FAQ

 

Q1: Comment est codée l'heure de manière interne sous Windows.

R1: Windows stocke l'heure au format suivant:

UTC (heure du méridien de Greenwich)

+ Offset du fuseau horaire auquel appartient la machine (1 pour Paris, par exemple). Il peut aller de -12 à +13.

+ Offset d'heure d'été (aussi appelé DST). Il peut être fixé à 0 (pour l'heure d'hiver ou les fuseaux horaires qui ne passent pas à l'heure d'été) ou à 1 pour l'heure d'été.

Q2: En quoi consiste le changement d'heure qui va se produire le dimanche 29 Avril et en quoi cela impacte t'il Windows?

R2: Le week-end du 29 Avril, le Maroc va passer à l'heure d'été.

Passage à l’heure d’été le dernier dimanche d’avril soit le 29/04/2012 à 01:59:59 -> 29/04 03:00:00

Passage en heure hiver le dernier dimanche de septembre soit le 30/09/2012 02:59:59 -> 30/09/2012 02:00:00

Les années précédentes un passage à l’heure d’été avait été mis en place, mais les dates et heure de changement d’horaire étant différents, il est nécessaire d’effectuer quelques actions pour indiquer au système ces changements.

Le gouvernement à ajouter une exception, pendant le mois du Ramadan, l’heure sera rétablie à l’heure d’hiver

Q3: Peut' on modifier directement l'heure des machines Windows pour refléter la nouvelle heure d'été?

R3: Non, cela aurait pour effet de modifier la partie UTC des trois composants du stockage de l'heure détaillés dans R1. Il en résulterait donc une désynchronisation de la partie UTC avec les machines situées sur les autres fuseaux horaires entrainant des problématiques d'authentification.

De plus, le passage à l'heure d'hiver par la même méthode entrainera un retour arrière de l'heure ce qui peut causer des résultats imprévisibles et donc non supportés.

Q4: Quelle est la solution proposée par Microsoft pour prendre en charge ce changement d'heure?

R4: La solution proposée par nos équipes de développement est d’appliquer deux (2) corrections, une pour chaque période heure été/heure hiver. Ainsi l’article technique suivant « Morocco DST Update » (http://support.microsoft.com/KB/2698707) propose un premier correctif à appliquer pour la période Avril à Juillet 2012 ; puis un second correctif sera disponible qu’il faudra appliquer à partir du début du mois du Ramadan (après le 20/07/2012 03:00:00). Le mois du Ramadan n’étant pas les mêmes d’une année sur l’autre, toutes les années à venir ces actions devront vraisemblablement être effectuées avec de nouveaux correctifs générés pour l’année en cours

Q5: Comment mettre en œuvre la solution détaillée en R4?

R5: Cette solution est mise en œuvre par l'intermédiaire de l’installation d’un package Microsoft Fix it n°50861 qu’il faut appliquer avant le 29 Avril 2012

Le 2^ème package Microsoft Fix it sera quant à lui à déployer uniquement à partir du 20 Juillet 2012 et avant le 19 Aout 2012.

Q6: Sur quelle machines doit-on appliquer cette procédure?

R6: Elle doit être appliquée sur tous les DCs (contrôleurs de domaine), les serveurs et les stations de tous les domaines de la forêt ainsi que les machines en mode workgroup.

Q7: Que ce passe- t- il si je n'applique pas cette procédure sur un client?

R7: Le serveur de temps va coder la nouvelle heure en UTC + GMT + DST. Par exemple, à 9h00 le 1^er Mai 2012, elle sera représentée en 8 + 0 + 1. Le client qui viendra synchroniser son horloge récupérera cette information. Il prendra en compte uniquement la partie UTC à partir de laquelle il générera son codage local qui sera 8 + 0 puisque son fuseau horaire ("Casablanca") ne prendra pas en charge la partie DST. Cela fixera donc son heure à 8h00, ce qui ne reflètera pas le changement d'heure.

Une fois la procédure appliquée au client, son fuseau horaire sera actualisé et l'amènera à coder son heure interne en 8 + 0 + 1 puisqu'il prendra, cette fois ci en compte le DST. Il reflétera ainsi correctement le changement d'heure.

Q8: Comment déployer de manière automatique la procédure?

R8: Cette procédure peut être déployée et exécutée automatiquement au reboot des machines en l'ajoutant en tant que script de démarrage à une GPO du domaine liée à un container dans lequel son situé les comptes des machines impactées.

Q9: Un reboot de la machine est t-il nécessaire à l'exécution de la procédure?

R9: Oui si la procédure est déployée par GPO. En effet les scripts de démarrage ne sont exécutés qu'au démarrage. Si la procédure est appliquée manuellement, elle sera prise en charge immédiatement sans nécessiter un redémarrage.

Configuration d’une autorité de certification

Cet article est une présentation de la configuration d’une autorité de certification (CA) dans l’objectif de délivrer des certificats pour une plateforme RDS. La configuration d’une telle plateforme fait l’objet d’un autre billet, posté par un de mes collègues.

http://blogs.technet.com/b/windowsinternals/archive/2012/01/30/remoteapp-comment-faire-du-sso-avec-remote-desktop-service-2008-r2.aspx

La préparation de son article a mis en évidence le besoin de détailler au préalable la configuration de la CA pour être en mesure de délivrer les certificats nécessaires.

Autorité de certification

En cryptographie, l'Autorité de certification (AC ou CA) a pour mission, après vérification de l'identité du demandeur du certificat par une autorité d'enregistrement, de signer, émettre et maintenir

• Les certificats (CSR : Certificate Signing Request)
• Les listes de révocation (CRL : Certificate Revocation List)

Sur le plan technique, cette infrastructure de gestion des clés permet ainsi d'assurer que

• Les données transmises n'ont pas été modifiées durant le transfert : intégrité par hachage des données
• Les données proviennent bien de l'émetteur connu : utilisation de clés et répudiation

La clé de chiffrement-déchiffrement est identique lors d'algorithmes symétriques dits à clef secrète (connue de l'émetteur et du destinataire) et différentes lors d'algorithmes asymétriques dits à clé publique (publique pour tout le monde, privée personnelle gardée secrètes). Les clés en jeu sont celles de l'émetteur et du destinataire.

Microsoft propose un rôle de serveur de certificat sur les versions serveur de Windows.

 

Certificate Revocation List Distribution Point (CDP)

Les listes de révocation contiennent les références des certificats que l'administrateur a révoqués. Elles ne contiennent pas les certificats expirés. Cette information est indispensable pour vérifier la validité d'un certificat. Chaque CA publie une CRL, qu'elle signe (avec sa clé privée donc).

Deux types de CRL existent. Les CRLs complètes, qui reprennent tous les certificats révoqués, et les delta CRLs qui ne contiennent que les certificats révoqués depuis la dernière publication de CRL complète. La fréquence de publication des secondes est supérieure à celle des premières.

Dans certains cas, l'utilisation de certificat privé par des clients sur Internet, il peut être nécessaire de rajouter un CDP public (ie accessible depuis Internet).

Pour cela, allons dans la console "Certification Authority" et ouvrons les propriétés de la CA.

Exemple d'extension CRL Distribution Point à ajouter :

http://MyPublicWebServer.myCompany.com/CerEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

Ce CDP doit être inscrit dans les certificats émis et dans les CRL émises.

Il faudra ensuite mettre en place un mécanisme qui recopie la CRL depuis la CA (c:\windows\system32\certSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl) vers ce serveur web.

 

Authority Information Access (AIA)

Basiquement, il s'agit de l'emplacement où trouver le certificat de l'autorité de certification. Elle permet de télécharger le certificat pour construire la chaîne de publication, en cas d'architecture à plusieurs niveaux, et de comparer le certificat de la CA racine avec ceux présents dans le magasin de confiance.

En cas de client sur Internet, il faut également publier les informations de la CA de manière publique. C'est la seconde extension qu'il faut modifier de la même façon

AIA à ajouter :

_.crt">http://MyPublicWebServer.myCompany.com/CerEnroll/<ServerDNSName>_<CaName><CertificateName>.crt

Comme pour le CDP, ce fichier (c:\windows\system32\certSrv\CertEnroll\<ServerDNSName>_<CaName><CertificateName>.crt) devra être copié depuis la CA vers le serveur web publique.

 

Modèles de certificat

Microsoft propose des modèles de certificat pour les rôles les plus courants de certificats. Ceux-ci peuvent d'ailleurs être personnalisé pour les adapter à chaque besoin (durée de vie, contenu, protection des clés, …).

Les modèles de certificat existent dans toute Active Directory, mais seules les autorités de certification installée sur une version entreprise de Windows peuvent les prendre en charge.

En fait de personnalisation de modèle de certificat, c'est la duplication d'un modèle existant que l'on réaliser et on personnalise le nouveau modèle.

Exemple avec la personnalisation du modèle Web Server pour créer un modèle adapté à une architecture RDS par exemple. Etant donné que le même certificat doit être installé à plusieurs endroits, il faut pouvoir en exporter la clé privée. Voici comment procéder.

Première étape, ouvrons la console "Certificate Templates" et dupliquons le modèle Web Server.

Il nous fait au moins un modèle Windows Server 2003 Enterprise.

Appelons ce modèle "RDS Server"

Et marquons la clé privée comme exportable.

(La sécurité à mettre en œuvre au niveau de l’autorité de certififcation et au niveau du modèle est détaillée dans le paragraphe “Permissions”, plus loin dans cet article.)

Il faut maintenant rendre ce modèle disponible. Pour cela, allons dans la console "Certification Authority" et publions un nouveau modèle.

 

Clés exportables

Nous venons de modifier le modèle de certificat pour autoriser l'export des clés privées. Par défaut cela est désactivé, pour éviter de la mettre en danger. Une clé privée est générée sur la machine qui fait la demande et est associé au certificat une fois celui-ci émis. La clé privée est associée à la machine et n'a pas de raison d'être ailleurs.

Dans certains cas, il est nécessaire d'exporter cette clé. Soit pour des raisons de sécurité (sauvegarde du certificat et de sa clé, en parallèle de la sauvegarde de la machine) ou de fonctionnalité (utilisation d'un même nom pour plusieurs machines). C'est ce second scénario qui est suivi quand on construit une ferme de serveur IIS par exemple (utilisation d'un même nom DNS pour plusieurs adresses IP par exemple). Dans ce cas, le même certificat doit être présent sur plusieurs machines.

Il faut alors demander un certificat avec le nom "virtuel", partagé par toutes les machines depuis un des nœuds, exporter le certificat et la clé privée, puis l'importer sur les autres nœuds de la ferme.

Voici, par exemple, comment exporter le certificat depuis le magasin de certificat utilisateur et l'importer dans le magasin de certificats machine. C'est la même logique pour une copie entre machine.

Tout d'abord, ouvrir une console MMC et charger deux fois le composant certificat, une fois pour la machine, une fois pour l'utilisateur. Ensuite, depuis le magasin personnel de l'utilisateur, exporter le certificat avec sa clé privée.

L'option d'exporter la clé privée ne sera disponible que si elle est exportable. Cela se définit dans le modèle, comme vu plus haut, ou au moment de l'import, comme nous verrons plus bas.

Il faut ensuite l'importer dans le magasin de l'ordinateur.

A cette étape également on peut marquer la clé privée comme exportable

Attention ! Bien qu'il soit possible de faire un glisser-déplacer du certificat d'un magasin vers un autre, cela ne déplace pas la clé privée. Il en résulte un certificat dans le magasin machine, mais une clé privée dans le magasin utilisateur. Comme l'utilisateur affichant la console aura accès aux deux, il verra que la clé privée est bien accessible, mais en pratique, elle ne le sera pas par la machine.

Voici les informations d'un certificat déplacé. Dans un premier temps récupéré dans le contexte de l'utilisateur.

C:\>certutil –verifystore my
================ Certificate 3 ================
Serial Number: 14890a70000000000005
Issuer: CN=vpcw2k3ca, DC=vpcw2k3, DC=local
Subject: CN=Administrator, CN=Users, DC=vpcw2k3, DC=local
Certificate Template Name: EFSRecovery
Non-root Certificate
Template: EFSRecovery, EFS Recovery Agent
Cert Hash(sha1): 4d e5 b3 2e c7 94 2d 23 31 27 cb 3f 55 fa 0b 92 e9 c6 0e 6e
Key Container = d6d60d2163c8e2970602738b1de8c5fa_5f5cc49c-de6b-442e-a698-c10048765884
Provider = Microsoft Base Cryptographic Provider v1.0
Encryption test passed
Verified Issuance Policies: None
Verified Application Policies:
1.3.6.1.4.1.311.10.3.4.1 File Recovery
Certificate is valid
CertUtil: -verifystore command completed successfully.

Voici les informations d'un certificat déplacé. Dans un premier temps récupéré dans le contexte machine.

C:\>certutil –verifystore my
================ Certificate 3 ================
Serial Number: 14890a70000000000005
Issuer: CN=vpcw2k3ca, DC=vpcw2k3, DC=local
Subject: CN=Administrator, CN=Users, DC=vpcw2k3, DC=local
Certificate Template Name: EFSRecovery
Non-root Certificate
Template: EFSRecovery, EFS Recovery Agent
Cert Hash(sha1): 4d e5 b3 2e c7 94 2d 23 31 27 cb 3f 55 fa 0b 92 e9 c6 0e 6e
Key Container = d6d60d2163c8e2970602738b1de8c5fa_5f5cc49c-de6b-442e-a698-c10048765884
Provider = Microsoft Base Cryptographic Provider v1.0
No stored keyset property
Verified Issuance Policies: None
Verified Application Policies:
1.3.6.1.4.1.311.10.3.4.1 File Recovery
Certificate is valid
CertUtil: -verifystore command completed successfully.

Subject Alternative Name

Il peut parfois être nécessaire d'avoir plusieurs noms dans un même certificat. Par exemple quand deux noms différents peuvent être utilisés pour accéder à la même machine. Imaginons le cas particulier d'un serveur web accédé depuis l'intranet avec un nom du type webserver.mycompany.intra et depuis l'extérieur avec un nom du type www.mycompany.com. Il faudra alors mettre ces deux noms dans le certificat. Pour cela, on va utiliser un champ supplémentaire nommé "Subject Alternative Name".

Il faut donc configurer l'autorité de certification pour activer cette extension, puis, dans la demande, remplir ce champ. La configuration de la CA se fait en ligne de commande, cette opération n'est à réaliser qu'une seule fois et est décrite dans l'article technique suivant

931351 How to add a Subject Alternative Name to a secure LDAP certificate
http://support.microsoft.com/default.aspx?scid=kb;EN-US;931351

C:\>certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
C:\>net stop certsvc
C:\>net start certsvc

Nous verrons plus loin, dans la partie demande de certificat comment renseigner ce champ.

Les méthodes de demande de certificat

Pour demander un certificat, plusieurs pré-requis sont nécessaires.

• Le contexte de sécurité utilisé pour faire la demande, doit avoir le droit de demander un certificat à la CA.
• Le contexte de sécurité utilisé pour faire la demande, doit avoir le droit de demander un certificat du modèle souhaité.

 

Permissions

Sur la CA, les permissions se consultent dans la console Certification authority, dans les propriétés de la CA, onglet security.

Pour le modèle de certificat, c'est dans les propriétés du modèle de certificat, onglet sécurité.

Authenticated users incluant les machines et les utilisateurs, c'est la façon la plus simple de permettre la distribution de certificat à tout le monde.

 

Par la console certificat

Cette demande utilise le contexte de sécurité de la machine. Il faut donc que le compte ordinateur ait le droit de demander des certificats à la CA, et ait le droit de demander des certificats des modèles désirés.

Sur le serveur, on démarre une mmc (démarrer / exécuter / mmc.exe) puis on charge le composant logiciel enfichable certificat pour le compte ordinateur. Dans la console ainsi ouverte, on effectue une demande de certificat à partir du magasin personnel.

On utilise alors le modèle RDS Server et on spécifie les noms à insérer dans le certificat. Le champ Subject Name est assez explicite, le champ Alternative name servira à alimenter l'extension Subject Alternative name du certificat.

