Ensimag

1
Windows Server 2003
Yann Seyroles TAEMicrosoft France
2
Agenda

• Migration
• Niveau Fonctionnel
• Windows NT 4.0 vers Windows Server 2003
• Windows 2000 vers Windows Server 2003
• Terminal Server Interopérabilité
• Terminal Server 2003

3
MigrationNiveau de fonctionnalité pour les
domaines

• Nécessaire pour assurer le niveau de
  compatibilité
• Opération manuelle functional level quand
  tous les DCs dans le domaine/forêt sont mis à
  jour
• Le niveau peut être incrémenté uniquement pas
  de machine arrière
• Clients ne sont pas impactés
• Niveaux disponibles
• Windows 2003 Server domain
• Windows 2003 Server forest
• Windows 2003 Server interim forest
• Authorise les domaines en mixed-mode (Windows
  NT 4.0 BDCs), mais pas de DC Windows 2000

4
MigrationNiveau de fonctionnalité pour les
domaines
5
Migration Niveau de fonctionnalité pour les
forêts
6
Migration Niveau de fonctionnalité pour les
forêts

• Windows NT 4.0
• Windows 2003 Server interim forest level à la
  mise à hour du PDC
• Motivation
• Linked-value-replication
• KCC/ISTG
• Quand tous les BDC Windows NT 4.0 sont mis à
  jour, se mettre en 2003 Server functional level
• Mise à jour du domaine en fonctionnalité 2003
• Windows 2000
• Ne rien effectuer tant que tous les DC sont en
  Windows2003 Server Native mode
• Sassurer quaucun mixed-mode est présent dans
  la forêt
• Passer la forêt Windows 2003 Server functional
  level
• Mise à jour du domaine en fonctionnalité 2003

7
Migration Quel Impact

• Domain Level
• Opérations spécifiques sur le PDC ou déplacement
  des roles
• Forest Level
• Nouvelles fonctionnalités
• Domain et Forest Level
• Nouveaux attributs sont initialisés

8
Migration Quel Impact postes clients

• Communication en SMB Signing
• SMB signing secure channel encryption par défaut
• Ajustement pour les clients suivants
• Win95 Windows pre-SP3 NT 4.0 Modification dune
  policy
• Samba, Mac OS X MS DOS network clients
• Désactiver SMB signing
• Windows 2000, XP et WS 2003 nont pas
  dajustements spécifiques

9
SMB Signing Policy
10
Agenda

• Migration
• Niveau Fonctionnel
• Windows NT 4.0 vers Windows Server 2003
• Windows 2000 vers Windows Server 2003
• Terminal Server Interopérabilité
• Terminal Server 2003

11
Migration NT4.0

• Inventaire du parc de machines clientes (smb
  etc..)
• Installés soit les Hot fixes /SP etc
• Inventaire des contrôleurs de domaine
• Hot fixes
• Recommendé SP6a
• Vérification hardware Espace disque, CPU,
  memoire
• Bon état de fonctionnement du DC (replication et
  lmrepl)
• Vérification des services tournant sous le compte
  local system sur les serveurs membres /
  Workstation
• Configurez le service pour utiliser un compte,
  ou
• Mise à jour vers Windows 2000 / 2003, ou
• Enable downlevel access dans dcpromo

12
Migration NT4.0

• Configurez lmrepl
• Dernier controleur à être mis à jour
• Si lmrepl tourne sur un PDC,
• Choisir un BDC pour être le nouveau lmrepl,
• Transférez le role de PDC et faites la mise à
  jour lmrepl en dernier
• Securisez un BDC
• Synchro avec le PDC
• Faire un back-up et testez un restore
• Mettre ce BDC off-line

13
Migration NT4.0

• Mettre à jour le PDC
• PDC neffectuera pas certains roles
• Pas de changement de groupe ou création de compte
• Clients et stations ne peuvent changer leurs mots
  de passe
• Trusts peuvent être défaillants
• Estimation de temps
• Configurez les paramètres de sécurités
• Verification
• Vérifiez réplication
• Verifiez que des nouveaux utilisateurs peuvent
  être créés, ainsi que les mots de passes puissent
  être changés

14
Migration NT4.0

• Installation et configuration du lmbridge
• Windows Server 2003 ne possède plus de lmrepl
  mais sysvol (par le biais de frs)
• Copiez tous les scripts logon et les autres
  fichiers provenant de lexport du PDC
• Configurez lmbridge pour copier du PDC vers
  lmrepl export
• Changez les fichiers sur le PDC uniquement
• Continuez à mettre à jours les BDC
• Lorsque tous les DC sont en Server 2003
• Dans le cas ou le dernier DC vient de joindre la
  forêt et quils sont tous en Windows Server 2003
  , passez en Windows 2003 forest functional
  level
• Dans le cas dune forêt multi-domain, attendez
  que le dernier domaine soit mis à jour

15
Migration Post Upgrade

• DC Opérationnel
• Partages NETLOGON SYSVOL sont présents
• DC responds to LDAP, RPC and logon requests
• SRV, CNAME and A records are registered in DNS
• FRS Add Canary file on local direct
  replication partner
• Active Directory REPADMIN /SHOWREPS
• Policy being applied as noted by Event 1704
• Event Log clean but for event 1931 on 2000
  upgrades

16
Agenda

• Migration
• Niveau Fonctionnel
• Windows NT 4.0 vers Windows Server 2003
• Windows 2000 vers Windows Server 2003
• Terminal Server Interopérabilité
• Terminal Server 2003

17
Process de mise à jour

• Etape 1 Preparez la forêt et les domaines
• Etape 2 Mise à jour des DC
• Etape 3 Changement de niveau de fonctionnalité
• Etape 4 Migration des données du DNS en
  application de Partition

18
ADPREP /FORESTPREPPréparation de la fôret

• ADPREP /FORESTPREP
• Ajoute de nouveaux SD, attributs, et objets
• Opération unique par forêts
• Sexecute sur le serveur possédant le rôle
  schema master
• Nécessite les droits Administrateur
  denterprise et Administrateur de schema
• Syntaxe
• ltmedia_pathgt\i386\ADPREP /FORESTPREP
• Vérification
• Command completed successfully via ADPREP
• CNWindows2003Update dans la partition de
  configuration
• Fichier de log systemroot\system32\debug\adpr
  ep\logs\ltlatest loggt

19
ADPREP /DOMAINPREPPréparation de chaques domaines

• ADPREP /DOMAINPREP
• Ajoute de nouveaux SD, dans la partition de
  domaine et SYSVOL
• ADPREP /FORESTPREP répliqué dans lensemble de la
  forêts
• Nécessite les droits Administrateur du domaine
• Syntaxe
• ltmedia_pathgt\i386\ADPREP /DOMAINPREP
• Verification
• Command completed successfully via ADPREP
• CNWindows2003Update in Domain dans la partition
  de configuration\SYSTEM
• Fichier de log systemroot\system32\debug\adpr
  ep\logs\ltlatest loggt

20
Opérations effectuées par ADPREP

• ADPREP /FORESTPREP
• cnConfiguration
• cnForestUpdates
• cnOperations
• cnltoperational guidsgt
• cnwindows2003update
• ADPREP /DOMAINPREP
• cnltdomain namegt
• cnSYSTEM
• cnDomainUpdates
• cnOperations
• cnltoperational guidgt
• cnWindows2003Update
• Forestprep 36 operations
• DomainPrep 52 operations
• Tous les objets doivent être répliqués avant
• Mise à jour des DC 2000 vers 2003

21
Issues avec lextension du Schema

• Exchange 2000
• Lextension du schema par Exchange 2000 pour les
  attributs suivant
• secretary
• labeledURl
• InetOrg
• Autres
• Cisco call manager
• SFU 2.0
• SAP
• Cognos
• Trinity Software
• Apple Mac OS 10 client install guide

22
Premier DC Windows Server 2003 dans la forêt

• Deux méthodes
• Mise à jour dun DC existant (Windows 2000 ou
  Windows NT 4)
• Installation dun Windows Server 2003 en tant que
  serveur membre puis dcpromo
• Mise à jour du PDC
• Création du groupe Terminal Service, plus groupes
  interne
• Best practice
• Installation dun Windows Server 2003 en tant que
  serveur membre puis dcpromo
• Mise à jour du PDC ou transfer du role PDC sur
  un Windows Server 2003

23
Mise à jour à partir de Windows 2000Step by Step

• Inventaire du parc de machines clientes (smb
  etc..)
• Installés soit les Hot fixes /SP etc
• Inventaire des DC dans la forêt
• Hot fixes
• Recommendation SP3
• Espace disque
• Bonne réplication AD

24
Mise à jour à partir de Windows 2000Step by Step

• Executer adprep /forestprep
• Dans chaque domain adprep /domainprep
• Installez un serveur membre Windows Server 2003
• Passez ce nouveau serveur en DC monitorez
• Mettre le rôle Domain Naming Master sur ce
  nouveau DC

25
Mise à jour à partir de Windows 2000Step by Step

• Mettre à jour les DC Windows 2000
• Dans chaque domaine
• Mettre à jour les PDC dès que possible (ou
  transferez le role PDC sur Windows Server 2003 )
• Une fois que tous les DNS sont en Windows Server
  2003 , le mettre en partition dapplication
• When all DCs are upgraded
• Mettre la forest wide DNS en mode partition
  dapplication
• Mettre la forêt en fonctionnalité Windows 2003

26
Post Upgrade

• DC présent
• Partage NETLOGON SYSVOL toujours présents
• DC répondent à LDAP, RPC et requete de logon
• Enregistrements SRV, CNAME et A bien présent et à
  jour DNS
• FRS Ajout manuel dun fichier de test afin de
  vérifier la réplication
• Active Directory REPADMIN /SHOWREPS
• GPO bien appliqués

27
Post Upgrade

• Backup
• Creez de nouveaux backup du system state
• Roles FSMO
• Bonne répartition des rôles
• Installer GPMC
• Faire des sauvegardes des GPO
• Testez une nouvelle policy en lab, puis importez
  la

28
Active Directory Migration Tool Utilitaire de
Migration ADMT

• Utilitaire de migration/consolidation
• Source domaines NT 4 et Windows 2000
• Destination domaines Windows 2000 et 2003
• Migration des mots de passe
• Mode ligne de commande
• Scriptable via Interface COM
• Plus de souplesse au niveau des options de
  transition des comptes, ex changement de nom
• Reconfiguration des ACL des ressources
• Reporting

29
Serveur dapplications
Windows Terminal Services
Installer une fois
RAS
IIS
Internetvia Client ActiveX
Mac
VPN
Modem
UNIX
Intranet
Sites distants / Agences
Exécuter partout
30
Agenda

• Migration
• Niveau Fonctionnel
• Windows NT 4.0 vers Windows Server 2003
• Windows 2000 vers Windows Server 2003
• Terminal Server Interopérabilité
• Terminal Server 2003

31
Scenarii dutilisation

• Utilisation dapplications
• Win32 depuis des clients
• non Win32

Terminaux Windows CE, Windows XP Embedded
Déploiement centralisé dapplications
Installation en ModeAdministration à distance
32
Serveur dapplications
Windows Terminal Services
Installer une fois
RAS
IIS
Internetvia Client ActiveX
Mac
VPN
Modem
UNIX
Intranet
Sites distants / Agences
Exécuter partout
33
Plateformes supportées

• Windows XP et Windows Server 2003 (présent dans
  lOS)
• Windows 95, Windows 98, Windows Me, Windows NT
  4.0 et Windows 2000
• Téléchargeable sur www.microsoft.com/windowsxp/pro
  /downloads/rdclientdl.asp
• MAC OS 10.2.3 ou supérieure
• Téléchargeable sur www.microsoft.com/Mac/DOWNLOAD/
  MISC/RDC.asp
• Pocket PC
• Téléchargeable sur www.microsoft.com/mobile/pocket
  pc/downloads/terminalservices/default.asp
• Autres plateformes que Windows (Ex OS/2)
• Nécessite linstallation de solutions tierces

