Jean-Benoit Paux's blog

From the release of Windows Server 2008 you can choose when you install the OS between the Full or the Core version of Windows. The Core version has most of the functionnalities of the Full but lose its graphical interface (GUI).

In this particular configuration, most of Windows administrator will be lost. You can hopefully manage remotely the server using the well known MMC consoles but there are a lot of basic tasks that will require manual configuration.

If you try this savor you’ll find some included scripts to enable/disable Windows Update or Remote Desktop but that’s all.

There is however a tool named “Core Configurator” available in 2 version (2.0 for R2 and 1.1 for R1) that enable you to easily configure your Server Core.

The following can be done:

• Product Licensing
• Networking Features
• DCPromo Tool
• ISCSI Settings
• Server Roles and Features
• User and Group Permissions
• Share Creation and Deletion
• Dynamic Firewall settings
• Display | Screensaver Settings
• Add & Remove Drivers
• Proxy settings
• Windows Updates (Including WSUS)
• Multipath I/O
• Hyper-V including virtual machine thumbnails
• JoinDomain and Computer rename
• Add/remove programs
• Services
• WinRM
• Complete logging of all commands executed

There is another tool (in command line this time) named Core Configuration Console R2 (also exist for R1). It does most of the jobs (perhaps more than Core Configurator) and it’s worth having a look on it.

Keep in mind that you can also manage Server Core using:

• GPO (for Firewall settings, WSUS, Service configuration, screensaver etc.)
• Custom scripts (in PowerShell since Windows Server 2008 R2) so they can be reusable and be part of your documentation (it’s always easier to launch a script than going through multiple screens)

TrueSec, a consulting/training company in US and Sweden, well known for their experts has published a series of guides about deployment of Windows 7 using Lite Touch and Zero Touch deployment method.

These guides (in video and PDF format) show you how to deploy a PoC (Proof of Concept) from installing the environment (SCCM, SQL, MDT 2010), through capture a reference computer, deploy it afterwards, personalize images.

This is worth to look at it. It leverages the latest technologies :

• Windows 2008 R2
• SCCM 2007 R2 SP2 + WSUS
• SQL Server 2008
• MDT 2010
• Windows 7

It is from my point of view a good opportunity to discover what these products can do for you.

The link to download these guides (as a iso file) is here : http://www.deploymentcd.com/

UPDATED : both PASSED !!!

Microsoft give you the opportunity to take 2 MCITP exams :

• 71-685 : MCITP: Enterprise Desktop Support Technician, WIndows 7
• 71-686 : MCITP: Enterprise Desktop Administrator, Windows 7

You can register to these exams on Prometric with these codes (for free):

• 71-685 : EDST7
• 71-686 : EDA7

Here are some information:

Availability

Public Registration begins: September 14, 2009

Beta exam period runs: September 21, 2009– October 16, 2009

Receiving this invitation does not guarantee you a seat in the beta; we recommend that you register immediately. Beta exams have limited availability and are operated under a first-come-first-served basis. Once all beta slots are filled, no additional seats will be offered.

Testing is held at Prometric testing centers worldwide, although this exam may not be available in all countries (see Regional Restrictions). All testing centers will have the capability to offer this exam in its live version.

Regional Restrictions: India, Pakistan, China

The learning guides are available there :

• 71-685 : MCITP: Enterprise Desktop Support Technician, WIndows 7
• 71-686 : MCITP: Enterprise Desktop Administrator, Windows 7

You can find some interesting resources there :

• http://learning.microsoft.com/Manager/Catalog.aspx?clang=en-US&dtype=Table&Sort=Relevancy&page=1&search=windows%207
• My post about the other Windows 7, Configuring exam

I registered for them, let see what I can do !

PowerShell utilise la puissance du Framework .Net et permet donc d’utiliser les classes de celui-ci avec une très grande facilité dans vos scripts.

Dans cet exemple, je vais vous montrer comment faire une résolution DNS à partir de la classe Net.Dns du Framework.

