La mise à jour des certificats racines KB931125 peut faire dysfonctionner des serveurs fournissant une authentification avec certificat: Cela peut concerner l’authenfication LDAP over SSL sur vos DCs, l’athenfication IIS sur un serveur Web et IAS sur un serveur Radius (NPS sous Windows 2008). Le phénomène et les solutions de contournement sont expliqués dans cette KB, le patch proposé est pour Windows 2003. Pour information la KB 931125 ne peut pas être désinstallée via WSUS.
Read more »

Vous pensez déjà à installer Windows 8… Mais vous n’avez toujours pas terminé votre migration vers AD 2008R2… Voici un tableau synthétisant les principales étapes de migration et problèmes de compatibilté que l’ont peut rencontrer:

Read more »

Sur un serveur 2008R2 nous avons configuré WinRM. Afin de tester le bon fonctionnement du service nous avons lancé la commande suivante:

winrm id -r:%machinename%

Or le message d’erreur suivant est apparu:
Read more »

Nous allons voir dans ce post comment mettre en place un serveur Event Collector sous Windows 2008 pour lire les données du journal d’événements  venant d’un client Windows XP ou Windows server 2003. Le système d’event forwarding ou syslog se base sur WinRM, il existe à ce jour deux versions de l’outil, la v1.1 et la v2.0, ces deux versions utilisent des ports de communication différents (80 HTTP + 443 HTTPS pour WinRM v1.1, 5985 HTTP + 5986 HTTPS pour WinRM v2.0). Je vous conseille donc de mettre à jour vos OS Windows XP et 2003 vers la version 2.0 de WinRM pour utiliser le système d’event forwarding. Pour plus de détails sur le fonctionnement de WinRM je vous conseille cet article.
Read more »

Suite à une migration de domaine AD, certains comptes migrés dans le domaine cible n’étaient pas membre du groupe utilisateurs du domaine. Afin d’identifier ces comptes nous avons utilisé la commande suivante de ActiveRoles Management Shell pour Active Directory:

Get-QADUser -NotMemberof 'ldap389\domain users' | export-csv domusers.csv

Read more »

Dans ce post nous allons décrire quelques problèmes que vous pouvez rencontrer lors de l’extension de schéma pour Active Directory 2008 ou 2008R2. Les étapes de cette preparation de schéma sont décrites dans ce post de askDS.
Read more »

Nous allons décrire dans ce post un problème rencontré sous Exchange 2010 lors de la mise en place de la synchronisation du courrier avec ActiveSync sur un appareil mobile. Lors de la tentative de synchronisation le message (Source MSExchange ActiveSync, ID 1053) suivant apparaît sur le serveur CAS:

Exchange ActiveSync doesn’t have sufficient permissions to create the “CN=<user name>,OU=<OU Name>,DC=ldap389,DC=info” container under Active Directory user “Active Directory operation failed on <dc-name>.ldap389.info. This error is not retriable. Additional information: Access is denied.
Active directory response: 00000005: SecErr: DSID-03151E04, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
“.
Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type “msExchangeActiveSyncDevices” and doesn’t have any deny permissions that block such operations.

Read more »

Dans ce post nous allons décrire différents problèmes rencontrés lors de l’extension du schéma pour Exchange 2010. Vous pouvez lire cet article technet pour la procédure détaillée de préparation du schéma AD pour Exchange 2010.

Les principaux problèmes rencontrés sont apparus lors du lancement de la commande: “setup.com /PrepareAD /OrganizationName:<Organization Name>”. Nous allons voir la résolution  d’un problème bloquant et d’un warning.
Read more »

Dans cet article nous allons décrire un problème rencontré sur notre infrastructure de production et détailler sa résolution. L’incident est le suivant: A partir de nos postes d’administration la GPMC freezait dès que l’on clickait sur une OU afin d’afficher les GPOs liées à celle ci, le problème ne se produisait que en étant connecté à un DC en particulier: Dans notre cas il s’agissait du PDC Emulator, si nous indiquions à la console de pointer sur un DC différent, la GPMC fonctionnait normalement.

L’application et la réplication des GPOs dans notre domaine fonctionnait normalement, par contre l’édition des stratégies de groupe sur le DC impacté devenait impossible, en même temps que la GPMC freezait une surcharge CPU du process lsass.exe survenait sur le contrôleur de domaine et ceci tant que la GPMC n’était pas killée sur la console. Nous avons donc continué à éditer nos GPOs à partir d’autres DCs et le fonctionnement de la production était quasi-normal le temps de la résolution de l’incident.

Read more »

Nous allons voir dans ce post comment identifier un application entraînant une consommation de CPU anormale sur vos Domain Controllers. Nous allons pour cela utiliser principalement deux outils: Server Performance Advisor et Wireshark. Le premier outil est utile si votre DC est sous Windows 2003, si vous êtes sous 2008, celui ci est inclus dans l’OS via le composant logiciel enfichable perfmon.msc, son nouveau nom Windows Reliability and Performance Monitor. La version 2003 et la 2008 possèdent des modules dédiés pour Active Directory, nous allons utiliser SPA, car le DC impacté est un 2003, si vous voulez plus de détails sur RPM et Active Directory vous pouvez lire cet article.
Read more »