Actualités, interventions et astuces en hébergement

2008 R2 – souci TLS

laurent - responsable Technique 5 février 20209 février 2020

Désormais il faut utiliser TLS 1.2, pour ce j’ai trouvé les valeurs à injecter en base de registre afin de corriger le dysfonctionnement.

Pour ce, créer un fichier toto.reg, copiez-collez les valeurs ci-dessous, cliquez sur le fichier pour l’exécuter et rebootez la machine.

Windows Registry Editor Version 5.00
 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
 "DisabledByDefault"=dword:00000000
 "Enabled"=dword:00000001
 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
 "DisabledByDefault"=dword:00000000
 "Enabled"=dword:00000001
 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
 "DisabledByDefault"=dword:00000000
 "Enabled"=dword:00000000
 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
 "DisabledByDefault"=dword:00000000
 "Enabled"=dword:00000000
 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
 "DisabledByDefault"=dword:00000000
 "Enabled"=dword:00000000
 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
 "DisabledByDefault"=dword:00000000
 "Enabled"=dword:00000000
 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
 "DisabledByDefault"=dword:00000000
 "Enabled"=dword:00000000
 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
 "DisabledByDefault"=dword:00000000
 "Enabled"=dword:00000000
 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
 "DisabledByDefault"=dword:00000000
 "Enabled"=dword:00000000
 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
 "DisabledByDefault"=dword:00000000
 "Enabled"=dword:00000000

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000000

Please follow and like us:

0

20

20

The Server Manager WinRM plugin might be corrupted or missing

laurent - responsable Technique 28 mai 201929 mai 2019

Lors de l’ajout d’une fonctionnalité, erreur WinRM qui apparaît avec soit disant un gestionnaire défectueux.

Cela n’en est rien, il suffit juste de vérifier que l’ip 127.0.0.1 est bien enregistrée dans netsh

netsh http show iplisten

1	netsh http show iplisten

Vous devriez voir apparaître 127.00.1, si ce n’est pas le cas on va l’ajouter avec le code suivant :

http add iplisten 127.0.0.1

1	http add iplisten 127.0.0.1

Puis on va relancer WinRM avec la commande suivante :

Restart-Service "WinRM" -Force -Verbose

1	Restart-Service "WinRM" -Force -Verbose

Et voilà, l’ajout de fonctionnalités fonctionne de nouveau.

Ha Microsoft quand tu nous tiens …

Please follow and like us:

0

20

20

2012 -2016 – gestion des sessions RDP

laurent - responsable Technique 17 avril 201917 avril 2019

La gestion des sessions est assez aisée sous Active Directory, mais incomplet quand on ajoute Remote Application, après quelques heures de recherche je vous livre mes découvertes.

L’objectif : fermer complètement toutes les sessions de connexion au bureau à distance, en mode RDP ou Remote Application, et pas seulement déconnecter comme fait Windows désormais.

Active Directory

Sous Dos ou PowerShell exécuter : gpedit

Là nous allons devoir modifier deux droits, dans Configuration ordinateur et Configuration utilisateur.

Descendre l’arborescence jusque :

Modèles d’administration
Composants Windows
Services Bureau à Distance
Hôte de la session Bureau à Distance
Délai d’expiration des sessions

De là on va modifier deux lignes :

Définir le délai d’expiration des sessions déconnectées à 15 minutes (par exemple).
Mettre fin à la session quand les délais d’expiration ont été atteints

Répéter l’opération pour la configuration Utilisateur.

Lancer sous shell la commande : gpupdate afin de mettre à jour la stratégie.

Remote Application

C’est là où j’ai mis le plus de temps à comprendre pourquoi les sessions Remote Application ne se comportaient pas de la même façon que Active Directory.

Dans gestionnaire de serveur, cliquez sur l’icône Services Bureau à distance, puis sur Collections > QuickSession
Dans le menu déroulant Propriétés, cliquez sur Modifier les Propriétés et modifiez les champs comme indiqué dans l’image ci-dessous.

NB : j’ai fixé une limite de session active pour être certain qu’au bout de 12h (durée normale de travail ^^), la session soit bien fermée.

Please follow and like us:

0

20

20

2012 serveur – Impossible d’installer de nouveau KB

laurent - responsable Technique 27 juillet 201827 juillet 2018

Souci rencontré hier sous un 2012 serveur, mise à jour tres tres lente et erreur 80092004… suite à une non installation des KB.

Si on va faire un tour dans les programmes installés les KB y sont et sont toujours proposés au téléchargement.

A faire :

désinstaller les KB
re démarrer le serveur
au reboot utiliser la commande suivante (attention ça peut prendre des heures):

DISM.exe /online /Cleanup-Image /StartComponentCleanup

1	DISM.exe /online /Cleanup-Image /StartComponentCleanup

refaites les MAJ

Ca devrait fonctionner !

