Mon espace IT

#Blog_IT > orienté systèmes et réseaux

Gestion des services au démarrage

Aucun commentaire
Dans la catégorie mémo et tips Linux Ubuntu Server voici un moyen de se faciliter la gestion des services:

#apt-get install sysv-rc-conf
# sysv-rc-conf



Aucun commentaire :

Enregistrer un commentaire

WSUS échec d'installation sur DC 2012

Aucun commentaire
Installer WSUS sur un contrôleur de domaine n'est pas une bonne pratique.
Cependant lorsque l'on a des ressources limitées on y est contraint.

En théorie rien n'empêche le bon déroulement de cette intégration.
J'ai été confronté à un blocage sur un contrôleur de domaine Windows 2012 R2. L'installation de WSUS aboutit à un échec avec un message d'erreur invoquant un redémarrage demandé par un autre processus...

Voici donc le moyen de résoudre ce blocage :

Dans la GPO Default domain controllers policy, rendez vous dans : Configuration Ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Attribution des droits utilisateurs / Ouvrir une session en tant que service

Les comptes Service RESEAU, SERVICE et IIS_WPG doivent être présent.

Cela permet au service de WID d'être autorisé à démarrer

Aucun commentaire :

Enregistrer un commentaire

Windows 10 + WSUS

Aucun commentaire
La gestion d'un parc Windows passe souvent par la gestion des mises à jours via un WSUS que l'on configure par GPO. On a alors tendance à vouloir interdire, toujours pas GPO, l'accès direct à Windows Update.

Avec Windows 10 update il y a des effets de bords à connaitre lors de l'utilisation de la GPO :

Ne pas se connecter à des emplacements Internet Windows Update



Le premier est que si l'ordinateur est une SURFACE, elle ne mettra jamais à jour ses drivers et pilotes, car on peut les déployer seulement par connection direct à Windows Update ou via un *.msi 

Le second est que même si tu autorises correctement le Windows Store, tu ne pourras pas l'utiliser pour installer une App. Un message peu précis du genre code erreur 0x008c... te freinera irrémédiablement...

Aucun commentaire :

Enregistrer un commentaire

Modèle de certificat dans une autorité de certification AD

Aucun commentaire
Tu as une autorité de certification racine d'entreprise dans un domaine Active directory sous 2012
Tu crées des nouveux modèles de certificat ...
...mais tu ne peux pas les utiliser car ils sont absent dans les modèles gérable bien que présent dans AD !

voici le fix en invite de commandes :

certutil -setreg ca\setupstatus +512
 

Pour info :
Ancienne valeur :
  SetupStatus REG_DWORD = 1
    SETUP_SERVER_FLAG -- 1

Nouvelle valeur :
  SetupStatus REG_DWORD = 201 (513)
    SETUP_SERVER_FLAG -- 1
    SETUP_UPDATE_CAOBJECT_SVRTYPE -- 200 (512)

Ce problème se produit en général après une migration de l'AC sur 2008 R2 ou 2012x

Aucun commentaire :

Enregistrer un commentaire

Firefox portable avec Java

Aucun commentaire
Parfois, je pense notamment à Windows server Core, il est pratique d'avoir sous la main un naviguateur sans installation qui gère le java pour exécuter une application web.

Télécharge
 jPortable :  http://portableapps.com/apps/utilities/java_portable
Firefox portable : http://portableapps.com/apps/internet/firefox_portable

Respecte bien le chemin :

X:\portableApps\commonfiles pour Java
X:\portableApps\firefoxportable pour Firefox


Au moment du lancement de l'application Java, typiquement un fichier *.jnlp , choisir de l'ouvrir avec l'exécutable javaws.exe situé dans \commonfiles\java\bin\

Aucun commentaire :

Enregistrer un commentaire

Réparer le boot de Windows Server

Aucun commentaire
Windows Server n'est plus détecté au démarrage...
Tu es en BIOS/MBR
Démarre sur le media d'installation, choisir réparer l'ordinateur et Invite de commandes.

A l'aide de diskpart vérifie que le disque et ses partitions sont bien présentes. A minima un volume pour le boot manager, un volume pour le système.

Vérifier que la partition boot est bien en Actif :

diskpart
list disk
list partition
select disk 1
select partition 1
active

Puis les commande de réparation du démarrage :

bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd
bootsect.exe /nt60 all /mbr /force

Aucun commentaire :

Enregistrer un commentaire

Vérifier l'intégrité d'un fichier avec son empreinte en powershell

Aucun commentaire
Tu viens de télécharger un fichier et tu souhaites vérifier son empreinte aka check sum MD5 ou SHA,
sous windows .. Powershell !!

