PI Services

OS impactés :

Windows 7 & Windows Server 2008 R2

Quelle nouvelle approche ?

Œuvrer pour Limiter l’adhérence de la couche applicative avec la couche système, on ajoute une étape de plus dans le cloisonnement lors de l’installation et de l’utilisation d’une application.

Descriptif :

Peut exécuter un unique package qui peut à la fois installer une application pour le contexte “machine” ou pour le contexte “utilisateur”.
Une application étant prévue d’être installée, mise à jour, exécutée et supprimée par un utilisateur standard sans élévation de privilèges est appelée “a per user Application” (PUA). Une PUA minimise les effets sur le système ainsi que pour les autres utilisateurs sur l’ordinateur. Elle réserve l’UAC à des situations qui ont réellement besoin de l'élévation de privilèges de l'utilisateur.

Lorsque Windows Installer 5.0 installe un package à double choix dans le contexte de l’utilisateur, il dirige les fichiers et les entrées de Registre vers les emplacements prévus pour l’utilisateur et n'affiche pas l'UAC pour l’élévation de privilèges.
Lorsque Windows Installer 5.0 installe un package à double choix dans le contexte machine, il dirige les fichiers et les entrées de registre aux emplacements prévus pour le contexte machine et affiche l’UAC pour certifier que l'utilisateur a bien des privilèges suffisants pour installer le logiciel packagé pour tous les utilisateurs de l’ordinateur.

Une fois que Windows Installer 5.0 installe une application, il utilise le même contexte d'installation pour toutes les mises à jour ultérieures, les réparations, ou la suppression de l’application.

Redirection des éléments en fonction du contexte d’installation :

Installation « Per Machine »

- HKEY_LOCAL_MACHINE
- HKLM\Software\Classes
- ProgramFilesFolder
- CommonFilesFolder
- ProgramFiles64Folder
- CommonFiles64Folder

Installation « Per User »

- HKEY_CURRENT_USER
- HKCU\Software\Classes
- %LocalAppData%\Programs
- %LocalAppData%\Programs\Common
- %LocalAppData%\Programs\ISV _Name\App_Name\x86
- %LocalAppData%\Programs\ISV_Name\App_Name\x64
- C:\Users\%username%\AppData : pour les configurations de données utilisateur de l’application
- C:\Users\%username%

Par contre :

- Pas de “Custom Actions” fonctionnant avec des privilèges élevés
- Pas d’écriture dans les répertoires système suivants : AdminToolsFolder; CommonAppDataFolder; FontsFolder; System16Folder; System64Folder; SystemFolder; TempFolder; WindowsFolder; WindowsVolume
- Pas d’installation de “Win32 assemblies” dans le “global assembly cache (GAC.)
- Pas d’installation de sources ODBC
- Pas d’installation de services

Avec la console d’Administration d’Enterprise Vault, ou avec l’option de Reporting SQL, il est assez simple d’obtenir un état des lieux du stockage utilisé, et par Archives par exemple.

Mais qu’en est-il du ratio d’instance unique (SIS) ?

Lors des phases de définition d’architecture d’un projet d’archivage avec cette solution, certains facteurs sont pris en considération afin de dimensionner les espaces de stockage à moyen termes, et des estimations sont mises en avant, y compris concernant le ratio d’instance unique. Mais en réalité, comment visualiser cette proportion une fois en production ?

Un des outils inclus dans la solution permet entre autre cette visualisation: EVSVR

Cet outil fonctionnant en mode commande, et donc scriptable, permet pour l’instant deux types d’opérations:

• Report : génère un rapport sur le stockage
• Verify : permet une vérification de son stockage
• L’option “Repair” fera son apparition prochainement…

Dès son lancement, et suite à la demande d’aide avec la commande “?”, un certain nombre d’informations sont déjà disponible:

• Nom du compte de service
• Nom du Site EV
• Site ID
• Version

Exemple d’utilisation:

Afin d’obtenir les informations de Reporting désirées, il va falloir commencer par générer un fichier de Configuration XML permettant de spécifier les champs de recherche, avec la commande “EDIT”. Une fenêtre de paramétrage s’ouvrira :

Elle permettra notamment de spécifier :

