PI Services

AD 2008 permet la mise en œuvre de « Password Settings Objects », ce qui évite la création d’un nouveau domaine lorsque l’on souhaite mettre en œuvre une politique de mots de passe différente pour certains utilisateurs. Avec Windows 2008 la création de ces PSO s’effectuait via ADSIedit ou Ldifde.

On connait moins les commandes PowerShell qui viennent avec 2008R2 et qui encadrent l’administration de ces objets.

A titre d’exemple, on peut imaginer la procédure suivante :

1) Un groupe global est créé. Les utilisateurs concernés par le futur PSO devront en être membres.

2) Un PSO est créé avec le jeu de paramètres destiné aux utilisateurs ciblés

Exemple :

New-ADFineGrainedPasswordPolicy -Name "PSO-Utilisateurs_Ciblés " -Precedence 500 -ComplexityEnabled $false -Description "Strategie pour tous les utilisateurs ciblés" -DisplayName "PSO pour les utilisateurs ciblés" -LockoutDuration "-1" -LockoutObservationWindow "0:30" -LockoutThreshold 30 -MaxPasswordAge "60.00:00:00" -MinPasswordAge "1.00:00:00" -MinPasswordLength 7 _PasswordHistoryCount 3 -ReversibleEncryptionEnabled $false

3) Le PSO est assigné au groupe global.

Exemple :

Add-ADFineGrainedPasswordPolicySubject PSO-Utilisateurs_Ciblés -Subjects ' gg_Utilisateurs_Ciblés '

Pour plus d’informations sur la gestion des mots de passe ( Stratégie du domaine et PSO ) :

http://technet.microsoft.com/en-us/library/dd378968(WS.10).aspx

Pour plus d’information sur les valeurs à paramétrer avec la commande de création de PSO :

http://technet.microsoft.com/en-us/library/ee617238.aspx

Parmi les options de configuration  d’une base de données on trouve le mode de récupération qui peut être Complet (Full), Journalisé en bloc (Bulk-Logged) ou Simple (Simple).

Si le mode de récupération d’une base de données est différent du mode Simple, il faut impérativement mettre en place une stratégie de sauvegarde des fichiers journaux de cette base de données sinon les fichiers log n’arrêteront par de croitre et consommer de l’espace disque.

Au cas où vous avez oublié de mettre en place cette stratégie et que votre disque commence à souffrir il faut impérativement réduire la taille des fichiers journaux volumineux, cet article décrit l’ensemble des actions à entreprendre pour réaliser cette action.

Identifier le nom logique d’un fichier Log d’une base de données

Pour identifier le nom logique d’un fichier journal d’une base de données nommée Demo il suffit d’exécuter la requête suivante :

SELECT DB_NAME(database_id) AS [Base de données],name AS [Nom Logique] ,
physical_name AS [Nom Physique]  FROM sys.master_files  
WHERE DB_NAME(database_id) = 'Demo' AND type = 1

Noter le nom qui apparaît au niveau de la colonne Nom Logique

Sauvegarder la base de données et le fichier Log

Avant de procéder à la réduction de la taille du fichier log et afin de sécuriser l’opération il faut procéder à une sauvegarde de la base de données et du fichier journal pour pouvoir la récupérer en cas de problème.

Pour cela il suffit d’exécuter les scripts suivants :

BACKUP DATABASE [Demo]
TO  DISK = N'F:\Backup\Demo.BAK'
WITH NOFORMAT, NOINIT, 
NAME = N'Demo-Full Database Backup',
SKIP, NOREWIND, NOUNLOAD,  STATS = 10
GO

BACKUP LOG [Demo]
TO  DISK = N'F:\Backup\Demo.bak'
WITH NOFORMAT, NOINIT, 
NAME = N'Demo-Transaction Log  Backup',
SKIP, NOREWIND, NOUNLOAD,  STATS = 10
GO

Réduire la taille du fichier log de la base de données

On peut réduire la taille du fichier log en exécutant le script SQL Suivant

USE [Demo]
GO
DBCC SHRINKFILE (N'Demo_log' , 0, TRUNCATEONLY)
GO

Ou

En utilisant SQL Server Management Studio et en cliquant avec le bouton droit sur la base de données en question puis  sur Tasks ==> Shrink ==> Files

Au niveau de la fenêtre Shrink file – Demo.log :

1. Vérifier que le type de fichier est bien Log
2. Cocher la case Reduce unused space
3. Cliquer sur Ok

Si la taille du fichier Log n’est pas réduite suite à cette opération chose qui peut survenir si la fin du fichier log est considérée par SQL Server comme portion active non réductible, on peut forcer l’opération de réduction en changeant le mode de récupération de la base de données vers le mode simple, exécuter l’opération de troncature une autre fois et ensuite remettre le mode de récupération de la base de données au mode Complet (Full).

Pour changer le mode de récupération de la base vers le mode Simple exécuter le script suivant :

USE [master]
GO
ALTER DATABASE [Demo] SET RECOVERY SIMPLE WITH NO_WAIT
GO

Pour remettre le mode de récupération à Complet exécuter le script suivant :

USE [master]
GO
ALTER DATABASE [Demo] SET RECOVERY FULL WITH NO_WAIT
GO

Au niveau du script de la troncature on peut choisir la taille cible que doit prendre notre fichier log en utilisant la syntaxe suivante :

USE [Demo]
GO
DBCC SHRINKFILE (N'Demo_log' , <Taille Cible en MB>)
GO

L’erreur DCOM est une erreur qui apparait quasi systématiquement après l’installation et la configuration d’une plateforme MOSS 2007. Cette erreur apparait sur tous les serveurs de la ferme et à des intervalles réguliers.

Cette erreur est due au droit « LOCAL Activation » manquant sur certains objets DCOM pour les utilisateurs SharePoint et principalement les comptes utilisés pour les pools d’application qui font partie du groupe IIS_WPG.

Pour remédier à cette erreur procédez comme suit :

Ajoutez l’utilisateur “Service Réseau” (NETWORK Service)  au groupe “Utilisateurs du modèle COM distribué” (Distributed COM Users).

Accordez au groupe IIS_WPG les bons droits sur les composants IIS Admin Service et IIS WAMREG Admin Service

1 - Démarrez la console services de composants en exécutant : C:\Windows\System32\com\comexp.msc

ou

Cliquez sur Démarrer | Outils D’administration | Services de composants

2 - Réinitialisez la configuration de la sécurité des composants IIS Admin Service et IIS WAMREG Admin Service :

Cliquez sur le composant IIS Admin Service avec le bouton droit puis cliquez sur Propriétés.

Sélectionnez l’onglet Sécurité et positionnez toutes les autorisations à Par Défaut (Use Default) puis cliquez sur le bouton OK.

Important : Réalisez la même opération pour le composant IIS WAMREG Admin Service.

Cliquez sur le composant IIS Admin Service avec le bouton droit puis cliquer sur Propriétés.

Sélectionnez l’onglet Sécurité, au niveau de la section Autorisation d’exécution et d’activation ("Launch and Activation Permissions"), côchez Personnaliser ("Customize") puis cliquez sur Modifier ("Edit").

Ajoutez le groupe IIS_WPG et accordez-lui toutes les autorisations.

Au niveau de la section Autorisations d’accès ("Access Permissions"), côchez Personnaliser ("Customize") puis cliquez sur Modifier ("Edit").

Ajoutez le groupe IIS_WPG et accordez-lui toutes les autorisations.

Vérifier les droits de configuration pour le groupe Utilisateurs.

Au niveau de la section Autorisations de configuration ("Configuration Permissions") côchez Personnaliser ("Customize") puis cliquez sur Modifier ("Edit"). 

Vérifiez que le groupe Utilisateurs dispose des autorisations Lecture ("Read") et Autorisations Spéciales ("Special permissions").

