La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Vue densemble de. Quels sont les bénéfices techniques à migrer vers Windows Server 2008 ? Objectif du séminaire.

Présentations similaires


Présentation au sujet: "Vue densemble de. Quels sont les bénéfices techniques à migrer vers Windows Server 2008 ? Objectif du séminaire."— Transcription de la présentation:

1 Vue densemble de

2 Quels sont les bénéfices techniques à migrer vers Windows Server 2008 ? Objectif du séminaire

3 Les démonstrations et informations données dans cette présentation, se basent sur une version préliminaire (Beta) de Windows Server 2008, les informations présentées peuvent être soumises à changement et ce jusquà la mise à disposition commerciale du logiciel en version finale. © 2007 Microsoft Corporation. Tous droits réservés. Avertissement

4 SécuritéWebVirtualisation Fondamentaux

5 Plateformes 32 bits (x86) 64 bits (x64 et IA64*) Versions « classique » et « Server Core** » Web Standard Enterprise Datacenter * Rôles et fonctionnalités limités - ** uniquement sur Standard, Enterprise et Datacenter

6 Option dinstallation minimale Surface dexposition réduite Interface en ligne de commande Ensemble de rôles restreints Choix à linstallation ! Nest pas une plateforme applicative Server Core - « Rôles » Server Core Composants Sécurité, TCP/IP, Système de fichiers, RPC, plus dautre sous-systèmes Core Server DNSDHCP File & Print AD Server Avec.Net 3.0, shell, outils, etc. TS IAS Web Server Share Point Etc… Rôles du serveur (en plus de ceux de la version Core) GUI, CLR, Shell, IE, Media, OE, etc. WSV AD LDS Media Server IIS

7 Installation Fondamentaux

8 Installation de Windows Server 2008 Installation Par fichier image (fichier.wim) 2 modes Classique Serveur Core Configuration initiale Initial Configuration Tasks Administration du serveur Server Manager Gestion des rôles Gestion des fonctionnalités

9

10 Server Manager Votre nouvel ami Rationnaliser les outils et disposer dun outil central permettant dajouter, de configurer et de gérer les différents rôles et fonctionnalités du serveur – Un seul outil pour configurer Windows Server 2008 – Portail dadministration –Ligne de commande servermanagercmd.exe

11 Active Directory Fondamentaux

12 Objectifs Disposer de mécanismes permettant une installation granulaire dActive Directory Améliorer la prise en charge des serveurs distribués géographiquement (agences) Optimiser la consommation de bande passante Elever le niveau de sécurité

13 Active Directory Domain Services Active Directory Domain Controller Active Directory Lightweight Directory Active Directory Application Mode Active Directory Rights Management Rights Management Services Active Directory Certificate Services Windows Certificate Services Active Directory : nomenclature

14 Active Directory dans Windows Server 2008 Installation Nouvel assistant de promotion en contrôleur de domaine Installation automatisée améliorée Prise en charge du mode Server Core Sécurité Authentification, autorisations et audit Contrôleur de domaine en lecture seule Performance Réplication Sysvol différentielle Administration Active Directory sous forme de service Editeur dattributs Protection contre les suppressions accidentelles Administration des stratégies de groupe avec GPMC

15 Support du server core Utilise les crédentiels de lutilisateur connecté pour la promotion Sélection des rôles : DNS (défaut), GC (défaut), RODC Mode avancé (/adv) Sélection du site (par défaut : auto-détection) Réplication AD durant la promotion: DC particulier, nimporte quel DC, média (sauvegarde AD) Auto-configuration du serveur DNS Auto-configuration du client DNS Création et configuration des délégations DNS Active Directory Domain Services DCPROMO dans Windows Server 2008

16

17 Active Directory Domain Services Sécurité Authentification Support dAES 256 bits pour Kerberos Envoi du certificat du DC lors de PKINIT (stapling) Stratégies de mots de passe multiples Autorisations Gestion plus granulaire des droits des propriétaires - Owner Access Right Application plus efficace des politiques de mots de passe Accès aux données sensibles - Confidentiality Bit Audit Modularité de mise en œuvre plus fine Ajout des champs ancienne valeur et nouvelle valeur au sein des événements

