Il peut arriver en entreprise de faire face à des compatibilités particulières avec les navigateurs, c'est même très fréquent. Pendant longtemps c'était Internet Explorer (Active X power!) mais c'est au tour du turbulent Chrome.

Chrome se met à jour seul, mais il est bien plus sage de se retourner sur père Chromium dont les sources sont disponibles. Problème : Chromium ne se met pas à jour seul...

Pourquoi donc ?

Chrome étant à la mode il arrive que certains développeurs imposent son utilisation pour des fonctionnalités particulières (ou parce qu'il n'y avait rien dans le cahier des charges sur ce sujet). Grâce à ces gens là vous vous retrouvez dans une situation où il est nécessaire d'utiliser Chrome pour une application métier... sauf que Chrome est aux antipodes de votre politique de confidentialité et de sécurité.

Vous pouvez alors proposer Chromium, mais il ne dispose d'aucun mécanisme de mise à jour... et ne pas maintenir à jour un parc en entreprise n'est pas tolérable non plus. Bien sûr est il possible de fabriquer votre propre package EXE puis de le déployer régulièrement avec SCCM ou autre, mais c'est fastidieux.

De mon côté j'ai préféré opter pour Vivaldi, il se met à jour tout seul et on a l'avantage de ne pas dépendre directement de Google (uniquement de Chromium). Certes il n'est pas libre, mais la politique de Vivaldi vis à vis du traitement des données est bien différente de celle de Google Chrome.

Et puis je suis tombé sur une vidéo d'Adrien qui nous présente chrlauncher un utilitaire pour Chromium :

Avec chrlauncher il devient très facile de centraliser la gestion du fichier de configuration par GPO.

Et pour ceux qui utilisent Chrome/Chromium je rappelle qu'il existe des templates ADMX pour gérer finement (ou désactiver) certaines options du navigateurs (documentation).

Article original écrit par Mr Xhark publié sur Blogmotion le 20/11/2017 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Oui alors je sais qu'en 2017 c'est un peu étrange de voir un billet sur Windows Server 2003, mais si vous rencontrez le même problème ce billet est là pour vous

Symptôme : une mire de connexion noire empêchant de se connecter, même en aveugle un message d'erreur (non lisible) apparaît, que ce soit en écran direct (console vSphere par exemple) ou en RDP.

Un problème de couleurs

J'ignore totalement ce qui provoque ce bug, mais force est de constater que je ne suis pas le seul à l'avoir rencontré.

Pour le corriger il suffit de modifier la clé de registre :

HKEY_USERS\.DEFAULT\Control Panel\Colors

Mais comment je fais puisque je ne peux pas me connecter me direz-vous... faites-le depuis une autre machine :

• Windows + R
• regedit > enter
• Fichier > connexion au registre réseau
• Saisir \\nom-du-serveur
• OK

Si la clé "colors" ne comporte que des champs à zéro alors c'est bien la cause du problème.

Pour corriger le défaut il suffit d'importer un fichier .reg contenant (pastebin) :

Windows Registry Editor Version 5.00

[HKEY_USERS\.DEFAULT\Control Panel\Colors]
"ActiveBorder"="212 208 200"
"ActiveTitle"="10 36 106"
"AppWorkSpace"="128 128 128"
"Background"="102 111 116"
"ButtonAlternateFace"="181 181 181"
"ButtonDkShadow"="64 64 64"
"ButtonFace"="212 208 200"
"ButtonHilight"="255 255 255"
"ButtonLight"="212 208 200"
"ButtonShadow"="128 128 128"
"ButtonText"="0 0 0"
"GradientActiveTitle"="166 202 240"
"GradientInactiveTitle"="192 192 192"
"GrayText"="128 128 128"
"Hilight"="10 36 106"
"HilightText"="255 255 255"
"HotTrackingColor"="0 0 128"
"InactiveBorder"="212 208 200"
"InactiveTitle"="128 128 128"
"InactiveTitleText"="212 208 200"
"InfoText"="0 0 0"
"InfoWindow"="255 255 225"
"Menu"="212 208 200"
"MenuText"="0 0 0"
"Scrollbar"="212 208 200"
"TitleText"="255 255 255"
"Window"="255 255 255"
"WindowFrame"="0 0 0"
"WindowText"="0 0 0"

Redémarrer ensuite le serveur et c'est gagné.

source

Article original écrit par Mr Xhark publié sur Blogmotion le 10/12/2017 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

CopyTrans HEIC est un logiciel gratuit permettant d'afficher miniatures et d'ouvrir les photos au format HEIC (High Efficiency Image File Format). Ces images portent l'extension HEIC ou HEIF.

Ce format est notamment utilisé par Apple depuis iOS 11 et pas encore intégré à Windows.

Kézako le HEIC ?

Contrairement à ce que l'on pourrait penser ce n'est pas un format propriétaire, il a été développé par le Moving Picture Experts Group et est défini par le standard MPEG-H (site officiel). Nul doute que Microsoft va supporter ce format à l'avenir et CopyTrans nous permet d'en profiter dès maintenant.

Le HEIC est donc le digne remplaçant du JPEG (JPG) et du GIF car il supporte les animations, il est environ 2 fois moins lourd que du JPG pour une qualité d'image supérieure. Notons au passage que le JPG2000 n'aura donc eu son heure de gloire, dommage pour lui

CopyTrans HEIC conserve les données EXIF ​​des photos, il permet aussi de stocker des superpositions d'images dans un seul fichier : rafale, exposition, focales, etc. Compatible avec Microsoft Office pour l'insertion d'images HEIC dans vos documents, il permet la conversion en JPG à partir du clic droit sur une image HEIC ou encore l'impression de vos images.

Grâce à CopyTrans HEIC les aperçus des photos dans l'explorateur Windows fonctionnent et l'ouverture des images se fait nativement avec la visionneuse de photos Windows. Bref, il fait le job en s'intégrant à Windows, il est gratuit et se fait oublier. Que demander de plus ?

