paramètres régionaux: le grand chelem

par

J’ai récemment accumulé pas mal de problèmes liés aux paramètres régionaux (développeurs, si vous me lisez…). Avoir un OS en anglais ne suffit plus à priori à s’éviter les ennuis! Les nominés sont:

SCOM 2007:

  • Dell: dans leur Management Pack, un vbscript (DellStorageDiscovery.vbs) fait un cint avec un « . » codé en dur, ce qui n’est pas le séparateur décimal en Français. Bug remonté, en cours de correction par Dell
  • ISA 2006: le Management Pack récupère la date d’installation de la ferme ISA depuis ADAM sous la forme MM/DD/YYYY. Si ISA a été installé après le 12 du mois, cela ne fonctionne pas (blocage à l’insertion de la valeur en base de données SCOM). Bug remonté, en cours de correction par Microsoft

MBSA: Certaines catégories sont reprises en français (depuis un XP FR), et les accents é;à… se transforment en caractèrent XML invalides. Solution: correction manuelle via un éditeur de texte…

Broadcom: problème de date comme évoqué dans un précédent billet

Pour Dell, voici la fonction incriminée (en rouge le problème):

Function CheckVBScriptEngine()
Dim bIsCompatV,  var
Const VBSCRIPT_MIN_VERSION = 5.6
var = ScriptEngineMajorVersion & « . » & ScriptEngineMinorVersion
If (CInt(var)) < VBSCRIPT_MIN_VERSION Then
bIsCompatV = False
Else
bIsCompatV = True
End If
If Err <> 0 Then
CheckVBScriptEngine  = Err.Number
Else
CheckVBScriptEngine = bIsCompatV
End If
End Function

Ma version :
Function CheckVBScriptEngine()
Dim bIsCompatV,  var, sep, WshShell
Set WshShell = WScript.CreateObject(« WScript.Shell »)
sep = WshShell.RegRead(« HKCU\Control Panel\International\sDecimal »)
 Const VBSCRIPT_MIN_VERSION = 5.6
var = ScriptEngineMajorVersion & sep & ScriptEngineMinorVersion
If (CInt(var)) < VBSCRIPT_MIN_VERSION Then
bIsCompatV = False
Else
bIsCompatV = True
End If
If Err <> 0 Then
CheckVBScriptEngine  = Err.Number
Else
CheckVBScriptEngine = bIsCompatV
End If
End Function
Pour ISA, le workaround temporaire est de créer un compte dédié, se logguer avec, mettre les paramètres régionaux en anglais, et de l’utiliser en tant que Action Account dans SCOM.

Pour le MBSA, l’erreur se présente sous cette forme:

erreur MBSA
erreur MBSA

DSI++: Toujours utiliser les fonctions du langage ou Framework afin d’utiliser les paramètres régionaux. Ne pas hésiter à tester vos logiciels avec plusieurs langues s’ils ont une vocation internationnale.

Dedibox / VMware Server / VM / Ip publique

par

Cet article fait suite à un précédent sur Dedibox + Linux + VMware Server

Si vous voulez donner une adresse IP publique à vos VM:

  • Carte réseau sur « host only (vmnet1) » (on triche en activant le routage dans le linux hôte)
  • Configuration manuelle du réseau dans la VM
  • Adresse IP: l’ip publique louée chez dedibox (adresse ip supplémentaire)
  • Masque réseau: 255.255.255.255
  • Passerelle:
    • Linux: post-up /sbin/route add default dev eth0
    • Windows: l’ip de la dedibox. Acceptez l’avertissement
  • DNS : les mêmes que ceux de la dedibox

Mon premier livre !

par

Je viens de co-écrire mon premier livre ! Ce fût une expérience très enrichissante pour moi, et j’espère que c’est le premier d’une longue série 🙂

Je tiens par la même occasion à remercier Freddy ELMALEH qui a crû en moi 🙂

Le titre est Windows 2008 – Administration avancée, au éditions ENI:

Windows 2008 - Administration avancée
Windows 2008 - Administration avancée

Auteurs : Sébastien NEILDThierry DEMANMathieu CHATEAUFreddy ELMALEH

Disponible en version papier et numérique

37,05 euros au lieu de 39 euros

Livraison gratuite

Pour commander le livre sur www.editions-eni.fr

Présentation :

Ce livre s’adresse aux administrateurs et ingénieurs systèmes désireux d’acquérir et de maîtriser des connaissances approfondies sur Windows Server 2008.

Il répond aux besoins d’expertise du lecteur en traitant de façon approfondie, d’un point de vue théorique et pratique,des rôles incontournables comme Active Directory, DFS, Hyper-V ou encore le VPN.

Les nouveautés R2 de Windows Server 2008 sont également expliquées afin d’anticiper au mieux l’avenir.

Depuis le déploiement jusqu’à la virtualisation, cet ouvrage est le compagnon idéal pour appréhender les moindres détails de cette version de Windows Server. Il apporte un haut niveau d’expertise et son ambition est de devenir un livre de référence.

Les auteurs mettent au service du lecteur leur expertise Microsoft (MVP, MCSE et/ou MCITP) et leur expérience très significative dans des infrastructures conséquentes et complexes, afin de fournir un livre de qualité respectant les meilleures pratiques du monde de l’entreprise.

A télécharger sur le site des Editions ENI :

Le résumé du livre

La table des matières

Un extrait du livre

Le PLUS des Editions ENI : Pour la commande de la version papier du livre, la version numérique online est offerte.

SCOM 2007: Web Application: Untrusted CA

par

Contexte:

  • vous venez de créer une Application Web dans SCOM 2007, qui est en https (SSL)
  • La case « monitor SSL health » est cochée
  • Loggué sur le watcher node, vous n’avez pas d’alerte de sécurité avec Internet Explorer
  • Vous avez l’erreur suivante:
SCOM 2007 Web Application: Untrusted CA
SCOM 2007 Web Application: Untrusted CA

Problème:
Il vous manque un certificat dans la chaîne. Votre compte Windows a bien toute la chaîne, mais pas le compte ordinateur local. Dans mon cas, il a fallu ajouter un certificat Verisign (Class 3) pour le compte ordinateur local:

MMC Certificat: Compte ordinateur local
MMC Certificat: Compte ordinateur local

….Et les alertes disparaissent! On aurait pu se contenter de décocher la vérification de la santé du SSL, mais c’est toujours mieux de corriger le problème à la source, et d’être prévenu quand son certificat a expiré 🙂

Dedibox pro & VMware: l’aventure!

par

Utiliser une dedibox pro pour faire de la virtualisation n’est pas aussi simple qu’on pourrait le penser. Deux solutions de virtualisation ont été essayées:

  • VMware ESXi
  • VMware Server sur CentOS

VMware ESXi

Les galères sont multiples dont une rédibitoire:

  • Il faut le KVM IP. IPMI ne permet pas de voir l’installation se dérouler et faire le nécessaire. Il faut prendre rendez-vous au moins la veille avant. La mise à disposition n’est que par demi journée. L’accès au KVM est pratiquement publique (toujours le même compte). Attention donc…
  • La distrib ESXi ne connait pas l’ICH9R. Il faut donc ajouter un pack de pilotes de la communauté, mais il a fallu reprendre un package plus ancien pour qu’il voit les disques! Dans le bios, il faut ahci (raid non supporté)
  • Seulement la deuxième carte réseau est vue. La première est censée utilisée le pilote e1000e mais pas moyen!
  • Il n’y a pas moyen de monter l’iso pour installation via ipmi. Il reste 2 solutions: envoyer un CD chez dedibox ou homemade.Voici la version home made!
  1. Démarrer en mode rescue. /tmp est en mémoire (important pour la suite). Cela correspond à un ramdisk. Si vous poussez le dd à venir depuis un accès ADSL, copiez le aussi sur le dedibackup ou le deuxième disque. Au reboot, tout ce qui est dedans sera perdu, et il y a peu de chance que ca fonctionne du premier coup…
  2. Installer ESXi ailleurs, comme dans une VM. J’ai fait un tutoriel pas à pas ici.
  3. Il faut enrichir ESXi avec les pilotes de la communauté (voir plus haut) (penser à enrichir aussi simple.map comme indiqué)
  4. faire un DD de l’installation, et le déposer dans /tmp via scp
  5. Copier le contenu du DD dans le premier disque (/dev/sda)
  6. reboot!
  • Il faut maintenant le KVM IP pour configurer ESXi. Le minimum est de mettre la carte réseau en dhcp (dedibox fourni vos adresses via DHCP sur les deux cartes)
  • Vous pouvez aller sur le site web afin de télécharger le client VI.

A ce stade, on pourrait se dire « champagne ». Sauf que Dedibox n’autorise qu’une seule et unique adresse MAC par interface. Une demande de dérogation au support sera un échec. Sur la carte réseau fonctionnelle, on a donc déjà au moins l’adresse MAC de la carte elle même et on ne peut même pas en présenter une en plus (une VM pour faire routeur). VMware laisse modifier l’adresse MAC d’une VM, mes les 3 premiers digits sont imposés. Modifier le VMX à la main ne change rien, il bloque le démarrage de la VM. Modifier l’adresse MAC dans la VM fonctionne, mais dès qu’elle veut joindre l’extérieur, le cisco de dedibox bloque le port ethernet! Je pense que ESXi ignore l’adresse MAC source est positionne quand même celle prévue.

On a donc un ESXi prêt à fonctionner, on peut créer des VM, mais aucun accès au réseau :'(.

VMware Server

Cela va « presque » tout seul. Il suffit d’installer un linux, je recommande CentOS 5.1 64 bits. L’idée est d’activer la fonction raid dans le bios (via IPMI ou KVM IP).
La carte mère supporte deux EPROM raid:

  • LSI
  • Intel Matrix Storage

Avec Debian (que je préfère), même avec la dernière version 5, aucun des deux raid n’est pris en charge. Avec CentOS, seul LSI fonctionne.

Après cela tout se passe très bien. Attention au firewall intégré à CentOS. Il vous bloquera le traffic autre qu’ICMP pour les VM utilisant des ip failover (IP dédiée à la VM pour avoir du traffic entrant).

Pour attribuer une IP failover à une VM, pas mal de tutoriels existent:

http://blog.guiguiabloc.fr/index.php/tag/vmware-server/

http://www.superkikim.com/vmware/ip-forwarding-pour-les-serveurs-ovh-avec-vmware-server-2/

OpsMgr/Scom: erreur 2130771918 sur tous les ports TCP et applications Web

par

Suite à l’installation avec erreurs d’un hotfix Microsoft Scom, les supervisions de type TCP Port et Application Web ne fonctionnaient plus, avec toujours le même code d’erreur 2130771918. Par exemple le test du port scom 5723 sur lui même échouait:

erreur scom sur n'importe quel port TCP
erreur scom sur n'importe quel port TCP

Après l’ouverture d’un ticket au support MS, ils nous ont fourni le patch de la KB 957511. Cette KB ne concerne pas notre problème, mais elle contient une version supérieure de la DLL Momnetworkmodules.dll, qui fait les tests TCP et application Web. Une fois cette DLL mise à jour, le problème est résolu.

Par ailleurs, il aurait pu être nécessaire d’enregistrer de nouveau la DLL avec:

regsvr32 « c:\program files\system center operations manager 2007\momnetworkmodules.dll »

Site web: sécurité ou indexation, faut-il choisir ?

par

Pas mal de sites Web mettent à disposition du contenu sous la forme de forum avec questions/réponses.
Les réponses peuvent-être rémunérées afin de motiver les visiteurs à alimenter le site.

Les sites demandent donc à s’enregistrer (et payer) afin d’accéder au contenu….

Sauf que pour avoir des visiteurs et donc des clients, il faut que ces questions/réponses soient indexées par les moteurs de recherche comme Google. Hors il n’est pas possible de donner un compte d’accès à ces moteurs de recherches. Il en résulte que pas mal de sites filtrent sur le nom du navigateur (User Agent), afin de laisser le contenu en libre accès aux moteurs de recherche afin d’être indexés. On pourrait penser qu’il suffit d’interdire les moteurs à mettre les pages en cache et que le tour est joué….Pas vraiment.

Pour contourner, cette fausse sécurité, il suffit de présenter son navigateur comme étant googlebot par exemple pour avoir accès à tout le contenu!
Rien de plus facile avec Firefox et l’extension User Agent Switcher!

Si vous avez la flemme de trouver le nom exact pour googlebot ou autre, il vous suffit de nourrir l’extension avec un XML tout prêt: http://techpatterns.com/downloads/firefox/useragentswitcher.xml

Par exemple, le site SQL Server Central implémente cette fausse sécurité.

Solution pour une DSI++: Filtrer aussi sur les adresses IP des moteurs de recherches.

1er tutoriel Lotp: installer pas à pas ESXi sur VmWare Workstation 6.5

par

Voici une vidéo de 10 minutes qui explique comment installer ESXi à l’intérieur d’une VM Workstation 6.5!
l’objectif étant d’évaluer ESXi sans pour autant lui dédier une machine…

N’hésitez pas me dire ce que vous en pensez par commentaire ou mail ! Si ce procédé vous plait, il se pourrait que j’en fasse d’autres 🙂