[Active Directory] Déployer votre Contrôleur de domaine 2012 R2 à partir d’un média (install from IFM)

 

S’applique à : Active Directory 2008, 2008 R2, 2012, 2012 R2 et 2016

Dans une infrastructure Active Directory répartie sur plusieurs sites, il arrive de devoir installer un Contrôleur de Domaine sur un site distant ne contenant aucun DC pour l’instant. L’installation nécessite la copie de l’annuaire à travers le réseau lors de l’exécution de l’assistant de configuration. Il est possible pour ce type situation, d’installer le contrôleur sur le site distant avec l’option « IFM : Install From Media ». Dans ce cas il faut préparer un support sur un Contrôleur de Domaine existant. Après l’installation, la réplication se fait à travers les liens réseaux.
Pour préparer le support d’installation il faut se connecter sur un Contrôleur de Domaine existant (un Contrôleur de Domaine en lecture seule ne peut servir de source), monter (connecter) ensuite un support amovible pour stocker les sources comme par exemple sur une clé USB avec la lettre E: (ou X:\ :)), une fois connecté, lancez l’Invite de Commande (CMD.exe) en tant qu’Administrateur et saisissez les commandes suivantes. Notez que dans l’exemple suivant, notre support de stockage amovible est monté avec la Lettre E:

NTDSUtil

Activate instance NTDS

ifm

Create SYSVOL full E:

Il vous faut ensuite attendre la création du support.

Sur votre site distant, déployez votre futur DC Windows Server (physique ou virtuel), installez y les services AD DS et lancez l’assistant pour promouvoir le contrôleur de domaine.

Lors de l’exécution de l’assistant de configuration, cochez la case « Installation à partir du support »  et spécifiez l’emplacement contenant la copie de l’annuaire AD générée lors de l’exécution des commandes ci-dessus (lettre correspondant à votre support de stockage amovible utilisé précédemment, E: dans notre cas) :

 

Cet article est un extrait de l’eBook de référence « Active Directory 2012 R2 – Design et déploiement en Entreprise [Guide du Consultant] »

[IT Security | Ethical Hacking] USB Killer V2.0 – La clé USB –tueuse de PC–

I Just received my USB Killer, V2.0

Une clé USB Killer ? -_______0

But, What Is IT ??

La clé USB Killer a été créée par un russe surnommé Dark Purple

La première version de cette clé USB permettait la destruction d’une partie des composants d’un PC (de Bureau) ou Laptop.

La V2.0 permet en revanche (:D) de griller la carte mère d’un ordinateur en seulement quelques secondes.

Le fonctionnement de cette clé USB Killer 2.0 est relativement simple. Elle est munie de plusieurs condensateurs qui vont jouer leur rôle d’accumulateurs, et d’un convertisseur de courant continu. Quand elle est branchée, la clé reçoit une tension de 5V. Quand les condensateurs sont pleins, la clé envoie pendant une fraction de seconde une tension de 220V qui vont griller la machine sur laquelle elle est connectée. Encore plus puissante et plus dévastatrice que la première version, cette clé USB est capable de cramer à coup sûr n’importe quel appareil comportant un port USB, de la télévision à l’ordinateur en passant par une console de jeu ou encore un smartphone (via l’utilisation d’un support USB /MiniUSB).

Ci-après une vidéo de l’inventeur montrant la puissance de cette clé USB destructrice :

Comment puis-je protéger mes appareils et équipements informatiques contre ce type d’attaque ?

Aujourd’hui, il est devient primordial de se protéger contre ce type d’attaque.

Il existe plusieurs solutions « Soft » mais aussi « Hardware » qui vous permettent de vous protéger contre la destruction de matériel via USB Killer.

Il existe aussi une technique qui consiste simplement à modifier une clé de Registre pour désactiver tous les ports USB d’un PC.

Comment ça marche ?

Lancez Regedit.exe (depuis le Menu « Exécuter » ou « Démarrer »), et naviguez jusqu’au HKLM\System\CurrentControlSet\Services\USBSTOR

Localisez et double-cliquez sur la clé « Start »

Remplacez la valeur 3 par 4 et cliquez sur « OK » pour valider ce changement

Redémarrez votre machine, et voilà le tour est joué :).

[eBook /Book] Windows Backup Server 2016 – Deploiement, Gestion et Automatisation en Entreprise: Guide du Consultant [2ème Edition]

Cet eBook décrit en détail la fonctionnalité « Sauvegarde Windows Server » fournie (par défaut) avec Windows Server 2016.
Il s’agit d’une solution de sauvegarde flexible et puissante qui peut vous aider à bâtir un PRA optimisé (Plan de Reprise d’Activité ou DRP en anglais pour Disaster Recovery Plan) pour rétablir votre environnement de production en cas de problème (perte de données ou crash d’un serveur entier).

Les différentes méthodes de mise en œuvre, configuration et gestion de la solution sont détaillées dans cet eBook, à savoir :

WBAdmin.exe

WBAdmin.msc

Module PowerShell « WindowsServerBackup »

De plus, l’ouvrage repose sur la mise en place d’un projet « Real-World » de mise en œuvre d’une stratégie de sauvegarde à l’aide de la fonctionnalité « Sauvegarde Windows Server » pour protéger deux infrastructures systèmes Windows Server 2016 : Annuaire Active Directory & Infrastructure Applicative RDS
Enfin, plusieurs outils et scripts développés par l’auteur sont fournis avec le présent eBook. Ces derniers peuvent vous aider à accélérer le processus d’implémentation mais aussi vous faciliter la gestion de la solution de sauvegarde au quotidien.

A la fin de cet eBook, vous serez capable de :

Planifier et mettre en place une stratégie de Sauvegarde Windows Server

Créer et configurer des sauvegardes Windows Server

Exécuter les sauvegardes « Manuellement »

Planifier et automatiser l’exécution des sauvegardes

Restaurer les fichiers, dossiers et volumes

Récupérer l’état du système.

Restaurer les données des applications

Créer un rapport de sauvegarde quotidien

Scripter /Automatiser l’implémentation et la gestion de la solution « Sauvegarde Windows Server »

Read & Enjoy :).

 

Le format :: Broché :: est disponible sur Amazon.fr et Amazon.com, cliquez sur l’image ci-après pour en savoir plus :

Le format :: eBook [PDF] :: est disponible sur BecomeITExpert.com, cliquez sur l’image ci-après pour en savoir plus :

Remote Desktop Services [RDS] Windows Server 2016 – What’s New

RDS (Remote Desktop Services) Windows Server 2016 apporte un lot conséquent de nouveautés et d’améliorations qui répondent à plusieurs problématiques et besoins clients en matière de Virtualisation d’Apps et Postes de travail, notamment :

Compatibilité d’Apps [Windows Server 2016 et Windows 10]

Conçu et développé sur la même base de Windows 10, Windows Server 2016 présente le même look et expérience utilisateur que ce dernier. En outre, plusieurs mêmes Applications  sont fournies par défaut sur les deux OS Client et Server. Ce qui permet aux utilisateurs distants de retrouver « presque » le même environnement /espace de travail sur le serveur Bureau à distance.

Azure SQL Database pour la mise en HA de votre service RDCB

Parmi les « Big » News de RDS 2016 est la prise en charge du service Azure SQL pour la mise en haute disponibilité du service Broker (RDCB : Remote Desktop Connection Broker).

Vous pouvez désormais « Bypasser » le déploiement d’une infrastructure SQL OnPrem complexe et envisagez un scénario « Hybride » en utilisant Azure SQL.

En hébergeant la base de données RDS HA sur Azure SQL, vous bénéficiez de la puissance du Cloud Microsoft tout en réduisant le coût de votre projet RDS 2016.

Pour en savoir plus, consultez l’article suivant :

https://blogs.technet.microsoft.com/enterprisemobility/2016/05/03/new-windows-server-2016-capability-use-azure-sql-db-for-your-remote-desktop-connection-broker-high-availability-environment/

MultiPoint Services

Il s’agit d’un nouveau rôle, désormais natif dans Windows Server 2016.

Le rôle MultiPoint Services a pour but de permettre à des postes clients économiques et à des clients légers de se connecter à un serveur via USB ou via Ethernet pour proposer à plusieurs utilisateurs des sessions individualisées sur un même serveur. L’idée est de fournir un bureau Windows 10 à de multiples utilisateurs sur un seul et même serveur Windows.

L’ancienne solution Windows MultiPoint Server, la version multi-utilisateurs de Windows, disparaît donc avec Windows Server 2016 pour devenir qu’un simple rôle natif du nouvel OS Server.

Notez que le service de rôle RDSH (Hôte de Session Bureau à distance) est installé automatiquement avec l’installation du rôle MultiPoint Services.

Enfin, MPS peut être installé via l’option « Installation des Services Bureau à distance »

Nouvelles Cmd-Lets PowerShell

6 nouvelles Cmd-Lets ont été ajoutées au Module PowerShell « RemoteDesktop », voir la liste ci-après:

Export-RDPersonalSessionDesktopAssignment

Get-RDPersonalSessionDesktopAssignment

Import-RDPersonalSessionDesktopAssignment

Remove-RDDatabaseConnectionString

Remove-RDPersonalSessionDesktopAssignment

Set-RDPersonalSessionDesktopAssignment

Nouveau mode « Personal Desktop Session »

Un nouveau mode de déploiement a été introduit avec RDS 2016 : Personal Desktop Session.

Ce nouveau mode de déploiement RDS combine les deux modes de déploiement disponibles avec RDS 2012 /2012 R2 (Déploiement basé sur une Session & VM), ce qui veut dire qu’avec un déploiement RDS 2016 en mode Personal Session Desktops (ou Server Based Personal Desktop), vous pouvez mettre en place une infrastructure VDI sans utilisation d’OS Client :).
Le principe est simple, chaque utilisateur distant disposera d’un Serveur Hôte de Session dédié, ce dernier fera office d’un poste de travail virtuel comme dans une infrastructure VDI classique.

Je vous invite à consulter les deux articles suivants pour en savoir plus:

https://hichamkadiri.wordpress.com/2016/05/26/part1-nouveau-mode-de-deploiement-sous-rds-2016-personal-session-desktops-part1/

https://hichamkadiri.wordpress.com/2016/05/30/part2-nouveau-mode-de-deploiement-sous-rds-2016-personal-session-desktops/

Prise en charge des Apps OpenGL par RemoteFX vGPU

Avec RDS 2016, RemoteFX vGPU prend désormais en charge les Applications OpenGL.

Les clients qui utilisent des applications graphiques nécessitant des capacités de mémoire vidéo élevées peuvent désormais virtualiser leurs Apps sur un environnement RDS sous Windows Server 2016.

Consultez l’article suivant pour en savoir plus :
https://blogs.technet.microsoft.com/enterprisemobility/2014/11/05/remotefx-vgpu-updates-in-windows-server-next/

Nouvelles capacités et améliorations du service Broker

La gestion de connexions Bureau à distance par le service RDCB a été amélioré d’une manière considérable. En effet, un serveur Broker peut désormais gérer jusqu’à 10.000 demandes de connexions simultanées.

En savoir plus : https://blogs.technet.microsoft.com/enterprisemobility/2015/12/15/improved-remote-desktop-connection-broker-performance-with-windows-server-2016-and-windows-server-2012-r2-hotfix-kb3091411/ 

Prise en charge de Microsoft Edge & Office 2016

Le nouveau navigateur Web de Microsoft « Edge » est pris en charge dans un environnement RDS 2016 et peut être publié (sur un serveur RDSH) et distribué comme n’importe quel Programme RemoteApp aux utilisateurs distants. C’est le cas aussi pour la suite Microsoft Office 2016. Une version prenant en charge les services Bureau à distance 2016 est désormais disponible dans le store /plateforme MSDN.

