Réseaux Sociaux

Depuis Windows Server 2012 R2, ADFS et Web Application Proxy utilisent une fonctionnalité du protocole SSL/TLS : Server Name Indication (SNI). SNI permet d’inclure dans le header de la demande le hostname du serveur auquel il essaye d’établir une négociation TLS. Cela est notamment très utile afin d’utiliser plusieurs hostnames et plusieurs certificats SSL différents dans IIS sur une même interface réseau.

Cependant, certains clients ne supportent pas encore cette nouvelle fonctionnalité, et c’est le cas des clients :

  • Lync 2010 pour Android
  • Lync 2013 pour Android
  • Lync sous Windows Phone 7.8

Symptômes

Vous essayez de vous connecter à Lync Online au travers d’un compte fédéré via ADFS 3.0 sous Windows Server 2012 R2. Vous obtenez le message « We can’t sign you in. Please try again » sous Lync 2013 pour Android.

 

lync can't sign you in

 

Résolution

Les clients Lync Android et Windows Phone 7.8 n’étant pas compatibles avec SNI, vous devrez effectuer une manipulation sur vos serveurs ADFS internes et Web Application Proxy afin de rajouter un binding dédié.

Sur vos serveurs ADFS internes

  1. Ouvrez une invite de commande cmd en tant qu’administrateur
  2. Tapez la commande netsh http show sslcert pour afficher la liste des bindings configurés par ADFS
  3. Repérez et copiez quelque part les valeurs Certificate Hash et Application ID du binding lié à votre service ADFS (dans mon cas : adfs.home.maximerastello.com)

      

    netsh bindings sslcert

      

  4. Tapez la commande netsh http add sslcert ipport=0.0.0.0:443 certhash=<votre hash> appid={votre app id} en remplaçant par les valeurs notées à l’étape 3
  5. Redémarrez le service Active Directory Federation Services

Note : pour le service ADFS 2012 R2, l’app ID est censé être {5d89a20c-beab-4389-9447-324788eb944a}

 

netsh bindings sslcert 2

 

Important : N’oubliez pas de répéter cette opération sur tous les serveurs de votre ferme ADFS

Sur vos serveurs Web Application Proxy

Effectuez la même opération que sur les serveurs ADFS internes sur tous les serveurs WAP de votre ferme, et n’oubliez pas de redémarrer à chaque fois les services suivants :

  • Active Directory Federation Services
  • Web Application Proxy Controller Service

 

Vous êtes désormais en mesure de vous connecter à Lync Online via le client Android.

Mots-clés : , , , , , , , , , , , ,

  

Un bug a été détecté dans Azure AD Connect Preview, empêchant la désinstallation complète du produit.

En effet, lorsque vous souhaitez désinstaller le programme via Programs and Features, la désinstallation de Microsoft Azure Active Directory Connect Tool (Preview) ne désinstalle pas automatiquement l’outil de synchronisation Microsoft Azure AD Sync.

 

Uninstall AADConnect Preview

 

Il vous sera donc impossible de réinstaller correctement l’outil, et un nettoyage manuel sera nécessaire. Microsoft est au courant de ce problème et doit le corriger pour la sortie officielle du produit.

Solution

Nous n’avez pas encore désinstallé Azure AD Connect (ouf)

La solution de contournement consiste à désinstaller d’abord Microsoft Azure AD Sync AVANT de désinstaller Azure AD Connect Preview.

Pour cela :

  1. Ouvrez une Invite de Commande en tant qu’administrateur
  2. Tapez la commande cd « C:\Program Files\Microsoft Azure Active Directory Connect »
  3. Tapez ensuite la commande DirectorySyncTool.exe /uninstall

      

    Command Prompt

     

  4. Dans la fenêtre qui s’affiche, cliquez sur le bouton Uninstall

      

    AADConnect uninstall

     

  5. Vous pouvez maintenant désinstaller l’outil Azure Active Directory Connect Tool (Preview) depuis le menu Program and Features

 

Vous avez déjà désinstallé Azure AD Connect (zut)

Vous allez devoir effectuer un nettoyage du serveur pour pouvoir réinstaller correctement l’outil AADConnect.

Suivez ce guide pour plus d’informations.

Mots-clés : , , , , , , , , , , , , ,

  

Lorsque vous essayez de supprimer l’outil Azure Active Directory Sync, il se peut que la désinstallation ne se passe pas correctement, soit parce que vous n’avez pas désinstallé le bon produit dans le menu Programs and Features, soit parce que l’installation est corrompue.

Dans ces cas-là, l’erreur suivante peut s’afficher dans l’assistant Azure Active Directory : « Unable to install the Synchronization Service. PLease see the event log for additional details« .

 

unable to install the synchronization service

 

Voici quelques pistes pour désinstaller manuellement Azure Active Directory Sync.

Désinstallation des produits

Dans le menu Programs and Features, désinstallez tous les produits suivants :

Avec Azure Active Directory Connect

  • Microsoft Azure Active Directory Connect Tool
  • Microsoft Azure AD Sync
  • Forefront Identity Manager Windows Azure Active Directory Connector
  • Microsoft SQL Server 2012 Express LocalDB
  • Microsoft SQL Server 2012 Native Client
  • Microsoft SQL Server 2012 Command Line Utilities
  • Microsoft Online Services Sign-in Assistant (redémarrage requis)
  • Windows Azure Active Directory Module for Windows Powershell

 

uninstall programs

 

Avec Azure Active Directory Sync (standalone)

  • Microsoft Azure AD Connection Tool
  • Microsoft Azure AD Sync
  • Forefront Identity Manager Windows Azure Active Directory Connector
  • Microsoft SQL Server 2012 Express LocalDB
  • Microsoft SQL Server 2012 Native Client
  • Microsoft SQL Server 2012 Command Line Utilities
  • Microsoft Online Services Sign-in Assistant (redémarrage requis)
  • Windows Azure Active Directory Module for Windows Powershell

Suppression des dossiers

L’assistant de désinstallation ne supprime pas certains dossiers, ce qui peut poser des problèmes lors d’une réinstallation.

Vous devez donc supprimer les dossiers suivants :

Avec Azure Active Directory Connect

  • C:\Program Files\Microsoft Azure Active Directory Connect
  • C:\Program Files\Microsoft Azure AD Sync

 

Azure AD Sync folders

 

Avec Azure Active Directory Sync (standalone)

  • C:\Program Files\Microsoft Azure AD Connection Tool
  • C:\Program Files\Microsoft Azure AD Sync

 

Suppression de la tâche planifiée

Vous devez également supprimer la tâche planifiée lancant la synchronisation des objets dans le Cloud.

  1. Ouvrez le Task Scheduler
  2. Dans le conteneur Task Scheduler Library, faites un clic-droit sur Azure AD Sync Scheduler et cliquez sur Delete

 

task scheduler azure ad

 

Nettoyage du registre

Ouvrez le registre en tant qu’administrateur et supprimez les clés suivantes si elles existent encore :

Avec Azure Active Directory Connect

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AD Sync
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server Local DB
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSOLCoExistence
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MicrosoftAzureADConnectionTool
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADSync
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\AzureActiveDirectoryDirectorySyncTool
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\AzureADConnect_RASAPI32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\AzureADConnect_RASMANCS
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\DirectorySyncTool_RASAPI32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\DirectorySyncTool_RASMANCS

 

Avec Azure Active Directory Sync (standalone)

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AD Sync
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server Local DB
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSOLCoExistence
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MicrosoftAzureADConnectionTool
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADSync
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\AzureActiveDirectoryDirectorySyncTool
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\DirectorySyncTool_RASAPI32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\DirectorySyncTool_RASMANCS

 

Vous pouvez désormais relancer l’installation d’Azure Active Directory Connect.

Mots-clés : , , , , , , , , , ,

  

Lorsque vous installez Active Directory Federation Services 3.0 (ADFS) sur un serveur Windows Server 2012 R2, il se peut que vous rencontriez l’erreur suivante :

Windows could not start the Active Directory Federation Services service on Local Computer.

Error 1297 : A privilege that the service requires to function properly does not exist in the service account configuration.

 

erreur 1297 service adfs 3.0

 

Solution

L’erreur affichée dans l’Event Viewer est pour une fois claire : il manque un privilège au service ADFS pour qu’il puisse se lancer correctement.

Un petit tour dans le registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adfssrv nous montre que le service a besoin du privilège Security Audits.

 

ADFS service privilege security audit

 

Il ne vous reste plus qu’à rajouter votre compte de service ADFS dans la partie « Generate Security Audits » des paramètres de sécurité locaux, ou de déployer ce paramètre par GPO.

 

security audit ADFS GPO

 

Pour information, ce paramètre se situe dans la partie Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.

Mots-clés : , , , , , , , , , ,

  

Edit 27/10/2014 : Microsoft a désormais publié une mise à jour de l’outil AADSync en version 1.0.0470.1023. Cette dernière mouture corrige enfin le problème de synchronisation des proxyAddresses. Vous pouvez la télécharger ici.

———————————————————–

AADSync (Microsoft Azure Active Directory Sync) est le nouvel outil de synchronisation d’annuaires vers Office365 et Azure. Cette release a été publiée le 15/09/2014 en version 1.0.0419.0911.

AADsync est toujours basé sur le moteur FIM, mais un certain nombre de nouveautés ont été introduites :

  • Nouvelle interface de configuration
  • Synchronisation multi-forêt
  • Synchronisation de plusieurs serveurs Exchange on-prem vers un même tenant Office365
  • Gestion des synchronisations dans le Task Scheduler
  • Nouvelles règles de filtrage, de mapping d’attributs AD et de provisionning (Synchronization Rules Editor)
  • Nouvelles commandes Powershell

AADSync et ProxyAddresses : attention

Après avoir désinstallé DirSync puis installé AADSync, j’ai eu la surprise de voir que tous mes alias de messagerie Exchange Online avaient disparu sur l’ensemble de mes boites mails.

Un petit tour sur les forums montre effectivement une réponse de la part du Support Microsoft : la version 1.0.0419.0911 ne prend pas correctement en charge le mapping de l’attribut ProxyAddresses. Ce n’est pas tout à fait vrai. En fait, cela dépend de votre configuration.

Voici la mienne :

  • Pas d’organisation Exchange interne
  • J’ai choisi l’option Users are only represented once across all forests
  • Je gère manuellement la liste des proxyAddresses dans les comptes AD
  • Password Write-back : désactivé
  • Mapping / Filtering : activé pour toutes les applications

Le champ mailNickName de mes comptes Active Directory n’est par contre pas renseigné, et c’est à ce niveau que ça coince. En effet, un certain nombre de filtres sont appliqués par défaut sur les règles préexistantes.

La règle In from AD – User Common from Exchange prend en charge l’attribut ProxyAddresses mais n’est appliquée que si le champ MailNickname n’est pas nul.

 

mail nickname

Solution de contournement

La solution de contournement est simple : Soit vous complétez le champ mailNickName de tous vos comptes AD, soit vous créez une nouvelle règle de Transformation dans Synchronization Rules Editor.

  • Ouvrez l’outil Synchronization Rules Editor.
  • Dans la partie Rules Type, choisissez Inbound.

 

Synchronization Rules Editor

 

  • Sélectionnez la règle In from AD – User Common et cliquez sur Edit.

 

Synchronization Rules Editor - Inbound rule

 

  • Dans l’onglet Transformations, cliquez sur Add Transformation puis sélectionnez ProxyAddresses dans la partie Target et Source. Enregistrez les modifications en cliquant sur Save.

 

transform rule aadsync

 

  • Allez dans le dossier C:\Program Files\Microsoft Azure AD Sync\Bin puis lancez DirectorySyncClientCmd.exe pour lancer une nouvelle synchronisation.

 

  • Ouvrez la console FIM (C:\Program Files\Microsoft Azure AD Sync\UIShell\miisclient.exe) et vérifiez que vos alias de messagerie ont bien été synchronisés dans le cloud !

 

FIM Proxy Addresses

Mots-clés : , , , , , ,