PI Services

Le blog des collaborateurs de PI Services

SEP – Préinstaller le client SEP dans une image “Master” de type Ghost

Problème rencontré :

Dans le cadre d’une implémentation de SEP dans une entreprise, beaucoup de services informatiques ont la volonté d’intégrer le client SEP dans le “Master”. Pour intégrer le produit, l’idée première serait de créer un package d’installation avec la console SEPM et de lier le client SEP directement a la console. Ce package serait déployé sur le poste de référence et donc présent au sein du "master".

Cette idée d’optimisation serait idéale si le client SEP ne possédait pas un “SID” unique créé lors de l’intégration du client à l’architecture SEP. L’effet créé est que un seul poste remonte dans la console (même si le master contenant l'installation de SEP est déployé sur des centraines de postes), et change de nom, d’IP, … à chaque démarrage d’une machine issue de la même intégration.

Exemple, dans l’ajout d’un poste (PosteB) avec le même client SEP d’installé, la communication avec le serveur SEPM ne fait pas s’ajouter un client supplémentaire dans la console, mais change les “informations” d’un autre poste (PosteA)

clip_image002clip_image004

Solution apportée :

Pour optimiser le déploiement, il est possible de pré-installer le client SEP dans un “Master”. Le client doit être impérativement installé en mode “Non-géré”. A la fin d’un déploiement, il suffit de “lier” le client SEP a la console de gestion grâce a l’outil “Sylinkdrop.exe” et d’un fichier de liaison “Sylink.xml”.

Symantec recommande d’installer l’antivirus après la “masterisation” du poste. Cela évite d’avoir à refaire les “Masters” à chaque évolution (MRx) du produit.

Si des masters ont déjà été créé, voici un lien de Symantec qui explique les modifications à apporter au client SEP installé:

http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/d84071c5137d6d318825738a00663b8d?OpenDocument

NOTE: La clé de registre HKLM \ SOFTWARE \ Symantec \ Symantec Endpoint Protection \ SMC \ SYLINK \ SyLink \ SySoftk peut également être supprimée si elle est présente.
Une fois l'image “Ghost” appliquée sur un nouveau système, le client va générer une valeur d'identification unique, se connecter avec son SEPM et s’enregistrer.  Lors de l'inscription sur le le serveur de gestion,  SEPM va enregistrer toutes les informations clientes nécessaires dans la base de données.

Symantec Enterprise Vault V8 SP3 – Virtual Vault

Une des nouveautés annoncées par Symantec dans le SP3 de la version 8 d’Enterprise Vault s’appelle le “Virtual Vault”… mais QU’ES ACÒ ???…

Est-ce une réelle avancée technologique ? Est-ce que cela répond à des besoins précis ? Est-ce compliqué à mettre en place ? Et surtout, pourquoi Virtuel ?

Après l’Offline Vault … après le Vault Cache … voici le Virtual Vault !

A l’identique du “mode Exchange mis en Cache” pour les clients Outlook, Enterprise Vault propose depuis quelques temps déjà une fonctionnalité permettant d’avoir accès à ses éléments archivés en mode déconnecté, à savoir l’Offline Vault (avant la version 8) ou le Vault Cache (depuis la version 8). Le principe consiste à répliquer localement sur le poste de travail les mails archivés ainsi que l’arborescence dans un fichier de type OST, et à concurrence d’un % d’espace disque disponible défini depuis la console d’administration de la solution.

Donc, cela n’est pas nouveau mais n’était pas visible

Désormais, il est possible de visualiser le contenu de ce Vault Cache depuis Outlook, et de le faire apparaître comme un dossier personnel type PST.Le Virtual Vault n’est en quelques sortes qu’une extension de son Vault Cache. Mieux, il devient un vrai dossier intégré à Outlook et interagir avec lui depuis son client de messagerie est maintenant possible.

Mais à quoi cela ressemble t-il…

image

Dans la boite aux lettre de l’utilisateur, un nouveau dossier apparaît sous la forme “Vault – Nom de la boite” et affiche le contenu complet de l’archive Enterprise Vault, avec la structure dossier, sous-dossier impactés par l’archivage. De plus, les mails archivés apparaissent avec les icônes originaux, donc des enveloppes…

image

Comment est-ce géré ?…

…Directement depuis la console d’administration avec les différentes Policies :

image 

imageimage

… Mais aussi depuis son client Outlook :

image image

image

Et quel sont les mécanismes permettant d’appliquer les modifications apportées à son Vault Cache ?…

… En premier lieu, la synchronisation des Policies vers les cibles permet d’appliquer les modifications…

… Puis, tout simplement les mécanismes de Synchronisation de Vault Cache entre le client et le serveur Symantec Enterprise Vault :

image

Au final, quels pourraient bien être les avantages à activer le Virtual Vault ?…

  • Il devient possible d’y créer des dossiers, des sous dossier, une structure,
  • Effectuer des déplacements de dossiers ou de message se réalise facilement,
  • Glisser des mails depuis sa boite aux lettres vers son archive se fait allègrement
  • Générer des “règles” dans Outlook pour aller déverser directement des mails dans son archive devient possible
  • Toutes les opérations comme “répondre”, “répondre à tous”, “transférer” sont réellement fonctionnelles
  • La recherche intégrée à Outlook est désormais capable de montrer des résultats depuis la boite aux lettres comme depuis le Vault Cache, le tout avec le même outil
  • Il est possible de gérer à l’identique toutes les archives auxquelles on a accès et de toutes les faire apparaître (sa propre boite aux lettres, boites aux lettres partagées, …)
  • Et plus encore…

Du coup, la gestion de ses archives devient intuitive et perturbe beaucoup moins l’utilisateur final. Et il devient légitime de se poser d’autres questions:

  • Est-il encore nécessaire de remplacer les mails archivés par les fameux “raccourcis” ?
  • Doit-on encore fournir les outils de recherche Symantec Enterprise Vault à l’utilisateur final dans Outlook (recherche simple ou avancée, recherche Web, Archive Explorer) ?
  • Et doit-on encore déployer Windows Desktop Search ?
  • Quid du fonctionnement en Outlook Web Access ou Outlook Web Application ?
  • Quelle stratégie adopter pour les nomades ayant accès en 3G ?
    Plutôt intéressant comme nouveauté !…

N'hésitez pas à laisser un commentaire si ce tips vous a été utile ou bien si vous avez des éléments à ajouter !…

Vous trouverez ci-dessous certains document relatifs à cet article :

ftp://exftpp.symantec.com/pub/support/products/Exchange_Mailbox_Archiving_Unit/347092.pdf

http://seer.entsupport.symantec.com/docs/346892.htm

SEP – Problème de redémarrage en boucle sur certains postes dans la console SEP Manager

Problème rencontré

Certains postes peuvent rester indéfiniment avec la notification « besoin d’un redémarrage pour le Network Threat Protection » alors qu’ils ont déjà été redémarrés plusieurs fois depuis l’installation du client SEP et alors même que le composant Network Threat Protection (NTP) n’est pas installé.

Solution apportée

L’origine de cette panne est la DLL Teffer2.sys. Cette DLL n’arrive pas ou plus à se charger. Le problème est que cette DLL n’est utilisée que pour le composant NTP.

Cf. la Kb de Symantec :

Une réparation de l’installation ou une réinstallation du produit ne suffisent pas pour régler ce problème.

La solution est d’installer le composant NTP de SEP pour que le système enregistre la DLL, puis de re-désinstaller proprement le composant pour que Windows dé-valide le besoin de redémarrage et de chargement de cette DLL.

2008 R2 – Activer Windows sur une version Core de Windows Server 2008 R2

Commande sconfig et activation de Windows

Les versions Core de Windows Server 2008 R2 intègrent un nouvel utilitaire nommé sconfig. Cet utilitaire permet de simplifier les tâches de configuration usuelles (installation des mises à jour Windows Update, intégration dans un domaine, activation du bureau à distance, réglage de la date et de l’heure…) via un système de menus textuels.

Malheureusement sconfig n’intègre pas d’option pour activer le système d’exploitation. Pour cela il faut toujours utiliser le script slmgr.vbs présent dans “C:\Windows\System32”.

Procédure d’activation

Voici la procédure à suivre pour effectuer l’activation avec slmgr.vbs :

Dans un premier temps il est possible d’afficher l’état d’activation du serveur en saisissant les commandes suivantes :

  • cd c:\Windows\System32
  • slmgr.vbs –xpr

Dans notre exemple le système n’est pas activé car une date de fin est annoncée pour la période de grâce.

image

Pour insérer la clé de produit dans le système il faut ensuite saisir la commande suivante :

  • slmgr.vbs –ipk AAAAA-BBBBB-CCCCC-DDDDD-EEEEE

image

image

Une fenêtre Windows Script Host doit apparaître suite à l’injection de la clé de produit. Pour débuter l’activation à travers Internet, la commande suivante doit être saisie :

  • slmgr.vbs /ato

Si l’activation est réussie, le message suivant doit apparaître au bout de quelques secondes : “Product activated successfully”.

image

Suite à l’activation du serveur, la commande slmgr.vbs –xpr doit renvoyer le message suivant “The machine is permanently activated”.

image

Positionnement d’un serveur de proxy

Si l’accès au Web est conditionné par le passage à travers un serveur de proxy, celui-ci doit être renseigné au préalable avec la commande suivante :

  • netsh winhttp set proxy <proxy-FQDN>:<proxy-port>

Dans le cas contraire une erreur de type “slui.exe 0x2a 0x80072EE2” ou “error: 0x80072EE2” se produit lors de la tentative d'activation.

2008 R2 - Utilisation des comptes de services gérés

Parmi les nouveautés de Windows Server 2008 R2 et au niveau du composant Active Directory on trouve les comptes de services gérés (Managed Service Accounts).

Plusieurs applications SQL Server et IIS reposent sur des services qui doivent parfois être démarrés avec des comptes de domaines pour des besoins spécifiques. L’administration de ces comptes, de leurs mots de passe ainsi que des SPN peut s’avérer complexe et peut affecter la disponibilité de l’application.

L’utilisation des comptes de services gérés réduit la charge administrative quant à la gestion des mots de passe et des SPN (nom principal de service) tout en assurant la disponibilité de ces applications et réduisant les risques lié à la modification des mots de passe.

Pré-requis

Pour pouvoir utiliser les comptes de services gérés :

- Les ordinateurs hébergeant les applications à configurer doivent être équipés de Windows Server 2008 R2 ou Windows 7,

- Les domaines dont le niveau fonctionnel est Windows Server 2008 R2 supportent nativement la gestion automatique des mots de passe et des SPN,  

- Si le domaine n’est pas au niveau fonctionnel Windows Server 2008 R2 mais que le schéma Active Directory a été mis à jour au niveau Windows Server 2008 R2 les comptes de services gérés peuvent être utilisés, la gestion automatique des mots de passes de ces comptes sera possible mais pas la gestion automatique des SPN

- Pour utiliser les comptes de services gérés dans des domaines Windows Server 2008, Windows Server 2003 ou des domaines mixtes il faut tout d’abord procéder aux actions suivantes :

           1- Exécuter adprep /forestprep au niveau de la forêt AD

           2- Exécuter adprep /domainprep dans chaque domaine où on souhaite utiliser le comptes de services gérés

           3- Avoir un contrôleur de domaine Windows Server 2008 R2 ou Windows Server 2008 avec Active Directory Management Gateway Service ou Windows Server 2003 avec Active Directory Gateway Service, Active Directory Management Gateway Service permet l’utilisation des commandes PowerShell nécessaires à la gestion des comptes de services gérés

- Pour utiliser les commandes PowerShell nécessaires à l’administration des comptes de services gérés au niveau des ordinateurs clients sur lesquels les applications doivent être configurées on doit avoir installé le Framework .NETainsi que le module Active Directory pour Windows PowerShell

Installation des pré-requis sur Windows Server 2008 R2

  1. Démarrer la console Server Manager

image

  1. Sélectionner Features puis cliquer sur Add Features   

image 

  1. Sélectionner  .NET Framework 3.5.1 Features

image 

  1. Sélectionner  Active Directory module for Windows PowerShell sous Remote Server Administration Tools |  Role Administraion Tools | AD DS and AD LDS Tools

image 

  1. Cliquer sur Next

image 

  1. Cliquer sur Install

image 

  1. Redémarrer le serveur si nécessaire

 

Installation des pré-requis sur Windows 7

  1. Télécharger Remote Server Administration Tools for WIndows 7
  2. Installer la mise à jour
  3. Ajouter les fonctionnalités .NET Framework 3.5.1 et le module Active Directory module for Windows PowerShell
  4. Redémarrer l’ordinateur

 

Création et configuration d’un compte de service géré

  • Ouvrir une invite PowerShell  Active Directory

image 

  • Créer le compte de services en exécutant la commande suivante :
    New-AdServiceAccount <Nom Du Compte>  -AccountPassword (ConvertTo-SecureString –AsPlainText “<mot de passe>” –Force) –Enabled $true –Path “CN=Managed Service Accounts,DC=<Domain Name>,DC=COM”

image 

  • Associer le compte de service à l’ordinateur client en exécutant la commande suivante :
    Add-ADComputerServiceAccount –Identity <Nom Ordinateur> –ServiceAccount <Nom du compte>

image 

  • Installer le compte de service sur l’ordinateur client (cette commande soit être exécutée sur le poste qui utilisera le compte de service géré)
    Install-ADServiceAccount –Identity <Nom du compte>

image 

  • Vérifier que le compte de service à été bien affecté au compte de la machine au niveau Active Directory en explorant les propriétés de l’objet ordinateur en question avec ADSI Edit et en cherchant l’attribut msDS-HostServiceAccount   

 image

Utilisation du compte de service

Nous allons maintenant utiliser un compte de service géré pour démarrer le services SQL Server Reporting Services au niveau d’un serveur Windows Server 2008 R2.

  • Double cliquer sur le service SQL Server Reporting Services au niveau de la console Services 

 image

  • Au niveau de l’onglet Log On cocher This account et cliquer sur Browse afin de localiser le compte de service, ou taper le nom du compte au format <Nom du Domaine>\<Nom du compte>$ , laisser le mot de passe vide et cliquer sur Apply puis sur Ok     
    Attention : si vous tapez le nom du compte à la main il faut ajouter un $ à la fin. 
    image  
  • Démarrer ou redémarrer le service

image 

  • Vérifier que le service a bien démarré malgré la fait que le mot de passe n’a pas été saisi !

Pour plus de détails, vous pouvez consulter les articles suivants :

SharePoint 2007 - Bascule du site d’administration centrale

Dans le cas ou le serveur qui héberge le site d’administration centrale est indisponible (Par défaut il s’agit du 1er serveur frontal de chaque ferme). Il est possible de basculer le site sur un des serveurs frontaux de la ferme MOSS

Pour basculer le site d’administration centrale sur un autre serveur frontal, suivre la procédure suivante :

Ouvrir une session sur le serveur frontal devant devenir le nouvel hôte du site d’administration centrale.

  1. Lancer une invite de commande

 

  1. Se positionner au niveau du dossier  "C:\Program Files\Fichiers communs\Microsoft Shared\web server extensions\12\BIN"

 

  1. Lancer la commande : Psconfig -cmd adminvs -provision -port %numéro_port% –windowsauthprovider OnlyUseNtlm

 

  1. Redémarrer les services IIS ainsi que les services SharePoint

 

  1. Vérifier le fonctionnement du site : http://localhost:<n��port admincentrale>  (exemple :http://frontal2:2009)

SMS/SCCM - Visualiser une infrastructure SMS / SCCM avec l'outil SMSMAP

Descriptif :

SMSMap est une application écrite en VB .Net utilisant les librairies du SDK de SCCM pour générer à travers MS Visio le diagramme de votre infrastructure SCCM.

Très utile lors d’un audit ou lorsque les documentations d’architecture ne sont pas disponibles !

Il permet d’afficher (options paramétrables) :

  • Les sites SCCM par type (primaire/secondaire)
  • Les systèmes de sites présents dans ces sites (SQL, point de gestion, déploiement etc..)
  • Les relations inter-site et hiérarchie.
  • Le nombre de clients par sites

Le seul pré-requis est de posséder MS Visio 2003 ou 2007 sur l’ordinateur où il sera installé.

Le fichier obtenu peut être sauvegardé sous un format pdf, jpeg ou autre.

Un exemple :

Options de paramétrage de l’outil :

smsmap01 

smsmap02

Diagramme obtenu pour un environnement de tests :

smsmap03 

Télécharger l’outil :

Vouc pouvez télécharger cet outil gratuitement à l'adresse suivante :

http://www.tondtware.com/

SCCM - Présentation des nouveautés de ConfigMgr 2007 R3 et ConfigMgr 2011

Je reprends ici des informations glanées sur divers blogs concernant les évolutions futures présentées au TechEd de Berlin (Nov 2009) concernant SCCM 2007 R3 et la nouvelle version (anciennement appelée vNext) SCCM 2011.

SCCM 2007 R3 :

  • Améliorations liées à la gestion de l’énergie : 
       - Application de modèles de gestion d’énergie sur les machines via les collections (à la manière des fenêtres de maintenance) 
       - Reporting de la consommation énergétique en fonction des modèles appliqués 
       - Mesures de « l’activité » de l’utilisateur
  • Améliorations des performances 
       - Découvertes AD plus rapides 
       - Mises à jour des collections plus rapides (détection des nouvelles ressources)
  • OSD : possibilité de créer des images OEM

SCCM 2011 :

  • Le produit sera « User Centric ». Ce qui signifie que les applications se déplacent avec les utilisateurs où qu’ils soient
  • Les packages seront remplacés par des applications
  • Les méthodes de déploiement des applications seront liées à des règles de détection : en fonction de l’endroit où l’utilisateur se trouve, de la machine sur laquelle il se connecte, l’application pourra être installée, virtuelle (streaming) ou en remote desktop.
  • Il sera possible d’assigner une machine "principale" à un utilisateur (à utiliser avec les règles de détection par exemple)
  • Au niveau architecture, il y aura moins de niveaux dans la hiérarchie. Le site central sera remplacé par un Client Administrative Server (CAS) et un seul niveau en dessous
  • Les sites seront ajoutés au fur et à mesure pour des raisons de montée en charge (“scalabilité”) et non plus des raisons de délégation d’administration
  • La réplication SQL remplacera les mécanismes de réplication de fichiers pour les réplications entre sites (à l’exception des binaires)
  • Les DP auront des “senders”(donc contrôlables)
  • Les sites secondaires auront une base de données, un MP et un DP par défaut
  • DCM pourra faire de l’auto correction
  • Le reporting classique de SMS disparait. Il n’y aura plus que SSRS (Reporting Services)
  • La console SCCM ne sera plus à base de MMC classique mais plutôt genre SCOM. Dans la ligne des autres produits System Center
  • ConfigMgr 2011 sera 64 bits 

Quelques liens supplémentaires :

http://thoughtsonopsmgr.blogspot.com/2009/11/tech-ed-berlin-2009-day-3-wednesday.html

http://blogs.technet.com/systemcenter/archive/2009/09/08/announcing-system-center-configuration-manager-2007-r3.aspx

2008R2 - Configurer les stratégies de mots de passe granulaires (« Password Security Objects ») en PowerShell

 

AD 2008 permet la mise en œuvre de « Password Settings Objects », ce qui évite la création d’un nouveau domaine lorsque l’on souhaite mettre en œuvre une politique de mots de passe différente pour certains utilisateurs. Avec Windows 2008 la création de ces PSO s’effectuait via ADSIedit ou Ldifde.

On connait moins les commandes PowerShell qui viennent avec 2008R2 et qui encadrent l’administration de ces objets.

A titre d’exemple, on peut imaginer la procédure suivante :

1) Un groupe global est créé. Les utilisateurs concernés par le futur PSO devront en être membres.

Exemple : gg_Utilisateurs_Ciblés

2) Un PSO est créé avec le jeu de paramètres destiné aux utilisateurs ciblés

Exemple :

New-ADFineGrainedPasswordPolicy -Name "PSO-Utilisateurs_Ciblés " -Precedence 500 -ComplexityEnabled $false -Description "Strategie pour tous les utilisateurs ciblés" -DisplayName "PSO pour les utilisateurs ciblés" -LockoutDuration "-1" -LockoutObservationWindow "0:30" -LockoutThreshold 30 -MaxPasswordAge "60.00:00:00" -MinPasswordAge "1.00:00:00" -MinPasswordLength 7 _PasswordHistoryCount 3 -ReversibleEncryptionEnabled $false

3) Le PSO est assigné au groupe global.

