Différences entre les versions de « Divers »

AD & DNS & NTP[modifier]

Cela concerne des serveurs ou vm qui sont dans un domaine

Rappel 1 : Pour chaque interface, il ne faut cocher la case "Enregistrer les adresses de cette connexion dans le système DNS" que sur l'interface qui sert à joindre le domaine
(on souhaite donc que l’association "nom d’hote & IP" soit créé/mis à jour). Cela est valable aussi pour les serveurs AD

Pour le ntp sur les serveurs dans un domaine, il faut le forcer pour qu'il se synchronise sur l'AD : w32tm /config /syncfromflags:manual /manualpeerlist:"$ip_de_l_AD"

Rappel 2 : Sur les machines du domaine, les dns (ip de l'ad) doivent etre renseignés uniquement sur l'interface (front) qui sert à joindre le domaine. Sur les autres interfaces, on ne 
met pas de dns (sinon cela risque d'enregistrer le serveur avec son ip de back même si ce n'est pas les ip dns de l'AD). S’il écoute sur cette IP, une requete DNS pour obtenir 
l’adresse du serveur retournera 1 des 2 IPs (round robin). Un filtre est opéré sur le masque réseau de la source mais c’est  très faible comme solution pour s’assurer de retourner
la bonne IP.
S’il retourne l’ip de back, la machine sans accès à ce réseau (par exemple une machine sur le site du client) ne pourra pas joindre ce serveur.
Sur le serveur AD (controleur du domaine), il a juste comme dns 127.0.0.1 sur l'interface de front, et dans le role DNS on lui rajoute en forwarder les ip du FAI

Rappel 3 : Idéalement, les machines intégrées à un domaine doivent synchroniser leur temps sur le domaine. Le DC « principal » (serveur controleur du domaine ou se trouve l AD)
doit être configuré pour se synchroniser sur les serveurs NTP Agarik et être serveur de temps autoritaire. A étudier plus en détail pour le combo serveurs HyperV + AD virtualisé.

Rappel 4 : sur l'AD, dans le role dns, faire "propriété" à la racine de DNS, et configurer les forwarder pour taper sur les dns du FAI

AD & Securité[modifier]

Il ne faut jamais installé les Services de Certificats (CS) sur un AD, c’est une contrainte extrêmement lourde et dangereuse :
•	Le serveur sur lequel les services de certificats sont posés ne peut plus ni être disjoint du domaine ni être renommé
•	Une migration ou une maintenance du DC nous contraindra à gérer l’adhérence AD CS (et inversement)
•	Tout groupe local deviendra un groupe de domaine (puisque pas de groupe local sur un DC)
•	L’autorité de certification ne respecte pas les règles de sécurité et est donc un danger pour le domaine entier

Ces règles veulent qu’on installe une CA racine hors-ligne et hors domaine et qu’on lui rattache une CA subordonnée en ligne et dans le domaine
Là, par latéralisation, un compromission de la CA compromettrait tout le domaine

Cela va à l’opposé de qu’on souhaite faire du côté de la modernisation de notre SI : SPOF (1 serveur RADIUS : SRV78AOVPN02, 1 client RADIUS : SRV78AOVPN01), adhérence avec les contrôleurs de domaine (les services de certificats sont posés dessus).
!! De manière générale, le seul autre rôle à installer sur un DC est le rôle DNS. Tout autre rôle installé met en danger le domaine entier. !!

Apache log[modifier]

Si on installe apache sous windows on peut avoir du mal à superviser les logs car il rajoute un timestamp sur le fichier de log en question et ne fait pas rotation. Il faut configurer
les logs comme suit : ErrorLog "|bin/rotatelogs.exe -L logs/error.log logs/error-%Y_%m_%d.log 86400"
  - le "-L" permet d'avoir un lien hard de error.log vers error-$date.log
  - le 86400 est la rotation du fichier de log en secondes, soit 1 jour

Best practices[modifier]

Lorsque l'on installe un role ou une fonctionnalité, windows peut vérifier que l'on a installé cela au mieux. Pour vérifier cela, aller dans le "server manager", cliquez sur le role
ou la fonctionnalité en question, puis tout en bas dans "Ressources and support", il y a la liste des recommandations

Copy "bas niveau"[modifier]

Pour être sur de garder tous les droits, on peut utiliser l utilitaire inclus dans windows robocopy

Crontab[modifier]

Lorsque l'on veut cronner un évènement toutes les x minutes tout le temps, il vaut mieux lui dire de commencer à 00:01 car si on lui dit 18:00 il va s exécuter toutes les x minutes,
mais s'arreter à minuit et recommencer le lendemain à 18h.

Déploiment via rdp & Winrm[modifier]

Dans le cadre de déploiement à travers rdp on peut avoir des timeout, il faut modifier la valeur de Winrm (en cmd) : winrm set winrm/config @{MaxTimeoutms = "1800000"} 

DFS[modifier]

C’est un répertoire système, si on supprime des fichiers comme ça on casse le DFS.

Il y a une commande pour purger proprement les fichiers DFS en conflits :
https://shebangthedolphins.net/windows_dfs_conflictanddeleted.html
La première liste les répertoires répliqués avec leur GUID et la seconde nettoie un répertoire avec le GUID spécifié en argument.

on récupère les infos de la première : $ReplicatedFolders = WMIC.EXE /namespace:\\root\microsoftdfs path dfsrreplicatedfolderconfig get replicatedfolderguid,replicatedfoldername

on retire la première ligne qui contient les en-têtes et les lignes vides : | Select-Object -Skip 1 | Where-Object { $_.trim() -Ne '' }

pour chaque GUID, on exécute la commande de nettoyage :
ForEach ($Ligne In $ReplicatedFolders){
                $FolderGUID = $Ligne.Split(" "))[0]
                WMIC.EXE /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo where "replicatedfolderguid='$FolderGUID'" call cleanupconflictdirectory
}

Droits de fichier[modifier]

Il peut arriver que meme en admin on n ait pas les droits pour supprimer les fichiers. Il faut deja changer le proprietaire : Propriété / Sécurité / Avancé / Propriéraire --> Modifier (cocher "remplacer le
 proprietaire des sous conteneurs..). Faire ok jusqu à ressortir completement des propriétés.
Puis refaire Propriété  / Sécurité / Avancé / Autorisation --> Modifier  et ajouter le nouveau proprietaire avec tous les droits

GPO[modifier]

Créer une GPO locale pour les utilisateurs non administrateur avec les réglages suivants :

    Racine de la console → Stratégie Ordinateur Local\Non-administrateurs → Configuration utilisateur → Modèles d'administration → Composants Windows → Explorateur Windows → Dans 
Poste de travail, masquer ces lecteurs spécifiquer : Activé, estreindre à tout les lecteurs.
    Racine de la console → Stratégie Ordinateur Local\Non-administrateurs → Configuration utilisateur → Modèles d'administration → Menu Démarrer et barre tâches → Supprimer et 
empêcher l'accés aux commandes Arrêter, Redémarrer, Mettre en veille et Mettre en veille prolongée : Activé.
    Racine de la console → Stratégie Ordinateur Local\Non-administrateurs → Configuration utilisateur → Modèles d'administration → Panneau de configuration → Empêcher l'accès au 
Panneau de configuration : Activé. 

Pour créer la GPO :

    “Menu démarrer” → “Exécuter” → Taper mmc → “OK”
    Une fois la console MMC ouverte, aller dans “Fichier” → “Ajouter/Supprimer un composant logiciel enfichable…”

    Dans “Composants logiciels enfichable” choisir “Éditeur de d'objet de stratégie de groupe” et cliquer sur “Ajouter >”
    Dans la fenêtre qui apparaît cliquer sur “Parcourir”, sélectionner l'onglet “Utilisateurs”, choisir “Non-administrateurs” et cliquer sur “OK” → “Terminé” → “OK”
    Effectuer les réglages demandés. 

* Pour gérer des GPO de mot de passe par groupe, il faut ne faut plus appliquer via des GPOs mais via la fonction Fine-Grained Password Policies :
(https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/)

HyperV problème de perf[modifier]

Sur des VM dans un hyperV avec un montage nfs, il faut désactiver le RSC (https://docs.microsoft.com/fr-fr/windows-server/networking/technologies/hpn/rsc-in-the-vswitch ) au niveau des hyperviseurs, sinon ca rame niveau accès nfs

Interfaces réseaux[modifier]

Dans certain cas on peut avoir des interfaces réseaux invisibles (suite changement de mac sur une vm par exemple), pour les voir et les supprimer :
 - taper "set DEVMGR_SHOW_NONPRESENT_DEVICES=1"
 - taper "devmgmt.msc"
 - Affichage > Afficher les périphériques cachés
 - Dérouler les cartes réseaux et supprimer l'interface réseau ayant une icone montrant l'aspect "caché" de l'interface (à priori, elle s'appelle "Carte réseau de bus VMBus Microsoft")
   . Ne pas cocher "supprimer le pilote pour ce périphérique."

Licence CAL pour TSE[modifier]

Installer les rôles suivants : Service Bureau à distance \ Hôte de session bureau à distance & Gestionnaire de licences des services Bureau à distance 

Allez dans le getionnaire de serveur, "Roles" / "Services bureau à distance" / "Configuration d'hote de session bureau à distance", puis dans la partie "gestionnaire de licences", 
sélectionner le mode de licence par utilisateur

Allez dans "Outil d'administration" / "Services bureau à distance" / "Gestionnaire de licences des services bureau à distance", et sur le serveur "TSE1" faire "activer le serveur".
Appeler le support d'activation microsoft
{{{

Ntp[modifier]

Informations complementaires : http://www.eecis.udel.edu/~mills/ntp/html/ntpq.html#system et http://www.eecis.udel.edu/~mills/ntp/html/decode.html#peer

Configuration ntp sous windows en cli

En dos, lancer la commande : w32tm /dumpreg /subkey:parameters
Cela affichera comment le serveur est actuellement synchronise :
   - NT5DS indique qu'il se synchronise sur le domaine (generalement l'ad). Les serveurs appartenants a un domaine SAUF l'ad, devront etre configure ainsi
   - NTP indique qu'il se synchronise sur un serveur NTP. Les serveurs n'appartenant pas a un domaine et les DC devront etre configure ainsi
   - AllSync indique qu'il utilise l'un ou l'autre des methodes. Elle est a eviter cependant. 

Pour lancer la configuration, c'est relativement simple. 
Pour un serveur a synchroniser dans le domaine : w32tm /config /syncfromflags:domhier /manualpeerlist:
Pour un serveur a synchroniser en ntp : w32tm /config /syncfromflags:manual /manualpeerlist:"ntp1.agarik.com ntp2.agarik.com"
(il faut mettre les serveurs ntp1|2.agarik.com dans le fichier hosts)

Une fois la commande passee, il faut verifier que cela se synchronise :
 - w32tm /config /update
 - w32tm /resync

Sur les windows 2012, si le serveur n'est pas dans un domaine, il le service windows time s'arrete au demarrage, il faut lancer cette commande : sc triggerinfo w32time start/networkon 
stop/networkoff (pour que le service temps ne s arrete pas au démarage)

Problème de droit[modifier]

Le compte system Autorité NT\Systeme gère beaucoup de chose dans Windows. Si il y a des soucis bizarre, il faut vérifier les droits, et qu il a toujours les droits admin

Reboot[modifier]

Pour les infos de reboot, dans l’observateur d’évènements, aller dans Journaux Windows > Système, Filtrer le journal avec la source d’évènement « user32 ». Ça permet d’avoir tous les redémarrages volontaires, que ce soit fait par un utilisateur ou un service. Si c’est un crash on a une erreur avec une source d’évènement de type kernel
Ou dansles logs d’accès : RDP : Journaux d’évènements > Journaux des applications > Microsoft > Windows > TerminalServices-LocalSessionManager > Operational
Get-EventLog System -Newest 10000 | `Where EventId -in 41,1074,1076,6005,6006,6008,6009,6013 | `Format-Table TimeGenerated,EventId,UserName,Message -AutoSize -wrap

Service manquant et reboot[modifier]

Si windows a un service en stop manuel (ou démarrage automatique), mais que le binaire n existe plus, windows va rebooter en boucle car il ne trouvera pas le service. Il faut bien supprimer le service
avec la commande "sc delete $nomduservice"

SmbMultichannel[modifier]

Sur Windows 2012 le SmbMultichannel (RSS ou RDMA) est activé par défaut donc lors d’un transfert de fichier d’un serveur à un autre toutes les interfaces seront utilisées.
Cela peut poser problème pour contrôler les flux et d’autre part cela peut également posé des problèmes de facturation (Alphavalue a une tâche planifié pour effectuer une sauvegarde de 
ces bases sur  son serveur de préprod or le transfert se faisait sur le prive et le public ).

Pour info :

http://blogs.technet.com/b/josebda/archive/2012/06/28/the-basics-of-smb-multichannel-a-feature-of-windows-server-2012-and-smb-3-0.aspx
http://technet.microsoft.com/en-us/library/jj134210.aspx#BKMK_enable

Storage Replica[modifier]

Par défaut on ne peut pas étendre un disque qui est en Storage Replica 
PS C:\Windows\system32> Get-SRGroup 
PS C:\Windows\system32> Set-SRGroup -Name "Replication 2" -AllowVolumeResize $TRUE (extension disque sur master seulement, avec l'outil de Windows, le disque slave va s extend tout seul)
PS C:\Windows\system32> Set-SRGroup -Name "Replication 2" -AllowVolumeResize $false 

Sysinternal Utilities & montage SMB[modifier]

Les Sysinternal Utilities apportent des fonctionnalités supplémentaires et peuvent permettre de faire des choses que parfois windows refuse (ex commande net use)

cmd /K "C:\Agarik\sysinternalssuite\PsExec.exe -i -s cmd.exe /c "net use Z: \\172.31.60.1\prod.gazmaps.sec.grdf.fr /persistent:yes" 

ou 
cmd /K "C:\Agarik\sysinternalssuite\PsExec.exe -i -s cmd.exe
Puis une foi la fenetre ouverte taper les commandes "classiques windows" (net use Z: \\172.31.60.1\prod.gazmaps.sec.grdf.fr /persistent:yes)

Pour voir le montage qui est fait sour le user Autorité systeme : psexec.exe –i –s CMD (le -s lance la commande CMD avec le user  Autorité systeme)

Pour délinker le montage : mklink /d  C:\NAS \\172.31.60.3\ppr.gazmaps.sec.grdf.fr  (si le montage est fait dans un dossier)

Pour supprimer le montage : net use Z: /delete  (si le montage est fait sur un lecteur)

Pour ajouter un montage : net use Z: \\172.31.60.3\ppr.gazmaps.sec.grdf.fr /persistent:yes

VSS[modifier]

Les vss servent principalement pour les backups, et à faire des clichés instantannée, leur état est visible avec la commande "vssadmin list writers", si il n'est pas stable et sans erreur, il faut relancer les services ci dessous (KO=l'état du vss est toujours en erreur / OK=l'état du vss est stable). Dans l'exemple ci dessous, seul la relance du vmms a réglé le problème

relance du service de cliche instantane => KO
Relance du service fournisseur de cliche instantane => KO
lancement du service COM+ => KO
relance du service vmms => OK

Swap[modifier]

90% du temps une alerte swap sur windows c’est parce que vous avez fermer la fenetre RDP au lieu de déconnecter proprement votre session windows sur le serveur.
Sur ce serveur on s’est retrouvé avec la console hyper-v qui a pris 16Go de swap. D’autre moment on se retrouve avec des alertes logs parce que des jetons kerberos sont expirés.
Pour éviter ces problèmes déloguez vous après avoir fini vos opérations sur un serveur 😊