Microsoft a publié le premier Cumulative Update pour SQL Server 2016 SP1. Ce Cumulative Update comprend plusieurs correctifs.

Plus d’informations sur : http://support.microsoft.com/kb/3208177

Télécharger Microsoft® SQL Server® 2016 SP1 Latest Cumulative Update

Microsoft vient de publier un correctif critique pour la déduplication de données dans Windows Server 2016. Cette mise à jour corrige des problèmes de corruption qui peuvent survenir pour des fichiers qui font plus de 2,2 TB.

Microsoft précise que supporte officiellement uniquement des fichiers qui font jusqu’à 1 TB. La raison vient du faire que les performances ne sont pas au niveau des attentes de Microsoft pour des fichiers plus gros et que des charges de travail avec beaucoup d’écriture peuvent atteindre les limites de fragmentation.

Plus d’informations sur : https://blogs.technet.microsoft.com/filecab/2017/01/30/windows-server-2016-data-deduplication-users-please-install-kb3216755/

Télécharger la KB3216755

L'équipe Exchange vient de mettre à jour l'outil Exchange Server Role Requirements Calculator dans sa version 8.4. Cet outil est composé de feuilles Excel permettant d'entrer des données relatives à votre architecture. Cette nouvelle version corrige les bugs avec la fonctionnalité de calcul automatique DAG. En outre, elle apporte le support de ReplayLagMaxDelay et s’assure que la valeur SafetyNetThreshold est configurée à une valeur égale ou supérieure à la somme de ReplayLagTime+ReplayLagMaxDelay.

Le calculateur vous donnera les prérequis de :

• Rôles
• LUN
• Design du stockage
• Input
• Backup
• Log Replication

Plus d’informations sur : https://blogs.technet.microsoft.com/exchange/2017/01/05/released-exchange-server-role-requirements-calculator-8-4/

Télécharger Exchange Server Role Requirements Calculator

Microsoft a publié deux articles visant à introduire la gestion des machines virtuelles dans Microsoft Azure via Azure Resource Manager (ARM). Ces deux articles vous permettront de comprendre :

• Les machines virtuelles
• Les opérations (Ajout de disques, etc.)
• La capture d’une machine
• Le clonage de machine virtuelle

Lire :

• Azure Virtual Machine Internals – Part 1
• Azure Virtual Machine Internals – Part 2

Microsoft Edge commence à être utilisé dans le monde de l’entreprise. Il existe de nombreuses astuces autour de ce navigateur afin d’obtenir des informations concises.

En tapant about:compat dans la barre de navigation, vous obtenez la liste des sites exécutés en mode de compatibilité ou définis via le mode entreprise :

En tapant about:flags dans la barre de navigation, vous obtenez la liste des paramètres de développeurs, et des fonctionnalités expérimentales :

Microsoft vient d’annoncer le support de la solution Surface Enterprise Management Mode (SEEM) par System Center Configuration Manager. Cette solution permet le contrôle et la gestion des paramétrages UEFI pour les Surface Pro 4 et Surface Book.

Le principe est de :

1. Déployer Microsoft Surface UEFI Manager
2. Modifier les scripts SEMM Configuration Manager pour configurer les périphériques.
3. Déployer les scripts

Lire la documentation : Use System Center Configuration Manager to manage devices with SEMM

Télécharger Microsoft Surface UEFI Configurator and Microsoft Surface UEFI Manager

Source : https://blogs.technet.microsoft.com/surface/2017/01/16/introducing-surface-enterprise-management-mode-and-system-center-configuration-manager-support-for-semm/

Microsoft a publié l’agent SIEM (0.87.20) pour permettre l’intégration des activités et alertes provenant du service Cloud App Security dans votre SIEM. Ceci vous permettra de corréler des événements entre les éléments On-Premises et Cloud. Pour rappel, cette solution est issue du rachat d’Adallom et permet de donner de la visibilité, du contrôle et de la sécurité sur les applications Cloud. Vous pouvez obtenir des informations sur l’activité des utilisateurs, détecter des comportements anormaux, identifier les comptes compromis, etc.

