PI Services

TMG et support de l'IPv6

A l'instar de son prédécesseur, TMG 2010 ne supporte pas le trafic IPv6. Ainsi lors de l'installation, certaines fonctionnalités IPv6 intégrées à Windows Server 2008 / Windows Server 2008 R2 sont désactivées. De plus un serveur TMG rejette par défaut l'intégralité du trafic IPv6 qu'il reçoit.

Ce comportement est intrinsèque au produit et est documenté sur Microsoft Technet dans la page unsupported configuration. Voici un extrait de l'article :

Forefront TMG does not support IPv6 traffic
Issue: IPv6 traffic is not supported by Forefront TMG (except for DirectAccess).

Cause: Filtering of IPv6 traffic is not supported, and all IPv6 traffic is blocked by default.

Solution: It is recommended that you disable IPv6 traffic on the Forefront TMG computer or array members. To disable the IPv6 stack on the Forefront TMG computer or array member, see Knowledge Base article KB929852 (http://go.microsoft.com/fwlink/?LinkId=179983).

Microsoft conseille donc de positionner la clé de registre DisabledComponents avec la valeur 0xFFFFFFFF afin de désactiver totalement la pile IPv6 dans le système d'exploitation.

Le seul scénario où l'utilisation de l'IPv6 avec TMG est supporté correspond à la mise en oeuvre de Direct Access. En effet Direct Access nécessite l'activation de la pile IPv6 ainsi que celle de plusieurs technologies de transition (ISATAP, Teredo...).

Dans ce cas bien précis une clé de registre spécifique doit être créée avant l'installation de TMG sur le serveur.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\ISACTRL]
"CTRL_SKIP_DISABLE_IPV6_PROTOCOLS"=dword:00000001

A titre informatif, la procédure exacte de configuration de Direct Access sur TMG est disponible sur le Blog Technet dédié à TMG.

Remarque : Même si il est possible d'implémenter Direct Access sur un serveur TMG, la plateforme à privilégier reste Forefront UAG (Unified Access Gateway). Pour en apprendre plus sur les avantages de Direct Access avec UAG, consultez ce lien.

Problématique rencontrée avec le service VPN / RRAS

Une fois la clé de registre DisabledComponents positionnée et le serveur TMG redémarré, toutes les fonctionnalités de TMG fonctionnent correctement hormis le service VPN (qui correspond en fait au service Routage et accès distant de Windows) qui refuse de démarrer.

Dans la console MMC de TMG, le service Remote Access Service est en état arrêté et l'erreur suivante se produit lorsque l'on tente de le démarrer manuellement :

The service could not be started

En parallèle, les erreurs suivantes sont générées dans le journal Système à chaque tentative de démarrage du service.

• Source : Service Control Manager
  Event ID : 7024
  Description : The Routing and Remote Access service terminated with service-specific error A device attached to the system is not functioning.
• Source : RemoteAccess
• Event ID : 20103
  Description : Unable to load C:\Windows\System32\iprtrmgr.dll.

Ce sujet est abordé dans certains forums (dont les forums MS Technet) et un moyen de contournement consisterait à supprimer la clé de registre suivante ainsi que tout son contenu :

HKEY_LOCAL_MACHINE \ System \ currentcontrolset \ services \ remoteaccess \ routermanagers \ IPV6

Effectuer cette opération permet en effet un lancement manuel du service RRAS mais à chaque redémarrage du serveur TMG, le service RRAS refuse de démarrer automatiquement et il faut impérativement le lancer manuellement ! Dans ce scénario l'erreur suivante est loguée dans le journal d'évènements Applications :

• Log Name : Application
  Source : Microsoft Forefront TMG Firewall
  Event ID : 21199
  Description: The Remote Access Service configuration for VPN could not be completed. As a result, the Remote Access Service may be stopped.

Cette solution (suppression de la clé de registre routermanagemers\IPV6) n'est donc pas une fin en soi mais un simple contournement permettant de démarrer (manuellement) le service RRAS. De plus dans ce scénario, le service RRAS accepte de démarrer mais la configuration positionnée dans TMG ne descend plus sur le service RRAS (TMG ne remplit donc plus son rôle qui consiste à "piloter" le service RRAS).

La solution : réactiver l'IPv6 !

Après de nombreux tests infructueux, j'ai finalement déterminé une solution au problème : il suffit de "réactiver l'IPv6" en supprimant la clé de registre DisabledComponents !

Comme quoi il faut parfois aller au delà des préconisations Microsoft.

Si vous souhaitez aller plus loin, cette problématique est également en discussion sur le forum Technet suivant :

http://social.technet.microsoft.com/Forums/en-US/ForefrontedgeVPN/thread/d033a9d1-aff6-4098-a002-e5e15ee1834c

La solution SEP est la dernière solution antivirale avancée de Symantec. Elle regroupe plusieurs fonctionnalités.

• Protection antivirale
• Protection réseau
• Contrôle des périphériques
• Protection contre les intrusions
• Protection contre les « malwares »

Le client (agent SEP), la console (SEPM) de gestion et une base de données (Sybase, SQL), le moteur de mise à jour (LiveUpdate LU) sont les composants principaux.

1) LiveUpdate - LU

LiveUpdate est la technologie utilisée par les produits Symantec pour se mettre à jour par Internet. Il utilise une technologie PULL pour se connecter en http, puis (et/ou) ftp. En combinaison avec un serveur LiveUpdate Administrateur il est possible de modifier son comportement pour qu’il utilise un site interne au réseau d’entreprise pour ses connexions.

 2) Serveur SEPM

La gestion centralisée de la solution Symantec Endpoint Protection (SEP) se fait par l’intermédiaire d’un serveur SEP Manager (SEPM). Ce serveur s’appuie sur une base de données pour stocker toutes les informations générées par les activités de la solution configurations, politiques, logs, packages d’installation, mises à jour logicielles ou de signatures, etc. Ce serveur est géré par une console qui peut être locale ou déportée.

3) Console SEPM locale ou déportée

Cette console, écrite en JAVA, se connecte à un serveur SEPM, soit localement, ou à distance. Son installation est automatique pendant l’installation du serveur SEPM, mais par une simple connexion au site SEPM il est possible de l’installer à distance sur un ou plusieurs poste(s) administrateur.

4) Group Update Provider (GUP) - optionnel

Le Group Update Provider, ou GUP (en français : Fournisseur de Mise à jour Groupée), est un PC ou un serveur sur un site, qui a été identifié par la console comme un « proxy » pour la mise à disposition des mises à jour de signatures. Il utilise un protocole http(s) modifié, et donc simule un serveur.

Pourquoi synchroniser l’heure ?

Au sein d’un domaine Active Directory, tous les postes de travail et serveurs membre synchronisent leur horloge auprès du contrôleur de domaine ayant le rôle d’émulateur PDC (Primary Domain Controller) que joue le rôle de serveur de temps pour le domaine.

Le bon fonctionnement de certains protocoles comme Kerbros v5, utilisé pour authentifier les utilisateurs au sein du domaine et assurer l’accès aux ressources partagées, est fortement dépendant de la synchronisation horaire entre les machines.

En effet, la RFC 4120 stipule que le décalage acceptable entre deux hôtes est de l’ordre de 5 minutes environ.

Each host on the network MUST have a clock which is "loosely synchronized" to the time of the other hosts; this synchronization is used to reduce the bookkeeping needs of application servers when they do replay detection.  The degree of "looseness" can be configured on a per-server basis, but it is typically on the order of 5 minutes.

C’est d’ailleurs cette valeur qui est positionnée par défaut depuis Windows 2000 sur le service Kerberos (cf. article KB837361 de la base de connaissance Microsoft).

Lorsque le décalage entre deux postes dépasse les 5 minutes, aucune authentification n’est possible via le protocole Kerberos. Ceci est particulièrement gênant lorsque la machine décalée correspond à un contrôleur de domaine ou à un serveur de fichiers.

Il convient donc de s’assurer que tous les postes et serveurs sont capables de joindre l’émulateur PDC et de mettre à jour leur horloge (lorsque cela n’est pas le cas, des erreurs W32Time sont générées par le service de temps Windows sur les postes de travail).

