- Windows Server 2016 : Windows 10 en mode Serveur
- Nano Server, Windows Server en version minimale
- Hyper-V : Production Checkpoints et nouveau format
- Active Directory : services de domaine et ADFS
- Remote Desktop et services MultiPoint
- Stockage : Storage Replicas et Spaces Direct
- Web Application Proxy et IIS 10
- Les nouveautés en matière de réseau
- Windows PowerShell 5.0, Windows Antimalware, Soft Restart
Windows Server 2016 : Windows 10 en mode Serveur
Si Microsoft travaille d’arrache-pied pour que Windows 10 soit finalisé d’ici le 29 juillet prochain, date officielle de son lancement, l’éditeur n’en oublie pas pour autant la version serveur de son système d’exploitation. Deux versions Technical Preview de Windows Server 2016 ont ainsi fait leur apparition ces derniers mois afin de permettre aux bêta-testeurs et aux administrateurs de découvrir les nouveautés et améliorations par rapport à l’actuel Windows Server 2012 R2, commercialisé depuis octobre 2013, et de tester les nouvelles fonctionnalités de l’OS. Et une chose est sure, Microsoft n’a pas chômé : la Technical Preview 2 de Windows Server 2016 donne déjà un très bon aperçu de ce que devrait être la prochaine version serveur de Windows.
Exclusivement disponible en version 64-bit, Windows Server 2016 Technical Preview 2 demande la même configuration minimale que Windows Server 2012 R2 pour fonctionner, à savoir un processeur 64 bits cadencé à 1,4 GHz, 512 Mo de mémoire vive (sauf en environnement virtualisé, ou un minimum de 800 Mo de mémoire allouée est nécessaire durant l’installation) et 32 Go d’espace de stockage. Microsoft recommande bien entendu de ne pas utiliser ces versions de test dans un environnement de production, étant donné que de nombreux bugs sont encore présents. L’éditeur a d’ailleurs retardé son lancement officiel à 2016, alors qu’il devait initialement être disponible courant de l’année 2015, tout comme Windows 10.
Nano Server, micro-services, conteneurs Dockers et autres joyeusetés : voici un tour d’horizon des nouveautés et améliorations attendues dans Windows Server 2016, ou « Windows Server vNext ».
Nano Server, Windows Server en version minimale
En plus des déploiements classiques, la Technical Preview 2 de Windows Server 2016 dévoile « Windows Nano Server », une installation minimale du système d’exploitation. Seuls les composants principaux et indispensables sont installés comme la gestion des pilotes, l’hyperviseur Hyper-V, les services de stockage, réseau ou encore de cluster. L’idée derrière l’architecture de type « micro-services » de Windows Nano est d’utiliser des « briques » – par exemple des conteneurs ou des applications .NET – afin de concevoir un système minimal parfaitement adapté aux besoins de l’utilisateur.
Extrêmement léger et optimisé pour les applications « Born-in-the-Cloud », Nano Server ne possède en revanche pas de console d’administration locale : la configuration et l’administration s’effectue à distance, via PowerShell Desired State Configuration (DSC) et des appels WMI (Windows Management Interface). Nano Server peut en outre être déployé sur un hôte physique ou virtuel, ou en tant que conteneur.
Nano Server Installer, Reverse Forwarders
Nano Server apporte également quelques nouveautés pour les développeurs. Les composants MSI (Microsoft Windows Installer) ne sont pas supportés, et l’installation de logiciels passe à l’heure actuelle par des scripts PowerShell personnalisés et/ou xcopy. A terme, le composant Nano Server Installer autorisera l’installation (en ligne et hors ligne), la désinstallation et l’inventaire d’applications, ainsi que la configuration, le démarrage et l’arrêt de services.
