Stanislas Quastana's blog on TechNet

Déploiement d'Internet Explorer 8.0 dans l'entreprise - partie 3

Utilisation de l’Internet Explorer Administration Kit pour personnaliser et déployer Internet Explorer 8.0 dans l’entreprise.

 
Dans cette troisième partie (les parties 1 et 2 sont visibles ici), nous allons voir comment utiliser IEAK pour créer des distributions d’Internet Explorer 8.0 personnalisées et adaptées à votre Enterprise.

L’IEAK peut être installé sur les systèmes suivants :

- Windows XP
- Windows Vista
- Windows Server 2003
- Windows Server 2008

L’IEAK nécessite comme pré-requis la présence d’Internet Explorer 8.0 sur le poste d’administration.

Dans l’exemple suivant, nous allons installer et utiliser l’IEAK 8.0 sur un poste Windows XP Professionnel

Etape 1 : installation d’Internet Explorer

Une fois Internet Explorer 8.0 installé sur le poste, on passe à l’installation de l’IEAK.

Etape 2 : installation d’Internet Explorer 8.0 Administration Kit

Le téléchargement de l’IEAK 8.0 se fait à l’adresse suivante : http://technet.microsoft.com/fr-fr/ie/bb219517.aspx

Une fois la version choisie télécharger, exécuter le programme d’installation (ieak.msi)

Ici, 3 modes de licence sont disponibles :
- Une pour les FAI
- Une pour les développeurs ou fournisseurs de contenu
- Une dédié aux réseaux d’entreprise

C’est donc ce dernier mode que nous allons utiliser

On précise ici le nom de l’entreprise ou de la division sur laquelle déployer Internet Explorer 8.0

Cliquer ensuite sur Installer

Etape 3 : Utilisation de l’IEAK 8.0

Cliquer sur Assistant Personnalisation d’Internet Explorer 8.0

Sélectionner le répertoire de destination où seront générés les package d’installation d’IE 8.0 personnalisés

Choisir ici la plateforme de destination, c'est-à-dire la version de Windows pour laquelle vous souhaitez créer un package d’installation personnalisé d’IE.

Les plateformes supportées (et disponibles dans l’IEAK) sont les suivantes :

On va faire ici un package pour Windows XP SP2/3 en version 32 bit

Ensuite, on choisi la langue utilisée dans ce package personnalisé d’IE 8.0

On définit quel(les) va(vont) être la(les) méthode(s) de distribution du package

Là commence réellement la partie personnalisation. Il faut sélectionner les options de personnalisation qui vont être utilisées (si c’est votre premier package, le plus simple c’est de tout laisser cocher afin de visualiser toutes les fenêtres de configuration)

L’IEAK va alors se connecter aux serveurs de Microsoft pour télécharger les binaires d’IE 8.0 correspondant à la langue et la plateforme cible choisie.

Cliquer sur Exécuter dans les fenêtres proposées.

Cliquer sur Synchroniser si la version installée sur l’ordinateur est moins récente que celle disponible sur le Web.

La synchronisation peut prendre plusieurs minutes (temps de téléchargement dépendant de votre bande passante vers Internet)

Cliquer sur Exécuter

Quand la version installée est égale à la plus récente disponible sur le Web, il est possible de passer à la suite.

Il est possible de packager IE 8.0 avec des composants additionnels (10 maximum) :
- Compléments au navigateur comme Silverlight, Adobe Flash…
- Des outils ou programme tiers

Dans les options disponibles, il est possible lors de l’installation d’IE 8 de forcer la vérification et l’installation des dernières mises à jour disponibles (qui peuvent être mises sur Microsoft Update après la création du package) ainsi que l’exécution du MSRT (Malicious Software Removal Tool) qui est un outil d’éradication des logiciels malveillants les plus communs.

Ensuite vous pouvez définir comment va se faire l’installation d’IE 8.0 :
- Avec l’assistance / intervention manuelle de l’utilisateur (pas forcément le plus recommandé)
- De manière automatisée mais visible par l’utilisateur
- De manière automatisée mais invisible par l’utilisateur

L’installation complète d’IE 8.0 nécessite le redémarrage de la machine, là encore vous disposez de plusieurs options :
- Demander à l’utilisateur son accord pour redémarrer
- Ne pas redémarrer (implique quand même qu’il faudra un redémarrage pour finaliser l’installation)
- Forcer le redémarrage

Vous pouvez personnaliser certains éléments visuels d’IE 8 :
- Le texte dans la barre de titre
- Les boutons des barres d’outils

Les moteurs de recherche d’IE 8 accessibles par la zone de recherche en haut à droite de l’interface sont personnalisables avec les moteurs de votre choix :
- Moteurs de recherche sur Internet
- Moteurs de recherche disponibles dans l’Intranet

Dans Internet Explorer, il est possible d’avoir plusieurs pages de démarrage qui vont s’ouvrir dans différents onglets.

Ceci est bien entendu également personnalisable via l’IEAK.

Il est également possible de définir l’URL de la page de votre support en ligne (qui est déjà probablement disponible sur votre Intranet)

Les accélérateurs font parties des nouveautés d’Internet Explorer 8.0, l’IEAK permet l’ajout ou la configuration des accélérateurs utilisables dans l’entreprise.

L’ensemble des favoris et flux RSS est également configurable et vous permet de déployer le navigateur avec l’ensemble des URLs utilisées par les employés (sites Intranet, sites institutionnels…). Cela permet également la suppression des favoris proposés par défaut dans Internet Explorer 8.0

Internet Explorer 8.0 propose par défaut un Assistant lors de la première utilisation. Il est possible de désactiver cette phase.

