Le blog technique

Toutes les astuces #tech des collaborateurs de PI Services.

#openblogPI

Voir tous les articles

Retrouvez les articles à la une

Powershell : Limite de requête Active Directory via ADWS

par | 22 Déc 2017 | , ,

Problème

Lors de l’utilisation d’un script qui génère plusieurs requêtes depuis plusieurs serveurs en simultané afin d’alimenter une banque de données, je me suis heurté au message d’erreur suivant :

>get-adcomputer : A connection to the directory on which to process the request was unavailable. This is likely a 
transient condition.
At C:\temp\Fusion.ps1:97 char:1
+ get-adcomputer -Filter {DNSHostName -eq $FullName} -Properties OperatingSystem | Select-Object -Property N ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Get-ADComputer], ADException
    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADComputer

Explication

Cette erreur est liée aux valeurs par défaut du service « Active Directory Web Services » définies dans le fichier de configuration sur les DC sous : 

>C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config

En effet si vous éditez le fichier de configuration vous pourrez voir que par défaut le maximum de connexions LDAP par utilisateur est de 5.

<pre class="wp-block-syntaxhighlighter-code"><add key="MaxConnectionsPerUser" value="5" /></pre>

Ce qui signifie que je ne peux exécuter plus de 5 connexions en simultanée via Active Directory Web Services avec les même identifiants.

Il est possible de modifier cette valeur, mais cette action n’est pas recommandée car elle peut avoir un impact sur les performances de l’AD.

Si toutefois vous souhaitez la modifier, certaines précautions sont à prendre; il est clairement précisé dans le fichier de configuration que la valeur de « MaxConnectionsPerUser » ne peut pas être plus grande que la valeur de « MaxPoolConnections », il faudra donc aussi prendre en compte la valeur suivante :

>

Cette dernière spécifie que le nombre maximal de connexions LDAP, pour chaque instance de service d’annuaire prise en charge par le service ADWS s’exécutant sur un serveur.

Il peut être aussi intéressant de regarder la valeur de la clé ci-dessous : 

>

Celle-ci permet, de spécifier le pourcentage maximal de connexions LDAP pouvant être utilisées pour effectuer des requêtes pour chaque instance de service d’annuaire prise en charge par le service ADWS sur un serveur.

 

Attention :

Même s’il est possible de modifier les paramètres ci-dessus, Microsoft ne le préconise pas (cf: note ci-dessous) :

>Plusieurs paramètres de configuration du service ADWS affectent la limitation de la bande passante sur un serveur Windows Server 2008 R2 sur lequel le service ADWS est en cours d'exécution.
Nous recommandons aux administrateurs de modifier les valeurs par défaut des seuls paramètres suivants:
MaxConcurrentCalls, MaxConcurrentSessions, MaxReceivedMessageSize et MaxStringContentLength.

 

Compléments d’informations:

https://technet.microsoft.com/en-us/library/373e68b3-abfc-4da4-ae89-72a15cfc7543

Stratégies de groupe : Activation du fichier gpsvc.log (Partie 1/3)

par | 21 Déc 2017 | , ,

Bonjour à tous !

Aujourd’hui nous allons aborder la résolution de problèmes d’application des stratégies de groupe (coté poste client) et plus précisément la partie avancée de cette résolution.

Débug usuel

Habituellement, il faut passer par l’Observateur d’Evènements du poste client afin d’obtenir plus de détails sur l’application des stratégies de groupe.

Deux sections peuvent vous intéresser :

  • Journaux Windows/Système
    • Le niveau de détail est assez limité mais c’est un bon point de départ
    • Vous pouvez filtrer les événements par les sources pour ne garder que les parties intéressantes

  • Journaux des applications et des services/Microsoft/Windows/GroupPolicy
    • Est beaucoup plus détaillé
    • Ne contient que les evènements stratégies de groupe

Mais parfois, il peut s’avérer que les informations remontées par ces logs ne soient pas assez précises pour trouver la vraie cause du problème.

Débug avancé

Les messages d’état détaillés

Une première étape concerne l’activation des Messages d’état détaillés sur le poste client.
Ces messages détaillés vont afficher le détail des étapes de démarrage ou d’arrêt d’un poste.
On retrouvera dans ces messages le déroulement de l’application des GPO à l’ouverture d’une session utilisateur.
Ce n’est pas forcément très verbeux mais cette option est utile pour voir sur quelle section l’application des GPO bloque ou prend du temps.
L’activation de ce paramètre se fait par GPO ou GPEdit :

Le fichier gpsvc.log

Une deuxième étape concerne l’activation du fichier gpsvc.log.
Ce fichier va contenir toutes les étapes et tous les détails de l’application des GPO sur un poste, du démarrage du poste au bureau de l’utilisateur.
C’est aussi le cas lors d’un rafraîchissement manuel des GPOs par un GPUpdate.
 
Voici la procédure pour activer ce log :
  1. Ouvrez l’éditeur de registre avec la commande Regedit
  2. Dépliez la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion
  3. Crééz une nouvelle clé Diagnostics si elle n’existe pas
  4. Crééz une nouvelle valeur DWORD (32-bit) GPSvcDebugLevel
  5. Modifiez la valeur GPSvcDebugLevel par la valeur 30002 (Hexadecimal)
  6. Fermez le Registre
  7. Crééz le dossier Usermode si celui-ci est absent du dossier C:\Windows\Debug\
  8. Lancez la commande Gpupdate /force
  9. Le fichier gpsvc.log doit se créer

Astuce : Une fois le fichier activé, sur Windows 7/Windows 2008 R2 ou en-dessous, il peut arriver que plusieurs threads concurrents écrivent en même temps dans le fichier, occasionnant des pertes d’informations.
Dans ce cas, il est recommandé de séparer le rafraîchissement des paramètres ordinateurs et utilisateurs avec la commande Gpupdate /force /target:computer ou Gpupdate /force /target:user
 
Une fois le fichier créé, il faut maintenant l’analyser. Ce sera l’objet d’une deuxième partie.
 

Le client Outlook n’arrive plus à accéder à la GAL sur Exchange Server 2013

par | 10 Déc 2017 | , , ,

Problème:

Les clients Outlook n’arrivent plus à accéder à la GAL sur Exchange, et donc les utilisateurs sont dans l’incapacité d’ajouter des salles de réunions ou de rechercher contacts qui ne sont pas dans leur cache Outlook. Le client se fige et le message d’erreur suivant apparait après quelques dizaines de secondes:

Troubleshooting:

  • Vérification des journaux d’événements .
  • Vérification de la réplication AD et Exchange.
  • Régénération de l’OAB et MaJ de la GAL. 
  • Déplacement de la boite mail contenant l’OAB vers un autre serveur.
  • Entrée dans le fichier host pour pointer directement sur le serveur hébergeant l’OAB.
  • Test d’accès sur l’URL EWS et l’URL OAB.
  • Vérification des logs IIS.

 

Solution:

Des erreurs 401 étaient retournées depuis le serveur dans les logs IIS. Pour résoudre cette erreur il a fallu redémarrer les services IIS, puis les services « RPC Client Access » et « MS Exchange Throttling », puis de nouveau redémarrer les services IIS.

 

Derniers articles

Catégories

Archives

Auteurs/Autrices