PI Services

Le blog des collaborateurs de PI Services

Activer son Windows Server Eval Version avec une clé de licence

Introduction

La clé d’installation de Windows server se trouve sur le portal admin office rubrique facturation > vos produits. Elle est destinée à l’installation de Windows DTC 16 Cores. J'utilise un ISO en version d’évaluation.

Eval Version

Lorsque l’installation se fait en version d’évaluation il est possible d’upgrader de Standard Edition vers DataCenter Editiion, pas l’inverse. 
Pour connaitre la version actuelle de l’édition : 

> dism /online /get-currentedition 

PS C:\Windows\system32> dism /online /get-currentedition
Outil Gestion et maintenance des images de déploiement
Version : 10.0.17763.3406 
Version de l’image : 10.0.17763.4377 
Édition actuelle : 
Édition actuelle : ServerStandardEval 
L’opération a réussi.

Pour connaitre les versions disponibles à l’upgrade  : DISM /online /Get-TargetEditions 

C:\Windows\system32> dism /online /get-targeteditions:serverStandard 

Outil Gestion et maintenance des images de déploiement
Version : 10.0.17763.3406 
Version de l’image : 10.0.17763.4377 
Éditions vers lesquelles une mise à niveau peut être effectuée : 
Édition cible : ServerStandard
Édition cible : ServerDatacenter 
L’opération a réussi.

Licenced version

Pour upgrader de la Version Eval à Full Version, il faut utiliser une public KMS (GVLK) key for Windows Server (2016 2019 2022)

dism /online /set-edition:ServerStandard /productkey:N69G4-B89J2-4G8F4-WWYCC-J464C /accepteula 

 

 

Pour convertir l’édition Standard Edition Eval à Datacenter Full 

dism /online /set-edition:ServerDatacenter /productkey:WMDGN-G9PQG-XVVXX-R3X43-63DFG /accepteula 

Deployment Image Servicing and Management tool
Version: 10.0.17763.3406 
Image Version: 10.0.17763.4377 
Starting to update components...
Starting to install product key...
Finished installing product key.
Removing package Microsoft-Windows-ServerDatacenterEvalEdition~31bf3856ad364e35~amd64~~10.0.17763.1
[==========================100.0%==========================]
Finished updating components.
Starting to apply edition-specific settings...
Finished applying edition-specific settings.
The operation completed successfully.
Restart Windows to complete this operation.
Do you want to restart the computer now? (Y/N)

PUne fois en Full Version, on peut alors l’activer avec la licence définitive
slmgr.vbs /upk
slmgr.vbs /cpky
slmgr.vbs /ipk 
xxxxx-xxxxx-xxxxx-xxxxx-xxxxx 

Ou en mode GUI, Settings >system>Activation

 

Remonter son interface SD RED Sophos.

  1. Contexte:

    Lors d’une mise à jour Firmware, Les FW XGS4300 redémarrent et deviennent tour à tour master, secondaire. Certaines ressources basculées ne rebasculent pas sur le master et restent en UP sur le secondaire. Les ressources touchées sont APs et boitier SD-RED. Il faut alors supprimer puis ajouter l'interface pour le remonter.

  2. Suppression de l'interface

    Pour faire rebasculer la ressource sur le master il est nécessaire de la supprimer et la remonter. Les reboots ou hard reset ne suffisent pas. La particularité est que le boitier Red fourni un PIN à conserver lors de sa suppression et le demande au moment de l’ajout par la suite. Il faut penser à récupérer la plage DHCP créée pour qu’elle fournisse une IP du scope. Lors de la suppression la plage DHCP disparait. Network > Dhcp

    Mémoriser les paramètres sur le maître et le fameux pin. Network > Interface > RED.
    Le pin viable est le dernier fonctionnel donc RED actif sur le secondaire. Le pin sera donc aussi celui du secondaire. 

  3. Ajout de l'interface

    Cliquer sur Add, renseigner les paramètres mémorisés branch name, Type, Red ID, Tunnel ID, Unlock code, Firewall IP, 2nd FW IP, sans oublier la particularité du pin de verrouillage. Sans bascule c’est celui du primaire. Si bascule et up sur le secondaire utiliser le pin du secondaire; Sauvegarder. 

    Au redémarrage ou reset du boitier Red à confirmer, il s’enregistre sur le Cloud Sophos récupère sa config et apparait en up. 
    Allez dans Network > Dhcp pour ajouter une plage DHCP pour ce Red.

