Automatisation des tâches courantes via le Fournisseur PowerShell

Le Fournisseur Windows PowerShell pour IIS est un composant logiciel enfichable Windows PowerShell qui vous permet d’effectuer des tâches d’administration d’IIS, et de gérer la configuration d’IIS et les données d’exécution. De plus, un ensemble de cmdlets destinées à des tâches quotidiennes vous permet de gérer facilement des sites Web, des applications Web et des serveurs Web.

L’utilisation de PowerShell donne aux administrateurs de nombreux avantages :

• Simplification de l’administration en écrivant des scripts pour les tâches de gestion les plus courantes.
• Exécution automatique de tâches répétitives.
• Consolidation des principales mesures d’activité Web pour tous les serveurs Web en temps réel.

À un niveau plus fin, les cmdlets propres à IIS et incluses dans Windows Server 2008 R2 facilitent les tâches d’administration pour de nombreuses tâches quotidiennes. Par exemple, elles permettent aux administrateurs d’ajouter et de modifier des propriétés de configuration des sites et des applications Web, ainsi que des répertoires virtuels et des pools d’applications. Les utilisateurs connaissant bien Windows PowerShell pourront exécuter des tâches plus élaborées de configuration, et même intégrer des scripts Windows PowerShell existants dans d’autres fournisseurs Windows PowerShell qui couvrent d’autres fonctionnalités de Windows Server 2008 R2. PowerShell peut intervenir dans des scénarios courants d’administration IIS 7.5, par exemple :

• Ajouter / modifier / supprimer des sites et des applications.
• Migrer des paramètres de sites.
• Configurer SSL et d’autres paramètres de sécurité.
• Restreindre l’accès à certaines adresses IP.
• Sauvegarder le contenu et la configuration d’IIS.

Améliorations du gestionnaire de services Internet

Le gestionnaire de services Internet reçoit de nouvelles fonctionnalités pour la version 7.5 d’IIS. Notamment, il peut désormais gérer les paramètres des applications Web et des serveurs Web via l’Éditeur de configuration.

• Il accède plus facilement aux paramètres précédemment masqués, comme ceux des applications ASP.NET et FastCGI.
• Il permet d’ajouter et de modifier des règles de filtrage de requêtes via une interface graphique.

Éditeur de configuration

L’Éditeur de configuration vous permet de gérer n’importe quelle section de configuration disponible dans le système de configuration. Cet Éditeur permet d’accéder à plusieurs paramètres qui ne sont pas accessibles ailleurs dans le Gestionnaire des services Internet.

Extensions de l’interface utilisateur du Gestionnaire des services Internet

En utilisant l’architecture modulaire et extensible introduite par IIS 7.0, le nouveau serveur IIS 7.5 intègre et améliore les extensions existantes, tout en permettant de futures extensions et personnalisations dans le futur. Par exemple, le module FastCGI permet la gestion des paramètres FastCGI tandis que le module ASP.NET gère les autorisations et des paramètres d’erreur spécifiques.

Filtrage des demandes

Le module Filtrage des demandes intégré dans Windows Server 2008 R2 inclura les fonctions de filtrage qui existaient précédemment dans URLScan 3.1. En bloquant certaines requêtes spécifiques HTTP, le module Filtrage des demandes empêche que certaines requêtes potentiellement dangereuses soient traitées par des applications Web sur le serveur. L’interface utilisateur du Filtrage des demandes permet de configurer de façon graphique ce module.

Comptes de services gérés

Windows Server 2008 R2 autorise aux comptes de services basés sur le domaine, d’avoir des mots de passe gérés par Active Directory. Ces nouveaux types de comptes suppriment la tâche administrative récurrente de devoir mettre à jour les mots de passe des processus s’exécutant sous ces comptes. IIS 7.5 prend en charge l’utilisation des comptes de services gérés pour les identités du pool applications.

Cœur Web hébergeable

Les développeurs peuvent servir des requêtes HTTP directement dans leurs applications en utilisant le cœur Web hébergeable. Via un ensemble d’interfaces de programmation (API), cette fonctionnalité permet au moteur Web d’IIS d’être utilisé ou hébergé par d’autres applications, ce qui permet à ces applications de servir directement des requêtes HTTP. Cette fonctionnalité de cœur Web hébergeable est très utile pour conférer des capacités de serveur Web à des applications développées en interne ou pour déboguer des applications.

