Réseaux Sociaux
Auteur : Maxime Rastello

Lorsque vous installez Active Directory Federation Services 3.0 (ADFS) sur un serveur Windows Server 2012 R2, il se peut que vous rencontriez l’erreur suivante :

Windows could not start the Active Directory Federation Services service on Local Computer.

Error 1297 : A privilege that the service requires to function properly does not exist in the service account configuration.

 

erreur 1297 service adfs 3.0

 

Solution

L’erreur affichée dans l’Event Viewer est pour une fois claire : il manque un privilège au service ADFS pour qu’il puisse se lancer correctement.

Un petit tour dans le registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adfssrv nous montre que le service a besoin du privilège Security Audits.

 

ADFS service privilege security audit

 

Il ne vous reste plus qu’à rajouter votre compte de service ADFS dans la partie « Generate Security Audits » des paramètres de sécurité locaux, ou de déployer ce paramètre par GPO.

 

security audit ADFS GPO

 

Pour information, ce paramètre se situe dans la partie Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.

Mots-clés : , , , , , , , , , ,

Auteur : Maxime Rastello

Edit 27/10/2014 : Microsoft a désormais publié une mise à jour de l’outil AADSync en version 1.0.0470.1023. Cette dernière mouture corrige enfin le problème de synchronisation des proxyAddresses. Vous pouvez la télécharger ici.

———————————————————–

AADSync (Microsoft Azure Active Directory Sync) est le nouvel outil de synchronisation d’annuaires vers Office365 et Azure. Cette release a été publiée le 15/09/2014 en version 1.0.0419.0911.

AADsync est toujours basé sur le moteur FIM, mais un certain nombre de nouveautés ont été introduites :

  • Nouvelle interface de configuration
  • Synchronisation multi-forêt
  • Synchronisation de plusieurs serveurs Exchange on-prem vers un même tenant Office365
  • Gestion des synchronisations dans le Task Scheduler
  • Nouvelles règles de filtrage, de mapping d’attributs AD et de provisionning (Synchronization Rules Editor)
  • Nouvelles commandes Powershell

AADSync et ProxyAddresses : attention

Après avoir désinstallé DirSync puis installé AADSync, j’ai eu la surprise de voir que tous mes alias de messagerie Exchange Online avaient disparu sur l’ensemble de mes boites mails.

Un petit tour sur les forums montre effectivement une réponse de la part du Support Microsoft : la version 1.0.0419.0911 ne prend pas correctement en charge le mapping de l’attribut ProxyAddresses. Ce n’est pas tout à fait vrai. En fait, cela dépend de votre configuration.

Voici la mienne :

  • Pas d’organisation Exchange interne
  • J’ai choisi l’option Users are only represented once across all forests
  • Je gère manuellement la liste des proxyAddresses dans les comptes AD
  • Password Write-back : désactivé
  • Mapping / Filtering : activé pour toutes les applications

Le champ mailNickName de mes comptes Active Directory n’est par contre pas renseigné, et c’est à ce niveau que ça coince. En effet, un certain nombre de filtres sont appliqués par défaut sur les règles préexistantes.

La règle In from AD – User Common from Exchange prend en charge l’attribut ProxyAddresses mais n’est appliquée que si le champ MailNickname n’est pas nul.

 

mail nickname

Solution de contournement

La solution de contournement est simple : Soit vous complétez le champ mailNickName de tous vos comptes AD, soit vous créez une nouvelle règle de Transformation dans Synchronization Rules Editor.

  • Ouvrez l’outil Synchronization Rules Editor.
  • Dans la partie Rules Type, choisissez Inbound.

 

Synchronization Rules Editor

 

  • Sélectionnez la règle In from AD – User Common et cliquez sur Edit.

 

Synchronization Rules Editor - Inbound rule

 

  • Dans l’onglet Transformations, cliquez sur Add Transformation puis sélectionnez ProxyAddresses dans la partie Target et Source. Enregistrez les modifications en cliquant sur Save.

 

transform rule aadsync

 

  • Allez dans le dossier C:\Program Files\Microsoft Azure AD Sync\Bin puis lancez DirectorySyncClientCmd.exe pour lancer une nouvelle synchronisation.

 

  • Ouvrez la console FIM (C:\Program Files\Microsoft Azure AD Sync\UIShell\miisclient.exe) et vérifiez que vos alias de messagerie ont bien été synchronisés dans le cloud !

