Je vous annonçais dimanche dernier la sortie d’une nouvelle version (6.0.7294.0) du Management Pack des systèmes d’exploitation Windows Server. Après vérification ce dernier comporte un bug qui engendre la collecte en double des performances disque. Tous les compteurs associés aux objets Logical Disk sont concernés ! Ceci peut engendrer une hausse des données collectées et faire grossir vos bases de données :

Je vous conseille donc de ne pas installer cette version de Management Pack et attendre une mise à jour.

Microsoft vient de publier l’Update Rollup 6 pour les produits System Center 2012 R2. Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Celui-ci corrige les problèmes suivants :

System Center 2012 R2 Operations Manager (KB3051169)

• La commande PowerShell « Remove-DisabledClassInstance » time out sans arriver à s’exécuter. La cmdlet met un temps important pour s’exécuter dans les environnements SCOM larges parfois fois sans avoir terminé son travail. Ce problème est résolu par l'optimisation de la requête qui est utilisé pour la suppression.
• Alertes fermées dupliquées : L'option Rechercher dans une vue donne parfois des résultats de la recherche en cours ainsi que les résultats de recherches précédentes. Cela se produit en raison d'un problème de mise à jour dans la grille qui est fixé afin que les valeurs affichées correspondent seulement à la recherche en cours.
• Les objets widgets de topologie perdent l’emplacement quand ils sont ouverts dans une console qui a une langue et un format décimal différent 
• Le Widget WebConsole Details n’affiche rien : Lorsque vous cliquez sur un message dans le widget d'alerte, les détails du message ne sont pas affichés sur la WebConsole. Ce problème est résolu par la fixation de la page XAML du widget de détails. La page de XAML empêchait les données d'être affichées sur la page.
• Le Widget Top 10 Performance (webconsole) est parfois vide : Les widgets Top 10 performance (webconsole) sont parfois vides en raison d'un problème de performance. Ce problème a été résolu dans le correctif cumulatif 3 via un fichier MPB qui nécessite une importation manuelle. Parce que de nombreux utilisateurs ont manqué l'importation du fichier MPB, un correctif est inclus dans ce correctif cumulatif comme une mise à jour de la requête SQL.
• Problème avec le décodage des journaux SCOM : Parfois, les journaux Operations Manager ne décodent, mais génèrent l'erreur "Unknown (X): GUID = XXX (No Format Information trouvé)." Cela se produit parce que les derniers fichiers TMF qui contiennent des informations de formatage pour les traces connexes sont manquants. Tous les fichiers sont mis à jour TMF pour vous assurer que les traces sont formatées correctement.

Pour le Management Pack UNIX/Linux :

• Les serveurs JEE WebLogic 12.1.3 sur Linux ou Solaris ne sont pas découverts
• Dans de rares cas, de nombreux processus omiagent peuvent être découverts sur des ordinateurs UNIX/Linux
• Le protocole SSLv3 ne peut être désactivé dans OpenSSL comment il est utilisé par les agents UNIX/Linux

System Center 2012 R2 Service Manager (KB3039363)

• Support de SQL Server 2014
• Cette mise à jour contient plusieurs améliorations réduisant significativement le temps de synchronisation pour les connecteurs Active Directory et System Center Configuration Manager.
• La planification de la synchronisation du connecteur Active Directory est maintenant configurable par la console et PowerShell.
• Les jobs MPSync se fige après l’import d’une nouvelle version d’un Management Pack
• Le workflow AD connector group expansion fonctionne même si le connecteur correspondant est désactivé.
• Pendant l'exécution du connecteur AD, la console peut connaître une diminution significative de la performance car le connecteur AD effectue une synchronisation complète après chaque basculement de contrôleur de domaine.
• La synchronisation du connecteur AD récupère même les objets en Tombstone plusieurs fois, et ralentit la synchronisation si l’infrastructure a un grand nombre d'objets supprimés.
• Si vous utilisez l'écran étendu pour ouvrir des formulaires, la console SM continue à essayer d'ouvrir la fenêtre de formulaire dans l'affichage étendu, même quand il a disparu.
• Les formulaires de demande de service et de gestion de changement ne sauvegardent pas les modifications de données qui sont faites après l'actualisation du formulaire.
• La synchronisation de connecteur AD génère de nombreux événements d'avertissement avec l’identifiant d'événement 3305.
• La suppression d'un connecteur System Center Configuration Manager gèle la console jusqu'à ce que tous les éléments de configuration associés soient supprimés.
• Les ajouts sont manquants quand la base de données Configuration Manager est hébergée sur SQL Server AlwaysON et a basculé avec succès sur un autre nœud.
• La console crash si une grande quantité de données ou une image est collée dans l'onglet de documentation de la Release Request.
• Les groupes et utilisateurs ne peuvent être ajoutés à un rôle d'utilisateur à partir d'un domaine qui a une relation d’approbation bidirectionnelle sélective avec le nom de domaine du Management Server Service Manager.
• Lorsque le nombre de CI utilisateur est grand, le Global Operators Group prend beaucoup de temps à renvoyer la liste et on observe des pointes de mémoire et de CPU pour le processus SDK.
• Les appels de cache EMG et TypeSpace sont lents et engendre des pointes du processeur quand il y a beaucoup d’énumérations dans le Management Group.
• Une exception se produit lorsque vous cliquez sur une entité d'un service sur l'onglet Service Component.
• La création d'une Request offering avec des résultats du connecteur Cireson SMA engendre une exception après avoir installé les correctifs cumulatifs 4 ou 5.
• KB3045893: erreur de conversion de données de type après avoir installé l’Update Rollup 5 pour System Center 2012 R2 Service Manager

System Center 2012 R2 Virtual Machine Manager (KB3050317)

• Ajout de la fonctionnalité Add Azure Subscription : Les administrateurs peuvent ajouter des abonnements Microsoft Azure à VMM pour effectuer des actions basiques d’administration sur des instances Azure. Vous pouvez par exemple voir la liste des instances, mettre à jour manuellement la liste, démarrer, stopper, arrêter, redémarrer, se connecter en RDP aux instances.

• Amélioration du scénario de protection E2A ASR : Il est plus facile de découvrir et corriger un problème qui survient parfois lorsque vous configurez la protection Azure Site Recovery (ASR). Ceci survient quand vous voulez ajouter une protection ASR à des machines virtuelles on-premises et que vous avez les propriétés suivantes :

• • Pas de version de système d’exploitation
  • Pas d’indication sur quel disque contient le système d’exploitation

• Option pour utiliser des machines virtuelles de Generation 2 dans Services et VMRoles
• Des règles sur l’exposition totale de l'utilisation réseau dans le Management Pack afin d’introduire les règles suviantes :

• • Total Incoming VNic Network traffic collection rule
  • Total Outgoing VNic Network traffic collection rule

    Plus d'informations sur : http://blogs.technet.com/b/scvmm/archive/2015/05/12/recent-updates-for-vmm-2012-monitoring-and-a-new-management-pack-for-hyper-v.aspx

• Option pour surcharger la capacité du cloud et des groups d’hôte pour les machines virtuelles Replica
• Pour connaître la liste complète des corrections référez-vous à l’article : https://support.microsoft.com/en-us/kb/3050317.

System Center 2012 R2 Data Protection Manager (KB3030574)

Nouvelles fonctionnalités

• Option pour garder les données de sauvegarde en ligne lorsque vous supprimez le groupe de protection.
• Support de SQL Server 2014 pour DPMDB pour un scénario de mise à jour

Correction de bugs

• Le service DPMAM et DPMWriter ne démarrent et s’arrêtent dans le temps imparti lors de l’installation des Update Rollups. Cela provoque la défaillance de l'installation.
• Le service DPMRA peut se bloquer par intermittence quand il protège beaucoup de machines virtuelles (VM) en clusters qui ont un trafic élevé.
• Le service DPM s’arrête de façon inattendue lorsque vous essayez de désactiver puis réactiver la protection en ligne pour une charge de travail
• La cmdlet Attach-ProductionServer.ps1 est améliorée pour lui permettre de joindre un DPM principal à un serveur DPM secondaire dans des scénarios Disaster Recovery (DPM-DR).
• Si les utilisateurs ont des stratégies de groupe lors de l'installation de l’Update Rollup, ils peuvent parfois recevoir le message d'erreur suivant : Microsoft System Center 2012 R2 Data Protection Manager Update failed.
• Lorsque vous recevez un message d'erreur contextuel dans DPM qui contient un lien de redirection More Information, le lien ne redirige pas correctement. Cela provoque une erreur "Page introuvable".
• Si vous protégez l'état du système ou BMR après avoir installé l’Update Rollup 5, la console peut se bloquer ou ne plus répondre. Le correctif de ce problème a été publié dans la mise à jour 3040326 et est également inclus dans cette mise à jour.
• Le service DPM peut se bloquer lorsqu’une sauvegarde cryptée sur bande est effectuée en utilisant le cryptage FIPS.
• Le bouton Refresh dans l'assistant Create/Modify PG peut être désactivé même après avoir sélectionné un ordinateur PS.
• La politique alerte d'incohérence ne peut être résolue après avoir appliqué les mesures recommandées.
• Pour un cluster Windows 2012 R2 qui a des volumes Dedupliqués, DPM peut dans certains cas effectuer une sauvegarde non optimisée.
• Créer \ Modifier \ Supprimer sur un PG avec des sources de données du serveur de fichiers en cluster peut échouer avec l'erreur 197 ou de provoquer un accident de la console. Cela se produit spécifiquement après l’installation de l’Update Rollup 5.
• Vous ne pouvez pas modifier le planning de sauvegarde Azure pour un PG existant lorsque vous avez activé la sauvegarde en ligne.
• Lorsque vous développez un hôte de cluster dans l'assistant de protection, l'interface utilisateur DPM peut se bloquer.
• Dans certains endroits, le bouton Actualiser et le texte qui l'entoure ne sont pas visibles dans l'assistant de protection.