    Les ressources connectées à ce RED seront dans la plage paramétrée.

Compactage de l'.ost

Contexte : Le fichier de donnée Outlook atteint sa masse critique et a pour conséquence des lenteurs et bugs dès l'ouverture de la messagerie.

 

Pour réduire le poids du fichier .ost sans avoir à télécharger à nouveau la BAL en supprimant ce fichier.

Ouvrir Outlook >Fichier >paramètre de compte >sélection de la boite >paramètres supplémentaires >paramètre du fichier de donnée Outlook >bouton Compresser

Modifier

Paramètres supplémentaires

Compresser

 
 

 

Distribuer un profil WiFi par GPO

Contexte

Rajouter quelques PCs portables dans une salle qui ne peut plus accueillir de prises réseaux filaires.

D'abord configurer la connexion WiFi sur un PC portable, puis l’exporter avec la commande

netsh wlan export profile key=clear c:\

 C:\Users\Administrateur>netsh wlan export profile key

 Le profil d'interface « SSID » est enregistré dans le fichier « .\Wi-Fi-SSID.xml »

La clé apparaît en clair sauf avec la commande "netsh wlan export profile"

On crée la gpo sous configuration ordinateur>Paramètres Windows>paramètres de sécurité>Stratégie de réseau sans fil>nouvelle stratégie

On renseigne le SSID et mot de passe, connexion automatique et préférée, mais je change pour l’occasion le nom à diffuser en «Accès-SF »

Je lie la stratégie à une salle donnée.

Le SSID d’origine apparaît en non disponible alors que la connexion Acces-SF est active et connectée.

Les utilisateurs doivent se connecter au moins une fois en filaire sur le poste pour appliquer la stratégie.

Activer l’Authentification Multi Facteur (MFA) dans Office 365

Introduction

Cette fonctionnalité disponible aussi dans Azure appelé authentification forte ou double authentification permet de renforcer la sécurité d’accès aux ressources web.

L’activation est accessible par le centre d’administration office sur l’onglet utilisateurs actifs, le lien « gérer l’authentification multi-facteur » se trouve en bas de page après sélection de l’utilisateur.

administ

Mise en place

Dans la liste des utilisateurs sélectionner un ou plusieurs utilisateurs et cliquer sur le bouton activer.

De la même façon sélectionner désactiver pour un utilisateur ayant déjà la fonctionnalité activée.

Le lien “gérer les paramètres” concerne la gestion au niveau de la méthode de contact, des mots de passe d’application ou pour réinitialiser la MFA sur les mobiles reliés.

image

Une fois activé, lors de la première connexion au portail Office l’utilisateur entre son identifiant et mot de passe habituel (1ère authentification). Un message avertit de la mise en place d’une procédure supplémentaire de sécurité.

image

La configuration commence et il faut choisir entre 3 méthodes de contact. Nous allons les tester les 3 et garder notre préférée. 

Méthode de contact 1 : L’appel.

L’appel téléphonique (Microsoft US) vers un mobile ou bureau: un message audio vous demande d’utiliser la touche # pour confirmer la demande d’accès.

imageimageimage

image

La configuration est terminée (étape 3). Vous recevez un code précieux valable sur vos applications client lourd comme Outlook MailOs Skype etc. à utiliser en lieu et place du mot de passe habituel.

Je vais donc l’utiliser pour configurer Outlook. Et pour Skype, il suffit de se déconnecter et se reconnecter avec le nouveau mot de passe de 16 caractères.

imageimage

Vous pouvez changer d’avis et vouloir utiliser la méthode par SMS ou application mobile !

Il faudra passer par une réinitialisation de la méthode de contact ou ponctuellement utiliser le lien autre option de contact.

Méthode de contact 2 : Validation par SMS

Tout ce passe à l’étape 1.

image image

Un code numérique à 6 caractères vous parvient et doit-être reporté dans le champs de vérification pour validation.

Notez aussi la possibilité d’espacer la 2ème vérification tous les 30 jours.

Méthode de contact 3: Validation par application mobile.

A l’étape 1, vous choisissez application mobile puis cliquez sur le bouton configurer.

image

Vous aurez besoin de l’application Azure Authenticator et de l’application Barcode Scanner pour lire le QR Code.

Soit vous ajouter manuellement un compte dans l’application mobile Authenticator en saisissant le code de 9 caractères puis l’URL complet, ou en sélectionnant analyser le QR Code.

L’application mobile génère un code numérique à 6 caractères qui doit-être reporté dans le champs de vérification avant la fin du temps imparti pour valider l’accès.

L’application mobile peut aussi générer un message pop-up “Approuver” ou “Refuser”.

C’est la méthode que je préfère, pas de code à reporter juste un clic sur Approuver !

image image image

Attention !

Le signalement provoque l’inaccessibilité au compte dans l’immédiat et peut-être le “bannissement” du mobile utilisé (à confirmer).

Car pour le moment impossible de configurer à nouveau la MFA sur le mobile pour cet utilisateur. Même après une réinitialisation des paramètres ou la désactivation-réactivation de la fonctionnalité, cet utilisateur devra se passer de MFA pour de nouveau avoir accès au ressources! Ou changer de mobile?! ou de numéro de téléphone.

Cortana – Rechercher dans Windows 10

Comment désactiver la recherche Web ou paramétrer rapidement Cortona

Par défaut Cortana est paramétrée sur « recherche web et dans Windows ».

clip_image002 clip_image004 imageimage

Pour en revenir à une recherche locale nous allons désactiver les fonctions non désirées, pour obtenir des résultats uniquement sur les applications et les fichiers de Windows.

Ouvrir « Paramètres » et faire une recherche sur Cortana ou Cliquer sur l’icône « Rechercher » et sélectionner l’icône « Paramètres »

Vous pouvez alors désactiver la recherche web entre autres.

Maintenant retrouver facilement vos applications en commençant à taper Wor ou Exce ou solit…

Utilisation de PrintBrm - Migrer un serveur d'impression 2008 R2 vers 2012 R2 [Retour d'expérience]

 

Cet outil permet d'exporter les imprimantes et ses pilotes d'un serveur à un autre tout en maintenant les paramètres.
Aussi simple d'utilisation que PrintMig, sur les plateformes antérieurs à Windows Server 2008-Windows Vista.
Le chemin de l'outil sur Windows Server 2012 R2 et Windows 10 
C:\Windows\System32\PrintBrmUi.exe (mode graphique) et
C:\Windows\System32\spool\tools>PrintBrm.exe (ligne de commande)

Mon serveur d'impression source est Windows Server 2008 R2 et la destination est un Windows Server 2012 R2.

Etape 1 - L'exportation à partir du serveur source.


Dans le menu déroulant en mode graphique, exporter vers un fichier. La liste complète d'imprimante est utilisée.

clip_image002

Un fichier de quelques centaines de Mo avec extension .printerExport est crée et sauvegardé à l’emplacement voulu.

Etape 2 - L'importation sur le serveur de destination.

La procédure est inverse.

> Importer les imprimantes depuis un fichier. Le fichier sélectionné est celui crée à l'étape précédente.

clip_image004

Etape 3 - Gestion d'erreurs

Lors de la première importation toutes les imprimantes n'ont pas été migrées à cause d'une série d'erreurs.

Justement une fois l'importation terminée, des erreurs sont signalées dans l'observatoire d'évènements, principalement dues aux pilotes.

clip_image002[4]

clip_image003

clip_image005

Les pilotes importés ne sont pas compatibles avec l'architecture du serveur cible et ou Les pilotes natifs sont manquants Event ID 81, 22, 20, 18.

Le port de communication de certaines imprimantes est modifié par une redirection vers un fichier. (Queue d'impression d'une imprimante USB et partagée à partir d'un poste client)

Contournements ou résolutions

En uniformisant l'isolement du pilote, définir "aucun" au lieu de "partagé".

Installer en amont des pilotes récents et compatibles au serveur cible avant l’export, ou disposer de pilotes natifs ou constructeurs sur le serveur cible.

Les queues à destination d'imprimantes installées en USB sont à vérifier, un problème connu ne permet pas à PrintBrm de déterminer la disponibilité du chemin réseau relatif au port USB cible.

D’autres détails sur les Event ID de PRINTBRM https://technet.microsoft.com/en-us/library/cc773846%28v=ws.10%29.aspx

A la deuxième tentative 99% des queues actives sont migrées.

Windows échoue à se connecter à l’imprimante

Symptômes :

Lors du rapatriement des pilotes un bug se produit et l’assistant s’interrompt (imprimante réseau couleur).

« Windows cannot connect to the printer. Operation failed with error 0x0000007e ».

imageimage

                            image

Ce problème survient lorsque qu’on tente d’ajouter une imprimante couleur sur un poste client Windows 7 rattaché à un serveur d’impression Windows 2003 ou Windows 2008.

