreprise se porte acquéreur de licences CALs 2003 TSE par utilisateur, les installe et les active sur un serveur de licences TSLM, auquel est correctement raccroché un serveur TSE en mode de gestion de licences par utilisateur : tout fonctionne et rien n est géré/contrôlé par le service TSLM! Attention : qui dit "rien n est géré" ne veut surtout pas dire "rien ne doit être acheté". L entreprise doit se porter - 5 -

123 acquéreur du nombre de licences correspondant au nombre d utilisateurs de la solution TSE, selon les termes des accords de licence Microsoft. Mais du point de vue de l administrateur, c est autant de tracas en moins. e. Gestion des CALs 2003 TSE par périphérique/dispositif Le mécanisme de gestion des CALs 2003 TSE par périphérique/dispositif est globalement assez ingénieux, mais particulièrement complexe et nécessite une mise en œuvre préalable des services TSLM et des serveurs TSE raccrochés assez rigoureuse. Si ce n est pas le cas, le fameux message d avertissement d expiration de licences apparaissant 15 jours avant la date fatidique devra éveiller l attention de l administrateur quant à un problème de configuration de l ensemble du système de gestion des licences CALs TSE. Le principe de fonctionnement des CALs 2003 TSE par périphérique/dispositif est le suivant : Les CALs sont installées et activées sur un serveur de licences TSLM lui même activé. Un serveur TSE est déclaré fonctionner avec des licences CALs TSE en mode par périphérique et pointe correctement vers le serveur de licences TSLM. Un client établit une requête RDP vers le serveur TSE. Ce dernier étant en mode par périphérique, il vérifie si le client possède bien une telle licence CAL TSE. Si le client n en a pas, le serveur TSE se connecte sur le serveur de licences TSLM pour en obtenir une (ou successivement sur tous les serveurs de licences TSLM déclarés dans le serveur TSE jusqu à ce qu un serveur TSLM puisse en délivrer une). Si le serveur TSE ne trouve aucun serveur de licences TSLM disponible pour lui répondre, alors le poste client ne pourra pas ouvrir de session TSE, sauf si le serveur a été installé depuis moins de 120 jours (cf paragraphe ci dessus «périodes de fonctionnement global»). Dans tous les cas, le serveur TSLM fournit au serveur TSE, une licence CAL 2003 TSE temporaire de 90 jours, qu il transmet au client, poursuivant alors son process de connexion. Si le client s authentifie correctement (nom d utilisateur et mot de passe), le serveur TSE contacte à nouveau le serveur TSLM pour lui signifier la validité de la requête de connexion. Le serveur TSLM marque alors dans sa base de données que la licence fournie est valide. Lors de la prochaine demande de connexion, le client présentera au serveur TSE sa licence temporaire, lequel serveur contactera le serveur TSLM. Si, sur le serveur TSLM, cette licence est marquée comme valide, alors le serveur TSLM la transformera en licence permanente, le renverra au serveur TSE qui la fournira au client afin qu il puisse désormais l utiliser. Si la licence n est pas marquée comme valide, alors le client pourra se connecter quand même, mais toujours avec sa licence temporaire 90 jours, et à chaque nouvelle demande de connexion, la même vérification pour tentative de transformation en licence permanente sera effectuée. Si 15 jours avant la fin du délai des 90 jours, la licence du client n a toujours pas été transformée, alors, le message d avertissement apparaîtra sur le poste client à chaque nouvelle ouverture de session. Ce mécanisme à double détente est particulièrement adapté à la réalité de l entreprise. Il est apparu avec le Service Pack 3 de Windows 2000 Server et permet d attendre que l utilisateur soit réellement authentifié sur le domaine pour lui attribuer une licence CAL TSE par périphérique/dispositif permanente. Auparavant, la licence était attribué immédiatement, et donc à chaque requête involontaire d un poste client nouveau sur un serveur TSE en écoute (erreurs de manipulation ou dans le choix du serveur à adresser, tests pour voir si le serveur TSE réponds, etc.), une licence CAL TSE était inutilement consommée, laquelle manquait tôt ou tard à un autre poste qui, lui, en avait besoin. Ce dysfonctionnement est désormais résolu. La licence CAL 2003 TSE par périphérique/dispositif est donc stockée sur le poste client afin d être présentée par ce dernier à chaque demande de connexion à quel que serveur TSE que ce soit : c est l intérêt même de la licence par périphérique/dispositif. Elle peut être assimilée à un certificat, puisqu elle n aura plus à être fournie par le serveur de licences TSLM. En effet, ce dernier aura dû au préalable contacter le serveur Microsoft Clearinghouse, qui fait autorité de certification, pour activer le nombre de licences (ou certificats donc) CALs 2003 TSE achetées par l entreprise. Sur les postes clients basés sur un système d exploitation Windows 32 bits, ce certificat de licence est stocké directement dans la base de registre, dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing\Store\LICENSE00x, où le x de 00x est remplacé par un chiffre (il peut y avoir plusieurs licences installées sur un même poste). Il est donc possible de supprimer cette licence en supprimant cette clé, ce qui peut être utile par exemple si l on constate qu un poste utilise une licence CAL 2003 TSE par périphérique/dispositif alors que l on préfèrerait que ce poste se réfère à des serveurs TSE en mode par utilisateur. Stockée sur le poste client sous entend que le serveur de licences TSLM ne dispose plus de cette licence dans sa base de données. Or le poste client peut être amené à être réinstallé, réinitialisé ou changé car en panne. En pareil cas, la licence CAL TSE stockée sur le poste est perdue : le serveur de licences TSLM ne la connaît plus et le nouveau - 6 -

124 poste (ou le même ré installé) n en dispose plus non plus. Le processus décrit plus haut fonctionne toujours, mais va aboutir à fournir une deuxième licence CAL TSE pour finalement un même poste. Et cela peut se reproduire n fois, conduisant à un manque inéluctable de licences Cet écueil a été contourné dès Windows 2000 Service Pack 3 par la mise en place des licences CALs TSE permanentes temporaires, historisées aussi sur le serveur de licences TSLM. Vous avez bien lu : les licences CALs TSE permanentes, et donc particulièrement les CALs 2003 TSE, se voient désormais attribuer une date d expiration aléatoire oscillant entre 52 et 89 jours et le serveur de licences TSLM en conserve la trace, ainsi que le poste client à qui cette licence est transmise. Le mécanisme de connexion est alors le suivant : Quand le poste client se connecte au serveur TSE, il présente sa licence CAL 2003 TSE par périphérique/dispositif. Elle est vérifiée par le serveur de licences TSLM, tant en terme de validité qu en terme de date. Si la date d expiration est supérieure de 7 jours, alors tout est validé et le client se connecte normalement ; sinon (on est à 7 jours maximum de la date d expiration), le serveur de licences TSLM renouvelle la période de cette licence pour une valeur aléatoire comprise entre 52 et 89 jours, avant de laisser poursuivre la connexion. Quand une licence CAL 2003 TSE par périphérique/dispositif arrive à sa date d expiration, c est que le poste client ne s est pas connecté à un quelconque serveur TSE dans les 7 derniers jours (soit qu il n existe plus, soit qu aucun utilisateur n a utilisé le client RDP depuis ce poste). Elle est alors rendue au pool de licences disponibles dans la base de données du serveur TSLM. Donc si le poste n existe réellement plus (ou a été réinstallé), le nouveau poste obtiendra une nouvelle licence (car il y en a au moins une de disponible : celle que l on vient de rendre). Si le même poste client cherche à se reconnecter (au retour de vacances de l utilisateur par exemple), il obtiendra aussi une nouvelle licence. Comme le serveur de licences TSLM stocke désormais des informations sur les dates d expiration des licences CALs 2003 TSE par périphérique/dispositif, il n est pas possible qu un client renouvelle une licence temporaire 90 jours (même s il la supprime de sa base de registre locale). Il faut prendre en considération qu une licence CAL 2003 TSE par périphérique/dispositif permanente ne peut pas être remplacée au terme de son expiration par une licence temporaire 90 jours ; ce qui signifie que si, à l expiration de la période jours, le serveur TSE ne peut pas obtenir le renouvellement de la période pour la licence qui lui est présentée, le poste client ne pourra pas se connecter. Comment cela pourrait il arriver? Il suffit qu une coupure réseau ou une indisponibilité quelconque empêche le serveur TSE et le serveur de licences TSLM de communiquer ensemble ; ou alors, c est que l entreprise n a pas acheté le nombre adéquat de licences CALs 2003 TSE Car si c était le cas, la situation de blocage (hors coupure/panne) ne pourrait pas arriver. Une solution est d installer et d activer un serveur de licences TSLM supplémentaire, si possible à proximité relativement immédiate du ou des serveurs TSE, sans pour autant acquérir, installer et activer de licences CALs 2003 TSE par périphérique/dispositif dessus. En effet, si le serveur TSLM principal ne fonctionne plus pour quelque raison que ce soit, le serveur TSE contactera le serveur TSLM secondaire qui, ne disposant pas de licences permanentes à attribuer, fournira des licences temporaires 90 jours aux postes clients, ce qui permettra la poursuite des connexions, et laissera 89 jours pour remettre en œuvre le serveur TSLM «principal». Le rôle TSLM secondaire étant uniquement un rôle de secours, il ne sert à rien de dédier un serveur à cela : il est conseillé de positionner le rôle sur un serveur existant, du moment qu il fonctionne sous Windows 2003 Server. Si l intégration du système de licences est correcte (et que l entreprise dispose du nombre adéquat de licences), il n y a pas de dysfonctionnement. La finesse du mécanisme tient dans le fait que les licences temporaires durent 90 jours, et les licences permanentes au maximum 89 jours, soit un jour de moins Imaginons une entreprise ayant 100 postes clients connectés à un serveur TSE et ayant correctement installé les 100 CALs 2003 TSE par périphérique/dispositif achetées. Un des postes dispose d une licence permanente d une durée de 89 jours (le maximum du fait du random). Il tombe en panne et est complètement ré installé, donc perd sa licence permanente. Lorsqu il se reconnecte, il est vu par le serveur TSLM comme étant un poste nouveau, donc sans licence, et comme le serveur TSLM ne dispose plus de licences permanentes libres, il lui attribue une licence temporaire 90 jours. 89 jours plus tard, la licence permanente est rendue au pool de licences du serveur TSLM. Le 90 ème jour, le poste client contacte le serveur TSLM car sa licence temporaire a expirée, lequel lui fournit la seule licence permanente à sa disposition, à savoir celle que le poste avait avant. Le seul désagrément de l histoire est que l utilisateur sera, par défaut, notifié de l expiration de sa licence temporaire 15 jours avant la date butoir, alors que tout s enchaînera logiquement et correctement le jour de l expiration. En conclusion, on peut simplement affirmer qu il convient d être rigoureux dans sa gestion de parc et de bien évaluer le contexte de fonctionnement de son projet TSE pour mettre en œuvre le système de gestion de licences CALs TSE le plus adapté/correct qui soit. 5. Mise en œuvre dans le système d informations - 7 -

125 L intérêt est de mettre en œuvre le système de gestion de licences tant correctement, afin de garantir le bon fonctionnement de l architecture TSE au quotidien, qu astucieusement afin de réduire au maximum le nombre de licences CALs 2003 TSE à acquérir. a. Positionnement des serveurs de licences TSLM Le positionnement correct des serveurs de licences TSLM est important pour assurer le bon fonctionnement des serveurs TSE eux mêmes. En effet, si un serveur TSE ne peut pas contacter de serveur TSLM (et au delà de la période initiale de 120 jours, c est à dire dès lors que son infrastructure TSE est passée en production), même temporairement, la connexion sera refusée au poste client. Voici donc plusieurs exemples d intégration de serveurs de licences TSLM. Le premier exemple est le plus simple, mais présente divers écueils : Il n y a qu un seul serveur de licences TSLM sur le site central 1. Si ce dernier tombe en panne, il n y a plus de connexion RDP possible. Le site distant 2 ne dispose pas de serveur de licences TSLM local : la communication entre le serveur TSE local et le serveur TSLM distant transite par le lien WAN, lequel peut être soit coupé, soit saturé, interdisant alors la connexion des clients RDP du seul site 2 sur leur serveur TSE local. La solution suivante permet d améliorer certains écueils : - 8 -

126 Le serveur TSLM du site 2 ne dispose pas de CALs 2003 TSE installées et ne diffusera que des licences temporaires en cas de besoin. Il faut par contre bien veiller à déclarer ce serveur comme deuxième serveur de licences TSLM sur le serveur TSE du site 2, afin que les postes clients du site 2 aillent bien chercher une licence permanente sur le serveur TSLM du site 1. Le schéma idéal pourrait être le suivant : Le serveur de licences TSLM supplémentaire du site 1 serait alors déclaré en tant que second serveur de licences dans le serveur TSE du site 1. Il est certain que l on pourrait se contenter de déclarer le serveur TSLM du site 2 comme second serveur de licences dans le serveur TSE du site 1, ainsi que le montre le schéma suivant, mais l on serait alors encore dépendant du lien WAN (même s il est vrai qu il faudrait un vrai gros problème pour qu à la fois le serveur TSLM du site 1 et le lien soient en panne WAN) : - 9 -

127 Attention : tous ces schémas ne sont que des exemples. Il faut aussi tenir compte de la présence ou non de l éventuelle architecture associée Active Directory, ainsi que du périmètre de gestion choisi pour TSLM lors de son installation (Toute votre entreprise ou Votre Domaine ou Workgroup), pour déterminer l architecture du système de gestion de licences TSLM la plus adaptée, particulièrement si vous êtes en présence de multiples domaines ou de sites Active Directory imbriqués. Comme nous l avons dit dans les paragraphes précédents, le principal écueil de l architecture TSE, c est qu en général et avec des choix par défaut, elle a la mauvaise habitude de se mettre à fonctionner et de ne présenter ses travers que beaucoup plus tard, du genre 90 ou 120 jours plus tard pour le sujet qui nous anime en ces lignes b. Arbitrage entre les types de licences CALs 2003 TSE Nous écarterons de ce paragraphe la licence External Connector et étudierons seulement les finesses du choix entre les CALs 2003 TSE par périphérique/dispositif et par utilisateur. Imaginons une entreprise, somme toute assez classique, éparpillée sur de nombreux sites distants et dont le profil de travail des salariés, en corrélation ou non avec les sites distants d ailleurs, fait ressortir au moins deux populations distinctes : celle qui dispose d un poste de travail informatique dédié (500 utilisateurs à l administration, au commerce, etc.), et celle qui se partage un poste de travail à plusieurs (1.000 ouvriers sur des chaînes de production se partageant 200 postes). Il convient alors d acheter 500 CALs 2003 TSE par utilisateur pour la première des populations, mais plutôt 200 CALs 2003 TSE par périphérique/dispositif pour la seconde qui se partage le même poste. Vous n avancerez qu en acquerrant que des CALs 2003 TSE par utilisateur, étant donné que la gestion par le biais du serveur de licences TSLM n est pas assurée, c est globalement plus simple. Oui, mais globalement beaucoup plus coûteux (1 000 ouvriers se partageant 200 postes de travail, c est 800 licences à plus ou moins 100 euros inutiles, soit euros de perdus). Il faut se souvenir qu un serveur TSE ne peut considérer qu un seul type de licences à la fois, et qu un serveur TSLM peut lui gérer différents types de licences. Ce qui veut dire que pour gérer pour la population 1 des licences CALs 2003 TSE par utilisateur, et pour la population 2 des licences par périphérique/dispositif, il faut mettre en œuvre deux serveurs (ou deux fermes de serveurs équilibrés) distinct(e)s. Ceci n est souvent pas rédhibitoire car les profils applicatifs des deux populations n ont souvent pas grand chose de comparable, et nécessitent par eux mêmes la mise en place de serveurs distincts. Étudions un premier cas où les 2 populations sont segmentées sur 2 sites

128 Le serveur TSE «PROD» du site 2 sera alors paramétré pour accepter des licences par périphérique/dispositif qu il ira obtenir de la part du serveur TSLM principal du site 1 dans le pool des 200 disponibles. Le serveur TSE «ADM» du site 1 sera, lui, paramétré pour accepter des licences par utilisateur qu il obtiendra dans le pool des 500 disponibles. Tout fonctionne et va pour le mieux, mais les entreprises ressemblent généralement plus à cela : Dans ce cas, la population d ouvriers du site 1 doit se connecter sur le serveur TSE «PROD» du site 2, et la population d administratifs du site 2 doit se connecter sur le serveur «ADM» du site 1, donc dépendre réciproquement du lien WAN. La première alternative est de doubler les serveurs afin que chaque site dispose d un serveur PROD et d un serveur ADM. Il est souvent plus simple ou moins coûteux de prévoir un lien WAN de secours, et de s orienter vers la centralisation des deux serveurs sur un seul et même site. On arrive alors au schéma suivant :

129 Une fonctionnalité de Windows 2003 Server permet de spécifier des autorisations d accès au serveur de licences TSLM, ce qui permet concrètement de spécifier quel serveur TSE a le droit de négocier des licences avec le serveur de licences TSLM, et donc pourquoi pas de segmenter le serveur de licences TSLM en deux : un pour la gestion des licences CALs 2003 TSE en mode par périphérique/dispositif, l autre pour la gestion de celles en mode par utilisateur. Cette fonctionnalité est à activer par l intermédiaire d une stratégie appliquée au serveur qui héberge le serveur de licences TSLM. Il faut, pour cela, aller dans l éditeur de stratégies de groupe de l ordinateur local, précisément dans configuration ordinateur / modèles d administration / composants Windows / services terminal server / licence et d activer le paramètre Groupe de sécurité du serveur de licences. Un groupe local de sécurité appelé Ordinateurs Terminal Server est alors créé sur le serveur de licences TSLM, lequel répondra exclusivement aux requêtes émanant des serveurs TSE (ou groupes de serveurs TSE) qui appartiendront à ce groupe. Attention : le groupe Ordinateurs Terminal Server est vide par défaut. Le serveur de licences Terminal Server n accordera de licence à aucun ordinateur tant que vous n aurez pas rempli ce groupe de façon explicite. Si le serveur de licences TSLM est aussi un contrôleur de domaine Active Directory, alors le groupe créé est un groupe de sécurité de domaine local. c. Approche TSE de la gestion des licences applicatives Comme nous l avons déjà annoncé, l installation d une application dans un environnement TSE ne modifie pas son mode de licence. Les applications courantes peuvent être rangées en trois principales familles de gestion de licences (il peut y avoir d autres modes de licence spécifiques, en ce cas, il convient de se rapprocher de l éditeur de ces applications, pour en connaître le fonctionnement) : Les applications par utilisateur simultané ou concurrent : il faut une licence de l application à chaque fois que l application est exécutée, par quelque utilisateur que ce soit. En clair, sur 100 utilisateurs, si seulement 12 exécutent simultanément l application concernée, il faut payer 12 licences de l application. Les applications par utilisateur potentiel ou déclaré : il faut une licence de l application pour chaque utilisateur qui peut être amené à exécuter l application. En clair, sur 100 utilisateurs, si seulement 12 exécutent simultanément l application concernée, il faut tout de même payer 100 licences de l application. Les licences par processeur : le nombre de licences à payer dépend directement du nombre de processeurs présents dans le serveur hôte. C est le cas notamment de certains SGBD. L architecture TSE étant une architecture centralisée du point de vue du rassemblement des utilisateurs sur un même serveur (ou une même ferme de serveurs) et surtout du rassemblement de leurs applications, il est fréquent de générer un problème dans la gestion des licences : en effet et par défaut, tous les utilisateurs peuvent techniquement utiliser toutes les applications installées sur le serveur TSE, sans nécessairement respecter les accords de licences passés entre l entreprise et les divers éditeurs applicatifs

130 Il convient à l administrateur de concevoir une architecture TSE qui respecte ces accords de licences. Plusieurs possibilités s offrent alors à lui. En combinaison de ces diverses possibilités, il est même possible de contrôler et du même coup de gérer facilement les usages applicatifs de l entreprise. Pour les exemples suivants, nous considérons une entreprise de 100 utilisateurs connectés sur 1 serveur TSE, dont 40 peuvent potentiellement accéder à une certaine application, mais seulement 12 y accèdent en simultané. Si cette application est gérée en mode potentiel (la plupart des applications du marché, notamment les applications Microsoft), il faudrait donc 40 licences, mais comme nous sommes sur un serveur TSE, les 100 utilisateurs peuvent y accéder, et il faut donc payer 100 licences. Pour restreindre l usage de cette application aux 40 utilisateurs concernés, il est possible d agir de plusieurs manières : Positionner des droits NTFS sur l exécutable de l application. Procédure un peu lourde s il y a beaucoup d utilisateurs et une grande diversité d applications, surtout dans la gestion quotidienne ultérieure, elle a toutefois l avantage d être simple et rapide. Elle peut être améliorée par la création de groupes d utilisateurs correspondants à chaque application concernée. Si l on est face à un seul serveur TSE mono applicatif, il sera plus simple de rendre le groupe d utilisateurs membre du groupe Utilisateurs du bureau à distance. Si cette application est gérée en mode simultané ou concurrent, il faut payer 12 licences, mais il faut interdire l exécution de l application pour un 13 ème utilisateur en procédant au choix comme suit : Limiter à 12 le nombre de connexions RDP Tcp sur le serveur TSE au niveau protocolaire (dans les propriétés de RDP, dans la console Configuration des Services Terminal Server). Il sera alors impossible au serveur TSE de répondre à une 13ème requête RDP, de quelque utilisateur ou provenance que ce soit ; ce qui sousentend que le serveur TSE est dédié à cette application Acquérir la suite Citrix/ICA Si les utilisateurs doivent utiliser un ensemble d applications en mode potentiel et une en mode concurrent, il faut alors installer deux serveurs TSE : un frontal qui diffusera les applications en mode potentiel, et un dédié qui diffusera l application en mode concurrent. Afin que les utilisateurs ne soient pas obligés de se connecter aux deux serveurs séparément, il conviendra d encapsuler le serveur dédié dans (ou plutôt derrière) le serveur TSE frontal : S il y a plusieurs applications en mode concurrent au sein de l entreprise, la première possibilité est de dédier autant de serveurs que d applications (ce qui parfois est exigé du fait de l éditeur lui même et des contrats de support associés à l application). Il est aussi possible de faire cohabiter plusieurs applications en mode concurrent sur un même serveur en déclarant

131 plusieurs ports de connexion RDP Tcp (dans la console Configuration des Services Terminal Server, et uniquement si vous avez autant de cartes réseau dans le serveur que vous aurez de ports de connexion à créer, donc autant qu il y a d applications hébergées en mode concurrent), chacun paramétré pour ne diffuser qu une mono application, et chacun limité en nombre de connexions simultanées en fonction de l application mono diffusée :

