• Realiser des snapshots VSS avec Diskshadow.exe

    Windows Server 2008 Propose un outil simple d’accès pour réaliser des snapshots Volume Shadow Copy Services : Diskshadow.exe. Vous le trouverez dans le répertoire System32 de votre système.

    voici un exemple de script commenté pour vous permettre d’apprenhender rapidement l’outil. Le but est ici de faire un snapshot de machines virtuelles via le VSS Writer de Hyper-V.

    Vous pouvez retiré le commentaires de ce script, puis le sauvegarder, par exmeple “script.dsh”.

    Ce Script pourra être executé par la commande suivante: “diskshadow.exe /s script.dsh”

    1.1.1 Explication du script

    set context persistent

    > Le contexte d’exécution du script sera identique au contexte d’exécution actuel du serveur : l’ensemble de « writers VSS » sera impliqué dans la sauvegarde.

    set metadata c:\script\example.cab

    > Le contexte d’exécution est enregistré dans le fichier example.cab

    set verbose on

    > Le script va loguer des informations dans l’explorateur d’événements en cas d’erreur.

    begin backup

    > Démarrage de la sauvegarde

    add volume C: alias Data

    add volume D: alias System

    > Ajout des volumes concernés par la sauvegarde:

    > D:\ ; les machines virtuelles sont stockées sur ce volume.

    > C :\ ; L’initial Store de Hyper-V est stocké sur ce volume.

    # Exclude Writer name: 'Task Scheduler Writer'

    writer exclude {d61d61c8-d73a-4eee-8cdd-f6f9786b7124}

    > Exclusion de ce writer. Aucune information le concernant ne sera retenue.

    # Exclude Writer name: 'VSS Metadata Store Writer'

    writer exclude {75dfb225-e2e4-4d39-9ac9-ffaff65ddf06}

    > Exclusion de ce writer. Aucune information le concernant ne sera retenue.

    # Exclude Writer name: 'Performance Counters Writer'

    writer exclude {0bada1de-01a9-4625-8278-69e735f39dd2}

    > Exclusion de ce writer. Aucune information le concernant ne sera retenue.

    # Exclude Writer name: 'System Writer'

    writer exclude {e8132975-6f93-4464-a53e-1050253ae220}

    > Exclusion de ce writer. Aucune information le concernant ne sera retenue.

    # Exclude Writer name: 'ASR Writer'

    writer exclude {be000cbe-11fe-4426-9c58-531aa6355fc4}

    > Exclusion de ce writer. Aucune information le concernant ne sera retenue.

    # Exclude Writer name: 'Shadow Copy Optimization Writer'

    writer exclude {4dc3bdd4-ab48-4d07-adb0-3bee2926fd7f}

    > Exclusion de ce writer. Aucune information le concernant ne sera retenue.

    # Exclude Writer name: 'IIS Config Writer'

    writer exclude {2a40fd15-dfca-4aa8-a654-1f8c654603f6}

    è Exclusion de ce writer. Aucune information le concernant ne sera retenue.

    # Exclude Writer name: 'BITS Writer'

    writer exclude {4969d978-be47-48b0-b100-f328f07ac1e0}

    > Exclusion de ce writer. Aucune information le concernant ne sera retenue.

    # Exclude Writer name: 'Registry Writer'

    writer exclude {afbab4a2-367d-4d15-a586-71dbb18f8485}

    > Exclusion de ce writer. Aucune information le concernant ne sera retenue.

    # Exclude Writer name: 'WMI Writer'

    writer exclude {a6ad56c2-b509-4e6c-bb19-49d8f43532f0}

    > Exclusion de ce writer. Aucune information le concernant ne sera retenue.

    # Exclude Writer name: 'COM+ REGDB Writer'

    writer exclude {542da469-d3e1-473c-9f4f-7847f01fc64f}

    > Exclusion de ce writer. Aucune information le concernant ne sera retenue.

    # Include Writer name: 'Microsoft Hyper-V VSS Writer'

    writer verify {66841cd4-6ded-4f4b-8f17-fd23f8ddc3de}

    > Validation que le writer VSS « Hyper-V » est actuellement impliqué dans la demande de cliché instantané.

    >A ce moment, seul le driver VSS Hyper-V n’a pas été exclu. Les informations qui seront intégrées dans le cliché instantané ne concerneront que les machines virtuelles de l’hyperviseur.

    Create

    > Création du cliché instantané

    Expose %data% q:

    > Le cliché instantané est monté dans le lecteur  « q: »

    exec c:\diskshadowdata\backupscript.cmd

    > Exécutions d’un script dans lequel une copie du fichier .vhd de chaque machine virtuelle est ordonnée de « q : » à un répertoire de sauvegarde.

    delete shadows ID %system%

    delete shadows ID %data%

    > Suppression des clichés instantanés.

    end backup

    > Fin de la sauvegarde.

  • Proteger un DAG Exchange 2010 avec DPM 2010

    DPM 2010 prend en charge les DAG Exchange server 2010. Il est assez intéréssant de comprendre la gestion des bases, des logs et des points de restauration.

    J’ai installé un DAG Exchnage 2010 sur deux serveurs Exchange, avec deux bases dans ce DAG.

    Ensuite, j’ai téléchargé la béta publique de DPM 2010 à cette adresse: DPM Beta release

    Mise en place de la protection:

    Comme avec DPM 2007 SP1 créer un nouveau group de protection.

    Selectionner le DAG. On y retrouve bien nos 2 noeuds Exchange et nos 2 bases de données.

    image 

    Entrer un nom et choisir le mode de stockage.

    Il est maintenant possible d’utiliser le cloud comme solution de stockage pour la protection long-term. :)

    image

    DPM s’appuie toujours sur eseutil pour le check d’intégrité des données Exchange.

    image

    Déclarer vos bases comme “Full Backup” database ou “Copy Backup” database.

    image

    Ce point est important, car il détermine la gestion des logs Exchange. Faisons un parenthèse, et prenons un exemple:

    J'ai créé une DB3 active sur Node1 et sa copie sur Node2

    Avec DPM2010 je créer un PG et je choisis Node2. Je déclare la DB3 comme une copy backup.

    Première synchro. PG status: OK.

    Je génère des logs (j'envoie une belle pièce jointe à 4 collègues, tous sur DB3). Je monte à plus de 100 logs...

    Je constate les mêmes logs sur les Node1 et Node2: Normal!

    ->Je créer un recovery point de DB3. Stauts:Ok. Aucun log n'a été tronqué. Rien.

    Je fais basculer mon DAG, pour que DB3 devienne active sur Node2.

    ->Je créer un recovery point de DB3. Stauts:Ok. -> rebelote Aucun log n'a été tronqué.

    J'ai fait plusieurs fois l'opération. C'est net et sans bavure, une DB déclarée dans DPM comme une "Copy Backup" ne permet ni de synchroniser les logs toutes les 15 minutes, ni de tronquer les logs.

    Je créer un nouveau PG, je choisi DB3 sur Node1 (actuellement en mode copie d'un point de vue Exchange), je la déclare "Full Backup" dans DPM.

    -> Je créer un recovery point. Les logs sont tronqués sur Node1 et Node2.

    -> Sur Node1 la "copie" à ce moment il y a quelques logs supplémentaires de reste (10 logs de marge de sécurité)

    Reprenons…

    Dans le cas d’un DAG sur 2 nœuds, où chaque nœud héberge des bases actives, vous pouvez choisir de déclarer ces bases, sur ce nœud, comme "Full backup” dans DPM. Vous gardez ainsi une logique entre DPM et Exchange en vous assurant que les bases préférées d’un nœud Exchange (bases habituellement en prod sur ce noeud1) sont aussi les bases préférées de DPM (Full Backup). Nous pourrions choisir justement de déclarer en Full backup une copie de ces bases, sur un autre nœud, pour limiter la charge du nœud Exchange, mais ceci n’a pas de sens si DPM doit de toute manière intervenir sur ce nœud pour faire une sauvegarde de copies d’autres bases… J’espère que vous me suivez :)

    Il est possible faire un test de consistance automatiquement si le replica apparait comme inconsistant.

    image

    Pour chaque DB, DPM créer une partition “replica”et une partition “recovery points”

    image

    DPM va synchroniser son contenu avec le DAG Exchange pour provisionner la partition “replica” de chaque base. (Premier Express Full)

    image

    Actuellement, DB1 est active sur CEX1, DB2 est active sur CEX2

    image

    Comme pour le “preferred node” d’un cluster CCR Exchange 2007, DPM effectue toujours la synchro des logs sur la db déclarée préférrée ou “Full backup” lorsque celle ci est disponible. Ainsi, seul le replica de cette DB dispose des derniers logs synchronisés

    image image

    Les recovery points créés après cette synchro ne seront disponibles que pour les Bases “Full Backup”.

    image

    Même après une bascule du DAG,DPM continu de contacter les DBs Déclarées comme “Full Backup

    image image

    Lors de l’opération de Full Express, DPM effectue une synchro pour chaque DB.

    Le recovery point qui sera créé après cette opération sera disponible pour chaque base, et chaque base dispose rigoureusement de la même info.

  • Exchange Server 2010 est RTM !

    Tout est dans le titre!

    http://msexchangeteam.com/archive/2009/10/08/452775.aspx

  • DPM 2010 est en beta publique !

    La nouveau DPM 2010 est arrivé en béta publique, et il s'annonce vraiment impressionnant!

    http://blogs.technet.com/dpm/archive/2009/09/29/DPM-2010-beta-is-available-now.aspx

     

  • Communicator 2007 : CRL et OAB

    Microsoft Office Communicator 2007 est une application qui s’appuie sur Internet Explorer pour la configuration du proxy, mais aussi pour la vérification de la CRL (Certificate Revocation List).

    Ceci est un point fondamental car ne pas avoir accès à cette liste entraine un point gênant: Impossible de télécharger le carnet d’adresses!

    OAB error

    Au moment de la connexion de l’utilisateur sur son client Communicator 2007, se dernier établi une connexion sécurisée avec les serveurs Frontaux (au sein du domaine) ou avec le serveur Edge via un parfeu (depuis l’extérieur) en s’appuyant sur le certificat web du serveur contacté. C’est aussi via ce certificat que le serveur et le client Communicator vont chercher à vérifier la CRL.

    Dans les propriétés du certificat serveur, il est possible de trouver au moins 2 méthodes d’accès à la CRL: une requête LDAP au SDP ou via une URL:

    certificate CRL

    Chaque machine cherchant à valider la CRL commence toujours par la requête LDAP, et se rabat ensuite vers l’URL web si la première échoue.

    Troublshooter un problème de CRL:

    1/ Accès à la CRL

    Vérifier que le poste client dispose d’un accès “théorique” à la CRL. Au sein d’un domaine c’est automatique via Active Directory. A l’extérieur avec des certificats propriétaires il est impératif de publier la CRL avec l’URL web via un reverse proxy comme ISA Server 2006 ou bien Forefront Threat Management Gateway.

    Entrez l’URL web dans votre navigateur afin de tester ci cette méthode d’accès est valable.

    2/ Vérifier les paramètres IE

    IE Check CRL

    Par défaut, IE est configuré pour valider la CRL. Si le problème d’OAB rencontré est bien lié à la CRL, en décochant ces 2 cases vous devriez être à même de télécharger l’OAB. Ceci ne représente pas une solution.

    3/ Vérifier l’état de santé de la CRL

    Faites un export du certificat serveur ( du Front End ou du Access Edge) au format X509 ( fichier CER)

    puis depuis le serveur CA, exécutez une commande MS DOS et entrez:

    certutil –URL c:\votrechemin\votrefichierCER

    “L’URL retriever tool” devrait s’exécuter: Faites un “retrieve”

    URL retriever tool 1

    Vous verrez alors apparaitre l’état d’accès de la CRL par requête AD.

    “Vérifiée” signifie que celle ci est seine.

    Si votre CRL est expirée, éxécutez un certutil – CRL pour la réactiver.