Archive for November, 2012

Windows 7/8: Outils de gestion PC

BONNEFOYP2012Bonjour tout le monde,

01Net nous propose quelques outils de gestion PC Windows pour votre machine préférée…

http://www.01net.com/editorial/579639/les-meilleurs-logiciels-gratuits-pour-nettoyer-votre-pc/#?xtor=EPR-1-[NL-01net-Actus]-20121115
Découvrez leur sélection de logiciels gratuits pour mettre de l’ordre dans votre ordinateur
Vos programmes peinent à démarrer et les pages Web mettent du temps à s’afficher ? Vous avez l’impression que votre ordinateur est lent ? Votre disque dur est probablement surchargé en raison de l’accumulation de milliers de fichiers temporaires ou plus utilisés, générés lors de vos activités quotidiennes : téléchargements, installation de logiciels, navigation sur Internet, etc.
Inutile d’attendre l’arrivée du printemps pour se lancer dans un grand nettoyage ! Cette sélection de logiciels gratuits va vous aider à éliminer les fichiers obsolètes et les programmes inutiles, à faire le tri dans vos fichiers, à nettoyer la base de registre, etc. Autant d’opérations essentielles pour la santé de votre disque dur et le confort d’utilisation du PC:

  • CCleaner : nettoyez les traces de navigation sur Internet et les fichiers système inutiles
Télécharger CCleaner
  • ZSoft Uninstaller : Désinstallez rapidement les logiciels les plus récalcitrants Télécharger ZSoft Uninstaller
  • Glary Utilities : nettoyez la base de registre pour optimiser les performances du système Télécharger Glary Utilities
  • Duplicate Cleaner : détectez et supprimez les fichiers en double Télécharger Duplicate Cleaner
  • LeRenommeur : renommez rapidement tout type de fichiers Télécharger LeRenommeur
  • WinDirStat : visualisez graphiquement l’utilisation de l’espace disque Télécharger WinDirStat
  • Bonne journée.
    Patrice.

    No Comments

    Windows Server 2012: Signer vos zones avec DNSSEC

    Patrice2012Bonjour tout le monde,

    Dans un post précédent, nous avons vu comment installer DNS intégré aux services de domaine AD DS.

    Lors d’un récent post, nous avons vu rapidement ce qu’est DNS et comment installer le rôle sur Windows Server 2012. DNS, conçu en 1983, est le service réseau, qui permet de résoudre les noms de domaine recherchés (plus facile à retenir pour les utilisateurs) en des séries de chiffres – adresses IP – (plus facile à traiter par les machines). Lorsqu’une machine en recherche une autre, elle transmets un nom unique qui est traduit par DNS en son équivalent numérique, adresse composée de 4 séries de 3 chiffres (adresse IP) pour la norme IPv4 et jusqu’à 8 séries de 4 caractères hexadécimaux pour la norme IPv6.

    En  clair, un ordinateur adresse le nom d’un serveur hôte distant, DNS lui répond, s’il possède la réponse dans sa base de données, avec l’adresse IP équivalente. Dans la négative, il interroge récursivement d’autres DNS jusqu’à trouver la réponse adéquate.
    On dit alors que DNS est utilisé pour localiser des ordinateurs et des services à l’aide de noms conviviaux, laissant leur équivalence en adresses numériques – IPv4 – ou alphanumériques – IPv6 – au traitement de résolution machine.

    Lorsque le système DNS recherche un ordinateur à la requête d’une machine, il scrute le premier niveau de l’annuaire : la zone racine.
    Pour reprendre l’exemple de
    www.rueWindows.fr, DNS cherche dans ".fr" géré par l’AFNIC (Pour le .eu c’est l’EURID qui gère). La recherche suivante se fera vers le second niveau  ".rueWindows.fr". Lorsque la réponse est correcte, il renvoie l’adresse complète trouvée à l’ordinateur qui lui a adressé la demande.
    A l’évidence, on remarque que cette zone racine est de la première importance puisque la base de la recherche de noms de domaine repose sur elle.

    Lorsque l’on intègre le rôle DNS aux Services de domaine imageActive Directory (AD DS), des fichiers de zone sont créés. Ces zones sont des bases de données de stockage dans laquelle on trouve les enregistrements du domaine ou du sous-domaine géré.
    Ce sont ces zones qui vont occuper la suite de cet article car, c’est sur elles que reposent tous les problèmes liés à l’empoisonnement du cache du système de résolution.

