Ca y’est ! Si vous êtes abonnés à MSDN, vous pouvez dès à présent télécharger Windows Server 2008 R2, Hyper-V Server 2008 R2 et Windows 7 en français sur MSDN.

Ca y’est ! Si vous êtes abonnés de MSDN, vous pouvez dès à présent télécharger Windows Server 2008 R2, Hyper-V Server 2008 R2 et Windows 7 en français sur MSDN.

L’équipe Remote Desktop vient de publier un billet sur la fonctionnalité Single Sign-On pour RemoteApp et Desktop Connections. Cette fonctionnalité de Windows Server 2008 R2 permet à l’utilisateur  de n’entrer ses identifiants qu’une seule fois lors de la connexion à Remote Desktop Web Access. L’utilisateur pourra ensuite lancer des programmes RemoteApp sans remplir aucun prompt d’identification.

Lire l’article : http://blogs.msdn.com/rds/archive/2009/08/11/introducing-web-single-sign-on-for-remoteapp-and-desktop-connections.aspx

L’équipe SCOM, vient de publier un fichier Excel intéressant sur le dimensionnement des infrastructures SCOM. Ce document interactif donne des recommandations sur les spécifications matérielles, les spécifications de stockage ou encore des diagrammes de topologie.

Télécharger le document : http://blogs.technet.com/momteam/attachment/3272628.ashx

J’en parlais Lundi, l’équipe de développement de SQL Server 2008 R2 a annoncé la disponibilité d’une CTP. Celle-ci n’était jusqu'à présent disponible que pour les abonnés MSDN.

Voir la liste des nouveautés :  http://microsofttouch.fr/blogs/js/archive/2009/08/10/la-ctp-sql-server-2008-r2-arrive-sur-msdn.aspx

Depuis ce jour, n’importe qui peut télécharger cette CTP !

Télécharger SQL Server 2008 R2 CTP : http://technet.microsoft.com/en-us/evalcenter/ee315247.aspx

Microsoft a commencé à créé les certifications relatives à Exchange Server 2010 qui seront disponibles lors de sa sortie.
Si vous souhaitez participer au beta-testing qui commencera dans les prochaines semaines avec la certification : 70-662 Microsoft Exchange Server 2010, Configuring.

Pour faire parti des chanceux qui pourront passer cet examen, vous devez créer un profile SME (Subject Matter Expert).

Etape 1 : Allez sur http://connect.microsoft.com

Etape 2 : Connectez-vous ou inscrivez vous sur le site.

Etape 3 : Dans la colonne de droite de la page d’accueil, vous pouvez voir la question « Avez-vous été invité à rejoindre Connect ». Entez l’ID d’invitation : SME2-JC3G-DKDY

Voir la procédure complète : http://borntolearn.mslearn.net/2009/07/one-word-rhymes-with-sneezesign-me-up

Damien Caro vient de publier un billet expliquant le support d’Exchange avec Windows Server 2008 R2. Il a mis au point une matrice de compatibilité :

Voir le billet de Damien Caro : http://blogs.technet.com/dcaro/archive/2009/08/12/support-de-exchange-avec-windows-2008-r2.aspx

Microsoft vient de mettre à disposition les outils d’administration de serveur distant (anciennement AdminPak) pour Windows 7 ou encore RSAT : Remote Server Administrator Tools.  Ces outils permettent d’administrer des fonctionnalités présentes sur des ordinateurs Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 à partir d’un ordinateur disposant de Windows 7.

Parmi les outils que vous pourrez retrouver dans RSAT, on retrouve :

• Les outils d’administration de rôles :
  • Active Directory Certificate Services (AD CS)
  • Active Directory Domain Services (AD DS)
  • Active Directory Lightweight Directory Services (AD LDS)
  • DHCP Server
  • DNS Server (dnslint, dnscmd…)
  • File Services
  • Network Policy and Access Services
  • Terminal Services
  • Universal Description, Discovery, and Integration (UDDI) Services
  • Hyper-V Console
• Les outils d’administration de fonctionnalités :
  • BitLocker Drive Encryption
  • Failover Clustering
  • Network Load Balancing
  • SMTP Server
  • Storage Manager pour SANs
  • Windows System Resource Manager

 Pour télécharger cette nouvelle version de RSAT (Remote Server Administrator Tools), rendez-vous sur le Centre de Téléchargement Microsoft : http://www.microsoft.com/downloads/details.aspx?FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d&DisplayLang=fr

Le Patch Tuesday du mois d'août vient d'être mis en ligne par Microsoft, et l'on peut dire que ce n'est pas les vacances puisqu'il contient 9 bulletins de sécurité dont cinq qualifiés de critique.Windows 2000 SP4, Windows XP SP2/SP3, Windows Server 2003 SP1/SP2, Windows Vista SP1/SP2 et Windows Server 2008 sont concernés par ces bulletins. Les Composants .Net Framework 2 et 3.5 mais aussi Office XP/2003/Small Business Accounting 2006 ou Microsoft Internet Security and Acceleration Server 2004SP3/2006SP1 sont aussi concernés par ce Patch Tuesday. Enfin une fois n'est pas coutume, un bulletin concerne BizTalk Server 2002.

Numéro de Bulletin	Niveau de sévérité	Systèmes concernés	Type (description)	Redémarrage
MS09-036		.Net Framework 2 SP1/SP2 3.5 SP1 pour Windows Vista et Windows Server 2008	Cette mise à jour de sécurité corrige une vulnérabilité de déni de service signalée dans le composant Microsoft .NET Framework de Microsoft Windows. Cette vulnérabilité ne peut être seulement exploitée que si Internet Information Services 7.0 (IIS) est installé et si ASP.NET est configuré pour utiliser le mode intégré sur les versions affectées de Microsoft Windows.	Non Requis
MS09-037		Outlook Express 5.5/6, Windows Media Player 9/10/11	Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées dans Microsoft ATL (Active Template Library). Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur a chargé un composant ou un contrôle spécialement conçu.	Requis
MS09-038		Windows 2000 SP4, Windows XP SP2/SP3, Windows Server 2003 SP1/SP2, Windows Vista SP2 et Windows Server 2008 SP2	Cette mise à jour de sécurité corrige deux vulnérabilités signalées dans le traitement de fichiers Windows Media. Chacune de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier AVI spécialement conçu.	Requis
MS09-039		Windows 2000 SP4, Windows Server 2003 SP2	Cette mise à jour de sécurité corrige deux vulnérabilités signalées dans WINS. Chacune de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur recevait un paquet de réplication WINS spécialement conçu.	Requis
MS09-040		Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP2, et Windows Vista	Cette mise à jour de sécurité corrige une vulnérabilité signalée dans le Serveur de mise en file d'attente (MSMQ). Cette vulnérabilité pourrait permettre une élévation de privilèges si l'utilisateur recevait une requête spécialement conçue.	Requis
MS09-041		Windows XP SP2/SP3, Windows Server 2003 SP1/SP2, Windows Vista SP1/SP2 et Windows Server 2008 SP2	Cette mise à jour de sécurité corrige une vulnérabilité signalée dans le service Station de travail de Windows. Cette vulnérabilité pourrait permettre une élévation de privilèges si un attaquant créait un message RPC spécialement conçu.	Requis
MS09-042		Windows 2000 SP4, Windows XP SP2/SP3, Windows Server 2003 SP1/SP2, Windows Vista SP2 et Windows Server 2008 SP2	Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Telnet.	Requis
MS09-043		Office XP SP3, 2003 SP3, Small Business Accounting 2006, ISA 2004 SP3, ISA 2006 SP1, BizTalk Server 2002	Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées dans Microsoft Office Web Components, qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait une page Web spécialement conçue.	Peut Etre Requis
MS09-044		Windows 2000 SP4, Windows XP SP2/SP3, Windows Server 2003 SP1/SP2, Windows Vista SP2 et Windows Server 2008 SP2	Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans la Connexion Bureau à distance Microsoft. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un attaquant parvenait à persuader un utilisateur des Services de terminaux (Terminal Services) de se connecter à un serveur RDP malveillant ou si un utilisateur visitait un site Web spécialement conçu.	Requis