 

Par la page web

Si vous avez installé le rôle Certification Authority Web Enrollment, vous pouvez réaliser cette même demande depuis la page web. Par défaut, celle-ci est accessible via http://<serveur>/certsrv

Depuis la page d'accueil, on sélectionne "Request a certificate" puis "Submit an advanced certificate request" et enfin "Create and submit a request to this CA"

On choisit le modèle de certificat désiré (ici RDS Server). Dans le champ Name, on saisit le subject Name. Dans le champ Attributes de la section Additionnal Options, on saisit

san:dns=<DNS name> [&dns=<DNS name>]

Cette opération, réalisée dans le contexte de sécurité de l'utilisateur, crée la clé privée et le certificat dans le magasin utilisateur. Il convient donc suivre la procédure décrite au paragraphe "Clés exportables" pour les copier dans le magasin de l'ordinateur.

 

En ligne de commande

Dans un fichier texte, on va définir les informations nécessaires à la demande de certificat.

Pour mon exemple, voici le fichier request.inf

[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=vpcw2k8r2pdc.vpcw2k8r2.local"
Exportable = TRUE
KeyLength = 2048
KeySpec = 1 ; Key Exchange
KeyUsage = 0xA0 ; Digital Signature, Key Encipherment
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC
[RequestAttributes]
CertificateTemplate = RDSServer
SAN="dns=RDSFarm.vpcw2k8r2.local"

Ensuite, en utilisant l'outil certreq.exe, cette demande va être convertie en un format binaire.

C:\temp>certreq.exe -new request.inf request.req
Active Directory Enrollment Policy
{6EC1EAFF-EC09-47AD-A2D4-31391828E67A}
ldap:
DumpVariantStringWorker: 0: "Microsoft RSA SChannel Cryptographic Provider"
DumpVariantStringWorker: 1: "Microsoft DH SChannel Cryptographic Provide

Il est ensuite à soumettre à l'autorité de certification

C:\temp>certreq.exe -submit request.req request.cer
Active Directory Enrollment Policy
{6EC1EAFF-EC09-47AD-A2D4-31391828E67A}
ldap:

Il vous sera demandé quelle autorité de certification solliciter

RequestId: 12
RequestId: "12"
Certificate retrieved(Issued) Issued

Enfin, il faut enfin insérer le certificat reçu dans le magasin de la machine

C:\temp>certreq -accept request.cer

Le certificat est désormais présent dans le magasin Personal de l'ordinateur et sa clé privée est exportable.

Par la console IIS

Si la console IIS est installée sur le serveur il est possible de l'utiliser pour demander un certificat. Celle-ci est cependant limitée au sens où elle ne permet que de demander des certificats de type WebServer, impose de remplir tous les champs et ne donne pas accès au champ Subject Alternative Name. Par contre, la clé privée générée est exportable.

 

Lors de la génération d’un rapport de santé ( health report), ou avec la commande dfsrdiag , vous pouvez rencontrer les erreurs suivantes :

-----------------------------------------------------------------------------------------------------------------------------------------------
Health Report :

Due to the following error, the DFS Replication reporting mechanism cannot access the WMI (Windows Management Instrumentation)
namespace to retrieve certain reporting information. Error ID: 0x80041002

Résultat de la commande
dfsrDiag backlog  /RGName:<groupe de réplication> /RFName:<nom du répertoire répliqué> /SMem:<nom de l'éméteur> /RMem <nom du récepteur>

[ERROR] Cannot find DfsrReplicatedFolderConfig object. Possible reasons:
   + The replicated folder is not configured on the member
   + Access is denied to its configuration information

[ERROR] Replicated folder <nom du répertoire répliqué> not found. Err: -2147217406 (0x80041002)
-----------------------------------------------------------------------------------------------------------------------------------------------

Ceci peut indiquer que des mauvaises références sur les volumes sont stockées dans la base de registre.

