Rent for Life

Déploiement de Windows 7 x86_64 – Etape 1

nov 24

Publié par cedric dans Windows 7 | 3 commentaires

Dans ce premier article, j’aborde de manière très pragmatique le déploiement automatisé de Windows 7 X86_64 Enterprise English + Pack Français.

Microsoft Propose 4 stratégies de déploiement en fonction de la taille de l’entreprise et des contraintes de temps de mise en oeuvre par rapport aux bénéfices attendus.

ces 4 stratégies se nomment :

High-touch with Retail media : Automatisation de l’installation à l’aide d’un fichier de réponse en utilisant le DVD d’origine de Windows 7
High-touch with standard image : Installation et capture d’une image contenant toutes les applications et driver requis, l’installation est alors reproduite et automatisé grâce au media d’installation modifié et un fichier de réponse
Lite-Touch, High-Volume Deployment : Introduction des outils MDT 2010 qui nécessitent un Serveur de fichier Windows 2003 ou 2008 (2008 R2 recommandé) et un DVD VL de Windows 7
Zero Touch, High-Volume Deployment : Ajout de configuration Manager qui nécessite une infrastructure Windows Complète (AD, DS, Configuration Manager 2007 R2) et un serveur de fichier Windows 2008 R2

Source : http://technet.microsoft.com/

Nous abordons dans ce premier article les techniques utilisant la stratégie High-touch with standard image, mais nous verrons que l’on peut l’améliorer pour limiter au maximum l’interaction nécessaire au déploiement de Windows 7.

Recommandation : attention à ne pas vouloir ré-inventé la roue. Si vous souhaité vraiment automatisé l’installation de Windows 7sans intervention, penché vous sur MDT 2010 et Configuration manager 2007. Si bien-sur vous avez un problème de budget cette série d’articles peut vous intéresser. Je pense également que dans tous les cas, la compréhension des étapes suivantes est nécessaire avant de se lancer sur des architectures plus complexes.

Matériel Requis

Un PC x86_64 / 2 Gb de RAM avec Windows 7 ou Windows Vista SP2 déjà installé (PC Technicien)
Un second PC x86_64 / 2Gb de RAM qui peut être réinstallé (PC Test)

Si vous n’avez qu’un seul PC à votre disposition, vous pouvez installer un outil de virtualisation tel que VMWare Server/Sun Virtual Box ou MS virtual PC , il vous faut alors au minimum 4GB de RAM sur votre PC technicien

Logiciels Requis

DVD Windows 7 Enterprise X86_64
DVD Language Pack
Windows AIK (téléchargeable depuis le site de Microsoft)

Création de l’environnement WinPE

Installez Windows AIK sur le PC Technicien, ce logiciel vous fournira entre autre tous les outils nécessaire à la création d’une image de boot et d’un fichier de réponse automatique (voir ci dessous).

Pour créer un CD de boot WinPE exécutez les commandes suivantes (en tant qu’administrateur) depuis l’outil de ligne de commande qui se trouve dans votre menu Démarrer/Microsoft Windows AIK/Deployment Tool Command prompt .

Pour créer une architecture X86_64

copype.cmd amd64 c:\winpe_64
copy "c:\program files\Windows AIK\Tools\amd64\imagex.exe" c:\winpe_64\iso\
copy c:\winpe_64\winpe.wim c:\winpe_64\ISO\sources\boot.wim
cd C:\Program Files\Windows AIK\Tools\amd64\
oscdimg -n -bc:\winpe_64\etfsboot.com c:\winpe_64\ISO c:\winpe_64\winpe_64.iso

Note : Pour une architecture X86

copype.cmd x86 c:\winpe_x86
copy "c:\program files\Windows AIK\Tools\x86\imagex.exe" c:\winpe_x86\iso\
copy c:\winpe_x86\winpe.wim c:\winpe_x86\ISO\sources\boot.wim
cd C:\Program Files\Windows AIK\Tools\x86\
oscdimg -n -bc:\winpe_x86\etfsboot.com c:\winpe_x86\ISO
c:\winpe_x86\winpe_x86.iso

Création de l’image personnalisée Windows 7

A l’aide de votre DVD Windows 7,

Installez Windows 7 sur votre Second PC ou dans une machine virtuelle
Installez un langage pack (j’ai choisis le fr-FR)
Installez les mises à jour
installez les applications communes à tous vos PC (Je conseille d’installer le strict minimum lors de cette première étape.)
Redémarrez si nécessaire

Ce PC sera notre image de base. Exécutez la commande suivante pour préparer la masterisation de ce PC (ou machine virtuelle):

c:\windows\system32\sysprep\sysprep.exe /generalize /audit /shutdown

Capture de l’image

Après l’arrêt du PC , Redémarrez sur l’image Winpe_64.iso précédemment créer sur votre PC, soit en indiquant le fichier ISO comme image CD/DVD de la machine virtuelle, soit un gravant un CD pour un boot sur votre 2^nd PC.

