Windows NT en 5 leçons
Windows NT en 5 leçons
Partie 4 : Windows 2000
Il n'y a eu ni Windows NT 1.0, ni 2.0, ni 3.0, il n'y aura pas non plus de NT 5. La prochaine version de
Windows NT s'appellera Windows 2000 comme pour mieux conjurer le bug du même nom. Windows
2000 est annoncé pour 1999 et se déclinera dans les versions suivantes
Windows 2000 Professional la version pour ordinateur de bureau destinée à remplacer Windows 98.
Windows 2000 Server , correspondant au NT Server actuel et tournant sur un maximum de deux
processeurs
Windows 2000 Advanced Server, une version orientée vers les moyennes entreprises supportant quatre
processeurs et la fonction de clustering
Windows 2000 Datacenter Server, une version spéciale "datawarehouse" supportant jusqu'à 16
processeurs
Dans cette quatrième partie de notre présentation de Windows NT, nous nous pencherons donc spécialement sur
toutes les nouveautés et améliorations apportées aux couches réseau TCP/IP ainsi qu'à la sécurité Internet ou
Intranet. Nous remarquerons que Microsoft a renoncé à essayer de faire adopter ses propres standards
propriétaires mais s'applique de plus en plus à adopter les standards Internet les plus récents adoptés par
l'Internet Engineering Task Force. C'est le protocole TCP/IP qui s'impose comme protocole réseau par défaut
face à IPX/SPX ou NetBEUI. Ce sont maintenant des standards Internet qui sont utilisés pour gérer les domaines
NT, la sécurité et l'authentification. La déferlante Internet force Microsoft à adopter une stratégie plus ouverte, à
récupérer à son compte les idées adoptées depuis belle lurette par ces Linux et autres FreeBSD qui sont encore
les seuls systèmes d'exploitation à grapiller des parts de marché au géant de redmond.
Sécurité
Microsoft a revu de fond en comble la partie sécurité de Windows NT en proposant de nouvelles méthodes
d'authentification de l'utilisateur basées sur des protocoles Internet comme Kerberos version 5 ( RFC 1510 ) et
Transport Layer Security ( TLS). Un contrôleur de domaine au sens NT du terme devient automatiquement un
Kerberos Key Distribution Center
Windows 2000 Server supportera le protocole SSL 3.0 ( Secure Socket Layer ) garantissant une authentification
maximale du client en associant un certificat de type clé publique à son compte utilisateur NT.
Windows 2000 contiendra un Public Key Certificate Server permettant à des organisations de produire des
certificats X.509 Version 3 pour leurs employés et associés.
!!! image15.jpg
Le standard Digest Authentication vient d'être adopté par le World Wide Web Consortium et sera déjà intégré à
Windows 2000. Il s'agit d'une nouvelle méthode d'authentification sécurisée et capable de traverser un firewall
contrairement à la solution NT Chalenge Response actuelle.
!!! image16.jpg
Pour les réseaux virtuels privés ( VPN ou Virtual Private Network ), Windows 2000 proposera rien de moins que
trois méthodes d'encryption pour sécuriser la connectivité de filiales via le réseau public Internet. Microsoft
continuera à supporter sa norme PPTP ( Point To Point Tunneling Protocol ) tombée en désuétude mais
supportera aussi le standard IETF baptisé IPSec pour IP Security. Optionnellement, les utilisateurs pourront aussi
choisir une solution L2TP abréviation de Layer Two Tunneling Protocol qui fusionne la solution PPTP de
Microsoft et la solution L2F de Cisco
Web
!!! image2.jpg
DAV
Windows 2000 Server est livré avec Internet Information Server 5.0
IIS 5 supporte dès à présent le nouveau standard DAV ou WebDAV. Un groupe de travail de l'IETF ( Internet
Engineering Task Force ) est en train de plancher sur WebDAV une série d'extensions au protocole HTTP 1.1 (
Hyper Text Tranfer Protocol ) permettant l'"authoring" distribué de documents HTML. En clair, il s'agit d'une
nouvelle possibilité pour une équipe de webdesigners de publier directement des informations sur un site distant
via un serveur HTTP.
WebDAV pour Distributed Authoring and Versioning inclut toute une série de commandes concernant
- les propriétés d'un document : possibilité de créer ou d'obtenir des informations sur des pages Web telles
l'auteur, la date de création etc…
- les collections de documents : la possibilité de créer des ensembles de documents héritant des mêmes
propriétés
- le locking : la possibilité de travailler à plusieurs sur des documents en fusionnant des modifications
apportées par différents auteurs
- Namespace Operations: la possibilité de copier ou déplacer des documents sur un site Web
Vous vous doutez bien que si Microsoft soutient de près ce nouveau standard Internet, c'est qu'il tiendra un rôle
prépondérant dans la future version 2000 de la suite MS Office. Allez donc voir plus en détail sur
http://www.ietf.org/html.charters/webdav-charter.html
http://www.ietf.org/internet-drafts/draft-ietf-webdav-protocol-09.txt
Extensions FrontPage
IIS 5 contiendra en standard les extensions FrontPage. Il ne sera donc plus nécessaire d'ajouter cette série
d'extensions au dessus de l'IIS de base.
CPU Throttling
!!! image1.jpg
Une nouvelle gestion des processus va permettre aux fournisseurs de services Internet de déterminer les
ressources CPU utilisées par les différents sites Web qu'ils hébergent. Cela permettra de déterminer quels sites
utilisent des ressources processeur disproportionnées suite à l'utilisation de scripts ou application CGI mal écrites
HTTP compression et de facturer différemment le client en fonction de cette utilisation excessive ou de limiter le
temps CPU accordé à chaque site
Per Web Site Bandwith Throttling
L'administrateur d'un serveur Windows 2000 va pouvoir réguler la bande passante utilisée par chacun des sites
Web qu'il abrite
HTTP Compression
A condition d'avoir un navigateur client compatible comme Internet Explorer 5, client et server HTTP vont
pouvoir s'échanger des pages HTML comprimées réduisant donc fortement la vitesse de transfert des pages.
SGC
Une extension de SSL, la Server Gated Cryptography, permettra à des institutions financières d'utiliser MS IIS
avec des clés d'encryption de 128 bits.
ASP
Microsoft a nettement amélioré la gestion de ses Active Server Pages. Les pages avec extension .ASP mais ne
contenant aucun script à exécuter côté serveur seront désormais traitées comme des pages HTML ordinaires. Les
pages ASP les plus gourmandes pourront automatiquement débloquer une série de threads supplémentaires pour
optimiser leur performance.
NT Server Netshow Services
Netshow Server fera partie intégrante de Windows 2000. Netshow est la solution Microsoft pour la lecture en
continu ("streaming") de fichiers multimédias sur Internet et sur les Intranets, et permet ainsi aux fournisseurs de
contenus et aux professionnels du Web d'intégrer du son et de la vidéo dans n'importe quelle application ou site
Web.
La lecture en continu permet de diffuser du contenu sur le client sous forme de flux continu de données avec un
temps d'attente réduit avant le début de la lecture. Grâce à NetShow, les utilisateurs peuvent bénéficier d'une
exécution instantanée et ne sont pas frustrés par le délai de téléchargement du contenu.
NetShow Server est l'ensemble de services s'exécutant sous Windows NT , qui vous permettent de monodiffuser
et multidiffuser (multicast) des fichiers multimédias vers des ordinateurs client. Il supporte 1400 streams en
même temps sur un simple Pentium II 300 Mhz. Son grand frère Netshow Theater Server est capable de
supporter des streams de 500 Kbps plein écran en qualité broadcast
Dynamic DNS
Windows NT 5.0 contient une implémentation du protocole Dynamic DNS défini par la RFC 2136. Le standard
Dynamic DNS permet tant aux clients qu'aux serveurs d'enregistrer des correspondances entre des noms de
domaine et des adresses IP et de les conserver sans intervention manuelle. Les noms de domaine NT des versions
3 et 4 correspondent maintenant aux noms de domaine au sens internet du terme.
Internet Printing Protocol
Au moment d'imprimer un document, vous allez pouvoir, avec Windows 2000, donnez l'adresse URL (
Universal Resource Locator ) d'une imprimante distante et imprimer directement le troisième rappel d'une
facture sur l'imprimante de votre client, installer des pilotes d'imprimante à partir d'Internet ou voir le contenu de
votre "spooler" d'imprimante à partir d'un navigateur Web.
L'objet de IPP ( Internet Printing Protocol ) développé par l'IETF est de résoudre la localisation, l'adressage, la
configuration et la soumission de travaux à des imprimantes de constructeurs différents, qui peuvent se trouver
n'importe où sur l'Internet. IPP est indépendant des plateformes matérielles, des systèmes opératoires et des
langages de description de page. L'enjeu économique est considérable En effet, on peut penser qu'IPP sera à
l'origine de nouveaux services comme, par exemple, l'impression documentaire à la demande pour les
particuliers ou les entreprises. Détails sur http://www.ietf.org/html.charters/ipp-charter.html
Windows Quality of Service
L'IETF a publié un nouveau standard RSVP ( ReSerVation Protocol cfr RFC 2205) faisant partie d'un effort plus
large pour promouvoir une certaine Qualité de Service (QoS) à des applications nécessitant en continu une bande
passante donnée. L'arrivé massive du Fast Ethernet et l'émergence du Gigabit Ethernet ont permis le déploiement
en Intranet d'applications de video-streaming, real-time audio, video conferencing très gourmandes en bande
passante constante et exigeant des temps de réponse réduit. De même, la téléphonie via Internet ou Voice over IP
a besoin d'une bande passante importante et de temps de réponse rapide pour offrir une bonne qualité d'écoute.
Dans ce cas, Windows 2000 marquera les paquets voice-over-IP d'un marqueur spécial, les rendra prioritaires par
rapport à d'autres paquets et les acheminera préférentiellement via des routeurs supportant la norme RSVP
NAT
Nat ou Network Address Translation est encore un protocole adopté par l'IETF dans sa RFC 1631 et retenu par
Microsoft pour Windows 2000. Il permet à une entreprise d'utiliser des classes d'adresses différentes pour son
réseau LAN et pour son accès WAN. Les adresses IP internes sont invisibles de l'extérieur minimisant de la sorte
les risques d'attaque. NAT permet également d'utiliser des adresses IP gratuites et non enregistrées au lieu
d'adresses IP officielles qui commencent à manquer. L’Internet Assigned Numbers Authority (IANA) a réservé
les adresses suivantes pour les réseaux privés dans la recommandation RFC 1597
10. 0.0.0 à 10.255.255.255 soit 1 adresse de classe A
172. 16.0.0 à 172. 31.255.255 soit 255 adresses de classe B
192.168.0.0 à 192.168.255.255 soit 65536 adresses de classe C
Services Macintosh
les clients Macintosh peuvent désormais utiliser le protocole TCP/IP pour accéder à un serveur de fichier de type
NT Server ( Appletalk File and Print over IP)
Serveur DHCP
Un serveur DHCP ( Dynamic Host Configuration Protocol ) amélioré permet l'intégration avec un serveur DNS,
la génération de statistiques sur l'utilisation du serveur et un monitoring permanent
Active Directory Services
!!! image13.gif
Un directory ( annuaire en bon français ) est au sens large une source d'informations sur un objet quelconque. Un
bottin téléphonique est un directory tout comme un répertoire du disque dur. Dans un environnement distribué ou
réseau, un Directory Service recense toutes les informations existantes relatives à différents objets : serveurs,
groupes de travail, domaines, imprimantes, serveur fax, base de données, utilisateurs, ressources partagées,
fichiers ou applications. Un Directory Service offre donc une vision plus centralisée de l'information et en
garantit une gestion plus aisée. Il renforce la sécurité des données, facilite la distribution et la replication de
l'information sur plusieurs ordinateurs du réseau.
Microsoft a baptisé son produit Active Directory Services. Il est de facture assez classique. Son architecture
s'inspire fortement du mdèle X.500. A la base, un objet doté d'un nom ( Distinguished Name ou DM par exemple
/O=Internet/DC=BE/DC=Best/CN=Users/CN=Eric Lapaille ) et d'attributs est le plus petit élément stockable
dans un directory. L'objet se place dans un container c'est-à-dire un objet qui peut contenir d'autres éléments (
comme un répertoire disque contenant des fichiers). Un arbre est chargé de représenter la hiérarchie de ces
objets. L'arbre s'intègre dans une Forest ou dans un site.L'Active Directory permet une représentation contigue,
linéaire d'une information éparse, répartie sur plusieurs serveurs, chaque application pouvant venir modifier
dynamiquement l'arborescence de l'AD. Le modèle de sécurité des Access Control Lists (ACLs) protège tous les
objets contenus dans l'Active Directory.Le Directory System Agent (DSA) est le processus qui gère le stockage
physique des données et auquel s'adressent les applications désireuses de se connecter au Directory. L'Active
Directory Service est étroitement lié au serveur DNS ( Domaine Name Server ), cette base de données distribuée
établissant la corrélation entre des adresses IP (Internet Protocol) de type 193.121.193.1 identifiant de manière
univoque les ordinateurs d'un réseau TCP/IP ou sur Internet et les noms de domaine de style compmag.com bien
plus faciles à mémoriser. Les serveurs AD sont publiés dans le DNS via un nouveau champ du fichier de
configuration, le Service Resource Records (SRV RRs) sous la syntaxe suivante :
<service>.<protocol>.<domain> comme dans l'exemple ldap.tcp.novell.com. Microsoft adopte pour la
circonstance la RFC 2136 (Request For Comments) établissant le standard du Dynamic DNS un nouveau
protocole permettant de modifier dynamiquement le contenu d'un serveur DNS. Les protocoles supportés par AD
sont le Lightweight Directory Access Protocol (LDAP) dans ses versions 2 et même 3 toujours à l'état de draft,
MAPI-RPC la méthode permettant d'accéder à MAPI par des remote procedure call (RPC) et le X.500. Le
support X.500 est très partiel puisque ne sont reconnus aucun des wire protocols suivants : DAP - Directory
Access Protocol, DSP - Directory System Protocol, DISP - Directory Information Shadowing Protocol ou DOP -
Directory Operational Binding Management Protocol.
1
/
4
100%