Il convient donc de vérifier quelles entrées sont présentes sous :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Volumes

Si vous retrouvez plusieurs volumes pointant sur la même lettre de lecteur , alors cela indique qu’une de ces 2 entrées est invalide.

exemple de mauvaise configuration :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Volumes\21AA73C0-1A47-11E0-859A-001A64C9DB00
Volume Configuration File    REG_EXPAND_SZ   \\.\D:\System Volume Information\DFSR\Config\Volume_21AA73C0-1A47-11E0-859A-001A64C9DB00.XML

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Volumes\6DA114DE-B1C9-11DE-9584-806E6F6E6963
Volume Configuration File    REG_EXPAND_SZ    \\.\D:\System Volume Information\DFSR\Config\Volume_6DA114DE-B1C9-11DE-9584-806E6F6E6963.XML

Saisir la commande suivante afin de vérifier quel est le volume utiliser par le service DFS-R :

wmic /namespace:\\root\microsoftdfs path dfsrvolumeinfo get volumepath,volumeguid

exemple d’output :

volumeGuid                                                            VolumePath
21AA73C0-1A47-11E0-859A-001A64C9DB00       \\.\D:

le volume utilisé est : 21AA73C0-1A47-11E0-859A-001A64C9DB00.

Il convient donc maintenant de :

- Stopper le service DFS-R avec la commande : net stop dfsr
- supprimer la clé non désirée
- supprimer le fichier .xml

Suppression de la clé ( ici 6DA114DE-B1C9-11DE-9584-806E6F6E6963) :

Réaliser un export dans un fichier .reg, puis supprimer la clé 6DA114DE-B1C9-11DE-9584-806E6F6E6963

---------------------------

Suppression du fichier xml ( ici Volume_6DA114DE-B1C9-11DE-9584-806E6F6E6963.XML)

Il convient d’ouvrir un command prompt en tant qu’administrateur, car la suppression via l’explorateur Windows ne sera pas effectuée.
Copier le fichier dans un autre emplacement si vous souhaitez en garder une copie.

Placez vous directement dans le dossier D:\System Volume Information\DFSR\Config\ :
cd \ D:\System Volume Information\DFSR\Config\
puis:
del Volume_6DA114DE-B1C9-11DE-9584-806E6F6E6963.XML

Redémarrer le service DFS-R avec la commande : net start dfsr

Relancer la commande dfsrdiag ,ou générer un rapport de santé afin de confirmer que les erreurs du type 0x80041002 ne soient plus retournées.

Joseph Besançon
Domain & Security Team

Bonjour,

Peut-être que vous vous demandez souvent ce que signifient les workflows et à quoi ils servent dans FIM.

Eh bien, les workflows dans FIM font partie de Windows Workflow Foundation (WF), c’est une activité. Il existe 3 types de workflow dans FIM.

. Workflow Authentification

. Workflow Autorisation

. Workflow Action.

Le workflow authentification sert à savoir si cette personne est connue dans FIM, le deuxième sert à demander l’autorisation via l’envoi d’un email à une autre personn, ou à un groupe de personnes,  afin de valider ou non une demande (exemple : autoriser ou non une personne à joindre un alias ou à être membre d’un groupe) , et enfin le troisième exécute des actions prédéfinies dans FIM (exemple : une fois que l’autorisation est obtenue, la demande à être membre d’un alias est satisfaite par l’ajout de cette personne dans cet alias).

 

Huu-Duc LÊ

 

Bonjour,

Si vous avez des problèmes de chargement de profil à chaque logon sur un poste Windows 7, avec le message d’erreur si dessous :

Le service de profil utilisateur n'a pas pu ouvrir de session. Impossible de charger le profil utilisateur.

Puis un nouveau profil local se crée avec une extension .nnn (n est un entier) qui s’incrémente à chaque ouverture de session.

Il se pourrait que le problème provient des informations erronnées se trouvant dans le ProfileList. Pour cela veuillez suivre les recommandations de cette article

Message d'erreur : « Le service de profil utilisateur n'a pas pu ouvrir de session. Impossible de charger le profil d'utilisateur » lors de la connexion à Windows 7 ou Windows Vista

http://support.microsoft.com/kb/947215

Un fichier FixIt50446 est également téléchargeable (un fichier .msi) permettant de résoudre ce problème. Celui-ci purge les SIDs erronnés dans le profileList.

 

Huu-Duc LE

Equipe Domaine et Sécurité.