Windows NT en 5 leçons

Partie 4 : Windows 2000

Eric@netline.be

Il n'y a eu ni Windows NT 1.0, ni 2.0, ni 3.0, il n'y aura pas non plus de NT 5. La prochaine version de Windows NT s'appellera Windows 2000 comme pour mieux conjurer le bug du même nom. Windows 2000 est annoncé pour 1999 et se déclinera dans les versions suivantes

Windows 2000 Professional la version pour ordinateur de bureau destinée à remplacer Windows 98.

Windows 2000 Server , correspondant au NT Server actuel et tournant sur un maximum de deux processeurs

Windows 2000 Advanced Server, une version orientée vers les moyennes entreprises supportant quatre processeurs et la fonction de clustering

Windows 2000 Datacenter Server, une version spéciale "datawarehouse" supportant jusqu'à 16 processeurs

Dans cette quatrième partie de notre présentation de Windows NT, nous nous pencherons donc spécialement sur toutes les nouveautés et améliorations apportées aux couches réseau TCP/IP ainsi qu'à la sécurité Internet ou Intranet. Nous remarquerons que Microsoft a renoncé à essayer de faire adopter ses propres standards propriétaires mais s'applique de plus en plus à adopter les standards Internet les plus récents adoptés par l'Internet Engineering Task Force. C'est le protocole TCP/IP qui s'impose comme protocole réseau par défaut face à IPX/SPX ou NetBEUI. Ce sont maintenant des standards Internet qui sont utilisés pour gérer les domaines NT, la sécurité et l'authentification. La déferlante Internet force Microsoft à adopter une stratégie plus ouverte, à récupérer à son compte les idées adoptées depuis belle lurette par ces Linux et autres FreeBSD qui sont encore les seuls systèmes d'exploitation à grapiller des parts de marché au géant de redmond.

Sécurité

Microsoft a revu de fond en comble la partie sécurité de Windows NT en proposant de nouvelles méthodes d'authentification de l'utilisateur basées sur des protocoles Internet comme Kerberos version 5 ( RFC 1510 ) et Transport Layer Security ( TLS). Un contrôleur de domaine au sens NT du terme devient automatiquement un Kerberos Key Distribution Center

Windows 2000 Server supportera le protocole SSL 3.0 ( Secure Socket Layer ) garantissant une authentification maximale du client en associant un certificat de type clé publique à son compte utilisateur NT.

Windows 2000 contiendra un Public Key Certificate Server permettant à des organisations de produire des certificats X.509 Version 3 pour leurs employés et associés.

Le standard Digest Authentication vient d'être adopté par le World Wide Web Consortium et sera déjà intégré à Windows 2000. Il s'agit d'une nouvelle méthode d'authentification sécurisée et capable de traverser un firewall contrairement à la solution NT Chalenge Response actuelle.

Pour les réseaux virtuels privés ( VPN ou Virtual Private Network ), Windows 2000 proposera rien de moins que trois méthodes d'encryption pour sécuriser la connectivité de filiales via le réseau public Internet. Microsoft continuera à supporter sa norme PPTP ( Point To Point Tunneling Protocol ) tombée en désuétude mais supportera aussi le standard IETF baptisé IPSec pour IP Security. Optionnellement, les utilisateurs pourront aussi choisir une solution L2TP abréviation de Layer Two Tunneling Protocol qui fusionne la solution PPTP de Microsoft et la solution L2F de Cisco

 

 

Web

DAV

Windows 2000 Server est livré avec Internet Information Server 5.0

IIS 5 supporte dès à présent le nouveau standard DAV ou WebDAV. Un groupe de travail de l'IETF ( Internet Engineering Task Force ) est en train de plancher sur WebDAV une série d'extensions au protocole HTTP 1.1 ( Hyper Text Tranfer Protocol ) permettant l'"authoring" distribué de documents HTML. En clair, il s'agit d'une nouvelle possibilité pour une équipe de webdesigners de publier directement des informations sur un site distant via un serveur HTTP.

WebDAV pour Distributed Authoring and Versioning inclut toute une série de commandes concernant

Vous vous doutez bien que si Microsoft soutient de près ce nouveau standard Internet, c'est qu'il tiendra un rôle prépondérant dans la future version 2000 de la suite MS Office. Allez donc voir plus en détail sur

http://www.ietf.org/html.charters/webdav-charter.html

http://www.ietf.org/internet-drafts/draft-ietf-webdav-protocol-09.txt

Extensions FrontPage

IIS 5 contiendra en standard les extensions FrontPage. Il ne sera donc plus nécessaire d'ajouter cette série d'extensions au dessus de l'IIS de base.

CPU Throttling

Une nouvelle gestion des processus va permettre aux fournisseurs de services Internet de déterminer les ressources CPU utilisées par les différents sites Web qu'ils hébergent. Cela permettra de déterminer quels sites utilisent des ressources processeur disproportionnées suite à l'utilisation de scripts ou application CGI mal écrites

HTTP compression et de facturer différemment le client en fonction de cette utilisation excessive ou de limiter le temps CPU accordé à chaque site

Per Web Site Bandwith Throttling

L'administrateur d'un serveur Windows 2000 va pouvoir réguler la bande passante utilisée par chacun des sites Web qu'il abrite

HTTP Compression

A condition d'avoir un navigateur client compatible comme Internet Explorer 5, client et server HTTP vont pouvoir s'échanger des pages HTML comprimées réduisant donc fortement la vitesse de transfert des pages.

SGC

Une extension de SSL, la Server Gated Cryptography, permettra à des institutions financières d'utiliser MS IIS avec des clés d'encryption de 128 bits.

ASP

Microsoft a nettement amélioré la gestion de ses Active Server Pages. Les pages avec extension .ASP mais ne contenant aucun script à exécuter côté serveur seront désormais traitées comme des pages HTML ordinaires. Les pages ASP les plus gourmandes pourront automatiquement débloquer une série de threads supplémentaires pour optimiser leur performance.

NT Server Netshow Services

Netshow Server fera partie intégrante de Windows 2000. Netshow est la solution Microsoft pour la lecture en continu ("streaming") de fichiers multimédias sur Internet et sur les Intranets, et permet ainsi aux fournisseurs de contenus et aux professionnels du Web d'intégrer du son et de la vidéo dans n'importe quelle application ou site Web.
La lecture en continu permet de diffuser du contenu sur le client sous forme de flux continu de données avec un temps d'attente réduit avant le début de la lecture. Grâce à NetShow, les utilisateurs peuvent bénéficier d'une exécution instantanée et ne sont pas frustrés par le délai de téléchargement du contenu.
NetShow Server est l'ensemble de services s'exécutant sous Windows NT , qui vous permettent de monodiffuser et multidiffuser (multicast) des fichiers multimédias vers des ordinateurs client. Il supporte 1400 streams en même temps sur un simple Pentium II 300 Mhz. Son grand frère Netshow Theater Server est capable de supporter des streams de 500 Kbps plein écran en qualité broadcast

Dynamic DNS

Windows NT 5.0 contient une implémentation du protocole Dynamic DNS défini par la RFC 2136. Le standard Dynamic DNS permet tant aux clients qu'aux serveurs d'enregistrer des correspondances entre des noms de domaine et des adresses IP et de les conserver sans intervention manuelle. Les noms de domaine NT des versions 3 et 4 correspondent maintenant aux noms de domaine au sens internet du terme.

Internet Printing Protocol

Au moment d'imprimer un document, vous allez pouvoir, avec Windows 2000, donnez l'adresse URL ( Universal Resource Locator ) d'une imprimante distante et imprimer directement le troisième rappel d'une facture sur l'imprimante de votre client, installer des pilotes d'imprimante à partir d'Internet ou voir le contenu de votre "spooler" d'imprimante à partir d'un navigateur Web.

L'objet de IPP ( Internet Printing Protocol ) développé par l'IETF est de résoudre la localisation, l'adressage, la configuration et la soumission de travaux à des imprimantes de constructeurs différents, qui peuvent se trouver n'importe où sur l'Internet. IPP est indépendant des plateformes matérielles, des systèmes opératoires et des langages de description de page. L'enjeu économique est considérable En effet, on peut penser qu'IPP sera à l'origine de nouveaux services comme, par exemple, l'impression documentaire à la demande pour les particuliers ou les entreprises. Détails sur http://www.ietf.org/html.charters/ipp-charter.html

 

Windows Quality of Service

L'IETF a publié un nouveau standard RSVP ( ReSerVation Protocol cfr RFC 2205) faisant partie d'un effort plus large pour promouvoir une certaine Qualité de Service (QoS) à des applications nécessitant en continu une bande passante donnée. L'arrivé massive du Fast Ethernet et l'émergence du Gigabit Ethernet ont permis le déploiement en Intranet d'applications de video-streaming, real-time audio, video conferencing très gourmandes en bande passante constante et exigeant des temps de réponse réduit. De même, la téléphonie via Internet ou Voice over IP a besoin d'une bande passante importante et de temps de réponse rapide pour offrir une bonne qualité d'écoute. Dans ce cas, Windows 2000 marquera les paquets voice-over-IP d'un marqueur spécial, les rendra prioritaires par rapport à d'autres paquets et les acheminera préférentiellement via des routeurs supportant la norme RSVP