[System.Net.Dns]::GetHostentry("blog.paux.fr")

Le résultat sera (en fonction si votre entrée est un simple alias ou un vrai nom d’hôte) :

HostName                  Aliases            AddressList
--------                  -------            -----------
dedibox2.jeanb-net.com    {}                 {88.191.92.204}

On peut biensûr décorer un peu tout ça en pipant une liste de nom d’hôtes depuis un fichier, rediriger ça dans une grille via out-gridview (nouveauté PS2.0 !). (A noter que si vous voulez non pas avoir le nom d’hôte mais vraiment votre input, vous pouvez le rajouter via la commande Add-Member, testez avec et sans vous verrez).

gc .\hosts.txt |% { [System.Net.Dns]::GetHostentry($_) | Add-Member -Name Host -MemberType NoteProperty -Value $_ -PassThru } | Select Host,AddressList | out-gridview

On peut biensûr faire des résolutions inverses (IPv4 ou IPv6).

[System.Net.Dns]::GetHostentry("2001:4860:a005::68";)

La classe Dns du Framework reste sommaire, il n’est pas possible de résoudre autre chose que ça (impossible de récupérer les NS, MX, SOA, TXT etc.) mais on peut pour cela utiliser d’autres classes qui implémentent un autre resolver (ou utilisant de manière plus approfondie celui de Windows)

PowerShell uses the power of .Net Framework thus you can leverage .Net classes in your PowerShell scripts.

In this example I’ll show you how you can perform DNS lookups using the Net.Dns class :

[System.Net.Dns]::GetHostentry(“blog.paux.fr”)

The result will be (depending if your input is a A or CNAME) :

HostName                  Aliases            AddressList
--------                  -------            -----------
dedibox2.jeanb-net.com    {}                 {88.191.92.204}

You can obviously pipe a list of hostname to this command and if you need to keep the original name you can add it to the resulted object and display it in a grid (new to PS2.0 !):

gc .\hosts.txt |% { [System.Net.Dns]::GetHostentry($_) | Add-Member -Name Host -MemberType NoteProperty -Value $_ -PassThru } | Select Host,AddressList | out-gridview

You can of course do the same with an IP address (or an IPv6 address):

[System.Net.Dns]::GetHostentry("2001:4860:a005::68")

The class in .Net Framework stay basic so you can’t resolve NS, SOA, MX or TXT records for example but you can try to use other classes as this implementation of a resolver in C# or using this one (that use the internal DNS resolver of Windows)

Un des problèmes récurrent sur les forums, les newsgroups est un problème d’accès aux ressources réseaux à partir de Vista (ou supérieur) ou la connexion à Vista à partir de clients sous XP par exemple.

Je vais essayer d’en apporter sur ce post une explication ainsi qu’un moyen de résoudre (au moins en partie les problèmes).

L’authentification réseau sous Windows est assez complexe et les liens en fin d’articles vous aideront à en comprendre le fonctionnement si vous y tenez vraiment. Il s’agit pour simplifier d’un échange avec challenge.

L’authentification se base sur deux paramètres : SMB signing et LMCompatibility. Chacun a plusieurs niveaux de sécurité. SMB signing permet de garantir l’expéditeur d’un message et LMComptatibility de connaître le niveau de sécurité NTLM (Lan Manager) à utiliser pour l’échange.

Ces paramètres peuvent être modifiés pour permettre l’accès mais il faut savoir que ces modifications affectent la sécurité de votre plateforme.

Le paramètre LMComptatibility a augmenté de niveau avec Vista ce qui peut poser ce problème d’accès.

Vous pouvez diagnostiquer ce problème comme tel si :

• Le problème se pose uniquement sur vos clients sous Vista
• Aucun paramètre de LMComptatibility a été défini par GPO
• Une trace réseau révèle ce genre de message :

Vous pouvez redéfinir le niveau de sécurité en passant soit par le registre (par la clé HKLM\System\CurrentControlSet\Control\Lsa\LMComptatibility) soit par la console de sécurité locale secpol.msc dans Stratégies locales\Options de sécurité\Sécurité réseau : niveau d’authentification LAN Manager.

Les différents choix sont les suivants :

1. Envoyer les réponses LM et NTLM
2. Envoyer LM et NTLM – utiliser NTLMv2 si négocié
3. Envoyer uniquement les réponses NTLM
4. Envoyer uniquement les réponses NTLM v2 (par défaut)
5. Envoyer uniquement les réponses NTLM v2, refuser LM
6. Envoyer uniquement une réponse NTLM v2 ; refuser LM et NTLM

Vous pouvez essayer de réduire le niveau à 2 voir à 1 pour résoudre le problème.

Le mieux est d’uniformiser les différents niveaux de sécurité de vos machines.

Explication du fonctionnement de l’authentification : http://www.microsoft.com/technet/technetmag/issues/2006/08/SecurityWatch/?related=/technet/technetmag/issues/2006/08/SecurityWatch

Dans un domaine windows, on est authentifié pour quasiment tous les services via Kerberos sans avoir la moindre fenêtre de login/mot de passe nous demandant de nous authentifier.

Pourtant lorsqu’on veut ouvrir une connexion Terminal Services, on doit rentrer ses informations à chaque connexion.

Depuis Vista on peut cependant déléguer l’authentification pour utiliser ses informations directement (on ne se logue que sur la machine d’où le Single Sign On, appelé SSO pour les intimes). Cependant l’astuce ne fonctionne que pour se connecter à des machines sous Vista ou Windows Server 2008.

Voici la démarche : (vous pouvez le faire localement à une machine ou globalement aux machines du domaines) :

• Ouvrer gpedit.msc pour éditer la stratégie locale (ou ouvrez votre GPO)
• Paramètres machines (Computer Configuration)
• Modèles d’administrations (Administrative Templates)
• Système (System)
• Délégation d’informations d’identification (Credentials Delegation)
• Autoriser la délégation d’informations d’identification par défaut (Allow delegating default credentials)

Il faut maintenant :

• Cliquer sur Activer
• Ajouter les serveurs autorisé à recevoir l’information

Vous devez entrer les serveurs avec cette syntaxe : TERMSRV/fqdnDuServeur (et son nom court si vous voulez)

Vous pouvez entrer aussi TERMSRV/* pour vous connecter à l’ensemble des serveurs avec vos informations. (Attention, dans certains cas, vous ne pourrez plus préciser d’autres informations d’identification).

Vous pouvez aussi entrer TERMSRV/*.mondomain.local

Maintenant lorsque vous vous connectez à un serveur votre identité est entrée directement :

Si vous voulez plus d’informations (limitations, configuration pour TS Gateway) vous pouvez consulter cet article : http://blogs.msdn.com/ts/archive/2007/04/19/how-to-enable-single-sign-on-for-my-terminal-server-connections.aspx

Since Windows 2000, it is possible to configure which settings must be displayed in the control panel. You can hide some items or on the other side, only display the ones you choose.

To configure this you will have to edit a GPO (or the Local group policy).

The settings to edit are depending of what you want to achieve:

User Configuration\Administrative Templates\Control Panel\Hide specified Control Panel Items
or
User Configuration\Administrative Templates\Control Panel\Show only specified Control Panel Items

In Windows Vista or Windows 7, you must enter the values defined in the MSDN documentation instead of the different .cpl you want to display. You can find the different settings there : http://msdn.microsoft.com/en-us/library/cc144191(VS.85).aspx

If you want to restrict/show only the Display part in which you can set the resolution, display output, DPI, you’ll not find it in the previous link. The option is as simply as its name : Microsoft.Display.

You’ll now be able to restrict this view and have this kind of control panel

Depuis toujours il est possible de masquer des éléments du panneau de configuration ou au contraire d’en afficher qu’une partie.

Il faut pour cela passer par les GPO (ou en local via la local group policy).

Sous Windows Vista et Windows 7, cela se passe en mettant la liste des options à cacher ou à afficher grâce à ces settings :

User Configuration\Administrative Templates\Control Panel\Hide specified Control Panel Items
et
User Configuration\Administrative Templates\Control Panel\Show only specified Control Panel Items

On peut avoir la liste des choix (les items) grâce à ce lien sur MSDN :http://msdn.microsoft.com/en-us/library/cc144191(VS.85).aspx

La seule chose manquante cependant est l’absence de la partie Affichage, permettant de régler la résolution, les sorties écrans, etc.

Si vous cherchez, l’option s’appelle Microsoft.Display

On aura bien au final ce genre de panneau de configuration :