Archives de catégorie : Knowledge Base

Rollup 1 for Forefront Unified Access Gateway 2010 Service Pack 4

It’s UAG Patching day today. Microsoft just released update 1 for Service Pack 4 of Forefront UAG 2010 (KB2922171). many fixes but also some improvements for Exchange 2013 and SharePoint 2013. Here is the list of included fixes :

  • KB2997481 : FIX: You are not authorized to access applications published through Forefront Unified Access Gateway
  • KB2997483 : FIX: Source IP and user name missing from Event ID 14 in the Web Monitor log file
  • KB2997485 : FIX: "An unknown error occurred while processing the certificate" error when you access an application that is hosted on an Apache web server
  • KB2997486 : FIX: The Forefront Unified Access Gateway portal may be unavailable
  • KB2997487 : FIX: "You have attempted to access a restricted URL" error when you try to access OWA and are close to the idle session time-out period
  • KB2998352 : FIX: "Your client does not support opening this list with Windows Explorer" error when you try to open a SharePoint document library
  • KB2998733 : FIX: You cannot start a RemoteApp application when its name contains accented characters
  • KB2998739 : FIX: The VPN connection disconnects immediately when a Unified Access Gateway 2010 client uses SSTP
  • KB2998752 : FIX: "Authentication failed" error when you try to log on to Unified Access Gateway by using the UPN format
  • KB2998769 : FIX: Exception occurs when you use the Export2Tspub application to export the configuration to a .tspub file
  • KB3003977 : FIX: "Sign-in Error" errors for Internet Explorer 11 clients when they access a Unified Access Gateway portal trunk that has ADFS 2.0 authentication
  • KB3004023 : FIX: Client connections for Form-based SSO fail authentication in Forefront Unified Access Gateway 2010 SP4
  • KB3006827 : FIX: Forefront Unified Access Gateway 2010 template improvements for SharePoint Server 2013
  • KB3006828 : FIX: Forefront Unified Access Gateway 2010 template improvements for Exchange Server 2013
  • KB3006892 : FIX: Windows Firewall is detected as running after a third-party firewall is installed on a computer that is running Forefront Unified Access Gateway 2010
  • KB3006938 : FIX: Soft lockout does not apply if Outlook Anywhere uses KCD for SSO to Exchange Server
  • KB3006940 : FIX: Portal toolbar is not displayed in Forefront Unified Access Gateway 2010
  • KB3007519 : FIX: "Bind the source IP address to the session" option does not work correctly in Forefront Unified Access Gateway 2010
  • KB2997456 : FIX: French client access to Unified Access Gateway trunk by using two-factor authentication fails when user password nears expiration
  • KB2997493 : FIX: "Invalid URL path" error when an external user tries to connect to a shared calendar
  • KB3007842 : FIX: "The website cannot display the page" or "HTTP 500" error if the first user logon is unsuccessful
  • KB3009885 : FIX: Applications that use the Socket Forwarder component may stop responding in Forefront Unified Access Gateway 2010
  • KB3009904 : FIX: "You cannot access this site due to an internal error" error when you log on to Outlook Web App again

 

At last, if not already done, don’t forget to fix the SSLV3 flaw. My valuable MVP colleague Richard HICKS published an excellent article on this subject.

 

BenoîtS – Simple and Secure by Design but Business compliant

Microsoft n'oublie pas la sécurité de ses OS "Legacy"

Avec le cycle "Rapid release" de Microsoft ces derniers temps pour les produits "On premise", on pourrait penser que Microsoft oublie un peu ses systèmes "Legacy". On parle ici de Windows 7 et Windows Server 2008 R2, des OS pas si vieux que cela. Pourtant entre temps, on a déjà eu droit à :

  • Windows 8 / Windows 2012
  • Windows 8.1 / Windows Server 2012 R2
  • Et bientôt Windows 10 preview / Windows Server 10 preview

Donc oui, Windows 7, c’est super véritablement un OS "Legacy" pourtant, il a encore une belle vie devant lui.

    clip_image001

Même si Microsoft pousse en avant ses nouveaux systèmes d’exploitation et les nouvelles fonctionnalités de sécurité, il n’en oublie pas moins les systèmes "legacy". Ce mois-ci, dans le cadre du processus de livraison mensuel des correctifs, Microsoft a mis à disposition :

Initialement, ce sont des fonctionnalités de sécurité qui sont disponibles que depuis Windows 8. C’est un mouvement intéressant de la part de Microsoft, l’éditeur n’oublie pas le système d’exploitation les systèmes d’exploitation les plus déployés.

 

Note : En date du 17/10/2014, Microsoft a retiré le correctif KB2949927. Il semblerait qu’il soit source de problèmes rencontrés par certains utilisateurs suite à son installation. On attendra donc un peu avant de pouvoir le déployer.

 

BenoîtS – Simple and secure by design but business compliant

Petite KB pour les upgrade de domaine W2K3 vers W2K12 R2

Back to basics. C’est la saison des projets d’upgrade des infrastructures basées sur Windows 2003. l’OS a presque dix ans. Dans le cadre d’un projet de mise à niveau des infrastructure d’annuaire, nous aurons donc des contrôleurs de domaine Windows 2003 qui devront coexister avec des contrôleurs de domaine Windows Server 2012 R2. Selon le technet, cela ne devrait pas poser de problème.

Pourtant, l’équipe en charge du support Active Directory avait publié ce billet en Juillet 2014 : It turns out that weird things can happen when you mix Windows Server 2003 and Windows Server 2012 R2 domain controllers. La coexistence entre les deux générations de contrôleurs de domaine posait problème au niveau de Kerberos. D’un coté Windows Server 2012 R2 ne supporte plus DES (par défaut) et Windows Server 2003 ignore les nouveaux algorithmes proposés par Windows Server 2012 R2. Bref, on avait une certaine cacophonie au niveau de Kerberos qui pouvait conduire à l’impossibilité de changer le mot de passe des systèmes raccordés au domaine. Pour adresser cette problématique, Microsoft proposait une méthode de contournement (en attendant de finaliser le démantèlement des contrôleurs de domaines Windows 2003).

Depuis fin Aout, la méthode de contournement proposé par Microsoft n’est plus d’actualité puisqu’un correctifs est enfin disponible : KB2989971 – Can’t log on after changing machine account password in mixed Windows Server 2012 R2 and Windows Server 2003 environment. A installer sur tous vos contrôleurs de domaine Windows Server 2012 R2.

 

benoîtS – Simple and Secure by Design but Business compliant

MS14-025: Vulnerability in Group Policy Preferences could allow elevation of privilege

Les GPO de préférences sont une évolution intéressante des GPO introduite avec Windows 2008. Cependant, il y a une petite faiblesse que Microsoft a enfin corrigé. Les GPO de préférences peuvent être utilisées pour créer/ mettre à jour des comptes de services sur les systèmes gérés. Problème, il faut bien stocker le mot de passe dans la GPO. Avec un peu de recherche dans le répertoire SYSVOL d’une GPO utilisant la fonctionnalité incriminée, on trouve le fichier GROUPS.XML :

INITIALDISCLOSE

Déjà en 2009, l’équipe Group Policy reconnaissait que les mots de passe manipulés par les GPO de préférence étaient plus “masqués” que “chiffrés” et qu’il fallait bien évaluer le risque. A la vue de l’illustration ci-dessus, on pourrait penser que le mot de passe est bien chiffré. Vrai, il est chiffré en AES 256 et faux car la clé est disponible sur le MSDN. Pour vous en convaincre, exécutez le script Get-SettingsWithCPassword.ps1 mis à disposition avec la KB2962486 (il faut toujours lire un KB jusqu’au bout).

DISCLOSE1

Dans l’illustration ci-dessus le script a identifié une GPO avec un mot de passe masqué. Il a juste été nécessaire d’accéder à mon répertoire SYSVOL ou a une sauvegarde des GPO. Pour rappel toute GPO est librement accessible en lecture par défaut. 

Installer la KB2962486 ne fait que bloquer l’usage de la fonctionnalité, cela ne fait pas le ménage à votre place (d’ou l’intérêt de lire une KB jusqu’au bout). Le problème, c’est qu’il y a des développeurs Powershell talentueux qui ont développé des scripts plus complet, voire même trop  :

FINALDISCLOSE

Dans l’exemple ci-dessus, le script va jusqu’à révéler le mot de passe associé au compte “SECOURS_ADM”. Pour rappel, cette information est en libre accès (sauf si on retire le droit “read” sur la GPO pour les utilisateurs).

Que fait la KB alors? Ben elle corrige l’interface d’édition des stratégies de groupe de préférence pour nous empêcher d’utiliser la fonctionnalité.

NEW

C’est bien mais pour cela, il faut s’assurer de patcher tous les systèmes sur lesquels un administrateur utilisera l’éditeur de stratégies de groupes pour manipuler son contenu. Cela implique donc de patcher :

  • Les contrôleurs de domaine (GPMC est nativement installé)
  • Les serveurs membres (GPMC est potentiellement installé)
  • Les stations de travail (GPMC peut être installé si les RSAT sont installés)

 

En conclusion :

  • Abandonnez immédiatement l’utilisation des GPO de préférence pour manipuler les comptes & mots de passe
  • Faites la chasse aux stratégies de groupe utilisant cette fonctionnalité
  • Installez le correctifs sur tous les systèmes ou GPMC est potentiellement installé (pour éviter qu’un Administrateur ne recréé une GPO de préférence avec un mot de passe)
  • Formez vos Admins pour ne plus utiliser cette fonctionnalité!

 

Enfin, si c’est pour gérer le mot de passe Administrateur local de vos stations de travail, la solution ADMPWD est faite pour cela.

 

BenoitS – Simple and Secure by Design but Business compliant

Disconnect DirectAccess in Windows 8.x while on LAN

A small blog post to relay an interesing post from Richard Hicks. Microsoft just published an update applicable to Windows 8.x DirectAccess clients to solve an interesting problem When the DirectAccess clients are not able to reach the Network Location server While on LAN. As they are not able to reach NLS, they try to enable DirectAccess while on LAN. Users can wait for a while.

before

After you apply the update, your users will be able to disconnect from DirectAccess in such situation.

After

 

Thank you Richard for pointing that out.

 

BenoîtS – Simple and Secure by design but business compliant.

Even an excellent DirectAccess feature can fail

No, DirectAccess is not a failure at all. But back to the UAG times, customers were expecting real-time monitoring of users access and resources previously accessed. Since Windows Server 2012 we have this feature (reporting) with enough detail to fill up databases :

RAMCONSOLE

So much details that the Remote Access Management service keep in memory. That used to lead to a memory leak until service was restarted. Microsoft issued a patch for Windows Server 2012 : KB2895930 – Remote Access Management leaks memory when a VPN or Direct Access connection is used in Windows Server 2012 to address this issue.

 

BenoîtS – Simple and Secure by Design but Business compliant

Ne jetez pas les clés d’Orchestrator par la fenêtre

Comme déjà abordé dans ce précédent billet, la migration vers Orchestrator 2012 R2 peut réserver quelques surprises. Il en va de même pour la migration de la base de données qui y est associée. L’équipe produit vient de publier un billet concernant un problème de migration. La KB qui y est associée KB2920037 recommande de supprimer une clé de registre pour corriger le problème de licence rencontré.

Avant de se lancer dans cette migration (et se tirer une balle dans le pied), encore faut-il avoir pensé à exporté la SQL Server service master key avec la ligne de commande suivante :

Sqlcmd –Q”BACKUP SERVICE MASTER KEY TO FILE =’C:\BACKUP\MASTER_KEY.BAK’ ENCRYPTION BY PASSWORD = ‘password’” 

Il est vivement recommandé de sauvegarder cette clé avant de se lancer dans le processus de migration de la base de données. Sans elle, les données chiffrées qu’elle contient sont elles aussi perdues. Je pense par exemple aux mots de passe que l’on stocke dans les variables Orchestrator.

Si la sauvegarde de cette clé n’est pas encore faite, c’est le moment.

 

BenoîtS – Simple and Secure by Design but business compliant.

DirectAccess and Windows Remote Assistance

For those of us who deployed legacy DirectAccess clients (yes Windows 7 is a legacy operating system) with Windows Server 2012 based DirectAccess we encountered the problem of Windows Remote Assistance witch was not working. That sound strange because it was working when the DirectAccess clients was connected a legacy DirectAccess Infrastructure (Yes, Forefront UAG 2010 is a legacy DirectAccess platform).

 

The Following KB2912883, provide a hotfix for Windows 7. Technically, the root cause is located in the Windows Remote Assistance module witch did not recognize the new IPv6 prefix (FD00::/8) introduced with Windows Server 2012 based DirectAccess infrastructure.

 

So don’t forget this KB during your next DirectAccess migration project from UAG.

 

BenoîtS – Simple and Secure by Design

Windows Server 2012 DirectAccess BPA update

A few days ago, Microsoft published KB2896496 – Update adds BPA rules for DA in Windows Server 2012. While reading the KB, I found some interesting points :

image

Now we have full certificate check included. That’s a good thing for DirectAccess deployment. After installing the update, we have the following BPA interface.

BPA2

 

OK, my lab require some troubleshooting. It’s debug time.

 

BenoîtS – Simple and secure by Design but Business compliant

Problème de localisation du DAC 2.0 en français

This time, article is not writen in english but french because that case apply only on Windows 7 Enterprise/Ultimate operating system localized installation media (not apply with french language pack).

 

J’ai tellement pris l’habitude d’utiliser des médias d’installation US (ça viendra pour leur clavier) que j’en oublie parfois de tester à quoi cela peut ressembler en français. C’est mon collègue Lionel LEPERLIER qui m’a remonté le problème ci-dessous en premier dans un billet sur son blog. N’ayant pas eu le temps de m’y intéresser jusque-là, j’ai un peu mis le sujet en attente. Maintenant que j’ai un client qui est lui aussi face au problème, j’ai bien été obligé d’y passer un peu de temps.

 

Conditions de reproduction

Après un peu de recherche, il a été possible d’établir que :

  • Le texte associé au DAC est faux. DirectAccess fonctionne bien
  • La problématique identifiée par Lionel concerne le DirectAccess Connectivity Assistant 2.0, pas la version 1.5 ni le NCA de Windows 8.X
  • La problématique concerne uniquement les médias d’installation Windows 7 localisés en langue française et ne s’applique pas aux installations US avec pack de langue française.

 

C’est particulièrement plus parlant lorsque le DAC communique à l’utilisateur de la manière suivante :

0

 

L’icône du DAC dit que cela fonctionne, pourtant le texte associé indique le contraire qui croire?

 

La solution

Elle ne vient pas de moi mais bien de Microsoft. Un des avantages du programme MVP est de pouvoir se rendre une fois par an à Redmond pour assister au MVP Summit. C’est à cette occasion que j’ai eu l’opportunité de revoir le Product Manager en charge de DirectAccess. Après quelques échanges et recherches de son coté, il apparait que la problématique a été traitée récemment par les équipes support sous la forme du correctif  KB2882659 – CORRECTIF: « la connectivité de l’entreprise ne fonctionne pas » info-bulle s’affiche pour l’icône de la barre d’état DirectAccess Compagnon 2.0 dans la version française de Windows 7 SP1 publié le 13 novembre 2013.

Après installation du correctif et redémarrage, le texte est maintenant corrigé.

2

 

L’expérience utilisateur, ça tiens souvent à peu de choses. C’est donc un correctif essentiel pour les infrastructures DirectAccess fonctionnant sous Windows Server 2012/2012R2 qui doivent supporter les clients “Legacy”.

 

BenoîtS- Simple and Secure by Design but Business compliant