Planifier le déploiement de Windows Server 2008 avec Microsoft Assessment and Planning Toolkit (MAP)

Comme toute installation de masse, le déploiement de Windows Server 2008 ne s’improvise pas. Si vous suivez les recommandations pour chaque serveur installé dans votre parc, ce sont des mois que vous passerez à déterminer la faisabilité de telle ou telle migration. La seule opération guère réalisable de tête concerne les pré-requis d’installation de Windows Server 2008 :

Mémoire RAM :

• Minimum : 512 Mo
• Souhaitable : 2 Go

Processeur :

• Minimum : 1 Ghz
• Souhaitable : 3 Ghz

Espace disque :

• Minimum : 10 Go
• Souhaitable : 80 Go

A l’heure où les machines sont de plus en plus puissantes et où la virtualisation permet l’établissement de configurations on-demand, les pré-requis techniques ne devraient en aucun cas être bloquants dans vos installations. On pourrait même arguer du fait qu’il vaut toujours mieux une machine surdimensionnée en parallèle du respect de la règle “un corps, une tête” afin d’éviter de mutualiser des applications et des services sur une même machine et ainsi rendre plus difficile les migrations ou le diagnostic de performances.

De même, ces recommandations ne valent que pour une installation classique qui sera bien sûr à affiner selon vos applicatifs et la charge estimée en production. Pensez en outre à prévoir un espace disque conséquent dans le cas où vous opteriez pour une grande quantité de mémoire vive qui nécessiterait de gérer le fichier de pagination (s’il reste sur la partition système), l’hibernation et le fichier de dump.

Installer et configurer Microsoft Assessment and Planning Toolkit

Pour inventorier les serveurs de votre parc et générer un rapport visant à déterminer lesquels sont candidats à une installation Windows Server 2008, Microsoft fournit un utilitaire assez bluffant qui s’appuie sur le pack Office 2007 (Word, Excel) et SQL Server Express. Notez qu’aucune installation n’est effectuée sur vos serveurs (on utilise WMI…) ce qui permet d’envisager l’utilisation aussi bien en PME avec dix machines que pour un grand groupe.

Télécharger Microsoft Assessment and Planning Toolkit (MAP)

L’écran d’accueil vous propose notamment de vérifier automatiquement la compatibilité de votre configuration, cela nous enlève une épine du pied donc on laisse coché.

L’écran suivant vérifie les pré-requis d’installation. Si jamais il venait à manquer des composants sur votre serveur, c’est à ce moment que vous pourriez les corriger puisque de toute manière, l’installation ne pourrait pas aller plus loin.

Peut-être aurez-vous remarqué qu’un clic sur l’élément manquant vous renvoie directement sur la page Microsoft correspondante, un peu comme l’utilitaire MBSA (Microsoft Baseline Security Analyzer) le fait déjà très bien. Il est en effet souvent ardu de trouver l’information qui nous intéresse sur les sites des grands éditeurs tels que Microsoft. Une souplesse de la sorte est dès lors très appréciable et fait gagner un temps précieux au quotidien.

Une fois les pré-requis respectés, vous aurez à préparer l’installation de SQL Server Express. Soit vous le téléchargerez depuis l’internet, soit vous pourrez préférer pointer sur un exécutable préalablement sauvegardé. C’est ce que nous avons choisi ici, en pointant sur une installation de la version 2005.

Installez à présent votre base de données et l’outil Microsoft. On aurait pu aussi imaginer utiliser une base de données existante et paramétrer l’application pour taper directement dessus…

Au premier démarrage, l’utilitaire vous demandera de créer ou de sélectionner une base de données. Comme nous avons choisi d’installer une base de données SQL Server Express toute fraîche, nous lui donnons un nom quelconque.

Ne reste plus qu’à cliquer sur le lien Inventory and Assessment Wizard et à lancer un premier inventaire.

Paramétrer le premier inventaire

Tout d’abord, vous devrez choisir un mode de découverte des ordinateurs. Le choix est vraiment large et il laisse libre cours à vos préférences. Notons l’ouverture à la concurrence avec l’option de découverte VMware Server discovery qui facilite grandement le travail de l’administrateur.

