Windows Server 2008 R2 : sécurité et haute disponibilité 4/17/2017 5:53 AM Windows Server 2008 R2 : sécurité et haute disponibilité Stanislas Quastana & Fabrice Meillon Architectes Infrastructure Microsoft France http://blogs.technet.com/windows7 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Pourquoi mélanger sécurité et haute disponibilité? La sécurité sert principalement à répondre à 3 besoins : Confidentialité Intégrité Disponibilité

Agenda Quelques rappels Les nouveautés de Windows Server 2008 R2 Sécurité Windows Server Failover Clustering

Windows Server 2008 et la sécurité Objectifs : Améliorer la résistance du système par réduction de la surface et des vecteurs potentiels d’attaques. Protéger les données et les informations 4

Windows Server 2008 et la sécurité Investissements Résilience du système Fonctions réseaux User Account Control (UAC) Internet Explorer 7 Chiffrement intégral des volumes (BitLocker) Active Directory Right Management Services Crypto Next Generation, AD Certificates Services Network Access Protection (NAP) 5

Windows Server Failover Clustering Le cluster de basculement est un groupe d’ordinateurs connectés ensemble pour garantir la disponibilité des applications et des services hébergés. Windows Server 2008 Aide l’administrateur lors de l’installation d’un cluster de ressources Rationnalise l’outil d’administration du cluster Étend les scénarios d’usage INF210

Le cluster de basculement Architecture de haute disponibilité 4/17/2017 Réseau communication intra cluster NŒUD1 NŒUD2 Attachement iSCSI ou FC Réseau public Disque quorum Disques applicatifs © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Caractéristiques de WSFC dans Windows Server 2008 4/17/2017 5:53 AM Caractéristiques de WSFC dans Windows Server 2008 Jusqu’à 16 nœuds en cluster avec des serveurs x64 Assistant de validation du Cluster Assistant d’installation Nouveaux outils d’administration Améliorations Réseau Outil de migration de MSCS 2003 vers WSFC Nouveau modèle de sécurité Nouveau modèle de Quorum Mode de maintenance pour les disques Support du Géo-Clustering © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Quoi de neuf avec Windows Server 2008 R2 ?

Du coté de la sécurité Un maitre mot : poursuivre les investissements Protéger les données de l’entreprise… …et de l’utilisateur Apporter plus de flexibilité aux infrastructures à clés publiques (PKI) Adapter les méthodes d’authentification aux besoins Simplifier la gestion des comptes de services Enrichir l’audit

Protection des données sur les serveurs Disque préparé par défaut pour BitLocker dès l’installation du système Sur Windows Server 2008, il faut prévoir cette organisation des volumes sur le disque Chiffrement des disques internes Partition de Boot Partition(s) de données

Protection des données mobiles Chiffrement des périphériques externes BitLocker To Go ™ Permet de chiffrer intégralement les périphériques amovibles Ne nécessite pas de matériel spécifique Est entièrement configurable via stratégies de groupes L’administrateur peut imposer le chiffrement de tout périphérique avant usage

Active Directory Certificates Services dans Windows Server 2008 R2. Objectifs: Apporter plus de flexibilité lors du déploiement d’une infrastructure PKI Offrir de nouveaux scénarios Fournir un meilleur support de NAP Support des demandes de certificats entre forêts Certificate Enrollment Web Service et Certificate Enrollment Policy Web Service Optimisation de la gestion des certificats à usage temporaire

Adapter les méthodes d’authentification aux besoins Aujourd’hui il est difficile de déterminer le type d’authentification fournit par l’utilisateur (mot de passe, carte à puce) lorsqu’il accède à des ressources Exemple: comment contrôler l’accès aux ressources en fonctions d’informations telles que l’utilisation d’une carte à puce ou le fait que le certificat utilisé ait une clé publique de 2048 bit Objectif : permettre aux administrateurs de contrôler l'accès aux ressources/applications en fonction du type et de la force de la méthode d'authentification

Authentication Assurance Les administrateurs peuvent faire correspondre différentes propriétés, dont le type d’authentification ou sa force avec une identité En fonction des informations fournies lors de l’authentification, ces identités sont ajoutées au ticket Kerberos pour être utilisées par les applications Fonctionnalité disponible dans le nouveau niveau fonctionnel de domaine Windows Server 2008 R2

User Account Control Toujours présent Toujours utile Mais moins visible  Amélioration de l’expérience utilisateur

Stratégies UAC Windows 7 / Server 2008 R2 Windows Vista / Server 2008

Network Access Protection Multiples configurations du System Health Validator (SHV)

Simplifier la gestion des comptes de service Bref rappel historique La gestion des comptes de service est souvent source de problèmes / questions Les opérations de maintenance fréquentes peuvent engendrer des indisponibilités Exemple: réinitialisation du mot de passe d’un compte de service pour une application critique La mise en place de la politique de sécurité est rendue plus complexe ou limitée dans son périmètre

Administration simplifiée des comptes de service « Managed Service Accounts » Une solution d’administration permettant d’adresser les besoins d’isolation des comptes de services Un compte de service administré (MSA) par service par machine Gestion améliorée des Service Principal Names (SPN) en mode fonctionnel Windows Server 2008 R2 au niveau domaine Amélioration du TCO via une réduction des indisponibilités et de la charge d’administration

DNSSEC = DNS utilisant des certificats émis par une PKI Sécuriser DNS Objectifs Prouver que l’information provient de la bonne source Prouver que l’information n’a pas été modifiée Solution : Signatures – Chiffrement à clés publiques DNSSEC = DNS utilisant des certificats émis par une PKI

Simplifier l'audit Objectifs : Audit global Augmenter le niveau de détail dans l’audit de sécurité Simplifier la configuration et l’administration des politiques d’audit Audit global Registre et système de fichier Reporting « Raison de l’accès » Paramètres avancés d’audit Local Policies\Audit Policy

Démo Sécurité en action 4/17/2017 5:53 AM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows Server Failover Clustering

Failover Cluster dans Windows Server 2008 R2 Objectifs : Etendre l’assistant de validation Améliorer l’outil de migration Rendre possible le déplacement de machines virtuelles entre nœuds sans interruption de service au niveau de la machine virtuelle (Live Migration d’Hyper-V) Offrir une administration avancée

Validation des configurations Extension de la couverture fonctionnelle de l’assistant de validation des configurations Exécution lors de la configuration initiale et/ou après le déploiement (configuration du cluster) Exemples de tests supplémentaires : Informations de configuration destinées au support et à la documentation pour le service IT Configuration réseau étendue (bindings, réseaux multiples) Tests n’engendrant pas d’interruption de service Recommandations en terme de bonnes pratiques Exécution à distance ou depuis l’un des nœuds du cluster

Validation de la configuration 4/17/2017 5:53 AM Démo Validation de la configuration © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Assistant de migration Permet de migrer la majorité des applications ou services DFS-N, DHCP, DTC, serveur de fichiers, application générique, script générique, service générique, iSNS, MSMQ, NFS, Terminal Services Connection Broker, WINS Les autres applications doivent être migrées avec leur propre mécanisme

Services pouvant être mis en œuvre en cluster avec 2008 R2 Les nouveaux DFS-R Remote Desktop Connection Broker Les plus courants Hyper-V SQL Server Exchange Server Serveur de fichiers Serveur d’impression Tierces parties Différents rôles, ex: base de données Les autres MSMQ DTC DHCP DFS-Namespace NFS iSNS WINS Les génériques Application Générique Script Générique Service Générique

Le cluster de basculement Principe de fonctionnement 4/17/2017 5:53 AM Le cluster de basculement Principe de fonctionnement Depuis son origine Windows Server implémente un modèle de cluster de type “share nothing” Dans ce modèle chaque disque est la propriété d’un unique nœud à chaque instant, seul ce nœud est capable d’effectuer des I/O sur le disque Un seul nœud peut accéder un LUN à un instant SAN Stockage partagé

Cluster Shared Volume Tous les serveurs “voient” le même stockage (LUN)

Activation de CSV

Cluster Shared Volume Mise en oeuvre 4/17/2017 5:53 AM Démo Cluster Shared Volume Mise en oeuvre © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Création d’un CSV

Sélectionner le disque Création d’un CSV Sélectionner le disque

TechReady7 Breakout Chalktalk Template 4/17/2017 Cluster Shared Volume Permet à de multiples nœuds d’accéder de manière concurrente à un unique LUN partagé Ne nécessite pas de démonter puis de remonter les volumes ce qui peut engendrer de 500 à 700 ms d’indisponibilité lors de la modification de propriétaire Fournit aux VM une transparence complète vis-à-vis du nœud propriétaire d’un LUN Les VM peuvent être déplacées sans nécessiter de changement de propriété de LUN © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

En quoi CSV est-il spécifique ? TechReady7 Breakout Chalktalk Template 4/17/2017 En quoi CSV est-il spécifique ? CSV est basé sur deux constats: Les requêtes de type lecture/écriture de données sont plus nombreuses que les requêtes d’accès/modification des métadonnées (ex: création de fichier) Des accès concurrents de différents nœuds à un même fichier ne sont pas nécessaires pour des fichiers de type VHD CSV propose un accès aux fichiers optimisé pour Hyper-V © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Cluster Shared Volume Aperçu 4/17/2017 5:53 AM Cluster Shared Volume Aperçu Accès distribué aux fichiers coordonné via le nœud coordinateur (modification des métadonnées) VMs effectuant des I/O directes VMs effectuant des I/O directes VMs effectuant des I/O directes Volume propriété d’un seul nœud «Coordinateur»  SAN Disque VHD VHD VHD Autre LUN LUN Volume unique

Cluster Shared Volume Redirection dynamique des I/O TechReady7 Breakout Chalktalk Template 4/17/2017 Cluster Shared Volume Redirection dynamique des I/O Handle virtuel Les I/O sont dynamiquement redirigées en fonction de la disponibilité du chemin CSV File System Filter © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

TechReady7 Breakout Chalktalk Template 4/17/2017 Cluster Shared Volume CSV fournit un espace de noms de fichiers unique et cohérent Les fichiers portent le même nom et chemin quelque soit le nœud du cluster depuis lequel ils sont vus Les volumes CSV sont exposés sous forme de répertoires et sous répertoire du dossier “ClusterStorage” C:\ClusterStorage\Volume1\<root> C:\ClusterStorage\Volume2\<root> C:\ClusterStorage\Volume3\<root> © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Cluster Shared Volume Apporte une tolérance de panne supplémentaire Indisponibilité de l’accès au stockage SAN Indisponibilité d’un nœud Indisponibilité du réseau

4/17/2017 5:53 AM Disponibilité accrue avec CSV Tolérance aux indisponibilités de la connexion au stockage SAN I/O Redirigée via SMB VM active sur le nœud 2 non affectée Volume monté sur le nœud 1 «Nœud Coordinateur» SAN Indisponibilité de la connexion au SAN Les VMs peuvent faire l’objet d’une Live Migration vers un autre nœud sans indisponibilité VHD

Disponibilité accrue avec CSV Tolérance aux indisponibilités d’un nœud 4/17/2017 5:53 AM Disponibilité accrue avec CSV Tolérance aux indisponibilités d’un nœud Défaillance du nœud VM active sur le nœud 2 non affectée Volume monté sur le nœud 1 «Nœud Coordinateur» Queuing des I/O pendant que la propriété du volume est modifiée SAN Bascule du volume vers un nœud en bonne santé VHD

Disponibilité accrue avec CSV Tolérance aux indisponibilités du réseau 4/17/2017 5:53 AM Disponibilité accrue avec CSV Tolérance aux indisponibilités du réseau Indisponibilité de la connexion réseau Mises à jour des Metadata re-routées vers le réseau redondant VM active sur le nœud 2 non affectée Volume monté sur le nœud 1 «Nœud Coordinateur» Indisponibilité de la connexion réseau SAN Les connexions TCP tolérantes aux pannes rendent l’indisponibilité transparente VHD

Cluster Shared Volume tolérance aux pannes 4/17/2017 5:53 AM Démo Cluster Shared Volume tolérance aux pannes © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Cluster Shared Volume Compatibilité avec l’existant Absence de pré-requis matériels spécifiques Pré-requis identiques aux autres volumes en cluster Accès au stockage en iSCSI, Fibre Channel, SAS Absence de limitations liées à la structure des répertoires ou des chemins d’accès Contrairement à d’autres technologies de ce type, CSV ne repose pas sur un nouveau système de fichiers C’est du NTFS  Usage réservé pour l’instant à Hyper-V v2

Cluster Shared Volume Live Migration 4/17/2017 5:53 AM Démo Cluster Shared Volume Live Migration © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Administration via PowerShell Mode ligne de commande et langage de scripting Disponible aussi en mode Server Core avec Windows Server 2008 R2 Administration simplifiée Exécution de la validation Création de clusters & ajout des ressources Génération des rapports de dépendance Hyper-V et Clustered Shared Volume Création des VMs, administration VMs, quick migration, live migration API en lecture seule

Quelques exemples Lister des cmdlets Cluster Get-Command -Type cmdlet *cluster* Lister les tests de validation et exécuter un test Test-Cluster -list | ft –auto Test-Cluster -Include "Validate Active Directory Configuration«  Créer le cluster New-Cluster -NodeName N01,N022 -Name W2K8R2-cluster Obtenir le nom du cluster local, lister les nœuds, les ressources Get-Cluster Get-ClusterNode, Get-ClusterGroup, Get-ClusterResource Création d'un serveur de fichier HA Add-ClusterFileServerRole -Storage $FileServerDiskResourceName -Name $FileServerGroupName -StaticAddress $FileServerIP Type de quorum Get-ClusterQuorum

Synthèse UAC NAP Managed Service Account DNSSEC, Audit Confidentialité BitLocker et BitLocker To Go PKI Intégrité UAC NAP Managed Service Account DNSSEC, Audit Disponibilité Windows Server Failover Cluster Windows Shared Volume

Ressources utiles Blog http://blogs.technet.com/windows7 Dans ce blog, cliquez Windows Server 2008 R2 dans la zone de tags pour accéder à toutes les informations complémentaires et les liens vers les documents de références.

Save the date for tech·days next year! 4/17/2017 5:53 AM Save the date for tech·days next year! 14 – 15 avril 2010, CICG © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Premium Sponsoring Partners 4/17/2017 5:53 AM Premium Sponsoring Partners Classic Sponsoring Partners © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Votre potentiel, notre passion TM 4/17/2017 5:53 AM Votre potentiel, notre passion TM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.