Des paquets optionnels « Reverse Forwarders » pourront en outre être intégrés dans une image Nano Server afin de supporter les appels à des API classiques dans le monde Windows (ole32.dll, kernel32.dll, gdi32.dll, shell32.dll, psapi.dll…). Grâce à ce système, des logiciels, applications et composants comme MySQL, OpenSSL, Java (OpenJDK), Ruby (2.1.5), PHP, Nginx, Python, Node.js ou encore Chef fonctionnent d’ores et déjà avec Nano Server.
Moins de bulletins de sécurité, moins de ressources matérielles
Ce mécanisme de micro-services et d’installation minimale permet à Windows Nano Server d’être concerné par moins de bulletins de sécurité que les versions Core et Full de Windows Server, et par conséquent de nécessiter moins de redémarrages. Microsoft indique par exemple que Nano Server n’a été concerné que par deux bulletins « critiques » en 2014, contre 23 pour la version complète de Windows Server 2016.
Le nombre de pilotes chargés, de services démarrés et même de ports ouverts dans Nano Server par rapport à Windows Server Core permet en outre de diminuer l’utilisation des ressources matérielles. On passe, toujours selon Microsoft, de 26 à 21 processus, et de 139 Mo de mémoire utilisée par le noyau à seulement 61 Mo. Nano Server est par ailleurs annoncé comme 20 fois plus léger que l’installation classique, avec une empreinte disque de seulement 400 Mo. Même la durée d’installation est réduite, passant de 300 à 40 secondes. Server Core restera toutefois une option possible d’installation, afin de garantir une compatibilité avec les applications d’entreprise existantes.
Hyper-V : Production Checkpoints et nouveau format
Toujours intégré dans Windows Server 2016, l’hyperviseur Hyper-V bénéficie lui aussi de nouveautés et d’améliorations de ses fonctionnalités. Il est par exemple possible d’ajouter un nœud tournant sous Windows Server 2016 à un cluster Hyper-V fonctionnant sur des nœuds Windows Server 2012 R2. Le cluster Hyper-V continuera de fonctionner avec les fonctionnalités propres à Windows Server 2012 R2 (VM version 5) jusqu’à ce que tous les nœuds aient été mis à jour vers Server 2016 et que le niveau de fonctionnalités du cluster Hyper-V ait été lui aussi mis à jour (VM version 6). La migration de machines virtuelles entre nœuds Server 2012 R2 et Server 2016 reste bien entendu possible, tant que celles-ci n’ont pas été mise à jour en version 6.
Nouveaux fichiers de configuration, Production Checkpoints
Windows Server 2016 introduit un nouveau format de fichier de configuration des machines virtuelles : .VMCX pour les données de configuration de la VM, et .VMRS pour les données d’état de la VM. Ce nouveau format, au format binaire, est plus robuste en cas de problème au niveau du système de stockage.
Les « Production Checkpoints » font leur apparition : contrairement aux checkpoints classiques (ou snapshots) qui capturent via l’hôte Hyper-V l’état, les données et la configuration matérielle d’une machine virtuelle en fonctionnement, ce nouveau système utilise la sauvegarde interne de l’OS client qui tourne dans la VM (Volume Snapshot Service dans le cas de Windows). Cette technologie est activée par défaut pour les nouvelles machines virtuelles, mais les checkpoints classiques restent eux aussi disponibles.
Conteneurs Docker
A terme, Hyper-V prendra en charge les conteneurs Docker. Ceux-ci permettent d’empaqueter une application avec ses dépendances dans un conteneur virtuel, améliorant la portabilité et la flexibilité de l’ensemble. Contrairement à une machine virtuelle « classique », un conteneur Docker ne fournit pas de système d’exploitation séparé mais s’appuie sur les ressources – isolées et virtualisées – du système d’exploitation hôte.
Hyper-V Network Virtualization
Introduit avec Windows Server 2012 R2, HVN permet de virtualiser les réseaux clients au dessus d’une infrastructure réseau physique partagée. Avec Windows Server 2016, HVN introduit trois nouveautés : les switchs programmables Hyper-V, l’encapsulation VXLAN (RFC 7348) et l’interopérabilité avec l’équilibrage de charge logiciel.
