Nous allons décrire dans ce post un problème rencontré sous Exchange 2010 lors de la mise en place de la synchronisation du courrier avec ActiveSync sur un appareil mobile. Lors de la tentative de synchronisation le message (Source MSExchange ActiveSync, ID 1053) suivant apparaît sur le serveur CAS:

Exchange ActiveSync doesn’t have sufficient permissions to create the “CN=<user name>,OU=<OU Name>,DC=ldap389,DC=info” container under Active Directory user “Active Directory operation failed on <dc-name>.ldap389.info. This error is not retriable. Additional information: Access is denied.
Active directory response: 00000005: SecErr: DSID-03151E04, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
“.
Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type “msExchangeActiveSyncDevices” and doesn’t have any deny permissions that block such operations.

Read more »

Dans ce post nous allons décrire différents problèmes rencontrés lors de l’extension du schéma pour Exchange 2010. Vous pouvez lire cet article technet pour la procédure détaillée de préparation du schéma AD pour Exchange 2010.

Les principaux problèmes rencontrés sont apparus lors du lancement de la commande: “setup.com /PrepareAD /OrganizationName:<Organization Name>”. Nous allons voir la résolution  d’un problème bloquant et d’un warning.
Read more »

Afin de changer les permissions sur une GPO vous pouvez utiliser le CmdLet Set-GPPermissions disponible avec les RSAT (import-module grouppolicy). Ce CmdLet ne permet pas de mettre des permissions du type “deny” ou de remplacer directement des permissions. Nous allons voir comment remplacer des permissions à l’aide du Security Descriptor Definition Language qui est utilisé pour éditer les permissions de tous types d’objets (système de fichiers, objets AD…). Pour mieux appréhender ce langage et un outil pour lire le contenu d’une chaine SDDL je vous conseille cet article.

L’opération de remplacement de permission sur une GPO peut servir quand un administrateur d’une OU créé une GPO, il en est alors propriétaire et ne donne pas les droits en contrôle total au groupe d’administration auquel il appartient. Sur notre domaine composé de deux sites, un par OU, nous avons deux types de GPOs: Read more »

L’outil repadmin peut vous servir à surveiller la bonne réplication au sein de votre forêt Active Directory. Vous pouvez lire cet article pour avoir plus de détails, grâce à la commande “repadmin /replsum” on peut avoir le statut global de réplication au sein de nôtre forêt. L’information “largest delta” correspond au plus grand intervalle de réplication constaté entre le DC indiqué et l’un de ces partenaires pour l’ensemble des partitions AD répliquées par celui ci. Le nombre d’échecs de réplication pour l’ensemble des “Naming Context” (i.e. partitions AD) et partenaires de réplication nous est aussi donné.

Le but de notre script va être d’analyser la réplication entrante de chacun de nos DCs grâce à la commande “repadmin /replsum /bydest” puis d’analyser son contenu. Dans le cas où vous avez des RODC dans vôtre infrastructure ils apparaitront dans le résultat de la commande, contrairement au commutateur /bysrc, pour plus de détails lire ce post. Si pour un DC donné la valeur “largest delta” dépasse un seuil à définir ou que des échecs de réplication sont constatés, alors nous analyserons l’attribut msDS-ReplAllInboundNeighbors de l’objet RootDSE de ce contrôleur de domaine. Nous pourrons ainsi avoir le détail du partenaire de réplication qui pose problème et le “Naming Context” qui n’a pas bien répliqué. Il est aussi possible d’obtenir cette information avec la commande “replsum /showrepl %dc_name% /csv“, mais l’information contenue dans l’attribut msDS-ReplAllInboundNeighbors est au format XML et est donc aussi sympathique à manipuler via script.
Read more »

Dans cet article nous allons voir comment faire un script qui recherche des paramètres de GPO,  ce point a été abordé par Lindsay Harris dans cet article et celui ci. L’avantage de sa méthode est que les critères de recherche peuvent être vraiment détaillés, par contre la méthode consiste a exporter toutes les GPOs de votre domaine au format XML et effectuer une analyse de ces fichiers, le traitement du script peut donc s’avérer très long si vous disposez de beaucoup de GPOs. La méthode que je vous propose est plus performante en termes de temps de traitement mais offre des critères de recherche plus limités, à vous de voir celle qui vous convient le mieux.
Read more »

Suite à la mise en place d’une autorité de certification Windows 2008, nous avons à notre disposition un nouveau modèle de certificats pour les contrôleurs de domaine nommé Kerberos Authentication. Ce modèle remplace le précédent: Domain Controller Authentication. Pour avoir plus d’informations concernant les différents templates de certificats je vous conseille de consulter ce lien.

Le template Kerberos Authentication peut être installé pour remplacer le modèle Domain Controller Authentication à partir d’un DC sous Windows 2003 SP2. Ci dessous un tableau comparatif entre l’ancien et le nouveau modèle:

Read more »

Comme vous le savez déjà surement les OS Windows 2000 et XP SP2 ne sont plus supportés par Microsoft depuis le 13/07/2010. En conséquence les patchs de sécurité MS sortis depuis cette date ne sont plus applicables sur ces versions d’OS. Une faille de sécurité critique MS10-046 a été corrigé via le patch de sécurité KB2286198, son pré-requis pour les versions workstation est donc Windows XP SP3 et Windows 2003 SP2 pour les versions server. Cette KB nous explique tout de même comment se protéger en utilisant une solution de contournement, celle-ci consiste en l’édition de deux clefs de registre et la désactivation d’un service.

Cette solution de contournement est donc applicable sur vos postes qui ne sont pas encore à jour et qui ne peuvent recevoir le patch de sécurité fournit par MS. Son gros désavantage est la disparition des images d’icônes sur certains fichiers *.lnk. Il est donc très vivement conseillé de mettre à jour vos systèmes d’exploitation avec le bon Service Pack pour ne pas avoir à en arriver la. Si ce n’est pas réalisable dans des délais raisonnables nous allons voir comment déployer cette solution de contournement via GPO. Ce sujet a déjà été traité dans cet article du Group Policy Center, il nous indique comment activer ou désactiver la solution de contournement sous Windows 2008 via les préférences de stratégies de groupe. Nous allons dans ce post le compléter en indiquant comment se servir du filtrage WMI pour cibler le comportement de la GPO, à savoir activer la solution de contournement pour les postes qui n’ont pas le patch de sécurité d’installé et le désactiver sur les ordinateurs ayant la KB2286198 d’installée. Puis comment réaliser la même chose sans les GPO de préférences, avec un AD sous Windows 2003.

Read more »

Nous allons voir dans cet article comment restaurer un objet en Powershell avec son appartenance de groupes. Pour cela vous aurez besoin d’avoir sur votre domaine d’un site de lag. Cette méthode ne vous sert à rien si le niveau fonctionnel de votre domaine est 2008R2 et que vous avez activé la corbeille AD, d’ailleurs les Cmdlets Microsoft vous permettent de restaurer un objet très facilement une fois que vous avez activé cette fonction.

La méthode décrite fonctionne à partir de Windows 2003 server en réanimant les objets à partir du Tombstone, votre console d’administration doit être au minimum sous Windows XP, donc pas besoin de RSAT (Windows 7 et 2008 server), ceci en utilisant les Cmdlets Quest. Vous avez peut être remarqué dans la rubrique “latest AD news“ du blog que la version 1.4 de ces Cmdlets était sortie il y a quelques jours. L’inconvénient de la méthode est qu’elle n’est surement pas supportée, pour les “best practices” c’est ici, et elle nécessite une modification du schéma. Elle est adaptée dans le cas d’une suppression de quelques comptes, l’avantage est la rapidité de restauration des objets: Pas de longue procédure d’authoritative restore à lancer, lancer le script suffit.
Read more »

Une petite nouveauté sur le blog: L’évolution de la sidebar, une catégorie “Latest AD news” a été ajoutée. Sur cette dernière vous trouverez les dernières nouvelles concernant AD annoncées sur les flux auxquels je suis inscrit. A noter la sortie il y a quelques jours de GPS, une page Web pour retrouver à partir de quelques mots clefs le bon paramètre de GPO à appliquer dans l’éditeur de stratégie de groupe, du temps de gagné pour les admins. Plus de precisions sur le blog de AskDS.

Dans cet article nous allons décrire un problème rencontré sur notre infrastructure de production et détailler sa résolution. L’incident est le suivant: A partir de nos postes d’administration la GPMC freezait dès que l’on clickait sur une OU afin d’afficher les GPOs liées à celle ci, le problème ne se produisait que en étant connecté à un DC en particulier: Dans notre cas il s’agissait du PDC Emulator, si nous indiquions à la console de pointer sur un DC différent, la GPMC fonctionnait normalement.

L’application et la réplication des GPOs dans notre domaine fonctionnait normalement, par contre l’édition des stratégies de groupe sur le DC impacté devenait impossible, en même temps que la GPMC freezait une surcharge CPU du process lsass.exe survenait sur le contrôleur de domaine et ceci tant que la GPMC n’était pas killée sur la console. Nous avons donc continué à éditer nos GPOs à partir d’autres DCs et le fonctionnement de la production était quasi-normal le temps de la résolution de l’incident.

Read more »