Open Server Manager and select Roles from the left hand pane

If the TS Licensing role is not already installed it will need adding as a role service

Select Add Role Services

Check the TS Licensing box and click Next

I want a domain level discovery scope

At the Confirmation Screen click Install

Click Close when the installation completes

Open TS Licensing Manager, right click the server and select Activate Server

Click Next at the Activate Server Wizard

Select the connection method

Enter the requested details

You can ignore the optional information screen. The server is then activated and the wizard completes

Leave the ‘Start Install Licenses Wizard now’ checked and click Next if you wish to install TS CALs. Otherwise uncheck and click Finish.

If installing licenses the Install Licenses Wizard begins

Select the relevant license program from the drop down selection

Enter any details relating to your license agreement when prompted. In my case this is a Select agreement

Once accepted you are prompted to enter the Product Version and License Type

Once the license details are added the wizard completes

In the TS Licensing Manager the licenses should now be visible

If you haven’t already done so, access the Terminal Services Configuration Tool to change the Terminal Services licensing mode. Right click and select Properties

Select the licensing mode that matches your TS CAL licensing. You can also specify the license server rather than using automatic discovery

Licensing should now be complete.

Faire face à la protection de données qu’elles soient confidentielles ou personnelles. De l’entreprise qui nécessite la protection en termes de confidentialité de ces données sensibles, notamment avec la multiplication des utilisateurs nomades qui promènent avec eux une partie du patrimoine documentaires et autres types de données de l’entreprise sur leurs ordinateurs portables. Bien souvent cachés dans le coffre de leurs voitures ou simplement posé sur la banquette arrière de leurs véhicules, lorsqu’ils vont déjeuner ou faire leurs séances de sport en rentrant le soir. Aux utilisateurs domestiques qui souhaitent protéger leurs propres données personnelles stockées sur l’ordinateur dans le salon….

En passant par les adeptes de tous les logiciels de type Peer-to-Peer, qui pratique de douces séances de téléchargement quotidien de musiques, de films et autres médias copyrighté …

C’est à ces sujets que s’attaque cet article et l’on peut se rendre compte que la frontière entre la protection de données légitimes et illégitimes n’existe pas et que pour toutes ces données, même but, même combat…

Une fois n’est pas coutume, voici donc un article coécrit par deux personnes que j’ai eu l’occasion de rencontrer à plusieurs reprises.

Le sujet me paraît, à mon sens, intéressant et d’actualité. Je me suis juste permis d’ajouter quelques précisions par-ci par-là.

*****************************************************************

1. Introduction

Depuis les années 70, Internet n’a cessé d’évoluer, avec une accélération considérable depuis le début du 21ieme siècle. Cette accélération est principalement due à la démocratisation des accès ADSL, augmentant ainsi les débits, et donc, le partage d’informations.

Parallèlement à cette évolution, les ordinateurs, ainsi que les logiciels utilisés, ont réussi une importante mutation. De nouveaux procédés de compression de données (images, son, vidéo,…) facilitent les échanges et les partages.

Ainsi, un grand nombre d’internautes proposent des films, des musiques, et des images d’une taille raisonnable pour une qualité remarquable. Mais ces fichiers ainsi partagés n’ont pas tous le droit d’être mis à la disposition du monde.

Cet état de fait a incité le législateur à promulguer, au fil des ans, différentes mesures afin de contenter les ayants droit. La dernière en date : HADOPI. Cette mesure agit en étudiant l’importance de la taille des données partagées, ainsi que la légalité de ces échanges.

Un internaute pris sur le fait sera traîné en justice et se verra supprimer son droit d’accès à Internet. Pour certains cas plus graves, de plus importantes sanctions peuvent être décidées. C’est ainsi que beaucoup de développeurs et d’internautes se sont penchés sur des solutions pour contourner ces restrictions, et ainsi empêcher un superviseur étranger d’accéder au contenu de son ordinateur.

Comment garantir la confidentialité des données stockées sur son ordinateur ? Quelles sont les solutions aujourd’hui disponibles ?

2. Solutions

De nombreuses solutions de protection des données existent à ce jour, et sont disponibles sur de nombreux systèmes d’exploitation. La difficulté est de choisir la solution « la moins pire » répondant aux critères suivant :

• Une compatibilité maximale avec le système d’exploitation, améliorant ainsi la stabilité de l’ensemble
• Une efficacité maximale garantissant la sécurité des données mais aussi du système

Les dangers auxquels il faut faire face aujourd’hui sont :

• L’accès physique au système d’exploitation, pour en visualiser le contenu dans le contexte de l’utilisateur propriétaire
• L’accès aux données stockées sur les disques durs en externalisant ceux-ci sur une autre machine
• La protection des données sensibles stockées sur la machine de l’utilisateur.

La solution qui sera exposée dans cet article a vu le jour grâce à la venue au monde du nouveau système d’exploitation de Microsoft : Windows Seven.

En effet, celui-ci intègre nativement différentes fonctionnalités qui s’avèrent très utiles pour conserver la confidentialité des données.

Nous allons travailler sur trois principales catégories :

• L’ouverture de session
• Le chiffrage des données
• Le chiffrage des volumes.

Pour cela, nous allons étudier deux technologies intégrées dans Windows 7 :

• Système de Chiffrage de Fichier ou EFS : il permet le chiffrement des données par certificat
• BitLocker : outil de chiffrage de volume.

Cela nous permet d’obtenir une double sécurité de chiffrement des données grâce à ces deux technologies.

Concernant l’ouverture de session sécurisée, Windows 7 n’a vraisemblablement pas intégré dans ses fonctionnalités l’authentification par support amovible (autre que carte à puce).

En attendant de voir si cette technologie sera intégrée dans une future version de Windows, cet exposé énoncera un logiciel tiers permettant très simplement d’effectuer cette opération.

a. Encrypted File System et AD RMS (Rights Management Services)

• EFS (Encrypting File System) est un système de chiffrement de fichiers disponible depuis Windows 2000. Ces fichiers ne seront lisibles que grâce au certificat de(s) l’utilisateur(s) accepté(s) dans les Access List définies lors du chiffrement.

Ces certificats sont évidemment installés sur la machine locale, mais peuvent également être exportés pour sauvegarde sur support amovible.

Ici, l’intérêt d’EFS est de fournir une première couche de chiffrement, empêchant tout utilisateur non autorisé à consulter les données.

Le chiffrement par EFS s’appuie uniquement sur le système de fichier NTFS de Microsoft. Il est incompatible avec le système de fichier FAT32 et inférieur. Ainsi, toute donnée chiffrée sur un volume NTFS sera alors déchiffrée au moment de la copie vers un autre système de fichier.

EFS utilise une clé de chiffrement dite « symétrique », appelée FEK. Combiné avec la clé publique de l’utilisateur, cette clé permet un temps de chiffrement / déchiffrement relativement court.

Voici le schéma de chiffrement d’EFS :

En bref, cette technologie interdit la lecture des données par un utilisateur non-propriétaire lorsque celui-ci ne possède pas le certificat approprié, même si les disques sont externalisés sur un autre ordinateur.

• AD RMS qui offre la possibilité de protéger l’information de manière totalement indépendante de la technologie et de l’application. La protection de l’information devient difficile face aux moyens modernes de communication utilisée dans les entreprises. Qu’est-ce qui empêche un utilisateur de transférer un document, une présentation, des classeurs de chiffres d’affaires Excel vers une messagerie personnelle ou encore la messagerie d’un concurrent. 

  AD RMS permet donc de maintenir la sécurité des fichiers même lorsqu’ils sont en dehors de l’entreprise et lorsqu’ils ne sont pas stockés sur des supports de stockage qui n’appartiennent pas à l’entreprise et  que les administrateurs ne peuvent pas gérer.

(Source Microsoft)

Bien évidemment nous n’aborderons pas dans cet article la mise en place d’une solution tel qu’AD RMS, cela serait bien trop long. Mais le but étant juste de savoir que cette solution existe et qu’elle s’inscrit bien dans le processus de protection des données nécessaire aux entreprises aujourd’hui.

b. BitLocker

Sous Windows Vista, BitLocker ne permettait de chiffrer que le disque système. Avec Windows Seven, celui-ci a considérablement évolué puisqu’il est désormais possible de chiffrer n’importe quel volume.

Lors du chiffrement du disque système, BitLocker nécessite un démarrage à partir d’un support externe. Il peut s’agir d’un TPM (composant de la carte mère agissant comme micro puce sécurisée) ou d’une clé USB (contenant les fichiers nécessaires au chiffrage).

Si les informations ne sont pas trouvées sur le support, la saisie d’une clé d’une totalité de 40 chiffres sera nécessaire. Le volume système se déchiffre alors pour l’utilisateur, et le démarrage de l’ordinateur peut alors continuer.

Le chiffrage d’un disque secondaire peut s’effectuer quant à lui de deux façons : chiffrement du disque par mot de passe (qui peut s’étendre à 255 caractères, comportant des caractères spéciaux, majuscules, minuscules, chiffres) ou par carte à puce. Après le démarrage du système, le volume reste inaccessible tant que l’utilisateur ne l’a pas déverrouillé. De plus, les partages éventuels présents sur le volume restent fermés tant que le volume est verrouillé.

Ainsi, nous avons la possibilité d’adapter cette solution à deux de nos besoins :

Le chiffrage du dossier système nous permet d’empêcher le démarrage de la machine, sous réserve de ne pas posséder pas la clé de récupération ou le support amovible de démarrage. De plus, après le démarrage (et donc déverrouillage) du disque système, nous avons la possibilité de déconnecter le support amovible et de le stocker ailleurs.

Le chiffrement des disques secondaires, grâce à un bon mot de passe, ou mieux d’une carte à puce, interdit l’accès à d’éventuels disques de stockage de données.

Pour résumer, ce que nous attendons de cette technologie dans notre situation, c’est d’empêcher un utilisateur étranger de démarrer la machine, et que celui-ci ne puisse pas accéder aux données via tout autre moyen (branchement des disques sur une autre machine, accès réseau…).

c. Ouverture de session sécurisée

Comme évoqué précédemment, il semblerait que Windows 7 ne dispose pas d’un système d’ouverture de session par certificat sur clé USB, contrairement à ce qu’avait annoncé Microsoft. Espérons qu’une future version de Windows accueillera cette fonctionnalité.

Toutefois, nombre d’éditeurs proposent des solutions permettant l’ouverture de session par clé USB, tel que l’excellent Rohos, malheureusement payant, mais très simple d’utilisation.

Ce sujet ne sera donc pas développé dans cet exposé, tant que cette fonctionnalité ne sera pas intégrée à de futures versions de Seven. Je souhaite simplement évoquer le fait que cette possibilité existe.

3. Mise en œuvre

a. EFS

Pour pouvoir utiliser EFS, le volume contenant les fichiers à chiffrer doit être formaté avec le système de fichier NTFS. Si ce n’est pas le cas, il est alors impossible d’utiliser cette fonctionnalité.

La procédure de chiffrement est très simple. L’outil de configuration est accessible dans les propriétés du (des) fichier(s) et / ou dossier(s) à chiffrer :

Sélectionner les données à chiffrer

Click droit -> Propriétés

Onglet Général –> Bouton « Avancé »

Cliquer sur « Chiffrer le contenu pour sécuriser les données ».

Valider par OK deux fois.

Les fichiers cryptés sont passés en vert.

Par défaut, seul l’auteur du chiffrement du fichier est autorisé à manipuler leur contenu. Pour autoriser un autre utilisateur à accéder au fichier, il suffit de revenir dans les Attributs avancés du fichier et de cliquer sur le bouton « Détails ». La fenêtre suivante apparait :

Il est alors possible de rajouter un utilisateur dans la liste des utilisateurs pouvant accéder au fichier.

Lors du premier chiffrage, le système nous signale qu’il ne possède aucun certificat de récupération pour le chiffrement EFS, et propose de le générer et de le sauvegarder sur un support amovible.

Un fichier apparaît alors sur le support amovible :

b. BitLocker Drive Encryption

Par défaut, Windows Seven stocke la clé de démarrage dans le TPM (micropuce sécurisée soudée sur la carte mère). Ceci n’est possible que si la carte mère en est équipée.

Il convient donc de modifier la configuration par défaut afin de stocker la clé de démarrage sur un support amovible de type clé USB.

En cliquant sur l’orbe (Menu Démarrer) et en tapant dans la zone de recherche gpedit.msc, nous accédons aux stratégies de sécurité locales.

Développons l’arborescence :

Configuration Ordinateur -> Modèles d’administration –> Composants Windows –> Chiffrement de lecteur BitLocker.

Dans le volet de droite, double-cliquer sur « Activer les options de démarrage avancées » et autoriser L’utilisateur à créer une clé de démarrage sur support USB : Activer la stratégie, et vérifier que la première case est cochée.

Fermer les fenêtres ouvertes et cliquer sur l’orbe, puis taper dans la zone de recherche cmd, puis entrée.

Dans l’invite de commandes, taper gpupdate afin de mettre à jour les stratégies de sécurité.

Maintenant, nous avons la possibilité d’activer BitLocker sur le volume système, avec prise en charge de la clé USB. La mise en œuvre est extrêmement simple sous Windows Seven :

Ordinateur –> click droit sur le disque à crypter –> Activer BitLocker.

En ce qui concerne le disque système, voici la procédure à suivre :

Laisser l’ordinateur effectuer ses vérifications de routine

Cliquer sur l’option « Imposer une clé de démarrage à chaque démarrage »

Ceci nous permettra d’obliger l’utilisateur à insérer sa clé USB lors du démarrage de Windows 7 pour que son disque système soit déchiffré et que le démarrage puisse continuer.

Si le support amovible n’est pas détecté lors du chargement de Windows, il sera alors possible de saisir la clé de récupération (40 caractères numériques) pour outrepasser le certificat de la clé USB.

Sélectionner le support amovible qui stockera la clé BitLocker.

BitLocker nécessite ensuite de stocker la clé de récupération, que ce soit sur clé USB, dans un fichier stocké localement, ou de l’imprimer.

Ici plusieurs solutions sont proposées. A mon sens, stocker la clé de récupération sur un support que l’on pourrait déposer en lieu sûr me paraît une bonne idée.

L’impression unique peut être intéressante aussi, sur un document précieusement rangé et conservé.

Cette option ne comporte pas de choix plus intéressant les uns des autres, l’utilisateur devra l’adapter à ses besoins et / ou ses possibilités.

BitLocker demandera ensuite de redémarrer le système pour effectuer ses vérifications. Le volume système sera alors chiffré dès le redémarrage.

Il ne faut surtout pas oublier d’insérer le support amovible qui servira de clé de démarrage avant de lancer le reboot de la machine. C’est lors de cette étape que Windows détectera si ce support est éligible ou non à cette utilisation.

La clé USB pourra être déconnectée dès la fin du démarrage. Il est alors conseillé de la stocker dans un lieu facile d’accès mais protégé, car celle-ci sera nécessaire à chaque démarrage, mais sera aussi le seul moyen pour un utilisateur externe d’accéder à votre disque système, donc à Windows.

Voyons maintenant comment chiffrer les disques secondaires. L’activation de BitLocker s’effectue de la même façon que pour le volume système. Cependant, les écrans de configuration diffèrent :

BitLocker propose trois options de cryptage :

• Par mot de passe (qui peut s’étendre à 255 caractères alphanumériques et spéciaux)
• Par carte à puce
• Par certificat local (dans ce cas le lecteur secondaire sera déverrouillé automatiquement pour l’utilisateur local qui lance le chiffrage)

Ce qui nous intéresse ici est un chiffrage par mot de passe, qui bien évidemment est plus sûr s’il répond à des normes de sécurité rigoureuses :

• Varier caractères alphanumériques et spéciaux
• Varier minuscules et majuscules
• Eviter les mots courants et les noms propres seuls
• Eviter les informations personnelles (date de naissance, école des enfants, etc…)
• Voici un exemple de mot de passe approprié :

C€c1_&-1MotDePassEsEcur1S&

• Il est relativement facile à retenir (« Ceci est un mot de passe sécurisé »)
• Comporte majuscules, minuscules, caractères alphanumériques et spéciaux, et certains caractères alphabétiques sont remplacés par des numériques ou des symboles.

Il faut maintenant décider où stocker la clé de récupération (comme pour le volume système. Il est d’ailleurs intéressant de la déposer sur le même support amovible par exemple).

Le chiffrage débute dès le click sur le bouton « Démarrer le chiffrement ».

La clé est apparue sur le support amovible sous la forme d’un fichier texte. Ce fichier texte contient la clé de récupération écrite en clair. Il est donc important de stocker cette clé dans un lieu bien protégé.

La clé de démarrage de BitLocker est stockée sous la forme d’un fichier système KEY invisible sur la clé USB, à moins d’activer l’affichage des fichiers protégés par le système d’exploitation.

A ce terme, nous avons d’ores-et-déjà une double couche de chiffrement, avec la combinaison EFS – BitLocker. La seule étape restante serait de protéger l’ouverture de session par l’insertion d’un support amovible.

Il faut savoir qu’il existe une sécurité supplémentaire qui peut être intéressante : le chiffrement de la base SAM.

La base SAM est un fichier contenant les noms d’utilisateur et mots de passe correspondant. Ce fichier est bien entendu crypté par défaut, dès Windows 2000, mais nous avons la possibilité d’exporter le certificat de déchiffrage de la base SAM sur un support externe…

Ceci rendra totalement impossible l’ouverture de session sur la machine protégée, à moins d’avoir inséré la clé de démarrage contenant le certificat.

La seule remarque que l’on peut observer est que l’unique emplacement accepté est A :, réservé par ailleurs au lecteur disquette. Cependant, si l’on n’utilise pas ou ne possède pas de tel lecteur, il est possible de désactiver celui-ci pour permettre à une clé USB de prendre sa place et ainsi obtenir la lettre de lecteur A. Il nous suffit ensuite de stocker le certificat sur cette clé.

J’ajoute que cette manipulation n’affecte en rien le démarrage BitLocker, et peut être combinée avec tous les autres systèmes de sécurité vous précédemment. Voici la manipulation à effectuer.

Cliquer sur l’orbe (Menu Démarrer) –> Taper « syskey » dans la zone de recherche, puis sur Entrée. Une fenêtre apparaît, nous pouvons alors cliquer sur « Mettre à jour » pour déplacer le certificat.Il faut alors insérer la clé USB et laisser SYSKey écrire le certificat sur celle-ci.

Il faut toutefois savoir que cette manipulation empêche le démarrage silencieux : lors du chargement de Windows, une fenêtre apparaîtra, indiquant d’insérer la disquette de démarrage, puis de cliquer sur Démarrer.

Même si la clé est branchée en permanence, il nous faudra tout de même cliquer sur Démarrer.

4. Conclusion

Vous êtes un fanatique inconditionnel de Kevin Mitnick, vous parlez aux mules comme personne, et vos disques durs regorgent de films et de données téléchargées illégalement. Vous craignez que la loi Hadopi ne vienne déranger vos bonnes vieilles habitudes et vos 60 films quotidiens, mais voila, HADOPI veille. Et malgré les différents mails envoyés à votre encontre, elle a transmis le dossier aux autorités compétentes.

Qu’en tant que responsable informatique, vos utilisateurs nomades ne perdent leurs portables ou encore se les fassent voler dans leurs véhicules. Qu’une personne mal intentionné piste vos données, vous identifie, vous traque pour trouver la faille et tenter d’accéder à vos données confidentielles.

Toc, toc, toc… Trois petits coups qui vous réveillent un matin, à 6h00. Ils sont là, ces messieurs de la maréchaussée, spécialement pour vous et… votre ordinateur en quête de preuves irréfutables.

Pas le temps de casser les disques durs pour leur compliquer la tâche ! Et puis un grand coup de masse, c’est trop bruyant ! Vous voilà pris au piège, fait comme un rat ! Et HADOPI se frotte les mains !

Que les principaux concurrents de votre secteur de marché, utilise des méthodes peu recommandables, voir même malhonnête…

Mais pas aujourd’hui. Car depuis Windows 7, laissons-leur le plaisir de récolter nos disques durs, nos portables et nos clés USB… Arriveront-ils à les ouvrir aussi facilement ?

S’ils ne pouvaient pas démarrer votre machine ? Et s’ils ne pouvaient casser le chiffrement utilisé pour chiffrer vos données ?

****************************************************************
Sources de cet article: Wikipédia, Microsoft
****************************************************************

Voila pour cet article que je trouve fort intérressant.

Les deux co-auteurs de cet article: YRKKILLER et Mr X. Merci à eux pour cet article bien sympathique.

This caused me a few headaches the other night.

Start off by enabling MPIO support from the command line – “start /w ocsetup MultipathIo” does the trick;

Next run up the MPIO control panel applet – simply “MPIOCPL” from command prompt

On the subsequent window, browse to “DSM Install” and type the path to your hp MPIO driver file. Then click install. It will prompt you to reboot, do so.

Run a disk scan and you will see MPIO isn’t working yet. *sigh* back into MPIOCPL, and go to “Discover Multi-Paths” – you will see a new device here now (that wasn’t there before);

Click the Device Hardware Id and click “Add”. Again, reboot when prompted and run a re-scan when the server is back up – and voila you should have MPIO presented LUN’s!!!

Windows machines all have something in common:  at a given time, they’ll all need to be rebooted.  It’s not that big of a deal when dealing with desktops, but for servers this is a bit more complicated.  People depend on the services / applications hosted by that server.  So, if a server needs a reboot, you’ll probably need to schedule it for a time when it’s “safe” to do so. 

Doing so is pretty simple.  All you need, is access to the server and a moment on which the reboot can be done without co-workers cursing at you for shutting down their precious CRM server.  Here’s how you get the job done:

1. On the server, open Notepad and type the following:
   shutdown /r /t 30 /d P:0:0

   This command will tell your server to reboot, thirty seconds after the command is executed.  The /d P:0:0 part ensures that the reboot will be registered as a planned reboot.  If desired, you can add a your comments as well; by adding the /c trigger to the command.  Your command would then look like this:

   shutdown /r /t 40 /d P:0:0 /c This reboot is neccesary because it is. 
   

2. Save as a .bat file, on a location that you’ll remember.
3. Go to Start > Accessories > System Tools > Scheduled Tasks
4. Select “Add Scheduled Task”.  Using the wizard, choose the application you want to execute (the .bat file you just created) and the time it should be executed.  Don’t forget to provide an account with sufficient rights to execute the command / reboot the server. 
5. Close the wizard.

The planned reboot will now take place when you planned it.

Soms zit je in een positie waarin je geen andere keuze hebt dan de Windows Firewall op client computers uit te schakelen.  Hoewel het verre van een ideale situatie is – ik raad je aan om altijd een firewall te draaien op alle clients – kan het een tijdelijke oplossing zijn voor een probleem.  De onderstaande oplossing helpt je op via het groepsbeleid in Windows 2008 de Windows Firewall uit te schakelen voor alle client computers. 

· Ga naar Start > Systeembeheer > Groepsbeleidbeheer

· Selecteer de policy om aan te passen (meestal de default policy)

· Ga naar beheersjablonen > Netwerk > Netwerkverbindingen > Windows Firewall > Domeinprofiel

· Schakel “Bescherm alle netwerkverbindingen” uit.

· Doe eventueel hetzelfde voor het standaard profiel.

· Als laatste stap moet er een update worden gedaan bij de clients. Dit kan je op verschillende manieren doen; zoek de manier die het beste bij jou / je netwerk opstelling past. 

Denk eraan dat werken zonder firewall door experts terecht sterk afgeraden word.  Laat je echter niet om de tuin leiden door Microsoft “experts” die je online tegenkomt.  Deze zullen beweren dat je de Windows Firewall ten allen tijde aan moeten staan.  Uit mijn ervaring weet ik dat er echter betere oplossingen zijn (Ik denk daarbij aan oplossingen van bijvoorbeeld Trend Micro) die je de bewegingsvrijheid geven die je nodig hebt. 

As Yvonne states “This message is normal when running the fax server on a Windows 7, 2008 or Vista system. This is because of a security restriction in Windows that does not allow the service to directly interact with the desktop, so the fax server needs to switch to application mode when you open the user interface of the fax server.”  Click here to visit her page for more Fax related info.

Переименование контроллера домена осуществляется достаточно просто. Единственное, что может помешать данной операции – это присутствие на контроллере домена Центра Сертификации (CA), который, как известно, не позволяет ни менять имя сервера, ни менять его доменной роли.

Переименование контроллера домена производится при помощи команды NETDOM, причем запускать эту команду не обязательно на том контроллере домена, который будет переименовываться. Главное, чтобы пользователь, из-под которого запускается эта команда, обладал соответствующими правами Администратора домена.

Необходимо сразу отметить, что процесс переименования требует перезагрузки контроллера. Домен должен работать, как минимум, на уровне Windows 2003.

В процессе переименования в DNS появится новая запись (A) с новым именем контроллера. Не удаляете из DNS до окончания процесса.

Мы будем менять имя сервера Server.domain.ru на Superserver.domain.ru.

1. В командной строке пишем

NETDOM computername Server.domain.ru /add:Superserver.domain.ru

Эта команда обновляет атрибут SPN в Active Directory для нашего сервера и регестрирует запись в DNS. После этого необходимо дождаться репликации нового атрибута SPN и передачи записи на все полномочные DNS-серверы.

Проверить добавление нового имени можно при помощи adsiedit.msc. Нужно найти объект нашего компьютера и найти в его свойствах атрибут msDS-AdditionalDnsHostName

2. Проверяем, что аккаунт компьютера обновлен и DNS записи появились, затем пишем:

NETDOM computername Server.domain.ru /makeprimary:Superserver.domain.ru

И снова можно проверить результат выполнения команды при помощи adsiedit.msc, причем в msDS-AdditionalDnsHostName все еще будет видно старое имя.

3. Перезагружаем сервер.

4. В командной строке пишем

NETDOM computername Superserver.domain.ru /remove:Server.domain.ru

5. Убедитесь, что все изменения реплицировались на другие контроллеры.

  NAP o NAC es una iniciativa de varias organizaciones para dar un marco, o agregar una capa mas de protección a nuestros entornos. No podría ser de otra manera ya que la seguridad es transversal a toda la organización. Por ende involucra a todos los entes incluyendo a los fabricantes.

La idea de NAP es poner un Portero en la puerta de nuestra discoteca (nuestra red) que es donde interactúa la estación que llega a la organización (el punto de red).

NAP no es una solución antivirus, lo que hace NAP es revisar si la estación cumple con algunos parámetros de higiene antes de dar la autorización de entrar en contacto con nuestro santuario (nuestra red), – NAP pregunta a la estación – cuenta con estos parches?, tiene antivirus?, esta actualizado?, etc. en el caso que no cumpliera la estación, entraría en modo de remediación para que pudiera ponerse al día y poder cumplir con las políticas de higiene de la red corporativa. Esto es de vital importancia en ambientes donde hay muchas estaciones móviles, y VPNs en algunas organizaciones estas políticas se deben llevar a cabo en forma manual por el personal de TI. En la mayoría esto no se considera un Riesgo potencial que pueda comprometer su infraestructura tecnológica.

Los Ingredientes

- Víctima: Windows XP profesional SP3.

- Controlador de Dominio, DNS, DHCP, NPS, Windows Server enterprise 2008.

continuara….. todavía bajando Windows 2008

Ya a instalar en una VPC con 512, cronometró, nota al margen si a alguien le ocurre creo una VPC y al momento de dar START pum pantalla azul reinicio. lo mismo ocurre con las que ya tengo creadas ¿curioso no?

Tip: con el mouse puedes seleccionar un área de la pantalla de la vpc y en el menú edición indicar copiar, debería ser automático al momento de la selección pero bueno nadie es perfecto me parece NICE.

24 min. WOW no esta mal,

Windows Server Core es un modo de instalación de Windows Server 2008 el cual se nos presentará al momento de instalar nuestro sistema operativo arrancando desde la media.

En pocas palabras al arrancar nuestro servidor para instalar Winows Server 2008 tendremos 2 opciones:

• Instalación FULL de Microsoft Windows Server 2008
• Instalar Windows Server Core

Pero….QUE ES WINDOWS SERVER CORE ?????? [:S] 

Pues Windows Server Core es la respuesta de Microsoft en base a las solicitudes de sus clientes! 

Básicamente Server Core sigue siendo Windows Server 2008, hace uso de la licencia de Windows Server 2008 de igual manera, pero nuestros amigos amantes de Unix estarán encantados de saber que Server Core no es mas un fondo plano y una consola (cmd.exe); muy parecido a nuestro buen amigo WinPE.

Asi es! nada de barra de tareas, iconos ni nada de eso.

Y me preguntan….que hago solo con CMD?

La respuesta es MUCHO!

Verán las ventajas que nos presentan una consola son muchisimas, pero la prioritaria es la capacidad de automatizar procesos mediante scripts.

Un poco de Server Core

Server Core es una instalación “minima” de Windows Server 2008, provee mucha funcionalidad más no toda la que nos da una instalación completa.

Algunos de los componentes que NO estan instalados en Server Core son:

• No hay shell de escritorio (no hay fondos ni protectores de pantallas, menos glass).
• No hay Explorador de  Windows o Mi PC.
• No hay .NET Framework o CLR (no hay soporte para codigo manejado, asi que tampoco hay soporte para PowerShell).
• No hay MMC.
• No hay menu de inicio ni barra de tareas.
• No hay Internet Explorer, Windows Mail, WordPad, Búsqueda o mi bien amado Paint!.

