Support de cours sur Windows 7 :

Salut à tous

Je viens de terminer le nouveau support de cours sur Windows 7.
Au menu :
1. Configuration avancé de Windows 7:
Configuration réseau, services, disques, ajout de composant.
La base de registre Windows 7, les fichiers systèmes / démarrage.
2. Authentification Windows 7 :
Un peu de théorie (SID, TGT, TGS)
Présentation de la base SAM et de l’annuaire Active Directory.
Comment une station de travail détecte un contrôleur de domaine.
3. Partager des fichiers sous Windows 7:
Sécurisation d’un dossier avec des permissions NTFS / création de partages
Les bonnes pratiques pour sécuriser un dossier avec des ressources Active Directory
4. Internet Explorer :
Les protocoles d’authentification, les zones de sécurité, le mode compatibilité
5. Les outils d’administration de Windows 7 :
Les consoles MMC / RSAT.
PowerShell.
Prise en main à distance avec le Bureau à distance et l’assistance à distance.
6. Gestion de la configuration station de travail Windows 7 :
Les stratégies de groupe
Les scripts de login.
7. Sécuriser une station de travail avec Windows 7 :
Le pare feu
L’UAC
Les risques liés au virus et aux failles de sécurité.
APPLOCKER
8. Déploiement Windows 7 :
WAIK, WDS , MDT
9. Dépannage Windows 7 :
Méthodologie
Les outils de diagnostics.

Pour télécharger le support de cours, cliquer sur le lien ci dessous :
http://msreport.free.fr/articles/Administration_Windows_7.pdf

Bonne lecture.

A+

Guillaume MATHIEU
Consultant PROSERVIA (MANPOWERGROUP SOLUTIONS)
Le bonheur, c’est le partage.
http://msreport.free.fr

Publié dans GPO, Registre, Sécurité, Système, Troubleshouting, Virus, Windows Seven, Wsus | Un commentaire

Comment ouvrir son système d’informations aux utilisateurs externes ?

Bonjour

DESCRIPTION DU BESOIN :
La direction souhaite donner accès à des ressources internes à des utilisateurs externes à sa société (partenaire sur un projet, client).
Les utilisateurs externes ne doivent pas pouvoir accéder aux données confidentielles de l’entreprise (sur les serveurs de fichiers, données RH…).
Je pars du principe que l’entreprise dispose d’un annuaire Active Directory existant avec 1 domaine dans 1 forêt (pour les utilisateurs de la société) appelé MSREPORT.INTRA. Tous les serveurs d’entreprise sont sous Windows et sont membres du domaine MSREPORT.INTRA.
Les utilisateurs doivent pouvoir accéder à des serveurs de fichiers, des serveurs SharePoint (extranet) et du serveur Terminal Server / Citrix (serveurs applicatifs) ainsi qu’à des applications web.
Nous allons voir dans cet article comment restreindre les accès à des utilisateurs externes au niveau des mécanismes d’authentification. Nous ne traiterons pas des autres mécanismes : mise en place de restrictions au niveau du réseau d’entreprise, politique d’authentification forte avec archivages des connexions.

ARCHITECTURE CIBLE POSSIBLE :
Généralement, 5 solutions sont proposées :
- Scénario 1 : Créer les comptes des utilisateurs externes dans le domaine interne.
- Scénario 2 : Créer les comptes des utilisateurs externes dans autre domaine dans la même forêt.
- Scénario 3 : Créer les comptes des utilisateurs externes dans une seconde forêt et créer une relation d’approbation avec authentification sélective.
- Scénario 4 : Créer les comptes utilisateurs externes dans une base ADAM ou une base SQL et configurer l’application en questions pour s’authentifier avec cette base de compte.

Nous allons commencer par exclure le scénario 4 car il ne répond pas aux cahiers des charges. Je ne peux pas accéder à des serveurs de fichiers en m’authentifiant dans une base ADAM / SQL.

RAPPEL DES RISQUES :
Par défaut, le groupe « Utilisateurs authentifiés » a :
- Le droit de créer des fichiers et lire les fichiers sur un serveur de fichiers Windows.
- Le droit d’accéder à un site web SharePoint.
- D’ouvrir une session sur un serveur Terminal Server (mode serveur d’applications). Pour Citrix, il faut que l’administrateur est créé une publication donc c’est déjà moins risqué…

SCENARIO 1 : CREER LES COMPTES DES UTILISATEURS EXTERNES DANS LE DOMAINE INTERNE.
Tous les utilisateurs du domaine sont membres des groupes « Utilisateurs du domaine » et membre du groupe système « Utilisateurs authentifiés ».Nos utilisateurs externes ont donc accès ont donc par défaut de nombreux accès sur les serveurs de fichiers, SharePoint et serveur Terminal Server / Citrix.

Comment restreindre ces accès ?
- Créer le groupe « EXTRANET-USERS ».
- Ajouter les utilisateurs externes aux groupes « EXTRANET-USERS ».
- Configurer le compte utilisateur externe afin que ce dernier ne puisse ouvrir des sessions que sur certaines machines. Pour cela, aller dans les propriétés du compte utilisateur, dans l’onglet « Account » puis cliquer sur le bouton « Log on To » et cocher la case « The following computers ». Entrer la liste des machines sur lesquels l’utilisateur peut ouvrir sa session. L’attribut sous-jacent gère jusqu’à 1024 valeurs. Cette méthode empêche l’ouverture de session en locale mais l’utilisateur peut toujours accéder à des machines non autorisées via le réseau (accès aux partages).
Une alternative à cette méthode est de configurer le paramètre de GPO « Deny logon locally » au groupe « EXTRANET-USERS » et appliquer cette GPO sur les machines Windows réservées aux utilisateurs internes.
- Configurer le paramètre de GPO « Deny Access to this computer from the network » au groupe « EXTRANET-USERS » et appliquer cette GPO sur les machines Windows réservées aux utilisateurs internes. Ce paramètre va empêcher les utilisateurs externes d’accéder aux ressources internes.

SCENARIO 2 : CREER LES COMPTES DES UTILISATEURS EXTERNES DANS AUTRE DOMAINE DANS LA MEME FORET :
Je trouve ce scénario sans intérêt. Les forêts avec plusieurs domaines sont plus complexe à gérer.
Par défaut, Active Directory crée des relations d’approbations entre domaines d’une même forêt qui ne peuvent pas être supprimées et sur lesquels on ne peut pas activer l’authentification sélective (on en parle juste en dessous).
Un utilisateur du domaine A sera donc « Utilisateurs authentifiées » dans le domaine B et inversement. On se retrouve dans le même cas que le scénario 1 au niveau sécurité.

SCENARIO 3 : CREER LES COMPTES DES UTILISATEURS EXTERNES DANS UNE SECONDE FORET ET CREER UNE RELATION D’APPROBATION AVEC AUTHENTIFICATION SELECTIVE :
C’est clairement le scénario qui offre le meilleur niveau de sécurisation.
Le principe est de :
- Créer un domaine dans une forêt séparé.
- Créer une relation d’approbation bidirectionnel (voir monodirectionnel selon le besoin) entre ces deux forêts (relation d’approbation inter-forêts).
- Activer l’authentification sélective au niveau de la relation d’approbation.
- Configurer les accès dans les domaines. Pour donner accès à une ressource Y1 membre du domaine Y (de la forêt Y)  à un utilisateur du domaine X (de forêt X), vous devez donner le droit « Allowed to authenticate » sur le compte ordinateur de la machine Y1 à l’utilisateur du domaine X (de la forêt X). Dans le cas contraire si l’utilisateur essaie d’accéder à la ressource, il a le message d’erreur suivant « Logon Failure. The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine ».

La solution est très sécurisée par défaut mais a les inconvénients suivants :
- Vous avez deux annuaires Active Directory à gérer.
- Il faut configurer les permissions au niveau des comptes ordinateurs des serveurs de ressources (la permission « Allowed to authenticate »).
- Si vous utilisez des reverse proxy comme Forefront TMG pour publier l’Extranet, la délégation Kerberos ne fonctionne pas si le serveur Forefront TMG est dans le domaine des utilisateurs internes.
- Il faut obligatoirement activer l’authentification sélective au niveau de la relation d’approbation sinon on a les mêmes contraintes que le scénario 1 et 2.

POUR CONCLURE :
Je vous invite à partir sur le scénario 1 (domaine unique dans une forêt unique) ou sur le scanério 3 (domaine dans une forêt séparé pour les utilisateurs externes avec authentification sélective).

Pour plus d’informations :
- http://technet.microsoft.com/en-us/library/gg502594.aspx
- http://blog.msfirewall.org.uk/2008/06/using-isa-server-2006-to-protect-active.html
- http://technet.microsoft.com/en-us/library/cc995228.aspx
- http://4sysops.com/archives/how-to-use-kerberos-constrained-delegation-with-forefront-tmg/

A+

Guillaume MATHIEU
Consultant Architecture & Intégration PROSERVIA
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Active Directory, Relation d'approbation, Sécurité, Windows 2003 Server, Windows Server 2008, Windows Server 2008 R2 | Marqué avec , , , , , | Laisser un commentaire

Test de SAMBA 4 RC1, une vraie alternative à Active Directory

Bonjour

Je viens de terminer les tests sur SAMBA 4 RC1. Le moins que l’on puisse dire, c’est que l’équipe de développement à bien travailler. Je vous invite à lire les articles suivants sur SAMBA 4 RC1.
http://wiki.samba.org/index.php/Samba4/Releases/4.0.0rc1
http://linuxfr.org/users/trictrac/journaux/samba4-disponible-en-rc

Cet article a pour but :
- De présenter la procédure de déploiement de SAMBA 4 RC1 sur un serveur Debian 6 X64 (machine virtuelle VMware Workstation 9.0).
- De valider le fait qu’un contrôleur de domaine Windows 2008 R2 peut répliquer avec l’annuaire SAMBA.
- De présenter les nouveautés de SAMBA 4 RC1 : SAMBA 4 intègre de base un serveur DNS et d’un serveur Kerberos.

1. DEPLOIEMENT DU SERVEUR SAMBA 4 :
Nous allons déployer ici une version de SAMBA 4 RC1.

1.1 PREPARATION DE LA MACHINE :
Faire une installation par défaut de Debian 6 X64.
Installer ensuite les VMware Tools. Pour cela :
apt-get install autoconf
apt-get install gcc-4.3*
apt-get install linux-headers-$(uname -r)
Dans le menu VM | Install VMware Tools.
Copier le fichier VMTools dans un répertoire de travail cp /media/cdrom/VMwareTools-8.4.2-261058.tar.gz /usr/local/src
Se positionner dans le répertoire cd /usr/local/src
Décompresser le fichier VMTools tar xzf /usr/local/src/VMwareTools-8.4.2-261058.tar.gz
Se positionner dans le répertoire cd /usr/local/src/vmware-tools-distrib/
Lancer le script ./vmware-install.pl
Répondre par défaut aux questions (touche entrée).
Les VMTools doivent s’installer et le cdrom virtuel se démonte automatiquement.
Redémarrer.
Pour plus d’informations sur l’installation des VMware Tools, voir l’article suivant :
http://eric.coquard.free.fr/Blog/files/86b7d124a6befcd0f4f1c2470c8dc04a-35.html
Changer la résolution de l’écran.
xrandr –size 1024×768
Configurer la machine avec une adresse IP fixe. Pour cela, éditer le fichier /etc/network/interfaces.
Pour plus d’informations, voir article suivant : http://www.commentcamarche.net/forum/affich-9368061-ip-statique-debian

1.2 INSTALLATION DES PREREQUIS SAMBA :
Installer les paquetages suivants :
apt-get install build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev  python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils
Ne pas installer les paquetages « krb5-config » (serveur Kerberos), « bind9 » et « bind9-host « (serveur DNS). SAMBA 4 intègre un serveur Kerberos et un serveur DNS.
Je vous invite aussi à installer VIM (éditeur de texte), NMAP (scan de port)
apt-get install vim
apt-get install nmap

1.3 CONFIGURER LE DISQUE POUR PRENDRE EN CHARGE LES PERMISSIONS ETENDUES :
Pour simplifier, les permissions étendues permettent une émulation / traduction des permissions NTFS par SAMBA sur un serveur Linux. On va modifier pour cela le fichier /etc/fstab :
cp /etc/fstab /etc/fstab.bak
vim /etc/fstab.
Il faut ajouter les paramètres user_xattr,acl  au niveau de la partition « / ». dans le cas contraire on aura une erreur à l’installation de SAMBA 4 (au make install).

Ci-dessous mon fichier /etc/fstab après modification :
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults        0       0
# / was on /dev/sda1 during installation
UUID=6a9967ea-2ecc-403a-ab0c-5b54d46beb6c /   ext3  user_xattr,acl,errors=remount-ro   1  1
# swap was on /dev/sda5 during installation
UUID=dbabf6f1-8609-47b6-9a41-4719bf302cfb none            swap    sw              0       0
/dev/scd0       /media/cdrom0   udf,iso9660 user,noauto     0       0
/dev/fd0        /media/floppy0  auto    rw,user,noauto  0       0
Pour plus d’informations, voir :
http://wiki.samba.org/index.php/Samba_4_OS_Requirements

1.4 TELECHARGEMENT DES SOURCES SAMBA 4 RC1:
J’ai rencontré pas mal de mal problème à l’installation de SAMBA 4 sur DEBIAN.
Je déconseille de passer pour l’instant par les paquetages non supportés (SID) Debian.
Nous allons effectuer une installation manuelle via les sources SAMBA 4 RC1.
Je vous invite donc à télécharger directement la version RC1 sur le site de SAMBA.
http://www.h-online.com/open/news/item/First-release-candidate-for-Samba-4-is-available-1708247.html
http://ftp.samba.org/pub/samba/samba4/

1.5 COMPILATION ET INSTALLATION DE SAMBA 4 ET CREATION DU DOMAINE :
On va maintenant appliquer la procédure suivante (étape 2) :
http://wiki.samba.org/index.php/Samba4/HOWTO
Extraire l’archive SAMBA 4 téléchargé via l’interface graphique ou avec la commande tar xzf nom-archive.gz
Ouvrir un terminal en mode administrateur et aller dans le répertoire correspondant aux sources d’installation.
Pour préparer les sources, taper la commande suivante :
./configure.developer
Pour compiler les sources SAMBA 4 RC1, taper la commande suivante :
make
Pour installer SAMBA, taper la commande suivante :
make install
L’installation de SAMBA 4 RC1 se trouve dans /usr/local/samba.

Il faut maintenant créer le domaine. On va créer le domaine Active Directory MSREPORT.INTRA. Pour cela, taper la commande suivante :
/usr/local/samba/bin/samba-tool domain provision –realm=msreport.intra –domain=MSREPORT –adminpass=’P@ssword’ –server-role=dc
L’assistant se termine en affichant le nom du SID du domaine.

1.6 CONFIGURATION DU SERVEUR DNS UTILISE PAR SAMBA :
Configurer le serveur Debian / SAMBA en tant que serveur DNS principal (il est son propre serveur).
Dans mon cas le serveur DEBIAN 6 / SAMBA 4 RC1 a pour IP 192.168.209.111.
Pour cela éditer le fichier /etc/resolv.conf :
vim /etc/resolv.conf

Modifier les valeurs des lignes « domain », « search » et « name server ». Le contenu du fichier /etc/resolv.conf est le suivant après modification :
domain msreport.intra
search msreport.intra
nameserver 192.168.209.111

1.7 DEMARRER LES SERVICES SAMBA ET VERIFIER QUE LES SERVICES SAMBA SONT DEMARRES :
Pour démarrer le serveur SAMBA RC1, taper la commande suivante :
/usr/local/samba/sbin/samba
Pour vérifier que les services SAMBA sont démarrés, taper la commande suivante :
nmap addressIPServeur
Eviter de taper « nmap localhost » car on ne voit pas le service DNS en écoute. On obtient le résultat suivant :
53/tcp   open  domain
80/tcp   open  http
88/tcp   open  kerberos-sec
111/tcp  open  rpcbind
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
389/tcp  open  ldap
445/tcp  open  microsoft-ds
464/tcp  open  kpasswd5
636/tcp  open  ldapssl
1024/tcp open  kdm
3268/tcp open  globalcatLDAP
3269/tcp open  globalcatLDAPssl
Les services ci-dessus doivent obligatoirement être démarrés.
Pour information pour arrêter les services SAMBA 4, taper la commande suivante :
Killall samba

1.8 CONFIGURATION DE KERBEROS :
J’ai pas mal galéré à cette étape. Je ne sais toujours pas quel est le fichier réellement utilisé. La procédure du WIKI SAMBA demande de créer un fichier /etc/krb.conf à partir du fichier modèle /usr/local/samba/share/setup/krb5.conf
Cette procédure ne marche pas. De plus je n’ai pas les outils KINIT et KLIST de base.
J’ai donc effectué les actions suivantes :
- Copie du fichier modèle krb.conf
cp /usr/local/samba/share/setup/krb5.conf /etc/krb.conf
- Modification du fichier krb.conf. Le contenu du fichier krb.conf est le suivant après modification.
[libdefaults]
        default_realm = MSREPORT.INTRA
        dns_lookup_realm = false
        dns_lookup_kdc = true
- J’ai ensuite installé le paquet KRB5-user pour disposer des outils KINIT et KLIST. Pour cela, taper la commande suivante :
apt-get install krb5-user
- Un assistant apparaît et me demande les éléments suivants.
Entrer le « nom du serveur de royaume ». Taper le nom complet du serveur SAMBA 4. Dans notre cas : FR092VM0001.MSREPORT.INTRA.
Entrer le « nom du serveur administratif du royaume Kerberos ». Taper le nom complet du serveur SAMBA 4. Dans notre cas : FR092VM0001.MSREPORT.INTRA.
Cela génère alors le fichier /etc/krb5.conf suivant :
[libdefaults]
        default_realm = MSREPORT.INTRA

# The following krb5.conf variables are only for MIT Kerberos.
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

# The following libdefaults parameters are only for Heimdal Kerberos.
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true

Cela fonctionne une fois le paquetage Kerberos client installé et configuré. Pour tester le bon fonctionnement de Kerberos, taper la commande :
Kinit administrator@MSREPORT.INTRA
Saisir le mot de passe.
Le système doit vous renvoyer « Warning : Your password will expire in 41 days on… ».

1.9 VERIFIER LA CONFIGURATION DU SERVEUR DNS INTERNE :
Les enregistrements DNS de services (type SRV) permettent entre autres aux clients Windows de localiser les contrôleurs de domaine. Ils permettent aussi aux contrôleurs de domaine de répliquer entre eux. Dans mon cas, le nom du domaine est MSREPORT.INTRA. Taper les commandes suivantes
host -t SRV _ldap._tcp.msreport.intra
On doit obtenir la réponse suivante :
_ldap._tcp.msreport.intra has SRV record 0 100 389 fr092vm0001.msreport.intra.
_ldap._tcp.msreport.intra has SRV record 0 100 389 fr075vm0001.msreport.intra.

host -t SRV _kerberos._udp.msreport.intra
On doit obtenir la réponse suivante :
_kerberos._udp.msreport.intra has SRV record 0 100 88 fr092vm0001.msreport.intra.
_kerberos._udp.msreport.intra has SRV record 0 100 88 fr075vm0001.msreport.intra

En cas d’erreurs, forcer la mise à jour dynamique DNS :
Pour cela, taper la commande suivante :
/usr/local/samba/sbin/samba_dnsupdate
Cette commande permet au serveur SAMBA 4 RC1 de recréer les enregistrements dynamique DNS.

2 TESTS EFFECTUES :
J’ai effectué les tests suivants avec succès :
- Le domaine est créé en mode natif 2003.
- La jonction d’une machine Windows Seven X64 SP1 au domaine MSREPORT.INTRA fonctionne correctement tout comme l’authentification.
- La création d’un partage depuis le « Computer Management » de Windows 7 SP1 n’est pas possible. Par contre je peux visualiser les partages existants (NETLOGON et SYSVOL).
- Depuis une station de travail, la connexion aux liens DFS \\msreport.intra\netlogon et \\msreport.intra\sysvol  fonctionne (mappage DFS).
- L’installation d’un second contrôleur de domaine Windows 2008 R2 fonctionne via l’assistant DCPROMO.
- La réplication des objets (zone DNS, comptes utilisateurs, groupes, OU) fonctionnent.
- J’ai installé les RSAT sur la machine Windows 7 SP1 pour administrer l’annuaire SAMBA 4 (sous Debian 6). Cela fonctionne. Pour télécharger les RSAT :
http://www.microsoft.com/en-us/download/details.aspx?id=7887
- Le transfert des rôles FSMO depuis le serveur SAMBA 4 vers le contrôleur de domaine Active Directory fonctionne.

La page suivante le stade d’avancement de SAMBA 4 et les limites actuelles du produits (pas de réplication DRS-R par exemple, pas de RODC, pas de support installation d’Exchange…).
http://wiki.samba.org/index.php/Samba4/DRS_TODO_List

Pour conclure, je tiens à saluer le travail de l’équipe de développement de SAMBA 4.
Il reste cependant encore pas mal de travail. Beaucoup de fonctionnalités encore non implémentés au niveau de la console DNS par exemple…

A+
Guillaume MATHIEU
Consultant Architecture & Intégration PROSERVIA
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Active Directory, Annuaire, Dns, SAMBA, Système, Windows 2000 Server, Windows 2003 Server, Windows Server 2008, Windows Server 2008 R2 | Marqué avec , , , , , | 4 commentaires

Problème de réplication Active Directory entre un contrôleur de domaine Windows 2003 et Windows 2008 R2 -> résolu avec Port Query UI

Bonjour

DESCRIPTION DU PROBLEME :
Un contrôleur de domaine Windows 2003 refusait de répliquer avec des contrôleurs de domaine Windows Server 2008 R2.
Ce même contrôleur de domaine arrivait à répliquer avec un autre serveur Windows 2003.

ANALYSE DU PROBLEME :
Pour rappel la réplication Active Directory utilise des ports RPC.
Le contrôleur de domaine qui initie la réplication se connecte sur le port TCP 135 de l’autre serveur et négocie avec lui le / les ports à utiliser pour la réplication.
- Windows 2003 Server va utiliser des ports pour répliquer dans la plage 1024 – 5000 (TCP ou UDP).
- Windows 2008 / 2008 R2 va utiliser des ports pour répliquer dans la plage 49152-65535 (TCP ou UDP).
Pour plus d’informations sur les ports de réplication Active Directory :
http://blogs.technet.com/b/askds/archive/2007/08/24/dynamic-client-ports-in-windows-server-2008-and-windows-vista-or-how-i-learned-to-stop-worrying-and-love-the-iana.aspx

Mon problème provenait du fait que l’administrateur réseau avait bloqué la plage de ports dynamique 10000 – 65535.

COMMENT DIAGNOSTIQUER CE TYPE DE PROBLEME :
La première chose est de vérifier la connectivité réseau et le bon fonctionnement du routage (le fameux PING).
La seconde étape est d’utiliser le client Telnet (à ajouter comme fonctionnalité sous Windows Vista / Seven).
Je peux par exemple valider que le port 25 est en écoute en tapant la commande suivante :
Telnet ip_serveur 25
La commande TELNET ne permet cependant que de diagnostiquer les ports TCP.
Pour faire un diagnostique sur des ports UDP et TCP, j’utilise sous Windows l’utilitaire Port Query UI.
http://www.microsoft.com/en-us/download/details.aspx?id=24009
Ce scanner de ports est rapidement devenu un des mes outils de diagnostics préférés.
Il permet de simuler du trafic LDAP / RPC et de scanner un port ou une plage de ports.

A+

Guillaume MATHIEU
Consultant Architecture & Intégration PROSERVIA
http://msreport.free.fr
La connaissance s’accroît quand on la partage.

Publié dans Active Directory, Annuaire, Outils, Sécurité, Système, Troubleshouting, Windows 2003 Server, Windows Server 2008 R2 | Laisser un commentaire

Les réseaux Isa Server 2004 / 2006 / Forefont TMG 2010

Salut à tous

Les réseaux Isa Server sont des éléments très importants dans la configuration d’Isa Server. En effet, Isa Server ne peut filtrer le trafic que entre deux machines que si ces deux machines sont sur deux réseaux Isa Server différents. Nous allons voir dans ce dossier que la création de réseau Isa Server répond à des règles très particlières.

Règles générales :

1. Isa Server doit disposer d’au moins deux cartes réseaux pour fonctionner en mode pare feu (une seule en mode proxy uniquement). Ces cartes doivent être configurées avec une adresse IP fixe (sauf éventuellement pour la carte réseau externe).
2. Configurer les cartes réseaux de votre serveur Isa 2004 avec des adresses IP standard (voir site suivant : http://www.commentcamarche.net/internet/ip.php3). Il faut par exemple éviter d’utiliser une adresse IP 192.168.99.1 avec un masque de sous réseau 255.0.0.0.
3. Un réseau Isa Server 2004 est un ensemble d’adresse IP. Isa Server filtre uniquement le trafic réseau entre deux réseaux Isa Server (un réseau source et un réseau destination). Isa Server ne peut donc pas faire de filtrage entre deux adresses IP appartenant au même réseau Isa Server.
4. Après installation (serveur avec deux cartes réseaux), Isa Server 2004 dispose de 4 réseaux prédéfinis :
- Interne : géré manuellement
- Externe : géré dynamiquement par Isa Server 2004. Correspond à toutes les adresses IP moins l’ensemble des adresses IP des autres réseaux Isa Server).
- VPN : géré dynamiquement par Isa Server 2004
- VPN : géré dynamiquement par Isa Server 2004
5. Les réseaux que vous créez dans Isa Server 2004 doivent être cohérents avec la table de routage du serveur Isa 2004. Par exemple, vous ne pouvez pas avoir deux réseaux Isa Server qui se réfèrent à la même interface réseau.
6. Les règles de réseau définissent le type de relation entre les réseaux. Il en existe deux types :
- Routage : généralement entre deux réseaux avec une adresse privée ou deux réseaux avec une adresse publique (routable sur Internet)
- NAT : généralement entre un réseau avec un adressage IP privé (10.0.0.1/8 à 10.255.255.254/8, 172.16.0.1/16 à 172.31.255.254/16 et 192.168.0.1/24 à 192.168.0.254/24) et un réseau avec un adressage IP publique.
Il arrive que l’on souhaite définir une relation Nat entre deux réseaux avec une adresse IP privée.

Avec un réseau complexe :

Si votre réseau interne est segmenté par plusieurs routeurs, penser à inclure tous vos sous réseaux IP dans la table d’adresse local (Réseau Interne) d’Isa Server afin que les réseaux Isa Server soient cohérents avec votre table d’adresse local.
Si vous configurez une relation de routage entre deux réseaux Isa 2004, chacun des deux réseaux étant segmentés en plusieurs sous réseaux (avec des routeurs), il faut penser à ajouter manuellement les routes sur les routeurs.
Si votre réseau interne est segmenté en plusieurs sous réseau (utilisation de routeurs), configurer les clients Secure Nat avec l’adresse du routeur (s’il existe un roiuteur entre la machine et le serveur Isa). Configurer ensuite sur le routeur, la route vers le serveur Isa comme la route par défaut.

Exemple :

Dans l’exemple ci dessous, vous devez ajouter dans le réseau Interne d’Isa Server 2004 les plages d’adresses IP suivantes :
- 192.168.1.0 à 192.168.1.255
- 192.168.2.0 à 192.168.2.255
- 192.168.3.0 à 192.168.1.255

 

Pour plus d’informations:
http://www.microsoft.com/technet/isa/2004/plan/bp_networks.mspx
Je vous invite aussi à lire mon support de cours sur Isa Server 2006 :
http://msreport.free.fr/articles/IsaServer2006.pdf

A+
Guillaume MATHIEU
Consultant pôle Architecture & Intégration PROSERVIA (groupe MANPOWER).
http://msreport.free.fr
La connaissance s’accroît quand on la partage.

Publié dans Windows Server 2008 | Laisser un commentaire

Comment ajouter une adresse email et la définir comme principale pour 15000 contacts -> mais avec ADModify.NET

Salut à tous

Cette article a pour but de :
* Vous présenter l’outil ADModify.NET.
* Expliquer un cas concret : l’ajout d’une adresse email et la définition de cette adresse comme principale sur 15000 contacts.
* Vous présenter la console ADSIEDIT et vous présenter en quoi cette console va nous être utile dans le cadre de l’utilisation d’ADModify.NET.
Une version électronique est disponible sur http://msreport.free.fr/articles/ajout_15000_contacts.pdf

Dans notre exemple, chaque contact dispose de deux adresses différentes :
* La première adresse est spécifiée dans le champ « Adresse de messagerie » au niveau de l’onglet « Général ».
* La seconde adresse est spécifiée au niveau de l’onglet « Exchange adresse de messagerie ». Il s’agit d’une adresse SMTP.
Ces deux adresses sont différentes.
Le but de l’opération est d’ajouter automatiquement « Adresse de messagerie » au niveau de l’onglet « Général » en tant qu’adresse de messagerie principale (onglet « Exchange adresse de messagerie »). Cette opération peut être fait très facilement par interface mais devient vite très fastidieuse surtout si on doit la répéter plusieurs milliers de fois.

LA SOLUTION :
Nous allons utiliser ADModify.NET pour effectuer cette opération.
Ce produit est disponible à l’adresse suivante (bouton DOWNLOAD dans la partie droite de la fenêtre) :
http://www.codeplex.com/admodify
Il nécessite l’installation du .Net Framework 2.0.
Le principe du produit est le suivant. Je sélectionne les objets sur lesquels je vais effectuer mes actions et ensuite je peux modifier la valeur d’un ou plusieurs champs en me basant sur la valeur d’un ou plusieurs autres champs. La fenêtre ADModify.NET est très proche de la fenêtre « Propriétés d’un compte utilisateur ».
ADModify.NET permet de générer une adresse à partir du champ « prénom » et du champ « nom » avec la dernière partie de l’adresse qui est commune à tous les utilisateurs (le @nomdomaine.fr).
Là où c’est géniale, c’est que la variable utilisée pour un champ donné correspond au nom de l’attribut Active Directory de ce champ.
Exemple :
La variable pour utiliser le champ « Prénom » dans ADModify.NET est « givenName » (même nom que l’attribut). Nous verrons plus loin dans ce document comment trouver le nom de l’attribut de chaque champ.
Pour revenir à notre objectif, le champ « Adresse de messagerie » au niveau de l’onglet « Général » correspond en fait à l’attribut « mail ».
Il nous suffit donc de cocher ensuite les cases « Add STMP Address » et « Set as Primary » au niveau de l’onglet « E-mail Addresses » dans la fenêtre « ADModify.net » et de cliquer sur le bouton « GO ».
Remarque très importante :
* Faire une sauvegarde complète de votre annuaire avant toute modification.
* Valider sur maquette le fonctionnement de la procédure.
* Appliquer la procédure OU par OU. Les possibilités de l’outil sont immenses donc les risques de mauvaises manipulations le sont tout autant.

ALLER PLUS LOIN AVEC L’OUTIL :
Comment écrire les règles :

Il y a trois règles à connaître :
* Les variables doivent être encadrées par le caractère ‘ (touche 4 du clavier)
* Pour séparer les variables d’une chaîne de caractères, il faut utiliser le caractère % (pourcentage).
* Pour utiliser les caractères % et ‘ il faut précéder ces caractères d’un espace.

Comment déterminer le nom des variables :
Active Directory avec Windows 2003 est divisé en 5 partitions :
* La partition de domaine
* La partition de schéma
* La partition de configuration
* La partition DomaineDnsZones.
* La partition ForestDnsZones.
Il est possible d’ajouter d’autres partitions applicatives.
Avec ADModify.Net, le nom des variables correspond au nom de l’attribut Active Directory.
Pour connaître le nom de l’attribut, utiliser la console ADSIEDIT. Aller dans la partition « Domain ». Le contenu de cette partition est en fait une version avancée de ce que l’on voit dans la console « Utilisateurs et Ordinateurs Active Directory ».
Aller dans les propriétés de l’objet et afficher uniquement les attributs qui ont une valeur. En déduire le champ selon sa valeur de l’attribut.
Remarque :
* Pour installer ADSIEDIT, il faut installer les « SUPPORT TOOLS » dans le dossier SUPPORT à la racine du CD d’installation.

Pour plus d’informations sur l’outil :
Consulter les sites web suivants et l’aide de l’outil (très bien faite).
* http://www.msexchange.org/articles/ADModify-Change- Exchange-Specific-AD-User-Attributes.html

A+
Guillaume MATHIEU
Consultant pôle Architecture & Intégration de PROSERVIA (groupe MANPOWER)

Publié dans Active Directory, Annuaire, Outils, Scripts | Laisser un commentaire

DEPLOIEMENT MICROSOFT NDES (MSCEP) -> PROCEDURE INSTALLATION ET ERREUR IIS 500

Salut à tous

OBJECTIFS :
- Déployer le service NDES (MSCEP) pour délivrer des certificats sur iPhone.

ARCHITECTURE :
- Un domaine Active Directory MSREPORT.LOCAL.
- Une autorité de certification racine Autonome MSREPORT-ROOT1 gérée par un serveur Windows 2008 R2 Entreprise membre du domaine (SRV-ROOT1). Ce serveur est éteint. Le mot de passe de compte ordinateur de cette machine est configuré pour ne pas changer.
- Une autorité de certification subordonnée Entreprise MSREPORT-EMET1 gérée par un serveur Windows 2008 R2 Entreprise membre du domaine (SRVEMET1).

LE PRINCIPE DE FONCTIONNEMENT :
- NDES va permettre à des machines non membres du domaine d’effectuer une demande en ligne de certificat. Cette demande va être effectuée en réalité par le compte de service NDES (MSREPORT-NDES dans cet exemple).
- La sécurité du protocole NDES repose sur un « secret partagé ».
- Il faut cependant configurer l’iPhone pour qu’il interroge un serveur NDES. Ce dernier doit être accessible sur Internet.
- NDES doit être installé sur une machine membre du domaine et s’appuie sur le service IIS.
- Il faut configurer l’autorité de certification pour émettre des certificats basés sur les Templates « Agent d’inscription Exchange (requête hors connexion) » et « Chiffrement CEP».

COMMENT UN IPHONE RECUPERE T’IL UN CERTIFICAT AVEC NDES :
- L’administrateur se connecte sur l’URL d’administration NDES et génère le secret partagé. Par défaut ce secret partagé change à chaque fois et a une durée de vie de 60 minutes. Nous verrons qu’il est possible de fixer ce secret partagé.
- L’URL du site web client NDES, le certificat racine de l’autorité de certification et le secret partagé est déployé sur l’iPhone  via l’iPhone Configuration Utility ou via une solution MDM. Avec l’iPhone Configuration Utility, on déploie un profil sur l’iPhone.
- Le certificat est généré sur l’iPhone lors de l’installation du profile.

Je vous invite à lire les liens suivants pour plus d’informations.
http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2011/06/04/ centralized-ipad-management-with-profiles-and-policies.aspx
http://blog.stephendolphin.co.uk/project-work/scep-on-windows-2008r2-for-iphones-ipads/
http://blogs.technet.com/b/askds/archive/2010/11/22/ipad-iphone-certificate-issuance.aspx
http://social.technet.microsoft.com/wiki/contents/articles/9063.network-device-enrollment-service-ndes-in-active-directory-certificate-services-ad-cs-en-us.aspx
http://social.technet.microsoft.com/Forums/is/winserversecurity/ thread/d7d01f1d-b05c-4616-9fed-5833dc69eeb7
http://support.microsoft.com/kb/2483564/en-us
http://support.microsoft.com/kb/959193/en-us
http://technet.microsoft.com/en-us/library/cc753784(v=ws.10)
http://technet.microsoft.com/en-us/library/cc755273(v=ws.10)
http://technet.microsoft.com/en-us/library/ff955646(v=ws.10)
http://support.apple.com/kb/DL1466?viewlocale=fr_FR

PREPARATION DU COMPTE DE SERVICE :
Dans cet exemple, le compte de service NDES sera MSREPORT-NDES.
Ce compte aura un mot de passe qui n’expire jamais.
Ajouter ce compte en tant que membre du groupe local IIS_IUSRS sur le serveur SRVEMET1.
Ajouter ensuite le suffixe UPN http/SRVEMET1 au compte utilisateur MSREPORT-NDES.
Pour cela, taper la commande
setspn -A http/SRVEMET1 MSREPORT\MSREPORT-NDES

INSTALLATION DU SERVICE NDES :
Pour installer NDES (MSCEP), il faut être  membre du groupe « Admins du domaine » ou « Enterprise Admins ».
Aller dans le Gestionnaire de Server et installer le service de rôle « Service d’inscription de périphérique réseau ».
Sélectionner « Spécifier un compte utilisateur » et saisir MSREPORT-NDES.
Saisir un nom pour l’autorité d’inscription SRVEMET1-CA-MSCEP-RA.
Laisser les autres paramètres par défaut et cliquer sur « Installer ».
Une fois l’installation terminée, vous pouvez lancer la console Autorité de certification et aller dans « Modèles de certificats ».
L’installation ajoute automatiquement les modèles de certificats « Chiffrement CEP » et « Agent d’inscription Exchange (requête hors connexion) ».
Le correctif ci-dessous doit être déployé sur le serveur NDES pour permettre le bon fonctionnement du service NDES:
http://support.microsoft.com/kb/2483564/en-us

Dans le cas contraire, l’erreur suivante remonte :
Log Name:      Application
Source:        Microsoft-Windows-NetworkDeviceEnrollmentService
Date:          15/07/2012 18:41:23
Event ID:      11
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      SRVEMET1
Description:
The Network Device Enrollment Service received an http message without the « Operation » tag, or with an invalid « Operation » tag.

TESTER L’ACCES AU SITE WEB D’ADMINISTRATION NDES :
Pour cela, se connecter au site web suivant :
https://srvemet1.msreport.local/certsrv/mscep_admin/
Vous arrivez sur une page où l’on vous fournit « un mot de passe de stimulation d’inscription ». Copier ce numéro, il s’agit du secret partagé.
Dans la configuration actuelle, il change à chaque demande.

CONFIGURATION DES PARAMETRES NDES :
Le but est de pouvoir :
- Configurer NDES avec un secret partagé qui ne change pas et qui n’expire jamais.
- Configurer NDES pour délivrer des certificats utilisateurs.
Ces paramètres existent depuis la mise à jour http://support.microsoft.com/kb/959193/en-us qui est incluse de base dans Windows 2008 R2.

Pour définir que le secret partagé ne change jamais :
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\ MSCEP\UseSinglePassword. La clé DWORD UseSinglePassword a été mise à 1.

Pour définir le modèle de certificat délivré par NDES :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\ MSCEP\EncryptionTemplate. Mettre le nom du template « User »  dans l’entrée REGSZ.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\ MSCEP\GeneralPurposeTemplate. Mettre le nom du template « User »  dans l’entrée REGSZ.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\ MSCEP\SignatureTemplate. Mettre le nom du template « User »  dans l’entrée REGSZ.
Par défaut « EncryptionTemplate », « GeneralPurposeTemplate », « SignatureTemplate » avaient la valeur « IPSECIntermediateOffline ». Toujours mettre la valeur du modèle de certificat en anglais !

PROBLEME QUAND USESINGLEPASSWORD EST CONFIGURE A LA VALEUR « 1 » :
L’activation du paramètre UseSinglePassword à la valeur « 1 » génère une erreur 500 au niveau du site web https://srvemet1.msreport.local/certsrv/mscep_admin/

POUR CORRIGER L’ERREUR 500 AU NIVEAU DU SITE WEB D’ADMINISTRATION NDES :
- Lancer la console « Gestionnaire IIS ».
- Arrêter le service IIS.
- Ouvrir une session avec le compte MSREPORT-NDES sur SRVEMET1.MSREPORT.LOCAL. Fermer la session. Cette étape est obligatoire. Ne jamais supprimer le profil du compte utilisateur MSREPORT-NDES sur le serveur NDES !
- Supprimer la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\EncryptedPassword\ EncryptedPassword.
- Aller dans Pools d’applications. Sélectionner SCEP puis cliquer sur « Paramètres avancées ». Passer le paramètre « Charger le profil utilisateur » sur « True ».
- Donner la permission « Enroll » au niveau du modèle de Certificat déployé par NDES (Utilisateur) au compte MSREPORT-NDES. Pour cela lancer la console « Modèle de Templates ».
- Démarrer IIS.
- Se connecter à l’interface d’administration NDES pour valider le bon fonctionnement du site web NDES d’administration : https://srvemet1.msreport.local/certsrv/mscep_admin/
- Redémarrer le serveur (si la procédure a été mal appliquée cela ne marche plus).
- Se connecter à l’interface d’administration NDES pour valider le bon fonctionnement du site web NDES d’administration : https://srvemet1.msreport.local/certsrv/mscep_admin/

PUBLIER LE SERVEUR MSCEP SUR INTERNET :
- Il faut permettre l’accès au site web NDES sur Internet afin que les IPHONE puissent contacter le serveur NDES via une connexion 3G. Dans mon cas j’utilise aussi une URL publique MSREPORT.FR.
- Le client va donc se connecter sur http://srvemet1.msreport.fr/certsrv/mscep/mscep.dll (site web NDES pour les clients).

DEPLOIEMENT D’UN CERTIFICAT SUR UN IPHONE VIA L’IPHONE CONFIGURATION UTILITY :
- Se connecter sur le site web d’administration de NDES pour récupérer le secret partagé.
https://srvemet1.msreport.local/certsrv/mscep_admin/
- Télécharger et installer ensuite Iphone Configuration Utility for Windows :
http://support.apple.com/kb/DL1466?viewlocale=fr_FR
- Connecter l’IPHONE sur cet ordinateur avec le câble USB. Dans « Utilitaire de configuration Iphone », aller dans « Profils de Configuration » et cliquer sur « Nouveau ». Saisir un nom pour le profil. Aller dans la section « Références ». Cette section permet d’installer les certificats d’autorités de certification.
- Installer le certificat de l’autorité de certification MSREPORT-ROOT1.
- Développer ensuite la section « SCEP ». Entrer les informations suivantes :
URL : http://srvemet1.msreport.fr/certsrv/mscep/mscep.dll
Nom : MSREPORT-EMET1
Object : CN=WIFI
Challenge : le secret partagé (Enrollment challenge password)
Cocher les cases « Utiliser comme signature numérique » et « Utiliser pour le chiffrement de clé ».
- Aller dans Appareils et sélectionner le nom de l’iPhone puis sélectionner l’onglet « Profils de configuration ».
- Cliquer sur « Installer ».
Attention l’iPhone doit être capable de se connecter au site web (URL publique et site web NDES publié).
- Cliquer sur Installer au niveau de l’IPhone. 
- Un message apparaît  comme quoi MSREPORT-ROOT1 sera ajouté à la liste des certificats fiables.
- Cliquer sur Installer.
- Vérifier le type de certificat délivré.

POUR SUPPRIMER UN CERTIFICAT SUR L’IPHONE :
- Il faut supprimer le profil sur l’iPhone. Aller dans « Réglages | Général | Profil ». Supprimer le profil.

A+
Guillaume MATHIEU
Consultant pôle Architecture & Intégration PROSERVIA (groupe MANPOWER)
http://msreport.free.fr
La connaissance s’accroît quand on la partage.

 

Publié dans Active Directory, Bug, Certificats, Sécurité, Troubleshouting, Windows Server 2008 R2 | Laisser un commentaire

Comment centraliser les logs sur une machine -> Utiliser la souscription

Salut à tous

Cet article est disponible au format PDF à l’adresse suivante:
http://msreport.free.fr/articles/Comment-centraliser-logs.pdf

DESCRIPTION DE LA DEMANDE :
L’analyse des observateurs d’événements est une tâche fastidieuse et très longue.
Cet article a pour but de vous proposer une solution permettant :
- De collecter tous une ou partie des observateurs d’événements de vos serveurs
- D’exporter les logs sous forme d’un fichier CSV.

1. PRESENTATION DE LA FONCTIONNALITE DE SOUSCRIPTION :

Depuis Windows Vista / Windows 2008, l’observateur d’événements dispose d’une fonctionnalité appelée « Souscription ».
Cette fonctionnalité permet de récupérer le contenu des observateurs d’événements d’une ou plusieurs machines sous Windows XP Pro, Windows Vista, Windows 2003, Windows 2008, Windows 2008 R2.
Il est possible de créer des filtres pour ne récupérer que certains observateurs d’événements (protocole XQUERY).

2. PRESENTATION DE LA SOLUTION POUR EXPORTER LES OBSERVATEURS D’EVENEMENTS AU FORMAT CSV :

Les commandes PowerShell Get-Eventlog et Get-WinEvent permettent de lister le contenu des journaux d’évènements.
Nous verrons dans cet article qu’il est nécessaire d’utiliser la commande PowerShell Get-WinEvent pour analyser le journal « Forwarded Events » (journal utilisé pour collecter les événements).

