Les ordinateurs et l’accès Internet sont disponibles à l’échelle universelle, mais les ressources de votre réseau d’entreprise ne sont probablement disponibles que sur votre ordinateur de bureau et sur votre ordinateur portable. Si vous vouliez utiliser en toute sécurité vos ressources de bureau depuis un autre ordinateur – par exemple, l’ordinateur portable de votre mari ou l’ordinateur de votre bibliothèque locale — vous n’en aviez aucune possibilité. Jusqu’à présent.
En utilisant la combinaison des services de Windows 7 et de Windows Server 2008 R2, votre service informatique peut mettre en place ce que Microsoft appelle la Connexion sécurisée à distance. Avec cette fonctionnalité, un utilisateur peut avoir accès aux ressources de l’Intranet de l’entreprise sur n’importe quel système Windows 7. Autrement dit, une bonne configuration du système secondaire vous permet d’exécuter les programmes du bureau uniquement et d’accéder aux fichiers stockés sur le serveur à partir de n’importe quel ordinateur équipé de Windows 7. Si vous le souhaitez, vous pouvez même mettre en place une solution complète de bureau pour clients dits légers, où l’ensemble du bureau de l’entreprise est hébergé sur des serveurs et le personnel peut exécuter le bureau sur tout ordinateur muni de Windows 7 avec une connexion Internet haute vitesse.
Quelle est la différence entre, disons, Windows Server 2008 Terminal Services Gateway de Microsoft ou Citrix XenApp ? La connexion sécurisée à distance tente de fournir un ensemble plus intégré sur le serveur qui ne nécessite aucun logiciel supplémentaire sur le bureau Windows 7.
Si Microsoft n’a pas encore fourni « sa recette » pour y parvenir, nous savons quels sont les ingrédients du bureau virtuel. Du côté du serveur, cela commence par l’espace de travail à distance de Server 2008 R2 et par Le Gestionnaire de passerelle Bureau à distance (Remote Desktop Gateway).
L’espace de travail à distance était connu sous le nom de Terminal Services dans Windows Server 2008 R2. Ce pack est bien plus qu’un nouveau libellé. Il intègre à la fois la virtualisation de la présentation et l’infrastructure virtuelle du poste de travail (Virtual Desktop Infrastructure – VDI).
Ces fonctionnalités sont à leur tour gérées par le courtier de connexion à distance (Remote Desktop Connection Broker). Sous cette nouvelle approche de virtualisation, l’on retrouve deux types de postes de travail pour clients dits légers de Windows 7 pour les utilisateurs à distance : la configuration persistante (soit permanente) et la configuration groupée.
Le courtier de connexion à distance est la plaque tournante aussi bien des applications internes et externes basées sur le serveur que des postes de travail virtuels
Dans le cas d’une machine virtuelle à mémoire persistante, il y a une mise en relation biunivoque du poste de travail Windows 7 pour clients dits légers. Tout comme avec un ordinateur de bureau ordinaire, chaque utilisateur se voit attribuer son propre poste de travail. Sauf que dans ce cas, il s’agit d’un bureau virtualisé. L’utilisateur peut personnaliser le bureau à son goût et il peut l’utiliser avec n’importe quel ordinateur Windows 7 et une connexion Internet.
Avec une machine virtuelle groupée, une copie unique est reproduite en tant que de besoin. Vous pouvez toujours maintenir l’état d’utilisateur unique à l’aide de redirection de profils et de dossiers, mais toute modification apportée au cours d’une session disparaîtra lorsque l’utilisateur se déconnecte.
En revanche, pour utiliser l’un ou l’autre de ces fonctionnalités, la technologie à elle-seule ne suffira pas. Vous aurez besoin des licences Microsoft Windows Virtual Enterprise Centralized Desktop (VECD). Les licences VECD, applicables par poste, sont obligatoires pour tout déploiement VDI de Windows qui utilise des copies virtuelles de Windows. Pour gérer tout cela, Windows Server 2008 R2 utilise un moteur unique de virtualisation, Hyper-V, pour gérer ces nouvelles machines virtuelles à distance.
Pour s’assurer que postes de travail virtualisés à distance (persistants ou groupés) utilisent les bonnes ressources, Server 2008 R2 utilise la passerelle des services Terminal Server, le gestionnaire de passerelle Bureau à distance. Pour l’entreprise, les principaux changements sont que le gestionnaire de passerelle Bureau à distance est plus efficace pour traiter et gérer les sessions inactives, ce qui permet en échange d’économiser les ressources système du serveur, représentant également des économies de trésorerie sur le long terme.
Pour connecter toutes ces fonctionnalités au poste de travail Windows 7, il existe une version actualisée sur protocole RDP (Remote Desktop Protocol). Microsoft affirme que cette nouvelle version du protocole RDP est la plus rapide qui ait jamais existé. En outre, elle supporte l’interface Aero Glass, ses performances multimédia ont été améliorées et elle permet de rediriger DirectX. Donc, en théorie, vous pouvez exécuter des jeux via RDP sur un poste de travail Windows 7 virtuel, ce qui n’est pas une bonne idée au travail, mais démontre néanmoins les améliorations du protocole RDP en termes de vitesse.
La fonction DirectAccess contribue à donner plus d’élan aux performances de Windows 7. Microsoft considère DirectAccess comme le remplaçant d’un réseau privé virtuel (VPN), mais ce n’est pas tout à fait juste. DirectAccess intègre un VPN dans Windows 7 qui utilise le Protocole de sécurité Internet (IPSec), un protocole Microsoft VPN ancien, mais encore pertinent.
Si DirectAccess est bien plus qu’un VPN, c’est parce qu’il utilise le protocole Internet version 6 (IPv6) pour connecter de bout en bout un client Windows 7 à un hôte Windows Server 2008 R2. IPv6 n’offre rien de nouveau, il représente la prochaine génération de réseau TCP/IP, qui n’a jamais été accepté à large échelle en Amérique du Nord ou en Europe. Microsoft s’en sert désormais pour effectuer le rare exploit d’améliorer tant la sécurité que la vitesse.
Il améliore la sécurité car il combine le relativement rare IPv6 avec IPSec. Vous pouvez également utiliser DirectAccess pour authentifier l’utilisateur et pour configurer à quelles ressources les utilisateurs spécifiques de l’Intranet peuvent accéder. Le dernier point, et pas des moindres, vous pouvez également intégrer DirectAccess à la fonction Network Access Protection (NAP). En faisant cela, vous vous assurer que les utilisateurs ne seront pas autorisés à entrer s’ils essaient de se connecter à partir d’un système Windows 7 sans l’installation préalable de patchs actualisés ou d’un programme anti-virus.
L’amélioration des performances proviennent de la séparation du trafic de l’entreprise et du trafic Internet. Avec DirectAccess, seul le trafic du réseau de l’entreprise démarre ou va vers les serveurs de l’entreprise. Avec un réseau VPN traditionnel, tout le trafic, même s’il s’agit de faire une recherche dans Google, est acheminé par le réseau d’entreprise. En réduisant ce trafic, DirectAccess réduit le trafic à la fois au niveau des passerelles de l’entreprise et au niveau du réseau LAN, préservant ainsi les ressources. Il augmente également la vitesse du réseau des postes de travail du client en évitant la surcharge due à l’envoi de requêtes Internet ordinaires au réseau de l’entreprise.
En évitant de perdre du temps par l’envoi de trafic Internet via le réseau de l’entreprise, DirectAccess offre à Windows 7 une véritable accélération comparé aux approches VNP classiques.
Vous n’utilisez pas IPv6 ? Aucun problème. DirectConnect prend en charge IP-HTTPS. Il s’agit d’un nouveau protocole de tunnel pris en charge uniquement par Windows 7 et Windows Server 2008 R2 ; il permet au poste de travail du bureau et au serveur d’encapsuler les datagrammes IPv6 basés dans une session HTTPS via IPv4. Cela fournit à la fois le support IPv6 nécessaire, tout en aidant les ordinateurs de votre entreprise à établir des connexions via un serveur Web proxy ou un pare-feu qui pourraient bloquer une connexion VPN ordinaire.
Voici les grandes lignes de la façon dont tout cela fonctionne. Premièrement, vous configurez vos hôtes Windows Server 2008 R2 afin qu’ils puissent gérer DirectConnect, Remote Workspace et Remote Desktop Gateway. Si vous décidez d’utiliser des machines virtuelles pour les utilisateurs à distance de Windows 7, vous devez également contourner les boucles VECD. Une fois que tout est configuré, vous serez fin prêt à laisser n’importe lequel de vos utilisateurs Windows 7 à utiliser les ressources de votre entreprise, à condition qu’il se soit authentifié de manière appropriée.
Cette puissante combinaison Windows 7 et Server 2008 R2, une fois configurée de manière appropriée, devrait permettre à vos employés de faire leur travail à partir de presque n’importe quel lieu. La mise à niveau de vos serveurs sera vraisemblablement nécessaire. En revanche, en améliorant à la fois la sécurité à distance et la vitesse du réseau, vous obtiendrez au final un réseau informatique gagnant sur toute la ligne.