Important : Réalisez la même opération pour le composant IIS WAMREG Admin Service.

A l'issue de cette procédure, l'erreur DCOM ne devrait plus ce produire !

Après une migration de boites aux lettres depuis une organisation Exchange 2003 vers une organisation Exchange 2007, il peut arriver que l’attribut “Recipient Type Details” ne soit pas défini en tant que “User Mailbox”

Voici différent cas rencontrés :

Legacy Mailbox

Ceci est typiquement le type de boite aux lettres créé avec les outils Exchange 2003. Ce type de boite aux lettres fonctionne sous Exchange 2007 mais afin d’éviter la perte de certaines fonctionnalités d'Exchange 2007, il est préférable de la convertir.

Pour cela, une simple commande Powershell suffit :

Linked Mailbox

Ceci indique que la boite aux lettre disposait d’un compte externe associé (autre que le compte SELF) avant la migration.

Pour résoudre le problème, il faut modifier les attributs de l’utilisateur en question (avec ADSIEdit) et modifier la valeur de l’attribut msExchRecipientTypeDetails de la valeur 2 à la valeur 1.

http://technet.microsoft.com/en-us/library/cc164371.aspx

Shared Mailbox

Ceci indique que le compte SELF est configuré en tant que compte externe associé sur la boite aux lettres.

Après la migration de la boite aux lettres, supprimer l’association du compte SELF en tant que compte externe associé. Ceci modifiera l’attribut msExchMasterAccountSid et lui donnera la valeur <Not Set>. Ensuite, lancer la commande Powershell suivante :

http://technet.microsoft.com/en-us/library/bb201749.aspx

Un paramètre important lors de l’installation d’un serveur RMS en cluster:

Dans les propriétés des ressources services…

Il est indispensable dans l’onglet Dependencies de faire dependre la ressource sur le nom reseau du cluster RMS

Puis dans l’onglet General de cocher l’option Use Network Name for computer name

Ainsi les agents discuteront bien avec le SPN de la ressource RMS et non celui des nœuds physiques du cluster.

Rappel sur LUA et PostGreSQL

Dans le cadre d’un projet d’intégration de SEP, j’ai installé un serveur LiveUpdate en interne. LiveUpdate est la technologie utilisée par les produits Symantec pour se mettre à jour par Internet (c'est l'équivalent d'un serveur WSUS chez Microsoft).

Dans la suite de ce billet, Live Update désigne le service de mise à jour et Live Update Administrateur (LUA) désigne le serveur interne de distribution des mises à jour.

Le client Live Update utilise une technologie PULL pour se connecter en HTTP et en FTP. Par défaut le client Live Update est configuré pour pointer vers les serveurs publics de Symantec. Il est possible de modifier ce comportement de manière à ce qu'il se connecte au serveur LUA interne en lieu et place des serveurs publics.

Le serveur LiveUpdate Administrateur utilise le moteur de base de données PostgreSQL . La version de PostgreSQL fournie avec LUA 2.x est la version 8.1(cf. site officiel PostGreSQL).

Remarque : Le support technique de Symantec recommande fortement à ses clients l'application de toutes les mises à jour du serveur LUA de manière à bénéficier de toutes les améliorations disponibles (notamment des améliorations apportées par la version 8.1 de PostGreSQL).

Le moteur PostGreSQL est configurable via le fichier « postgresql.conf » situé a la racine du dossier d’installation de LiveUpdate Administrator.

Tuning des performances PostGreSQL

Voici les principaux paramètres ayant une grande influence sur les performances de la base ainsi que les valeurs recommandées :

1. shared_buffers

Le paramètre shared_buffers détermine la quantité de mémoire utilisée pour la mise en cache des données. Certaines sources recommandent une valeur correspondant à 25% de la mémoire vive du serveur.

Par défaut la valeur du paramètre shared_buffers est de 32Mo avec LUA 2.2. Une valeur de 512 Mo permet d'améliorer les performances. Certains gros clients ont augmenté cette valeur jusqu'à 1024 Mo et on ensuite pû observer de grandes améliorations.

