> Tech > Pléthore de nouveautés pour Windows Server 2016 Technical Preview 2

Pléthore de nouveautés pour Windows Server 2016 Technical Preview 2

Tech - Par Loïc Thobois - Publié le 15 décembre 2015
email

Voici maintenant plusieurs mois que la seconde release publique de la version en cours de développement de Windows Server 2016 est disponible.

Pléthore de nouveautés pour Windows Server 2016 Technical Preview 2

Il est maintenant temps de revenir sur ce qu’elle nous présente et ainsi  se faire une idée sur ce qu’il va arriver dans les prochains mois…

Comme à son habitude, Microsoft s’attache avec Windows Server 2016 à, non seulement, faire évoluer les composants historiques mais aussi à étendre la couverture des problématiques et besoins que le système peut gérer.

En synthèse, voici les différents thèmes sur lesquels Windows Server 2016 va apporter des nouveautés et changements :

• Infrastructure (Nano Server, Hyper-V, Conteneurs…).
• Sécurité (Active Directory, ADFS, Zero Touch…).
• Stockage (Storage Replica, Storage Spaces Direct, Storage QoS).
• Applicatif (Remote Desktop, Services MultiPoint…).
• Administration (PowerShell 5.0, Soft Restart).

Comme précisé plus haut, les technologies abordées dans cet article s’appuient principalement sur la Technical Preview 2 de l’OS  (version 10.0.10074). Des fonctionnalités peuvent être ajoutées ou modifiées lors de la sortie finale du produit.

La date de sortie de Windows Server 2016 n’est pas encore connue, néanmoins cette version devrait arriver courant 2016 si on en croit son nom…

Pour tester Windows Server 2016 : ici. Pour tester la version dédiée à Hyper-V 2016 : ici.

Nano Server

La grosse nouveauté de cette Technical Preview 2 se présente sous la forme d’un fichier appelé NanoServer. wim situé dans le répertoire NanoServer du média de la Technical Preview 2.

En effet, Nano Server est une nouvelle forme d’intégration du système d’exploitation serveur de Microsoft qui se veut minimaliste et modulaire. Par défaut, seuls les composants essentiels du système sont présents à savoir les gestionnaires des sous-systèmes principaux (processeur, mémoire, disque, réseau). Nano Server est dépourvu d’interface graphique et s’accompagne de packages représentant ses options d’installation.

La différence avec Windows Core me demanderezvous ? L’édition Core était, certes, restreinte en termes de fonctionnalités et bénéficiait d’un bon niveau de sécurité au vu de la réduction du nombre de modules chargés (réduction de la surface d’attaque) mais son poids était quasi équivalent à la version standard car il intégrait par défaut les sources de la plupart des composants du système. Nano Server se veut par défaut compact et adaptable aux besoins afin de faciliter les déploiements. Quelques exemples : 61 Mo de mémoire utilisée contre 139 Mo auparavant, empreinte disque 20 fois plus légère que l’installation classique avec seulement 400 Mo et durée d’installation de 40 secondes au lieu de 300 secondes.

Le premier choc qui caractérise cette différence lorsqu’on l’utilise ? Il n’y a même pas d’invite de commande lors de son lancement. Tout se fera via de l’administration distante…

La cible de cette nouvelle architecture de type « microservices » est de permettre d’exploiter un environnement complètement modulaire pour accueillir par exemple des conteneurs Docker (voir article, Virtualisation IT Expert sur le sujet ici).

Dans cette version CTP2, les packages fournis avec Nano Server le sont sous la forme de .cab et vont ensuite permettre d’ajouter des fonctionnalités supplémentaires.

Pour le moment, les packages suivants sont disponibles :

Le rôle Hyper-V : Microsoft-NanoServer-ComputePackage.cab.
Le service de cluster (Failover Clustering) : Microsoft-NanoServer-FailoverCluster-Package.cab.
Les pilotes pour héberger Nano Server dans une machine virtuelle : Microsoft-NanoServer-Guest-Package.cab.
Les pilotes standard pour une large gamme de cartes réseau et contrôleurs de disque : Microsoft-NanoServer-OEM-Drivers-Package.cab
Les composants de gestion du stockage et de partage de fichiers : Microsoft-NanoServer-Storage-Package.cab.

Pour ajouter ces packages, on utilise la commande DISM. Comme par exemple :
dism\dism /Mount-Image /ImageFile:.\NanoServer.wim /Index:1 /MountDir:.\mountdir
dism\dism /Add-Package /PackagePath:.\packages\MicrosoftNanoServer-Compute-Package.cab /Image:.\mountdir
dism\dism /Add-Package /PackagePath:.\packages\en-us\ Microsoft-NanoServer-Compute-Package.cab /Image:.\mountdir
dism\dism /Add-Package /PackagePath:.\packages\MicrosoftNanoServer-OEM-Drivers-Package.cab /Image:.\mountdir
dism\dism /Add-Package /PackagePath:.\packages\en-US\ Microsoft-NanoServer-OEM-Drivers-Package.cab /Image:.\ mountdir
dism\dism /Unmount-Image /MountDir:.\MountDir /Commit

S’appuyant sur le noyau standard de Windows, il est possible d’ajouter aussi des pilotes standard Windows si ils ne sont pas directement fournis par Microsoft.

On va ensuite créer un fichier de réponse pour finir de personnaliser l’installation (Configurer le compte administrateur et son mot de passe) et convertir l’image obtenue au format .vhd à l’aide d’un script pour être finalement importée et exécutée dans Hyper-V.

Vous l’avez remarqué, dans cette version CTP2, l’optimisation à un prix car aucun assistant graphique ne viendra vous aider dans le déploiement de Nano Server pour le moment.

En supprimant l’interface graphique, Microsoft a rendu l’utilisation d’un écran de login inutile ainsi que le support de RDP. Avec la suppression de ces composants, beaucoup d’administrateurs vont devoir revoir leurs méthodes d’administration. C’est ainsi que par l’intermédiaire des composants de « Remote Management » Nano Server nécessite d’utiliser des outils de gestion à distance tels que :

• WMI.
• Core PowerShell.
• Core PowerShell Desired State Configuration.
• Outils RSAT. • System Center et autres outils de gestion.
• Des outils d’administration basés sur le Web.

Attention, par contre, lors de l’administration à l’aide de Core PowerShell, seul un sous-ensemble des CmdLets sera disponible (à voir si ce sera aussi le cas sur la version finale). En effet, Nano Server n’intègre pas le Framework .NET sur lequel s’appuie un PowerShell classique (et il ne devrait pas l’intégrer non plus à l’avenir) afin de rester ‘léger’. Nano Server  peut, tout de même, exécuter les applications .Net à l’aide d’un composant appelé .NET Core.

Lors de la conférence Ignite, Microsoft a présenté une interface web qui n’est pas encore disponible et qui facilitera l’administration de Nano Server, elle permet notamment d’accéder à un gestionnaire de tâches, un éditeur de base de registre, un journal des évènements, un gestionnaire de périphérique, un gestionnaire de disque et un explorateur de fichiers. Voir figure ci-après.

(((IMG8174)))

Il est aussi à noter que Nano Server ne supportera pas les packages MSI, Microsoft préconise PowerShell DSC pour les déploiements ce qui reste cohérent avec les outils Release Management de Visual Studio qui s’appuient aussi sur cette technologie. A terme, le composant Nano Server Installer autorisera l’installation (en ligne et hors ligne), la suppression et l’inventaire des applications.

Pour pallier les problèmes de compatibilité, Microsoft a mis en place le concept de Reverse Forwarders permettant aux applications existantes de s’exécuter sans avoir à être spécialement compilées. Les Reverse Forwarder permettent aux différents appels faits aux composants historiques du système (ole32.dll, kernel32.dll, gdi32.dll, shell32.dll, psapi.dll…) de recevoir une réponse.

Il sera donc possible de faire fonctionner des applications et composants comme Chef, PHP, Nginx, Python 3.5, Node.js, GO, Redis, MySQL, OpenSSL, Java (OpenJDK), Ruby (2.1.5) et SQLite qui fonctionnent déjà sur Nano Server.

Les efforts de Microsoft sur Nano Server prennent tous leurs sens et aideront les fournisseurs de services ainsi que les entreprises à déployer des cloud privés encore plus rapidement, de manière plus sécurisée et avec moins de charges administratives. On attend avec impatience la version System Center 2016 qui devrait simplifier tout cela.

Hyper-V

Un article paru précédemment dans ces colonnes a décrit, en détail, l’ensemble des nouveautés concernant Hyper-V.

Voici un rappel rapide des principales technologies arrivant avec Windows Server 2016 :

• Intégration à Nano Server.
• La virtualisation imbriquée.
• Mise à niveau des clusters à chaud.
• Mise à jour cyclique du cluster.
• « Hyper-V Containers » avec Docker.
• Mise à jour de RemoteFX (OpenGL 4.4 et OpenCL 1.1).
• Le nouveau format des fichiers VHDX.
• Nouvelles fonctionnalités ReFS liées à Hyper-V.
• Stockage distribué à l’aide de QoS.
• Protection des ressources hôtes.
• Ajout d’une puce TPM à une machine virtuelle.
• SecureBoot pour Linux.
• Virtual Machine Storage Resiliency.
• Virtual Machine Compute/Cluster Resiliency.
• Hyper-V Replica et l’ajout à chaud de VHDX.
• Ajout/suppression à chaud de la mémoire et des cartes réseau.
• Améliorations du gestionnaire Hyper-V.
• PowerShell Direct.
• Administration des clusters Hyper-V à l’aide de WMI.
• Mise à jour des pilotes (Services d’intégration) à l’aide de Windows Update.
• Nouveau format de la configuration des machines virtuelles.
• Identification des cartes réseaux virtuelles.
• Amélioration de la gestion de l’alimentation.
• Checkpoint de production (Snapshot).
• Architecture  de sauvegarde.

Active Directory

Active Directory est l’un des services les plus couramment utilisés dans les entreprises. Il permet aussi d’assurer une cohérence d’exploitation avec les applications et les services hébergés dans le cloud. Il est donc naturel que la plupart des nouveautés de Windows Server 2016 concerne l’intégration du cloud dans les environnements hybrides.

Ainsi, les services de domaines (AD DS) ajoutent la possibilité de définir une expiration d’appartenance à un groupe. Cela permet d’ajouter un utilisateur à un groupe pour une période de temps limitée (Exemple : fournir des privilèges d’administration pendant l’installation d’une application). Cette nouvelle fonction demande, toutefois, le passage au niveau fonctionnel de Windows Server 2016, potentiellement difficile pour les grandes organisations à mettre en œuvre en raison de la nécessité de mettre à niveau les contrôleurs de domaine à travers l’entreprise.

Les services de fédérations (AD FS) permettent notamment aux applications et services dans le cloud de s’authentifier à l’aide de votre annuaire local. Ainsi, la nouvelle version va prendre en charge les annuaires LDAP v3, et pas seulement les AD DS. AD FS 2016 apporte aussi le contrôle d’accès conditionnel qui permet de configurer les exigences, comme le niveau de sécurité lors d’une authentification multi-facteurs, la conformité de l’appareil, l’identité de l’utilisateur, l’appartenance à un groupe, … Ces exigences peuvent être configurées par application, rendant plus simple la protection des applications professionnelles sensibles. Windows Server 2016 apporte aussi les protocoles d’authentification OpenID et OAuth Connect permettant une intégration des identités existantes avec les applications Web beaucoup plus facile.

Le processus de migration vers 2016 a, aussi, été simplifié avec un simple ajout du nouveau serveur dans la ferme AD FS existante suivi d’une mise à niveau de la ferme vers la version 2016. Pour finir, Microsoft introduit AD Azure Connect Health, qui se présente sous la forme d’un service cloud et qui fournit des métriques de supervision sur les demandes d’authentification, les types d’authentification, un emplacement réseau, ou les échecs d’authentification. Même les informations sur les utilisateurs ayant des mots de passe faibles seront remontées. Azure AD Connect Health permet d’identifier non seulement les problèmes, mais de prévoir les besoins s’appuyant sur l’utilisation de l’application.

La synchronisation du temps fait aussi l’objet d’une attention particulière avec plusieurs améliorations: éliminer les erreurs d’arrondi, faire des ajustements fréquents, améliorer la précision en passant de 100 millisecondes à 10 microsecondes.

Services de bureau à distance (RDS)

Windows Server 2016 apporte quelques nouveautés aux services de bureau à distance avec le support des API OpenGL 4.4 et OpenCL 1.1 par RemoteFX dans les scénarios de VDI. RemoteFX bénéficie également d’une quantité plus importante de mémoire vidéo configurable, et d’améliorations des performances et d’une meilleure compatibilité avec les applications.

Un nouveau modèle de déploiement RDS fait, aussi, son apparition appelé Personal Session Desktops. Actuellement dans Windows Server 2012 R2, nous avons 2 options de déploiement Session-based desktop deployment (Session utilisateur multiple partagée sur un serveur) ou Virtual machine-based desktop deployment (machine virtuelle spécifique pour chaque utilisateur aussi appelé VDI).

Avec le Personal Session Desktops, Microsoft permet de combiner les deux déploiements actuellement disponibles pour un scénario VDI sans l’aide d’un système d’exploitation client. Chaque utilisateur recevra un serveur hôte de session Bureau à distance dédié comme «bureau». Cela va permettre de faciliter les déploiements VDI lorsque vous ne pouvez pas contrôler l’hyperviseur comme c’est le cas dans Azure (Ou Cloud / DaaS en général)!

Déjà disponible sous la forme d’une solution autonome, Microsoft intègre le rôle MultiPoint avec Windows Server 2016. Les services MultiPoint permettent à un administrateur de voir ce que chaque poste de travail voit et de restreindre l’utilisation des applications et d’Internet. Dans un cadre éducatif, il y a aussi la possibilité de verrouiller les entrées de l’étudiant pendant une période de cours ou de prendre le contrôle d’une session.

Stockage

Les fonctionnalités de stockage de données font l’objet d’une attention particulière pour Microsoft depuis Windows Server 2012. Avec Windows Server 2016, des nouveautés majeures font leur apparition avec le Storage Spaces Direct qui permet la mise en place de systèmes de stockage à haute disponibilité en utilisant les supports de stockages locaux des serveurs membres d’un cluster et en utilisant des connexions réseau SMB3 pour les échanges.

L’implémentation passe par l’installation des fonctionnalités File Services et Failover Clustering puis de l’activation de la fonction Storage Space Direct ((GetCluster).DASModeEnabled=1). Un nouveau nœud apparaît alors dans l’outil d’administration du cluster appelé Enclosures. On va ensuite créer un pool de stockage  distribué avec une tolérance de panne de type miroir. On va créer un volume CSV dans le pool de stockage. Puis, activer le partage de fichiers de type Scale Out File Server. Voir figure ci-après.

(((IMG8181)))

Le déploiement et la gestion du système de stockage sont simplifiés, et les périphériques SATA et NVMe peuvent être utilisés. Les coûts sont ainsi fortement réduits.

La technologie Storage Replica offre une nouveauté majeure qui permettra de répliquer de manière synchrone les données d’un disque au niveau block afin d’en conserver une copie, de créer une sauvegarde,… L’implémentation se fera aussi bien sur les serveurs de fichiers que sur les machines virtuelles. Microsoft annonce que ce service pourra également répliquer ses données vers d’autres clusters, à condition cependant qu’ils utilisent eux aussi Windows Server 2016.

La fonctionnalité de déduplication de données a fait, aussi, l’objet d’optimisation avec le support des tâches de sauvegarde virtualisées. De meilleures performances avec le multithreading et l’utilisation de plusieurs processeurs par volume. La déduplication fonctionne maintenant dans un cluster sous Windows Server 2012 R2 et Windows Server 2016.

Avec Storage QoS, on peut désormais configurer des politiques de qualité de service pour le sous-système de stockage, et en superviser les performances. Les performances sont ajustées automatiquement en fonction de la charge et des critères contenus dans les règles.

IIS

Windows Server 2016 intègre la version 10 du serveur Web IIS qui apporte le support du protocole HTTP/2.

Mais c’est surtout du côté du composant Web Application Proxy que les nouveautés autour des technologies d’infrastructure web sont les plus nombreuses. Rappelons que ce composant fait office de Proxy web en reprenant certaines fonctionnalités que l’on pouvait trouver sur feu Forefront TMG. Il permet, donc, de publier de manière sécurisée les applications et les services web internes de l’entreprise sur Internet ou autres réseaux publics.

Web Application Proxy supporte maintenant les redirections HTTP vers HTTPS ainsi que la propagation de l’adresse IP du client jusqu’aux applications Web internes.

La pré-authentification HTTP Basic est enfin proposée notamment pour les applications qui ne sont pas compatibles avec le proxy de Services AD FS (Active Directory Federation Services). Ce sera particulièrement utile pour des services comme ActiveSync.

Il sera aussi possible d’utiliser des caractères génériques (Ex : *) pour publier, par exemple, plusieurs applications SharePoint à partir d’un domaine spécifique.

Et pour finir, des spécifications détaillées permettent de mieux prendre en charge la publication des applications comme SharePoint, Exchange et les passerelles de bureau à distance.

Réseau

Les nouveautés côté réseau sont aussi très nombreuses sur Windows Serveur 2016, on notera pour commencer l’arrêt du support de NAP (Network Access Protection) dans DHCP.

Des améliorations dans l’implémentation du client DNS optimisent la gestion des systèmes exploitant plusieurs interfaces réseau. Ces optimisations permettent d’associer l’interface réseau au serveur DNS auquel la requête de résolution va être envoyée. Ce mécanisme est désactivé si le serveur DNS provient d’une configuration poussée par GPO via la table de stratégie de résolution de noms (NRPT).

Le serveur DNS se voit, quant à lui, bénéficier de stratégies DNS permettant de modifier le comportement du serveur lorsqu’il reçoit une requête. Il sera, en effet, possible d’envoyer au client une adresse IP différente selon l’heure, le lieu du client, le trafic, …

L’implémentation du protocole GRE (Generic Rounting Encapsulation) permet maintenant d’encapsuler dans un tunnel n’importe quel paquet de la couche réseau dans un autre paquet de la couche réseau, que ce soit en IPv4 ou IPv6. Les principaux scénarios étant l’accès à un réseau physique loué à partir d’un réseau physique loué, la connexion à haute vitesse (MPLS), l’intégration avec des VLANs, l’accès à des ressources partagées…

Le gestionnaire d’adresses IP (IPAM) bénéfice aussi de nouveautés avec des outils d’administration plus puissants et une meilleure intégration avec les services DNS et DHCP (Recherche des sous-réseaux et des plages d’adresses libres à l’aide des cmdlets FindIpamFreeSubnet et Find-IpamFreeRange).

Administration

Disponible aussi pour Windows Server 2012 et Windows 8, PowerShell  v5.0 est intégré nativement à Windows Server 2016 et les nouveautés sont nombreuses.

• La console PowerShell implémente la coloration syntaxique.
• Gestion du presse-papier (Get-Clipboard et SetClipboard).
• Suppression du contenu de la corbeille (Clear-RecycleBin).
• Gestion des archives ZIP (Compress-Archive et Expand-Archive).
• Support des raccourcis claviers dans la console Powershell (CTRL+C – CTRL+V – CTRL+A).
• Prises en charge des liens symboliques (New-Item -ItemType SymbolicLink <..>).
• Nouveau journal de log dans l’observateur d’événements et mode verbeux via GPO (Applications and Services Logs\Microsoft\Windows\PowerShell\Operational).
• Modèles d’administration ADMX permettant de configure Powershell (Retro compatible avec PowerShell 4). • Activation automatique du transcript.
• Configuration de la source de l’aide Powershell (Ex: partage de fichier).
• Powershell ISE compatible avec le transcript (StartTranscript et Stop-Transcript.
• Edition d’un code source distant à l’aide de PSEdit à travers une connexion distante (Enter-PSSession) dans PowerShell ISE.
• Debug des scripts distants dans PowerShell ISE.
• Prise en charge du type Enum (Pour des validations de paramètres).
• La création de classes d’objets.
• La gestion des configurations partielles dans powerShell DSC.
• Récupération des modules via Internet (PowerShellGet).
• Déploiement et gestion du cycle de vie d’applications via un dépôt (OneGet et Chocolatery).
• …

Windows Server 2016 intègre un nouveau composant appelé Windows Server Antimalware, le système de protection contre les malwares de Microsoft. Ce service est activé par défaut et l’interface graphique doit être installée manuellement.

Enfin, Windows Server 2016 bénéficie d’une nouvelle fonctionnalité appelée «Soft Restart» qui permet de redémarrer un serveur plus rapidement en évitant l’étape d’initialisation du matériel.

Conclusion

Comme à son habitude, Microsoft propose avec cette release majeure de Windows Server 2016, une liste importante de nouveautés et d’améliorations avec lesquelles il faudra se familiariser au cours des mois qui arrivent.

Téléchargez cette ressource

Sécuriser votre système d’impression

Sécuriser votre système d’impression

Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.

Tech - Par Loïc Thobois - Publié le 15 décembre 2015