CopyTrans HEIC est compatible avec Windows 7, 8 et 10.

Article original écrit par Mr Xhark publié sur Blogmotion le 07/01/2018 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Nous utilisons massivement les raccourcis au quotidien sur Windows car ils nous font gagner un temps fou et nous évite quelques KM de souris.

Qui n'a jamais découvert quelqu'un d'autre utiliser un raccourci super pratique qu'il ne connaissait pas ? Je vous propose une liste de raccourcis qui sont très pratiques ou peu connus (parfois les 2). Ce billet n'a pas vocation a lister tous les raccourcis et commandes de Windows. Vous ne trouverez pas ici le ctrl+alt+suppr... Certains raccourcis ne fonctionnent qu'à partir d'une version minimale de Windows, généralement c'est Windows 7.

Dans l'explorateur

+ + N : nouveau dossier

+ + ESC : gestionnaire des tâches

+ clic droit sur un dossier : ouvrir une fenêtre de commandes ici

+ clic droit sur un fichier/dossier: copier le chemin d'accès

+ clic droit sur une application en barre des tâches : ancien menu qui permet de fermer rapidement une fenêtre (façon avant Windows 7)

+ 1, 2, etc. : ouvre l'application épinglée en barre des tâches (fonctionne avec les touches numériques au dessus d'azerty et sans MàJ, ne fonctionne pas avec le pavé numérique)

Sans oublier les plus connus :

+ E : explorateur

+ L : verrouille la session

+ D : affiche le bureau

+ pause : informations système

Les moins connus

Lancer une application en tant qu'admin à partir d'une recherche dans le menu démarrer :

+ + enter

Bascule vers la configuration clavier suivante (ex: azerty <> qwerty)

+

Dans la barre de chemin de l'explorateur :

• saisir CMD ouvre une invite à cet endroit
• saisir "explorer ." pour ouvrir un explorer dans le dossier courant (pratique en boite "enregistrer-sous")
• saisir bureau, corbeille, documents ouvre le dossier correspondant

Environnement graphique

+ flèches : aligne / déplace une fenêtre sur un autre écran (aussi pratique en RDP)

+ X : menu démarrer alternatif (à partir de Windows 8)

+   + F : recherche Active Directory (entreprise)

+ tab : application suivante (connu)

+ + tab : application précédente (moins connu)

+ espace : ouvre le menu contextuel de la fenêtre qui a le focus

+ + V : coller du texte sans mise en forme (word, navigateur, etc.)

+ tab : onglet suivant

+ + tab : onglet précédent

Bureau à distance

+ + FIN (end) : lance un ctrl+alt+suppr dans la machine distante en RDP, très pratique avec Windows Server 2012/2016 et leur interface à la c**

Dans mstsc > options > affichages cocher "utiliser tous les moniteurs pour la sessions à distance" évite d'avoir des fenêtres sur le mauvais écran

Commandes à exécuter

+ R >

• control : ouvre le panneau de configuration
• control date/time : date et heure
• control userpasswords2 (ou netplwiz) : gérer l'autologin
• msinfo32 : info systèmes (numéro de série, version BIOS, etc)
• logoff : ferme la session
• rstrui : restauration du sytème (snapshots)
• ecent : fichiers récents dans l'explorateur
• fonts : polices windows
• wuapp : windows update (ms-settings:windowsupdate pour Windows 10 et 2016)
• cpa.cpl : connexion réseau
• inetcpl.cpl : options internet (IE)
• appwiz.cpl : programmes et fonctionnalités
• sysdm.cpl : nom d'ordinateur
• firewall.cpl et wf.msc : gestion du pare-feu / avancé
• powercfg.cpl : gestion des modes d'alimentation
• desk.cpl : résolution écran
• certmgr.msc : magasin des certificats
• services.msc : services
• migwiz : assistant migration/copie profil
• cleanmgr : nettoyage du disque
• mrt : suppression de logiciels malveillants
• osk : clavier virtuel
• psr : enregistrer les actions (pratique pour un guide/tutoriel)
• msra : assistance windows
• credwiz : sauvegarde et migration des mots de passe
• PrintBrmUi : migration de fil d'imprimante (ça existe!)
• StikyNot : note (post-it)

En invite de commande

F7 : historique des commandes

F9 : répéter une commande (équivaut à "!x" sous GNU/Linux)

Afficher toutes les adresses mac :

getmac /v

Affiche numéro de série du PC OEM :

wmic bios get serialnumber

Affiche le nom d'utilisateur et ses appartenances (groupes, SID)

whoami /all

Liste les utilisateurs locaux :

net user

heure de démarrage (EN) :

systeminfo | find "Boot Time"

heure de démarrage (FR) :

systeminfo | find "démar" :

Information sur l'utilisateur courant :

whoami

Mémoriser la trace (log) d'un script powershell :

start-transcript

Sans oublier l'astuce clip

sources complémentaires : 1, 2

Windows 10

Réglage de la transparence de l'invite sous Windows 10 (uniquement) :

+ "+" ou "-" du pavé numérique

Créer un nouveau bureau virtuel :

++D

Fermer le bureau virtuel en cours :

++F4

basculer entre les bureaux virtuels :

++Gauche/Droite

Conclusion

Si vous pensez que je suis passé à côté d'un truc peu connu alors n'hésitez pas à me le faire savoir en commentaire, je suis volontairement passé à côté de certains raccourcis.

De mon côté j'ai encore découvert quelques astuces sur le discord sysadmin_fr et c'est toujours surprenant de voir qu'on est passé à côté depuis des années

Article original écrit par Mr Xhark publié sur Blogmotion le 22/01/2018 | 6 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

La sécurité de votre SI passe par un contrôle des flux, aussi bien en entrée qu'en sortie. Quand vous ouvrez un accès à un serveur de votre entreprise cela doit se faire dans les règles de l'art de la sécurité.

On n'ouvre pas de flux d'internet directement vers le LAN. On utilise une DMZ exposée sur internet et dans laquelle on apporte un soin bien particulier pour durcir les systèmes d'exploitation. On peut limiter le nombre de services, limiter la diffusion de version en footer ou dans les en-têtes, etc.

