Jean-Benoit Paux's blog

Microsoft released last week Office 2010 Technical Preview on Connect and it is time to speak about it !

I really appreciate this new version, for a lot of reasons (conversation display in Outlook, improvements of UI in most of apps of the suite etc.) but I’d like to emphasis on one improvement I was asking for a long time : the ability to have multiple Exchange Accounts in the same Outlook process (without using App-V, run-as or other tips to launch multiple Outlook).

You can ask why do I have 2 Exchange accounts, but it is simply because I’ve got my Avanade corporate account and my personal Exchange server (Exchange 2007 but soon Exchange 2010)

So how to do this ?

1. Close Outlook
2. Go to control panel
3. Search “Mail”
4. Click on New Account
5. Enter your account settings (and use Autodiscovery !)
6. Launch Outlook

As you can see it is really straightforward so abuse of it !

I’ve got now my two Exchange accounts, as we had before for POP/IMAP :

If you often use PowerShell as script language you well know the out-* and export-* cmdlets.

I often use export-csv and open the result in Excel or out-GridView in PowerShell v2 (useful cmdlet BTW) for a nice graphical interface. I sometime use Excel API to create an Excel sheet directly or to import data but something was missing : simplicity.

These are an excellent solutions but why don’t we use Excel directly with an out-excel cmdlet ?

I just found this cmdlet there : http://pathologicalscripter.wordpress.com/out-excel/ and it is working very well ! So have fun using it.

Un des problèmes récurrent sur les forums, les newsgroups est un problème d’accès aux ressources réseaux à partir de Vista (ou supérieur) ou la connexion à Vista à partir de clients sous XP par exemple.

Je vais essayer d’en apporter sur ce post une explication ainsi qu’un moyen de résoudre (au moins en partie les problèmes).

L’authentification réseau sous Windows est assez complexe et les liens en fin d’articles vous aideront à en comprendre le fonctionnement si vous y tenez vraiment. Il s’agit pour simplifier d’un échange avec challenge.

L’authentification se base sur deux paramètres : SMB signing et LMCompatibility. Chacun a plusieurs niveaux de sécurité. SMB signing permet de garantir l’expéditeur d’un message et LMComptatibility de connaître le niveau de sécurité NTLM (Lan Manager) à utiliser pour l’échange.

Ces paramètres peuvent être modifiés pour permettre l’accès mais il faut savoir que ces modifications affectent la sécurité de votre plateforme.

Le paramètre LMComptatibility a augmenté de niveau avec Vista ce qui peut poser ce problème d’accès.

Vous pouvez diagnostiquer ce problème comme tel si :

• Le problème se pose uniquement sur vos clients sous Vista
• Aucun paramètre de LMComptatibility a été défini par GPO
• Une trace réseau révèle ce genre de message :

Vous pouvez redéfinir le niveau de sécurité en passant soit par le registre (par la clé HKLM\System\CurrentControlSet\Control\Lsa\LMComptatibility) soit par la console de sécurité locale secpol.msc dans Stratégies locales\Options de sécurité\Sécurité réseau : niveau d’authentification LAN Manager.

Les différents choix sont les suivants :

1. Envoyer les réponses LM et NTLM
2. Envoyer LM et NTLM – utiliser NTLMv2 si négocié
3. Envoyer uniquement les réponses NTLM
4. Envoyer uniquement les réponses NTLM v2 (par défaut)
5. Envoyer uniquement les réponses NTLM v2, refuser LM
6. Envoyer uniquement une réponse NTLM v2 ; refuser LM et NTLM

Vous pouvez essayer de réduire le niveau à 2 voir à 1 pour résoudre le problème.

Le mieux est d’uniformiser les différents niveaux de sécurité de vos machines.

Explication du fonctionnement de l’authentification : http://www.microsoft.com/technet/technetmag/issues/2006/08/SecurityWatch/?related=/technet/technetmag/issues/2006/08/SecurityWatch

Dans un domaine windows, on est authentifié pour quasiment tous les services via Kerberos sans avoir la moindre fenêtre de login/mot de passe nous demandant de nous authentifier.

Pourtant lorsqu’on veut ouvrir une connexion Terminal Services, on doit rentrer ses informations à chaque connexion.

Depuis Vista on peut cependant déléguer l’authentification pour utiliser ses informations directement (on ne se logue que sur la machine d’où le Single Sign On, appelé SSO pour les intimes). Cependant l’astuce ne fonctionne que pour se connecter à des machines sous Vista ou Windows Server 2008.