Améliorations diverses
Microsoft a par ailleurs amélioré différents aspects et fonctionnalités de son hyperviseur. Le manager Hyper-V de Windows Server 2016 prend en charge tous les « anciens » nœuds fonctionnant sous Windows Server 2012 (R2), Windows 8 et Windows 8.1. Les services d’intégration pour les systèmes clients sont désormais directement proposés via Windows Update (pour les systèmes Windows bien entendu), ce qui explique au passage l’absence de l’image vmguest.iso dans les fichiers d’installation.
Le démarrage sécurisé de Linux est pris en charge, de même que le branchement/débranchement d’adaptateurs réseau et l’ajustement de mémoire vive « à chaud », même lorsque la fonctionnalité « Dynamic Memory » n’est pas activée. Enfin, Hyper-V prend en charge la technologie InstantGo (ou Connected Standby) : le système client est en veille profonde, mais les applications ouvertes (messagerie instantanée par exemple) continuent de se mettre à jour.
Active Directory : services de domaine et ADFS
Les services Active Directory sont eux aussi dépoussiérés et améliorés avec Windows Server 2016. Orientation « cloud » oblige, les services de domaine Active Directory (AD DS) de Windows Server 2016 bénéficient de nouvelles fonctionnalités facilitant le déploiement d’environnements « cloud » ou hybrides (lorsque seuls certaines applications et certains services sont hébergés en ligne). La sécurité d’AD DS a également été améliorée.
Gestion d’accès privilégiés (PAM), administrateurs JIT
Configuré via Microsoft Identity Manager (MIM), la nouvelle gestion d’accès privilégié (PAM) permet de diminuer les problèmes de sécurité touchant les environnements Active Directory, en particulier les attaques de type « spear phishing » et « Pass the Hash » (l’attaquant utilise le hash d’un mot de passe pour s’authentifier plutôt que le mot de passe en clair). Une forêt Active Directory isolée (ou « Bastion »), alimentée par MIM mais avec une relation de confiance avec une forêt existante, apporte aux comptes privilégiés un nouvel environnement Active Directory libre de toute activité malveillante.
Un utilisateur peut en outre être ajouté à un groupe pour une durée limité (« Just-in-Time »), c’est à dire uniquement le temps nécessaire à la réalisation d’une tâche d’administration. Des possibilités de monitoring ont également été ajoutées afin de facilement identifier qui a demandé un accès, quel type d’accès a été demandé et quelques tâches ont été réalisées.
Microsoft Passport, Active Directory Federation
Grâce à Microsoft Passport, l’utilisateur peut s’authentifier sans avoir besoin d’un mot de passe classique, mais grâce à des informations biométriques, un code PIN ou un lecteur de cartes, le tout associé à un certificat ou une paire de clés asymétriques. Les fournisseurs d’identité (IDPs) valident alors l’utilisateur en associant la clé publique au gestionnaire d’identifiants et fournissent les informations de connexion via One Time Password (OTP) ou tout autre mécanisme de notification.
Enfin, en plus des technologies d’authentification unique via le web (c’est-à-dire basée sur un navigateur, un service de rôle Proxy et des services de rôle Agent Web) et de fédération des identités simplifiées et sécurisées déjà disponibles avec les versions précédentes de Windows Server, les services Active Directory Federation bénéficient dans Windows Server 2016 de nouvelles fonctionnalités permettant d’authentifier les utilisateurs stockés dans les annuaires LDAP (Lightweight Directory Access Protocol).
Remote Desktop et services MultiPoint
Windows Server 2016 apporte un certain nombre de nouveautés aux services Remote Desktop, en particulier au niveau du composant RemoteFX qui supporte désormais les API OpenGL 4.4 et OpenCL 1.1. RemoteFX bénéficie également d’une quantité plus importante de mémoire vidéo configurable, et d’améliorations des performances et de la compatibilité avec les applications. L’expérience utilisateur dans un environnement Windows VDI (Virtualization Desktop Infrastructure) en est ainsi améliorée.
Personal Session Desktops et services Multipoints
Un nouveau modèle de déploiement RDS fait en outre son apparition avec Windows Server 2016 : Personal Session Desktops ou Server Based Personal Desktop. Combinant les deux modèles de déploiement proposés par Windows Server 2012 R2 (Session-Based Desktop et Virtual machine-Based Desktop, c’est-à-dire VDI), ce nouveau modèle Server Based Personal Desktop propose à chaque utilisateur d’ouvrir sur le serveur une session Remote Desktop dédiée. En pratique, cela permet d’utiliser une solution VDI dans Azure, le Cloud de Microsoft.
Un nouveau rôle « MultiPoint Services » fait également son apparition avec Windows Server 2016. Celui-ci permet d’utiliser les fonctionnalités du serveur Windows MultiPoint dans le déploiement de Windows Server. En pratique, les services MultiPoint permettent à plusieurs utilisateurs de partager un même ordinateur, chacun avec leur propre « expérience utilisateur » : quand un utilisateur se connecte sur un ordinateur partagé, il verra son propre bureau, et non un bureau partagé standard.
Stockage : Storage Replicas et Spaces Direct
Les fonctionnalités de stockage de données sont l’un des gros chantiers de Windows Server 2016, et de nombreuses nouvelles fonctionnalités font leur apparition.
Storage Spaces Direct
Storage Spaces Direct permet la mise en place de systèmes de stockage à haute disponibilité en utilisant les supports de stockages locaux, ce qui était auparavant impossible. Le déploiement et la gestion de systèmes de stockage configurés de manière logicielle sont simplifiés, et les périphériques SATA et NVMe peuvent désormais être utilisés dans ce type de configuration, réduisant au passage son coût.
Contrairement à Storage Spaces qui nécessite un ensemble SAS JOBD partagé entre les différents nœuds de stockage, Storage Spaces Direct peut travailler avec des périphériques de stockage internes à chaque nœud de stockage, ou bien avec des ensembles JBOD directement connectés à un seul nœud de stockage.
Storage Replica, Deduplication
La fonctionnalité Storage Replica autorise la réplication synchrone au niveau block de données entre serveurs ou clusters de serveurs. La réplication synchrone permet la reprise après sinistre en mettant en miroir les données entre différents sites physiques, assurant l’absence de perte de données au niveau du système de fichiers.
Les fonctionnalités de dé-duplication de données ont-elles aussi été améliorées, avec en particulier le support des tâches de sauvegarde virtualisées. Les performances ont été revues à la hausse (multi-threading et utilisation de plusieurs processeurs par volume) afin d’améliorer les déploiements à grande échelle. La dé-duplication peut en outre fonctionner dans un cluster avec des nœuds fonctionnant sous Windows Server 2012 R2 et Windows Server 2016, permettant au passage de ne pas arrêter le cluster lors de la mise à jour (« Cluster Operating System Rolling Upgrade »).
Storage QoS
Il est désormais possible de définir des politiques de qualité de service au niveau du stockage, et de surveiller les performances de bout en bout des services de stockage de données. Les performances du sous-système de stockage sont alors automatiquement ajustées afin de répondre aux politiques définies en fonction de la charge de travail.
Web Application Proxy et IIS 10
De nouvelles fonctionnalités font leur apparition dans Web Application Proxy, et certaines fonctionnalités déjà présentes auparavant son améliorées ou complétées. Pour rappel, Web Application Proxy fournit aux utilisateurs finaux situés en dehors de l’entreprise un accès sélectif aux applications qui s’exécutent sur des serveurs internes.
Il est par exemple désormais possible d’utiliser un méta-caractère « joker » (« * ») dans l’adresse externe SharePoint afin de publier de multiples applications SharePoint à partir d’un domaine spécifique. Web Application Proxy supporte également les redirections HTTP vers HTTPS ou la propagation de l’adresse IP du client jusqu’aux applications métiers d’arrière-plan. La pré-authentification HTTP Basic est enfin proposée pour les applications non compatibles avec le proxy de Services AD FS (Active Directory Federation Services). C’est typiquement le cas des clients ActiveSync. Windows Server 2016 intègre par ailleurs le serveur IIS 10, qui ajoute le support du protocole HTTP/2.
