Ce script très utile pour des travaux d’inventaire ou de statistiques, permet de compter le nombre de lignes que disposent les tables d’une base de données :
USE [DB]
GO
SELECT OBJECT_NAME(OBJECT_ID) TableName, st.row_count
FROM sys.dm_db_partition_stats st
WHERE index_id < 2
ORDER BY st.row_count DESC
GO
Il arrive souvent dans le cadre de migration ou de création de nouvelle forêt/Domaine Active Directory, de générer des nouveau mots de passe pour les nouveau comptes. Afin d’automatiser cette opération, le PowerShell nous permet de scripter cette étape et de la faire correspondre à la stratégie de mot-de-passe mise en œuvre.
Voici un exemple de fonction qui permet de générer des mots-de-passe correspondant à la stratégie par défaut (complexité et 8 caractères):
#============================================
# Fonction de création de Password aléatoire
#============================================
function RandomPassword ([int]$intPasswordLength)
{
if ($intPasswordLength -lt 4) {return "password cannot be <4 chars"} # -lt inférieur à
$strNumbers = "1234567890"
$strCapitalLetters = "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
$strLowerLetters = "abcdefghijklmnopqrstuvwxyz"
$strSymbols = "@-?!#"
$rand = new-object random
for ($a=1; $a -le $intPasswordLength; $a++) #inférieur -le inférieur ou égal à
{
if ($a -gt 4) #supérieur à
{
$b = $rand.next(0,4) + $a
$b = $b % 4 + 1
} else { $b = $a }
switch ($b)
{
"1" {$b = "$strNumbers"}
"2" {$b = "$strCapitalLetters"}
"3" {$b = "$strLowerLetters"}
"4" {$b = "$strSymbols"}
}
$charset = $($b)
$number = $rand.next(0,$charset.Length)
$RandomPassword += $charset[$number]
}
return $RandomPassword
}
#######################
# PROGRAMME PRINCIPAL
#######################
# Génération aléatoire du Password en lançant la fonction définie précédemment
RandomPassword 8
Il suffit de modifier le programme principal pour générer des mots-de-passe plus longs. Il ne reste plus qu’à intégrer et appeler la fonction dans un script global de création des comptes Active Directory.
Dans le cadre d’installation de certaines plateformes, il est parfois nécessaire de créer de nombreuses entrées DNS.
Pour réaliser cette opération, l’interface graphique peut s’avérer fastidieuse et source d’erreurs. Il peut donc être intéressant de réaliser quelques commandes pour réaliser ces ajouts :
Pour cela, les entrées DNS à créer peuvent être stockées dans un fichier csv comme ici dans le cadre de Lync Server:
Une fois le fichier construit, il suffit de le parser et de construire la commande dnscmd:
1: $file=import-csv C:\sources\dnslync.csv -Delimiter ";"
2:
3: foreach ($entry in $file)
4: {
5: dnscmd v-DNS-01 /recordAdd mazone.org $entry.Host $entry.type $entry.IP
6: }
L’exécution confirme la création des entrées:
Les entrées sont ainsi créées dans la zone précisée.
Problème :
Lors de la liaison d’un serveur SQL à un autre le message d’erreur suivant s’affiche" :
Le fournisseur OLE DB “SQLNCLI10” du serveur lié “xxx” a rapporté une erreur. Echec de l’authentification.
Impossible d’initialiser l’objet de la source de données du fournisseur OLE DB “SQLNCLI10” du serveur lié “xxx”
Le fournisseur OLE DB “SQLNCLI10” du serveur lié “xxx” a retourné le message “Spécification d’autorisation non valide”. (Microsoft SQL Server, Erreur : 7399)
Cause :
Les principales causes sont les suivantes :
- Le problème peut être lié au réseau, par exemple vouloir lié deux serveurs qui sont dans deux VLANs différents.
- Il peut s’agir également d’un problème de configuration au niveau de l’authentification.
