Dans le cas ou un serveur Windows 2003 a ses disques sur du SAN ( storage area network) (exemples : Boot from San, raccordements de disques à une baie), il faut toujours aligner les pistes des disques pendant la création de ses partitions.

Pour cela, utilisez l’outil diskpart( Ref. KB 300415 )

Aller dans démarrer > exécuter > cmd > diskpart.exe

Dans notre exemple taper: select disk 0

Create partition primary align=64

exit

Puis, aller dans la gestion des disques ( aller dans démarrer > exécuter > diskmgmt.msc )

Sélectionner la partition créée et la formater au format NTFS en lui donnant une taille d’unité de 1024

Cliquer sur OK au message d’avertissement de formatage

Enfin, ajouter une lettre à la nouvelle partition ( par exemple la lettre D: )

La partition est maintenant parfaitement alignée.

Note: Sous Windows 2008 les pistes sont déjà alignées , il n’est pas nécessaire de refaire ces étapes

Sur les clusters de fichiers , il est possible de rencontrer des problèmes de synchronisation à partir d’une ressource partagée (à cause des profiles itinérants).

Pour contourner ce problème, il faut désactiver la mise en cache sur la ressource de votre cluster (Activé par défaut dans le cluster Windows ).

A partir de la console Cluster administrator (cluadmin)  > Aller sur la ressource partagée (exemple - R:\New Folder)

Cliquer sur le bouton “Caching…” > Décocher “Allow Caching of files in this shares folder” > OK

De cette manière , les profiles utilisateurs ne pourront plus utiliser les fichiers hors connexions à partir des serveurs.

Ce week-end je suis paresseux , je vous post un  pdf technet en anglais pour implémenter des politiques de mots de passe dans un domaine Windows 2003.

Même si les politiques de mots de passe ont beaucoup évoluées avec la dernière version de Windows server (meilleure granularité avec les politiques) , certains conseils de ce guide peuvent être aussi utilisés  pour Windows 2008, car il s’agit seulement de bon sens.

Le lien est ici

L’ Outil Clusdiag est un outil graphique qui effectue des tests de diagnostics sur un cluster de serveurs d’intégrations et qui crée des fichiers journaux afin d’identifier les problèmes de configurations avant le déploiement d’un environnement de production.

L’outil est téléchargeable ici

En mode online les tests à effectuer sont :

• SPFAIL-BASIC : Permet de vérifier que les ressources peuvent être basculées dans le cluster
• SPFAIL-REGULAR : Permet de stesser le cluster en basculant continuellement les groupes de ressources pendant 20 min

Référence :

• http://technet.microsoft.com/fr-fr/library/aa996161.aspx

Installation d’Active PERL

Télécharger active Perle sur le site officiel

Sources: http://www.activestate.com/activeperl/downloads/

Installation avec ActivePerl-5.10.0.1004-MSWin32-x86-287188.msi

Cliquer droit sur le binaire > Installer > l’assistant se lance

Cliquer sur suivant.

Cliquer sur I accept the terms in the Licence Agreement > suivant.

Installer l’application sur C :\Perl\ > Cliquer sur Suivant

Cliquer sur Install.

Cliquer sur Finish.

Configurer le mappage de script PERL pour IIS 6.0

Cliquez sur Démarrer, cliquez sur programmes, cliquez sur Outils d’administration, puis cliquez sur Services Internet (IIS).

Cliquez avec le bouton droit sur Default Web Site, puis cliquez sur Propriétés.

Cliquez sur l'onglet répertoire de base.

Dans Application settings > Cliquez sur Configuration.

Cliquez sur Ajouter

Taper

• Executable : C:\perl\bin\perlis.dll
• Extension : .pl

Vérifier que :

• L'option tous les verbes soit activée.
• Le moteur de script soit activé

Cliquez sur le dossier Web Service Extensions

Dans Taches > Cliquez sur Ajouter une nouvelle extension de service Web.

Tapez un nom pour l'extension.

Cliquer sur Ajouter > parcourir … C :\perl\bin\perlis.dll

Définir l'état d'extension à autorisée est activée.

Le langage PERL est maintenant correctement mappé sur le serveur IIS.

Vérification : Créer un script PERL test

Le script PERL suivant peut être utilisé avec IIS pour tester l'installation et l'exécution ISAPI (Internet Server Application Programming Interface) PERL.

Dans le bloc-notes, enregistrez les lignes de code dans le répertoire scripts suivantes :

$url = "http://$ENV{SERVER_NAME}$ENV{URL}";

$ip = "$ENV{REMOTE_ADDR}";

print <<ENDOFTEXT;

HTTP/1.0 200 OK

Content-Type: text/html

<HTML>

<HEAD><TITLE>Hello World!</TITLE></HEAD>

<BODY>

<H4>Hello World!</H4>

<P>You have reached <a href="$url">$url</a></P>

<P>Your IP Address is $ip</P>

<H5>Have a nice day!</H5>

</BODY>

</HTML>

ENDOFTEXT

exit(0);

Enregistrer sous … C:\Inetpub\wwwroot > Nommer le fichier helloworld.pl

Tapez l’url suivante : http://localhost/helloworld.pl

Résultat : La page web s’affiche, l’interpréteur ISAPI PERL fonctionne bien !

Vérifier que les pistes de vos disques sont alignées en fonction des limites de secteur. En utilisant diskpar pour créer des partitions alignées vous pouvez augmenter les performances des disques de 20 %.

Pour optimiser les performances de vos disques, il suffit d' aligner les bloques qui sont présentés au système.

Pour cela, télécharger diskpar (du Kit de ressources Windows 2000) à partir de mon dossier public ici

Ouvrir un commande (Démarrer | Exécuter | cmd)

Taper diskpar -i N : exemple N = 2 (0 correspond à la 1ere partition C:\ ).

Vérifier qu' il n' y a pas d' information sur la partition (= zéro )

Ensuite, taper diskpar -s 2 pour aligner la piste sur 64 secteurs

Démarrer le gestionnaire des disques (diskmgmt.msc) et formater le disque

Utiliser des tailles de bloques de type NTFS avec une valeur de 4096 (4 KB)

Enfin, pour vérifier l' alignement du disque retaper diskpar -i 2

Vérifier que la valeur StatringOffset 32768 / 4096 = 8 soit bien un entier , cela signifie que le disque est parfaitement aligné

Note : Ce post a été réalisé avec l' aide de ce tutorial (en anglais)

Si vous voulez modifier le démarrage d’un service mais que vous ne pouvez exécuter l’utilitaire de services (services.msc) , il est possible de le faire directement par la base de registre de Windows.

Pour cela, aller sur Démarrer > Exécuter > taper regedit

Ensuite, aller sur la clé : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Note: HKLM contient toutes les informations concernant votre machine ( hardware , système , software)

Ouvrir la clé Services

Rendez vous au service que vous souhaitez modifier

Exemple : Services IPSEC

Si le serveur n’est pas relier à un réseau ou à un domaine, mettre cette fonction sur manuel, sinon sur automatique.

Dans le panneau de droite de la base de registre > ouvrir la variable Start > modifier la Données de la valeur

Les valeurs correspondantes au type de démarrage du service sont :

• 2 = automatique
• 3 = manuel
• 4 = désactivé

OK

Note: Les valeurs sont en hexadécimale

Redémarrer le serveur pour que la modification soit effective

Résultat : Ouvrir l’utilitaire de services sur les propriétés de Services IPSEC

Le démarrage se trouve bien sur manuel (Données de la valeur : 3 )

Attention: Avant de manipuler la base de registre, il faut toujours faire une sauvegarde du .reg

Les alertes permettent de superviser les ressources des serveurs et définissent des limites d’utilisations pour lesquels des actions peuvent être déclenchées automatiquement.

Cliquez sur Démarrer > Programmes > Outils d' administration > cliquer sur Performances

(Ou lancer l’outil perfmon)

Les Journaux et alertes de performance doivent être affichés dans le volet de gauche

Cliquez sur Journaux et alertes de performance. Puis, Cliquez sur Alertes > Cliquez sur Nouveaux paramètres d’alerte …

Tapez un nom : (exemple 'demo')

 
OK

Dans l’onglet général > Ajouter un commentaire

Ajoutez les compteurs que vous souhaitez surveiller en cliquant sur Ajouter

Une fois que vous avez sélectionné les compteurs que vous souhaitez surveiller > fermer la fenêtre Ajouter des compteurs.