Exemple :

Add-ADFineGrainedPasswordPolicySubject PSO-Utilisateurs_Ciblés -Subjects ' gg_Utilisateurs_Ciblés '

Pour plus d’informations sur la gestion des mots de passe ( Stratégie du domaine et PSO ) :

http://technet.microsoft.com/en-us/library/dd378968(WS.10).aspx

Pour plus d’information sur les valeurs à paramétrer avec la commande de création de PSO :

http://technet.microsoft.com/en-us/library/ee617238.aspx

SQL Server 2008 – Réduction de la taille des fichiers Log

Parmi les options de configuration  d’une base de données on trouve le mode de récupération qui peut être Complet (Full), Journalisé en bloc (Bulk-Logged) ou Simple (Simple).

image

Si le mode de récupération d’une base de données est différent du mode Simple, il faut impérativement mettre en place une stratégie de sauvegarde des fichiers journaux de cette base de données sinon les fichiers log n’arrêteront par de croitre et consommer de l’espace disque.

Au cas où vous avez oublié de mettre en place cette stratégie et que votre disque commence à souffrir il faut impérativement réduire la taille des fichiers journaux volumineux, cet article décrit l’ensemble des actions à entreprendre pour réaliser cette action.

Identifier le nom logique d’un fichier Log d’une base de données

Pour identifier le nom logique d’un fichier journal d’une base de données nommée Demo il suffit d’exécuter la requête suivante :

SELECT DB_NAME(database_id) AS [Base de données],name AS [Nom Logique] ,
physical_name AS [Nom Physique]  FROM sys.master_files  
WHERE DB_NAME(database_id) = 'Demo' AND type = 1

Noter le nom qui apparaît au niveau de la colonne Nom Logique

Sauvegarder la base de données et le fichier Log

Avant de procéder à la réduction de la taille du fichier log et afin de sécuriser l’opération il faut procéder à une sauvegarde de la base de données et du fichier journal pour pouvoir la récupérer en cas de problème.

Pour cela il suffit d’exécuter les scripts suivants :

BACKUP DATABASE [Demo]
TO  DISK = N'F:\Backup\Demo.BAK'
WITH NOFORMAT, NOINIT, 
NAME = N'Demo-Full Database Backup',
SKIP, NOREWIND, NOUNLOAD,  STATS = 10
GO

BACKUP LOG [Demo]
TO  DISK = N'F:\Backup\Demo.bak'
WITH NOFORMAT, NOINIT
NAME = N'Demo-Transaction Log  Backup',
SKIP, NOREWIND, NOUNLOADSTATS = 10
GO

Réduire la taille du fichier log de la base de données

On peut réduire la taille du fichier log en exécutant le script SQL Suivant

USE [Demo]
GO
DBCC SHRINKFILE (N'Demo_log' , 0, TRUNCATEONLY)
GO

Ou

En utilisant SQL Server Management Studio et en cliquant avec le bouton droit sur la base de données en question puis  sur Tasks ==> Shrink ==> Files

image

Au niveau de la fenêtre Shrink file – Demo.log :

  1. Vérifier que le type de fichier est bien Log
  2. Cocher la case Reduce unused space
  3. Cliquer sur Ok

  image

Si la taille du fichier Log n’est pas réduite suite à cette opération chose qui peut survenir si la fin du fichier log est considérée par SQL Server comme portion active non réductible, on peut forcer l’opération de réduction en changeant le mode de récupération de la base de données vers le mode simple, exécuter l’opération de troncature une autre fois et ensuite remettre le mode de récupération de la base de données au mode Complet (Full).

Pour changer le mode de récupération de la base vers le mode Simple exécuter le script suivant :

USE [master]
GO
ALTER DATABASE [Demo] SET RECOVERY SIMPLE WITH NO_WAIT
GO

Pour remettre le mode de récupération à Complet exécuter le script suivant :

USE [master]
GO
ALTER DATABASE [Demo] SET RECOVERY FULL WITH NO_WAIT
GO

Au niveau du script de la troncature on peut choisir la taille cible que doit prendre notre fichier log en utilisant la syntaxe suivante :

USE [Demo]
GO
DBCC SHRINKFILE (N'Demo_log' , <Taille Cible en MB>)
GO