NAT

Nat ou Network Address Translation est encore un protocole adopté par l'IETF dans sa RFC 1631 et retenu par Microsoft pour Windows 2000. Il permet à une entreprise d'utiliser des classes d'adresses différentes pour son réseau LAN et pour son accès WAN. Les adresses IP internes sont invisibles de l'extérieur minimisant de la sorte les risques d'attaque. NAT permet également d'utiliser des adresses IP gratuites et non enregistrées au lieu d'adresses IP officielles qui commencent à manquer. L’Internet Assigned Numbers Authority (IANA) a réservé les adresses suivantes pour les réseaux privés dans la recommandation RFC 1597

10. 0.0.0 à 10.255.255.255 soit 1 adresse de classe A

172. 16.0.0 à 172. 31.255.255 soit 255 adresses de classe B

192.168.0.0 à 192.168.255.255 soit 65536 adresses de classe C

 

 

Services Macintosh

les clients Macintosh peuvent désormais utiliser le protocole TCP/IP pour accéder à un serveur de fichier de type NT Server ( Appletalk File and Print over IP)

Serveur DHCP

Un serveur DHCP ( Dynamic Host Configuration Protocol ) amélioré permet l'intégration avec un serveur DNS, la génération de statistiques sur l'utilisation du serveur et un monitoring permanent

Active Directory Services

Un directory ( annuaire en bon français ) est au sens large une source d'informations sur un objet quelconque. Un bottin téléphonique est un directory tout comme un répertoire du disque dur. Dans un environnement distribué ou réseau, un Directory Service recense toutes les informations existantes relatives à différents objets : serveurs, groupes de travail, domaines, imprimantes, serveur fax, base de données, utilisateurs, ressources partagées, fichiers ou applications. Un Directory Service offre donc une vision plus centralisée de l'information et en garantit une gestion plus aisée. Il renforce la sécurité des données, facilite la distribution et la replication de l'information sur plusieurs ordinateurs du réseau.

Microsoft a baptisé son produit Active Directory Services. Il est de facture assez classique. Son architecture s'inspire fortement du mdèle X.500. A la base, un objet doté d'un nom ( Distinguished Name ou DM par exemple /O=Internet/DC=BE/DC=Best/CN=Users/CN=Eric Lapaille ) et d'attributs est le plus petit élément stockable dans un directory. L'objet se place dans un container c'est-à-dire un objet qui peut contenir d'autres éléments ( comme un répertoire disque contenant des fichiers). Un arbre est chargé de représenter la hiérarchie de ces objets. L'arbre s'intègre dans une Forest ou dans un site.L'Active Directory permet une représentation contigue, linéaire d'une information éparse, répartie sur plusieurs serveurs, chaque application pouvant venir modifier dynamiquement l'arborescence de l'AD. Le modèle de sécurité des Access Control Lists (ACLs) protège tous les objets contenus dans l'Active Directory.Le Directory System Agent (DSA) est le processus qui gère le stockage physique des données et auquel s'adressent les applications désireuses de se connecter au Directory. L'Active Directory Service est étroitement lié au serveur DNS ( Domaine Name Server ), cette base de données distribuée établissant la corrélation entre des adresses IP (Internet Protocol) de type 193.121.193.1 identifiant de manière univoque les ordinateurs d'un réseau TCP/IP ou sur Internet et les noms de domaine de style compmag.com bien plus faciles à mémoriser. Les serveurs AD sont publiés dans le DNS via un nouveau champ du fichier de configuration, le Service Resource Records (SRV RRs) sous la syntaxe suivante : <service>.<protocol>.<domain> comme dans l'exemple ldap.tcp.novell.com. Microsoft adopte pour la circonstance la RFC 2136 (Request For Comments) établissant le standard du Dynamic DNS un nouveau protocole permettant de modifier dynamiquement le contenu d'un serveur DNS. Les protocoles supportés par AD sont le Lightweight Directory Access Protocol (LDAP) dans ses versions 2 et même 3 toujours à l'état de draft, MAPI-RPC la méthode permettant d'accéder à MAPI par des remote procedure call (RPC) et le X.500. Le support X.500 est très partiel puisque ne sont reconnus aucun des wire protocols suivants : DAP - Directory Access Protocol, DSP - Directory System Protocol, DISP - Directory Information Shadowing Protocol ou DOP - Directory Operational Binding Management Protocol.