Rentrez ensuite vos identifiants Active Directory de domaine.

L’écran suivant vous permet soit de rechercher tous les objets ordinateur contenus dans le domaine ou de spécifier des ordinateurs spécifiques par domaine ou OU. Puisqu’il s’agit d’un test, on s’astreint à chercher les contrôleurs de domaine de l’OU Domain Controllers.

Une fois les informations d’authentification rentrées, le premier scan peut commencer. Ne vous inquiétez pas des erreurs indiquées à l’écran, je suis en configuration lab donc c’est “normal”. Chez vous, cela devrait bien mieux rendre…

Une fois la première analyse terminée, vous pouvez exploiter toute la puissance de Microsoft Assessment and Planning Toolkit et déterminer quelles machines sont candidates à une migration vers Windows Server 2008 (remarquez que l’outil permet bien plus que cela) mais aussi – et c’est loin d’être négligeable – quels sont entre autres les rôles aptes à migrer ainsi que les recommandations associées.

En passant par le menu File > Prepare New Reports and Proposals, vous aurez également la possibilité d’exporter des documents détaillés de synthèse à très forte valeur ajoutée aux formats Word et Excel. Vous les trouverez dans le dossier Mes Documents de l’utilisateur courant.

Avec un peu de rigueur et de bonnes pratiques, vous gagnerez un temps certain dans l’analyse de votre parc. Non seulement vous chiffrerez le coût humain et financier d’une migration, mais vous aurez aussi les outils et les rapports nécessaires pour déterminer la faisabilité et le calendrier de migration que vous obtenez habituellement d’une prestation de consulting organisationnel.

Pour vous rendre compte des rapports que vous pouvez obtenir, je vous invite à consulter les fichiers export d’exemple disponibles sur le site de Microsoft.

Sniffer les paquets entre deux machines avec un Fortigate FG200A

Si vous n’arrivez pas à faire communiquer deux machines, le plus souvent il s’agira d’un problème de configuration relativement connu tel que le pare-feu activé sur un hôte Windows ou une passerelle manquante dans un LAN routé. Néanmoins, si vous voulez pousser plus loin dans le débuggage réseau entre deux machines, vous pouvez vous servir de la puissance du Fortigate pour sniffer les paquets. Pour cela vous utiliserez la commande diagnose <interface> <’filter’> <verbose> <count>.

• <interface> : le nom d’une interface ou “any” pour toutes
• <’filter’> : ‘host 192.168.0.1‘, ‘tcp port 80‘
• <verbose> : 1 (entêtes), 2 (entêtes et données des IP) ou 3 (entêtes et données des paquets depuis Ethernet)
• <count> : nombre de paquets capturés

Exemple 1

Ma machine source 212.108.81.236 n’arrive pas à joindre la machine cible 92.196.169.1 en SSH (port 22) :

FG200A $ diagnose sniffer packet any 'src host 212.108.81.236
and dst host 92.196.169.1 and tcp port 22' 1

9.796366 212.108.81.236.3238 -> 92.196.169.1.22: syn 3441086616
12.806945 212.108.81.236.3238 -> 92.196.169.1.22: syn 3441086616
18.740938 212.108.81.236.3238 -> 92.196.169.1.22: syn 3441086616

Via le sniff réseau, on observe avec certitude que seul le SYN passe. Vu qu’aucune trace du ACK n’existe, il ne peut pas y avoir de communication.

Exemple 2

J’ai réglé mon problème précédent (exemple : SSH n’était pas installé sur la machine cible) et je veux maintenant monitorer tous les paquets (seulement 3 pour l’exemple) de l’interface wan1 :

FG200A $ diagnose sniffer packet wan1 none 1 3

212.108.81.236.36782 -> 92.196.169.1.22: syn 2171306497
92.196.169.1.22 -> 212.108.81.236.36782: syn 1786514428 ack 2171306498
212.108.81.236.36782 -> 92.196.169.1.22: ack 1786514429

Pour aller plus loin : Using the FortiOS built-in packet sniffer et Packet capture (sniffer) tips.