PI Services

Microsoft a mis en ligne une nouvelle version du management pack d’administration “natif” de SCOM 2007 R2: la 6.1.7599.0

Parmi les nouveautés, peuvent être soulignés:

• Une fonctionnalité permettant à l’agent SCOM de superviser sa propre consommation mémoire et en cas d’une consommation excessive, la capacité de s’auto-redémarrer.
• Un meilleur suivi des agents inactifs: Si l’agent ne répond plus, test du ping du serveur hôte, démarrage du service s’il est simplement arrêté, éventuellement déclencher la réinstallation de l’agent…
• Détection de problème au sein des Management Packs (aide à la détection des problèmes dans les découvertes, scripts, droits d’accès…)

Je vous laisse découvrir la suite en cliquant sur le lien ci-dessous:

http://www.microsoft.com/downloads/details.aspx?FamilyID=61365290-3c38-4004-b717-e90bb0f6c148&displaylang=en

Microsoft a mis en ligne un livre blanc sur les performances des différents types de disques virtuels (vhd) que l’on peut rencontrer dans Hyper-V, à la fois sous Windows 2008 et 2008 R2.

Les tests sont réalisés à l’aide d’IOMeter sur différents types de disques VHD (fixe, dynamique et de différenciation) et physiques (pass-through).

Sont également évoqués les avantages/inconvénients des différentes possibilités, le temps de création, l’impact de la taille de block, ainsi que les différentes limitations.

Le document est téléchargeable ici:

http://download.microsoft.com/download/0/7/7/0778C0BB-5281-4390-92CD-EC138A18F2F9/WS08_R2_VHD_Performance_WhitePaper.docx

Une vulnérabilité dans la sécurité d'Excel Services pour Microsoft Office SharePoint Server 2007 peut permettre à un code arbitraire de s'exécuter lors de l'ouverture sur le serveur d'un fichier qui a été modifié à des fins malintentionnées.

Une mise à jour de sécurité vient d’être publié le 05 mars 2010 afin de remédier à cette vulnérabilité.

La mise à jour est disponible en téléchargement en version 32 Bit et 64 Bit et elle concerne seulement les serveurs SharePoint 2007 sur les quels Excel Services est installé.

Pour de plus amples détail consulter le Bulletin de Sécurité MS10-017.

La nouvelle version de SharePoint “SharePoint 2010” qui sera disponible au cours de l’année 2010 ne sera supportée que sur une gamme de serveurs Windows bien déterminée.

Ainsi et afin de bien préparer vos déploiements il faudra prendre en considération les points suivants:

• SharePoint 2010 sera seulement disponible pour les architectures 64 Bit.
• SharePoint 2010 n’est pas supporté sur des installations Core de Windows Server 2008 ou Windows Server 2008 R2
• Pour le développement SharePoint 2010 sera supporté uniquement sur Windows Vista x64 avec SP2 et Windows 7 x64
• Les éditions de Windows supportées pour une installation de SharePoint 2010 sont :
  1. Windows Server 2008 R2 Standard, Enterprise et Datacenter
  2. Windows Server 2008 x64 Standard, Enterprise et Datacenter
  3. Windows Small Business Server 2008 x64
  4. Windows Essential Business Server 2008 x64        

OS impactés :

Windows 7 & Windows Server 2008 R2

Quelle nouvelle approche ?

Œuvrer pour Limiter l’adhérence de la couche applicative avec la couche système, on ajoute une étape de plus dans le cloisonnement lors de l’installation et de l’utilisation d’une application.

Descriptif :

Peut exécuter un unique package qui peut à la fois installer une application pour le contexte “machine” ou pour le contexte “utilisateur”.
Une application étant prévue d’être installée, mise à jour, exécutée et supprimée par un utilisateur standard sans élévation de privilèges est appelée “a per user Application” (PUA). Une PUA minimise les effets sur le système ainsi que pour les autres utilisateurs sur l’ordinateur. Elle réserve l’UAC à des situations qui ont réellement besoin de l'élévation de privilèges de l'utilisateur.

Lorsque Windows Installer 5.0 installe un package à double choix dans le contexte de l’utilisateur, il dirige les fichiers et les entrées de Registre vers les emplacements prévus pour l’utilisateur et n'affiche pas l'UAC pour l’élévation de privilèges.
Lorsque Windows Installer 5.0 installe un package à double choix dans le contexte machine, il dirige les fichiers et les entrées de registre aux emplacements prévus pour le contexte machine et affiche l’UAC pour certifier que l'utilisateur a bien des privilèges suffisants pour installer le logiciel packagé pour tous les utilisateurs de l’ordinateur.

Une fois que Windows Installer 5.0 installe une application, il utilise le même contexte d'installation pour toutes les mises à jour ultérieures, les réparations, ou la suppression de l’application.

Redirection des éléments en fonction du contexte d’installation :

Installation « Per Machine »

- HKEY_LOCAL_MACHINE
- HKLM\Software\Classes
- ProgramFilesFolder
- CommonFilesFolder
- ProgramFiles64Folder
- CommonFiles64Folder

Installation « Per User »

- HKEY_CURRENT_USER
- HKCU\Software\Classes
- %LocalAppData%\Programs
- %LocalAppData%\Programs\Common
- %LocalAppData%\Programs\ISV _Name\App_Name\x86
- %LocalAppData%\Programs\ISV_Name\App_Name\x64
- C:\Users\%username%\AppData : pour les configurations de données utilisateur de l’application
- C:\Users\%username%

Par contre :

- Pas de “Custom Actions” fonctionnant avec des privilèges élevés
- Pas d’écriture dans les répertoires système suivants : AdminToolsFolder; CommonAppDataFolder; FontsFolder; System16Folder; System64Folder; SystemFolder; TempFolder; WindowsFolder; WindowsVolume
- Pas d’installation de “Win32 assemblies” dans le “global assembly cache (GAC.)
- Pas d’installation de sources ODBC
- Pas d’installation de services

Avec la console d’Administration d’Enterprise Vault, ou avec l’option de Reporting SQL, il est assez simple d’obtenir un état des lieux du stockage utilisé, et par Archives par exemple.

Mais qu’en est-il du ratio d’instance unique (SIS) ?

Lors des phases de définition d’architecture d’un projet d’archivage avec cette solution, certains facteurs sont pris en considération afin de dimensionner les espaces de stockage à moyen termes, et des estimations sont mises en avant, y compris concernant le ratio d’instance unique. Mais en réalité, comment visualiser cette proportion une fois en production ?

Un des outils inclus dans la solution permet entre autre cette visualisation: EVSVR

Cet outil fonctionnant en mode commande, et donc scriptable, permet pour l’instant deux types d’opérations:

• Report : génère un rapport sur le stockage
• Verify : permet une vérification de son stockage
• L’option “Repair” fera son apparition prochainement…

Dès son lancement, et suite à la demande d’aide avec la commande “?”, un certain nombre d’informations sont déjà disponible:

• Nom du compte de service
• Nom du Site EV
• Site ID
• Version

Exemple d’utilisation:

Afin d’obtenir les informations de Reporting désirées, il va falloir commencer par générer un fichier de Configuration XML permettant de spécifier les champs de recherche, avec la commande “EDIT”. Une fenêtre de paramétrage s’ouvrira :

Elle permettra notamment de spécifier :

• Le ou les espace(s) de stockage(s) désiré(s)
• Toutes les archives ou une archive spécifique
• Les facteurs temporels d’examen
• L’emplacement du fichier LOG (par défaut, il s’agit du dossier d’installation de la solution “\Reports\EVSVR”)
• L’opération désirée : Report ou Verify ainsi que ses options
• Et bien entendu le nom du fichier XML contenant tous ces paramètres

Une fois le fichier XML généré, l’opération est prête a être lancée :

• Tout d’abord exécuter la commande “LOAD” permettant de charger le fichier XML

• Puis exécuter la commande “START”, et attendre la fin de l’opération (cela peut durer plusieurs heures et il faudra alors s’armer de patience avant d’obtenir les résultats) :

N.B.: un document PDF d’utilisation de cet outil est disponible à l’adresse suivante :

• ftp://exftpp.symantec.com/pub/support/products/Exchange_Mailbox_Archiving_Unit/316525.pdf

Symptômes

Après avoir installer MOSS 2007 et créer des applications Web et des sites  vous n’arrivez pas à explorer vos sites avec leurs noms d’hôtes sur le serveur MOSS lui même, par contre ils sont bien accessibles depuis n’importe quel autre serveur ou poste client.

Lorsque vous tapez l’adresse de votre site on vous demande de s’authentifier 3 fois de suite et vous recevez une page vierge au niveau de l’explorateur.

Pas de messages d’erreur enregistrés à l’exception du journal de sécurité qui présente une série d’événements 4625: An Account Failed to Logon

Ce comportement se manifeste sur le serveur Web lui même et ne concerne que les sites ayant des noms d’hôte.

Cause

Depuis le service pack 1 de Windows Server 2003 une fonctionnalité de sécurité a été intégré au système d’exploitation (LoopBack Check) afin d’empêcher les attaques par réflexion sur les serveurs Web.

Cette fonctionnalité provoque un échec d’authentification pour toute demande portant un nom d’hôte qui ne ne correspond pas au nom de la machine.       

Résolution

Pour remédier à ce problème on dispose de deux méthodes:

Méthode 1 : Désactiver la fonctionnalité LoopBack Check

• Ajouter une valeur DWORD nommée DisableLoopBackCheck ayant une valeur 1 à la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

•   Redémarrer le service d’administration d’IIS

Méthode 2 : Spécifier les noms d’hôtes en question

• Ajouter une valeur Multi-String nommée BackConnectionHostNames  à la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 et y tapez les noms d’hôtes de tous les sites dont l’authentification est Windows et qui présentent le problème.       

• Redémarrer le service d’administration d’IIS

Réflexion

Avant de passer à l’action il faut se poser la question si on considère ce comportement problématique ou non puisque les sites sont bien accessibles de n’importe quel serveur ou poste client et seulement inaccessibles depuis le serveur Web lui même.

Il faut bien avoir cette réflexion puisque la résolution de ce “faux” problème consiste à désactiver la fonctionnalité LoopBack Check ce qui constitue en lui même l’exposition du serveur à un risque de sécurité.

Parmi les deux méthodes de résolution la deuxième semble comme même plus adaptée étant données qu’elle nous permet de spécifier les sites pour les quels la fonctionnalité sera désactivée et qui peuvent être les sites les plus sécurisés de point de vue fonctionnalités et utilisation, ce qui nous permettra de minimiser l’exposition du serveur à ce genre de risques de sécurité.

Nous avons rencontrés aujourd’hui un souci avec les agents scom 2007 R2.

Sur un cluster RMS, la procédure de déploiement d’agents se déroulait bien mais les agents ne s’installaient pas. Ces derniers restaient bloqués en « pending » avec une « installation in progress », les event ID 21016 apparaissent dans le journal d’évènements.

La solution pour les approuver fut de passer par la commande powershell : get-agentpendingaction | approve-agentpendingaction

Pourquoi ce billet ?

Microsoft ne fournit pas, à l’heure actuelle, d’outil graphique pour réaliser des migrations de boîtes Inter organisation. Le seul outil mis à disposition des administrateurs reste la commande « PowerShell » Move-Mailbox.

Dans cet article je vais présenter quelques exemples de commandes Power Shell pour réaliser des migrations de boîtes aux lettres depuis une organisation Exchange 2000/2003 vers une organisations Exchange 2007.

Toutes ces commandes sont issues d’un retour d’expérience projet réalisé dans une multinationale française (grand compte).

N.B.: Bien entendu, toutes les références à ce client (nom des environnements, des serveurs…) ont été modifiées dans les exemples ci-dessous.

Environnement utilisé

Les commandes présentées ici utilisent les références suivantes :

Organisation source Exchange 2003

• Contrôleur de domaine et CG: DC.source.net
• Serveur Exchange: SourceServer

Organisation cible Exchange 2007

• Contôleur de domaine et CG: DC.target.net
• Serveur Exchange: EXC2007

Pour information, la migration depuis Exchange 5.5 n'est pas possible.

La commande Move-Mailbox ne communique qu'avec des contrôleurs de domaines exécutant Windows 2003 SP1 ou plus.

Avant d'utiliser la commande move-mailbox, l'identifiant source et cible doivent être saisi :

$s=get-credential

Une fenêtre apparaît et vous devez fournir une authentification

$t=get-credential

Idem.

N.B. : Si vous utilisez un compte qui a les droits nécessaire sur la source et la cible, cette étape n'est pas nécessaire.

Exemple 1

Get-mailbox -resultsize unlimited -DomainController 'DC.source.net' –Credential $s | where { $_.customattribute7 -eq '260110' } | move-mailbox -TargetDatabase 'EXC2007\ST01\ISMB01' -BadItemLimit 10 -MaxThreads 30 -SourceForestGlobalCatalog 'DC.source.net' -GlobalCatalog 'DC.target.net' -DomainController 'DC.target.net' -NtaccountOU 'OU=Migrated,DC=target,DC=net' -SourceMailboxCleanupOptions DeleteSourceMailbox -SourceForestCredential $s -TargetForestCredential $t

Cette commande migre les boîtes en mode clone (spécifié par le paramètre NtaccountOU) dans l'OU « Migrated ». Elle sélectionne les boîtes dont le « custom attribute 7 » est égal à « 260110 ». Ces boîtes peuvent provenir de plusieurs serveurs. Elles sont migrées dans la banque d'information ISMB01 du serveur EXC2007. Après la migration, la boîte source est supprimée (SourceMailboxCleanupOptions DeleteSourceMailbox ).Le processus traitera en parallèle 30 objets (Max Threads).

Exemple 2

Move-Mailbox -TargetDatabase 'EXC2007\ST01\ISMB01' -Identity “JeanV” -GlobalCatalog ‘DC.target.net’ -SourceForestGlobalCatalog ‘DC.source.net’ -NTAccountOU 'OU=Migrated,DC=target,DC=net' -SourceMailboxCleanupOptions DeleteSourceMailbox -SourceForestCredential $s –TargetForestCredential $t

Cette commande migre la boîte « JeanV » en mode clone dans l'OU « Migrated » dans la banque d’information ISMB01 du serveur EXC2007. La boîte source sera supprimée après la migration.

Exemple 3

Get-mailbox -DomainController 'DC.source.net' -Credential $s -database 'SourceServer\ST01\ISMB01' | move-mailbox -TargetDatabase 'EXC2007\ST01\ISMB01' -SourceForestGlobalCatalog 'DC.source.net' -GlobalCatalog 'DC.target.net' -DomainController 'DC.target.net' -NTAccountOU 'OU=Migrated,DC=target,DC=net' -SourceMailboxCleanupOptions DeleteSourceNTAccount -SourceForestCredential $s -TargetForestCredential $t

Cette commande migre en mode clone les boîtes de la banque d'information ISMB01 du serveur source vers la banque d’information ISMB01 du serveur EXC2007 . Les comptes NT seront supprimés (SourceMailboxCleanupOptions DeleteSourceNTAccount).

Exemple 4

Get-user -DomainController 'DC.source.net' -Credential $s | where { $_.Department -ilike "DIRECTION" } | move-mailbox -TargetDatabase 'EXC2007\ST01\ISMB01' -SourceForestGlobalCatalog 'DC.source.net' -GlobalCatalog 'DC.target.net' -DomainController 'DC.target.net' -NTAccountOU 'OU=Migrated,DC=target,DC=net' -SourceMailboxCleanupOptions DeleteSourceNTAccount -SourceForestCredential $s -TargetForestCredential $t

Cette commande migre en mode clone les boîtes dont le champ Departement est « DIRECTION » vers la banque d’information ISMB01 du serveur EXC2007. Les comptes NT seront supprimés.

Pour aller plus loin…

Cette commande possède de multiples options que vous pouvez retrouver en consultant ce lien.

http://technet.microsoft.com/fr-fr/library/aa997599%28EXCHG.80%29.aspx

Nous aborderons prochainement la migration Inter-Organisation avec Exchange 2010.

Jalasoft propose Xian Wings 2010 pour SCOM 2007. Il s’agit d’une application blackberry permettant l’accès à une console scom depuis son téléphone portable.

Plus d’infos ici : http://www.jalasoft.com/Web/Product/Product.aspx?id=51