Réinitialiser un compte machine sur un domaine Active Directory

Les machines inscrites sur un domaine Active Directory ont un mot de passe lié à elles, qui est renouvelé régulièrement (par défaut tous les 30 jours) de manière totalement transparente.
Lorsqu’on travaille sur des clichés de machines pour faire des tests (par exemple un serveur virtuel dont une copie est créée pour faire un test unitaire), il peut arriver que le mot de passe de la machine d’origine ait été réinitialisé depuis la prise du cliché utilisé pour créer la copie. Celle-ci n’étant plus en phase avec ce qui est stocké sur l’annuaire Active Directory, impossible d’ouvrir une session avec un utilisateur du domaine sur la machine copie.
Continuer la lecture de Réinitialiser un compte machine sur un domaine Active Directory

Enregistrer un certificat d’une AC Windows dans un Synology

Pour pouvoir utiliser, dans un environnement de domaine Windows, un certificat généré depuis l’autorité de certification du domaine, il faut plusieurs brique.

D’une part, un accès au serveur faisant office d’autorité de certification de racine pour le domaine.

D’autre part, il faut avoir le logiciel openssl (dans mon cas, je l’ai récupéré ici, il n’y a pas d’installation… Je n’ai pas besoins des sources ici.) sur son poste local afin de travailler les certificats générés par l’AC Windows et les rendre compatibles avec les Synology.
Continuer la lecture de Enregistrer un certificat d’une AC Windows dans un Synology

Changer le nom d’hôte d’un serveur Windows ayant Oracle 11gR2 d’installé

Il y a un certain nombre de chose qu’il faut faire pour permettre le fonctionnement d’Oracle 11gR2 après le changement du nom d’hôte d’une machine, Oracle ayant la superbe idée d’utiliser ce nom de machine un peu partout…
Continuer la lecture de Changer le nom d’hôte d’un serveur Windows ayant Oracle 11gR2 d’installé

Restaurer des sauvegardes client de Windows Server 2012 Essentials avec PXE

C’est possible!
Pas très très simple mais pas non plus trop compliqué à mettre en oeuvre…
Si vous ajoutez « tel quel » les fichiers WIM du support de restauration dans WDS, vous risquez d’obtenir un message d’erreur laconique au démarrage :

test2

En fait, sur le support de restauration (depuis technet il se nomme « fr_client_restore_disc_windows_server_2012_essentials_x86_x64_cd_1022301 »), un dossier est « externe » au fichier WIM de démarrage, et contient le nécessaire pour lancer la restauration. Ce fichier porte un nom barbare, que certains appellent GUID. Dans mon cas il s’appelle : « 785AD7EA-0C16-4F43-8AB5-F2904D22483F »
Continuer la lecture de Restaurer des sauvegardes client de Windows Server 2012 Essentials avec PXE

Limiter la mémoire consommée par Exchange 2010

Le processus store.exe d’Exchange est un pure gouffre à mémoire. Il prend tout ce qu’il peut.

Sur une machine comme un SBS 2011, cela peut vitee devenir problématique vu que tous les services du domaine sont sur un seul serveur.

Evidemment, chez Microsoft, ils sont contre la simplicité, donc en fonction de la version d’Exchange 2010 (avec ou sans SP1), ce n’est pas tout à fait la même méthode (ou plutôt il faut modifier une valeur supplémentaire avec Exchange 2010 SP1).

Ouvrir « adsiedit.msc »

Cliquer droit sur « Modification ADSI » puis « Connexion »

Choisir le contexte « configuration »

modif exchange 1

Aller dans l’arborescence :
Configuration > Services > Microsoft Exchange > « Organization Name » > Administrative Groups > « Administrative Group » > Servers > « Server Name » > InformationStore

Cliquer droit sur InformationStore, puis propriété.

Les données à modifier sont :
msExchESEParamCacheSizeMax (pour Exchange 2010 avec et sans SP1)
msExchESEparamCacheSizeMin (pour Exchange 2010 avec SP1 uniquement)

Le nombre à entrer correspond au nombre de page de mémoire, qui représentes chacune 32ko de mémoire (pour Exchange 2010, pour Exchange 2007 c’est 8ko de mémoire).
Par exemple, pour limiter à 4go l’espace occupé en mémoire par store.exe, il faut renseigner msExchESEParamCacheSizeMax avec la valeur 131072 (4go = 4194304ko, 4194304/32=131072)
La valeur msExchESEparamCacheSizeMin peut être renseignée avec une valeur assez basse, 256 par exemple (256 pages = 256 x 32ko = 8mo)

Source 1
Source 2

Anywhere Access avec Windows Server 2012 Essentials et un domaine à soi

C’est possible! Mais très compliqué pour le certificat! En effet, il refuse de générer un certificat autosigné lui-même, il faut le faire à la main…

Si dessous le guide que j’ai trouvé, pas traduit, désolé.

One of the nice features of Windows 2012 Essentials is the Anywhere Access functionality. To get this savely working you will need a certificate, but the installation wizzard will offer you to buy one with a trusted authority or move your domain to a trusted partner. Since I don’t want either choices, I created my own certificate.

Create Management Console

First you need to open up a MMC and add the “Certificates” snap-in. Choose “Computer Account” > “Local” > Finish. Next add the snap-in “Certificate Authority” and once again choose “Computer Account” > “Local” > Finish.

Create Certificate Request

Follow the next steps in the created MMC:

Certificates > Personal > Certificates > Right Mouse button – All Tasks – Advanced Operations – Create Custom Request > Next > Next >

Select “Windows Server Solution Certificate Template” > Next >

Open Details and select “Properties” > Subject name – Type: “Common name” – Value: FQDN of server (remote.domain.name) – Add > Alternative name – Type: “DNS” – Value: DNS name of server – Add >

Open “Private Key” tab > Open “Key Options” > Enable “Make private key exportable” > Ok > Next > Choose a location for certificate request (type also .req behind filename because it’s not automatically added) > Save > Finish

Submit Certificate Request

Follow the next steps in the created MMC:

Certification Authority > Choose CA > Right Mouse button – All Tasks – Submit new request > Open Certificate request and save new Certificate.

Import Certificate

Now we need to import the certificate:

Certificates > Personal > Certificates > Right Mouse button – All Tasks – Import > Choose the new certificate > Next > Next > Finish.

You see the message “The Import was succesful.”

Export Certificate to PFX to use with the Anywhere Access wizard

Select imported certificate > Right Mouse button – All Tasks – Export > Next >

Enable “Yes, export the private key” > Next > Empty “Include all certificates in the certification path if possible” and Enable “Export all extended properties” > Next >

Enable Password and add password and confirm > Next > Save PFX file > Next > Finish

Delete the imported certificate from the personal certificates store: Certificates > Personal > Certificates > Right Mouse button – Delete – Yes.

You have now created a certificate to complete the Setup Anywhere Access wizard.

Source

VPN de site à site sous Windows Server 2012

Pour mettre en place un VPN de site à site, par exemple pour un serveur contrôleur local de domaine Active Directory sur un autre site que le site principal de la société, il peut être intéressant de mettre en place un VPN de site à site, transparent pour l’utilisateur, permettant d’accéder aux ressources d’un site distant sans forcément faire passer tout le trafic dans ce VPN.

Pour cela, dans la console « routage et accès distant », sous Windows Server 2012 dans mon cas (bien penser à ce que le rôle « routage » soit activé!), il faut ne pas avoir de VPN/Routage de configuré.

Clique droit sur l’icone du serveur, puis « configurer le routage et l’accès à distance ».

Il faut suivre le guide en disant qu’on veut faire du NAT (pour que les machines locales puissent accéder à Internet via la liaison publique du serveur) et du VPN.

Les différentes étapes sont assez simple et évidentes (sélectionner la carte réseau publique, définir comment les adresses IP sont attribuées, etc.).

Une fois ceci fait, on peut éventuellement adapter le nombre de port VPN disponibles (par défaut, 50 ports par protocole, ça a de quoi remplir une étendue sur un DHCP!).
J’ai réduit de mon côté à 10 uniquement pour le PPTP, on ne fera aucun autre VPN.

Le plus intéressant arrive, la liaison VPN de site à site.

La liaison dans mon cas sera un VPN existant, PPTP également, vers le site d’un client.

Pour activer une telle liaison, il faut aller, toujours dans la console « Routage et accès distant », dans l’arborescence en dessous du nom du serveur, puis « interfaces réseau ».
Après un clique droit, sélectionner « nouvelle interface de connexion à la demande… »
Suivant
Définir le nom de l’interface
Se connecter en utilisant un réseau privé virtuel (VPN)
Sélectionner le protocole, dans mon cas PPTPt
Renseigner l’URL du VPN : remote.client.com
Je n’ai coché que « router les paquets IP sur cette interface », il faut cocher la case « ajouter une nom d’utilisateur… » si on veut avoir un VPN bidirectionnel (pour que les machines des 2 côtés puissent accéder aux machines de l’autre côté), et faire exactement la même chose sur le serveur de l’autre côté. N’ayant pas accès à la configuration du serveur de l’autre côté, je ne peux pas.
Ajouter un itinéraire statique, avec la plage réseau du réseau de destination, et une métrique 1
Ajouter les informations d’identification pour la connexion au VPN
Terminer la configuration

Après la création de l’interface, il faut aller dans ses paramètres, onglet « Options », et cocher « connexion permanente » pour être sûr qu’elle ne se désactive pas au bout d’un timeout, ou pour qu’elle s’établisse au redémarrage.
Enfin, il faut aller dans IPv4, puis NAT, clique droit et « Nouvelle interface ». On choisit alors l’interface VPN qu’on vient de créer.

Et après? Bin c’est tout! Normalement, si le VPN est connecté, un ping sur la plage de réseau distant devrait fonctionner, depuis toutes les machines du réseau! (sous réserve bien sûr que le serveur faisant le routage soit la passerelle des autres machines du réseau…)

Monter un iso sous Powershell

Quand on est sur un OS Windows Server Core (génération 2012 uniquement, et windows 8), on peut avoir besoin de monter un ISO sur la machine sans recourir à des logiciels tiers d’une part, et sans vouloir installer de GUI d’autre part.

Il existe une commande sous Powershell permettant simplement cela :

Mount-DiskImage -ImagePath "emplacement de l'iso"

Pour démonter l’ISO :

Dismount-DiskImage -ImagePath "emplacement de l'iso"

C’est vachement utile pour pouvoir monter un ISO distant (par ex sur un NAS) dans une VM sur une machine Hyper-V Server 2012… Pas moyen de passer par le gestionnaire Hyper-V pour faire la même chose !

Source

Filtres sur des GPO

Une des nouveauté (pour moi) que j’ai découvert récemment, porte sur les GPO.

En très gros, ça permet d’appliquer des paramètres à des groupes d’ordinateurs dans un domaine active directory, de manière centralisée et automatique. Joie.

En soit, c’est déjà puissant, ça permet de gagner un temps fou et de pas se poser la question de savoir si tel ou tel poste à subit une modif. Bref.

Quand on en même en place, il faut tout de même pouvoir filtrer sur quels ordis ou groupes d’ordis on veut qu’une gpo s’applique. Je vais passer pour le moment le principe des OU, et parler de deux possibilités pour filtrer : les filtres WMI et les exclusions d’ordis (ou groupes).

Premièrement donc, les filtre WMI (info choppée ici…)

Le filtre suivant permet donc de n’appliquer la GPO que pour les ordinateurs sous Windows XP (qu’importe de service pack) :

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "5.1%" and ProductType = "1"

La totalité des colonnes possibles et leurs significations peuvent être retrouvées ici.
On voit ainsi que ProductType peut prendre les valeurs suivantes :

Value Meaning
1
Work Station
2
Domain Controller
3
Server

Ici, le filtre s’occupe donc que des workstations (en même temps, tant mieux, il n’y a que ça en NT 5.1, Windows Serveur 2003 est NT 5.2…).

J’ai eu le cas à gérer où on avait des variables d’environnement qui dépendaient de l’OS, spécifiquement la variable contenant le dossier « all users », afin de déposer un fichier sur le bureau de toutes les session de chaque ordinateurs.

Ce dossier est remplacé par le dossier « public » en Windows 6.x (vista, seven, eight, et les pendants serveur), donc les variables d’environnement sont pas les mêmes. Bref, c’est pas le sujet de l’article…

Donc j’ai mis en place 2 gpo distinctes ciblant soit les Windows NT 5.x, soit les Windows NT 6.x, avec donc les filtres WMI suivants :

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "5.%"
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.%"

Pour continuer, on peut exclure un ordinateur spécifique d’une GPO. Pour cela voir ici.

Il y a aussi un truc bien tordu, les loopback policies, voir ici (commantaire d’alank surtout), et ici.

A noter, certaines GPO ne sont pas fonctionnelles sur des ordinateurs qui n’ont pas un certain patch, je pense au GPO concernant les imprimantes ou les fichiers (le cas que j’avais à traiter).

Il faut vérifier et si le patch est absent, l’installer. Il s’agit du patch KB943729