3. MISE EN PLACE DE LA SOUSCRIPTION :

Le serveur collecteur et les serveurs « sources » doivent être dans le même domaine ou deux domaines différents mais qui s’approuvent.

SUR LE SERVEUR DE SOUSCRIPTION :
Taper les commandes suivantes :
winrm quickconfig
wecutil qc
Ajouter l’entité de sécurité « NETWORK SERVICE » dans le groupe « Event Log Readers ». 

SUR LES TOUS LES ORDINATEURS « SOURCES » :
Taper la commande suivante :
winrm quickconfig
Ajouter l’entité de sécurité « NETWORK SERVICE » dans le groupe « Event Log Readers ». 
Ajouter le compte ordinateur du serveur collecteur en tant qu’administrateur local de la machine source (membre du groupe « Administrators »).

Créer et configurer la souscription sur le collecteur :
Démarrer la console « Server Manager ».
Aller dans l’onglet « Diagnostics\Event Viewer\Subscription ».
Faire un clic droit et sélectionner « Create Subscription ».
Sélectionner « Forwarded Events » comme  « Destination log ».
Sélectionner « Collector initiated »et cliquer ensuite sur « Select Computers ».
Ajouter tous les machines pour lesquels vous voulez collecter les logs.
Cliquer sur « Add Domain computers ».
Entrer le nom de vos serveurs.
Cliquer sur le bouton « Test » pour vérifier que la source est accessible depuis le collecteur.
Au niveau des propriétés de la souscription, cliquer sur le bouton « Select Events ».
Au niveau de « QUERY », créer votre requête pour récupérer que les logs.
Aller ensuite dans l’onglet « XML »
Cocher la case « Edit query manually ».Il est en possible d’affiner les requêtes par défaut (via l’interface) pour collecter les événements.
Simplifier la requête XQUERY.
Faire OK pour valider.

Configurer le collecteur pour recevoir les événements au format binaire.
Taper les commandes suivantes :
wecutil es : permet de déterminer le nom de la souscription
wecutil gs ars : permet de voir les paramètres de la souscription
wecutil ss ARS /cf:events : permet de configurer la souscription pour récupérer les événements au format binaire.

Redémarrer ensuite les serveurs sources et le collecteur (si les descriptions n’apparaissent pas correctement).
Vérifier que la souscription fonctionne. Pour cela, faire un clic droit sur la souscription et aller dans « RunTime Status ».

4. SCRIPT POUR ANALYSER LES LOGS :

Le script suivant permet d’extraire sous forme d’un fichier CSV tous les événements des dernières 24 heures.
Il permet d’afficher la description de l’événement sur une seule ligne (nécessaire pour créer le fichier CSV).
Il crée un fichier résultat avec la date d’hier.

# Date Intialization with format YYYY-MM-DD
$Yesterday = (get-date (get-date).AddDays(-1) -format yyyy-MM-dd)
# Create Log file of the day
$file = New-Item -type File (« C:\MSREPORT\ » + $YESTERDAY + »_LOGS.csv »)
# Initialize header line in CSV file
$HeaderLine = « DateandTime;Source;EventID;TaskCategory;Message » | Out-File $file -Append
$filterXml = ‘
  <QueryList>
  <Query Id= »0″ Path= »ForwardedEvents »>
    <Select Path= »ForwardedEvents »>*[System[TimeCreated[timediff(@SystemTime) <= 2592000000]]]</Select>
  </Query>
</QueryList>’
Get-WinEvent –FilterXml $filterXml | select TimeCreated,ProviderName,Id,TaskDisplayName,Message | foreach {
 $Message = $_.Message -replace(‘\t’, » « )
 $Message = $Message -replace (« \s » ,  » « )
 $Message = $Message.replace(« `r`n », » « )
 $LineToWrite = [string]$_.TimeCreated + « ; » + $_.ProviderName + « ; » + [string]$_.Id + « ; » + $_.TaskDisplayName + « ; » + $Message | Out-File $file -Append
}

5. LES RETOURS D’EXPERIENCES :
La fonctionnalité de souscription est plus complexe à mettre en place qu’il n’y paraît !

RETOUR D’EXPERIENCE 1 : LA COLLECTE DES JOURNAUX D’EVENEMENTS FONCTIONNE MAIS LA DESCRIPTION DE CHAQUE EVENEMENT EST INCORRECTE.

On arrive dans ce cas à collecter les événements mais le message dans le champ description est remplacé par  « The description for Event ID XXXX from source XXXX cannot be found. Either the component that raises this event is not installed on your local computer or the installation is corrupted. You can install or repair the component on the local computer »

Log Name:      System
Source:        Service Control Manager
Date:          16/08/2011 17:11:23
Event ID:      7036
Task Category: None
Level:         Information
Keywords:      Classic
User:          N/A
Computer:      FR92SV0001.newlife.lan
Description:
The description for Event ID 7036 from source Service Control Manager cannot be found. Either the component that raises this event is not installed on your local computer or the installation is corrupted. You can install or repair the component on the local computer.
If the event originated on another computer, the display information had to be saved with the event.
The following information was included with the event:
WinHTTP Web Proxy Auto-Discovery Service

POUR CORRIGER CE PROBLEME :

Effectuer les actions suivantes sur le serveur qui collecte les événements et sur toutes les machines sources :
Ajouter l’entité de sécurité « NETWORK SERVICE»  (service réseau) dans le groupe « Event Log Readers ». On retrouve ce groupe au niveau de la base de compte locale de chaque serveur en groupe de travail / membre d’un domaine et dans le conteneur BUILTIN de l’annuaire Active Directory sur un contrôleur de domaine.

Configurer la souscription pour récupérer les événements au format binaire et non au format texte :
Sur le serveur qui collecte les événements, taper les commandes suivantes :
wecutil es : permet de déterminer le nom de la souscription
wecutil gs ars : permet de voir les paramètres de la souscription
wecutil ss ARS /cf:events : permet de configurer la souscription pour récupérer les événements au format binaire.

Configurer le serveur de collecte pour disposer des descriptions des événements :
Si vous collectez les événements d’un contrôleur de domaine, il sera nécessaire d’installer  la console d’administration du rôle « Active Directory Service ». Pour faire cela sous Windows 2008, aller dans le  « Server Manager | Features ». Faire un clic droit avec la souris et sélectionner « Add features ». Développer « Remote Server Administration Tools » et sélectionner les consoles d’administration à installer.

RETOUR D’EXPERIENCE 2 : LE MESSAGE D’ERREUR ACCESS DENIED APPARAIT :
Dans certains cas la souscription ne fonctionne pas et on a le message « Access is denied ».
Cela se produit si vous configurer la souscription sur « Minimize latency » au niveau des paramètres avancées de la souscription.
Pour plus d’informations :
http://social.technet.microsoft.com/Forums/en-US/winserverManagement/thread/665375cc-5cb6-4b5b-952e-1c9908382208

RETOUR D’EXPERIENCE 3 : IL N’EST PAS POSSIBLE DE COLLECTER LES LOGS VERS UN JOURNAL PERSONNALISE :
Il est possible de créer un observateur d’événement personnalisé mais il ne semble pas être possible de collecter les logs vers ce journal.
La commande suivante permet par exemple de créer un journal personnalisé appelé MSREPORT : new-eventlog -source MSREPORT -logname MSREPORT

Dans cet exemple, les événements seront collectés dans le journal « FORWARDED EVENTS ».

Pour plus d’informations :
http://social.technet.microsoft.com/Forums/en-US/winserverManagement/thread/f16be533-4f4a-469e-bc17-7591eb46461b/

RETOUR D’EXPERIENCE 4 : IMPOSSIBLE D’ANALYSER LE JOURNAL « FORWARDED EVENTS » AVEC LA COMMANDE POWERSHELL GET-EVENTLOG :

Depuis Windows 2008, il y a deux types de journaux d’événements : « SYSTEM » et « OPERATIONAL ».
Hors la commande PowerShell Get-EventLog ne permet que d’analyser les journaux d’événements de type « SYSTEM ». Il n’est donc pas possible d’analyser le journal « FORWARDED EVENTS » avec cette commande.
Il faut pour cela utiliser la commande PowerShell Get-WinEvent.
Le paramètre -FilterHashtable permet d’effectuer les mêmes filtres que la commande Get-EventLog.

RETOUR D’EXPERIENCE 5 : LE PARAMETRE « –FILTERHASTABLE START TIME » NE MARCHE PAS AVEC LE JOURNAL « FORWARDED EVENTS » :

Lancer PowerShell et exécuter les deux commandes ci-dessous :
$starttime = (get-date).adddays(-1)
$endtime = (get-date)

Exécuter maintenant la commande suivante :
Get-WinEvent -FilterHashtable @{logname= »application »; starttime=$starttime ; EndTime= $endtime}
Vous obtenez alors tous les événements contenus dans le journal application des dernières 24 heures.
Si votre journal d’événement est vide ou que vous n’avez aucun événement depuis 24 heures, vous obtenez le résultat suivant :
Get-WinEvent : No events were found that match the specified selection criteria

Assurez-vous maintenant que vous disposez d’au moins 1 événement depuis 24 heures dans le journal « Forwarded Events » et lancer la commande PowerShell suivante :
Get-WinEvent -FilterHashtable @{logname= »ForwardedEvents »; starttime=$starttime ; EndTime= $endtime}
Cela renvoie systématiquement « Get-WinEvent : No events were found that match the specified selection criteria ».
Le problème vient en fait du fait que le journal Forwarded Events rencontre un problème avec le paramètre Start Time.
On peut reproduire le problème directement dans l’interface graphique de Windows Server 2008.
Pour cela :
Lancer la console « Event Viewer ». Faire un clic droit sur « Forwarded Events » et sélectionner « Filter Current Log ». Dans la liste déroulante « Logged », sélectionner « Custom Range ».
Définir la date de démarrage (FROM) sur « Events on » et spécifier une date.
Définir la date de fin (TO) sur « Last Events ».
Faire OK. Aucun évènement ne s’affiche.

Pour contourner ce problème, il faut sélectionner dans le filtre « Last 24 hours ».
Si vous voulez une période de temps personnalisé, au niveau de votre filtre cliquer sur l’onglet XML et copier / coller le contenu du filtre (QueryList).

<QueryList>
  <Query Id= »0″ Path= »ForwardedEvents »>
    <Select Path= »ForwardedEvents »>*[System[TimeCreated[timediff(@SystemTime) <= 86400000]]]</Select>
  </Query>
</QueryList>

La commande PowerShell Get-WinEvent peut être utilisée avec un filtre personnalisé :
$filterXml = ‘
   <QueryList>
  <Query Id= »0″ Path= »ForwardedEvents »>
    <Select Path= »ForwardedEvents »>*[System[TimeCreated[timediff(@SystemTime) <= 2592000000]]]</Select>
  </Query>
</QueryList>’
Get-WinEvent –FilterXml $filterXml

Cela marche maintenant !

Pour plus d’informations :
get-Help Get-Winevent -full > c:\getwinvent.txt
Lire ensuite le fichier c:\getwinvent.txt
http://blogs.msdn.com/b/powershell/archive/2011/04/14/using-get-winevent-filterxml-to-process-windows-events.aspx
http://stackoverflow.com/questions/9224527/get-time-of-forwarded-events-with-get-winevent
http://msdn.microsoft.com/en-us/library/aa385231.aspx

RETOUR D’EXPERIENCE 6 : IL N’EST PAS POSSIBLE DE SUPPRIMER JUSTE UN EVENEMENT DANS UN JOURNAL :

Il ne semble pas être possible de supprimer uniquement un seul événement pour des raisons de sécurité. En effet les commandes Clear-EventLog et Remove-EventLog permettent uniquement de supprimer tous les événements d’un journal de logs.

RETOUR D’EXPERIENCE 7 :
La souscription échoue. On peut voir le message d’erreur ci-dessous en faisant un clic droit sur la souscription puis « RunTime Status »
[FQDN] – Error – Last retry time: 02/06/2012 13:23:15. Code (0x138C): <f:ProviderFault provider= »Event Forwarding Plugin » path= »%systemroot%\system32\wevtfwd.dll » xmlns:f= »http://schemas.microsoft.com/wbem/wsman/1/wsmanfault »><t:ProviderError xmlns:t= »http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog »>Windows Event Forward plugin can’t read any event from the query since the query returns no active channel. Please check channels in the query and make sure they exist and you have access to them.</t:ProviderError></f:ProviderFault>  Next retry time: 02/06/2012 13:28:15.

Le problème provient en fait du fait que l’on a fait une requête XML QUERY avec un filtre sur le champ Category.
Dans mon cas la requête échoue quand je sélectionne plus de 22 critères. Je pense qu’il s’agit d’un problème de longueur de requête. Pour contourner le problème j’utilise les opérateurs = ou != selon le cas pour réduire la taille de la requête.

<QueryList>
  <Query Id= »0″ Path= »Application »>
    <Select Path= »Application »>*[System[Provider[@Name='ESENT'] and (Level=1  or Level=2 or Level=3 or Level=4 or Level=0 or Level=5) and ( Task = 1 or Task = 2 or Task = 3 or Task = 4 or Task = 5 or Task = 6 or Task = 7 or Task = 8 or Task = 9 or Task = 10 or Task = 12 or Task = 13 or Task = 14 or Task = 15 or Task = 16 or Task = 17 or Task = 18 or Task = 19 or Task = 20 or Task = 21 or Task = 23 or Task = 24 or Task = 25 or Task = 26 or Task = 27 or Task = 28 or Task = 29)]]</Select>
  </Query>
</QueryList>

Si je veux toutes les category sauf la catégorie 11, je crée ma requête de cette façon et cela marche alors :

<QueryList>
  <Query Id= »0″ Path= »Application »>
    <Select Path= »Application »>*[System[Provider[@Name='ESENT'] and (Level=1  or Level=2 or Level=3 or Level=4 or Level=0 or Level=5) and ( Task != 11)]]</Select>
  </Query>
</QueryList>

A+

Guillaume MATHIEU
Consultant pôle Architecture & Intégration PROSERVIA (groupe MANPOWER).
http://msreport.free.fr
La connaissance s’accroît quand on la partage.

Publié dans Outils, Scripts, Système, Windows Server 2008, Windows Server 2008 R2 | Marqué avec , , | 2 commentaires

Complément d’informations « An error has occurred while collecting data for Internet Explorer Maintenance : The configuration file Seczones.inf is not in a valid format » :

Salut à tous

DESCRIPTION DU PROBLEME :
Les paramètres de sécurité d’Internet Explorer s’appliquent mal (perte de la liste des sites web de confiance, de la liste des sites web Intranet Local).
Ces paramètres sont gérés via le paramètre « Internet Explorer Maintenance » d’un ou plusieurs objets GPO.
Lorsqu’on lance la console GPMC sous un serveur Windows 2008 R2 et qu’on affiche les paramètres de la GPO (sélectionner la GPO avec GPMC et aller dans l’onglet « Settings« ), le message d’erreur suivant apparaît :
An error has occurred while collecting data for Internet Explorer Maintenance.
The following errors were encountered:
The configuration file Seczones.inf is not in a valid format. Use Group Policy Object Editor to reconfigure the settings in this extension.

