Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Exchange + DSC = xExchange partie 2

Posted by Anthony Costeseque sur janvier 2, 2016


Bonjour à tous,

Que cette nouvelle année 2016 rime avec passion, énergie et réalisation !

Pour bien débuter continuons notre exploration de DSC dans Exchange :D

Et avant d’attaquer le dur nous allons préparer notre environnement de travail.

Cela va consister en :

    1 – Préparation du certificat pour sécuriser les credential stockés dans les fichiers .MOF générés

    2 – Déploiement des Modules DSC nécessaires sur les serveurs cibles

    3 – Modification WMI – augmentation des quotas

Commençons par le certificat

Pour plus de détails je vous invite à lire :

http://blogs.msdn.com/b/powershell/archive/2014/01/31/want-to-secure-credentials-in-windows-powershell-desired-state-configuration.aspx

http://blogs.msdn.com/b/powershell/archive/2015/10/02/powershell-dsc-faq-sorting-out-certificates.aspx

L’objectif est simple, étant donné que les fichiers .MOF stocke les credential fourni en clair il faut les sécuriser. La sécurisation se fera en utilisant une paire de clefs (présent dans un certificat SSL) pour crypter / décrypter les credentials.

Lors de la génération des configurations la clef publique est utilisée et lors de la lecture des configurations par le LCM des clients DSC c’est la clef privée qui sera utilisée.

  

Clef Publique

Clef Privée

Poste Admin

Oui

Non

DSC Clients

Non

Oui

 

Pour la démonstration j’utiliserai une PKI Microsoft (AD CS) Enterprise (non standalone pour pouvoir utiliser les template).

On duplique le template « Worstation Authentication »


Et on le personnalise



On lui donne un nom (DSC Client) et une durée de validité (ici 1 an), on autorise l’export de la clef privée.



2048 pour un certificat d’1 an c’est largement suffisant, on donnera le Subject au moment de la demande.



Pour la renforcer la sécurité on peut modifier les ACL pour n’autoriser que le groupe d’ordinateurs qui va utiliser DSC à pouvoir s’enrôler.


On publi notre template


On est prêt à générer notre certificat

Je vais réaliser la demande à partir u serveur qui va me servir à Push mes configuration et qui me servira aussi de Pull serveur par la suite.




J’ouvre une mmc pour charger la snap-in certificat (au niveau compte d’ordinateur)




Dans toutes les taches on faire une nouvelle demande de certificat




Mon template est bien disponible et il me faut personnaliser le Subject







On commence par le « Common Name » ici « DSC Certificate » puis (optionnel) on peut ajouter l’organization / l’organization Unit et le Pays, on fini par donner un Friendly Name au certificat (ici DSC Certificate)



La demande c’est bien déroulé et le certificat est bien disponible dans store personnel du compte d’ordinateur local (note la clef sur le dessin du certificat montre que la clef privée est présente)

Nous allons maintenant exporter le certificat avec sa clef privée pour le déployer sur les Clients, lors de l’export nous supprimerons la clef privée du certificat (car comme vu au début la clef privée n’est pas nécessaire sur le poste d’admin)






Bien cocher « supprimer la clef privée si l’export réussi », puis sécuriser le fichier avec un mot de passe complexe ! vous pouvez utiliser PowerShell pour en générer un :)


[Reflection.Assembly]::LoadWithPartialName(« System.Web »)

[System.Web.Security.Membership]::GeneratePassword(16,0)


Notez que le dessin de la clef a disparu (la clef privée n’est plus présente)

Maintenant il faut exporter la clef publique qui sera utilisée par le serveur d’admin qui génèrera les fichiers de configurations





Pour finir nous allons récupérer le Thumbprint


    cd Cert:\LocalMachine\My

    ls

Notre certificat publique se trouve dans C:\DSC\Certificates\DSCCertificate-Public.cer

Et son Thumbprint est E2D4D502C2C201F19A364EF5879D5B8E83B0327E

Passons au déploiement de la clef privée sur les clients DSC (les serveurs Exchange) à l’aide du script DeployPrivateKey.ps1 (de Mike Hendrickson)


    Disponible ici : http://1drv.ms/1IJGIZB

Nous allons devoir désactiver le Firewall temporairement le temps de l’exécution des scripts

    Get-NetFirewallProfile -CimSession AC-01-EXCH-01,AC-01-EXCH-02,AC-01-EXCH-03,AC-01-EXCH-04 | Select PSComputerName,Name,Enabled | FT Name,Enabled -GroupBy PSComputerName -AutoSize

Get-NetFirewallProfile -CimSession AC-01-EXCH-01,AC-01-EXCH-02,AC-01-EXCH-03,AC-01-EXCH-04 | Set-NetFirewallProfile -Enabled False

Get-NetFirewallProfile -CimSession AC-01-EXCH-01,AC-01-EXCH-02,AC-01-EXCH-03,AC-01-EXCH-04 | Select PSComputerName,Name,Enabled | FT Name,Enabled -GroupBy PSComputerName -AutoSize

Nous pouvons maintenant lancer le script


    cd c:\DSC\Scripts\HelperScripts

.\DeployPrivateKey.ps1 -TargetComputers AC-01-EXCH-01,AC-01-EXCH-02,AC-01-EXCH-03,AC-01-EXCH-04



Utiliser des credential (local ou du domaine) ayant des droits d’administrateur sur les clients DSC (les serveurs Exchange)





Le certificat a été correctement déployé et la clef privée est sécurisée

Continuons avec le déploiement des Modules DSC nécessaires sur les serveurs cibles

Avec WMF 4 il faut installer le module PowerShellGet pour trouver et installer facilement les modules PowerShell présent dans la Gallery (module automatiquement present avec WMF 5)

https://www.microsoft.com/en-us/download/details.aspx?id=49186&751be11f-ede8-5a0c-058c-2ee190a24fa6=True



Les cmdlets disponibles

    Get-Command -Module PowerShellGet


Vérifions que le module xExchange est bien disponible

    Find-Module xExchange


Installons le module, la première utilisation d’Install-Module demande l’installation de NuGet

    Install-Module xExchange -Force


Le module est maintenant disponible dans « C:\Program Files\WindowsPowerShell\Modules »

Nous allons le copier dans c:\DSC\Modules


Maintenant nous allons utiliser le script DeployDSCModules.ps1 (de Mike Hendrickson)


Disponible ici : http://1drv.ms/1IJGIZB


    .\DeployDSCModules.ps1 -TargetComputers AC-01-EXCH-01,AC-01-EXCH-02,AC-01-EXCH-03,AC-01-EXCH-04

Il est possible de rajouter des modules par la suite (comme xWebAdministration) puis de relancer le script


Finissons avec la modification de WMI (augmentation des quotas)

Pour eviter l’erreur PowerShell provider MSFT_xExchClientAccessServer failed to execute Test-TargetResource functionality with error message: Exception of type ‘System.OutOfMemoryException’ was thrown.

Il est nécessaire d’augmenter les quotas WMI pour que Remote PowerShell s’exécute correctement.

Nous allons utiliser le script SetWMIQuota.ps1 (de Mike Hendrickson)


    Disponible ici : http://1drv.ms/1IJGIZB


    .\SetWMIQuota.ps1 -TargetComputers AC-01-EXCH-01,AC-01-EXCH-02,AC-01-EXCH-03,AC-01-EXCH-04

Et voilà notre environnement est maintenant prêt !! :)))

Nous pouvons réactiver le Firewall des serveurs

    Get-NetFirewallProfile -CimSession AC-01-EXCH-01,AC-01-EXCH-02,AC-01-EXCH-03,AC-01-EXCH-04 | Select PSComputerName,Name,Enabled | FT Name,Enabled -GroupBy PSComputerName -AutoSize

Get-NetFirewallProfile -CimSession AC-01-EXCH-01,AC-01-EXCH-02,AC-01-EXCH-03,AC-01-EXCH-04 | Set-NetFirewallProfile -Enabled True

Get-NetFirewallProfile -CimSession AC-01-EXCH-01,AC-01-EXCH-02,AC-01-EXCH-03,AC-01-EXCH-04 | Select PSComputerName,Name,Enabled | FT Name,Enabled -GroupBy PSComputerName -AutoSize

 

Dans la prochaine partie (3) nous allons voir le déploiement entièrement automatisé de JetStress !

Bonne lecture ! Et encore une fois une Excellente Année 2016 à tous :D

Anthony Costeseque

Posted in Non classé | Leave a Comment »

Skype for Business: Security Review by Sense Of Security

Posted by Teruin laurent sur décembre 24, 2015


You will find here an interesting article on security and Skype for business deployment written by Sense Of Security. To resume nothing to worry about but some good recommendations. This White Paper could be useful to reassure a concerned a It Manager. https://www.senseofsecurity.com.au/sitecontnt/uploads/2015/12/Sense-of-Security-Whitepaper-Skype-for-Business-Security-V1.0-17Dec15.pdf

Regards

Laurent Teruin

 

Posted in Skype for Business 2015 / Lync 2013 - Documentation | Leave a Comment »

Skype on line: First look of Cloud PBX et PSTN Calling

Posted by Teruin laurent sur décembre 23, 2015


Pour ceux qui n’ont pas eu encore la chance ou le temps de voir l’offre Cloud PBX et PStn Meeting de Microsoft Certes on est loin de toutes les fonctionnalités d’un PBX mais… c’est un début prometteur

Cordialement
Laurent Teruin

https://www.youtube.com/watch?v=5Cxawu9mIag


Posted in Skype for Business 2015 - Evenements | Leave a Comment »

Planning Tools Skype for Business: Minimum Syndical

Posted by Teruin laurent sur décembre 23, 2015


Bonjour

Le 10 decembre de cette année Microsoft vient de mettre en ligne le planning tools pour Skype for Business server pour les clients qui projettent de mettre en place une solutions OnPremise. Microsoft ne les a donc pas oubliés. Alors certes on fait du neuf avec du vieux certains d’entre vous dirons, mais si cela n’est pas la panacée le planning tools permet de voir comment Microsoft propose de déployer la solution et permet également de vous apporter quelques éléments de référence incontournables. En exécutant ce programme que vous pouvez récupérer sur le lien suivant : https://www.microsoft.com/en-us/download/details.aspx?id=50357 il est assez facile de mettre en place une configuration supportée par l’éditeur en quelques minutes. Pour les habitués de la version précédente, On voit apparaitre quelques nouveautés comme les fonctionnalités de Vidéo Intérop avec les VTC et qui est désormais un rôle complémentaire dans Skype for Business

Vous trouverez dans cette nouvelle version une prise en compte des nouveaux concepts propre à Skype For Business mais qui ne sont pas forcément détaillés dans le résultat final une fois votre configuration terminée. Ce qui est dommage.

En résumé une mise à jour nécessaire sans véritablement de grandes valeurs ajoutées comparée à celle que nous connaissions pour Lync 2013

Cordialement

Laurent Teruin

Version testée : 9319.145 du 10/12/2015

Des nouveautés sur la prise en compte de la mobilité comme le montre la figure ci-dessous

 

Enfin une vieille version qui parle encore de la communication avec MSN Yahoo et AOL dont on se demande bien à qui cela peut bien servir. ;-)

 

Une prise en compte des fonctions de pool pairing et de reprise d’activité

 

Ainsi que la prise en compte des nouvelles fonctionnalités de haute disponibilités SQL

Posted in Skype for Business 2015 / Lync 2013 - Documentation | Leave a Comment »

Exchange + DSC = xExchange partie 1

Posted by Anthony Costeseque sur décembre 22, 2015


Bonjour,

Nous allons parler de Desired State Configuration (DSC) dans le contexte d’Exchange :)

Objectif l’automatisation complète du déploiement d’Exchange ainsi que du maintien de sa configuration dans le temps (vérification permanente de non divergence)

Avant de démarrer une présentation rapide de DSC


6 concepts / mots clefs à retenir ;)

Le but est de générer les fichiers de configuration (MOF) qui seront traités par l’agent (Local Configuration Manager (LCM)) du/des serveurs cibles à l’aide de Modules PowerShell composés de Ressources DSC

Et cela à travers 2 modèles de déploiement possible :

Push (j’envoie vers les clients)

Pull (les clients viennent chercher leur configuration sur un serveur central)

Les Modules qui contiennent les Ressources DSC sont disponibles dans la PowerShell Gallery ou directement depuis PowerShell (à l’aide de cmdlets qui parsent la gallery) si vous êtes en WMF 5.0 (GA depuis peu)

https://www.microsoft.com/en-us/download/details.aspx?id=50395

Mais dans notre cas nous resterons sur WMF 4 ! Exchange 2013 ne supporte pas pour l’instant WMF 5:/

Nous utiliserons plusieurs Modules que je listerai par la suite, mais le principal est xExchange !

    http://www.powershellgallery.com/packages/xExchange

    La version en cours de dev dans GitHub https://github.com/PowerShell/xExchange

A l’heure où j’écris nous en sommes à la version 1.5 qui supporte Exchange 2013 et vient d’amener le support de 2016 au travers de 34 Ressources DSC

    Pour les lecteurs en Windows 10 vous pouvez regarder par vous-même

        Find-Module -Name xExch*

        Find-DscResource -moduleName xExchange

        Find-DscResource -moduleName xExchange | measure

 

Pour ceux qui voudrait aller plus loin sur PowerShell & DSC voici les ressources pour bien démarrer :)

Formation MVA gratuites

Getting started with Windows PowerShell Jump Start

http://www.microsoftvirtualacademy.com/training-courses/getting-started-with-powershell-3-0-jump-start

Advanced Tools & Scripting with PowerShell Jump Start

http://www.microsoftvirtualacademy.com/training-courses/advanced-tools-scripting-with-powershell-3-0-jump-start

Getting Started with PowerShell Desired State Configuration (DSC)

http://www.microsoftvirtualacademy.com/liveevents/getting-started-with-powershell-desired-state-configuration-dsc

Advanced PowerShell Desired State Configuration (DSC) and Custom Resources

https://mva.microsoft.com/en-US/training-courses/advanced-powershell-desired-state-configuration-dsc-and-custom-resources

Documentation

https://msdn.microsoft.com/en-us/powershell/dsc/overview

https://github.com/PowerShell/PowerShell-Docs

PowerShell Gallery

http://www.powershellgallery.com/

PowerShell modules

Desired State Configuration (DSC) resources

Development

https://github.com/powershell/

 

Bonne lecture et à très bientôt pour la deuxième partie :)

Pour toutes questions n’hésitez pas !

Anthony Costeseque

Posted in Non classé | Leave a Comment »

Skype Entreprise : What’s new ?

Posted by Teruin laurent sur novembre 27, 2015


Mardi 1er décembre, 12h00 à 13h00

Skype Entreprise : What’s new ?

Vous ne communiquerez plus jamais comme avant !

Mardi 1er décembre, 12h00 à 13h00

 

La révolution Skype est en marche, elle bouleverse les usages & les fonctionnalités de vos utilisateurs. Elle rapproche vos sites distants, vous connecte directement avec vos clients et fournisseurs, élimine les distances, réduit les couts de communication, accélère les processus de décisions. Skype Entreprise 2015 remplace ou interagit avec vos systèmes de téléphonie existants (Alcatel, Aastra etc.); s’intègre avec vos équipements de visio-conférence.

 

Profitez des retours d’expérience sur des projets de déploiement, discutez avec des experts pour comprendre les problématiques techniques, échangez avec nos consultants d’accompagnement au changement pour estimer les aspects de communication, comprenez les processus de migration. Anticipez les nouveautés fonctionnelles annoncées.