System Center 2012 R2 Orchestrator - Service Provider Foundation (KB3050307)

• Un mot de passe d’un tenant local est envoyé à SMA en texte clair et les identifiant peuvent être vus dans l’historique du job dans le portail WAP
• Nouvelles métriques pour l’usage des points finaux Service Provider Foundation
• N’importe quel tenant peut recevoir des données de performances de machine virtuelle pour n’importe quelle machine virtuelle

System Center 2012 R2 Service Reporting (KB3050321)

• Ajout du support de SQL Server 2014
• Correction de la logique de détection pour déterminer si le job Service Reporting est en cours d’exécution

Windows Azure Pack (KB3023209)

• Ajout du support des WebJobs dans les sites web Windows Azure Pack
• Ajout du support des Deployment Slots dans les sites web Windows Azure Pack
• Ajout du support des Checkpoint pour les machines virtuelles
• Ajout du support pour maintenir la cohérence des données entre les propriétés configurés du SQL Resource Provider (telles que les bases de données, des pools de ressources, et des groupes de charge de travail) avec les ressources provisionnées réels sur le SQL Server (ou des serveurs). Cela permet la détection de différences entre les données de configuration du SQL Resource Provider après les administrateurs changent directement l'ordinateur SQL Server.
• Il y a un nouvel ensemble d’appels d’API RESTful qui permettent la resynchronisation des données de configuration SQL RP avec l’état actuel sur le serveur SQL cible
• Compatibilité avec la nouvelle version de Windows Server
• Correction de divers problèmes du SQL Server Resource Provider
• Un ensemble de correctifs mineurs

Windows Azure Pack Web Sites version 2 (KB3051142)

Nouvelles fonctionnalités

• Ajout des WebJobs
• Ajout des Deployment Slots
• Les sites Web WAP peut maintenant prendre avantage de HttpPlatformHandler pour héberger Java et d’autres runtimes

Changements importants

• Par défaut, SSL Version 3 est désactivé
• La fonctionnalité IP SSL a de nouvelles capacités
• Les rôles doivent être réparés pour que les changements suivants puissent prendre effets :
  • Add/delete/update VIP Mappings

Front Ends

• • Add/delete/update IP range for IP Restrictions

Workers

• • Upload new publishing certificate

Publishers

• • Upload new default certificate

Front Ends

 Corrections de bugs

• Vous ne pouvez ajouter de Workers à partir du portail d’administration
• Si les services sont en cours d’exécution lorsque la mise à jour est démarrée, webhosting.msi peut échouer
• Le contrôleur peut opérer sur des serveurs distants qui n’appartiennent pas au contrôleur. Ce problème peut causer des enregistrements DNS périmées.
• L’installation échoue quand les bases de données Hosting ou Metering sont déjà présente et aucun message d’erreur n’est affiché
• Vous ne pouvez déléguer des paramétres IPSecurity pour IPRestrictions aux utilisateurs quand vous utilisez la cmdlet : Set-DefaultAppHostConfigSection -SectionName "system.webServer/security/ipSecurity" -OverrideModeDefault Allow
• Après la mise à jour de l’UR 4, les utilisateurs ne peuvent pas accéder aux statistiques d’usage à partir de la base de données de metering
• Si le paramètre TrustedHosts est configuré par stratégie de groupe, les sites Web WAP ne peuvent configurer le paramétrage.

Télécharger :

• Update Rollup 6 for System Center 2012 R2 Data Protection Manager
• Update Rollup 6 for System Center 2012 R2 Operations Manager
• Update Rollup 6 for System Center 2012 R2 Service Manager
• Update Rollup 6 for System Center 2012 R2 Service Provider Foundation
• Update Rollup 6 for System Center 2012 R2 Service Reporting
• Update Rollup 6 for System Center 2012 R2 Virtual Machine Manager Server
• Update Rollup 6 for System Center 2012 R2 Virtual Machine Manager Console
• Update Rollup 6 for Windows Azure Pack
• Update Rollup 6 for Windows Azure Pack Web Sites version 2

Rob Willis (MSFT) a mis à jour l’outil PowerShell Deployment Toolkit qui atteint la version 2.6. Cette boite à outils est un ensemble de scripts permettant le déploiement automatique de System Center 2012 SP1/R2 et ses prérequis (SQL Server…). C’est le bon moyen de construire une maquette facilement. Notez qu’il existe d’autres kits hydration du même genre. Cette version apporte des corrections de bugs et les fonctionnalités suivantes :

• Haute disponibilité des rôles qui requière du Network Load Balancing
• Création de VHDX partagé
• Mise à jour de la création des VMs :
  • VMs Generation 2
  • Tagging VLAN
  • MAC Spoofing
  • Paramétrages d’arrêt automatique
  • Les services d’intégration (Guest Services)
• Déploiement de sites web Windows Azure Pack
• Déploiement de correctifs cumulatifs pour SQL Server 2012
• Possibilité de spécifier des groupes pour les administrateurs de serveur par composant
• Possibilité de spécifier une clé produit pour Windows Server
• VMCreator pour Active Directory ne supprime pas les fichiers de journalisation après l’installation
• VMCreator pour Active Directory ne supprime pas les sources après l’échec d’installation
• Vérification de la version du Web Platform Installer

Pour obtenir les sources de PowerShell Deployment Toolkit 2.6

Plus d’information sur : http://blogs.technet.com/b/privatecloud/archive/2014/02/14/deployment-vmcreator-updates-with-pdt-2-6.aspx

System Center Configuration Manager offre diverses fonctionnalités dont le déploiement de systèmes d’exploitation. Le produit offre aussi une méthodologie permettant de construire son image d’installation en utilisant un modèle de séquence de tâches. La séquence de tâche installe un système, le prépare et procède à sa capture. Vous êtes peut être tombé dans un scénario où la séquence de tâches échoue à l’étape Prepare OS. Vous observez les lignes suivantes dans le fichier smsts.log :

bufType != NetSetupDomainName, HRESULT=80040004
Computer is part of domain <DOMAIN>, disjoin and start image capture
VerifyNotDomainJoined( bDebugChecksOnly ), HRESULT=80040004
DeployUtil::Verify
CaptureRequirements(m_bDebug), HRESULT=80040004
Machine does not meet OSD capture requirements. Capture can not continue.
Unable to sysprep the machine, hr=80040004
pCmd->Sysprep(bActivate, bMsd), HRESULT=80040004
Sysprep'ing the machine failed, hr=80040004

L’étape vérifie si la machine fait partie d’un domaine et échoue car les prérequis ne sont pas remplis. En effet la capture d’une machine via la séquence de tâches n’est pas supportée lorsque la machine est jointe au domaine (durant l’étape Apply Network Settings). Il faut donc que la machine soit en mode WORKGROUP pour que vous puissiez capturer l’image d’installation pendant la séquence de tâches. Le problème est que l’étape Install Updates ne fonctionne pas en mode Workgroup.

Quelles sont vos solutions :

• Utiliser la séquence de tâches pour construire votre master et capturer manuellement en utilisant le média de capture.
• Utiliser la séquence de tâches pour construire et capturer le master sans installer les mises à jour. Vous pourrez ensuite les installer durant le déploiement de systèmes d’exploitation.
• Utiliser la séquence de tâches Build and Capture pour installer les mises à jour et capturer en suivant la procédure suivante :
  • A l’étape Apply Network Settings , enregistrez la machine en mode Workgroup
  • A l’étape Setup ConfigMgr and Windows, ajoutez les propriétés d’installation du client SCCM suivantes : SMSMP=<FQDN DU Management Point>
  • Assurez-vous que l’étape Install Updates suit l’étape précédente.

Microsoft Press propose un ebook gratuit sur System Center 2012 Configuration Manager et sur la thématique de dépannage. Il décrit notamment :

• Le dépannage des tâches standards de distribution d’applications, de mise à jour logicielle et de déploiement
• Les différents composants de ConfigMgr à la fois côté serveur et client.
• Les fichiers de journalisation proposés par les clients et les serveurs.

Pour obtenir plus d’information et télécharger l’ebook, rendez-vous sur : http://blogs.msdn.com/b/microsoft_press/archive/2013/11/12/free-ebook-microsoft-system-center-troubleshooting-configuration-manager.aspx

Pour rappel, je propose un livre en français sur l’ensemble du sujet.

Microsoft vient de mettre à jour les recommandations d’exclusion antivirale pour Windows. Le document fournit la liste des fichiers, dossiers et processus aux systèmes Windows et Windows Server. Il comprend aussi des détails concernant les exclusions par rôles et fonctions. Bien entendu, ceci est une liste non exhaustive et d’autres exclusions peuvent s’appliquer en fonction des applications hébergées.