L’agent s’exécute sur un serveur afin de récupérer les alertes et activités. La machine qui exécute l'agent doit avoir Java 8.

Télécharger Microsoft Cloud App Security SIEM Agent

Vous souhaitez suivre les évolutions des applications Office proposées sur iPhone ou iPad ? Microsoft vient d’ouvrir le programme Office Insider pour ces périphériques.

Il suffit pour cela de s’inscrire via l’URL suivante : Office Insider for iPhone and iPad

Peter van der Woude (MVP Enterprise Mobility) a publié un outil permettant de gérer les périphériques mobiles à distance avec System Center Configuration Manager. Développé en PowerShell, il permet de partir d’un utilisateur pour récupérer la liste des périphériques mobiles associés et réaliser différentes actions :

• Effacement complet
• Effacement sélectif
• Demande de synchronisation
• Verrouillage à distance
• Réinitialisation du mot de passe
• Etc

Il n’est plus nécessaire de se connecter ou de déléguer l’accès à la console d’administration.

Plus d’informations sur : https://www.petervanderwoude.nl/post/updated-tool-remote-mobile-device-manager/

Télécharger Remote Mobile Device Manager

Microsoft a publié un livre blanc sur la protection des machines en mode Workgroup ou dans des domaines sans relation d’approbation avec System Center Data Protection Manager (DPM). La méthode décrite permet d’utiliser des certificats pour authentifier ces machines. Ce mode de fonctionnement ne supporte uniquement les charges suivantes :

• SQL Server
• Serveur de fichiers
• Hyper-V

Toutes les autres sources de données ne sont pas supportées : Exchange, Client, SharePoint, System State, etc.

Lire le livre blanc

Un de mes clients utilise la gestion de conformité de System Center Configuration Manager pour valider ses serveurs, il voulait pouvoir valider la conformité du serveur vis-à-vis des mises à jour de sécurité déployées. Cette fonctionnalité est disponible nativement mais elle nécessite l’ajout individuellement des mises à jour que vous souhaitez valider. Autant vous dire que cela prend du temps d’ajouter chaque mois les mises à jour à la baseline.

J’ai donc travaillé sur un script permettant de faire le travail côté client. Il liste tous les groupes de mises à jour logicielles déployés et regarde la conformité des mises à jour de sécurité vis-à-vis de ces derniers.

Si le client est à jour, il renvoie True sinon il renvoie les mises à jour manquantes qui peuvent ainsi être consultées dans le rapport local.

Note : Le script se base sur des fonctions créées par Stephane Van Gulick (MVP PowerShell).

Télécharger MissingUpdates.ps1

Il existe différents moyens d’enregistrer les périphériques à l’annuaire Azure Active Directory. L’enregistrement sert à différents éléments comme par exemple pour permettre le Single Sign On.

On retrouve les états suivants :

• Domain Join++ correspond à un état hybride qui s’adresse uniquement aux périphériques Windows. Ces derniers sont alors joints à l’annuaire Active Directory de l’entreprise (On-Premises) mais une GPO vient compléter cet enregistrement pour qu’il ait aussi lieu dans Azure Active Directory. Pour cela, la GPO suivante doit être configurée : Computer Configuration/Policies/Administrative Templates/Windows Components/Device Registration/ Register domain joined computers as devices
• Azure AD join cible uniquement les ordinateurs Windows 10. Dans ce mode de fonctionnement, l’ordinateur est joint à Azure Active Directory et la relation de confiance est alors établie avec Azure Active Directory. Il est possible pour l’administrateur de réécrire le périphérique dans l’annuaire On-Premises (Device WriteBack) via Azure AD Connect. Ceci permet d’assurer le Single Sign-On lorsque le périphérique doit accéder à des ressources internes.
• Workplace Join s’adresse à tout type de périphérique (Windows 10, iOS, Android, etc.). Le périphérique n’est alors pas joint à Azure Active Directory ou Active Directory. L’utilisateur se connecte dessus en utilisant un compte local et l’enregistrement a lieu via le portail d’entreprise (iOS et Android) ou via la fonction Enroll only in device management (Settings -> Accounts -> Access work or school).

Il existe différents moyens de vérifier comment un périphérique est enregistré.

PowerShell

Directement sur le périphérique Windows, vous pouvez utiliser dsregcmd.exe /status :

Via la cmdlet PowerShell du module Azure Active Directory et la commande Get-MsolDevice. Vous pouvez spécifier le paramètre -All pour obtenir tous les périphériques enregistrés.

Vous pouvez aussi cibler un périphérique donner via Get-MsolDevice -Name <NOM DU PERIPHERIQUE>

Portail Azure

Vous pouvez avoir une vision rapide de l’état d’un périphérique via le portail Azure. Il vous faudra par contre connaître l’utilisateur associé. Naviguez dans l’espace Azure Active Directory puis Users and groups. Sélectionnez l’utilisateur en question. Cliquez sur Devices pour afficher les périphériques associés et voir la relation de confiance établie (Domain Joined, AzureAd, Workplace).

L’équipe SCVMM a publié un billet sur son blog afin de détailler comment dépanner les erreurs ‘Unsupported Cluster Configuration’ pour System Center 2012 R2 Virtual Machine Manager (SCVMM). Ces erreurs surviennent dans la console SCVMM pour des machines virtuelles hébergées sur un cluster Hyper-V.

Lire le billet : Troubleshooting ‘Unsupported Cluster Configuration’ errors in Virtual Machine Manager 2012 R2

Microsoft a publié un article dans la documentation sur les recommandations en matière de puce TPM pour Windows. La puce TPM est utilisée par bon nombre de fonctionnalités : UEFI, BitLocker, Microsoft PassPort, Windows Hello, etc. Microsoft recommande activement l’utilisation de la norme TPM 2.0 car cette dernière apporte une standardisation stricte, le support d’autres algorithme que SHA1 et RSA. La norme 2.0 offre par exemple une expérience consistante puisque c’est bel et bien Windows qui configure les stratégies de verrouillage afin d’assurer une protection contre certaines attaques.

Depuis le 28 Juillet 2016, tous les nouveaux modèles doivent implémenter des puces TPM 2.0.

L’article détaille aussi les fonctionnalités Windows et les normes nécessaires :

Plus d’informations sur : https://technet.microsoft.com/en-us/itpro/windows/keep-secure/tpm-recommendations

Microsoft a publié une nouvelle version du média d’installation de System Center Configuration Manager 1606.

Ancienne version publiée avant le 15 décembre :
mu_system_center_configuration_manager_endpoint_protection_version_1606_x86_x64_dvd_9384954.iso

Version publiée après le 15 décembre : mu_system_center_configuration_manager_endpoint_protection_version_1606_x86_x64_dvd_9678361.iso

La nouvelle version corrige certaines routines dans l’interface de l’installeur pour notamment permettre la mise à niveau à partir de System Center 2012 Configuration Manager SP1 et R2 RTM.

C’est une erreur qui est devenue assez commune avec les clients Windows 7 équipés d’une version récente de l’agent Windows Update. Lorsqu’une évaluation des mises à jour est initiée par System Center Configuration Manager, cette dernière échoue avec l’erreur suivante dans windowsupdate.log :

WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>

WARNING: Send failed with hr = 80072ee2.

Sur le serveur Software Update Point, vous observez des événements comme suit :

Log Name: Application

Source: ASP.NET 2.0.50727.0

Event ID: 1309

Task Category: Web Event

Event code: 3001

Event message: The request has been aborted.

Exception type: HttpException

Exception message: Request timed out.

Si vous observez des événements 1309 et 5117 dans le journal système, cela signifie qu’il y a un problème d’allocation mémoire pour le pool d’application WSUS dans IIS. Vous devez donc augmenter ce dernier : https://blogs.technet.microsoft.com/configurationmgr/2015/03/23/configmgr-2012-support-tip-wsus-sync-fails-with-http-503-errors/

Source : https://blogs.technet.microsoft.com/configmgrdogs/2016/11/02/windows-update-error-80072ee2-wsus

Michael Niehaus (MSFT) a publié une vidéo explicative du modèle Windows-as-a-Service proposé avec Windows 10. Cette vidéo explique la cadence de mise à niveau, les problèmes que cela résoud, etc.