Après le démarrage sur l’image WinPE vous devriez avoir les lecteurs suivants:

C: Partition de Boot
D: Partition principal Windows 7
E : CD de boot
X : Windows PE (en mémoire)

Exécutez la commande suivante pour faire une capture de l’image Windows 7 :

e:\imagex.exe /capture d: d:\install.wim "Win7_x64 Install" /compress fast /verify

win7imagex

A la fin de la création du fichier image, connectez vous à un partage réseau préalablement créé et sauvegardez le fichier install.wim

net use y: \\network_server\share votre_password /user:domain\username
copy d:\install.wim y:\

Préparation d’un dossier de déploiement

Sur votre serveur de fichier, créez un dossier \\network_server\share\distribution

Copiez le contenu du DVD orignal de Windows 7, et enlever l’attribut lecture seule sur tous les fichiers et dossiers. Remplacez le fichier \source\install.wim par votre fichier install.wim précédemment crée.

A partir du PC technicien, lancez le programme Start Menu\Programs\Windows AIK\ Windows System Image Manage. Ce programme va vous permettre de créer un fichier XML de réponse et de configurer un dossier de distribution.

Allez dans le menu Tools/create a distribution share et sélectionnez le dossier \\network_server\share\distribution. ceci va créer différents sous dossiers : $OEM$ Folders, Out-of-the-Box Driver, Packages.

Allez dans le menu File et Select a distribution Share. Sélectionnez a nouveau le dossier \\network_server\share\distribution

Allez dans le menu File et Select Windows Image. Sélectionnez votre fichier \\network_server\share\distribution\source\install.wim

Nous allons a présent créer un fichier de réponse pôur cette nouvell image Install.wim . Cette tâche étant la plus pénible, il est intéressant de partir d’un fichier déjà fournit par le WAIK. Vous en trouvez un dans le dossier C:\Program Files\Windows AIK\Samples.

Pour notre exemple j’ai utilisé le fichier autounattend_sample.xml que j’ai renommé en unattened_x64.xml et j’ai ensuite remplacer toutes les occurrences processorArchitecture=”x86″ par processorArchitecture=”amd64″ à l’aide d’un rechercher/remplacer

Enfin allez dans le menu File Open Answer File et selectionnez le fichier C:\Program Files\Windows AIK\Samples\unattend_X64.xml. à la demande d’association de fichier à votre image, répondez oui.

Vous devriez obtenir ceci :

WSIM

Le plus gros du travail commence, valider les entrées du fichier de réponse. Je ne vais pas détailler chaque entrées car le plus simple est de lire la documentation mais j’aborderai quelques point de customisation dans un autre article.

Pour ajouter un driver à notre distribution, il suffit de créer un dossier sous Out-of-the-box Driver et de copiez les fichiers inf dedans, ensuite de retour sous WSIM, faire un clic droit sur ce dossier et sélectionnez Insert Driver Path to Pass1 WindowsPE.

WSIM2

Le driver sera alors copié lors de l’installaltion de notre distribution personnalisée. Vous pouvez spécifie le user/password à utiliser pour l’accès au dossier partagé.

WSIM3

Terminez par la validation de votre fichier an allant dans le menu tools/Validate Answer file

Sauvegarder votre fichier unattend.xml dans votre dossier \\network_server\share\distribution\

Déploiement de l’image personnalisée

Redémarrez sur l’image Winpe_64.iso précédemment créer sur votre PC, soit en indiquant le fichier ISO comme image CD/DVD de la machine virtuelle, soit un gravant un CD pour un boot sur votre 2^nd PC.

A l’invite de commande, connecté votre lecteur Y :

net use y: \\network_server\share votre_password /user:domain\username

Placez vous sur votre dossier y:\distribution et lancez la commande

setup /unattend:unattend.xml

Tags: WAIK, Windows 7

Awstat – Installation sur FC 11

oct 22

Publié par cedric dans Monitoring | Aucun commentaire

Bonjour,

Aujourd’hui je vais vous présenter l’installation du logiciel Awstat sur Fedora Core 11.

Pour ceux qui ne le connaisse pas encore, awstat est un logiciel qui vous fournit des statistiques sur les visiteurs de votre Site Web en utilisant les fichiers log d’apache.

le site Web officiel est : http://awstats.sourceforge.net/ ou vous pourrez trouver quelques screenshots.

la partie installation est particulièrement simple sous FC11 grâce au gestionnaire de packages YUM :

yum install awstat

un petit

rpm -ql awstats

permettra de recuperer la liste des fichiers installés, en résumé nous avons :

/etc/awstats : contient les fichiers de configuration
/etc/cron.hourly/awstats : fichier de configuration des taches Awstats
/etc/httpd/conf.d/awstats.conf : le fichier de configuration du site Web
/usr/share/awstats/ : le dossier contenant les script et le site web de Awstats (wwwroot)
/usr/share/doc/awstats-x.x : la documentation
/var/lib/awstats : dossier qui contiendra les base de donnée des sites analysés

Nous allons nous intéresser au fichier /etc/httpd/conf.d/awstats.conf :

le fichier par defaut contient ceci :

<Directory "/usr/share/awstats/wwwroot">
 Options None
 AllowOverride None
 Order allow,deny
 Allow from 127.0.0.1
</Directory>
# Additional Perl modules
<IfModule mod_env.c>
 SetEnv PERL5LIB /usr/share/awstats/lib:/usr/share/awstats/plugins
</IfModule>

cette configuration fait que le site http://xx.xx.xx.xx/awstats/ n’est accessible que depuis le serveur exécutant Awstats.

On peut déjà ici faire une première recommandation : est-il opportun d’exécuter Awstats sur votre serveur Web ? si vous disposer de plusieurs serveurs, vous avez peut-être intérêt à l’exécuter sur un autre serveur qui n’est pas relie a internet et ainsi limiter les risques de failles de sécurités.

pour cela vous avez plusieurs solutions :

Créer un batch qui rapatrie les log par scp toutes les heures grâce à crond
utiliser Rsync pour dupliquer le dossier des log sur un autre serveur (pensez à faire du rsync over ssh)
utiliser Syslog-NG pour centraliser vos log

une fois le problème de l’emplacement des log réglé, ajouter ceci dans le fichier awstats.conf pour autoriser la consultation des stats depuis un réseau ou depuis une autre machine

# réseau 192.168.5.1 à 192.168.5.254
Allow from 192.168.5.0/24
# ip 192.168.5.1 uniquement
Allow from 192.168.5.1

Maintenant demarrons la configuration du fichier de conf de awstats.

premierement il convient de modifier le type de fichier log geneé par votre serveur Web

dans la configuration d’apache (/etc/httpd/conf/httpd.conf) ou dans votre virtualhost (/etc/httpd/conf.d/myserver.conf) assurez vous que vous généré des log de type combined en ajoutant ou modifiant la ligne :

CustomLog /var/log/httpd/myserver-access_log combined

Deuxièmement créons un fichier de configuration awstats.myserver.conf awstats dans le dossier /etc/awstats

Postfix – Lutter contre le Backscatter

oct 21

Publié par cedric dans Email, Sysadmin | Aucun commentaire

Comme certains d’entre vous j’utilise Postfix comme passerelle SMTP. Postfix récupère les e-mail pour mes différents domaines ou les rapatrie depuis mes comptes pop3/imap grâce à fetchmail. Ils sont ensuite filtrés par Amavisd-new et spamassasin avant d’etre renvoyés vers le serveur Exchange.

Je ne parlerai pas de la sécurisation/configuration de Postfix pour éviter de transformer votre serveur SMTP en open relay et finir dans les listes de SMTP blacklistés. Pour cela je vous invite à parcourir la documentation et en particulier le paramètre relay_domains du fichier main.cf

Nous nous intéresserons ici au phénomène de Backscatter. Cette technique consiste à utiliser votre serveur SMTP pour envoyer un message d’erreur à une tierce personne. Pour être plus précis on envoie un SPAM a une adresse de votre domaine (cet email semble provenir de la victime).

