Différences entre les versions de « Catégorie:Windows »

AD & DNS

Cela concerne des serveurs ou vm qui sont dans un domaine

Rappel 1 : Pour chaque interface, il ne faut cocher la case "Enregistrer les adresses de cette connexion dans le système DNS" que sur l'interface qui sert à joindre le domaine
(on souhaite donc que l’association "nom d’hote & IP" soit créé/mis à jour.

Rappel 2 : Les dns (ip de l'ad) doivent etre renseignés uniquement sur l'interface (front) qui sert à joindre le domaine, sur les autres interfaces on ne met pas de dns.
S’il écoute sur cette IP, une requete DNS pour obtenir l’adresse du serveur retournera 1 des 2 IPs (round robin). Un filtre est opéré sur le masque réseau de la source mais c’est 
très faible comme solution pour s’assurer de retourner la bonne IP.
S’il retourne l’ip de back, la machine sans accès à ce réseau (par exemple une machine sur le site du client) ne pourra pas joindre ce serveur.

Rappel 3 : Idéalement, les machines intégrées à un domaine doivent synchroniser leur temps sur le domaine, le DC « principal » doit être configuré pour se synchroniser sur les 
serveurs NTP Agarik et être serveur de temps autoritaire. A étudier plus en détail pour le combo serveurs HyperV + AD virtualisé.

Rappel 4 : Les redirecteurs doivent être configurés sur les serveurs DNS de l’Active Directory et doivent pointer sur les NS cache d’Agarik nsc1 et nsc2

Apache log

Si on installe apache sous windows on peut avoir du mal à superviser les logs car il rajoute un timestamp sur le fichier de log en question et ne fait pas rotation. Il faut configurer
les logs comme suit : ErrorLog "|bin/rotatelogs.exe -L logs/error.log logs/error-%Y_%m_%d.log 86400"
  - le "-L" permet d'avoir un lien hard de error.log vers error-$date.log
  - le 86400 est la rotation du fichier de log en secondes, soit 1 jour

Best practices

Lorsque l'on installe un role ou une fonctionnalité, windows peut vérifier que l'on a installé cela au mieux. Pour vérifier cela, aller dans le "server manager", cliquez sur le role
ou la fonctionnalité en question, puis tout en bas dans "Ressources and support", il y a la liste des recommandations

Crontab

Lorsque l'on veut cronner un évènement toutes les x minutes tout le temps, il vaut mieux lui dire de commencer à 00:01 car si on lui dit 18:00 il va s exécuter toutes les x minutes,
mais s'arreter à minuit et recommencer le lendemain à 18h.

GPO

Créer une GPO locale pour les utilisateurs non administrateur avec les réglages suivants :

    Racine de la console → Stratégie Ordinateur Local\Non-administrateurs → Configuration utilisateur → Modèles d'administration → Composants Windows → Explorateur Windows → Dans 
Poste de travail, masquer ces lecteurs spécifiquer : Activé, estreindre à tout les lecteurs.
    Racine de la console → Stratégie Ordinateur Local\Non-administrateurs → Configuration utilisateur → Modèles d'administration → Menu Démarrer et barre tâches → Supprimer et 
empêcher l'accés aux commandes Arrêter, Redémarrer, Mettre en veille et Mettre en veille prolongée : Activé.
    Racine de la console → Stratégie Ordinateur Local\Non-administrateurs → Configuration utilisateur → Modèles d'administration → Panneau de configuration → Empêcher l'accès au 
Panneau de configuration : Activé. 

Pour créer la GPO :

    “Menu démarrer” → “Exécuter” → Taper mmc → “OK”
    Une fois la console MMC ouverte, aller dans “Fichier” → “Ajouter/Supprimer un composant logiciel enfichable…”

    Dans “Composants logiciels enfichable” choisir “Éditeur de d'objet de stratégie de groupe” et cliquer sur “Ajouter >”
    Dans la fenêtre qui apparaît cliquer sur “Parcourir”, sélectionner l'onglet “Utilisateurs”, choisir “Non-administrateurs” et cliquer sur “OK” → “Terminé” → “OK”
    Effectuer les réglages demandés. 

Licence CAL pour TSE

Installer les rôles suivants : Service Bureau à distance \ Hôte de session bureau à distance & Gestionnaire de licences des services Bureau à distance 

Allez dans le getionnaire de serveur, "Roles" / "Services bureau à distance" / "Configuration d'hote de session bureau à distance", puis dans la partie "gestionnaire de licences", sélectionner le mode de licence par utilisateur

Allez dans "Outil d'administration" / "Services bureau à distance" / "Gestionnaire de licences des services bureau à distance", et sur le serveur "TSE1" faire "activer le serveur".
Appeler le support d'activation microsoft
{{{

Ntp

Informations complementaires : http://www.eecis.udel.edu/~mills/ntp/html/ntpq.html#system et http://www.eecis.udel.edu/~mills/ntp/html/decode.html#peer

Configuration ntp sous windows en cli

En dos, lancer la commande : w32tm /dumpreg /subkey:parameters
Cela affichera comment le serveur est actuellement synchronise :
   - NT5DS indique qu'il se synchronise sur le domaine (generalement l'ad). Les serveurs appartenants a un domaine SAUF l'ad, devront etre configure ainsi
   - NTP indique qu'il se synchronise sur un serveur NTP. Les serveurs n'appartenant pas a un domaine et les DC devront etre configure ainsi
   - AllSync indique qu'il utilise l'un ou l'autre des methodes. Elle est a eviter cependant. 

Pour lancer la configuration, c'est relativement simple. 
Pour un serveur a synchroniser dans le domaine : w32tm /config /syncfromflags:domhier /manualpeerlist:
Pour un serveur a synchroniser en ntp : w32tm /config /syncfromflags:manual /manualpeerlist:"ntp1.agarik.com ntp2.agarik.com"
(il faut mettre les serveurs ntp1|2.agarik.com dans le fichier hosts)

Une fois la commande passee, il faut verifier que cela se synchronise :
 - w32tm /config /update
 - w32tm /resync