Deux solutions de contournements fonctionnent car le problème est connu par Microsoft mais sans correctif pour le moment.

· Le premier s’opère sur le poste client, et consiste à installer l’imprimante en utilisant le port LPT2, puis d’utiliser une commande de redirection

                             clip_image002

· Le deuxième consiste à modifier une clé de registre sur le serveur d’impression. Puis de se connecter à l’imprimante.

Regedit> HKLM\System\CurrentControlSet\Control\Print\Printers\printername\CopyFiles en renommant le répertoire CopyFiles par xCopyFiles. Ce répertoire n’existe que pour une imprimante couleur.

clip_image003

Les deux solutions fonctionnent instantanément. Mais il est beaucoup plus rapide de modifier le répertoire défaillant directement dans la base de registre pour toutes les imprimantes concernées.

Problème de pilote x86 sur une architecture x64

Problématique rencontrée :

Lorsque l’on veut ajouter un pilote supplémentaire x86 de type NT/2K/XP à une imprimante sous 2008R2, un message vous avertit que « Windows ne trouve pas de pilotes pour l’imprimante dans le répertoire sélectionné pour l’architecture demandé ».

Les pilotes x64 existent déjà dans Windows, mais celui-ci refuse d’y ajouter les homologues x32.

image

Le problème est dû au nommage des imprimantes qui peut être différent  dans server 2008R2 par rapport au package de pilotes d’origine sur 2K/XP.

Ce problème toucherait les imprimantes dont les pilotes ne sont plus mis à jour pour les OS postérieurs à XP ou Vista, par les constructeurs.

Solution testée : Une HP LaserJet 1320 est nommées HP LaserJet 1320 series  sur NT/2K/XP alors que Server 2008 R2 reconnait les pilotes si le mot « series » disparait.

Pour que le pilote x86 d’une HP Laserjet 2200 series PCL 5e soit accepté sur Serveur 2008 R2 il faut que celui-ci désignent une HP Laserjet 2200 series PCL 5 simplement.

Capture0

Pour cela il faut récupérer les pilotes authentiques NT/2K/XP x86, dé zipper, modifier le fichier .inf en renommant l’ancienne appellation de l’imprimante par celle attendu par Windows.

Capture2

Après un petit message d’avertissement le pilote est installé, ce qu’on peut vérifier dans le gestionnaire d’impression.

image

Cette astuce permet d’utiliser le pilote d’origine si de plus récent de type PCL 6 ou HP Universelle existe et ne donne pas satisfaction.

Faille de sécurité Microsoft exploitant les raccourcis

 

Cette grosse faille de sécurité a été publiée par Microsoft le 16 juillet dernier ( CVE-2010-2568 ). Elle exploite le mode de fonctionnement des raccourcis ( ".LNK" ) sur tous les OS Windows. Bien sûr la mise à disposition du patch correspondant sera annoncée dans le bulletin de sécurité :http://www.microsoft.com/technet/security/advisory/2286198.mspx.

L’exploitation de cette faille se traduit par le fait, qu’un malware puisse s’exécuter par le biais du détournement du mécanisme d’affichage d’icône.

Cette vulnérabilité est exploitable localement par disque amovible ou via des partages réseaux et WebDAV

Il n'existe pas de correctif à ce jour. Mais en attendant des solutions de contournement recommandées par Microsoft peuvent-être mises en place.

La désactivation de l'affichage d'icône pour les raccourcis peu ainsi limiter les risques d’exploitation de cette faille. Cette solution affiche les icônes en blanc par défaut. Pour se faire il est nécessaire depuis l’éditeur de registre, de rechercher dans la ruche HKEY_CLASS_ROOT, IconHandler afin de modifier sa valeur par défaut par 0 après l’avoir exporté pour revenir à la valeur précédente dès la sortie d’une mise à jour.

Autre solution de contournement la désactivation du service WebClient se fait en passant par le gestionnaire de l’ordinateur ou en exécutant services.msc

Enfin troisième solution le blocage du téléchargement des fichiers LNK et PIF depuis Internet est recommandé. 

La liste des systèmes Windows concernés et supportés s'étend de Windows XP SP3 à Windows Serveur 2008R2.

Notez que des éditeurs d’antivirus (Sophos, Eset) ont déjà répertorié Stuxnet depuis mi-juillet exploitant cette vulnérabilité.

MAJ: Le 3 Aout Microsoft apporte une réponse par la mise en ligne de l'update KB2286198 annoncé dans le bulletin de sécurité suivant http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx