Guide du certifié 70-643 - intranet.crematoriums.frintranet.crematoriums.fr/partage/elearning/PDF/IIS7_TSE.pdfGuide du certifié 70-643 THOBOIS Loïc. ... Windows Web Server 2008

Guide du certifié 70-643

THOBOIS Loïc

www.egilia.com 2/32 EGILIA © All Rights Reserved

Table des matières

1 Implémentation de IIS 7 ............................................................... 4

1.1 Présentation ................................................................................................... 4

1.2 Nouvelle architecture .................................................................................... 4 1.2.1 Modulaire et extensible ................................................................................................... 4 1.2.2 Intégration plus poussé de l’ASP.NET .............................................................................. 5

1.3 3 Facilité d’administration ............................................................................. 6 1.3.1 Stockage de la configuration Web à l’aide de fichiers XML ............................................. 6 1.3.2 Nouvel outil d’administration .......................................................................................... 8 1.3.3 Automatisation de l’administration à l’aide de WMI, PowerShell ou du framework .Net .................................................................................................................................................. 9

1.4 Optimisation des coûts de maintenance ..................................................... 10 1.4.1 Délégation d’administration .......................................................................................... 10 1.4.2 Diagnostic rapide des problèmes de site et d’application. ............................................ 10

1.5 FastCGI pour la prise en charge efficace de PHP, PERL, …........................... 11

1.6 Conclusion .................................................................................................... 11

2 Implémentation de Terminal Server .......................................... 12

2.1 Présentation ................................................................................................. 12

2.2 RDP 6.1 et son nouveau client ..................................................................... 13 2.2.1 Signature numérique des fichiers RDP .......................................................................... 14 2.2.2 Nouvelles résolutions disponibles ................................................................................. 15 2.2.3 Extension de la session TS sur plusieurs écran .............................................................. 15 2.2.4 Support du lissage de police .......................................................................................... 15 2.2.5 Définition des priorités concernant le trafic lié à l’affichage ......................................... 16 2.2.6 Authentification unique (SSO) ....................................................................................... 16

2.3 La passerelle Terminal Server ...................................................................... 17 2.3.1 Principe de fonctionnement .......................................................................................... 17 2.3.2 Mise en place ................................................................................................................. 18

2.4 Applications distantes et TS Web ................................................................ 19 2.4.1 Présentation des applications distantes ........................................................................ 19 2.4.2 Déploiement des applications distantes ........................................................................ 19 2.4.3 Portail TS Web Access .................................................................................................... 21

2.5 TS Easy print ................................................................................................. 21

2.6 Session Broker .............................................................................................. 22 2.6.1 Présentation de l’annuaire de session ........................................................................... 22 2.6.2 Mise en place de TS Session Broker ............................................................................... 23

2.7 Ce qu’il est aussi bon de savoir… ................................................................. 24

3 Nouveautés de Terminal Server dans Windows Server 2008 R2 . 26

3.1 Présentation de RDS (Remote Desktop Servies) ......................................... 26

3.2 Rappel sur le protocole RDP ........................................................................ 26

3.3 Quoi de neuf dans Windows Server 2008 R2 ? ........................................... 27


3.4 L’architecture de rendu graphique du protocole RDP................................. 28

3.5 Conclusion .................................................................................................... 32


1 Implémentation de IIS 7

Présentation

IIS7 (Internet Information Services) est la dernière version du serveur Web de Microsoft associé à la plateforme 2008.

Cette nouvelle version est disponible dans une version allégée avec Windows Vista et en version complète avec Windows Server 2008.

Une édition spéciale de Windows Server 2008 lui est d’ailleurs dédiée avec Windows Web Server 2008.

Serveur Core

L’installation de IIS 7 se fait par l’intermédiaire d’un rôle et il sera possible de l’installer aussi bien sur les plateformes complètes que sur les éditions core (éditions dépouillés et sans interface graphique du système) en se basant sur la commande suivante :

Pkgmgr.exe /iu:IIS-WebServerRole

Attention, la version core de Windows Server 2008 ne supportant pas le framework .NET, il ne sera pas possible d’héberger des applications ASP.NET dessus. Il faudra se contenter de l’hébergement des applications ASP, PHP, … accompagné de mysql, sql serveur, …

L’architecture

Ce nouveau serveur se base sur une nouvelle architecture qui change de manière importante de ce que l'on connaissait sous IIS6.

IIS7 s’adaptera mieux aux différents scénarios d’implémentation, sera plus facile à administrer et plus performants.