REPRODUCTION DU PROBLEME ET SOLUTION :
Sur un contrôleur de domaine Windows 2008 :
Désactiver la configuration renforcée d’Internet Explorer. Pour cela, aller dans le « Gestionnaire de Server« .  Sélectionner le nom du serveur dans cette console et aller dans l’onglet « Configure IE ESC« . Le désactiver pour les utilisateurs et les administrateurs.
Lancer la console GPMC. Créer un objet GPO (dans notre cas IEAKTEST) lié à aucun conteneur (il ne doit pas s’appliquer). Editer l’objet GPO.
Aller dans « User Configuration | Windows Settings | Internet Explorer Maintenance | Security | Security Zones and Content Ratings »
Double cliquer sur « Security Zones and Content Ratings« .
Sélectionner « Import the current security zones and privacy settings« .
Un message apparaît indiquant que les paramètres choisis ne sont pas compatibles avec Internet Explorer Enhanced Security Configuration ». C’est normal car je vous ai fait désactiver ce mode.
La GPO a normalement pour but de configurer le navigateur de vos utilisateurs (mieux vaut éviter d’activer la configuration Internet Explorer renforcée…). Cliquer donc sur continuer.
Cliquer ensuite sur le bouton « Modify Settings« .
Aller par exemple dans « Trusted Sites« . Cliquer sur le bouton « Sites« .
Pour reproduire l’incident, il faut ajouter un site comme sites web de confiance mais dans un format non supporté par Internet Explorer.
Ajouter l’entrée suivante.
https://msreport.free.fr,http
Cliquer sur « Close« , puis deux fois sur OK.
Dans GPMC, sélectionner l’objet GPO « IEAKTEST ». Aller dans l’onglet « Settings » pour afficher les paramètres de la GPO. On a le message d’erreur suivant au niveau du paramètre « Internet Explorer Maintenance« .
An error has occurred while collecting data for Internet Explorer Maintenance.
The following errors were encountered:
The configuration file Seczones.inf is not in a valid format. Use Group Policy Object Editor to reconfigure the settings in this extension.

Pour corriger le problème, éditer la GPO et supprimer l’entrée incorrecte.
Il faut remplacer l’entrée https://msreport.free.fr,http par *.msreport.free.fr ou par deux entrées (http://msreport.free.fr et https://msreport.free.fr).

A+
Guillaume MATHIEU
Consultant pôle Architecture & Intégration PROSERVIA (groupe MANPOWER).
http://msreport.free.fr
La connaissance s’accroît quand on la partage.

Publié dans Active Directory, Bug, GPO, Internet Explorer, Troubleshouting, Windows Server 2008, Windows Server 2008 R2 | Marqué avec , , | Laisser un commentaire

Retour d’expérience migration Exchange 2003 vers 2007 – les bases de données

Salut à tous

Lors d’un projet de migration Exchange 2003 vers Exchange 2007, j’ai rencontré le problème suivant :

DESCRIPTION DU PROBLEME :
Au lancement de la console « Exchange Management Console » (console d’administration d’Exchange 2007), le message d’erreur ci-dessous apparaît :
Avertissement : L’objet VM-EXCH2003\SG1\DB1 a été endommagé et est dans un état incohérent. Les erreurs de validation suivantes se sont produites. Avertissement : Exchange ne peut pas stocker de fichiers de base de données (.edb) dans le répertoire racine. Choisissez un autre emplacement. Le chemin d’accès au fichier spécifié est « D:\DB1.edb ».
Il n’y a aucune erreur au lancement de la console « Gestionnaire Système Exchange (console d’administration du serveur Exchange 2003).

EXPLICATION DU PROBLEME ET SOLUTION :
Exchange 2007 interdit le stockage d’un fichier de base de données de messagerie à la racine d’un volume. La solution pour corriger ce problème est de créer un dossier à la racine du volume (D:\Bases par exemple) et de déplacer la base de données de messagerie vers cet emplacement.
L’article Microsoft suivant documente ce problème et explique comment déplacer une base de données :
http://support.microsoft.com/kb/821915
Ne l’appliquer pas !
En effet cet article propose comme solution de déplacer la base de données via l’interface graphique Exchange 2003. Cette opération nécessite d’arrêter la base de données de messagerie et effectue une copie des fichiers de la base de données (fichiers .EDB et .STM) de l’emplacement source vers l’emplacement cible. Cela corrige le problème mais si votre base de données est volumineuse, vous allez devoir attendre plusieurs heures avant de redémarrer la base de données et donc perturber les utilisateurs pendant plusieurs heures.

La meilleure solution est de déplacer la base de données via l’explorateur Windows et de modifier l’emplacement de la base de données directement dans la partition de configuration de l’annuaire Active Directory (configuration d’Exchange).

Pour cela :
- Vérifier que vous disposez d’une sauvegarde de vos bases de données Exchange 2003 et de l’annuaire Active Directory.
- Créer le dossier cible (D:\Bases par exemple).
- Arrêter la base de données de messagerie sur le serveur Exchange 2003.
- Déplacer la base de messagerie via l’explorateur Windows du dossier source vers le dossier cible. Attention, pour que le déplacement soit immédiat, il faut que l’emplacement source et l’emplacement cible soient sur le même volume disque (D:\DB1.edb comme source, D:\Bases\DB1.edb comme cible).
- Modifier le chemin de la base de données de messagerie au niveau de la partition de configuration de l’annuaire Active Directory. Cela peut être effectué  l’aide de la console ADSIEDIT.MSC.

Comment modifier le chemin de la base de données de messagerie au niveau de la partition de configuration de l’annuaire Active Directory ?
Dans l’exemple ci-dessous, la forêt Active Directory s’appelle MSREPORT.INTRA, l’organisation Exchange EXCHMSREPORT, le groupe administratif GRPADMIN1, le serveur Exchange 2003 EXCH2K3, le groupe de stockage GS1 et la base de données de messagerie problématique s’appelle DB1 :
- Installer les « Support Tools » (répertoire « support » à la racine du CD d’installation de Windows 2003).
- Lancer la console ADSIEDIT.MSC et se connecter à la partition de configuration.
- Développer CN=CONFIGURATION,DC=MSREPORT,DC=INTRA
- Développer CN=Services
- Développer CN=Microsoft Exchange
- Développer CN=EXCHMSREPORT
- Développer CN=Administrative Groups
- Développer CN=GRPADMIN1
- Développer CN=Servers
- Développer CN=EXCH2K3
- Développer CN=InformationStores
- Développer CN=GS1
- Aller dans les propriétés de l’objet CN=DB1.
- Modifier la valeur de l’attribut msExchEDBFile. Entrer le chemin d’accès vers le fichier  EDB (D:\Bases\DB1.EDB dans notre cas).
- Modifier la valeur de l’attribut msExchSLVFile. Entrer le chemin d’accès du fichier STM (D:\Bases\DB1.STM dans notre cas).
- Forcer la réplication Active Directory et attendre que les modifications soient propagées sur le contrôleur de domaine utilisé par Exchange.
- Redémarrer la base de données de messagerie.
Si au montage de la base de données, le message ci-dessous apparaît cliquer sur NON !
« Un ou plusieurs fichiers de base de données de cette banque d’informations sont manquants. Le montage de cette base de données va provoquer la création d’une base de données vide. N’effectuer pas cette action si vous n’avez pas l’intention de restaurer une sauvegarde antérieure »
Ce message indique que vous avez effectué une erreur de frappe dans le chemin d’accès du fichier EDB ou du fichier STM ou que le serveur Exchange utilise un contrôleur de domaine qui n’a pas encore répliqué le changement au niveau de la partition de configuration.

Pour plus d’informations, voir article Microsoft suivant :
http://support.microsoft.com/kb/822676/en-us

A+
Guillaume MATHIEU
Consultant pôle Architecture & Intégration de PROSERVIA (MANPOWER).
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Active Directory, Annuaire, Bug, Exchange, Messagerie, Troubleshouting | Marqué avec , | Laisser un commentaire

Comment migrer de GROUPWISE 7 VERS EXCHANGE 2010 en partageant le même domaine de messagerie SMTP ?

Salut à tous

Comment migrer de GROUPWISE 7 VERS EXCHANGE 2010 en partageant le même domaine de messagerie SMTP ?
Dans cet exemple, les deux solutions de messagerie doivent pendant la phase de migration cogérer le domaine de messagerie MSREPORT.FR
- Quand Exchange ne connaît pas une adresse email MSREPORT.FR il renvoie le mail vers Exchange.
- Quand Exchange ne connaît pas une adresse email MSREPORT.FR il renvoie le mail vers GROUPWISE.
EXCHANGE supprime le mail en cas de boucle (cas d’une adresse email non existante dans les deux systèmes de messagerie).

1. PRESENTATION DE NOVELL GROUPWISE 7 :

Groupwise 7 est la solution de messagerie de NOVELL. Elle peut s’installer sur un système Windows, Linux (Open Entreprise Server) ou Netware 6.5.
Elle intègre de nombreuses fonctionnalités collaboratives comme le partage de boîtes aux lettres / calendrier / documents (via la fonction de bibliothèque).
Le système de messagerie GROUPWISE est divisé en domaines et en bureaux de poste.
En simplifiant à l’extrême, on peut dire :
- Qu’un domaine contient le carnet d’adresses et toute la configuration GROUPWISE.
- Qu’un bureau de poste est une entité administrative qui contient un ensemble de boîte aux lettres, listes de distributions et autre ressources GROUPWISE (bibliothèques…).
Un utilisateur sous GROUPWISE 7 dispose par défaut d’une adresse basée sur un identifiant GROUPWISE (Guillaume.Mathieu), un nom de bureau de poste (Meudon) et un nom du domaine (Msreport). Mon adresse GROUPWISE serait donc Guillaume.Mathieu.Meudon.Msreport.
Pour fonctionner, un serveur GROUPWISE doit disposer des rôles suivants :
- POA (Post Office Agent) : délivre les messages aux boîtes aux lettres des utilisateurs et permet de gérer les bases de données de messagerie.
- MTA (Message Transfert Agent) : route les messages entre les différents bureaux de poste d’un même domaine GROUPWISE et entre 2 domaines GROUPWISE.
GROUPWISE prend en charge le protocole SMTP via le rôle GWIA (GROUPWISE Internet Agent). Le protocole SMTP étant le protocole de messagerie standard sur Internet, ce rôle est indispensable de nos jours.
GROUPWISE dispose aussi d’un rôle permettant l’accès à la messagerie GROUPWISE via une interface web.
Je vous invite à lire la documentation d’administration de GROUPWSISE pour en savoir plus (1000 pages tout de même) :
http://www.novell.com/documentation/gw7/
http://www.novell.com/documentation/gw7/pdfdoc/gw7_admin/ gw7_admin.pdf

2 INSTALLATION DE NOVELL GROUPWISE 7 sous Windows 2003 :

Elle est relativement simple et plutôt bien documenter. Je vous invite à lire le guide d’installation :
http://www.novell.com/documentation/gw7/
http://www.novell.com/documentation/gw7/pdfdoc/gw7_install/ gw7_install.pdf
Il est à noter que GROUPWISE 7 est incompatible avec la fonctionnalité DEP (Data Prevention Execution). Cette fonctionnalité permet de bloquer l’exécution de certains virus.
Si vous souhaitez installer GROUPWISE il sera nécessaire de créer une exception DEP pour GROUPWISE ou de désactiver DEP. Voir article Novell
http://www.novell.com/coolsolutions/tip/17066.html
Il est possible de télécharger GROUPWISE 7 à cet emplacement si vous disposez d’un compte Novell :
http://download.novell.com/protected/Summary.jsp?buildid=LXToZCKodsw~

3. MIGRER DE GROUPWISE VERS EXCHANGE 2010 :

C’est possible sans outil de migration avec quelques contraintes !

3.1 POUR PERMETTRE A GROUPWISE ET EXCHANGE DE PARTAGER LE MEME DOMAINE DE MESSAGERIE SMTP :

On va devoir utiliser un domaine temporaire au niveau du serveur Exchange qui ne servira que pour le transfert des emails de GROUPWISE vers EXCHANGE 2010.

Sur le serveur EXCHANGE 2010 :
Configurer un domaine accepté faisant autorité appelé MSREPORT.EU (ou autres) au niveau du serveur Exchange 2010.
Configurer un domaine accepté de relais interne appelé MSREPORT.FR. Ce domaine doit être configuré comme le domaine par défaut dans votre organisation Exchange au niveau des stratégies d’adresse de messagerie.
http://technet.microsoft.com/fr-fr/library/bb124423.aspx
http://technet.microsoft.com/fr-fr/library/bb124911.aspx
http://technet.microsoft.com/fr-fr/library/bb125137.aspx
Créer un connecteur d’envoi pour le domaine de messagerie MSREPORT.FR avec le serveur GROUPWISE en tant qu’hôte actif. Tous les emails avec des adresses non résolus seront transférés
http://technet.microsoft.com/fr-fr/library/aa997285.aspx
Le domaine MSREPORT.EU doit être enregistré sur Internet (entrées MX au niveau des serveurs DNS). Si cela n’est pas possible, il sera nécessaire de modifier le fichier route.cfg (voir page 732 du guide d’administration Novell GROUPWISE).

Sur le serveur GROUPWISE :
On va utiliser la fonctionnalité de FLAT FORWARDING (réacheminement à plat).
Cette solution est assez élégante car elle va nous permettre de recevoir les emails sur le serveur GROUPWISE et sur le serveur EXCHANGE en même temps. On peut donc garder active la boîte aux lettres GROUPWISE jusqu’au moment où tous les utilisateurs sont migrés sur EXCHANGE 2010.
De base quand on recevra un email sur guillaume.mathieu92@msreport.fr, le serveur GROUPWISE réceptionnera l’email et le renverra automatiquement vers guillaume.mathieu92@msreport.eu. Le serveur Exchange 2010 réceptionnera alors l’email sans que la liste des expéditeurs soit changée.
Un utilisateur Exchange répondra à un email transféré par GROUPWISE avec son adresse email MSREPORT.FR car c’est son adresse de messagerie principale dans Exchange (adresse de réponse par défaut).

Pour configurer le FLAT FORWARDING (réacheminement à plat) :
Se connecter à ConsoleOne avec extension Groupwise et aller dans les propriétés du serveur GWIA.
Aller dans l’onglet « SMTP Mime | Message Formating » et cocher la case « Enable flat forwarding ».
Se connecter à la boîte de chaque utilisateur et créer une règle de transfert de messagerie.
Configurer la redirection. Ne rien mettre dans le corps du message.
Voir procédure Novell :
http://www.novell.com/support/viewContent.do?externalId=7002601&sliceId=1

Remarque :
Il faut que tous les entités Groupwise disposent d’une adresse SMTP. Dans le cas contraire on peut avoir un problème en cas de réponse dans OWA (envoie du mail bloqué car adresse du contact incorrecte car non au format GROUPWISE natif et non au format SMTP).