L'organisation de vos DMZ est un choix structurant pour votre SI et les impacts sont lourds en cas de modification car on touche à de l'environnement de production.

Mais alors, faut-il un pare-feu physique ou virtuel ? Un seul ou plusieurs étages ?

Quelques conseils

De part mon expérience je vous conseille de créer à minima 2 DMZ :

• DMZ "internet" : exposée sur internet, on y trouve vos serveurs web, proxy inversé, ftp, smtp, etc.
• DMZ "serveurs" ou "intermédiaire" : cette zone tampon héberge des serveurs qui peuvent être accessibles depuis la DMZ internet mais aussi depuis le LAN (avec un politique d'accès stricte)

L'idée d'une telle architecture sur le plan des flux est le suivant :

• internet > DMZ internet : autorisé*
• internet > DMZ serveurs : interdit
• internet > LAN : interdit
• DMZ internet > DMZ serveurs : autorisé*
• DMZ internet > LAN : interdit
• DMZ serveurs > LAN : autorisé*

* : autorisé avec un filtrage strict sur les règles du pare-feu (je n'ouvre pas UDP si seul TCP est requis)

C'est simple, si on admet que le LAN est en bas et Internet en haut :

• tout ce qui descend est interdit ou contrôlé
• tout ce qui monte est autorisé ou contrôlé

En effet on part du principe que le LAN est un réseau sain et pas exposé, il a donc le droit d'aller presque partout. Je dis presque car il est inutile de tout ouvrir s'il n'y a aucun besoin, autant limiter la surface d'attaque en cas de ransomware, virus ou intrusion malveillante par exemple.

Quand au nombre il faut éviter de raccrocher toutes les DMZ sur un seul pare-feu. En cas de vulnérabilité il suffira de passer outre cet unique brique filtrante pour se retrouver sur le LAN. Préférez un pare-feu devant chaque DMZ, de marque différente dans la mesure du possible pour augmenter la complexité de passer au travers. Facile à dire mais très complexe à mettre en œuvre dans une infrastructure existante (coût matériel et logiciel, coupures, régressions, etc).

Bref ! Vous trouverez des pistes intéressantes dans le guide ANSSI qui vient de sortir.

Article original écrit par Mr Xhark publié sur Blogmotion le 03/02/2018 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Fr0gger Labs nous propose une courte vidéo technique faisant un résumé des techniques utilisées par certains programmes malveillants pour s'installer durablement dans votre OS :

De mon côté je vous conseille d'utiliser des logiciels qui analysent vos zones de démarrages pour vous, tel que CCE, Autoruns ou CodeStuff Starter. Bien sûr dans le cas d'un logiciel malveillant il vaut mieux commencer par quelque chose de plus radical comme Adwcleaner, Malwarebytes, RogueKiller, ZHPCleaner... sous réserve de ne pas en abuser. Là je vous parle plutôt de curiosité technique.

Ne désactivez JAMAIS la protection UAC de Windows, bien qu'elle ne soit violable elle permet d'éviter bien des surprises quand aux programmes qui nécessitent des droits administrateurs en douce.

Article original écrit par Mr Xhark publié sur Blogmotion le 07/02/2018 | Un commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Article original écrit par w4rell publié sur Blogmotion le 17/02/2018 | Un commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Les GPO sont très efficaces côté client mais une vraie galère côté serveur. Microsoft n'a pas fait évoluer l'interface d'admin depuis des lustres et cela relève parfois du défi de trouver la bonne entrée en partant d'une capture/tutoriel dans une autre langue.

Ne désespérez plus, voici la solution.

Group Policy Search

La solution réside dans le site GPSearch.

C'est un moteur de recherche pour GPO, disponible en français, anglais, allemand, italien et espagnol, mais pas que. Vous pouvez bien sûr filtrer selon les versions et applicatifs, mais aussi copier le nom de la clé de registre, sa valeur, son chemin etc.

Mais encore mieux : le lien direct vers le modèle (template ADMX) si la fonctionnalité n'est pas native à Windows Server.

Pour ma part je mets le site en anglais pour trouver la GPO que je cherche, puis je bascule le site en français et paf : on a directement le nom dans notre langue de molière.

Très pratique !

Un grand merci à Nilz pour m'avoir fait découvrir ce site sur le discord sysadmin_fr

Article original écrit par Mr Xhark publié sur Blogmotion le 04/03/2018 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Qu'il s'agisse du gestionnaire de tâches, de l'explorateur de fichiers, du registre ou d'un logiciel les colonnes sont partout.

En fonction de votre résolution ou de la taille de votre écran il faut jongler avec les petits curseurs pour les agrandir... et bien tout ça c'est terminé car il y a une astuce avec un raccourci clavier.

CTRL et "+"

La combinaison magique réside dans un raccourci clavier en maintenant la touche CTRL et le "+" du pavé numérique.

Je parle bien uniquement de la touche du pavé numérique, celle au-dessus de la touche "$" ne fonctionne pas pour cet usage. Si vous êtes sur un ordinateur portable sans pavé numérique la touche est accessible via la touche fn+ touche ayant le "+" inscrit dessus d'une autre couleur (souvent bleu, parfois gris ou orange).

Le résultat est que toutes les colonnes s'auto-adaptent au contenu. Le titre de la colonne n'est lui pas pris en compte.

Magique non ? enfin c'est ce que je me suis dit quand j'ai découvert ça après tant d'années.

Article original écrit par Mr Xhark publié sur Blogmotion le 05/03/2018 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Mauvaise nouvelle si vous avez des switchs Cisco, une faille critique découverte par Embedi permet de prendre complètement la main sur la configuration de 17 modèles de commutateurs.

L'exploit est référencé sous CVE-2018-0171 et Cisco qui a confirmé son existance.

