Déploiement d'outils RSAT avec PowShell

Bonjour à tous. En ce dimanche un peu gris, je vous propose un petit article rapide sur le déploiement rapide d'outils RSAT (pour exemple) avec PowerShell.
C'est rapide, pratique.

Pour cela nous avons besoin de deux fichiers:

- Un script PowerShell contenant les informations ci-dessous:

-Un fichier ".txt" contenant les noms des différentes  features RSAT

Il ne nous reste plus qu'à lancer le script.

Résultat: tout est correctement installé.

Nous pouvons vérifier la présence des outils RSAT.

Dans cette article, nous avons pu voir comment déployer facilement des "features RSAT" avec un script PowerShell tout simple.

A bientôt.

Mise en place de comptes gMSA

Bonjour à tous, nouvel article sur la mise en place de comptes gMSA.

Habituellement, nous utilisons tous des comptes de services avec mots de passe.

Qui dit mot de passe dit problème potentiel de piratage, sachant que les mots de passe des comptes de services ne sont en règle générale jamais changés car cela demande beaucoup de temps.

Pour pallier ces problèmes de mot de passe sur les comptes de services, Microsoft a d'abord sorti les comptes MSA avec Windows 2008.

Les gMSA (« Group Managed Service Accounts ») sont ensuite apparus avec Windows Server 2012, lesquels sont une amélioration des comptes MSA permettant l’utilisation d’un compte sur un seul et unique ordinateur. 

Les comptes MSA ne permettaient pas d'utiliser un seul compte pour plusieurs ordinateurs.

Les comptes MSA n'étaient supportés que pour quelques applications.

gMSA est un compte de service associé à un groupe de sécurité dans lequel seront ajoutés les ordinateurs autorisés à utiliser ce compte.

Les comptes gMSA sont compatibles avec les applications ci-dessous:

• Sur plusieurs machines
• Pour des tâches planifiées
• Pour IIS, ADFS, SQL Server, …
• Pour des services Windows

Pour pouvoir créer des comptes gMSA, il faudra générer la clé racine KDS  de Distribution de clés Services.

Pour cela, lancer une console PowerShell et exécuter le code PowerShell ci-dessous:

Cette clé sera ensuite répliquée sur l'ensemble des contrôleurs de domaine. Par sécurité, il est nécessaire d'attendre 10H pour s'assurer que tout soit bien répliqué.

Nous allons maintenant pouvoir créer nos gMSA.

Deux possibilités pour créer ces comptes:

• Avec l'outil graphique "Managed service accounts GUI" téléchargeable ici.
• PowerShell

Managed service accounts GUI:

Il vous suffit simplement d'ajouter le nouveau compte avec "New"
Donnez-lui un nom et choisissez l'OU dans votre active directory où vous souhaitez le stocker.

Votre compte est maintenant créé.

Pour que ce compte fonctionne, il faudra l'attribuer à l'ordinateur autorisé à l'utiliser.

Le compte gMSA peut maintenant être utilisé sur le serveur.

On va également vérifier la présence du compte dans l'active directory

PowerShell:

Idem en PowerShell, mais dans cet exemple, nous allons attribuer un groupe d'ordinateurs au compte gMSA.

Sur notre serveur autorisé à utiliser notre compte gMSA , nous allons enfin configurer le service concerné (dans notre exemple un service "SQL").

Dans cet article, nous avons pu voir la mise en place de comptes gMSA qui apportent beaucoup plus de sécurité qu'un compte de service avec mot de passe.

Je vous dis à très bientôt.

Mise en place de Windows Admin Center - Partie 2

Bonjour à tous, me voilà de retour pour le deuxième épisode de "Windows Admin Center".

Dans la première partie nous avons pu étudier la mise en place et les grands traits de "Windows Admin Center".

Dans cette deuxième partie nous allons entrer dans le vif du sujet à savoir:

- L'ajout de serveurs à gérer dans "Windows Admin Center".
- Le détail des fonctionnalités utilisées pour gérer nos serveurs.

Pour information, la partie virtualisation gérée dans "Windows Admin Center" ne sera pas traitée dans cette article mais dans un autre billet.

Une fois l'installation effectuée, connectez-vous à l'URL du serveur "Windows Admin center"

Rappel de l'URL: https://MonServeurWindowsAdminCenter

Un popup d'authentification doit apparaître pour vous authentifiez sur le la console.



Une fois connecté, nous constatons la présence d'un seul serveur, en l’occurrence le serveur qui gère "Windows Admin Center".

Nous allons maintenant ajouter nos serveurs Core

cliquer sur le bouton "ajouter"
Vous aurez le choix d'ajouter des serveurs, des PC, des clusters de basculement ou des clusters Hyper-convergé

Vous avez donc la possibilité d'ajouter manuellement un serveur.

Vous avez également la possibilité d’importer en masse des serveurs avec un fichier texte.

Taper ensuite les identifiants autorisés à ajouter le serveur Core.

Les serveurs Core à présent ajoutés, nous allons voir les fonctionnalités permettant leur administration.

Sélectionner le serveur que vous souhaitez administrer, la page ci-dessous s'affiche

L’impression derrière ce projet est d’aider à raccourcir la gestion des serveurs en regroupant la majorité des outils souvent référencés utilisés par les administrateurs système. Voici une liste des fonctionnalités proposées par cet outil d’administration basé sur le Web, qui devrait évoluer avec la possibilité de plug-ins et d’extensions tierces. 

• Certificats
• Périphériques
• Journaux d’événements
• Fichiers
• Pare-feu
• Utilisateurs et groupes locaux
• Réseau
• PowerShell
• Processus
• Registre
• Bureau à distance
• Rôles et fonctionnalités
• Services
• Stockage
• Réplication de stockage
• Machines virtuelles
• Commutateurs virtuels
• Tâches planifiées
• Mises à jour Windows 

Mise en place de Windows Admin Center - Partie 1

Bonjour à tous, nouvel article cette semaine concernant cette-fois ci, "Windows Admin center" alias "Projet Honolulu".

Dans l'article précédent, je vous avais présenté le déploiement de contrôleurs de domaines en mode core.

Grâce à "Windows Admin Center", nous allons voir comment administrer facilement nos serveurs core.

Windows Admin Center c'est:

§Une évolution moderne de Server Manager….

§Une Gestion simplifiée de Windows Core Server

§Ce sont des outils que vous connaissez, repensés

§3 solutions possibles: Gestionnaire de serveur, Gestionnaire de cluster de basculement et Gestionnaire cluster Hyper-Convergé

§Intégration  possible avec Azure

Topologie Windows Admin Center:

§Un serveur Web pour l'interface de gestion (HA possible)

§Un service de passerelle pour gérer les nœuds

§PowerShell et Winrm

§API REST

Installation Windows Admin Center:

La dernière version actuellement disponible est la version 1809.

Le téléchargement est disponible ici: https://docs.microsoft.com/fr-fr/windows-server/manage/windows-admin-center/understand/windows-admin-center

Le service de passerelle WAC peut être installé sur:

§Windows Server 2016 et versions supérieures

§Windows 10 et versions supérieures

Windows Admin Center permet de gérer les systèmes d’exploitation suivants:

§Windows Server 2008 R2 ( Toutes les fonctionnalités ne seront pas disponibles)

§Windows Server 2012 et Windows 2012 R2 (PowerShell 5.1)

§Windows Server 2016 et versions supérieures

Une fois le MSI téléchargé, il ne reste plus qu'à lancer l'installation.

Pour le test du labo, nous utiliserons un certificat auto signé (60 jours) mais, bien entendu, il est  obligatoire d'utiliser un certificat approuvé par une autorité publique pour la production. 

Une fois l'installation terminée, il ne vous reste plus qu'à vous connecter sur le serveur hébergeant "Windows Admin Center":

https://MonServeurWindowsAdminCenter

Pour afficher "Windows Admin Center", vous ne pourrez utiliser que les navigateurs "Microsoft Edge" et "Google Chrome".

Ci-dessous, nous pouvons voir les fonctions gérées par "Windows Admin Center:

Gestionnaire de serveur: Permet de gérer les serveurs (cf. compatibilités ci-dessus):

https://docs.microsoft.com/fr-fr/windows-server/manage/windows-admin-center/use/manage-servers

Gestion de l'ordinateur: Permet de gérer les ordinateurs ( cf. compatibilités ci-dessus).

Gestionnaire du cluster de basculement: Permet de gérer la disponibilité de serveurs tels que HYPER-V, Microsoft SQL Server... Cette partie comporte également la possibilité de gérer vos ordinateurs virtuels HYPER-V:

https://docs.microsoft.com/fr-fr/windows-server/manage/windows-admin-center/use/manage-failover-clusters

 Gestionnaire du cluster Hyper convergé: Permet de gérer et contrôler une infrastructure hyperconvergée exécutant Windows 2016 Server. Cette partie comporte également la possibilité de gérer vos ordinateurs virtuels HYPER-V.

https://docs.microsoft.com/fr-fr/windows-server/manage/windows-admin-center/use/manage-hyper-converged

Des paramétrages supplémentaires peuvent être appliqués en cliquant comme ci-dessous sur la roue (bouton "paramètres").

Ci-dessous s'affichent les différents paramétrages:

Nous avons donc la possibilité de configurer les options suivantes:

Le compte: correspond au compte de connexion à la plateforme "Windows Admin Center"

Langue/régions: Les utilisateurs peuvent modifier les formats de langue et la région affichés par Windows Admin Center.

Les suggestions: 

Permet d'activer ou de désactiver les infos ou  suggestions provenant des "services Azure" ou de nouvelles fonctionnalités.

Passerelle/Extensions:

Les administrateurs peuvent installer des extensions supplémentaires proposées par Windows.

On pourra également les supprimer ainsi que développer ses propres extensions.

Pour info: https://docs.microsoft.com/fr-fr/windows-server/manage/windows-admin-center/configure/using-extensions

Un exemple intéressant: si vous avez des systèmes Microsoft installés sur des serveurs physiques, vous pourrez ajouter l'extension permettant de gérer la bonne santé du serveur physique.

Pour le moment, tous les constructeurs ne sont pas référencés. 

Passerelle/Azure:

Permet à "Windows Admin Center" d'accéder aux services azure:

Passerelle/Accéder:

Permet d'ajouter les groupes ayant accès à la console.

Possibilité aussi de s'authentifier avec Azure Active Directory.

Dans cette première partie, nous avons pu voir la mise en place et étudier dans son ensemble "Windows Admin Center".

Dans la prochaine partie, nous détaillerons  la configuration et les fonctionnalités de "Windows Admin Center", ce qui nous permettra de maintenir nos serveurs core.

Bonne découverte de Windows Admin Center. 😉😊

Déploiement d'un environnement Active Directory en mode Core

Bonjour à tous.

Dans ce nouveau billet, je souhaite partager avec vous un sujet qui me tient à cœur: Windows Server Core.

Windows core est une installation minimale sortie avec Windows 2008 Server.

Windows core (Installation minimale de Windows Server) est une version allégée dépourvue d'interface graphique.

La solution core apporte les avantages suivants:

• Aucune interface graphique (limitation des surfaces d'attaques)
• Plus léger en ressources (moins d'espace disque, de mémoires...)
• Déploiement plus rapide, redémarrage plus rapide
• Moins de mises à jour, de patch critiques
• Moins de maintenance
• Forcer les administrateurs à utiliser des stations d'admins.

Nous allons donc voir au travers de ce document la mise en place d'un labo Active Directory en mode core. (Attention, depuis la version Windows 2016, il n'est plus possible de convertir le mode core en mode GUI, il faudra donc réinstaller le système d'exploitation).

Le déploiement a été effectué sur un Windows 2016 Server Core

Ensuite, l'utilitaire "Sconfig" a été utilisé pour configurer les IPs, DNS et nom d'ordinateur

Si vous souhaitez, comme moi, gagner du temps en utilisant "PowerShell", il vous suffira simplement d’utiliser les commandes ci-dessous:

Notre serveur est maintenant prêt, nous allons donc pouvoir créer notre forêt Active Directory:

Pour info:Les commandes ci-dessous sont les mêmes que celles utilisées lorsque vous lancez l'assistant ADDS en mode graphique.

 Nous pouvons maintenant ajouter un deuxième contrôleur de domaine avec un script PowerShell légèrement différent de celui évoqué précédemment:

Nous avons pu voir à travers cet article comment déployer rapidement une nouvelle forêt Active Directory (pratique aussi pour les labos de tests).

Mise en place d'un NAS en iSCSI

Bonjour à tous,

Dans le cadre de mises en place ou de migrations de plateformes HYPER-V, il m'arrive parfois d'avoir besoin de tester plusieurs scénarios (déploiements, mises à niveau...).
N'ayant pas le matériel adéquat pour reproduire la réalité, j'utilise le plus souvent la fonction NAS intégrée à Windows qui me permet de mettre en place un cluster HYPER-V avec un NAS en iSCSI. Bien entendu, un NAS Synology peut suffire mais je le mets de côté pour un usage personnel.

Dans cet article, nous allons voir ensemble comment configurer facilement un serveur NAS Windows.

1-Architecture technique:

1x serveur Windows 2012 R2 ou Windows 2016 (Workgroup) installé sur HYPER-V.
4x Disques Durs de 60 Go (un pour le système et les trois autres pour la partie stockage).
1x carte réseau pour le réseau iSCSI
optionnel: 2 hôtes HYPER-V dans dans HYPER-V (😋 ce n'est que du labo, à ne pas appliquer en production).

2-Configuration des disques durs:

Les disques durs ajoutés ci-dessous  sur mon serveur hôte HYPER-V seront à configurer.

Il faut maintenant mettre en ligne les trois disques durs

Les trois disques durs sont maintenant en ligne, la configuration s'arrête ici.

3-Configuration du NAS:

Maintenant vous pouvez lancer la console "Gestionnaire de serveur" et vous positionner sur la partie "Disques".

Nous pouvons constater la présence des trois disques précédemment ajoutés

Nous allons maintenant créer un pool de stockage ("Nouveau pool de stockage")

Indiquer le nom du pool de stockage

Ajouter ensuite les disques durs que vous souhaitez associer au pool de stockage

Nous allons à présent créer un disque virtuel

Sélectionner le "pool de stockage" précédemment créé 

Donner un nom à votre disque virtuel

Choisir le type de raid, pour le labo nous utiliserons le mode simple (RAID 0)

Nous utiliserons le mode "fixe" pour notre disque virtuel et la taille maximale

Récapitulatif et résultats

 

Nous allons créer un volume

Nous allons utiliser tout l'espace disponible

 Attribuer une lettre à votre volume

 Choisir le nom de votre volume et le système de fichiers

 Le nouveau volume est maintenant créé

Pour terminer nous allons installer la partie iSCSI pour pouvoir monter les volumes dans HYPER-V ou VMWare

 Nous allons installer le rôle "serveur cible iSCSI"

 L'installation s'est terminée correctement.

 Nous allons maintenant configurer le disque dur virtuel iSCSI

 Choisir le volume précédemment créé

 Donner un nom à votre disque dur virtuel iSCSI

 Indiquer la taille que vous souhaitez allouer à votre disque dur virtuel iSCSI

 Nous allons créer la cible iSCSI qui sera visible pour l'attachement des volumes sur les Hyperviseurs

 La nommée

 Nous allons ensuite ajouter les iqn des différents Hyperviseurs (n'oubliez pas d'activer les services iSCSI sur les HYPER-V).

 Ajouter les iqn visibles sur les hyperviseurs

 Vous aurez la possibilité de sécuriser les connexions iSCSI avec le protocole "CHAP" (je recommande de le configurer en production):

 Le disque virtuel iSCSI est maintenant correctement configuré:

Il ne vous reste plus qu'à attacher votre disque virtuel iSCSI à vos hyperviseurs et créer votre cluster.

Nous avons pu voir à travers cet article comment déployer facilement un NAS Windows.
A vos marques, virtualisez!!!