Nouvelle architecture

Modulaire et extensible

La dernière version du serveur Web IIS bénéficie d’une nouvelle architecture repensée qui facilite l’implémentation modulaire des fonctionnalités et ainsi l’extension des possibilités du serveur.


Sous IIS6, l’implémentation était monolithique (formé d’un seul bloc de code) ce qui obligeai à tout installer si l’on voulait utiliser le serveur Web. L’extension passait alors uniquement par des filtres ISAPI (ASP.NET, …).

Sous IIS7, l’ensemble des fonctionnalités a été découpé en module qui s’intègre dans une procédure de traitement (pipeline). On va alors pouvoir charger ces modules selon les besoins.

Les avantages directs de cette nouvelle architecture sont les suivants :

Allègement du serveur qui bénéficie ainsi de meilleures performances. Une personnalisation plus poussée selon les besoins. Une plus grande facilitée à sécuriser le serveur par la réduction de la surface d’attaque. Une maintenance plus facile car seules les mises à jours des modules activés seront téléchargés et installés.

L’installation du rôle serveur Web se fait par défaut avec un minimum de composant, mais voici les grandes familles de composants que l’on va pouvoir ajouter :

Sécurité : Contient les différents modules d’authentification de IIS pour la prise en charge clients, les méthodes de filtrage de requête et la prise en charge du cryptage IP.

Développement applicatif : Contient les modules de prise en charge pour le déploiement d’application (ex : ASP, ASP.NET, CGI, ISAPI, …)

Diagnostic : Modules de surveillances et de rapports sur l’activité du serveur Web.

Serveur FTP : Modules de prise en charge du protocole FTP.

Performance : Modules d’optimisation des performances par la compression des données envoyés aux clients.

Administration : Modules d’administration avec la prise en charges de différentes méthodes (ex : WMI, Metabase, Scripts, … )

Intégration plus poussé de l’ASP.NET

Jusqu’à présent intégré sous la forme d’un filtre ISAPI, le traitement de l’ensemble des fonctionnalités .NET était traité au niveau du filtre sans cohérence par rapport à la tâche qu’elle exécute.


Par exemple, l’authentification en formulaire des applications .NET était gérée dans le filtre ISAPI donc de manière totalement dissocié de l’authentification de IIS6.

Sous IIS7, deux modes d’intégration d’ASP.NET seront disponibles :

Mode classique

Identique au mode de fonctionnement sous IIS6, ce mode assurera la compatibilité avec les produits existant (Commerce Server, …) et fonctionnera sur le principe du filtre ISAPI encapsulant tout.

Mode intégré

Dans le mode intégré, les modules .NET seront directement intégré dans le pipeline de traitement de IIS7 et ceci de manière cohérente.

Les modules .NET auront ainsi une visibilité complète sur l’ensemble des requêtes reçu par le serveur Web pour le site ou ils sont activés (même sur l’accès aux fichiers static).

3 Facilité d’administration

Stockage de la configuration Web à l’aide de fichiers XML

Sous IIS6, la configuration du serveur Web se trouvait dans une metabase au format XML.

Avec IIS7, un nouveau système de configuration est disponible par l’intermédiaire de plusieurs fichiers XML.

L’objectif de cette nouvelle interface de configuration étant de faciliter la mise en place mais aussi la maintenance de fermes de serveur Web frontaux se connectant à des serveurs dorsaux contenant les données en améliorant les possibilités de réplications entre les serveurs.

applicationHost.config

Le fichier applicationHost.config contient la configuration globale du serveur Web.

Il contient la liste de tous les sites, les pools d’application, les paramètres par défaut, …


Vous pouvez trouver ce fichier dans le répertoire : C:\Windows\system32\inetsrv\config

Redirection.config

Le fichier redirection.config indiquera les affinités entre les serveurs physiques et les applications.

web.config

Un fichier web.config de premier niveau contiendra la configuration globale ASP.NET, puis si nécessaire des fichiers web.config pour chacun des sites contiendront une configuration spécifique aussi bien de la partie ASP.NET que de la partie serveur Web IIS par site.

Web.config pourra se trouver localement sur le serveur web ou sur un serveur distant centralisant la configuration par l’intermédiaire d’un chemin UNC. Un changement de la configuration mettant à jour l’ensemble des serveurs.

Ainsi tout comme ASP.net qui vous propose le fichier de configuration machine.config et les web.config pour chaque application, vous trouvez le même système de configuration utilisable avec IIS7.

Compatibilité avec la metabase IIS6


Pour les applications utilisant les interfaces d’accès à la metabase IIS6 (Exchange 2007, …), un module est disponible rendant compatible ces applications avec IIS7.

Ce module ne pourra modifier que le fichier applicationHost.config du serveur.

Nouvel outil d’administration

Présentant une interface plus claire, le nouvel outil d’administration d’IIS 7 présente l’avantage de centraliser l’administration de l’ensemble des modules du serveur Web lui-même et la configuration d’ASP.NET.

Contrairement à la stratégie générale d’administration de Microsoft, l’outil d’administration de IIS7 n’est pas un composant enfichable mmc mais une console (inetmgr.exe) à part entière.

N’utilisant plus le standard MMC, l’administration à distance passe maintenant par un service de management sur lequel va se connecter la console.


Grace à ce composant, l’administration distante peut se faire à travers le protocole http (ou https) ce qui le rend accessible à travers la plupart des pare-feu.

Automatisation de l’administration à l’aide de WMI, PowerShell ou du framework .Net

La nouvelle version du serveur Web de Microsoft introduit de nouvelles méthodes d’administration plus simple afin de faciliter l’automatisation de la configuration du serveur.

Fournisseur WMI

Un nouveau fournisseur WMI fait aussi son apparition (winmgmts:root/WebAdministration) proposant une solution unifiée pour la configuration de IIS et d’ASP.NET. Cette solution simplifie la création de script VBScript/Jscript.

API .NET

Une nouvelle API.Net (microsoft.web.administration) fait son apparition pour permettre aux développeurs d’utiliser du code managé pour manipuler les fichiers de configuration XML du nouveau serveur Web directement à partir d’application .Net.

PowerShell

Par l’intermédiaire des fournisseurs WMI et des API.NET, il est possible d’utiliser l’outil d’administration PowerShell pour piloter IIS7 et créer des scripts d’administration puissants et performants.

L’outil appcmd.exe

Et pour finir, l’outil en ligne de commande AppCMD.exe permettant de réaliser la plupart des tâches d’administration grâce à une syntaxe simple.


Il permettra aussi l’écriture de script batch classique pour l’automatisation de taches simple

Optimisation des coûts de maintenance

Délégation d’administration

L’administrateur pourra décider quels sont les fonctionnalités que les utilisateurs qui ne sont pas administrateur pourront contrôler.

Les propriétaires des sites pourront déléguer les paramètres de délégation de IIS et d’ASP.NET sans avoir recourt à une élévation des privilèges en personnalisant le fichier web.config.

L’utilisation de la configuration de la délégation via le fichier web.config facilitera le déploiement de la configuration.

Diagnostic rapide des problèmes de site et d’application.

Un nouveau tracer pour traquer les erreurs a été ajouté basé sur le FREB (Failed Request Event Buffer).

Le FREB enregistre l’ensemble des actions du serveur et copie ces informations dans le fichier de log lorsqu’une erreur est remontée.

Cette fonctionnalité offre des possibilités beaucoup plus approfondies pour la recherche des origines d’une erreur.

Avec une interface de présentation de l’erreur refondue et plus claire, IIS offre plusieurs niveaux d’analyse permettant de visualiser de façon détaillé les étapes du processus de traitement.

Des conseils pour déboguer sont même proposés.

L’administrateur ou le développeur peut alors voir les modules par lesquels la requête est passée ainsi que le module qui a généré l’erreur.


FastCGI pour la prise en charge efficace de PHP, PERL, …

Développé en partenariat avec Zend, FastCGI permet d’optimiser le fonctionnement des CGI avec des gains en performance pouvant atteindre le x25 par rapport aux CGI standard.

Ainsi les interpréteurs des langages dynamiques comme PHP, Ruby, PERL sont plus fiable et plus performant.

A la suite d’une simple installation du runtime correspondant au langage désiré, la prise en charge sera totale aussi bien en 32 bits qu’en 64 bits.

Conclusion

Microsoft propose donc avec IIS une révision majeure de son serveur Web ou l’on appréciera particulièrement le système de module, le déploiement et la maintenance de ferme de serveur facilité et les efforts concluants pour mieux intégrer les autres langages dynamiques comme PHP.


2 Implémentation de Terminal Server

Présentation

Les avancées technologiques et fonctionnelles apportées avec Windows Server 2008 sont nombreuses dans de multiples domaines. La nouvelle édition de Terminal Server en bénéficie va plus loin encore en apportant une nouvelle dimension au produit par l’intermédiaire de nouveaux scénarios d’implémentation vraiment prometteur.

Pour rappel, Terminal Server est un composant de la famille Windows Server permettant d'accéder à des applications et des données sur un serveur distant à travers un réseau. Pour cela un client léger compatible avec le protocole RDP (Remote Desktop Protocol) est utilisé, se client pouvant tourner sur toutes les plateformes et le traitement des données étant assuré par le serveur.

Avec cette édition 2008, Microsoft a donc non seulement optimiser l’existant par l’intermédiaire d’une nouvelle version 6.1 du protocole RDP mais en a profité pour exploiter sa technologie pour permettre une intégration plus transparente de son utilisation avec les environnements des utilisateurs.

On voit ainsi apparaitre avec cette nouvelle version un nouveau client de connexion en version 6.1 prenant en charges les nouveautés de la plateforme mais aussi de nouveaux outils correspondant aux nouveaux scénarios d’implémentation possible :

TS RemoteApp : Les applications distantes exécutent les programmes hébergés par les services Terminal Server sur les postes de travail des utilisateurs comme s'il s'agissait d'applications locales et non pas via un bureau virtuel. TS Web Access : Cette interface dynamique facilite l’accès aux applications distantes par l’intermédiaire d’un page web rassemblant les raccourcis de lancement. TS Gateway : Les passerelles Terminal Server rendent accessibles des serveurs Terminal Server (ou des serveurs sur lesquels le bureau à distance est activé) via un tunnel HTTPS. Cela évite l’utilisation de tunnels VPN. TS Session Broker : Le rôle Session Brocker est l’équivalent du service Session Directory de Windows Server 2003 et permet de localiser les sessions RDP en cours sur des fermes de serveurs TS et de reconnecter les utilisateurs sur le serveur hébergeant sa session.


TS EasyPrint : Cette passerelle universelle d’impression évite l’installation des pilotes des imprimantes locales des clients sur le serveur.

RDP 6.1 et son nouveau client

La nouvelle plateforme Terminal Server 2008 s’appuie fortement sur la version 6.1 du protocole RDP qui nécessite le client Bureau à distance en version 6.1.


Cette mise à jour est disponible avec les systèmes Server 2008, Vista SP1 et XP SP3. Pour les autres il faudra se contenter du client 6.0 qui supporte tout de même la majeure partie des nouvelles fonctionnalités.

Concernant le détail de ces nouveautés, voila ce que l’on va pouvoir trouver :

Signature numérique des fichiers RDP

Afin d’éviter la prolifération de fichier de connexion .rdp pointant vers des serveurs TS malicieux et facilitant ainsi la récupération d’information sensible, les fichiers RDP peuvent être signés numériquement pour garantir l’intégrité et la validité des informations qu’ils contiennent.

Une nouvelle interface utilisateur permet d’accorder ou pas la confiance au fournisseur du fichier RDP.


La décision de confiance de l’utilisateur quand à elle est contrôlable par stratégie de groupe. On pourra ainsi lister les éditeurs de confiances et interdire les fichiers non-signés.

Nouvelles résolutions disponibles

Depuis la version 6.0 de RDP, le support des formats 16/9 et 16/10 ont été ajoutés pour prendre en charge les moniteurs avec une résolution comme le 1680 x 1050 ou le 1920 x 1200.

La résolution maximale d’une session Terminal Server étant maintenant de 4096 x 2048.

Extension de la session TS sur plusieurs écran

Par l’intermédiaire du commutateur mstsc /span, le bureau de la session terminal server peut s’étendre sur plusieurs moniteurs sur le client.

Attention, il s’agira d’un bureau unique ayant une résolution large couvrant plusieurs moniteurs et non pas d’une émulation de plusieurs moniteurs. Les moniteurs doivent en outre être côte à côte alignés.

Support du lissage de police

L’objectif de ClearType qui est apparu avec Windows XP est de lisser les polices afin d’en améliorer le rendu sur des moniteurs qui imposent aux pixels une position fixe comme les écrans plats.

Cette technique de rendue est maintenant disponible à travers les sessions Terminal Server ce qui rend l’expérience utilisateur plus agréable.

L’utilisation de cette fonctionnalité a pour contre partie l’augmentation de la bande passante utilisée.


Pour utiliser le lissage de police il suffit de vérifier son activation sur Windows Server 2008 puis de l’activer dans la configuration de la connexion sur le client Bureau à distance.

Définition des priorités concernant le trafic lié à l’affichage

Par l’intermédiaire de la base de registre, il est maintenant possible de définir la répartition de la bande passante RDP entre les canaux de communications d’affichage (Rendu de l’affichage et saisie clavier ou souris) et les autres canaux (transfert de fichiers, presse-papiers, travaux d’impression…).

Cela permet de ne plus gêner le rendu graphique de la session lorsque l’on lance un transfert ou une impression entre la session distante et le client local.

Ainsi en modifiant les valeurs suivantes de la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD, il sera possible d’activer le contrôle de flux et les pourcentages de bande passante :

FlowControlDisable : Active ou désactive le contrôle. Actif par défaut. FlowControlDisplayBandwidth : Bande passante concernant l’affichage. Valeur maximale 255 et par défaut 70. FlowControlChannelBandwidth : Bande passante concernant le reste des échanges. Valeur maximale 255 et par défaut 30. FlowControlChargePostCompression : Détermine si la bande passante est répartie avant compression ou apres. Calcul avant compression par défaut.

Authentification unique (SSO)

L’authentification unique va permettre à l’utilisateur de s’authentifier une seule fois sur le domaine lors de son ouverture de session et d’utiliser ces informations d’authentification pour se connecter à sa session terminale server sans devoir retaper son nom d’utilisateur et son mot de passe.

Cette fonctionnalité n’est disponible qu’à partir des systèmes Windows XP SP3, Windows Vista et Windows Server 2008.

Mise en place


Utilisant le protocole Kerberos, l’ordinateur client et Terminal Server devront être membre du même domaine.

Afin de se protéger des attaques de type « man in the middle », il sera nécessaire de spécifier au niveau d’une stratégie de groupe la liste des domaines ou serveurs vers lesquels les informations d’identités des utilisateurs seront transmises.

La passerelle Terminal Server

Principe de fonctionnement

Les passerelles Terminal Server permettent de rendre accessible de multiples serveurs Terminal Server (ou des serveurs sur lesquels le bureau à distance est activé) via un tunnel TLS.

Cette fonctionnalité permet d’éviter le recours à des tunnels VPN lourds à gérer et problématiques en termes de sécurité.

Les passerelles Terminal Server peuvent interagir avec les serveurs NAP de manière à vérifier la conformité des postes clients (ainsi les ordinateurs non conformes seront mis en quarantaine et n’auront qu’un accès limité voire nul aux serveurs Terminal Server de l’entreprise).

Le principe de fonctionnement d’une passerelle TS utilise un tunnel TLS (port 443) entre l’ordinateur client et la passerelle TS située en DMZ, puis la passerelle TS se connecte au serveur demandé via le protocole RDP. Ce principe est le même que celui utilisé par Outlook et Exchange 2003 (RPC over HTTPS).


Il n’est alors pas nécessaire d’ouvrir d’autre port que le TCP 443 à destination de la passerelle TS sur le pare-feu.

Ce rôle donne aussi bien accès aux serveurs Terminal Server, qu’aux applications distantes mais aussi aux bureaux à distance de Windows XP, Vista, Server 2003, Server 2008 afin de les administrer.

Afin d’assurer une meilleure montée en charge et une meilleure disponibilité, les passerelles Terminal Server peuvent être organisées en fermes de serveurs si besoin.

Mise en place

La mise en place d’un serveur de passerelle Terminal Server passe par la création de deux stratégies d’accès :

La stratégie CAS (Connection Authorization Policy)

Cette stratégie donne les conditions de connexion à la passerelle. Elle permet de spécifier quels sont les utilisateurs ou les groupes d’utilisateurs qui peuvent se connecter à la passerelle TS.

A cela on peu ajouter d’autres conditions pour accéder à la passerelle TS comme le mode d’authentification supporté (Mot de passe et carte à puce), l’appartenance à un groupe d’ordinateur ou le type de ressources locales qui peuvent être redirigées (lecteurs, imprimantes, copier-coller, usb, …).

Il est aussi possible d’intégrer les passerelles TS à une infrastructure NAP pour analyser l’état de santé des machines qui se connectent.

La stratégie RAP (Resource Authorization Policy)

Une fois la stratégie CAS établie, il faut définir les autorisations d’accès vers les serveurs TS auxquels les utilisateurs vont pouvoir se connecter.

Pour cela ont défini trois conditions qui sont les groupes d’utilisateurs qui peuvent se connecter, les groupes de serveurs TS auxquels ils pourront se connecter et les ports TCP autorisés (3389 par défaut).


Applications distantes et TS Web

Présentation des applications distantes

Jusqu’à présent, l’utilisation du protocole RDP a toujours eu pour objectif la connexion à un bureau distant afin d’accéder à ses applications et ses données.

Le principe des applications distantes sur Windows Server 2008 est d'exécuter les programmes hébergés par les services Terminal Server en les intégrants totalement au bureau local de l’utilisateur.

En apparence, ces applications seront complètements fondues dans l’environnement de l’utilisateur en s’intégrant tout naturellement dans la barre des taches du bureau local.

Le bureau local pourra aussi bénéficier de raccourcis dans le menu démarrer ou sur le bureau, de l’association des types de fichiers avec l’application distante, de l’intégration avec la zone de notification locale, du copier-coller entre les applications locales et distantes et de l’accès aux périphériques locaux depuis les applications publiées.

Déploiement des applications distantes

Pour publier une application, il suffit de spécifier celle-ci dans une liste de l’outil de gestion des applications distantes.


Une fois l’application publiée, il est possible d’en déployer les raccourcis par trois méthodes plus ou moins complètes :

Soit créer un fichier rdp composé des éléments de connexion au serveur Terminal Serveur publiant l’application distante.

Une passerelle Terminal Serveur, une signature du fichier RDP et des paramètres de configuration du protocole RDP pourront être ajoutés au fichier RDP si nécessaire.

Soit créer un fichier msi intégrant non seulement le fichier rdp de connexion mais aussi des éléments d’intégrations plus poussés comme des raccourcis sur le bureau, dans le menu démarrer et l’association des types de fichiers.

Cette dernière méthode permettant un déploiement facile via une stratégie de groupe.

Soit publier l’application sur le portail TS Web que l’on abordera juste après.

L’accès aux applications distantes est contrôlé par le même mécanisme que la publication de bureau classique terminal server.


Pour accéder aux applications il faut donc être membre du groupe Remote Desktop ou avoir des autorisations sur le protocole RDP-Tcp tout comme pour les bureaux Terminal Server.

Portail TS Web Access

Cette interface web permet d’accéder facilement aux applications distantes par la publication des raccourcis de lancement dans une page dont le contenu est administré par l’outil d’administration des applications distantes.

Ainsi, elle se comporte comme un lanceur d’application tout en intégrant un client classique de connexion bureau à distance.

L’apparence du portail peut être complètement personnalisée si nécessaire.

TS Easy print

Jusqu’à présent, pour imprimer une page à partir d’une session Terminal server sur une imprimante connectée localement au client, il fallait installer les pilotes de l’imprimante sur le serveur Terminal Server.


Cette installation pouvait causer des problèmes sur le serveur TS pour des raisons de compatibilité, de simplicité et de disponibilité des pilotes sur l’architecture du serveur (Version de l’O.S., 64 bits, …).

L’objectif de TS Easy Print est de faire une redirection transparente de l’impression vers l’imprimante locale sans avoir à installer de pilote côté serveur.

Pour cela, lorsque qu’un client lance une impression dans une session Terminal Server, le fichier est envoyé vers une imprimante virtuelle qui génère un fichier au format XPS (XML Paper Specification). Ce fichier est alors transféré à la machine locale, puis imprimé sans déformation ni altération du format.

A l’aide de ce mécanisme, toutes les options des pilotes constructeurs sont disponibles au sein de la session TS pour l’utilisateur et l’on bénéficie même d’une réduction de la bande passante utilisée entre le client et le serveur pour le transfert des travaux d’impression par l’utilisation d’une compression zip.

Pour la mise en place, il faudra installer coté client les éléments suivants :

Le client Bureau à distance v6.1 Le Framework .NET v3.0 sp1 Les pilotes de l’imprimante installés localement

Session Broker

Présentation de l’annuaire de session

Session Broker a pour objectif de mieux répartir les sessions au sein d’une ferme de serveur TS.

Ce composant est équivalent au service Session Directory de Windows Server 2003 qui permet de localiser les sessions RDP en cours sur des fermes de serveurs TS en les stockant dans un annuaire.

La répartition de charge se fait ensuite en prenant en compte le nombre de session Terminal Server active sur le serveur TS et sur le poids de celui-ci dans la ferme.

Ainsi lors de la connexion initiale d’un utilisateur, celui-ci est affecté au serveur le moins chargé de la ferme.


Et lors de la reconnexion de ce même utilisateur sur une session déconnectée (et non pas fermée), l’annuaire de session est consulté pour le rediriger sur le serveur hébergeant sa session.

Le service Session Broker surveille la disponibilité du service Terminal Services sur les serveurs appartenant à la ferme. Dans le cas ou l’un des serveurs de la ferme tombe en panne, le système assure la tolérance de panne en redirigeant les clients sur un autre serveur. Evidement les sessions en cours seront tout de même perdues.

Mise en place de TS Session Broker

La mise en place de Session Broker passe par l’installation sur un serveur du rôle en question.

Il faudra ensuite ajouter les serveurs TS au groupe local Session Directory Computers du serveur TS Session Broker.

Et pour finir configurer via une stratégie de groupe chaque TS de la ferme.

Ce service peut aussi être implémenté sous la forme d’un cluster.


Ce qu’il est aussi bon de savoir…

Une expérience utilisateur plus proche du poste client

Afin de ne pas perturber les utilisateurs, il est possible d’installer le thème de Windows Vista sur Windows 2008 pour que l’environnement de travail des bureaux distants soit très proche de celui des postes clients. Pour cela, il suffit d’installer l’option « Desktop Experience ».

Une configuration intégrale par GPO

Tous les paramètres des serveurs TS sont entièrement configurables via des stratégies de groupes.

Une meilleure compatibilité des applications

La compatibilité des applications a été améliorée par un système de virtualisation du registre et du système de fichiers (colonne virtualisation


dans la colonne processus du gestionnaire de fichier) et une intégration avec les outils de compatibilité d’application (ACT). Ceci sonne la fin des scripts de compatibilité

Une ouverture de session plus efficace et rapide

La modification du noyau pour un support du mode multi-utilisateur amélioré et des modifications de l’architecture de WINLOGON permettent d’ouvrir un nombre sessions en parallèle correspondant au nombre de cœurs sur le serveur. Les ouvertures et les fermetures de session sont donc plus rapides.


3 Nouveautés de Terminal Server dans Windows Server 2008 R2

Présentation de RDS (Remote Desktop Servies)

Longtemps appelé Windows 7 Server, Windows Server 2008 R2 partage des avancées technologiques importantes avec Windows 7 dans le domaine des services de terminaux.

De par l’importance des nouveautés apportées à l’expérience utilisateur et que nous allons détailler dans cet article, le service a été renommé RDS (Remote Desktop Services) sous Windows Server 2008 R2. Les évolutions de son protocole RDP, maintenant en version 7, amènent le bureau distant à un niveau proche d’une utilisation sur le poste local aussi bien du coté des performances que du rendu graphique.

Avec ces nouveautés, Microsoft se rapproche encore de ces partenaires Quest et Citrix pour les fonctionnalités tout en leurs laissant une marge de manœuvre leurs permettant d’innover.

Rappel sur le protocole RDP

RDP est un protocole permettant un rendu de l’interface de Windows à distance.

Il permet actuellement un rendu à distance efficace des applications GDI mais converti les médias riches ainsi que les animations (flash, vidéos, ..) en graphisme simple (suite d’image) ce qui nuit à l’expérience utilisateur et aux performances.

RDP propose un modèle extensible de canaux virtuels (rendu graphique, clavier/souris, périphériques distants, …) utilisés comme base des nouveautés à venir. Une documentation détaillé est disponible sur la MSDN (+ de 2000 pages).

Le protocole RDP est actuellement utilisé dans de nombreuses applications comme :

Terminal Server


Bureau à distance Assistance à distance Espace de collaboration Windows Media Center Extenders et la XBox 360 Contrôle à distance SCCM (System Center Configuration Manager) Administration des machines virtuelles Hyper-V Windows Live Mesh

Quelles sont les nouveautés attendues pour la version RDS ?

Améliorer la richesse graphique avec une gestion avancée du multimédia, de la 3D, des animations, … Forte demande pour que l’expérience utilisateur via le RDP se rapproche de celle locale. Diversifier les périphériques clients supportés.

Quoi de neuf dans Windows Server 2008 R2 ?

Avec Windows Server 2008 R2 et Windows 7, Microsoft propose un nombre de nouveautés technologiques et fonctionnelles importants :

Support de Windows 7 Aero: Toutes les améliorations graphiques de l’interface aero incluant les effets 3D, la transparence et les déformations sont maintenant pleinement supportés à travers un bureau distant sans surcharge de l’utilisation processeur ni de la bande passante réseau.

Optimisation du traitement via Direct2D et Direct 3D 10.1 : De nouvelles API Direct2D et Direct3D permettent d’utiliser des applications nécessitants une utilisation intense du graphisme à travers le protocole RDP sans surcharge de traitement. Cette partie sera détaillée plus loin dans l’article.

Support complet des environnements multi-écran : Actuellement, la gestion des environnements multi-écrans en mode SPAN se contente d’un bureau unique que l’on allonge horizontalement pour qu’il couvre l’ensemble des moniteurs. Cela ne permet donc pas de gérer des environnements utilisant des résolutions différentes. Avec la version 7 du protocole RDP, la gestion avancée de l’affichage permet de prendre en compte 10 moniteurs avec non seulement des résolutions différentes mais aussi une gestion intelligente des fenêtres qui vont se maximiser au sein


du moniteur en cours en non pas à travers les moniteurs comme jusqu’à présent.