Légende :

 : Bulletin Critique                               : Bulletin Important                           : Bulletin Modéré

Ces correctifs sont disponibles par Microsoft Update ou par le Centre de téléchargement Microsoft.

Aout 2009 - Image ISO de mises à jour de sécurité

Retrouvez l'ensemble des informations relatives à ce bulletin de sécurité : Ici

Grosse surprise ! On peut dire que les ingénieurs de Microsoft n’ont pas pris de vacances cette année. Un an après la sortie de SQL Server 2008, voila que la CTP d’une R2 (nom de code « kilimanjaro ») pointe le bout de son nez. C’est une grande première pour SQL Server qui n’a jamais vu de Release 2 dans ses versions précédentes.

Parmi les avancées majeures de cette version, on retrouve :

• Augmentation du nombre de processeurs logiques supportés de 64 à 256.
• Nouvelles vues de Tableau de bord (DashBoard) permettant d’identifier les possibilités de consolidation.
• Nouvelles extensions dans SQL Server Management Studio.
• Support des données géospatiales
• La gestion complète par Microsoft SharePoint lui donne la capacité de contrôler et fixer tous les apports de la Business Intelligence
• Simplification de la gestion de fermes de serveur et du déploiement des applications sur celles-ci.
• Réduction du temps consacrés au développement de rapport en donnant aux utilisateurs la capacité de designer leurs propres requêtes, rapports, et tableaux
• Nouvelle extension d’analyse pour Excel 2010 permettant l’analyse et le bilan d’un nombre important de données.
• Les nouvelles possibilités de mâche de données « vers le haut » simplifieront des tâches longues de rassemblement et de consolidation de données.
• Possibilité de paralléliser certaines requêtes sur de multiples serveurs.
• Intégrez les données des sources multiples, y compris des bases de données d'entreprise et des sources extérieures, utilisant les outils puissants dans Microsoft Excel.
• Nouveaux outils de collaboration permettant le partage de rapports et données au travers Office SharePoint Server  où ils seront automatiquement rafraichi

SQL Server 2008 R2 est donc disponible pour les abonnées MSDN :

Vous avez peut être entendu parler des chapitres gratuits de cours sur Windows 7 mis à disposition par Microsoft.

Voici la liste des chapitres concernés par cet événement :

·         Chapter 2, “Installing and Configuring Windows 7,” de l'ouvrage Windows 7 Inside Out

·         Chapter 21, “Performing Routine Maintenance,” de l'ouvrage Windows 7 Inside Out

·         Chapter 23, “Support Users and Remote Assistance,” de l'ouvrage Windows 7 Resource Kit

·         Chapter 29, “Deploying IPv6,” de l'ouvrage Windows 7 Resource Kit

·         Chapter 1, “Explore Windows 7,” de l'ouvrage Windows 7 Step by Step

·         Chapter 2, “Navigate Windows and Folders,” de l'ouvrage Windows 7 Step by Step

·         Chapter 2, “Integrate with the Windows 7 Taskbar, Part 1,” de l'ouvrage Windows 7 for Developers

Vous pouvez vous les procurer à partir du lien suivant : http://www.microsoft.com/learning/en/us/training/windows.aspx puis en cliquant sur Register to download

Mais Attendez ! Ce n’est pas tout, vous pouvez vous en douter mais avec la sortie de Windows 7, les informations techniques arrivent en force.

Vous pouvez aussi retrouver :

·         Windows 7 Release Note

·         Windows Server 2008 R2 Release Note

·         Mobile Broadband Stack Changes for Windows 7 : décrit les changements sur les drivers large-bande mobile

Ceci vous donne de quoi vous occuper sur la plage ou pour la rentrée…

On vient d’avoir plus de précision sur la gestion des applications 32 et 64 bit avec App-V 4.6.

La première des réponses qui rassure tout le monde : Non vous n’êtes pas obligé de re-séquencer toutes vos applications App-V 4.5 32bit ! Pour les faire fonctionner, il suffit d’éditer le fichier OSD et y ajouter la valeur « OS Values »  et spécifier la plateforme cible 32 bits.

 Autre précision importante, il est fortement conseillé de séquencer une application 32-bit sur un système 32-bit. App-V ne supportera pas l’application 32-bit si elle a été séquencée sur un système 64-bit et exécutée sur un système 32-bit.

Les applications séquencées sur App-V 4.6 ne sont PAS compatible sur les clients App-V 4.5.

Voici un tableau récapitulatif des compatibilités entre les différentes versions :

Rappel :

Participez au programme et Téléchargez Application Virtualization 4.6

Lire mon article sur Application Virtualization

Il n'aura pas fallu attendre pour disposer de Windows Automated Installation Kit pour Windows 7.

Ce pack d’outils est utilisé pour le déploiement des systèmes d’exploitation Windows 7 et Windows Server 2008 R2.

Il est constitué des produits suivants :

• ImageX : un outil qui sert à capturer, modifier et appliquer une image Windows (comprenez image WIM).
• DISM (Deployment Imaging Servicing and Management) permet de configurer les images WIM.
• USMT 4.0 (User State Migration Tool) : outil permettant de capturer et restaurer les données et  paramètres de profils utilisateurs
• VAMT 1.2 (Volume Activation Management Tool) permet de gérer l’activation des postes client par le biais des clés à activation multiple (MAK) d’un point central.
• L’outil Windows PE en ligne de commande : permet de créer des images Windows PE
• Windows System Image Manager : permet de créer des fichiers de réponse (fichiers unattend) à partir d’un catalogue ou d’une image WIM.

C’est donc l’outil indispensable pour votre déploiement de Windows 7.

Télécharger Windows AIK pour Windows 7

A vos abonnements MSDN, Windows 7 en version RTM est disponible sur la plateforme de téléchargement :

Note ! Les serveurs sont quelque peu saturés. Le téléchargement oscille entre 100-150Ko/s

Comme tous les mois, l’équipe App-V publie des hotfixes pour améliorer le produit. En juillet, ils ont publié un package de correctifs qui concerne Application Virtualization 4.5 Cumulative Update 1 (présent dans MDOP 2009).