Get-FileHash -Path fichier -Algorithm {SHA1 | SHA256 | SHA384 | SHA512 | MACTripleDES | MD5 | RIPEMD160}

Aucun commentaire :

Enregistrer un commentaire

OpenNic une alternative au DNS conventionel

Aucun commentaire
 Pour éviter les DNS de ton opérateur qui censure, et ceux de Google qui te trace, je te conseille le projet OpenNIC. OpenNIC est une racine DNS qui se veut être une alternative à l'ICANN et qui propose une liste de serveurs DNS

https://www.opennicproject.org/

Aucun commentaire :

Enregistrer un commentaire

Gestion du MTU avec un VPN ISPEC

Aucun commentaire
On se préoccupe peu du MTU au quotidien, mais pourtant lorsque l’on fait du VPN IPSEC, nous sommes bien obligé de l'appréhender. On peut se retrouver avec un tunnel VPN monté mais avec du trafic qui ne passe pas en TCP.
Il existe des mécanismes dans les routeurs des équipementiers qui permettent de s'affranchir du problème, mais pas toujours de manière optimale et souvent sans le comprendre.

Le Maximum Transmission Unit désigne donc la taille maximum de données pouvant être transmis dans une trame ethernet. Cette taille maximale est de 1500 octets.

Voici une trame Ethernet :



Le problème arrive lorsque les données sont encapsulées par  ESP/AH pour le chiffrage/intégrité des données transitant dans le VPN.




Screen Shot 2013-11-12 at 11.52.30 AM.png



La donnée est encapsulée par ces services et tout cela occupe de la place. Si on avait 1500 octets de donnée maximale au départ on se retrouve avec bien plus et cela ne peut pas passer en une seule transmission. TCP va alors utiliser la fragmentation du paquet IP pour le faire passer en plusieurs fois.
Trop de fragmentation engendre plusieurs problèmes :
- surchage CPU des routeurs
- paquet arrivant dans le désordre
- performance

Faut il encore que nos routeurs puissent fragmenter les paquets et les remettre en ordre....

En théorie avec le PMTU (MTU discover), un signal ICMP est renvoyé à l'émetteur pour lui signaler que la trame a été rejetée à cause de sa longueur. (Fragmentation needed). L'émetteur va alors recommencer, avec des paquets plus petits, jusqu'à ce que ça passe.

De plus si le firewall bloque tous les ICMP on perd la trame Ethernet. C'est le message ICMP type 3 code 4 qui permet le PMTU.

D'où l'importance de connaitre le MTU de ses interconnexions VPN, et d'informer les équipements réseaux du VPN de ce MTU.

Pour connaitre cette MTU, nous allons utiliser un ping depuis une station distante avec l'option don't fragment packet. 

Sur Cisco attention de ne pas avoir de paramétré crypto ipsec df-bit clear sur l'interface à ping

ping ipdel'interfacedurouteur tailledupaquet -f -l
Lorsque il ya un retour icmp ça passe, quand nous avons le message Le paquet doit être fragmenté mais paramétré DF.le paquet est trop gros.

La taille maximale du paquet qui passe nous donnera la MTU du site distant avec la formule : MTU = taille du paquet  max+ 8 octets ICMP + 20 octets en tête IP


Cisco à mis en ligne un outil très intéressant qui permet de calculer la taille occupée par les services IPSEC selon les paramètres de chiffrage, de hachage, etc...

c'est ici :  https://cway.cisco.com/tools/ipsec-overhead-calc/ipsec-overhead-calc.html

On peut donc prévoir la taille du MTU. Ne pas oublier éventuellement PPPOE : 8 octets.

En connaissant le MTU on peut se prémunir de la fragmentation et des transmissions impossibles :

> Soit en fixant cette MTU sur l'interface externe, dans quel cas on oblige les paquets sortant à se mettre au pas de la MTU, mais cela concernera aussi le trafic non VPN

> Soit en utilisant le MSS sur l'interface d'émission du VPN et gérer ansi le trafic entrant et sortant. Le Maximum Segment Size est informé lors d'une négociation TCP

MSS = MTU - 40












Sur un routeur Cisco on indiquera cette valeur sur l'interface intérieur d'une des 2 parties du traffic VPN:

ip tcp adjust-mss valeur
 il est possible de voir la fragmentation en auditant le trafic avec cette commande :

sh ip traffic | include frag

Ceci ne fonctionne que pour TCP.
UDP n'est généralement pas utilisé avec les paquets "large", si c'est le cas, il faut fragmenter à tout prix ... on utilise donc la commande

crypto ipsec df-bit clear









Aucun commentaire :

Enregistrer un commentaire

Retrouver le processus utilisé par svchost

Aucun commentaire
Trouver le process qui utilise une instance de svchost grâce au PID :
tasklist /svc /fi "imagename eq svchost.exe"

Aucun commentaire :

Enregistrer un commentaire

Supprimer "Numériser avec Windows Defender"

Aucun commentaire
Tu souhaites supprimer "Numériser avec Windows Defender" du menu contextuel de Windows 10

Alors supprime cette clé de registre :

[-HKEY_CLASSES_ROOT\CLSID\{09A47860-11B0-4DA5-AFA5-26D86198A780}]


Aucun commentaire :

Enregistrer un commentaire

Framework .net 3.5 et Windows 10

Aucun commentaire
Tu veux installer sur le framework .net 3.5 sur Windows 10 mais par l'ajout de fonctionnalités Windows tu as simplement le droit à un code erreur bidon ...

Alors utilise ton media d'installation et dism !

dism /online /enable-feature /featurename:netfx3 /all /limitaccess /source:d:\sources\sxs

Aucun commentaire :

Enregistrer un commentaire