Voici la démarche : (vous pouvez le faire localement à une machine ou globalement aux machines du domaines) :

• Ouvrer gpedit.msc pour éditer la stratégie locale (ou ouvrez votre GPO)
• Paramètres machines (Computer Configuration)
• Modèles d’administrations (Administrative Templates)
• Système (System)
• Délégation d’informations d’identification (Credentials Delegation)
• Autoriser la délégation d’informations d’identification par défaut (Allow delegating default credentials)

Il faut maintenant :

• Cliquer sur Activer
• Ajouter les serveurs autorisé à recevoir l’information

Vous devez entrer les serveurs avec cette syntaxe : TERMSRV/fqdnDuServeur (et son nom court si vous voulez)

Vous pouvez entrer aussi TERMSRV/* pour vous connecter à l’ensemble des serveurs avec vos informations. (Attention, dans certains cas, vous ne pourrez plus préciser d’autres informations d’identification).

Vous pouvez aussi entrer TERMSRV/*.mondomain.local

Maintenant lorsque vous vous connectez à un serveur votre identité est entrée directement :

Si vous voulez plus d’informations (limitations, configuration pour TS Gateway) vous pouvez consulter cet article : http://blogs.msdn.com/ts/archive/2007/04/19/how-to-enable-single-sign-on-for-my-terminal-server-connections.aspx

Si comme moi vous avez voulu un jour représenter votre architecture AD et utiliser Visio vous vous êtes surement demandé si il n’existait pas un outil pour faire ça automatiquement.

Avec les anciennes versions de Visio cela était possible mais Microsoft avait retiré ça pour le mettre dans des outils tiers.

Cependant il est maintenant possible de créer un diagramme représentant votre forêt, les différents domaines, les sites et leurs relations, les OU, les trust, les rôles des serveurs etc.

Vous pouvez aussi dessiner les informations Exchange (versions 200X) pour afficher les groupes de routage, les connexions SMTP et compter le nombre de boites par serveur.

Le téléchargement se fait à cette adresse : http://www.microsoft.com/downloads/details.aspx?familyid=cb42fc06-50c7-47ed-a65c-862661742764&displaylang=en

Maintenant si vous voulez afficher votre configuration ISA de manière plus graphique, vous trouverez dans ISA BPA (Best Practice Analyzer) un outil similaire pour afficher les différents réseaux les sites VPN, les règles de publications.

Vous trouverez l’ensemble des informations sur l’installation et la génération à cette adresse : http://blogs.technet.com/isablog/archive/2007/07/22/using-bpa2visio.aspx

Vous pouvez télécharger l’outil ici : http://www.microsoft.com/downloads/details.aspx?FamilyID=D22EC2B9-4CD3-4BB6-91EC-0829E5F84063&displaylang=en

Maintenant qu’on a ces outils, personnellement j’aimerai bien l’inverse : faire mon diagramme et que ça me configure tout mon infrastructure en fonction mais là je pense que je peux rêver encore quelques années.

Par défaut, Outlook se met à la fois dans la barre de notification (à droite de l’horloge) et dans la barre des taches.

Si vous cherchez à n’afficher Outlook uniquement dans la zone de notification, vous irez sûrement chercher dans les options de celui-ci. Cependant, vous chercherez longtemps.

Pour arriver au résultats, suivez ces indications :

• Cliquez avec le bouton droit sur l’icone d’Outlook dans la barre de notification

• Cliquez sur “Hide when minimized” ou “Masquer l’icône réduite“

Maintenant, vous n’avez plus Outlook dans la barre des taches.

Par défaut Windows cache au bout d’un moment les icônes non utilisées. Ce comportement peut être modifié pour un certain nombre de programmes de votre choix pour qu’ils soient toujours présents dans la barre de notification.

Pour se faire :

Cliquez sur le bouton droit sur le menu démarrer et choisissez “Propriétés“
Allez sur l’onglet “Zone de notification“
Cliquez sur Personnaliser
Choisissez le comportement à adopter

Depuis toujours il est possible de masquer des éléments du panneau de configuration ou au contraire d’en afficher qu’une partie.

Il faut pour cela passer par les GPO (ou en local via la local group policy).

Sous Windows Vista et Windows 7, cela se passe en mettant la liste des options à cacher ou à afficher grâce à ces settings :

User Configuration\Administrative Templates\Control Panel\Hide specified Control Panel Items
et
User Configuration\Administrative Templates\Control Panel\Show only specified Control Panel Items

On peut avoir la liste des choix (les items) grâce à ce lien sur MSDN :http://msdn.microsoft.com/en-us/library/cc144191(VS.85).aspx

La seule chose manquante cependant est l’absence de la partie Affichage, permettant de régler la résolution, les sorties écrans, etc.

Si vous cherchez, l’option s’appelle Microsoft.Display

On aura bien au final ce genre de panneau de configuration :