L’un des aspects les plus importants de tout centre de données est d’assurer la plus grande disponibilité possible des systèmes et des applications. Les centres de données virtuels ne constituent pas une exception.

Dans Windows Server 2008 R2, Hyper-V inclut la fonctionnalité de migration dynamique qui vous permet de déplacer un système virtuel d’un serveur hôte à un autre sans interruption de service. Les utilisateurs connectés au système virtuel noteront simplement un léger ralentissement pendant quelques instants. À part cela, ils ne se rendront pas compte que le système virtuel est passé d’un ordinateur physique à un autre.

Prise en charge de la migration dynamique dans les volumes partagés d’un cluster

La migration dynamique utilise la nouvelle fonctionnalité de volume partagé de cluster, dans un cluster avec basculement Windows Server 2008 R2. Les volumes partagés de cluster permettent à plusieurs nœuds d’un même cluster avec basculement d’accéder en parallèle au même volume logique de stockage. Du point de vue d’un système virtuel, chaque système virtuel donne l’impression de posséder son propre volume logique. Toutefois, les fichiers .vhd de chaque système virtuel sont stockés sur le même volume partagé de cluster.

Amélioration de la tolérance de panne de la connectivité des nœuds du cluster

L’architecture du volume partagé de cluster améliore la tolérance de panne de la connectivité des nœuds du cluster, ce qui profite directement aux systèmes virtuels fonctionnant sur le cluster. L’architecture met en place un mécanisme nommé redirection dynamique des entrées/sorties qui permet de router les entrées/sorties vers un nouveau canal en cas de défaillance, en tenant compte des connexions disponibles à cet instant.

Outil amélioré de validation du cluster

Windows Server 2008 R2 inclut Best Practices Analyzer (BPA – analyseur des pratiques recommandées) pour tous les rôles principaux de serveur, y compris pour le cluster avec basculement. Cet analyseur examine les paramètres de configuration de chaque nœud du cluster et du cluster dans son ensemble

La virtualisation permet des gains de productivité mais les systèmes virtuels doivent toujours être administrés. Le nombre de systèmes virtuels tend à croître beaucoup plus rapidement que les ordinateurs physiques en raison de la consolidation des systèmes. Par conséquent, la gestion des centres de données virtuels devient cruciale pour beaucoup d’entreprises. Windows Server 2008 R2 inclut les améliorations suivantes pour vous aider à gérer les centres de données virtuels :

• Allègement des tâches quotidiennes d’administration Hyper-V grâce à la console de gestion Hyper-V.
• Amélioration de l’interface à la ligne de commande et gestion automatisée des tâches d’administration Hyper-V par l’utilisation de cmdlets PowerShell.
• Gestion améliorée de multiples serveurs Hyper-V dans un environnement de centre de données grâce à l’utilisation de System Center Virtual Machine Manager 2008.

Historiquement, différentes méthodes ont été utilisées pour déployer des systèmes d’exploitation et des applications sur des ordinateurs physiques et virtuels. Pour les ordinateurs virtuels, le format de fichier .vhd est devenu un standard de fait pour le déploiement et l’échange de systèmes d’exploitation et d’applications préconfigurés. Dans Windows Server 2008 R2, Hyper-V propose deux améliorations importantes concernant les fichiers .vhd.

Désormais, les administrateurs peuvent ajouter ou supprimer des fichiers vhd, ainsi que des disques pass-through connectés à un contrôleur SCSI virtuel, sans redémarrer le système. Cela donne plus de souplesse lorsqu’il devient nécessaire d’accroître le stockage sans arrêter les systèmes. On gagne aussi en flexibilité dans des scénarios de sauvegarde de centre de données, et dans de nouveaux scénarios de déploiements complexes Exchange et SQL Server.

Windows Server 2008 R2 permet de démarrer un ordinateur à partir d’un fichier .vhd stocké sur un disque dur local. Cela vous donne la possibilité d’utiliser des fichiers .vhd préconfigurés pour déployer des ordinateurs physiques et virtuels. Vous réduisez ainsi le nombre d’images à gérer et vous bénéficiez d’une méthode plus simple pour tester des déploiements avant de passer à l’environnement de production.

Performances accrues et meilleure prise en charge du matériel pour des systèmes virtuels Hyper-V

Dans Windows Server 2008 R2, Hyper-V améliore les performances, ce dont profitent les systèmes virtuels.
Hyper-V prend maintenant en charge les traductions d’adresses de second niveau, fonctionnalité récente des processeurs actuels qui améliore les performances des systèmes virtuels tout en réduisant la charge processeur due à l’hyperviseur.
Les nouveaux systèmes virtuels Hyper-V consomment moins de puissance en raison de la nouvelle fonction de mise au ralenti de cœur mise en place dans Windows Server 2008 R2.

Amélioration des performances du réseau virtuel

Le nouvel Hyper-V exploite diverses technologies de Windows Server 2008 R2 pour améliorer les performances réseau des systèmes virtuels. Il s’agit entre autres de la prise en charge des trames jumbo et du déchargement TCP. Le déchargement TCP permet à un système virtuel de déplacer du processeur vers la carte réseau la charge de traitement des transferts réseau. Cela fonctionne de la même façon que le déchargement TCP sur un système physique introduit dans Windows Server 2008. Hyper-V étend désormais cette fonction aux systèmes virtuels. Le processeur et le réseau bénéficient tous les deux de cette disposition qui est totalement prise en charge par la migration dynamique de système virtuel.
La prise en compte des trames jumbo était aussi une nouveauté de Windows Server 2008. Dans Windows Server 2008 R2, Hyper-V l’étend aux systèmes virtuels. Comme pour les systèmes physiques, les trames jumbo améliorent le débit des réseaux virtuels. La taille utile par trame peut être jusqu’à 6 fois plus grande, ce qui améliore le débit du réseau mais réduit aussi l’utilisation processeur sur de grands transferts.

Pour l’infrastructure du Bureau virtuel et les services traditionnels de bureau à distance, la qualité de l’expérience utilisateur est plus importante qu’auparavant. Windows Server 2008 améliore cette expérience via de nouvelles caractéristiques du Bureau à distance. De plus, la combinaison de Windows Server 2008 R2 avec Windows 7 rend l’expérience utilisateur quasiment identique entre un système local et un système à distance.

Les nouvelles connexions RemoteApp et Bureau à distance fournissent de nouvelles ressources comme l’exécution de programmes et de bureaux à distance. Ces connexions sont présentées aux utilisateurs Windows 7 via le nouveau Panneau de configuration Connexion RemoteApp et Bureau à distance, et des ressources sont étroitement intégrées dans le menu Démarrer et la barre d’état du système. La nouvelle connexion RemoteApp et Bureau à distance de Windows Server 2008 R2 et Windows 7 présente les améliorations suivantes :

• Extension des services Bureau à distance pour fournir des outils qui permettront la mise en place de l’infrastructure de bureaux virtuels
• Publication simplifiée des applications et des bureaux à distance
• Meilleure intégration dans l’interface utilisateur de Windows 7
• Redirection multimédia
• Prise en charge effective d’écrans multiples
• Entrées et enregistrement audio
• Prise en charge d’Aero Glass
• Redirection DirectX
• Synchronisation audio/vidéo améliorée
• Redirection de la barre de langue
• Planificateur de tâches

L’architecture RemoteApp et Bureau à distance améliore l’expérience utilisateur. Elle facilite aussi l’administration des applications et des postes de travail en proposant une interface d’administration spécifique qui permet d’assigner rapidement et dynamiquement des ressources distantes aux utilisateurs. Windows Server 2008 R2 inclut les perfectionnements suivants :

• Panneau de configuration pour les connexions RemoteApp et Bureau à distance
• Infrastructure d’administration unique
• Administration des membres d’un domaine et des ordinateurs autonomes
• Toujours à jour
• Une seule ouverture de session pour tout l’espace de travail
• Accès Web à RemoteApp et Bureau à distance

Les administrateurs qui doivent faire face à des scénarios de grands déploiements trouveront aussi des fonctions supplémentaires d’administration dans les services bureau à distance de Windows Server 2008 R2. Ces fonctions simplifient l’administration dans tous les scénarios existants, précédemment pris en charge par Terminal Services, ainsi que dans les nouveaux scénarios RemoteApp et Bureau à distance. Elles se composent de :

• Fournisseur PowerShell
• Amélioration des profils
• Compatibilité Microsoft Installer (MSI)
• Passerelle Bureau à distance

Réduction de la consommation électrique des processeurs multicœurs

Windows Server 2008 R2 diminue la consommation des serveurs équipés de processeurs multicœurs en mettant en œuvre la mise au repos des cœurs (Core Parking). La fonctionnalité Core parking regroupe sur le plus petit nombre de cœurs possible les activités en cours, puis met en veille les cœurs inutilisés.

Réduction de la consommation électrique en ajustant la vitesse du processeur

Windows Server 2008 R2 peut ajuster les « états P » ACPI des processeurs, ce qui joue sur la consommation électrique du serveur. Les états P ACPI sont les états de performance des processeurs selon la spécification ACPI. Si l’architecture du processeur le permet, Windows Server 2008 R2 ajuste les états P de chaque processeur séparément, ce qui autorise un contrôle très fin de la consommation électrique.

Réduction de la consommation électrique du stockage

Une autre solution pour réduire la consommation électrique des centres de données consiste à centraliser le stockage, par exemple en installant un SAN (Storage Area network). Les SAN étant généralement équipés de disques à plus forte capacité pour la même consommation, le ratio capacité de stockage/consommation électrique s’améliore dans un SAN par rapport à un stockage traditionnel. Par ailleurs, les SAN utilisent mieux l’espace car tout serveur peut avoir accès au stockage disponible.

Amélioration de tous les rôles serveur Active Directory

Windows Server 2008 R2 inclut les améliorations suivantes dans la gestion des identités ; elles affectent tous les rôles serveur Active Directory :

• Récupération d’objets supprimés.
• Amélioration du processus pour rejoindre un domaine.
• Gestion améliorée des comptes utilisateurs qui servent d’identité pour les services.
• Tâches courantes d’administration plus simples à réaliser.

Meilleure capacité à monter en charge par mise en parallèle de systèmes

La fonctionnalité d’équilibrage de la charge réseau dans Windows Server 2008 R2 permet de combiner deux ou plusieurs ordinateurs en les organisant en cluster. L’équilibrage de la charge réseau répartit la charge entre les nœuds du cluster afin de prendre en charge simultanément un plus grand nombre d’utilisateurs. Cette fonctionnalité a été améliorée dans Windows Server 2008 R2 :

• Meilleure prise en charge des applications et des services qui nécessitent des connexions persistantes.
• Suivi amélioré de l’état du système pour les applications et les services qui fonctionnent sur un cluster en équilibrage de charge.

Meilleure capacité à monter en charge par mise en parallèle de systèmes

Windows Server 2008 R2 inclut des fonctionnalités qui permettent aussi de faire face à une charge plus lourde sur chaque ordinateur. Cela autorise la réduction du nombre de serveurs dans le centre de données et améliore le rendement électrique. Ces fonctionnalités permettent une plus grande montée en charge par système.

• Nombre plus élevé de processeurs logiques pris en charge.
• Charge allégée de l’interface utilisateur graphique sur le système d’exploitation.
• Meilleures performances pour les unités de stockage.

Performances améliorées des solutions de stockage

Windows Server 2008 R2 inclut plusieurs améliorations en termes de performances dans les solutions de stockage, notamment :

• Réduction de l’utilisation du processeur pour améliorer le débit.
• Amélioration des performances du processus d’entrées/sorties avec la baie de stockage.
• Performances supérieures lorsque plusieurs chemins de communication existent entre le serveur et le stockage.
• Amélioration des performances pour le stockage iSCSI direct.
• Prise en charge améliorée pour l’optimisation du sous-système de stockage.
• Amélioration du temps de démarrage du système d’exploitation.

Disponibilité améliorée du stockage

La disponibilité du stockage est essentielle pour toutes les applications importantes dans l’entreprise. Windows Server 2008 R2 améliore la disponibilité du stockage sur plusieurs points :

• Amélioration de la tolérance de panne entre serveurs et stockage.
• Meilleure récupération suite à des erreurs de configuration.

Grande souplesse d’administration des solutions de stockage

L’administration du système de stockage est simplifiée avec Windows Server 2008 R2. Les améliorations apportées à cette administration incluent :

• Déploiement automatisé des paramètres de configuration du sous-système de stockage.
• Meilleure supervision du système de stockage.
• Amélioration du contrôle de la version des paramètres de configuration

La protection d’accès réseau NAP est une plateforme qui inclut des composants à la fois sur les serveurs et sur les postes clients pour permettre une évaluation complète de l’état des systèmes clients et pour leur autoriser l’accès au réseau. Elle couvre les technologies suivantes :

• Communications protégées par IPsec (Internet Protocol security)
• Accès authentifié 802.1X pour les connexions avec ou sans fil
• Connexions VPN pour accès à distance
• Allocation d’adresses IP par DHCP (Dynamic Host Configuration Protocol)
• Accès à la passerelle Terminal Service (TS)

Dans Windows Server 2008 R2, les améliorations de NPS incluent :

• Configuration automatique de la connexion SQL NPS
• Améliorations dans la connexion NPS
• Multiples configurations de NAP pour la validation d’état des systèmes
• Modèles NPS
• Migration des serveurs service d’authentification Internet (IAS) Windows Server 2003

DirectAccess a été conçu pour être une solution simple d’accès à distance, toujours active, pourvue d’outils de configuration et de gestion simples et efficaces, sans risque pour la sécurité. Pour cela, DirectAccess présente les caractéristiques importantes suivantes :

• Authentification. DirectAccess authentifie l’ordinateur. L’ordinateur client se connecte à l’intranet avant que l’utilisateur n’ouvre sa session. Direct Access peut aussi authentifier l’utilisateur et accepte une authentification à deux facteurs avec une carte à puce.
• Chiffrement. DirectAccess utilise IPSec (Internet Protocol Security) pour chiffrer les communications sur Internet.
• Contrôle des accès. Avec DirectAccess, les administrateurs peuvent définir les ressources sur l’intranet auxquelles chaque utilisateur a accès. L’accès peut être illimité ou limité à certains serveurs ou à certains sous-réseaux. De plus, vous pouvez appliquer des stratégies de sécurité personnalisées pour des applications spécifiques. Par exemple, vous pouvez imposer qu’une application qui transmet et reçoit des données sensibles utilise le chiffrement IPSec, tandis que d’autres applications se contenteront de l’authentification IPSec ou d’aucune protection IPSec.
• Intégration avec la protection d'accès réseau (NAP). NAP, intégré dans Windows Server 2008 R2 et Windows 7, peut être utilisé conjointement à DirectAccess pour vérifier que les ordinateurs clients répondent à vos critères d’état sain (par exemple, avoir les dernières mises à jour de sécurité et les dernières définitions contre les logiciels malveillants) avant de les autoriser à établir une connexion DirectAccess.
• Séparation du trafic intranet et Internet. Par défaut, seul le trafic destiné à votre intranet est transmis via le serveur DirectAccess. Avec un VPN traditionnel, le trafic Internet est d’abord envoyé vers l’intranet, ce qui occupe de la bande passante pour rien, charge les passerelles et ralentit l’accès à Internet pour les autres utilisateurs. Toutefois, si vous souhaitez que le trafic Internet passe par l’intranet, comme pour un VPN classique, c’est possible.

Autre différence notable entre DirectAccess et VPN : la connexion DirectAccess est établie avant que l’utilisateur ne se connecte. Cela signifie qu’il est possible de gérer un ordinateur distant connecté par DirectAccess même si l’utilisateur n’a pas ouvert de session, par exemple pour appliquer des stratégies de groupe. Toutefois, pour que l’utilisateur puisse accéder à des ressources de l’intranet, il doit ouvrir une session.

Afin de bénéficier de DirectAccess, vous devez pouvoir accéder aux ressources de votre intranet via IPv6. Si votre entreprise possède une infrastructure IPv6 (soit en natif soit en utilisant le protocole ISATAP - Intra-Site Automatic Tunnel Addressing Protocol), aucun service de traduction IPv6-Ipv4 n’est nécessaire. Si votre infrastructure ne prend en charge que IPv4, vous devez fournir un service de traduction IPv6-IPv4 via un équipement externe NAT-PT (Network Address Translation-Protocol Translation). Si un équipement NAT-PT est employé, ISATAP n’est pas nécessaire. Le serveur DirectAccess prend en charge ISATAP comme technologie de transition et, pour la connectivité IPv6 via Internet IPv4, il accepte aussi les technologies 6to4 et Teredo.

DirectAccess offre les avantages suivants :

• Connectivité simplifiée. DirectAccess est actif dès que l’utilisateur bénéficie d’une connexion Internet. Ainsi l’utilisateur accède aux ressources internes de l’entreprise qu’il soit à son domicile, dans un café Internet ou en déplacement.
• Administration à distance. L’administrateur peut se connecter directement à un ordinateur client DirectAccess pour le gérer et installer des mises à jour même si l’utilisateur n’a pas ouvert de session. Cela diminue le coût de gestion des ordinateurs distants en maintenant leurs configurations et leurs correctifs à jour en permanence.
• Authentification à distance. DirectAccess utilise IPSec pour l’authentification et le chiffrement. En option, vous pouvez imposer une authentification par carte à puce. DirectAccess s’intègre avec NAP pour effectuer des vérifications de conformité des ordinateurs clients avant de les autoriser à exploiter les ressources internes de l’entreprise. L’administrateur peut configurer le serveur DirectAccess afin de définir les serveurs et les applications auxquels les utilisateurs peuvent accéder.

Pour obtenir des informations supplémentaires, visitez la page http://www.microsoft.com/directaccess.

Pour réduire l’utilisation des liaisons longue distance et améliorer l’expérience de l’utilisateur, Windows Server 2008 R2 et Windows 7 proposent la fonctionnalité BranchCache : le contenu fréquemment utilisé est mis en cache dans le réseau de l’agence. Lorsqu’un utilisateur de l’agence accède à des données sur des serveurs situés dans le centre de données de la maison-mère, une copie de ces données est stockée dans le réseau de l’agence. Les requêtes suivantes à ces mêmes données seront servies par le cache local de l’agence. Le temps d’accès devient celui d’un accès à des données locales et l’utilisation de la liaison longue distance se réduit sensiblement. BranchCache met en cache les contenus HTTP et SMB. Le processus d’autorisation d’accès aux données continue d’être géré par les serveurs du centre de données de la maison-mère. BranchCache est compatible avec des contenus chiffrés SSl ou IPSec, et accélère aussi la diffusion de ce genre de contenu.

BranchCache peut être mis en œuvre de deux façons :

• La première implique un serveur BranchCache dédié dans l’agence, pour stocker le contenu du cache. La disponibilité des données du cache est alors optimale. Ce scénario sera certainement le plus répandu ; les grandes agences l’adopteront car de nombreux utilisateurs accéderont simultanément à des données en cache. Un tel serveur dans l’agence garantit la disponibilité des données et des temps d’accès très courts tout en assurant une sécurité totale pour toutes les requêtes.
  
  
• Le second scénario place le cache sur les PC de l’agence. Il est conçu pour les très petites agences de seulement 5 à 10 utilisateurs, ne justifiant pas la mise en place d’un serveur dédié. Dans ce scénario, le serveur BranchCache du siège de l’entreprise reçoit les requêtes des PC de l’agence. Si le contenu a déjà été demandé par l’agence, le serveur renvoie un chemin d’accès valide sur le réseau local de l’agence. Il s’agit généralement du chemin d’accès à un PC d’un autre utilisateur. Le contenu est alors fourni par ce PC. Si le contenu n’a jamais été demandé auparavant ou si l’utilisateur qui avait demandé ce contenu est en dehors de l’agence, les données sont fournies normalement par le serveur du siège, via le réseau longue distance.