Prise en charge des « VMs Génération 2 »

Vous pouvez désormais utiliser des VMs Génération 2 comme des « Images Templates » pour créer des Pools de VMs ou VM Personal au sein de votre infrastructure RDS VDI 2016.

Aucune configuration supplémentaire n’est requise.

Just deploy and enjoy :).

Nouvelle version du protocole RDP

La version 10 du protocole RDP utilise désormais le codec H.264/AVC 444, ce qui permet une optimisation maximale des vidéos et texte sur un environnement Bureau à distance.

Pour en savoir plus sur ces améliorations, je vous invite à consulter le lien ci-après :

https://blogs.technet.microsoft.com/enterprisemobility/2016/01/11/remote-desktop-protocol-rdp-10-avch-264-improvements-in-windows-10-and-windows-server-2016-technical-preview/

RDP Planning Poster

L’équipe Remote Desktop Services a publié un nouveau Poster qui vous aidera à préparer, concevoir et déployer votre infrastructure RDS sous Windows Server 2016.

Voir la Big-Picture ci-après :

 

Ce Poster est téléchargeable gratuitement ici.

[Reporting Windows Backup Server 2016] Script de génération de rapport quotidien

Lors de mes interventions chez différents clients, j’ai constaté que les IT sur place ont souvent du mal à répondre aux questions suivantes:

• Vérifiez-vous régulièrement le bon déroulement /réalisation des sauvegardes ?
• Vos sauvegardes sont-elles testées et validées ?
• Avez-vous déjà effectué une restauration à partir des sauvegardes réalisées suite à un incident /crash d’un ou plusieurs serveurs ?

Il faut savoir que le Reporting des sauvegardes est un élément critique et important pour toute direction informatique.

Réaliser des sauvegardes c’est bien, mais savoir les utiliser en cas de problème est OBLIGATOIRE.

Quand vous réalisez vos sauvegardes, vous devez vous assurer que celles-ci ont bien été effectuées, car il arrive parfois que des sauvegardes échouent suite à une saturation d’espace disque (sur l’emplacement de sauvegarde) ou simplement à cause d’un problème de performance lié au serveur Windows Server.

Vous pouvez utiliser le script PowerShell suivant pour générer un rapport quotidien sur vos sauvegardes et le recevoir automatiquement par mail (mail de notification) sur une adresse email que vous spécifierez dans le code du script.

Notez que ce script vous détaillera également les éventuels messages d’erreurs remontés au niveau des journaux d’événements de Windows, plus précisément les journaux liés à la fonctionnalité « Sauvegarde Windows Server ».

Il suffit de remplacer les valeurs utilisées dans le script par celles qui correspondent à votre environnement, enregistrer les modifications, exécuter le script et le tour est joué J.

===================================================================

# Définir le rapport

$Date = Get-Date

$DateDemarrage = $Date.AddDays(-2)

$MonRapport = « Rapport de sauvegarde pour $Env:LABRDS01 du $Date`n »

# Collecte d’informations sur le jeu de sauvegarde

$MonRapport += « `tBackup Sets »

$MonRapport += Get-WBBackupSet | `

Where-Object BackupTime -gt $DateDemarrage | Out-String

Get-WBBackupSet | where BackupTime -gt $DateDemarrage | Out-String

# Création d’une collection de journaux d’événements importants

$MonRapport += « `Messages des journaux d’événements »

$Evenements = 1, 4, 5, 8, 9, 14, 17, 18, 19, 20, 21, 22, 49, 50, 52,

100, 224, 227, 517, 518, 521, 527, 528, 544, 545, 546, 561, 564,

612

# Recherche d’événements sur les journaux d’événements Windows

$MonRapport += Get-WinEvent -LogName « Microsoft-Windows-Backup » | `

Where-Object {$_.TimeCreated -ge $DateDemarrage} | `

Where-Object {$Evenements -contains $_.ID} | `

Format-Table TimeCreated, LevelDisplayName, ID, Message | Out-String

# Recherche de messages d’erreurs dans les journaux liés aux « Sauvegardes »

$MonRapport += « `Journaux d’erreurs Sauvegarde Windows Server »

$Journaux = Get-ChildItem C:\Windows\Logs\WindowsServerBackup*.log | `

Where-Object LastWriteTime -gt $DateDemarrage

$MonRapport += $Journaux | Select-String « ^Erreur » | Out-String

# Envoi de notification par mail

Send-MailMessage -From Notification@BecomeITExpert.com `

-To Admin@BecomeITExpert.com -SmtpServer mail.BecomeITExpert.com -Body <span style="color:#ff6600;">$MonRapport</span>

-Subject « Rapport de Sauvegarde pour $Env:LABRDS01 du $Date »

#Enregistrer et planifier le script de sauvegarde à l’aide du Planificateur de tâches

$Action = New-ScheduledTaskAction -Execute `

« %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe » `

-Argument « C:\Script2Sauvegarde.ps1 »

# Planifier l’exécution de la tâche

$DeclencheurTache = New-ScheduledTaskTrigger -Daily -At 10pm

# Définir le compte utilisateur pour l’exécution de la tâche planifiée et script

$UtilisateurTache = « BecomeITExpert\UtilisateurScriptADM »

$Mot2PasseTache = ‘MyP@$$w0rd*’

# Nommer et enregistrer la tâche

$NomTache = « Rapport de sauvegarde quotidien »

Register-ScheduledTask -TaskName $NomTache -Action $Action `

-Trigger $DeclencheurTache -User $UtilisateurTache -Password $Mot2PasseTache

 

Pour pouvoir recevoir les notifications par mail, vous devez vous assurer que le serveur depuis lequel vous exécutez le script arrive bien à communiquer avec votre serveur SMTP (local ou public) : checker les flux > e.g : SMTP 25/TCP

 

Cet article est un extrait de l’eBook [Windows Backup Server 2016 – Déploiement, Gestion et Automatisation en Entreprise]

[eBook /Book] AppLocker 2016 – Design et Déploiement en Entreprise: Guide du Consultant [2ème Edition]

Cet eBook vous aide à concevoir, planifier et mettre en place une politique de Restriction Logicielles avec AppLocker sous Windows Server 2016.

Il repose sur la mise en place d’un projet AppLocker « Real-World » pour sécuriser deux infrastructures systèmes : Windows Server 2016 et Windows 10 (E Entreprise).

L’auteur partage, à travers cet eBook toute son expertise et retours d’expérience sur AppLocker. Il détaille toutes les approches, techniques et concepts liés aux restrictions logicielles et techniques de sécurité tels que le « Whitelisting & Blacklisting ».

Il décrit également toutes les instructions et procédures techniques vous permettant de créer et gérer les règles AppLocker :

Via le mode GUI (MMC > GPMC.MSC /GPEDIT.MSC)

Via mode CLI (Windows PowerShell > Module AppLocker)

Enfin, plusieurs scripts d’automatisation sont fournis avec cet eBook

Le format :: Broché :: est disponible sur Amazon.fr et Amazon.com, cliquez sur l’image ci-après pour en savoir plus :

Le format :: eBook [PDF] :: est disponible sur BecomeITExpert.com, cliquez sur les images ci-après pour en savoir plus :

[Tip of the Week] Retrouver le mot de passe d’un réseau Wi-Fi sous Windows 10

Cette vidéo vous montre comment retrouver tous les mots de passe Wi-Fi enregistrés sur votre machine Windows 10.

Notez que cette technique est valable aussi pour Windows Vista, Windows 7 ainsi que Windows 8 et 8.1

N’hésitez pas à vous abonner à la chaîne pour être informé de la publication des nouvelles astuces IT.

Keep in touch :).

HK.