Voici l’ensemble des problèmes résolus par ce hotfix :

• Quand vous appliquez un quota sur le disque du répertoire contenant le profil utilisateur et quand le quota est proche de la limite, le client App-V génère une fuite de mémoire paginé.
• Quand vous lancez une application virtuelle, un processus appelé ReqQuerMultipleValues génére des erreurs ou ne peut démarrer.
• Quand un client App-V essaye d’initier une procédure de rafraichissement  en HTTP ou HTTPS, la procédure n’est pas complétée avec succès. La procédure n’est pas complétée si un package contient un chemin qui contient des caractères japonais.
• Quand vous lancez une application virtuelle, Microsoft Access 97 génère un message d’erreur 1008 quand Access déplace les fichiers temporaires.
• Quand un client App-V essaye d’initier une procédure de rafraichissement  en HTTP ou HTTPS sur un réseau IPv6, la procédure ne se termine pas avec succès.
• Quand vous utilisez la variable d’environnement %APPDATA% avec un chemin UNC, les applications virtuelles peuvent crasher lors de leur lancement.
• Dans un environnement qui dispose d’une relation d’approbation et des comptes utilisateurs mappés entre un domaine Windows et un royaume Kerberos, le client App-V 4.5 ne peut se connecter au serveur de publication. Vous recevez une erreur 8009030C

Accéder à la KB973205

La version 7.5 du module FTP pour Internet Information Services 7.0 de Microsoft vient d’être mise à disposition en téléchargement.

Le module a été entièrement réécrit pour Windows Server 2008.

Voici la liste des nouveautés apportées par cette nouvelle version :

• Intégration à IIS 7.0 :  IIS 7.0 est doté d'une nouvelle interface d'administration et d'un nouveau magasin de configuration ; le nouveau service FTP s'intègre étroitement à cette nouvelle conception.
• Prise en charge de nouveaux standards Internet : l'une des fonctionnalités les plus importantes de ce nouveau serveur FTP est la prise en charge de FTP sur SSL. Le nouveau serveur FTP prend aussi en charge d'autres améliorations liées à Internet telles que UTF8, IPv6 et l'utilisation de la bande passante réseau adaptative.
• Améliorations de l'hébergement partagé : l'intégration complète du nouveau serveur FTP à IIS 7.0 rend possible l'hébergement de contenu FTP et Web à partir du même site ; il suffit d'ajouter une liaison FTP vers un site Web existant. En outre, le serveur FTP prend maintenant en charge le nom d'hôte virtuel, ce qui permet alors d'héberger plusieurs sites FTP sur la même adresse IP. Il prend mieux en charge l'isolation d'utilisateur ; à présent, il est possible d'isoler des utilisateurs via des répertoires virtuels par utilisateur.
• Extensibilité et authentification personnalisée : le nouveau serveur FTP prend en charge l'extensibilité de développement, ce qui permet aux revendeurs de logiciels d'écrire des fournisseurs personnalisés pour l'authentification FTP. Microsoft utilise cette fonctionnalité d'extensibilité pour implémenter deux nouvelles méthodes permettant l'utilisation de comptes non Windows pour l'authentification FTP : Gestionnaire des services Internet et Appartenance .NET.
• Meilleure prise en charge de la journalisation : la journalisation FTP a été améliorée afin d'inclure tout le trafic lié à FTP, le suivi unique des sessions FTP, les sous-états FTP, les champs détaillés supplémentaires dans les journaux FTP, etc.
• Nouvelles fonctionnalités de prise en charge : IIS 7.0 offre une nouvelle option permettant d'afficher les messages d'erreur détaillés à l'intention des utilisateurs locaux, et le serveur FTP prend en charge cette option en fournissant des réponses aux erreurs détaillées lors de la connexion au niveau local à un serveur FTP. Le serveur FTP enregistre également des informations détaillées à l'aide du Suivi d'événements pour Windows (ETW) qui fournit des informations détaillées de dépannage supplémentaires.

Télécharger Microsoft FTP Service 7.5 pour IIS 7.0 (x86)

Télécharger Microsoft FTP Service 7.5 pour IIS 7.0 (x64)

Déjà trois mois ont passé depuis la Bêta de Windows XP Mode. Il avait fait grand bruit à l’époque et les retours avaient été nombreux. Les entreprises voyaient enfin un geste positif de la part de Microsoft en ce qui concerne la compatibilité applicative pour les petites et moyennes entreprises.

Basé sur les retours de la beta de Windows XP Mode, l’équipe de développement a opéré quelques ameliorations :

• Possibilité d’attacher une périphérique USB à l’application Windows XP Mode directement à partir de la barre de tâches Windows 7. Il n’est plus nécessaire de rendre disponible des périphériques (imprimantes, clés USB…) en ouvrant le mode plein écran de Windows XP Mode.
• Vous pouvez maintenant accéder aux applications présentes par le biais de Windows XP Mode avec la Jump-List.
• Possibilité de personnaliser où les fichiers de disques différenciels Windows XP Mode sont stockés.
• Vous pouvez désormais désactiver le partage de disque entre Windows XP Mode et Windows 7
• L’installation inclut maintenant un tutorial permettant de comprendre comment utiliser Windows XP Mode

Télécharger Windows XP Mode Release Candidate

Télécharger Windows Virtual PC Release Candidate

Télécharger la mise à jour Windows XP SP3 pour activer RemoteApp

Télécharger la mise à jour Windows Vista SP1 ou plus pour activer RemoteApp

Cette mise à jour permet d'optimiser l'utilisation des applications Windows XP/Vista à partir de Windows 7 en utilisant Windows Virtual PC.

On attendait des nouvelles d’Application Virtualization, c’est chose faite. L’équipe MDOP vient d’annoncer le programme Beta de la version 4.6 qui prendra place dans la prochaine version de Microsoft Desktop Optimization Pack début 2010.

Cette version apporte d’importantes nouveautés :

-          Support de Windows 7 et Windows Server 2008 R2

-          Support des plateformes Windows 64 bits

-          Support des applications 64 Bits!!!

-          Support complet d’Office 2010

Pour rappel, un Service Pack 1 à App-V 4.5 sortira 90 jours après la disponibilité générale de Windows 7 pour apporter son support complet.

Participez au programme et Téléchargez Application Virtualization 4.6

Lire mon article sur Application Virtualization

N’hésitez pas à faire des Feedbacks à l’équipe !

L’équipe Remote Desktop (anciennement Terminal Services) vient de publier un article sur le déploiement de la passerelle Remote Desktop (RD Gateway) de Windows Server 2008 R2 dans une DMZ (demilitarized zone : zone séparant le réseau privé de l’entreprise et Internet). Vous verrez comment configurer l’infrastructure dans les différents cas de figure et quels sont les règles de Firewall que vous devez configurer pour ces types de cas.