Cette faille exploite une malformation de paquet lié à la fonctionnalité de Smart Install Client qui facilite le déploiement des switchs cisco en mode "plug and play". Embedi estime que 8,5 millions de switchs ont un port de management accessible sur internet et 250 000 seraient vulnérables. Oui, ça pique.

Pour exploiter la faille l'attaque utilise une requête de débordement de tampon sur le port par défaut du Smart Install (TCP 4786). Ensuite on peut modifier le mot de passe de l'équipement et entrer dans le "privileged EXEC mode", ajouter un compte, etc...

Une variante de PoC démontre qu'il est ensuite facile d'intercepter du contenu en mode MiTM grâce au classique port mirroring des familles :

Equipements à patcher

Voici la liste des équipements concernés et ayant une version IOS inférieure à 12.2(52)SE :

• Catalyst 4500 Supervisor Engines
• Catalyst 3850 Series
• Catalyst 3750 Series
• Catalyst 3650 Series
• Catalyst 3560 Series
• Catalyst 2960 Series
• Catalyst 2975 Series
• IE 2000
• IE 3000
• IE 3010
• IE 4000
• IE 4010
• IE 5000
• SM-ES2 SKUs
• SM-ES3 SKUs
• NME-16ES-1G-P
• SM-X-ES3 SKUs

Le votre en fait partie ? alors il faut patcher en urgence. Car l'exploitation de la faille peut aussi provoquer un déni de service du switch à cause du plantage du service watchdog qui part dans une boucle infinie. C'est pourquoi je vous déconseille d'essayer la faille avant de patcher !

Pour savoir si un switch est configuré avec la fonction Smart Install client, utilisez la commande show vstack config. Si le résultat contient "Role: Client and Oper Mode: Enabled" ou "Role: Client (SmartInstall enabled)" alors cela confirme que la fonction est activée sur le périphérique :

switch>show vstack config
 Role: Client (SmartInstall enabled)
 Vstack Director IP address: 0.0.0.0

switch>show tcp brief all
TCB Local Address Foreign Address (state)
0123DF14 *.4786 *.* LISTEN

Enfin pour scanner votre réseau et liste les équipements ayant le port 4786 ouvert :

nmap -p T:4786 192.168.10.0/24

Sur cette page Cisco dédiée vous pouvez saisir la version de votre IOS (avec la commande show version) pour connaître les failles associées.

Article original écrit par Mr Xhark publié sur Blogmotion le 06/04/2018 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

J'ai écrit un script qui automatise complètement la sauvegarde de BM et j'utilise service Cloud Sync pour faire une copie chiffrée sur hubiC.

Problème : le service Cloud Sync s'arrête à chaque fois qu'il faut valider une mise à jour de son paquet, et la copie ne se fait pas. Voici comment relancer le service par script.

Principe

Je ne vais pas détailler ici tout le process de backup, mais voici le principe :

1. chaque dernier jour du mois mon routeur (tomato) démarre mon NAS de backup (wakeOnLan)
2. Le NAS lance un script PHP hébergé chez Yulpa qui lance un script bash : création d'une archive tar.gz
3. Le NAS récupère l'archive localement (lftp)
4. Le NAS chiffre l'archive (7zip) et la dépose dans le dossier surveillé par Cloud Sync, qui prends le relai et envoie une copie chez hubiC

Cela paraît complexe, mais en réalité cela tourne comme une horloge depuis des années. Certaines étapes pourront être simplifiées car mon hébergeur (Yulpa) supporte crontab depuis peu sur ses offre d'hébergement mutualisé.

Relancer le service

Ce qui nous intéresse aujourd'hui c'est de relancer le service "cloudsync", voici mon bout de code bash :

#!/bin/bash
ps -aux | grep -i [s]yno-cloud-syncd > /dev/null 2>&1
if [[ "$?" == "0" ]]; then
 echo -e "Le service CloudSync tourne deja"
else
 echo -e "SynoCloud ne tourne pas : demarrage..."
 /volume1/@appstore/CloudSync/scripts/start.sh start
fi

Et voilà, simple mais efface

Article original écrit par Mr Xhark publié sur Blogmotion le 10/04/2018 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Vous avez défini un connecteur de réception SMTP anonyme (type frontend transport) sur votre infrastructure pour autoriser les applications et scripts à envoyer des mails.

Cela fonctionne pour les emails de votre domaine mais les emails externes ne reçoivent rien. Voici la solution.

Tester avec SMTP Diag Tool

Pour tester l'envoi soit vous le faites avec telnet, soit avec le freeware SMTP Diag Tool.

Laissez tous les champs par défaut, remplir seulement From avec toto@masociete.fr et To avec coucou@domaine-externe.fr

Vous devriez obtenir ceci :

550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain
Error: SMTP protocol error. 550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain.
Failed to send messageForcing disconnection from SMTP server.
QUIT

J'ai cherché cette erreur dans les logs mais je n'en ai pas trouvé trace...

Autoriser l'IP source

Pour ma part je filtre sur les IP des machines émettrices sur mon connecteur de réception SMTP. Vérifiez donc d'abord que l'IP de la machine qui essaye d'émettre un email est autorisée dans l'étendue du connecteur.

Dans le cas contraire vous aurez cette erreur :

530 5.7.57 SMTP; Client was not authenticated to send anonymous mail during MAIL FROM

Error: SMTP protocol error. 530 5.7.57 SMTP; Client was not authenticated to send anonymous mail during MAIL FROM.
Failed to send messageForcing disconnection from SMTP server.
QUIT

La solution

Vous devez ajouter une permission pour que les utilisateurs anonymes puissent envoyer des emails à destination de contacts externes (autre que le(s) domaine(s) géré(s) par votre infra exchange).

Tout d'abord lister vos connecteurs :

get-ReceiveConnector
Identity Bindings Enabled
-------- -------- -------
SRV-MBX1\Relay SMTP SRV-MBX1 {0.0.0.0:25} True
SRV-MBX2\Relay SMTP SRV-MBX2 {0.0.0.0:25} True

Votre connecteur SMTP anonyme doit apparaître, plusieurs fois si vous avez plusieurs serveurs car il est en théorie présent sur tous vos serveurs (si vous faites du round-robin dns notamment).

