Modèle de certificat dans une autorité de certification AD
Tu as une autorité de certification racine d'entreprise dans un domaine Active directory sous 2012Tu crées des nouveux modèles de certificat ...
...mais tu ne peux pas les utiliser car ils sont absent dans les modèles gérable bien que présent dans AD !
voici le fix en invite de commandes :
certutil -setreg ca\setupstatus +512
Pour info :
Ancienne valeur :SetupStatus REG_DWORD = 1SETUP_SERVER_FLAG -- 1Nouvelle valeur :SetupStatus REG_DWORD = 201 (513)SETUP_SERVER_FLAG -- 1SETUP_UPDATE_CAOBJECT_SVRTYPE -- 200 (512)
Ce problème se produit en général après une migration de l'AC sur 2008 R2 ou 2012x
Firefox portable avec Java
Parfois, je pense notamment à Windows server Core, il est pratique d'avoir sous la main un naviguateur sans installation qui gère le java pour exécuter une application web.Télécharge
jPortable : http://portableapps.com/apps/utilities/java_portable
Firefox portable : http://portableapps.com/apps/internet/firefox_portable
Respecte bien le chemin :
X:\portableApps\commonfiles pour Java
X:\portableApps\firefoxportable pour Firefox
Au moment du lancement de l'application Java, typiquement un fichier *.jnlp , choisir de l'ouvrir avec l'exécutable javaws.exe situé dans \commonfiles\java\bin\
Réparer le boot de Windows Server
Windows Server n'est plus détecté au démarrage...Tu es en BIOS/MBR
Démarre sur le media d'installation, choisir réparer l'ordinateur et Invite de commandes.
A l'aide de diskpart vérifie que le disque et ses partitions sont bien présentes. A minima un volume pour le boot manager, un volume pour le système.
Vérifier que la partition boot est bien en Actif :
diskpart
list disk
list partition
select disk 1
select partition 1
active
Puis les commande de réparation du démarrage :
bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd
bootsect.exe /nt60 all /mbr /force
Vérifier l'intégrité d'un fichier avec son empreinte en powershell
Tu viens de télécharger un fichier et tu souhaites vérifier son empreinte aka check sum MD5 ou SHA,sous windows .. Powershell !!
Get-FileHash -Path fichier -Algorithm {SHA1 | SHA256 | SHA384 | SHA512 | MACTripleDES | MD5 | RIPEMD160}
OpenNic une alternative au DNS conventionel
Pour éviter les DNS de ton opérateur qui censure, et ceux de Google qui te trace, je te conseille le projet OpenNIC. OpenNIC est une racine DNS qui se veut être une alternative à l'ICANN et qui propose une liste de serveurs DNShttps://www.opennicproject.org/
Gestion du MTU avec un VPN ISPEC
On se préoccupe peu du MTU au quotidien, mais pourtant lorsque l’on fait du VPN IPSEC, nous sommes bien obligé de l'appréhender. On peut se retrouver avec un tunnel VPN monté mais avec du trafic qui ne passe pas en TCP.Il existe des mécanismes dans les routeurs des équipementiers qui permettent de s'affranchir du problème, mais pas toujours de manière optimale et souvent sans le comprendre.
Le Maximum Transmission Unit désigne donc la taille maximum de données pouvant être transmis dans une trame ethernet. Cette taille maximale est de 1500 octets.
Voici une trame Ethernet :
Le problème arrive lorsque les données sont encapsulées par ESP/AH pour le chiffrage/intégrité des données transitant dans le VPN.
La donnée est encapsulée par ces services et tout cela occupe de la place. Si on avait 1500 octets de donnée maximale au départ on se retrouve avec bien plus et cela ne peut pas passer en une seule transmission. TCP va alors utiliser la fragmentation du paquet IP pour le faire passer en plusieurs fois.
Trop de fragmentation engendre plusieurs problèmes :
- surchage CPU des routeurs
- paquet arrivant dans le désordre
- performance
Faut il encore que nos routeurs puissent fragmenter les paquets et les remettre en ordre....