18 Politique de mots de passe multiples Aujourdhui la politique des mots de passe appliquée se définit pour lensemble du domaine Default Domain Policy dans un AD 2000/2003 Pas assez granulaire pour certaines organisations Avec Windows Server 2008 : il devient possible de définir des politiques de comptes au niveau des utilisateurs et des groupes du domaine Ne sapplique pas ni à lobjet ordinateur ni aux comptes locaux (utilisateurs hors domaine) Nécessite un niveau fonctionnel de domaine Windows Server 2008 Le schéma doit être en version 2008 Utilisation dune nouvelle classe dobjets msDs-PasswordSetting s

19 Stratégies de mots de passe multiples Guide Pas à pas Définir la structure d'organisation et les politiques de mot de passe nécessaires Créer les groupes nécessaires et ajoutez/déplacez des utilisateurs Créer les objets paramètres de mot de passe (Password Settings Objects) pour toutes les politiques de mot de passe définies Appliquer les PSOs aux utilisateurs/groupes de sécurité globaux appropriés

20 Le retour du BDC de Windows NT 4.0 ? Réduire la surface dexposition des DC Réduire limpact sur les utilisateurs et le reste de linfrastructure Active Directory en cas de compromission ou de vol dun DC La copie locale de lannuaire de chaque RODC est en lecture seule (droits en écriture très limités) Réplication unidirectionnelle AD, FRS/DFS-R et DNS Chaque RODC dispose de son propre compte KDC KrbTGT (identique à serveur membre) Les comptes machines des RODC nappartiennent pas aux groupes Enterprise DC et Domain DC mais à un groupe spécifique « Read-only Domain Controllers » Un RODC ne stocke pas de condensés de mot de passe (hors Administrateur local et compte de machine) et autres attributs sensibles Contrôleur de domaine en lecture seule (Read Only Domain Controller)

21 Séparation des rôles dAdministration (uniquement valable sur les RODC) Le nombre dadministrateurs du domaine est souvent trop important Dans la plupart des cas ce niveau de privilège nest nécessaire que de manière locale Windows Server 2008 fournit un nouveau niveau daccès local administrator pour chaque RODC Intègre tous les Builtin groups (Backup Operators, etc) Empêche les modifications accidentelles dActive Directory par les administrateurs locaux Nempêche pas les modifications intentionnelles de la base locale par les administrateurs locaux

22 Read-Only DC Authentification 1.AS_Req vers le RODC (requête pour TGT) 2.RODC: regarde dans sa base: Je nai pas les crédentiels de lutilisateur" 3.Transmet la requête vers un Windows Server 2008 DC 4.Windows Server 2008 DC authentifie la demande 5.Renvoi la réponse et la TGT vers le RODC (Hub signed TGT) 6.RODC fournit le TGT à lutilisateur et met en queue une demande de réplication pour les crédentiels 7.Le Hub DC vérifie la politique de réplication des mots de passe pour savoir sil peut être répliqué

23 Politique de réplication des mots de passe Pas de mise en cache des comptes (défaut) La plupart des comptes sont cachés Quelques comptes sont cachés (comptes en agence)

24

25 Mise en œuvre en environnement Active Directory 2003 Sassurer que la forêt est en mode fonctionnel 2003 Utilisation de la réplication en mode LVR Les RODC nécessitent la délégation contrainte Kerberos Au minimum un DC en lecture-écriture doit être en version 2008 Le DC hébergeant le rôle FSMO PDC Emulateur doit être en version 2008 ADPREP /RodcPrep Nouveau commutateur permettant de définir les ACL sur les partitions DNS pour la réplication RODC ADPREP /DomainPrep Dans chaque domaine de la forêt si un ou plusieurs RODC doivent héberger le Global Catalog ADPREP /ForestPrep Mise à jour du schéma Active Directory Domain Services Read-Only DC - Déploiement

26 Mise en œuvre en environnement Active Directory 2008 Le premier DC de la forêt ainsi que de chaque domaine ne peut pas être un RODC Limitations Les FSMO ne peuvent pas être des RODC Les serveurs tête de pont (Bridge-head) ne peuvent pas être des RODC Coexistence DC Windows Server 2003 et 2008 en lecture-écriture et RODC peuvent coexister au sein du même site Plusieurs RODC dun même domaine ou de différents domaines peuvent coexister au sein du même site Active Directory Domain Services Read-Only DC - Déploiement

27 Active Directory Domain Services Administration Disponible en mode Server Core Réduction de la surface dexposition Réduction de lindisponibilité planifiée liée à linstallation des correctifs de sécurité Active Directory sous forme de service Réduction de lindisponibilité planifiée liée aux opérations de maintenance Editeur dattributs Modification possible de lensemble des informations sans outils tiers ou ADSIEDIT Protection contre les suppressions accidentelles OOOups, qui a supprimé lOU Users ???? Snapshot Viewer Jai retrouvé lOU Users !!!! Administration des stratégies de groupe avec GPMC

28 Administration du Serveur Fondamentaux

29 Objectifs Rationaliser les outils dadministration Elargir les possibilités offertes en terme dadministration locale et distante Déployer plus rapidement de nouveaux systèmes (postes et serveurs)

30 Administration et Windows Server 2008 Le Server Manager Windows PowerShell Active Directory redémarrable Administrateurs locaux sur RODC Stratégies de groupes (GPO) (GPMC, admx/adml) Journaux et structure des événements Planificateur de tâches Administration Windows à distance WinRM Sauvegarde / restauration Outils de diagnostics Outils en ligne de commande

31 Server Core - Administration Locale ou distante en ligne de commande Outils basiques WinRM et Windows Remote Shell pour lexécution à distance WMI et WMIC (locale et à distance) Terminal Services (à distance) Microsoft Management Console (à distance) RPC, DCOM SNMP Planificateur de tâches Evénements et transfert dévénements Pas de support du code managé donc pas de support de Windows PowerShell

32 Services de déploiement Windows (Windows Deployment Services) Solution de déploiement pour Windows Server 2008 Nouvelles technologies : WIM, IBS, WinPE Ensemble doutils pour personnaliser linstallation Démarrage à distance dun environnement de pré- installation (WinPE) Notion de serveur PXE Support du multicast Administration graphique et en ligne de commande Wdsutil.exe

33 Terminal Server : accès centralisé aux applications Fondamentaux

34 Terminal Services avec Windows Server 2008 Améliorer lexpérience utilisateur et enrichir les scénarios dusages Permettre laccès de nimporte où Faciliter le déploiement des applications Offrir un portail daccès Authentification unique Nouveautés Passerelle TS (TS Gateway) Applications distantes (Remote Apps) Portail TS Web Authentification unique Impression (Easy Print) Centre de données En déplacement avec son ordinateur portable En agenceDe la maison

35 TS Gateway Accès distant au bureau et applications internes DMZ HTTPS (TCP 443) Internet LAN dentreprise Hôtel, hotspot Pare-feu externe Pare-feu interne Partenaire / employé sur un site client Poste de travail (avec bureau distant) Terminal Server TS Gateway Active Directory TS Web La maison RDP dans RPC/HTTPS RDP (TCP 3389)

36 Connection Authorization Policies (CAPs) Les stratégies CAPs permettent de spécifier qui peut utiliser et donc se connecter à une Passerelle TS. Il suffit de spécifier un groupe dutilisateurs soit : local au serveur Passerelle TS dans lActive Directory Il est possible de spécifier dautres conditions que les utilisateurs doivent satisfaire pour accéder à la Passerelle TS. Bien que les stratégies CAPs autorisent les utilisateurs à accéder à la Passerelle TS, ils nautorisent pas ces utilisateurs à accéder aux ressources Terminal Server sur le réseau dentreprise Pour cela, il faut définir des RAPs

37 Resource Authorization Policies (RAPs) Les stratégies RAPs permettent dautoriser laccès vers des ressources Terminal Server à des utilisateurs connectés au travers de la Passerelle TS. Sans RAP : pas daccès aux services TS via la Passerelle TS Il faut donc, dans un premier temps, définir des groupes de ressources (Resource Groups) = liste de serveurs TS Puis créer une RAP en associant un ou plusieurs groupe(s) de ressources à des utilisateurs ou groupes dutilisateurs Liste de serveurs TS: Ressource Group (RG) Utilisateur(s) ou groupe(s) dutilisateurs Stratégie daccès aux groupes de ressources (RAPs)

38 Les applications distantes (Remote Apps) Applications qui sexécutent sur le Serveur TS Intégration avec le bureau de lutilisateur sous la forme de raccourcis Accès aux données locales Intégration dans la barre de taches Glisser & Déplacer Côte à côte avec les applications locales Bénéfices: Meilleure ergonomie, diminution la complexité (bureaux multiples), Intégration avec le client RDP 6.x Gestion centralisée des applications Déploiement de lapplication sans installation des binaires sur le poste (.msi,.rdp) Bénéfices: Meilleure ergonomie, diminution la complexité (bureaux multiples), Intégration avec le client RDP 6.x Gestion centralisée des applications Déploiement de lapplication sans installation des binaires sur le poste (.msi,.rdp)

39 Exécution distante de « faux » programmes?! Les programmes distants… Ont lapparence dapplications locales… Accèdent aux ressources locales avec les redirections… Sont donc un vecteur potentiel dattaque contre les clients.. Solution: RDPSign Permet de signer numériquement un fichier RDP Le certificat de léditeur permet de déterminer lorigine Nouvelle interface utilisateur permettant daccorder ou pas la confiance à lapplication La décision de confiance de lutilisateur est contrôlable par stratégie de groupe Savez-vous qui récupère votre mot de passe ?

40 Portail TS Web Objectif : Offrir un portail sous la forme de Web part pour accéder aux applications Terminal Server Spécifier le serveur lorsquil existe un seul serveur TS Personnaliser à partir de solutions personnalisée ASP ou tierce parties

41 Single Sign On Possible avec le client Windows Vista ou Windows Server 2008 et un serveur TS Windows 2008 Configurer lauthentification sur le serveur Security layer : Negociate ou SSL Configurer la délégation des crédentiels sur le client

42 Terminal Services Easy Print Pilote dimpression universel Problématiques Le bon pilote dimpression nest pas installé sur le serveur TS Il nexiste pas de pilote pour le système serveur (ex. 64 bits) Solution : TS Easy Print Redirection transparente des imprimantes disponibles sur les clients sans installation de pilotes sur les serveurs Utilisation du format XPS (XML Paper Specification) Toutes les options constructeurs sont disponibles au sein de la session TS pour lutilisateur (panneau de configuration de limprimante) Réduction de la bande passante pour des travaux dimpression standards ou imprimés plusieurs fois

43 Plateforme Web Web

44 Objectifs Fournir une plateforme modulaire Assurer une sécurité par défaut Disposer doutils dadministration adaptés à tous les profils Faciliter la collaboration administrateurs / développeurs Saffranchir des restrictions existantes sur les versions antérieures

45 Approche modulaire Installation personnalisable : Plus de 40 modules Un module est soit une DLL Win32 (module natif) soit du contenu.NET 2.0 dans une assembly (module managé) Tous les modules peuvent être ajoutés, supprimés voire remplacés par des modules développés en C++ (API IIS 7.0) ou avec les API ASP.NET 2.0

46

47 ASP.NET sur IIS 6.0 IIS6 Implémentation Monolithique Extensibilité limitée ASP.NET Extension ISAPI Ne traite que les requêtes ASP.NET (.aspx)

48 ASP.NET sur IIS modes ASP.NET : Mode ISAPI (pour compatibilité) Mode intégré ASP.NET HttpModules directement dans le server Le code du HttpModules ou du Global.asax peut porter sur toutes les requêtes Le serveur peut être étendu ou personnalisé avec du VB ou du C#

49 Configuration unifiée IIS7 fournit aux développeurs et administrateurs un système de configuration unifiée pour le paramétrage dASP.NET et de IIS 7.0 sous la forme de fichiers XML. Pour accéder à ces fichiers, IIS 7.0 dispose dun ensemble de codes managés et dAPI de scripting permettant dagir sur cette configuration IIS 7.0 permet également de stocker la configuration dans un fichier web.config situé dans le même répertoire que le site ou lapplication. Ce fichier peut être copié de machine à machine, simplifiant ainsi les déploiements dans des fermes de serveurs Web

50 Hiérarchie des fichiers de configuration Machine.configRoot Web.configApplicationHost.configWeb.config (optionnel).Net Framework IIS Local ou distant (UNC)

51 Gestion des fermes web – configuration centralisée Scenario dusage pour les fermes de serveurs Web Les serveurs web partagent un même fichier de configuration Le fichier de configuration est accessible via un chemin UNC Les paramètres de configuration sont stockées dans le fichier redirection.config Disponible en Workgroup ou AD (compte local ou AD) XML AppHost.config

52 IIS 7- Administration Plusieurs méthodes Console Internet Information Server Manager Outil en ligne de commande : Appcmd.exe Edition manuelle des fichiers XML de configuration API Administration (pour développeurs.Net) API Administration scriptée (pour administrateurs développeurs WMI)

53 Délégation dadministration La fonction de délégation dans IIS 7 permet : Le verrouillage de sections de configuration pour contrôler quels paramétrages peuvent être définis dans les fichiers web.config (en général, une section de configuration de IIS correspond à un module de IIS) De définir par site et application, les utilisateurs autorisés à utiliser la console IIS Manager pour : Voir la configuration Modifier la configuration des fonctions qui ont leur section "déverrouillée"

54 Sécurité de IIS 7.0 IIS 7.0 a été conçu avec les mêmes exigences et fondamentaux que IIS 6.0 et améliore encore cette approche sécurité sur 3 points : Surface dexposition réduite IIS 6.0 = verrouillé par défaut IIS 7.0 = installation minimale par défaut Gestion de la sécurité plus flexible Délégation granulaire de ladministration Utilisateur et group par défaut (Built-in) Nouvelles fonctions de sécurité Au revoir URLScan, bonjour Request Filtering Nouveau : Hidden Namespaces

55 Nouveautés du serveur FTP pour IIS 7 Intégration avec la nouvelle configuration et les outils dadministration dIIS 7.0 Support des nouveaux standards Internet SSL (FTPS) UTF8 IPv6 Amélioration des environnements hébergés Intégration avec les sites Web Support des noms dhôtes Isolation des utilisateurs améliorée Extensibilité Authentification personnalisée (utilisation de comptes non-Windows) Commandes personnalisées

56 Virtualisation

57 Virtual Hard Disks VM 1 Parent VM 2 Child VM 3 Child Windows Server Virtualization Virtualization Platform and Management Standard Hardware Windows Server 2003 Virtual Server 2005 R2 VM 2 VM 3 Windows HyperVisor Intel VT / AMDV

58 Windows Server Virtualisation Objectifs Améliorer les performances : fondé sur un hyperviseur Souvrir de nouveaux scénarios dusage Etendre considérablement la notion de virtualisation de périphériques Définition Hyperviseur : fine couche logicielle situé sous tous les OS Partition parente : une partition qui gère ses enfants Partitions enfant : tout nombre de partitions qui sont démarrées, gérées et arrêtées par leur parent Pile de virtualisation : la collection des composants qui sexécutent dans la partition parente pour la gestion de la machine virtuelle

59 Windows Server Virtualization Application Invité Operating System H/W Virtuel H/W Virtuel R2 Serveur x86/x64 Assistance matérielle à la Virtualisation Intel VT/AMD-V (32-bit et 64-bit) Windows Hypervisor VM 1 Parent Disponible avec Microsoft Virtual Server 2005 R2 SP1 Windows Hypervisor le supportera Solution de virtualisation Haute performance Disponible avec Longhorn Windows Server 'Longhorn Datacenter Edition : nombre illimité dinstances virtualisées Migration depuis Microsoft Virtual Server VM 2 Enfant VM 3 Enfant VM 4 Enfant Partition Parent Partition Enfant Couche de virtualisation

60 Architecture de Windows Server Virtualization Partition Parente Partitions Enfant Mode Kernel Mode User Virtualization Service Providers (VSPs) Noyau Windows Server Core IHV Drivers Virtualization Service Clients (VSCs) Noyau Windows Enlightenments VMBus Hyperviseur Windows Virtualization Stack VM Worker Processes VM Service WMI Provider Applications Hardware Serveur Designed for Windows Fourni par : Microsoft ISV OEM Virtualisation

61 Collaboration Microsoft - XenSource Windows hypervisor Designed for Windows Server Hardware Basic Linux Kernel Applications Windows Kernel Longhorn Server VSP Windows Server 2003, Longhorn Applications Windows Kernel VSC VMBus Emulation Xen-enabled Linux Kernel Applications VSC VMBus Fourni par: OS MS/XenSource ISV/IHV/OEM Windows virtualization

62 Windows Server Virtualization

63 Sécurité & respect des politiques Sécurité

64 Objectifs Améliorer la résistance du système par réduction de la surface dexposition et des vecteurs potentiels dattaques. Protéger les données et les informations Elever le niveau dintégrité des réseaux dentreprise

65 Windows Server 2008 et la sécurité Résilience du système Intégrité du code Renforcement des services Windows Contrôle de lusage des périphériques Mise à jour du système Fonctions réseaux Pare-feu bidirectionnel / IPSec Network Access Protection (NAP) User Account Control (UAC) Internet Explorer 7 Filtre Anti-phishing, mode protégé Démarrage sécurisé et chiffrement intégral de volume (BitLocker) Active Directory / Right Management Services Crypto Next Generation, Active Directory / Certificates Services Amélioration de la résistance du système par réduction de la surface et des vecteurs potentiels dattaques. + Protection des données et informations

66 Protection des données avec BitLocker Drive Encryption BitLocker est un moyen de chiffrer intégralement un volume sous Windows Vista et Longhorn Lobjectif est de se protéger linformation contenue sur le disque en cas de vol ou dattaque « Offline » Combiné avec lutilisation dun TPM (version 1.2c et plus) En complément du RODC, BitLocker aide à réduire la surface dattaque des serveurs hébergés dans des locaux moins sécurisés que des centres de données

67 Crypto Next Generation (CNG) Nouveau Framework Crypto (par rapport à Crypto API) Simplification du développement de fournisseurs de cryptographiques Capacité en mode noyau et utilisateur dutiliser ses propres implémentations (y compris algorithmes propriétaires) Implémentation de façon native des algorithmes ECC (ECDSA, ECDH), SHA2 (Suite-B) CNG satisfait les exigences Critères Communs (EAL 4+) et FIPS (140-2 niv 2) pour lisolation forte et laudit Et va être soumis pour certification auprès des organismes concernés CNG devient lAPI cryptographique recommandée Cryptographic Next Generation Software Development Kit for Windows Vista Complément du Software Development Kit for Windows Vista and.NET Framework 3.0 Runtime Components

68 Active Directory Certificate Services Consiste en 4 services (ou composants) Certification Authority Certification Authority Web Enrollment (CAWE) Online Certificate Status Protocol (OCSP) Nouveau service conforme à la RFC 2560 Microsoft Simple Certificate Enrollment Protocol (MSCEP) Add-on pour Certificate Services de Windows Server 2003 R2

69 Principe de fonctionnement dOCSP Répondeur OCSP Serveur avec certificat Client OCSP 1 2 Requête OCSP 3 Réponse OCSP 4

70 AD Right Management Services AD RMS v2 est une solution de gestion des droits dutilisation et pas uniquement des droits daccès offrant une protection contextuelle et persistante Impose le chiffrement du contenu Droits dusage associés au contenu et pas au système de fichiers offrant protection indépendante de lemplacement physique de stockage Offre une protection pendant et après la publication AD RMS permet la définition de règles Définition et application à léchelle de lentreprise Suivi du cycle de vie de linformation Solution à valeur ajoutée Support via développement de solutions/format tiers Le format XPS facilite lintégration avec les applications existantes

71 Network Access Protection (NAP) NAP est composé de composants clients et de composants serveurs qui permettent de définir létat de conformité logicielle et système souhaité pour les ordinateurs se connectant à un réseau dentreprise NAP nest pas conçu pour sécuriser un réseau vis à vis dutilisateurs malveillants. Il a été conçu pour aider les administrateurs à maintenir la bonne santé des postes sur le réseau, ce qui permet ainsi dassurer un meilleur niveau dintégrité sur lensemble du réseau de lentreprise

72 NAP - La surcouche santé des réseaux Validation vis à vis de la politique Détermine si oui ou non les machines sont conformes avec la politique de sécurité de lentreprise. Les machines conformes sont dites saines (ou « en bonne santé ») Restriction réseau Restreint laccès au réseau selon létat de santé des machines Mise à niveau Fournit les mises à jour nécessaires pour permettre à la machine de devenir saine. Une fois en bonne santé, les restrictions réseau sont levées Maintien de la conformité Les changements de la politique de sécurité de lentreprise ou de létat de santé des machines peuvent résulter dynamiquement en des restrictions rése au

73 Demande daccès ? Voici mon nouveau status Est ce que le client doit être restreint en fonction de son status? En accord avec la politique, le client nest pas à jour. Mise en quarantaine et demande au client de se mettre à jour Puis je avoir accès ? Voici mon status actuel En accord avec la politique, le client est à jour Accès autorisé Architecture & principe général Network Policy Server Client Network Access Device (DHCP, VPN, 802.1x IPSec, passerelle TS) Remediation Servers (antivirus, système de maj de correctifs…) Mise à jour du serveur Radius avec les politiques en cours Vous avez droit à un accès restreint tant que vous nêtes pas à jour Puis je avoir les mises à jour ? Les voici Réseau de lentreprise Réseau restreint (« quarantaine ») Le Client obtient laccès complet au réseau dentreprise System Health Servers (défini les pré requis du client)

74 Serveur(s) de politique Policy Server Network Policy Server Quarantine Server System Health Validator Périphériques daccès au réseau Quarantine Enforcement Server Serveur RADIUS Network Policy Server (NPS) Serveur de quarantaine (QS) Client Agent de quarantaine (QA) Stratégie de santé Mises à jour États de santé Demandes daccès au réseau Serveur(s) de politique Serveur(s) de remèdes Certificat de santé Périphériques daccès au réseau (DHCP, 802.1X, VPN, TS) & Autorité denregistrement santé (HRA) Agents de santé (SHA) MS et tiers System Health Validators (SHV) MS et tiers Clients dapplication (QEC) (DHCP, IPsec, 802.1X, VPN) Composants de NAP Serveur de remèdes Remediation Server Client System Health Agent Quarantine Agent Quarantine Enforcement Client SHA QA QEC RS PS SHV QS QES

75 Mécanismes de restrictions daccès DHCP Le serveur DHCP contrôle laccès en définissant les routes et les paramètres IP du client DHCP Nécessite une mise à jour du serveur DHCP (Windows Server 2008 ou solution partenaire NAP) 802.1x Ports contrôlés vs ports non contrôlés Quarantaine par mise en place de filtres IP ou par affectation à un VLAN VPN Les serveurs VPN contrôlent laccès en appliquant des filtres IP Nécessite une authentification basée sur PEAP IPSec Mécanisme disolation au niveau hôte Si vous utilisez déjà IPSec pour lisolation de domaine ou de serveurs

76 AntivirusLogiciels de sécuritéCorrectifs Équipements de sécurité Périphériques réseau Intégrateurs de systèmes Partenaires NAP

77 Haute disponibilité Sécurité

78 Objectifs Aider ladministrateur lors de linstallation dun cluster de ressources Rationnaliser loutil dadministration Étendre les scénarios dusage

79 Failover Clustering (WSFC) Améliorations dans linstallation, ladministration et la migration Assistant de validation (nœud, réseau, stockage) Assistant de création du cluster Nouvelle console dadministration Administration améliorée au travers de WMI Sécurité Le service cluster nutilise plus de compte de service mais le compte LocalSystem Stabilité Nouveau modèle de quorum Support des disques GPT (taille > 2 To)

80 Validation de la configuration

81 Installation cluster

82 i… Cluster Administrator aujourdhui… Nouvelle console MMC

83 A retenir sur le cluster (WSFC) Jusquà 16 nœuds sur un serveur x64 !!!! Validation du Cluster : nœuds, disques et réseau Installation : Simplifier, valider et déployer Outils dadministration : Console MMC, ligne de commande cluster.exe, WMI, support des clichés instantanés Réseau : Support IPv6, DHCP pour IPv4, plus de dépendance NetBIOS Outil de migration de MSCS 2003 vers WSFC Modèle de sécurité : Plus de compte de service cluster Modèle de Quorum : Eliminer le SPOF Géo-Cluster : battement de cœur (heartbeat) sur UDP et configurable, nœuds sur des segments réseau différents Stockage : Fiber channel, iSCSI, SAS (Serial Attached SCSI), mode de maintenance

84

85 Renforcement de lOSRenforcement de lOS Réduction de la surface dexpositionRéduction de la surface dexposition Contrôle daccèsContrôle daccès ChiffrementChiffrement Déploiement et administrationDéploiement et administration Installation et supervision par types dutilisation (rôles)Installation et supervision par types dutilisation (rôles) Contrôle Protection Flexibilité Virtualisation Accès à distance aux applications Infrastructure Web Déploiement accéléré Pour résumer: Windows Server 2008 en 3 points

86 2ème semestre 2006 Sept 2005 avril 2007 Fonctionnalités complètes H Feuille de route Disponibilité

87 Ressources utiles Blog :


Télécharger ppt "Vue densemble de. Quels sont les bénéfices techniques à migrer vers Windows Server 2008 ? Objectif du séminaire."

Présentations similaires


Annonces Google