Archives mensuelles : janvier 2010

DirectAccess Management Pack 1.1

Microsoft vient de mettre à disposition la version 1.1 du Management Pack de DirectAccess Windows Server 2008 R2. Le nombre d’alarmes prises en charge a été revues à la hausse. Ce qu’il manques maintenant, c’est un monitoring du point de vue extérieur pour répondre aux questions fondamentales, à savoir :

  • Mes utilisateurs arrivent t’il à se connecter
  • L’expérience utilisateur est-elle satisfaisante en matière de réactivité / bande passante

 

Pour rappel, si vous implémentez DirectAccess au travers de la solution Microsoft Forefront Unified Access Gateway, c’est un autre management Pack qu’il vous faut. Pour cela, voir le billet de mon collègue Alexandre GIRAUD grand fan d’UAG et surtout renouvelé comme MVP sur la gamme Forefront.

 

BenoîtS – Simple and Secure by Design (J’insiste sur le Secure)

Restaurer une sauvegarde NTBackup sous Windows 7/2008 R2

Cela peut sembler bête mais comment restaurer une ancienne sauvegarde NtBackup sur nos nouveaux systèmes d’exploitation. Le Windows Server Backup ne prend plus en charge ce format de sauvegarde. Heureusement, la KB974674 nous sauve en partie la vie, je dis bien en partie.

 

Benoîts – Simple and Secure By Design (J’insiste sur le Secure)

Démystifier IPV6 et DirectAccess

Comme Stanislas Quastana, je constate que DirectAccess plait beaucoup mais rebute à cause d’un acronyme barbare nommé IPV6. DirectAccess, ce n’est pas de la magie noire, loin de la.

 

Pour ma série de billets sur DirectAccess, j’ai volontairement retenu un environnement simple, reposant uniquement sur Windows Server 2008. Il n’est pas nécessaire d’avoir une infrastructure “Full Windows Server 2008 et IPV6”. Tout serveur peut être atteint au travers de DirectAccess tant que le système d’exploitation comprend IPV6, que ce soit nativement (Windows Server 2008 par exemple) ou par extension (Windows Server 2003). Même Linux comprend IPV6.

Pour les nostalgiques, rappelez vous ce qu’e l’on pouvait dire sur TCP/IP face à des protocoles comme NETBEUI ou IPX/SPX. Il y a même une certification Microsoft (70-058 pour ne pas la citer) qui affirmait que NETBEUI était un meilleur protocole réseau que TCP/IP).

 

Bonne lecture.

 

BenoîtS – Simple and Secure by Design (J’insiste sur le Secure)

Un certificat d’authentification carte à puce pour plusieurs comptes Active Directory.

Non, je n’ai pas besoin de vacances (j’en reviens déjà). Mais quand je suis tombé sur cet article, je suis tombé de haut.

On savait tous que sous Windows XP, le système d’exploitation n’acceptait de reconnaître les certificats pour l’authentification par carte à puce que s’il étaient placés dans le champ 0 (Un administrateur avait donc deux cartes à puces). On savait aussi que Windows VISTA permettait de lever cette limitation.

 

Par contre, on ignorait qu’il était possible d’associer un même certificat d’authentification par carte à puce à plusieurs comptes Active Directory. Quel intérêt me direz-vous? Et bien proposer à vos utilisateurs de disposer d’une seule carte à puce permettant de s’authentifier avec plusieurs comptes, ce qui est fort utile pour les administrateurs par exemple.

 

L’utilisateur doit saisir le code PIN de sa carte à puce mais aussi indiquer sous quelle identité il désire travailler. Pour ceux que cela intéresse, je conseille la lecture du post Mapping One Smartcard Certificate to Multiple Accounts, de l’équipe de support Active Directory.

BenoîtS – Simple and Secure by Design (J’insiste sur le Secure)

Mise à jour des IPD guides pour Hyper-V R2 et SCVMM 2008 R2

Juste un petit billet pour signaler qu’avec la sortie prochaine de Windows Server 2008 R2 et SCVMM 2008 R2, il était normal de revoir les guides de conception d’infrastructure pour la virtualisation. C’est maintenant chose faîte. On va pouvoir commencer à réfléchir sérieusement à la mise en œuvre de ces deux produits.

 

Bonne lecture et bonne réflexions.

Benoîts – Simple and Secure by Design (j’insiste sur le Secure)

Cycle de support de Windows 2000/2003

Le sujet fait toujours débat, mais tout arrive un jour (même Windows NT 4.0 est passé par là fin 2003). Tous les produits de Microsoft suivent un cycle de support identique. Il faut donc se préparer à abandonner certains systèmes d’exploitation.

 

On a beau dire, Windows 2000 a fait son temps. La date est proche (13 Juillet 2010). Il faut donc se préparer à migrer ces serveurs “résiduels”. Attention, migrer ne veut pas dire virtualiser. Il faudra bien migrer sauf si vos applications ne supportent pas un système d’exploitation plus récent (Windows 2003).

 

A la même date, ce sera la fin de la période principale de support de Windows Server 2003 et Windows 2003 R2. C’est moins critique car on a encore cinq ans. Pendant cette période de support étendue :

  • Microsoft continuera à fournir des correctifs de sécurité

  • Nous auront toujours accès à la base de connaissances

  • Les correctifs ne concernant pas la sécurité ne seront disponibles qu’aux clients ayant souscrits au programme EHS (Extended Hotfix Support)

Concernant Windows Server 2003. Microsoft a fait savoir qu’il n’y aura pas de Service Pack 3. Conclusion, il faut très rapidement entamer la migration des applications hébergées sous Windows 2000 et commencer à réfléchir au cas de Windows Server 2003. Il y a la problématique du système d’exploitation mais aussi des applications qu’il faudra bien réfléchir  : Virtualiszation or not is the question.

 

Benoîts – Simple and Secure by Design (j’insiste sur le Secure)

KB importante pour les clusters Hyper-V

Nos clusters Hyper-V devant héberger un nombre de plus en plus grand de machines virtuelles, il n’est plus possible d’utiliser les lettres de lecteurs. De ce fait, on passe aux identifiants GUID.

 

Selon la KB970529, il peut avoir un problème avec ces disques gérés par le cluster. Lorsque le volume disque est associé au cluster, il se voit associé un GUID. Or, si on déplace cette ressource disque du cluster vers un autre nœud et qu’on étend le volume disque (suite resizing du LUN sur le SAN), alors, le GUID change.

 

Ce comportement pose problème puisque la machine virtuelle mise en cluster n’a plus de disque VHD/PassThrought associé. Dans SCVMM, cela se traduit par le fait que la machine virtuelle n’est plus éligible à la haute disponibilité car le volume disque n’est plus accessible.

Pour corriger cette problématique, il est vivement conseillé d’installer la KB970529 sur tous les hôtes du cluster Hyper-V.  A noter que cette problématique ne semble pas affecter Windows Server 2008 R2.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Quelques subtilités autour de LastLogon

La question revenant très souvent, il faut clarifier la chose. Le sujet traine depuis Windows NT 4.0 et évolue selon les systèmes d’exploitation. On commencera donc par un peu d’histoire (voire même pré-histoire) pour arriver à des systèmes d’exploitation plus récents.

La théorie

Depuis Windows NT 4.0, il est possible d’utiliser l’attribut “LastLogon” pour déterminer quand l’utilisateur s’authentifie. Problème, cet attribut n’est pas répliqué entre les contrôleurs de domaine. Conséquence, il faut interroger tous les contrôleurs de domaine pour déterminer la date de dernière ouverture de session de l’utilisateur.

Avec l’arrivée de Windows Server 2003, on disposait de l’attribut “LastLogonTimeStamp”. Dès lors que le mode de domaine est configuré à Windows Server 2003″, le contenu de l’attribut est répliqué entre les contrôleurs de domaine. Pour éviter tout problème de réplication excessive, Microsoft a limité l’usage de cet attribut pour les ouvertures de sessions interactives NTLM ou Kerberos. C’est donc déjà mieux.

Avec Windows Server 2008, c’est bien mieux car on dispose de nouveaux attributs :

  • La dernière ouverture de session interactive : « msDS-LastSuccessfulInteractiveLogonTime« 
  • Le dernier échec à l’ouverture de session interactive : « msDS-LastFailedInteractiveLogonTime« 
  • Le nombre total d’échecs à l’ouverture de session interactive :
  • Le nombre d’échecs à l’ouverture de session interactive : « msDS-FailedInteractiveLogonCount« 
  • Le nombre total d’échecs à l’ouverture de session interactive depuis la dernière réussite : « msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon« Tous sont répliqués entre les contrôleurs de domaine.

    Pour exploiter ces attributs, encore faut-il que le mode de domaine soit Windows Server 2008. Voila pour l’aspect théorique. Passons maintenant à la pratique. Pour le coté serveur, c’est bien Windows Server 2008. Pour le client, c’est Windows VISTA au minimum.

La pratique

Coté contrôleur de domaine, il faut activer le paramètre “Display Information about previous logons during user logon”. Le plus simple étant de le positionner dans la stratégie de groupe “Default Domain Controller Policy”. L’activation du paramètre va autoriser l’enregistrement de l’information dans l’annuaire Active Directory :

LOGON0

Coté client, c’est le même paramètre mais pour autoriser l’affichage des informations.Pour faire simple, il est positionné dans la stratégie de groupe “Default Domain Policy”.

LOGON1

  • Le résultat
  • Voila ce qui apparait une fois que l’utilisateur s’authentifie pour la première fois sur le domaine :

LOGON2

 

Et voila ce que l’utilisateur constate si on a tenté d’ouvrir sa session sans connaître son mot de passe :

LOGON3

Un billet sans invite de commande MS-DOS avec une ligne de commande illisible? Nan, pas possible. Affichons tous les attributs de mon utilisateur nouvellement authentifié avec un bon vieux DSQUERY.EXE (présent depuis Windows Server 2003) :

LOGON4

L’exécution de la commande fait apparaître nos nouveaux attributs. Reste plus qu’à interpréter leur contenu. Le nombre représente le temps écoulé depuis le premier janvier 1601 exprimé avec 100 nano secondes comme unité de mesure. Si l’attribut est à “0”, cela signifie que l’utilisateur ne s’est pas authentifié.

Subtilité des RODC

Lors qu’un utilisateur s’authentifie auprès d’un contrôleur de domaine de type RODC, la mise à jour ne peut s’effectuer localement. Elle s’effectue donc auprès du contrôleur de domaine le plus proche pour être ensuite répliquée vers le RODC.

 

BenoîtS – Simple and Secure by Design (j’insiste sur le Secure)

DirectAccess Design Guide

Après les conseils de troubleshooting de mise en œuvre  de Stanislas QUASTANA, voila que Microsoft non seulement actualise son guide de mise en œuvre de Direct Access(il était temps) mais en plus propose un véritable guide de Design de Direct Access.

 

Le guide de Design est plus que complet, il y a maintenant tout ce dont on a besoin pour mettre en œuvre tous les scénarios (y compris NAP et la coexistence avec les VPN).

 

Le guide de mise en œuvre a été actualisé, il référence maintenant la subtilité du “AllowDoubleEscaping” pour le téléchargement de la CRL (Merci Stan, j’avais skippé) ainsi que les subtilités du troubleshooting DNS de DirectAccess (Qui a déjà vue la console Monitoring tout en vert?).

 

Benoîts – Simple and Secure By Design (j’insiste sur le Secure)

Technet Script Center Gallery

Pour ceux que le scripting intéresse, Microsoft vient de mettre en ligne la “Technet Script Center Gallery”. Globalement, c’est une bibliothèque de tous les scripts développés par Microsoft mais aussi par la communauté (Il est même possible d’en soumettre).

 

Tous les domaines du scripting sont abordés ainsi que les langages (VBScript, PowerShell, …). Bref, un lien à conserver précieusement pour éviter de passer son temps à redévelopper la roue.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)