Pour chaque compteur, vous pouvez trouver une définition en cliquant sur expliquer

Choisissez la fréquence à laquelle vous voulez que les données à être échantillonnés et lorsque vous souhaitez recevoir une alerte.

Note : Vous pouvez spécifier un seuil distinct pour chaque compteur.

Sous l’onglet Action :

• Ouvrez une session une entrée dans le journal des événements de l’application
• Envoyer un message réseau à demo@mydomain.fr
• Démarrer une Données de performance du journal
• Exécuter ce programme

Cliquez sur l’onglet Planification, puis sélectionnez une planification pour l’alerte :

• Sous Démarrer l’analyse, sélectionnez une heure dans la boîte de saisie.
• Sous Arrêter l’analyse, sélectionnez un intervalle dans le Après : X secondes/minutes/heures/Jours
• Sous l’item ‘Lorsqu’une une analyse d’alerte se termine’ > sélectionner la case à cocher Commencer une nouvelle analyse.

Voici le résultat :

Enregistrer les paramètres sous … pour sortir un rapport .html

Installation et configuration d’un serveur Windows 2003 base de données fonctionnant sur MySQL. MySQL est un serveur de bases de données relationnelles SQL. L’outil d’administration privilégié pour ce moteur étant l’outil phpmyadmin, nous mettrons aussi en place PHP sur IIS6

Lexique :

• IIS 6.0 est le logiciel serveur Web de la plateforme Windows 2003
• MySQL Community Server 5 est un système de gestion de base de données (SGDB) Libre.
• PHP5 est un langage de scripts principalement utilisé pour produire des pages web dynamiques via un serveur HTTP mais pouvant également fonctionner comme n' importe quel langage interprété de façon locale.
• Phpmyadmin est une interface conviviale gratuite réalisée en langage PHP pour le SGBD MySQL afin de faciliter la gestion des bases de données MySQL sur un serveur
• MySQL Administrator [5]1.2 est un logiciel de gestion et d' administration de bases de données MySQL

Installation d’IIS 6 sur Windows 2003

Aller dans démarrer > Panneau de configuration > choisir Ajout / Suppression de programme. Dans la fenêtre qui s' ouvre > choisir Ajouter ou supprimer des composants Windows.

Dans le Gestionnaire des services Internet (IIS) > Sites Web > Site Web par défaut > Répertoire de base > Activer l’enregistrement dans le journal déplacer les Logfiles vers C:\LogFiles

Dans Site web par défaut > Cliquer droit > parcourir 

Résultat :

Installation de MySQL

sources :

• MySQL Windows 32-Bit — http://dev.mysql.com/downloads/mysql/5.0.html#win32
• MySQL Windows 64-Bit — http://dev.mysql.com/downloads/mysql/5.0.html#winx64

Installation avec mysql-essential-5.0.67-win32.msi

Cliquer droit sur le binaire > Installer > l’assistant MySQL 5 se lance

Choisir Custom > Installer l’application sur c:\MySQL\ > Cliquer sur Install

A la fin de l’installation cocher l’option Configure the MySQL Server now > Cliquer sur Finish.

Configuration du serveur MySQL

Sélectionner Detailed Configuration

Puis, sélectionner Server Machine ou Dedicated MySQL Server Machine

Sélectionner Multifunctional Database.

Choisir l' endroit ou mettre la base InnoDB [1]

Puis, sélectionner Online Transaction Processing (OLTP), ou manual settings (sup à 500 transactions concurrentes)

Choisir le port 3306 (par défaut) dans Enable TCP/IP Networking et cocher Enable strict mode (Permet de forcer les applications à utiliser un certain format à  la base)

Sélectionner Best Support for Multingualism comme caractère par défaut.

Installer MySQL comme un service Windows > Cocher Include Bin Directory in Windows Path (Pour travailler en ligne de commande)

Ajouter le mot de passe root pour MySQL

Ne pas cocher l’option Enable root access from remote machines, ni Create Anonymous Account

Enfin, Cliquer Execute.

Cliquer sur Finish.

MySQL maintenant est installé sur le serveur Windows 2003.

Vérifier que le service MySQL est dans les services Windows NT

Installation de PHP

Utilisation du mode Isapi : Le mode Isapi permet à IIS de charger PHP comme s' il faisait partie intégrante d’IIS.

Télécharger PHP5 sans programme d' installation sur le site officiel

• sources : www.php.net

Installation avec php-5.2.8-Win32.zip

Décompresser l' archive c:\php5

Puis, Créer un répertoire C:\php5\sessions\ pour le stockage des fichiers de sessions.

Donner les droits contrôle total uniquement sur ce dossier  pour les utilisateurs suivants:

• IUSR
• IIS_WPG
• Service Réseau

Copier les fichiers suivant dans les répertoires

1. php5isapi. dll [2] et php5ts.dll dans c:\windows\system32\inetsrv

2. libmysql.dll [3] dans c:\windows\system32

3. php.ini-recommanded [4] dans c:\windows\ en le renommant en php.ini

Configuration du fichier php.ini

Error handling and logging

error_reporting = E_ALL

display_errors = off [5]

Data handling

register_globals = Off

Renseignez le répertoire où Php trouvera ses extensions.

Paths and Directories

extension_dir = "c:\PHP5\ext"

Comme nous configurons Php avec une version de MySQL supérieur à la 4.1.x, il doit utiliser l' extension MySQLi

Dynamic Extensions

extension=php_mysqli.dll

Renseigner le répertoire de stockage des fichiers de sessions.

session.save_path = "C:\PHP5\sessions"

Configuration IIS pour intégrer PHP

Ajouter Php comme filtre Isapi

Aller dans le Gestionnaire des services Internet (IIS) > Sites Web > Site Web par défaut > Cliquer droit Propriétés > onglet filtres Isapi > Ajouter …

Nom : php5isapi

Exécutable: c:\Windows\System32\InetSrv\php5isapi.dll

Associer l'extension .php au filtre Isapi

Aller dans l'onglet répertoire de base > choisir configuration > Ajouter …

Exécutable: c:\Windows\System32\InetSrv\php5isapi.dll

Extension: .php

OK

Mettre qu’index.php est la page par défaut du site Web

Aller dans l'onglet Documents > Ajouter … > Saisir index.php

Monter index.php en haut de la liste

Autoriser l' extension php

Aller dans le Gestionnaire des services Internet (IIS) > Extensions du Site Web > Choisir Ajouter une nouvelle extension de Service Web ....

• Nom : php5
• Fichiers requis : C:\WINDOWS\system32\inetsrv\php5isapi.dll

Définir le statut de l' extension à Autorisée

Relancer IIS avec iisreset

Pour tester si Php est bien installé et configuré, créez un fichier index.php contenant le code suivant à la racine de votre serveur Web :

<?php phpinfo(); ?>

Lancez votre navigateur et allez à la page suivante : http://localhost/. Vous devriez voir Apparaître toute la configuration de Php en détail.

Installer phpMyAdmin dans un répertoire virtuel

Création du répertoire virtuel phpMyAdmin

Aller dans le Gestionnaire des services Internet (IIS) > Sites Web > Site Web par défaut > Clique droit > Nouveau > Répertoire virtuel …

Donner un alias : phpmyadmin

Donner un chemin d’accès : C:\phpmyadmin > Cliquer sur suivant

Autorisation d’accès au répertoire virtuel :

Cocher les cases : Lecture, Exécuter les scripts (tels que ASP), Exécuter (par exemple, applications CGI ou ISAPI)

Cliquer sur terminer

Dans l' onglet Sécurité de répertoire c:\phpmyadmin > choisir Authentification et contrôle d' accès. Désélectionnez Activer la connexion anonyme.

Télécharger phpMyAdmin sur le site officiel

• source : www.phpmyadmin.net

Décompresser phpMyAdmin-3.1.1-english.zip dans c:\phpmyadmin

Configurer les droits NTFS sur le répertoire physique de phpMyAdmin pour contrôler les accès

Ajouter les groupes de sécurités globales autorisés à accéder à phpmyadmin

Editez le fichier de configuration de PHPMyAdmin : config.sample.inc.php

Aller dans c:\phpmyadmin > Renommer le fichier en config.inc.php et l’ouvrir avec wordpad

Définissez la variable

/* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

$cfg['blowfish_secret'] = 'qsjAQ&QO+ODGJA-ZE234dg+jgd12649&3TZER324ZRZ';

Serveur où se situe la base MySQL

/* Server parameters */

$cfg['Servers'][$i]['host'] = 'localhost';

L' extension que vous utilisez avec PHP (voir plus haut) pour accéder à vos bases MySQL

/* Select mysqli if your server has it */

$cfg['Servers'][$i]['extension'] = 'mysqli';

Utilisateur et mot de passe que l' utilisateur utilise pour se connecter

/* User for advanced features */

$cfg['Servers'][$i]['controluser'] = 'user';

$cfg['Servers'][$i]['controlpass'] = 'password';

Pour fonctionner au mieux, phpMyAdmin a besoin de garder certaines informations Créez une base de données phpMyAdmin.

/* Advanced phpMyAdmin features */

$cfg['Servers'][$i]['pmadb'] = 'phpmyadmin';

Précisez le nom des tables de cette base utilisées pour stocker ces données

$cfg['Servers'][$i]['bookmarktable'] = 'pma_bookmark';

$cfg['Servers'][$i]['relation'] = 'pma_relation';

$cfg['Servers'][$i]['table_info'] = 'pma_table_info';

$cfg['Servers'][$i]['table_coords'] = 'pma_table_coords';

$cfg['Servers'][$i]['pdf_pages'] = 'pma_pdf_pages';

$cfg['Servers'][$i]['column_info'] = 'pma_column_info';

$cfg['Servers'][$i]['history'] = 'pma_history';

Workaround phpadmin: 1045- Access denied for root@localhost

Insérer les noms de host et de compte user par défaut avec le mot de passe mis en place dans le fichier ‘php.ini’

; Default host for mysql_connect() (doesn't apply in safe mode).

mysqli.default_host ='localhost'

; Default user for mysql_connect() (doesn't apply in safe mode).

mysqli.default_user ='root'

; Default password for mysqli_connect() (doesn't apply in safe mode).

; Note that this is generally a *bad* idea to store passwords in this file.

; *Any* user with PHP access can run 'echo get_cfg_var("mysqli.default_pw")

; and reveal this password! And of course, any users with read access to this

; file will be able to reveal the password as well.

mysqli.default_pw ='password'

Il ne reste plus qu’à effectuer l’implantation des noms de host et de compte user par défaut avec le mot de passe dans le fichier ‘config.inc.php’ aux lignes suivantes:

$cfg['Servers'][$i]['host']= 'localhost';

$cfg['Servers'][$i]['user'] = 'root';

$cfg['Servers'][$i]['password']= 'password';

Interface PhPMyAdmin

Installation de MySQL Administrator

Télécharger MySQL Administrator sur le site officiel

• Source : http://dev.mysql.com/downloads/gui-tools/5.0.html

Cliquer droit sur le binaire > Installer > l’assistant MySql Tools for 5.0 se lance ...

Chemin d’installation > Parcourir, C:\MySQL\MySQL Tools for 5.0\

Choisir Custom

Cliquer sur Install.

Cliquer sur Finish

Redémarrer le service MySQL

Configuration :

Démarrer Programmes > MySQL > Cliquer sur MySQL Administrator

Créer une connexion

Cliquer sur …

(Port par défaut : 3306)

Cliquer sur Apply

Vérification :

[1] InnoDB : moteur qui gère les transactions , les clefs étrangères donc une gestion d' intégrité de table. En contrepartie, les bases qui l' utilisent occupent plus d' espace sur le disque.

[2] php5isapi.dll est le fichier qui fait le pont entre IIS et le parser php5ts.dll

[3] libmysql.dll permet d' utiliser MySQL avec PHP

[4] php.ini est le fichier de configuration de PHP

[5] Lorsque le serveur est en production, display_errors = off

Voici quelques commandes WMI à ajouter à la console MOM pour vous aider à mieux gérer vos serveurs.

Scripts* WMI

List of Services
(list all of the services currently running on a selected server)
Type d'affichage: Ordinateurs
ligne de commande: WMIC /NODE:$Nom d'ordinateur$ SERVICE GET Name,DisplayName,ProcessId,Started,StartMode, SystemName
Démarrer dans: %SYSTEMROOT%\temp
Comportement de la sortie de la tache: Afficher la sortie

Get Memory Size
(List of Physical and virtual Memory (RAM))
Type d'affichage: Ordinateurs
ligne de commande de la tâche: wmic /node:$Nom d'ordinateur$ OS get totalvisiblememorysize,freephysicalmemory,totalvirtualmemorysize,freevirtualmemory

List of processes
(list all of the processes currently running on a selected server)
Type d'affichage: Ordinateurs
wmic /node:$Nom d'ordinateur$ process list brief
Démarrer dans: %SYSTEMROOT%\temp
Comportement de la sortie de la tache: Afficher la sortie

Installed Service Packs and Hotfixes
(Display Service Packs & Hotfixes)
Type d'affichage: Ordinateurs
ligne de commande de la tâche: wmic /node:$Nom d'ordinateur$ qfe GET description,hotfixid,installedby,installedon,servicepackineffect
Démarrer dans: %SYSTEMROOT%\temp
Comportement de la sortie de la tache: Afficher la sortie

Get System info
(The command displays these configurations: Host Name OS Name, OS Version, OS Manufacturer and OS Build Type Registered Owner, Registered Organization Product ID and Original Installed Date System Up Time, System Manufacturer, System Model, Syst)
Type d'affichage: Ordinateurs
ligne de commande:systeminfo /s $Nom d'ordinateur$ /u mondomaine.local\comptedeservice /p 1P@wword!
Démarrer dans: %SYSTEMROOT%\temp
Comportement de la sortie de la tache: Afficher la sortie

Ouvrir la console Administrateur

Les ajouts de ces commandes se font avec les utilisateurs ayant accès à la console d' Administration MOM

Par défaut certains scripts sont déjà crée dans la liste des taches (Observateur d’événements, Gestion de l' ordinateur, Configuration IP, Bureau à distance)

Créer une tache personnalisée

Ouvrir le dossier "Packs d' administration" | naviguez jusqu' au "taches"

Cliquez droit et ajoutez une "nouvelle tache"

Dans l' onglet "général" renseignez le nom de la tache et donnez une description.

Dans l' onglet "Détails" renseignez le type d' affichage, la ligne de commande, "démarrez dans..." et la sortie (Cf. scripts* WMI)

Validez

Ouvrir la console opérateur

La console opérateur se met à jour dans le panneau des taches

Sélectionnez un serveur géré et exécutez une tache personnalisée pour voir sa sortie

Note: Ces scripts sont modifiables et peuvent être adaptés à des besoins d' administration spécifiques.

Voici les étapes pour résoudre les problèmes liés au service Windows Time.

• La 1ere étape est de vérifier que le services W32tm de Windows 2003 est bien démarré

C:\Windows\system32>net start w32time
Le service demandé a déjà été démarré.

• A partir du serveur vous pouvez utiliser l' utilitaire NTPQuery ici pour vérifier qu' un serveur NTP est accessible (par exemple time.windows.com ) . Sinon vous pouvez utiliser la commande portqry ci-dessous inclus dans les outils de support de Microsoft Windows Serveur 2003 ici (NTP utilise le port UDP 123)

portqry –n time.windows.com –e 123 –p UDP

Note: Vous pouvez aussi lancer un ping même si cela ne donne pas une indication claire qu' un serveur NTP est disponible

• Pour vérifier qu' une machine se synchronise à un serveur de temps spécifique, utilisez le commutateur /monitor

C:\Users\Demo>w32tm /monitor /computers:time.windows.com
time.windows.com[207.46.232.182:123]:
ICMP: erreur IP_REQ_TIMED_OUT - Aucune réponse dans 1000ms
NTP: +11.1449213s décalage de l'horloge locale
RefID: server1-a.your.org [64.202.112.65]

Vous devriez avoir une sortie similaire en particulier la ligne qui montre dans mon cas que l' heure locale a un décalage de 11s avec le serveur de temps

• Vous pouvez forcer le synchronisation en lançant la commande

w32tm /configure /manualpeerlist:time.windows.com,0x1 /syncfromflags:manual /update

Note: si vous utilisez un nom DNS pour le serveur de temps il est important de rajouter 0x1 à la fin, vous pouvez omettre cette commande si vous utilisez une adresse IP.

• Après tout changement du service W32time vous devez redémarrer le service avec la commande

net stop w32time && net start w32time

• Puis vous pouvez dire à votre système de synchroniser le service temps avec la commande suivante:

w32tm /resync /rediscover

• Vous pouvez aussi vérifier que le serveur NTP est configuré dans la base de registre avec le suffixe 0x1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer

• Toujours dans la base de registre , vérifiez que l' entrée suivante est définie en NTP et non en NT5DS

HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type

• Assurez vous que l' entrée suivante à la valeur 5

HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags

• Puis, redémarrez et resynchronisez le service W32tm (/resync /rediscover)
• Vérifiez dans les logs .evt, si les manipulations ci-dessus ont réglé le problème . Si cela est bon, W32time ajoute l'ID 35 dans les événements systèmes.
• Si vous avez toujours le problème redémarrez le serveur et essayer l' entrée 0x8 à la place de 0x1 pour forcer W32tm à envoyer des requêtes clientes normales (A vérifier dans le registre).
• La dernière étape si vous avez toujours des problèmes est de déinstaller et de ré-enregistrer le service Windows time pour repartir de zéro .
  
  W32tm /unregister
  W32tm /register
  
• redémarrez le service

Note : La base de connaissance de Microsoft pour le débogage est ici

Dans cette demo, je ne veux pas sécuriser tous les paquets transitant sur le réseau avec Ipsec, mais seulement le trafic échangé entre un poste Client-XP et un serveur sensible Windows-2003-SA.

Pré-requis : Le client et le serveur doivent appartenir à une forêt / domaine car ipsec utilise Kerberos pour l' authentification.

Dans cet exemple:

• Contrôleur de domaine = IP : 192.169.1.200
• Windows-SA= IP: 192.169.1.201
• Client-XP = IP:192.168.1.10

Par défaut, 3 stratégies ipsec sont présentes sur Windows-2003-SA, mais aucune n' est activée.

• Client (Respond Only) communique sans Ipsec, sauf si un serveur lui demande d' utiliser Ipsec
• Secure Server (Require Security) impose l' utilisation d'IPSec et coupe la connexion en cas d' échec de négociation entre 2 Pc
• Server (Request Security)demande l' utilisation d'IPSec, mais accepte de communiquer en clair en cas d' échec de négociation

Créer un stratégie IPSEC personnalisée

Sur Windows-2003-SA Cliquer droit, Create IP security Policy et suivre l' assistant

Créer une 1ere règle pour accepter tout le trafic (la règle par défaut = dynamic - default response - kerberos)

Ensuite, créez une 2eme règle personnalisée pour filtrer les paquets entre le client-XP et Windows-2003-SA

Filtrez les paquets , la communication ne doit se faire qu' entre Windows-2003-SA et Client-XP: (Add | source address My_IP_Address - Destination DNS: A_specific_IP_Address)

choisir la méthode d' authentification avec kerberos

Ensuite, créez une règle pour bloquer le reste du trafic

Ajoutez une dernière règle pour autoriser uniquement le trafic ICMP

Appliquez cette stratégie aux stations de travail du domaine. Pour cela, faites un clic droit sur la stratégie et choisissez "Attribuer".

Configurer le client-XP pour qu' il accepte les connexions Ipsec. Pour cela, activer la stratégie locale Client (Respond Only)

Importer la stratégie ipsec dans l' annuaire d' entreprise

Déployer cette nouvelle stratégie ipsec grâce à l' AD et aux GPO

D' abord, il faut exporter la stratégie sur une disquette

Vous ne pouvez pas configurer la stratégie IPSec des serveurs au même endroit que la stratégie des stations de travail (dans "Default Domain Policy"). Il faut assigner la stratégie à une OU. Pour cela, allez dans l' outil d' administration "Utilisateurs et ordinateurs Active Directory" | créez une OU | Entrez le nom "IPSEC servers" | déplacer l' objet "Windows-2003-SA" dans cet OU

Ensuite, importez la stratégie ipsec dans la GPO de l'OU "IPSEC servers", et attribuez là

Configurer la stratégie Ipsec des clients

A l'instar de ce que nous venons de faire avec le client-XP, il faut aussi attribuer la stratégie "Client (Respond Only)" pour que les stations puissent communiquer avec le serveur sensible . Cela appliquera cette stratégie à l' ensemble des stations de travail du domaine. (Les postes communiqueront sans IPSec, sauf si un serveur lui demande d' utiliser Ipsec).

Dans la default domain Policy | Naviguez jusqu' à "Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégie de sécurité IP sur Active Directory". | Faire un clic droit sur la stratégie et choisissez "Attribuer".

Enfin, pour contrôler l' utilisation d'IPSec, choisissez IPSecMon (Aller dans Démarrer| Exécutez | tapez ipsecmon). Vous pouvez aussi reniflez les paquets entre les machines grâce à netmon.

Dans cette demo j' utilise le service RRAS de Windows 2003 et  le logiciel CCPROXY pour gérer le trafic internet des clients.

Concernant le proxy, vous trouverez toutes les informations sur le site de l' éditeur http://www.youngzsoft.net J' ai aussi ajouté l' exécutable dans mon dossier public ici

Schéma réseau:

Installer le service de Routage et accès distant (RRAS)

Le serveur RRAS possède deux cartes réseaux sur les deux sous-réseaux

• NIC1 : 192.168.1.100/24, DNS: 192.168.2.1
• NIC2 : 192.168.2.100/24, DNS: 192.168.2.1

Allez dans, Démarrer | Outils d' administration | Routage et accès distant | Configurer et activer le routage et l' accès distant

L' assistant se lance, choisissez "configuration personnalisée" puis "routage réseau"

Démarrer le service de routage

Pour permettre de voir les machines dans les deux sens , configurer la passerelle par défaut pour voir le sous-réseau 192.168.1.0/24 en activant une route statique.

Il reste à vérifier que le CLIENT1 peut se connecter à internet par l' intermédiaire de RRAS

(Par exemple, à partir du client1 lancez un tracert vers Google.fr)

Installer CCProxy sur le serveur RRAS

CCPORXY en version gratuite permet de connecter jusqu' à 3 utilisateurs simultanés, ce qui est suffisant pour faire des tests

Dans les options , choisissez les protocoles et ports clients qui seront appliqués sur les paramètres clients. Activez aussi l' auto-détection d' adresse IP locale et le service NT.

Maîtriser le trafic réseau

Dans l' "Administration des comptes", sélectionnez la catégorie "Autoriser seulement" et choisissez un type d' autorisation: " Adresse IP, MAC, utilisateur+mot de passe, IP+MAC etc."

Éditez les droits avec le profile de "webfilter" et "plages horaires"

Appliquez  les profiles au comptes utilisateurs

Configurer le cache

L' autre avantage du proxy vient dans sa "mise en cache" des pages internet , évitant aux postes clients d' aller sur le WAN pour des pages statiques (et permet ainsi de mieux gérer la bande passante ).

Pour modifier les paramètres de cache, allez dans CCPROXY | options | avancé | cache | Actualiser le cache toutes les (min) : XX min

Configurer le poste client

Sur le CLIENT1 , configurer manuellement les paramètres de proxy ( cette configuration peut être ajoutée via GPO )

• NIC CLIENT1: 192.168.1.5/24, Gateway: 192.168.1.5, DNS: 192.168.2.1

Allez dans,  IE | Outils | options internet | Connexions | Paramètres réseau | serveur proxy 192.168.1.100:808

L' interface utilisateur est maintenant gérée par le proxy avec l' enregistrement de logs

Le CLIENT1 peut accéder aux sites du WAN.

Par contre l' administrateur peut empêcher la navigation sur certains sites (selon plusieurs critères : plages horaires, groupes d' utilisateurs, contenu, etc.)

Voici un lien ici d' un outil pour générer des scripts à partir de classes WMI.

Note:  Je viens de trouver ce lien sur le site de Stéphane PAPP : Allez sur son blog

Je viens de trouver un outil de systernal assez intéressant pour débloquer une situation liée au clonage de machines virtuelles

J' ai monté une petite architecture de test et pour économiser du temps et de la ressource machine j' ai cloné un Windows 2003 Entreprise

J' installe l'Active Directory avec dcpromo et j' essaye de joindre les deux clones au Domaine (l' hôte)

-> impossible de se connecter à partir d' un Serveur virtuel, j' obtiens  le message " The name or security ID (SID) of the domain specified is inconsistent with the trust information for that domain"

La raison : Le SID de mes clones est le même que le SID que mon DC virtuel, normal, il s' agit de clones !

Le DC n' accepte pas la connexion car il y a un conflit d' identités entre les  machines

La solution viendra de systernal , un petit Soft nommé "NEWSSID" qui génére un SID aléatoire

Le lien: http://technet.microsoft.com/zh-tw/sysinternals/bb897418(en-us).aspx

Le résultat : les clones ont maintenant un nouveau SID et je peux enfin connecter les serveurs membres à mon domaine