Nous commençons par vérifier si les serveurs arrivent à communiquer entre eux en les pingant afin d’écarter un problème qui pourrait être lié au réseau. Une fois ce problème résolue, nous pouvons passer à la liaison de nos serveurs.
Nous poursuivons ensuite par la configuration de la liaison entre les serveurs. Nous naviguons jusqu’au dossier Objets serveur du volet droit de navigation puis faisons un clic-droit sur Serveurs liés afin de commencer notre configuration.
Nous entrons le nom du serveur SQL que nous voulons lier et nous choisissons SQL Serveur comme type de serveur :
Nous poursuivons avec l’onglet Sécurité, ou nous définissons un utilisateur qui appartient au serveur que nous voulons lier pour faire notre mappage de connexions entre les deux serveurs.
Enfin nous choisissons le contexte de sécurité “Seront effectuées dans le contexte de sécurité de la connexion actuelle” de notre liste puis validons la configuration en cliquant sur OK.
Nous avons désormais lié notre serveur SQL local à notre serveur SQL distant tout en assurant la sécurité de notre environnement.
Problème
Si vous essayez d’activer la découverte réseau sur un serveur Windows Server 2008 R2 vous n’y arrivez pas, la découverte est automatiquement désactivée dès que vous sortez de la page Modifier les options de partage pour d’autres profils réseau
Résolution
La découverte du réseau et depuis la version Windows Vista utilise les 3 fournisseurs NetBIOS Provider, SSDP Provider et WS-Discovery (WSD) Provider qui ont été regroupés avec d’autres fournisseurs comme Registery Provider, PnP Provider et Third Party Providers dans une plateforme de découverte commune connu sous le nom de Function Discovery Plateform, cette plateforme fait appel aux services Windows suivants pour assurer ces fonctions :
- Computer Browser (Explorateur d’ordinateurs)
- SSDP Discovery (Découvert SSDP)
- UPnP Device Host (Hôte de périphériques UPnP)
- Registry
- Function Discovery Resource Publication (Publication de ressource de découverte de fonctions)
- Function Discovery Provider Host(Hôte du fournisseur de découverte de fonctions)
- Link-Layer Topology Mapper(Mappage de découverte de topologie de la couche de liaison)
Parmi les services cités il faudra s’assurer du démarrage des services :
- Function Discovery Resource Publication (Publication de ressource de découverte de fonctions)
- SSDP Discovery (Découvert SSDP)
- UPnP Device Host (Hôte de périphériques UPnP)
Pour que l’activation de la découverte du réseau puisse fonctionner correctement.
Introduction
Dans le cadre d’une opération d’insertion en batch en utilisant la commande BULK INSERT sur un serveur de base de données SQL Server on peut être confronté à une erreur système d’exploitation indiquant qu’un problème d’ouverture du fichier source à cause d’un Accès refusé bloque l’exécution de l’opération.
Il faudra noter que l’exécution de la même requête sur le serveur SQL lui même ne génère par cette erreur mais s’exécutera sans aucun problème.
Causes
Le fait que la requête s’exécute convenablement depuis le serveur de base de données lui et pas depuis une autre machine ou un poste client, exclu automatiquement le fait que le compte avec lequel la requête est lancée ne dispose pas des privilèges nécessaires pour la réalisation de cette opération.
Malgré tout, c’est bien un problème de sécurité qui est exposé par ce message d’erreur, en effet et vu que nous somme dans un contexte où la requête est lancée depuis un poste distant et qui procèdera à l'a lecture d’un fichier depuis un partage sur un autre serveur et qui fera appel à la procédure BULK INSERT sur le serveur de base de données, ce mécanisme et dans une infrastructure Windows implique le recourt à l’authentification Kerberos et bien sûr aux prérequis relatif à cette technologie.
Résolution
Pour pouvoir exécuter la requête sans problème il existe deux méthodes:
Méthode 1
La première méthode est simple et elle consiste tout simplement à utiliser un compte SQL pour se connecter au serveur de base de données au lieu d’un compte Windows et bien sûre s’assurer que le compte de service du serveur de bases de données SQL Server accède au fichiers source, le login SQL devra bien sûr avoir le droit bulkadmin au niveau du serveur SQL.
Méthode 2
Configurer le serveur de base de données et le compte de service SQL pour permettre ce genre d’opération en :
Configurer le compte de service SQL
En ajoutant le SPN MSSQLSvc au compte de service utilisé pour le démarrage du service SQL comme suit :
Si c’est une instance par défaut exécuter :
SETSPN –A MSSQLSvc/<fqdn du serveur SQL> <Nom du Compte de Service>
SETSPN –A MSSQLSvc/<fqdn du serveur SQL>:1433 <Nom du Compte de Service>
Si c’est une instance nommée:
SETSPN –A MSSQLSvc/<fqdn du serveur SQL>:<Nom de l’instance>
SETSPN –A MSSQLSvc/<fqdn du serveur SQL>:<Port d’écoute de l’instance>
Approuver le compte de service pour la délégation au niveau de l'AD.
Configuration du compte machine du serveur de base de données
Approuver le compte machine du serveur de base de données pour la délégation au niveau de l’AD.
Problème :
Lors du lancement de l'assistant de configuration de Sharepoint 2013, une erreur de connexion se produit sur la page de configuration des paramètres de la base de données de Sharepoint : “Cannot connect to database master at SQL Server…”
Cause :
Les causes sont multiples. Il peut s’agir :
- D’un problème de pare-feu qui bloque le trafic entrant sur le serveur SQL sur le port 1433 ou tous les trafics entrants.
- De l’utilisateur spécifié pour la configuration n’a pas assez de permissions pour configurer notre ferme.
- D’un problème au niveau des paramètres de connexion de SQL Server avec le protocole TCP/IP qui est désactivé.
- Du service SQL Server Browser qui est désactivé.
- Dans le cas où il s’agit d’un problème de pare-feu
Nous devons ajouter une nouvelle règle aux pare-feu Windows autorisant le trafic entrant sur le serveur SQL.
Nous lançons le Windows Firewall with Advanced Security puis cliquez droit sur Inbound Rules pour créer une nouvelle règle :
Nous choisissons la règle qui concerne un port puis passez à la page suivante :
Cette règle s’applique sur le port 1433 en TCP :
Elle autorise les connexions entrantes vers le serveur SQL :
Et s’applique sur l’ensemble du domaine :
- Dans le cas ou il s’agit d’un problème de droits insuffisants pour l’utilisateur
Pour résoudre le problème lié à l’utilisateur, il faut lui attribuer les roles dbcreator et securityadmin sur le serveur SQL.
Nous vérifions que notre utilisateur a bien ces droits, si ce n’est pas le cas, nous les lui attribuions.
Lancez le SQL Server Management Studio, nous développons le dossier Security puis double-cliquons sur l’utilisateur en question pour accéder à ses propriétés. Nous naviguons jusqu’à l’onglet Server Roles et cochons dbcreator et securityadmin si ce n’est pas déjà fait puis validons l’opération en appuyant sur OK :
- Dans le cas ou il s’agit d’un problème au niveau des paramètres de connexion de SQL Server
Nous lançons le SQL Server Configuration Manager puis nous naviguons dans le volet de droite et développons le menu SQL Native CLient 11.0 Configuration pour aller sur le Client Protocols.
Nous vérifions que notre protocole TCP/IP est bien activé. Si ce n’est pas le cas nous l’activons.
- Dans le cas ou si s’agit d’un problème du service SQL Browser qui est désactivé
Nous lançons le SQL Server Configuration Manager puis naviguons jusqu’aux services SQL “SQL Server Services. Nous vérifions l’état du service SQL Server Browser et voyons que le service est désactivé et arreté :
Nous commençons par changer le mode de démarrage du service en Manual afin de pouvoir activé le service :
Puis nous démarrons le service SQL Server Browser :
Quelques temps après le déploiement d’une infrastructure SCOM 2012, un client a souhaité mettre en place une de ses nouvelles fonctionnalités, à savoir le monitoring applicatif (APM).
Après avoir mis en supervision quelques applications Web, nous nous sommes rendus compte que les sites permettant l’analyse de cette supervision (nommés respectivement Application Diganostics et Application Advisor) ne fonctionnaient pas : lors d’une tentative d’accès, ils renvoyaient tous deux une erreur « An error has occured : The additional error information can be found in the Windows Application Log. We apologize for any inconvenience caused by this temporary service outage. »
Un tour dans l’event viewer nous en apprend effectivement un peu plus :
Le message complet indique :
Event code: 3005
Event message: An unhandled exception has occurred.
Event time: 01/03/2013 16:52:22
Event time (UTC): 01/03/2013 15:52:22
Event ID: b5c9f03cbae94f40b2e35d1a28651518
Event sequence: 8
Event occurrence: 1
Event detail code: 0
Application information:
Application domain: /LM/W3SVC/1/ROOT/AppAdvisor-2-130066267234915799
Trust level: Full
Application Virtual Path: /AppAdvisor
Application Path: D:\OpsMgr\WebConsole\AppDiagnostics\AppAdvisor\Web\
Machine name: BT1SVX2K
Process information:
Process ID: 2868
Process name: w3wp.exe
Account name: IIS APPPOOL\OperationsManagerAppMonitoring
Exception information:
Exception type: OleDbCommandException
Exception message: Exception has been thrown by the target of an invocation.
Command text: SELECT apm.IsInstallCompleted ()
Connection: Provider=SQLOLEDB;Server=BTCISQL03\OPSVMM;database=OperationsManagerDW;Integrated Security=SSPI;
at Avicode.AX5.Data.OleDb.OleDb.ExecuteScalar(OleDbCommand oleDbCommand)
at Avicode.Intercept.SEManager.Core.DBAccess.DB.ExecuteScalar(String query)
at Avicode.Intercept.SEManager.WebViewer.Pages.Authenticate.Page_Load(Object sender, EventArgs e)
at System.Web.UI.Control.LoadRecursive()
at System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)
Exception has been thrown by the target of an invocation.
at Avicode.AX5Base.IdentityThread.Execute(Action action)
at Avicode.AX5.Data.OleDb.OleDb.ExecuteScalar(OleDbCommand oleDbCommand)
Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'.
at System.Data.OleDb.OleDbConnectionInternal..ctor(OleDbConnectionString constr, OleDbConnection connection)
at System.Data.OleDb.OleDbConnectionFactory.CreateConnection(DbConnectionOptions options, Object poolGroupProviderInfo, DbConnectionPool pool, DbConnection owningObject)
at System.Data.ProviderBase.DbConnectionFactory.CreateNonPooledConnection(DbConnection owningConnection, DbConnectionPoolGroup poolGroup)
at System.Data.ProviderBase.DbConnectionFactory.GetConnection(DbConnection owningConnection)
at System.Data.ProviderBase.DbConnectionClosed.OpenConnection(DbConnection outerConnection, DbConnectionFactory connectionFactory)
at System.Data.OleDb.OleDbConnection.Open()
at Avicode.AX5Base.IdentityThread.ActionItem.ExecutionBody(Object actionItem)
Request information:
Request URL: http://localhost/AppAdvisor/Pages/Authenticate.aspx?ReturnUrl=/AppAdvisor
Request path: /AppAdvisor/Pages/Authenticate.aspx
User host address: ::1
User:
Is authenticated: False
Authentication Type:
Thread account name: IIS APPPOOL\OperationsManagerAppMonitoring
Thread information:
Thread ID: 15
Thread account name: IIS APPPOOL\OperationsManagerAppMonitoring
Is impersonating: False
Stack trace: at Avicode.AX5.Data.OleDb.OleDb.ExecuteScalar(OleDbCommand oleDbCommand)
at Avicode.Intercept.SEManager.Core.DBAccess.DB.ExecuteScalar(String query)
at Avicode.Intercept.SEManager.WebViewer.Pages.Authenticate.Page_Load(Object sender, EventArgs e)
at System.Web.UI.Control.LoadRecursive()
at System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)
La partie intéressante étant Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON', puisqu’elle indique qu’ASP a refusé une connexion anonyme.
Il est donc temps d’aller faire un tour du coté de la MMC IIS, plus précisément dans les Applications Pool. Voici ce qu’on y trouve :
Configuré de la sorte, cela ne permet pas d’accéder à la base de données, d’où notre erreur. Il faut donc les modifier et mettre un compte qui a les droits sur la base via les Advanced Settings :
Répéter l’opération pour le second Application Pool, puis recycler les deux.
Voilà, désormais l’accès est possible !
Lors d’une migration SCOM 2007 R2 vers SCOM 2012 en side by side (avec des agents en multi-homing qui continuent à renvoyer des informations vers les deux infrastructures en parallèle), un problème sur la remontée de la charge CPU de l’agent SCOM est à prévoir.
En effet, le script qui s’occupe de mesurer cette métrique a été mis à jour dans la version 2012, ce qui occasionne des remontées totalement incohérentes dans les compteurs de performance de la console 2007, ainsi qu’un grand nombre d’alertes associées :
On constate sur ce graphique que l’utilisation CPU par l’agent SCOM (en rouge) est plus importante que l’utilisation CPU totale (en jaune), ce qui n’est évidemment pas possible dans la réalité.
En vérifiant les même compteurs dans la console SCOM 2012, voici le graphique que l’on obtient :
Ici, les informations sont bien plus normales, et conformes à ce qu’il est possible de vérifier directement dans le gestionnaire de taches/ressources des serveurs concernés : la piste du bug est confirmée.
La solution est alors toute trouvée : créer un Override qui désactive la règle « Collect Agent Processor utilization » sur l’infrastructure 2007.
En résumé : si lors d’une migration SCOM 2007 vers 2012 en side by side avec agents multi-homés (qui remontent vers les deux infrastructures) vous rencontrez soudainement un grand nombre d’alertes CPU sur la plateforme 2007 uniquement, pas de panique : il ne s’agit très probablement que d’un bug lié à un script différent, qui se réglera en désactivant la règle incriminée.
Lors de la mise en place d’un serveur Gateway dans une infrastructure SCOM 2012, le bug suivant m’a laissé perplexe pendant de longues heures… cet article vous permettra peut être de bénéficier de mes erreurs !
En suivant scrupuleusement la fiche technet détaillant l’installation du rôle Gateway, on constate que de nombreuses étapes préparatoires sont requises avant de procéder au déploiement du rôle à proprement parler.
L’une d’entre elle concerne plus spécifiquement le déploiement du certificat qui sera nécessaire à la bonne communication de la Gateway avec son Management Server (cf. http://technet.microsoft.com/en-us/library/hh467905.aspx )
Tout se passe bien jusqu’à la dernière étape, la validation du certificat par MOMCertImport qui fait remonter cette erreur :
The application was unable to start correctly (0xc000007b). Click OK to close the Application.
Un joli message d’erreur, détaillé et explicite comme on les aime.
Après avoir passé en revue les réponses classiques à ce genre de problème (UAC qui bloque ? Utilisation de la binaire x86 au lieu de la x64 ou vice-versa ? Et en runas administrator, ca passe ? En récupérant MOMCertImport sur un media d’installation différent ?), il s’avère finalement que MOMCertImport est en réalité incapable de s’exécuter sans certaines DLL… qui ne sont présentes que si SCOM est installé (et donc si le rôle Gateway est déjà présent !).
Il ne reste donc plus qu’à installer le rôle gateway, puis à finaliser l’import du certificat… et tant pis pour l’ordre préconisé par Technet.
A noter que cette problématique peut se présenter de façon parfaitement identique dans le cadre du déploiement d’un agent en DMZ, puisqu’il nécessite de la même façon la présence d’un certificat validé par MOMCertImport.