Les nouveautés en matière de réseau
Les services réseau sont l’autre gros chantier de Windows Serveur 2016, avec un nombre important de nouveautés, changements et d’améliorations, en particulier du côté des services DHCP, DNS, Windows Server Gateway ou encore IPAM.
DHCP et support du NAP
Déconseillé depuis Windows Server 2012 R2, le support du NAP (Network Access Protection, anciennement Network Access Quarantine Control) est retiré du rôle Serveur DHCP de Windows Serveur 2016. En pratique, lorsqu’un client envoie une déclaration d’intégrité (SoH) avec une demande de renouvellement d’adresse IP, le serveur DHCP l’ignorera.
Client DNS
Comme c’est le cas avec Windows 10, le client DNS de Windows Server 2016 améliore le support des configurations avec plusieurs interfaces Ethernet. Ainsi, lorsqu’un serveur DNS configuré sur une interface spécifique est utilisé pour résoudre une requête, le client DNS se lie à cette interface avant d’envoyer la requête DNS, ce qui permet aux applications d’optimiser leurs communications avec le client DNS via cette même interface. Ce mécanisme ne fonctionne en revanche pas si le serveur DNS utilisé est spécifié via une stratégie de groupe à partir de la table de stratégie de résolution de noms (NRPT).
Generic Rounting Encapsulation
Windows Server Gateway supporte désormais le protocole GRE (Generic Routing Encapsulation). Ce dernier permet d’encapsuler dans un tunnel n’importe quel paquet de la couche réseau dans un autre paquet de la couche réseau, que ce soit en IPv4 ou IPv6. De nombreux scenarii d’utilisation sont possibles, de l’accès à un réseau physique loué à partir d’un réseau virtuel loué à l’utilisation d’un lien à haute vitesse (MPLS par exemple) en passant par l’accès à des ressources partagées.
Gestion des adresses IP
Le service de gestion des adresses IP (IPAM) propose des capacités de surveillance et d’administration largement personnalisables, en particulier au niveau des services DHCP et (reverse) DNS.
Windows PowerShell 5.0, Windows Antimalware, Soft Restart
Clef de voute de l’administration de Windows server 2016, en particulier de Windows Nano Server, PowerShell passe en version 5.0. Il est au passage possible d’installer PowerShell 5.0 sur Windows Server 2012 R2, Windows 8.1 Enterprise et Windows 8.1 Pro.
Avec PowerShell 5.0, il devient possible d’utiliser des classes, de la syntaxe formelle et de la sémantique que l’on trouve dans d’autres langages de programmation orientés objet. Des mots clés comme Class ou Enum ont ainsi été ajoutés. Cette nouvelle version de PowerShell introduit également un nouveau flux structuré d’informations permettant de transférer des données structurées entre un script et l’environnement hôte. De nombreux nouveaux paramètres, variables et cmdlet font également leur apparition.
Windows Server Antimalware
Windows Server 2016 est désormais livré avec Windows Server Antimalware, le système de protection contre les malwares de Microsoft. Si le service est activé par défaut, l’interface graphique doit en revanche être manuellement installée via l’ajout de rôles et fonctionnalités, ou via le cmdlet Install-WindowsFeature.
Soft Restart
Enfin, Windows Server 2016 bénéficie d’une nouvelle fonctionnalité baptisée « Soft Restart » : le processus de démarrage est accéléré en sautant l’étape d’initialisation du matériel.
En résumé, en tant que digne successeur de Windows Server 2012 R2, Windows Server 2016 apporte un certain nombre d’innovations intéressantes. Et on espère que d’autres nouveautés et améliorations seront dévoilées par Microsoft d’ici son lancement, en 2016 !