    Depuis quelques années, des failles du systèmes ont été répertoriées dans une RFC (http://tools.ietf.org/html/rfc3833 ) disponible auprès de l’IETF. La principale faille mise au jour était la possibilité pour des utilisateurs malveillants d’intercepter les paquets émis de manière peu sécurisée.

    Même si la sécurisation de DNS a commencé vers 1995, ce n’est vraiment qu’à partir de 2008 que DNSSEC trouve son intérêt avec la révélation de la faille Kaminsky. Ensuite, les récentes vulnérabilités mises en évidence par les attaques sur le système DNS ont poussé les différents acteurs à protéger de bout en bout la communication entre machines. Le protocole de sécurité DNSSEC (DNS Security Extensions) palie au manque de sécurité de DNS.

    Pour cela, DNSSEC signe numériquement et asymétriquement les enregistrements des zones DNS à l’aide de deux clefs : une publique, et l’autre privée. En signant les données de l’annuaire, ce protocole garantit  l’authenticité de la réponse du serveur aux machines ayant lancé les requêtes deAFNIC recherche de noms. Ainsi, l’utilisateur final aura l’assurance de se connecter sur le bon site.

    En pratique, chaque niveau de l’annuaire possède ses propres clés. Lors de la lecture des informations, une validation s’opère où chaque clé d’un niveau valide celle du niveau immédiatement supérieur, ainsi de suite jusqu’au niveau racine.
    Ce protocole utilise donc 2 clés :

    • KSK (Private Key Signing Key) nécessaire à la validation d’un enregistrement de zone et pour signer la clé ZSK,
    • ZSK (Public Zone Signing Key) nécessaire pour signer les enregistrements de zone.

    La clef privée génère le chiffrage, alors que la clef publique permet de la lire. La clef privée est nécessaire pour générer une clef publique. De ce fait, si la clef publique ou si le chiffrage de l’enregistrement est altéré, il ne sera pas possible de lire l’information.
    Selon la pratique adoptée et notamment Microsoft, il est recommandé de changer la ZSK tous les 3 mois et la KSK tous les ans.

    Dans le cas du DNSSEC, l’administrateur ajoute donc à sa zone un chiffrage (RRSIG) de chacun des champs DNS à l’aide de sa clef privée, et rend disponible une clef publique (DNSKEY), afin de pouvoir les lire. Il est transmis en plus une empreinte de la clef au registre (DS).

    Mise en œuvre de DNSSEC

    A l’aide du clic droit de la souris sur le premier enregistrement de ressource de la zone, sélectionnez DNSSEC puis, Signer la zone…

    Signer1

    Après avoir pris connaissance du but de l’Assistant Signature de zone, vous avez la possibilité de ne plus afficher la page dans le futur, en cochant la case et d’obtenir plus d’informations sur le protocole DNSSEC (liens également à la fin de cet article). Cliquez sur Suivant pour démarrer la procédure…

    Signer2

    Aucune zone n’étant signée, choisissez l’option Personnalisez les paramètres de signature de zone puis, cliquez sur Suivant… Dans le cas contraire et pour signer les enregistrements d’une autre zone, nous sélectionnerons la deuxième option ou la troisième si vous ne voulez pas modifier les paramètres.

    Signer3

    Ici, le maitre des clés est le serveur pré-sélectionné. Cliquez sur Suivant pour poursuivre…

    Signer4

    La première clé KSK, clé privée, va être générée. Elle servira à signer la clé publique ZSK. Cliquez sur Suivant pour continuer…

    Signer5

    Nous allons configurer une nouvelle clé KSK. Cliquez sur Ajouter pour démarrer le traitement…

    Signer6

    Une nouvelle clé est proposée. Sélectionnez l’algorithme de chiffrement; vous pouvez utiliser celui proposé par défaut. Il est conseillé de remplacer cette clé au moins une fois par an. Cliquez sur OK une fois votre choix réalisé puis, sur Suivant pour générer la clé ZSK…

    Signer8

    Une nouvelle clé est proposée. Sélectionnez l’algorithme de chiffrement; vous pouvez utiliser celui proposé par défaut. Il est conseillé de remplacer cette clé au moins une fois tous les 3 mois. Cliquez sur OK une fois votre choix réalisé…

    Signer9

    Choisissez le protocole de chiffrement puis cliquez sur Suivant pour continuer… NSEC3 a pour objectif de lutter contre les attaques de type "énumération de zone". Mais attention : une zone peut être signée soit, avec NSEC soit, avec NSEC3 mais, pas avec les deux.

