PI Services

Le blog des collaborateurs de PI Services

Active Directory – Gestion des photos d’identités

L’annuaire “Active Directory” permet d’ajouter une photo afin d’identifier un utilisateur

via des clients tel que Outlook ou Lync.

Pour la gestion des photos on peut s’aider d’utilitaire tel que CodeTwo Active Directory Photos.

On peut récupérer cet outils ici :

https://www.codetwo.com/freeware/active-directory-photos/

L’installation est très simple:

clip_image002

clip_image004

clip_image006

clip_image008

clip_image010

L’utilisation est très simple également.

clip_image012

La photo est “stockée” dans l’attribut “thumbnailPhoto”

clip_image013

Il est important que cet attribut soit répliqué.

A vérifier selon la version d’Exchange.

clip_image015

Ajoutez les photos des collaborateurs.

clip_image017

clip_image019

L’attribut “thumbnailPhoto” est renseigné.

clip_image021

Et voilà le résultat sous Outlook.

clip_image022

Windows – Powershell Gestion des groupes d’un ordinateur.

 

Dans la gestion des groupes dont est un ordinateur est membre un administrateur doit parfois ajouter les groupes de cet ordinateur vers un second.

Voici une ligne de commande réalisée avec l’outil Quest Activeroles qui permet de réaliser cette action.

Get-QADComputer SRVPROD -searchroot 'DC=source,DC=com' | Get-QADMemberOf | where name -ne 'Domain Computers ' | Add-QADGroupMember -Member 'TESTSERV' -Service DCSYS001.target.com

Dans cet exemple on extrait les groupes dont le serveur SRVPROD est membre du domaine source.com .On exclu le groupe « Domain Computers » et pour finir on ajoute les groupes au serveur TESTPROD du domaine target.com.

On peut également avoir besoin d’exporter les groupes dans un fichier CSV.

L’attribute ‘MemberOf’ est de type « multivalued »

Get-QADComputer SRVPROD -searchroot 'DC=source,DC=com' | select-object @{n='memberOf';e={$_.MemberOf -join ';'}} | export-csv d:\"$server"_2.csv -NoTypeInformation -Force -Delimiter ";"

Afin d’extraire tous les groupes on doit utiliser une syntaxe particulière on utilisant la fonction JOIN : @{n='memberOf';e={$_.MemberOf -join ';'}} .

Windows – Changement de domaine Active directory d’un poste connecté en VPN.

 

Comme toute migration ou changement de domaine d’un poste de travail cette opération doit rester la plus transparente possible pour l’utilisateur final.

Cet article aborde la migration d’un poste connecté au réseau d’entreprise par un VPN.

Dans cette situation ce n’est pas la migration du poste qui pose une difficulté, mais l’impossibilité pour l’utilisateur de pouvoir ouvrir une session sur son poste.

Les informations d’authentification du compte (en cache) du domaine Active Directory qu’on peut utiliser même si le domaine n’est pas disponible, ce qu’on décrit comme le mode hors connexion, ne sont plus disponibles après le changement du domaine.

Par défaut Windows 7 cache jusqu’à dix comptes.

Le cache est enregistré dans la ruche suivante : HKEY_LOCAL_MACHINE\SECURITY\Cache.

clip_image002

Pour accéder à cette ruche il faut utiliser un outil tel que PsExec de SysInternal afin de débloquer l’accès.

La ligne de commande est la suivante : psexec -i -d -s c:\windows\regedit.exe

Après le changement de domaine les données mentionnées dans les valeurs NL$ seront supprimées (remises à zéro).

L’utilisateur ne peut donc plus ouvrir de session !

Pour ma part j’ai eu à traiter des utilisateurs travaillant dans des coins très reculés.J’ai eu part exemple le cas d’un VIP travaillant en Australie à plus de 3000 kms d’une agence disposant d’un réseau connecté à l’entreprise. La marge de manœuvre est quasiment nulle…

Pour contourner ce problème je propose deux techniques.

La première technique consiste à démarrer la connexion VPN donc l’authentification avant l’authentification Windows.