On parle souvent de la fin du support des produits mais l’interconnexion que ces produits peuvent avoir avec des services Cloud peut avoir un support différent. C’est le cas pour System Center Configuration Manager 2012 SP1 et R2 avec l’interconnexion avec Microsoft Intune. Le support de ces deux produits a été arrêté en Juillet 2016. Néanmoins le connecteur Intune qui permet la gestion hybride arrive en fin de support à partir du 10 Avril 2017.

Après cette date, le connecteur ne pourra plus se connecter.

Dans ce cas, vous devez considérer la migration vers :

• System Center 2012 Configuration Manager SP2
• System Center 2012 R2 Configuration Manager SP1
• System Center Configuration Manager Current Branch

Je suis tombé sur une info intéressante publiée par Matt Shadbolt (Senior PM - Enterprise Client and Mobility – Intune) concernant Windows 10 1607 et plus. L’opération d’enregistrement d’un périphérique dans une solution d’administration peut être compliquée lorsqu’elle est réalisée par une utilisateur. En prenant Windows 10, l’utilisateur doit aller dans Settings > Accounts > Access Work or School > Enroll only in device management.

Matt nous donne une astuce visant à créer un lien hypertexte (envoyé par email) afin de rediriger automatiquement l’utilisateur vers cet espace. Il suffit pour cela d’utiliser le lien : ms-device-enrollment:?mode=mdm

Source : https://blogs.technet.microsoft.com/configmgrdogs/2016/10/07/email-an-mdm-enrollment-link-for-windows-10-users/

Microsoft a introduit en octobre dernier son nouveau modèle de mise à jour des anciens systèmes (Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012, et Windows Server 2012 R2). Après une première adaptation liée au comportement de remplacement des mises à jour et des règles d’application des mises à jour cumulatives et de sécurité uniquement, Microsoft introduit un nouveau changement.

A partir de février 2017, les mises à jour de sécurité uniquement ne comprendront plus les correctifs de sécurité relatifs à Internet Explorer. Le but est de réduire la taille de ces packages. Les packages de correctifs cumulatifs ne changent pas et intègrent toujours les mises à jour d’Internet Explorer.

https://blogs.technet.microsoft.com/windowsitpro/2017/01/13/simplified-servicing-for-windows-7-and-windows-8-1-the-latest-improvements/

L’équipe VMM a publié un billet sur comment restaurer une Gateway Hyper-V Network Virtualization (HNV) qui a été déployée par System Center Virtual Machine Manager 2016 (VMM 2016). Il revient sur deux méthodes :

• Comment restaurer une gateway après un crash des deux machines virtuelles qui supporte la gateway
• Comment restaurer une gateway après un crash d’une des machines virtuelles qui supporte la gateway.

Lire (en anglais) How to recover an HNV Gateway that was deployed through Microsoft VMM 2016

Daniele Grandini (MVP) a mis à jour (1612) son Management Pack pour l’Operations Management Suite (OMS) afin de superviser les éléments via System Center Operations Manager.

Cette version ajoute le support des alertes basées sur les métriques.

Pour rappel, on retrouve :

Azure Log Analytics :

• Les systèmes qui ne renvoient pas de données
• La supervision des alertes génériques

Azure Backup :

• Supervision de l’âge des points de restauration
• Le taux d’échec des Jobs
• Les jobs de sauvegarde avec un temps d’exécution long

Azure Backup Server :

• Supervision d’Azure Backup Server comme un serveur DPM standard

Azure Automation :

• Etat d’exécution des runbooks
• Les runbooks avec une programmation ratée
• L’expiration du Wbhook
• Les runbooks avec un temps d’exécution allongé.

Plus d’informations sur : https://nocentdocent.wordpress.com/2016/06/03/announcing-msoms-management-pack/

Télécharger OMS-Management Pack

L’équipe Windows Server répond à une question récurrente que l’on peut rencontrer chez nos clients qui commencent à déployer Windows 10. Pourquoi les machines essayent d’atteindre Internet alors qu’elles sont gérées avec WSUS ou System Center Configuration Manager ?

Il y a deux raisons à ceux-ci :

1. Depuis Windows 10 1511 et 1607, Microsoft a introduit Delivery Optimization. Cette solution permet du P2P. Elle communique directement avec les services de Microsoft pour permettre aux clients de savoir où récupérer le contenu. WSUS supporte Delivery Optimization ce qui n’est pas le cas de Configuration Manager.
2. La seconde raison vient du fait que les clients Windows 10 utilisent l’agent Windows Update pour mettre à jour les applications du Windows Store. De ce fait, les machines gérées par WSUS ou SCCM vont dialoguer avec des services en ligne de Microsoft pour garantir la mise à jour de ces applications. Ceci peut générer un trafic important puisque les clients peuvent récupérer des mises à jour d’applications de tailles importantes.

Quelles sont les recommandations ?

• La première recommandation est de configurer Delivery Optimization via une GPO ou MDM pour privilégier les échanges sur le LAN (over LAN) afin qu’ils puissent récupérer sur un autre client le contenu déjà récupéré.
• La seconde recommandation est bien entendu d’autoriser les URLs adéquates sur vos équipements (proxy, etc.) :
  • *.download.windowsupdate.com
  • *.au.windowsupdate.com
  • *.tlu.dl.delivery.mp.microsoft.com
• La troisième recommandation est de ne pas appliquer les paramétrages de gestion Windows Update for Business pour ajourner les mises à jour.
• La dernière recommandation est bien entendu de ne pas désactiver le Windows Store puisque ceci bloque toute mise à jour d’applications. Outre le fait que vos applications ne disposeront pas des dernières fonctionnalités, des risques de sécurité peuvent être présentés par une application non à jour. Note : Si vous ne souhaitez pas laisser l’utilisateur accéder à la partie publique du Store, Microsoft a intégré un paramétrage dans la version 1607 permettant de brider l’accès à la partie Windows Store for Business.

Plus d’informations sur l’article : https://blogs.technet.microsoft.com/windowsserver/2017/01/09/why-wsus-and-sccm-managed-clients-are-reaching-out-to-microsoft-online/

Microsoft a mis à jour la page des Technical Preview de System Center Configuration Manager pour inclure la liste des fonctionnalités introduites. Cette page comporte un tableau avec la version concernée et dans quelle version Current Branch elles ont été intégrées.

Lire Capabilities delivered in technical previews

Microsoft vient de publier une mise à jour du pack d’administration ou Management Pack (MP) pour la supervision des systèmes alternatifs en version 7.6.1067.0. L’agent UNIX/Linux passe en version 1.6.2-337. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Cette version apporte le support de System Center 2016 Operations Manager.

Pour rappel, voici les fonctionnalités du management pack :

• Supervision d’AIX 5.3, 6.1 et AIX 7
• Supervision de HP-UX 11iv2 PA-RISC, HP-UX 11iv2 IA64, HP-UX 11iv3 PA-RISC, et HP-UX 11iv3 IA64
• Supervision de Red Hat Enterprise Linux Server 4 (x64), Red Hat Enterprise Linux Server 5 (x64) et Red Hat Enterprise Linux Server 6 (x64), Red Hat Enterprise Linux Server 7 (x64)
• Supervision de Solaris 9, Solaris 10 et Solaris 11
• Supervision de SUSE Linux Enterprise Server 9, SUSE Linux Enterprise Server 10 SP1, SUSE Linux Enterprise Server 11, et SUSE Linux Enterprise Server 12
• Supervision de CentOS 5, CentOS 6, et CentOS 7
• Supervision de Debian GNU/Linux 5, Debian GNU/Linux 6, Debian GNU/Linux 7, et Debian GNU/Linux 8
• Supervision de Oracle Linux 5, Oracle Linux 6 et Oracle Linux 7
• Supervision d’Ubuntu Linux Server 10.04, Ubuntu Linux Server 12.04, Ubuntu Linux Server 14.04, et Ubuntu Linux Server 16.04

• Permet l’installation du Management Pack Cross Platform Audit Collection Services

Télécharger System Center Monitoring Pack for UNIX and Linux Operating Systems