NDLR :

Perso j’avais une erreur avec le KB4340558, rien à faire car aucune solution n’a fonctionné, au final j’ai masqué le KB. Après des heures de test et de recherche, j’ai enfin trouvé sur le site de Microsoft Update :

« Microsoft a confirmé l’existence de ce problème dans les produits Microsoft figurant dans la liste des produits concernés et essaie de trouver activement une solution. »

Un régal !

Please follow and like us:

0

20

20

mySQL – password expired

laurent - responsable Technique 12 février 201814 juillet 2018

Version récentes :

PhpMyadmin > Variables > chercher : default_password_lifetime, et le passer à 0 en place de 360.

Vieilles versions :

Ouvrir le fichier de conf de mySQL : my.ini, ajouter :

[mysqld]
default_password_lifetime=0

1 2	[mysqld] default_password_lifetime=0

et relancer mySQL, le tour est joué.

Please follow and like us:

0

20

20

2012 serveur : fermer session RDP

laurent - responsable Technique 9 octobre 20179 octobre 2017

Sous 2012 serveur on ne peut plus fermer une session via le gestionnaire des tâches, seulement déconnecter.
Pour ce, il faut désormais utiliser une commande DOS

Serveur AD

qwinsta /server:nomduserveur
rwinsta /server:nomduserver 1 // efface user ID = 1

1 2	qwinsta /server:nomduserveur rwinsta /server:nomduserver 1 // efface user ID = 1

Serveur non AD

qwinsta
rwinsta 1 // efface user ID = 1

1 2	qwinsta rwinsta 1 // efface user ID = 1

Please follow and like us:

0

20

20

Manque OID dans serveur Dell

laurent - responsable Technique 22 juin 2017

Découvert par hasard, certaines sondes comme les disques ou le raid fonctionnent sur certains serveurs et pas sur d’autres alors que les configurations sont équivalentes et le service snmp opérationnel.

Réponse : il manque 4 enregistrements dans la base de registre (apparemment ajouté par Open mange ou l’installeur Dell), donc recopier ces lignes et les importer dans votre base de registre (aucun reboot nécessaire)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ExtensionAgents]
"1"="SOFTWARE\\ComputerAssociates\\CA ARCserve Backup\\Base\\SNMP"
"BcmifAgent"="SOFTWARE\\Broadcom\\Bcmif\\CurrentVersion"
"BASPAgent"="SOFTWARE\\Broadcom\\BASPAgent\\CurrentVersion"
"SysMgmtDataEngine"="SOFTWARE\\Dell Computer Corporation\\OpenManage\\DataEngine\\SNMP Agent\\CurrentVersion"

1

2

3

4

5

6

7

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ExtensionAgents]

"1"="SOFTWARE\\ComputerAssociates\\CA ARCserve Backup\\Base\\SNMP"

"BcmifAgent"="SOFTWARE\\Broadcom\\Bcmif\\CurrentVersion"

"BASPAgent"="SOFTWARE\\Broadcom\\BASPAgent\\CurrentVersion"

"SysMgmtDataEngine"="SOFTWARE\\Dell Computer Corporation\\OpenManage\\DataEngine\\SNMP Agent\\CurrentVersion"

Please follow and like us:

0

20

20

Initialisation des Lecteurs réseau

laurent - responsable Technique 14 mai 2014 Comments

Pour info, si un jour vous avez besoin d’initialiser des lecteurs réseau, pour ce j’utilise pour un petit fichier .bat que j’insère dans le démarrage de windows :

net use * /DELETE /YES 
net use "x:" "\\diskstation\public" "password" /USER:admin /PERSISTENT:YES /Y
net use "w:" "\\diskstation\web" "password" /USER:admin /PERSISTENT:YES /Y
etc..

1

2

3

4

net use * /DELETE /YES

net use "x:" "\\diskstation\public" "password" /USER:admin /PERSISTENT:YES /Y

net use "w:" "\\diskstation\web" "password" /USER:admin /PERSISTENT:YES /Y

etc..

password étant bien sûr à personnaliser, c’est le mdp d’un compte admin.
la 1ère ligne supprime toutes les connexions réseaux existantes et les deux lignes suivantes les (re)créent.

Please follow and like us:

0

20

20

WMI Error

laurent - responsable Technique 14 mai 2014 Comments

Démarrer > Exécuter : winmgmt /resyncperf

Please follow and like us:

0

20

20

IIS autoriser SNMP et WMI

laurent - responsable Technique 14 mai 2014 Comments

A ouvrir sur les FWs :

– SNMP : port 161 UDP
– WMI : port 135 TCP

Sous IIS7, pour WMI réalisez les actions suivantes :

– sous la console DOS

netsh firewall set service RemoteAdmin enable

1	netsh firewall set service RemoteAdmin enable

– Puis afin de contourner l’UAC ;

Ajouter la clé DWORD(32bits) : LocalAccountTokenFilterPolicy / valeur = 1
dans
HKLM/Software/Microsoft/Windows/CurrentVersion/Policies/System

Vérifier que dans le FW, Infrastructure de gestion Windows (WMI) est bien activé.

Please follow and like us:

0

20

20