|
|
| (2 versions intermédiaires par le même utilisateur non affichées) |
| Ligne 1 : |
Ligne 1 : |
| __TOC__
| |
| === AD & DNS ===
| |
| Cela concerne des serveurs ou vm qui sont dans un domaine
| |
| <pre>
| |
| Rappel 1 : Pour chaque interface, il ne faut cocher la case "Enregistrer les adresses de cette connexion dans le système DNS" que sur l'interface qui sert à joindre le domaine
| |
| (on souhaite donc que l’association "nom d’hote & IP" soit créé/mis à jour.
| |
|
| |
|
| Rappel 2 : Les dns (ip de l'ad) doivent etre renseignés uniquement sur l'interface (front) qui sert à joindre le domaine, sur les autres interfaces on ne met pas de dns.
| |
| S’il écoute sur cette IP, une requete DNS pour obtenir l’adresse du serveur retournera 1 des 2 IPs (round robin). Un filtre est opéré sur le masque réseau de la source mais c’est
| |
| très faible comme solution pour s’assurer de retourner la bonne IP.
| |
| S’il retourne l’ip de back, la machine sans accès à ce réseau (par exemple une machine sur le site du client) ne pourra pas joindre ce serveur.
| |
|
| |
| Rappel 3 : Idéalement, les machines intégrées à un domaine doivent synchroniser leur temps sur le domaine, le DC « principal » doit être configuré pour se synchroniser sur les
| |
| serveurs NTP Agarik et être serveur de temps autoritaire. A étudier plus en détail pour le combo serveurs HyperV + AD virtualisé.
| |
|
| |
| Rappel 4 : Les redirecteurs doivent être configurés sur les serveurs DNS de l’Active Directory et doivent pointer sur les NS cache d’Agarik nsc1 et nsc2
| |
| </pre>
| |
|
| |
| === Apache log ===
| |
| <pre>
| |
| Si on installe apache sous windows on peut avoir du mal à superviser les logs car il rajoute un timestamp sur le fichier de log en question et ne fait pas rotation. Il faut configurer
| |
| les logs comme suit : ErrorLog "|bin/rotatelogs.exe -L logs/error.log logs/error-%Y_%m_%d.log 86400"
| |
| - le "-L" permet d'avoir un lien hard de error.log vers error-$date.log
| |
| - le 86400 est la rotation du fichier de log en secondes, soit 1 jour
| |
| </pre>
| |
|
| |
| === Best practices ===
| |
| <pre>
| |
| Lorsque l'on installe un role ou une fonctionnalité, windows peut vérifier que l'on a installé cela au mieux. Pour vérifier cela, aller dans le "server manager", cliquez sur le role
| |
| ou la fonctionnalité en question, puis tout en bas dans "Ressources and support", il y a la liste des recommandations
| |
| </pre>
| |
|
| |
| === Crontab ===
| |
| <pre>
| |
| Lorsque l'on veut cronner un évènement toutes les x minutes tout le temps, il vaut mieux lui dire de commencer à 00:01 car si on lui dit 18:00 il va s exécuter toutes les x minutes,
| |
| mais s'arreter à minuit et recommencer le lendemain à 18h.
| |
| </pre>
| |
|
| |
| === GPO ===
| |
| <pre>
| |
| Créer une GPO locale pour les utilisateurs non administrateur avec les réglages suivants :
| |
|
| |
| Racine de la console → Stratégie Ordinateur Local\Non-administrateurs → Configuration utilisateur → Modèles d'administration → Composants Windows → Explorateur Windows → Dans
| |
| Poste de travail, masquer ces lecteurs spécifiquer : Activé, estreindre à tout les lecteurs.
| |
| Racine de la console → Stratégie Ordinateur Local\Non-administrateurs → Configuration utilisateur → Modèles d'administration → Menu Démarrer et barre tâches → Supprimer et
| |
| empêcher l'accés aux commandes Arrêter, Redémarrer, Mettre en veille et Mettre en veille prolongée : Activé.
| |
| Racine de la console → Stratégie Ordinateur Local\Non-administrateurs → Configuration utilisateur → Modèles d'administration → Panneau de configuration → Empêcher l'accès au
| |
| Panneau de configuration : Activé.
| |
|
| |
| Pour créer la GPO :
| |
|
| |
| “Menu démarrer” → “Exécuter” → Taper mmc → “OK”
| |
| Une fois la console MMC ouverte, aller dans “Fichier” → “Ajouter/Supprimer un composant logiciel enfichable…”
| |
|
| |
| Dans “Composants logiciels enfichable” choisir “Éditeur de d'objet de stratégie de groupe” et cliquer sur “Ajouter >”
| |
| Dans la fenêtre qui apparaît cliquer sur “Parcourir”, sélectionner l'onglet “Utilisateurs”, choisir “Non-administrateurs” et cliquer sur “OK” → “Terminé” → “OK”
| |
| Effectuer les réglages demandés.
| |
| </pre>
| |
|
| |
| === Licence CAL pour TSE ===
| |
| <pre>
| |
| Installer les rôles suivants : Service Bureau à distance \ Hôte de session bureau à distance & Gestionnaire de licences des services Bureau à distance
| |
|
| |
| Allez dans le getionnaire de serveur, "Roles" / "Services bureau à distance" / "Configuration d'hote de session bureau à distance", puis dans la partie "gestionnaire de licences", sélectionner le mode de licence par utilisateur
| |
|
| |
| Allez dans "Outil d'administration" / "Services bureau à distance" / "Gestionnaire de licences des services bureau à distance", et sur le serveur "TSE1" faire "activer le serveur".
| |
| Appeler le support d'activation microsoft
| |
| {{{
| |
| </pre>
| |
|
| |
| === Ntp ===
| |
| Informations complementaires : http://www.eecis.udel.edu/~mills/ntp/html/ntpq.html#system et http://www.eecis.udel.edu/~mills/ntp/html/decode.html#peer
| |
|
| |
| Configuration ntp sous windows en cli
| |
| <pre>
| |
| En dos, lancer la commande : w32tm /dumpreg /subkey:parameters
| |
| Cela affichera comment le serveur est actuellement synchronise :
| |
| - NT5DS indique qu'il se synchronise sur le domaine (generalement l'ad). Les serveurs appartenants a un domaine SAUF l'ad, devront etre configure ainsi
| |
| - NTP indique qu'il se synchronise sur un serveur NTP. Les serveurs n'appartenant pas a un domaine et les DC devront etre configure ainsi
| |
| - AllSync indique qu'il utilise l'un ou l'autre des methodes. Elle est a eviter cependant.
| |
|
| |
| Pour lancer la configuration, c'est relativement simple.
| |
| Pour un serveur a synchroniser dans le domaine : w32tm /config /syncfromflags:domhier /manualpeerlist:
| |
| Pour un serveur a synchroniser en ntp : w32tm /config /syncfromflags:manual /manualpeerlist:"ntp1.agarik.com ntp2.agarik.com"
| |
| (il faut mettre les serveurs ntp1|2.agarik.com dans le fichier hosts)
| |
|
| |
| Une fois la commande passee, il faut verifier que cela se synchronise :
| |
| - w32tm /config /update
| |
| - w32tm /resync
| |
| </pre>
| |
