Plateforme personnelle : MDT et WSUS

Lors de la mise en œuvre de MDT, un post concernait l’installation de WSUS sur notre plateforme. J’avoue que je l’avais un peu oublié celui-la. Mais je prend de bonnes résolutions avant même le début de la fin d’année:)

 

Première étape : Télécharger les mises à jour.

Cela fait quelques temps que le serveur WSUS est installé mais aucune synchronisation n’a été réalisée. Pour cela :

  • Lancer la console “Microsoft Windows Update Services 3.0 PS1”
  • Se positionner sur le nœud “Synchronizations”
  • Afficher le menu contextuel tel qu’illustré ci-dessous :

WSUS0 

  • Sélectionner l’option “Synchronize now”
  • Faites comme moi et allez prendre un grand café par ce que cela peut être excessivement long!

WSUS1

Au terme de l’opération, l’interface nous indiquera le nombre de mises à jour téléchargées

 

Seconde étape: Approuver les mises à jour.

Les télécharger, c’est bien, les approuver, c’est encore mieux. Pour cela le plus simple, c’est encore de se positionner sur le nœud représentant le serveur WSUS tel qu’illustré ci-dessous :

WSUS2

Le résumé présenté indique qu’au moins toutes les mises à jour critiques ont été approuvées, ne restent que quelques 1142 mises à jour en attente d’approbation. Faites votre choix! Attention cependant, cela comprend aussi des applications comme Internet Explorer qui sont des téléchargement obligatoires passés un certain temps.

 

Troisième étape : Télécharger le client WSUS 3.O

MDT est capable d’utiliser WSUS à condition que les systèmes d’exploitation utilisent au moins la version 3.0. Par défaut, seuls Windows Vista et Windows Server 2008 intègrent la version 3.0. Pour eux, c’est sans problème. Pour Windows XP et Windows Server 2003, une mise à niveau s’impose :

Le client 32 Bits devra être placé tel que dans le répertoire “.\Distribution\Tools\X86” et son équivalent X64 dans le répertoire “.\Distribution\Tools\X64”.

Le fait de placer ces exécutables à ces emplacements fera que le script “ZTIWindowsUpdate.Wsf” pourra les installer si le système d’exploitation n’est pas à jour. Pour cela, il faut impérativement conserver les noms des exécutables téléchargés. Si le script “ZTIWindowsUpdate.Wsf” ne peut localiser ces exécutables, alors il tentera de télécharger celui correspondant à la plateforme sur Internet.

 

Quatrième étape : Activation du script “ZTIWindowsUpdate.Wsf”

Techniquement le script est bien présent dans les séquences de tâches mais il est désactivé par défaut.

Si on développe le nœud “State restore” dans la séquence de tâche tel qu’illustré ci-dessous :

WSUS0

On constate que la tâche existe bien mais qu’elle est désactivée par défaut. Charge à nous de la réactiver en décochant la case d’option.

On remarquera que l’exécution de cette tâche est soumise à condition. Elle ne s’exécute que si :

  • La séquence de tâches n’est pas en phase de Sysprep
  • La séquence de tâches n’est pas non plus en phase de préparation de Sysprep

On remarquera qu’il y a deux séquences de tâches “Windows Updates”. La différence est qu’entre les deux on installe les applications qui pour certaines nécessiteront d’être mises à jour (Office par exemple)

WSUS2

Une fois les deux tâches réactivées, MDT exécutera le script “ZTIWindowsUpdate.Wsf”. Il ne manque plus qu’une seule information, ou télécharger les mises à jour?

 

Cinquième étape : La propriété WSUSServer

Dans la configuration actuelle, le script “ZTIWindowsUpdate.Wsf” va tout simplement travailler avec Windows Update, rien que cela! WSUS permet non seulement de disposer d’un repository local des mises à jour, mais aussi de la capacité à spécifier quelles seront celles qui doivent être appliquées. Encore faut-il que le script sache avec quel serveur WSUS il doit travailler. Pour cela, il faut actualiser le point de distribution en ajoutant la ligne suivante dans le fichier “CustomSettings.Ini”

WsusServer=http://<nom FQDN de votre serveur SUS>:Port

Note : Pour rappel, si on a réalisé une installation personnalisée de WSUS (ce qui est mon cas), on a décidé de créer un site web dédié, donc ne répondant pas au port par défaut mais 8530!

 

update3

 

Quand la sécurité s’en mêle

Jusqu’à maintenant, tout allais pour le mieux mais, il y a bien un mais. L’installation automatique du client WUAU par MDT, cela fonctionne que si le système d’exploitation n’est pas sécurisé (globalement Windows XP SP1 et Windows Server 2003 RTM, sic, …). Dès qu’on utilise Windows XP SP2 et Windows Server 2003 SP1, les choses se corsent. La sécurité a fait son apparition. Lorsqu’on tente d’exécuter un programme localisé sur un partage réseau (ce que fait le script “ZtiWindowsUpdate.Wsf”), le système d’exploitation informe l’utilisateur de l’opération et en profite pour l’avertir sur les risques de sécurité tel qu’illustré ci-dessous :

IE0

 

Le script “ZtiWindowsUpdate.Wsf” bloque sur l’installation du client Windows Update Agent. Face à cette problématique, la première approche aurait été de revoir le niveau de sécurité pour désactiver cette fonctionnalité, la seconde de réécrire le script incriminé. Ce sont typiquement des solutions que je veux éviter! On a ruser avec une solution propre à MDT, à savoir une application. L’astuce va consister à installer une application dans la séquence de tâches avant la tâche “Windows Update”. Cette application ne sera ni plus ni moins que l’agent Windows Update. Pour cela on va

  • Décompresser le contenu des exécutables dans deux répertoires (une application X86 et une autre X64)
  • Créer deux applications avec comme ligne de commande “WUSETUP  /QUIET /NORESTART”
  • Insérer une tâche “Install Application tel qu’illustré ci-dessous :

APP

Lors de l’exécution de la séquence de tâches on repère facilement le processus de mise à jour :

update

D’une part, il est visible, d’autre part il est lent! Pourquoi, tout simplement car il repose sur un protocole qui est particulièrement économe en bande passante. Un peu de tuning au niveau de Bits permettait d’accélérer les choses. Au terme du déploiement, le système d’exploitation aura fait son rapport au serveur WSUS pour indiquer dans quelle mesure il a réussi à installer les mises à jour ou non. Nous n’auront plus qu’à demander la génération d’un rapport dans WSUS.

 

L’idéal est d’intégrer cette application dans la séquence de tâches utilisée pour créer nos images de références (Windows XP et Windows Server 2003). De cette manière le problème ne se posera plus. Les tâches “Windows Updates” peuvent elles êtres conservées dans les séquences de tâches de déploiement pour finaliser l’installation des postes de travail en intégrant les dernières mises à jour qui ne sont pas encore intégrées aux images de références. Attention cependant à un détail, le processus gère de lui même les éventuels redémarrages mais est limité à sept. Donc s’il y a trop de mises à jour qui nécessitent un redémarrage, il se peut que le système ne soit pas complètement à jour au terme du processus de déploiement.

 

Voila, un de plus

 

Bon noël

 

Benoît – Simple by Design

Share this post:                                       
Posted 24 December 2008 05:24 PM by BenoitS | no comments
Filed under:
Prise de tête avec la Terminal Server Gateway suite

Après avoir publié mon précédent billet, l' équipe en charge du développement de Terminal Server a posté un billet "Introduction to TS Gateway Certificates". Quelle ne fut pas ma surprise de découvrir une section dédiée à la question des certificats Wildcard et SAN Certificates.

 

La bonne nouvelle, c' est que les certificats SAN et Wildcard sont supportés à condition de disposer du bon client et de la bonne version de ISA Server (si on publie notre TS Gateway avec). Le tableau suivant indique comment sont supportés les différents types de certificats selon les types de clients :

Type de certificat Client RDC 6.0 Client RDC 6.1 Publication via ISA Server
Auto-généré Oui Oui Oui
CA publique Oui Oui Oui
CA privée Oui Oui Oui
Certificat Wildcard Non Oui Oui à partir de ISA Server 2006
Certificat SAN Non Oui Oui avec ISA 2006Server SP1

 

Globalement, la mise à jour du client RDC vers la version 6.1 est plus que recommandée. Donc Windows XP SP3, Windows VISTA SP1. Ceci complète mon précédent post.

 

Note : Sauf erreur de ma part, il n' y a pas encore de client RDC 6.1 pour Windows Server 2003.

 

Benoît - Simple By Design

Share this post:                                       
Posted 07 December 2008 02:05 PM by BenoitS | no comments
Filed under:
Prise de tête avec la Terminal Server Gateway

Voila une fonctionnalité de Windows Server 2008 qui mérite qu' on creuse un peu plus le sujet. Avec Windows Server 2003, on pouvait déjà encapsuler le protocole RPC de Microsoft Outlook dans un flux HTTP. Avec Windows Server 2008, Microsoft a étendu l' utilisation de l'encapsulation au protocole RDP.

 

Cette approche permet de sécuriser l' utilisation du protocole RDP sur un réseau LAN ou depuis le réseau extérieur. Tous les flux HTTPS arrivent sur un serveur dit "passerelle" qui se charge de de décapsuler le flux HTTPS pour ressortir sous la forme du protocole RDP. Le principal avantage de cette approche est de pouvoir faire passer tous les flux RDP sous un même port (443) pour de multiples destinations. On évite donc les multiples ouvertures de port sur le pare-feu extérieur.

 

De l' extérieur, l' accès à la Terminal Server Gateway est contrôlé par les "Connection Authorization Polices (CAP)". Après, l' accès aux serveurs Terminal Serveurs ou aux clients Remote Desktop s' effectue selon les conditions dictés par les "Ressource Authorization Policies (RAP)".

 

En terme d'implémentation, on distingue trois scénarios :

  • Le Terminal Server Gateway sur le réseau interne
  • Le Terminal Server Gateway sur le réseau périmétrique
  • Le Terminal Server Gateway publié par un ISA Server

 

Le Terminal Server Gateway sur le réseau interne

image

Ce scénario peut être difficile à implémenter dans la mesure où cela nécessitera de mettre en oeuvre un pare-feu sur le réseau interne qui non seulement laisse passer le flux 3389 sur le port TCP (tout à fait normal )mais aussi les flux liés à l' annuaire Active Directory car la CAP impose de sélectionner au minimum un groupe d' utilisateurs, idéalement, un groupe de domaine si on ne veut pas fournir deux authentifications distinctes (Compte local sur la TS Gateway puis compte Active Directory). Techniquement, c' est possible à condition d' utiliser ISA Server 2006 avec le filtrage de protocole RCP sur les UUID. C' est un peu long à mettre en oeuvre mais c' est réalisable. Il est possible d' envisager une version allégée de ce scénario en supprimant le pare-feu sur le réseau interne même si ce n' est pas le meilleur choix.

 

Le Terminal Server Gateway sur le réseau périmétrique

image

Le second scénario pose le même problème. La il est obligatoire d' utiliser ISA Server 2006 pour le mettre en oeuvre. Reste tout de même à convaincre le client d' accepter ISA Server comme pare-feu même de bas niveau (au plus proche du LAN). Bon nombre de personnes y sont encore réticentes pour des raisons historiques qui n' ont plus vraiment lieu d' être aujourd'***..

 

Le Terminal Server Gateway publié par un ISA Server

image

Pour le troisième, c' est un scénario "full ISA Server", ce qui en matière de sécurité n' est pas une bonne pratique (ISA en DMZ et ISA comme par-feu de bas niveau) . On préfèrera différencier les fournisseurs à ce niveau.

 

Globalement, c' est le premier scénario qui sera le plus utilisé.

 

Le Noeud du problème

Maintenant rentrons dans le noeud du problème : les certificats. Ayant eu la chance de participer au Tech-Ed 2008 à Barcelonne (Merci patron!). J' ai assisté à la conférence "Windows Server 2008 Terminal Services Deep Dive - Gateway Security and certificates" d'Alex Balcanquall, Senior Product Manager chez Microsoft de son état. Au terme de sa présentation, j' ai posé une question toute simple : La TS Gateway n' accepte qu' un seul certificat, donc qu' un seul nom (selon l'interface). Comment peut-on faire pour utiliser un nom pour la TS Gateway interne qui est différent de celui utilisé en externe? D' un point de vue purement "paranoïaque" de la sécurité, cela se tiens. Techniquement, le plus simple consiste à utiliser ISA Server pour publier sous un autre nom. mais c' est contourner le problème.

A cette question, il m' a été répondu que c' était une très bonne question mais sans avoir pour autant de réponse (ni le sac à dos promis pour les meilleures questions posées, ...).

 

La réponse

La réponse, elle est normande, cela dépend. Selon les informations de Microsoft sur les caractéristiques du certificat à utiliser (http://technet.microsoft.com/en-us/library/cc731264.aspx) le certificat doit présenter les caractéristiques suivantes :

  • The name in the Subject line of the server certificate (certificate name, or CN) must match the DNS name that the client uses to connect to the TS Gateway server, unless you are using wildcard certificates or the SAN attributes of certificates. If your organization issues certificates from an enterprise CA, a certificate template must be configured so that the appropriate name is supplied in the certificate request. If your organization issues certificates from a stand-alone CA, you do not need to do this.
  • The certificate is a computer certificate.
  • The intended purpose of the certificate is server authentication. The Extended Key Usage (EKU) is Server Authentication (1.3.6.1.5.5.7.3.1).
  • The certificate has a corresponding private key.
  • The certificate has not expired. We recommend that the certificate be valid one year from the date of installation.
  • A certificate object identifier (also known as OID) of 2.5.29.15 is not required. However, if the certificate that you plan to use contains an object identifier of 2.5.29.15, you can only use the certificate if at least one of the following key usage values is also set: CERT_KEY_ENCIPHERMENT_KEY_USAGE, CERT_KEY_AGREEMENT_KEY_USAGE, and CERT_DATA_ENCIPHERMENT_KEY_USAGE.
    For more information about these values, see Advanced Certificate Enrollment and Management (http://go.microsoft.com/fwlink/?LinkID=74577).
  • The certificate must be trusted on clients. That is, the public certificate of the CA that signed the TS Gateway server certificate must be located in the Trusted Root Certification Authorities store on the client computer.

 

L' attribut SAN

C' est le premier point le plus important. Techniquement oui c' est possible, tout dépend de l' autorité de certification. Dès lors qu' on utilise une autorité de certification "Entreprise de Microsoft", c' est là que cela devient compliqué : 

  • Le certificat doit être généré à l'aide du template "Computer", sinon la la TS Gateway refusera le certificat
  • Les modèles de certificats de l' autorité de certification de Microsoft ne sont personnalisables que sur une autorité de certification de type "Entreprise"
  • Le modèle de certificat "Computer" utilise le FQDN de l' ordinateur pour renseigner le champ "Subject" du certificat. Cela signifie que si on désire utiliser un autre noms, l' autorité de certification ignorera le paramètre dans la demande.

 

Par défaut, l' extension SAN, n' est pas activée, qu' à cela ne tienne on va l' activer (http://support.microsoft.com/kb/931351/en-us):

CERTUTIL

 

Après un redémarrage, notre autorité de certification va accepter de traiter l' attribut Subject Alternative Name. ou presque, ...

 

Le modèle de certificat "Computers"

C' est la seconde étape. Oui l' autorité de certification accepte de traiter les demandes de certificats pour l' attribut Subject Alternative Name" mais elle continue obstinément à les refuser dès lors qu' on lui demande un certificat pour un ordinateur. La raison est toute simple, elle tiens dans l' illustration ci-dessous :

COMPUTER

le modèle de certificat "Computer" prévoit de récupérer le "Subject Name" directement dans l' annuaire Active Directory, ignorant donc l' attribut SAN. La seule solution, c' est de dupliquer ce modèle de certificat. Le nouveau modèle de certificat "TS Gateway Certificate" intègre :

  • La reconfiguration de l' attribut "Subject Name"

SUBJECTNAME

  • Le modèle soit "Superseeded" le modèle de certificat "Computers"

SUPERSEEDED

C' est très important, car la TS Gateway vérifie que le certificat qu' on lui soumet a été généré selon le modèle "Computers" ou dérivé de celui-ci.

 

Le modèle de certificat est alors prêt à être publié pour être utilisable immédiatement.

 

La demande de certificat en ligne (Cas Autorité de certification intégré à l' AD)

Commençons par le cas le plus simple, une demande de certificat en ligne pour notre futur TS Gateway :

REQ0

Jusque là, je n' ai perdu personne.

REQ1

Le modèle de certificat "TS Gateway certificate" est bien proposé mais pour être utilisable il est nécessaire de compléter un certain nombre d' informations en cliquant sur "More information is required to enroll for this Certificates".

REQ2

C' est là que se situe la subtilité. Il faut dans un premier temps spécifier un Subjet Name pour le compte ordinateur de notre TS Gateway mais aussi le ou les Subject Alternatives Names à utiliser. On remarquera que j' ai référencé un nom extérieur, un nom DMZ et un troisième correspondant au nom DNS sous lequel la TS Gateway sera accessible depuis le réseau LAN de l' entreprise.

 

Note : le dernier n' est utile que si l' on désire rendre accessible sa TS Gateway sur le réseau interne.

REQ3

Pour finir, il est vivement conseillé d' utiliser l'attribut "Friendly Name" pour faciliter le suite de la demande de certificat.

REQ4

la demande de certificat est maintenant complète, elle peut être soumise à l' autorité de certification intégrée à l' annuaire Active Directory et être approuvée

REQ5

 

La demande de certificat offline (Cas autorité de certification tierce ou autonome)

C' est le même principe. Windows Server 2008 nous aide à formater la requête pour pouvoir la soumettre à une autorité de certification tierce

REQ6

Je n' ai toujours jamais perdu quelqu'un à l' écran d' accueil!

req7

On sélectionne note modèle de certificat "TS Gateway Certificate"

req8

L' interface est quelque peu différente d' une demande en ligne mais le principe reste identique, à savoir qu' il faut compléter la demande avant de pouvoir la soumettre.

req9

Toujours les mêmes informations, à savoir un Subject Nme représenté par le "Full DN" du compte ordinateur puis les "Subject Alternatives names" ajoutés sous formes de noms DNS.

req10 

La demande ainsi préparée peut être soumise à une autorité de certification.

 

Le certificat dans la console "Terminal Server Gateway

Dès lors que le certificat a été installé sur le serveur de la TS Gateway et associé à celle-ci, l' interface d' administration indique uniquement le "Subject name" dans le champ "Issued To".

TSG_CERT

Si on vérifie avec des clients, on peut valider que la TS Gateway répond bien à tous les noms positionnés SAN positionnés dans la demande de certificat.

 

Conclusion

En conclusion, oui, c' est possible, sauf que c' est pas le scénario le mieux documenté. L' interface d' administration n' a pas été prévu pour afficher l' éventuel attribut SAN. Une TS Gateway peut donc répondre à plusieurs noms (interne, externe, nom pour chaque partenaire, ...). C' est juste un petit peu plus complexe à mettre en oeuvre. Le premier avantage de ce scénario est de pouvoir utiliser la même TS Gateway pour plusieurs usages et non en dédier une par usage. Le second avantage et non des moindre est de pouvoir affiner les stratégies de filtrage CAP par défaut pour différencier les accès internes des accès Externes (aller faire un tour dans la console du NPS installé sur la TS Gateway dans le noeud "Network Policies").

 

Note à certains lecteurs : Je mérite encore plus mon sac à dos pour avoir trouvé moi même la solution au problème posé!

Share this post:                                       
Posted 02 December 2008 12:26 AM by BenoitS | 2 comment(s)
Filed under:
Hyper-V et les snapshots

Cela peut paraître très simple mais quand on creuse un peu en dessous de la surface, on découvre que la fonctionnalité est un peu plus complexe qu' il n' y parait. A 10 000 mètres d' altitude, les snapshots, c' est aussi simple que le menu contextuel à utiliser dans l' outil d' administration Hyper-V. U

Mots clés Technorati : ,

ne fois réalisé, l' interface ressemble à peu près à cela :

 1ersnapshot

L' illustration ci-dessus présente une machine virtuelle en activité pour laquelle on a réalisé un snapshot. Du point de vue de l' interface, la seule modification, c' est la section Snapshots qui nous indique qu' un snapshot a bien été réalisé. Maintenant, allons voir ce qui s' est passé un niveau en dessous.

 

Pour simplifier la chose, j' ai volontairement créé ma machine virtuelle dans un répertoire dédié, histoire que ce soit plus clair. A la racine de mon répertoire, on va donc trouver :

  • Le fichier VHD de ma machine virtuelle, jusqu' ici pas de surprise
  • Un répertoire au nom de ma machine virtuelle : "VALIDATION"

A ce stade, on peut déjà se demander pourquoi on ne trouve pas de fichier de définition de machine virtuelle (Pour rappel, Hyper-V dissocie le stockage du fichier de définition des disques composant la machine virtuelle). Le plus intéressant se trouve dans le répertoire au nom de la machine virtuelle : "VALIDATION" :

  • Un répertoire "Virtual machines"
  • Un répertoire "Snapshots"

 

Pour le premier, l' explication est simple. Dans la configuration générale d'Hyper-V on avait trouvé un répertoire pour le stockage des définitions des machines virtuelles et un autre pour le stockage des fichiers de définition. Le contenu de ce premier répertoire peut nous intriguer. Il contient un fichier XML au nom peut évocateur. Celui-ci représenta la définition de notre machine virtuelle. Petite remarque à son sujet : Il n' est pas utilisable sous cette forme. N' essayez pas de l' importer sur un autre Hyper-V pour créer une machine virtuelle. Pour cela, il faut passer par l' option "Export" (si la machine virtuelle est à l' arrêt.). On obtient un fichier EXP utilisable pour un import sur un autre hôte Hyper-V. Le sous-répertoire présent contient un état sauvegardé de notre machine virtuelle. Cet état a été réalisé pour permettre la mise en place du snapshot car la machine était en activité.

 

Pour le second, son nom est évocateur. Le répertoire est créé dès lorsqu' on réalise le snapshot. D' un point de vue purement technique, notre "Snapshot" est représenté par un fichier "AVHD", donc un disque différentiel. Sur ce point, Hyper-V ne fonctionne pas du tout de la même manière que les "Undo disks" de Virtual PC ou Virtual Server . Lorsqu' on réalise un snapshot, l' activité de la machine virtuelle est suspendue pour mettre en place le disque différentiel et basculer dessus. Le fichier de définition de la machine virtuelle est actualisé pour référencer l' utilisation de ce disque.

 

On peut donc en conclure qu' un Snapshot n' est pas une copie complète de notre machine virtuelle à un instant donné mais plutôt comme un état de celle-ci à un instant donné par rapport à une référence (disque VHD ou AVHD). Le terme de Checkpoint conviendrait mieux (C' est comme cela que c' est nommé dans System Center Virtual Machine manager 2008). Le snapshot n' a donc de signification que s' il est accompagné de son disque de référence puisque le fichier AVHD ne contient que le "Delta". Rien que pour cette raison, les Snapshots ne peuvent être envisagés comme solution de sauvegarde. Lors du processus d' export, il est possible d' exporter aussi les snapshots associés.

 

Une fois le snapshot réalisé, on peut l' utiliser pour revenir en arrière ou valider nos changements et les intégrer dans les fichier VHD initial. Pour cela on dispose de trois options dans l' interface graphique :

  • Apply
  • Delete Snapshot
  • Delete Snapshot subtree

 

Quelle option correspond à quelle action? Pour faire simple, il faut retenir que :

  • Apply : Supprime tous les changements réalisé dans le disque AVHD. Le "delta" est donc supprimé. C'est donc un retour en arrière.
  • Delete Snapshot : Intègre tous les changements dans le disque VHD. Le fichier AVHD est tout simplement supprimé après que celui-ci ait été réintégré dans le disque VHD de référence (ou le précédent AVHD). La petite subtilité étant que le disque AVHD est réintégré au précédent lors du redémarrage de la machine virtuelle. Ceci expliqué, on comprend que le redémarrage d' une machine virtuelle peur devenir très long. Voila une autre raison pour laquelle l' utilisation des snapshots n' est pas recommandé en production.
  • Delete SnapShot Subtree : C' est aussi une réintégration du AVHD dans le VHD mais de toute la branche. Dès lors qu' on a réalisé un snapshot, il est possible de continuer à travailler et de créer d' autres snapshots (on développe alors une branche) ou de revenir sur un snapshot précédent pour tester une autre solution (on créé alors une autre branche). Dès lors qu' on a terminé et trouvé la solution qui nous convient, on peut intégrer tous les snapshots d' une branche en une seule opération lors du prochain redémarrage (Ca peut être très long).

 

En conclusion, rien n' est aussi simple qu' il n' y parait. Il faut souvent gratter un peu en dessous pour comprendre. Dans les cas des snapshots, il faut plus voire cela comme des "CheckPoints", reflétant l' état d' une machine virtuelle par rapport à une précédente. Ce n' est définitivement pas une solution de sauvegarde.

Pour ma part, je suis contre le fait d' utiliser les snapshots avant d' installer un Service Pack ou un correctif sur un système. Oui, cela permet de revenir en arrière mais nos systèmes fonctionnent de plus en plus en mode distribués (AD, Exchange, ...) et cette tendance n' est pas prêt de s' arrêter. Si on doit revenir en arrière, cela peut produire des incohérences (re-répliquer des modifications AD, le Hub Exchange qui renvoie des messages au MailBox alors que celui-ci les a déjà intégré dans sa base de données, ...). Bref, c' est une fonctionnalité qui pour moi est dédiée aux environnements de tests et d' intégration et non de production.

 

Benoît - Simple By Design (Sorry, Not this time;))

Share this post:                                       
Posted 23 November 2008 04:50 PM by BenoitS | no comments
Filed under:
Première plongée dans Hyper-V

Mon premier post sur Hyper-V ne traitera pas de la V2 (installation programmée pour bientôt). Oui, ce serait tentant mais avant de courir, il faut savoir marcher. A première vue la console du produit parait simple, pas grand chose à configurer, il semble que sorti de la boite, il est prêt à être utiliser.

 

Oui, c' est vrai. C' est l' objectif de Microsoft. mais cette simplicité cache beaucoup de choses. certains concepts "simplistes" peuvent nous induire en erreur. C' est pour cette raison que je me lance dans cette première plongée dans Hyper-V.

 

Installation

je ne vais pas m' étendre sur ce point. Microsoft l' a assez fait. Techniquement, c' est un rôle à installer sur une installation de Windows Server 2008 64 bits. Deux pré-requis techniques :

  • L'activation de Data Execution Prevention dans le BIOS
  • L'activation des extensions de virtualisation du processeur dans le BIOS

 

Une fois ces deux fonctionnalités activées, il est recommandé de faire un arrêt complet du système pour permettre leur prise en compte. L' expérience a montré qu' un simple redémarrage à chaud ne suffit pas.

 

Windows Server 2008 Full GUI ou Core?

Quel choix cornélien. En ce qui me concerne le choix est déjà fait, c' est Core, pour plusieurs raisons :

  • C' est plus rapide à installer (Seulement, 1,8Go de fichiers à copier. Cela ne veut pas dire qu' il faut réduire la partition système!)
  • Emprunte mémoire plus petite = plus de machines virtuelles
  • Moins de correctifs à installer (regardez le nombre de correctifs uniquement liés à Internet Explorer et toutes les applications au dessus du système d' exploitation)

 

Après, je suis d' accord, c' est pas forcément facile à administrer. Mais rien ne vous empêche de l' administrer, il faut juste savoir comment faire. Ce point fera l' objet d' un prochain post sur Hyper-V. Après, il y a des adeptes de la ligne de commande (Stanislas suit ma pensée).

 

Réaliser une image de référence

Quand on voit que Hyper-V n' est rien qu' un rôle à installer, on pourrait se dire qu' il est facile d' intégrer ce rôle dans une image de référence WIM. Mais c' est une erreur! Lorsqu' on va déployer notre image, Hyper-V sera bien installé mais pas actif. Pour comprendre, il faut savoir que Hyper-V s' active avant le démarrage du système d' exploitation. Pour cela, le Boot-Loader est chargé de démarrer Hyper-V. Ci-dessous l' exemple de l' un de mes systèmes en double boot. Une simple commande BDCEDIT.EXE dans une invite de commande MS-DOS :

BCDEDIT

le Boot Manager référence deux choix :

  • le premier mon Windows VISTA
  • le second mon Windows Server 2008

 

Si on regarde de plus près le "Windows Boot Loader" de mon Windows Server 2008, il y a une option nommé "HypervisorLaunchType". Lorsqu' on fait un master, le Boot-Loader n' est pas inclus. Une image WIM est une image fichier et non disque ou partition. Donc Une fois déployée, l' option n' est pas reconduite. Pour corriger cela, on ne peut plus modifier le fichier "boot.ini" comme sous Windows XP/2003. Il faut passer par BDCEDIT avec la commande suivante : "Bcdedit /set {current} hypervisorlaunchtype auto"

 

Pour plus d' information à ce sujet, voir la KB954356 sur ce sujet.

 

Dès que j' ai un peu de temps, je vais faire un post pour compléter le master Windows Server 2008 pour intégrer Hyper-V comme application installée lors de la première ouverture de session.. De cette manière on contourne la problématique.

 

Configuration générale de Hyper-V

Il semble n' y avoir pas grand chose dans l' interface. Il y a juste l' essentiel :

  • La localisation des fichiers de définition des machines virtuelles
  • La localisation des fichiers des disques virtuels

PARAMETER

Par défaut, oui, c' est le même répertoire. La tentation serait grande de séparer les deux pour raison d' espace disque. La aussi, c' est une erreur. Lorsqu' on fait un snapchot de machine virtuelle, celui-ci n' est pas stocké dans le répertoires des disques virtuels mais dans la répertoire des fichiers de définition des machines virtuelles. En les séparant, on peut facilement remplir la partition système de la partition parente.

 

Pour conclure sur ce point, OK pour les déplacer sur un disque dédié mais impérativement les conserver ensembles. Cela nous amène à un autre point à ne pas négliger, à savoir l' estimation de la capacité de stockage nécessaire. Il faut prendre en compte les disques des machines virtuelles ainsi que l' usage des snapshots.

 

Configuration des réseaux

Voila un sujet qui mérite tout son attention. Lors regarde dans l' interface, il nous propose trois possibilités :

  • Créer une interface externe
  • Créer une interface interne
  • Créer une interface privée

 

La création d' une interface externe va nous obliger de lui associer une interface réseau de la partition parente. L' interface virtuelle permettre aux machines virtuelles d' accéder au réseau de la carte réseau physique. Le seul problème, c' est que l' interface réseau physique n' est plus utilisable. Allez faire un tout dans la liste des interfaces réseaux. Surprise, il y en a une de plus.

NETWORK NETWORK2

 

La première illustration représente ma carte réseau physique (celle de la partition parente). Tout est désactivé. Elle est juste utilisée pour présenter le service réseau. Tout a été bascule dans la seconde interface réseau. Celle-ci a même repris l' adresse IP. Ce mode de fonctionnement pose un problème pour ceux qui font su scripting : Comment différencier ces deux interfaces. La réponse est simple, Si une carte réseau n'est pas IPEnabled, c' est une carte réseau externe.

 

NOte : Cette carte réseau externe peut être configurée avec le "VLAN tagging" pour associer un numéro de VLAN qui sera utilisé par la partition parente et donc par les machines virtuelles. Cela sera transparent pour elles.

 

Une carte réseau Interne n' est pas liée à une interface physique de la partition parente. Seules les machines virtuelles hébergées peuvent l' utiliser pour communiquer entre elles et avec l' hôte Hyper-V. Seule contrainte, pas d' accès réseau au delà de l' hôte Hyper-V.

 

Enfin, la carte réseau privée n' est utilisable que par les machines virtuelles.

 

Sur mon ordinateur portable, je n' ai qu' une seule carte réseau LAN et une carte réseau Wireless. Pourtant cette dernière n' est pas encore utilisable sous Hyper-V (Je travaille sur le sujet, je vais finir par trouver une solution). En attendant, je suis coincé avec ma seule interface réseau. Je veux l' utiliser pour accéder à des ressources réseau mais aussi la mettre à disposition de mes machines virtuelles. Cela pose pas mas de problème. j'ai trouvé une solution en installant une interface réseau de type "Loopback" sur ma partition parente et je lui ait associé une interface "externe". De cette manière, mes machines virtuelles ont toujours une interface réseau dédiée pour accéder la partition parente. Les échanges entre l' hôte et les machines virtuelles sont donc possibles.

 

Note : le "teaming" de cartes réseau n' est pas encore supporté par Microsoft sous Hyper-V. En plus, cela ne semble pas fonctionner.

 

Conclusion, le nombre d'interfaces réseaux de l' hôte Hyper-V est important. Pour ma part, la recommandation est la suivante :

  • une interface ILO pour administrer le serveur (Toujours utile pour dépanner)
  • Une interface LAN dédiée pour administrer l' hôte Hyper-V (A isoler sur un VLAN pour raison de sécurité)
  • Une interface réseau dédiée à la sauvegarde (oui, ce sera très utile, c' est pas du superflu)
  • Une ou plusieurs interfaces réseaux pour les machines virtuelles

 

 

Voila pour cette première plongée dans Hyper-V. On constate donc que le produit est bien plus complexe qu' il n' y parait et qu' il est facile de faire des erreurs. La plongée continuera dans un prochain post sur la définition des machines virtuelles et l' utilisation des snapshots. La aussi, c' est bien plus compliqué qu' il n' y parait.

 

Benoit - Simple by design

Share this post:                                       
Posted 15 November 2008 06:46 PM by BenoitS | no comments
Filed under:
Que retenir du TechEd 2008?

C' est vrai quoi. On sait maintenant pourquoi il faut aller au Tech-eD mais qu' est ce que Microsoft pouvait bien présenter la bas :

  • Windows Seven
  • Windows Server 2008 R2
  • La prochaine version d'Hyper-V
  • Live Migration
  • System Center Virtual Machine Manager 2008
  • La prochaine beta de System Center Operation Manager 2007 R2
  • La sortie prochaine de Windows Essentials Business Server 2008
  • La beta de Microsoft Threat Management Gateway
  • L' annonce de la prochaine évolution de IAG 2007 (Service Pack 2)
  • L' arrivée de Microsoft Office Communicator 2007 R2
  • L' arrivée prochaine de Identity Lifecycle Manager "2"

 

Windows Seven

Sur lui, peu de choses à dire sur lui pour une raison toute simple, je n' ai pas fait de session sur ce sujet. Je ne vais donc pas m' étendre. Globalement, cela se présente bien. Il va intégrer bon nombre de fonctions pour les nomades et les réseaux à faible bande passante. Je vais attendre d' en voir un peu plus à son sujet pour m' étendre dessus.

 

Windows Server 2008 R2

Commençons par le seigneur des lieux, celui qui a le plus occupé mon temps, à savoir Windows Server 2008 R2. Comme on me l'a fait remarqué, Microsoft est une usine de développement. Le développement de Windows Server 2008 R2 a commencé alors que Windows Server 2008 n' était pas encore disponible. Les fonctionnalités sont déjà toutes intégrées et elles sont nombreuses. Normalement, Windows Server 2008 R2 devait être considéré comme une version "mineure" mais au vue de la liste des améliorations apportées, on pourrait en douter :

  • Le Framework 3.5 intégré dans Windows Server 2008 Core : Voila un cruel manque enfin comblé. On comprend que le Framework est un ensemble complexe qu'il était difficile de découper mais enfin, c'est réalisé. la conséquence est que PowerShell est enfin disponible sous Windows Server 2008 Core R2, tout comme ASP.NET
  • Intégration de PowerShell V2 : Il était déjà pas mal de mon point de vue. mais là, on touche à la perfection (exécution à distance, instanciation des commandes pour exécution à distance, IDE, ...). La liste est trop longue pour être énumérée
  • Nouvelle console d' administration nommée AD Administrative console entièrement basée sur PowerShell. Son approche est de permettre le développement de consoles orientées tâches pour des utilisateurs auxquels on aurait délégué la gestion de certaines parties de l' annuaire Active Directory (Support localisé, ...)
  • La nouvelle console d' administration exploite PowerShell V2 qui accède lui à l' annuaire Active Directory au travers d' un Web Service. Cette nouvelle approche devrait permettre petit à petit de faire disparaître l' utilisation du protocole RPC.
  • Power Management : capacité de WIndows Server 2008 à activer les fonctionnalités d' économie d' énergie au niveau des composants du serveur, jusqu'au désactiver des coeurs dans le processeur.
  • Généralisation des Best-Practices Analyser dans Windows Server 2008 avec processus de mise à jour pour proposer de nouvelles analyses et donc optimiser notre infrastructure en permanence.
  • BitLocker to Go : Bitlocker sur clé USB
  • Direct Access : capacité de Windows Seven a être connecté au SI même à l' extérieur, de manière transparente (Désolé Fabrice, je suis obligé de faire court!)
  • Branch Cache : Capacité de Windows Seven ou Windows Server 2008 R2 a mettre en cache des fichiers téléchargés en SMB ou HTTP. L' objectif étant de les mettre à disposition des utilisateurs plus rapidement. C' est un peu un cache partagé que l' on pourra utiliser dans les scénarios Branch office (Désolé Fabrice, je suis obligé de faire court!)
  • DHCP Failover : Non, ce n' est pas un cluster DHCP, c' est juste deux services clusters partageant une même base de données. On ne sera donc plus obligé de monter des clusters pour faire de la haute disponibilité sur le DHCP.
  • DNSSEC : Capacité à s' assurer que les informations issues du DNS sont bien de confiance et n' ont pas été altérées.
  • Intégration de commandes PowerShel pour gérer directement le matériel (Chassis, blades, ...)
  • Intégration d' une "Recycle Bin" pour Active Directory. On est donc capable de restaurer les objets supprimés sans perte d' information
  • Capacité à joindre un domaine "offline"

 

La prochaine version d'Hyper-V

Sur ce point, j' ai pris une sacré gifle. Hyper-V est déjà très impressionnant mais la liste des futures fonctionnalités tue, tout simplement :

  • Support des machines virtuelles avec 32 processeurs
  • Intégration de l' approche VDI
  • Boot From SAN
  • Hot-Plug de VHD et autres composants

 

Live Migration

Voila la fonctionnalité que tout le monde attendait tous et que Microsoft avait décidé de repousser à la prochaine version. Maintenant, c' est une réalité. Pour l' introduire, Microsoft se devait de résoudre certaines problématiques au niveau du cluster. Pour réaliser ce tour de force, il était nécessaire d' introduire un nouveau type de cluster : le Shared Volume Cluster. Contrairement à ce qu' on pourrait penser, Microsoft ne s'est pas convertit aux clusters en accès partagés. C' est toujours un accès exclusif mais en lecture pour tous les noeuds accédant à la ressource disque du cluster. C' est au niveau NTFS que l' accès exclusif a été intégré. De cette manière, on peut placer plusieurs machines virtuelles sur un même LUN! Globalement, on se rapproche très rapidement de ce que VMWARE propose avec son VMFS! Pour imager ma pensée.

 

System Center Virtual Machine Manager 2008
  • La virtualisation n'est rien sans le management. Sur ce point, Microsoft met la barre très haut :
  • Intégration de l'Hyperviseur Hyper-V
  • Intégration de l'Hyperviseur XEN (Gestion depuis la console SCVMM en toute transparence)
  • Intégration de l'Hyperviseur VMWARE (plus précisément du Virtual Center)
  • Gestion des pools d' adresses MAC entre les hypervieurs
  • Intégration d' une plus grande finesse de délégation des machines virtuelles
  • Intégration d' un portail web pour le provisionning de machines virtuelles
  • Prise en charge du Failover clustering
  • Intégration de PowerShell (La console d' administration repose totalement sur PowerShell)
  • Intégration avec la solution de supervision System Center Operation Manager 2007 pour la supervision mais aussi sur l'analyse du comportement des hôtes physiques et virtuels afin de mieux répartir la charge (PRO)
  • Mise à disposition d' une librairie dans laquelle on peut stocker des modèles de machines virtuelles, VHD, ISO et même des scripts pour industrialiser la gestion du DataCenter
  • P2V online et offline (pour les plus vieux systèmes d' exploitation)
  • Offline virtual machine Servicing Tool (Capacité à patcher toutes les machines virtuelles y compris celles qui sont dans la librairie

 

Note : SCVMM 2008 est disponible dans le cadre d' une licence groupée mais sera aussi disponible individuellement et même dans une édition workgroup

 

La prochaine beta de System Center Operation Manager 2007 R2

Voila un produit qui m' a totalement dérouté. Autant son prédécesseur Operation Manager 2005 me restait accessible. Avec Opération Manager 2007, j' avoue que j' avais un peu plus de mal à m' y mettre. La prochaine évolution "R2" va intégrer entre autre les extensions pour le "Cross-Plateform". Avant, pour superviser les systèmes UNIX/LINUX, on passait par des partenaires (Quest par exemple). Maintenant, on disposera de cette fonctionnalité nativement.

 

Ce qu' il faut aussi retenir, c' est une intégration plus forte de la solution de supervision de Microsoft. Par exemple avec SCVMM 2008. Je ne vais pas m' étendre sur ce sujet. Je fais confiance à Fabrice MEILLON sur ce point, sa sainteté Stéphane PAPP ou encore mon confrère Yann GAINCHE, MVP sur le sujet.

 

La sortie prochaine de Windows Essentials Business Server 2008

On disposait de Windows Server 2008, restait maintenant les éditions à destination des PME. C' est pour le 12 Novembre 2008. Étant donné que ce n' est pas vraiment mon domaine, je ne vais pas m' étendre sur le sujet.

 

La beta de Microsoft Threat Management Gateway

Je suis un utilisateur de la solution ISA Server depuis la version 2000. Disons que c' était un bon galop d' essai mais il restait encore beaucoup à faire. La version 2004 puis 2006 ont posé d' excellentes bases. Cette nouvelle version est bien plus qu' une évolution, c' est une révolution :

  • Enfin totalement intégré à ForeFront
  • Configuration totale de TMG depuis sa console (définition adresse IP, ...)
  • Support de la plateforme Windows Server 2008 64 bits (only)
  • Support de NAP
  • Support du protocole de VPN SSTP
  • Intégration totale à Forefront : Toutes les mises à jour sont disponibles depuis ForeFront
  • Possibilité de bloquer l' accès à un site web si son certificat est invalide
  • Intégration d' une technologie de filtrage d'URL : Enfin, on est capable de faire du filtrage d' accès à Internet sans requérir à un produit tiers. Reste maintenant à savoir quel ou quels partenaires fourniront les moteurs de filtrage et la maintenance associée
  • Prise en charge du protocole SIP au niveau du pare-feu
  • Intégration de l' équilibrage de charge et tolérance aux pannes pour les connexions sortantes (pour les connexions entrantes, on doit toujours faire appel à une solution logiciel ou matérielle)
  • Prise en charge du filtrage d'URL et de contenu au sein des sessions HTTPS (implique l' utilisation du client TMG pour notifier l' utilisateur)
  • Intégration d'Exchange Forefront Security
  • Intégration d' un système de détection d' intrusion basé non pas sur la signature d' une attaque mais sur la vulnérabilité du protocole. Cette approche permet de bloquer une vulnérabilité sans devoir installer les correctifs sur nos systèmes sans les tester

 

Ce n' est qu' un inventaire rapide, je suis sûr qu' il y a encore de nouvelles fonctionnalités mais le temps m' a manqué. Je suis sur que Stanislas QUASTANA apportera plus de précisions sur son blog.

 

L' annonce de la prochaine évolution de IAG 2007 (Service Pack 2)

Sur lui, je cale. C' est un produit un peu étrange dans la mesure où les compétences sembles excessivement rare. Il m' est donc difficile de m' étendre sur le sujet.

 

L' arrivée de Microsoft Office Communicator 2007 R2

J' utilise actuellement la version 2007 tous les jours et j' avoue qu' une fois qu' on a goûté à Communicator, on ne peut plus s' en passer! La nouvelle version me semble plus abouti au niveau de la téléphonie. Certes MOCS, c' est pour la messagerie unifiée d' entreprise, la vidéo conférence avec la Roundtable mais c' est aussi de la téléphonie. C' est vers cela que le produit doit évoluer le plus.  Pour plus d' informations sur le sujet, ne je peux que vous recommander le blog de Damien CARO.

 

L' arrivée prochaine de Identity Lifecycle Manager "2"

Voila une domaine sur lequel Microsoft était en retard. Il a fallu déjà attendre Windows Server 2008 pour qu' une autorité de certification puisse être mise en cluster, mais cela ne représentait que la partie technique de la PKI. Dans un projet, ce cela ne représente pas grand chose. Il manquait toute la partie provisionning et processus de gestion des certificats. Prochainement, on disposera d' une solution complète, depuis le provisionning des utilisateurs, la délivrance et la gestion du cycle de vie des certificats et des cartes à puce. La solution est même extensible avec une solution de GEMALTO pour intégrer l' impression des cartes avec photo, logos.

 

Note : Pour ceux qui sont intéressés par le sujet, je recommande vivement les ouvrages de Brian KOMAR sur le PKI et la gestion des identités.

 

 

Ouf, j' en suis arrivé à la fin. Est-ce Exhaustif, absolument pas, ce n' était pas mon intention. Ce ne serait même pas possible tellement il y a de produits disponibles actuellement ou prochainement. Cela pose un sérieux problème. Tous ces produits sont plus ou moins interconnectés. Ce niveau de dépendance fait qu' il faut maîtriser au minimum un socle de produits pour pouvoir prétendre mettre en oeuvre un produit donné. Le meilleur exemple, c' est Hyper-V, il semble simple mais quand on lui ajoute SCVMM 2008, on intègre aussi SCOM 2007. Il faut donc disposer d' un bon socle de compétences pour mettre en oeuvre Hyper-V a moyenne ou grande échelle.

 

Au vue de mes deux posts, on pourrait penser que je ne vais plus assister au techDays. Et bien c' est faux. Certes, on n' a pas forcément le même niveau (l' un est payant, l' autre gratuit) mais cela reste une formidable opportunité pour s' informer sur les technologies Microsoft. Les prochains TechDays sont prévus pour début février 2008, je vous invite à vous y rendre. L' équipe en charge de l' événement travaille déjà d' arrache pied pour proposer le meilleur contenu.

 

J' ai encore beaucoup de contenu mais il faut que je regroupe mes notes (plus de 50 pages), il faut que je regroupe, organise et réfléchisse comment le publier.

 

Bonne lecture

 

Benoit - Simple by Design

Share this post:                                       
Posted 11 November 2008 11:53 AM by BenoitS | 5 comment(s)
Filed under:
Mille excuse bis, repetita

Je ne suis rentré que ce matin de Barcelone donc, j' ai un peu de retard sur le blog sur MDT (Il y en aura encore, car suite au TechEd, il y a des petits changements à apporter). Mais le retard va encore s' accumuler.

 

Grand fan de FPS, je suis dans l' obligatoire de dire que le Gears of War 2, n' est ni plus ni moins qu' une pure tuerie, totalement géniale. J' adhère totalement à la conclusion de jeuxvideo.com :

"Véritable machine de guerre, Gears of War 2 se pose indubitablement comme l'un des titres d'action les plus généreux du moment. Gigantesque défouloir, immense pourvoyeur de tripaille, le soft se fait l'esclave du plus et livre un spectacle à couper le souffle. Beau, intense au point d'en devenir épuisant, le titre d'Epic ne réinvente rien mais procure un immense plaisir au joueur, et c'est là tout ce qu'on désire. Cette note tient également compte d'un mode multijoueur extrêmement complet et soutenu par une ribambelle de bots à la redoutable efficacité. Quelle que soit votre optique, il est impossible de ne pas ressentir un frisson en se plongeant dans le conflit. L'un des softs les plus sauvages de ces dernières années, à consommer sans la moindre modération, si toutefois vous n'avez pas peur des éclaboussures."

 

Donc globalement, il va y avoir beaucoup de retard, rien qu' à cause de la campagne solo!

 

Benoît - Simple By Design

Share this post:                                       
Posted 09 November 2008 04:19 PM by BenoitS | no comments
Filed under:
TechEd 2008 : A quoi cela sert-il?

Cette semaine, c' était mon premier TechEd. A l' approche de l'évenement, il m' est apparu nécessaire de partager pourquoi certains d' entre nous y assister (et pour certains depuis longtemps), est-ce que cela vaut l' investissement.

 

Pourquoi c' est pas en France?

Cette semaine, il y avait environ 4000 personnes à Barcelone, au centre de convention international. Histoire de pouvoir comparer, les TechDays en France drainent 16 000 personnes sur trois jour avec une fréquentation journalière de 8000 personnes. On peut donc dire qu' à coté, c' est nettement plus intimiste. En plus, cet évènement est exclusivement dédié aus IT. Les développeurs ont le leur la semaine prochaine, toujours à Barcelone. En France, c'est trois jours regroupant les deux populations.

 

Qui assiste au Tech-Ed?

Comme dit précédemment, c' est environ 4000 personnes dans le domaine de L' IT qui se réservent une semaine par an de conférences et formations intensives. La France n' est pas le pays le plus représenté, loin de la (environ 80 français). C' est en partie à cause du prix et du fait que ce n' est pas considéré comme de la formation en France.

 

On trouve qui au TechEd :

Des consultants Microsoft Français (Il faut bien se former aussi et Relater l'évènement)

  • Un grand nombre de consultants Microsoft suédois ainsi que la "Microsoft Dutch Connection"
  • Beaucoup de Geek passionnés de technologies (il faut me classer dans cette catégorie, je reconnais que j' étais à DisneyLand)
  • Des représentants du monde universitaire (Français, belges et beaucoup d' autres pays)
  • Des consultants en SSII (majoritairement étrangère, très peu française)
  • Des indépendants  (pour eux, c' est ça la formation)
  • Des clients finaux (si, j' en ai vu)

 

Pourquoi si peu de français?

De mon point de vue, les raisons sont multiples :

  • Premièrement, il y a le coût. Il semble bien qu'en France, dès lors que c' est gratuit, on se précipite (voir l' affluence des Tech-Days en France).
  • Deuxièmement, la barrière de la langue. Oui, toutes les sessions sont en anglais. mais tous les intervenants font l' effort d' être compréhensible. personnellement, je n' ai pas la prétention d' être bilingue et, c' est tout à fait accessible.
  • Troisième raison, le fait que cet événement ne peut en aucun cas être assimilé à de la formation du point de vue français. Pourtant, de mon point de vue cela en est. Quand on sait combien cela coûte, on en profite au maximum depuis l' ouverture à 8H00 à la fermeture à 18H15 tous les soirs
  • On considère que c' est un événement purement marketing. Sur ce point, oui, il y a une part de marketing. Comme on me l' a fait remarqué, Microsoft est à la fois une usine de développement et une usine de marketing qui tourne 24/24, tout autour du monde. Le problème, c' est quand le marketing prend le pas sur la technique. Après, il suffit de faire le tri. Certaines conférences sont purement marketing, d' autres sont purement techniques et enfin d' autres sont de pures moments ou l' intervenant nous fait partager son point de vue sur un sujet précis (Fabrice, Stan, s' il reste de la place pour les Tech-Days, un intervenant comme Jesper JOHANSSON serait un must).

 

Pour y voir quoi?
  • Des session techniques sur tous les produits actuels qui nous intéressent. Personnellement, j' ai plus travaillé la version actuelle (Windows Server 2008) sans oublier ce que sera le futur (Windows Server 2008 R2, PowerShell V2, SCVMM 2008). Pour le présent pas de problème, on sait où on va. On a sous la main des intervenants de qualité qui permettent de faire le point sur l' utilisation des technologies actuelles.
  • Des sessions techniques sur tous les produits à venir qui nous intéressent. Pour le futur, c' est pareil. Windows Server 2008 R2 existe, même si c' est pour fin 2009 début 2010, Microsoft communique beaucoup sur ce sujet ainsi que sur les autres produits à venir. Cette approche très concrète (démonstration, liste des exhaustive des fonctionnalités) permet de se faire une idée de ce que sera le futur, les orientations à prévoir pour mes futurs projets. en plus, cela permettra d' éviter ce qui s' est produit pour Windows VISTA, à savoir un long tunnel sans visibilité jusqu' à la fin, pour découvrir qu' au niveau de son fonctionnement, les applications devaient être adaptées (Antivirus, pare-feu, ...)
  • Des sessions Marketing (donc à éviter, sauf si on veut se reposer). personnellement, j' ai réussi à les esquiver très facilement.
  • Des sessions inoubliables. Certains intervenants sont extérieurs à Microsoft. Ils ne sont donc pas assujettis aux contraintes applicables à tout bon Microsofty (dress-code, langue de bois, argumentaires marketing, ...). Le discours de certains en matière de sécurité devrait être plus largement diffusé. Dans le domaine de la sécurité, la technologie est devenu un business. On a totalement occulté de l' équation l' aspect humain (Fabrice, Stan, je suis sûr que Jesper ferait un malheur aux assises de la sécurité, pour ce qui est de Steve RILEY, les français ne sont pas encore prêt :)).
  • Un laboratoire pour pratiquer les produits pour pratiquer les produits. On disposait de 250 machines (Xeon MP 8Go double écran) tous les jours de 8h00 à 18h15 pour pratiques tous les produits. Par rapport à une simple formation d' une semaine, c' est nettement plus intéressant. pendant cette semaine, j' ai pu travailler plusieurs produits, me faire assister par les expert présents sur place. Une assistance individuelle pour traiter mes besoins. C' est absolument impossible à faire en formation classique surtout sur plusieurs produits, il faut obligatoirement plusieurs semaines pendant lesquelles certains sujets ne m' intéresseront pas. Donc c' est un gain de temps et d' argent.
  • Les responsables chargés du développement des produits. Si vous tomber sur des "Marketing guy", alors passez votre chemin. Dans le cas contraire, il seront ravis de répondre à vos questions.
  • Les experts. Ils sont nombreux. Certains de Microsoft, d' autres extérieurs tel que les MVP sont présents pour répondre à nos questions sur les produits actuels. C' est aussi l' occasion de faire remonter nos besoins (Pourquoi TMG n' intègre toujours pas le protocole ICAP?, Est-Il possible d' utiliser des certificats SAN avec la TS Gateway de Windows Server 2008).

 

Pour y faire quoi d' autre?
  • Rencontrer de futurs clients? Non, ce n' est pas un événement commercial, sauf si on passe sa journée sur les stands partenaires.
  • Voir comment les autres abordent certains sujets
  • Demander le pourquoi du comment aux équipes produits (attention à bien reconnaître les experts techniques des communicants, sinon, la réponse ne passera pas).

 

Ce qu' il faut faire

Le TechEd, c'est dense, le programme de conférence est énorme. Il convient donc de l' organiser en conséquence :

  • Choisir un hôtel à proximité (rappel les labs ouverts à 8H00, passé une certaine heure, ils sont monopolisés). C' est du 4 étoiles, donc pas de risque.
  • Arriver la veille de la conférence pour faire son enregistrement, on évite ainsi la cohue de la journée
  • Repartir le lendemain, on évite la cohue vers l' aéroport (Quand on peut assister à un match du Barsa au Camp Nou, cela ne se refuse pas, Merci Samuel ETO'O pour cette fabuleuse soirée)
  • Faire les labs de 8 à 9H00, il n' y a personne
  • Bien préparer son programme de conférence en évitant les "marketing guy"
  • Remplir les évaluations des conférences, satisfait ou non.
  • Remercier son patron de nous envoyer au TechEd (Merci patron, il sont pas nombreux en France à faire ce type d' investissement)

 

Ce qu' il ne faut pas faire
  • Rechercher un Starbuck Coffee ouvert avant 8H00 du matin
  • Sortir le soir (8H00 le lab, cela devient de plus en plus dur!)
  • passer à la boutique Microsoft (J' ai craqué sur un Hub USB 1 de *** à 15€)
  • Passer à la boutique du Barsa (90€ pour un maillot de Samuel ETO'O, même après ce match d' anthologie, cela fait quand même mal!)

 

Conclusion

Est-ce que cela vaut le coût prohibitif (point de vue typiquement français). Definitively yes. De mon point de vue de consultant en informatique, si mon entreprise avait du me faire monter en compétences sur tous les sujets que j'ai abordé cette semaine, son compte tout de suite en semaines de formations (au moins 3) pendant lesquelles, je ne suis pas productif, les formations sont purement théorique. La j' ai pu pratiquer le produit (Je défie un centre de formation de disposer de l' infrastructure dédiée au labos de formation). Donc d' un point de vue purement financier, oui, c' est rentable, c' est un investissement très rapidement rentable.

 

Voila mon point de vue sur les TechEd. Loin de moi l' idée de dire que les Tech-Days sont nuls (tout au contraire). Il y a peu d' éditeurs qui dépendant autant d' argent pour vulgariser leurs produits, surtout sans exiger de contre partie. Pour rappel, il n' y a qu'en France que les tech-Days sont gratuits! C' est juste différent.

 

J' oubliais, le plus important, j' aurai même du commencer par cela : Merci patron, l' année prochaine, c' est à Berlin!

 

BenoîtS - Simple by Design

Share this post:                                       
Posted 09 November 2008 03:16 PM by BenoitS | no comments
Filed under:
Milles excuses

j' avoue un peu de retard dans mes posts, pour cause de charge de travail en clientèle. J' en ai pas encore fini avec Microsoft Deployment ToolKit que se profile déjà la suite avec Hyper-V est System Center Virtual Mobile Manager 2008.

 

En attendant tout, cela, encore une semaine d' absence pour cause de déplacement au TechEd de Barcelone (Muy bonita Senorita es!). Normalement, je ne joue pas au journaliste mais si les annonces sont intéressantes alors, il y aura quelques posts sur le sujet.

 

Sur ce bon week-end sous la pluie

 

Benoît - Simple by Design.

Share this post:                                       
Posted 01 November 2008 04:14 PM by BenoitS | no comments
Filed under:
MDT : Rapide plongée dans "CustomSettings.ini"

Cela devait bien arriver un jour. A force de rester en surface de MDT, il fallait bien qu' on arrive au fichier "CustomSettings.Ini". Avec ce post, je ne compte pas tout décrire mais montrer ce qu' il est possible de faire pour essayer d' automatiser encore un peu plus le déploiement des systèmes d' exploitation que l' on a traité jusqu' à maintenant.

 

Globalement, le déploiement des systèmes d' exploitation est déjà pas mal automatisé mais, le processus pose toujours les mêmes questions, et nous apportons toujours les mêmes réponses. J' avais déjà traité du cas de la connexion au serveur MDT avec ce post, mais maintenant, il faut poursuivre :

Ouvrir le fichier "\Distribution\Control\CustomSettings.ini" pour insérer les nouveaux paramètres.

 

L' interface de saisie de licence concerne le déploiement de Windows VISTA et Windows Server 2008. Or, les informations sont déjà renseignées dans les séquences de déploiement. La réponse par défaut proposée me convient dans le cadre de mon labo, donc on peut directement cacher l' interface.

DEPLOYW2K82

SKipProductKey=YES

 

Dans le cadre de mon labo, toutes mes machines virtuelles sont déployées dans le cadre d' un groupe de travail. L' intégration au domaine est toujours réalisée manuellement. Donc on peut répondre à la question automatiquement et masquer l' interface.

DEPLOYW2K84

SkipDomainMembership=YES
JOINWORKGROUP=WORKGROUP

 

Pour la sélection du fuseau horaire, c' est la même chose, sauf que la réponse proposée par défaut n' est pas forcément celle dont on a besoin, surtout avec un système d' exploitation en langue anglaise. On peut configurer le fuseau horaire et masquer l' interface ci-dessous :

DEPLOYW2K86

TimeZone=105
TimeZoneName="Romance Standard Time"
SkipTimeZone=YES

Note : Les valeurs proposées sont pour la France, les autres valeurs peuvent être retrouvées dans le dernier écran résumant les options de déploiement.

 

L' interface de capture des données est présentée pour Windows XP et Windows VISTA. Dans le cadre de mon labo, je n' ai jamais de données à récupérer (avec USMT), donc on va configurer la réponse à "Do not capture user data and settings" et masquer l' interface.

DEPLOYVISTA5

SkipUserData=YES
UserDataLocation=NONE

 

L' interface de capture d' images est commune à toutes les séquences de tâches, y compris pour les tâches de création d' images de Windows XP et Windows Server 2003. Or, le fichier "CustomSettings.ini" est commun à toutes les séquences de taches. Pour cette raison, il ne sera pas possible de masquer l' interface. On se limitera donc à la configuration de la réponse par défaut.

DEPLOYW2K88

DoCapture=NO

 

Enfin, la dernière interface que je masque est celle résumant toutes les options retenues pour le déploiement. Dès lors que mes séquences de tâches sont opérationnelles, il n' y a plus besoin de le conserver.

DEPLOYW2K89

SkipSummary=YES

 

A ce stade, on peut sauvegarder le fichier qui ressemble maintenant à :