Plus d’informations sur : Windows Antivirus Exclusion Recommendations (Servers, Clients, and Role-Specific)

Microsoft a publié une signature de définition pour System Center Endpoint Protection (SCEP) et Forefront Endpoint Protection (FEP) résultant en certains effets de bord avec le service Antimalware lors que la protection en temps réelle est activée. Dans certains cas, le service antimalware s’arrête ou peut générer des lenteurs et des freezes sur la machine.

Vous observez le message suivant dans le journal d’évènements :

Microsoft Antimalware Real-Time Protection feature has encountered an error and failed.

Feature: On Access

Error Code: 0x80004005

Error description: Unspecified error

Reason: The filter driver skipped scanning items and is in pass through mode. This may be due to low resource conditions.

La mise à jour de définition posant problème est tagguée avec la version 1.171.1.0. Microsoft a déjà publiée une mise à jour de définition résolvant ce problème (version 1.171.1.64). Si vous êtes dans cette situation, déployez la dernière mise à jour de définition.

Ce blog fête ses 5 ans. Le 30 mai 2009, j’ouvrais mon blog sur la plateforme DansTonCloud. Aujourd’hui, vous êtes plus de 300 abonnés au flux RSS et plus de 6000 lecteurs par mois. Pendant ces années, j’ai publié plus de 3200 billets pour vous tenir informer et vous présenter les technologies Microsoft.

Voici une petite rétrospective :

• Septembre 2007 : Entrée à Supinfo Grenoble
• Octobre 2007 : Participation au Laboratoire SUPINFO des technologies Microsoft
• 2 Février 2008 : Première publication sur le site du Laboratoire SUPINFO des technologies Microsoft
• Janvier 2009 : Nomination comme Microsoft Student Partner
• 30 mai 2009 : Ouverture du blog
• 5 décembre 2009 : Je deviens Global Lab Manager pour le Laboratoire SUPINFO des technologies Microsoft
• 23 juin 2010 : Sortie du livre Windows 7 : Déploiement et Migration avec MDT 2010 et SCCM 2007 R2.
• 1^er juillet 2010 : Nomination comme MVP System Center Configuration Manager
• 13 juillet 2011 : Gagnant de l’Imagine Cup dans la catégorie IT Challenge
• 8 Février 2012 : Je donne une session sur ConfigMgr 2012 aux TechDays
• Juin 2012 : Migration du blog sur la plateforme MicrosoftTouch
• 13 Juillet 2013 : Migration de la plateforme sur Telligent Community 7.6
• 11 Septembre 2013 : Sortie de mon ouvrage sur System Center 2012 Configuration Manager
• 14 Janvier 2014 : Accueil d’Olivier Da Silva sur la communauté MicrosoftTouch
• 17 Janvier 2014 : Accueil de Florent Appointaire sur la communauté MicrosoftTouch
• 23 Janvier 2014 : Accueil de Sylver Schorgen sur la communauté MicrosoftTouch

Cette année réserve encore de belles surprises. La plateforme MicrosoftTouch va être migrée vers Zimbra Community 8.0 ; la nouvelle mouture issue du rachat de Zimbra.

Côté IT, ces 7 dernières années marquent plusieurs évolutions :

• Le passage du physique à la virtualisation pour entrer dans l’air du Cloud.
• La gestion des périphériques évolue vers l’administration tournée utilisateur pour embrasser le BYOD (Bring Your Own Device).
• L’explosion des données et l’Open Data donne un nouveau souffle à la BI avec une nouvelle tendance : Le Big Data.

Là aussi l’avenir réserve de belles perspectives et un changement complet de la vision de l’informatique.

Je souhaite vous remercier pour votre assiduité me permettant de garder cette énergie et cette passion du partage.

Microsoft a mis à disposition les VHDs d’évaluation des produits de la gamme System Center 2012 R2. Ces derniers vous permettront aisément de tester les fonctionnalités de ces nouvelles versions avec un lab clé en main :

• System Center 2012 R2 App Controller – Evaluation (VHD)
• System Center 2012 R2 Configuration Manager – Evaluation (VHD)
• System Center 2012 R2 Data Protection Manager – Evaluation (VHD)
• System Center 2012 R2 Operations Manager – Evaluation (VHD)
• System Center 2012 R2 Orchestrator – Evaluation (VHD)
• System Center 2012 R2 Service Manager – Evaluation (VHD)
• System Center 2012 R2 Service Manager Data Warehouse – Evaluation (VHD)
• System Center 2012 R2 Virtual Machine Manager – Evaluation (VHD)

System Center 2012 R2 Configuration Manager est disponible depuis le 18 octobre. Avec le SP1, j’avais fait une migration chez un client qui m’avait posé de nombreux problèmes. J’ai souhaité sans tarder tester le processus de migration pour valider la procédure et les éventuels problèmes rencontrés. Aujourd’hui, je vous propose de partager cette expérience sur mon lab créé pour l’écriture du livre System Center 2012 Configuration Manager (SCCM) : Concepts, Utilisation, et Administration. J’ai choisi celui avec un site primaire autonome pour commencer. Voici les rôles :

• Un serveur Active Directory avec niveau fonctionnel de forêt Active Directory 2012. Ce dernier héberge aussi le rôle de système de site System Health Validator Point.
• Un serveur de site primaire autonome hébergeant :
  • La base de données de site
  • Asset Intelligence Proxy Point
  • Application Catalog Website Point
  • Application Catalog Web Service Point
  • Distribution Point (PXE activé)
  • Endpoint Protection Point
  • Enrollment Point
  • Enrollment Proxy Point
  • Fallback Status Point
  • Management Point (avec Device Management Point)
  • Out of Band Service Point
  • Reporting Service Point
  • Software Update Point
  • State Migration Point
  • SMS Provider
  • Windows Intune Connector
• Deux Cloud Distribution Points

Comme vous pouvez le voir, on retrouve toutes les fonctionnalités proposées par le produit excepté la partie Multicast.

Quelle est le processus à adopter ? Vous devez commencer votre migration par les éléments au plus haut dans la hiérarchie. Commencez par migrer votre CAS (ou votre site primaire autonome) puis les sites primaires, les sites secondaires et les clients :

1. Site d'administration central (CAS) si vous avez choisi d'en installer un.

2. Sites primaires

3. Sites secondaires

4. Clients

Lorsque la hiérarchie entre en mode de compatibilité, il existe des limitations qui s’appliquent à ce scénario SP1 vers R2 :

Les comptes d’accès réseau :

• Quand vous utilisez une console connectée sur un CAS migré vers la R2, la console n’affiche pas le détail des comptes configurés sur les sites primaires encore sur ConfigMgr 2012 SP1.
• Lorsque ce sont des clients SCCM 2012 Sans Service Pack ou avec Service Pack 1, ils utilisent le premier compte d’accès réseau de la liste. Ce comportement permet d’assurer la retro compatibilité pour les clients qui n’ont pas encore été mis à jour. Veillez à placer le compte de référence comme premier de la liste.
• Lorsque vous gérez des ressources en mode Workgroup, ces dernières doivent avoir le client ConfigMgr 2012 R2 pour bénéficier de la prise en charge des multiples comptes d’accès réseau.
• Lorsque vous déployez des systèmes d’exploitation, vous devez utiliser les images de démarrage Windows PE 4.0 générées par ConfigMgr 2012 R2 pour permettre la prise en charge des multiples comptes d’accès réseau.

Lorsque vous commencez la mise à niveau de votre infrastructure, Microsoft recommande de retarder les déploiements de système d'exploitation jusqu'à que toute la hiérarchie de sites soit à jour. Dans le cas contraire, voici quelques considérations à prendre en compte :

• La mise à niveau du site le plus haut dans la hiérarchie engendre la mise à jour du package d'installation du client sur tous les points de distribution de la hiérarchie.
• Un client ConfigMgr avec un niveau de Service Pack ne peut dialoguer avec un site ayant un niveau de version inférieur.
• Lorsque vous mettez à jour le site le plus haut dans la hiérarchie, les images de démarrage par défaut sont mises à jour.
• Pour écarter l'échec d'une séquence de tâches, vous devez valider que l'image de démarrage utilisée correspond à la version du client ConfigMgr installée durant le déploiement de système d'exploitation.
• Evitez l'utilisation des médias dynamiques tant que la hiérarchie est dans un mode d'intéropérabilité.

Plus d’informations sur : http://technet.microsoft.com/en-US/library/jj822985.aspx

La première des choses à faire est la lecture de la note de publication concernant la R2 que vous allez appliquer. Commençons par les prérequis et considérations :

• Tous vos sites doivent avoir été migrés vers ConfigMgr 2012 SP1. Si ce n’est pas le cas votre hiérarchie est toujours en mode de compatibilité.
• Habituellement les versions majeures incluent tous les correctifs apportées par les Cumulative Update. Néanmoins, un correctif concernant le multicast n’est pas inclus dans la R2. Microsoft recommande dans ce cas l’application du Cumulative Update 3 sur l’infrastructure.
• Validez que votre environnement supporte la configuration matérielle et logicielle requise par la R2. Ceci s'applique à l'ensemble des composants constituant l'infrastructure (Serveurs de site et Systèmes de site) mais aussi les clients. Par exemple le Service Pack 1 de ConfigMgr 2012 requiert l'installation de Windows ADK sur les serveurs de site et les SMS Provider. Voici la liste des configurations supportées : http://technet.microsoft.com/library/gg682077.aspx
• Microsoft recommande l'application de toutes les mises à jour critiques applicables aux serveurs de site et systèmes de site.
• Microsoft recommande la mise à jour des bases de données des sites secondaires vers SQL Server 2012. Ceci ne constitue pas une étape obligatoire.
• Validez l'état des sites, des systèmes de site et de la hiérarchie. Ceci a pour but d'éviter d'impacter la mise à jour si un problème est persistant sur l'infrastructure. Vous pouvez pour cela, utiliser la vue Monitoring - System Status.
• Vous devez désactiver les réplicas de base de données pour les Management Points et les réactiver après installation du Service Pack.
• Lorsque vous utilisez le rôle Software Update Point dans une configuration avec un cluster NLB, vous devez désinstaller cette fonctionnalité pour que le produit puisse mettre à jour le site concerné.
• Il est primordial de sauvegarder la base de données des sites prenant part à la hiérarchie (CAS + Sites primaires). Ceci permettra une restauration si la mise à jour aboutie à un échec.
• Vous devez désactiver la tâche de maintenance Delete Aged Client Operations sur l'ensemble des sites primaires. Lorsque la migration est complète, vous pouvez la réactiver sur l'ensemble des sites.
• Désactivez les tâches de maintenance suivantes Backup Site Server et Delete Aged Discovery Data sur tous les sites
• Lancer l'assistant de vérification des prérequis pour valider que votre site est prêt à être migré.
• Si votre site ne dispose pas d'un accès à Internet, téléchargez les fichiers de prérequis à partir du média d'installation sur une autre machine.
• Lorsque vous opérez la mise à jour du site, l'assistant vous propose de faire une revue des packs de langue déjà installés. Le Service Pack propose un niveau équivalent et apporte même le support de langues supplémentaires.
• Planifier les nouveaux prérequis nécessaires pour les systèmes de site déjà installés. Lorsque vous procédez à la mise à jour d'un site, le gestionnaire de composants de site procède à la réinstallation des rôles de systèmes de site pour les mettre à jour. L'application du Service Pack peut changer le niveau de prérequis nécessaire.
• Testez la mise à jour sur une copie de la base de données sur un serveur de site de test. Cette opération visera à valider l'intégrité de la base de données vis-à-vis d'une opération de mise à jour. Vous pouvez pour cela, copier la base de données sur un serveur SQL de test qui dispose du même niveau de version que le serveur de production. Utilisez ensuite le média d'installation (Setup.exe dans SMSSETUP\BIN\X64) du Service Pack et le paramètre de ligne de commande /TESTDBUPGRADE <Nom d'instance>\<Nom de la base de données> pour valider le processus. Vous devez valider cette opération pour toutes les bases de données de tous les sites de la hiérarchie (CAS + Primaires).
• L'assistant de vérification des prérequis valide qu'aucun système de site attaché au serveur de site n'a de redémarrage en attente. Il est ainsi recommandé de redémarrer le serveur de site et les systèmes de site associés. Notez que cette opération peut prendre un temps certain compte tenu du nombre de systèmes de site installés (notamment pour les Distribution Points) et de la latence engendrée par leur localisation.
• Validez les exceptions de l'antivirus installé sur le serveur de site. Certains antivirus provoquent des effets indésirables sur la mise à jour du site. Ceci est particulièrement valable avec McAfee et l'étape de régénération des nouvelles images de démarrage avec Windows ADK. Vous pouvez aller jusqu'à désactiver temporairement l'antivirus.
• L'utilisateur qui procède à la mise à jour doit être administrateur local du serveur hébergeant le site secondaire et disposer des droits System Administrator (SA) sur la base de données de site. Il doit aussi disposer des rôles de sécurité Infrastructure Administrator ou Full Administrator sur le site primaire parent.
• Vous devez désinstaller la version de Windows ADK pour Windows 8 et installer la nouvelle version pour Windows 8.1.
• Les clients ConfigMgr 2012 R2 ne peuvent bénéficier des nouvelles fonctionnalités lorsqu’il dialogue avec un site ConfigMgr 2012 d'une version précédente.

Il existe plusieurs actions réalisées automatiquement par la mise à niveau d'une infrastructure System Center 2012 R2 Configuration Manager :

• Le site opère une réinitialisation de site qui a pour effet de réappliquer les fichiers par défaut et les permissions de registre sur le serveur de site. De plus, cela enclenche la réinstallation de tous les rôles de systèmes de site.
• La mise à jour du package d'installation est lancée pour tous les points de distribution de la hiérarchie. Ceci est à prendre en compte pour éviter les effets de bord liés au niveau de version entre le client et les serveurs de site.
• Si l'installation est exécutée sur un site primaire, elle procède à la mise à niveau du package de mise à jour du client pour ce site.

Passons dans le vif du sujet ! Vous avez relus l’ensemble des prérequis. Désactivez les trois tâches de maintenance Delete Aged Client Operations, Backup Site Server et Delete Aged Discovery Data :

Désinstallez Windows Assessment and Deployment Kit du site primaire :

Téléchargez et installez la nouvelle version pour Windows 8.1 en cochant les composants Deployment Tools, Windows Presinstallation Environment (Windows PE) et User State Migration Tool (USMT) :

Chargez les sources de ConfigMgr 2012 R2 et lancez le SplashScreen. Cliquez sur Install :

Note : Au préalable, vous pouvez lancer le vérificateur de prérequis.

Passez l’écran de bienvenue.

Sélectionnez Upgrade this Configuration Manager site et cliquez sur Next :

Entrez ensuite la clé produit et passez à l’étape pour accepter le contrat de licence du produit.
Acceptez aussi les termes de licence de SQL Server 2012 et Silverlight 5.

Téléchargez ou cibler le dossier contenant les fichiers de prérequis :

Sur les deux écrans qui suivent, sélectionnez les langues d’interface serveur et client à télécharger et installer.

Sur la page Settings Summary, cliquez sur Next pour lancer l’assistant de vérification des prérequis.

Validez l’ensemble des prérequis. Ceux en erreur vous empêcheront de démarrer la mise à jour.

Une fois la mise à jour terminée, cliquez sur View Log pour relire les journaux d’installation pour traquer les éventuelles erreurs et faites Close.

Voici mon résultat pour la mise à jour de ce lab :

• J’ai essuyé un premier échec. Avant même de démarrer l’installation, le processus d’installation SetupWpf.exe n’a pas pu être créé.
• Une fois le serveur redémarré, j’ai lancé une deuxième tentative qui s’est arrêtée sur une erreur : Setup failed to configure SQL Server Broker. Possible Cause : Each Configuration Manager site must have its own SQL Server Instance. Verify that the selected SQL Server instance it not in use by another Configuration Manager Site. En vérifiant le fichier de journalisation, j’observe les erreurs suivantes :

INFO: If top most site we will execute spDRSInvalidateAllReplicationConfigurationGroups
*** IF (dbo.fnIsCasOrStandalonePrimary() = 1) EXEC dbo.spDRSInvalidateAllReplicationConfigurationGroups
*** [42000][50000][Microsoft][SQL Server Native Client 11.0][SQL Server]ERROR 50000, Level 16, State 1, Procedure spRethrowError, Line 42, Message: ERROR 50000, Level 16, State 1, Procedure spGetSSBDialogHandle, Line 58, Message: Route is not defined for target site with service name ConfigMgrRCM_SiteSE4. : spRethrowError
ERROR: SQL Server error: [42000][50000][Microsoft][SQL Server Native Client 11.0][SQL Server]ERROR 50000, Level 16, State 1, Procedure spRethrowError, Line 42, Message: ERROR 50000, Level 16, State 1, Procedure spGetSSBDialogHandle, Line 58, Message: Route is not defined for target site with service name ConfigMgrRCM_SiteSE4. : spRethrowError
Failed to execute sql command IF (dbo.fnIsCasOrStandalonePrimary() = 1) EXEC dbo.spDRSInvalidateAllReplicationConfigurationGroups~
ERROR: Failed to execute spDRSInvalidateAllReplicationConfigurationGroups
ERROR: Failed to update global table schema record. $$<Configuration Manager Setup><10-21-2013 12:13:38.081-120><thread=7088 (0x1BB0)>

Il s’avère que j’avais un site secondaire orphelin (SE4) depuis quelques temps. J’ai donc procédé à sa suppression puis relancé la mise à jour qui s’est déroulée avec succès.

Ce qu’il faut retenir ? Assez-vous de valider l’ensemble des prérequis ! Sauvegardez bien vos sites avant de procéder à la mise à jour de ces derniers.

Une fois le site primaire à jour, vous pouvez mettre à jour les sites secondaires avec la procédure suivante :

• Ouvrez la console d'administration et naviguez dans Administration - Site Configuration - Sites.
• Sélectionnez le site secondaire souhaité, et cliquez sur Upgrade. Confirmez l'opération pour lancer la mise à jour.

Mettez à jour toutes les consoles d'administration distantes. Ce processus est nécessaire afin d'offrir l'accès à toutes les nouvelles fonctionnalités offertes par la R2. Vous pouvez utiliser toutes les méthodes d'installation supportées par la console d'administration : Manuelle, Déploiement de packages etc…

Une fois l'installation du site primaire achevée, vous pouvez reconfigurer les réplicas de bases de données pour les Management Points.

Mettez à jour les clients en utilisant une des méthodes proposée par Microsoft : Déploiement du package, fonction intégrée de mise à jour du client …

Notez que quelques retours sont signalés sur les forums, voici les plus communs :

• La mise à jour de l’infrastructure semble avoir un impact négatif sur les points de distribution avec la fonction PXE/WDS. Rien n’est confirmé à ce jour par Microsoft.
• Les performances du déploiement de système d’exploitation semblent être impactées lors de l’utilisation des images Windows PE 5.0. L'impact est confirmé par Microsoft. Voir : http://social.technet.microsoft.com/Forums/en-US/4c72ae27-198f-4751-b0d6-340a11b52bd4/insanely-slow-os-download-in-2012-r2-winpe?forum=configmanagerosd
• La mise à niveau peut échouer si des Pull DPs sont présents dans l'environnement. Voir : http://blogs.technet.com/b/umairkhan/archive/2013/10/29/the-configmgr-2012-r2-upgrade-from-configmgr-2012-sp1-cu3-will-fail-if-you-have-pull-dps-in-your-environment.aspx

Vous pouvez aussi obtenir plus d'information dans mon livre sur System Center 2012 Configuration Manager :

Si vous avez creusé la gestion des périphériques Surface Hub en mode moderne avec Microsoft Intune, vous avez surement dû faire face à des problèmes pour l’enregistrer à la fois dans Azure Active Directory et Microsoft Intune. Si votre Surface Hub exécute la version 1703 (Creators Update), vous pouvez utiliser la solution suivante :

1. Créer un package de provisionnement (PPKG) en sélectionnant « Use Azure Active Directory» dans Set Up Device Admins et en validant que l’option Enroll in device management est à No.
2. Dans le portail Azure Active Directory, validez que l’enregistrement dans Azure Active Directory engendre l’enregistrement automatique dans Microsoft Intune. Pour cela, naviguez dans Azure Active Directory – Mobility (MDM and MAM). Choisissez Microsoft Intune puis validez que l’étendue d’utilisateur MDM soit à « All »
3. Lors de la phase OOBE, branchez la clé USB et suivez les indications à l’écran.
4. Après coup, le Surface Hub sera enregistré dans Microsoft Intune et Azure Active Directory.

Cette solution a un inconvénient puisqu’elle casse le mécanime de Single Sign-On (SSO). Microsoft travaille sur une solution plus aisée pour les versions suivantes.

Microsoft va proposer un événement de questions/réponses sur Microsoft Planner. Cet évènement aura lieu le mercredi 14 Mars de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Microsoft Planner avec une réponse directe.

Vous devez être membre de Tech Community pour poster vos questions via l’adresse : https://techcommunity.microsoft.com/t5/Planner-AMA/bd-p/PlannerAMA

Source : https://techcommunity.microsoft.com/t5/Planner-AMA/Announcing-the-Microsoft-Planner-AMA/m-p/167358#M1

Il semble qu’un bug esthétique soit présent dans Windows 10 1709 et 1803 avec l’interface Windows Defender. Lorsque ce dernier est géré par System Center Configuration Manager, vous pouvez appliquer des stratégies qui viennent configurer le client (par exemple activer la protection en temps réel). En regardant le paramétrage dans Windows Defender Security Center, vous observez que ce dernier est grisé mais sur Off contrairement à ce que vous pouvez avoir spécifié. Ceci est valable pour d’autres paramétrages que vous auriez pu configurer.

Pourtant la protection en temps réel est bien active.

En réalité, le problème provient du paramétrage dans les stratégies Endpoint Protection : Disable the client Interface. Ce dernier devrait cacher la section Virus & threat protection de Windows Defender Security Center. Au lieu de cela, la section est toujours visible mais tous les paramétrages sont grisés et marqués sur Off malgré l’état réel de chacun d’eux.

En lieu et place, vous pouvez plutôt utiliser le paramétrage de stratégie de groupe (GPO) : Hide the virus and threat protection area.

Microsoft planifie la correction du bug pour Windows 10 1809.

Microsoft a publié une mise à jour (3.2) de son outil permettant d’évaluer la compatibilité des périphériques vis-à-vis des fonctionnalités Device Guard et Credential Guard de Windows 10. L’outil s’exécute sur Windows 10 et Windows Server 2016. Il est proposé sous la forme d’un script PowerShell.

Les versions précédentes comportaient un problème lors du parsing de certains ensembles de blobs HSTI. Ceci était dû à la DLL hstitest qui a été remplacée dans cette version.

Cet outil peut être utilisé pour :

• Vérifier si le périphérique peut exécuter Device Guard ou Credential Guard
• Vérifier si le périphérique est compatible avec les tests du kit Hardware Lab exécutés par les partenaires
• Activer ou désactiver Device Guard ou Credential Guard
• Vérifier le statut de Device Guard ou Credential Guard
• Configurer Device Guard ou Credential Guard via System Center Configuration Manager ou tout autre outils de télédistribution.
• Utiliser les stratégies embarquées en mode audit afin d’activer Device Guard quand aucune stratégie personnalisée n’est fournie.

La ligne de commande est la suivante : DG_Readiness.ps1 –[Enable/Disable/Capable/Ready] –[DG/CG/HVCI/HLK] -Path <ConfigCI policy> -AutoReboot

Télécharger Device Guard and Credential Guard hardware readiness tool

Le beta-testing de la certification sur l’installation et la configuration de Windows 10 a débuté. L’examen 70-698 Installing and Configuring Windows 10 est concerné.

Vous pouvez alors utiliser gratuitement le code suivant : BETA698MCP.
Il doit être utilisé avant le 27 juin 2016.

Attention, il n’y a que 350 places disponibles.

Source : https://borntolearn.mslearn.net/b/weblog/posts/registration-for-70-698-beta-exam-installing-and-configuring-windows-10-available-soon

Microsoft vient de mettre à disposition la Technical Preview 1602 de System Center Configuration Manager. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 4 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup). Vous pouvez aussi directement passer de la TP1512 à la TP1602.

System Center Configuration Manager TP 1602 comprend les nouveautés suivantes :

• A partir de la TP1602, vous pouvez faire une mise à jour du système d’exploitation hébergeant un système de site de Windows Server 2008 R2 à Windows Server 2012 R2. Ainsi, il n’est plus nécessaire de faire une procédure de sauvegarde et restauration pour mettre à jour le système.
• Possibilité de rafraichir les stratégies machine et utilisateur directement depuis le nouveau centre logiciels (Software Center). L’option Sync Policy est disponible depuis Options – Computer Maintenance.
• Amélioration de Windows 10 Servicing utilisé pour mettre à jour les différents Builds. On retrouve :
  • De nouveaux filtres dans les Servicing Plans pour la langue, le titre, et si la mise à jour est requise.
  • Quand vous sélectionnez la classification Upgrades dans la page de configuration de la synchronisation, un avertissement est affiché pour vous rappeler que le correctif 3095113 est nécessaire.
  • Les mises à niveau (Upgrades) Windows 10 ne sont maintenant disponibles qu’à partir de Windows 10 Servicing - All Windows 10 Updates. On ne peut plus les lister à partir d’All Software Updates.
  • Un utilisateur qui lance une mise à niveau de Windows 10 est averti via une boite de dialogue qu’il va mettre à jour son système d’exploitation.

Concernant les nouveautés dans le mode hybride couplé à Microsoft Intune, on retrouve :

• Vous pouvez utiliser la fonctionnalité iOS Activation Lock permettant la gestion de l’application Find My iPhone disponible à partir d’iOS 7.1. Lorsque l’application est utilisée, le verrouillage d’activation est automatiquement activé. L’identifiant Apple de l’utilisateur est demandé à chaque fois que l’utilisateur souhaite désactiver la fonctionnalité, effacer ou réactiver le périphérique. Cette fonctionnalité s’applique aux périphériques supervisés ou non.
• Création automatique des applications mobiles Microsoft Office sont pré-créées pour les entreprises qui ont intégré Microsoft Intune avec System Center Configuration Manager.

Le processus de mise à jour de la Build TP4/1512 à la TP1602 est très simple. Votre site doit être connecté à Internet avec le Service Connection Point. Dans la console, vous voyez apparaître la Build Configuration Manager Technical Preview 1602 avec les fonctionnalités associées :

Cette dernière peut avoir le statut Downloading ou Available. Si le statut en téléchargement s’éternise, Microsoft recommande le redémarrage du service SMS Executive.

Vous pouvez ensuite sélectionner Install Update Pack. L’assistant de mise à jour s’ouvre. Pour cette Technical Preview, vous devez ignorer les prérequis en avertissements et installer le produit malgré ces manquements.

L’écran Features vous permet de sélectionner les fonctionnalités que vous souhaitez activer.

La page Client Update Options est utilisée pour spécifier le comportement de mise à jour des clients :

• Sans validation en ciblant tous les clients de Production
• Avec une phase de validation sur une collection de « Pré-Production »

Acceptez les termes de licence :

Validez ensuite l’installation et fermez l’assistant.

La console vous affiche ensuite les états suivants :

• Installing
• Check prerequisites
• Installing
• Installed

Vous pouvez suivre le processus de mise à jour avec les logs hman.log, dmpdownloader.log, CMUpdate.log.

Une fois installé, vous devez redémarrer la console pour installer la mise à jour applicable à cette dernière :

Puis vous pouvez observer les différents changements pour cette nouvelle Technical Preview :

J’ai rencontré un problème sur une infrastructure System Center Configuration Manager Current Branch où les données d’inventaire et le résultat de l’évaluation des rapports de conformité, n’étaient plus traités par le serveur de site. En outre, les machines ne remontent pas non plus l’état de vérification du client. Vous pouvez constater ces différents éléments via les rapports ou directement dans la console en regardant les dates de dernières remontées.

Côté client, les fichiers de journalisation ne montrent pas de problème et tout semble fonctionner. Côté serveur, le serveur IIS semble fonctionner si vous accédez à l’adresse http://<Serveur>/sms_mp/.sms_aut?mplist

Les problèmes se gâtent lorsque vous regardez les fichiers de journalisation IIS du Management Point. Vous pouvez observer les erreurs suivantes : (bits_error :, 501,0x80070005)

Cela dénote une erreur BITS. Si vous essayez d’ouvrir le gestionnaire IIS et que vous essayez d’accéder au composant BITS sur le site web par défaut, vous obtenez le message d’erreur : BITS server was unable to read from the IIS Meta-base as it is corrupt. The settings for this virtual directory have been reset to the BITS Defaults. Parameter count mismatch :

En regardant le fichier de journalisation de traitement de l’inventaire (dataldr.log), on observe des dizaines d’erreurs CounterThreadProc : MIFs/Min counter missing qui s’enchainent toutes les secondes.

Pourtant, l’état du composant SMS_INVENTORY_DATA_LOADER est normal dans la console d’administration.

Il *semble* que le problème survienne à la suite de la mise à niveau du serveur de site de Windows Server 2012 R2 vers Windows Server 2016.

Pour résoudre le problème, vous devez :

1. Désinstaller le rôle Management Point
2. Valider la désinstallation dans le fichier MPSetup.log
3. Installer le rôle Management Point à nouveau
4. Valider la réinstallation dans le fichier MPSetup.log
5. Exécuter la commande suivante dans le dossier <Répertoire d’installation de ConfigMgr>\bin\i386 : perfsetup /install /siteserver:(SERVEUR) SMS_INVENTORY_DATA_LOADER

A la suite de ces opérations, vous n’observez plus d’erreur dans les journaux IIS ainsi que des erreurs dans dataldr.log.

Veuillez noter qu’un backlog important et donc une surcharge du serveur, est à prévoir après ces opérations en fonction du délai entre le début des problèmes et le jour de la correction. En effet, le serveur va devoir traiter les données qui n’ont pas été traitées jusqu’alors.

Microsoft a publié un avertissement (MC150680) dans le centre de messages d’Office 365 concernant l’utilisation des applications Office 365 ProPlus (Word, Excel, PowerPoint, etc.) et les entreprises qui appliquent des stratégies Windows Information Protection (WIP), Windows Defender Application Control ou AppLocker avec Windows 10. Vous pouvez notamment appliquer des stratégies de ce type via Microsoft Intune, System Center Configuration Manager ou par stratégie de groupes (GPO).

Un bug a été découvert par Microsoft et corrigé sur le code XML AppLocker pour ces applications. Les entreprises qui utilisent Windows Information Protection (et éventuellement Windows Defender Application Control) pour protéger Office 365 ProPlus (1808 ou plus) doivent télécharger et appliquer les nouveaux fichiers XML pour s’assurer que WIP fonctionne correctement.

Le problème concerne les versions suivantes d’Office :

• Office 365 ProPlus, Version 1808 (Build 10730.20088) Monthly Channel qui a été publié le 5 septembre 2018.
• Office 365 ProPlus, Version 1808 (Build 10730.20102) Semi-Annual Channel (Targeted) qui a été publié le 11 septembre 2018 .
• Office 2019, Version 1808 (Build 16.0.10336.20044), qui a été publié le 24 septembre 2018.

Dans ce cas de figure, les utilisateurs peuvent constater les comportements suivants :

• Les applications s'affichent dans un contexte "personnel" mais n'affichent pas l'invite de contexte personnel.
• Fenêtres inattendues lors du déplacement de contenu dans le contexte de l'entreprise
• L'option Enregistrer sous pour appliquer l'étiquette de travail aux fichiers peut ne pas apparaître.
• Les déploiements de Windows Defender Application Control et AppLocker qui définissent des règles basées sur le nom du produit Office peuvent constater que les applications Office concernées ne sont plus lancées.

Si vous utilisez Office 365 ProPlus et WIP :

• Sur le lien Informations supplémentaires, faites défiler jusqu'à Office 365 ProPlus dans la liste "Adding enlightened Microsoft apps to the allowed apps list" et téléchargez les fichiers .zip liés.
• Supprimer les anciens fichiers XML Office AppLocker de votre environnement WIP (généralement configurés par un MDM ou System Center Configuration Manager)
• Ajoutez la nouvelle stratégie XML téléchargée à l'étape 1 dans votre environnement et vérifiez les configurations pour vous assurer que vos stratégies WIP s'appliquent aux applications Office comme vous le souhaitez.

Si vous utilisez Office 365 ProPlus et AppLocker ou Windows Defender Application Control :

• Si les restrictions de lancement de votre application AppLocker interdisent le lancement d'anciennes versions d'Office basées sur le nom de produit "Microsoft Office", les règles devront être mises à jour pour autoriser l'application "Microsoft Office" pour les versions 16.0.10336.20044 et suivantes.
• Si les restrictions de lancement Windows Defender Application Control de votre application interdisent le lancement des anciennes versions d'Office basées sur le nom du produit "Microsoft Office", les règles devront être mises à jour pour autoriser l'application "Microsoft Office" à partir de la version 16.0.10336.20044.

Plus d’informations sur : https://docs.microsoft.com/en-us/windows/security/information-protection/windows-information-protection/enlightened-microsoft-apps-and-wip

Il semble qu’un problème touche la remontée de l’état des stratégies Windows Defender configurées avec Microsoft Intune. Ces dernières remontent un état Failed.

En regardant en détail l’état d’un périphérique et de la stratégie associée, on peut voir que l’état failed est remonté pour la planification de l’analyse journalière (Schedule scan day) :

 Pour résoudre le problème, vous devez configurer les paramètres suivants :

• Type of system scan to perform: Not Configured
• Schedule scan day: La valeur que vous souhaitez

C'est un bug connu de Microsoft dû à des paramétrages dupliqués dans l'interface. Deux des paramétrages pointe sur le même noeud CSP. Ceci sera corrigé sur la version de Mars.

Cet été, un ensemble de vulnérabilités connues sous le nom PrintNightmare ont défrayé la chronique. Le problème touche le service Windows Print Spooler. Avec la mise à jour de sécurité d’août 2021, un changement est opéré sur le comportement de la fonctionnalité Point and Print afin de ne plus permettre l’ajout ou la mise à jour d’imprimantes stockés sur des serveurs distants par des utilisateurs sans privilèges (standards). Cette opération requiert maintenant les droits d’administrateur de la machine. Ce changement de paradigme peut avoir un impact pour les entreprises qui permettaient ce genre de scénario.

Microsoft donne une méthode permettant de contourner le mécanisme de sécurité via la création d’une clé de registre. Néanmoins, ceci expose à nouveau l’entreprise à des attaques via ces vulnérabilités.

Si vous souhaitez laisser ce mécanisme activé, vous pouvez inclure les drivers d’impression dans votre image d’installation de système d’exploitation ou utiliser un outil d’administration tels que Microsoft Endpoint Configuration Manager pour installer les drivers.

Plus d’informations sur : KB5005652—Manage new Point and Print default driver installation behavior (CVE-2021-34481) (microsoft.com)

Je pense qu’il faut garder cette astuce dans un coin de votre disque dur car les entreprises choisiront surement de ne pas activer l’interface Metro (plutôt que d’investir dans de l’accompagnement au changement) pour ne pas perdre les utilisateurs. Cela pourra donc vous servir dans vos futurs projets de déploiement de système d'exploitation.

Pour revenir à un menu classique, Vous devez modifier la valeur du registre suivante : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer

Passez la valeur de  RPEnabled à 0 pour retrouver un menu démarrer classique.

La valeur 1 active le style Metro.

Note : Ceci fonctionne aussi pour Windows Server 8.

I’ve updated for System Center Configuration Manager 1511 the Visio Stencils/Shapes (v1.2) that I’ve created for System Center 2012 R2 Configuration Manager. As a reminder, it is not official but based on some models seen in the Microsoft sessions. It is based on stencil that some people from the community had published for SCCM 2007. This new version includes the changes from CM 1511 and some others updates.

Version 1.2 changes include:

• Adding Active Directory
• Adding Azure Active Directory
• Adding AADSync
• Adding ADFS
• Adding Domain Controller
• Adding Service Connection Point
• Adding Exchange 2013/2016 Client Access Server shape
• Changing Office 365 shape with the official one
• Changing Windows Intune shape with Microsoft Intune
• Changing Software Update Point shapes with a new one (as it was referring to Windows and it’s possible to deploy third party software updates)
• Changing on Fallback Status Point shape
• Changing on Enrollment Point shape
• Changing on Enrollment Proxy Point shape
• Changing Cloud Distribution Point with the new Azure logo
• Changing Exchange Connector
• Removing Microsoft Intune Connector
• Removing Out of Band Service Point as it’s deprecated
• Removing Legacy Mobile Device as it’s decomissionned in this version

Download ConfigMgr (SCCM) 1511 Visio Stencils v1.2 from TechNet Gallery

Any feedbacks are appreciated.

This stencil is provided "AS IS" without express or implied warranty of any kind.

En français :
La sortie de System Center Configuration Manager 1511 (vNext) m’amène à mettre à jour les gabarits (Stencils/Shapes) que j’avais créé. La mise à jour couvre les nouvelles fonctionnalités, les suppressions et la mise à jour de certaines formes. Pour rappel, il n’est pas officiel mais se base sur certains modèles aperçus dans les sessions Microsoft. Il se base sur le stencil qu’avait publié la communauté pour SCCM 2007. Le but est de le remettre à jour avec des images un peu plus Web 2.0 et pour cette nouvelle version qui comporte de nouveaux rôles.

Parmi les changements, on retrouve :

• Ajout de l’élément Active Directory
• Ajout de l’élément Azure Active Directory
• Ajout de l’élément AADSync
• Ajout de l’élément ADFS
• Ajout de l’élément Domain Controller
• Ajout de l’élément Service Connection Point
• Ajout de l’élément Exchange 2013/2016 Client Access Server
• Changement de la forme Office 365 shape avec l’officielle
• Changement de la forme Windows Intune avec Microsoft Intune
• Changement de la forme Software Update Point avec une nouvelle puisque des mises à jour tierces peuvent être déployées
• Changement de la forme Fallback Status Point
• Changement de la forme Enrollment Point
• Changement de la forme Enrollment Proxy Point
• Changement de la forme Cloud Distribution Point avec le nouveau logo Azure
• Changement de la forme Exchange Connector
• Suppression de la forme Microsoft Intune Connector
• Suppression de la forme Out of Band Service Point comme le rôle est supprimé
• Suppression de la forme Legacy Mobile Device puisque ce n’est plus present dans cette version

Depuis plusieurs semaines, vous avez pu voir apparaître des stratégies d’accès conditionnel proposées par défaut dans Azure Active Directory. Actuellement en Preview, on retrouve notamment :

• Baseline policy: Require MFA for Admins
• Baseline policy: End user protection
• Baseline policy: Block legacy Authentication
• Baseline policy: Require MFA for Service Management

Je ne détaillerais pas chacune d’entre elle mais la première qui demande l’authentification à facteurs multiples pour les administrateurs, peut être dangereuse. Elle s’applique à tous les comptes qui disposent des rôles :

• Global Administrator
• SharePoint Administrator
• Exchange Administrator
• Conditional Access Administrator
• Security Administrator
• Helpdesk Administration/Password Administrator
• Billing Administrator
• User Administrator

La particularité de ces stratégies est qu’il n’est pas possible d’exclure des utilisateurs. Ainsi, elle s’applique à tous les utilisateurs ayant ces rôles. Ceci inclut : les comptes de service ou les comptes de secours (pour la reprise en main du tenant en cas de problème.

Je vous recommande d’être très précautionneux en activant cette stratégie et peut être créer votre stratégie qui vous permettra d’exclure certains comptes utilisateurs.

Microsoft a communiqué concernant un problème connu entre Windows 10 1809 (October 2018)  et les paramétrages de conformité de firewall de Microsoft Intune.  Les paramétrages de conformité sont notamment utilisés pour l’accès conditionnel afin de vérifier l’état du pare-feu via le centre de sécurité Windows (Windows Security Center). En fonction de l’état du pare-feu Windows ou tiers, la stratégie de conformité marquera le périphérique comme conforme ou non conforme.

Le problème est si vous avez défini ce contrôle de conformité, Windows renvoie l'état true - firewall activé - même si le pare-feu du périphérique n'est pas activé. Cela signifie que les périphériques sans pare-feu pourraient accéder aux ressources de l’entreprise (messagerie, etc.) même si vous souhaitiez bloquer ce comportement. Ceci ne concerne que Windows 10 1809.

Si ce problème vous affecte, il est recommandé de déployer une stratégie de configuration de pare-feu.

Plus d’informations : Firewall policies in Intune.

Ce billet présente la configuration du chiffrement de disques via la technologie BitLocker proposé par Windows 10 dans un mode TPM + PIN. BitLocker est issu d’un projet d’architecture sécurisé initié en 2004 par Microsoft sous le nom de CornerStone et dont le but est d’assurer la protection des informations en cas de perte ou de vol de périphérique. La fonctionnaté est conjuguée avec une autre fonctionnalité Code Integrity Rooting permettant de valider le système de fichiers et Windows afin de permettre le déchiffrement du volume et d’éviter les accès non sécurisés.

Nous verrons la configuration de BitLocker dans un mode TPM uniquement en abordant les phases suivantes :

• Création de la stratégie BitLocker TPM + PIN
• Résultat de la stratégie forcant le chiffrement TPM+PIN sur les machines
• Configuration manuelle du PIN via un Script utilisateur
  • Création du package Microsoft Intune
  • Déploiement du script packagé
  • Résultats
    

Au préalable, vous devez avoir suivi le billet : Prérequis à la gestion de BitLocker

Création de la stratégie

Commencez par créer un groupe qui stockera les machines qui utiliseront BitLocker dans mode TPM + PIN.
Note : les machines de ce groupe ne doivent pas être dans un groupe ciblé par d'autres stratégies BitLocker.

Passez ensuite procéder la création de la stratégie de configuration BitLocker pour des machines Windows 10 dans un mode TPM+PIN. Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Device Configuration – Profiles.

Procédez à la création du profil que vous nommerez selon votre convention de nommage (par exemple : Windows 10 – Configuration BitLocker TPM + PIN). Sélectionnez la plateforme Windows 10 et ultérieur puis Endpoint Protection dans le type de profil. Sélectionnez ensuite la catégorie Windows Encryption.

Les stratégies proposent les éléments suivants :

• Encrypt Devices permet d’activer le chiffrement BitLocker sur les machines cibles. Passez l’option à Require.

Dans les paramètres de base de BitLocker :

• L’option Warning for other disk encryption permet de bloquer la fenêtre visant à avertir qu’il ne faut pas activer BitLocker si d’autres solutions de chiffrement de disque sont utilisées.
  Activez l’option.
• Allow standard users to enable encryption during Azure AD Join est une nouvelle option apparue avec Windows 10 1809 permettant aux utilisateurs sans priviléges d’administration d’activer BitLocker lorsque la machine joint Azure Active Directory. Cette option ne s’applique qu’au scénario Azure AD Join et n’est active que si l’option précédente est bloquée.
  Activez l’option.
• Enfin, les trois dernières options permettent de configurer les méthodes de chiffrements souhaitées pour :
  • Les disques de systèmes d’exploitation
  • Les disques de données fixes
  • Les périphériques amovibles
    Laissez l’option par défaut.

Les paramétres suivants permettent de configurer les paramétrages BitLocker pour les disques système :

• L’option Additional authentication at startup permet de configurer les modes de validation BitLocker (TPM, TPM+PIN, TPM+Dongle, TPM+PIN+Dongle).
  Passez l’option à Require.

• Le paramètre Bitlocker with non-compatible TPM chip permet de définir si vous souhaitez bloquer le chiffrement pour des périphériques qui n’ont pas de puce TPM compatible.
  Passez l’option à Block.

• Compatible TPM startup permet de définir si la puce TPM est autorisé, requise ou non autorisé pour le chiffrement.
  Choisissez Allow TPM.

• L’option Compatible TPM startup PIN permet d’ajouter l’usage (autorisé, requis ou non) d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
  Passez l’option à Allow PIN with TPM.
• L’option Compatible TPM startup key permet d’ajouter l’usage (autorisé, requis ou non) d’un dongle de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
  Passez l’option à Do not allow startup key with TPM.
• L’option Compatible TPM startup key and PIN permet d’ajouter l’usage (autorisé, requis ou non) à la fois d’un dongle et d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
  Passez l’option à Do not allow startup key and PIN with TPM.

• L’option Minimum PIN length permet de définir la taille minimale du PIN lorsque vous avez choisi d’autoriser ou d’imposer l’usage d’un PIN dans l’une des options précédentes.
  Activez l’option et renseignez la taille minimale (4 caractères par exemple).

La sous section OS drive recovery traite des options de restauration du disque système :

• Activez la restauration via l’option OS Drive Recovery
• L’option certificate-based data recovery agent permet d’empêcher l’utilisation de l’agent de récupération de données avec les disques systèmes protégés par BitLocker. Ceci permet d’utiliser un certificat d’une PKI pour réaliser le chiffrement des disques. Ce certificat peut ensuite utilisé pour le déchiffrement des disques.

Note :Cette option est très peu utilisée de par sa complexité, vous trouverez néanmoins plus d’informations sur :  https://blogs.technet.microsoft.com/askcore/2015/10/16/setting-up-data-recovery-agent-for-bitlocker

• Le paramètre user creation of recovery password permet de choisir si l’utilisateur est autorisé ou doit créer un mot de passe de restauration de 48 caractères. Cette option doit être passé à Require 48-digit recovery password pour s’assurer que le mot de passe de restauration est bien créé.
• Le paramètre user creation of recovery key permet de choisir si l’utilisateur est autorisé ou doit créer la clé de restauration de 256 caractères. Cette option doit être passé à Require 256-digit recovery key pour s’assurer que la clé de restauration est bien créée.
• L’option Recovery options in the BitLocker setup wizard permet de choisir si l’utilisateur peut voir et changer les options de restauration dans l’assistant.
• L’option Save BitLocker recovery information to Azure Active Directory définit si les informations de restauration BitLocker doit être stockés dans Azure Active Directory. Activez l’option.
• L’option BitLocker recovery Information stored to Azure Active Directory définit les éléments qui doivent être sauvegardés dans Azure Active Directory :
  • Mot de passe de restauration et packages de clé
  • Mot de passe de restauration uniquement
    Choisissez la valeur Backup recovery passwords and key packages.

• Le paramètre Client-driven recovery password rotation définit le comportement (désactivé, activé pour les périphériques Azure AD ou activé pour les périphériques Azure AD et Hybrid Azure AD) pour la rotation du mot de passe de restauration lorsque celui-ci a été utilisé sur la machine (via Bootmgr ou WinRE). Choisissez l’option Key rotation enabled for Azure AD and Hybrid-joined devices.
• L’option Store recovery information in Azure Active Directory before enabling BitLocker puisqu’elle permet de s’assurer que l’utilisateur ne peut pas lancer le chiffrement de sa machine sans avoir procéder à la sauvegarde des informations de restauration dans Azure AD. Passez l’option à
• Vous pouvez ensuite activer la personnalisation d’un message ou d’une URL affiché lors de la phase de prédémarrage lors de la restauration. Une fois l’option activée, vous avez le choix entre
  • Utiliser le message et l’URL de restauration par défaut
  • Utiliser un message et une URL de restauration vide
  • Utiliser un message de restauration personnalisé
  • Utiliser une URL de restauration personnalisée

Passez ensuite les autres paramètres que nous aborderons dans d'autres billets.

Cliquez sur OK à deux reprises puis Create pour procéder à la création de la stratégie.

Une fois crée, procédez à l’assignement de la stratégie au groupe des machines Windows 10 puis cliquez sur Save.

La stratégie étant créée et assignées, vous pouvez passer à la phase de validation.

Le mode TPM + PIN n’est pas supporté nativement par Microsoft Intune car le chiffrement en mode silencieux de Windows 10 ne permet pas de lancer une fenêtre de configuration du code PIN. L’objectif de la stratégie est de permettre/autoriser (Allow) à la fois les configurations suivantes :

• TPM uniquement
• TPM + PIN

Ainsi la configuration du mode TPM + PIN se fait en deux temps :

• Chiffrement automatique et silencieux en mode TPM uniquement
• Activation du mode TPM + PIN par
  • La configuration manuelle du PIN via une application déployée par l’utilisateur. (C’est cette méthode qui est à privilégier)
  • La préconfiguration d’un code PIN par défaut pour l’utilisateur. Note le changement du PIN requiert les droits d’administration.

Si vous n'utilisez pas une des deux méthodes citées précédemment, alors vous pourrez constater les erreurs suivantes dans l’observateur d’événéments Applications and Services Log – Microsoft – Windows – BitLocker-API avec : « La stratégie de groupe ne permet pas l’utilisation exclusive d’un module de plateforme sécurisée au démarrage ».

Configuration Manuelle du PIN via un script utilisateur

Puisque la stratégie BitLocker (TPM+PIN) ne permet pas par défaut un fonctionnement optimal, nous allons utiliser un script de configuration manuel du code PIN par l’utilisateur en complément de la stratégie hybride utilisant le mode TPM uniquement et TPM + PIN. Pour ce faire, nous utiliserons un script communautaire. Ce script sera déployé sous la forme d’une application Win32 via l’Intune Management Extension.

Microsoft Intune requiert un certain format de fichier à intégrer dans le portail. Pour ce faire, Microsoft propose un outil de packaging qui va créer l’équivalent d’un « zip » pouvant être ingéré dans le service.

Pour ce faire, téléchargez l’outil Microsoft-Win32-Content-Prep-Tool (IntuneWinAppUtil.exe).

Procédez ensuite à la création d’un répertoire correspondant au nom de votre application et deux sous répertoire Sources et Output :

• <APPLICATION>
  • Sources : Dossier utilisé par l’outil comme référence des sources
  • Output : Dossier utilisé par l’outil pour générer le fichier de sortie.

Ouvrez un outil en ligne de commande en administrateur. Positionnez vous dans le dossier et tapez la commande suivante : .\IntuneWinAppUtil.exe -c <Chemin vers les sources de l’application> -o <Dossier de sortie>

Exemple : .\intuneWinAppUtil.exe –c SetBitLockerPIN -s SetBitLockerPin.PS1 -o Output -q

L’outil lance une série d’opération et renvoie l’état Done spécifiant que le package <Application>.intunewin est crée.

Une fois l’application packagée, nous pouvons l’intégrer dans Microsoft Intune afin de réaliser le déploiement obligatoire sur les postes de travail. Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Applications clientes – Applications. Cliquez sur Ajouter

Dans le type d’application, choisissez Application Windows (Win32). Dans Fichier de package d’application, chargez le fichier .intunewin précédemment généré (par exemple : SetBitLockerPin.intunewin)

Cliquez sur OK.

Une fois le package chargé, dans Information sur l’application, spécifiez :

• Le nom de l’application
• La description (utilisée dans le portail entreprise lorsqu’elle est mis à disposition en libre-service)
• L’éditeur
• La catégorie
• Si l’application doit être mise en avant dans le portail
• Et les autres informations : URL d’informations, URL de la déclaration de confidentialité, etc.
• Ainsi que l’icône de l’outil fourni par le développeur

Cliquez sur OK.

Dans la partie Programmes, saisissez :

• La ligne de commande d’installation : PowerShell -ex bypass – file setbitlockerpin.ps1
• La ligne de commande de désinstallation : PowerShell -command cls
• Le mode d’exécution : Système ou Utilisateur

Dans la partie Spécifications, choisissez :

• L’architecture du système : 32bits et 64 bits
• La version minimale du système : Windows 10 1607

Dans la partie Règles de détection, vous devez spécifier les méthodes de détection permettant de détecter l’application. Choisissez entre Utiliser un script de détection personnalisé. Chargez le script de détection DetectBitLockerPin.ps1 et laissez les options par défaut.

Cliquez sur Sauvegarder pour lancer la création

Rafraichissez la page pour valider que le chargement est terminé puis cliquez sur Affectations.

Cliquez sur Ajouter un groupe et sélectionnez le groupe souhaité (par exemple : Intune-périphériques Windows 10 Bitlocker).

Spécifiez le mode de déploiement :

• Obligatoire : Installation de l’application sans actions de l’utilisateur et sans nécessiter le portail d’entreprise
• Optionnel : Installation par l’utilisateur au travers du portail d’entreprise.

Cliquez sur Enregistrer.

Validation de la configuration du Code PIN et du chiffrement

Maintenant que l’outil de configuration du code PIN a été déployé, nous allons pouvoir constater l’expérience utilisateur et le chiffrement. La première étape est de vérifier que la machine a été chiffrée en mode TPM uniquement par le profil de configuration.

Pour ce faire sur une des machines, exécutez la commande manage-bde -Status afin constater le chiffrement et le type de protecteurs de clés : TPM et Mot de passe numérique

Note :Mot de passe numérique ne correspond pas au code PIN mais à la clé de récupération.

Vous pouvez aussi vérifier la remontée de la clé de recupération dans le portail Microsoft Intune en naviguant dans Devices – All Devices. Choisissez le périphérique et ouvrez la partie Recovery Keys. Observez les clés :

Vous pouvez ensuite forcer le mode TPM+ PIN en configurant ce dernier. Pour ce faire sur une des machines, ouvrez le portail d’entreprise. Identifiez l’application correspondant à l’outil de configuration du code PIN :

Cliquez sur Installer

L’application de configuartion du code PIN se lance. L’utilisateur doit rentrer le code Pin choisi :

Après configuration du PIN, nous pouvons exécuter une commande pour valider : Write-Output $(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | Where { $_.KeyProtectorType -eq 'TpmPin' }

La commande doit renvoyer un protecteur :

Une fois le code PIN configuré, vous pouvez redémarrer la machine pour constater que l’utilisateur est invité à renseigner son code PIN pour accéder au système :

Nous verrons dans un autre billet comment :

• Changer un code PIN
• Accéder au système quand l’utilisateur a oublié son code PIN.

Vous pouvez passer à la partie suivante de cette série : Configuration de BitLocker pour chiffrer les disques additionnels