Archives mensuelles : octobre 2011

Subtilité ADMT et Windows 2008 R2

ADMT, ca fait longtemps que je le pratique (NT4 vers Windows 2000). A force, on ne réfléchit même plus et on déroule.  L’outil n’a pas vraiment changé, donc j’ai déroulé jusqu’à tenter de migrer mon premier poste de travail Windows XP, avec une surprise :

“ERR3:7075 Failed to change domain affiliation, hr=800704f1 The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you.”

 

Après quelques recherches, je confirme, ADMT n’a pas beaucoup changé. Pour corriger cette problématique, il faut réactiver les algorithmes cryptographiques de Windows NT 4.0 : KB942564. Ceux-ci sont désactivés depuis Windows 2008 pour des raisons évidentes de sécurité. Conclusion, l’agent ADMT n’a donc pas beaucoup changé, je confirme, …

 

J’ai pas eu le temps de tester mais il semble que cette problématique ait été adressée dans le pack de mise à jour RODC Compatibility Pack pour Windows XP. De mon point de vue, c’est effectivement une alternative plus intéressante que de dégrader la sécurité du système d’information. Encore faut-il pouvoir déployer cette mise à jour avant la migration.

 

Benoits – Simple and Secure by Design but Business compliant.

ADFSv2 Update Rollup 1

Il commençait à être temps. L’Update 1 regroupe un certain nombre de correctifs déjà connus mais il elle inclus aussi son lot de nouveautés concernant les scénarios Office 365. Les problématiques de congestion (forte sollicitation du serveur ADFS) sont maintenant prise en compte. Il sera maintenant plus facile de suivre l’évolution de la performance / réactivité d’ADFS qui est un composant qui va devenir de plus en plus sollicité avec les scénarios autour du Cloud.

La KB2607496 est disponible depuis peu.

 

BenoîtS – Simple and Secure by Design but Business Compliant

One more reason to apply UAG SP1 Update 1

In a recent bog post, Yuri Diogenes gave five reasons to apply Forefront TMG SP2. many new feature already covered by the TMG team.

 

I wont enumerate a lot of reasons for UAG, only a single one : MS11-079. KB2544641 provide additional information on these vulnerabilities. And the first reason to apply Update 1 to our UAG box, is that update is included in Update 1.

 

Keep your UAG secure.

 

Benoits – Simple and Secure by Design but Business compliant

DirectAccess–Troubleshooting case

I was involved in multiple DirectAccess projects. During these projects, IT teams expect from me to give all information I can on troubleshooting issues that could happen. We can learn from each DirectAccess deployment and discover new issues.

 

During a recent deployment I faced to a new kind of issue. Some time to times, DirectAccess configuration on mobile computer was disabled as illustrated bellow :

SNAGHTMLf2922

 

Interesting case. The most simple solution to fix this issue is to reconfigure the Name Resolution Policy parameter as illustrated bellow : 

SNAGHTML105456

 

And most important, we must click to the apply button and restart the DNSCLIENT Service. That how to fix the issue.

 

Why this issue?

Good question. At the date of today, I have no idea of the root cause of this problem. I suppose that users have local administrators privileges and played with NRPT Configuration.

 

How to prevent it?

Another good question. I had no time to search for a good solution but Ronny De Jong found a good one you can read on his post. Simple but good idea. Now we just need to use this registry key in an additional GPO in order to force NRPT configuration.

 

Note : Keep this page in your bookmark. This will be useful to understand how NRPT work.

 

Benoits – Simple and Secure by Design but Business compliant

Nouvelle édition du MSIR

Le Microsoft Malware Protection Center communique régulièrement sous la forme d’un rapport. C’est la onzième édition du Microsoft Security Intelligence Report. Microsoft analyse les menaces sur Internet. Dans cette édition, Microsoft s’est attardé sur les moyens de propagations des menaces. Sans surprise, l’interaction avec l’utilisateur est la méthode privilégiée des créateurs de menaces. Malheureusement, cette situation n’est pas prêt de changer. Même si les moyens technologies développés pour contrer ces menaces évoluent, le facteur humain reste le maillon faible.

 

La solution du tout technologique / produit n’est donc pas la bonne approche. Il est nécessaire de combiner la technologie, les processus et les hommes et ne pas oublier de se remettre en cause.

 

Pour reprendre une formule : La sécurité, ce n’est pas une destination mais bien un voyage.

 

Benoits – Simple and Secure by Design but business compliant

Problématique de performance entre TMG et le cloud

Je ne fait que relayer l’article de Yuri Diogenes. Il présente une problématique que les clients vont rencontrer très rapidement après la migration vers Office 365 ou tout autre service dans le Cloud.

 

Dans la problématique qu’il détaille , il présente le cas d’utilisateurs dont la messagerie a migré vers le cloud. Très rapidement, les utilisateurs ont constaté l’impossibilité d’envoyer des mails. L’article détaille très bien la méthodologie utilisée pour identifier la problématique de performance de TMG. Dans le cas présenté, tous les clients de messagerie passent par TMG pour se connecter à leur boite aux lettres dans le cloud, ce qui implique un grand nombre de sessions SSL, un trop grand nombre. TMG a besoin de se voir allouer beaucoup plus de mémoire en prévision du nombre de sessions SSL que le serveur TMG va devoir supporter.

 

Au passage, on constatera que la solution se trouve dans le Service Pack 2 de TMG .

 

Conclusion, la migration de la messagerie vers le cloud n’est pas aussi simple que la commande Move-Mailbox. Encore faut-il pouvoir accéder à ces services. La migration vers le cloud, cela se planifie.

 

Benoits – Simple and Secure by Design but Business compliant

UAG Service Pack 1 Update 1

Si TMG a son lot de mise à jour, alors UAG doit suivre très rapidement. C’est effectivement le cas puisque l’update 1 du Service Pack 1 de Forefront UAG 2010 est disponible à cette adresse. Dans la liste des nouveautés, on peut citer :

  • La possibilité de publier les WebS Services Lync (faudra creuser pour déterminer jusqu’ou cela va, …)
  • La possibilité de publier Dynamic CRM
  • La possibilité de publier Sharepoint 2010 avec les Office Web Apps
  • Un support amélioré des navigateurs Internet

Bref, pas mal de nouveautés que mon collègue Alexandre GIRAUD se fera un plaisir de décortiquer. Pour ma part, j’ai rien trouvé concernant DirectAccess.

 

Benoits Simple and Secure by Design but business compliant.

Disponibilité du SP2 de TMG

C’est tout frais de quelques heures. Le Service Pack 2 de TMG est disponible à cette adresse. Pour faire court, c’est un bon cumulatif de toutes les KB. On trouvera quand même une nouveauté essentielle, à savoir la capacité à utiliser Kerberos pour les array TMG en NLB (enfin!)

 

Benoits – Simple and Secure by Design but business compliant