• Le ou les espace(s) de stockage(s) désiré(s)
• Toutes les archives ou une archive spécifique
• Les facteurs temporels d’examen
• L’emplacement du fichier LOG (par défaut, il s’agit du dossier d’installation de la solution “\Reports\EVSVR”)
• L’opération désirée : Report ou Verify ainsi que ses options
• Et bien entendu le nom du fichier XML contenant tous ces paramètres

Une fois le fichier XML généré, l’opération est prête a être lancée :

• Tout d’abord exécuter la commande “LOAD” permettant de charger le fichier XML

• Puis exécuter la commande “START”, et attendre la fin de l’opération (cela peut durer plusieurs heures et il faudra alors s’armer de patience avant d’obtenir les résultats) :

N.B.: un document PDF d’utilisation de cet outil est disponible à l’adresse suivante :

• ftp://exftpp.symantec.com/pub/support/products/Exchange_Mailbox_Archiving_Unit/316525.pdf

Symptômes

Après avoir installer MOSS 2007 et créer des applications Web et des sites  vous n’arrivez pas à explorer vos sites avec leurs noms d’hôtes sur le serveur MOSS lui même, par contre ils sont bien accessibles depuis n’importe quel autre serveur ou poste client.

Lorsque vous tapez l’adresse de votre site on vous demande de s’authentifier 3 fois de suite et vous recevez une page vierge au niveau de l’explorateur.

Pas de messages d’erreur enregistrés à l’exception du journal de sécurité qui présente une série d’événements 4625: An Account Failed to Logon

Ce comportement se manifeste sur le serveur Web lui même et ne concerne que les sites ayant des noms d’hôte.

Cause

Depuis le service pack 1 de Windows Server 2003 une fonctionnalité de sécurité a été intégré au système d’exploitation (LoopBack Check) afin d’empêcher les attaques par réflexion sur les serveurs Web.

Cette fonctionnalité provoque un échec d’authentification pour toute demande portant un nom d’hôte qui ne ne correspond pas au nom de la machine.       

Résolution

Pour remédier à ce problème on dispose de deux méthodes:

Méthode 1 : Désactiver la fonctionnalité LoopBack Check

• Ajouter une valeur DWORD nommée DisableLoopBackCheck ayant une valeur 1 à la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

•   Redémarrer le service d’administration d’IIS

Méthode 2 : Spécifier les noms d’hôtes en question

• Ajouter une valeur Multi-String nommée BackConnectionHostNames  à la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 et y tapez les noms d’hôtes de tous les sites dont l’authentification est Windows et qui présentent le problème.       

• Redémarrer le service d’administration d’IIS

Réflexion

Avant de passer à l’action il faut se poser la question si on considère ce comportement problématique ou non puisque les sites sont bien accessibles de n’importe quel serveur ou poste client et seulement inaccessibles depuis le serveur Web lui même.

Il faut bien avoir cette réflexion puisque la résolution de ce “faux” problème consiste à désactiver la fonctionnalité LoopBack Check ce qui constitue en lui même l’exposition du serveur à un risque de sécurité.

Parmi les deux méthodes de résolution la deuxième semble comme même plus adaptée étant données qu’elle nous permet de spécifier les sites pour les quels la fonctionnalité sera désactivée et qui peuvent être les sites les plus sécurisés de point de vue fonctionnalités et utilisation, ce qui nous permettra de minimiser l’exposition du serveur à ce genre de risques de sécurité.

Nous avons rencontrés aujourd’hui un souci avec les agents scom 2007 R2.

Sur un cluster RMS, la procédure de déploiement d’agents se déroulait bien mais les agents ne s’installaient pas. Ces derniers restaient bloqués en « pending » avec une « installation in progress », les event ID 21016 apparaissent dans le journal d’évènements.

La solution pour les approuver fut de passer par la commande powershell : get-agentpendingaction | approve-agentpendingaction

Pourquoi ce billet ?

Microsoft ne fournit pas, à l’heure actuelle, d’outil graphique pour réaliser des migrations de boîtes Inter organisation. Le seul outil mis à disposition des administrateurs reste la commande « PowerShell » Move-Mailbox.

Dans cet article je vais présenter quelques exemples de commandes Power Shell pour réaliser des migrations de boîtes aux lettres depuis une organisation Exchange 2000/2003 vers une organisations Exchange 2007.

Toutes ces commandes sont issues d’un retour d’expérience projet réalisé dans une multinationale française (grand compte).

N.B.: Bien entendu, toutes les références à ce client (nom des environnements, des serveurs…) ont été modifiées dans les exemples ci-dessous.

Environnement utilisé

Les commandes présentées ici utilisent les références suivantes :

Organisation source Exchange 2003

• Contrôleur de domaine et CG: DC.source.net
• Serveur Exchange: SourceServer

Organisation cible Exchange 2007

• Contôleur de domaine et CG: DC.target.net
• Serveur Exchange: EXC2007

Pour information, la migration depuis Exchange 5.5 n'est pas possible.

La commande Move-Mailbox ne communique qu'avec des contrôleurs de domaines exécutant Windows 2003 SP1 ou plus.

Avant d'utiliser la commande move-mailbox, l'identifiant source et cible doivent être saisi :

$s=get-credential

Une fenêtre apparaît et vous devez fournir une authentification

$t=get-credential

Idem.

N.B. : Si vous utilisez un compte qui a les droits nécessaire sur la source et la cible, cette étape n'est pas nécessaire.

Exemple 1

Get-mailbox -resultsize unlimited -DomainController 'DC.source.net' –Credential $s | where { $_.customattribute7 -eq '260110' } | move-mailbox -TargetDatabase 'EXC2007\ST01\ISMB01' -BadItemLimit 10 -MaxThreads 30 -SourceForestGlobalCatalog 'DC.source.net' -GlobalCatalog 'DC.target.net' -DomainController 'DC.target.net' -NtaccountOU 'OU=Migrated,DC=target,DC=net' -SourceMailboxCleanupOptions DeleteSourceMailbox -SourceForestCredential $s -TargetForestCredential $t

Cette commande migre les boîtes en mode clone (spécifié par le paramètre NtaccountOU) dans l'OU « Migrated ». Elle sélectionne les boîtes dont le « custom attribute 7 » est égal à « 260110 ». Ces boîtes peuvent provenir de plusieurs serveurs. Elles sont migrées dans la banque d'information ISMB01 du serveur EXC2007. Après la migration, la boîte source est supprimée (SourceMailboxCleanupOptions DeleteSourceMailbox ).Le processus traitera en parallèle 30 objets (Max Threads).

Exemple 2

Move-Mailbox -TargetDatabase 'EXC2007\ST01\ISMB01' -Identity “JeanV” -GlobalCatalog ‘DC.target.net’ -SourceForestGlobalCatalog ‘DC.source.net’ -NTAccountOU 'OU=Migrated,DC=target,DC=net' -SourceMailboxCleanupOptions DeleteSourceMailbox -SourceForestCredential $s –TargetForestCredential $t

Cette commande migre la boîte « JeanV » en mode clone dans l'OU « Migrated » dans la banque d’information ISMB01 du serveur EXC2007. La boîte source sera supprimée après la migration.

Exemple 3

Get-mailbox -DomainController 'DC.source.net' -Credential $s -database 'SourceServer\ST01\ISMB01' | move-mailbox -TargetDatabase 'EXC2007\ST01\ISMB01' -SourceForestGlobalCatalog 'DC.source.net' -GlobalCatalog 'DC.target.net' -DomainController 'DC.target.net' -NTAccountOU 'OU=Migrated,DC=target,DC=net' -SourceMailboxCleanupOptions DeleteSourceNTAccount -SourceForestCredential $s -TargetForestCredential $t

Cette commande migre en mode clone les boîtes de la banque d'information ISMB01 du serveur source vers la banque d’information ISMB01 du serveur EXC2007 . Les comptes NT seront supprimés (SourceMailboxCleanupOptions DeleteSourceNTAccount).

Exemple 4

Get-user -DomainController 'DC.source.net' -Credential $s | where { $_.Department -ilike "DIRECTION" } | move-mailbox -TargetDatabase 'EXC2007\ST01\ISMB01' -SourceForestGlobalCatalog 'DC.source.net' -GlobalCatalog 'DC.target.net' -DomainController 'DC.target.net' -NTAccountOU 'OU=Migrated,DC=target,DC=net' -SourceMailboxCleanupOptions DeleteSourceNTAccount -SourceForestCredential $s -TargetForestCredential $t

Cette commande migre en mode clone les boîtes dont le champ Departement est « DIRECTION » vers la banque d’information ISMB01 du serveur EXC2007. Les comptes NT seront supprimés.

Pour aller plus loin…

Cette commande possède de multiples options que vous pouvez retrouver en consultant ce lien.

http://technet.microsoft.com/fr-fr/library/aa997599%28EXCHG.80%29.aspx

Nous aborderons prochainement la migration Inter-Organisation avec Exchange 2010.

Jalasoft propose Xian Wings 2010 pour SCOM 2007. Il s’agit d’une application blackberry permettant l’accès à une console scom depuis son téléphone portable.

Plus d’infos ici : http://www.jalasoft.com/Web/Product/Product.aspx?id=51

Attention, le management pack Microsoft Windows Server DHCP 2000/2003/2008 dans sa version 6.0.6452.0 n’est pas compatible avec Windows 2008 R2!

Cette mise à jour résout les problèmes suivants :

• L’onglet Product Knowledge tab est changé en un onglet Company Knowledge après avoir importé un pack de langues pour System Center Operations Manager 2007 R2.

• Un agent ne peut être supprimé d’un Nœud Windows Cluster Service.

• Le processus Heathservice.exe sur un nœud passif Windows Cluster service peut provoquer une utilisation excessive du CPU.

• Le processus Healthservice.exe peut crasher quand il utilise un module OLE DB.

• Le workflows qu’utilise la source de données OLE DB peut se décharger elle-même si le provider renvoie une chaîne nulle ou vide.

• Une instance du processus MonitoringHost.exe peut causer une fuite de mémoire dans la réserve non paginée.

• Les abonnées de notifications ne fonctionnent pas si ils sont configurés pour parcourir un champ CustomField ou un champ AlertOwner.

• Le processus SRSUpdateTool.exe retourne une erreur d’état “Failed while updating registry entry for reporting code MSI component” quand vous essayez de mettre à jour SQL Reporting Services 2005 à SQL Reporting Services 2008.

• L’interface graphique Operations Manager peut crasher quand les colonnes connector et Forwarding Status sont ajoutées à la vue d’alertes.

• Les agents peuvent retraiter de vieilles entrées dans le journal d’événements Windows et ainsi générer des alertes incorrectes qui ne concernent pas de nouveux événements.

• Des améliorations et résolutions de problèmes de la fiabilité de l’Health state

• Le service Operations Manager Audit Collection (ADTServer.exe) ne démarre pas sur un collecteur ACS si le système d’exploitation a été mis à jour vers Windows Server 2008 R2.

• Dans un rapport de performance qui est exporté, la liste des instances d’objets n’est pas affichée.

• Pour le télécharger : http://www.microsoft.com/downloads/details.aspx?FamilyID=05d30779-2ddc-48dc-aa91-a23167ee2cad

Le catalogue des “Management Pack” de System Center Operations Manager (et plus généralement la gamme system center) vient de subir un lifting.

Il s’agit désormais de Microsoft PinPoint:

Le site est pas mal, mais je regrette le fait qu’il ne soit plus possible d’effectuer un tri par date de publication. C’était en effet plus pratique pour rechercher les changements depuis la dernière visite… (pour ceux n’ayant pas la possibilité d’accéder au “catalog” depuis la console d’administration SCOM.)

Parmi les nombreuses fonctionnalités cachées de Windows 7 on retrouve le GodMode, il s’agit en fait d’un dossier spécial permettant de personaliser divers réglages. Ce dossier est aussi accessible sous Windows 2008R2.

Pour cela, il faut créer un nouveau dossier et de le nommer

ModeDieu.{ED7BA470-8E54-465E-825C-99712043E01C}

Une icone similaire à celle du panneau de configuration apparait.

Pour les autres dossiers spéciaux : http://msdn.microsoft.com/en-us/library/ee330741(VS.85).aspx