2. temp_buffers

Le paramètre temp_buffers n'est utilisé que pour le maintient des tables temporaires en mémoire.

Comme LUA 2.x ne dépend pas fortement de ces tableaux, certains clients ont réduit cette valeur de 2 Mo dans le cadre de leur mise au point.

3. work_mem

work_mem fixe la quantité maximale de mémoire à utiliser pour l’exécution d’une requête.

Le réglage de work_mem à 256 Mo a conduit à une amélioration des performances pour certains clients.

4. max_fsm_pages

Cette valeur doit être réglée sur le nombre maximum de pages de données (affichage Web) que vous voulez modifier ou supprimer. Une valeur de 20 000 a bien fonctionné pour certains clients.

5. wal_buffers

Une valeur de 256Kb devrait être suffisamment grande. pour une bonne utilisation de LUA.

6. checkpoint_segments

Les valeurs recommandées vont de 16 à 128 en fonction de l’espace disque disponible.

Par défaut, la valeur est de 3. Certains gros clients ont augmenté cette valeur à 30 et vu de grandes améliorations.

7. effective_cache_size

Effective_cache_size définit la taille du cache disque par rapport à la quantité de mémoire RAM disponible pour la mise en cache des données,

Il est recommandé de configurer la valeur effective_cache_size à 50% de la RAM du système (cette préconisation est valide si et seulement si le serveur est dédié au rôle LUA).

Par défaut, LUA 2.2 a effective_cache_size a une valeur de 128Mo. Certains gros clients ont augmenté cette valeur jusqu'à 2048 Mo et vu de grandes améliorations.

Lors de l’exécution d’un script powershell (.PS1) sur un serveur Exchange 2010, alors que vous possédez des droits Administrateurs, vous rencontrez l’erreur suivante :

Par défaut, et pour des raisons évidentes de sécurité, l’exécution de script “Powershell for Exchange” est bridée. Afin de visualiser ce niveau de sécurité, il suffit de lancer la commande “Get-ExecutionPolicy” :

afin de se rendre compte que les droits sont positionnés à “Restricted” par défaut.

Les différents droits existants pour l’exécution de script sont les suivants :

• Unrestricted
• RemoteSigned
• AllSigned
• Restricted
• Default
• Bypass
• Undefined

Il est alors possible d’autoriser l’exécution de script à l’aide de la commande “Set-ExecutionPolicy” et d’y ajouter la valeur désirée (nommée précédemment).

Mais comme l’indique alors le message lors du passage de la commande, le niveau de sécurité est dans ce cas abaissé. Ce qui peut poser problème. Si on désire autoriser momentanément l’exécution de script sans toucher au niveau de sécurité, il est possible de paramétrer l’environnement d’exécution juste pour ce lancement, avec un VBS par exemple, et qui servira de “lanceur” au script powershell.

1/ Le raccourci de lancement du Powershell for Exchange s’exécute comme suit :

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -noexit –command            ".'C:\Program Files\Microsoft\Exchange Server\V14\bin\RemoteExchange.ps1'; Connect-ExchangeServer -auto"

• Lancement de l’exécutable –Command “appel du script RemoteExchange.ps1 permettant d’alimenter le Powershell avec les commandes pour Exchange 2010”; Connexion au premier serveur Exchange disponible

2/ Il suffit alors de rajouter ce type de commande supplémentaire :

• Set-ExecutionPolicy -ExecutionPolicy Bypass –Force

Ce qui pourrait donner :

• C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -noexit –command            ".'C:\Program Files\Microsoft\Exchange Server\V14\bin\RemoteExchange.ps1'; Connect-ExchangeServer -auto"; Set-ExecutionPolicy -ExecutionPolicy Bypass –Force

3/ Une fois inclus dans un script VBS, cela peut donner :

• Return = WshShell.run (“C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -noexit –command            ".'C:\Program Files\Microsoft\Exchange Server\V14\bin\RemoteExchange.ps1'; Connect-ExchangeServer -auto"; Set-ExecutionPolicy -ExecutionPolicy Bypass –Force; MonScript.ps1; exit“)

Le script “MonScript.ps1” sera alors exécuté avec les bonnes autorisations sans impacter les paramètres de sécurité du serveur de manière définitive.

N.B.: il est possible de remplacer “-auto” par le nom d’un serveur Exchange spécifique permettant ainsi d’effectuer du “Remote Scripting” sur le serveur désiré.

N'hésitez pas à laisser un commentaire si ce tips vous a été utile ou bien si vous avez des éléments à ajouter !…

Suppression d’une sauvegarde de type « Non Système » (Bare Metal Recovery).

Lancez une console PowerShell et affichez la liste des sauvegardes disponibles

Recherchez la sauvegarde à supprimer (creation time)

Copiez le Shadow Copy ID, puis lancez Diskshadow

Pour supprimez, tapez Delete shadows ID et collez l’ID.

Ça y est, la gestion dynamique de la mémoire sous Hyper-V arrive !

Cette fonctionnalité permettra d’allouer plus de mémoire vive qu’il n’y en a de réellement disponible. En effet, il n’est pas possible actuellement de démarrer une machine virtuelle si la mémoire vive demandée n’est pas disponible.

Cette amélioration autorisera une meilleure utilisation de la mémoire disponible (pas de mémoire vive allouée non utilisée) et donc une meilleure consolidation des serveurs (très pratique pour les environnements de développements/tests).

La fonctionnalité sera mise à disposition avec le SP1 de Windows Server 2008 R2.

Pour plus d’information, vous pouvez vous rendre sur le blog de l’équipe « virtualisation » de Microsoft :

http://blogs.technet.com/virtualization/archive/2010/03/18/dynamic-memory-coming-to-hyper-v.aspx

Pourquoi fixer les ports RPC ?

Le fait de fixer les ports RPC de communication des serveurs Exchange permet d’augmenter la sécurité (en réduisant la surface d'attaque ainsi que le nombre de ports à ouvrir dans les pare-feu) mais également de simplifier la configuration des équipements de Load Balancing.

En effet, avec la configuration prédéfinie au sein d'Exchange, l’ensemble de la plage de "ports haut" (1024 à 65535) doit être équilibrée lors de la mise en place d'une ferme de serveurs CAS hautement disponible (que l'on utilise un Load Balancer materiel ou bien le NLB Windows).

Comment fixer les ports RPC sur les serveurs Exchange 2010 ?

Cette procédure s'applique aux serveurs Hub, Cas ou Mailbox.

Pour commencer, connectez-vous sur un serveur et lancez l'éditeur de registre (regedit.exe) puis parcourez l’arborescence pour atteindre la clef: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeRpc

Modifiez ensuite la clé ParametersSystem (si elle n’existe pas vous pouvez créer l’entrée puis la valeur DWORD « TCP/IP Port »).

Remarque : Cette opération doit être répétée sur chacun des serveurs HUB/CAS ainsi que les serveurs de boite aux lettres (Mailbox).

Comment fixer les ports RPC utilisés pour interroger les contrôleurs de domaine ?

Exchange communique régulièrement avec les contrôleurs de domaine, notamment dans le processus de génération du Carnet d’adresse hors connexion (OAB) et dans le processus de découverte de la topologie Active directory.

La modification du port se réalise directement sur les serveurs Exchange. Pour réaliser la modification il est nécessaire d’éditer le fichier Microsoft.exchange.addressbook.service.exe.config situé dans le répertoire C:\Program Files\Microsoft\Exchange Server\V14\Bin

Conclusion

Cette opération permet de réduire la surface d’utilisation MAPI d’exchange 2010 et des clients de messagerie.

Cette opération est documentée dans la fiche Technet suivante suivante pour les version Exchange 5.5, 2000 et 2003.

Exchange Server static port mappings