132 - 15 -

133 Gestionnaire de licences TSE 2008 L objectif du gestionnaire de licences TSE est de simplifier la gestion des licences Terminal Server (TS CAL Terminal Services Client Access Licences). En d autres termes, il doit aider le client à mieux gérer ses licences en s assurant qu il n en n achète pas plus que nécessaire (ou plutôt qu il en achète suffisamment ). Le gestionnaire permet en outre de visualiser les clients ne disposant pas de licences, disposant de licences temporaires ou enfin d une licence valide. Le gestionnaire de licences 2008 permet de gérer les licences d accès par périphérique ou par utilisateur, et ce, pour Windows 2008 et Windows Fonctionnement des licences par périphérique Quand un client souhaite se connecter à un serveur TSE, le serveur commence par déterminer si le client nécessite une licence. Si tel est le cas, il contacte un serveur ayant un service de licences valide (si le service n est pas activé, seul des licences temporaires seront délivrées) afin de solliciter un jeton d accès qu il transmet au client (le serveur de licences conservant la trace de la licence émise). 2. Fonctionnement des licences par utilisateur Ce type de licences, bien qu étant disponible, n était pas géré jusqu à présent par le service de licences Windows 2003 (aucun contrôle du nombre de licences distribuées). Une des nouveautés proposées par Windows 2008 est précisément de combler cette lacune En effet, le nouveau service de licences s appuiera désormais sur l Active Directory pour assurer le suivi des licences délivrées. 3. Révocation des licences clients Jusqu à présent lorsqu une licence par périphérique était distribuée à un poste client, et que celui ci tombait en panne ou devait être réinstallé, il n existait aucun moyen de remettre la licence vacante dans le pool de licences disponibles ce qui était fort ennuyeux quand on n en disposait pas d avance. En fait, pour être parfaitement exact, la licence était automatiquement remise dans le pool des licences disponibles si tant est que l on avait la patience d attendre entre 52 et 89 jours. La nouvelle console de gestion permettra aux administrateurs de sélectionner un certains nombre de licences Windows 2008 par périphérique et de les révoquer (remettre dans le pool de licences disponibles). Toutefois, Microsoft, qui est d un naturel méfiant, a posé un certain nombre de restrictions sur cette fonctionnalité de révocation. Le principe est qu il ne sera pas possible d avoir plus de 20% du total de ses licences dans un état Révoqué. Afin de bien comprendre le principe un petit exemple s impose : Si je dispose de 100 licences, il sera possible d en révoquer 20. Ces 20 licences seront taguées comme «révoquées» et le resteront jusqu à la date normale de leur expiration (durée aléatoire, allant de 52 à 89 jours, définie lors de sa distribution au client). Au terme de ce délai normal d expiration, le tag sera automatiquement réinitialisé. 4. Outil de diagnostic Avant Windows 2008, diagnostiquer un problème de communication, entre un serveur TSE et son serveur de licences, tenait un peu du parcours du combattant. La console de configuration des services Terminal Server dispose maintenant d un outil intégré qui permettra de visualiser et de diagnostiquer les éventuels problèmes de connexion avec le serveur de licences

134 Équilibrage et Session Broker 1. Introduction Terminal Services Session Broker est le nouveau nom d un service déjà connu sous Windows 2003 et appelé jusqu alors Session Directory (annuaire de sessions). Cette fonctionnalité, uniquement disponible avec une version Entreprise de Windows 2003, permettait aux utilisateurs ayant une session dans un état déconnecté sur un serveur TSE (membre d une ferme) de pouvoir s y reconnecter. En fait, l annuaire de session maintenait une liste indexée par utilisateur et serveur TS afin de permettre la redirection d un utilisateur vers le serveur hébergeant déjà une session déconnectée à son nom, et ce, même si la connexion était initiée depuis une autre machine. Sous Windows 2003, une ferme de serveurs était généralement couplée à un mécanisme de répartition de charge (Windows NLB, ou autre), et associée à un annuaire de session afin d assurer souplesse, évolutivité et haute disponibilité. Avec Windows 2008, on dira donc adieu au Session Directory, que l on appellera maintenant TS Session Broker et qui incorporera un mécanisme de répartition de charge amené à remplacer NLB (bien qu il puisse encore l utiliser, au même titre qu un quelconque produit tiers). Par ailleurs, et contrairement au Session Directory, le Session Broker sera disponible avec la version Standard de Windows Fonctionnalités disponibles Comme je l ai déjà évoqué dans l introduction, le but du TS Session broker est de répartir la charge des sessions au sein de la ferme TSE, et ce, de manière équilibrée (redirection des nouvelles connexions vers le serveur le moins chargé). TS Session Broker opère en deux phases : La connexion initiale de l utilisateur est envoyée vers un serveur TSE de la ferme par un premier dispositif de répartition de charge (tourniquet Dns, Nlb, produits ou matériels d éditeurs tiers). Après l authentification, le serveur TSE ayant accepté la requête de connexion initiale, il interroge le Session Broker pour savoir vers quel serveur l utilisateur doit être redirigé. Un utilisateur ayant déjà une session déconnectée sur un serveur de la ferme sera réorienté vers lui afin de la récupérer. Un utilisateur n ayant pas de session existante sera acheminé vers le serveur ayant le moins de connexions actives. TS Session Broker limite le nombre de requêtes de connexion en attente pour un serveur à dix, afin d éviter un phénomène connu sous le nom de Black Hole Effect (les administrateurs de fermes Citrix en ont certainement entendu parler, voire pire ) et qui peut conduire à la saturation d un serveur de la ferme (ce qui risque de mécontenter les utilisateurs souhaitant ouvrir une session). En fait pour bien comprendre ce phénomène, supposons que nous sommes vers 8h30 du matin et que tous les utilisateurs lancent une connexion TSE afin de consulter leurs s en prenant le café. L ensemble des serveurs de la ferme se retrouvent alors avec un taux de charge pouvant atteindre 70 à 80% de leur maximum. En parallèle, je démarre un autre de mes serveurs TSE, dont je viens de terminer la maintenance, et là en moins de temps qu il n en faut pour le dire, la hotline est saturée d utilisateurs n arrivant pas à se connecter. Que s est il passé? Rien de bien mystérieux en fait : Le nouveau serveur reçoit toutes les nouvelles demandes d ouverture de session car il sera systématiquement considéré comme le moins chargé des serveurs de la ferme par le load balancer ce qui conduit à sa saturation. TS Session Broker permet également d assigner un poids aux serveurs de la ferme afin de compenser les écarts de performance liés au matériel. Attention toutefois, ce mécanisme ne permet pas d atteindre la finesse de paramétrage proposée par d autres éditeurs, tel Citrix ou Systancia. En outre, un nouveau mode maintenance (drain mode) fait son apparition et permettra de mettre momentanément hors ligne un serveur de la ferme pour effectuer des opérations de maintenance. À la différence de ce qui existait sous Windows 2003, le drain mode permet d interdire de nouvelles connexions vers un serveur TSE, mais permet aux utilisateurs ayant une session déconnectée de la récupérer afin de terminer leurs travaux en cours

135 a. Schéma de principe b. Particularité du TS Session Broker utilisé avec un tourniquet Dns (Dns Round Robin) La solution de répartition de charge (pour la phase initiale précédemment évoquée) la plus économique reste sans nul doute l utilisation d un tourniquet Dns. Pour ce faire, il suffit de créer un enregistrement d hôte (type A), pour chaque adresse IP des serveurs TSE composant la ferme, avec le nom choisi pour la ferme (le nom de la ferme est celui qui sera utilisé par les clients pour se connecter à la ferme). Le serveur Dns utilise un mécanisme de tourniquet afin de ne pas systématiquement retourner la même réponse aux clients et permettre ainsi une répartition de charge des connexions initiales, vers les différents serveurs de la ferme. La connexion initiale s opère donc comme suit : Le client émet une requête au Dns afin d avoir la liste des IP correspondants aux serveurs de la ferme et met en cache l ensemble de la réponse (la commande ipconfig /displaydns permet de voir le cache du client Dns)

136 Le client essaie d établir une connexion vers la première adresse IP retournée par le Dns. Si la connexion échoue, le client essaiera de se connecter à l adresse suivante (après un time out de 20 secondes). Ce mécanisme assure une sorte de tolérance de panne (très basique), si un des serveurs TSE est indisponible. 3. Mise en œuvre du Session Broker a. Pré requis Le serveur hébergeant le service doit être sous Windows 2008 mais pas forcément serveur TSE. Il est d ailleurs conseillé de l installer sur un serveur back end (serveur de fichiers par exemple). Le service peut être utilisé par différentes fermes (attention à la charge). Tous les serveurs constituant la ferme doivent être sous Windows 2008 avec les mêmes applications installées. Les clients doivent utiliser au minimum un client RDC 5.2. b. Installation Ouvrir le gestionnaire de serveur Ajouter le service de rôle Session Broker TS Ajouter le rôle Terminal Server Choisir le service de rôle Session Broker TS Ajouter les serveurs TSE composant la ferme au groupe Ordinateurs Annuaire de Sessions créé durant l installation. c. Configurer TS Session Broker avec une stratégie de sécurité - 3 -

137 Créer une Gpo que vous appliquerez sur une OU contenant les serveurs TSE. Sous Configuration Ordinateur/Stratégies/Composants Windows/Service Terminal Server/Terminal Server/Session Broker TS : Activer l option Joindre le service session Broker. Activer l option Configurer le nom de la batterie de serveur Session Broker TS et ajouter le nom DNS de la ferme. Activer l option Configurer le nom du serveur Session Broker TS et ajouter le nom DNS du serveur ayant le service. Activer l option Utiliser l équilibrage de charge de Session Broker TS. Dans le cas où l on utiliserait un Load Balancer matériel, il faudrait activer l option Utiliser la redirection d adresse IP. Après l application de la stratégie sur le(s) serveur(s) TSE de la ferme, un message indiquant que le serveur a bien joint la batterie (ferme) de serveur doit apparaître dans le journal système. Enfin, après avoir publié les applications sur tous les serveurs TSE de la ferme, il ne reste plus qu à régénérer un package MSI ou un fichier.rdp en utilisant, comme nom de serveur, le nom de la ferme déclaré dans le Dns

138 - 5 -

139 Composants de Terminal Server 1. Améliorations apportées au noyau Avec Windows 2008 des améliorations ont été apportées au moteur des services TSE. Le noyau du moteur des services TSE (Termsrv.dll) a été divisé en deux composants : Lsm.exe qui est le noyau du gestionnaire de sessions et Termsrv.dll qui est le gestionnaire des connexions distantes. Le Gestionnaire de Sessions Locales (LSM Local Session Manager) est un processus tournant en mode noyau qui est lancé au démarrage du système. LSM interagit avec d autres composants clefs du système, tels que smss.exe (Session Management Subsystem), winlogon.exe (Windows LogOn Process) ou encore crss.exe (Client/Server Runtime Subsystem) afin d assurer la parfaite synchronisation des différents éléments du système d exploitation avec les opérations menées par le gestionnaire de sessions (par exemple les opérations de chargement/déchargement des pilotes vidéo lors du passage d une session active à une session déconnectée). Le service Termsrv (Termsrv.dll tourne à l intérieur d un processus svchost.exe) héberge un écouteur qui communique avec un pilote TDI (mode noyau) afin d écouter les requêtes de connexions. Il interagit également avec le serveur de licences, la pile de protocole Rdp ou encore avec le Gestionnaire de Sessions Locales. En outre, désormais seul le Gestionnaire de Sessions locales fonctionne avec un compte de service système, le service Termsrv tourne lui avec un compte de service réseau ce qui permet d améliorer la sécurité. Enfin, voici deux tableaux récapitulant les services et les fichiers importants utilisés sous Windows 2008 : Services : Nom du Service Terminal Services (TermServices) Terminal Services Configuration (SessionEnv) Terminal Services Gateway (TSGateway) Terminal Services Session Broker (Tssdis) Terminal Services UserMode Port Redirector (UMRdpService) Localisation %systemroot%\system32\svchost.exe k termsvcs % systemroot%\system32\termsrv.dll %systemroot%\system32\svchost.exe k netsvcs % systemroot%\system32\sessenv.dll %systemroot%\system32\svchost.exe k tsgateway %systemroot%\system32\aaedge.dll %systemroot%\system32\tssdis.exe %systemroot%\system32\svchost.exe k LocalSystemNetworkRestricted %systemroot% \system32\umrdp.dll Fichiers : Composant AACLIENT.DLL CREDSSP.DLL MSTSCAX.DLL MSTSC.EXE RDPINIT.EXE RDPSHELL.EXE Description Ts Web Access Support du SSO ActiveX de contrôle Ts Exécutable du bureau à distance Utilisé pour l initialisation de RemoteApp (lancé par USERINIT.EXE) Shell pour RemoteApp (remplace explorer.exe) - 1 -

140 RDPSND.DLL RDPWSX.DLL RDPDR.SYS RDPDD.DLL RDPWD.SYS RDPCLIP.EXE TERMSRV.DLL TERMDD.SYS TDTCP.SYS TSDDD.DLL WINLOGON.EXE WINSTA.DLL WINMM.DLL WTSAPI32.DLL Pilote audio Utilisé pour les opérations de connexion/déconnexion Redirection de périphériques Pilote écran Ts Gestion clavier/souris Redirection du presse papier Gestion de la pile de connexion Pilote de périphérique Ts Préparation du protocole Rdp pour le transfert vers la couche tcp/ip sous jacente Pilote écran pour une connexion console Fournit les opérations de connexion /déconnexion [Ctrl+Alt+Supp] Fournit les informations de session (durée d inactivité par exemple) Support des services multimédia Api de développement 2. Isolation de la session 0 Une des nouvelles fonctionnalités permettant d accroître la sécurité du système est l isolation de la session 0. Sous Windows 2003, les applications et les services tournaient tous dans la session 0 (appelée session console) ce qui n était pas sans risque dans la mesure où de nombreux services fonctionnent avec des privilèges systèmes. Avec Windows 2008, seuls les services tournent dans la session 0 (plus de connexion interactive), les applications, elles, fonctionnent dans d autres sessions (un programme malveillant ne pourra plus utiliser une application mal codée pour attaquer un service afin d élever son niveau de droits). a. Les différents états des sessions Dès lors qu un utilisateur se connecte à un serveur (localement ou à distance), il ouvre ce que l on appelle une session interactive. Cette session contient aussi bien des processus systèmes, que des applications ou encore le bureau de l utilisateur. Sous Windows 2008, le premier ID des sessions interactives est le 1 (l ID 0 est réservé aux services), que l utilisateur soit connecté localement (à la console du serveur) ou à distance. Durant sa vie, une session passe par plusieurs états dont les plus intéressants sont actif et déconnecté : - 2 -

141 Etat actif : l utilisateur travaille actuellement dans sa session. Etat déconnecté : l utilisateur n est pas connecté à la session mais les applications continuent d y tourner. b. Terminal local ou distant Quand une session est active, celle ci est attachée à un certain nombre de périphériques d entrée/sortie (clavier, écran ) qui forment ce que l on appelle un terminal. Le terminal peut être soit local (s il s agit des éléments physiquement connectés sur le serveur), soit distant (s il s agit d une liaison avec les entrées/sorties du client). Dans le cas d un terminal distant, celui ci est également associé à un objet de connexion qui contient notamment des informations sur la pile de protocole ou encore les pilotes d extension. Quand une session est déconnectée, elle n est plus attachée à aucun terminal. S il s agit d une connexion distante, le terminal et l objet connexion sont alors détruits. En revanche, un terminal local n est jamais détruit de manière permanente. Quand la session attachée à un terminal local passe à l état déconnecté, une nouvelle session console est générée et un nouveau terminal local y est rattaché (bien que la session ne soit pas active, elle est quand même attachée au terminal local). Ce type de session est dans un état appelé connecté (affichage de l écran [Ctrl][Alt] [Suppr]). c. Reconnexion de session Une session déconnectée doit être rattachée à un nouveau terminal (local ou distant) avant de pouvoir être réutilisée. Voici les différentes étapes qui se déroulent dans ce cas : Si l utilisateur se connecte localement sur le serveur, une session (ID1) est attachée au terminal local et passe dans l état actif. La session créée porte le nom de session console. Quand l utilisateur se déconnecte (ou verrouille sa machine), la session passe dans l état déconnecté. À cet instant, la session 1 n est plus attachée à aucun terminal. Quand le terminal a fini de se fermer, une nouvelle session (ID 2) est créée et rattachée au terminal local (session dans l état connecté). La session d ID1 reste, elle, dans l état déconnecté et le nom consoleest assigné à la session d ID 2. Si le même utilisateur se connecte à distance sur le serveur, un nouveau terminal distant est créé et rattaché à sa session déconnectée (ID 1). La session d ID 1 passe dans l état actif avec ce terminal distant. Lorsque l utilisateur se déconnecte, le terminal distant est détruit et la session repasse dans l état déconnecté. La session d ID1 ne sera fermée que lorsque l utilisateur initiera une fermeture de session (ou que l administrateur forcera la fermeture). d. Option /console du client RDC Sous Windows 2003, la session d ID 0 était appelée session console et rattachée au terminal local. Lorsqu un utilisateur ouvrait une session locale, il était de fait connecté sur la session d ID 0 (qui n était fermée que lors d un arrêt du système). Dans les faits, certaines opérations, telles que des installations d applications ou l affichage de certaines boîtes de dialogues, ne pouvaient se faire qu à la console. Pour permettre aux administrateurs d accéder à la session 0 à distance, le commutateur /console a donc été ajouté au client RDC. Comme je l ai déjà dit précédemment, sous Windows 2008, la session d ID 0 n est plus interactive (réservée aux services). La session dite console, quant à elle, est simplement celle qui est connectée au terminal local, ce qui signifie, en d autres termes, que n importe quelle session (quel que soit son ID) peut être associée au terminal local et donc être de type console. Contrairement à ce qui existait sous Windows 2003, il n y a plus de raison, avec Windows 2008, de chercher à se connecter à distance au terminal local (session dite console) car l ensemble des sessions distantes bénéficient des mêmes fonctions que celle ci. De fait, le commutateur /console, disponible jusqu à présent dans les clients RDC, ne sert sous Windows 2008 qu à administrer le serveur sans consommer de licence Ts Cal. Le client RDC 6.1, quant à lui, ajoute le commutateur /admin qui est dévolu aux tâches d administrations. Enfin, il faut savoir que le commutateur /admin ne sert que si l on se connecte à un serveur Windows 2008 Terminal Server (pour ne pas consommer de TS CAL). L utilisation de ce commutateur sur un serveur en mode administration à distance n a aucun effet

142 3. Support des polices ClearType Avec la démocratisation des écrans LCD, l arrivée de Windows Vista et d Office 2007, les polices ClearType revêtent un caractère primordial. En effet, de nombreuses polices sont désormais optimisées pour l utilisation de ClearType et apparaitraient bien fade si l on ne désactivait pas sa prise en charge. Pour autant, la finesse des polices a un coût. Normalement, sous TSE (sans activer le lissage des polices), les polices sont transmises vers le client sous forme de caractères, ce qui est géré de manière efficace (mise en cache) par le protocole RDP afin de limiter la consommation de bande passante. En revanche avec l activation du ClearType, les polices sont transmises sous forme d images ce qui conduit à une augmentation significative de la consommation de bande passante. D après les tests réalisés par Microsoft, l activation du lissage des polices conduirait à une surconsommation de bande passante de l ordre de 4 à 10 fois celle mesurée lors de la transmission des polices en mode caractère. 4. Prioritisation de l affichage Le client RDC 6 résout le problème de la prioritisation d affichage en ajoutant la possibilité de contrôler les canaux virtuels. Cela permet de positionner une importance plus faible pour les flux annexes tels l impression ou le transfert de fichiers. Le paramétrage, défini par défaut sous Windows Vista et Windows 2008, est de 70% pour l affichage et les entrées sorties (clavier/souris) et de 30% pour le reste des flux. Ce paramétrage peut être ajusté à l aide des clefs de registre suivantes (Type DWORD) : Sous HKLM\SYSTEM\CurrentControlSet\Services\TermDD : FlowControlDisable : positionner cette entrée à 1 pour désactiver la prioritisation de l affichage. Les requêtes seront alors traitées par un classique mécanisme de First In First Out. FlowControlDisplayBandwidth : ce paramètre caractérise la priorité relative de l affichage sur les autres canaux virtuels. La valeur par défaut est 70 et le maximum 255. FlowControlChannelBandwidth : ce paramètre détermine la priorité relative des autres canaux virtuels. La valeur par défaut est 30 et le maximum 255. FlowControlChargePostCompression : cette valeur spécifie si l allocation de bande passante doit être calculée avant ou après la compression. La valeur par défaut (0) stipule un calcul sur les octets avant compression. 5. Installation automatisée des services TSE Dès lors que l on commence à déployer des fermes de grandes tailles, il devient intéressant d automatiser au maximum les tâches d installation. Pour ce faire, il conviendra d utiliser un fichier Unattend.xml et d y ajouter quelques unes des options suivantes (il est conseillé d utiliser Windows SIM pour la création du fichier) : Activation des connexions distantes Ce paramètre détermine si les connexions à distance sont autorisées. Composant : Microsoft Windows Terminal Services LocalSessionManager Paramètre : fdenytsconnections Valeurs : True : Les connexions distantes sont désactivées (valeur par défaut). False : Les connexions distantes sont activées. Authentification des utilisateurs Ce paramètre spécifie si l utilisateur doit être authentifié avant l établissement de la session RDP. Composant: Microsoft Windows TerminalServices RDP WinStationExtensions Paramètre : UserAuthentication Valeurs : - 4 -

143 0 : Network Level authentication pas obligatoire (par défaut) 1 : Network Level authentication obligatoire Couche de sécurité Ce paramètre précise la manière dont le client et le serveur doivent communiquer pour établir une connexion RDP. Composant: Microsoft Windows TerminalServices RDP WinStationExtensions Paramètre : SecurityLayer Valeurs : 0 : Utilisation d une couche de sécurité RDP 1 : Négocier la méthode de connexion (par défaut) 2 : Utilisation du protocole SSL(TLS) (Secure Socket Layer / Transport Layer Security) - 5 -

144 Site Web pour TS Web Access Composant : TSPortalWebPart Paramètre : Nom du Site Web Site Web pour TS Web Client Composant : Microsoft Windows TerminalServices WebControlExtention Paramètre : Nom du Site Web 6. Certificats de passerelle TSE a. Pré requis pour les certificats de passerelle Le nom fourni dans le champ sujet (CN Certificate Name) doit être identique au nom Dns utilisé par les clients pour se connecter à la passerelle. Certificat de type ordinateur. Certificat de type authentification de serveur ; EUK (Extended Key Usage) Le certificat a sa clef privée correspondante. Le certificat n est pas expiré. Le certificat doit être approuvé par les clients (membre du magasin Autorités de certification racines de - 6 -

145 confiance). b. Comment obtenir un certificat pour sa passerelle SSL Comme je l ai évoqué précédemment, le protocole TLS 1.0 est utilisé pour chiffrer les communications ayant lieu entre le client Ts et la passerelle, ce qui nécessite l installation d un certificat x509 sur celle ci. Si votre société possède déjà un certificat public, vous pouvez l utiliser s il répond aux critères suivants : Il est membre du programme Microsoft Root Certificate ( Il respecte les pré requis nécessaires pour TS Gateway. Dans le cas contraire (par exemple certificat auto généré), il faudra l ajouter au magasin local de certificats (pour la passerelle et les clients qui y accèdent). 7. Partage de Session sous 2008 (Session Sharing) Le partage de session (Session Sharing) tient une place prépondérante dans une infrastructure à répartition de charge. Cette technique permet de limiter le nombre de sessions différentes ouvertes sur les serveurs de la ferme. Pour bien comprendre ce concept, un petit exemple s impose : supposons que l on publie les applications Word, Excel et Outlook dans une ferme de trois serveurs. Un utilisateur lance Word et ouvre une session (mode seamless) sur le moins chargé des serveurs de la ferme. Le même utilisateur lance maintenant Outlook, cette application se lancera, sous réserve d être présente sur le serveur, dans la même session. Cette technique présente deux intérêts majeurs : Rapidité : pas de nouveau processus d ouverture de session à effectuer. Fiabilité : limite sensiblement les problèmes de profils utilisateurs, notamment dans le cas de profils itinérants. Cette technologie n était pas disponible nativement sous Windows 2003 et il fallait, pour en bénéficier, utiliser des produits d éditeurs tiers (Citrix, Systancia ). Avec Windows 2008, le partage de session sera disponible pour RemoteApp. Dans l écran ci dessous deux applications sont lancées avec le même compte utilisateur : - 7 -

146 Si l on accède au gestionnaire des services Terminal Server pour voir ce qu il en est côté serveur, on constate que les deux applications ont bien démarrées dans la même session (tcp#0). Pour autant et bien que le Session Sharing soit avantageux à bien des égards, l utilisation qui en est faite par le Session Broker est plus discutable. En effet, on pourrait croire que lorsqu un utilisateur lance une deuxième application distante, Windows vérifie d abord si l application demandée est présente sur le serveur hébergeant la première et agisse en conséquence ; dans les faits, ce qui se produit est moins élégant. Le problème tient au fait que le Session Broker n a pas connaissance de l application distante qui est lancée par l utilisateur, donc il se contente de diriger l utilisateur vers le serveur sur lequel une session est déjà active. Certains d entre vous doivent se dire et alors? Le problème de cette approche est qu elle suppose que l on dispose de fermes équilibrées où tous les serveurs TSE ont les mêmes applications d installées. Or, les conflits inter applications ne sont pas un mythe et conduisent bien souvent à en isoler certaines sur des serveurs dédiés. Dans une telle situation, le Session Sharing ne vous sera, malheureusement, d aucune utilité. 8. Création de session en parallèle (Parallel Session Creation) Le reproche le plus courant fait par les utilisateurs lorsqu ils utilisent des applications distantes est le temps d attente pour leur lancement. En effet, supposons qu un utilisateur, habitué à attendre moins de cinq secondes pour lancer Excel avec son ancien PC, doit désormais en attendre vingt avec sa nouvelle machine flambant neuve parce que celle ci est dépourvue de suite Office localement, la révolte risque fort de se préparer Malheureusement, une partie du problème se trouve dans la méthode même de création des sessions qui est une opération séquentielle. En d autres termes, un serveur TSE ne peut traiter qu une demande d ouverture de session à la fois, les autres attendant leur tour. Pour bien comprendre la portée que peut prendre le problème, prenons un petit exemple. Imaginons que votre entreprise utilise dix serveurs TSE pour un total de deux cents connexions simultanées. Si le temps de lancement de l application métier prend 20 secondes, cela signifie que trente utilisateurs par minute ouvriront une session. En d autres termes, et dans le meilleur des cas (utilisation optimale des ressources), il ne faudra pas moins de sept minutes pour connecter tous les utilisateurs. Le problème peut prendre encore plus d ampleur avec les architectures 64 bits, qui permettent d augmenter le nombre d utilisateurs par serveur. En effet si l on réduit à cinq le nombre de machines, l addition passera alors au quart d heure Windows 2008 intègre une nouvelle fonctionnalité appelée Parallel Session Creation qui permet d initier au moins quatre sessions en parallèle, voire beaucoup plus dans le cas de système multiprocesseurs. Pour autant, bien que cette fonctionnalité permette de réduire de manière significative le temps de connexion global de l ensemble des utilisateurs, cela ne diminuera pas pour autant le temps d ouverture intrinsèque de chaque session qui, dans notre exemple, restera de vingt secondes. 9. TSE ET WSRM (Windows System Resource Manager) Le gestionnaire de ressources système de Windows 2008 permet de contrôler la quantité de CPU et de Mémoire allouée aux applications, services et processus. La gestion des ressources du système permet de s assurer, par exemple, qu une application disposera toujours de suffisamment de mémoire ou encore de répartir précisément les - 8 -

147 ressources processeur. WSRM est disponible sous la forme d une fonctionnalité, nécessitant la présence de la base de données interne Windows, et doit être installé après le composant Terminal Server

148 Architecture réseau et haute disponibilité Le Session Broker Load Balancing de Windows 2008 est également connu sous le nom de Session Based Load Balancing, autrement dit répartition de la charge basée sur les sessions. Bien que la répartition de charge se fasse essentiellement sur la comptabilisation du nombre de connexions connectées et déconnectées, les fonctionnalités offertes par le Session Broker ne se limitent pas à cela. En effet, Il intègre nativement une protection contre l effet trou noir, ainsi qu une limitation du nombre de sessions par serveur. Afin de prévenir l effet trou noir, qui est totalement bloquant pour les utilisateurs, on retrouve généralement deux techniques : La première consiste à charger artificiellement les serveurs qui ne doivent plus recevoir de nouvelles connexions afin qu ils ne soient plus éligibles aux yeux du répartiteur de charge (on évite ainsi une surcharge). La charge revient à un niveau normal dès que le processus d ouverture de session est achevé. La deuxième, celle utilisée par le Session Broker, consiste à limiter le nombre de sessions en attente de traitement vers le même serveur TSE (par exemple pas plus de huit connexions concurrentes par serveur). Cette technique est éminemment simple mais très efficace. La limitation du nombre maximum de connexions consiste, quant à elle, à déterminer le nombre de sessions limite qu un serveur peut héberger. Cette technique permet de ne pas pénaliser les utilisateurs déjà connectés en allant au delà de la charge acceptable par le serveur. Toutefois, cette limite n est pas calculée automatiquement par le serveur TSE, ni même configurable dans une interface graphique (opération à réaliser sur chaque serveur). L activation de cette option se fait via l ajout de la clef UserSessionLimit dans HKLM\System\CurrentControlSet\Control\Terminal Server, puis en y positionnant le maximum souhaité. La mise en œuvre d une solution de haute disponibilité peut aller d une architecture très simple à une autre très complexe, suivant le niveau de service attendu. 1. Haute disponibilité basée sur le Dns - 1 -

149 Dans cette approche minimaliste (déjà évoquée dans le chapitre Tour d horizon de Windows 2008), la répartition des requêtes entre les serveurs se fait par un tourniquet Dns (activé par défaut sous Windows 2003 et 2008). Le processus d ouverture de session est le suivant : 1) Interrogation du serveur Dns afin de connaître l adresse IP d un des serveurs de la Ferme. 2) Connexion sur le serveur Tse 1. 3) Le serveur Tse 1 contacte le service session Broker afin de déterminer où l utilisateur devra finalement ouvrir une session. 4) Le Session Broker indique au serveur Ts 1 que l utilisateur n a pas de session déconnectée et que le serveur Ts 2 est le moins chargé. 5) Le serveur Ts 1 redirige le client via Rdp vers le serveur Ts 2. 6) Le client Rdp contacte le serveur Ts 2. 7) La session de l utilisateur est créée sur le serveur

150 2. Haute disponibilité basée sur le Dns avec redirecteur dédié Lorsque l adresse IP de tous les serveurs TSE est associée à l alias de la Ferme, les requêtes des clients seront dirigées par le tourniquet Dns vers n importe quel serveur de la Ferme. Le serveur qui recevra la requête initiale de connexion agira comme un redirecteur (vers le service Session Broker). Cette situation peut s avérer préjudiciable au plan des performances sur des Fermes de grandes tailles ou fortement chargées. Dès lors, la solution consiste à dédier des serveurs TSE au rôle de redirecteur. Ces serveurs acceptent les requêtes entrantes, mais pas de sessions utilisateurs. La configuration se fait comme suit : Créer des entrées pour le tourniquet Dns. Chaque redirecteur doit avoir une entrée correspondant au nom de la Ferme. Configurer les serveurs TSE pour interdire les connexions : Ouvrir la console de configuration des services Terminal Server. Dans la partie Modifier les paramètres, double cliquer sur Mode d ouverture de session de l utilisateur et sélectionner Autoriser les reconnexions mais refuser les nouvelles ouvertures de session

151 Bien entendu un administrateur pourra toujours se connecter sur le serveur en utilisant le commutateur /admin de son client Rdc. Dans cette configuration le processus d ouverture de session pourrait, par exemple, être le suivant : 1) Interrogation du serveur Dns afin de connaître l adresse IP d un des redirecteurs Tse. 2) Connexion sur le serveur R2. 3) Le serveur R2 contacte le service session Broker afin de déterminer où l utilisateur devra ouvrir une session. 4) Le Session Broker indique au serveur R2 que l utilisateur a une session déconnectée sur le serveur Ts 3. 5) Le serveur R2 redirige le client via Rdp vers le serveur Ts 3. 6) Le client Rdp contacte le serveur Ts 3. 7) L utilisateur récupère sa session déconnectée sur le serveur Ts Haute disponibilité avec redirecteurs dédiés et NLB Bien que la solution précédente fournisse déjà un certain niveau de disponibilité, elle s appuie hélas encore sur un tourniquet Dns. Une solution plus sécurisée consiste à remplacer le tourniquet Dns par un mécanisme de répartition de charge tel que NLB (Network Load Balancing) afin d orienter les requêtes vers les redirecteurs. La mise en œuvre d un dispositif d équilibrage de la charge réseau permet d assurer la disponibilité permanente d au moins un redirecteur pour servir les clients. a. Pré requis nécessaires pour l utilisation de Network Load Balancing Au moins une carte réseau

152 Activer uniquement TCP/IP sur cette interface. Tous les membres du cluster NLB doivent être dans le même sous réseau. S assurer que les clients puissent atteindre ce sous réseau. Tous les serveurs TSE de la ferme doivent être dans le même domaine. b. Installation du NLB Depuis le gestionnaire de serveur, aller dans l ajout de fonctionnalités et sélectionner Equilibrage de la charge réseau, puis valider pour procéder à l installation. c. Configuration du NLB La configuration du cluster NLB se fait en trois étapes : Configuration individuelle de chaque nœud du cluster. Configuration des paramètres pour le cluster. Paramétrage des règles de ports. Pour plus de details, consulter l article «Step by Step Guide for Configuring Network Load Balancing with Terminal Services: Windows Server Longhorn sur le TechNet Microsoft. Dans cette configuration le processus d ouverture de session pourrait être le suivant : 1) Interrogation du serveur Dns afin de connaître l adresse IP virtuelle du cluster Nlb. 2) Connexion sur le serveur R2. 3) Le serveur R2 contacte le service session Broker afin de déterminer où l utilisateur devra ouvrir une session. 4) Le Session Broker indique au serveur R2 que l utilisateur n a pas de session déconnectée et que le serveur Ts 2 est le moins chargé. 5) Le serveur R2 redirige le client via Rdp vers le serveur Ts 2. 6) Le client Rdp contacte le serveur Ts 2. 7) L utilisateur ouvre une session sur le serveur Ts Haute disponibilité avec redirecteurs dédiés, NLB et Session Broker en cluster À ce stade de l architecture, tous les éléments sont redondés et dimensionnés pour accepter suffisamment de connexions. La dernière question qui me vient à l esprit est : que se passerait il si mon service Session Broker n est plus disponible? La réponse est simple : il n y aurait plus de répartition de charge dans la Ferme, ni même de reprise des sessions déconnectées Il est évident que cette faiblesse dans l architecture, n est pas acceptable ; dès lors la solution qui s impose est la mise en cluster du service Session Broker (ce que l on faisait déjà sous Windows 2003 avec l annuaire de session)

153 Le fonctionnement de cette architecture est identique au précédent mais ne contient plus aucun élément non redondé. Bien que ce type d architecture soit techniquement alléchant et présente un haut niveau de tolérance de panne, il n en reste pas moins difficile à mettre en œuvre et relativement coûteux. Pour ce qui est de définir l architecture qui convient le mieux à son entreprise, la première question que l on doit se poser est : Quelle est la durée d interruption de service tolérable pour mes applications?. Si la réponse est aucune (ou disons le moins possible), alors il faudra accepter le coût et la complexité inhérents à ce type de contraintes

154 Service d annuaire et stratégies de groupes 1. Nouvelle infrastructure des GPOs a. Introduction Si vous utilisez les stratégies de groupes, vous savez, bien sûr, comment utiliser les modèles d administration pour configurer les paramètres des systèmes d exploitation et des applications. Les fichiers ADM, inclus avec Windows ou encore Office, couvrent la plupart des configurations ou restrictions nécessaires à nos environnements TSE. Toutefois, il faut parfois créer ses propres modèles Adm pour incorporer des paramètres personnalisés ou des applications d éditeurs tiers. La conception de modèles Adm est souvent laborieuse, car ils ont une syntaxe unique et doivent être créés à l aide d un éditeur de texte. Bien sûr, avec le temps et l expérience, beaucoup d entre nous sont passés maîtres dans l art de créer leurs propres fichiers Adm. Avec l avènement de Windows Vista/2008, Microsoft a transformé le format des modèles de stratégie de groupe basé sur une structure Xml. Ce nouveau format, appelé Admx, offre de nombreux avantages par rapport aux anciens fichiers Adm, notamment la prise en charge multilingue et la possibilité de disposer d un emplacement de stockage centralisé. Tout cela s annonce sous de très bons hospices, toutefois, qu en est il si vous voulez créer vos propres fichiers Admx et n êtes pas familier avec Xml? Plus important encore, que deviennent tous ces fichiers Adm personnalisés que vous avez créés durant toutes ces années? Avant de répondre à ces questions, revenons sur le fonctionnement actuel des stratégies de groupe et voyons en quoi consiste exactement cette nouvelle infrastructure. Avant Windows Vista (et Windows 2008), le traitement de la stratégie de groupe se déroulait au cours d un processus appelé Winlogon. Le processus Winlogon.exe (Winlogon signifiant Windows LogOn Process, en français : ouverture de session Windows) est un processus générique de Windows NT/2000/XP chargé de gérer l ouverture et la fermeture des sessions mais également de servir les diverses tâches de stratégie de groupe. La stratégie de groupe possède désormais son propre service Windows (gpsvc : client de stratégie de groupe). De plus, elle est renforcée, ce qui signifie qu il est impossible de l arrêter ou qu un administrateur puisse prendre possession des autorisations définies sur la stratégie de groupe pour les désactiver. Ces modifications améliorent la fiabilité globale du moteur de la stratégie de groupe. b. Amélioration de la détection réseau Dans les versions antérieures à Windows Vista/2008, le moteur de la stratégie de groupe essayait de déterminer si l accès au contrôleur de domaines s effectuait via un lien lent ou un lien rapide. Il aurait ensuite utilisé cette information pour permettre la définition des paramètres de stratégie à appliquer. Cette opération n a pas été supprimée dans la nouvelle infrastructure, mais la méthode de calcul de la bande passante disponible a quelque peu évoluée. Jusqu à présent, la détermination de cette vitesse était effectuée par l envoi de paquets ICMP (ping) aux contrôleurs de domaine. Cette approche simpliste connaissait quelques problèmes dans la pratique. D abord, certains administrateurs désactivaient le protocole ICMP sur leur routeur. Ensuite, si la connexion s établissait via des liens à latence élevée (satellite par exemple), les calculs n étaient pas fiables. La nouvelle stratégie de groupe est désormais plus intelligente et permet de connaître la connectivité réseau en temps réel. La principale modification concerne le moteur de stratégie de groupe, qui utilise maintenant le service NLA (Network Location Awareness) qui l alerte lorsqu un contrôleur de domaine est disponible afin de procéder, si nécessaire, à une actualisation de la stratégie de groupe. Bien évidemment, dans la majorité des architectures centralisées, les serveurs TSE sont sur le même Lan que les contrôleurs de domaine et disposent donc toujours d une connexion rapide. Toutefois, il n est pas rare de trouver un serveur TSE isolé sur un site distant dépourvu de DC c. GPO locales multiples Bien que les GPOs soient le meilleur moyen de verrouiller l environnement de travail dans une Ferme TSE, celle ci suppose que l on dispose d un domaine Active Directory. Malheureusement, on trouve également des serveurs TSE dans des domaines NT4 (non ce n est pas un mythe, il en reste encore beaucoup) voire même dans des groupes de travail. Dans ce cas, la solution consiste à positionner des stratégies locales au serveur TSE avec l inconvénient majeur qu elles s appliquent à tous, y compris aux administrateurs. La nouvelle fonctionnalité de multiplicité des GPOs locales résout ce problème en utilisant un modèle en couches. Il existe toujours une GPO locale par défaut, qui s applique au contexte de l ordinateur local et qui affecte tous les - 1 -

155 utilisateurs sur le système, mais il est désormais possible de définir des stratégies qui s appliquent aux administrateurs et aux non administrateurs. Ouvrir MMC. (Cliquez sur Démarrer, cliquez dans la zone exécuter et tapez mmc, puis appuyez sur [Entrée].) Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Éditeur de stratégies de groupe locale, puis sur Ajouter. Dans la boîte de dialogue Sélection d un objet de stratégie de groupe, cliquez sur Parcourir. Cliquez sur Cet ordinateur pour modifier l objet de stratégie de groupe locale

156 Cliquez sur Utilisateurs pour modifier les objets de stratégie de groupe locale Administrateur, Non administrateur ou par utilisateur. Cliquez sur Terminer, sur Fermer, puis sur OK. L Éditeur de stratégie de groupe locale ouvre l objet de stratégie de groupe (GPO) que vous voulez modifier

157 Évidemment, si le système a été lié à un domaine Active Directory, les objets de stratégie de groupe Active Directory ont la priorité sur les stratégies locales. d. ADM vs ADMX Les fichiers ADM fournissent des modèles de définition pour une grande partie des éléments disponibles dans une stratégie de groupe. Bien que celle ci ne soit évidemment pas entièrement contrôlée par les fichiers ADM, ils sont tout de même responsables de tous les éléments situés sous Configuration de l ordinateur/de l utilisateur Modèles d administration. Malgré leurs qualités, ces fichiers ADM présentent quand même quelques inconvénients : Chaque fois qu un nouvel objet GPO est généré, tous les fichiers ADM qui y sont utilisés sont copiés dans le dossier Adm (qui se trouve dans le dossier SYSVOL) ; chaque objet pesant en moyenne 5 Mo. La multiplication des GPO entraîne donc un grand nombre de fichiers modèles en double, ce qui accroît la quantité de données à répliquer entre les contrôleurs de domaine. Les fichiers ADM sont dépendants de la langue dans laquelle ils sont créés, ce qui pose quelques problèmes pour les sociétés qui ne sont pas Franco française. Le nouveau modèle de stratégie de groupe résout ces inconvénients en introduisant un nouveau format XML pour les fichiers de définition de stratégie. Comme les fichiers ADMX sont indépendants de la langue, ils s accompagneront d un ou de plusieurs fichiers ADML spécifiques à la langue. Le format ADMX permet également la mise en œuvre d un dépôt centralisé pour tous les modèles. Ainsi, on évite la réplication de doublon et on facilite la mise à jour des fichiers. Windows 2008 est livré avec environ 150 fichiers ADMX (et autant de fichiers ADML) pour remplacer les 6 à 8 fichiers ADM fournis dans les versions précédentes de Windows. Ces fichiers sont stockés dans le répertoire %SystemRoot% \PolicyDefinitions et les fichiers ADML sont stockés dans un sous répertoire spécifique à la langue (en US pour l anglais américain, ou FR pour le français)

158 Migration des fichiers Adm L utilitaire ADMX Migrator (go.microsoft.com/fwlink/?linkid=77409) est un outil gratuit, développé par FullArmor Corporation et mis à la disposition de Microsoft sous licence, offrant deux avantages principaux : Il permet de créer vos propres fichiers ADMX personnalisés. Il peut convertir vos anciens fichiers ADM au format ADMX. ADMX Migrator propose deux méthodes de conversion : par le biais de l éditeur ou à l aide d un programme de ligne de commande. e. Console de gestion des stratégies de groupe La console de gestion des stratégies de groupe, ou GPMC, était disponible en téléchargement pour Windows XP et Windows Server La GPMC est maintenant directement intégrée à Windows 2008 sous la forme d une fonctionnalité à ajouter. f. Stratégies de groupe Windows 2008 Le premier élément notable est le nouveau découpage qui comprend Stratégies et Préférences. Le deuxième élément est le nombre considérable de paramètres manipulables. Dans notre cas, nous allons nous intéresser uniquement aux nouvelles stratégies propres à TSE

159 Les stratégies ordinateur Section Composants Windows\Services Terminal Server\Terminal Server\Connexions Autoriser le démarrage distant de programmes non répertoriés Ce paramètre de stratégie permet de spécifier si des utilisateurs distants peuvent démarrer tout programme sur le serveur Terminal Server lorsqu ils entreprennent une session à distance, ou s ils peuvent uniquement démarrer des programmes répertoriés dans la liste Programmes RemoteApp. Vous pouvez contrôler quels sont les programmes, sur un serveur Terminal Server, qui peuvent être démarrés à distance en utilisant le Gestionnaire RemoteApp TS pour créer une liste des programmes RemoteApp. Par défaut, seuls les programmes figurant dans la liste Programmes RemoteApp peuvent être mis en route lorsqu un utilisateur débute une session à distance. Si vous activez ce paramètre de stratégie, les utilisateurs distants peuvent démarrer n importe quel programme sur le serveur Terminal Server lorsqu ils entreprennent une session à distance. Par exemple, un utilisateur distant peut le faire en spécifiant le chemin de l exécutable du programme au moment de la connexion à l aide du client Connexion Bureau à distance. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs distants peuvent uniquement démarrer des programmes répertoriés dans la liste Programmes RemoteApp dans le Gestionnaire RemoteApp TS lorsqu ils activent une session distante. Configurer l intervalle de conservation des connexions - 6 -

160 Ce paramètre de stratégie vous permet d entrer un intervalle de conservation pour garantir que l état de la session sur le serveur Terminal Server est cohérent avec l état du client. Après la perte de la connexion à un serveur Terminal Server par un client Terminal Server, la session sur le serveur Terminal Server peut rester active au lieu de passer à un état déconnecté, même si le client est physiquement déconnecté du serveur Terminal Server. Si le client se connecte à nouveau sur le même serveur Terminal Server, une nouvelle session est susceptible d être établie (si les services Terminal Server sont configurés pour autoriser plusieurs sessions), et la session d origine peut encore être active. Si vous activez ce paramètre de stratégie, vous devez entrer un intervalle de conservation. L intervalle de conservation détermine la fréquence (en minutes) à laquelle le serveur vérifie l état de la session. La plage des valeurs que vous pouvez entrer est de 1 à Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, aucun intervalle de conservation n est défini et le serveur ne vérifiera pas l état de la session. Limiter le nombre de connexions Spécifie si les services Terminal Server limitent le nombre de connexions simultanées au serveur. Vous pouvez utiliser ce paramètre pour limiter le nombre de sessions à distance qui peuvent être actives sur un serveur. Si ce nombre est dépassé, les utilisateurs supplémentaires qui tentent de se connecter reçoivent un message d erreur leur indiquant que le serveur est occupé et de réessayer plus tard. La limitation du nombre de sessions améliore les performances car un nombre moins élevé de sessions nécessite moins de ressources système. Par défaut, les serveurs Terminal Server autorisent un nombre illimité de sessions à distance et le Bureau à distance pour administration autorise deux sessions à distance. Pour utiliser ce paramètre, entrez le nombre maximal de connexions que vous souhaitez autoriser pour le serveur. Pour spécifier un nombre illimité de connexions, tapez Si l état est défini sur Activé, le nombre maximal de connexions est limité au nombre spécifié cohérent avec la version de Windows et le mode des services Terminal Server qui s exécutent sur le serveur. Si vous désactivez ce paramètre ou ne le configurez pas, les limites du nombre de connexions ne sont pas appliquées au niveau de la stratégie de groupe. Section Composants Windows\Services Terminal Server\Client Connexion Bureau à distance Configurer l authentification du serveur pour le client Cette stratégie indique si le client peut quand même établir une connexion au Terminal Server même s il ne peut l authentifier. Si cette stratégie est activée, les paramètres suivant peuvent être définis : Toujours connecter, même si l authentification échoue M avertir si l authentification échoue Ne pas connecter si l authentification échoue Si cette stratégie est désactivée ou non configurée, la configuration spécifiée dans le fichier.rdp ou le client d accès distant sera utilisée. Demander des informations d identification sur l ordinateur client Ce paramètre de stratégie détermine si un utilisateur est invité à fournir sur l ordinateur client des informations d identification pour établir une connexion à distance à un serveur Terminal Server. Si vous activez ce paramètre de stratégie, un utilisateur est invité à fournir sur l ordinateur client, plutôt que sur le serveur Terminal Server, des informations d identifications pour établir une connexion à distance à un serveur Terminal Server. Si les informations d identification de l utilisateur sont enregistrées sur l ordinateur client, l utilisateur n est pas invité à les fournir de nouveau. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, la version du système - 7 -

161 d exploitation du serveur Terminal Server stipule lorsqu un utilisateur est invité à fournir des informations d identification pour établir une connexion à distance à un serveur Terminal Server. Pour Windows 2000 et Windows Server 2003, un utilisateur est invité sur le serveur Terminal Server à fournir des informations d identification pour établir une connexion à distance. Pour Windows Server 2008, un utilisateur est convié sur l ordinateur client à fournir des informations d identification pour établir une connexion à distance. Empêcher la mise à jour de licence Ce paramètre de stratégie permet d indiquer la version de la licence d accès client (CAL) des services Terminal Server (TS) délivrée, par un serveur de licences des services Terminal Server, au client qui se connecte aux serveurs Terminal Server exécutant d autres systèmes d exploitation Windows. Un serveur de licences tente de fournir la CAL TS la plus appropriée à une connexion. Par exemple, un serveur de licences Windows Server 2008 tente de délivrer une CAL TS Windows Server 2008 au client qui se connecte à un serveur Terminal Server exécutant Windows Server 2008 et essaie de délivrer une CAL TS Windows Server 2003 à un serveur Terminal Server exécutant Windows Server Par défaut, si la CAL TS la plus appropriée n est pas disponible pour une connexion, un serveur de licences Windows Server 2008 délivre une CAL TS Windows Server 2008, si elle existe, aux clients suivants : Client se connectant à un serveur Terminal Server Windows Server Client se connectant à un serveur Terminal Server Windows Si vous activez ce paramètre de stratégie, le serveur de licences délivre une CAL TS au client uniquement si aucune CAL TS appropriée n est disponible pour le serveur Terminal Server. Si le client a déjà reçu une CAL TS temporaire qui a expiré depuis, il ne peut pas se connecter au serveur Terminal Server, sauf si la période de grâce de la licence du serveur Terminal Server n est pas échue. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le serveur de licences adopte le comportement par défaut décrit ci dessus. Groupe de sécurité du serveur de licences Ce paramètre de stratégie permet de spécifier les serveurs Terminal Server auxquels un serveur de licences des services Terminal Server offre des licences d accès client (CAL, Client Access License) aux services Terminal Server (TS). Vous pouvez utiliser ce paramètre de stratégie pour gérer les serveurs Terminal Server pour lesquels le serveur de licences des services Terminal Server délivre les CAL TS. Par défaut, un serveur de licences délivre une CAL TS à tous les serveurs Terminal Server qui en font la demande. Si vous activez ce paramètre de stratégie et l appliquez à un serveur de licences des services Terminal Server, le serveur de licences répondra uniquement aux demandes de CAL TS issues des serveurs Terminal Server dont les comptes d ordinateur sont membres du groupe Ordinateurs Terminal Server sur le serveur de licences. Par défaut, le groupe Ordinateurs Terminal Server est vide. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le serveur de licences des services Terminal Server délivre une CAL TS à tous les serveurs Terminal Server qui en font la demande. Le groupe Ordinateurs Terminal Server n est ni supprimé, ni modifié d une quelconque façon par la désactivation ou la non configuration de ce paramètre de stratégie. Section Composants Windows\Services Terminal Server\Terminal Server\Délais d expiration des sessions Définir la limite de temps pour la fermeture de sessions RemoteApp Ce paramètre de stratégie permet de préciser combien de temps la session RemoteApp d un utilisateur restera dans un état déconnecté avant que la session du serveur Terminal Server ne soit fermée. Par défaut, si un utilisateur ferme un programme RemoteApp, la session est déconnectée du serveur Terminal Server

162 Si vous activez ce paramètre de stratégie, lorsqu un utilisateur ferme un programme RemoteApp, la session RemoteApp reste dans un état déconnecté jusqu à ce que la limite de temps que vous avez spécifiée soit atteinte. Lorsque cette limite est arrivée, la session RemoteApp est fermée sur le serveur Terminal Server. Si l utilisateur démarre un programme RemoteApp avant que la limite de temps n ait aboutie, l utilisateur se reconnecte à la session déconnectée sur le serveur Terminal Server. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, lorsqu un utilisateur ferme un programme RemoteApp, la session est déconnectée du serveur Terminal Server. Section Composants Windows\Services Terminal Server\Terminal Server\Gestionnaire de licences Définir le mode de concession de licences des services Terminal Server Ce paramètre de stratégie permet de déterminer le type de licence d accès client (CAL) des services Terminal Server (TS) nécessaire à la connexion à ce serveur Terminal Server. Vous pouvez utiliser ce paramètre de stratégie pour sélectionner l un des deux modes d octroi de licence : par utilisateur ou par périphérique. Le mode de licence par utilisateur impose que chaque compte d utilisateur qui se connecte à ce serveur Terminal Server dispose d une CAL TS par utilisateur. Le mode de licence par périphérique impose que chaque périphérique qui se connecte à ce serveur Terminal Server dispose d une CAL TS par périphérique. Si vous activez ce paramètre de stratégie, le mode de licence que vous y indiquez a priorité sur le mode de licence stipulé lors de l installation des services Terminal Server ou dans l outil de configuration des services Terminal Server. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le mode de licence déterminé lors de l installation des services Terminal Server ou dans l outil de configuration des services Terminal Server est utilisé. Section Composants Windows\Services Terminal Server\Terminal Server\Redirection de l imprimante Ne pas définir l imprimante par défaut du client pour être l imprimante par défaut dans une session Ce paramètre de stratégie permet de spécifier si l imprimante par défaut du client est définie automatiquement en tant qu imprimante par défaut d une session Terminal Server. Par défaut, les services Terminal Server désignent automatiquement l imprimante par défaut du client comme imprimante par défaut d une session Terminal Server. Vous pouvez utiliser ce paramètre pour modifier ce comportement. Si vous activez ce paramètre de stratégie, l imprimante par défaut est l imprimante indiquée sur l ordinateur distant. Si vous désactivez ce paramètre de stratégie, le serveur Terminal Server mappe automatiquement l imprimante par défaut du client et la définit comme imprimante par défaut au moment de la connexion. Si vous ne configurez pas ce paramètre de stratégie, l imprimante par défaut n est pas spécifiée au niveau de la stratégie de groupe. Cependant, un administrateur peut configurer l imprimante par défaut pour les sessions client en utilisant l outil de configuration des services Terminal Server. Rediriger uniquement l imprimante cliente par défaut Ce paramètre de stratégie permet de déterminer si l imprimante cliente par défaut est la seule imprimante redirigée dans les sessions des services Terminal Server. Si vous activez ce paramètre de stratégie, seule l imprimante cliente par défaut est réorientée dans les sessions Terminal Server. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, toutes les imprimantes clientes sont réacheminées dans les sessions des services Terminal Server

163 Utiliser d abord le pilote d imprimante de la fonction d impression facile des services Terminal Server Ce paramètre de stratégie vous permet de spécifier si le pilote de la fonction d impression facile des services Terminal Server est d abord utilisé pour installer toutes les imprimantes clientes. Si vous activez ou ne configurez pas ce paramètre de stratégie, le serveur Terminal Server tente d abord d exploiter le pilote de la fonction d impression facile des services Terminal Server pour installer toutes les imprimantes clientes. Si pour une raison quelconque le pilote d imprimante de la fonction d impression facile des services Terminal Server ne peut pas être employé, un pilote d imprimante sur le serveur Terminal Server correspondant à l imprimante cliente est utilisé. Si le serveur Terminal Server n a pas de pilote d imprimante correspondant à l imprimante cliente, l imprimante cliente n est pas disponible pour la session des services Terminal Server. Si vous désactivez ce paramètre de stratégie, le serveur Terminal Server tente de trouver un pilote d imprimante adéquat pour installer l imprimante cliente. Si le serveur Terminal Server n a pas de pilote d imprimante correspondant à l imprimante cliente, il tente d utiliser le pilote de la fonction d impression facile des services Terminal Server pour installer l imprimante cliente. Si pour une raison quelconque le pilote d imprimante de la fonction d impression facile des services Terminal Server ne peut pas être appliqué, l imprimante cliente n est pas disponible pour la session des services Terminal Server. Si le paramètre de stratégie Ne pas autoriser la redirection d une imprimante cliente est activé, le paramètre de stratégie Utiliser d abord le pilote d imprimante de la fonction d impression facile des services Terminal Server est ignoré. Section Composants Windows\Services Terminal Server\Terminal Server\Redirection de périphérique et de ressource Ne pas autoriser la redirection de périphérique Plug and Play Ce paramètre de stratégie vous permet de contrôler la redirection de périphériques Plug and Play pris en charge, tels que des appareils mobiles Windows, vers l ordinateur distant dans une session de services Terminal Server. Par défaut, les services Terminal Server autorisent le réacheminement de périphériques Plug and Play pris en charge. Les utilisateurs peuvent recourir à l option Autres sur l onglet Ressources locales de Connexion Bureau à distance pour choisir les périphériques pris en charge à aiguiller vers l ordinateur distant. Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas rediriger leurs périphériques Plug and Play pris en charge vers l ordinateur distant. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, les utilisateurs peuvent réorienter leurs périphériques Plug and Play pris en charge vers l ordinateur distant. Section Composants Windows\Services Terminal Server\Terminal Server\Sécurité Modèle de certificat d authentification serveur Ce paramètre de stratégie vous permet de spécifier le nom du modèle de certificat qui détermine le certificat sélectionné automatiquement pour authentifier un serveur Terminal Server. Un certificat est nécessaire pour authentifier un serveur Terminal Server lorsque SSL (TLS 1.0) est utilisé pour sécuriser les communications entre un client et un serveur Terminal Server pendant des connexions RDP (Remote Desktop Protocol). Si ce paramètre de stratégie est activé, vous devez indiquer un nom de modèle de certificat. Seuls les certificats créés à l aide du modèle de certificat spécifié sont pris en compte lors de la sélection automatique d un certificat pour authentifier le serveur Terminal Server. Un certificat est sélectionné automatiquement uniquement si aucun certificat n a été précisé. S il n existe aucun certificat créé à l aide du modèle de certificat spécifié, le serveur Terminal Server émet une demande d inscription de certificat et utilise le certificat actif jusqu à ce que la demande soit traitée. S il existe plusieurs certificats créés à l aide du modèle de certificat privilégié, le certificat dont la date d expiration est la plus éloignée et qui correspond au nom actuel du serveur Terminal Server

164 est sélectionné. Ne pas autoriser les administrateurs locaux à personnaliser les autorisations Stipule de désactiver ou non les droits d administrateur pour personnaliser les autorisations de sécurité dans l outil de configuration des services Terminal Server. Vous pouvez utiliser ce paramètre pour empêcher les administrateurs d apporter des modifications aux groupes d utilisateurs dans l onglet Autorisations de l outil de configuration des services Terminal Server. Par défaut, les administrateurs peuvent effectuer de telles modifications. Si l état est défini sur Activé, l onglet Autorisations de l outil de configuration des services Terminal Server ne peut pas être utilisé pour personnaliser les descripteurs de sécurité par connexion ni pour modifier les descripteurs de sécurité par défaut pour un groupe existant. Tous les descripteurs de sécurité sont en lecture seule. Si l état est défini sur Désactivé ou sur Non configuré, les administrateurs du serveur ont des privilèges illimités de lecture et d écriture sur les descripteurs de sécurité de l utilisateur dans l onglet Autorisations de l outil de configuration des services Terminal Server. Nécessite l utilisation d une couche de sécurité spécifique pour les connexions distantes (RDP) Détermine s il faut requérir l utilisation d une couche de sécurité spécifique pour sécuriser les communications entre les clients et les serveurs Terminal Server lors des connexions RDP (Remote Desktop Protocol). Si vous activez ce paramètre, toutes les communications entre les clients et les serveurs Terminal Server doivent utiliser la méthode de sécurité spécifiée dans ce paramètre. Les méthodes de sécurité suivantes sont disponibles : Négocier : la méthode Négocier applique la méthode la plus sécurisée qui est prise en charge par le client. Si TLS (Transport Layer Security) version 1.0 est prise en charge, elle est utilisée pour authentifier le serveur Terminal Server. Si TLS n est pas pris en charge, le chiffrement RDP (Remote Desktop Protocol) natif est employé pour sécuriser les communications, mais le serveur Terminal Server n est pas authentifié. RDP : la méthode RDP utilise le chiffrement RDP natif pour sécuriser les communications entre le client et le serveur Terminal Server. Si vous sélectionnez cette valeur, le serveur Terminal Server n est pas authentifié. SSL (TLS 1.0) : la méthode SSL nécessite l utilisation de TLS 1.0 pour authentifier le serveur Terminal Server. Si TLS n est pas pris en charge, la connexion échoue. Si vous désactivez ce paramètre ou ne le configurez pas, la méthode de sécurité à utiliser pour les connexions à distance aux serveurs Terminal Server n est pas appliquée via la stratégie de groupe. Vous pouvez cependant configurer une méthode de sécurité obligatoire pour ces connexions à l aide de l outil de configuration des services Terminal Server. Requérir des communications RPC sécurisées Précise si un serveur Terminal Server requiert des communications RPC sécurisées avec tous les clients ou autorise des communications non sécurisées. Vous pouvez utiliser ce paramètre pour renforcer la sécurité des communications RPC avec les clients, en autorisant seulement les demandes authentifiées et chiffrées. Si l état est défini sur Activé, le serveur Terminal Server accepte les demandes des clients RPC qui prennent en charge les demandes sécurisées et n autorise pas les communications non sécurisées avec les clients non approuvés. Si l état est défini sur Désactivé, le serveur Terminal Server requiert toujours la sécurité pour tout le trafic RPC. Cependant, les communications non sécurisées sont autorisées pour les clients RPC qui ne répondent pas à la demande. Si l état est défini sur Non configuré, les communications non sécurisées sont autorisées

165 Requérir l authentification utilisateur pour les connexions à distance à l aide de l authentification au niveau du réseau Ce paramètre de stratégie permet de préciser s il faut requérir l authentification utilisateur pour les connexions à distance au serveur Terminal Server en utilisant l authentification au niveau du réseau. Ce paramètre de stratégie renforce la sécurité en imposant l authentification utilisateur plus tôt dans le processus de connexion à distance. Si vous activez ce paramètre de stratégie, seuls les ordinateurs clients qui prennent en charge l authentification au niveau du réseau peuvent se connecter au serveur Terminal Server. Pour déterminer si un ordinateur client prend en charge l authentification au niveau du réseau, démarrez Connexion Bureau à distance sur l ordinateur client, cliquez sur l icône dans le coin supérieur gauche de la boîte de dialogue Connexion Bureau à distance, puis cliquez sur À propos de. Dans la boîte de dialogue À propos de la connexion Bureau à distance, recherchez l expression «Authentification au niveau du réseau prise en charge». Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, l authentification au niveau du réseau n est pas nécessaire pour l authentification utilisateur avant d autoriser les connexions à distance au serveur Terminal Server. Vous pouvez demander que l authentification au niveau du réseau soit requise pour l authentification utilisateur à l aide de l outil de configuration des services Terminal Server ou de l onglet Utilisation à distance dans Propriétés système. Section Composants Windows\Services Terminal Server\Terminal Server\Session Broker TS Configurer le nom du serveur Session Broker TS Ce paramètre de stratégie permet de déterminer le serveur Session Broker des services Terminal Server (TS) utilisé par le serveur Terminal Server pour suivre et rediriger les sessions utilisateurs d une batterie de serveurs Terminal Server à charge équilibrée. Le serveur spécifié doit exécuter le service Session Broker TS. Tous les serveurs Terminal Server d une batterie à charge équilibrée doivent utiliser le même serveur Session Broker TS. Si vous activez ce paramètre de stratégie, vous devez indiquer le serveur Session Broker TS par son nom d hôte, son adresse IP ou son nom de domaine complet (FDQN). Si vous précisez, pour le serveur Session Broker TS, un nom ou une adresse IP non valide, un message d erreur est enregistré dans l observateur d événements sur le serveur Terminal Server. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, vous pouvez définir le nom ou l adresse IP du serveur Session Broker TS à l aide de l outil de configuration des services Terminal Server ou du fournisseur WMI des services Terminal Server. Pour Windows Server 2008, ce paramètre de stratégie est pris en charge par Windows Server 2008 Standard et éditions supérieures. Un serveur Terminal Server exécutant Windows Server 2008 peut utiliser uniquement un serveur Session Broker TS exécutant Windows Server Ce paramètre est effectif uniquement lorsque le paramètre joindre le service Session Broker TS est activé ou lorsque le serveur Terminal Server est configuré pour se joindre à Session Broker TS à l aide de l outil de configuration des services Terminal Server ou du fournisseur WMI des services Terminal Server. Pour être membre actif d une batterie de serveurs Terminal Server compatible Session Broker TS, le compte d ordinateur de chaque serveur Terminal Server de la batterie doit être membre du groupe local Ordinateurs annuaire de sessions sur le serveur Session Broker TS

166 Configurer le nom de la batterie de serveurs Session Broker TS Ce paramètre de stratégie permet de spécifier le nom d une batterie à joindre au service Session Broker des services Terminal Server. Le service Session Broker des services Terminal Server (TS) utilise le nom de la batterie de serveurs pour déterminer les serveurs Terminal Server appartenant à la même batterie de serveurs Terminal Server. Vous devez donc utiliser le même nom de batterie pour tous les serveurs Terminal Server qui appartiennent à la même batterie de serveurs à charge équilibrée. Le nom de la batterie ne doit pas nécessairement correspondre à un nom des services de domaine Active Directory (AD DS). Si vous donnez un autre nom à la batterie, une nouvelle batterie de serveurs est créée dans Session Broker TS. Si vous indiquez le nom d une batterie existante, le serveur se joint à cette batterie dans Session Broker TS. Si vous activez ce paramètre de stratégie, vous devez indiquer le nom d une batterie dans Session Broker TS. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le nom de la batterie n est pas spécifié dans la stratégie de groupe. Dans ce cas, vous pouvez définir le nom de la batterie à l aide de l outil de configuration des services Terminal Server ou du fournisseur WMI des services Terminal Server. Pour Windows Server 2008, ce paramètre de stratégie est pris en charge par Windows Server 2008 Standard et éditions supérieures. Un serveur Terminal Server exécutant Windows Server 2008 peut utiliser uniquement un serveur Session Broker TS exécutant Windows Server Joindre le service Session Broker TS Ce paramètre de stratégie permet de stipuler si le serveur Terminal Server doit se joindre à une batterie de serveurs du service Session Broker des services Terminal Server. Le service Session Broker des services Terminal Server (TS) réalise le suivi des sessions utilisateurs et permet à un utilisateur de se reconnecter à sa session existante dans une batterie de serveurs Terminal Server à charge équilibrée. Pour participer à Session Broker TS, le service de rôle de serveur Terminal Server doit être installé sur le serveur. Si le paramètre de stratégie est activé, le serveur Terminal Server se joint à la batterie spécifiée dans le paramètre nom de la batterie de serveurs Session Broker TS. La batterie existe sur le serveur Session Broker TS indiqué dans le paramètre de stratégie Serveur Session Broker TS. Si vous désactivez ce paramètre de stratégie, le serveur ne se joint à aucune batterie de Session Broker TS et le suivi des sessions utilisateurs n a pas lieu. Si le paramètre est désactivé, vous ne pouvez pas utiliser l outil de configuration des services Terminal Server ou le fournisseur WMI des services Terminal Server pour joindre le serveur à Session Broker TS. Si le paramètre de stratégie n est pas configuré, il n est pas enregistré au niveau de la stratégie de groupe. Dans ce cas, vous pouvez configurer le serveur pour qu il se joigne à Session Broker TS à l aide de l outil de configuration des services Terminal Server ou du fournisseur WMI des services Terminal Server. Si vous activez ce paramètre, vous devez également activer les paramètres de stratégie Nom de la batterie de serveurs Session Broker TS et Serveur Session Broker TS ou les configurer à l aide de l outil de configuration des services Terminal Server ou du fournisseur WMI des services Terminal Server. Pour Windows Server 2008, ce paramètre de stratégie est pris en charge par Windows Server 2008 Standard et éditions supérieures. Utiliser l équilibrage de charge de Session Broker TS

167 Ce paramètre de stratégie permet de spécifier s il convient d utiliser la fonction Équilibrage de charge de Session Broker TS pour répartir la charge entre des serveurs dans une batterie de serveurs Terminal Server. Si vous activez ce paramètre de stratégie, Session Broker TS redirige les utilisateurs qui n ont pas de session en cours vers le serveur Terminal Server de la batterie de serveurs ayant le moins de sessions. Le comportement de réorientation pour les utilisateurs ayant des sessions en cours n est pas affecté. Si le serveur est configuré pour utiliser Session Broker TS, les utilisateurs ayant une session en cours sont redirigés vers le serveur Terminal Server où réside leur session. Si vous désactivez ce paramètre de stratégie, les utilisateurs qui n ont pas de session en cours se connectent au premier serveur Terminal Server auquel ils se sont initialement connectés. Si vous ne configurez pas ce paramètre de stratégie, vous pouvez configurer le serveur Terminal Server pour qu il participe à l équilibrage de charge de Session Broker TS à l aide de l outil de configuration des services Terminal Server ou du fournisseur WMI des services Terminal Server. Utiliser la redirection d adresse IP Ce paramètre de stratégie permet de spécifier la méthode de redirection à utiliser lorsqu un périphérique client se reconnecte à une session existante des services Terminal Server dans une batterie de serveurs Terminal Server à charge équilibrée. Ce paramètre s applique à un serveur Terminal Server configuré pour utiliser Session Broker TS, et non au serveur Session Broker des services Terminal Server (TS). Si vous activez ce paramètre de stratégie, un client des services Terminal Server interroge Session Broker TS et est redirigé vers sa session existante à l aide de l adresse IP du serveur Terminal Server où elle se trouve. Pour utiliser cette méthode de redirection, les ordinateurs clients doivent être capables de se connecter directement par adresse IP aux serveurs Terminal Server de la batterie. Si vous désactivez ce paramètre de stratégie, l adresse IP du serveur Terminal Server n est pas envoyée au client, mais incorporée à un jeton. Lorsqu un client se reconnecte à l équilibreur de charge, le jeton de routage est utilisé pour rediriger le client vers sa session existante sur le serveur Terminal Server correct de la batterie. Désactivez ce paramètre uniquement lorsque votre solution d équilibrage de charge réseau prend en charge l utilisation des jetons de routage Session Broker TS et lorsque vous ne voulez pas que les clients se connectent directement par adresse IP aux serveurs Terminal Server de la batterie à charge équilibrée. Si vous ne configurez pas ce paramètre de stratégie, le paramètre Utiliser la redirection d adresse IP de l outil de configuration des services Terminal Server est utilisé. Par défaut, ce paramètre est activé dans l outil de configuration des services Terminal Server. Pour Windows Server 2008, ce paramètre de stratégie est pris en charge par Windows Server 2008 Standard et éditions supérieures. Un serveur Terminal Server exécutant Windows Server 2008 peut utiliser uniquement un serveur Session Broker TS exécutant Windows Server Section Système\Délégation d information d identification Cette série de paramètres de stratégie s adresse aux applications utilisant le composant Cred SSP (par exemple : Terminal Server). Autoriser la délégation d informations d identification enregistrée. Autoriser la délégation d informations d identification par défaut. Autoriser la délégation de nouvelles informations d identification. Autoriser les informations d identification enregistrées avec l authentification de serveur NTLM uniquement

168 Autoriser les nouvelles informations d identification avec l authentification de serveur NTLM uniquement. Refuser la délégation d informations d identification enregistrée. Refuser la délégation d informations d identification par défaut. Refuser la délégation de nouvelles informations d identification. Section Système\Profil des utilisateurs Nombre maximal de tentatives de déchargement et de mise à jour du profil utilisateur Détermine combien de fois le système essaie de décharger et de mettre à jour la partie Registre d un profil utilisateur. Quand le nombre de tentatives spécifié par ce paramètre est atteint, le système cesse d essayer. En conséquence, il est possible que le profil utilisateur ne soit pas à jour et que les profils utilisateur local et itinérant ne correspondent pas. Quand un utilisateur ferme une session sur l ordinateur, le système décharge la partie du registre relative à l utilisateur (HKEY_CURRENT_USER) vers un fichier (NTUSER.DAT) et le met à jour. Cependant, si un autre programme ou service effectue une lecture ou une modification du registre, le système ne peut pas le décharger. Le système essaie plusieurs fois (avec une fréquence d une fois par seconde) de décharger et de mettre à jour les paramètres du registre. Par défaut, le système répète ces tentatives périodiques 60 fois (donc pendant une minute). Si vous activez ce paramètre, vous pouvez régler le nombre de fois où le système va tenter de décharger et de mettre à jour les paramètres du registre pour l utilisateur. (Vous ne pouvez pas modifier la fréquence des tentatives.) Si vous désactivez ce paramètre ou ne le configurez pas, le système répète ses tentatives 60 fois. Les stratégies utilisateur Section Composants Windows\Services Terminal Server\Passerelle TS Définir la méthode d authentification de la passerelle TSE Spécifie la méthode d authentification que les clients doivent utiliser lors des tentatives de connexion à un serveur Terminal Server via un serveur de passerelle TS. Vous pouvez appliquer ce paramètre de stratégie ou permettre aux utilisateurs de le remplacer. Par défaut, quand vous activez ce paramètre de stratégie, il est appliqué. Lorsqu il est appliqué, les utilisateurs ne peuvent pas le substituer, même en sélectionnant l option Utiliser ces paramètres de serveur de passerelle TS sur le client. Pour permettre aux utilisateurs de remplacer ce paramètre de stratégie, activez la case à cocher Autoriser les utilisateurs à modifier ce paramètre. Dans ce cas, les utilisateurs peuvent spécifier une autre méthode d authentification en configurant les paramètres sur le client, en utilisant un fichier RDP ou en recourant à un script HTML. Si les utilisateurs n indiquent pas d autre méthode d authentification, celle définie dans ce paramètre de stratégie est utilisée par défaut. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, la méthode d authentification spécifiée par l utilisateur est employée si une telle méthode a été stipulée. Si aucune méthode d authentification n est précisée, le protocole NTLM activé sur le client ou une carte à puce peut servir à l authentification. Activer la connexion via une passerelle TS Si vous activez ce paramètre de stratégie, lorsque les clients des services Terminal Server ne parviennent pas à se connecter directement à un ordinateur distant (serveur Terminal Server ou ordinateur avec Bureau à distance activé), ils tentent de se connecter à l ordinateur distant par l intermédiaire d un serveur de passerelle TS. Dans ce cas, les clients essaient de se connecter au serveur de passerelle TS spécifié dans le paramètre de stratégie Définir l adresse du serveur de passerelle TS

169 Vous pouvez forcer l application de ce paramètre de stratégie ou permettre aux utilisateurs de le remplacer. Par défaut, lorsque vous activez ce paramètre de stratégie, il est appliqué. Dans ce cas, les utilisateurs ne peuvent pas le remplacer, même en sélectionnant l option Utiliser ces paramètres de serveur de passerelle TS sur le client. Pour permettre aux utilisateurs de remplacer ce paramètre de stratégie, activez la case à cocher Autoriser les utilisateurs à modifier ce paramètre. Dans ce cas, les utilisateurs du client peuvent choisir de ne pas se connecter par l intermédiaire de la passerelle TS en sélectionnant l option Ne pas utiliser un serveur de passerelle TS. Les utilisateurs peuvent définir une méthode de connexion en configurant des paramètres sur le client, en utilisant un fichier RDP ou en recourant à un script HTML. Si les utilisateurs ne précisent pas de méthode de connexion, celle indiquée dans ce paramètre de stratégie est utilisée par défaut. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, les clients n utilisent pas l adresse du serveur de passerelle TS spécifiée dans le paramètre de stratégie Définir l adresse du serveur de passerelle TS. Si un serveur de passerelle TS est indiqué par l utilisateur, une tentative de connexion du client est effectuée par l intermédiaire de ce serveur de passerelle TS. Définir l adresse du serveur de passerelle TS Détermine l adresse du serveur de passerelle TS que les clients doivent utiliser lors des tentatives de connexion à un serveur Terminal Server. Vous pouvez forcer l application de ce paramètre de stratégie ou permettre aux utilisateurs de le remplacer. Par défaut, lorsque vous activez ce paramètre de stratégie, il est appliqué. Dans ce cas, les utilisateurs ne peuvent pas remplacer ce paramètre, même en sélectionnant l option Utiliser ces paramètres de serveur de passerelle TS sur le client

170 Stratégies d accès et sécurité du système Microsoft introduit avec Windows Server 2008 de nombreuses nouvelles fonctionnalités et technologies dont les principaux objectifs sont d améliorer le niveau de sécurité des systèmes fonctionnant sous Windows. L approche retenue pour cela, par les architectes de Microsoft, est de ne minimiser aucun des aspects qui pourront permettre de renforcer la sécurité de l ensemble de l infrastructure du système d information. 1. Nouvelle version du noyau NT Windows Server 2008 et Windows Vista intègrent une nouvelle version du noyau NT qui passe désormais à la version 6.0. La version station de travail et la version serveur de ce nouveau système d exploitation partagent une grande partie de leur code. Cette stratégie de développement, qui est en vigueur depuis NT, permet de garantir un haut niveau de compatibilité et de fonctionnalités, tout en assurant un niveau de maintenance et de support homogène entre les serveurs et l ensemble des postes de travail du réseau. Ainsi, tous les systèmes de la même famille ont les mêmes fondamentaux et peuvent être gérés de manière uniforme avec les mêmes outils et, plus ou moins, les mêmes connaissances. Suivant le même principe de conception et de développement, les grandes améliorations apportées à Windows Vista en matière de sécurité se retrouvent également dans Windows Du point de vue du système et de son noyau, les équipes de développement de Microsoft utilisent depuis Windows Server 2003 un cycle de développement sécurisé Security Development Livecycle, lequel est représenté, entre autre, par l acronyme SD3+C. Celui ci signifie «Secure by Design, Secure by Default, Secure in Deployment and Communication». Les principes de moindre privilège et d organisation des services en couches ont donc largement guidé le développement de Windows Server Restriction des comptes de services Il existe désormais des SID associés aux services qui garantissent que l identité utilisée est vraiment privée. Les accès aux ressources nécessaires à un service sont directement pris en charge par celui ci, lequel se chargera d appliquer les bonnes permissions. Cette fonctionnalité est très intéressante car il ne sera désormais plus du ressort de l administrateur de configurer les permissions des ressources critiques pour les limiter au strict nécessaire. 3. Environnement d exécution des programmes Windows Server 2008 utilise un nouveau système de gestion de la sécurité de l environnement d exécution des programmes. Cette fonctionnalité appelée Windows Integrity Control (WIC), protège le système d exploitation de l exécution de code de faible confiance. En fait, WIC rajoute un niveau de contrôle d intégrité supplémentaire aux permissions habituellement déclarées à l aide des listes de contrôles d accès (ACLs). WIC affecte un niveau d intégrité aux utilisateurs et aux objets de telle sorte qu il est possible d avoir un niveau de distinction supplémentaire, en plus du niveau de privilèges habituel. Lorsqu une ressource est accédée, le niveau d intégrité de l appelant est comparé à celui de l objet. Si le niveau de l appelant est inférieur à celui de l objet alors les opérations d écriture ou d effacement sont interdites. Ces contrôles sont prioritaires puisqu ils ont lieu avant même la vérification des ACLs. Dans le cas où les ACLs accorderaient plus de privilèges, le contrôle WIC interdira l opération si l appelant dispose d un niveau d intégrité inférieur à celui de l objet. 4. Authentifications IPsec et support de NAP Dans les versions précédentes de Windows, l association de sécurité IPsec était négociée à l aide du protocole IKE. Windows 2008 intègre, lui, le protocole Authenticated IP (AuthIP) qui ajoute des méthodes d authentification supplémentaires permettant la prise en charge de NAP (Network Access protection). L usage de certificats utilisateur, le support de l authentification kerberos et NTLMv2 pour les ordinateurs et les utilisateurs sont également au programme. Toutes ces évolutions permettent d authentifier les flux IPsec dans le contexte de l utilisateur et plus uniquement dans celui de la machine (sous Windows Server 2003, le protocole IKE ne supporte que les certificats de type ordinateur, l authentification Kerberos des comptes d ordinateur et les clés de type secret partagé)

171 Gestion des impressions Afin de bien comprendre tout l intérêt que peut présenter la mise en œuvre de TS Easy print, il me paraît important de faire un rappel sur la problématique des impressions dans un environnement TSE et quelles sont les solutions disponibles à ce jour. Avant d aborder la problématique des pilotes d impression, il me semble judicieux de repréciser le fonctionnement des impressions Windows, et par extension, celles sous TSE : Les impressions sous Windows Elles peuvent se découper en trois phases : Phase 1 : Application Windows Génération des données EMF (flux natif) Phase 2 : Sous système d impression Conversion EMF vers RAW Phase 3 : L impression Les données transformées sont transférées vers le périphérique d impression. L application Windows : L application génère elle même les données à imprimer, c est à dire la vue du document, à l aide des fonctions GDI. Le GDI va générer un métafichier au format EMF représentant le document à imprimer. Ce fichier EMF est rapide à générer, indépendant de l imprimante et nécessite peu d espace. Sous système d impression : Réception des données EMF. Détermination si l imprimante est réseau ou locale. Conversion du fichier EMF en format RAW (spécifique à l imprimante) à l aide des pilotes d impressions. Positionnement des données dans le spooler. Transfert du travail d impression (cas d une imprimante locale) Les données sont transférées du spooler vers l imprimante. Les impressions sous TSE - 1 -

172 Le fonctionnement global est identique, cependant il convient de distinguer deux cas : Accès depuis le serveur (imprimantes déclarées sur le serveur Ts) : Imprimantes locales (lpt, usb, tcpport,..) Imprimantes réseau accessibles depuis un partage (\\NomduServeur\NomDuPartage) Le fichier d impression est créé sur le serveur (étapes 1 à 3). Le travail est ensuite routé vers le serveur d impression (4). Conversion RAW et Transfert vers l imprimante (5 et 6). Avantages Bonne performance si le serveur d impression est sur le même Lan que l imprimante Fiabilité Pas de distinction entre les clients légers (terminaux) et les clients lourds (PC) Flux d impression distinct du flux Rdp (Qos Possible) Inconvénient Paramétrage de l imprimante selon le client Contrainte LAN/WAN - 2 -

173 Accès depuis le Client (imprimantes remappées) : Imprimantes connectées directement au poste de travail Imprimantes réseau Avantage L imprimante apparaît directement dans la session TSE de l utilisateur sans paramétrage spécifique. Inconvénients Données d impression créées sur le serveur TSE File d attente d impression gérée par le serveur TSE (problèmes de charge et de pilotes) Les données Raw transitent dans le flux rdp (dans un canal virtuel). À ce stade de la lecture, il serait tentant d aller au plus simple et de se contenter d activer la redirection des imprimantes locales dans la session TSE. Cependant, dans la vraie vie, tout n est pas aussi simple. En effet, pour que la redirection des imprimantes locales du client dans la session TSE fonctionne, le même pilote doit être présent sur le client et sur le serveur. Là où le problème se corse, c est lorsque le pilote du client n existe pas pour le système d exploitation du serveur ou pire qu il le rende instable (les écrans bleus furent monnaies courantes avec des pilotes fonctionnant en mode noyau). Afin de contourner le problème, de nombreux éditeurs proposent aujourd hui des pilotes dits universels (Thinprint, Citrix, Systancia et même Microsoft). Afin de bien comprendre en quoi ces pilotes sont universels, un petit tour d horizon des solutions existantes s impose : Tout d abord, le terme universel signifie que l on sera en mesure d imprimer sur la majorité des modèles d imprimantes. La plupart des pilotes dits universels utilisent une des trois techniques suivantes : Ce type de pilotes est le premier à avoir fait son apparition (avec Citrix Metaframe ou plus récemment Microsoft avec son «fallback driver») et s appuie en fait sur un pilote HP Laserjet 4 pour le Noir&Blanc et sur un HP Laserjet 4500 pour la couleur. Dans les faits, cette technique n a d universelle que le nom car il s agit surtout d un pilote de substitution

174 L inconvénient majeur de cette technique est que le pilote propose un paramétrage minimaliste, ce qui peut être frustrant quand on vient d acheter le dernier modèle multifonctions. Imprimante universelle basée sur le format EMF : Ce type d imprimante s appuie sur un concept simple qui consiste à dire : «pourquoi transférer un fichier RAW alors que l on pourrait transférer un fichier EMF». Pour bien comprendre le fonctionnement, prenons l exemple de la solution d imprimante universelle proposée par l éditeur Systancia dans son produit «Applidis UP». Impressions vers l imprimante Applidis installée sur le serveur TS (1 et 2). Le flux d impressions est capté par l imprimante (3). Les données d impressions sont compressées et transférées par le driver «Applidis Universal Printer» vers le client, via le canal Rdp (5). Le client Applidis reçoit le flux et rejoue l impression sur le client vers l imprimante souhaitée (6). Avantages Une seule imprimante installée sur le serveur TSE. Utilisation des pilotes d impressions locaux au client (avec toutes les fonctionnalités). Inconvénients - 4 -

175 Nécessite un client Windows ou un terminal évolué. Solution utilisable uniquement sur la plate forme Microsoft (Format EMF). Imprimante universelle basée sur le format PDF La dernière solution fonctionne sensiblement comme la précédente si ce n est qu elle utilise le format Adobe PDF. Le fichier EMF est transformé en PDF sur le serveur, puis envoyé au client qui le retransforme avant de l imprimer. Avantages Format disponible sur la majorité des systèmes. Taille des fichiers générés inférieurs au format EMF. Perte de qualité liée à la compression PDF. Options d impressions limitées à celles disponibles sur le pilote utilisé. Maintenant que les impressions dans un environnement TSE et les solutions disponibles n ont plus de secret pour vous, vous comprenez probablement mieux pourquoi foncer tête baissée dans la mise en place de son infrastructure TSE, sans y intégrer une réflexion de fond sur son système d impression risque de plomber les performances finales du système

176 Gestion des applications La gestion des applications avec TSE 2008 ne sera pas de tout repos. En effet, contrairement à ce que l on trouve avec des éditeurs tels que Citrix ou encore Systancia, TSE 2008 pêche par la faiblesse de ses outils d administration. En fait, la mise en œuvre d applications nécessite de solides connaissances Active Directory, et plus particulièrement la maîtrise des stratégies de groupe. Le déploiement d une application sous Windows 2008 devra suivre les étapes suivantes : Installer de manière identique les applications sur tous les serveurs de la Ferme. Publier l application dans le gestionnaire RemoteAPP sur un des serveurs de la Ferme. Exporter les paramètres RemoteApp vers les autres serveurs de la Ferme. Générer les packages de distribution (fichier rdp ou package MSI). Dans le cas d un déploiement par l Active Directory : Mettre en œuvre une stratégie de groupe pour l installation des applications sur les postes clients. L administration quotidienne ne sera pas des plus simples non plus, la faute là encore aux outils d administration qui ne permettent pas de gérer, de manière centralisée, les applications déployées dans la Ferme et encore moins de savoir facilement quels utilisateurs exploitent telle ou telle application. En outre, il n existe pas non plus d outils permettant de visualiser la charge des différents serveurs, ni même d obtenir des statistiques afin d effectuer des rapports d utilisation. Il n est pas possible non plus d interroger le session Broker afin d en connaître le contenu, ni même d effectuer dynamiquement son paramétrage. Enfin, les pré requis nécessaires pour les clients (PC ou terminaux) sont également un frein à l adoption de cette nouvelle mouture

177 PowerShell 1. Introduction Windows PowerShell, anciennement Microsoft Command Shell MSH, (nom de code Monad) est une interface en ligne de commande et un langage de script développé par Microsoft. Il est basé sur la programmation orientée objet et le Framework Microsoft.NET. PowerShell est un langage de script orienté objet qui s apparente plus à Perl qu à des langages de Shell, comme bash. Il n y a aucune ressemblance entre le PowerShell et le très simpliste langage batch hérité de MS DOS qui, il faut bien l avouer, faisait pâle figure face au Shell UNIX. Les buts de PowerShell sont multiples : être au moins égal sinon meilleur que le Shell UNIX, avoir une interopérabilité et une compatibilité avec les commandes et les scripts existants, une meilleure sécurité, une navigation approfondie (système de fichiers, base de registre, partage réseau...) et bien d autres encore. 2. Pré requis pour l installation.net 2.0 Windows Remote Management Package PowerShell 3. Fonctionnement Le PowerShell inclut ce que l on appelle les cmdlets (prononcer command lets) qui peuvent être simplement décrits comme des commandes. Les Cmdlets diffèrent des commandes des autres environnements de Scripting sur de nombreux points : Ce sont des instances d une classe.net et pas de simples exécutables. Ils peuvent être créés avec très peu de lignes de code. Des attributs sont employés pour identifier les paramètres d entrée ou pour gérer les redirections (pipeline). Des API sont proposées pour gérer l affichage ou les erreurs. Ils manipulent et fournissent des objets, plutôt que des flux (texte), en entrée et en sortie. Ils sont orientés enregistrement, traitant un seul objet à la fois. Pour avoir la liste des cmdlets (la liste est longue), il suffit d utiliser get command : - 1 -

178 Par exemple get process [a s]* retourne la liste des processus allant de a à s. 4. Règle de nommage La règle de nommage est simple et consiste en la composition d un verbe et d un nom, le tout séparé par un tiret ( ). Les noms représentent des ressources du système : ils identifient le type d objets sur lequel on opère. Pour nommer un cmdlet, on choisira de préférence des noms de substantifs spécifiques et on évitera l utilisation de noms génériques qui risquent fort d être déjà employés par PowerShell : Alias, Children, Command, Content, Drive, History, Item, Location, Object, Property, PropertyValue, Provider, RunSpace, Variable. Le verbe identifie l action que le cmdlet effectue : les concepteurs de PowerShell ont souhaité que les administrateurs système puissent effectuer 80 à 90% des opérations sur le système en utilisant moins de 50 verbes. Cette logique - 2 -

179 permet d apprendre, voire de deviner, rapidement quelles combinaisons utiliser sur un nouvel objet. 5. Exécution de Scripts Powershell Tout d abord un détail important, l extension d un script Powershell est.ps1. Ensuite, pour exécuter un script dans la console, il faudra composer avec les paramètres de sécurité sans quoi l exécution d un script donnera le résultat suivant : En fait, la couche de sécurité intègre un élément appelé politique d exécution, qui est positionné par défaut sur Resctricted (restreint), empêchant l exécution des scripts. La commande Get ExecutionPolicy permet de visualiser le niveau de sécurité actuel. Le niveau de sécurité peut être positionné avec la commande Set ExecutionPolicy et prendre les valeurs suivantes : Restricted Stratégie d exécution par défaut. Autorise l exécution de commandes individuelles, mais de scripts. AllSigned Les scripts peuvent être exécutés. Requiert la signature numérique d un éditeur approuvé sur tous les scripts et fichiers de configuration, y compris les scripts que vous écrivez sur l ordinateur local. Vous demande confirmation avant d exécuter des scripts provenant d éditeurs approuvés. Risque d exécuter des scripts signés, mais malveillants. RemoteSigned Les scripts peuvent être exécutés. Requiert la signature numérique d un éditeur approuvé sur les scripts et fichiers de configuration téléchargés à partir d Internet (y compris les programmes de messagerie électronique et de messagerie instantanée). Ne requiert pas de signatures numériques sur les scripts exécutés depuis l ordinateur local. Ne vous demande pas de confirmation avant d exécuter des scripts provenant d éditeurs approuvés. Unrestricted Les scripts non signés peuvent être exécutés. Les scripts et fichiers de configuration téléchargés à partir d Internet (y compris Microsoft Outlook, Outlook Express et Windows Messenger) sont exécutés après que vous ayez été informé de leur provenance

180 Risque d exécuter des scripts malveillants. Un autre élément déroutant au premier abord est qu il faudra spécifier le chemin complet vers le script pour procéder à son exécution même si l on est déjà positionné dans le bon répertoire (ou préfixer le script par./). Dans le cas contraire, l erreur ci après se produit : Enfin, l exécution d un script ou d un cmdlet peut également se faire sans démarrer la console PowerShell. L option noexit permet de ne pas fermer automatiquement la fenêtre d exécution à la fin de la commande. 6. PowerShell et WMI L accès à WMI est aussi simple que sous VBScript. PowerShell s appuie sur le référentiel WMI afin d accéder aux ressources physiques. Par exemple, la commande Get WmiObject sur la classe win32_logicaldisk permet d afficher les disques logiques de la machine puis le pipe redirige le résultat vers la commande format table qui met en forme le résultat : Ce rapide aperçu du PowerShell incitera, je l espère, un maximum d administrateurs à s y mettre. Bien qu il ne soit jamais facile de passer à un nouveau langage, celui ci présente l immense intérêt d être utilisable pour gérer la plupart des nouveaux produits Microsoft tels que : Exchange Server 2007, System Center Operation Manager 2007, System Center Data Protection Manager V2, et bien sûr Windows

181 Méthodologie globale Implémenter une architecture clients légers TSE reste le plus souvent un projet important pour l entreprise (nous excluons volontairement les cas de mise en œuvre de serveurs unitaires ou mono applicatifs simples). En effet, agissant sur l environnement de travail, même d un ensemble généralement important d utilisateurs, et nécessitant un ensemble de serveurs fonctionnels périphériques (Active Directory, serveurs de fichiers, Session Broker, TSLM, etc.), l impact en terme de changement pour le système d information global est imposant. Il convient dès lors d aborder un tel projet avec une méthodologie de gestion de projet informatique adaptée. La méthodologie présentée ci après n est ni miraculeuse, ni unique, mais a le mérite d être très simple. Elle permettra d en disposer à défaut d au moins une et nous permettra de la décliner en fonction des spécificités des architectures TSE. Elle a été mise à profit avec succès dans de nombreuses entreprises de tailles diverses. 1. Phases du projet Le projet global peut être abordé et découpé en six phases distinctes : Phase I : Analyse Contextuelle Phase II : Spécifications Fonctionnelles Phase III : Maquette Fonctionnelle Phase IV : Pilote Opérationnel Phase V : Mise en Production Phase VI : Exploitation Phase I : Analyse Contextuelle L analyse contextuelle n est pas une phase informatique du projet. Son objectif est de connaître les tenants et les aboutissants d un projet de mise en œuvre d une architecture clients légers, et d en déterminer les intérêts pour l entreprise, tant technique que humain et financier. Cette phase est souvent minimaliste, voire ramenée à une approche commerciale, ce qui est bien dommage. Elle devrait au contraire prendre toute sa valeur, voire faire l objet d un véritable audit, ce qui permettrait de n engager les phases suivantes qu en ayant préalablement compris pourquoi. Phase II : Spécifications Fonctionnelles Cette phase est la première phase technique, mais ne porte a priori pas sur la manipulation de machines ou de systèmes : il s agit d une autre phase d analyse, technique cette fois ci, mais toujours papier, qui vise à déterminer l architecture globale de la solution envisagée, les composants et technologies qui la composent, leurs interactions, les pré requis et/ou les contraintes, les méthodes d intégration, etc. Cette phase devra permettre un rebouclage avec la première, particulièrement dans l analyse financière, qui peut avoir subi de graves dérapages et conduire à la disparition de l intérêt même du projet. Le périmètre technique du projet peut prendre une telle ampleur que, outre les aspects financiers, le temps global de réalisation du projet peut lui aussi être rédhibitoire. Dès lors, une dimension nouvelle à cette phase de projet voit le jour : la segmentation en différentes étapes techniquement, financièrement et contextuellement réalistes. À défaut, le projet s arrête. La manipulation de machines ou systèmes n est donc pas obligatoire, sauf si l on n est pas familier avec ces architectures et ces technologies : il est toujours plus facile d appréhender une fonctionnalité en la visualisant et/ou la manipulant. Dans ce cas, on peut parler d une manipulation technique s apparentant plus à de la démonstration qu autre chose. Si le service informatique (ou un tiers prestataire) mène habituellement cette phase de projet, l implication des utilisateurs stratégiques (chefs de services ou de départements par exemple) est toujours préférable. A minima, une connaissance exhaustive des habitudes de travail, de l infrastructure existante et de ses spécifités ainsi que des cas particuliers (techniques ou humains) est essentielle pour mener à bien cette phase de projet

182 Phase III : Maquette fonctionnelle Nous sommes désormais sûrs que la mise en œuvre d une architecture clients légers est intéressante et réalisable au sein de l entreprise. Il convient de mettre en œuvre cette infrastructure afin d en déterminer les paramètres et de résoudre les éventuelles (mais fréquentes ) difficultés techniques et d éviter les derniers écueils. La maquette est donc une simulation de l architecture globale réalisée par le seul service informatique (ou un tiers prestataire). Elle permet enfin d affiner les premières approches budgétaires, notamment par la réalisation d un plan de montée en charge qui saura aboutir au choix des configurations matérielles adaptées. Comme toujours, un rebouclage avec l étape précédente et une analyse des écarts sont primordiaux. Un échec de la maquette n est pas un échec du projet, mais plutôt une réussite : s il peut éventuellement mettre en évidence une carence de la phase précédente (souvent du fait de la non exhaustivité des informations fournies ou de spécificités techniques de l existant), il permet surtout de ne pas avoir engagé l entreprise dans une impasse annoncée. Phase IV : Pilote opérationnel Le pilote opérationnel implique directement quelques utilisateurs de l entreprise. C est une phase de ping pong entre les utilisateurs du pilote, qui testent en conditions réelles la nouvelle infrastructure, et le service informatique qui intervient pour affiner le paramétrage. C est une phase de rédaction et validation des procédures techniques (qui auront pu être entamées lors de la phase précédente), ainsi que de validation des configurations matérielles définitives. Enfin, il est préférable de ne pas se fixer de contraintes temporelles lors de cette phase : elle doit durer le temps nécessaire et suffisant. C est la dernière phase de sécurité avant l investissement global et la mise en production. Phase V : Mise en production Phase technique d installation des machines et des systèmes, et phase stratégique car impactant un ensemble plus ou moins important d utilisateurs, pour une durée que l on souhaite toujours la plus courte possible mais qui peut s avérer importante quand même. Elle peut être de type bascule, donc quasi ponctuelle, ou au contraire progressive, donc étalée dans le temps selon une stratégie pré déterminée (du fait de contraintes techniques ou organisationnelles). Cette phase s accompagne souvent d un plan de formation des utilisateurs, ou a minima d information des utilisateurs. Les ressources en assistance (technique ou à destination des utilisateurs) ne doivent pas être sous estimées, particulièrement dans le cadre d un projet d architecture clients légers, très perturbant pour les utilisateurs. Phase VI : Exploitation C est la phase classique de fonctionnement de l infrastructure, portant tant sur l administration des serveurs et des systèmes que sur l assistance aux utilisateurs, ou de l évolution de l infrastructure. Un bilan du projet avec l analyse des écarts est toujours bénifique : s il ne constitue pas nécessairement une phase en tant que telle, il permettra de connaître les erreurs ou problèmes rencontrés afin de mieux les éviter lors du prochain projet. Approche financière parallèle Aux six phases élémentaires de gestion de projet, il conviendrait d intercaler deux, voire trois étapes financières : Phase I : Analyse Contextuelle Phase II : Spécifications Fonctionnelles Investissement partiel minimal Phase III : Maquette Fonctionnelle Investissement partiel Phase IV : Pilote Opérationnel Investissement complet - 2 -

183 Phase V : Mise en Production Phase VI : Exploitation Investissement partiel minimal Pour les besoins de la maquette, il est possible que nous ne puissions nous contenter de matériels existants, soit que l on en possède un nombre trop réduit, soit qu ils sont trop anciens et/ou inadaptés. Il sera alors nécessaire de se porter acquéreur de certains matériels ou de s en faire prêter. Si vous deviez acquérir quelques matériels, référez vous aux spécifications fonctionnelles pour ne pas acheter de machines trop puissantes/chères qui pourraient s avérer inutiles si d aventure la maquette n est pas validée. Vous pouvez vous orienter vers des machines fonctionnelles secondaires, comme les serveurs de licences, plus traditionnelles et donc plus facilement recyclables. Le plan de montée en charge peut, par contre, imposer l acquisition d au moins une machine significative ou représentative de celles envisagées. Aucune acquisition de licences n est nécessaire : les versions d évaluations sont généralement largement suffisantes. Investissement partiel Suite à la maquette fonctionnelle, il va falloir mettre en œuvre le pilote opérationnel, c est à dire une infrastructure peut être incomplète en terme de nombre de composants (dans une ferme de serveurs équilibrés par exemple), mais pleinement fonctionnelle et installée sur des machines et des systèmes appelés à partir en production, donc calibrés en fonction (c est aussi et pour rappel une phase de rebouclage du plan de montée en charge). En général, les licences à acquérir peuvent encore être très limitées. Investissement complet Maquette validée, pilote validé : il faut partir en production! L investissement complet (matériels et licences minorés des quelques achats préliminaires) est d actualité. Le but de cette approche en trois phases est de minimiser le risque financier lié à un projet qui pour quelque raison que ce soit n aboutirait pas à une mise en production : j ai malheureusement trop souvent vu des entreprises mettre en place des infrastructures inadaptées simplement parce qu elles les avaient déjà achetées Beaucoup d entreprises considèrent que faire appel à des experts permet de garantir la réussite d un projet : c est faux. Si elle réduit considérablement le risque d un échec global, elle ne peut garantir de dérapages souvent préjudiciables : l expert connaît la technique, pas votre entreprise. Et posez vous toujours cette judicieuse question : connaissons nous et sommes nous en mesure (nous, service informatique de l entreprise) d apporter une information exhaustive autant que synthétique sur notre existant et nos habitudes de travail, spécificités et exceptions y comprises? Nous aimerions tous que la réponse à une telle question soit positive 2. Détail des phases clés du projet L énumération présentée ci après est (sauf exceptions) chronologique. Phase I : Analyse Contextuelle Motivations et objectifs du projet : si les objectifs d un projet peuvent être simples à identifier et clairs, il n en est souvent pas de même des motivations. Si elles sont à l origine liées à un problème (d obsolescence, de performance ou autre), elles doivent aussi trouver leur expression dans la rubrique évaluation des contraintes plutôt que des seules motivations. Si elles sont dans la recherche de valeur ajoutée, l écho de telles motivations se fait entendre du côté des objectifs du projet ; mais il existe aussi fréquemment les objectifs inavouables du projet : qu ils soient propres à certaines personnes ou à l entreprise, ceux ci sont particulièrement importants pour ne pas se tromper dans les solutions proposées. Expression du besoin : en fonction des interlocuteurs impliqués dans l expression du besoin, ce dernier peut s avérer plus ou moins flou. S il n est à ce stade pas nécessaire d être exhaustif et précis, les principaux écueils à sa bonne formulation sont généralement : Les difficultés linguistiques : au problème du pur vocabulaire français s ajoute souvent le problème des différents métiers qui, chacun, utilisent un vocabulaire technique souvent hermétique

184 Les difficultés humaines : problème de l impossibilité d exprimer correctement ou complètement le besoin (manque de temps, voire absence des interlocuteurs importants), et/ou problème de volonté de l exprimer correctement (pour des raisons liées aux motivations ou aux objectifs du projet, ou simplement à un manque de communication autour justement des motivations et objectifs du projet). Il faudra être vigilant lors de la phase des spécifications fonctionnelles si l expression du besoin nous a semblé incorrecte. Évaluation des contraintes : là non plus, il ne s agit pas d être immédiatement exhaustif, mais d identifier les contraintes majeures qui pourraient dès à présent remettre en cause le projet ou tout du moins sa faisabilité (délais, budgets, méthodes...). Analyse rapide de l existant : Humaine : intervenants et acteurs, missions & compétences Technique : topologies systèmes & réseaux Définition de(s) l architecture(s) possible(s) : il est amusant (alarmant?) de constater que le plus souvent, l analyse contextuelle d un projet se résume à l expression de l architecture prévisionnelle : «c est un projet clients légers!». Je préfère que l architecture prévisionnelle soit la conséquence de l expression d un besoin, quel qu il soit, clairement identifié, exprimé et validé. Il s agit donc ici de présenter le(s) projet(s) technique(s) potentiel(s). Évaluation budgétaire globale : dans le respect d une approche TCO, et selon la portée temporelle habituelle de l entreprise, cette approche budgétaire ne doit faire ressortir que la faisabilité globale et l intérêt pour l entreprise à se lancer dans le projet. Planification prévisionnelle globale du projet. Validation des intérêts pour l entreprise : poursuivons nous? Phase II : Spécifications Fonctionnelles Compléments puis validation de l expression des besoins : lors de l analyse contextuelle, l expression du besoin a été formulée de façon générique afin de déterminer l intérêt global à mener le projet. Elle doit être désormais exhaustive, afin que les solutions recherchées et proposées couvrent réellement l ensemble des besoins de l entreprise. Cette étape implique donc le plus souvent les utilisateurs représentatifs ou responsables dans le projet ainsi que dans son aboutissement. Expression exhaustive puis validation des contraintes : il convient d inventorier les contraintes multicritères de l entreprise, (techniques, humaines, financières, temporelles, etc.), et de les catégoriser en fonction de leur caractère (obligatoire à souhaitable). Compléments puis validation de l existant : les informations techniques, portant sur l infrastructure existante et nécessitant d être précisées dans le cadre du projet, devront aussi être exhaustives pour éviter toute «mauvais surprise» ultérieure. Détermination de l architecture globale du projet : vision d ensemble de la solution proposée, jouant le rôle de fil conducteur des actions futures de chaque acteur du projet. Détermination des technologies et composants de l infrastructure globale : énumération complète et détaillée des composants, afin de déterminer les interactions induites, les contraintes techniques associées et les solutions trouvées ou restant à trouver (lors de la maquette fonctionnelle). Cette étape aboutit en général à la rédaction d une liste noire comportant deux items principaux : Les zones d incertitudes techniques Les hypothèses techniques et les arbitrages possibles - 4 -

185 Évaluation de la méthode d intégration. Évaluation des segmentations possibles : découpage en étapes du projet global pour permettre une réalisation progressive. Ré évaluation du planning du projet. Ré évaluation de l approche financière du projet. Stop & Go : décision de poursuivre le projet ou non en fonction du réalisme, quant à la faisabilité technique, et du toujours présent intérêt pour l entreprise. Phase III : Maquette Fonctionnelle Intégration de la maquette : installation des matériels et systèmes nécessaires à la réalisation de cette phase de maquette. Évaluation/Validation des différents paramétrages : grosse étape technique, qui varie selon les possibilités offertes par la nouvelle infrastructure et les besoins exprimés lors des spécifications fonctionnelles. Cette étape vise à trouver un ensemble de solutions à des problématiques techniques souvent ardues. Elle ne doit pas remettre en cause les spécifications fonctionnelles, sauf à procéder à une nouvelle validation des nouvelles spécifications fonctionnelles, voire du projet global si les solutions trouvées sont «traumatisantes pour lui» (ou n existent simplement pas ). Rédaction des procédures de paramétrages : ces procédures viendront naturellement enrichir les procédures d intégration globale qui seront finalisées lors de la phase pilote. Plan de montée en charge : simulation d un nombre important, ou en tout cas représentatif, d utilisateurs type, afin d identifier le comportement de l infrastructure en terme de consommation de ressources. Ne porte pas que sur l objet de la maquette : il faut également considérer les influences de l infrastructure en charge sur le reste des composants existants du système d informations actuel. Calibrage prévisionnel des matériels : arbitrage entre les besoins en performance globale, les contraintes de montée en charge et les possibilités offertes par l architecture existante et future. Validation fonctionnelle de la maquette : cette validation effectuée par le seul service informatique doit répondre à une dimension technique, «Tout fonctionne t il correctement?», organisationnelle, «Les procédures ont elles été correctement et exhaustivement rédigées?», et contextuelle, «Tout est il prêt pour réaliser un pilote?». Ré évaluation et analyse des écarts avec la phase précédente (spécifications fonctionnelles), et réévaluation financière globale du projet (en fonction du calibrage des matériels et des éventuels besoins en licences complémentaires). Stop & Go : décision finale de poursuivre le projet ou d en rester à la maquette. Phase IV : Pilote Opérationnel Intégration du pilote : installation des matériels et systèmes nécessaires à la réalisation de la phase pilote. Choix puis formation des utilisateurs devant évaluer la nouvelle infrastructure. Une erreur très répandue est de solliciter des utilisateurs standard ou fiables. Il convient au contraire d impliquer : Soit des utilisateurs complexes : de par leurs besoins, leurs méthodes de travail ou leurs spécificités. Soit des utilisateurs à problème : utilisateurs compétents et/ou à orientation bidouilleurs / râleurs. Ces utilisateurs là seront plus à même de remonter des informations techniques qu il conviendra certes de trier, mais qui feront progresser le pilote - 5 -

186 Soit des utilisateurs responsables de services ou de départements, qui auront une vision plus globale des besoins. Soit, l idéal, un mix des trois précédentes catégories. Le but d un pilote n est pas que le service informatique se congratule en validant trop rapidement son travail, par l implication de personnels qui valideront facilement la nouvelle infrastructure : ce serait un échec probable lors de la mise en production, avec des contraintes financières et temporelles très fortement désagréables Fin de rédaction des procédures d intégration des matériels et systèmes. Évaluation du pilote : utilisation de la nouvelle infrastructure par les utilisateurs du pilote et remontée des informations (performances, dysfonctionnements, etc.) Ajustements de la maquette : modifications éventuellement portées à l infrastructure par le service informatique, en fonction des retours d informations précédents. Mise à jour des procédures d intégration des matériels et systèmes. Réévaluation & Validation du pilote : utilisation de la nouvelle infrastructure jusqu à ce qu il n y ait plus d allers retours et d ajustements, pour conduire jusqu à sa validation complète et définitive. Validation des configurations matérielles définitives : les technologies évoluant très vite et les phases précédentes ayant pu être longues, il convient de rafraîchir les possibilités offertes au dernier moment (juste avant l investissement global). Si les phases I à IV ont été réalisées avec rigueur, les phases suivantes de mise en production et d exploitation ne doivent être qu une formalité et ne nécessitent pas d être ici détaillées

187 Méthodologie spécifique TSE 1. Spécificités au niveau des phases du projet Que ce soit lors des spécifications fonctionnelles ou lors de la maquette fonctionnelle, il est préférable de suivre un ordre logique d évaluation des composants d une architecture clients légers TSE. En effet, cela peut permettre de gagner du temps ou du moins de ne pas en perdre, soit en ne procédant pas n fois aux mêmes étapes, soit parce qu un aspect rédhibitoire est mis en évidence plus tôt. Bien que cela ne reste pas parfait (entendre par là qu il y aura obligatoirement quelques aller retours dans vos réflexions et/ou tests), l ordre logique peut être le suivant : Validation de la compatibilité des applications. Validation de la compatibilité des périphériques. Recherche d informations : Identification des contraintes réseaux : sites, bandes passantes. Identification des populations d utilisateurs. Identification des flux d informations et volumétries. Détermination du type d accès client (classique, Web, mono applicatif, encapsulé, etc.). Détermination du type de poste client (PC, terminal Windows, ). Détermination du protocole client (RDP, NX ou ICA ). Profils de montée en charge des logiciels. Détermination de l architecture des serveurs TSE. Détermination des systèmes des serveurs TSE. Détermination de la solution d impression. Détermination des méthodes de sécurisation de la nouvelle infrastructure. Détermination des besoins en serveurs ou ressources complémentaires. Détermination de l architecture globale : positionnement des serveurs. Recherche d optimisation des licences. Identification des flux d informations dans la nouvelle architecture. Ré évaluation des besoins en bande passante. Bien qu un besoin en bande passante initialement sous évalué puisse finalement conduire à l avortement de tout ou partie du projet, il n est malheureusement pas possible de procéder à son évaluation fiable plus tôt : il faut en effet savoir où se trouvent les serveurs pour connaître quels sont les flux qui transitent et évaluer leur volumétrie

188 2. Conduite du changement Nous ne présenterons pas ici de méthodologie efficace, mais vous sensibiliserons plutôt à la nécessaire conduite du changement à laquelle il vous faudra procéder, si vous menez un projet de mise en œuvre d architecture clients légers à grande échelle. À grande échelle ne sous entend pas uniquement des milliers d utilisateurs : il s agit d une échelle importante pour l entreprise. Comprendre : un projet dont le pourcentage d utilisateurs directement impactés est important, voire très important (cela peut aller jusqu à 90% dans certaines entreprises!). Comme nous l avons régulièrement répété jusqu à présent, un projet clients légers est avant tout un projet utilisateurs, non pas qu on va le leur laisser faire mais bien qu ils seront, malgré eux parfois, fortement impliqués ou perturbés dans le changement qui ne manquera pas de s opérer dans leurs habitudes de travail. Pour étayer mes propos et cette problématique du changement, je vous présente quelques exemples réels et finalement très fréquents que j ai pu croiser ces quelques dernières années : Dans une architecture décentralisée, malgré l existence de serveurs de fichiers suffisamment adaptés tant en terme d espace libre que de performance, les utilisateurs ont souvent la mauvaise habitude d enregistrer des fichiers en local sur leur poste. C est d autant plus vrai quand leur espace de stockage est restreint sur les serveurs de fichiers. Ils peuvent aussi avoir des dossiers personnels de messagerie, stockés en local. Lors du passage à une infrastructure centralisée, mais ce coup ci incontournable comme ce peut être le cas des infrastructures TSE, il est nécessaire de contrôler les espaces disques des serveurs de stockage, et donc souvent de mettre en œuvre une politique de quota. En effet, l entreprise stocke désormais en central un ensemble de données nouvelles : profils, répertoires de base et documents personnels. À la démarche déjà compliquée car parfois très/trop structurante de ranger ses documents selon une nouvelle norme commune, l utilisateur peut se voir confronté à la nécessité de trier ses documents ; comprendre, par là, supprimer des documents certes anciens voire inutiles, mais que son appréhension personnelle qualifierait plutôt «d importants au cas où» ou de personnellement importants, car du point de vue de l entreprise, l utilité des dossiers personnels de messagerie et de leur volume de données stratégiques (blagues, musiques, images, etc.) reste relative, et constitueraient une bonne cible d élagage de données On voit dès lors que la bascule vers une architecture TSE peut être ressentie négativement, comme une contrainte supplémentaire ou une manière détournée du service informatique (ou par extension de l entreprise) d obliger les pauvres utilisateurs à supprimer certains documents. Dans la continuité de l exemple précédent, mais dans une dimension différente, la centralisation incontournable des documents de l utilisateur sur un serveur, certes protégé par des droits d accès mais parfois plus ouverts qu auparavant (logique de partages de tous les documents produits par affaire, par client ou simplement par service), met en péril le périmètre de contrôle de certains utilisateurs, c est à dire cette zone de pouvoir non pertinente que seul l utilisateur est à même de contrôler par simple rétention d informations, et qui se volatilise subitement. Cela conduit fréquemment à des comportements déviants tendant à recréer différemment un nouveau périmètre de contrôle, ce qui se traduit pour nous et sur le plan pré informatique par soit une mauvaise expression du besoin et/ou de l existant, soit une expression partielle. Le remplacement de postes de travail par des terminaux Windows est lui aussi régulièrement épique Il s accompagne, en effet, non exclusivement mais principalement de la disparition du lecteur de CD Rom et de son périmètre stratégique d utilisation au bureau : la musique (ou du son sur les fichiers non moins stratégiques type mpeg, avi, pps, etc.). J ai réellement vu une grève se déclencher suite au retrait des lecteurs CD Rom et une infrastructure complète de près de 200 postes être retirée en hâte pour repositionner, sur les tables, les anciens PCs! Cela reste certes anecdotique, mais franchement révélateur. La bascule sur une infrastructure TSE est aussi, et par nécessité pour l entreprise et l infrastructure elle même, l occasion de mettre (enfin) des droits utilisateurs qui ne soient que des droits utilisateurs. Fini les installations sauvages, les exécutions d utilitaires, de jeux ou quoi que ce soit d autre qui sortent du contrôle direct du système d informations centralisé. C est là encore et pour beaucoup une perte de pouvoir, mais parfois aussi simplement un changement d habitudes (correctes) de travail, qu il convient d anticiper et d accompagner afin que les utilisateurs ne perdent pas trop en terme de productivité individuelle

189 Procéder à une bonne conduite du changement apparaît dès lors nécessaire Ce n est pas un si «gros mot» que cela : la conduite du changement, c est essentiellement l art et la manière de faire prendre conscience à un utilisateur que le changement lui sera bénéfique. Les solutions clients légers ont suffisamment d avantages pour cela, y compris du point de vue des utilisateurs! Cela passe parfois simplement par un peu d écoute et de communication. L implication de certains utilisateurs, dès les premières phases du projet, est une bonne occasion d entamer la communication, le pilote en étant l apogée. Restons conscients que nous avons réellement besoin des utilisateurs pour réussir un projet, c est à dire qu ils se l approprient et finalement, utilisent notre belle infrastructure! - 3 -

190 Le choix de l architecture réseau Tout ce qui est présenté dans ce chapitre ne peut être considéré comme vérité absolue, mais simplement comme principes et axes de réflexion. Seule une bonne gestion de projet peut vous conduire à des certitudes. Élément clé de toute infrastructure partiellement ou complètement centralisée, le réseau adapté (entendre disponible, performant mais point trop coûteux) reste complexe à déterminer, particulièrement dans les architectures clients légers. 1. Le couple TSE/RDP et les performances réseaux a. Les composantes de la performance réseau selon TSE/RDP La bande passante C est la composante de performance la plus souvent considérée car facilement mesurable et appréhensible. Il s agit de la taille du tuyau, c est à dire de la quantité d informations qui peuvent être véhiculées sur le réseau dans un certain laps de temps. Les unités traditionnelles de mesure sont exprimées en nombre de bits par seconde, par exemple 56 Kb/s (ou Kbps pour Kilo bits par seconde) pour des liens type RTC, 100 Mb/s (ou Mbps pour mégabits par seconde), ou encore 1 Gb/s (pour gigabits par seconde). Attention : ne pas confondre l unité «b» pour «bits» avec l unité anglo saxonne «B» pour «Byte», qui, jusqu à nouvel ordre, reste l équivalent des octets, donc qui respecte le principe «1 Byte = 1 octet = 8 bits». Cette parenthèse pour vous alerter sur l expression de certaines capacités de réseaux, ou évaluations de consommations de bande passante, commercialement (et judicieusement) requalifiées en Bytes plutôt qu en bits, ce qui reste plus avantageux. Attention aussi lors de l évaluation de flux de données : on parle bien alors d octets Dans le cas d une architecture TSE, la bande passante exprime donc essentiellement une capacité à travailler en plus grand nombre simultanément sur un ou plusieurs serveurs TSE et, dans une moindre mesure, le niveau d agrément de cette utilisation. En fait, la bande passante n a d influence néfaste sur les performances réseaux que lorsqu elle est saturée, c est àdire quand le volume de données qui transitent à l instant t dépasse sa capacité maximum. Dès lors, et un peu comme sur une route, un bouchon se crée et il faut patienter afin que le flot/flux de données puisse entièrement passer. C est à cet instant particulier que les utilisateurs TSE sont particulièrement gênés : ils ont en effet besoin d une bande passante minimum pour pouvoir interagir avec leur serveur TSE (évènements clavier/souris et rafraîchissements d images). Il reste donc évident que plus l on dispose de bande passante, plus on pourra connecter d utilisateurs simultanés et/ou retarder le moment où l on se trouvera saturé. De même, en cas de saturation, le temps nécessaire pour écouler le flot de données sera plus court avec plus de bande passante. Le temps de latence Cette composante de la performance réseau est primordiale dans le contexte des architectures TSE. Il s agit du temps nécessaire à la transmission d informations d un point A du réseau vers un point B, généralement exprimé en millisecondes "ms". Plus le temps de transmission est court, plus la performance est grande car plus les données transmises arrivent vite. Dans le cas des communications entre un client TSE et le serveur TSE associé, la performance (ou le manque de performance) ressentie par l utilisateur dépend directement du délai d affichage de l image sur son écran. Comme tout est centralisé, il faut que les évènements clavier/souris soient transmis au serveur TSE, traités, puis que l image associée soit renvoyée au client pour affichage. Prenons l exemple de la rédaction d un document sur Word : si l utilisateur tape «Bonjour!», les 9 caractères saisis au clavier doivent être transmis au serveur, qui doit générer et renvoyer l image correspondant à l affichage de ce texte sur le document. Le temps de latence est donc pris à parti deux fois : à l aller et au retour. Du point de vue de l utilisateur, si le temps de latence est trop important, il saisira son texte «Bonjour!», mais ne verra apparaître les caractères que plus tard (soit de façon saccadée, les uns après les autres mais plus lentement que sa frappe clavier, soit d un bloc mais franchement plus tard). Il est clair que l appréhension de la performance varie grandement d une personne à l autre (opposons mes parents préférés avec une secrétaire «200 mots minutes»). On peut considérer qu à partir de 400 ms (donc presque une demi seconde), l écart entre les actions faites et le résultat visualisable est franchement gênant pour l utilisateur commun. Ce qui correspond donc à un temps de latence maximum de 200 ms. Je persiste à penser que l idéal se situe quand même en dessous d un temps de latence de 100 ms

191 Sur un réseau local, ceux ci sont généralement excellents (donc très faibles, de l ordre de 1 ms voire moins). Sur un réseau étendu, c est généralement moins le cas, comme nous le montre l exemple suivant. Évaluer rapidement un temps de latence est simple : il suffit de procéder à un ping classique entre le point A et le point B du réseau. On obtient alors la durée approximative des boucles en ms. Dans notre exemple, nous voyons que le réseau étendu (qui n est autre que le serveur DNS bien connu de mon fournisseur d accès ADSL) présente des variations non négligeables des temps de latence au fil des paquets envoyés, et que l on est loin de la milliseconde du réseau local. Attention : le temps affiché présente l aller retour complet. Le cas de liens type RTC, RNIS ou Frame Relay serait plus alarmant encore : on oscille facilement entre 200 et 500 ms! Il faut aussi considérer la taille des paquets envoyés, qui par défaut dans une commande ping sont de 32 octets. La taille des paquets RDP Tcp oscillent entre 50 et 1000 octets (mais la moyenne dépend des usages), ce qui a une influence directe sur la performance de transmission dans les réseaux étendus. Les deux exemples ci après envoient respectivement des paquets de 100 puis de 1000 octets aux mêmes serveurs local et distant, et l on voit que l influence de la taille des paquets n existe que sur le réseau distant et plus particulièrement dans le cas de gros paquets (temps de latence augmente de 50%) : - 2 -

192 Influences réciproques Si le temps de latence n a pas d influence sur la quantité de bande passante, l inverse est par contre faux. En effet, quelle que soit la quantité de bande passante maximale dont un lien réseau puisse disposer, s il atteint un niveau de saturation, la transmission de l ensemble des paquets est ralentie. Nos trames RDP Tcp, noyées dans le flot de données (ou plutôt coincées dans le bouchon), se voient donc ralenties et un simple caractère Word pourra mettre un temps interminable à s afficher sur l écran de l utilisateur. À l expression consacrée le "serveur rame" généralement formulée à cet instant, il faudra aussi être attentif à une éventuelle saturation du réseau. b. Consommation TSE/RDP de la bande passante Consommation unitaire Le principe technologique du protocole RDP (communication graphique compressée limitée au rafraîchissement d écran dans un sens, et évènements clavier/souris dans l autre) induit une faible consommation de bande passante eut égard à celle nécessaire aux échanges traditionnels où des fichiers entiers se promènent à travers le réseau. A minima, lorsque l utilisateur ne manipule pas clavier ou souris et que rien ne bouge à l écran (lecture d un document par exemple), seules quelques trames de contrôle de connexion transitent sur le réseau (afin de vérifier que le poste est toujours connecté au serveur). Il y a, à cet instant, une consommation de bande passante quasi nulle. Nous avions précédemment dit qu a maxima, lorsque l utilisateur rafraîchit l intégralité de la surface de l écran, par exemple lorsqu il va basculer d une application à une autre par le raccourci [Alt][Tab] sous Windows, la consommation de bande passante est de l ordre de 90 à 100 Kbps. Ceci est tout de même faux : c est un maxima pour un usage bureautique ou applicatif classique, mais la consommation de bande passante par RDP peut être bien supérieure si, par exemple, on affiche une vidéo plein écran à 24 images secondes (ce n est pas l usage normal d une architecture TSE). En pareil cas, la bande passante peut atteindre des valeurs de l ordre de 400 Kbps! En moyenne, c est à dire en utilisation courante d un utilisateur actif mais pas forcené de l [Alt][Tab], on constate que la bande passante consommée oscille entre 60 et 80 Kbps. Toutefois, l architecture est pleinement fonctionnelle pour un seul utilisateur dès lors que l on dispose d au moins 20 Kbps (et bien sûr d un temps de latence toujours correct). On obtient donc une consommation de bande passante oscillant entre quasi 0 Kpbs et 128 Kbps, avec une moyenne normalisée oscillant entre 0 et 80 Kbps par poste connecté. Consommation instantanée La consommation instantanée de bande passante intègre deux dimensions supplémentaires : la simultanéité et la réalité de l entreprise. Considérons une dizaine d utilisateurs qui travaillent en mode client léger (c est à dire connecté via RDP à un serveur TSE). Le protocole ne consommant que l équivalent de la somme des rafraîchissements de l ensemble des écrans des utilisateurs, combien d écrans complets cela peut il représenter à l instant T? Car à l instant T+1, si les utilisateurs ne poursuivent pas leurs actions, la consommation retendra vers 0. On constate généralement que l on peut diviser le nombre d utilisateurs par 2 pour avoir la réponse, et multiplier par 64 Kbps par utilisateur pour obtenir un ordre de - 3 -

193 grandeur de la bande passante utilisée (ou nécessaire), soit dans notre exemple : (10 / 2) x 64 Kbps = 320 Kbps pour 10 utilisateurs actifs. Dans la réalité de l entreprise, un salarié ne passe pas tout son temps à manipuler son ordinateur (sauf quelques activités ou postes spécifiques) : il téléphone, manipule du papier, assiste à des réunions, etc. Cela reste donc difficile à évaluer, mais l on peut considérer dans notre exemple précédent de 10 utilisateurs simultanés qu ils représentent en fait une population moyenne de 15 à 20 salariés. La qualité du projet pilote sera déterminante pour bien connaître le profil de travail des utilisateurs dans l entreprise et donc bien calibrer ses lignes. Il peut aussi à ce titre être utilisés des logiciels d analyse de réseaux, comme Sniffer Pro ou plus simplement PRTG Traffic Grapher, afin de déterminer les flux et débits associés. Quoiqu il en soit, nous arrivons à un ordre de grandeur de 15 à 20 utilisateurs pour 320 Kbps de ligne télécom par exemple, s il s agit de relier une agence au siège central. Tierces influences directes Le choix de la résolution d écran des sessions TSE/RDP impacte directement la consommation en bande passante, ce qui reste logique étant donné qu il s agit d un protocole essentiellement graphique : Plus la résolution d affichage de la session TSE/RDP est grande, plus la bande passante consommée est grande (une session 1280x1024 consomme plus de bande passante qu une session 800x600). Plus le nombre de couleurs gérées et affichées dans la session TSE/RDP est grand, plus la bande passante consommée est grande. Plus le nombre de canaux virtuels (mappages de lecteurs, de ports, etc.) gérés entre le client TSE et le serveur TSE est grand, plus la bande passante consommée est grande. Plus l écran de l utilisateur est graphiquement complexe, par exemple avec un fond d écran haute résolution ou un Active Desktop, plus la bande passante consommée est grande. Tierces influences indirectes Comme nous avons pu le découvrir dans le chapitre lié aux impressions, le choix d une méthode d impression plutôt qu une autre aura un impact direct sur la consommation de bande passante, ainsi que la résolution même d impression des documents. Une mauvaise approche de la gestion des impressions aboutit généralement à une saturation de la bande passante pour des durées plus ou moins longues, et donc à l immobilisme apparent des sessions TSE transitant sur le même segment de réseau. D une manière générale, tout ce qui touche aux contenus des canaux virtuels aura des influences sur la bande passante, comme par exemple le mappage de lecteurs locaux particulièrement chargés (en nombre d éléments) ralentira tant leur exploration qu il utilisera plus de bande passante. 2. Évaluation du besoin en bande passante a. En fonction des utilisateurs Flux TSE/RDP En résumé (les explications ont été vues ci avant), on peut évaluer le besoin en bande passante pour les flux TSE/RDP suivant la «formule» : Déterminer le nombre d utilisateurs potentiels transitant par le segment réseau, par exemple 100. Déterminer un cœfficient de simultanéité pour cette population, c est à dire un pourcentage représentatif du nombre de personnes qui interagissent simultanément avec leur session informatique (tenir compte de l absentéisme comme de l activité propre à chacun). Par exemple : 60%. Appliquer le cœfficient précédent au nombre d utilisateurs potentiels, puis diviser le résultat par 2 (cœfficient de simultanéité graphique), ce qui nous donne alors le nombre d utilisateurs simultanés. Dans notre exemple : (100 utilisateurs potentiels x 60%) / 2 = 30 utilisateurs simultanés Selon votre ressenti du comportement graphique des utilisateurs, c est à dire de la fréquence et de l ampleur - 4 -

194 du rafraîchissement de l écran d un utilisateur typique (qu il peut être bon d observer ), choisissez une bande passante moyenne consommée par utilisateur de : 50 Kbps pour les utilisateurs graphiquement peu actifs ; 80 Kbps pour les utilisateurs graphiquement actifs ; 120 Kbps pour les utilisateurs graphiquement forcenés (au sens bureautique du terme ). Multiplier la bande passante consommée choisie par le nombre d utilisateurs simultanés pour obtenir un ordre de grandeur de la bande passante nécessaire, soit dans notre exemple si nos utilisateurs sont forcenés : 30 utilisateurs x 120 Kbps = 360 Kbps nécessaires Il est bien sûr possible de segmenter la population des utilisateurs en fonction de leur comportement graphique. Important : il reste impératif de vérifier cette évaluation lors du pilote, puis de la mise en production ; évaluation qui ne peut dès lors être qu une première estimation!!! Note : une évaluation de bande passante nécessaire ne doit pas représenter un maximum, mais bien un minimum Flux connexes Nous ne saurions formuler une méthode qui puisse vous permettre d évaluer correctement votre besoin en bande passante pour les flux connexes : ils sont trop nombreux et variés pour cela! Dans un contexte d architecture TSE, certains sont toutefois quasi toujours présents, au rang desquels et principalement les flux d impressions et les transferts de fichiers entre lecteurs locaux et distants. Il eut été possible de les traiter dans la logique des flux TSE/RDP, du fait que ces flux sont en fait encapsulés dans les canaux virtuels du protocole RDP, mais leur nature est tellement différente qu ils nécessitent le plus souvent une analyse spécifique. Considérez donc toujours que : Un document imprimé localement à partir d une session distante TSE est un job d impression (donc parfois plus volumineux que le document lui même) qui transite (a minima) dans le segment réseau qui sépare le serveur d impression et l imprimante. Dans une session TSE, un document utilisé, copié ou enregistré, sur ou à partir d un lecteur local mappé, est un document qui transite dans le segment réseau séparant le serveur TSE du poste client. b. En fonction du positionnement des serveurs Dans un contexte multisites multiserveurs, il est évident que le positionnement des serveurs sur les différents sites et/ou segments de réseaux aura des influences directes certes sur les fonctionnalités, mais surtout sur les performances des réseaux et donc de l architecture clients légers globale. Là encore, chaque cas reste spécifique et nous n illustrerons que quelques exemples afin de mettre en lumière certains principes et écueils courants. Positionnement des serveurs TSE Tous sur un même site central C est l architecture la plus simple et la plus recherchée dans une logique de centralisation. Elle revêt toutefois quelques inconvénients, tant en terme de sécurisation que de performances, donc en fait de coût global

195 Sur le plan de la sécurité, les utilisateurs du site distant sont complètement isolés en cas de coupure réseau, et il conviendra donc de mettre en œuvre les solutions de redondance du lien inter sites adaptées. Sur le plan de la performance, le nombre d utilisateurs du site distant va directement impacter le niveau de performances du site distant et donc, pour rester dans des niveaux acceptables, augmenter le besoin en bande passante du lien inter sites. Le coût parfois exhorbitant de ce type de lien télécom, dans des contrées isolées ou sur de grandes distances, rend parfois l autre approche de répartition des serveurs TSE sur les différents sites malgré tout plus intéressante. Répartis sur différents sites - 6 -

196 Outre le nombre parfois plus important de serveurs TSE nécessaires, cette approche a pour principal inconvénient de générer des centres névralgiques distants, à exploiter, administrer, etc. Sur le plan de la sécurité, la solution semble satisfaisante mais, sur le plan des performances, elle dépendra en fait du positionnement des serveurs connexes à TSE et surtout complémentaires au système d informations. Positionnement des serveurs TSLM associés Hypothèse 1 : Serveurs TSE centralisés Dans cette hypothèse, ni doute ni intérêt à positionner les serveurs de licences TSLM ailleurs que sur le site central, à proximité immédiate des serveurs TSE. Hypothèse 2 : Serveurs TSE décentralisés et serveurs TSLM centralisés - 7 -

197 Comme nous avons déjà pu le découvrir dans un précédent chapitre, la communication entre les serveurs de licences et les serveurs TSE intervient rituellement et selon la situation propre au service TSLM toutes les 15, 60 ou 120 minutes, mais aussi à chaque fois qu un client tentera d ouvrir une session TSE avec une licence expirée ou sans licence. En terme de performance, il n y a pas de réel problème au fait que les serveurs TSE 3 et 4 accèdent aux serveurs TSLM sur un site central : les communications sont en effet ponctuelles et légères. En terme de sécurité, l impossibilité de contacter les serveurs TSLM lors de coupures réseau peut conduire à l impossibilité de connecter certains postes du site distant, durant toute la coupure. Hypothèse 3 : Serveurs TSE et serveurs TSLM décentralisés - 8 -

198 Cette approche peut être intéressante et convenir même si l on ne souhaite pas répartir les licences achetées par serveur TSLM en fonction du nombre de postes des deux sites, mais bien les centraliser sur le serveur TSLM 1. En ce cas et lors de coupures réseau du lien inter sites, les serveurs TSE 3 et 4 obtiendraient des licences temporaires 90 jours de la part du serveur TSLM 2, alors que le siège continuerait à fonctionner normalement. Il faudrait cumuler panne du serveur TSLM 1 et panne du lien réseau inter sites pour que les utilisateurs du site central s en trouvent gênés. Si d aventure la bande passante du lien inter sites était vraiment trop (fréquemment) saturée, il pourrait être intéressant de segmenter les licences achetées sur chacun des serveurs TSLM et donc des sites. Serveurs complémentaires Serveurs de fichiers Hypothèse 1 : Serveurs TSE centralisés Dans cette hypothèse, ni doute ni intérêt à positionner les serveurs de fichiers ailleurs que sur le site central, à proximité immédiate des serveurs TSE, sauf pour des besoins locaux du site distant hors périmètre TSE mais qui peuvent amener une remise en cause de l intérêt de centraliser tous les serveurs TSE. Hypothèse 2 : Serveurs TSE décentralisés et serveurs de fichiers centralisés

199 Dans le lien réseau inter sites, à chaque manipulation de quelque fichier que ce soit (et ne serait ce que déjà à l ouverture de sa session et lors du chargement de son profil), un utilisateur du site distant agissant sur sa session TSE certes locale, induira nécessairement un transfert du dit fichier dans le lien réseau inter sites, effondrant rapidement et peut être dramatiquement les performances. De plus, toute coupure même minime du lien inter sites peut corrompre les données manipulées. Cette architecture est donc généralement à bannir. Hypothèse 3 : Serveurs TSE et serveurs de fichiers décentralisés

200 C est à mon sens la seule implémentation sérieusement possible, malgré l accroissement progressif du nombre de serveurs à gérer sur le site distant. Serveurs Active Directory L impact positif en terme de performances de la présence de serveurs Active Directory à proximité des serveurs de fichiers est telle, que nous considérons qu il ne peut en être autrement dans nos hypothèses. Hypothèse 1 : Serveurs TSE centralisés Dans cette hypothèse, ni doute ni intérêt à positionner les serveurs Active Directory ailleurs que sur le site central, à proximité immédiate des serveurs TSE et des serveurs de fichiers, sauf pour des besoins locaux du site distant hors périmètre TSE mais qui peuvent amener une remise en cause de l intérêt de centraliser tous les serveurs TSE. Hypothèse 2 : Serveurs TSE décentralisés et serveurs de fichiers et Active Directory centralisés

201 Nous sommes exactement dans le même cas que pour l hypothèse précédente «Serveurs TSE décentralisés et serveurs de fichiers centralisés». Hypothèse 3 : Serveurs TSE, serveurs de fichiers et Active Directory décentralisés

202 C est là encore, à mon sens, la seule implémentation sérieusement possible, malgré l accroissement désormais sensible du nombre de serveurs à gérer sur le site distant. Il est clair qu on se rapproche de la terminologie deux sites identiques, donc intéressante uniquement à partir d un certain nombre d utilisateurs sur le site distant afin que les coûts et inconvénients d une informatique décentralisée soient plus supportables que ceux d une informatique centralisée, dont le besoin en bande passante fiable et performante et donc le surcoût associé. Serveurs d applications En terme de performances, les serveurs d applications ont toujours intérêt à être proches des serveurs TSE, afin que seuls des flux protocolaires TSE/RDP ne transitent dans les liens réseaux ; mais ils se positionnent en général selon des critères qui leurs sont propres et constituent le plus souvent une contrainte ou un pré requis, plus qu une solution Serveurs d impressions Il ne nous est pas possible de bâtir des hypothèses de positionnement des serveurs d impression : cela dépend directement de la technologie retenue (Voir chapitre sur les impressions), et/ou des éventuelles possibilités offertes par les produits tiers qui s accompagnent souvent de contraintes de mise en œuvre. Quoiqu il en soit, il est très important d identifier avec précision les flux d impressions (fréquence, qualité, volumétrie,etc.) qui existeront, et de chercher à les réduire au maximum sur les liens réseaux séparant les clients TSE de leur serveur TSE : leur impact sur ces liens reste fortement négatif. Note importante : souvenez vous qu un serveur a parfois plusieurs rôles! La recherche de performance étant souvent une manière détournée de réduire les coûts (ou du moins d empêcher leur accroissement dans le cas de liens télécoms distants), prenez en considération une portée temporelle cohérente pour comparer les différentes solutions qui s offrent à vous. Le lien réseau inter sites peut être une charge mensuelle, alors qu un serveur peut être un investissement amorti plus une charge mensuelle d administration : il faut choisir de comparer les deux approches sur 1 mois, 1 an, ou autres (durée de l amortissement, durée de vie du serveur ou de l administrateur?)

203 3. Besoin en bande passante et besoin de sécurisation Il n est nul besoin d un grand chapitre pour comprendre qu une fois le besoin en bande passante évalué, trois possibilités vont s offrir à nous : Soit mettre en œuvre un lien unique couvrant 100% du besoin. Sans commentaires. Soit mettre en œuvre un lien principal couvrant 100% du besoin et un lien de secours couvrant par exemple 20% du besoin. La panne du lien principal conduirait à un fonctionnement en mode dégradé qui peut être suffisant pour certains sites distants et certaines activités. Soit mettre en œuvre deux liens couvrant au total 100% du besoin, et se répartissant les flux de données. L intérêt de la redondance et de la performance réunies ; mais l inconvénient d une mise en œuvre souvent fort coûteuse de solutions matérielles et/ou logicielles tierces. À vos politiques et/ou budgets!

204 Le calibrage des serveurs La plus grande difficulté concernant ce chapitre reste de vous connaître : êtes vous, cher lecteur, confronté à une installation de 2 applications sur un serveur pour 25 utilisateurs, ou de 200 applications sur n serveurs pour utilisateurs? Ou peut être êtes vous confronté aux deux cas en tant que prestataire informatique? Dans l ignorance, tout ce qui est présenté dans ce chapitre ne peut être considéré comme vérité absolue mais simplement comme principes et axes de réflexion. Seules une bonne analyse et une bonne gestion de projet (maquette puis pilote) pourra vous conduire à des certitudes. Et souvenez vous que la performance d une architecture TSE n est pas seulement liée à la performance d un ou plusieurs serveur(s) TSE : les performances réseaux sont aussi primordiales! 1. Considérations d ensemble Le calibrage des serveurs est une opération délicate car elle déterminera directement le niveau d agrément obtenu d une architecture TSE, tant pour les utilisateurs (en terme de performances) que pour les administrateurs (en terme de fiabilité). La difficulté est d obtenir le maximum de performances et de fiabilité, pour le minimum de complexité et de coût! Les possibilités financières de l entreprise constituent une potentielle contrainte au calibrage judicieux des serveurs TSE. Nous ne pourrons rentrer dans l évaluation de telles contraintes, qui conduit (trop fréquemment) à des arbitrages, mais tenterons simplement de faire que ces derniers ne soient pas arbitraires Je croise malheureusement très ou trop fréquemment des entreprises dont les choix matériels et les investissements associés ont été faits avant même de procéder à un quelconque plan de montée en charge, ou à défaut (de temps ou de moyen, peu importe) d une rapide analyse préalable qui aurait permis de ne pas faire de mauvais choix ou arbitrages techniques. Comme nous avons pu le découvrir dans le chapitre lié aux performances, le calibrage unitaire des serveurs TSE sera aussi directement impacté par l architecture d ensemble retenue. Reprenons le même exemple pour illustrer cette affirmation Soit une entreprise souhaitant mettre en œuvre une architecture TSE pour 10 applications sur 10 serveurs pour 800 utilisateurs. Deux approches sont alors possibles : Installer les 10 applications sur chacun des 10 serveurs TSE et répartir les utilisateurs sur cette ferme que l on peut qualifier d homogène

205 Sur le plan de la performance pure, il est certain qu installer toutes les applications sur un même serveur ne peut que conduire à une charge serveur relativement conséquente voire inopérante du point de vue des utilisateurs : il suffit que 2 ou 3 applications aient le même profil de consommation de ressources pour qu elles «se battent» cette ressource serveur unique dans une architecture centralisée ; et la probabilité que ces applications soient utilisées en même temps sur un même serveur est plus grande du fait que tous les serveurs sont identiques. Dans ce cas, le calibrage des 10 serveurs sera identique, mais délicat. Regrouper certaines applications et les installer sur des fermes de serveurs dédiées, par exemple : 4 applications sur 4 serveurs, 3 autres applications sur 4 serveurs et enfin les 3 dernières applications sur 2 serveurs. La difficulté exposée dans le chapitre sur les performances est donc de constituer des regroupements judicieux d applications, notamment en fonction des profils de consommation de ressources serveur, lesquels permettront de minimiser le calibrage unitaire des serveurs de chaque ferme. Si plusieurs applications sont très gourmandes en ressource processeur par exemple, il est préférable de ne pas les positionner sur les mêmes serveurs mais plutôt de les répartir sur chacune des fermes, en les associant avec d autres applications dont le profil de consommation de ressources serveur touchera par exemple plus la mémoire RAM. Dans ce cas, le calibrage des serveurs pourra être différent d une ferme à l autre, mais les serveurs constituant chaque ferme devront être identiques. Quelle que soit l approche retenue, le calibrage des serveurs TSE passe par une connaissance préalable et très précise du contexte de travail de l entreprise, particulièrement pour : Les applications qui seront utilisées sur le(s) serveur(s) TSE. Les utilisateurs qui en feront l usage. Dès lors, avec ou sans plan de montée en charge, quelques principes techniques vous permettront des déterminer les configurations serveurs nécessaires, ou tout du moins, de ne pas les sous estimer. Mais rassurez vous : il est faux de penser qu architecture TSE est obligatoirement synonyme de gros, voire très gros serveurs centraux! - 2 -

206 Et les coûts constamment en baisse des matériels serveurs proposés nous rendent un peu de sérénité à l approche de cette fameuse étape de calibrage. a. Impact des applications Chaque application a un profil de consommation de ressources serveur différent : certaines consomment plus de mémoire RAM alors que d autres sollicitent principalement le processeur ou encore le sous système disque. On comprend donc bien qu à caractéristiques serveurs identiques, les performances ressenties par un utilisateur en fonction de l application manipulée pourront être très variables. De même, les applications sont généralement 32 bits, mais certaines applications 16 bits voire DOS peuvent encore exister en entreprise et leur mécanisme d émulation peut conduire à des baisses de performances impressionnantes, créant alors des dommages collatéraux certains. Ces applications ne doivent à mon sens pas être installées sur des fermes de serveurs TSE 32 bits ou alors être encapsulées sur des serveurs dédiés. Cette logique est respectée pour les applications 32 bits fonctionnant sur des fermes de serveurs 64 bits, de plus en plus fréquentes. Là encore, il conviendra de mesurer précisément l impact du fonctionnement de ces applications sur les performances, bien que les systèmes 64 bits gèrent efficacement la mémoire RAM (contrairement aux systèmes 32 bits). Cependant, la catégorisation des applications doit aller plus loin : une application dont l usage est essentiellement graphique aura un impact (négatif en l occurrence) certain sur les performances ressenties, quand bien même son profil de consommation de ressources serveur soit en adéquation avec les caractéristiques (et la disponibilité à l instant t) du serveur TSE sur lequel l utilisateur est connecté. RDP reste un protocole essentiellement graphique! Il est dès lors clair que les performances ressenties avec PowerPoint ne seront pas les mêmes que celles de Word et que, pour ce dernier, un document texte sobre ne peut être assimilé à un document évolué à fort caractère graphique. Enfin, il ne faut pas non plus négliger les utilisations croisées, dont l existence et la portée doivent être identifiées. C est par exemple le logiciel de messagerie Outlook, qui peut (et c est généralement le cas par défaut ) appeler Word comme traitement de texte par défaut des nouveaux messages électroniques. L impact mémoire (pour ne focaliser que sur lui) est alors double (Outlook + Word) pour un usage pourtant visuellement simple (Outlook) : c est alors a minima 8 à 10 Mo de mémoire en plus par utilisateur. La catégorisation des applications est donc nécessaire et va permettre : Leur regroupement sur des fermes de serveurs distinctes. Leur validation quant à être installée ou non sur une architecture TSE, en fonction d elles mêmes, mais aussi de leur cohabitation avec d autres applications. Une catégorisation possible des applications peut être obtenue en remplissant le tableau suivant (valeurs données à titre d exemple et ne reflétant aucune réalité) : Le principe du tableau est de catégoriser les applications selon des informations relevées lors de tests préalables plus ou moins simplifiés ou collectées auprès des éditeurs ou services concernés. Ne s agissant pas d un réel plan de montée en charge, cette première évaluation sera toutefois plus efficace si l on implique quelques utilisateurs représentatifs. La notion de «poids» porte sur une échelle de 1 à 5 : du moins gênant au plus gênant pour la future architecture. Le but reste d identifier les applications qui pourront ou non cohabiter sur un même serveur. Quelques précisions sur ce tableau et la manière dont je l utilise : L échelle de consommation de RAM est pour moi : De 0 à 10 Mo Poids = 1 De 10 à 20 Mo Poids = 2 De 20 à 40 Mo Poids = 3-3 -

207 Plus de 60 Mo Poids = 5 La «consommation réseau» porte sur les échanges entre le serveur TSE et les autres serveurs, généralement et principalement le serveur de fichiers et les serveurs applicatifs. Elle détermine donc les besoins en bande passante «arrière» et ne porte pas sur les flux RDP frontaux. La consommation processeur est évaluée de façon empirique ou, mieux, selon les indications d un éventuel éditeur, car toute consommation instantanée exprimée en pourcentage dépend de la puissance du processeur utilisé pour la mesurer. Le profil graphique est aussi évalué de façon empirique, en fonction du pourcentage de la superficie de l écran qui change à chaque manipulation de l utilisateur et de la fréquence de ces changements. Par exemple, une vidéo est en fonction de sa taille très ou trop gourmande, comme un navigateur Web affichant des animations flash par exemple La CAO n a donc pas sa place b. Impact des utilisateurs L impact des utilisateurs sur le calibrage des serveurs TSE reste le plus important car il influe aussi la répartition des applications. Comme pour les applications, les utilisateurs doivent être catégorisés en fonction de leur profil de travail : sont ils des utilisateurs légers, standards ou forcenés? Ils doivent aussi être, en parallèle, répartis en fonction des applications susceptibles d être installées sur les serveurs TSE, afin de répondre à la question suivante : cette application est utilisée par combien de personnes, et de quelle manière? La complexité portera sur les multiples combinaisons possibles en terme de répartition des utilisateurs sur les serveurs TSE (nous faisons abstraction des serveurs mono applicatifs ou des mono serveurs TSE, dépourvus de complexité par essence) afin de trouver le meilleur ratio performances calibrage possible. Catégorisation des utilisateurs Chaque utilisateur, hormis les administrateurs mais y compris par exemple les personnels du service d assistance aux utilisateurs, doit être membre d une des catégories de profil suivantes : Utilisateurs Légers Il s agit d utilisateurs occasionnels de l informatique, non pas au sens temps de présence devant son écran, mais plutôt au sens comportement d utilisation. Un utilisateur léger lance 1 ou 2 applications à la fois et n en utilise généralement qu une. Ce n est pas un champion de la saisie au clavier ou de la manipulation des logiciels en cliquant partout. C est un utilisateur posé/réfléchi, qui utilise l informatique plus par contrainte ou pratique que par envie. Utilisateurs Standards Il s agit des utilisateurs habituels de l entreprise, qui forment généralement le plus grand nombre. S ils peuvent toutefois avoir un profil d utilisation de type léger, ils lancent en général 3 à 6 applications, sont à l aise avec l ensemble des manipulations Windows et bureautiques courantes et basculent facilement entre deux applications. Statistiquement, ils ont souvent un ordinateur personnel et/ou plusieurs années d utilisation derrière eux. Utilisateurs Confirmés Il s agit de quelques utilisateurs très à l aise avec l outil informatique, utilisant simultanément plusieurs applications dont ils tirent la quintessence, manipulant (clavier/souris) très rapidement et généralement sensibles aux performances des outils informatiques mis à leur disposition. Outre les services informatiques, on retrouve dans cette catégorie, les services classiquement consommateurs de ressources informatiques : bureaux d études, services commerciaux et/ou marketing/communication, etc. On comprend rapidement qu il conviendrait de répartir ces utilisateurs : Soit sur des serveurs dédiés en fonction de leur profil Dans ce cas, les serveurs pour les utilisateurs légers pourraient soit être moins calibrés, soit accueillir plus d utilisateurs simultanément, à l inverse de ceux dédiés aux utilisateurs forcenés. Mais cela va à l encontre de l homogénéisation des configurations serveurs (physiques et logiques). Soit sur chaque serveur proportionnellement à leur représentativité dans l entreprise. Dans ce cas, les n serveurs sont calibrés de façon identique, un nième des utilisateurs de chaque catégorie étant réparti dessus. Mais cela va à l encontre des possibilités standard d équilibrage de charge automatique entre - 4 -

208 différents serveurs d une même ferme Malheureusement, tout n est pas aussi simple : pour une application donnée, il se peut que l on soit en présence de profils d utilisateurs complètement opposés Répartition des applications par utilisateur La détermination de la solution idéale passe donc par un recoupement entre les applications, le nombre et le profil des utilisateurs qui les utilisent de façon potentielle (approche pour une éventuelle gestion des licences) mais surtout simultanée (approche pour la gestion des performances et donc le calibrage). La simultanéité d utilisation d une application est toujours difficile à appréhender : elle passe tant par la simultanéité de présence d un utilisateur dans l entreprise (congés, RTT, etc.), que par la fréquence d utilisation de l application d un utilisateur présent et enfin par le profil de l utilisateur lorsqu il utilise cette application. Il reste vrai que des utilisateurs forcenés participent à l augmentation de la simultanéité, parfois artificiellement (si je m en réfère à mon simple cas : en moyenne 8 applications ouvertes pour 2 à 3 utilisées réellement en parallèle donc 5 applications certes utilisées simultanément du point de vue du serveur mais du point de vue du travail ). Le tableau suivant peut permettre d évaluer l usage fait par les utilisateurs des applications pressenties : Ce sont bien les usages simultanés qui impactent le calibrage serveur, sous réserve que ceux ci aient été bien évalués. Il reste évident qu il ne s agira pas de calibrer trop juste, mais de prévoir une marge de manœuvre en terme de réserve de puissance, afin de subvenir tant aux éventuels pics d utilisation simultanée qu aux immanquables évolutions logicielles et leur cohorte de conséquences dont le nouveau profil de consommation de ressources serveur. c. Un gros serveur ou plusieurs petits? Le calibrage unitaire des serveurs TSE va bien sûr dépendre aussi du choix d architecture et du nombre total de serveurs, dans la mesure où l on considère que c est le nombre de serveurs souhaité qui détermine le calibrage de chacun d eux. On pourrait bien évidemment partir du concept inverse, à savoir que le calibrage unitaire possible des serveurs en déterminera le nombre, mais je préfère généralement réserver cette approche à une optimisation financière ultérieure qu à une démarche initiale volontaire. Donc globalement, les considérations précédentes concernant les utilisateurs et les applications servent à déterminer le besoin total en puissance, mémoire, processeur ou autre Le problème est de choisir une architecture pour disposer de cette puissance. Plusieurs logiques de regroupements de serveurs peuvent être considérées (et/ou combinées), essentiellement sur des critères fonctionnels, ce qui aboutit à un nombre minimum de serveurs déterminé par ferme. Si l on considère ensuite la puissance totale à fournir pour une ferme et que l on divise par le nombre minimal de serveurs obtenu précédemment, on obtient la puissance unitaire d un serveur TSE de la ferme considérée. Toutefois, il est possible : que la puissance serveur unitaire soit trop importante au regard des possibilités techniques des serveurs du marché au moment escompté. qu il soit économiquement plus intéressant de rediviser cette puissance sur de multiples plus petits serveurs. Méthodologiquement, il est toujours préférable de trouver d abord l adéquation «nombre minimum de serveurs/puissance unitaire possible maximum», pour ensuite vérifier si un ratio «nombre supérieur de serveurs/puissance unitaire inférieure» est économiquement, voire stratégiquement, plus intéressant. L intérêt économique peut être apporté par le fait que des serveurs «moins gros» constituent la plus grosse part en volume des ventes, et que donc les tarifs et/ou les possibilités de négociation sont plus alléchantes dans un environnement réellement concurrentiel

209 L intérêt stratégique peut venir du fait que si un gros serveur sur deux constituant la ferme TSE tombe en panne, c est 50% de la population des utilisateurs concernés qui s en trouve gênée (voire 100% si l on considère que le seul dernier serveur disponible va devoir encaisser toute la charge ) ; alors que dans le cas d une ferme de 5 serveurs plus petits, ce ne serait que 20% des utilisateurs qui seraient directement touchés et la répartition de charge sur les 4 «survivants» n imposerait qu un pic de charge supplémentaire de 5%! Vous l aurez compris : je suis par défaut plus partisan de grandes fermes de petits serveurs (dans la mesure du raisonnable s entend), que de quelques gros serveurs. Mais cela s évalue au cas par cas : moins de serveurs, c est aussi parfois moins de licences et toujours moins d administration! Une approche alternative théoriquement satisfaisante pourrait être la mise en place de multiples machines virtuelles légères sur quelques gros serveurs hôtes, mais pour l instant seulement théoriquement (voir chapitre un peu plus loin). Souvenez vous de cette règle d or : répartition fonctionnelle d abord, segmentation physique ensuite. 2. Le choix des composants Les composants matériels d un serveur TSE sont généralement plus sollicités que la moyenne des autres types de serveurs : cela vient du simple fait que le serveur TSE peut être simultanément utilisé par des utilisateurs aux applications et profils différents. Si elle reste la question numéro un que se posent les administrateurs quant à l implémentation d une solution clients légers basée TSE, le choix des serveurs et de leurs composants ne devrait pas occulter le choix d une architecture globale judicieuse. Si nous traitons les composants séparément, il reste entendu que nous n envisagerons d acquérir que des serveurs dignes de ce nom, c est à dire conçus en bloc par des constructeurs pour en assurer/assumer les rôles. a. Le(s) processeur(s) À l heure où nous écrivons ce livre, les processeurs entrée de gamme vivent une évolution logique mais importante, passant du 32 bits au 64 bits. Nous ne parlerons ici que des processeurs 32 bits (et donc des versions systèmes associées) et traiterons des architectures 64 bits un peu plus loin dans le chapitre. Un processeur classique du marché (Intel Xeon par exemple) est cadencé en fonction des possibilités offertes par son constructeur et de la période à laquelle on en projette l acquisition (dans le serveur de sa marque préférée). Il n est donc pas très intéressant/important de faire un comparatif des possibilités offertes par un tel processeur à 2,4 GHz plutôt qu un autre à 3 GHz : les deltas sont minimes et indignes d intérêt (pour mémoire : doubler la fréquence du processeur n apporte qu un gain de 25% en terme de performances globales). Prenez ce qu il y a! Un processeur classique du marché intègre aussi une part de mémoire cache, dont on peut dire globalement que plus il y en a, plus les performances sont bonnes. À titre d information, doubler la taille de la mémoire cache de second niveau équivaut à augmenter les performances d un serveur TSE d environ 10%. Le réel choix porte donc sur le nombre de processeurs dont nos serveurs TSE vont être dotés : 1, 2, 4 ou plus. Un serveur mono processeur sera rapidement limité, soit en terme de puissance brute, soit de saturation : si une application consomme temporairement 100% des ressources processeur, c est l ensemble du serveur et des utilisateurs qui sont saturés. Le démocratisation des processeurs Multi Core repousse toutefois ce problème. Un serveur bi processeur présentera a contrario, l avantage d une très faible probabilité de saturation, tout en restant abordable en terme de coûts : il s agit de plus en plus de serveurs entrée de gamme, parfois à moins de Euros! Il reste toutefois dommage d acquérir un tel serveur et de ne l équiper que d un seul processeur en réservant le second «au cas où» : l agrément d utilisation en présence du second processeur est sans égal. Les serveurs à 4 processeurs ou plus sont généralement réservés à d autres usages que TSE. Il reste bien entendu possible de les mettre en œuvre, mais la puissance processeur autorise une telle concentration d utilisateurs avant d être saturée que d autres composants serveurs ne sont plus aptes à répondre à la charge bien avant les processeurs, rendant souvent inutiles de telles machines (sauf exceptions ). En clair : il n est pas du tout certain qu un serveur quadri processeurs équivale deux serveurs bi processeurs (et par défaut, considérez que non). D autant plus que l ajout de processeurs supplémentaires n est pas synonyme de progression linéaire des performances : passer d un mono processeur a un bi processeur accroit les performances brutes de plus de 50% (et permet de bénéficier d une capacité de «non saturation» plus grande), alors que passer d un bi processeur à un quadri processeur n ajoute que moins de 50% de performances. Vous l aurez donc compris : privilégiez les bi processeurs Toutefois, dans le cas de systèmes 64 bits, les quadriprocesseurs peuvent être avantageux. Gardez aussi à l esprit qu un processeur chargé à 98% n est pas moins rapide que s il est chargé à 2% (mais pas plus non plus ) : il est seulement très (trop?) bien calibré! - 6 -

210 b. La mémoire RAM Un point très important. La mémoire est le composant qui détermine le plus fréquemment le calibrage serveur final. En effet, TSE est un gros consommateur de mémoire vive, ce qui est logique du fait que de nombreux utilisateurs exécutent simultanément l ensemble de leur environnement informatique sur un même serveur. Pour mémoire, voici le tableau des possibilités offertes par Windows en fonction des différentes versions disponibles : Attention aux systèmes 32 bits standard : pour simplifier les exemples et les calculs, nous considérerons ci après que leur capacité de gestion de 4 Go de mémoire RAM est complète, ce qui n est dans la réalité pas vraiment le cas (les services de terminaux se contentent bien souvent d environ 1,5 Go). Pour calibrer la mémoire vive, il va donc falloir procéder en deux étapes : Évaluer le besoin total en mémoire vive d une ferme de serveurs : En fonction des profils d applications. En fonction des profils d utilisations. En fonction d une pondération risque d erreurs/évolutions. Trouver la répartition entre les serveurs la plus adéquate possible : En fonction des possibilités de Windows. En fonction des possibilités du modèle de serveur pressenti. En fonction des coûts. À titre d exemple, et bien que cela puisse être un ratio empirique de calibrage mais sans l affirmer, fixons le contexte suivant et déroulons notre illustration : 240 utilisateurs standards utilisant simultanément leur ERP, la messagerie Outlook, 2 applications bureautiques (Word, Excel, Navigateur Internet, etc.), un utilitaire Windows, le tout via un bureau Windows standard. Suite à une analyse très poussée des profils d utilisation et d application, nous arrivons à la conclusion que chaque utilisateur consomme environ 50 Mo par session : 10 Mo pour la session RDP, le bureau Windows et l utilitaire. Ce chiffre est une valeur représentative de ce type. 10 Mo pour chaque application bureautique (donc 20 Mo au total). 15 Mo pour l ERP (par exemple), et pour Outlook (donc 30 Mo au total)