Chat sur le service pack 1 pour Windows Server 2003
Par Fabrice Meillon et Stanislas Quastana
Chat sur le service pack 1 pour Windows Server 2003
.gif)
Sur cette page
.gif){kind=icon}
Q: Bonjour, est ce que je peux appliquer le SP1 de Windows 2003 sur mon serveur SBS 2003 ?
Q: Quelles nouveautés dans Windows 2003 SP1 pour les services Terminal Server ?
Q: Quelles sont les applications Microsoft non compatibles avec le SP1 de Windows 2003 Server ?
Q: y a t il un accès aux services TS en http ou https
Q: y a t il des risques d'incompatibilité logicielle identiques au XP SP2?
Q: Quels sont les pré-requis à respecter avant d'installer le SP1?
Q: Existe t il un document contenant des informations précises sur toutes les mises à jour incluses dans SP1 ?
Q: Des nouveautés pour les GPO ?
Q: j'imagine que vous avez déjà installé le SP1 dans des environnements de production ou de pré production. quelles améliorations à l'utilisation avez vous noté
Q: Quelles sont les améliorations au niveau de l'AD dans le SP1 ?
Q: Est ce que Virtual Server fonctionne correctement après l'installation du service Pack 1 de Windows 2003 ?
Q: Quid de la quarantaine ?
Q: Qu’est-ce que l’Access-based Directory Enumeration ?
Q: A quoi sert l’assistant de configuration post installation ? Comment peut-on le désactiver dans le cadre d'un déploiement auto ?
Q: Est ce qu'il est nécessaire d'installer le SP1 de Windows 2003 sur un serveur ISA 2004 (sachant que celui ci est déjà protégé) ? Y a il des recommandations spécifiques
Q: Y a t il des modifications au niveau RPC ?
Q: Quelle est durée du support de la version Windows 2003 sans SP1 ?
Q: Quand on utilise l’assistant de configuration de la sécurité et qu'il nous montre tout ce qui est déjà configuré, est ce que l'on peut considérer que c'est bon et l'appliquer?. Je m'explique : sur certains serveurs il montre que SMTP est actif, or je ne sais pas si mon DC utilise ce service
Q: Où puis trouver le SP1 pour Windows Server X64 ?
Q: J’ai entendu parler de Windows Server 2003 R2. Est-ce la même chose que Windows Server SP1 ?. Quelles sont les différences ?
Q: Est-il possible de disposer d’une version de Windows 2003 incluant le SP1 ?
Q: Est-il prévu un SP2 sur Windows 2003 ?
Q: Bonjour, est ce que je peux appliquer le SP1 de Windows 2003 sur mon serveur SBS 2003 ?
A: Non, une version spécifique pour SBS 2003 est disponible cf https://www.microsoft.com/france/sbserver/sp1info.mspx et https://support.microsoft.com/default.aspx?scid=kb;en-us;897342 . Pour la télécharger https://www.microsoft.com/downloads/details.aspx?displaylang=fr\&FamilyID=b6f8a4c0-b707-4161-adeb-44f1b756119f
.gif "Haut de page"){kind=icon}
Haut de page
Q: Quelles nouveautés dans Windows 2003 SP1 pour les services Terminal Server ?
A: La grosse nouveauté sur TSE est la capacité à utiliser du TLS. Ceci permet 2 choses --> 1: identifier le serveur TSE (comme on identifie un serveur Web en SSL), 2: d'utiliser TLS comme méthode de chiffrement pour les communications entre le client et le serveur. Des informations complémentaires sur
https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/a92d8eb9-f53d-4e86-ac9b-29fd6146977b.mspx
Haut de page
Q: Quelles sont les applications Microsoft non compatibles avec le SP1 de Windows 2003 Server ?
A: La liste des applications compatibles est décrite dans une fiche de la base de connaissance Microsoft https://support.microsoft.com/default.aspx?scid=kb;en-us;896367 (applications Microsoft et tierces parties)
Haut de page
Q: y a t il un accès aux services TS en http ou https
A: Cette fonctionnalité d'encapsulation de RDP dans http(s) était initialement prévue dans Windows 2003 R2 (fonctionnalité Everywhere Access) et a été repoussée à LongHorn Server
Haut de page
Q: y a t il des risques d'incompatibilité logicielle identiques au XP SP2?
A: Les mêmes évolutions sont introduites avec le SP1 (gestion de la mémoire, navigateur, pare feu et messagerie) donc potentiellement les mêmes problèmes peuvent subvenir cf https://support.microsoft.com/default.aspx?scid=kb;en-us;896367 (notons que le pare feu n'est pas activé par défaut)
Haut de page
Q: Quels sont les pré-requis à respecter avant d'installer le SP1?
A: Faire une sauvegarde complète du système (lire les documents présentant les évolutions), vérifier la compatibilité des applications présentes sur vos serveurs avec le SP1 cf https://support.microsoft.com/default.aspx?scid=kb;en-us;896367
Haut de page
Q: Existe t il un document contenant des informations précises sur toutes les mises à jour incluses dans SP1 ?
A: Le document "Guide de présentation de Windows Server 2003 Service Pack 1" devrait répondre à votre question https://www.microsoft.com/france/windows/windowsserver2003/downloads/servicepacks/sp1/overview.mspx et https://www.microsoft.com/downloads/details.aspx?FamilyId=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE\&displaylang=en
Haut de page
Q: Des nouveautés pour les GPO ?
A: Oui la mise à jours des fichiers ADM avec les nouveautés incluses dans XP SP2 et applicable pour les serveurs Windows 2003 SP1, la gestion des paramètres du pare-feu, le navigateur... La liste de références des GPOs pour Windows 2003 est disponible en US. "Group Policy Settings Reference for Windows Server 2003 with Service Pack 1" https://www.microsoft.com/downloads/details.aspx?FamilyID=7821c32f-da15-438d-8e48-45915cd2bc14\&DisplayLang=en
Haut de page
Q: j'imagine que vous avez déjà installé le SP1 dans des environnements de production ou de pré production. quelles améliorations à l'utilisation avez vous noté
A: Configuration des options du pare feu à l'identique de XP, configuration au travers des GPOs, utilisation de l'assistant de configuration de la sécurité pour sécuriser les serveurs en fonction des services et rôles assignés aux serveurs et néanmoins quelques soucis de compatibilités avec les applications SMS, MOM, Exchange nécessitant quelques paramétrages
Haut de page
Q: Quelles sont les améliorations au niveau de l'AD dans le SP1 ?
A: la mise à jour depuis un AD Windows 2000 est mieux contrôlée. On notera également les points suivants qui facilitent la vie : des messages d'alerte lors de changement de paramètre sensibles dans les GPO, un backup/restaure autoritaire et un nettoyage de l'AD plus simple (tombstone à 180 jours, restauration des appartenances aux groupes, ntdsutil plus simple à utiliser). NB : Le Tombstone passe à 180 jours (au lieu de 60) Pour les forêts créées à partir d’un W2K3 SP1 et pour les migrations NT 4.0 en utilisant un media intégrant le SP1
Un contrôle a été ajouté à la commande « Esentutl.exe /P » pour vérifier le schéma de la base jet en cours de réparation. Si le contrôle détecte que la base de donnée cible est une database AD, la seule action entreprise par Esentutl est une défragmentation offline (reconstruction des indices sans aucune perte de données). Ce nouveau comportement permet de prévenir les corruptions de la base Active Directory.
Haut de page
Q: Est ce que Virtual Server fonctionne correctement après l'installation du service Pack 1 de Windows 2003 ?
A: Au niveau du serveur Hote il n'y a pas d'incompatibilité avec le SP1 de Windows 2003 (hormis des besoins de configuration des autorisations DCOM cf https://support.microsoft.com/?kbid=891609), pour les machines virtuelles sous Windows 2003 SP1 il peut y avoir de fortes pertes de performances cf http://www.support.microsoft.com/kb/900076.
Haut de page
Q: Quid de la quarantaine ?
A: Le service Pack 1 de Windows 2003 n'apporte pas de nouveauté technique sur la quarantaine VPN mais plutôt le support officiel des outils RQS (Remote Quarantine Server) et RQC (remote Quarantine Client) qui étaient précédemment dans le Ressource Kit.
Haut de page
Q: Qu’est-ce que l’Access-based Directory Enumeration ?
A: Effectivement, lorsque l’utilisateur parcourt un partage W2K3 SP1, le service (du serveur) vérifie les propriétés du partage. Si le partage est configuré avec ABDE (clé de registre à postionner), il effectuera un contrôle d’accès sur chaque objet (fichiers, répertoires…) à la place de l’utilisateur pour déterminer s’il possède les droits de lecture. Pour tous les objets pour lesquels l’utilisateur ne dispose pas de droit de lecture, l’objet n’apparaît pas. Cette fonctionnalité n'est pas compatible avec DFS
Haut de page
Q: A quoi sert l’assistant de configuration post installation ? Comment peut-on le désactiver dans le cadre d'un déploiement auto ?
A: L'assistant de configuration post installation est une fonctionnalité apporté par le SP1 lors de l'installation d'un nouveau serveur, le pare feu est activé, l'assistant propose de mettre à jour la machine au travers de Windows Update et de configurer les mises à jour automatique. Cette fonctionnalité est des activable au travers des GPOs, du fichier réponse d'installation et désactivée par défaut dans le cas de la mise à jour vers Windows server 2003 SP1 d'un serveur existant
Haut de page
Q: Est ce qu'il est nécessaire d'installer le SP1 de Windows 2003 sur un serveur ISA 2004 (sachant que celui ci est déjà protégé) ? Y a il des recommandations spécifiques
A: Effectivement, par définition, ISA Server 2004 protège le système d'exploitation contre les attaques réseaux. Maintenant, le SP1 apporte des fonctionnalités supplémentaires en terme de sécurité (TLS avec Terminal, Renforcement de DCOM, Assistant de configuration de sécurité, durcissement de la couche TCP/IP,....) donc finalement ce n'est pas si mal que ça pour une machine censé être très sécurisée. :) Par contre, pour que ISA 2004 fonctionne correctement sur Windows 2003 SP1, il faut appliquer le Service Pack 1 de ISA Server 2004 Std.
Haut de page
Q: Y a t il des modifications au niveau RPC ?
A: cf https://www.microsoft.com/technet/prodtechnol/winxppro/fr/maintain/sp2netwk.mspx
Restriction des interfaces RPC (comme le SP2 de XP)
2 nouvelles clés sous la clé
HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\ Microsoft\Windows NT\RPC
RestrictRemoteClients
Les accès RPC anonymes ne sont pas permis
EnableAuthEpResolution
authentification NTLM avec le Endpoint Mapper
désactivé par défaut
3 nouveaux indicateurs pour l’interface RPC :
RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH
Permet de faire des exceptions si RestrictRemoteClients =1
RPC_IF_SEC_NO_CACHE
Force le même client à s’authentifier pour chaque connexion.
RPC_IF_LOCAL_ONLY
Refuse les appels des clients RPC distants.
Haut de page
Q: Quelle est durée du support de la version Windows 2003 sans SP1 ?
A: C'est 2 ans
Haut de page
Q: Quand on utilise l’assistant de configuration de la sécurité et qu'il nous montre tout ce qui est déjà configuré, est ce que l'on peut considérer que c'est bon et l'appliquer?. Je m'explique : sur certains serveurs il montre que SMTP est actif, or je ne sais pas si mon DC utilise ce service
A: Le service SMTP est installé par défaut car la réplication inter site peut s'appuyer dessus dans certaines configuration (protocole de communication entre site SMTP) et donc oui en théorie
Haut de page
Q: Où puis trouver le SP1 pour Windows Server X64 ?
A: Les versions Windows Server X64 dispose déjà du SP1 (la base du système est un Windows 2003 SP1), il n’est pas besoin de l’appliquer. Par contre il existe un SP1 pour les versions Windows 2003 IA64
Haut de page
Q: J’ai entendu parler de Windows Server 2003 R2. Est-ce la même chose que Windows Server SP1 ?. Quelles sont les différences ?
A: Windows Server 2003 R2 est une version mineure de Windows Server 2003, disponibilité prévue pour la fin de l’année 2005, le produit est construit sur la base de Windows Server 2003 SP1 et donc les mêmes applications sont compatibles pour les 2 systèmes. Windows Server 2003 apporte de nombreuses fonctionnalités, sous la forme de composants additionnels que l’on peut installer (CD 2), non présentes dans la version Windows 2003 SP1. Pour plus d’information https://www.microsoft.com.
Haut de page
Q: Est-il possible de disposer d’une version de Windows 2003 incluant le SP1 ?
A: Oui la procédure à suivre est décrite dans l’article https://support.microsoft.com/kb/828930/fr
Haut de page
Q: Est-il prévu un SP2 sur Windows 2003 ?
A: Oui horizon 2006, pour rappel la fin de support de Windows 2003 est 2013 !
Haut de page