INSCRIPTION

Pour vous inscrire au webcast le 01/12/15 de 12h00 à 13h00, il vous suffit de remplir le formulaire suivant :

 

http://www.exakis.com/fr/inscription_seminaire_exakis.aspx


 

 

PROGRAMME

  • Nouveautés Skype Entreprise par Exakis
  • Interopérabilités visioconférence par Foliateam
  • Interopérabilités téléphonie par AudioCodes
 

WEBCAST

Vous recevrez un lien pour vous connecter au séminaire en ligne lors de votre inscription


Posted in Non classé | Leave a Comment »

The Outbound port 5223 through TCP protocol isn’t allowed in the Firewall

Posted by Teruin laurent sur novembre 11, 2015


Hi

Today i tried to configure an On premise deployement for Hybridation. First step i ve launched from my tenant the Connectivity check to see if my configuration satisfy the requirements.




After some tests it seems that the requirement tools display that the port 5223 is not open for Outbound ; Which is wrong. How can affirm this ?. I use a Azure Windows 7 Machine which is listening on port 5223 as the picture display


From the machine which run the Office 365 check tools, i can establish a 5223 tcp connection to this Azure machine as the following picture display. So the port 5223 on tcp is open on outbound


I also check in this machine the Firewall rule and add the rule port for 5223 on outbound. So the connection is open but the O365 readyness tools display the contrary.


Firewall configuration on the machine who run the requirement tests tools

So what is wrong with this tools ???

Regards

Laurent Teruin

Posted in Office 365, Office 365 Hybridation | Leave a Comment »

Skype For Business 2015 Control Panel no Pool is displayed

Posted by Teruin laurent sur octobre 25, 2015


HI all

I just finish to setup a 4 front end Servers and when i launch the Skype Control panel no pool is displayed. When asking the pool with get-cspool the pool is displayed

Weird !!! Searching …..

 

 

 

 

 

    

Posted in Non classé | Leave a Comment »

OWA vulnerability ??!

Posted by Anthony Costeseque sur octobre 9, 2015


Bonjour à tous,

Depuis quelques jours on a droit à un FUD (Fear, Uncertainty and Doubt) qui circule à propos d’une brèche de sécurité découverte sur OWA (Outlook Web App).

J’avais décidé de ne pas y donné de suite au vu du dit rapport fourni par l’agence de sécurité qui a remonté l’information, je ne la nommerai pas car c’est précisément cette envie de visibilité qui les motive … (une recherche rapide vous donnera cette information).

Mais les clients s’inquiètent:/ il faut avouer que twitter c’est vrai moyen de communication massive dans le bon et le mauvais sens ;) l’information a été relayé par The Register, Inquirer, ComputerWeekly et SoftPedia en autres.

La réponse courte est : Il n’y a aucune brèche de sécurité dans OWA.

Si vous lisez le rapport (très brumeux entre nous) on constate qu’au final c’est par le moyen de la corruption d’une DLL utilisée pour OWA pour l’authentification (owaauth.dll) que l’attaque s’opère.

La corruption se fait en remplaçant la DLL d’origine par celle du hacker et pour cela il faut forcement l’accès au serveur avec des droits d’administrateur :D

Pas d’inquiétude, passez votre chemin, rien de nouveau ! Maintenir ses serveurs à jour et avoir la visibilité des comptes avec privilèges dans l’entreprise vous garderont loin de ce genre de problèmes !

L’Equipe Exchange a même pris le temps de faire un post tant le bruit a pris une ampleur étrange … : http://blogs.technet.com/b/exchange/archive/2015/10/07/no-new-security-vulnerability-in-outlook-web-access-owa.aspx

Anthony Costeseque

Posted in Non classé | Leave a Comment »

Nouveautés Polycom pour Skype For Business / Quick Preview

Posted by Teruin laurent sur octobre 7, 2015


Bonjour voici quelques nouveautées devoilées ce soir A New York par Polycom

 

 

La vue du Centro depuis un accés externe. Compatible nativement avec Skype For Business for Sure

Touch Screen Whiteboard….


 

Posted in Non classé | Leave a Comment »

 
Suivre

Recevez les nouvelles publications par mail.

Rejoignez 239 autres abonnés