 

FIM Proxy Addresses

Mots-clés : , , , , , ,

Auteur : Maxime Rastello

Lorsque vous souhaitez installer l’outil Azure Active Directory Sync (DirSync) sur une machine Windows Server 2008 R2 en français, vous pouvez rencontrer l’erreur suivante :

The minimum version of Windows Powershell is 2.0. Please install the minimum version required (or higher) and try again.

 

Erreur Powershell Dirsync

 

Cependant, vous n’êtes pas sans savoir que Windows Server 2008 R2 est livré avec… Powershell 2.0 ! Vous ne devriez donc pas rencontrer cette erreur sur un serveur 2008 R2 ou supérieur.

 

Solution

Cette erreur est due à une mauvaise gestion du format régional par l’outil d’installation DirSync. En effet, le programme d’installation est incompatible avec le format régional français, qui a comme symbole décimal la virgule, au lieu du point aux Etats-Unis. Le problème est connu de Microsoft et sera corrigé dans la prochaine version de l’outil.

Pour pouvoir installer DirSync, vous devez donc changer temporairement le format régional de votre serveur en Anglais (Etats-Unis) le temps de l’installation.

 

Format régional Windows

 

Alernativement, vous pouvez également changer le symbole décimal en cliquant sur le bouton Paramètres supplémentaires.

 

Symbole décimal Windows

Mots-clés : , , , , , , , ,

Auteur : Maxime Rastello

Lorsque vous essayez de rattacher un PC Windows 8.1 au Workplace Join de l’entreprise, vous pouvez rencontrer l’erreur suivante :

Vérifiez que les informations de connexion que vous utilisez sont correctes et que votre lieu de travail utilise cette fonctionnalité. Il est possible que la connexion au réseau de votre lieu de travail ne fonctionne pas pour l’instant. Réessayez ultérieurement.

 

Erreur Workplace Join

 

L’analyse des journaux d’événements indique l’erreur suivante :

Echec de l’opération de rattachement à l’espace de travail. Code de sortie : 0x80180008

 

Event ID Workplace Join

 

Solution

Ce message d’erreur indique que le certificat public utilisé pour le Web Application Proxy ne contient pas le SAN enterpriseregistration.<votredomaine>.

D’après la documentation officielle TechNet, devez en effet utiliser un certificat contenant :

  • <nom du service de federation>.<votredomaine>
    Par exemple adfs.maximerastello.com
  • enterpriseregistration.<votredomaine>
    Par exemple enterpriseregistration.maximerastello.com

Mais qu’en est-il des certificats wildcard ?

Attention aux certificats wildcard !

Workplace Join nécessite la création d’un SAN enterpriseregistration même si vous utilisez un certificat de type wildcard (*). Ce fonctionnement est « by-design » et ne peut être modifié (pour l’instant du moins).

Par exemple, le certificat wildcard suivant n’est pas utilisable pour Workplace Join car il ne contient pas un SAN enterpriseregistration.

 

Certificat Wildcard Workplace Join

Mots-clés : , , , , , , , , , ,

Auteur : Maxime Rastello

Lorsque vous souhaitez ouvrir une nouvelle session sur l’interface Integrated Dell Remote Access Controller (IDRAC), il se peut que l’erreur suivante empêche la connexion :
RAC0218 : Vous avez atteint le nombre maximal de sessions utilisateur
 
Dell IDRAC RAC0218 erreur

 

Ce problème est dû à une mauvaise gestion de la fermeture de certaines sessions de l’interface, qui persistent et empêchent toute nouvelle session.

Solution

Pour régler le problème, effectuez les étapes suivantes :

  1. Téléchargez un client SSH comme PuTTY
  2. Connectez vous à l’adresse IP de l’IDRAC sur le port 22
  3.  

    PuTTY : connexion IDRAC

     

  4. Connectez-vous en tant que root (mot de passe par défaut : calvin)
  5. Tapez les commandes suivantes :
  6. racadm
    getssninfo

     

  7. Identifiez les SSNID de toutes les sessions, et fermez-les une par une avec la commande suivante :
  8. closessn -i X

    où X est le SSNID de la session à fermer

 

Dell IDRAC SSH

Mots-clés : , , , , , , ,