Il est également très important de synchroniser l’émulateur PDC avec une source de temps externe valide de manière à ce que l’heure propagée au sein du domaine soit la plus proche possible de l’heure exacte.

Or de trop nombreuses entreprises ne font pas attention à ce point qui n’est pourtant pas un détail car une juste synchronisation de l’horloge simplifie la vie des utilisateurs qui sont très friands de services Web où l’horodatage a une importance certaine (tweeter, myspace ou facebook pour ne pas les nommer).

D’un point de vue IT, la synchronisation de tous les équipements informatique (postes de travail, serveurs, mais aussi NAS, pare-feu et autres équipements réseau) auprès d’une seule et même source de temps permet de simplifier énormément les opérations de dépannage car les fichiers de logs sont alors parfaitement synchrones.

Quelle source de temps utiliser ?

Par défaut tout poste Windows est configuré pour synchroniser son horloge auprès du serveur “time.windows.com”.

De nombreux serveurs NTP “libres” sont accessibles en France et dans le monde (notamment les serveurs NTP des grandes universités françaises). De plus la plupart des FAI proposent à leurs clients un service de synchronisation de temps.

Il est néanmoins un projet qui se distingue de tous les autres par son ampleur : NTP Pool Project. Ce projet a pour objectif de proposer gratuitement un cluster de serveurs de temps gigantesque (1873 serveurs de temps à l’heure où j’écris ces lignes).

L’avantage de ce projet est qu’il propose également une configuration régionalisée par continent et par pays. Ainsi pour synchroniser votre PDC avec des serveurs de temps uniquement situés en France (env. 130 serveurs), il suffit de configurer le serveur pour pointer vers la liste de FQDN suivants :

• 0.fr.pool.ntp.org
• 1.fr.pool.ntp.org
• 2.fr.pool.ntp.org
• 3.fr.pool.ntp.org

Comment procéder ?

Pour reconfigurer l’horloge d’un poste sous Windows et notamment celle d’un émulateur PDC, les commandes suivantes peuvent être utilisées :

• La commande net time fonctionne sur un contrôleur de domaine Windows 2000, 2003 et Windows 2008 (cette commande est maintenant obsolète avec Windows Server 2008 R2)
• La commande w32tm doit impérativement être utilisée si le contrôleur de domaine exécute Windows Server 2008 R2

Avec la commande net time, voici la commande à saisir pour reconfigurer l’horloge du serveur de temps (PDC) vers le cluster “pool.ntp.org” français :

net time /setsntp:"0.fr.pool.ntp.org 1.fr.pool.ntp.org 2.fr.pool.ntp.org"

Pour vérifier la modification il est possible d’exécuter la commande net time /querysntp. Pour forcer la resynchronisation du PDC, il suffit de redémarrer le service de temps Windows (net stop w32time | net start w32time).

Sur un contrôleur de domaine Windows Server 2008 R2, la commande suivante doit être exécutée pour arriver au même résultat :

w32tm /config /update /manualpeerlist:"0.fr.pool.ntp.org,0x8 1.fr.pool.ntp.org,0x8 2.fr.pool.ntp.org,0x8 3.fr.pool.ntp.org,0x8" /syncfromflags:MANUAL

Cette commande doit être suivie des commandes suivantes pour que la configuration soit prise en compte et la resynchronisation initiée :

• w32tm /config /update
• w32tm /resync

Remarque : Il est également possible de le service de temps Windows pour forcer la resynchronisation (net stop w32time | net start w32time).

Les points à valider

Quelques points doivent être validés avant d’effectuer la modification sur l’émulateur PDC :

• Le port du protocole NTP doit être ouvert depuis l’émulateur PDC vers Internet (il s’agit du port UDP 123)
• Si le contrôleur de domaine est virtualisé, il convient de désactiver la synchronisation horaire entre la machine virtuelle et l’hôte physique (sinon l’heure synchronisée à travers le réseau sera toujours réécrite par celle de la machine hôte).

Voici un exemple pour un contrôleur de domaine (émulateur PDC) virtualisé avec Hyper-V 2.0 (version d’Hyper-V intégrée à Windows Server 2008 R2) :

 

Comment mettre à jour les clients ?

En ce qui concerne les postes membres du domaine, aucune opération manuelle n’est nécessaire, le service de temps Windows étant capable d’effectuer les mises à jour automatiquement.

Pour les postes configurés en groupe de travail, il convient d’exécuter la commande suivante, puis de redémarrer le service de temps Windows :

w32tm /config /update /manualpeerlist:"ntp.ad.lan,0x8"
/syncfromflags:MANUAL,DOMHIER

Remarque : Il est conseillé de créer une entrée DNS de type CNAME (alias) pointant vers l’émulateur PDC (par exemple ntp.domainead.local). Cela permet de pouvoir reconfigurer très simplement tous les postes de travail hors domaine en cas de bascule du rôle FSMO.

Dans le scénario idéal, tous les équipements réseau (commutateurs, routeurs, pare-feu, imprimantes réseau, bornes WiFi, serveurs NAS…) doivent également pointer vers le FQDN ntp.domainead.local de manière à assurer un horodatage cohérent.

Pour aller plus loin…

Quelques liens utiles pour aller plus loin :

• RFC 1305 sur le protocole NTP v3 (http://www.rfc-editor.org/rfc/pdfrfc/rfc1305.txt.pdf)
• RFC 4120 sur le protocole Kerberos v5 (http://www.rfc-editor.org/rfc/rfc4120.txt)
• Site du projet de pool NTP (http://www.pool.ntp.org/fr/use.html)
• Entrées de registre Kerberos sous Windows 2003 (http://support.microsoft.com/kb/837361/en-us)
• Lien Technet sur la synchronisation du PDC (http://technet.microsoft.com/en-us/library/cc784553(WS.10).aspx)

Microsoft a mis en ligne une nouvelle version du management pack d’administration “natif” de SCOM 2007 R2: la 6.1.7599.0

Parmi les nouveautés, peuvent être soulignés:

• Une fonctionnalité permettant à l’agent SCOM de superviser sa propre consommation mémoire et en cas d’une consommation excessive, la capacité de s’auto-redémarrer.
• Un meilleur suivi des agents inactifs: Si l’agent ne répond plus, test du ping du serveur hôte, démarrage du service s’il est simplement arrêté, éventuellement déclencher la réinstallation de l’agent…
• Détection de problème au sein des Management Packs (aide à la détection des problèmes dans les découvertes, scripts, droits d’accès…)

Je vous laisse découvrir la suite en cliquant sur le lien ci-dessous:

http://www.microsoft.com/downloads/details.aspx?FamilyID=61365290-3c38-4004-b717-e90bb0f6c148&displaylang=en

Microsoft a mis en ligne un livre blanc sur les performances des différents types de disques virtuels (vhd) que l’on peut rencontrer dans Hyper-V, à la fois sous Windows 2008 et 2008 R2.

Les tests sont réalisés à l’aide d’IOMeter sur différents types de disques VHD (fixe, dynamique et de différenciation) et physiques (pass-through).

Sont également évoqués les avantages/inconvénients des différentes possibilités, le temps de création, l’impact de la taille de block, ainsi que les différentes limitations.

Le document est téléchargeable ici:

http://download.microsoft.com/download/0/7/7/0778C0BB-5281-4390-92CD-EC138A18F2F9/WS08_R2_VHD_Performance_WhitePaper.docx

Une vulnérabilité dans la sécurité d'Excel Services pour Microsoft Office SharePoint Server 2007 peut permettre à un code arbitraire de s'exécuter lors de l'ouverture sur le serveur d'un fichier qui a été modifié à des fins malintentionnées.

Une mise à jour de sécurité vient d’être publié le 05 mars 2010 afin de remédier à cette vulnérabilité.

La mise à jour est disponible en téléchargement en version 32 Bit et 64 Bit et elle concerne seulement les serveurs SharePoint 2007 sur les quels Excel Services est installé.

Pour de plus amples détail consulter le Bulletin de Sécurité MS10-017.

La nouvelle version de SharePoint “SharePoint 2010” qui sera disponible au cours de l’année 2010 ne sera supportée que sur une gamme de serveurs Windows bien déterminée.

Ainsi et afin de bien préparer vos déploiements il faudra prendre en considération les points suivants:

• SharePoint 2010 sera seulement disponible pour les architectures 64 Bit.
• SharePoint 2010 n’est pas supporté sur des installations Core de Windows Server 2008 ou Windows Server 2008 R2
• Pour le développement SharePoint 2010 sera supporté uniquement sur Windows Vista x64 avec SP2 et Windows 7 x64
• Les éditions de Windows supportées pour une installation de SharePoint 2010 sont :
  1. Windows Server 2008 R2 Standard, Enterprise et Datacenter
  2. Windows Server 2008 x64 Standard, Enterprise et Datacenter
  3. Windows Small Business Server 2008 x64
  4. Windows Essential Business Server 2008 x64        

OS impactés :

Windows 7 & Windows Server 2008 R2

Quelle nouvelle approche ?

Œuvrer pour Limiter l’adhérence de la couche applicative avec la couche système, on ajoute une étape de plus dans le cloisonnement lors de l’installation et de l’utilisation d’une application.

Descriptif :

Peut exécuter un unique package qui peut à la fois installer une application pour le contexte “machine” ou pour le contexte “utilisateur”.
Une application étant prévue d’être installée, mise à jour, exécutée et supprimée par un utilisateur standard sans élévation de privilèges est appelée “a per user Application” (PUA). Une PUA minimise les effets sur le système ainsi que pour les autres utilisateurs sur l’ordinateur. Elle réserve l’UAC à des situations qui ont réellement besoin de l'élévation de privilèges de l'utilisateur.

Lorsque Windows Installer 5.0 installe un package à double choix dans le contexte de l’utilisateur, il dirige les fichiers et les entrées de Registre vers les emplacements prévus pour l’utilisateur et n'affiche pas l'UAC pour l’élévation de privilèges.
Lorsque Windows Installer 5.0 installe un package à double choix dans le contexte machine, il dirige les fichiers et les entrées de registre aux emplacements prévus pour le contexte machine et affiche l’UAC pour certifier que l'utilisateur a bien des privilèges suffisants pour installer le logiciel packagé pour tous les utilisateurs de l’ordinateur.

Une fois que Windows Installer 5.0 installe une application, il utilise le même contexte d'installation pour toutes les mises à jour ultérieures, les réparations, ou la suppression de l’application.

Redirection des éléments en fonction du contexte d’installation :

Installation « Per Machine »

- HKEY_LOCAL_MACHINE
- HKLM\Software\Classes
- ProgramFilesFolder
- CommonFilesFolder
- ProgramFiles64Folder
- CommonFiles64Folder

Installation « Per User »

- HKEY_CURRENT_USER
- HKCU\Software\Classes
- %LocalAppData%\Programs
- %LocalAppData%\Programs\Common
- %LocalAppData%\Programs\ISV _Name\App_Name\x86
- %LocalAppData%\Programs\ISV_Name\App_Name\x64
- C:\Users\%username%\AppData : pour les configurations de données utilisateur de l’application
- C:\Users\%username%

Par contre :

- Pas de “Custom Actions” fonctionnant avec des privilèges élevés
- Pas d’écriture dans les répertoires système suivants : AdminToolsFolder; CommonAppDataFolder; FontsFolder; System16Folder; System64Folder; SystemFolder; TempFolder; WindowsFolder; WindowsVolume
- Pas d’installation de “Win32 assemblies” dans le “global assembly cache (GAC.)
- Pas d’installation de sources ODBC
- Pas d’installation de services

Avec la console d’Administration d’Enterprise Vault, ou avec l’option de Reporting SQL, il est assez simple d’obtenir un état des lieux du stockage utilisé, et par Archives par exemple.

Mais qu’en est-il du ratio d’instance unique (SIS) ?

Lors des phases de définition d’architecture d’un projet d’archivage avec cette solution, certains facteurs sont pris en considération afin de dimensionner les espaces de stockage à moyen termes, et des estimations sont mises en avant, y compris concernant le ratio d’instance unique. Mais en réalité, comment visualiser cette proportion une fois en production ?

Un des outils inclus dans la solution permet entre autre cette visualisation: EVSVR

Cet outil fonctionnant en mode commande, et donc scriptable, permet pour l’instant deux types d’opérations:

• Report : génère un rapport sur le stockage
• Verify : permet une vérification de son stockage
• L’option “Repair” fera son apparition prochainement…

Dès son lancement, et suite à la demande d’aide avec la commande “?”, un certain nombre d’informations sont déjà disponible:

• Nom du compte de service
• Nom du Site EV
• Site ID
• Version

Exemple d’utilisation:

Afin d’obtenir les informations de Reporting désirées, il va falloir commencer par générer un fichier de Configuration XML permettant de spécifier les champs de recherche, avec la commande “EDIT”. Une fenêtre de paramétrage s’ouvrira :

Elle permettra notamment de spécifier :

• Le ou les espace(s) de stockage(s) désiré(s)
• Toutes les archives ou une archive spécifique
• Les facteurs temporels d’examen
• L’emplacement du fichier LOG (par défaut, il s’agit du dossier d’installation de la solution “\Reports\EVSVR”)
• L’opération désirée : Report ou Verify ainsi que ses options
• Et bien entendu le nom du fichier XML contenant tous ces paramètres

Une fois le fichier XML généré, l’opération est prête a être lancée :

• Tout d’abord exécuter la commande “LOAD” permettant de charger le fichier XML

• Puis exécuter la commande “START”, et attendre la fin de l’opération (cela peut durer plusieurs heures et il faudra alors s’armer de patience avant d’obtenir les résultats) :

N.B.: un document PDF d’utilisation de cet outil est disponible à l’adresse suivante :

• ftp://exftpp.symantec.com/pub/support/products/Exchange_Mailbox_Archiving_Unit/316525.pdf

Symptômes

Après avoir installer MOSS 2007 et créer des applications Web et des sites  vous n’arrivez pas à explorer vos sites avec leurs noms d’hôtes sur le serveur MOSS lui même, par contre ils sont bien accessibles depuis n’importe quel autre serveur ou poste client.

Lorsque vous tapez l’adresse de votre site on vous demande de s’authentifier 3 fois de suite et vous recevez une page vierge au niveau de l’explorateur.

Pas de messages d’erreur enregistrés à l’exception du journal de sécurité qui présente une série d’événements 4625: An Account Failed to Logon

Ce comportement se manifeste sur le serveur Web lui même et ne concerne que les sites ayant des noms d’hôte.

Cause

Depuis le service pack 1 de Windows Server 2003 une fonctionnalité de sécurité a été intégré au système d’exploitation (LoopBack Check) afin d’empêcher les attaques par réflexion sur les serveurs Web.

Cette fonctionnalité provoque un échec d’authentification pour toute demande portant un nom d’hôte qui ne ne correspond pas au nom de la machine.       

Résolution

Pour remédier à ce problème on dispose de deux méthodes:

Méthode 1 : Désactiver la fonctionnalité LoopBack Check

• Ajouter une valeur DWORD nommée DisableLoopBackCheck ayant une valeur 1 à la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

•   Redémarrer le service d’administration d’IIS

Méthode 2 : Spécifier les noms d’hôtes en question

• Ajouter une valeur Multi-String nommée BackConnectionHostNames  à la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 et y tapez les noms d’hôtes de tous les sites dont l’authentification est Windows et qui présentent le problème.       

• Redémarrer le service d’administration d’IIS

Réflexion

Avant de passer à l’action il faut se poser la question si on considère ce comportement problématique ou non puisque les sites sont bien accessibles de n’importe quel serveur ou poste client et seulement inaccessibles depuis le serveur Web lui même.

Il faut bien avoir cette réflexion puisque la résolution de ce “faux” problème consiste à désactiver la fonctionnalité LoopBack Check ce qui constitue en lui même l’exposition du serveur à un risque de sécurité.

Parmi les deux méthodes de résolution la deuxième semble comme même plus adaptée étant données qu’elle nous permet de spécifier les sites pour les quels la fonctionnalité sera désactivée et qui peuvent être les sites les plus sécurisés de point de vue fonctionnalités et utilisation, ce qui nous permettra de minimiser l’exposition du serveur à ce genre de risques de sécurité.