En informatique, une seule chose est certaine, tout change tout le temps. Même si l’on reste attaché à une église plutôt qu’une autre, il est toujours bon de voir ce qu’il se fait chez les autres.

Aussi, je vous propose pour cette semaine un tour d’horizon de Windows SBS (Small Business Server) 2011. Cette version pour petite entreprise des outils serveur de Microsoft contient l’ensemble des services nécessaire au bon fonctionnement des TPE et PME de moins de 75 personnes.

La première chose qui peut choquer un administrateur système venant du monde UNIX (et donc Apple) lorsqu’il débarque sur un serveur Windows, c’est la limitation au nombre d’utilisateur. Si l’on prend par exemple Windows SBS 2011, il existe deux éditions, essentielle et standard. La première limite l’usage du serveur à un maximum de 25 personnes. La seconde à 75, mais avec l’achat de licence d’accès client, ces fameuses CAL (Client Access Licences) qui font toute l’aberration du modèle de Microsoft, un système cher et qui coute cher lorsqu’on cherche à s’en servir…

La douche froide étant passée, voyons voir comment cet outil s’installe et ce que l’on peut en faire.

Installation et mise à jour

La première chose avant d’installer et de s’assurer de la compatibilité de la machine, il faut entre autres un minimum de 80 Go de stockage et 4Go de RAM. Il est cependant recommandé un espace disque de 120 Go et 10 Go de RAM.

La phase d’installation de base est assez simple, il suffit de spécifier langue, disque cible et d’attendre que les choses se passe… Lorsque le système vous demandera le type d’installation que vous souhaitez faire, choisissez bien entendu de partir sur une nouvelle installation.

Petite note sur le manque d’ergonomie flagrant des systèmes Windows, durant l’installation, l’assistant vous demande de vérifier les paramètres d’horloge et de fuseau horaire du serveur, chose normale. Ce qui est moins normal c’est que pour effectuer cela, vous devez cliquer sur une petite ligne bleue qui reprend la codification des textes d’aide…

Un peu plus utile, l’étape suivante vous demandera de spécifier la configuration réseau de votre serveur. Dans la plupart des cas, votre serveur sera configuré avec une adresse IP manuelle.

Autre étape, l’obtention des mises à jour durant la phase d’installation. Cela vous demandera d’être connecté à Internet et d’attendre la fin du téléchargement des mises à jour avant de pouvoir installer.

Ensuite, le serveur vous demandera de définir le nom de votre serveur ainsi que le nom court du domaine interne. Attention, une fois cette information configurée, il semble impossible de revenir dessus. Choisissez bien !

Concernant le nom de votre administrateur, comme toujours choisissez quelque chose d’anonyme et peu commun.

Votre serveur redémarre et fini de s’installer avec les informations fournies. Après son redémarrage, la console d’administration SBS vous guidera pour vos premiers pas.

L’étape obligatoire à ce moment-là, les mises à jour. Vérifier bien que votre serveur est entièrement à jour avant de commencer sa configuration.

Les alertes et erreurs possibles au niveau des services de sauvegardes et des autres alertes ne sont pas importantes à ce stade. Elles indiquent simplement que certains services considérés comme importants ne sont pas configurés, ce qui est normal pour une installation neuve.

Tâches initiales de la console SBS

Configuration initiale

Sur la partie gauche de l’accueil de la console SBS, vous trouverez une liste d’opération à faire dans l’ordre lors de l’installation d’un serveur. Étant de gentil administrateur système, nous allons nous en servir…

La première opération consiste à lire la documentation de la console SBS, c’est en effet un bon point de départ pour comprendre où on met les pieds. Cochez la case une fois la lecture accomplie…

Ensuite vient la première étape de configuration à proprement parler, elle concerne la connexion à Internet. Lorsque vous cliquez sur le lien « Se connecter à Internet », un assistant se présente vous demandant de valider la configuration réseau du serveur. Ce système va analyser la configuration actuelle de votre réseau et vous proposera certaines modifications impératives à son bon fonctionnement.

Entre autres, il sera nécessaire de couper le serveur DHCP de votre routeur pour le laisser gérer par le serveur Windows. Le service d’annuaire Active Directory est ainsi fait que ce genre de chose est nécessaire au bon fonctionnement des clients connectés.

Par la suite, votre serveur vous demandera d’entrer de nouveau les informations réseau de la machine… On repassera concernant l’efficacité des assistants, cette information ayant déjà été demandée lors de l’installation.

 

Chose assez étonnante ici, le serveur indique être incapable de trouver mon routeur et demande si je veux continuer malgré tout. Je dois avouer être assez surpris d’autant que le routeur est un routeur Cisco Small Business et qu’il est bel et bien fonctionnel. Je ne sais pas vraiment ce que le serveur cherche ici…

Pour continuer, la console SBS vous proposer des « options pour les commentaires client », comprendre ici, est-ce que vous voulez participer au programme d’amélioration de l’expérience utilisateur…

Vient enfin quelque chose d’intéressant, la configuration de « votre adresse Internet », ou en bon français, la configuration de votre nom de domaine… L’assistant vous demandera entre autres si vous souhaitez gérer votre nom de domaine automatiquement depuis votre serveur ou par vous-même. Vous devez choisir par vous même. La première option demande l’usage de registre Internet spécifique permettant que votre serveur demande des modifications directement sur la partie Internet de votre domaine. En France, le seul registre supporté est GoDaddy.

La configuration manuelle vous demandera donc quel est votre nom de domaine. Storymaker.fr par exemple. Il est impératif à ce moment d’utiliser les paramètres avancés pour spécifier l’identité de votre serveur sur Internet, autrement dit quel préfixe à votre nom de domaine devra être utilisé sur Internet pour accéder à votre serveur.

Cet assistant est assez bien pensé, il permet en peut de question de configurer correctement le nom réel du serveur (ms.storymaker.fr) ainsi que le nom de domaine à utiliser pour la messagerie Exchange (@storymaker.fr).

Si comme sur mon réseau d’expérimentation, le serveur n’arrive pas à administrer de lui-même le routeur, vous finirez l’assistant sur une alerte vous demandant d’ouvrir les ports 25, 80, 443 et 987 sur votre routeur (et accessoirement de les rediriger au niveau du NAT).

Si l’on connait forcément les trois premiers ports, on est en droit de se demander ce qu’est le dernier. Sachez que c’est une réservation non officielle du port, décrite comme « Microsoft Corporation Microsoft Windows SBS SharePoint ». Certainement un port alternatif nécessaire au bon fonctionnement de SharePoint, le service wiki amélioré de Microsoft.

Ouvrez donc ces ports et passons à la suite, la configuration d’un « hôte actif pour la messagerie Internet ». Ou, de nouveau en bon français, la configuration d’un relais SMTP pour l’envoi d’e-mail…

Rien de très complexe ici, comme toujours lorsqu’on héberge un serveur de messagerie sur une fournie par un FAI en carton, on est obliger de passer par un relais pour les messages sortant.

 

Enfin, dernière phase de la configuration de la partie Internet, l’ajout d’un certificat de sécurité. L’assistant vous proposera d’acheter un certificat ou d’utiliser un déjà acquis. Contrairement aux noms de domaine, l’achat des certificats n’est pas lié à des prestataires validés, vous pouvez suivre l’assistant d’achat pour obtenir une demande de signature de clef à passer au prestataire de votre choix (StartSSL par exemple), et si votre prestataire répond immédiatement, vous pourrez même fournir sa réponse dans l’assistant.

Configuration de la sauvegarde

Pour configurer le service de sauvegarde de Windows SBS 2011, vous devez impérativement avoir un lecteur de disque amovible connecté au serveur. C’est tout du moins ce que l’assistant semble vouloir dire, il n’est à priori pas possible de sauvegarder sur un partage réseau. Par chance, cela fonctionne avec un disque dur externe connecté en USB.

La configuration est assez simple, vous sélectionnez le disque cible, vous indiquez au robot de sauvegarde le nom du support (pour permettre une gestion intelligente des bandes de sauvegarde, le système vous disant quelle bande insérer) et enfin vous spécifier les sources de donnés à sauvegarder et quand.

 

Bon, on va pas se mentir, ça sent la paraffine… Mais c’est natif et gratuit donc on ne s’en privera pas, sauf si l’on souhaite quelque chose de plus moderne comme CrashPlan.

Gestion des utilisateurs et des terminaux

Votre serveur est enfin configuré, les services de base sont en place ainsi que les procédures de sauvegarde, passons maintenant à la création des utilisateurs et la connexion des terminaux utilisateurs.

Une nouvelle fois, la première tâche est une lecture de documentation qui vous expliquera ce qu’il est possible de faire avec ces comptes utilisateurs et les machines de votre réseau.

Vient ensuite l’étape de création d’un utilisateur, le système demandera nom, prénom et format de création des noms d’utilisateur. De manière assez étrange, il n’y a pas de pattern par défaut de type prenom.nom, chose assez courante…

Chose intéressante, dès la création de l’utilisateur, l’assistant propose de désigner un rôle pour cet utilisateur. Une préconfiguration permettant de dire si l’utilisateur sera un utilisateur standard, un administrateur ou un « utilisateur avec des liens d’administration », comprendre un utilisateur qui, lors d’accès distant via les services web, aura la possibilité de voir les liens hypertextes menant aux panneaux d’administration, il devra alors entrer des identifiants d’un véritable administrateur pour accéder effectivement à l’interface souhaitée. Une sorte de « sudoers » du web en somme.

L’écran suivant vous demandera d’entrer un mot de passe pour l’utilisateur puis créera le compte et configurera sa boite Exchange ainsi que l’accès distant. L’assistant se termine en proposant d’affecter un ordinateur existant à l’utilisateur ou d’en ajouter un nouveau.

Aucun ordinateur n’existe actuellement dans le système, il faudra donc en ajouter un nouveau, c’est justement l’étape suivante de notre liste de tâches initiales.

Pour connecter des ordinateurs au domaine Active Directory, il est nécessaire de disposer préalablement des utilisateurs, cela permettra de très facilement configurer les postes de travail en associant à l’avance les comptes qui leur seront utiles.

Deux méthodes de connexion sont disponibles pour connecter les clients Windows à votre serveur SBS. Via un navigateur web à l’adresse http://connect ou via un logiciel que vous transporterez sur clef USB. La méthode web est recommandée, elle permet entre autres de vous forcer à vérifier que le réseau local (DHCP / DNS) fonctionne correctement lors de l’accès à la page web.

Depuis un poste client, l’accès à l’URL en question nous donne une page web digne des années 1990 au milieu de laquelle nous trouverons un bouton en blanc cassé sur blanc nous proposant de lancer le programme Connect Computer qui aura pour but de connecter notre poste de travail au domaine du SBS 2011.

 

Lors du lancement de l’application Connect Computer, il vous sera demandé de choisir entre configurer l’ordinateur pour vous-même ou pour quelqu’un d’autre.

Microsoft tout comme Apple favorise les fonctions de self service pour les TPE et PME, c’est en effet l’option la plus simple pour réduire les couts de fonctionnement. Ici l’option de configuration pour soi-même permet de connecter la machine avec son propre compte utilisateur et d’y rattacher l’usage de la machine.

L’autre option impose d’être un administrateur du parc et permet de connecter une machine au domaine en l’assignant à un autre utilisateur.

 

Dans le cadre de cet article, je vais utiliser l’option de configuration pour moi-même, l’autre choix donne le même résultat exception faite qu’il faudra spécifier les utilisateurs à assigner.

L’assistant demandera d’entrer les codes d’accès d’un utilisateur de l’Active Directory puis de spécifier l’identité de l’ordinateur (nom de la machine dans l’AD et description).

Chose particulièrement intéressante de cette application Connect Computer, il est possible lors de l’assignation des utilisateurs de spécifier l’ancien nom d’utilisateur local éventuel. Si vous aviez des machines sans service d’annuaire dans votre parc, vous aimeriez éviter de recréer des sessions de 0 ou même, vous aimeriez éviter de vous farcir la migration des données à la main… Connect Computer propose un assistant pour cela.Vous n’aurez qu’à choisir le nom d’utilisateur local de la personne pour récupérer les données.

 

L’assistant se termine enfin, avec ce qui est une habitude dans le monde Microsoft, plusieurs redémarrages de la machine.

Votre poste de travail est maintenant connecté à votre domaine. Une fois les cycles de redémarrage terminé, le système vous demande de vous authentifier avec via l’utilisateur assigné à la machine.

 

La première connexion prendra du temps, c’est normal, le système « prépare » l’environnement de l’utilisateur. Soit dit en passant, on se demande bien ce que le système prépare puisque la session n’est pas fonctionnelle au premier lancement.

En effet, les outils tels que le client e-mail ou le calendrier ne sont pas configurés. Pire, ils imposent l’utilisateur d’un compte Microsoft pour pouvoir se configurer (un peu comme si Apple imposait iCloud pour avoir le droit de rajouter son compte IMAP…). Je ne suis peut être pas à l’aise avec Windows 8.1, mais la documentation de Microsoft semble assez claire sur le sujet : « You need to have a Microsoft account to use the Windows 8 Mail app ».

De fait, si je souhaite utiliser ma messagerie Exchange avec Windows 8.1, je suis contraint d’acheter Microsoft Office pour obtenir Outlook (en espérant que celui-co fonctionne sans compte Microsoft). Venant d’Apple et d’OS X qui propose nativement un client mail, contact et calendrier comptable avec Exchange et l’ensemble des protocoles de communication standards, je dois dire que j’ai légèrement l’impression d’être pris pour un pigeon…

Pourquoi éviter le compte Microsoft ? Car cela fait un compte doublon et qu’il est anormal de dépendre d’un service externe pour configurer une application interne uniquement.

De fait, si l’on souhaite consulter ses e-mails depuis un client Windows en sortie de boite, il faut se résigner à utiliser l’interface web…

Laissons là ces problématiques de package commercial et retournons à notre assistant de configuration initiale de Windows SBS 2011.

Notre liste de tâche est maintenant terminée, il ne reste plus qu’à lire la documentation concernant les imprimantes pour cocher la dernière case.

Ce qui est bien avec cet assistant, c’est qu’il nous a fait préparer certaines choses utiles avec des raccourcis. De fait, nous n’avons pas appris où sont normalement faites ses actions…

C’est donc ce que nous allons voir maintenant. Comment gérer au quotidien ce serveur.

Administration avec la console SBS 2011

Tâches fréquentes

Lorsque vous repliez la liste des tâches de mise en route, se dévoile une nouvelle liste, de tâches fréquente cette fois-ci, permettant de créer, entre autres choses, des utilisateurs, des groupes d’utilisateurs et des dossiers partagez.

La chose étant essentiellement identique à ce que nous venons de faire, nous allons directement passer aux choses intéressantes, la barre d’outils en haut de fenêtre permettant l’administration de chaque chose.

Utilisateurs et groupes

Dans cette section se trouvent trois onglets : les utilisateurs, les rôles d’utilisateur et enfin les groupes.

Les premières et dernières sections parlent d’elle même. Celle concernant les rôles d’utilisateur est la plus intéressante, elle permet de définir les patterns de création des utilisateurs.

Par exemple, le rôle utilisateur standard utilisé précédemment ne permet pas l’accès distant via VPN, il peut être utile d’en créer un nouveau avec cette distinction.

 

Lorsque vous chercherez à en créer un nouveau, vous aurez la possibilité de spécifier un rôle existant pour servir de base de travail et ainsi ne rien oublier des éléments de base.

Durant l’assistant, vous aurez la possibilité de spécifier les différentes options de quota e-mail et partage de fichier, de même vous pourrez dire si les utilisateurs devront utiliser des redirections serveurs pour leur dossier personnel. Cela permet d’avoir les données des utilisateurs placées sur le serveur et ainsi les rendre accessibles depuis n’importe quel poste à condition d’être connecté au réseau de l’entreprise.

 

Réseau

Cette section permet la supervision de l’ensemble de votre réseau. Cela permet de voir les serveurs et les postes clients membres de votre domaine, vérifier leur statut de mise à jour et les éventuelles alertes, le tout depuis un seul écran. Un outil fort pratique !

 

Vous retrouverez également dans la section réseau les onglets permettant de gérer les périphériques Fax et imprimantes ainsi que les services de connectivité.

Ce dernier onglet, connectivité, peut paraître anodin, mais c’est l’un des plus importants de la console d’administration SBS 2011. Il permet l’accès aux réglages de certificats, de firewall, du serveur VPN et enfin du connecteur POP3.

La configuration du VPN est assez simple, il suffit de spécifier que vous voulez autoriser les utilisateurs à se connecter à distance à votre réseau. Si comme moi vous n’avez pas de routeur compatible avec la configuration automatique de Microsoft, un avertissement vous demandera d’ouvrir le port 1723 de votre routeur et de le faire pointer vers votre serveur.

Le port 1723, oui… Le port du VPN PPTP, ce même service qu’Apple avait souhaité retirer de 10.7 et qui utilise des système de sécurité qui ont été cassé… Bravo Microsoft, même pas une option dans l’assistant pour activer du L2TP sur IPSec…

Laissant de côté une énième incohérence de Microsoft, nous pouvons passer au connecteur POP3, ce service est particulièrement utile lorsque vous hébergez votre serveur Exchange dans vos locaux derrière une simple SDSL sans redondance. Cela permet de configurer votre serveur Exchange comme client POP3 d’un serveur e-mail externe, tout comme je l’expliquais dans le passé avec fetchmail et OS X Server.

La configuration est assez simple, il suffit d’entrer les paramètres POP3 de votre serveur et d’indiquer à quelle boite aux lettres Exchange cela correspond. Vous pourrez également configurer la planification de relève du courrier, par défaut elle à lieu toutes les 15 minutes.

 

Dossiers partagés et site web

Lorsqu’il est question de créer un point de partage SMB, le serveur de Microsoft est le plus incohérent qui puisse exister. En effet, il existe deux listes de contrôle d’accès, l’une sur le NTFS concernant l’ensemble des accès sans exception et l’autre, spécifique au point de partage, appliqué uniquement lors des accès réseau. Lors d’une connexion depuis un poste client, les deux listes sont donc appliquées, le choix le plus restrictif étant gagnant. Déjà que dans bien des cas, la gestion des ACL est quelque chose de fastidieux, autant le dire, ici c’est du grand n’importe quoi…

Lorsque j’étais étudiant, le prof chargé de nous expliquer cela nous a offert un bon conseil, laissez toutes les possibilités au niveau de la liste d’accès du protocole de partage et gérez vos droits au niveau NTFS. C’est exactement ce qui est fait sur les systèmes UNIX, je vous recommande de faire de même.

Toujours dans la création des points de partage, vous pourrez spécifier les quotas disque ainsi que des filtres sur les fichiers pour par exemple bloquer les fichiers exécutables. Concernant DFS, je vous invite à trouver une littérature plus spécialisée que cet article, c’est clairement hors de propos lors de la mise en œuvre d’une serveur de TPE / PME.

Pour ce qui est des sites web, là aussi nous avons une belle démonstration d’ergonomie. L’outil permet de modifier les sites existants, mais permet ni de les créer ni de les supprimer…

Cependant, celle liste a au moins le mérite de nous montrer les trois sites présents par défaut :

• Remote Web Acces : permet l’accès distant aux ressources du réseau (RDP par exemple)
• Outlook Web Acces : le web mail de SBS 2011
• Internal Web Site : Companyweb, l’instance SharePoint de SBS 2011

Ce site, companyweb, n’est ni plus ni moins qu’un Wiki bien intégré à Windows, vendu comme killer app lorsqu’un commercial essaye de vendre du Windows Server à une entreprise, il permet de mettre en forme des données via du web uniquement. Il est somme toute assez intéressant, mais nécessite un certain temps voir un temps certain d’utilisateur avant de comprendre réellement comment s’en servir correctement.

 

Sauvegarde et stockage

Affichant la liste des sauvegardes effectuée et leur état, cette partie de la console vous permettra de restaurer les données en cas de perte de données, c’est assez limité, mais si vous n’avez rien de mieux, cela vous protègera un minimum. Attention à bien penser à mettre en place un jeu de sauvegarde tournante pour vous assurer qu’il y a toujours une version de vos données en dehors de l’entreprise.

La partie stockage serveur quant à elle permet de définir sur quels volumes vos données doivent être stocké. Vous pourrez ainsi vous en servir pour déplacer les données du serveur Exchange, du serveur SharePoint, des points de partage du système ou encore du service de mise à jour système local pour clients Windows.

Édito

Cet article de prise en main de SBS 2011 fini ici. Il avait pour objectif de montrer ce qu’il est possible de faire avec ce système, comment le mettre en œuvre assez rapidement. Une fois accompagné pour les premiers pas, il est assez simple de s’y retrouver si vous avez l’habitude de gérer un serveur d’entreprise qu’il soit OS X ou UNIX de manière plus générale.

Si l’on fait abstraction du système de licence où il faut payer chaque option à prix d’or du côté de Microsoft, le fonctionnement des deux mondes n’est pas si éloigné. Les deux systèmes ont les mêmes capacités, le choix dépend en réalité des couches 8, 9 et 10 du modèle OSI, le budget, la politique de la maison et enfin la religion de l’administrateur système :-)