2 réactions sont attendues par le spammer :

Votre serveur accepte l’email et vous recevez le SPAM
Votre serveur refuse l’email et renvoie un message d’erreur ou de refus à l’expéditeur <from>présumé (la victime)

Dans un monde idyllique, la réaction n°2 de votre serveur SMTP est normale. En effet si un mail lui est adressé et que pour différentes raisons (l’adresse email n’existe pas, detection comme SPAM, ect…) il va le rejeter et en informer l’expéditeur grâce à un message d’erreur.

Certains utilisent donc cette technique pour spammer leur victime de messages d’erreurs et par la même occasion utilisent votre bande passante et augmentent le risque de voir votre serveur blacklisté suite aux différentes plaintes des victimes.

Pour lutter contre cela, il convient de mettre en place quelques mesures de bases. la première solution (qui est la plus efficace) consiste à rejeter la connexion SMTP avant que l’émail soit soumis à votre serveur pour traitement. En effet à cette étape nous parlons directement avec le serveur SMTP du spammer, il faut donc lui annoncé tout de suite la couleur et eviter toute confusion possible .

Pour cela nous allons utiliser les solutions offertes par postfix et en particulier la section smtp_recipient_restriction

Première Action : A l’aide des directives “reject_unknown_helo_hostname” et “reject_non_fqdn_helo_hostname“, nous allons tout d’abord refuser toute connexion de serveurs SMTP n’ayant pas d’enregistrements DNS A ou MX valides ou qui ne fournissent pas un nom DNS complètement qualifié lors de la commande HELO ou EHLO

dans votre fichier main.cf ajoutez ou complétez la ligne suivante à l’aide de ces directives :

smtpd_recipient_restrictions = reject_unknown_helo_hostname,  reject_non_fqdn_helo_hostname

pour Postfix < 2.3

smtpd_recipient_restrictions = reject_unknown_hostname, reject_non_fqdn_hostname

Exemple :

Oct 21 14:12:47 loi-fw02 postfix/smtpd[27904]: connect from unknown[117.2.12.221]
Oct 21 14:12:48 loi-fw02 postfix/smtpd[27904]: NOQUEUE: reject: RCPT from unknown[117.2.12.221]: 450 <be_den_lovely>: Helo command rejected: Host not found; from=<xxxcleod_ksn@thegtc.co.uk> to=<xxxxx@xxxxx.com> proto=SMTP helo=<be_den_lovely>
Oct 21 14:12:49 loi-fw02 postfix/smtpd[27904]: disconnect from unknown[117.2.12.221]

Cela suppose une bonne redondance de vos serveur DNS, car en cas de perte de résolution DNS vos émails entrant seraient tous rejetés ! il existe des solutions sur lesquelles je reviendrai ultérieurement.

Deuxième action : Nous n’acceptons les e-mail que pour les comptes dont nous avons la gestion et pas pour tout le domaine. En effet, la solution de base consiste à lister tous les domaines que nous acceptons grâce à la section relay_domains de main.cf. Mais voici ce qui peut arriver rapidement : vous commencez à recevoir des dizaines d’e-mail à l’attention de <jsmith@votredomaine.com>, ces email sont donc acceptés, traités puis rejetés car l’adresse de destination n’existe pas. Le message d’erreur part alors vers la victime.

Pour limité ce phénomène et par la même occasion le temps de traitement et ainsi optimiser les ressources de votre serveur, nous allons utiliser la directive local_recipient_maps du fichier main.cf

Générez un fichier contenant toutes les adresses mail valides

Fichier relay_users :

monadrresse@mondomaine.com     OK

Exécutez ensuite depuis votre dossier /etc/postfix la commande :

 Postmap /etc/postfix/relay_users

et ajoutez ceci dans votre fichier de configurtation

relay_recipient_maps = hash:/etc/postfix/relay_users
unknown_local_recipient_reject_code = 550

Enfin rechargez postfix :

service postfix reload

Cette configuration est très efficace mais nécessite de maintenir à jour le fichier, de régénère le fichier hash grace a postmap à chaque ajout/suppression d’un utilisateur. Ce qui devient très contraignant dans une entreprise avec beaucoup d’utilisateurs et des mouvements réguliers (ajout/suppression d’email).

une idée a creuser est la validation grâce a une connexion LDAP vers votre Serveur Active Directory.

Enfin 3eme Action : mettre en place la consultation des bases de données des serveurs SMTP blacklistés

Tags: mail postfix lutte anti spam backscatter

Renaissance !

oct 9

Publié par cedric dans Divers | Aucun commentaire

Aujourd’hui c’est mon anniversaire, alors pour fêter cela (je suis informaticien !) et bien je mets à jour mon blog avec cette dernière version de WordPress. Si je suis courageux je regarderai pour un thème digne de ce nom

j’en profiterai pour déplacer les articles qui étaient présents sur le site www.mariemarthe.com que je devrait reprendre/recréer avec quelques rubriques qui me tiennent à cœur : Administration Système/VOIP/Domotique/Bourse/mon CV (je cherche un Job !)

Allez ce sera tout pour aujourd’hui

A+

Configuration d’un téléphone Cisco 7940/7960 SIP pour l’utilisation d’un compte SIP Free

mai 6

Publié par cedric dans VOIP | 10 commentaires

Introduction

Ce document propose une courte présentation de la configuration d’un téléphone Cisco 7940/7960 doté d’un firmware SIP avec un compte SIP de l’opérateur Free. Il ne couvre pas la mise a jour du firmware ou le passage d’un firmware MGCP/SCCP vers SIP. Les procédures et noms de menu se basent sur le firmwareP0S3-08-9-00

Étape 1 – Activez votre compte SIP
Allez sur le site http://subscribe.free.fr/login/

Entrez votre Identifiant/mot de passe et cliquez sur Gestion de mon compte SIP

Notez votre nom d’utilisateur, votre identifiant et votre mot de passe

Pour information, les comptes SIP de Free ayant été piraté, les appels internationaux depuis un compte SIP ne sont plus possible actuellement. Afin de renforcer la sécurité de ces comptes, pensez à mettre un mot passe complexe et pensez à le changer régulièrement.

Étape 2 – Configuration de votre téléphone Cisco 7940/7960
1.Déverrouilliez votre téléphone
Appuyez sur le bouton Settings/Paramètres
Allez dans le Menu 9 Unlock Config
« Enter Password » apparait sur l’écran.
Entrez le mot de passe : le mot de passe par défaut est cisco
Appuyez sur le bouton Accept pour valider.

Attention: si vous sortez du menu Settings/Paramètres, votre téléphone sera à nouveau bloqué, vous devrez alors suivre à nouveau cette procédure pour débloquer le téléphone et permettre la modification des parametres

2.Vérifier le configuration IP de votre téléphone
Allez dans le menu 3 – Network Settings
Si vous avez un serveur DHCP sur votre réseau, vous devriez obtenir une adresse IP indiquez sue le sous menu 5 IP Address

3.Configurez votre ligne SIP
Allez dans le menu 4 SIP Configuration
Sélectionnez la ligne à configurer (1 Line 1 settings par exemple) et appuyez sur select

Selectionnez 1 Name puis appuyez sur Edit. Entrez le numéro de la ligne Free 09xxxxxxxx. Validez la modification en appuyant sur Accept.

Selectionnez 2 Shortname, puis appuyez sur Edit. Entrez le nom de la ligne qui apparaitra sur le téléphone (Exemple « Free SIP »). Validez la modification en appuyant sur Accept.

Sélectionnez 3 Authentication Name, puis appuyez sur Edit. Entrez le numéro de la ligne Free 09xxxxxxxx. Validez la modification en appuyant sur Accept.

Sélectionnez 4 Authentication Password puis appuyez sur Edit. Entre le mot de passe du compte SIP. Validez la modification en appuyant sur Accept.

Sélectionnez 5 Display Name puis appuyez sur Edit. Entrez le numéro de la ligne Free 09xxxxxxxx. Validez la modification en appuyant sur Accept.

Sélectionnez 6 Proxy Address puis appuyez sur Edit. Entrez « freephonie.net » . Validez la modification en appuyant sur Accept.

4.Configuration du bouton messagerie
A partir du menu 4 SIP configuration, allez sur le menu 7 Messages URI, appuyez sur Edit et modifier le « New message URI » a **1. Validez la modification en appuyant sur Accept.

5.Configuration des appels entrant

A partir du menu 4 SIP configuration

Sélectionnez 10 Register with proxy : appuyez sur YES.
Sélectionnez 22 Outbound Proxy: Entrez freephonie.net.
Sélectionnez 24 Nat Enable: appuyer sur YES.
Sélectionnez 25 NAT Address : entrez l’adresse IP public de votre access internet.
Sur votre router/firewall, faites un redirection du port 5060 vers l’adresse IP de votre Téléphone

6.Redémarrer votre téléphone

Tags: Cisco 7940 SIP, Free