Il faut donc avant la migration configurer le client VPN afin qu’il se lance avant l’authentification Windows.

Sur les clients VPN récents de CheckPoint l’option Enable Secure Domain Logon permet ce mécanisme.

clip_image004

Vous verrez un icône supplémentaire dans la fenêtre d’authentification Windows.

Pour information cette option pour le client CheckPoint sur Windows XP n’est pas fonctionnelle.

La seconde technique si l’on ne souhaite pas ou si l’on ne peut pas démarrer la connexion VPN avant l’authentification Windows, consiste à ouvrir une session locale puis à lancer une application qu’on exécute en tant que avec son compte de domaine. Bien entendu la connexion VPN doit être démarrée.

En résumé :

· Création d’un compte local (admin si possible, bien utile pour se sortir de situation délicate) avant la migration.

· Après migration, authentification avec ce compte local.

· Lancer le VPN.

· Lancer une application. Exécuter en tant que (ex Notepad) avec son compte de domaine. (Pour information le RunAS ne fonctionne pas sous XP).

· Fermer la session et ouvrir une session avec son compte de domaine Active Directory.

Le VPN n’étant pas démarré, les informations mis en cache lors du lancement de Notepad exécuté « En tant que » précédemment seront utilisées.

La migration sous un VPN étant très délicate il faut bien entendu bien valider son processus avant de passer au concret.

Je conseille fortement quel que soit le scénario, de créer un compte local admin et de faire installer un outil tel que Team Viewer qui s’affranchit de l’adresse IP pour l’aide à distance.

Performance Analysis of Logs (PAL) TOOL.

 

L’analyse de problème de performance d’un serveur, de performance d’une application client/serveur se fait par la mise en place de compteurs de performance.

L’analyse est souvent fastidieuse, quels compteurs mettre en place? interprétation des résultats? seuils d’alertes? etc..Bref souvent décourageant Fâché.

CODEPLEX fournit un outil qui permet d’interpréter ces résultats et de fournir un rapport.

Voici le lien pour le téléchargement et son installation:

http://pal.codeplex.com/

L’utilisation est assez simple.

Mettez en place toute une batterie de compteurs à analyser et collectez les informations pendant un temps donné.

Lancez l’outils:

image

image

Cliquez sur Next.

image

Sélectionnez votre fichier de log, puis cliquez sur Next.

image

Dans le menu Déroulant Threshold file title, sélectionnez l’application que vous souhaitez analyser, puis cliquez sur Next.

image

Répondez au questionnaire, puis cliquez sur Next.

image

Choisissez le temps de l’intervalle d’analyse. Cochez éventuellement “Process all…..”, puis cliquez sur Next.

image

Configurez le format de sortie, puis cliquez sur Next.

image

Cliquez sur Next.

image

Vous pouvez modifier la valeur “Threading” si vous le souhaitez. Cliquez sur Finish.

L’analyse est cours:

image

Et voilà:

image

image

Dans cette analyse aucune “alerte” n’a été détectée, signe de bonne santé du serveur Pouce levé

Bonne analyse.

EXCHANGE 2013 – Configurer “AutoReseed'” pour un DAG

AutoReseed est une fonction qui permet de restaurer rapidement la redondance des bases de données après une défaillance du disque. En cas de défaillance du disque, les copies de bases de données stockées sur celui-ci sont automatiquement réamorcées sur un disque de rechange sur le même serveur de banque d’information.

La mise en place de cette fonctionnalité repose sur trois points de montage (mount point) ainsi que de disposer de trois disques dur par serveur.

image

 

La structure des points de montage permet au répertoire C:\EXDB\DB01 et au répertoire C:\EXVOLS\Volume de présenter les mêmes données.

En cas de défaillance du disque E, le point de montage C:\EXDB\DB01 sera associé au disque F automatiquement.

clip_image002

La Configuration du D.A.G doit être adaptée.

Les attributs ci-dessous sont à paramétrer:

AutoDagDatabasesRootFolderPath : configure le chemin qui contient les bases à protéger. C:\EXDB dans notre cas.

