Planifier le déploiement de Windows Server 2008 avec Microsoft Assessment and Planning Toolkit (MAP)

Comme toute installation de masse, le déploiement de Windows Server 2008 ne s’improvise pas. Si vous suivez les recommandations pour chaque serveur installé dans votre parc, ce sont des mois que vous passerez à déterminer la faisabilité de telle ou telle migration. La seule opération guère réalisable de tête concerne les pré-requis d’installation de Windows Server 2008 :

Mémoire RAM :

• Minimum : 512 Mo
• Souhaitable : 2 Go

Processeur :

• Minimum : 1 Ghz
• Souhaitable : 3 Ghz

Espace disque :

• Minimum : 10 Go
• Souhaitable : 80 Go

A l’heure où les machines sont de plus en plus puissantes et où la virtualisation permet l’établissement de configurations on-demand, les pré-requis techniques ne devraient en aucun cas être bloquants dans vos installations. On pourrait même arguer du fait qu’il vaut toujours mieux une machine surdimensionnée en parallèle du respect de la règle “un corps, une tête” afin d’éviter de mutualiser des applications et des services sur une même machine et ainsi rendre plus difficile les migrations ou le diagnostic de performances.

De même, ces recommandations ne valent que pour une installation classique qui sera bien sûr à affiner selon vos applicatifs et la charge estimée en production. Pensez en outre à prévoir un espace disque conséquent dans le cas où vous opteriez pour une grande quantité de mémoire vive qui nécessiterait de gérer le fichier de pagination (s’il reste sur la partition système), l’hibernation et le fichier de dump.

Installer et configurer Microsoft Assessment and Planning Toolkit

Pour inventorier les serveurs de votre parc et générer un rapport visant à déterminer lesquels sont candidats à une installation Windows Server 2008, Microsoft fournit un utilitaire assez bluffant qui s’appuie sur le pack Office 2007 (Word, Excel) et SQL Server Express. Notez qu’aucune installation n’est effectuée sur vos serveurs (on utilise WMI…) ce qui permet d’envisager l’utilisation aussi bien en PME avec dix machines que pour un grand groupe.

Télécharger Microsoft Assessment and Planning Toolkit (MAP)

L’écran d’accueil vous propose notamment de vérifier automatiquement la compatibilité de votre configuration, cela nous enlève une épine du pied donc on laisse coché.

L’écran suivant vérifie les pré-requis d’installation. Si jamais il venait à manquer des composants sur votre serveur, c’est à ce moment que vous pourriez les corriger puisque de toute manière, l’installation ne pourrait pas aller plus loin.

Peut-être aurez-vous remarqué qu’un clic sur l’élément manquant vous renvoie directement sur la page Microsoft correspondante, un peu comme l’utilitaire MBSA (Microsoft Baseline Security Analyzer) le fait déjà très bien. Il est en effet souvent ardu de trouver l’information qui nous intéresse sur les sites des grands éditeurs tels que Microsoft. Une souplesse de la sorte est dès lors très appréciable et fait gagner un temps précieux au quotidien.

Une fois les pré-requis respectés, vous aurez à préparer l’installation de SQL Server Express. Soit vous le téléchargerez depuis l’internet, soit vous pourrez préférer pointer sur un exécutable préalablement sauvegardé. C’est ce que nous avons choisi ici, en pointant sur une installation de la version 2005.

Installez à présent votre base de données et l’outil Microsoft. On aurait pu aussi imaginer utiliser une base de données existante et paramétrer l’application pour taper directement dessus…

Au premier démarrage, l’utilitaire vous demandera de créer ou de sélectionner une base de données. Comme nous avons choisi d’installer une base de données SQL Server Express toute fraîche, nous lui donnons un nom quelconque.

Ne reste plus qu’à cliquer sur le lien Inventory and Assessment Wizard et à lancer un premier inventaire.

Paramétrer le premier inventaire

Tout d’abord, vous devrez choisir un mode de découverte des ordinateurs. Le choix est vraiment large et il laisse libre cours à vos préférences. Notons l’ouverture à la concurrence avec l’option de découverte VMware Server discovery qui facilite grandement le travail de l’administrateur.

Rentrez ensuite vos identifiants Active Directory de domaine.

L’écran suivant vous permet soit de rechercher tous les objets ordinateur contenus dans le domaine ou de spécifier des ordinateurs spécifiques par domaine ou OU. Puisqu’il s’agit d’un test, on s’astreint à chercher les contrôleurs de domaine de l’OU Domain Controllers.

Une fois les informations d’authentification rentrées, le premier scan peut commencer. Ne vous inquiétez pas des erreurs indiquées à l’écran, je suis en configuration lab donc c’est “normal”. Chez vous, cela devrait bien mieux rendre…

Une fois la première analyse terminée, vous pouvez exploiter toute la puissance de Microsoft Assessment and Planning Toolkit et déterminer quelles machines sont candidates à une migration vers Windows Server 2008 (remarquez que l’outil permet bien plus que cela) mais aussi – et c’est loin d’être négligeable – quels sont entre autres les rôles aptes à migrer ainsi que les recommandations associées.

En passant par le menu File > Prepare New Reports and Proposals, vous aurez également la possibilité d’exporter des documents détaillés de synthèse à très forte valeur ajoutée aux formats Word et Excel. Vous les trouverez dans le dossier Mes Documents de l’utilisateur courant.

Avec un peu de rigueur et de bonnes pratiques, vous gagnerez un temps certain dans l’analyse de votre parc. Non seulement vous chiffrerez le coût humain et financier d’une migration, mais vous aurez aussi les outils et les rapports nécessaires pour déterminer la faisabilité et le calendrier de migration que vous obtenez habituellement d’une prestation de consulting organisationnel.

Pour vous rendre compte des rapports que vous pouvez obtenir, je vous invite à consulter les fichiers export d’exemple disponibles sur le site de Microsoft.

Remettre en état Active Directory 2003 par une restauration non-authoritative

La journée où Active Directory tombe en panne dans une entreprise est probablement la source de problèmes la plus stressante que l’on peut rencontrer, tant on peut l’assimiler à la colonne vertébrale du système d’information. Pour autant, on peut démystifier pas mal de craintes en procédurant et surtout en testant le crash recovery avant qu’il soit trop tard. Cet article sera donc le premier d’une série – irrégulière – concernant les modes de restauration possibles avec Active Directory.

Préparer la restauration Active Directory

Au démarrage de votre serveur, appuyez sur la touche F8. Une mire des options avancées de démarrage de Windows apparaît. Choisissez Mode restauration Active Directory (contrôleurs de domaine Windows)

En bleu, vous pouvez dès lors observer que votre choix a été pris en compte. Vous pouvez donc choisir de démarrer sur Windows Server 2003, Enterprise.

Le démarrage se fait immédiatement en mode sans échec.

Vous pouvez d’ailleurs le vérifier lorsque la mire d’ouverture de session apparaît.

Démarrer les opérations de restauration non-authoritative

Passez par le menu Démarrer > Programmes > Accessoires > Outils système et lancez l’outil Utilitaire de sauvegarde.

Un assistant s’exécute. Choisissez de démarrer en mode Assistant.

Sélectionnez Restaurer des fichiers et des paramètres

Ensuite, cliquez sur le bouton Parcourir… et sélectionnez une sauvegarde NTBACKUP valide (extension .bkf). Dans l’exemple ci-dessous, on a décidé d’aller la chercher sur un partage réseau. On sera bien évidemment plus à l’aise en travaillant depuis une partition ou un deuxième disque interne.

Ne loupez pas cette opération. Il faut en effet choisir de restaurer à la fois la partition C: et le System State qui contient les informations Active Directory, SYSVOL etc…

Dans le cas contraire vous pourrez obtenir un BSOD Windows non réparable.

L’assistant est terminé. Avant toute chose, cliquez sur le bouton Avancé…

Vérifiez que la restauration s’effectuera dans l’Emplacement d’origine.

Un message d’avertissement apparaît alors pour vous confirmer votre choix.

Indiquez à ce moment que vous souhaitez Remplacer les fichiers existants.

Par défaut, les options de restauration par défaut doivent être correctes.

La restauration peut commencer et prendra un temps variable, que vous l’exécutiez en local ou depuis le réseau. De même, la taille de votre sauvegarde pourra décupler les temps de restauration.

Une fois terminée, l’utilitaire vous demandera de redémarrer le serveur. Il vous appartiendra ensuite de valider que les paramètres IP, DNS, Active Directory, etc… sont cohérents avec votre infrastructure. Pensez notamment à valider la réplication dans les différents journaux des événements de vos serveurs. A ce propos, soyez patient car les opérations peuvent mettre un certain temps à s’effectuer.

Enfin, si vous décidiez de modifier les paramètres IP de votre serveur restauré, n’oubliez pas de supprimer toute référence à son ancienne IP dans la base de registre.

Synchroniser des contacts Exchange avec NETsec GALSync (deuxième partie)

Avant toute chose, je vous invite à lire la première partie de cet article si vous n’en avez pas encore pris connaissance.

Le but des opérations du jour est de mettre en place une synchronisation bi-directionnelle des contacts Exchange entre deux forêts Active Directory. Pour cela nous allons créer des règles d’import et d’export de contacts.

Commencez tout d’abord par créer une première règle d’export par e-mail pour laquelle vous prendrez bien soin de cocher la case Encrypt directory information. Cela aura pour but de vous permettre d’encoder votre export Active Directory et que seul le destinataire pour lequel vous aurez généré une clé d’encryption spécifique puisse le décoder.

Renseignez les informations de votre serveur Exchange, de votre compte utilisateur puis le sujet et l’adresse du destinataire. Vous pourrez vérifier le nom d’utilisateur en cliquant sur le bouton Check Name et tester l’envoi de mail via le bouton Test. Faites très attention au champ Subject de vos règles dans le sens où ce sera toujours l’élément discriminant dans le succès de vos opérations de synchronisation. En effet, GALsync se base dessus pour faire correspondre un mail dans la boîte de réception à une règle donnée. Si le sujet est strictement égal au sujet indiqué dans la règle, alors la règle s’exécutera. Autrement, vous aurez invariablement une erreur…

Si le test d’envoi d’e-mail est réussi, un popup vous en informera. Dans le cas contraire, un premier débuggage consistera à vous assurer que le service GALsyncService est bien lancé avec votre compte de service de domaine dédié et que vous avez ouvert une session avec ce même compte de service et votre logiciel Outlook correctement configuré.

Lorsque l’assistant vous présente la fenêtre de configuration d’encryption, choisissez Asymmetric keys qui vous permettra de générer votre clé unique et de recevoir celle de votre correspondant. C’est à ce stade que vous pourrez déjà importer celle que vous aurez reçu en cliquant sur le bouton Open key. Aucune crainte autrement, vous pourrez le faire ultérieurement, comme toutes les opérations dont nous parlons ici…

Un panneau particulièrement intéressant est Directory car il permet de choisir vos OUs à traiter (bouton Choose), les informations de contact à importer (bouton Properties) et les paramètres de la règle (bouton Settings).

Au début de l’article j’indiquais la création de plusieurs règle d’import et d’export. C’est tout simplement car nous avons la possibilité de créer des règles pour les objets cachés (hidden objects) et ceux non cachés (non-hidden objects). Lorsque vous paramétrez vos OUs à importer ou exporter, vous aurez la possibilité d’inclure les objets cachés en cliquant sur le bouton Settings, donc, et en cochant l’option Hidden objects included.

Les autres panneaux de configuration étant relativement aisés à comprendre, on s’attardera uniquement à montrer les résultats des opérations d’une règle de test. Ici, la règle d’export test que nous venons de lancer à bien trouvé 1 objet (Paul Dupont) et l’a correctement compressé et exporté.

Si vous décompressez le fichier d’export et que vous l’éditez, vous trouverez un banal fichier XML :

<xmlobjects>
<object><objectClass>
<value>top</value>
<value>person</value>
<value>organizationalPerson</value>
<value>user</value>
</objectClass>
<cn><value>Paul Dupont</value></cn>
<sn><value>Dupont</value></sn>
<givenName><value>Paul</value></givenName>
<distinguishedName><value>CN=Paul Dupont,OU=xitim,OU=GALSync,DC=xitim,DC=com</value></distinguishedName>
<displayName><value>Paul Dupont</value></displayName>
<proxyAddresses><value>SMTP:paul.dupont@xitim.com</value>
<value>smtp:pdupont@xitim.com</value>

A présent, créez une règle d’import (même principe que la règle d’export), choisissez bien l’OU sur laquelle vous voudrez que votre partenaire puisse intégrer ses contacts, puis rendez-vous dans votre configuration (panneau Encryption) et générez une clé que vous enverrez ensuite à votre collaborateur.

Pour information, voici une opération d’import en cours.

Cette opération terminée, vous pourrez déterminer si les objets ont été correctement ajoutés où s’il y a lieu de modifier certains paramètres, par exemple dans le cas où le sujet du mail ne serait pas exactement le même entre les deux parties.