34
Principe de fonctionnement
Serveur
Client
35
Une architecture à base de standardsRDP et T.120
Le flot RDP est encapsulé au format ITU T.120 et
et sappuie sur le protocole de transport TCP/IP
T.120 supporte 65,000 circuits virtuels pour
transporter des données
Un circuit est utilisé pour les données de
présentation (basé sur T.128 App Hosting).
Option de compression pour les connexions basse
vitesse
T.120 est extensible. De multiples extensions
peuvent être développées
36
Une architecture extensibleVirtual Channel
Terminal Services
App.exeVirtualChannelOpen(MyData)
Extension DLL
msdn.microsoft.com/library/psdk/termserv/wtsapi_9t
2r.htm
37
FonctionnalitésApports de Windows 2003

• Plus simple dusage
• Sauvegarde des paramètres de connexion
• Barre de connexion plein écran
• High color (24-bit), 1600x1200
• Redirection des ressources
• Audio
• Disques et imprimantes (locales, réseau)
• Lecteurs de cartes à puces, périphériques port
  série
• Presse papiers (y compris fichiers)

38
FonctionnalitésApports de Windows 2003

• Bande passante
• Améliorations par rapport à RDP 5.0
• Désactivation du fond décran, des styles etc en
  fonction du type de connexion
• Sécurité
• 128-bit bi-directional RC4
• Avertissement utilisateur si redirection de
  ressources

39
FonctionnalitésComparaison avec les versions
précédentes
40
Client Web (TSAC)

• Fonctionne avec Internet Explorer 4, 5 et 6
• Avantages
• Pas dinstallation de client (téléchargement,
  300 K)
• Mise à jour automatique des clients
• Déploiement dapplications par publication dURL
  (masque emplacement physique), ex
  http//webservername/termserv/connect.asp?servert
  ermservernameprogramnotepad.exe
• Objet ActiveX programmable/scriptable
  msdn.microsoft.com/library/techart/w2ktsac.htm

41
Client Web (TSAC)
42
AdministrationApports de Windows 2003

• Support de WMI
• Configuration des composants TS
• Intégration avec les stratégies AD (GPO)
• Administration via linterface de gestion des GPO
• Amélioration interface dadministration des
  serveurs

43
AdministrationApports de Windows 2003

• Configuration des paramètres de connexion
• Local à chaque serveur

44
AdministrationApports de Windows 2003 - Group
Policies

• Configuration des paramètres de connexion
• Pour des groupes de serveurs ou dutilisateurs

45
AdministrationApports de Windows 2003 - WMI

• Nouveau provider WMI
• Accessible en lecture/ecriture
• Couverture de la quasi intégralité des paramètres
  Terminal Server
• Terminal Server Configuration, APIs, and command
  lines
• WMIC Interface en ligne de commande avec WMI
• RDAccount RDPermissions RDToggle RDNic
• wmic /node"ServerName"
  /user"DomainName\administrator"
  /password"password" RDToggle where
  ServerName"ServerName" call SetAllowTSConnections
  1

46
TS Licence Manager

• Service responsable du recensement des licences
  daccès client.
• Obligatoire passé un délai de 120 jours.
• Activation basée sur un mécanisme de clés à
  récupérer via Web, téléphone ou fax.

www.microsoft.com/windows2000/library/howitworks/t
erminal/tslicensing.asp
47
ApplicationsInstallation

• Installation en mode partagé
• Via Ajout/suppression de programmes -gt pour tous
  les utilisateurs
• Via la commande Change user /install
• Mécanisme
• Pendant linstallation copie de toutes les
  entrées modifiées du registre de lutilisateur
  dans HKLM\Software\Microsoft\Windows
  NT\CurrentVersion\Terminal Server\Install
• Pendant lexécution recopie des clés dans
  HKEY_USERS/sid

48
ApplicationsCompatibilité

• Livre Blanc sur le développement
• www.microsoft.com/technet/treeview/default.asp?url
  /technet/prodtechnol/win2kts/maintain/optimize/ts
  appdev.asp
• Compatibilité des applications
• www.microsoft.com/windows2000/techinfo/administrat
  ion/terminal/tsapcompat.asp
• Organisme de certification
• www.veritest.com

49
Utilisation à grande échelle Gestion des
sessions - Répartition/Reconnexion

• Paramètres dactivité/charge des serveurs
• Exposés par WMI
• Basés sur les données de performance de la
  machine
• Estimation du nombre de sessions restantes
• Reconnexion
• Annuaire des sessions
• Permet de router les session déconnectées au sein
  dune ferme de machines TS
• Le routeur est un composant COM remplaçable

50
Utilisation à grande échelle Gestion des
sessions Répartition/Reconnexion
Annuaire des sessions
3. Le serveur (TS-1) vérifie au sein de
lannuaire des sessions lexistence dune session
pour lutilisateur. Si une session existe le
serveur lhébergeant (ex TS-3) est communiqué au
client
TS-1
2. Routage de la demande de session vers le
serveur le moins chargé. (ex TS-1)
TS-2
Routeur
1. Connexion de lutilisateur à la ferme
TS-3
4. Le client est reconnecté à la session
existante sur TS-3
51
Utilisation à grande échelle Montée en charge

• Augmentation du nombre de sessions grâce aux
  améliorations des mécanismes de gestion de la
  mémoire
• Limitation liée au type de mémoire (mode Noyau)
  utilisé par le Registre supprimée (remplacement
  du paged pool utilisé avec Windows 2000 par des
  vues mappées de 256 ko du system cache)
• Meilleure montée en charge - Plus de System PTE
  (960 MO contiguë)

600
400
? 140
Utilisateurs
? 80
200
0
Knowledge Worker
Simple Task Worker
Windows Server 2000
Windows Server 2003
Knowledge Worker Bureau et plusieurs
applications Office (Excel, Outlook, Word,
IE) Simple Task Worker Bureau et une unique
application
(Configuration matérielle 4P 1.6 GHz P4, 4GB RAM)
52
(No Transcript)
53
Utilisation à grande échelle Optimisation de la
base de registres

• Mécanisme
• Pendant linstallation copie de toutes les
  entrées modifiées du registre de lutilisateur
  dans HKLM\Software\Microsoft\Windows
  NT\CurrentVersion\Terminal Server\Install
• Pendant lexécution recopie des clés dans
  HKEY_USERS/sid
• Optimisations
• Limite de la base de registres supprimée
• Espace dadressage du noyau en mode 32 bits
  (limité en Windows 2000 à 80 de la taille totale
  du  paged pool  - 160Mo / utilise maintenant
  des fenêtres de 256 k dans lespace  system
  cache )
• Requêtes sur la base de registres plus rapides
• En Windows 2000, laccès aux cellules de la base
  de registres pouvaient générer un certain nombre
  de  pages faults 
• Nouvel algorithme de Windows 2003 qui stocke dans
  la même page ou les pages voisines les cellules
  relatives

54
Utilisation à grande échelle Optimisation de la
mémoire consommée
00000000
Windows 2003 effectue des  mapped views of file
sur les fichiers de la base de registre
Application Code Global Variables .DLL code
Ne libère les PTE que lorsque les demandes ne
peuvent plus être satisfaites
7FFFFFFF
80000000
Exec, Kernel, HAL, drivers, per-thread kernel
mode stacks, Win32K.Sys System cache Paged
pool System PTEs Non-paged pool

• Nombre augmenté à 1,3Go (960Mo contigus) en
  Windows Server 2003
• 2 fois plus que Windows 2000
• 6 fois plus que Windows NT4

Emplacement de la base de registre en Windows
2000 (limité à environ 160 Mo)
C0000000
Process page tables, hyperspace
FFFFFFFF
55
(No Transcript)
56
(No Transcript)