Windows Server 2003 Yann Seyroles TAE Microsoft France.

Présentation au sujet: "Windows Server 2003 Yann Seyroles TAE Microsoft France."— Transcription de la présentation:

1 Windows Server 2003 Yann Seyroles TAE Microsoft France

2 Agenda Migration Niveau Fonctionnel
Windows NT® 4.0 vers Windows Server 2003 Windows 2000 vers Windows Server 2003 Terminal Server & Interopérabilité Terminal Server 2003

3 Migration Niveau de fonctionnalité pour les domaines
Nécessaire pour assurer le niveau de compatibilité Opération manuelle : “functional level” quand tous les DCs dans le domaine/forêt sont mis à jour Le niveau peut être incrémenté uniquement – pas de “machine arrière” Clients ne sont pas impactés Niveaux disponibles Windows 2003 Server domain Windows 2003 Server forest Windows 2003 Server interim forest Authorise les domaines en “mixed-mode” (Windows NT 4.0 BDCs), mais pas de DC Windows 2000

4 Migration Niveau de fonctionnalité pour les domaines
Fonctionnalités activées Types de DC supportés Windows 2000 mixte Installation depuis un support Mise en cache des groupes Universel Partitions applicatives Windows NT4 Windows 2000 Windows 2003 Windows 2000 natif Ensemble des fonctionnalités du mode Windows 2000 mixte, plus Imbrication des groupes Groupe de type Universel SIDHistory Windows 2003 Intérimaire Identiques au mode natif de Windows 2000 Ensemble des fonctionnalités du mode Windows 2000 natif, plus Mise à jour de l’attribut logon timestamp Version de KDC Kerberos Mot de passe utilisateur ds INetOrgPerson

5 Migration Niveau de fonctionnalité pour les forêts
Fonctionnalités activées Types de DC supportés Windows 2000 Installation depuis un support Mise en cache des groupes Universel Partitions applicatives Windows NT4 Windows 2003 Windows 2003 Intérimaire Ensemble des fonctionnalités du mode Windows 2000, plus Réplication LVR (Linked Value Record) Amélioration ISTG (Inter Site Topology Generator) Ensemble des fonctionnalités du mode Windows 2003 Intérimaire, plus Classes Auxiliaires dynamiques Modification de la classe User en INetOrgPerson Dé/réactivation au sein du schéma Changement des noms de domaines Relations d’approbation inter forets

6 Migration Niveau de fonctionnalité pour les forêts
Windows NT 4.0 Windows 2003 Server interim forest level à la mise à hour du PDC Motivation: Linked-value-replication KCC/ISTG Quand tous les BDC Windows NT 4.0 sont mis à jour, se mettre en “2003 Server functional level” Mise à jour du domaine en fonctionnalité 2003 Windows 2000 Ne rien effectuer tant que tous les DC sont en “Windows2003 Server Native mode” S’assurer qu’aucun “mixed-mode” est présent dans la forêt Passer la forêt “Windows 2003 Server functional level”

7 Migration Quel Impact Domain Level
Opérations spécifiques sur le PDC ou déplacement des roles Forest Level Nouvelles fonctionnalités Domain et Forest Level Nouveaux attributs sont initialisés

8 Migration Quel Impact postes clients
Communication en SMB Signing SMB signing secure channel encryption par défaut Ajustement pour les clients suivants Win95 Windows pre-SP3 NT 4.0 Modification d’une policy Samba, Mac OS X + MS DOS network clients Désactiver SMB signing Windows 2000, XP et WS 2003 n’ont pas d’ajustements spécifiques

9 SMB Signing Policy

10 Agenda Migration Niveau Fonctionnel
Windows NT® 4.0 vers Windows Server 2003 Windows 2000 vers Windows Server 2003 Terminal Server & Interopérabilité Terminal Server 2003