    Signer10

    Configurez ensuite la distribution des ancres d’approbation. Cliquez sur Suivant pour poursuivre…

    Signer11

    Paramétrez les valeurs pour la signature des enregistrements et l’interrogation. Cliquez sur Suivant pour continuer…

    image

    L’assistant a rassemblé les informations pour la signature. Cliquez sur Suivant pour démarrer la signature de l’élément…
    Un message vous annonce que la zone a été signée. Cliquez sur Terminer pour quitter l’assistant signature de zone et passer à une autre zone.

    Signer13

    Vous pouvez ouvrir l’observateur d’évènements DNS, depuis le gestionnaire DNS, et apercevoir le message ID:7646 vous informant que la zone est signée avec DNSSEC.

    Vu de la console DNS, ces signatures se présentent sous la forme de nouveaux enregistrements. La finalité en est une taille des messages ainsi qu’un nombre d’échanges plus élevés, dans le but de vérifier les signatures et clés utilisées.
    Il apparait évident que DNSSEC engendre plus de ressources machine ainsi que des versions à jour de logiciels DNS.
    De plus, il faut bien avoir à l’esprit que :
    - DNSSEC n’assure pas la confidentialité des échanges réseaux, ne protège pas contre le phishing et les malwares,
    - Les enregistrements signés ne peuvent être authentifiés que si la clé de la zone a été publiée dans la zone parente,
    - Il n’y a pas de sécurité mise en œuvre si le résolveur n’a pas, lui-même, mis en œuvre DNSSEC.

    On voit bien l’enjeu de ces échanges réseaux qui nécessitent une gestion sans faille des signatures au risque de voir les résolutions de zone bloquées à cause de signatures expirées.

    Et après ?

    Ensuite, vous devrez signer de nouveau une zone lorsque :

    • Des données d’une zone ont été modifiées, ajoutées ou supprimer. Vous pourrez utiliser les clés existantes,
    • Des clés sont compromises ou invalides. En cas de compromission, vous devrez générer à nouveau les clés,
    • Si une zone enfant est signée après que la signature de la zone parente ait été signée, puis les enregistrements DS de la zone enfant ajoutés à la zone parente alors, la zone parente doit être également signée à nouveau.


    Pas à pas : illustrer DNSSEC dans un laboratoire de test  http://technet.microsoft.com/fr-fr/library/hh831411
    Introduction à DNSSEC : http://technet.microsoft.com/fr-fr/library/ee649205(v=ws.10).aspx

    Bonne lecture.
    Patrice.

    No Comments

    Windows Server 2012 : Intégrer le rôle DNS aux Services de domaine AD DS

    Patrice2012Bonjour tout le monde,

    Avant de commencer la présentation de cette installation, voici quelques rappels succincts de ce que sont les services de noms de domaine.

    Le système DNS (Domain Name System : Services de Noms de Domaine) est le protocole ouvert de résolution deTCPIP-DNS noms utilisés par les réseaux TCP/IP. C’est un système hiérarchique et distribué géré par une douzaine d’organisations. Plus de 200 serveurs de noms répartis dans quelques pays du monde assurent DNS.

    Il est hiérarchique parce qu’organisé en sous-domaines liés entre eux par des délégations vers le niveau inférieur.
    Dans la hiérarchie, la racine est le point "."; viennent ensuite, les sous-domaines génériques "com", "net", "biz", "org"… les domaines de premier niveau "Amazon", "Google", "Microsoft"… les pays "fr", "it", "en"…

    La résolution du nom se fait du point le plus bas vers la racine "."
    DNS répond aux normes de
    l’IETF.

    Par exemple, rueWindows.net est un sous domaine de .net, les sous-domaines étant liés entre eux par des délégations.

    Il est attribué un noms DNS sur les réseaux TCP/IP, comme ceux des entreprise et/ou Internet, afin localiser les ordinateurs au moyen de noms conviviaux. DNS permet donc d’utiliser des noms faciles à retenir plutôt que des séries de chiffres indigestes Clignement d'œil
    Par exemple,
    http://87.98.160.135/, dans le cas d’une adresse IPv4, sera moins bien retenu que http://rueWindows.net/. Et pour une adresse IPv6, n’en parlons pas…

    Lorsqu’un serveur hôte doit résoudre un nom de domaine, il s’adresse à des serveurs récursifs parcourant la hiérarchie du imagesystème de noms afin d’obtenir les bonnes réponses. Généralement au nombre de 2, primaires et secondaires, faisant autorité pour le domaine recherché.

    Dans un autre cas, il sera utilisé non pas un nom de domaine mais son équivalent numérique. On parle alors de requête inversée.
    Lorsque vous créez une zone de recherche inversée IP à l’aide du composant logiciel enfichable DNS, l’Assistant Nouvelle zone vous demande un ID de réseau, c’est-à-dire la partie de la plage d’adresses IP dont la zone de recherche inversée est responsable. Par exemple, si la zone de recherche inversée couvre seulement les adresses dans le sous-réseau de la plage 192.168.0.0 à 192.168.0.255, entrez 192.168.0. L’assistant crée alors le nom de la zone de recherche inversée en inversant l’ordre des blocs de chiffres et en ajoutant le résultat au nom de domaine « racine ». Par exemple, si vous entrez 192.168.0 dans l’Assistant Nouvelle zone, le nom de la zone de recherche inversée est alors 0.168.192.in-addr.arpa.

    La configuration de zones de recherches inversées sont facultatives mais facilitent les vérifications de sécurité. Par exemple, la commande TraceRoute (TRACERT.EXE) utilise la recherche inversée.

    Les RFC 1034 (Domain Names — Concepts and Facilities) et 1035 (Domain Names — Implementation and Specification) spécifiées par l’IETF régissent la plupart des protocoles clés de la norme DNS. Ces RFC sont continuellement étudiées et approuvées afin de faire évoluer cette norme en fonction des besoins.
    Pour plus d’informations sur ces RFC,
    suivez ce lien

    Qu’en est-il avec les Services de domaine AD DS

    Outre ce qui est écrit plus haut, le Serveur DNS a pour rôle d’assurer une bonne intégration et prise en charge des services de domaine Active Directory:
    - Les
    zones DNS peuvent être stockées dans des conteneurs de données des services de domaine,
    - Le service Serveur DNS assure l’intégration à d’autres services comme WINS (Windows Internet Name Service) et DHCP (Dynamic Host Configuration Protocol). Ces fonctionnalités des serveurs Windows vont au-delà des préconisations RFC,
    - Le composant enfichable DNS de la console MMC apporte plus de facilité et de souplesse de l’administration par son interface graphique,
    - Prise en charge du protocole de mises à jour dynamiques sécurisées des enregistrements de ressources pour les zones intégrées aux services de domaine,
    - Les transferts de zones sont exécutés de manière incrémentielle afin de préserver la bande passante réseau,
    - Le service serveur DNS étend sa configuration standard avec des
    redirecteurs conditionnels pour ne transférer que des requêtes en fonction du nom de domaine spécifié dans la requête.

    Si vous voulez intégrer le service Serveur DNS aux services de domaine Active Directory, vous pouvez installer le rôle DNS en même temps que celui des services de domaine Active Directory. Vous pouvez également installer le service DNS après l’installation des services de domaine Active Directory.

    Plus d’informations sur DNS Server…

    Avant de commencer l’installation du rôle DNS, vous devez connaitre certaines informations de base :

    • Adresse IP et nom d’hôte du ou des serveurs devant être résolus : messagerie, FTP, Web…
    • Tous les volumes disques doivent utiliser NTFS,
    • Les propriétés du protocole TCP/IP doivent :
      • utiliser une adresse IP statique,
      • spécifier une adresse de DNS préféré,
      • spécifier une adresse de DNS auxiliaire.

    Installation du rôle DNS

    Les services de domaine Active Directory nécessitent l’installation d’un Server DNS lors de la promotion en Contrôleur de domaine car ces services utilisent DNS pour localiser les ressources réseau. Lorsque vous installez un Contrôleur de domaine, vous pouvez installer le rôle DNS en même temps (recommandé), lire ce post

    Depuis le tableau de bord du Gestionnaire de serveur, cliquez sur le lien Ajouter des rôles et des fonctionnalités ou bien dans la barre de menu, à droite, cliquez sur Gérer puis sur Ajouter des rôles et fonctionnalités. L’Assistant démarre; si vous ne désirez plus afficher cette page, cochez la case “Ignorer cette page par défaut”. Cliquez sur Suivant pour continuer…

    DNS_0

    Sélectionnez l’option Installation basée sur un rôle ou une fonctionnalité puis, cliquez sur Suivant

    DNS_1

    Sélectionnez votre server dans la liste (ici, c’est pratique, il n’y en a qu’un Clignement d'œil ) puis, cliquez de nouveau sur Suivant

    DNS_2

    Sélectionnez le rôle Serveur DNS, dans la liste, puis, cliquez sur Suivant

    DNS1

    L’Assistant est prêt pour installer le rôle. Cliquez sur Suivant...

    DNS2

    Après quelques sommaires informations sur DNS, cliquez une dernière fois sur Suivant puis, Installer pour installer le serveur DNS ainsi que ses outils de gestion.

    DNS3

    Que faire après cette installation ?

    Si vous aviez dans l’idée de poursuivre l’installation d’autres rôles et passer à autre chose, il va falloir patienter un peu Clignement d'œil
    Effectivement – vous devez vous en douter et l’avoir compris – un serveur DNS possède un rôle névralgique dans un réseau. Dans biens des cas, lorsqu’un réseau comporte des problèmes, généralement tout vient de DNS qui, au départ, a été négligé lors de son installation; mais tout ne vient pas nécessairement d’une mauvaise installation, heureusement.

    Il faut donc procéder à plusieurs vérifications afin de contrôler d’une part la bonne intégration de DNS aux services de domaine et d’autre part son fonctionnement sans erreur; pour cela, vous pourrez vous aider, à mesure que vous procédez, de l’observateur d’évènements contenu dans le composant logiciel enfichable DNS (ou avec les outils d’administration Panneau de configuration\Système et sécurité\Outils d’administration) et de quelques outils indispensables.

    Quels sont ces outils de vérification ?

    • IPCONFIG permet d’obtenir toutes les caractéristiques des connexions réseaux, de libérer ou de rétablir des connexions réseaux, gérer le  cache de la résolution DNS,
    • NETDOM permet, entre autre, de vérifier  les rôles de maitre d’opérations de votre Contrôleur de domaine,
    • NLTEST permet, entre autre, d’obtenir la liste des DC, connaitre le statut d’approbation et d’en tester les relations et l’état de réplication,
    • DCDIAG génère un rapport détaillé d’un fonctionnement anormal du serveur DNS
    • NSLOOKUP permet de diagnostiquer l’infrastructure du système de nom de domaine.

    Exemple de tests

    C:\Users\Administrateur.WS12REM84I716G>ipconfig /all

    Configuration IP de Windows
       Nom de l’hôte . . . . . . . . . . : WS12REM84I716G
       Suffixe DNS principal . . . . . . : carignan.ruewindows.com
       Type de noeud. . . . . . . . . .  : Hybride
       Routage IP activé . . . . . . . . : Non
       Proxy WINS activé . . . . . . . . : Non
       Liste de recherche du suffixe DNS.: carignan.ruewindows.com

    Carte Ethernet 1 :
       Suffixe DNS propre à la connexion. . . :
       Description. . . . . . . . . . . . . . : Carte D-Link DGE-528T Gigabit Ethernet
       Adresse physique . . . . . . . . . . . : 14-D6-4D-1D-01-58
       DHCP activé. . . . . . . . . . . . . . : Non
       Configuration automatique activée. . . : Oui
       Adresse IPv4. . . . . . . . . . . . . .: 192.168.0.5(préféré)
       Masque de sous-réseau. . . . . . . . . : 255.255.255.0
       Passerelle par défaut. . . . . . . . . : 192.168.0.254
       Serveurs DNS. . .  . . . . . . . . . . : 192.168.0.5 
       NetBIOS sur Tcpip. . . . . . . . . . . : Activé

    Carte Ethernet 2 :
       Suffixe DNS propre à la connexion. . . :
       Description. . . . . . . . . . . . . . : Contrôleur Realtek PCIe GBE Family
       Adresse physique . . . . . . . . . . . : 50-E5-49-B1-68-44
       DHCP activé. . . . . . . . . . . . . . : Non
       Configuration automatique activée. . . : Oui
       Adresse IPv4. . . . . . . . . . . . . .: 192.168.0.6(préféré)
       Masque de sous-réseau. . . . . . . . . : 255.255.255.0
       Passerelle par défaut. . . . . . . . . : 192.168.0.254
       Serveurs DNS. . .  . . . . . . . . . . : 192.168.0.5 
       NetBIOS sur Tcpip. . . . . . . . . . . : Activé

    Carte Tunnel isatap.{0B29D02A-3E72-432F-A441-2B5231EDA54F} :

       Statut du média. . . . . . . . . . . . : Média déconnecté
       Suffixe DNS propre à la connexion. . . :
       Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP
       Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-F0
       DHCP activé. . . . . . . . . . . . . . : Non
       Configuration automatique activée. . . : Oui

    Carte Tunnel Connexion au réseau local* 13 :

       Statut du média. . . . . . . . . . . . : Média déconnecté
       Suffixe DNS propre à la connexion. . . :
       Description. . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-F0
       DHCP activé. . . . . . . . . . . . . . : Non
       Configuration automatique activée. . . : Oui

    Carte Tunnel isatap.{F6FB11B7-63D9-41E8-8CFE-51031A9DB89E} :

       Statut du média. . . . . . . . . . . . : Média déconnecté
       Suffixe DNS propre à la connexion. . . :
       Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP #2
       Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-F0
       DHCP activé. . . . . . . . . . . . . . : Non
       Configuration automatique activée. . . : Oui

    C:\Users\Administrateur.WS12REM84I716G>netdom query FSMO
    Contrôleur de schéma        WS12REM84I716G.carignan.ruewindows.com
    Maître des noms de domaine  WS12REM84I716G.carignan.ruewindows.com
    Contrôleur domaine princip. WS12REM84I716G.carignan.ruewindows.com
    Gestionnaire du pool RID    WS12REM84I716G.carignan.ruewindows.com
    Maître d’infrastructure     WS12REM84I716G.carignan.ruewindows.com
    L’opération s’est bien déroulée.

    C:\Users\Administrateur.WS12REM84I716G>nltest /server:WS12REM84I716G /dsgetdc:carignan.ruewindows.com
               Contrôleur de domaine : \\WS12REM84I716G.carignan.ruewindows.com
          Adresse :
    \\192.168.0.5 
         GUID dom : ca02e2da-f8c8-43a2-b48e-56dbc49f31bb
         Nom dom : carignan.ruewindows.com
      Nom de la forêt : carignan.ruewindows.com
    Nom de site du contrôleur de domaine : Default-First-Site-Name
    Nom de notre site : Default-First-Site-Name
            Indicateurs : PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8
    La commande a été correctement exécutée

    Vérification d’une association Nom/Adresse IP interne :

    C:\Users\Administrateur> nslookup
    Serveur par dÚfaut :   ws12rem84i716g.carignan.ruewindows.com
    Address:  192.168.0.5

    > set q=srv
    > _ldap._tcp.dc._msdcs.carignan.ruewindows.com
    Serveur :   ws12rem84i716g.carignan.ruewindows.com
    Address:  192.168.0.5

    _ldap._tcp.dc._msdcs.carignan.ruewindows.com        SRV service location:
              priority       = 0
              weight         = 100
              port           = 389
              svr hostname   = ws12rem84i716g.carignan.ruewindows.com
    ws12pat84i716g.carignan.ruewindows.com      internet address = 192.168.0.5

    Vérification d’une association Nom/Adresse IP Web :

    C:\Users\Administrateur.ws12rem84i716g> nslookup www.ruewindows.fr
    Serveur :   _msdcs.carignan.ruewindows.com
    Address:  192.168.0.5

    Réponse ne faisant pas autorité :
    Nom :    www.ruewindows.fr
    Address:  87.98.160.135

    Quelques conseils…

    Ne pas utiliser une adresse IP de serveur où les services de traduction d’adresses réseau (NAT) et serveur DNS sont installés.
    Ceci entraine les erreurs 407 et 408 dans l’observateur d’évènements DNS.
    Comment régler ce souci ?
    - Si vous êtes derrière un Freebox ou autre box opérateur ne pas utiliser le routeur (192.168.0.254) comme adresse de serveur DNS. Elle représente celle d’une passerelle… Cette situation entrainerait également des erreurs d’enregistrements de ressources (A ou AAAA, CNAME…) découvertes avec l’outil DCDIAG.EXE. Il en découle l’erreur 407 et 408 puisque les enregistrements de ressources ne peuvent pas être inscrits sur cette adresse de serveur.
    - Serveur DNS et serveur NAT ne devraient pas être installés sur la même machine.
    - Ne pas utiliser l’allocateur DHCP et les fonctionnalités de proxy DNS dans NAT.
    - Configurer le serveur DNS pour qu’il n’écoute pas l’adresse (192.168.0.254 dans cet exemple) qui fonctionne pour NAT:

    • Depuis la Console MMC DNS, à l’aide d’un clic droit sur le serveur DNS, sélectionnez Propriétés,
    • Dans l’onglet Interfaces, section Ecouter sur, activez l’option Uniquement les adresses IP suivantes
    • Décochez la ou les cases des adresses IP que vous ne voulez pas que le serveur DNS écoute puis,
    • Cliquer sur OK pour fermer la fenêtre des Propriétés.

      - Eviter de redémarrer tous les serveurs DNS de l’entreprise en même temps.
      - Contrôler que le service Server DNS soit paramétré à "Automatique" et non "Manuel" car les services de domaine n’attendront pas son démarrage pour démarrer à leur tour.
      - Le Contrôleur de domaine démarre et doit pouvoir trouver le Serveur DNS.
      - Ce même contrôleur est en mesure de résoudre les enregistrements de ressources (A ou AAAA, CNAME…) pour chaque zone, qui ne devraient pas être manquantes, en double ou obsolètes.
      - Activer les mises à jour dynamiques sécurisées uniquement,
      - Signer les zones du Contrôleur de domaine avec DNSSEC,

      - Pour éviter un problème de disponibilité de serveur, coupler des unités d’onduleurs à ces serveurs et disposer le matériel dans des zones sécurisées,
      - Ces conseils ne sont pas exhaustifs Clignement d'œil mais c’est un bon début
      .

      Quelques liens bons à savoir :
      Plus d’informations sur les processus et interactions DNS:
      http://technet.microsoft.com/fr-fr/library/dd197552(v=ws.10).aspx
      Network Services Management Support Tools :
      http://technet.microsoft.com/fr-fr/library/cc737782%28v=ws.10%29.aspx
      Liste de vérifications DNS :
      http://technet.microsoft.com/fr-fr/library/cc759768(v=ws.10).aspx
      Utilisation de NSLookup :
      http://technet.microsoft.com/fr-fr/library/cc756097.aspx
      Installer un serveur DNS :
      http://technet.microsoft.com/fr-fr/library/cc782017.aspx

      Après traitement de tout ceci, votre premier serveur DNS intégré aux services de domaine devrait être à l’état correct. Clignement d'œil

      Bonne soirée.
      Patrice.

    No Comments

    Windows Server 2012: La machine ne démarre pas après l’installation de Hyper-V

    Patrice2012Bonsoir tout le monde,

    Vous installez Windows Server 2012, quelques rôles et fonctionnalités et/ou directement le rôle Hyper-V (le problème est absolument identique avec Windows 8 Professionnel).
    Jusqu’ici, tout ce passe bien, la vie est belle avec Windows Server 2012 Clignement d'œil

    Oui mais voilà : la machine redémarre à la suite de l’installation des services de virtualisation, Windows Server configure les fonctionnalités fraichement installées, arrête les différents services puis, redémarre de nouveau la machine.

    Chargement du Bios, démarrage de Windows Server et là, le système s’arrête sur le chenillard circulaire. Vous pouvez tout essayer, Windows Server ne démarrera pas.
    Dans ce cas, vous démarrez en mode sans échec sans problème : aucun message dans l’observateur d’évènements. Pour vous assurer qu’il n’y a aucun problème lié au système d’exploitation, vous pouvez même créer des machines virtuelles. Vous ne les démarrerez pas puisque vous êtes en mode sans échec…
    Il y a de quoi pester Triste

    Finalement, que s’est-il passé ?
    Après avoir longuement cherché sur le forum Windows Server Microsoft US, quelques utilisateurs ont rencontré le même problème avec des cartes-mères de constructeurs différents et, il faut le préciser de dernière génération disposant de l’USB version 3.0 !

    Ainsi, pour résoudre ce problème, vous devrez démarrer à nouveau la machine, puis:

    1. Appuyer sur la touche “DEL” dans la cas d’un Bios Award Software,
    2. Ouvrir le menu “Integrated peripherals”,
    3. Mettre la valeur Disabled aux fonctions: R_USB30 Controller, F_USB30 Controller,
    4. Appuyer sur la touche F10 puis confirmer pour sauvegarder et quitter le Bios,
    5. Continuer la procédure de démarrage.

    Ensuite, le sourire revient Clignement d'œil mais sans l’USB 3.0… en attendant un correctif .

    Bonne soirée.
    Patrice.

    2 Comments

    Windows Server 2012: Passer d’une installation GUI au mode “Server Core”

    Patrice2012Bonjour tout le monde,


    Il est clairement admis qu’une interface graphique permet de s’imprégner totalement d’un système, mieux en comprendre le fonctionnement lorsqu’il est méconnu.


    Une fois approprié on aura certainement envie de sécuriser au maximum le système et donc de passer à un environnement plus adapté.


    Microsoft a prévu ce cas Clignement d'œil : il est possible de passer d’une installation avec interface graphique au mode “Server Core”. Pour cela, il suffit de lancer la commande Powershell suivante:


    Uninstall -WindowsFeature Server-Gui-Mgmt-Infra –Restart –WhatIf              (-WhatIf vous permet de voir exactement le déroulement de la procédure sans l’exécuter).


    Aucun problème également si vous désirez de nouveau changer Clignement d'œil. Vous pourrez ensuite revenir à un serveur avec une installation en mode graphique, sans avoir à en préciser la source, parce que les fichiers nécessaires restent stockés sur le disque, même après avoir été désinstallés.


    Plus d’informations sur les options d’installation sur cette page


    Bon weekend.
    Patrice.

    No Comments

    Windows Server 2012: Partez visiter le Datacenter Microsoft de Dublin !

    Bonjour tout le monde,

    Partez visiter le Datacenter Microsoft de Dublin le temps d’une journée !

    Téléchargez Windows Server 2012 avant le 15 décembre 2012 à minuit et participez automatiquement au tirage au sort vous permettant de partir à Dublin visiter le Datacenter Microsoft. Microsoft vous offre le voyage !

    10 d’entre vous partiront le temps d’une journée découvrir les coulisses de notre site.
    Pour cela, complétez le formulaire de téléchargement en ISO ou VHD ci-dessous. Votre adresse email devient automatiquement éligible au tirage au sort.

    Règlement complet du Jeu gratuit sans obligation d’achat disponible ici .

    image image

    Bonne chance Clignement d'œil
    Patrice.

    No Comments

    Windows 8: Une mobilité sans limite avec Skydrive !

    Patrice2012Bonjour à tous,

    Vos fichiers toujours à portée de main avec SkyDrive.

    Avec Windows 8 et Windows RT, vous avez accès à SkyDrive et disposez de 7 Go d’espace de stockage gratuit dans le Cloud. Votre compte Microsoft vous permet de vous connecter de façon transparente de votre PC à SkyDrive afin de pouvoir accéder rapidement à vos fichiers dans le Cloud.

    Grâce à l’application SkyDrive pour Windows 8, vous pouvez :

    • Afficher vos fichiers stockés sur SkyDrive, y compris les fichiers partagés et les documents Office que vous avez ouverts récemment.Skydrive

    • Télécharger des fichiers de votre PC sur SkyDrive afin de pouvoir y accéder à partir d’autres ordinateurs ou depuis votre smartphone.

    • Télécharger des fichiers de SkyDrive sur votre PC.

    • Partagez des fichiers sur et depuis SkyDrive à l’aide de l’icône Partager. Vous pouvez par exemple sélectionner l’application Courrier pour envoyer un courrier électronique contenant un lien vers une photo hébergée sur SkyDrive.

    L’application SkyDrive vous permet de télécharger ou d’ouvrir des fichiers dans SkyDrive à partir d’autres applications du Windows Store sur votre PC. Par exemple, dans l’application de messagerie, vous pouvez enregistrer une photo reçue par courrier électronique sur votreSkyDrive. De plus, vous pouvez choisir votre image de verrouillage d’écran parmi vos photos stockées sur SkyDrive.

    Skydrive pour Windows : http://windows.microsoft.com/fr-FR/skydrive/download-skydrive
    D’autres infos sur ce blog :
    http://msmvps.com/blogs/vista/archive/2012/03/13/skydrive-un-lieu-d-accueil-pour-vos-fichiers.aspx
    http://msmvps.com/blogs/vista/archive/2012/04/27/acc-233-dez-224-skydrive-depuis-l-explorateur-windows.aspx
    http://msmvps.com/blogs/vista/archive/2011/06/24/microsoft-le-skydrive-nouveau-est-arriv-233.aspx

    Bonne journée.
    Patrice.

    No Comments

    (c) 2014 - Patrice A. BONNEFOY - Microsoft MVP Windows Expert IT-Pro since 2005.