Ajouter la permission manquante pour chaque serveur :

Get-ReceiveConnector -Identity "SRV-MBX1\Relay SMTP SRV-MBX1"| Add-ADPermission -User "AUTORITE NT\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
Get-ReceiveConnector -Identity "SRV-MBX2\Relay SMTP SRV-MBX2"| Add-ADPermission -User "AUTORITE NT\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Et voilà

sources +infos : 1, 2, 3

Article original écrit par Mr Xhark publié sur Blogmotion le 05/05/2018 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Dans le cadre d'une migration de Microsoft Exchange 2010/2013 vers Exchange 2016 vous allez créer des lots de migration pour déplacer vos BAL des anciennes banques vers les nouvelles.

C'est Exchange 2016 qui s'occupe du déplacement des BAL vers ses banques, mais il arrive qu'un lot de migration reste bloqué en état "synchronisation".

Plusieurs causes possibles avec pour chaque cause sa solution que je vous détaille dans ce guide anti prise de tête ! J'ai en effet passé des heures pour comprendre comment la boite noire qu'est Exchange fonctionnait.

Disclaimer

Avant de vous lancer dans des opérations de migration assurez-vous d'avoir des sauvegardes intègres et récentes.

Quoi qu'il en soit je ne suis pas responsable de vos actions, je partage ici mon expérience et il ne s'agit en rien d'une référence. Chaque infrastructure a ses spécificités et réagit différemment.

La seule référence officiel est le technet Microsoft.

Pensez à désactiver tous les quotas sur vos banques de destination ainsi que les quotas en dur sur chaque mailbox, car le process de migration n'appréciera pas de se faire couper la chique par une restriction de quota. Vous remettrez les quotas en place une fois toutes les BAL migrées.

Ce guide concerne Exchange 2016, il a été validé uniquement sur cette version. Il est possible que cela fonctionne de façon similaire avec Exchange 2013, je n'ai pas essayé.

Historiquement sous Microsoft Exchange 2010 cette opération s'effectuait sous le nom de "demande de déplacement locale".

Lexique Exchange

• onpremise = hébergé chez vous sur votre infrastructure (locale)
• online = hébergé chez microsoft (office 365)
• banque de données = base de données = database
• BAL = boite aux lettres = boite email = mailbox

Avant tout, soyez patient

Ces opérations de lot de migration prennent du temps, même avec une BAL vide de test. Soyez patient et attendez au moins 30 à 60 minutes quand vous lancez un lot pour statuer sur le fait qu'il soit planté ou non (suivant la taille des BAL et des ressources de vos serveurs).

Les approximation de traduction de Microsoft ajoutent de la confusion, c'est pourquoi je vous détaille ici toutes les étapes.

Mais, quelle est la cause d'un tel blocage ? Il en existe au moins 2.

Cause 1

Vous avez une demande déplacement d'une banque Exchange 2010 vers une autre banque Exchange 2010 qui n'a pas été effacée. Exchange 2016 contrôle ceci une fois le lot lancé, mais pas avant. C'est un peu bête, mais c'est fait comme ça.

Cause 2

Vos banques de données et/ou leurs copies ne sont pas dans un état de santé "healthy".

J'ai rencontré ce problème et mes lots se comportaient de façon totalement aléatoire sans que je ne comprenne pourquoi... en regardant de près toutes les opérations passaient en file d'attente tant que les copies de bases n'étaient pas dans un état "health".

Là encore, Exchange ne prévient pas c'est donc à vous de vérifier que les bases sont bien montées et en état :

Get-MailboxDatabase -Status | Format-List name,server,mounted

Get-Queue | Select Identity,Status,MessageCount | fl

Et sur chacun de vos serveurs :

Get-MailboxDatabaseCopyStatus -Server SRV2016-1 | fl contentindex*,databasename

En cas de problème de santé cette commande affichera "FailedAndSuspended" et/ou "The content index is corrupted".

Une fois que vous avez vérifié que tout fonctionne bien, passons à la suite. Vous avez 2 possibilités gérer un lot de migration : le terminer manuellement ou automatiquement. Voyons le comportemen pour chaque mode.

Cas d'un lot terminé automatiquement

Le lot sera bloqué en "synchronisation" et dans "afficher les détails" l'utilisateur est en "échec".

Les autres utilisateurs du lot passent en état "synchronisation" :

Puis en état "terminé" :

Voici la solution :

• Dans les détails du lot > supprimer la BAL en échec (icone corbeille) qui passe en "suppression" avant de disparaître
• effacer la demander déplacement dans la console Exchange 2010 :

A ce moment là quand toutes les autres BAL sont terminées le statut du lot "synchronisation" n'a pas de sens car il n'y a plus rien à migrer. C'est juste un bug de l'interface web ECP qui n'arrive pas connaître le statut réel du lot, car même quand vous supprimez toutes les identités du lot il reste en état "synchronisation" !

Pour vérifier que les BAL ont changé de banque allez dans destinataires > boîtes aux lettres et regarder si les BAL sont bien dans la nouvelle banque.

Il ne vous donc plus qu'à :

• stopper le lot (bouton stop)
• Attendre que l'état passe de "interruption" à "interrompu"
• supprimer le lot (icone corbeille)
• Créer un nouveau lot avec la BAL qui posait problème (en mode "terminer automatiquement") :

Cas d'un lot terminé manuellement

Le lot sera bloqué en "synchronisation" et dans "afficher les détails" l'utilisateur est en "échec" avec l'erreur UserAlreadyBeingMigratedException.

Les autres utilisateurs du lot restent en état de "synchronisation", en réalité ils sont en attente à cause de la BAL en échec.

Solution :

• stopper le lot (bouton stop)
• Attendre que l'état passe de "interruption" à "interrompu"
• effacer la demande de déplacement de la BAL en échec depuis Exchange 2010 :
  
• relancer le lot (bouton play)

Toutes les BAL du lot repassent par les états "démarrage", "synchronisation", "terminé" puis synchronisé (y compris la BAL en échec) :

Note : il est tout à fait normal que la BAL en échec reste plus longtemps par l'étape de synchronisation car elle a un peu de retard sur les autres.

Si ce n'est pas le cas et que l'état reste bloqué en "synchronisation" vous reprendre la migration de la BAL bloquée :

Get-MoveRequest k0 | Resume-MoveRequest

Ou terminer la migration mais uniquement pour la BAL "k0" :

$Date = Get-Date
Get-MoveRequest "k0@bm.ad" | Set-MoveRequest -CompleteAfter $Date

L'état du lot devient "synchronisé", exemple : "boîtes aux lettres synchronisés : 3/3".

Il ne reste plus qu'à cliquer sur "terminer le lot de migration" à droite.

L'état du lot passe en "fin" (mal traduit, comprendre "en cours de finalisation") puis "terminé".

Exemple : "Boîtes aux lettres finalisées : 3/3".

Savoir si une BAL a migrée

Il vous suffit d'aller dans destinataires > boites aux lettres et ajouter la colonne "base de données". Pour cela cliquer sur les "..." > ajouter/supprimer des colonnes.

Si vos BAL indiquent des banques hébergées sur la nouvelle infra c'est terminé.

Comment avoir plus de logs

Pour avoir un peu plus de détails sur l'état :

Sur l'état de la migration d'une BAL :

Get-MoveRequest K0@bm.ad

Avec plus de logs :

Get-MoveRequest K0@bm.ad | Get-MoveRequestStatistics -includereport |fl

En exportant vers un CSV, plus pratique à lire :

Get-MoveRequest K0@bm.ad |Get-MoveRequestStatistics -includereport | Export-csv -Encoding UTF8 c:\temp\K0.txt

Sur l'état de la migration d'un lot (batch) :

Get-MigrationBatch -Identity "nom du lot" -IncludeReport

Limitation avec Exchange 2010

Si vous essayez d'effacer une demande de déplacement de 2010 vers 2016 depuis Exchange 2010 vous aurez ce message d'erreur :

"MapiExceptionNoAccess : Unable to open message store..."

Il protège le transfert, car c'est le serveur 2016 qui en est à l'origine et il ne faudrait pas que 2010 puisse interrompre l'opération.

Commandes et liens utiles

En complément quelques commandes qui peuvent servir :

Supprimer tous les lots terminés :

Get-MoveRequest -MoveStatus Completed | Remove-MoveRequest

Terminer un lot de migration préparé :

Get-MigrationBatch "nom du lot" | Complete-MigrationBatch

Terminer une demande de déplacement pour une BAL donnée :

Get-MoveRequest "toto@bm.ad" | Resume-MoveRequest

Voir l'historique de déplacement pour une banque de données (même après suppression) :

Get-MoveRequestStatistics -MoveRequestQueue "Banque-2016-2"

Déplacer une BAL de banque :

get-mailbox "toto@bm.ad" | New-MoveRequest -TargetDatabase "Banque-2016-1"

ou :

New-MoveRequest -Identity "toto@bm.ad" -TargetDatabase "Banque-2016-1"

Effacer toutes les demandes de déplacement terminées:
Get-MoveRequest -MoveStatus Completed | Remove-MoveRequest

Afficher la date et heure des étapes :

Get-MoveRequest "toto@bm.ad" | Get-MoveRequestStatistics | Select *TimeStamp

Liens utiles (technet et divers) :

1. Gérer les déplacements de boîtes aux lettres locales dans Exchange 2016
2. Gestion des lots de migration dans Exchange Online (la procédure de migration onpremise est très proche de la version online)
3. Préparer un lot depuis un fichier CSV
4. Différer la bascule
5. Utiliser PreventCompletion, CompleteAfter, SuspendWhenReadyToComplete
6. Reprendre individuellement une demande de déplacement

Conclusion

C'est un peu laborieux et j'espère que ces informations vous seront utiles. Comme d'habitude faites vos essais sur une plateforme labo avant de tester sur la production, on n'est jamais trop prudent.

Important : n'utilisez jamais l'argument -force sur pour supprimer un lot de migration, j'ai fait le test en labo et j'ai scratché complètement la BAL et le compte AD associé. Je suppose que cela a interrompu le process de migration en plein milieu, et c'est à proscrire !

Article original écrit par Mr Xhark publié sur Blogmotion le 10/05/2018 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Après Kali c'est au tour de Xubuntu de me donner du fil à retordre pour démarrer en mode live depuis le réseau, toujours grâce à iPXE.

Depuis Xubuntu 16.04 il semblerait que quelque chose ait changé dans la façon qu'à Xubuntu à démarrer. Ce guide fonctionne donc à partir de la 16.04, je l'ai testé en 18.04 également. De mon côté j'utilise Xubuntu mais cela doit être la même chose avec les autres environnements graphiques.

J'utilise Xubuntu car je le trouve léger et pratique, il tourne sur toutes les machines sans souci.

Extraire le contenu

Cette méthode démarre Xubuntu en RAM, je n'ai pas réussi à le démarrer sans charger l'ISO en RAM. Probablement à cause d'un problème de point de montage, je crois qu'il faut un script pour patcher le truc à la volée... mais ça ne marche pas.

Avant tout extraire le contenu de l'ISO à l'aide de 7zip, chez moi sur un stockage NFS hébergé par mon Synology  dont le nom est "xubuntu-18.04".

Boot

Et voici les paramètres de démarrage :

set synoip 192.168.0.12
 :xub1804_64r
 kernel nfs://${synoip}/volume1/PXE/xubuntu-18.04/casper/vmlinuz showmounts toram root=/dev/nfs boot=casper netboot=nfs nfsroot=${synoip}:/volume1/PXE/xubuntu-18.04 debian-installer/language=fr console-setup/layoutcode=fr splash ip=dhcp ro
 initrd nfs://${synoip}/volume1/PXE/xubuntu-18.04/casper/initrd.lz || goto erreur
 boot || goto erreur
 goto MENU_PRINCIPAL

Je publierai un jour le code du "goto erreur" et celui du menu principal, en attendez supprimez simplement à partir de "||" jusqu'à la fin.

Attention avec VirtualBox

Si vous faites vos essais avec VirtualBox, méfiance parce qu'il gère le boot PXE de façon très aléatoire... chez moi c'est parfois impossible de le faire tourner alors que ça marche la fois d'après, sans avoir rien changé.

Et quand ça marche j'ai le bureau graphique XFCE sous Xubuntu qui affiche n'importe quoi :

Il faut alors faire host+F1 puis host +F7 (host=touche ctrl droite par défaut sous VirtualBox) :

Je vous conseille plutôt d'utiliser une machine physique, un vieux laptop ou un fixe. Et là ça marche à tous les coups

Conclusion

C'est top avec Xubuntu, en revanche impossible de démarrer Ubuntu Mate 18.04 avec cette méthode. Si vous avez une astuce, je prends.

Article original écrit par Mr Xhark publié sur Blogmotion le 23/05/2018 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Processus propose une vidéo sur l'installation et la configuration de RemoteApp. Une fonctionnalité lié à RDP parfois un peu oubliée.

Son accès web permet justement d'avoir des applications de façons plus transparentes pour l'utilisateur qui n'a pas de second bureau.

Certes la vidéo ne rentre pas dans les détails mais les tutoriels détaillés sont nombreux sur le web si vous souhaitez aller plus loin.

Article original écrit par Mr Xhark publié sur Blogmotion le 28/06/2018 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

La traduction de Windows en français c'est bien, mais quand on cherche le nom d'un service dans services.msc à partir de son nom anglais, c'est vite compliqué.

Pour ça j'utilise une petite astuce en ligne de commande.

Avec cmd

Admettons que je cherche le nom français du service "pnp-x".

Il suffit d'ouvrir une invite de commande et de saisir :

wmic service | findstr -i "pnp-x"

Le nom français qui ressort est : Énumérateur de bus IP PnP-X.

Si le résultat est long ce sera illisible et il faut mieux envoyer la sortie en fichier :

wmic service | findstr -i "pnp-x" > tmp.txt

Avec PowerShell

Et voici l'équivalent en PowerShell :

Get-Service | Where-Object {$_.Name -like "*pnp-x*"} | fl

Conclusion

C'est assez surprenant qu'en 2018 nous n'ayons toujours pas de ctrl+F dans l'interface de gestion des services. Je sais que de nombreux utilitaires permettent la recherche, mais pas toujours facile d'installer ça sur des serveurs sans accès au web (ni sécurisé).

Vous pouvez aussi exporter la liste des services pour la coller dans un fichier texte.

Article original écrit par Mr Xhark publié sur Blogmotion le 20/07/2018 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

J'ai rencontré un cas assez particulier récemment sur une machine Windows 10, impossible de démarrer Microsoft One Drive.

Ce qui peut être assez embêtant dans le cadre de son utilisation avec Office 365 ou à titre personnel en version gratuite.

Symptômes

Au lancement de One Drive le processus apparaît brièvement puis disparaît du gestionnaire des tâches.

Le téléchargement de la dernière version n'y change rien, One Drive ne se lance toujours pas. Désinstallation puis réinstallation, même résultat.

One Drive était également absent de l'explorateur Windows, probablement supprimé manuellement.

Avant de commencer je vous conseille de garder la dernière version téléchargeable, et non pas celle livré avec Windows 10.

Reset

Cette commande n'a pas solutionné le problème chez moi mais il se peut qu'elle marche chez vous.

Voici comment lancer un reset de One Drive en ligne de commande :

%localappdata%\Microsoft\OneDrive\onedrive.exe /reset

Chez moi une erreur est apparue, passons à la méthode 1.

Solution 1 : avec O&O ShutUp

Si vous vous souvenez d'avoir utilisé O&O ShutUp10 alors cela peut venir de là.

Il existe en effet une option pour désactiver One Drive, il vous suffit alors de le réactiver :

Solution 2 : registre

Ceci revient à peu près au même que la solution 1 car O&O doit aussi agir à ce niveau là.

Saisir la commande suivant en tant qu'admin pour définir cette clé DWORD 32 bits (source) :

reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\OneDrive /v DisableFileSyncNGSC /t REG_DWORD /d 0 /f

Cette clé agit dans les stratégies de sécurité locales, normalement accessible via gpedit.msc mais si vous êtes sur Windows Home cette console n'existe pas, voici pourquoi je vous donne la ligne de commande à la place.

Pas besoin de reboot, mais dans le doute faites-le

Lancez One Drive

C'est maintenant le moment de vérifier que One Drive se lance enfin avec la commande :

%localappdata%\Microsoft\OneDrive\onedrive.exe

Et voilà !

En complément si vous avez toujours des difficultés : complément One Drive et complément One Drive

Article original écrit par Mr Xhark publié sur Blogmotion le 01/08/2018 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Monsieur Bidouille propose une nouvelle vidéo dans sa thématique sur Internet, et cette fois-ci il s'attaque au fonctionnement du DNS.

Une brique au combien essentielle pour le fonctionnement d'internet. Serveurs, zones, TLD, vous saurez tout !

Comme d'habitude avec Monsieur Bidouille c'est accessible à tous

Article original écrit par Mr Xhark publié sur Blogmotion le 18/08/2018 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Si vous utilisez votre propre autorité de certification (Active Directory par exemple) il peut-être utile de générer une demande de signature de certificat (CSR) autorisant plusieurs noms communs (common name) dans le but d'obtenir un certificat HTTPS (X.509).

Voyons comment faire avec openssl.

Fonctionnement

Sur le serveur GNU/Linux nous allons générer :

• une clé privée
• une clé publique
• une CSR (signée numérique avec la clé privée, contient aussi la clé publique)

Cette CSR sera ensuite soumise à l'autorité Active Directory qui retournera le certificat multi-domaine/SAN associé (les 2 sont possibles).

Noms alternatifs du sujet du certificat

Pour qu'un certificat HTTPS fonctionne le serveur doit être accessible via la même adresse que celle contenu dans le certificat. C'est le CN (common name) qui joue ce rôle. Mais il est possible de saisir plusieurs CN, on parle alors de "Subject Alternative Name" (SAN) ou "nom alternatif du sujet du certificat"

ex chez Digicert :

Ce type de certificat évite d'avoir à acheter plusieurs certificats, mais elle est aussi très pratique parce qu'un serveur peut être accessible via plusieurs adresses. Avec un répartiteur de charge, une URL différente en interne ou externe, etc.

Renseignement du fichier csr_details.txt

Cette méthode fonctionne sur tous les OS ayant OpenSSL de présent. Il l'est nativement sous GNU/Linux et téléchargeable sous Windows, même si personnellement je vous conseille de tout faire avec une machine GNU/Linux et de déplacer les clés sur votre machine Windows.

Voici les informations de notre serveur :

• nom FQDN : srvweb01.bm.local
• hostname : srvweb01
• IP : 192.168.1.20

Nous voulons donc que le certificat soit valide pour ces 3 adresses :

• https://srvweb01
• https://srvweb01.bm.local
• https://192.168.1.20

Nous devons préciser ces informations dans un fichier texte pour que openssl prenne en compte ces noms alternatifs :

cat > csr_details.txt <<-EOF
[req]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C=FR
ST=Grenoble
L=Grenoble
O=BLOGMOTION
OU=BLOGMOTION
emailAddress=cert@nospam-blogmotion.fr
CN = srvweb01.bm.local

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = srvweb01
DNS.2 = 192.168.1.20
EOF

Vous pouvez aussi faire un copier/coller dans un fichier csr_details.txt en cas d'erreur avec la commande cat.

Voici à quoi correspondent les champs :

• C : Country (pays)
• ST : State (état ou région)
• L : City (ville)
• O : Organization (nom entreprise)
• OU : Organization Unit (service / département)
• emailAddress : contact administratif du certificat
• CN : Common Name (nom commun)

source

Génération de la CSR

Passons maintenant à la génération de la clé privée et de la CSR (contenant aussi la clé publique).

Toujours utiliser sha256 car sha1 est déprécié, avec une clé minimum de 2048 (RSA) :

openssl req -nodes -newkey rsa:2048 -sha256 -days 3650 -keyout srvweb01.key -out srvweb01.csr -config <(cat csr_details.txt)

Le nombre de jours (10 ans ici) a peu d'importance car c'est l'autorité qui va déterminer la durée de validité du certificat.

Vous pouvez aussi utiliser un fichier à plat au lieu de l'inclure à la volée avec "-config csr_details.txt".

Voici les fichiers obtenus :

• srvweb01.key : clé privée
• srvweb01.csr : CSR

Le fichier csr est un fichier texte, vérifiez que son contenu contient quelque chose comme :

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Récupération du certificat

Cette procédure ne sera pas détaillée car spécifique à chaque type de PKI.

Toutefois si vous êtes sur une PKI AD, allez sur https://srvautorite.bm.local/certsrv/ puis :

1. Demander un certificat
2. Demande de certificat avancée
3. Soumettez une demande de certificat en utilisant un fichier CMC ou PKCS #10 codé en base 64...
4. Coller le contenu de la CSR dans "demande enregistrée"
5. Modèle de certificat : serveur web SAN ou serveur web multi-domaines
6. Envoyer
7. Télécharger le certificat au format souhaité (prenez les 2 on ne sait jamais...)

Si vous n'avez pas ce template alors vérifiez que vous êtes bien sur Windows Server Entreprise et non pas sur Standard qui ne permettait pas ce type de template avec Windows Server 2008 (pour les autres versions j'ignore si c'est aussi le cas). Voici un tutoriel pour monter une autorité sous 2012 R2 si besoin.

Notez qu'avec Windows 2008 R2 Server il n'est pas possible de créer et soumettre la demande de requête directement car seul SHA1 est proposé dans l'interface web. C'est pour cette raison qu'on passe via openssl pour générer la clé privée et la CSR.

Article original écrit par Mr Xhark publié sur Blogmotion le 20/08/2018 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

J'ai eu besoin de contrôler à distance mon smartphone Android depuis mon ordinateur, et je me suis rendu compte que c'était pas simple. Certes il existe des applications comme AnyDesk, TeamViewer mais également de nombreuses autres programmes Windows plus ou moins payant, et plus ou moins efficaces.

Jusqu'à ce que je tombe sur une solution qui marche du tonnerre et sans root !

Pre-requis

Avant tout il faut installer ADB (Android Debug Bridge). Comme la version de Google est une vraie usine à gaz je vous conseille de prendre une version repackagée par XDA : Minimal ADB and FastBoot.

Ne prenez pas la version portable, choisissez la version classique avec installation (lien direct v1.4.3).

Rien de spécial pour l'installation, suivant, suivant... terminer.

Ensuite il faut activer les options développeur sur votre smartphone dans :

• réglages
• à propos du téléphone
• numéro de build > appuyer 5 fois de suite

Puis :

• réglages
• options pour les développeurs
• débogage > activer le débogage USB

scrcpy

scrcpy (screen copy) est une application qui se connecte à votre téléphone via le cable USB (branchez-le).

Il suffit de télécharger la version Windows et de l'extraire pour lancer scrcpy.exe et là magie, l'écran de votre smartphone apparaît.

Et vous pouvez le piloter à la souris et au clavier (vérifiez verr.num).

Si l'écran est noir c'est parce que votre smartphone est en veille, un clic droit le réveillera (ou directement sur le smartphone). La touche "home" du clavier affiche le bureau android.

scrcpy fonctionne aussi avec GNU/Linux et MacOS, que de demander de mieux ?

Article original écrit par Mr Xhark publié sur Blogmotion le 24/08/2018 | 4 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons