Fin de support Windows Serveur 2003: évoluer vers un serveur plus moderne?

Attention, arrêt du support Windows Server2003 le 15/07/15.


Fin des patchs & correctifs de sécurité. Danger! Le scénario catastrophe : un empoisonnement DNS et plus aucun utilisateur ne peut se connecter aux stations de travail et travailler !

A partir de Windows Server 2008R2, une nouvelle extension du protocole DNS, DNSSEC apparait : les serveurs DNS sont ainsi protégés contre l’empoisonnement du cache DNS. (Authentification du client et du serveur DNS sur la zone. )
Cette sécurité n’est pas implémentée dans Windows 2003 serveur.


Que risquez-vous après le 15/07/2015 avec l’arrêt des patchs de sécurité?

Un exploit, une pollution DNS qui se caractérise par le blocage total de votre infrastructure (Active Directory) un empêchement des stations de travail à accéder à internet, etc.
Vous ne souhaitez pas courir ce risque? Faites en sorte de prévoir au plus vite le remplacement de vos serveurs Windows2003 par des versions supérieures (2008 ou idéalement 2012R2). Consultingit peut vous aider et vous apporter l'expertise dont vous avez besoin.

Voici le mini guide de migration de ConsultingIT qui résume les grandes lignes de la migration. Comme "la connaissance s’accroît quand on la partage", n"hésitez pas à le transférer à vos collègues IT.

Il y a 10 ans, Windows 2003, il n’y avait pas de smartphones, de WindowsPhones… Windows 2003 serveur est très anciens à l’échelle de l’évolution et de l’histoire de l’informatique.

Ce que ConsultingIT a constaté:

Un grand nombre d'entreprises ont encore des vieux serveurs Windows 2003



Quelques uns sont contrôleurs de domaines Active Directory (colonne vertébrale des infrastructures Windows), d'autres serveurs de fichiers en 2003/2003R2, ou sur Nas.
, et serveurs applicatifs…

Quel est le niveau fonctionnel de leur domaine ? De 2000 à 2008R2. Majoritairement 2008 ou 2008R2 : tous les DCs qui fonctionnent dans le même mode.
Assez peu encore en 2012, 2012R2. C'est peut-être l'occasion d'y migrer.

Pourquoi est-ce que ces anciens systèmes sont-ils toujours là?

Les questions que les DSI se posent:

Pourquoi dépenser de l’argent et prendre des risques pour changer ?
Pourquoi changer alors que tout fonctionne ?

D’autres projets sont prioritaires… Active Directory? C'est la fonctionnalité qui me permet juste de faire un logon? Ce n'est pas prioritaire...

Il n'y a pas de budget, pas de temps homme disponible.

Un manque d’expertise: les administrateurs ne savent plus qui a mis ce serveur en place, ni qui a fait la documentation. Quelle documentation d'ailleurs? Il n'y en a jamais eu.

Qui utilise quoi ?

On a des milliers de serveurs qui tournent. On ne sait pas qui les utilise. On n’a pas de documentation. On a peur de mettre les mains dedans…

Depuis Windows server 2008R2 les serveurs sont en 64 bits. Les nouvelles applications sont aussi passées en 64 bits.

C'est l'occasion de passer sur un OS propre, avec des nouvelles images propres.

Lors de la migration:

Réduction des risques d’indisponibilité : le serveur source reste en ligne et en production tant que les tous les tests n’ont pas été effectués. Si un souci est détecté, si une application n’est pas prête à être migrée par exemple, on peut faire un « rollback » sur l’ancien environnement.

Capture de l’environnement 32 bits et évolution vers 64 bits.
Machine physique vers machine virtuelle ?
Est-ce que l’on déploie de la machine physique ? De la machine virtuelle ?
Depuis Windows server 2008 R2 on peut mettre la version CORE : version allégée, pas de navigateur web… Donc moins de mises à jour, moins de failles…

Fin du support de Windows 2003 & 2003 R2 prévue le 14 juillet 2015

Il faut penser à démarrer votre projet de migration au plus vite s’il n’est pas déjà en cours.

Fin du support = plus aucune mises à jour correctifs & sécurité, danger
Plus de support applicatif : les développeurs ne vont plus supporter les vieilles versions de leurs applications
Plus de support de matériel : de moins en moins de pilotes développés pour 2003. Un serveur sans pilote, c’est comme un avion sans pilote.

Audits de conformité : PCI processus sensibles : nous ne serons plus conformes vis à vis des autorités de certification.

Les différents types de migration à prévoir

Infrastructure

Active Directory
DNS/DHCP
WSUS
Serveurs de fichiers
Services d’impression

Applications web sur IIS6
En
ASP.net
PHP
Web Deploy

Applications tierces
ERP
CRM
Backup
En général l’éditeur en face a prévu des versions pour Windows server 2008 ou 2012…

Bases de données
SQL serveur
Oracle
Mysql

Processus de migration

Découverte de l’environnement, audit

Système d’information monté par une équipe antérieure ? Sans doc ?
Cataloguer tous les logiciels métiers qui fonctionnent.

Evaluer et catégoriser

Qui utilise quoi ? Est-ce que c‘est encore utilisé.

Cibler la destination


Vers un datacenter sur site ? Vers un cloud ? Qui va couter moins cher

La migration


Déplacement ancien environnement vers nouveau

Exemple d'outils d’inventaire : SCCM, MAP, Dell ChangeBase, Scripts vbs et porwershell personnalisés...

Quelques outils utilisés ; Avez-vous des outils comme SCCM System Center Configuration Manager? Avez-vous quelqu'un pour l'administrer? ConsultingIT peut vous aider.

MAP Microsoft Assessment and planning toolkit, reporting centralisé
Outil centralisé pour l’évaluation et inventaire
Scan Active Directory
Qu’est-ce qui est présent sur cette machine ? Hardware/Software pas mis à jour
On utilise par exemple un serveur Windows 2012R2 existant, sinon si besoin ConsultingIT possède son infrastructure d'audit. On télécharge l’install, on installe

Inventaire : Overview/Inventory
Je veux découvrir des machines Windows, unix, Vmware, Unix, Linux, Exchange serveur…

Exemple, collecte des informations sur les machines Windows
Comment les découvrir ? Requete dans l’Active Directory, utilisation de SCCM, scanner une range IP….

Quel droits faut-il? domaine? schémas?
Compte pour parcourir le domaine : administrateur du domaine… ou compte délégué…?
Quid du mot de passe administrateur du domaine? Il faut Un compte qui a au moins le droit de lire l’annuaire.

Méthode pour se connecter : WMI, credentials administrator

Scan…

Le reporting


Rapport reporting sous Excel
Un rapport d'audit peut etre généré sous Excel.
On voit le nombre de machines capables de passer à Windows Server 2012R2, 2012, 2008R2

Server inventory
Type de cartes réseau , date du bios…

ServerRoles
Un Active Directory tourne sur un serveur 2003 par exemple

Applications Summary
.Net Framework 1.1 SP1 par exemple
Internet explorer 8
On découvre des applications inconnues…

Applications Details
Détails plus poussés sur les applications

On peut relancer le test plus tard.

Cataloguer l’environnement
Idée du tableau chaque pour chaque application : qui est le responsable applicatif (le Dev0ps) : contact pour discuter avec lui de la migration
Par exemple, c'est Mr Dupond est responsable des backups, Mr Durand l'administrateur de la base de donnée.

Trouver un contact responsable de la migration des applications

Définir une criticité
TABLEAU EXCEL pour evaluer les risques (1 à 3 ?)

Attention au vieux proverbe : « Si tout est important, rien n’est important »

Qu'est-ce qui est ritique ? En priorité…
Important ? exemple serveur web
Marginal ?
Peut disparaitre ? On verra après le 14 juillet…
Complexité ?
Serveur web qui est raccordé à une base de donnée, qui est raccordé à un ERP… « Chaque composant du collier »

Cibler la plateforme de destination

Datacenter local 2012R2 ?
Microsoft Azure ? On paye à l’utilisation: exemple applicative envoi cartes de voeux 1 fois par an.
PRA ? Pour récupérer une application serveur web ou bases de données. PAAS
Cloud OS Network (Hoster)? Orange, Cloudwatt, Amazon…
Office 365? Software as a service

On obtient alors la grille de migration complète

Petite astuce: un serveur physique Windows serveur 2003 peut être migré sous la forme de machine virtuelle dans Microsoft AZURE que s’il est X64 64 bits! Attention

Expériences et déploiement

MDT, Virtual machine manager

Quid du vieux matériel :
Remplacer le serveur ? Moins energivoire
Virtualiser sur un autre serveur, hyperviseur ? Physical to virtual
Relocaliser dans le Cloud public ? IAAS

En finir le bricolage, injection manuelle des drivers, modifs fichiers ini… RIS

Les outils de déploiement

MDT, consultingit peut vous aider.

Utilisation du format WIM

Ingéniere des images : Micrsoft Deployment Toolkit, ADK gratuit

Deploiement des serveus : WDS a remplacé RIS, ou SC Configuration Manager

MDT 2013 est une usine à master


Assistants personnalisés par rapport au besoin de l’organisation
Choix de la cible de déploiement : rôle, ligne de commande, setup bout en bout
Plus besoin de gérer des centaines de fichiers vbscripts… Ceux qui ont connu ça avec Windows 2000 savent de quoi je parle :-)
MDT s’occupe du séquencage

Deploiement VHD ? Media bootable ?

Serveur 2012R2, deployment Workbench

Applicaions, drivers, inf, etc.
Task sequences

Litetouch ou Zerotouch ?

Virtual Machine manager
Machine physique vers Vmware, HyperV, XenServeur

Modèles de machines virtuelles : processeurs, mémoire, cartes réseau, disques virtuels
Disque système VHD Sysprepé

Templates de VM : petite astuce: si on choisit un modèle de génération 2, pas de modèles de services 2012R2
Donc prendre modèle type 1, sinon on ne peut pas migrer vers AZURE

Migration des services

-Serveurs de fichiers
-Serveurs web
-Active Directory
-Terminal Services
-Serveurs applicatifs

Les premiers roles dans l’ordre de priorités:
DNS : a besoin DNS : souvent les problèmes Active Directory viennent du DNS
Active Directory
DHCP
Fichiers
Impression

Windows Server 2012 : on installe les outil de migration sur les serveurs cibles Windows Server 2012R2
Commande powershell: Install-WindowsFeature Migration –Computername <targetname>

Sur le serveur source, on génère un package, X86, X64, vers un share, DFS.
Commande powershell: Smigdeploy.exe /package /architecture Amd64 /OS WS03 /Path <targetpath>


Executer Smigdeploy.exe sur le serveur 2003: il crée tous les pré-requis powershell

Migrer le DNS

Cas zone intégrée à AD
On met un nouveau 2012R2 avec role DNS dans le domaine
On autorise la réplication
On ajoute les options DHCP

Cas Zones avec serveus DNS Stand-Alones

Copie des fichiers zones vers le nouveau serveur
Nouveau serveur : on importe les fichiers zones

Migrer l’Active Directory

Aller vers un serveur Windows 2012R2 par exemple
Nouvelle fonctionnalité 2012R2 : le "Background zone loading". Avant sous 2003 on devait attendre que l’AD soit chargé en local pour pouvoir répondre aux requetes DNS. Avec 2012R2, plus besoin d'attendre.

2003 vers 2008 vers 2012: des contraintes multi domaines, multi forets?
Les serveurs RODC ne contiennent pas les hashs des condensés des mots de passes utilisateurs

Nouveautés AD Windows 2008 /2012R2

GPMC est intégré
AD Adminitrative center, reset de mots de passe…
Vitalisation : on clone un contrôleur de domaine à partir d’un autre : copie du VHD. Il ne répliquera que le delta.
Corbeille AD : on peut aller chercher un objet supprimé. Ex OU rh supprimée :
-en ligne de commande sous serveur 2012
-graphiquement sous serveur 2012R2
Automatisations des taches d’amin via Powershell
Activation des VMS basé sur l’active Directory. Auparavant avec KMS (Windows 8 entreprise et supérieures)

GPMC permet de voir la réplication des SYSVOL à la place de GPOTOOL
Repadmin, dcdiag

Migrer l’Active Directory


Prérequis : niveau fonctionnel du domaine Windows2003 minimum ; Réplication ok.
Mettre un DC 2012 dans l’infra
Penser à transférer les 5 rôles FSMO
PDC emulator
RID master
Domain naming master
Schemas master
Infrastructure master
Via ndtsutil role FSMO role transfer…

Migration vers machine physique ou machine virtuelle ou Microsoft Azure IAAS

Migration du serveur DHCP


Nouveautés intéressantes depuis 2003
Si tu as telle adresse mac je te donne telle plage DHCP, avec telle option DHCP…
DHCP Failover haute disponibilité entre plusieurs serveurs DHCP : si un est occupé lors de l’application des patchs de sécurité, l’autre prend le relais.
Commandes powershell DHCP en plus
Fonctionnalité IPAM : vision complète de l’INFRA. Console centralisée au lieu de la fameuse feuille Excel.

Exemple de commandes powershell souvent utiliseée : Send –SmigSErverData et Receive -SmigServerData

Repérer les cartes réseau
Exporter la configuration du serveur source vers le serveur destination
Autoriser DHCP sur le nouvel AD

Smigdeploy.exe

Administrator Windows Powershell ISE

Migration du serveur de fichier

Nouveautés
DFS, Work folders, Dynamic access control, Administration…
SMB? CIFS? Chiffrement SMB…
Nouveautés SMB 3.0 (3.02 sur Windows Server 2012)
NE pas oublier de demander à la sécurité d'ouvrir le port 7000 pour les shares

Migration serveurs d’impression...

Migration des applications...

ConsultingIT peut vous aider: