Le blog technique

Toutes les astuces #tech des collaborateurs de PI Services.

#openblogPI

Voir tous les articles

Retrouvez les articles à la une

SCCM : Failed To Run Task Sequence on Hyper-V VM Generation 2

par | 7 Mar 2019 | , , ,

Les messages d’erreur sont parfois frustrant par exemple celui ci-dessous:

En plus de ne pas être des plus explicit, une multitude de cas sont exposé sur internet avec des code erreur divers et variés.

Sans l’accès au log tout devient plus dificile, dans le cas de figure ici présent j’ai voulu déployer une VM de génération 2 sous Hyper-V via un média de boot (clés USB), je pensais que j’allais y passer des heures, mais en fait non 10 minutes tout au plus.

1 – Les causes

Les VM de génération 2 sous Hyper-V, ont par défaut le Secure boot activé.

Le secure boot est une fonctionnalité qui vérifie que le « Boot Loader » est signé par une autorité de confiance de la base UEFI pour empêcher l’exécution non authorisé d’un « Firmware », « OS » ou « Driver »  au démarrage.

Sauf que dans notre cas cela nous empêche de créer la partition pour le « Staging » du WinPe.

2 – Les solutions

désactivez le secure boot.

  1. Lancez Hyper-V management.
  2. Sélectionnez votre VM.
  3. Faites un clic droit « Properties« .
  4. Dans « Settings for xxxxxx on xxxxxx » sélectionnez « Security« .
  5. décochez la case « Enable Secure boot« .
  6. Validez.

 

Créez une partition UEFI.

En cherchant dans les logs on pourrait trouver l’erreur suivante « Unable to find the partition that contains the OS boot loaders. Please ensure the hard disks have been properly partitioned« .

  1. Après avoir désativer le sécure boot, démarrez votre VM et faites « F8 » durant le démarrage.
  2. Dans l’invite de commande exécutez les commandes suivantes:
    1.  Diskpart (lancez l’utilitaire Diskpart)
    2. List Disk (Listez les disque)
    3. Select disk 0 (sélectionnez le disque 0 qui représente le disque système de la VM)
    4. Clean (permet d’effacer les données)
    5. Convert gpt (permet de convertir le disque)
    6. Create partition efi size=200 (création d’une partition Efi)
    7. Assign letter=s (Assignez un lettre disponible à la partition)
    8. Format quick fs=FAT32 (Formatez la partition)
    9. Create partition msr size=128 (création d’une partition msr)
    10. Create partition primary (création d’une partition Windows)
    11. Assign letter=c (Assignez la lettre C)
    12. Format quick fs=NTFS (Formatez en NTFS)
    13. Exit (quittez Diskpart)
  3. Normalement vous devriez maintenant pouvoir lancer la séquencce de tâche sans encombre.

 

Hyper-V : Arreter une VM bloquee (Version Powershell)

par | 4 Mar 2019 |

Bonjour à tous,

Voici une version Powershell du billet suivant : https://blog.piservices.fr/post/2014/12/17/HyperV-2012-R2-Arreter-une-VM-bloquee

Symptomes :

Des actions lancées sur vos VMs (une extinction par exemple) ne s’éxécutent pas.

Le probleme reste présent quelque soit l’outil utilisé (Hyper-V Manager, Failover Cluster Manager ou encore SCVMM).

La VM est donc dans un état instable et il peut etre necessaire de la redémarrer malgrès que celle-ci ne répond plus du tout à aucune action.

Parfois, vous pouvez avoir un status plus explicite sur l’état de la VM via le Failover Cluster Manager, celle-ci sera marquee comme Locked.

Solution :

Il faut tuer le processus VMWP.exe correspondant à la VM directement sur l’hote Hyper-V concerné.

La version Powershell a l’avantage de sa rapidité (vous pouvez le faire en RemotePS directement) ainsi que de minimiser le risque d’erreurs de manipulation (Le GUID n’étant pas un identifiant des plus lisible).

Voici les commandes :

$VMGUID = (Get-VM VM_Name).ID
$VMWMProc = (Get-WmiObject Win32_Process | ? {$_.Name -match 'VMWP' -and $_.CommandLine -match $VMGUID})
Stop-Process ($VMWMProc.ProcessId) –Force

A bientot !

Introduction à Microsoft Advanced Threat Analytics

par | 27 Fév 2019 |

ATA

Advanced Threat Analytics (ATA) est une plateforme OnPremise qui permet d’analyser l’ensemble des actions effectuées (accès à des ressources, verrouillage de compte, déplacement latéral…) avec des comptes Active Directory.

ATA fonctionne avec un serveur central qui récupère l’ensemble des logs des contrôleurs de domaines.

Ces logs peuvent être récupérés de deux façons :

  • Via un agent installé sur les DC (nommé Lightweight Gateway)
  • Via du port mirroring (nommé Full Gateway)

Ce billet s’intéressera uniquement à la configuration d’ATA avec des Lightweight Gateway.

Mise en place

Prérequis pour les Lightweight Gateway

Pour qu’ATA soit efficace il est impératif d’installer l’agent sur l’ensemble des DC du domaine Active Directory.

Pour la mise en place il faut

  • l’ouverture du port TCP 443 entre les DC et le serveur ATA
  • un compte de service (sans droit d’administration) présent dans l’AD
  • un certificat SSL (optionnel, il est possible d’utiliser un certificat auto-signé pour la console d’administration)

 

Installation du serveur ATA

L’installation du serveur d’administration est très simple et se fait via l’assistant d’installation.

Il est possible de paramétrer le chemin d’installation, le chemin des logs et le certificat qui sera utiliser pour la console web.

image

image

image

image

image

image

La fin de l’installation s’effectue depuis l’interface d’administration web (https://localhost depuis le serveur ATA).

Le compte de service est nécessaire à ce moment pour lire l’AD.

2019-02-01_152514

L’étape suivante consiste à télécharger le setup pour les DC.

2019-02-01_152537

2019-02-01_152547

Installation des Lightweight gateways

L’installation de l’agent sur les DC se fait à travers l’assistant d’installation. Il est possible de paramétrer le chemin d’installation.

2019-02-01_153332

2019-02-01_153525

2019-02-01_153810

2019-02-01_153830

2019-02-01_153911

Une fois l’agent installé, celui-ci démarre automatiquement et le DC est visible dans l’interface d’administration.

Il est nécessaire de modifier la configuration d’un des DC dans l’interface d’administration pour le désigner comme Domain synchronizer candidate.

Tout DC défini comme Domain synchronizer candidat peut être responsable de la synchronisation entre ATA et le domaine Active Directory.

2019-02-01_152654

Analyse

Depuis l’interface d’administration les différentes alertes remontent automatiquement. Celles-ci sont classées par niveau de criticité : High, Medium et Low.

2019-02-27_114458

Il est possible de configurer des alertes mail et/ou d’envoyer l’ensemble de ces logs dans un SIEM.

Derniers articles

Catégories

Archives

Auteurs/Autrices