Je vous laisse découvrir l'article en anglais : http://blogs.msdn.com/rds/archive/2009/07/31/rd-gateway-deployment-in-a-perimeter-network-firewall-rules.aspx 

 Voici un article que j'ai écris sur l'activation des postes en entreprise par le biais de Volume Activation 2. Vous pouvez aussi retrouver cet article sur le site du Laboratoire Supinfo des technologies Microsoft : http://www.laboratoire-microsoft.org/articles/VolumeActivation2_-_Presentation-Implementation/

Si vous lisez cet article, c’est que vous avez plus ou moins entendu parler de Volume Activation ou de Windows Product Activation.
Vous faites sûrement parti d’un Service Informatique qui a déjà commencé le déploiement de clients Windows Vista, Windows 7 ou de Windows Server 2008, et Windows Server 2008 R2. Vous avez donc déjà pu voir que le mode d’activation sous ces systèmes d’exploitation a changé par rapport à celui utilisé par ses prédécesseurs.
Avec l’arrivée de Windows Vista, le vieillissant mode d’activation de Windows XP a été renouvelé. En effet, celui-ci posait des problèmes quand au piratage des licences. Néanmoins, ce nouveau système d’activation pose de nouvelles problématiques et l’implémentation en entreprise n’est pas aussi simple qu’on peut le croire. Il est donc nécessaire de revoir entièrement sa stratégie d’Activation.

Cet article va donc vous présenter Volume Activation 2.0 pour Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
Vous verrez les différentes méthodes et scénarii offerts par VA 2.0 pour l’activation en entreprise ainsi que les différents types de clés que vous pouvez utiliser.

1. Windows Product Activation : Explications

Cette partie présentera Windows Product Activation dans son fonctionnement et toutes les composantes qui l’en constitue.

 1.1 Pourquoi l’Activation ?

 L’Activation est un processus visant à authentifier et valider l’achat de son produit.
Le but premier de l’activation est de réduire le piratage et la propagation de copies illégales de logiciel entrainant une perte pour l’éditeur.
Le piratage est une infraction aux règles spécifiées dans le CLUF (Contrat de Licence d’utilisateur final) du logiciel, entraînent le plus souvent l’installation du produit sans l’accord de l’éditeur ou sans avoir acheté le droit d’utilisation de celui-ci.
En général, une licence donne le droit à l’installation sur un seul poste (à part dans le cas de Licence en Volume).
En ce qui concerne l’utilisateur, l’activation lui garantit l’authenticité de son achat et de pouvoir bénéficier de toutes les fonctionnalités du produit. L’utilisateur peut activer son produit de manière totalement anonyme.
Avec l’arrivée de Windows Vista, c’est la méthode Windows Product Activation qui se charge de vérifier que le système d’exploitation est installé sur un nombre limité d’ordinateurs.

 1.2 Comment ça marche ? 

Avec Windows XP, c’est Windows Genuine Advantage qui faisait seul office de système d’activation.
Celui-ci ayant été contourné par les pirates malgré d’incessantes mises à jour, Microsoft a décidé de changer son système d’activation avec l’arrivée de Windows Vista en introduisant : Windows Product Activation.
Bien souvent, le processus d’activation se fait par le biais d’une vérification de la clé produit (Product Key ou Product ID).
La clé produit est un ensemble de chiffres ou de lettres permettant d’identifier le produit ou l’édition du produit.
Cette clé produit se situe souvent avec le produit et peut être demandé lors de son installation ou durant son utilisation.
Généralement, celle-ci est formée de 25 caractères alphanumériques séparés en cinq blocs (par exemple, YE84D-12345-JSD20-SUPIN-FO85D).

Lors de la phase d’installation, Windows génère aussi un identifiant matériel (Hardware ID) non unique à partir des informations générales qui se trouvent dans les composants du système :

• Cartes graphiques
• Adaptateurs IDE et SCSI
• Cartes réseau, incluant l'adresse MAC
• La taille de la Mémoire vive
• Le type de processeur et son numéro de série
• Les Disques durs
• Les lecteurs CD-ROM/CD-RW/DVD-ROM …

A noter que d’autres informations sont envoyées, telles que la langue (dans un but unique de statistique), l’adresse IP permettant de vérifier l’endroit d’où est émis la requête (Windows Vista Starter Edition ne pouvant être activé qu’a partir de certaines zones géographiques), la date actuelle.
Pour assurer la confidentialité des informations vous concernant, le numéro d'identification de matériel est crypté sous forme d’une chaine alphanumérique non réversible. Il n’est donc pas possible de retracer l’ordinateur ou l’utilisateur qui les a envoyées.

Enfin, lors du processus d’activation (Windows Product Activation), la clé produit et l’identifiant matériel sont envoyés à Microsoft. La clé produit ne peut être associée à plus d’un identifiant matériel.

• Si l’activation vérifie que la clé produit n’a pas été enregistrée à un identifiant matériel et quelle correspond au produit et à l’édition installée, les deux identifiants sont enregistrés par Microsoft et l’installation est activée.
  A la suite de ça, un identifiant d’installation est généré  à partir des deux identifiants précédemment cités.
  Ce nouvel identifiant est constitué de 20 chiffres de la forme 12345-123-1234567-12345 et représente le produit et l’instance de l’installation du produit.
  
• A contrario si le processus d’activation trouve que la clé produit est déjà associée à un identifiant matériel et si les deux identifiants correspondent à ceux envoyés par le client, Microsoft autorise l’activation une fois de plus.
  Dans tous les autres cas (si l’identifiant matériel enregistré par Microsoft est différent de celui envoyé par le client),  l’activation échoue et il est nécessaire de contacter le support de Microsoft.

Nous avons vu plus haut que c’est avec un ensemble de composants système que l’identifiant matériel est généré. Si vous êtes amené à changer un composant, celui-ci n’entraine pas l’échec de l’activation. Par contre, si vous changez l’ensemble de votre configuration matériel ou plus d’un composant, il vous sera nécessaire de contacter le support afin de réactiver la clé produit.

 1.3 Les états de licences 

Il existe cinq états de licence différents : Activé, Grâce, Authentique, Notification, Sans licence. Ces états sont le reflet du niveau d’activation et d’authenticité du système.

• Activé : Lorsque le système est activé, il bénéficie de toutes les fonctionnalités qui sont offertes dans son édition.
  
• Grâce : Lorsqu’un ordinateur a été installé mais n’a pas été activé, il est dans la période de grâce. Il bénéficie de toutes les fonctionnalités du système. Cette période de 30 à 60 Jours en fonction du système.
  
• Authentique est un état de licence associé à Windows Genuine Advantage qui donne accès à certains services en ligne (Téléchargement de certains HotFixes, Programmes etc …).
  On distingue trois types d’état liés à ce niveau d’état :
  • Non authentique : Le système a reçu un ticket du service de validation en ligne indiquant qu’il ne s’agit pas d’un original.
  • Authentique local : Le système a reçu un ticket de validation.
  • Authentique : Le système a reçu un ticket du service de validation en ligne indiquant qu’il s’agit d’un original.
    
• Notification : Le but des notifications est de différentier une copie authentique activée de Windows Vista des autres, tout en maintenant les fonctionnalités du système comme l’ouverture de session, l’accès au bureau habituel, etc. Le mode de fonctionnalités réduites (RFM) a été remplacé dans Windows Vista SP1 par un système de notifications.
  
• Mode de fonctionnalités Réduites (RFM) est un état spécifique qui est actif lorsque le système n’a pas été activé et qu’il a dépassé la période de grâce lui étant affecté. Ce mode affecte les fonctionnalités des ordinateurs exécutant Windows Vista (sans Service Packs). Pour les systèmes supérieurs à Windows Vista sans Service Packs, cet état de licence n’est pas disponible.

 1.4 Les différents types de licences 

Il est possible d’obtenir une licence (de Windows Vista, Windows Server 2008, Windows 7, et Windows Server 2008 R2) par le biais de trois intermédiaires :

• Les fabricants d’ordinateurs (OEM)
  
• La vente au détail (Retail)
  
• Les licences en volume (Volume Licence)

Attention ! Chaque licence a ses canaux d’obtention. Par exemple, l’édition Enterprise de Windows Vista ne peut être obtenue que par le biais d’une licence en volume.

   1.4.1 Fabricants d’Ordinateurs OEM 

Lorsque vous achetez un ordinateur auprès d’un fabricant d’ordinateurs OEM, la plupart proposent une version de Windows avec le matériel.
Le fabricant procède avant la livraison du matériel à une activation OEM en associant Windows avec le BIOS de la machine.
L’utilisateur n’a besoin de n’accomplir aucune action pour que son système soit opérationnel et actif.

Cette méthode d’activation appelée Activation OEM 2.0 est valide tant que l’utilisateur réinstalle son système à l’aide de l’image système fournie par le fabricant.

   1.4.2 Vente au détail 

La vente au détail correspond à des produits achetés en magasin donnant le droit à une licence individuelle (on appelle ça aussi une « Version Boite »).
L’activation s’effectue de manière classique (par Internet ou par téléphone) lors de l’utilisation du produit.
Chaque produit est identifié par une clé produit unique attachée sur son emballage.

   1.4.3 Licence en volume 

Le système de licence en volume de Microsoft propose des programmes personnalisés adaptés à la taille de l’entreprise.

Pour devenir un client en volume, vous devez établir un contrat de licence en volume avec Microsoft.
Seuls deux moyens légaux sont disponibles pour acquérir une licence de bureau Microsoft complète pour un nouveau système informatique. Le premier, et le plus économique, est une pré-installation par le fabricant du système informatique.
L’autre option est l’acquisition d’un produit commercialisé complet en boîte.

Les programmes de licence de volume Microsoft s’adressent à tous les types d’entreprises :

• Petites et Moyennes Entreprises : Microsoft propose deux programmes :
  
  • Programme Open Value propose un contrat de licence permettant le paiement annuel. Il se décline en trois sous options :
    • Open Value : Achat de n’importe quel groupe de cinq licences au minimum pour des clients ou des serveurs.
    • Open Value Entreprise : Achat standardisé de produits pour plateforme PME ou PRO de cinq licences au minimum.
    • Open Value Souscription : Similaire à l’option Entreprise mais sous forme d’abonnement (les licences ne sont pas perpétuelles).
      
  • Programme Open permettant d’acquérir les logiciels à la carte, c'est-à-dire le nombre que vous souhaitez sans engagement de durée.
    
    
•  Grandes Entreprises :
  
  • Programme Select propose aux entreprises d’acheter les logiciels selon leurs besoins en proposant des tarifs avantageux pour de gros volumes.
    
  • Programme Select Plus est une extension du programme Select. Il permet d’établir un contrat qui n’expire pas (contrairement au programme Select qui expire tous les 3 ans).
    
  • Programme Accord Entreprise permet aux entreprises possédant plus de 250 postes clients de déployer les mêmes logiciels sur la totalité du parc informatique.
    

•  Etablissements Scolaires et secteur public :
  
  • Open Education
    
  • Select Education
    
  • Accord School
    
  • Accord Campus

Voir les différentes conditions de ces programmes sur : http://www.microsoft.com/France/acheter/education/modesachat/default.mspx

On distingue 4 groupes de clés pour les licences en Volume :

• LV Vista/Seven : inclut Windows Vista/Windows 7 Professionnel et Enterprise
  
• Groupe de Serveurs A inclut l’édition Web de Windows Server 2008/Windows Server 2008 R2
  
• Groupe de Serveurs B inclut les éditions Standard et Enreprise de Windows Server 2008/Windows Server 2008 R2  avec ou sans le composant Hyper-V
  
• Groupe de Serveurs C inclut l’édition Datacenter de Windows Server 2008/Windows Server 2008 R2  avec ou sans le composant Hyper-V ainsi que Windows Server 2008 pour les systèmes Itanium

Les clés CAM et KMS ont un fonctionnement différent :

• Les clés CAM (MAK) : Clés d’activation Multiple ont un fonctionnement latéral.
  C'est-à-dire qu’elles ne peuvent activer des produits que de leur propre groupe.
  
• Les clés KMS sont hiérarchiques.
  Elles peuvent activer des produits de leur groupe de licence plus les groupes inférieurs à celui-ci.
  Par exemple, une clé de groupe B peut activer des produits du groupe A ainsi que les produits du groupe Vista VL.

 1.5 Windows sans Activation 

Nous avons vu le fonctionnement de Windows Product Activation et les différents types de licence que l’on peut rencontrer.
Mais quand est-il si vous n’activer pas votre système d’exploitation ?

Si vous n’activez pas votre système d’exploitation après l’avoir installer, vous disposez d’un délai de 30 jours pour Windows Clients (Windows Vista et Windows 7) et 60 jours pour Windows Server (Windows Server 2008 et Windows Server 2008 R2) pour activer votre système.
Durant cette période appelée Période de grâce (Grace Period) vous disposez de l’ensemble des fonctionnalités offertes par le système d’exploitation.
Jusqu’aux trois derniers jours de la période de grâce, lors de chaque ouverture de session, Windows par le biais d’une bulle de notification vous demandera de procéder à l’activation de votre système.
Lors des premiers deux jours correspondant à la période des trois derniers jours, l’utilisateur est notifié toutes les quatre heures.
Le dernier jour, la notification apparaît toutes les heures.

Une fois la période de grâce écoulée, Windows passe en mode de fonctionnalités réduites.
Le Mode de fonctionnalités Réduites (RFM) est un état spécifique actif lorsque le système n’a pas été activé et qu’il a dépassé la période de grâce lui étant affecté. Ce mode affecte les fonctionnalités des ordinateurs exécutant Windows Vista (sans Service Packs).
Pour les systèmes supérieurs à Windows Vista Service Pack 1, cet état de licence n’est pas disponible et c’est l’état de Notification qui devient Actif.

2. Windows Product Activation : Implémentation

Nous allons voir les différentes implémentations de Windows Product Activation. Nous ne traiterons pas de l’activation OEM puisqu’elle est faite par le fabricant. L’utilisateur n’ayant besoin d’accomplir aucune action pour activer son système.

 2.1 Activation au détail

L’activation au détail correspond à l’achat d’une licence auprès d’un revendeur. Il existe deux types d’activation possible :

• L’activation par Internet
• L’activation par Téléphone

Nous allons décrire ces deux activations en détail :

   2.1.1 Par Internet

Ouvrez le  « Panneau de Configuration » => « System and Security », cliquez sur « System » :

Puis cliquez sur « Activate Windows Now » si vous avez déjà renseigné la clé lors de l’installation ou faites « Change product Key » pour la renseigner :

Faites « Next » pour lancer le processus :

Si l’activation réussit, vous devez disposez d’un écran comme suit :

Dans le cas contraire, procurez vous une clé valide ou appelez le support afin de procéder à une activation par téléphone.

   2.1.2 Par Téléphone

Note : déconnectez votre ordinateur de sa connexion Internet si vous souhaitez passer par l’activation téléphonique

Suivez la même procédure que précédemment mais une fois le processus d’activation lancé celui-ci va échouer puisque vous ne bénéficiez pas d’une connexion Internet :

Sélectionnez « Show me other ways to activate » puis « Use the automated phone system » :

Sélectionnez le pays où vous vous situez :

Appelez le numéro indiqué et entrez le numéro d’installation (Installation ID). Le processus d’activation téléphonique va générer un numéro de confirmation que vous allez devoir renseignez dans cette fenêtre :

Après ces étapes, votre système est activé :

 2.2 Activation en Entreprise

Vous l’avait vu précédemment, la solution d’activation au détail n’est pas envisageable pour une entreprise. De ce fait, les entreprises utilisent des licences en volume.
Auparavant, l’activation n’était requise que pour les logiciels Microsoft achetés dans des magasins et auprès de fabricants d’ordinateurs OEM. Les licences de système d’exploitation acquises via des programmes de licence en volume ne nécessitaient aucune activation.
En outre, les méthodes d’activation alors disponibles rendaient difficile le contrôle des clés produit qui accompagnaient les éditions en volume de logiciels Microsoft.
De ce fait, les clés produit en volume pour Windows XP et Windows Server 2003 étaient facilement compromises et devenaient la première source de logiciels piratés.
Pour résoudre ce problème, Microsoft a introduit une nouvelle stratégie d’activation à la sortie de Windows Vista et Windows Server 2008.

Dans le cadre de cette stratégie, toutes les éditions des systèmes d’exploitation à partir de Windows Vista et Windows Server 2008 doivent être activées, y compris celles obtenues via un programme de licence en volume.
Ces exigences s’appliquent aux ordinateurs physiques et virtuels exécutant Windows. Volume Activation 2.0 est une solution permettant aux entreprises de pallier à ces nouvelles spécifications.
Il permet d’automatiser le processus d’activation par le biais de deux méthodes :

• Clé d’Activation Multiple (MAK)
  
• Key Management Service (KMS)

Attention ! Ces méthodes d’activation ne sont disponibles que pour la version Entreprise ou Professionnel puisque vous devez bénéficier d’une Volume Licence ou d’une clé MultipleActivation.

   2.1.1 Activation par Multiple Activation Key (MAK)

     2.1.1.1 Présentation

La méthode « Clé d’activation Multiple » est utilisée dans un environnement disposant moins de 25 ordinateurs (typiquement un petit site distant).
Avec ce type d’activation, vous utilisez une clé afin d’activer un nombre spécifique d’ordinateurs.
Cette solution utilise les serveurs d’activation de Microsoft afin d’activer les postes client.
Le service d’activation de Microsoft prend en compte le nombre d’activation faite avec une clé MAK.
Ce nombre est limité et défini par le contrat passé avec Microsoft.
Il est possible d’installer ces clés individuellement sur chaque ordinateur ou de l’inclure dans une image système (typiquement une image WIM).

On distingue deux sous-méthodes :

• Activation MAK indépendante : Avec cette méthode d’activation, la clé d’activation multiple doit être entrée (lors de l’installation ou après celle-ci par le biais de l’assistant vu plus haut ou à distance avec Volume Activation Management Tool) sur chaque ordinateur pour être activée. Lorsque la clé est renseignée, chaque ordinateur doit s’activer manuellement auprès de Microsoft via Internet ou par téléphone.

•  Activation MAK par proxy : L’activation MAK par proxy permet d’activer des ordinateurs (entre 4 et 24) qui n’ont pas accès à Internet sans pour autant passer du temps à effectuer l’activation par téléphone. Avec cette méthode d’activation, on utilise VAMT (Volume Activation Management Tool) afin de collecter et stocker les numéros d’installation (Installation ID) de chaque ordinateur dans un fichier XML.
  Ensuite, avec un ordinateur disposant d’Internet, il est nécessaire d’utiliser VAMT afin de se connecter à Microsoft et obtenir les numéros de confirmation (Confirmation ID) associés aux numéros d’installation.
  Ces numéros de confirmation sont sauvegardés dans un fichier XML qui sera utilisé par le biais de VAMT afin d’activer les ordinateurs isolés. Cette méthode permet de centraliser les requêtes d’activation.
  

     2.1.1.2 Implémentation

Je passe l’installation de Volume Activation Management Tool qui ne nécessite aucune configuration particulière.
Vous devez aussi posséder une clé de type MultipleActivation et l’ordinateur hébergeant VAMT doit pouvoir accéder à Internet.
VAMT a la possibilité de se baser sur Active Directory.

Notez que VAMT est disponible en version 1.2 dans l’outil Windows Automated Installation Kit pour Windows 7 (WAIK)

        2.1.1.2.1 Prise en main de VAMT 

Attention ! Par mesure de sécurité, VAMT ne sauvegarde pas la liste des ordinateurs (et leur statut) à la fermeture du programme. Vous devez manuellement sauvegarder la liste.

Lancez VAMT :

Ajoutez des ordinateurs en cliquant droit sur « User Defined Groups » et en sélectionnant « Add Computers ».

Dans la nouvelle fenêtre, donnez un nom de groupe et sélectionnez la façon dont vous souhaitez ajouter les clients :

• En entrant manuellement les noms d’hôte ou les adresses IP
• En cherchant les ordinateurs dans Active Directory
• En cherchant les ordinateurs dans un Workgroup

Vous pouvez aussi entrer un filtre pour les noms d’ordinateur dans le cas d’une recherche.

Une fois la recherche faite ou les ordinateurs ajoutés, VAMT a pris en compte l’enregistrement de ceux-ci :

Rafraichissez le statut des ordinateurs en cliquant droit sur le groupe et en sélectionnant « Refresh Computer Status » :

Le processus de rafraichissement commence :

Une fois terminé, vous disposez du statut d’activation de chaque ordinateur.

        2.1.1.2.2 Ajouter une clé MAK

Cette étape consiste à ajouter des clés MAKs de manière à les distribuer aux clients.

Cliquez sur l’onglet « Options » et sélectionnez « Manage MAKs » :

La fenêtre de gestion des clés s’ouvre, cliquez sur « Add » pour ajouter :

Renseignez une clé produit MAK et une description puis cliquez sur « Validate » pour vérifier la clé et enfin ajoutez-la.

Une fois ajoutée, vous pouvez vérifier le nombre d’activation restant auprès des serveurs Microsoft en cliquant sur « Refresh Remaining Count » :

        2.1.1.2.3 Activation MAK indépendante 

Notez que pour une activation MAK de type indépendante, le client doit pouvoir accéder au service d’activation de Microsoft et donc bénéficier d’un accès à Internet.

Cliquez droit sur l’ordinateur (ou le groupe d’ordinateur) à activer et sélectionnez « MAK Independant Activate » :

La fenêtre permettant d’installer et d’activer une clé MAK sur des ordinateurs s’ouvre :

Il vous est possible d’installer une clé MAK et de sélectionner celle que vous souhaitez installer.