2 POUR LA MIGRATION DES BOITES AUX LETTRES GROUPWISE VERS EXCHANGE :

Deux possibilités :

Manuellement:
- Configurer Outlook en mode IMAP/POP pour récupérer les mails dans PST. C’est le serveur GWIA qui gère les accès POP3 / IMAP dans GROUPWISE.
- Exporter contacts au format .nab. Retravailler le fichier et importer ensuite au format CSV. Voir
http://support.microsoft.com/kb/262153/fr
- Exporter le calendrier dans Groupwise au format ICS et utiliser l’assistant d’importation d’Outlook.
http://technet.microsoft.com/en-us/library/bb124665(v=exchg.65).aspx
- Reconfigurer la boîte aux lettres pour se connecter au serveur Exchange 2003 / 2010.

Via un outil :
Acheter l’outil Kernel GroupWise to Exchange qui permet de convertir / migrer une boîte aux lettres GroupWise en fichiers PST en récupérant les mails, les contacts le calendrier et les documents des bibliothèques.
http://www.nucleustechnologies.com/buy-groupwise-to-exchange.php
Vous pouvez aussi utiliser l’outil QUEST GROUPWISE MIGRATOR for Exchange

A+
Guillaume MATHIEU
Consultant pôle Architecture & Intégration PROSERVIA (groupe MANPOWER)
http://msreport.free.fr
La connaissance s’accroît quand on la partage

Publié dans DEP, Exchange, Groupwise, Messagerie | Marqué avec , , , | 2 commentaires

Problème de mise à jour WSUS -> complément d’informations sur l’erreur Windows Server Update Services ID 10032 et ID 364

Bonjour à tous

DESCRIPTION DU PROBLEME :
Seuls les mises à jour d’avant février 2012 sont proposées au téléchargement au niveau des clients WSUS (stations de travail et serveurs).
Le fait d’exécuter la commande wuauclt /detectnow (forcer détection des correctifs) ou de redémarrer le service « Automatic Update » ne corrige pas le problème sur les clients WSUS.
Le problème se pose sur tous les clients WSUS.

ANALYSE DU PROBLEME :
Le problème vient du serveur WSUS.
La synchronisation du serveur WSUS avec le serveur Windows Update se fait correctement mais le serveur WSUS n’arrive pas à télécharger les mises à jour de février et mars 2012. Les erreurs suivantes apparaissent dans le journal « Application » du serveur WSUS.
La commande « wsusutil checkhealth » renvoie les erreurs suivantes dans le jounal application.

Event Type: Error
Event Source: Windows Server Update Services
Event Category: Core
Event ID: 10032
Date: 14/03/2012
Time: 17:13:54
User: N/A
Computer: MSRPTWSUS
Description:
The server is failing to download some updates.

Event Type: Error
Event Source: Windows Server Update Services
Event Category: Synchronization
Event ID: 364
Date: 14/03/2012
Time: 17:22:50
User:  N/A
Computer: MSRPTWSUS
Description:
Content file download failed. Reason: The operation being requested was not performed because the user has not logged on to the network. The specified service does not exist. (Exception from HRESULT: 0x800704DD) Source File: /msdownload/update/software/secu/2012/01/ndp20sp2-kb2633880-x86_0083ffdd22c91bcdf17c7cb3eb013885c8a00caa.exe Destination File: E:\WSUS\WsusContent\AA\0083FFDD22C91BCDF17C7CB3EB01 3885C8A00CAA.exe.

On peut voir que le serveur WSUS n’arrive pas à télécharger les mises à jour de février et mars 2012 en créant un filtre dans la console WSUS sur les mises à jour de moins de 2 mois et en affichant la colonne « File Status ». Si une croix rouge apparaît, cela indique que les fichiers associés à la mise à jour n’ont pas pu être téléchargés.

SOLUTION:
Sauvegarder le serveur WSUS pour pouvoir faire un retour arrière.
Démarrer la console WSUS et lancer le « Cleanup Wizard ». Cocher toutes les options.
Une fois l’opération terminée, le serveur WSUS indique le nombre de mises à jour supprimées (souvent des mises à jour qui ont été remplacées), le nombre de stations de travail supprimées (celles qui ne se sont pas connectées au serveur Wsus depuis longtemps, l’espace disque libéré…

Essayer ensuite de forcer le téléchargement manuel des correctifs.
Créer un filtre dans la console WSUS sur les mises à jour de moins de 2 mois et en affichant la colonne « File Status ». Si une croix rouge apparaît, cela indique que les fichiers associés au correctif n’ont pas pu être téléchargé.
Faire un clic droit  sur un correctif dont le téléchargement des fichiers a échoué et cliquer sur « Retry Download ».

Si cela échoue, la seule solution est de forcer une synchronisation complète entre la base de données WSUS et le repository WSUS (les répertoires avec les sources des mises à jour).
Pour effectuer cela, exécuter la commande suivante :
cd « c:\Program Files\Update Services\Tools »
wsusutil reset
fermer la console Update Services.
Attendre environ 10 minutes. Si vous gardez la console ouverte, vous allez perdre la main.
La commande va analyser les fichiers corrompus, reconstruire le repository et télécharger que les fichiers manquants. On peuit voir l’état d’avancement en cliquant sur le nom du serveur (il ne télécharge pas tous les correctifs contrairement à ce que laisse penser l’interface graphique de WSUS…).
En cliquant sur le nom du serveur WSUS dans la console, on peut voir l’état d’avancement de cette commande (section Download Status). Quand on est à 0, tous les correctifs nécessaires ont été téléchargés.
Dans le cas contraire, les correctifs sont en cours de téléchargement ou vous avez des problèmes avec le téléchargement des fichiers des mises à jour.

A+
Guillaume MATHIEU
Consultant pôle Architecture & Intégration PROSERVIA
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Windows Server 2008 | 2 commentaires

Outlook Web Access (OWA) : impossible de supprimer ou déplacer des emails -> erreur MSExchange OWA EventId 108

Salut à tous

DESCRIPTION DU PROBLEME:
Impossible de déplacer ou supprimer un mail depuis Outlook Web Access avec Exchange 2010.
Le message d’erreur suivante apparaît :
« L’action que vous avez tentée n’a pas pu être réalisée, car il existe un problème de configuration sur le serveur. Si le problème persiste, contacter le support technique. Le rapport d’erreur complet est répertorié ci-dessous…« .

CONFIGURATION DU SERVEUR :
- Exchange 2010 SP1 FR rollup 5.
- IPV6 est complètement désactivé sur ce serveur (DisabledComponents = FFFFFFFF). Voir procédure :
http://support.microsoft.com/kb/929852/en-us
- Le site web IIS du serveur Exchange est forcé sur l’IP 192.168.1.25 (configuration personnalisée).

ANALYSE DU PROBLEME :
A chaque tentative du suppression ou de déplacement d’un email dans Outlook Web Access, l’erreur suivante apparaît dans le journal « Application ».
Nom du journal : Application
Source : MSExchange OWA
Date : 09/03/2012 11 :35 :10
ID de l’événement : 108
Catégorie de la tâche : Configuration
Niveau : Erreur
Mots clés : Classique
Utilisateur : N/A
Ordinateur : MSREPORTEXCH.msreport.local
Description :
Outlook Web App n’a pas pu connecter les services Web Exchange à cause d’une erreur de configuration. Code de réponse = « null, webException.Status = SendFailure ».

SOLUTION DU PROBLEME :
Ce problème peut se produire pour une de ces deux raisons :
- Le site web IIS n’est pas configuré pour répondre depuis 127.0.0.1 sur les ports 80 et 443. Hors c’est un prérequis pour le bon fonctionnement d’Outlook Web APP. Pour plus d’informations, voir :
http://www.exchangedude.net/index.php/2012/02/owa-2010-cannot-delete-messages/
- On peut aussi avoir ce problème quand on a une interface IPV6 en écoute sur le serveur IIS. Le message d’erreur rencontré est alors un peu différent. Pour plus d’informations :
http://support.microsoft.com/kb/2249852

Dans mon cas j’avais les deux problèmes à la fois.
J’ai donc forcé le site web IIS pour écouter sur l’IP du serveur Exchange (10.4.1.5 dans mon cas) et 127.0.0.1 pour les ports 80 et 443. Cela a corrigé mon problème.

A+
Guillaume MATHIEU
PROSERVIA
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Windows Server 2008 | Un commentaire

COMMENT CONFIGURER SON CLIENT OUTLOOK AVEC DES BOÎTES AUX LETTRES DE GRANDE TAILLE ?

Pour commencer, je vous invite à lire les deux articles suivants.
http://support.microsoft.com/kb/940226/en-us
http://support.microsoft.com/kb/932086/fr

1 PROBLEME DE LENTEUR (FIGE PENDANT QUELQUES SECONDES) OU ERREUR « LE FICHIER DE DONNEES N’A PAS ETE FERME CORRECTEMENT LA DERNIERE FOIS » :
On rencontre généralement ce problème quand on configure Outlook en mode cache avec une boîte aux lettres de grande taille (au-dessus de 5 Go pour Microsoft).
Pour corriger ce problème, désactiver l’indexation du fichier OST.
Sous Windows Seven, il faut aller dans le Panneau de configuration | Options d’indexation. Décocher l’élément Outlook.
Sous Windows XP Pro, il faut créer une mmc vierge (mmc.exe) et ajouter le composant logiciel enfichable «Indexation Service». Vous pouvez aussi arrêter le service d’indexation.
Pour plus d’informations :
http://www.commentcamarche.net/forum/affich-3118749-verification-de-donnees-dans-outlook-2007

2 MODE CACHE VS MODE EN LIGNE :
En gros, en dessous de 10 Go, je préconise d’activer le mode cache.
Vous obtiendrez un fichier OST dont la taille pourra faire environ 15 Go. Penser à libérer de l’espace disque sur votre lecteur C ou à enregistrer le fichier OST à un autre emplacement.
Désactiver l’indexation du fichier OST (voir paragraphe précédent).

Entre 10 Go et 20 Go, c’est selon les cas de figure.
Si vous utilisez le mode cache, penser à désactiver l’indexation du fichier OST (obligatoire).
Installer le service pack 2 d’Outlook 2007 qui intègre un correctif pour stabiliser le fichier OST.
http://support.microsoft.com/kb/932086/fr

Au-dessus de 20 Go, n’utiliser pas le mode cache.
Cela va générer une forte charge sur le serveur Exchange par contre. Chaque accès génère des I/O sur votre serveur Exchange.
Penser à bien dimensionner le serveur au niveau I/O disque dans ce cas.

3 DOIT ON ACTIVER LA MISE EN CACHE DES DOSSIERS PUBLICS :
Cela peut être fait en cochant l’option de mise en cache des favoris des dossiers publics.
Ne faites surtout pas cela si vous disposez d’une base de dossiers publics qui contient plus de 1000 éléments ou 1 Go de données. Connaissant les utilisateurs, ils vont tout mettre en favoris. Je vous invite à lire cet article.
http://support.microsoft.com/kb/2494570

4. MON SERVEUR EXCHANGE EST LENT :
Essayer de configurer les clients Outlook en mode cache pour les boîtes aux lettres de faible taille. Cela va diminuer la charge au niveau I/O disque.
Lancer l’Exchange Best Practice Analyser et vérifier que les paramètres mémoires sont optimaux (important si vous disposez de boîtes aux lettres de grande taille).
Déplacer les bases de données Exchange sur des disques plus rapides (RAID 10).

5 MON CLIENT OUTLOOK SOUS WINDOWS VISTA / SEVEN EST TOUJOURS LENT :
Penser à désactiver toutes les fonctionnalités évoluées de prise en charge réseau (RSS, TCPA…). Si elles sont mal configurées, cela peut générer de nombreux problèmes.
http://www.speedguide.net/articles/windows-7-vista-2008-tweaks-2574

DIVERS :
Pour connaître la version Outlook installé à partir du numéro de version, voir article suivant:
http://support.microsoft.com/kb/928116

A+
Guillaume MATHIEU
Consultant pôle Architecture & Intégration PROSERVIA
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Exchange, Office, Performance, Troubleshouting | Laisser un commentaire

Retour d’expérience Vmware ESX : copier / coller et pilote Vmware SVGA 3D :

Salut à tous

Deux retours d’expérience avec Vmware ESX. J’espère qu’ils vous serviront…

1. Comment activer le copier / coller entre la machine avec le vSphere client et la console d’une machine virtuelle :
Lorsque l’on administre une machine virtuelle Vmware ESX via le vSphere Client, le copier / coller ne fonctionne pas entre la machine virtuelle et la machine depuis laquelle on se connecte avec le Vsphere client. Cette fonction peut être activée en ajoutant dans le fichier VMX de la machine virtuelle les paramètres suivants :
isolation.tools.copy.disable= »FALSE »
isolation.tools.paste.disable= »FALSE »
Pour rappel, il est possible d’ajouter des paramètres dans le fichier VMX via l’interface graphique. Pour cela :
- Eteindre la machine virtuelle.
- Aller dans le menu « VM » puis cliquer sur « Settings« .
- Sélectionner l’onglet Options puis cliquer sur « Advanced | General ».
- Dans la partie droite de la fenêtre « Virtual machine Properties« , cliquer sur le bouton « Configuration Parameters« .
- Cliquer sur « Add row » pour ajouter un paramètre dans le fichier VMX.
Pour plus d’informations:
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1026437

2. Penser à changer la carte graphique sur une machine virtuelle VMware ESX  sous Windows 2008 R2 : utiliser le pilote « Vmware SVGA 3D » :
De base, les Vmware Tools n’installe pas le meilleur pilote pour la carte graphique sur Windows 2008 / 2008 R2. Cela entraîne des lenteurs dans le déplacement de la souris et dans l’interface graphique.
En effet la carte graphique détectée dans le gestionnaire de périphérique est du modèle « Carte graphique VGA« . Pour corriger cela :
- Faire une installation complète des Vmware Tools.
- Ouvrir le gestionnaire de périphérique et spécifier l’empacement suivant pour le pilote « C:\Program Files\Common Files\VMware\Drivers\wddm_video« .
- Le pilote détecté doit être « Vmware SVGA 3D« .
Attention si le pilote est une « VMware SVGA-II« , vous recontrerez très probablement des problèmes de stabilité. Metter à jour vos Vmware Tools. Désinstaller le précédent pilote. La carte graphique détecté doit être une « Vmware SVGA 3D« . Au pire réinstaller le driver VGA de base.
Pour plus d’informations sur le problème de stabilité, voir :
http://www.vmadmin.co.uk/vmware/35-esxserver/203-vmtoolswinsvr08r2dispdrv
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1011709

Pour plus d’informations sur le pilote Vmware SVGA 3D :
http://www.boche.net/blog/index.php/2010/03/28/windows-2008-r2-and-windows-7-on-vsphere/
http://www.vmadmin.co.uk/vmware/35-esxserver/203-vmtoolswinsvr08r2dispdrv
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1011709

a+

Guillaume MATHIEU
PROSERVIA
La connaissance s’accroît quand on la partage
http://msreport.free.fr

Publié dans Virtualisation, Vmware ESX, Windows Server 2008 | Un commentaire

Pourquoi ne pas installer une autorité de certification sur un contrôleur de domaine ?

Bonjour

Lors d’un projet de migration des contrôleurs de domaine de Windows 2003 vers Windows 2008 R2, j’ai été confronté à la problématique de la migration du serveur d’autorité de certification d’entreprise.  Ce dernier était installé sur un contrôleur de domaine. Hors je devais rétrograder ce serveur en serveur membre pour finaliser la migration des contrôleurs de domaine vers Windows 2008 R2 et configurer la forêt en mode natif 2008 R2.

PROBLEME :
Lorsque j’ai exécuté l’assistant DCPROMO sur le contrôleur de domaine / serveur d’autorité de certification, j’ai obtenu le message d’erreur suivant :
« Avant de pouvoir installer ou désinstaller Active Directory, vous devez supprimer le composant Autorité de certification ».
Il s’agit d’une contrainte Microsoft et non d’un bug.

SOLUTION :
La solution consiste à :
- Sauvegarder l’autorité de certification depuis la console « Autorité de certification ».
- Sauvegarder les certificats sur votre serveur (faire une exportation au format PFX). Pour cela, lancer une MMC vierge (mmc.exe) et ajouter le composant logiciel enfichable certificat. Faire l’ajout pour l’ordinateur et pour l’utilisation. Faire une exportation de vos certificats en exportant la clé privée (format PFX).
- Sauvegarder la configuration du service CERTSVC avec REGEDT32 en sauvegardant la clé :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ CertSvc\Configuration\CA_NAME.
- Vérifier l’emplacement du service autorité de certification !
- Taper “certutil –shutdown” pour arrêter le service d’autorité de certification.
- Taper “certutil –key” pour avoir des informations sur le certificat d’autorité de certification.
- Taper “certutil –delkey CA_NAME” pour supprimer le certificat de l’autorité de certification.
- Supprimer le composant « Autorité de certification » du serveur. Voir : http://support.microsoft.com/kb/298138/fr
- Lancer DCPROMO sur le serveur pour lui retirer le rôle de contrôleur de domaine.
- Installer de nouveau le composant autorité de certification sur le serveur en réutilisant le certificat de l’autorité de certification sauvegardée. Utiliser le même chemin.
- Restaurer la sauvegarde de l’autorité de certification.
- Tester le redémarrage de la CA.
- Si cela fonctionne, faire une sauvegarde de :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\ Configuration\CA_NAME.
- Supprimer cette clé et toutes les sous clés.
- Restaurer l’ancienne configuration de votre CA en double cliquant sur le fichier .REG obtenu avant de supprimer la CA d’origine.

Pour plus d’informations :
http://support.microsoft.com/kb/555012/en-us
http://www.windowsitpro.com/article/tips/moving-a-certificate-authority-ca-to-another-dc-
http://support.microsoft.com/kb/298138/en-us

Dans certains cas, il n’est pas possible de démarrer le service autorité de certification. Le message d’erreur « Clé incorrecte. Ox80090003 (-2146893821) ». On a un message d’erreur Source CertSvc EVENTID 100 dans le journal d’événement. On a ce problème quand le composant « Autorité de certification » a été réinstallé vers un emplacement différent. La solution est alors de supprimer / réinstaller l’autorité de certification. Si vous ne retrouvez pas l’ancien emplacement de la CA, ne réimporter pas les anciens paramètres du service d’autorité de certification. Pour plus d’informations :
http://blogs.msdn.com/b/danpark/archive/2005/07/19/440524.aspx

Remarque :
Pour rappel, il est n’est pas possible de renommer un serveur avec le composant « Autorité de certification », la solution proposée dans les articles ci-dessus est d’ajouter un nom de service supplémentaire (SPN) au niveau du compte ordinateur du serveur cible. Dans mon cas je voulais conserver l’autorité de certification sur ce serveur. Pas besoin d’appliquer cette technique.

A+
Guillaume MATHIEU
PROSERVIA
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Active Directory, Annuaire, Certificats, Sécurité, Troubleshouting | 5 commentaires

Complément d’informations sur l’erreur « Service MsExchangeMailSubmission » failed to reach status « Running » on this server

Bonjour

DESCRIPTION DU PROBLEME :
Lors de l’installation du SP3 d’Exchange 2007 sur mes serveurs de tests, j’ai rencontré l’erreur suivante :
Cannot start service MSExchangeMailSubmission on computer « . ».
The service did not respond to the start or control request in a time fashion.
L’installation d’Exchange 2007 se déroulait correctement jusqu’à la phase de finalisation où les services Exchange sont redémarrés.
Effectivement, les services MsExchangeMailSubmission, MsExchangeTransport et MsExchangeTransportLog étaient arrêtaient après l’installation. Le démarrage manuel de ces 3 services étaient possible.

SOLUTION :
Ce problème se pose si le serveur Exchange 2007 n’a pas de passerelle par défaut.
Pour plus d’informations, voir :
http://support.microsoft.com/kb/944752/en-us

A+
Guillaume MATHIEU
Consultant PROSERVIA
La connaissance s’accroît quand on la partage.

Publié dans Bug, Exchange, Messagerie, Troubleshouting | Laisser un commentaire

RETOURS D’EXPERIENCE ADMT 3.2 – INSTALLATION ET ATTRIBUTS NON MIGRES PAR DEFAUT

Bonjour

Nous allons voir dans cet article trois retours d’expérience sur ADMT, l’outil Microsoft pour migrer les ressources (comptes utilisateurs, groupes, comptes ordinateurs, configuration des machines) entre deux forêts Active Directory ou entre domaines d’une même forêt.

RETOUR D’EXPERIENCE 1 : INSTALLATION D’ADMT 3.2 – PENSER A INSTALLER SQL EXPRESS ADVANCED :
Depuis la version 3.2, le programme d’installation d’ADMT n’inclue plus SQL server Express.
Cette version ne s’installe aussi que sur Windows 2008 R2.
Il est donc nécessaire d’installer manuellement SQL Server Express ou une version complète et payante de SQL Server. Je vous préconise d’installer SQL Server 2008 Express Advanced téléchargeable à cette adresse :
http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=B5D1B8C3-FDA5-4508-B0D0-1311D670E336
En effet seule cette version inclue l’outil de management « SQL Server Express Management Studio« . Ce dernier permet d’effectuer des tâches comme la définition des accès à la base de données ou sa sauvegarde.

RETOUR D’EXPERIENCE 2 : INSTALLATION D’ADMT 3.2 SUR UN CONTROLEUR DE DOMAINE :
On rencontre de nombreux problèmes si on installe ADMT 3.2 sur un contrôleur de domaine.
L’installation peut échouer ou le message d’erreur suivant apparaît quand on lance ADMT :
« Unable to connect to ‘server\instance’, please ensure the SQL Server hosting this instance is running and connections can be made to this instance. [DBNETLIB][ConnectionOpen (Connect().]SQL Server does not exist or access denied. »
Je vous invite pour cela à lire l’article de mon collègue Farid.
http://polearchitecture.wordpress.com/2010/09/10/installation-dadmt-3-2-sur-un-controleur-de-domaine-2008-r2-x64/
La procédure suivante doit être appliquée (dans l’exemple, le nom du serveur ADMT est « DC1″ et le nom de l’instance SQL Server Express est « SQLEXPRESS ») :
Ouvrir une invite de commande et taper les commandes suivantes :
NET LOCALGROUP SQLServerMSSQLUser$DC1$SQLEXPRESS /ADD
SC SHOWSID MSSQL$SQLEXPRESS
La commande renvoie le SID suivant : S-1-5-80-3880006512-4290199581- 1648723128-3569869737-3631323133
Donner les permissions aux répertoires ADMT aux comptes de services en tapant cette commande :
ICACLS %systemroot%\ADMT\Data /grant *S-1-5-80-3880006512-4290199581- 1648723128-3569869737-3631323133:f
Pour plus d’informations :
http://blogs.technet.com/b/askds/archive/2010/07/09/admt-3-2-common-installation-issues.aspx

RETOUR D’EXPERIENCE 3 : CONFIGURER ADMT 3.2 POUR MIGRER TOUS LES ATTRIBUTS D’UN COMPTE UTILISATEUR :
Pour rappel, ADMT 3.2 permet d’exclure certains attributs lors de la migration d’un compte utilisateur.
Cependant, par défaut ADMT ne migrera jamais les attributs Exchange (entre autres) comme l’attribut msExchangeMailboxGUID (identifiant de la boîte aux lettres Exchange associée au compte utilisateur Active Directory dans le domaine source).
Cette valeur ne correspondrait à rien dans le domaine cible (même si on a Exchange).
C’est pour cette raison qu’ADMT ne migre pas par défaut cet attribut.
Le cas de l’attribut Mail est plus discutable (champ adresse email dans l’onglet général au niveau des propriétés d’un compte utilisateur). Cet attribut n’est pas migré par défaut ce qui peut être bloquant.
Pour modifier cette configuration, appliquer la procédure suivante sur le serveur ADMT :
Ouvrir un invite de commande et taper les commandes suivantes :
Cd c:\windows\sysWOW64
Cscript c:\admtattribute.vbs
Le fichier c:\admtattribute.vbs doit contenir le code VBS suivant :
Set objMig = CreateObject(« ADMT.Migration »)
objMig.SystemPropertiesToExclude = « homeMDB, homeMTA, showInAddressBook, msExchHomeServerName, msExchRecipientTypeDetails, msexchrecipientdisplaytype msExchMailboxSecurityDescriptor, msExchMDBRulesQuota, msExchPoliciesIncluded, msExchUserAccountControl, msExchVersion, mdbusedefaults, msExchMailboxGuid »

Si vous voulez qu’ADMT migre tous les attributs, le fichier c:\admtattribute.vbs doit contenir le code VBS suivant :
Set objMig = CreateObject(« ADMT.Migration »)
objMig.SystemPropertiesToExclude = «  »

Pour plus d’informations, voir :
http://technet.microsoft.com/en-us/library/cc974331(WS.10).aspx
http://msexchangetips.blogspot.com/2011/01/cannot-create-mail-enabled-user-because.html

REMARQUE :
Je rappelle que Microsoft fournit un guide pour la configuration et l’utilisation d’ADMT 3.2 :
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=19188

A+
Guillaume MATHIEU
Consultant PROSERVIA
La connaissance s’accroît quand on la partage

Publié dans Active Directory, ADMT, Annuaire, Bug, Exchange, Maquette, Migration, Troubleshouting, Windows Server 2008 R2 | Un commentaire

Quelle stratégie pour sécuriser les mots de passe des comptes utilisateurs Active Directory ?

Bonjour à tous

La sécurité des mots de passe des comptes utilisateurs est une question de sécurité majeure.
Des outils de recherche brut force comme John The Ripper perttent de retyrouver facilement un mot de passe simple (moins de 4 caractères et basé sur des mots du dictionnaire). Pour plus d’informations, voir http://syskb.com/cracker-un-mot-de-passe-active-directory-avec-fgdump-et-john/
Un compte utilisateur standard dispose :
- D’un accès en lecture à 90% des propriétés des objets de tous les domaines de la forêt Active Directory.
- D’un accès en lecture à la partition de configuration Active Directory.
- D’un accès à tous les dossiers sécurisés à l’aide des groupes « Utilisateurs authentifiés » et « Utilisateurs du domaine ». Par défaut sous Windows 2003, le groupe « Utilisateurs authentifiés » peut lire les fichiers et écrire de nouveau fichiers sur tous les disques de données.
Avec un compte standard un pirate peut :
- Elaborer une attaque plus ciblée car il dispose de la configuration de l’annuaire et de la configuration réseau (via l’analyse de la configuration des sites Active Directory)
- Exécuter de nombreuses attaques basées sur des failles applicatives. La majorité des attaques nécessitent un accès en lecture seul au service attaqué (SMB, IIS). Le portail METASPLOIT intègre une attaque par exemple qui fait planté un serveur Windows 2008 R2 (écran bleu) via un accès en lecture seul à un partage. Pour plus d’informations, voir :
http://www.metasploit.com/modules/exploit/windows/smb/smb_relay
Nous venons donc de voir l’importance de sécuriser les mots de passe des comptes utilisateurs. Nous allons maintenant voir comment faire.

1. DIFFERENCE ENTRE CHANGEMENT DE MOT DE PASSE ET REINITIALISATION DU MOT DE PASSE :
Le premier point à comprendre est la différence entre le changement d’un mot de passe et sa réinitialisation.
La procédure de changement de mot de passe nécessite que l’utilisateur saisisse l’ancien et le nouveau mot de passe.  La fenêtre de changement de mot de passe apparaît quand le mot de passe de l’utilisateur a expiré une fois que l’utilisateur s’est authentifié (après la mire d’ouverture de session) ou quand l’utilisateur fait CTRL ALT SUPPR et clique sur « Modifier le mot de passe ».
La réinitialisation d’un mot de passe peut se faire depuis la console Utilisateurs et Ordinateurs Active Directory ou Centre d’administration Active Directory (compte Active Directory) ou via la console Gestion de l’ordinateur (compte de la BASE SAM locale). Il n’est pas nécessaire de connaître l’ancien mot de passe. Cette action est effectuée par les équipes informatiques et non par les utilisateurs.
Attention, dans certains cas,  la réinitialisation de mot de passe d’un compte de la base SAM fait perdre l’accès aux données chiffrées avec EFS lorsque la machine est en groupe de travail. Pour plus d’informations voir : http://support.microsoft.com/kb/290260/en-us

2. LES PARAMETRES DE STRATEGIE DE MOT DE PASSE :
Active Directory permet de définir les paramètres suivant pour le mot de passe des comptes utilisateurs du domaine :
- Historique des mots de passe : ce paramètre permet d’empêcher les utilisateurs de réutiliser le même mot de passe lorsque le mot de passe expire ou lorsque l’utilisateur change son mot de passe.
- Durée de vie minimale du mot de passe : ce paramètre permet d’empêcher l’utilisateur de changer son mot de passe après changement pendant un certain nombre de jours. Ce paramètre permet surtout d’empêcher les utilisateurs de changer plusieurs fois leurs mots de passe successivement pour contourner l’historique de mot de passe. Sans ce paramètre activé, avec un historique de mots de passe définis sur 5 mots de passe, il suffit un utilisateur de changer 6 fois de suite son mot de passe pour pouvoir continuer à utiliser son mot de passe actuel.
- Durée de vie maximale du mot de passe : le mot de passe expirera au bout d’un certain nombre de jours (par défaut 42). L’utilisateur sera invité à l’ouverture de session à changer son mot de passe.
- Longueur minimum du mot de passe : ce paramètre définit le nombre de caractères minimums du mot de passe.
- Les mots de passe doivent respecter les exigences de complexité : ce paramètre permet d’obliger les utilisateurs à définir un mot de passe qui contient 3 des 4 familles de caractères. Les 4 familles de caractères sont lettres minuscules (a à z), lettres majuscules (A à Z), les chiffres (0 à 9) et les caractères spéciaux (@é#è?…). Nous verrons que les options de complexité des mots de passe Active Directory sont trop faibles pour vraiment sécuriser les mots de passe. Exemple de mot de passe complexe pas vraiment sécurisé : P@ssword

3. LES NOUVEAUTES DU MODE NATIF 2008 :
Par défaut les stratégies de mots de passe se définissent au niveau de la stratégie « Default Domain Policy » uniquement. Si vous définissez une stratégie de mot de passe au niveau d’une OU, cette dernière s’applique en fait aux comptes de la base SAM locale des machines dont le compte ordinateur est dans cette OU.
Pour plus d’informations, voir article : http://msreport.free.fr/?p=156
Si votre domaine est en mode natif 2008 et ultérieur, il est possible d’activer les stratégies de mot de passe fines (Granular Password Policy).
Le schéma Active Directory inclue deux nouvelles classes d’objets qui sont activées en mode natif 2008 :
- Password Settings Container
- Password Settings.
Les stratégies de mot de passe fines sont donc un mécanisme parallèle aux stratégies de mot de passe classiques (qui ne peuvent toujours être définies qu’un niveau de la stratégie de groupe Default Domain Policy).
Ce mécanisme permet d’affecter une stratégie de mot de passe spécifique à un compte utilisateur ou un groupe. Les paramètres de stratégies (historique, durée de vie minimum, maximum, complexité de mot de passe) sont identiques avec les stratégies de mots de passe fines.
Pour créer les stratégies de mots de passe fine, il faut utiliser ADSIEDIT et appliquer la procédure suivante : http://www.windowsecurity.com/articles/Configuring-Granular-Password-Settings-Windows-Server-2008-Part-1.html
Il existe heureusement des outils gratuits pour faire cela en interface graphique comme SPECOPS PASSWORD POLICY BASICS. Pour plus d’information, voir http://www.specopssoft.com/
Pour plus d’informations sur les stratégies de mots de passe fine (Granular Password Policy), voir les articles suivants :
http://technet.microsoft.com/en-us/library/cc770394(WS.10).aspx
http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx
http://www.windowsecurity.com/articles/Configuring-Granular-Password-Settings-Windows-Server-2008-Part-1.html

4. COMMENT AMELIORER LE FILTRE DE COMPLEXITE DES STRATEGIES DE MOTS DE PASSE :
Quand nous l’avons vu le filtre de complexité de la stratégie de mot de passe est assez basique.
Voir l’article http://technet.microsoft.com/fr-fr/library/cc786468(WS.10).aspx
En effet, Active Directory considère que les mots de passe suivant sont complexes : Password01 ou Proservia01
Il est possible de personnaliser le filtre de stratégie de mot de passe en réécrivant la DLL passfilt.dll.
Les liens ci dessous contiennent des exemples de fichier passfit.dll modifiés et les explications sur le fonctionnement de cette DLL. Attention, développer / implémenter une passfilt.dll modifiée sans le support d’un éditeur tiers est très dangereux. Je vous invite à partir sur une solution payante sauf si vous disposez en interne d’une équipe de développeur compétent.
http://identitycontrol.blogspot.com/2007/10/inside-active-directory-password-filter.html
http://msdn.microsoft.com/en-us/library/ms721882(VS.85).aspx
http://msdn.microsoft.com/en-us/library/ms721849(VS.85).aspx
http://msdn.microsoft.com/en-us/library/ms721884(VS.85).aspx
http://www.devx.com/security/Article/21522/0/page/1
http://www.codeproject.com/KB/winsdk/LoginFilter.aspx
http://ntsecurity.nu/toolbox/strongpass/
Il existe de nombreuses solutions payantes comme nFront Password Filter, Specops Password Policy qui font cela très bien (mais c’est cher !).
http://nfrontsecurity.com/products/nfront-password-filter/
http://www.specopssoft.com/products/specops-password-policy

5. LES BONNES PRATIQUES POUR LA STRATEGIE DE MOTS DE PASSE :
Quels sont les risques :
- Une stratégie de mot de passe trop faible expose la société à un risque de piratage des mots de compte utilisateur via une attaque brute force. Un script essaie automatiquement des milliers de mots de passe en se basant sur les mots du dictionnaire.
- Une stratégie de mot de passe trop complexe expose la société à des comportements inappropriés de la part des utilisateurs. Ces derniers finissent par écrire le mot de passe en dessous de leur clavier ce qui est finalement encore moins sécurisé qu’un mot de passe faible. Qui est en effet capable de retenir ce mot de passe : 1ju9N4V87Nh54iI ?

En général, je préconise la stratégie suivante :
- Historique de mot de passe : 24
- Durée de vie maximum du mot de passe : 42 jours
- Durée de vue minimale du mot de passe : 1 jour
- Longueur du mot de passe : 8 caractères
- Complexité du mot de passe : activé. Il peut être intéressant d’investir dans des logiciels additionnels pour disposer d’un dictionnaire avec des mots de passe interdits comme Password01 ou les noms propres.
Si vous souhaitez aller au-delà en terme de sécurité des mots de passe, je vous préconise de partir sur une solution d’authentification avec des cartes à puces (SMART CARD). Pour plus d’informations, voir :
http://technet.microsoft.com/fr-fr/library/ff404294(WS.10).aspx
Attention, lire les articles suivants si vous utilisez une autorité de certification non Microsoft comme OpenTrust CA :
http://blogs.technet.com/b/instan/archive/2011/05/17/smartcard-logon-using-certificates-from-a-3rd-party-on-a-domain-controller-and-kdc-event-id-29.aspx
http://support.microsoft.com/kb/281245/en-us
http://support.microsoft.com/kb/291010/en-us

Enfin la règle d’or est de faire valider la stratégie de mots de passe par la direction.
En effet il est important que les utilisateurs adhèrent à la stratégie de mots de passe de l’entreprise (ils ne doivent pas noter leur mot de passe derrière leur clavier). Pour cela, la direction doit communiquer, établir un règlement (charte informatique) et prévoir des sanctions disciplinaires en cas d’infraction majeur.

6. LA PROCEDURE DE CHANGEMENT / REINITIALISATION DES MOTS DE PASSE :
Maintenant que l’on a vu les solutions techniques pour sécuriser les mots de passe, on va parler de la procédure de réinitialisation des mots de passe qui reste un point noir au niveau de la sécurité.
Pour rappel, on réinitialise le mot de passe d’un compte utilisateur quand l’utilisateur ne se rappelle plus de son mot de passe ou quand le mot de passe a expiré et que l’utilisateur ne peut pas effectuer un login classique pour appliquer la procédure de changement du mot de passe (cas des utilisateurs externes à l’entreprise qui se connectent à des applications web publiées sur Internet).
Dans la majorité des entreprises, cette action est à la charge de la hotline, parfois même d’une hotline externalisée à l’autre bout de la planète. L’équipe HOTLINE ne connaît donc pas les utilisateurs.
Il est donc très simple de se faire passer pour une employée de l’entreprise et d’obtenir le mot de passe de cette personne. Pour se prémunir de ce problème, certaines entreprises imposent à l’utilisateur de répondre à certaines questions personnelles. Cependant la gestion de ce questionnaire reste très complexe.
C’est là qu’interviennent des outils tiers comme nFront Web Password Change ou Specops Password Reset. Ces outils permettent aux utilisateurs de réinitialiser leur mot de passe depuis la mire d’ouverture de session ou depuis un portail web à l’aide d’un formulaire à base de questions / réponses :
http://www.specopssoft.com/products/specops-password-reset
http://nfrontsecurity.com/products/nfront-web-password-change/

A+
Guillaume MATHIEU
PROSERVIA
La connaissance s’accroît quand on la partage
http://msreport.free.fr

Publié dans Active Directory, Annuaire, Outils, Sécurité, Système, Windows 2003 Server, Windows Server 2008, Windows Server 2008 R2 | Marqué avec , , , , | 2 commentaires

Isa Server 2006 et la « Délégation Kerberos contrainte »

Salut à tous

J’ai récemment travaillé sur la mise la publication d’un site web avec Isa Server 2006 avec les contraintes suivantes :
- Les utilisateurs sur Internet doivent s’authentifier à l’aide d’une carte à puce ou d’un certificat utilisateur.
- Le serveur Isa Server doit authentifier les demandes de connexion tout comme le serveur web.
- Le serveur web (IIS) doit être configuré avec de l’authentification intégré (protocole d’authentification Kerberos ou NTLM).
- Les utilisateurs ne doivent pas avoir besoin de s’authentifier (ils insèrent uniquement leur carte à puce).
- Le flux réseau entre l’utilisateur sur Internet et le serveur Isa Server 2006 doit être chiffré (HTTPS).
- Le flux réseau entre le serveur Isa 2006 et le serveur web doit être chiffré (HTTPS).

1. AVANT DE COMMENCER :
Une version de cet article avec des captures d’écran est disponible à cet emplacement :
http://msreport.free.fr/articles/IsaServerDelegationkerberoscontrainte.pdf

2 ACTIONS A EFFECTUER SUR ISA SERVER :
On crée une règle de publication web. On va faire du pontage SSL.
Pour plus d’informations sur Isa Server, je vous invite à lire mon support de cours sur Isa Server 2006 :
http://msreport.free.fr/articles/IsaServer2006.pdf
On va configurer Isa Server pour accepter l’authentification avec des certificats de type  « Utilisateur ». Cela nécessite d’utiliser la « Délégation Kerberos contrainte ». Il n’est pas possible d’utiliser de la délégation NTLM avec les certificats client (certificat de type « Utilisateur »).
Les prérequis suivants doivent être respectés pour la mise en œuvre de la « Délégation Kerberos contrainte » :
- Le domaine doit être en mode natif 2003.
- Le serveur Isa Server 2006 et le serveur web doivent être dans le même domaine. Isa Server 2006 est donc membre du domaine !
Le correctif suivant (inclus dans le SP1) semble supprimer cette limitation mais en pratique cela ne marche pas :
- http://support.microsoft.com/kb/942637/en-us.
- Il faut autoriser la fragmentation IP dans Isa Server 2006.
Les articles ci-dessous expliquent comment configurer la délégation contrainte :
- http://technet.microsoft.com/en-us/library/bb794858.aspx
- http://technet.microsoft.com/fr-fr/library/bb794751.aspx (Exemple avec Publication OWA)
- http://technet.microsoft.com/fr-fr/library/cc786828(WS.10).aspx
Remarque :
- Il est préconisé d’installer le dernier pack de correctif Isa Server 2006 (POST SP1) : http://support.microsoft.com/kb/960148/en-us
- Pour contrôler le format de saisi du champ login / mot de passe : http://support.microsoft.com/kb/960146/en-us
- Autre problème avec la « délégation Kerberos contrainte » :
http://support.microsoft.com/kb/947124/en-us

2.1 CONFIGURATION DU PORT D’ECOUTE :
Il faut configurer le port d’écoute Isa Server au niveau de la règle de publication WEB avec la méthode d’authentification « Authentification de certificats de client SSL  ». Pour cela, aller dans au niveau de la règle Isa Server, dans l’onglet « Port d’écoute« . Dans les propriétés du port d’écoute, cliquer sur l’onglet « Authentification« .
Il faut ensuite autoriser le certificat de l’autorité de certification qui a émis les certificats clients. Pour cela, toujours dans l’onglet « Authentification » du port d’écoute, cliquer sur le bouton « Configurer« . Séalectionner le certificat de l’autorité de certification qui a émis les certificats web.

2.2 CONFIGURATION DE LA DELEGATION D’AUTHENTIFICATION :
Il faut ensuite configurer la délégation d’authentification sur « Délégation Kerberos contrainte ».
Cela se configure au niveau de l’onglet « Délégation d’authentification » de la règle de publication web.
On remarquera qu’Isa Server 2006 génère un « Service Principal Name » automatiquement (champ « Entrer le nom principal de service (SPN)…« .
Il sera nécessaire de créer le SPN (Service Principal Name) au niveau du serveur web interne (même valeur que dans la règle Isa Server).

2.3 CONFIGURER LE COMPTE ORDINATEUR DU SERVEUR ISA :
Il faut approuver la délégation au niveau du compte ordinateur du serveur ISA.
Au niveau des propriétés du compte ordinateur, aller dans l’onglet « Délégation« .
Cliquer sur « N’approuver cet ordinateur que pour la délégation aux services spécifiés« .
Sélectionner « Utiliser tour protocole d’authentification« .
Cliquer sur « Affichage développé » puis cliquer sur le bouton « Ajouter« . Aller chercher le compte ordinateur du serveur web et ajouter les services WWW et HTTP.

2.4 AJOUTER LE SERVICE PRINCIPALNAME (SPN) AU NIVEAU DU COMPTE ORDINATEUR DU SERVEUR WEB :
Il faut ajouter le Service Principal Name (SPN) au niveau du serveur web.
Cela peut être fait via ADSIEDIT ou via la commande SETSPN.
ADSIEDIT (concole MMC) est disponible sur le CD d’installation de Windows 2003 Server dans les supports Tools.
C’est l’éditeur bas niveau d’Active Directory. Faire un clic droit sur l’objet correspondant au compte ordinateur du serveur web. Editer l’attribut « Service Principal Name ».
Dans notre cas, on saisit http://srvdfs5.archidfs.local (SRVDFS5.archidfs.local étant le nom de notre serveur web). Le SPN doit être identique à celui indiqué dans la règle Isa Server 2006.

2.5 RESULTATS ET PROBLEMES RENCONTREES :
2.5.1 TESTS CONNEXION AVEC UN COMPTE UTILISATEUR SITUE DANS LE MEME DOMAINE QUE LE SERVEUR WEB ET ISA SERVER :

Si un utilisateur essaie de se connecter depuis Internet, il voit une fenêtre qui lui demande de sélectionner un certificat.
En fait Internet Explorer accède au magasin de certificat utilisateur de Windows.
Pour visualiser ce magasin de certificat, cliquer sur Démarrer | Exécuter. Taper MMC.
Ajouter le composant logiciel enfichable « Certificats » et sélectionner « Compte utilisateur« . Développer la section « Personnel« . Vous pouvez alors voir vos certificats (spécfiques à votre compte utilisateur Windows).
Au niveau d’Isa Server 2006, on peut voir que la connexion est authentifiée et que c’est bien le module proxy qui est utilisé en allant dans la partie Monitoring | onglet Session. On peut créer un filtre en spécfiant l’adresse IP de la machine qui accède au site web depuis Internet.

2.5.2 TEST CONNEXION AVEC UN COMPTE SITUE DANS UN AUTRE DOMAINE :
Cela échoue si utilisation d’un compte d’un autre domaine de la forêt (pas dans le même domaine que le serveur ISA et le serveur web). On a l’erreur ci-dessous.
Event Type: Error
Event Source: Microsoft ISA Server Web Proxy
Event Category: None
Event ID: 21315
Date:  7/5/2011
Time:  2:58:30 PM
User:  N/A
Computer: SRVDFS3-R3GPSSX
Description:
ISA Server n’a pas pu déléguer d’informations d’identification au site Web publié par la règle Publication srvdfs5.archidfs.local à l’aide de la délégation Kerberos contrainte. Vérifiez que les noms principaux du service : http/srvdfs5.archidfs.local configurés dans ISA Server correspondent à ceux d’Active Directory.
Le correctif suivant (inclus dans le SP1) semble supprimer cette limitation mais en pratique cela ne marche pas :
http://support.microsoft.com/kb/942637/en-us.

a+
Guillaume MATHIEU
PROSERVIA / MSREPORT (http://msreport.free.fr)  
La connaissance s’accroît quand on la partage

Publié dans Active Directory, Certificats, IIS, Isa 2006, Isa Server, Sécurité, Windows 2003 Server | 2 commentaires