Set-DatabaseAvailabilityGroup DAG-2013 –AutoDagDatabasesRootFolderPath « C:\EXDB »

AutoDagVolumesRootFolderPath : configure le chemin pour les points de montage des volumes des bases et du volume de « spare ». C:\EXVOLS dans notre cas.

Set-DatabaseAvailabilityGroup DAG-2013 –AutoDagVolumesRootFolderPath « C:\EXVOLS »

AutoDagDatabaseCopiesPerVolume: configure le nombre de copie de base par volume.

Set-DatabaseAvailabilityGroup DAG-2013 –AutoDagDataBaseCopiesPerVolume 1

clip_image004

Dans le répertoire EXVOLS créez deux dossiers

Volume1 sera le point de montage pour la base

Volume2 sera le point de montage pour le disque de « spare »

C:\EXVOLS\Volume1

C:\EXVOLS\Volume2

Ajoutez les points de montage

clip_image006

Cliquez sur Add

clip_image008

clip_image010

Idem pour Volume2 (à réaliser sur le second disque)

Ce qui donne

clip_image012

Mappez le dossier qui contiendra la base de données

C:\EXDB\DB01 au volume1

On peut utiliser MountVol.exe

clip_image014

Faire un point de montage sur le disque qui contient C:\EXVOLS\Volume1

clip_image016

clip_image018

On voit ce résultat

clip_image020

Créez  la structure de la base

clip_image022

ATTENTION : la structure doit être rigoureuse, elle doit respecter le nommage de la base.

Je l’ai subi à mes dépens…..

clip_image024

La création des dossiers dans EXDB\DB01 se reflète sur le point de montage EXVOLS\Volume1.

Créez une base avec une copie passive sur le second serveur du DAG.

Pour vérifier le mécanisme je vais simuler une défaillance du disque dur on le mettant “offline”

clip_image026

Lorsqu’on sélectionne “Volume1” l’accès est en échec.

clip_image028

La vérification de l’état de la base montre un statut “FailedAndSuspended”

clip_image030

Ne vous attentez pas à voir “AutoRessed” à réagir immédiatement comme la bascule qui a été quasiment immédiat du noeud actif vers le noeud passif, il faut attendre que le process MS Exchange Replication ait contrôlé le statut des bases, process qui s’effectue toutes les 15 mn.

clip_image032

On voit donc qu’après ce délai la banque sur le serveur revient en “Healthy”, puis le “ContentIndex” également. La défaillance est donc corrigée.

clip_image034

Regardons les évènements dans « Seeding »

clip_image036

Vous verrez de nombreux évènements liés au « seeding ».

clip_image038

Vérifiez les points de montages :

Pour rappel, avant :

clip_image039

Après le disque « failure »:

clip_image041

On constate que le répertoire C:\EXVOLS\DB01 est maintenant monté sur le disque F

Remplacez le disque défectueux.

Remarque : le répertoire C:\EXVOLS\Volume1 n’existe plus.

clip_image043

Recréez ce dossier

clip_image045

Recréez le point de montage

clip_image047

clip_image049

Vérifions avec MOUNTVOL

clip_image051

Le disque remplacé devient donc le disque de « SPARE »

Volume1 reste vide.

clip_image053

L’avantage de cette technologie est de réduire les couts concernant la mise en œuvre de technologie RAID, et permet également de ne pas déployer un troisième serveurs pour supporter une troisième copies de base, le volume de « spare » jouant ce rôle.

Certes dans cet exemple sachant qu’il faut trois disques et que l’on protège qu’une banque, l’intérêt est limité car on préfèrera sans doute mettre en œuvre du RAID.

L’intérêt économique sera mis en évidence lorsqu’on protègera plusieurs banques.

Threat Management Gateway 2010 SP2 – Logs.

L’utilitaire “Logging Task” sous TMG 2010 est souvent nécessaire pour rechercher

des informations, pour dépanner, etc…

Ayant rencontré de fréquents problèmes lors de recherches “passées”, j’ai travaillé

avec Microsoft pendant plusieurs mois sur ce problème. Les multiples analyses

ont amené Microsoft à écrire un correctif privé (Unofficial RU).

Ce correctif devrait pris en compte par le prochain RU (RU4 ?).

image

Exchange 2010–Queue Viewer

En observant les files d’attentes d’un serveur de transport on peut parfois observer une

file en mode “suspended” ne contenant aucun message dont le “delivery type” est

“DnsConnectorDelivery”. La présence de ce type est compréhensible lorsqu’un connecteur

utilise un serveur DNS pour connaitre la passerelle distante, dans mon cas il n’y a que des

connecteurs utilisant une remise vers un “smarthost” !

 

clip_image002

Quoiqu’il en soit supprimons cette file.

Passez la file en mode “resume”. Elle va passer en “ready”:

clip_image002[5]

Redémarrez le service MS Exchange Transport.

Relancez la console Queue Viewer.

clip_image002[7]

La file a disparue.

ForeFront Protection 2010 for Exchange server.

 

Ayant observé des échecs de mise à jour du moteur VirusBuster, j’ai donc effectué

quelques recherches.

Microsoft ne travaille plus avec cet éditeur. Il est donc fortement recommandé de désactiver

la mise à jour et l’utilisation de ce moteur.

clip_image002

Voici ce que l’on peut lire sur le site de VirusBuster.

image

Désactivons cet antivirus:

clip_image002[5]

Quitter la console en sauvegardant.

 

Un peu plus tard….

clip_image002[7]

Voilà, tout est au vert.

Exchange 2010 - Liste de distribution

Après avoir créé une liste de distribution vous souhaitez l’ajouter sur une autorisation de

partage d’un dossier public:

image

Vous constatez que la liste ne peut être ajoutée et est marquée du “panneau accès interdit”.

Cela est dû au fait que la liste est du type Mail Universal Distribution group.

image

On doit donc la convertir via la console ADUC ou par une commande powershell

Active Directory :

image

image

Le groupe de distribution est maintenant de type “sécurité”.

Patientons quelques minutes (réplication AD) puis ajoutons l’autorisation

sur le dossier public:

image

Oups, le problème est toujours présent Triste

Vérifions le RecipientTypeDetails

image

Celui-ci est bien du type MailUniversalSecuritygroup !!!

Regardons l’attribut msExchRecipientDisplayType. Celui-ci à la valeur 1.

Ce qui correspond à un “mail universal distribution group”.

La modification réalisée dans l’interface graphique n’a donc pas été prise en compte.

image

Pour corriger le problème il faut utiliser la commande PowerShell Set-DistributionGroup

image

Vous pouvez rencontrer ce type d’erreur, pas de panique Sourire, rajoutez l’option

-MemberDepartRestriction Closed

 

image

Regardons de nouveau l’attribut msExchRecipientDisplayType:

image

La valeur est maintenant 1073741833 ce qui correspond à un “mail universal security group”.

                                                  **************

image

                                          *********************

Essayons de nouveau d’ajouter ce groupe sur les droits du dossier public:

image

Et voilà, mon groupe de distribution est disponible.

A ce jour ce disfonctionnement n’est pas considéré comme “bug” chez Microsoft .

Active Directory Replication Status Tool

Pour vérifier la santé de l’Active Directory on utilise habituellement un outil

en ligne de commande tel que  REPADMIN.

Microsoft met à disposition un outil graphique, Active Directory Replication Status Tool.

Cet outil s’installe sur plusieurs version d’OS Windows (prérequis .Net Framework 4.0).

Après installation de l’outil, lancez la console.

image

Cliquez sur Refresh Replication Status

Ce type de résultat est retourné:

image

Dans ce cas il n’y a pas d’erreur.

En fonction des erreurs liées au “Tombstone LifeTime”, les informations prendront une couleur diffèrente.

Pour rappel le “Tombstone LifeTime” est de 180 jours depuis Windows 2003 SP1.

On peut modifier les colonnes à afficher par un clique droit dans l’une des colonnes :

image

Le rapport peut être exporté:

image

N’hésitez pas à installer cet outil que vous pourrez télécharger depuis ce lien:

http://www.microsoft.com/en-us/download/details.aspx?id=30005.