Microsoft
SharePoint 2010 – La période d’évaluation de ce produit a expiré
0Après avoir converti une ferme SharePoint 2010 standard en entreprise, j’ai eu le message d’erreur suivant sur le portail:
Solution: Passer SharePoint 2010 Products Configuration Wizard sur les frontaux web.
Popularity: 1% [?]
DPM 2010: replica is inconsistent
0Peu après avoir installé DPM, on constate que les sauvegardes fonctionnent sauf les Bare Metal Recovery et System State sur les Windows 2008:
Lancer un perform consistency check ramène au même résultat. C’est en fait l’eventlog qui éclaire la cause du problème: Il faut installer la fonctionnalité de sauvegarde Windows:
Popularity: 5% [?]
Powershell: Project Server Set-SPProjectWebInstance & miroir SQL
0Si vous devez mettre en mirroir SQL les bases project, vous trouverez sur le net 2 choses à faire parmi pas mal:
- Set-SPProjectWebInstance en précisant PrimaryDBMirrorServer et ReportingDBMirrorServer
- AddFailoverServiceInstance
Donc pas moyen de savoir si quelqu’un l’a fait avant vous, ou si les paramètres sont les bons..D’autre part, quand on a beaucoup d’instance, il est intéressant d’utiliser son homologue Get-SPProjectWebInstance pour faire une boucle. Sauf que ce dernier n’est pas ergonomique en plus de ne pas donner toutes les propriétés. Voici un script qui:
- Récupère la liste de toutes url PWA via l’application de service (non non ils ne pouvaient pas le programmer par défaut)
- Enlève le « / » à la fin de l’url (sinon le Set- plante !)
- Repositionne tous les paramètres à l’identique (sisi il faut) et ajoute l’instance miroir (ouf).
$work=Get-SPServiceApplication | ?{$_.DisplayName -match"Project"} | Get-SPProjectWebInstance foreach ($item in $work) { Write-Output"doing $($item.url)" $mirror=$item.PrimaryServer -replace ("sqlone","sqltwo") Set-SPProjectWebInstance -Url ($item.Url).ToString().TrimEnd('/') ` -AdminAccount $item.AdminAccount ` -PrimaryDbserver $item.PrimaryServer ` -ArchiveDbname $item.ArchiveDatabase ` -DraftDbname $item.DraftDatabase ` -PublishedDbname $item.PublishedDatabase ` -ReportingDbServer $item.ReportingServer ` -ReportingDbname $item.ReportingDatabase ` -PrimaryDBMirrorServer $mirror` -ReportingDBMirrorServer $mirror }
Popularity: 6% [?]
SharePoint 2010: People search relevance is not optimized when the Active Directory has errors in the manager reporting structure
0L’analyseur SharePoint remonte souvent cet avertissement:
Il faut commencer par identifier les comptes AD sans manager. Par exemple avec adfind:
adfind -f "(&(objectclass=user)(!(manager=*)))" samaccountname -qlist
Il suffit ensuite, pour ceux ne devant pas avoir de manager, d’utiliser les commandes Add-SPProfileleader comme indiqué dans le message.
Popularity: 8% [?]
Essayez MS Project Server gratuitement pendant 15 jours!
0Je participe actuellement à un projet pour le moins…Passionnant !
Il s’agit de fournir MS Project client et server dans le cloud. L’accès se fait entièrement via https, et uniquement ce protocole. Plusieurs méthodes d’accès:
- Vous avez MS Project sur votre ordinateur: connectez-le au serveur
- Vous voulez juste voir la partie serveur: accédez depuis Internet Explorer
- Vous voulez tester l’ensemble: passez par le portail pour lancer un client MS Project sans rien installer chez vous
L’accès est ouvert dans les 5 minutes sans demander de compte paypal ni carte de crédit.
http://www.pmside.com/essayez-en-ligne/
Popularity: 7% [?]
SharePoint 2010 PowerShell: UID finder
0En environnement SharePoint et projectServer 2010, les messages d’erreurs font presque tout le temps référence aux UID des objets et pas leur nom. Retrouver la nature de l’objet est parfois long et rébarbatif dans tous les cas.
Exemple:
Impossible de démarrer la file d’attente. Fournisseur de services partagés : ffaa66dd-8dcf-4a19-a24e-db16cd87ed67, UID du site : 79be68b6-87df-4431-9c32-bae0173c8ad0, URL : , File d’attente : ProjectQ
La traduction en Français ajoute encore un peu plus de difficulté.