Aún asi Windows Server Core tiene bastantes funcionalidades, tales como:

• Soporte para HAL y controladores de dispositvos (limitado a un grupo de contraladores básicos y comunes como: NIC’s, soporte de discos, video, etc), muchos drivers que estan integrados en la instalación compelta de Server 2008 han sido removidos pero igual hay opción de instalarlos luego.
• Soporte para los subsistemas necesarios de Server 2008 (subsistema de seguridad, redes, archivos, winlogon, RPC, DCOM, SNMP, etc).
• cmd (ya lo mencione ????[:D]
• Notepad! no puede faltar notepad y es que e suna herramientas tan potente! y en este caso se ha integrado debido a los administradores de sistema necesitan un herramienta donde crear y editar scripts, asi que …que mejor que NOTEPAD?
• Escritorio Remoto, así es Terminal Services hace de las suyas de nuevo y nos permite administrar de forma remota nuestro servidor.
• Soporte WMI

Por qué tener uns instslación minina de Windows Server 2008?

Muchas veces Windows es desplegado para cumplir la función de un solo rol, como DHCP e imagenese tener todo una instalación completa dedicado solo para esta función!

Si necesitamos tener un servidor solo para realizar una función, porque tener todos esos binarios extras?

Asi que si lo vemos desde un punto de vista de seguridad, si tenemos menos componentes, menos es la superficie de ataque posible.

Tambien si tenemos menos roles instalados, significa parchar menos componentes, menos administración y menos servicios corriendo.

Windows Server Core esta includido en las ediciones Standard, Enterprise y Datacenter, y repito no es un producto separado, es un modo de instalación de Windows Server 2008 y está disponible en arquitecturas x86 y x64.

Roles Incluidos en Server Core:

• Active Directory
• Active Directry LDS
• Servidor DHCP
• Servidor DNS
• Servidor de Archivos (incluyeDFSR y NFS)
• Servidor de Impresión
• Servicios de Streaming
• Windows Server Virtualization
• Servidor Web (IIS)

Funciones Incluidas en Server Core:

• Bitlocker Drive Encription
• Failover Clustering
• Cliente Telnet
• Manejo de Almacenamiento Removible
• Multiruta para entrada y salida
• Servicios SNMP
• Windows Server Backup
• Servidor WINS

Comparativa de Servicios: Server Core vs. Instalación completa:

Y por ultimo Server Core requiere 512 MB de ram para ser INSTALADO, no porque Server Core los requiera sino porque el programa de instalación asi lo requiere, con menos de esa cantidadla instalación fallará.

Sin embargo luego de instalar Serer Core se podran dar cuenta que sin instalar absolutamente nada consume apenas un poco mas de 100 MB.

Lors d’une installation de SharePoint 2010 sur Windows 2008 R2, certains services ne peuvent pas être configurés, notamment le service d’application des profils utilisateurs (User Profile Service Application). Vous recevez systématiquement une erreur de ce type:

Unrecognized attribute ‘allowInsecureTransport’

Microsoft vient de mettre à disposition un HotFix pour WCF permettant de corriger ce type d’erreur dans SharePoint 2010. Vous pouvez retrouver celui-ci sur le site Connect directement.

Le site Connect Microsoft: KB976462

Remote Desktop (aka Terminal Services)  on Microsofti maailmas juba suhteliselt vana teenus – esimesena ilmus ta Windows 2000 Server koosseisus (tollal küll tiba teise nimega). Tööjaamadesse tuli Windows XP saabudes. Edaspidi on teda kõpitsetud siit ja sealt poolt, nii et tänaseks hetkeks on tegemist päris võimsa ja kasutatava omadusega.

Allpool räägin valdavalt Terminal Service for Administration alamliigist. Ehk siis teenus, mis on mõeldud Windows Serveris peamiselt administreerimistööde tegemiseks. Kliendilitsentsi (TS/RDS CAL)siinjuures vaja ei lähe, kuid sessioonide arv on piiratud 2’ga. Edasi läheb keeruliseks.

Windows 2000 ‘des – oli võimalik 2 “virtuaalset” (edaspidi lihtsalt RDP) sessiooni. Need mõlemad EI olnud samad, mis füüsiliselt serveri kuvari ja klaviatuuri taha istudes sisselogides avanes. See omakorda tekitas probleeme paljude rakendustega, mis ei osanud virtuaalsete sessioonidega hakkama saada ja väljastasid tulemused ja ootasid sisendit nn konsoolilt. Tööjaamas (Windows 200 Professional) polnud see üldse võimalik.

Windows 2003 parandas selle vea. RDP rakendust (või analooge) spetsiaalse võtmega  /console käivitades ühenduti konsooli sessioonile. See sessioon oli alati ID’ga 0

Seega sai Windows 2003/2003 R2 serveris korraga töötada maksimaalselt 3 kasutajat. Terminal Services Configurator abil  oli võimalik muuta maksimum kasutajad 0..2+1 konsooli oma.  Vaikimisi häälestuses pääsesid RDP’le ligi ainult lokaalsesse Administartors gruppi kuluvad kontod. Lokaalse Remote Desktop Users grupi kaudu sai ligi lasta ka mitte administraatoreid, KUID konsooli sessioon jäi kasutatavaks ainult administrator kasutajatele. Mitteadministrators said /console võtmega väga üheselt mõistetava veateate

Väga mugav.

Windows XP -  lubas ainult nn konsoolisessiooni.

Olukord muutus dramaatiliselt Windows Vista/Windows Server 2008/R2 arenduse edenedes. Esmalt kogesid seda Vista SP1/XP SP3 installijad, kui uuendati RDP klienti. /console ei töötanud ootamatult ja see tuli asendada /admin võtmega. Hea küll, hulk skripte tuli ümber muuta ja ports 3’nda partei tööriistu lakkas korrektselt töötamast, kuid 2003 perekonna funktsionaalsus säilus.

Windows 2008 serveris  on muudatused suuremad.

1. Remote Desktop Service häälestamine käib uue väljanägemise saanud konsooli kaudu, kus on ports uusi võimalusi.
2. Konsoolisessiooni, kui sellist pole enam üldse. Sa võid võtme /admin kaasa anda, kuid konsoolisessiooni (sessiooni 0) ikkagi enam ei saa.
3. Võti /admin on vajalik ainult juhul, kui soovid administreerida Windows 2008 Serverit, millel on installeeritud Remote Desktops Services roll. Sel juhul keelatakse mõningad ümbersuunamised, töölaua teema lülitatakse Classic peale ja TS CAL’i ei loeta.
4. Vaikimisi on kehtiv 2 aktiivse kasutaja piirang. Disconnected kasutajaid võib teoreetiliselt olla lõpmatult. Kui serverisse tahab logida uus kasutaja ja eelnevalt on aktiivsed 2 kasutajat palutakse valida, milline kasutaja välja logida. Administratori õigustega uuel logijal on võimalus eelmisi jõuga disconnectida, lihtsalt kasutaja puhul force puudub, kuid valitud aktiivsele kasutajale kuvatakse oma sessiooni disconnectimise teade ja kui ta sellele ei reageerita, siis 30 sekundi pärast tehakse disconnect ikkagi. Isegi siis kui uus login on user ja disconnect tehakse administraatorile…

4. RDP sessiooni saavad avada jätkuvalt vaikimisi administraatorid või siis Remote Desktop Users gruppi kuuluvad kontod.

Seda olukorda iseloomustab kenasti ka Task Manager, kus ID 0 sessioone enam tekitada ei õnnestu.

Täpsemalt saab aimu qwinsta käsuga, kus ID 0 sessioon on reserveeritud süsteemile. >märgiga on tähistatud jooksev kasutaja ja RDP-TCP#0 on lihtsalt identifikaator.

Kogu pika jutu kokkuvõte on see, et KUI Windows 2003’s on võimalik tekitada lihtsalt ja välditavalt olukord, kus serverisse saab RDP’ga logida korraga ainult 1 mitte administraatorist kasutaja ja administrator saab alati konsooli kaudu ligi. Peamiselt vältimaks olukorda, kus parem käsi ei tea mida teeb vasak või mingitel  tegevuste salvestamise kaalutlustel, siis Windows 2008’s pole see nii lihtne, kuna alati saab mitteaktiivse kasutaja disconnectida.

Ma ei ole leidnud veel võimalust, kuidas blokeerida tavakasutaja võime seesolevaid kasutajaid disconnectida. Logoff ta neile teha ei saa.

Lisalugemist – “Impact of Session 0 Isolation on Services and Drivers in Windows Vista” (http://go.microsoft.com/fwlink/?LinkId=106201).

Afin de pouvoir installer correctement Microsoft Office SharePoint Server 2010 sur la nouvelle version des systèmes d’exploitation serveurs Microsoft, à savoir, Windows 2008 R2. Il est nécessaire de procéder à l’installation de certains correctifs obligatoire faute de quoi l’installation des pré-requis d’installation de Microsoft Office SharePoint Server 2010 échoueront inéluctablement.

Pour cela, il vous faut :

Voici les composants nécessaires pour IIS 7.5:

• Windows Server 2008 R2 et IIS 7.5

Les services de rôles installés pour IIS:

• Le framework 3.5 SP1 et le HotFix permettant le support des jetons d’authentification sans transfert sécurisé ou chiffrement dans WCF (KB971831)
• PowerShell V2 RTM
• SQL Serveur 
  • SQL Server 2005 SP3 et Cumulative Update 3
  • SQL Server 2008 SP1 et Cumulative Update 2  (Attention: Inscription obligatoire pour recevoir cet update)

Sous peine, lors de la configuration via l’assistant de configuration des produits et technologies SharePoint, de recevoir un message du type de celui-ci:

• Le Geneva Framework Runtime

Je vous conseille d’installer le Framework Geneva avant même de lancer l’installation des pré-requis, sous peine de recevoir des messages d’erreurs liés à l’installation, comme ci-dessous.

• Microsoft Sync Framework Runtime (V1.0 – x64)
• Microsoft Chart Controls pour Microsoft Framework .Net 3.5
• Microsoft SQL Server 2008 Analysis Services ADOMD.NET

Je vous conseil également d’utiliser le Windows Update, afin d’être certains d’avoir sur le serveur les dernières mises à jour.

Une fois l’installation des pré-requis de Microsoft Office SharePoint 2010 terminé, vous pouvez passer à la phase suivante et commencer à créer votre ferme SharePoint via l’assistant des produits et technologies SharePoint.

Attention:

Lors de la configuration de votre ferme SharePoint, n’oubliez pas de spécifier un mot de passe de type complexe ayant les caractéristiques suivantes:

• 8 caractères mini
• Contenir 3 des 4 critères de complexité
  • Majuscule
  • Minuscule
  • Chiffres
  • Caractères spéciaux

L’installation devrait se poursuivre normalement sans encombre par la suite!

Identify Your Windows Vista/2008 Operating System Version and Architecture in 2 Steps

Posted using ShareThis

A couple of weeks ago, a colleague of mine asked me how I would determine a process’ CPU utilization as a percentage of total CPU time. I came up with this PowerShell code, but it’s not quite complete yet, because it doesn’t dynamically determine the number of cores that a system has.

During the investigation of this problem, I came across a few key learnings:

1. The system’s last boot-up time must be converted from WMI DateTime format to a .NET System.DateTime struct so that one can be properly subtracted from the other using the System.DateTime’s subtraction operator overload
2. Retrieving the number of cores from a system depends on the operating system. For XP/2003, you would use Win32_ComputerSystem.NumberOfProcessors, but on Vista / 7 / 2008 / 2008 R2 you would use the Win32_ComputerSystem.NumberOfLogicalProcessors property. This is important in calculating total [virtual] system uptime. It’s simply <RealTime> * <NumberOfCores> as best I can tell
3. If a process is closed and restarted, you will not get an accurate percentage … perhaps you could use the CreationDate property of the Win32_Process WMI class to determine how long a process has been running, versus total system uptime

The PowerShell code below retrieves the percentage of CPU time that the System Idle Process has consumed on a dual-core (or single core, hyper-threaded) system.

Please note that modifications are required for other hardware configurations; I have not yet had a chance to revise the code appropriately, but I have addressed it above.

clear-host
$proc = Get-WmiObject -Query "select * from Win32_Process where name = 'System Idle Process'"
$proccputime = [TimeSpan]::FromSeconds(($proc.UserModeTime + $proc.KernelModeTime) / 10000000) #virtual CPU time, not real
Write-Host "Process seconds: $($proccputime.TotalSeconds)"
$virtuptime = [TimeSpan]([DateTime]::Now - [System.Management.ManagementDateTimeconverter]::ToDateTime((Get-WmiObject Win32_OperatingSystem).LastBootUpTime))
# This next line assumes a 2nd core by adding the TimeSpan to itself
$virtuptime += $virtuptime
Write-Host "Total system uptime (seconds): $($virtuptime.TotalSeconds)"
$percentage = ($proccputime.TotalSeconds / $virtuptime.TotalSeconds) * 100
Write-Host "Process $($proc.Name) has used $percentage% of CPU time"

SCDPM 2010 (DPM V3) est disponible en version Bêta.

Voici quelques nouveautés:

• Il est désormais possible d’installer le serveur DPM sur un contrôleur de domaine.
• Prise en compte des CSV  d’Hyper-V 2.0 avec Live Migration
• Protection des machines clientes XP, Vista et Seven
• Protection de SAP pour SQL Serveur
• Protection d’Exchange 2010 et MOSS 2010
• …

DPM 2010 supportera également le Bare Metal recovery nativement pour Windows 2008.

Hi Everyone,

We want to let you know that there is a correction to the link to download

“Group Policy Settings added to Windows 2008”.

So if you are looking for it the link is here

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=18c90c80-8b0a-4906-a4f5-ff24cc2030fb

Apologies if you have had trouble finding it

Спам, как неотъемлемая часть нашей жизни, все чаще встречается практически каждый день. Но больше всего проблем он приносит, когда ваш домен участвует в “мероприятии” рассылки спама. Это происходит по причине возможности подделки письма и указания отправителем спама Вас. Также есть возможность указать несуществующего отправителя e-mail, который находится на вашем домене (сайте). Это приведет к добавлению вашего домена в “черные” списки специализированных программ и ресурсов.

Один из способов припятствия рассылки e-mail от вашего имени – это использование  стандарта SPF (EN).
SPF (Sender Policy Framework) – этот стандарт добавляет к домену информацию о серверах, которым разрешено или запрещено отправлять почту от имени вашего домена. Официальная информация о синтаксисе SPF record находится здесь (EN).

Как создать SPF?

Идем на официальный сайт SPF и используя визард (нажмите здесь (EN)), создаем SPF record.

Если у вас возникают трудности при работе с визардом SPF, то есть вариант более простой:

Вот так выглядит SPF запись: “v=spf1 ip4:125.125.125.125 a mx -all” , которая разрешает отправку писем с вашего сервера (в случае, если сервер у вас один).
Узнаете у своего хостера ip-адрес вашего домена и вносите его вместо 125.125.125.125.

Также поинтересуйтесь у хостера как уходят письма? Если письма уходят напрямую с вашего домена, то больше ничего добавлять не надо. Если же существует промежуточный сервер, то SPF необходимо привести к следующему виду: “v=spf1 ip4:125.125.125.125 a mx include:mail.provider.com -all”
Вместо mail.provider.com введите информацию, полученную от хостера.

Добавление SPF на Windows Server 2008 R2 DNS

Открываем DNS

Выбираем левой кнопкой мыши из списка доменов наш домен.  Становимся в правой части и нажимаем правую кнопку мыши. Из всплывающего меню выбираем пункт “Другие новые записи…”

Выбираем запись ресурса ”Текст (TXT)”

Вносим название домена, только не забудьте поставить в конце точку. Вставляем SPF запись и нажимаем “ОК”

Проверка правильности настройки SPF

После успешного добавления SPF записи, необходимо проверить ее работоспособность. В начале отправьте пару писем на другие свои адреса, например, в зоне mail.ru или gmail.com, а также ответьте на эти письма. Если доставка их осуществляется без проблем, то первый этап пройден.

Далее для проверки правильной настройки SPF рекомендую использовать следующий ресурс -  http://www.kitterman.com/spf/validate.html

 Если всё проходит на УРА, мои Вам поздравления!

DFS Resplication service is only supported in Windows 2008 Domain Functional Level. If Active Directory is running in windows 2000 or windows 2003 then FRS is used to replicate Sysvole. If Domain Funcation is 2008 the all the domain controller in the domain must be windows 20080

There lots of advantages in using DFS Replication over FRS to replicate SysVolume. Below link has details description on the DFSR Migration and advantages list over FRS

http://blogs.technet.com/filecab/archive/2008/02/08/sysvol-migration-series-part-1-introduction-to-the-sysvol-migration-process.aspx

http://blogs.technet.com/filecab/archive/2008/02/14/sysvol-migration-series-part-2-dfsrmig-exe-the-sysvol-migration-tool.aspx

http://blogs.technet.com/filecab/archive/2008/03/05/sysvol-migration-series-part-3-migrating-to-the-prepared-state.aspx

http://blogs.technet.com/filecab/archive/2008/03/17/sysvol-migration-series-part-4-migrating-to-the-redirected-state.aspx

http://blogs.technet.com/filecab/archive/2008/03/19/sysvol-migration-series-part-5-migrating-to-the-eliminated-state.aspx

Recently we’re seeing a lot of people upgrading to Windows 2008 SP2, without first checking to see that release notes and compatibility guides state that NetWorker doesn’t yet support this release.

I fully agree that this represents monumental slowness on the part of EMC … there’s absolutely no excuse – none whatsoever – for them not to be on the relevant developer programmes and partner programmes for all the supported operating systems so they get access to the new releases before they come out and then make sure there’s either hot-fixes or cumulative updates available to support new operating systems.

They don’t have to be on the same day, but it’s foolish short-sightedness at best that they don’t support a new OS release within say, 2 weeks of it hitting the general public, given that partner and developer programmes will give access to it for months in advance of that point.

Now, back to my original point – if you’re planning on rolling out a new service pack to an operating system, please take a few minutes to read the release notes or software compatibility guides – or ask your support team to fill you in, and if it’s not supported, roll out to a test client first so you can confirm the impact to your backup environment.

It takes two to tango – EMC needs to improve their response to new operating systems and new major updates to operating systems, but it’s equally important for people to remember to check these things before they upgrade, not after they get the first backup (or worse! recovery) error.

(Do I do these checks all the time? No – only in lab environments. It’s my job to identify bugs and issues before my customers find them as much as possible.)