11 Migration NT4.0 Inventaire du parc de machines clientes (smb etc..)
Installés soit les Hot fixes /SP etc … Inventaire des contrôleurs de domaine Hot fixes Recommendé: SP6a Vérification hardware: Espace disque, CPU, memoire Bon état de fonctionnement du DC (replication et lmrepl) Vérification des services tournant sous le compte “local system” sur les serveurs membres / Workstation Configurez le service pour utiliser un compte, ou Mise à jour vers Windows 2000 / 2003, ou “Enable downlevel access” dans dcpromo

12 Migration NT4.0 Securisez un BDC Synchro avec le PDC
Configurez lmrepl Dernier controleur à être mis à jour Si lmrepl tourne sur un PDC, Choisir un BDC pour être le nouveau lmrepl, Transférez le role de PDC et faites la mise à jour lmrepl en dernier Securisez un BDC Synchro avec le PDC Faire un back-up et testez un restore Mettre ce BDC off-line

13 Migration NT4.0 Mettre à jour le PDC
PDC n’effectuera pas certains roles Pas de changement de groupe ou création de compte Clients et stations ne peuvent changer leurs mots de passe Trusts peuvent être défaillants Estimation de temps Configurez les paramètres de sécurités Verification Vérifiez réplication Verifiez que des nouveaux utilisateurs peuvent être créés, ainsi que les mots de passes puissent être changés

14 Migration NT4.0 Installation et configuration du lmbridge
Windows Server 2003 ne possède plus de lmrepl mais sysvol (par le biais de frs) Copiez tous les scripts logon et les autres fichiers provenant de l’export du PDC Configurez lmbridge pour copier du PDC vers lmrepl export Changez les fichiers sur le PDC uniquement Continuez à mettre à jours les BDC Lorsque tous les DC sont en Server 2003 Dans le cas ou le dernier DC vient de joindre la forêt et qu’ils sont tous en Windows Server 2003 , passez en “Windows 2003 forest functional level” Dans le cas d’une forêt multi-domain, attendez que le dernier domaine soit mis à jour

15 Migration Post Upgrade
DC Opérationnel Partages NETLOGON + SYSVOL sont présents DC responds to LDAP, RPC and logon requests SRV, CNAME and A records are registered in DNS FRS: Add Canary file on local + direct replication partner Active Directory: REPADMIN /SHOWREPS Policy being applied as noted by Event 1704 Event Log clean but for event 1931 on 2000 upgrades

16 Agenda Migration Niveau Fonctionnel
Windows NT® 4.0 vers Windows Server 2003 Windows 2000 vers Windows Server 2003 Terminal Server & Interopérabilité Terminal Server 2003

17 Process de mise à jour Etape 1 : Preparez la forêt et les domaines
Etape 2 : Mise à jour des DC Etape 3 : Changement de niveau de fonctionnalité Etape 4: Migration des données du DNS en application de Partition

18 ADPREP /FORESTPREP Préparation de la fôret
Ajoute de nouveaux SD, attributs, et objets Opération unique par forêts S’execute sur le serveur possédant le rôle “schema master” Nécessite les droits “Administrateur d’enterprise” et “Administrateur” de schema Syntaxe <media_path>:\i386\ADPREP /FORESTPREP Vérification “Command completed successfully” via ADPREP CN=Windows2003Update dans la partition de configuration Fichier de log : %system%root%\system32\debug\adprep\logs\<latest log>

19 ADPREP /DOMAINPREP Préparation de chaques domaines
Ajoute de nouveaux SD, dans la partition de domaine et SYSVOL ADPREP /FORESTPREP répliqué dans l’ensemble de la forêts Nécessite les droits “Administrateur du domaine” Syntaxe <media_path>:\i386\ADPREP /DOMAINPREP Verification “Command completed successfully” via ADPREP CN=Windows2003Update in Domain dans la partition de configuration\SYSTEM… Fichier de log : %system%root%\system32\debug\adprep\logs\<latest log>

20 Opérations effectuées par ADPREP
ADPREP /FORESTPREP cn=Configuration cn=ForestUpdates cn=Operations cn=<operational guids> cn=windows2003update ADPREP /DOMAINPREP cn=<domain name> cn=SYSTEM cn=DomainUpdates cn=<operational guid> cn=Windows2003Update Forestprep: 36 operations DomainPrep: 52 operations Tous les objets doivent être répliqués avant : Mise à jour des DC 2000 vers 2003 Les nouveaux DC 2003 peuvent etre intégrés

21 Issues avec l’extension du Schema
Exchange 2000 L’extension du schema par Exchange 2000 pour les attributs suivant : secretary labeledURl InetOrg Autres Cisco call manager SFU 2.0 SAP Cognos Trinity Software Apple Mac OS 10 client install guide

22 Premier DC Windows Server 2003 dans la forêt
Deux méthodes Mise à jour d’un DC existant (Windows 2000 ou Windows NT 4) Installation d’un Windows Server 2003 en tant que serveur membre puis dcpromo Mise à jour du PDC Création du groupe Terminal Service, plus groupes interne Best practice Mise à jour du PDC ou transfer du role PDC sur un Windows Server 2003

23 Mise à jour à partir de Windows 2000 Step by Step
Inventaire du parc de machines clientes (smb etc..) Installés soit les Hot fixes /SP etc Inventaire des DC dans la forêt Hot fixes Recommendation : SP3 Espace disque Bonne réplication AD

24 Mise à jour à partir de Windows 2000 Step by Step
Executer adprep /forestprep Dans chaque domain : adprep /domainprep Installez un serveur membre Windows Server 2003 Passez ce nouveau serveur en DC – monitorez Mettre le rôle “Domain Naming Master” sur ce nouveau DC

25 Mise à jour à partir de Windows 2000 Step by Step
Mettre à jour les DC Windows 2000 Dans chaque domaine Mettre à jour les PDC dès que possible (ou transferez le role PDC sur Windows Server 2003 ) Une fois que tous les DNS sont en Windows Server 2003 , le mettre en partition d’application When all DCs are upgraded Mettre la “forest wide DNS” en mode partition d’application Mettre la forêt en fonctionnalité “Windows 2003”

26 Post Upgrade DC présent Partage NETLOGON + SYSVOL toujours présents DC répondent à LDAP, RPC et requete de logon Enregistrements SRV, CNAME et A bien présent et à jour DNS FRS: Ajout manuel d’un fichier de test afin de vérifier la réplication Active Directory: REPADMIN /SHOWREPS GPO bien appliqués

27 Post Upgrade Backup Creez de nouveaux backup du “system state”
Roles FSMO Bonne répartition des rôles Installer GPMC Faire des sauvegardes des GPO Testez une nouvelle policy en lab, puis importez la Perform offline defrag after

28 Active Directory Migration Tool Utilitaire de Migration ADMT
Utilitaire de migration/consolidation Source: domaines NT 4 et Windows 2000 Destination: domaines Windows 2000 et 2003 Migration des mots de passe Mode ligne de commande Scriptable via Interface COM Plus de souplesse au niveau des options de transition des comptes, ex: changement de nom Reconfiguration des ACL des ressources Reporting

29 Serveur d’applications
Windows Terminal Services Installer une fois … RAS IIS Internet via Client ActiveX Mac VPN Modem UNIX Intranet Sites distants / Agences … Exécuter partout

30 Agenda Migration Niveau Fonctionnel
Windows NT® 4.0 vers Windows Server 2003 Windows 2000 vers Windows Server 2003 Terminal Server & Interopérabilité Terminal Server 2003

31 Scenarii d’utilisation
Terminaux Windows CE, Windows XP Embedded Utilisation d’applications Win32 depuis des clients non Win32 Déploiement centralisé d’applications Installation en Mode Administration à distance