En théorie avec le PMTU (MTU discover), un signal ICMP est renvoyé à l'émetteur pour lui signaler que la trame a été rejetée à cause de sa longueur. (Fragmentation needed). L'émetteur va alors recommencer, avec des paquets plus petits, jusqu'à ce que ça passe.
De plus si le firewall bloque tous les ICMP on perd la trame Ethernet. C'est le message ICMP type 3 code 4 qui permet le PMTU.
D'où l'importance de connaitre le MTU de ses interconnexions VPN, et d'informer les équipements réseaux du VPN de ce MTU.
Pour connaitre cette MTU, nous allons utiliser un ping depuis une station distante avec l'option don't fragment packet.
Sur Cisco attention de ne pas avoir de paramétré crypto ipsec df-bit clear sur l'interface à ping
ping ipdel'interfacedurouteur tailledupaquet -f -lLorsque il ya un retour icmp ça passe, quand nous avons le message Le paquet doit être fragmenté mais paramétré DF.le paquet est trop gros.
La taille maximale du paquet qui passe nous donnera la MTU du site distant avec la formule : MTU = taille du paquet max+ 8 octets ICMP + 20 octets en tête IP
Cisco à mis en ligne un outil très intéressant qui permet de calculer la taille occupée par les services IPSEC selon les paramètres de chiffrage, de hachage, etc...
c'est ici : https://cway.cisco.com/tools/ipsec-overhead-calc/ipsec-overhead-calc.html
On peut donc prévoir la taille du MTU. Ne pas oublier éventuellement PPPOE : 8 octets.
En connaissant le MTU on peut se prémunir de la fragmentation et des transmissions impossibles :
> Soit en fixant cette MTU sur l'interface externe, dans quel cas on oblige les paquets sortant à se mettre au pas de la MTU, mais cela concernera aussi le trafic non VPN
> Soit en utilisant le MSS sur l'interface d'émission du VPN et gérer ansi le trafic entrant et sortant. Le Maximum Segment Size est informé lors d'une négociation TCP
MSS = MTU - 40
Sur un routeur Cisco on indiquera cette valeur sur l'interface intérieur d'une des 2 parties du traffic VPN:
Ceci ne fonctionne que pour TCP.
UDP n'est généralement pas utilisé avec les paquets "large", si c'est le cas, il faut fragmenter à tout prix ... on utilise donc la commande
En connaissant le MTU on peut se prémunir de la fragmentation et des transmissions impossibles :
> Soit en fixant cette MTU sur l'interface externe, dans quel cas on oblige les paquets sortant à se mettre au pas de la MTU, mais cela concernera aussi le trafic non VPN
> Soit en utilisant le MSS sur l'interface d'émission du VPN et gérer ansi le trafic entrant et sortant. Le Maximum Segment Size est informé lors d'une négociation TCP
MSS = MTU - 40
Sur un routeur Cisco on indiquera cette valeur sur l'interface intérieur d'une des 2 parties du traffic VPN:
ip tcp adjust-mss valeuril est possible de voir la fragmentation en auditant le trafic avec cette commande :
sh ip traffic | include frag
Ceci ne fonctionne que pour TCP.
UDP n'est généralement pas utilisé avec les paquets "large", si c'est le cas, il faut fragmenter à tout prix ... on utilise donc la commande
crypto ipsec df-bit clear
Retrouver le processus utilisé par svchost
Trouver le process qui utilise une instance de svchost grâce au PID :tasklist /svc /fi "imagename eq svchost.exe"
Supprimer "Numériser avec Windows Defender"
Tu souhaites supprimer "Numériser avec Windows Defender" du menu contextuel de Windows 10Alors supprime cette clé de registre :
[-HKEY_CLASSES_ROOT\CLSID\{09A47860-11B0-4DA5-AFA5-26D86198A780}]
Framework .net 3.5 et Windows 10
Tu veux installer sur le framework .net 3.5 sur Windows 10 mais par l'ajout de fonctionnalités Windows tu as simplement le droit à un code erreur bidon ...Alors utilise ton media d'installation et dism !
dism /online /enable-feature /featurename:netfx3 /all /limitaccess /source:d:\sources\sxs
Inscription à :
Articles
(
Atom
)
Aucun commentaire :
Enregistrer un commentaire