Vous pouvez aussi choisir de forcer l’activation du client.

Lancer le processus en cliquant sur OK et confirmez l’avertissement donné par VAMT :

Le processus d’installation et d’activation de la clé commence :

Une fois la clé installée et l’ordinateur activé, le statut de la licence passe en « Licensed »

Vous pouvez ensuite noter que lorsque le client est activé, le nombre d’activation restante auprès des serveurs de Microsoft a baissé :

        2.1.1.2.4 Activation MAK par proxy

Dans ce cas de figure c’est l’ordinateur où est installé VAMT qui va faire le relai entre le client (qui ne dispose pas d’Internet) et les serveurs d’activation de Microsoft. Veillez donc à ce que l’ordinateur ayant VAMT dispose d’internet.

De la même manière que précédemment, cliquez droit sur l’ordinateur (ou le groupe d’ordinateurs) à activer et sélectionnez « MAK Proxy Activate ».

La fenêtre s’ouvre. Vous pouvez choisir d’installer la clé, d’obtenir le numéro de confirmation à partir de Microsoft, et de l’appliquer sur le client afin de confirmer l’activation :

Pour connaître le processus suivi dans cette activation, lisez la partie présentation de l’activation MAK par proxy.

Une fois le processus lancé, il va suivre des étapes similaires à celui d’une activation indépendante :

A la fin de la procédure le client ne disposant pas d’Internet a pu être activé auprès de Microsoft.

Notez que quelque soit la méthode d’activation, il est possible d’entrer la clé MAK à la main sur le client et de l’activer manuellement ou par le biais de VAMT.

L’activation MAK est recommandée pour les ordinateurs qui se connectent rarement au réseau de l'entreprise et pour les environnements dont le nombre d’ordinateurs physiques est inférieur au seuil d’activation de KMS.
L’activation indépendante MAK est recommandée pour les ordinateurs d’une organisation sans connexion au réseau d’entreprise.
L’activation MAK par proxy convient aux environnements disposant d’un accès direct sécurisé à Internet ou au réseau d’entreprise.
Cependant cette solution reste limitée lorsque vous disposez de plus de 100 clients à activer. Pour cela, Microsoft a implémenté une autre solution d’activation appelée Key Management Service.

 2.2.2 Activation par Key Management Service (KMS)

     2.2.2.1 Présentation 

Nous avons vu précédemment que la méthode d’activation par clé MultipleActivation est très limitée dans le cadre d’une grosse infrastructure.
La plupart du temps, il est nécessaire d’utiliser un autre système appelé Key Management Service (KMS ou Service gestionnaire de clés).
Ce système permet l’activation des clients sans qu’ils aient besoin de contacter Microsoft. L’entreprise n’a besoin que d’une seule clé (licence en volume) pour l’ensemble des postes de son parc.
Cette clé sera installée sur un seul hôte KMS, qui communiquera avec les serveurs d’activation de Microsoft la première fois. Cet hôte n’aura donc plus besoin de contacter Microsoft par la suite.

Par défaut les ordinateurs disposant de Windows Vista ou + et Windows Server 2008 ou + (les clients KMS) tenteront automatiquement de s’activer auprès d’un serveur KMS toutes les deux heures.
Une fois activé, le client devra se réactiver périodiquement tous les 180 jours (ou 210 en comptant la période de grâce).
Les clients activés réessayeront donc de contacter le serveur KMS tous les 7 jours.
Si l’activation réussit, la période de 180 jours sera renouvelée.
Si l’activation échoue et que la période des 180 jours est dépassée, le client passera en mode de fonctionnalités réduites.

La fonctionnalité d’hôte KMS (= Serveur KMS) est disponible sur Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2.

Mais attention ! KMS dispose d’un seuil d’activation minimum qui compte le nombre de requête d’activation sur les 30 derniers jours.
En effet, ce seuil d’activation n’est pas modifiable et il assure que le système KMS n’est utilisé qu’en entreprise et ne sert pas à des fins de piratage.

Au moins 5 ordinateurs physiques sont nécessaires pour activer les serveurs KMS sous Windows Server 2008 ou Windows Server 2008 R2 et au moins 25 pour activer les serveurs KMS sous Windows Vista ou Windows 7.

Notez que dans les deux cas, les requêtes peuvent être originaires de Windows Vista (ou Windows7) et Windows Server 2008 (ou Windows Server 2008 R2).

Vous avez pu voir précédemment que les machines virtuelles n’entrent pas en compte dans la prise en compte du seuil d’activation. Il est cependant (une fois le seuil d’activation atteint) possible d’activer des machines virtuelles par le biais de KMS.

Nous avons vu plus tôt que lors d’une activation, c’est le client qui doit contacter son serveur KMS. De ce fait, la problématique suivante émane : Comment le client sait quelle machine contacter ?

Il existe deux méthodes de découverte :

• L’auto-découverte : Le client utilise un enregistrement DNS de type SRV (Service) afin de contacter le serveur KMS. Cette méthode nécessite donc l’utilisation d’un serveur DNS. Le client va donc contacter le serveur DNS afin de connaître l’enregistrement : named _vlmcs._TCP pointant sur le serveur KMS.
  
  Notez que le serveur KMS tentera automatiquement de créer cet enregistrement SRV en utilisant la méthode d’enregistrement automatique DNS.
  Si cette fonctionnalité n’est pas activée, il est nécessaire de créer l’enregistrement à la main.
  

• Par connexion directe : il est possible d’utiliser le script Windows Software Licensing Management Tool ou Slmgr.vbs afin de spécifier un serveur KMS sur le client.

Vous devez utiliser la commande suivante : « cscript %systemroot%\system32\slmgr.vbs –skms  <Serveur-KMS> »

Nous avons vu le fonctionnement de KMS, nous allons voir dans la partie suivante l’installation et la configuration d’un serveur KMS.

     2.2.2.2 Installation et Configuration d’un Serveur KMS

Pour cette partie, vous devez disposez d’une clé (licence en volume) et d’une machine hôte (Windows Vista ou Windows 7 ou Windows Server 2008 ou Windows Server 2008 R2) servant de serveur KMS.

Notez qu’un module servant de serveur KMS pour Windows Server 2003 est disponible.

Nous allons installer la clé de licence en volume sur le serveur KMS.
Pour cela, ouvrez une invite de commande et tapez la commande « cscript %systemroot%\system32\slmgr.vbs –ipk  <Volume-Key> » :

Il faut ensuite activer le serveur KMS en utilisant Internet (Notez qu’il est possible de l’activer par téléphone) : « cscript %systemroot%\system32\slmgr.vbs –ato  »

Veillez aussi à ce que le port dédié à KMS (1688/TCP par défaut) soit ouvert sur les firewalls du serveur et du client.

Notez que vous pouvez utiliser VAMT afin de connaître le statut des clients KMS.

L’avantage de cette méthode est quelle permet une automatisation complète du processus d’activation et ne nécessite donc pas une intervention humaine.
Cependant, les clients KMS doivent se réactiver auprès du serveur KMS. Il est donc nécessaire de s’assurer que ce serveur KMS sera toujours disponible afin que tous les clients puissent se réactiver sans problème.

     2.2.2.3 Sécurisation du Serveur KMS

La question qui doit sûrement vous trotter dans la tête c’est : « Si un client externe se connecte sur mon réseau, il aura accès aux enregistrements DNS et donc pourra s’activer auprès du serveur KMS ? »

La réponse est OUI, le processus d’échange entre le client KMS et son serveur n’inclut pas d’étape d’authentification et d’autorisation.
Le client n’a donc pas à prouver son identité afin d’accéder au service.

Il est en premier lieu nécessaire de sécuriser l’accès au serveur KMS par le biais du firewall d’entreprise afin que des personnes extérieures au réseau ne puissent y accéder.
 La mise en place d’une stratégie de contrôle d’accès au réseau interne est nécessaire mais difficile à mettre en œuvre.

Pour cela, il est nécessaire d’isoler le serveur par le biais de différentes solutions d’isolation.
Celles-ci restreindront l’accès au serveur et nécessiteront au moins une phase d’authentification et d’autorisation.
Il va de soit que l’utilisation d’une architecture Active Directory est nécessaire pour authentifier les clients.

La mise en place d’une stratégie IPSec est la meilleure méthode de sécurisation et d’isolation de votre serveur.
Pour rappel, IPsec bloque le trafic émanent des ordinateurs non connus.

Je vous renvoi vers la documentation Technet pour connaître la procédure de mise en place de cette solution : http://technet.microsoft.com/en-us/library/cc723923.aspx

 2.3 Informations supplémentaires

   2.3.1 Désactiver la fonctionnalité Windows Anytime Upgrade

Il est important en entreprise de pouvoir contrôler la conformité des postes (système d’exploitation, édition installée, etc…).

Avec Windows Vista (ou +), il est possible d’upgrader son édition vers une édition supérieure à la sienne par le biais des chemins de migration mis en place par Microsoft et de l’outil Windows Anytime Upgrade.

Notez que cet outil n’est pas disponible sur l’édition Enterprise et Ultimate.

Afin de désactiver cette fonctionnalité, vous pouvez modifier une clé de registre sur le client présente dans « HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer » :

Si nécessaire, vous pouvez créer la clé WAU dans la clé Explorer et sa valeur (type DWORD (32bit)) Disabled portant la valeur 1.

Une fois l’opération faite, Windows Anytime Upgrade n’est plus accessible :

   2.3.2 Désactiver l’activation automatique des clients KMS

Attention ! Il est fortement déconseillé de désactiver cette fonctionnalité qui pourrait entrainer de sérieux problèmes sur l’ordinateur client.

Afin de désactiver cette fonctionnalité, vous pouvez modifier une clé de registre sur le client présente dans « HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SL\Activation » :

Passez la valeur de la clé « Manual » à 1.

   2.3.3 Activer l’auto-découverte des clients KMS

Dans la partie 2.2.2.1, je vous ai montré comment spécifier un serveur KMS à un client.

Dans cette partie, vous allez voir comment revenir à un mode d’auto-découverte.

Vous devez utiliser la commande suivante : « cscript %systemroot%\system32\slmgr.vbs –ckms  »

   2.3.4 Description des différents statuts de licence dans VAMT 

• Initial Out-of-Box Grace (OOB grace) : correspond à la période de grace précédent l’activation de Windows (elle est de 30 ou 60 Jours)
  
• Licensed : l’ordinateur a été activé.
  
• License renewed : Le client KMS a renouvelé son activation.
  
• Non-Genuine-Grace : correspond à l’ensemble des ordinateurs n’ayant pas pu valider Windows Genuine Advandage et présentant un problème d’authenticité.
  
• Out of Tolerance (OOT) Grace : correspond à l’ensemble des ordinateurs ayant eu un changement significatif du matériel  entrainant une invalidation de l’activation. Ce statut correspond à tous les clients KMS n’ayant pas pu renouveler leur activation depuis plus de 180 Jours.
  
• Unlicensed : correspond à l’ensemble des ordinateurs (Windows Vista sans SP) qui ont dépassé la période de grâce et son entrée dans le mode de fonctionnalités réduites.
  
• Notification : équivaut à tous les ordinateurs (Windows Vista SP1 ou plus et Windows Server 2008 ou plus) n’ayant pas pu s’activer et ayant dépassé la période de grâce. Ils sont entrés en mode de Notifications.

   2.3.5 Création manuelle de l’enregistrement SRV pour KMS 

Dans cette partie, je vais détailler comment créer manuellement un enregistrement SRV pour le système KMS.

Ouvrez DNS Manager et cliquez droit sur le nom de domaine dans la partie « Forward Lookup Zones ». Sélectionnez « Other New Records… », puis créez un enregistrement de type « Service Location (SRV) » :

Entrez les informations comme suit (avec pour hostname, le FQDN du serveur KMS) :

Vérifiez que l’enregistrement a été ajouté dans le dossier « _tcp » :

   2.3.6 Documentations Utiles 

Guide de planification : http://technet.microsoft.com/fr-fr/library/cc303276.aspx

Guide de déploiement : http://technet.microsoft.com/fr-fr/library/cc303280.aspx

Guide des opérations : http://technet.microsoft.com/fr-fr/library/cc303695.aspx

Les changements pour Windows Server 2008 et Windows Vista : http://technet.microsoft.com/fr-fr/library/cc308698.aspx

Conclusion

Nous avons vu différents types d’activation allant de l’activation au détail ou OEM aux différentes méthodes d’activation proposées aux entreprises.
Pour ce qui est des entreprises, nous avons vu que chaque méthode d’activation a ses avantages et ses inconvénients. Il se peut donc que l’entreprise implémente les deux méthodes d’activation par le biais du service gestionnaire de clés ou des clés d’activation multiple.
Les clés d’activation multiple peuvent servir pour des ordinateurs ne se situant pas au sein du réseau d’entreprise sur des longues périodes (utilisateur mobile).
Le service KMS peut servir pour tous les autres types de scénarii.
Il existe aussi des produits permettant le monitoring des licences comme Asset Intelligence par le biais de System Management Server (SMS) 2003 SP3 ou System Center Configuration Manager (SCCM) 2007.
Il ne fait aucun doute qu’avec l’arrivée de Windows Vista ou celle de Windows 7 (pour les entreprises n’ayant pas fait le pas avec Windows Vista), elles devront mettre en place une stratégie d’activation qui n’existait pas sous les anciens systèmes d’exploitation.
Aujourd’hui ce nouveau type d’infrastructure est une question au cœur des entreprises ; il n’est plus possible d’y échapper.

Bonne Nouvelle !! qui va ravir les forums d'aide sur les technologies Microsoft, puisque la corbeille ne peut plus être supprimer sous Windows 7.

Avec Windows Vista, il était possible en cliquant droit sur la corbeille de la supprimer :

De ce fait, beaucoup d'utilisateurs venaient sur les forums pour demander comment remettre celle-ci sur le bureau.

Avec Windows 7, les équipes de développement de Microsoft ont reconsidéré la chose en supprimant cette possibilité :

Il est toujours possible de supprimer le raccourci en cliquant droit sur le bureau puis en choisissant Personnaliser puis "Changer les icônes de bureau" :