Redirection optimisée des flux DirectShow : Tous les flux vidéo issus de DirectShow sont maintenant redirigé par un canal dédié permettant une lecture fluide et normal sur les postes clients à condition que ceux-ci possèdent les bons codecs. Cette architecture permet ainsi de préserver une bande passante réseau ainsi qu’une charge processeur réduite coté serveur sachant que le décodage des vidéos se fera sur le client.

Envoi bidirectionnel des flux audio : RDP jusqu’à Windows Server 2008 ne permettait qu’une sortie audio du serveur vers le client. Cette limitation maintenant révolue par l’implémentation d’une entrée audio qui remonte par exemple le son d’un micro du client vers le serveur et permet ainsi l’utilisation de service de visioconférence à travers une session distante. Un souci tout particulier a été porté sur la diminution du temps de latence de l’exécution des sons.

L’architecture de rendu graphique du protocole RDP

La nouvelle architecture s’oriente vers un partage des tâches ou l’on va pouvoir solliciter le poste client afin qu’il puisse assurer une partie du travail de rendu.

La gestion du rendu graphique GDI, Direct 3D, Multimédia ou DWM (Gestionnaire de fenêtre depuis Windows VISTA) peut être confié au poste client pour un traitement plus léger coté serveur.

Ainsi pour les applications utilisant des versions antérieures à DirectX10.1, le rendu sera effectué sur le serveur qui se chargera de générer des bitmaps et de les faires parvenir aux clients. Dans le cas ou l’application supporte les API DirectX 10.1 incluant les extensions de prise en charge distante (2D & 3D), les graphiques DirectX sont redirigés sur le client qui va alors assurer le rendu en local épargnant donc cette charge au serveur.

Le moteur du client inclus donc un système de composition permettant de réassembler de manière cohérente les différents éléments de rendu (GDI, Direct 3D, Multimédia ou DWM) afin d’offrir un rendu final unifié.


Rendu RDP coté serveur

WPF, Silverlight, Flash, Direct3D<10.1 et tout autre media…

Rendu RDP coté client

Direct2D, Direct3D 10.1, Document multimédia (nécessite des codes sur le client et ne supporte pas les DRM ou les licences) et GDI.

Les bénéfices directs par rapport à la version 5.2 sont un Gain de 40% de Bande passante sous Windows XP/2003 et de 65% lors des diverses actions de défilement.


Mise en place d’une infrastructure de bureau virtualisé

Sous Windows Server 2008 R2, une interaction peut se faire entre les services RDS et Hyper-V.

Ce type d’infrastructure communément appelé VDI (Virtual Desktop Infrastructure) permet la mise en place du pilotage du lancement des machines virtuel ainsi que leur accès par l’intermédiaire de l’infrastructure RDS.

Les avantages de cette infrastructure sont multiples :

Offrir aux utilisateurs un accès personnalisé ou temporaire à un environnement dédié. L’utilisateur aura alors accès à une machine (virtuelle sous Hyper-v) qui lui sera dédié. Permettre aux administrateurs de centraliser la gestion et l’administration des images utilisées par les clients dans un datacenter. L’administrateur stock les instances des machines sur une baie de stockage réseau et peu donc facilement les mettre à jour ou les sauvegarder. Faciliter le déploiement et la gestion des logiciels qui ne seront plus mutualisé sur un serveur unique mais installés de manière standard sur une machine dédiée (la machine virtuelle).


Pour mettre en place cette infrastructure, voici les composants nécessaires :

TS Virtualisation qui va héberger les clients virtuels à l’aide du rôle Hyper-V. TS Web Access qui va lister les ressources disponibles dans une page web afin de lancer les sessions. Session Broker qui va rediriger les requêtes de connexion sur le bon serveur hébergeant la machine virtuelle. TS Gateway qui va offrir une connexion sécurisé à l’infrastructure à travers Internet.

Comme vous pouvez le voir, l’essentiel du travail de gestion du VDI sera effectuée par le composant Session Broker, voici un schéma des différentes étapes pour la connexion d’un client à son image virtuelle.


Conclusion

Le module terminal server maintenant appelé RDS (Remote Desktop Services) a fait un bon en avant très important pour se rapprocher des besoins et des souhaits des utilisateurs. Avec une exploitation mieux géré de la bande passante, du rendu graphique ainsi que la possibilité de mettre en place de manière intégré des environnements virtuels, cette mise à jour apporte un véritable gain en productivité pour les administrateurs et les utilisateurs finaux.

Documents

Guide du certifié 70-643 - intranet.crematoriums.frintranet.crematoriums.fr/partage/elearning/PDF/IIS7_TSE.pdfGuide du certifié 70-643 THOBOIS Loïc. ... Windows Web Server 2008