Je me suis fait un script powershell qui cherche un uid ou un nom d’objet dans tout SharePoint 
$id="<UID ou texte a chercher ici>" $search=@() $search+='Get-SPWebApplication -IncludeCentralAdministration | select Name,ID' $search+='Get-SPManagedAccount| select Name,ID' $search+='get-SPSiteAdministration -Limit ALL | select Name,ID' $search+='Get-SPWebApplication -IncludeCentralAdministration | Get-SPSite -Limit All | Get-SPWeb -Limit All|Sort-Object Url|Format-List Title, Url,ID' $search+='Get-SPSite -LIMIT ALL | select url,id' $search+='Get-SPDatabase| select Name,ID' $search+='Get-SPContentDatabase| select Name,ID' $search+='Get-SPServiceApplication | select Name,ID' $search+='Get-SPFeature | select Name,ID' $search+='Get-SPSolution | select Name,ID' $search+='Get-SPServiceApplication |% {$_.SiteCollection| select Name,ID}' $search+='Get-SPTimerJob | select Name,ID' foreach ($command in $search) { if ((Invoke-Expression $command) -match $id) { Write-Host"found $id" Write-Host"display it with $command" } }
Popularity: 8% [?]
ATI Catalyst setup crash
0Je fais suite à mon article précédent sur le crash du setup ati dès le début de l’installation:
J’ai fini par trouver la solution:
http://support.microsoft.com/kb/961894/en-us
Il faut installer des mises à jours pour VC++ post 2005 SP1. La KB renvoi ici pour le download:
http://archive.msdn.microsoft.com/KB961894
Popularity: 7% [?]
Sécuriser son Windows dans le cloud (Dedibox/Amazon…)
0Suite à mon retour vers Dedibox, et le fait que j’y installe du Windows, je me suis demandé ce que je pouvais faire pour la sécuriser.
Voici les pistes envisagées:
- Pas de port TCP accessible directement. Passer donc par exemple avec LogMeIn, au moins pendant la configuration. L’accès idrac n’est pas assez fluide et simple d’accès.
- Renommer le compte Administrateur via GPedit
- Interdire l’affichage du dernier compte authentifié via GPedit.
- Ajouter un disclaimer, toujours via GPedit. Cela n’arrêtera pas un pirate motivé, mais peu suffire à bloquer certains logiciels de brute force RDP.
- Autoriser RDP mais:
- Sur un port TCP non standard. Procédure Microsoft : http://support.microsoft.com/kb/306759/en-us/
- Utiliser le firewall Windows pour autoriser l’accès uniquement depuis certaines IP fixes. Pour y accéder depuis ailleurs, d’abord se connecter en LogMeIn pour modifier la règle firewall.
- Autoriser uniquement les clients permettant une authentification réseau.
- Scanner régulièrement les adresses IP depuis l’extérieur avec nmap pour vérifier ce qui est visible.
- Appliquer les mises à jour Windows dès leur sortie.
Popularity: 9% [?]
Dedibox: Nat de VM Hyper-V
4Suite au retour sur Dedibox, j’ai décidé d’utiliser Hyper-V plutôt que VMware pour la virtualisation. Les adresses IP publiques sont facturées chez Online.net, et d’autre part je ne veux pas que certaines VM soient exposées sur Intrenet (DC, Exchange…).
Par défaut, Hyper-V ne permet pas de faire du Nat, et donc cacher tout se beau monde tout en leur donnant accès à Internet.
Voici les grandes étapes:
- Installer le rôle Network Policy and Access Services
- Créer un réseau interne dans Hyper-V
- Assigner une adresse IP fixe (ex 192.168.1.1) sur la carte réseau du réseau ainsi crée (carte virtuelle Hyper-V)
- Configurer Routing and Remote Access pour faire du NAT
- Configurer les VM afin d’utiliser le réseau virtuel Hyper-V et de passer en DHCP ou IP fixe suivant vos souhaits.
Ajouter le rôle
Configurer le NAT
Popularity: 15% [?]
Un usage atypique du firewall Windows 7
0On pense souvent aux firewall, et celui intégré à Windows en particulier pour autoriser des flux entrants. Je vous propose là un autre usage, qui s’avère très commode:
Empêcher des applications de se connecter à Internet.
Ce blocage, sélectif, est redoutable : inutile de savoir les ip de destinations, car on bloque directement au niveau du processus. Donc même Akamai n’est plus un soucis
Un cas concret ? Un jeu qui aime bien aller sur les serveurs de l’éditeur pour faire pleins de choses inutiles.
La seule chose à faire est de ne pas oublier un autre exécutable que pourrait lancer le processus principal. Process explorer permet de voir les processus par exemple. Dans le toute, les faire tous
Certains verront peut être enfin un intérêt au firewall 
Popularity: 8% [?]
SCOM 2007 R2: base operationsManager sur SQL Server 2008 R2
2Contrairement à SCCM 2007R2, SCOM n’accepte pas d’installer la base OperationsManager/Data Warehouse sur un SQL Server 2008 R2. La vérification des pré requis échoue, indiquant que SQL Server n’est pas installé:
Le moyen le plus simple que j’ai trouvé est d’utiliser DBCreateWizard, disponible sur le CD/iso dans \SupportTools\AMD64. Il permet de créer la base OperationsManager et Data Warehouse:
Une fois le RMS installé, je vous conseil de passer la Cumulative Update #2.
Popularity: 16% [?]
SCOM 2007 R2: superviser une VM Linux Amazon EC2
0Quelle drôle d’idée vous allez me dire… Mais avoir une ou plusieurs VM dans le cloud ne justifie pas d’avoir une supervision « à part ». Cependant le défi est pas mal:
- Les Managements Pack Microsoft ne sont pas prévu pour Fedora
- L’authentification par défaut sur les VM Amazon est à base de certificat
Lorsque SCOM détecte Fedora, il bloque directement: 
Pour détecter la version, SCOM exécute le script Shell qui se trouve ici: 
Par ailleurs, le dossier comprend aussi les RPM qui sont installés par la suite (démon). Arriver à notre fin va nécessiter de l’huile de coude à plusieurs endroits…
Pour vous encourager, voici le résultat: 
Vous l’aurez compris, il s’agit notamment de faire croire à SCOM que nous avons une Red Hat. Il y a en fait deux possibilités:
- Créer un Management Pack pour Fedora.
- Maquiller la VM pour paraitre comme une Red Hat.
La première solution est la plus élégante, mais elle va être longue à mettre en place, et à maintenir ensuite. J’ai donc préféré la seconde, surtout qu’une Fedora n’est pas très éloignée…
Modifications sur le Linux Amazon EC2
Autoriser la connexion SSH sans certificat
dans /etc/ssh/sshd_config:
PasswordAuthentication yes PermitRootLogin no #Supprimer également la dernière ligne du fichier qui permet un logon root sans mot de passe
Il faut ensuite donner un mot de passe au compte root:
passwd root
puis recharger la configuration:
/etc/init.d/sshd reload
Puis créer un compte utilisateur pour SCOM:
useradd scom passwd scom
Vérification du hostname
HOSTNAME=www.lotp.fr
Dépendances
Le package RPM de Microsoft a des dépendances, notamment sur deux librairies:
- /usr/lib/libssl.so.6
- /usr/lib/libcrypto.so.6
Si votre système a une version plus récente (so.8 …), il suffit de faire des liens symboliques (ln -s cible fichierquiexiste): 
Au final, j’ai les liens symboliques suivants:lrwxrwxrwx 1 root root 16 Feb 16 16:19 libssl.so.6 -> libssl.so.0.9.8k lrwxrwxrwx 1 root root 12 Feb 16 16:23 libcrypto.so.6 -> libcrypto.so
Je vous invite à copier le rpm (scx-1.0.4-248.rhel.5.x86.rpm), afin de valider la bonne installation. Sinon c’est SCOM qui le fera pendant le déploiement, et les messages de retour ne sont pas toujours explicite.
Par ailleurs, cela permet de voir le nom avec lequel le certificat est crée:
Il est toujours possible de le désinstaller:
rpm -e scx-1.0.4-248.i386
Ports TCP
- SSH
- port 1270 (agent scom sur Linux)
Il faut configurer le parefeu Amazon afin que ces deux accès soient possibles. Si le port 1270 n’est pas joignable, SCOM remonte une erreur de timeout pas explicite. Le trafic vers ce port est confirmé par une trace réseau: 
NB: si vous ne connaissez pas Wireshark, j’ai fait une vidéo/tutoriel dessus, elle est disponible ici.
/etc/redhat-release
Par défaut, Fedora crée un lien symbolique de /etc/fedora-release vers /etc/redhat-release. il faut casser ce lien symbolique, et créer le fichier redhat-release avec comme donnée Red hat…:
rm /etc/redhat-release echo "Red Hat Enterprise Linux Server release 5" > /etc/redhat-release
Modifications sur SCOM 2007 R2
Les actions à mener seront les suivantes:
- Autoriser WinRM à faire de l’authentification basique
- Importer les Managements Pack Linux/Unix génériques et Red Hat en particulier
- Ajouter un compte de type Authentification basique pour se connecter au Linux (non root)
- Ajouter un compte de type Authentification basique pour se connecter au Linux (root)
- Associer les comptes ajoutés aux profiles Unix Action Account et Unix Privileged Account
- Découvrir la VM Linux et signer le certificat
Ajouter la VM est passe comme une lettre à la poste si vous respectez bien les différents pré requis. Je vais donc m’attarder sur les problèmes que j’ai rencontré. Autoriser WinRM à faire une authentification basique: 
Si vous n’avez pas mis le bon hostname, le certificat est refusé au moment de le signer: 
Si vous ne déclarez pas de comptes, les workflow ne fonctionnent pas: 
Au départ, la VM n’est pas encore supervisée et marquée « unknown »:
Puis elle passe ensuite au vert:
Voilà, à ce stade, votre VM est supervisée par SCOM 2007 R2. Voici quelques écrans de SCOM 2007 R2 une fois tout opérationnel:
Popularity: 15% [?]
WDS/MDT: enlever F12
0Par défaut, pour démarrer depuis le réseau via WDS, il faut:
- Indiquer pendant le bios de démarrer sur le réseau (F12 en général)
- Une fois le bail DHCP obtenu, il faut de nouveau et rapidement presser F12 pour vraiment démarrer sur le réseau
Cette deuxième confirmation est une sécurité. Si l’ordre de boot positionne le réseau avant le disque dur, les machines essaieront tout le temps de démarrer via le réseau avant le disque dur. En général, on démarre sur le réseau uniquement pour installer le système d’exploitation, et ensuite tout le temps depuis le disque dur.
Moyennant d’avoir les bios correctement configurés, le deuxième F12 est en trop. Depuis WDS (2003 et 2008), il suffit de remplacer pxeboot.com par pxeboot.n12 pour supprimer le deuxième F12:
Pour rattraper un historique sur un parc existant, Dell et HP offre des outils centralisés pour paramétrer le bios des machines à distance (génération d’un exécutable à télé-distribuer en général):
- Dell: Dell Client Manager
- HP: HP Client Manager
Popularity: 18% [?]
Consulting LOTP
0je cherche des missions ponctuelles, par exemple:
- Interventions sur production bloquée
- Audits (tests d’intrusions, santé de votre infrastructure…)
- Problèmes de performances
- Projets de courte durée
- Pilotes, maquettes
- Veille technologique
- Télé administration
- …
Besoin d’un regard neuf sur un problème sans solution?
Ma triple compétence Microsoft/Réseau/Sécurité me permet d’intégrer toutes les briques de votre infrastructure dans la réflexion, et ainsi proposer la meilleure solution dans votre contexte.
Contrairement aux spécialistes mono techno voir mono produit, ma vision transversale me permet d’identifier les impacts à tous les niveaux et corréler des évènements ou paramétrages entre eux.
Vous avez certainement un caillou dans la chaussure que je serai ravi de vous enlever! A distance ou sur site, d’une heure à 2 mois de travail, nous trouverons ensemble une solution adaptée à votre contexte.
Aller plus loin
Vous pouvez aussi consulter mon CV
je suis joignable à cette adresse : mathieu.chateau@lotp.fr
Mon profil linkedin : http://www.linkedin.com/in/mathieuchateau
Popularity: 7% [?]
Windows 7 powered / Boot VHD
0MAJ: Wireshark 1.2.4 corrige le problème ci-dessous, ainsi qu’un autre bug sur sur les RTP streams
Il était temps de réinstaller mon pc fixe. Après de bon services sous Vista (enfin autant que possible avec Vista j’ai décidé qu’une réinstalle s’imposait. J’ai longuement hésité entre Windows 7 et Windows Server 2008 R2. Ce dernier permet d’économiser une VM, et surtout d’avoir cet OS sous la main pour faire certains tests. Ayant cependant investi dans VMware Workstation (~48 VM), Hyper-V n’est pas critique.
Ce qui m’a fait hésité, et finalement choisir Windows 7, sont ces petites applications auxquelles j’ai pris goût et qui ne fonctionnent pas sur un 2008 R2 par faute de licence. Je pense notamment à Mozy et mon antivirus nod32. Ces deux produits ont une version pro/serveur et bloquent donc la version end user/home sur un OS serveur.
Microsoft offrait une licence Windows 7 ultimate à tous les inscrits TechED à Berlin, ce qui ne gâche rien.
Je n’avais pas encore eu l’occasion de tester Windows 7 sur un pc fixe, ou du moins ayant 2 écrans. Quelle joie de pouvoir enfin nativement basculer une fenêtre d’un écran à l’autre avec Win + Shift + flèche gauche/droite!
J’utilisais avant Display Fusion sous Vista, mais je préfère éviter un résident de plus.
Pour l’instant, le seul soucis que j’ai rencontré concerne Wireshark. J’ai bien installé la dernière version en 64 bit, qui marche par ailleurs très bien sur 2008 R2 sur mon Macbook Air:
Cela vient en faire du pilote de ma carte réseau Yukon Marvell. J’ai du faire un rollback sur le pilote afin de revenir à une version antérieure. C’est pas de chance, sous Vista j’avais dû mettre à jour au contraire le pilote pour fixer une fuite de handle. Un bug est déjà ouvert par d’autres personnes sur le bugzilla de wireshark
Dans un autre post j’expliquerai comment booter Windows Server 2008 R2 via un simple fichier VHD, ce qui me permettra de tester Hyper-V sans toucher à Windows 7
Popularity: 9% [?]