Archives mensuelles : avril 2010

Speaker lors de l’ExaTech Day de Lyon le 1er juin prochain

Tout comme certains de mes collègues d’Exakis, je vais avoir le plaisir de co-animer une session avec mon collègue Alexandre GIRAUD sur nos sujets favoris, à savoir TMG, UAG et mon favoris : DirectAccess.

 

Si l’ouverture de votre SI vers l’extérieur et la mobilité de vos utilisateurs sont des sujets qui vous concernent, venez assister à notre session “Dépérimètrisation des réseaux, le nouveau challenge de la mobilité”. Peu de théorie, des cas concrets.

 

ExaTech Day Lyon

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Troubleshooting DirectAccess/UAG coté client en image

Dans un billet précédent, j’ai déjà évoqué la disponibilité d’un guide de dépannage de DirectAccess. C’est un peu du “Brut de fonderie”, pas forcément utilisable directement par les équipes de support poste de travail.

 

L’équipe en charge du développement de Microsoft ForeFront Unified Access Gateway 2010 a publié il y a quelques jours une version plus simplifiée dite “Basique”. Présenté comme cela, c’est vrai que, c’est déjà plus simple :

Troubleshooting

Pour compléter, le billet documente les différentes adresses IPV6 que l’on pourra rencontrer coté client, comment valider que les dites interfaces sont opérationnelles et la construction de chaque adresse IPV6 :

IPV6Adressing

Bref, un must pour les équipes de support poste de travail.

 

Benoîts – Simple and Secure by Design (j’insiste sur le Secure)

Subtilité de la Health Registration Authority

Pour ceux qui ont suivi la série “Network Access Protection”, il existe une subtilité que je n’avais pas encore traité.

 

Lors de la mise en œuvre du gabarit de certificats “System Health Authentication”, celui-ci étant basé sur le gabarit “Workstation”, il a donc repris ses caractéristiques principales dont entre autre :

  • La durée de vie
  • Son renouvellement

 

Dans une configuration par défaut du rôle ADCS tel que je l’avais présentée, il n’était pas possible pour le Health Registration Authority de demander un certificat pour une durée de vie autre que celle inscrite dans le gabarit (un an).

Pour adresser cette problématique, il faut autoriser à ce que les demande de certificats précisent une date de fin autre que celle inscrite dans le certificat. Ci-dessous la ligne de commande à exécuter sur l’autorité de certification :

EDITF_ATTRIBUTEENDDATE0

Le service doit bien évidemment être redémarré.

EDITF_ATTRIBUTEENDDATE1

Lorsque notre client obtient un nouveau certificat prouvant son état de santé, on constate immédiatement que sa durée de vie correspond bien à ce que demande le HRA, à savoir quatre heures :

EDITF_ATTRIBUTEENDDATE3

 

 

 

Sans cela, le client peut outrepasser les contrôles d’état de santé car son certificat était toujours valable, jusqu’au prochain redémarrage.

 

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

La restauration d’objets simple by Design!

Pour ceux qui comme moi ont souvent expérimenté la restauration Active Directory NTDSUTIL.EXE, c’est le mode “Roots”. Pour les adeptes des interfaces graphiques, Quest a pensé à vous :

http://unifiedit.wordpress.com/2010/04/14/outil-de-restauration-active-directory/. Au passage, je recommande le blog de mon camarade  sur Exchange.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Superviser DFS-R efficacement

DFS-R est un sujet complexe. Pour s’en rendre compte, je recommande la lecture du blog de l’équipe en charge de son développement : The File cabinet. J’ai déjà eu l’occasion de présenter la mise en œuvre de DFS-R sous Windows 2008 (un challenge tout en ligne de commande).

Jusqu’à maintenant, la supervision, c’était SCOM ou maîtriser le DFSRDIAG.EXE. Maintenant, c’est plus simple et c’est français en plus. Didier GAUTHIER, PFE chez Microsoft vient de mettre à disposition DFSMON.EXE. Plutôt qu’un long discours, voila à quoi cela ressemble :

DFSRMON

Et surtout où le récupérer : http://blogs.technet.com/domaineetsecurite/archive/2010/04/14/surveillez-en-temps-r-el-la-r-plication-dfsr-gr-ce-dfsrmon.aspx

 

Pour faire court : C’est une excellente initiative, c’est à la fois simple et très complet.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Cluster et Teaming réseau : Etat des lieux

Qui dit cluster applicatif Microsoft, dit haute disponibilité. Lors de la conception d’une infrastructure en cluster, on passe pas mal de temps sur les SPOF (Single point of failure) pour en minimiser l’importance. Les interfaces réseaux représentent un SPOF de première importance.

 

Pour adresser cette problématique, le teaming de cartes réseau semble être la réponse la plus appropriée. Cependant, chaque constructeur implémente le Teaming à sa manière. Pour cette raison, Microsoft ne supporte pas le Teaming en tant que tel, c’est donc à la charge du constructeur. Pourtant, Microsoft tolère et même autorise son usage. Si on se réfère à la KB254101 :

  • Le teaming de cartes réseau privée n’est pas supporté sous Windows 2003 SP2
  • Le teaming de cartes réseau publique est toléré mais pas recommandé sous Windows 2003 SP2
  • Le teaming de cartes réseau est pleinement supporté pour Windows 2008 et Windows 2008 R2 quelque soit le type d’interface.

 

Avec les clusters Hyper-V et le stockage iSCSI, le nombre d’interfaces réseaux sur nos serveurs va vite grimper à au moins six si on considère un seul réseau publique.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

DirectAccess en DMZ

Quand j’avais annoncé que le blog de Tom Shinder était intéressant à suivre, je ne m’était pas trompé. Son dernier billet développe un sujet fort intéressant que je n’avais jusque là pas encore eu le temps d’aborder, à savoir l’intégration de DirectAccess dans une DMZ.

 

On y découvre les trois scénarios supportés. Ce n’est qu’après plusieurs lecture de la bible de référence de DirectAccess, (sans oublier beaucoup de café et de temps pour tester) qu’on comprend mieux les trois scénarios :

  • UAG DA server placed between two firewalls
  • UAG server placed in parallel with front-end firewall
  • UAG server placed behind front-end firewall with no back-end firewall

 

Il est donc bien possible de placer un serveur DirectAccess en DMZ. Voila pour les scénarios actuels. Plus “futuriste”, il est aussi possible de masquer son réseau IPV4 interne par un réseau IPV6. De cette manière, seules les ressources IPV6 internes sont accessibles en DirectAccess.

 

Benoîts – Simple and Secure by Design (j’insiste sur le Secure)

DirectAccess + NAP + Smartcard = La solution de mobilité la plus complète

L’équipe WSiXN (Windows Server Information Experience Networking) en charge entre autre de DirectAccess et NAP a enfin mis à disposition un guide de mise en œuvre de DirectAccess intégrant Network Access Protection. L’ensemble est assez complet, couvrant à la fois :

  • L’architecture de la solution globale
  • Sa mise en œuvre détaillée
  • Un guide de mise en œuvre pas à pas.

D’un point de vue purement technique, NAP est mis en œuvre selon le scénario du Health Registration Authority. A noter que ce HRA est localisé en interne, de préférence sur un serveur dédié afin de s’assurer qu’il soit accessible aussi bien par les clients conformes que non conformes.

Donc maintenant, en recombinant mes séries de billets (Les sujets n’avaient pas été choisit au hasard) : DirectAccess + Network Access Protection + Smartcard = La solution de mobilité la plus complète.  La solution est :

  • Transparente pour les utilisateurs
  • Propose une gestion de la conformité LAN/WAN
  • Sécurisée car reposant sur une authentification forte

Il ne faut pas croire qu’on a fait le tour de DirectAccess. Il nous restera pas mal de sujets à développer (haute disponibilité, scénarios IPV6, …). Il y aura donc encore pas mal de séries de billets en perspective.

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)