La compatibilité est un point important sur lequel il faut réfléchir avant de déployer un nouveau navigateur. Internet Explorer 8.0 propose l’utilisation de plusieurs moteurs de rendu afin de permettre de conserver un bon fonctionnement avec les applications Web conçues à l’origine pour des versions antérieures.

Si vous n’avez pas testé vos applications Web avec Internet Explorer 8.0 ou si vous avez constaté des problèmes de fonctionnement avec le dernier moteur de rendu, il est possible de forcer l’usage du moteur de rendu d’IE 7.0

Il est également possible de changer la chaine « User Agent » du navigateur pour la personnaliser

Le kit de connexion est utilisé historiquement par les Fournisseurs d’Accès à Internet qui proposaient des kits de connexion avec les paramètres pour se connecter sur leur service. En environnement entreprise, cette partie de la personnalisation est assez peu utilisée.

Il est possible de configuration un navigateur de manière automatisé via un fichier .INS ou une URL de proxy…

Le paramétrage des différents proxies (http, ftp…) est également possible si vous souhaitez forcer l’usage de tel ou tel serveur mandataire dans l’entreprise.

Le paramétrage des zones de sécurité peut parfois être nécessaire pour le bon fonctionnement d’applications Web (utilisant / nécessitant des composants ActiveX ou autre add-ons)

Les paramètres des programmes par défaut utilisés pour les services Internet tels que la messagerie électronique peuvent être importés ou personnalisés

Une belle liste de paramètres supplémentaires à personnaliser est accessible via l’IEAK

2 branches de cette liste peuvent être intéressantes pour les administrateurs dans l’entreprise :
- Paramètres Entreprise
- Restrictions d’entreprise

Parmi les restrictions que je trouve intéressantes : la possibilité de désactiver l’affichage (et l’accès) de certaines fenêtres ou onglet de paramétrage du navigateur

Voilà !! Cet exemple simple de personnalisation. Il suffit de cliquer sur Suivant pour déclencher la génération du package d’installation personnalisée d’Internet Explorer 8 par l’IEAK.

Le package d’installation est désormais prêt à être déployé

Déploiement du package personnalisé dans la prochaine partie !

DirectAccess avec Windows Server 2008 R2 et Windows 7 - la vidéo de la session des Microsoft Days 2009

Voici enfin disponible la vidéo de ma session sur DirectAccess avec Windows 7 et Windows Server 2008 R2 des Microsoft Days 09 qui ont eu lieu à Paris et en Province

La vidéo est visible à l’adresse suivante : http://www.microsoft.com/france/vision/msdays09/Webcast.aspx?EID=bd4657c9-0bd2-460d-9847-1370228f0004

Forefront Threat Management Gateway : la nouvelle passerelle de sécurité - la vidéo de la session des Microsoft Days 2009

Voici enfin disponible la vidéo de ma session sur Forefront TMG des Microsoft Days 09 qui ont eu lieu à Paris et en Province

La vidéo est visible à l’adresse suivante : http://www.microsoft.com/france/vision/msdays09/Webcast.aspx?EID=a183cd5f-fae5-445b-a926-776bcdc8af03

DirectAccess - Utilisation d'un pare-feu personnel tiers sur les postes clients DirectAccess

Dans la majorité des présentations et autres documentations techniques, la configuration de DirectAccess comprend une partie liée à la configuration du pare-feu intégré à Windows 7; pare-feu qui est fortement intégré avec IPsec depuis Windows Vista.

Pour ceux qui voudraient tester DirectAccess avec un pare-feu autre que celui fourni dans Windows 7, je les encourage à lire le document suivant, voire à le transmettre à l’éditeur du pare-feu qu’ils ont choisi afin de valider son fonctionnement et sa possiblité d’usage dans le cadre de DirectAccess.

Téléchargement : Enabling Third Party Firewall DirectAccess Clients

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=49b42391-f924-4692-baa4-218720d3ea7b

AV-Comparative - Antivirus removal test - October 2009 - le moteur de Microsoft est encore bien placé !

Le dernier test des antivirus de av-comparative vient de sortir et les résultats sont plutôt bons pour le moteur AV de Microsoft.

Le rapport complet est téléchargeable à l'adresse suivante :
http://www.av-comparatives.org/images/stories/test/removal/avc_removal_2009.pdf

Donc voilà bonne nouvelle sachant que le moteur antivirus de MSE est commun à l'ensemble de la gamme Forefront.

Microsoft Security Essential est disponible gratuitement via le lien suivant :
http://blogs.technet.com/stanislas/archive/2009/09/29/microsoft-security-essentials-est-disponible-en-t-l-chargement-sur-microsoft-com.aspx

Déploiement d'Internet Explorer 8.0 dans l'entreprise - partie 2

Seconde partie de la série d’articles consacrée à la préparation du déploiement et de la personnalisation d’Internet Explorer 8.0 dans l’entreprise

La première partie est disponible à l’adresse suivante : http://blogs.technet.com/stanislas/archive/2009/10/28/d-ploiement-d-internet-explorer-8-0-dans-l-entreprise-partie-1-introduction.aspx

Dans cet article, je vais décrire la phase de préparation du projet de déploiement et de la personnalisation d’Internet Explorer 8.0

Etape 1 : Identifier et valider les systèmes d’exploitation cibles sur lesquel vous souhaitez déployer Internet Explorer 8.0

Systèmes d'exploitation pris en charge par l’Internet Explorer Administration Kit 8 : avec cette version du produit, vous pouvez personnaliser et installer Internet Explorer 8 sur les systèmes d'exploitation pris en charge suivants :

• Windows Vista x64 et x86
• Windows Vista Service Pack 1 (SP1) x64 et x86
• Windows XP Service Pack 2 (SP2)
• Windows XP Service Pack 3 (SP3)
• Windows XP Professionnel Édition x64
• Windows Server 2008 x64 et x86
• Windows Server 2003 Service Pack 2 (SP2) x64 et x86

Si vous êtes dans le cadre d’une société internationale avec des postes dans divers langages, pensez aussi à référencer les langues des systèmes utilisés.

Etape 2 : Choix de la méthode de déploiement des packages d’installation d’Internet Explorer 8.0

Internet Explorer 8.0 peut être déployé avec les méthodes suivantes :

• Windows Update *
• Windows Server Update Services (WSUS) *
• Microsoft System Center Configuration Manager (SCCM) 2007
• Microsoft Systems Management Server (SMS) 2003
• Un répertoire dans un partage réseau *
• CD, stockage amovible *
• Un lien Internet dans un courrier électronique ou une page Web *
• Via les stratégies de groupe Active Directory (en utilisant un package d'installation .msi)
• Toute solution tierce de télédistribution

Note : certaines méthodes (celles marquées avec un astérisque) nécessitent une intervention manuelle de l'utilisateur. Dans un cadre de déploiement d’entreprise, il est préférable d’éviter toute intervention de l’utilisateur final dans le processus ;-)

L'utilisation d'une solution de télédistribution telle que SCCM ou WSUS permettent de proposer une installation complétement automatisée et silencieuse.

Etape 3 : autres considérations

—> Identifier les problèmes de compatibilité possibles.

Pour cela, il est conseillé de testé vos applications Web et vos sites web avec le Microsoft Application Comptatibility Toolkit 5.5 disponible à l'adresse suivante :
http://www.microsoft.com/downloads/details.aspx?FamilyID=24da89e9-b581-47b0-b45e-492dd6da2971&displaylang=en

—> Mettre à jour une version antérieure d'Internet Explorer

L'installation d'Internet Explorer 8.0 remplace les versions antérieures et récupère les paramètres existants (paramètres du proxy, favoris, cookies). Cependant, il est possible que certains composants additionnels (IE Add-ons) nécessitent une réinstallation dans une version compatible avec Internet Explorer 8.0.

Pour identifier les composants additionnels à Internet Explorer, il est possible de faire l'inventaire et des rapports sur votre parc avec SCCM ou SMS en remontant les informations IE Helpers Objects.

Note : il est possible de packager de nouveaux add-ons ou des versions compatibles avec IE 8 en utilisant l’IEAK 8.0 (nous le verrons plus tard dans cette série d’articles.

Etape 4 : identifier les aspects personnalisation et administration du navigateur

La personnalisation du navigateur peut être faite lors de la préparation du package à déployer. Parmi les éléments que vous pouvez choisir de pré-définir pour vos utilisateurs :

- La page de support de votre entreprise
- La page de démarrage des utilisateurs
- Les fournisseurs de recherche
- Les liens dans le menu des favoris
- Les liens dans le répertoire Liens
- Les composants additionnels (par exemple pour intégrer les ActiveX de vos applications)
- ...

Note : avec Internet Explorer 8.0, il est possible de définir plusieurs pages d'accueil (celles-ci seront chargées dans des onglets différents)

La personnalisation est aussi une étape dans lequel vous pouvez choisir, en temps qu'administrateur, de verrouiller voire désactiver certaines fonctions du navigateur (par exemple, empêcher l’utilisateur de changer le paramétrage des zones de sécurité ou les paramètres de proxy)

Le prochain article de cette série consacrée au déploiement d’Internet Explorer 8.0 dans l’entreprise sera un peu plus technique avec la création en mode pas à pas d’un package Internet Explorer 8.0 avec l’IEAK 8.0.

Client RDP 7.0 disponible pour Windows XP SP3, Windows Vista SP1 et plus !!

Le Client RDP 7.0 est enfin disponible pour Windows XP SP3, Windows Vista SP1 et SP2 !!!

Les nouveautés apportées par cette version du client Terminal Server sont les suivantes :

Nouvelles fonctionnalités de la mise à jour du client 7.0 de RDC

La Mise à jour du client 7.0 RDC contient les nouvelles fonctionnalités suivantes.

Authentification basée sur les formulaires Web Single Sign-on (SSO) et Web

Bureau (RD) Web Access distant utilise désormais l'authentification basée sur les formulaires pour améliorer l'expérience de l'utilisateur. Web SSO permet de s'assurer qu'après un utilisateur est connecté, sans autres mots de passe sont requis pour la passerelle RD, serveurs de l'hôte de session RD et RemoteApp programmes.

Pour des raisons de sécurité, l'authentification unique Web requiert des applications distantes pour être signé à l'aide d'un certificat à partir d'un émetteur approuvé.

Accès aux postes de travail virtuels personnels à l'aide de RD connexion Broker

Les utilisateurs peuvent accéder aux ordinateurs de bureau virtuels personnels lorsqu'ils utilisent le nouvel hôte de virtualisation de bureau à distance dans Windows Server 2008 R2. Bureaux personnels est attribués aux utilisateurs de manière univoque et maintenance l'état dans le temps.

Accès à des pools de bureau virtuels à l'aide de RD connexion Broker

Les utilisateurs peuvent accéder aux pools de bureau virtuels lorsqu'ils utilisent le nouvel hôte de virtualisation de bureau à distance dans Windows Server 2008 R2. Postes de travail en file d'attente sont partagés entre plusieurs utilisateurs, et toutes les modifications apportées par un utilisateur sont généralement annulées lorsque l'utilisateur se déconnecte.

Statut & déconnecter l'icône de la barre d'état système

Une icône de barre d'état système unique permet aux utilisateurs de voir toutes leurs connexions à distance. L'utilisateur peut déconnecter tout ou des connexions individuelles qui utilisent cette icône. L'icône s'affiche uniquement lors de l'ouverture de que connexions RDP qui sont associées avec un RemoteApp et la connexion au bureau d'alimentation.

RD mise en œuvre de la redirection de périphérique de passerelle

Dans Windows Server 2008, il était possible pour Microsoft Remote de bureau clients remplacer les contrôles de la redirection de périphérique de passerelle. Dans Windows Server 2008 R2, paramètres de redirection de périphérique sont définies dans la passerelle RD et peuvent être configurés pour ne pas être substituée.

Messages système et d'ouverture de session de passerelle RD

Messages système et d'ouverture de session peuvent être ajoutées à la passerelle RD et affichées à l'utilisateur de bureau à distance. Messages système peuvent être utilisés pour informer les utilisateurs des problèmes de maintenance de serveur tels que les arrêts et redémarrages. Ouverture de session messages peuvent être utilisés pour afficher une mention d'ouverture de session pour les utilisateurs avant qu'ils accéder aux ressources distantes.

L'autorisation de passerelle RD arrière-plan & authentification

Demandes d'authentification et d'autorisation d'arrière-plan sont effectuées après qu'un délai d'expiration de session configuré est atteinte. Sessions pour les utilisateurs dont les informations de propriété n'a pas changé ne sont pas affectées et les demandes d'authentification et d'autorisation sont envoyées en arrière-plan.

RD passerelle inactive & délais d'attente de session

Configurables délais d'inactivité et de session avec la passerelle RD fournissent mieux contrôler les utilisateurs qui se connectent par l'intermédiaire de passerelle RD. Un délai d'inactivité permet à l'utilisateur de récupérer des ressources qui sont utilisés par les sessions utilisateur inactives sans affecter les données ou de la session de l'utilisateur. Cela permet de libérer des ressources sur le serveur de passerelle RD.

Correction de NAP avec la passerelle RD

Protection NAP permet de gérer des clients distants en les mettant à jour avec les dernières mises à jour de logiciels et paramètres. Cela permet de conserver des clients distants en conformité avec les stratégies de sécurité du réseau.

Redirection du lecteur Windows Media

Redirection de lecteur Windows Media permet contenu hébergé dans le lecteur Windows Media pour être redirigé vers le client pour le décodage sur les ordinateurs des utilisateurs ’. Cela améliore la qualité de la vidéo et s'assure qu'audio et vidéo sont toujours synchronisés. Ce fonctionne pour le lecteur Windows Media complet et le lecteur Windows Media contrôles hébergés dans les pages Web.

Audio bidirectionnelle

Vous pouvez rediriger les périphériques d'enregistrement audio telles que les microphones sur l'ordinateur client. Cela est idéal pour les applications telles que la reconnaissance vocale de Windows 7 et les applications qui l'enregistrement audio.

Prise en charge de plusieurs moniteurs

Dans Windows Vista et Windows Server 2008, Services Terminal Server pris en charge uniquement le moniteur s'étendant sur. Les Services Bureau à distance maintenant inclut la prise en charge de plusieurs moniteurs moniteurs jusqu'à 16 et fonctionne pour les programmes de bureau à distance et RemoteApp.

Remarque Pour les connexions avec prise en charge de plusieurs moniteurs activés, prise en charge AeroGlass n'est actuellement pas pris en charge et sera désactivée.

Téléchargement à l’adresse suivante : http://support.microsoft.com/kb/969084

Déploiement d'Internet Explorer 8.0 dans l'entreprise - partie 1 : introduction

Avec la durée de vie assez longue de Windows XP dans les Systèmes d’Information, le déploiement modéré de Windows Vista et l’arrivée en fanfare de Windows 7, il devient difficile pour un administrateur Système de s’y retrouver entre les différentes versions d’Internet Explorer. Si on ajoute à cela éventuellement la présence d’autres navigateurs (Firefox, Safari…), la gestion de ces applications peut se transformer en véritable cauchemar entre le maintient à jour en terme de correctifs de sécurité, le support de l’éditeur, la compatibilité avec les applications Intranet voire Extranet de l’entreprise…

Petit rappel sur les OS et les navigateurs associés :

• Windows XP : Internet Explorer 6.0
• Windows XP SP2 : Internet Explorer 6.0 avec des changements en terme de sécurité dans IE 6.0 (je le considère donc comme une version distincte)
• Windows Vista : Internet Explorer 7.0
• Windows 7 : Internet Explorer 8.0

Bref, il est temps à un moment de rationnaliser un peu tout cela et d’homogénéiser le parc des navigateurs. Ceci en conservant à l’esprit les points suivants car on parle ici de navigateurs à usage professionnel sur des postes d’entreprise :

• Le navigateur doit être supporté par son éditeur, que ce soit pour les bugs potentiels rencontrés ou pour la mise à disposition de correctifs de sécurité
• Le navigateur doit être si possible à la même version sur l’ensemble des systèmes clients (voire serveur), histoire de limiter la taille de la matrice de tests de compatibilité pour les applications Web
• L’administrateur doit pouvoir (re)configurer l’ensemble des paramètres de manière centralisée (je dirais idéalement par les mécanismes standards fournis avec l’Active Directory)
• L’administrateur doit disposer des outils permettant le packaging du navigateur afin de facilité son déploiement. Et ce quelque soit la langue cible ou le système cible

Bonne nouvelle pour les administrateurs : Internet Explorer Administration Kit (IEAK) 8.0 contient tous les outils pour la configuration et le déploiement d’Internet Explorer 8.0 au sein des Systèmes d’Information ;-)

Depuis Internet Explorer 4, l’IEAK permet :

• D'établir un contrôle des versions à travers votre organisation
• De distribuer et gérer de façon centralisée les installations de navigateur
• De configurer des profils de connexion automatique pour les ordinateurs (ça c’est plutôt une fonctionnalité pour les FAIs)
• De personnaliser pratiquement tous les aspects d'Internet Explorer, y compris les fonctionnalités, la sécurité, les paramètres de communications et d'autres éléments importants (composants additionnels…).

Les outils suivants sont présents dans l'IEAK 8.0 :

• La Boîte à outils IEAK qui contient des outils, des programmes et des exemples de fichiers utiles (notamment des fichiers bitmap et un exemple d'inscription).
• L’Assistant Personnalisation d'Internet Explorer qui vous guide lors du processus de création de packages de navigateurs personnalisés.
• Windows Installer (MSI). IEAK 8 prend en charge un wrapper MSI pour vos packages Internet Explorer 8 personnalisés afin de rendre possible un déploiement d'entreprise par le biais d'Active Directory ou une solution de télédistribution (supportant ce format)
• Un fichier d’aide sur l’utilisation d'Internet Explorer Administration Kit (et oui, la documentation en ligne fait parfois défaut)

Pour ceux qui ne connaissent pas encore les nouveautés apportées par Internet Explorer 8.0 pour l’entreprise, je vous encourage à voir la petite vidéo de vue d’ensemble d’IE 8.0 pour l’entreprise à l’adresse suivante : http://blogs.technet.com/stanislas/archive/2009/09/15/vue-d-ensemble-d-internet-explorer-8-pour-l-entreprise-en-moins-de-22-min.aspx

La vidéo est aussi téléchargeable pour votre mobile ou lecteur multimédia portable sur : http://www.tektekpocket.com/post/2009/09/22/Internet-Explorer-8-pour-le28099entreprise-en-moins-de-21-minutes.aspx

Voilà, maintenant que vous connaissez l’existence de l’IEAK, on va pouvoir passer à la partie planification et déploiement d’Internet Explorer 8.0 dans l’entreprise.

Et ça ce sera l’objet d’un prochain billet :-)

DirectAccess : NAT64/DNS64 et Forefront UAG - partie 2

Ceci est la seconde partie de l’article “DirectAccess : NAT64/DNS64 et Forefront UAG” et va être dédié à l’explication du Fonctionnement de NAT64/DNS64 dans Forefront UAG/DirectAccess

La première partie est visible à l’adresse suivante :
http://blogs.technet.com/stanislas/archive/2009/10/22/directaccess-nat64-dns64-et-forefront-uag-partie-1.aspx

Comme nous l’avons vu précédemment dans la première partie de cet article, NAT64/DNS64 permettent à des systèmes en IPv6 de dialoguer avec des systèmes qui ne sont eux configurés que pour IPv4.

Dans le cas de DirectAccess, l’ensemble des communications effectuées entre le client DirectAccess sur Internet et le Système d’Information se fait en IPv6 (natif ou via des mécanismes de transition tels que Teredo, 6to4, IP-HTTPS ou ISATAP.). Du coup, cela pose un problème si vous avez des systèmes qui ne disposent que d’IPv4 (par choix de paramétrage ou par absence de la couche IPv6).

Forefront UAG complète les mécanismes de transition fournis en standard dans Windows Server 2008 R2 et Windows 7 et utilisés par les clients et les serveurs. Forefront UAG apporte ainsi  le mécanisme NAT64/DNS64 afin d'assurer le bon fonctionnement de DirectAccess même avec un Intranet quasi exclusivement  IPv4 (ce qui est le cas de la très grande majorité de vos réseaux d’entreprise).

Voyons maintenant sur un exemple simple comment cela fonctionne.

Ma plateforme de tests DirectAccess avec Forefront UAG est la suivante :

Nous allons voir comment Forefront UAG permet au client DirectAccess d’accéder au serveur IPv4 WIN2003R2 sur le réseau de l’entreprise.

Tout d’abord il est bon de noter que les résolutions de noms DNS demandées par un client DirectAccess sont résolues sous la forme d’une adresse IPv6.

Par exemple : si l’utilisateur du poste Win7DA demande au serveur DNS la résolution du nom DC01R2, la réponse renvoyée par le serveur DNS est une adresse IPv6 (enregistrement AAAA)

La machine WinDA communiquera en IPv6 avec l’adresse renvoyée par le DNS.

Au passage, on remarque bien ici que l’adresse IPv6 est une adresse de transition ISATAP (construite à partir de l’adresse IPv4 : 10.0.0.11)

Pour l’instant c’est plutôt facile le client DirectAccess parle en IPv6 avec la passerelle, le client DirectAccess parle en IPv6 avec DC01R2. Vient maintenant le cas de la machine WIN2003R2.stan-demo.net qui est une machine Windows Server 2003 R2 avec uniquement une configuration en IPv4.

Comment établir la connexion entre le client DirectAccess et cette machine alors que les 2 ne parlent pas la même langue réseau ?

Dans le cas d’une architecture DirectAccess classique (c’est-à-dire basée uniquement sur Windows Server 2008 R2 en tant que passerelle DirectAccess et sans Forefront UAG),  le DNS ne pourra pas répondre à la requête de résolution du client car aucun enregistrement AAAA n’existe dans la base DNS pour cette machine car elle n’a pas d’IPv6.
Pas de réponse avec une adresse IPv6 de la part du serveur DNS = pas de communication possible entre le poste client DirectAccess et un serveur en IPv4 uniquement.

C’est là qu’intervient Forefront UAG avec le NAT64/DNS64

Reprenons le cas du poste client DirectAccess WIN7DA qui souhaite accéder au serveur WIN2003R2

Etape 1 : le client demande la résolution pour le nom WIN2003R2.stan-demo.net et interroge le serveur DNS affecté par la NRPT pour le domaine stan-demo.net

Note : pour plus d'informations complémentaires sur la NRPT cf. l'article suivant : http://blogs.technet.com/stanislas/archive/2009/07/03/directaccess-mythes-r-alit-partie-3-la-r-solution-de-noms-dns.aspx

Ici : Premier changement entre une architecture DirectAccess classique et une architecture DirectAccess Forefront UAG : Lors de la configuration de la passerelle et lors de la définition de la Name Resolution Policy Table, UAG remplace pour tous les noms de domaines internes déclarés les adresses des serveurs DNS internes par une de ses adresses publiques IPv6.

Dans cet exemple « stan-demo.net » est le suffixe du domaine AD de la plateforme, l’adresse IPv6 (2002:836B:3::836B:3)  est l’adresse du DNS64 de Forefront UAG

Note : cette adresse IPv6 est au format 6to4. Elle est construite à partir de l’adresse IPv4 publique 131.107.0.3 de Forefront UAG selon la structure suivante :

Donc nous avons le client WINDA qui souhaite la résolution du nom WIN2003.stan-demo.net

Sa requête DNS est envoyée à l’adresse IP définie dans la NRPT (donc au serveur Forefront UAG et plus particulièrement à son module DNS64).

Etape 2 : le module DNS64 du serveur Forefront UAG va envoyer 2 requêtes DNS au(x) serveur(s) DNS internes. La première requête est pour obtenir l’adresse IPv6 (enregistrement AAAA), la seconde est pour obtenir l’adresse IPv4 (enregistrement A).

Etape 3 : La réponse du serveur DNS interne et son traitement par Forefront UAG

Là, la seule réponse que peut renvoyer le serveur DNS interne, c’est une réponse pour l’enregistrement A (IPv4) et rien pour l’IPv6.

Le serveur Forefront UAG sait alors qu’il va falloir faire une translation de protocoles IPv6/IPv4 avec le NAT64. DNS64 va générer une adresse IPv6 à partir de :
- L’adresse IPv4 renvoyée par le serveur
- Le préfixe NAT64 configuré sur le serveur Forefront UAG

Note : si le serveur DNS renvoie 2 réponses (une IPv4 pour l’enregistrement A et une IPv6 pour l’enregistrement AAAA), alors le serveur Forefront UAG ne transmet que l’adresse IPv6 au client DirectAccess.

Etape 4 : le client reçoit comme réponse à sa requête AAAA pour Win2003R2.stan-demo.net, l’adresse IPv6 générée par Forefront UAG et associée dans la table du NAT64 à l’adresse IPv4 interne 10.0.0.30

L’adresse IPv6 envoyée au client DirectAccess est la suivante : 2002:836b:2:8001::a00:1e:

Ce qui est donc une adresse IPv6 6to4 constituée comme suit :

Etape 5 : le client envoie ses paquets réseaux au serveur Win2003R2 (avec l’adresse IPv6 renvoyée par le DNS64)

Etape 6 : Le NAT64 transforme et renvoie les paquets en IPv4 vers WIN2003R2

Pour cela, il s’appuie sur l’adresse IPv6 de destination (qui je le rappelle a été construite avec un préfixe IPv6 et l’adresse IPv4 du serveur WIN2003) des paquets envoyés par le client DirectAccess WIN7DA

Etape 7 : Le serveur Win2003R2 répond au serveur Forefront UAG en IPv4.

Etape 8 : Le NAT64 transforme et renvoie les paquets en IPv6 vers WIN7DA

C’est tout ! Voilà, j’espère que cet article vous aura éclairé sur le NAT64/DNS64 disponible avec Forefront UAG :-)

2 articles intéressants sur Forefront TMG

Trouvés sur le blog de l’équipe produit de Forefront TMG, deux articles forts intéressants.

Le premier concerne le filtre SIP de Forefront TMG :

Forefront TMG is SIP-aware
http://blogs.technet.com/isablog/archive/2009/10/21/forefront-tmg-is-sip-aware.aspx

Le second concerne les problèmes potentiels (et l’explication associée) liés à l’utilisation de l’inspection SSL qui est une des nouveautés de Forefront TMG :

Common Problems while Implementing HTTPS Inspection on Forefront TMG 2010 RC
http://blogs.technet.com/isablog/archive/2009/10/19/common-problems-while-implementing-https-inspection-on-forefront-tmg-2010-rc.aspx

Du bon contenu à lire si vous être concerné par ces sujets.

DirectAccess : NAT64/DNS64 et Forefront UAG - partie 1

Je pense que toute personne ayant commencé à se renseigner sur DirectAccess sera d’accord avec moi : c’est une fonctionnalité de Windows 7 Entreprise ou Intégrale couplé à Windows Server 2008 R2 vraiment intéressante pour 2 raisons :

• Du côté de l’utilisateur, l’usage du poste de travail de l’entreprise est exactement le même à l’extérieur de l’entreprise : pas de client VPN à utiliser, l’accès aux applications se fait de la même façon que lorsque le poste est connecté sur le LAN de l’entreprise.
• Du côté de l’administration système / réseaux, le poste de l’utilisateur est accessible depuis le système d’information à partir du moment où la machine nomade dispose d’une connectivité à Internet (au travers d’une box ADSL, en 3G…). Ce poste nomade redevient donc la propriété logique des équipes IT (qui ont perdu depuis longtemps le contrôle physique de ces PC nomades)

Au-delà de ce premier constat très positif sur DirectAccess, certaines personnes et équipes IT / réseaux peuvent être inquiétées par certains des prérequis imposés dans une infrastructure dont un en particulier : la présence d’IPv6 .

Je ne vais pas vous refaire dans cet article une nouvelle explication du  « pourquoi IPv6 n’est pas vraiment un prérequis problématique », pour cela je vous encourage à lire un billet précédent :

• DirectAccess : mythes & réalité - partie 1 : IPv6
  http://blogs.technet.com/stanislas/archive/2009/06/08/directaccess-mythes-r-alit-partie-1-ipv6.aspx
  

Ce billet est en fait un complément au billet cité ci-dessus afin d’ajouter et expliquer comment Forefront UAG peut encore plus simplifier la mise en oeuvre de DirectAccess dans des environnements avec des serveurs ne parlant pas IPv6.

Reprenons rapidement les différentes méthodes de transitions existantes dans Windows Server 2008 / 2008 R2 / Windows 7 dans un petit schéma récapitulatif :

Ici, il demeure un cas qui n’est pas traité : le serveur  ou le poste client qui ne dispose pas d’une couche IPv6, c’est-à-dire :
- Tous les systèmes antérieurs à Windows Server 2008 : 2003 R2, 2003, 2000, NT, certains Unix..
- Tous les systèmes clients antérieurs à Windows Vista : Windows XP, 2000, NT…

C’est ici qu’interviennent d’autres méthodes de transitions du mode IPv6 vers le monde IPv4.

Première option : NAT-PT

Comme le montre le schéma, un équipement NAT-PT permet de transformer des flux IPv6 en flux IPv4 (parfois l’inverse)
Néanmoins, il subsiste certains points noirs :

• NAT-PT n’est pas un standard (RFC 2766 resté en draft), déprécié (RFC 4966)
• L’IETF travaille sur un remplaçant (cf. NAT64/DNS4 encore en draft, voir plus bas)
• Seulement quelques implémentations de NAT-PT
• Cisco
• Juniper (cf. http://www.juniper.net/us/en/local/pdf/validation-reports/eval-ipv6-migration.pdf)
• …
• Montée en charge pouvant être difficile
• Nécessite DNS-ALG (DNS Application Layer Gateway)
• Pas de sécurité de bout en bout
• Impossible de faire de l’IPsec de bout en bout, ce qui limite les scénarios possible de mise en œuvre de DirectAccess
  Bref c’est plutôt à réservé à des sociétés ayant déjà des équipements réseaux intégrant ces mécanismes et ayant des ingénieurs réseaux compétents sur le paramétrage IPv4/IPv6.

Seconde option : NAT64/DNS64

• Remplaçant de NAT-PT
• Permet de faire la transition d'IPv6 vers IPv4 pour les réseaux où il n’y a pas d’IPv6
• RFC en draft actuellement
• NAT64/DNS64: Network Address and Protocol Translation from IPv6 Clients to IPv4 Servers : http://tools.ietf.org/html/draft-bagnulo-behave-nat64-00
• NAT64/DNS64: Network Address and Protocol Translation from IPv6 Clients to IPv4 Servers : http://tools.ietf.org/html/draft-bagnulo-behave-nat64-00
• Redundancy and Load Balance Mechanism of NAT64 : http://tools.ietf.org/html/draft-xu-behave-nat64-standby-00
• Referrals Across a NAT64 draft-wing-behave-nat64-referrals-00 : http://tools.ietf.org/html/draft-wing-behave-nat64-referrals-00

Forefront UAG (Unified Access Gateway) intègre les mécanismes NAT64/DNS64 de transition d’IPv6 vers IPv4 et complète ainsi les mécanismes déjà présents dans Windows Server 2008 R2.

Forefront UAG est  la solution Microsoft permettant tous les types d’accès distants (VPN, reverse proxy, VPN standards, VPN SSL…) au système d’Informations dont DirectAccess. DirectAccess qui va être enrichi par Forefront UAG sur différents points tels que la haute disponibilité, la montée en charge (scale-out) et les mécanismes de transition IPv4/IPv6

Plus d’informations sur Forefront UAG en vidéo (durée : 15 min)

• Version streamée avec Silverlight Streaming : http://blogs.technet.com/stanislas/archive/2009/09/23/vue-d-ensemble-de-forefront-uag-en-moins-de-15-minutes.aspx .
• Versions téléchargeables pour téléphones portables et autres lecteurs mobiles : http://www.tektekpocket.com/post/2009/09/23/Vue-de28099ensemble-de-Forefront-Unified-Access-Gateway-en-moins-de-15-minutes.aspx

Alors du coup, comment fonctionne NAT64/DNS64 dans Forefront UAG ?

Et bien cela, nous allons le découvrir dans la seconde partie de cet article publiée très prochainement ;-)

Plein de nouveaux thèmes sponsorisés pour Windows 7

On est le 22 octobre, Windows 7 est officiellement disponible pour le grand public et c’est l’occasion pour Microsoft de mettre à disposition sur son site plein de nouveaux thèmes (certes très sponsorisés) très sympas.

Alors là j’hésite : thème Bing ou Ferrari ou Porche ou Ducati…. :-)

Les Thèmes sont disponibles en téléchargement sur : http://windows.microsoft.com/en-US/windows/downloads/personalize

e-book "Introducing Windows Server 2008 R2" disponible gratuitement en téléchargement

Bonne nouvelle, le livre de Microsoft Press “Introducing Windows Server 2008 R2” est disponible en version électronique gratuitement en téléchargement.

Au programme :

Chapter 1, “What’s New in Windows Server R2” Provides a brief overview of all the new features and capabilities of Windows Server 2008 R2.

Chapter 2, “Installation and Configuration: Adding R2 to Your World” Covers minimum system requirements, basic installation and configuration of R2, and what is involved in adding an R2 server to an existing Windows Server network. Configuration of the Windows Server Core installation option, added in Windows Server 2008, is covered, along with the steps required to add a Windows Server 2008 R2 domain controller to an existing Windows Server network.

Chapter 3, “Hyper-V: Scaling and Migrating Virtual Machines” Covers the new Hyper-V features of Windows Server 2008 R2, including dynamic storage management and Quick Migration of clustered virtual machines (VMs). Covers creation and management of virtual machines using the Hyper-V Manager console, Windows PowerShell, and the Failover Cluster Manager console and discusses the features of System Center Virtual Machine Manager 2008 R2.

Chapter 4, “Remote Desktop Services and VDI: Centralizing Desktop and Application Management” Covers Remote Desktop Services (the new name for Terminal Services) and the enhancements of Windows Server 2008 R2, including Virtual Desktop Infrastructure (VDI), which uses the new RD Virtualization Host capability of R2 to provide desktop virtualization. R2 also includes an all-new Remote Desktop Services provider for Windows PowerShell.

Chapter 5, “Active Directory: Improving and Automating Identity and Access” Covers the new features of Active Directory (AD), including an AD Recycle Bin, a new set of Active Directory Windows PowerShell cmdlets, and improvements in daily AD administration.

Chapter 6, “The File Services Role” Covers the new File Services features, including BranchCache, Distributed File System–ReadOnly (DFS-R), and the File Classification Infrastructure (FCI).

Chapter 7, “IIS 7.5: Improving the Web Application Platform” Covers the features of the new version of Internet Information Services (IIS), including the new Windows PowerShell management features.

Chapter 8, “DirectAccess and Network Policy Server” Covers the Network Policy Server (NPS) and the new DirectAccess feature that allows Windows 7 computers to be transparently connected to internal network resources from anywhere without requiring a virtual private network (VPN) connection.

Chapter 9, “Other Features and Enhancements” Covers the enhanced version of Windows Server Backup included in R2, including the Windows PowerShell commands for backing up. Also covered is the new BitLocker To Go capability, which provides an important new protection for removable volumes such as backup disks.

Téléchargement au format PDF : http://download.microsoft.com/download/5/C/0/5C0BD0AB-040D-4C56-A60B-661001012DDA/Windows_Server_2008_R2_e-book.pdf

Téléchargement au format XPS : http://download.microsoft.com/download/5/C/0/5C0BD0AB-040D-4C56-A60B-661001012DDA/Windows_Server_2008_R2_e-book.xps

Microsoft Security Essentials : une semaine de statistiques

Vu sur le blog du Microsoft Malware Protection Center : des statistiques de la première semaine d’utilisation de Microsoft Security Essential.

En quelques chiffres :

• 1.5 millions de téléchargements
• MSE est disponible en 8 langues pour dix-neuf pays
• 4 millions de détections sur 535752 machines distinctes soitt une moyenne de 8 codes malveillants par machine !

Plein de graphiques détaillant les pays les plus infectés, les types de menaces détectées…

Tous les graphes et beaucoup plus d’informations dans l’article sur le Blog du Microsoft Malware Protection Center :

http://blogs.technet.com/mmpc/archive/2009/10/15/microsoft-security-essentials-week-one.aspx

Forefront TMG disponible en version Release Candidate

Forefront TMG Release Candidate est tout juste disponible en téléchargement.

C’est à l’adresse suivante : http://www.microsoft.com/DOWNLOADS/details.aspx?FamilyID=e05aecbc-d0eb-4e0f-a5db-8f236995bccd&displaylang=en

Pour ceux qui ne savent pas à quoi sert Forefront TMG, j’ai réalisé une vidéo de vue d’ensemble de Forefront TMG (durée : 12 minutes) à l’adresse suivante :

http://blogs.technet.com/stanislas/archive/2009/09/22/vue-d-ensemble-de-forefront-tmg-en-moins-de-12-minutes.aspx