32 Serveur d’applications
Windows Terminal Services Installer une fois … RAS IIS Internet via Client ActiveX Mac VPN Modem UNIX Intranet Sites distants / Agences … Exécuter partout

33 Plateformes supportées
Windows XP et Windows Server 2003 (présent dans l’OS) Windows 95, Windows 98, Windows Me, Windows NT® 4.0 et Windows 2000 Téléchargeable sur MAC OS ou supérieure Téléchargeable sur Pocket PC Téléchargeable sur Autres plateformes que Windows (Ex OS/2…) Nécessite l’installation de solutions tierces

34 Principe de fonctionnement
Serveur Client RDP TCP/IP

35 Une architecture à base de standards RDP et T.120
Le flot RDP est encapsulé au format ITU T.120 et et s’appuie sur le protocole de transport TCP/IP T.120 supporte 65,000 circuits virtuels pour transporter des données Un circuit est utilisé pour les données de présentation (basé sur T.128 “App Hosting”). Option de compression pour les connexions basse vitesse T.120 est extensible. De multiples extensions peuvent être développées

36 Une architecture extensible Virtual Channel
Terminal Services App.exe VirtualChannelOpen (“MyData”) Flux RDP Client RDP (mstsc.exe) Presentation Clipboard “MyData” ChannelInit (“MyData”) Extension DLL msdn.microsoft.com/library/psdk/termserv/wtsapi_9t2r.htm

37 Fonctionnalités Apports de Windows 2003
Plus simple d’usage Sauvegarde des paramètres de connexion Barre de connexion ‘plein écran’ High color (24-bit), 1600x1200 Redirection des ressources Audio Disques et imprimantes (locales, réseau) Lecteurs de cartes à puces, périphériques port série Presse papiers (y compris fichiers)

38 Fonctionnalités Apports de Windows 2003
Bande passante Améliorations par rapport à RDP 5.0 Désactivation du fond d’écran, des styles etc… en fonction du type de connexion Sécurité 128-bit bi-directional RC4 Avertissement utilisateur si redirection de ressources

39 Fonctionnalités Comparaison avec les versions précédentes
Win2000 Win2003 Annuaire de session (répartition de charge)  Redirection du système de fichiers Redirection des ports COM Fuseau horaire par utilisateur High Color (24-bit)/(1200x1600) Redirection de l’audio Reconnexion automatique Redirection des imprimantes réseau Redirection des imprimantes locales Copier/coller entre sessions (presse papier) Client WEB Prise de main Bande passante faible Déconnexion

40 Client Web (TSAC) Fonctionne avec Internet Explorer 4, 5 et 6
Avantages Pas d’installation de client (téléchargement, ~300 K) Mise à jour automatique des clients Déploiement d’applications par publication d’URL (masque emplacement physique), ex: Objet ActiveX programmable/scriptable: msdn.microsoft.com/library/techart/w2ktsac.htm

41 Client Web (TSAC)

42 Administration Apports de Windows 2003
Support de WMI Configuration des composants TS Intégration avec les stratégies AD (GPO) Administration via l’interface de gestion des GPO Amélioration interface d’administration des serveurs

43 Administration Apports de Windows 2003
Configuration des paramètres de connexion Local à chaque serveur

44 Administration Apports de Windows 2003 - Group Policies
Configuration des paramètres de connexion Pour des groupes de serveurs ou d’utilisateurs

45 Administration Apports de Windows 2003 - WMI
Nouveau provider WMI Accessible en lecture/ecriture Couverture de la quasi intégralité des paramètres Terminal Server Terminal Server Configuration, APIs, and command lines WMIC: Interface en ligne de commande avec WMI RDAccount; RDPermissions; RDToggle; RDNic wmic /node:"ServerName" /user:"DomainName\administrator" /password:"password" RDToggle where ServerName="ServerName" call SetAllowTSConnections 1

46 TS Licence Manager Service responsable du recensement des licences d’accès client. Obligatoire passé un délai de 120 jours. Activation basée sur un mécanisme de clés à récupérer via Web, téléphone ou fax.

47 Applications Installation
Installation en mode partagé Via Ajout/suppression de programmes -> pour tous les utilisateurs Via la commande Change user /install Mécanisme Pendant l’installation: copie de toutes les entrées modifiées du registre de l’utilisateur dans HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install Pendant l’exécution: recopie des clés dans HKEY_USERS/sid

48 Applications Compatibilité
Livre Blanc sur le développement Compatibilité des applications Organisme de certification

49 Utilisation à grande échelle Gestion des sessions - Répartition/Reconnexion
Paramètres d’activité/charge des serveurs Exposés par WMI Basés sur les données de performance de la machine Estimation du nombre de sessions restantes Reconnexion Annuaire des sessions Permet de router les session déconnectées au sein d’une ferme de machines TS Le routeur est un composant COM remplaçable

50 Utilisation à grande échelle Gestion des sessions – Répartition/Reconnexion
3. Le serveur (TS-1) vérifie au sein de l’annuaire des sessions l’existence d’une session pour l’utilisateur. Si une session existe le serveur l’hébergeant (ex: TS-3) est communiqué au client Annuaire des sessions TS-1 2. Routage de la demande de session vers le serveur le moins chargé. (ex: TS-1) UserName Domaine EstSupportableSessions TS-2 Routeur 1. Connexion de l’utilisateur à la ferme TS-3 4. Le client est reconnecté à la session existante sur TS-3

51 Utilisation à grande échelle Montée en charge
Augmentation du nombre de sessions grâce aux améliorations des mécanismes de gestion de la mémoire Limitation liée au type de mémoire (mode Noyau) utilisé par le Registre supprimée (remplacement du paged pool utilisé avec Windows 2000 par des vues mappées de 256 ko du system cache) Meilleure montée en charge - Plus de System PTE (960 MO contiguë) 600 400 Utilisateurs  140%  80% 200 Knowledge Worker Simple Task Worker Windows Server 2000 Windows Server 2003 Knowledge Worker: Bureau et plusieurs applications Office (Excel, Outlook, Word, IE) Simple Task Worker: Bureau et une unique application (Configuration matérielle 4P 1.6 GHz P4, 4GB RAM)

52

53 Utilisation à grande échelle Optimisation de la base de registres
Mécanisme Pendant l’installation: copie de toutes les entrées modifiées du registre de l’utilisateur dans HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install Pendant l’exécution: recopie des clés dans HKEY_USERS/sid Optimisations Limite de la base de registres supprimée Espace d’adressage du noyau en mode 32 bits (limité en Windows 2000 à 80% de la taille totale du « paged pool » - ~ 160Mo / utilise maintenant des fenêtres de 256 k dans l’espace « system cache ») Requêtes sur la base de registres plus rapides En Windows 2000, l’accès aux cellules de la base de registres pouvaient générer un certain nombre de « pages faults » Nouvel algorithme de Windows 2003 qui stocke dans la même page ou les pages voisines les cellules relatives

54 Utilisation à grande échelle Optimisation de la mémoire consommée
Windows 2003 effectue des « mapped views of file” sur les fichiers de la base de registre Application Code Global Variables .DLL code Ne libère les PTE que lorsque les demandes ne peuvent plus être satisfaites 7FFFFFFF Exec, Kernel, HAL, drivers, per-thread kernel mode stacks, Win32K.Sys System cache Paged pool System PTEs Non-paged pool Nombre augmenté à 1,3Go (960Mo contigus) en Windows Server 2003 2 fois plus que Windows 2000 6 fois plus que Windows NT4 Emplacement de la base de registre en Windows 2000 (limité à environ 160 Mo) C Process page tables, hyperspace FFFFFFFF

55

56