The new FSLogix version, which was released in October, introduces a long-awaited feature: VHDX compaction. FSLogix is a standalone product acquired in late 2017 by Microsoft for profile management and application masking features. It is primarily used in virtual desktop or RDSH solutions to provide users with a persistent experience in nonpersistent environments.

The post FSLogix VHDX compaction: Resize virtual disks first appeared on 4sysops.

Many websites ask users whether they want to receive notifications. In managed environments, this feature can be disabled via group policies. Both Chromium-based browsers and Firefox allow whitelisting and blacklisting of such websites.

The post Block notifications in Chrome, Edge, and Firefox first appeared on 4sysops.

Les mises à jour de novembre 2022 seraient à l'origine d'un nouveau problème sur les contrôleurs de domaine Active Directory ! Cette fois-ci, les contrôleurs de domaine se fige ou redémarrage lorsque le bug se produit ! Faisons le point.

C'est le service LSASS de Windows qui est au cœur du problème et qui est directement impacté par les mises à jour de novembre 2022. Pour rappel, ce service critique sous Windows permet de gérer la création des tokens d'accès, ainsi que la connexion des utilisateurs et les changements de mot de passe. Si ce service plante, la session de l'utilisateur se ferme immédiatement et le système enchaîne sur un redémarrage.

C'est un peu ce qu'il se passe avec ce nouveau bug puisque le service se met à consommer trop de mémoire, ce qui le fait planter et mène à un redémarrage de serveur. Sur son site, Microsoft précise : "Selon la charge de travail de vos DCs et le temps écoulé depuis le dernier redémarrage du serveur, LSASS peut augmenter continuellement l'utilisation de la mémoire avec le temps et le serveur peut ne plus répondre ou redémarrer automatiquement."

L'entreprise américaine précise que ce dysfonctionnement affecte les contrôleurs de domaine Active Directory qui tournent sur les versions suivantes de Windows Server : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1, et Windows Server 2008 SP2. La toute dernière version de Windows Server ne semble pas impactée.

Une solution de contournement

En attendant un correctif officiel, qui prendra peut être la forme d'une nouvelle mise à jour hors bande, Microsoft a mis en ligne une solution de contournement. Cela se passe dans le Registre, en exécutant la commande ci-dessous en tant qu'admin pour définir l'option à "KrbtgtFullPacSignature" à "0" :

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Cette modification doit être temporaire : "Une fois ce problème connu résolu, vous devriez définir KrbtgtFullPacSignature à un paramètre plus élevé en fonction de ce que votre environnement permet.", tout en sachant que ce paramètre est là pour corriger la vulnérabilité CVE-2022-37967 et que Microsoft explique comment le configurer dans cet article (4 états différents sont possibles).

Il y a quelques jours, Microsoft a corrigé un problème d'authentification Kerberos qui affecte les environnements Active Directory ! Ce problème était, lui aussi, lié aux mises à jour de novembre. D'ailleurs, Microsoft explique que la mise à jour hors bande diffusée pour corriger ce bug d'authentification ne vous empêche pas de rencontrer ce nouveau bug lié à LSASS.

L'article Novembre 2022 – Windows Server : ce nouveau bug fait redémarrer les contrôleurs de domaine ! est disponible sur IT-Connect : IT-Connect.

Voilà, Microsoft a mis en ligne de nouvelles mises à jour hors bandes pour venir corriger les problèmes liés à l'authentification Kerberos en environnement Active Directory. Pour rappel, ce sont les mises à jour du Patch Tuesday de Novembre 2022 qui sont à l'origine de ce nouvel effet de bord.

Depuis plusieurs jours, les équipes de Microsoft étaient en train d'investiguer sur ce problème lié à Kerberos. Sur le site de Microsoft, on pouvait lire : "Après avoir installé des mises à jour publiées le 8 novembre 2022 sur des serveurs Windows avec le rôle de contrôleur de domaine, vous pouvez rencontrer des problèmes avec l'authentification Kerberos." - Puisque l'on parle de l'authentification Kerberos, les conséquences peuvent être nombreuses....

Comme je l'ai précisé dans un précédent article, Microsoft avait listé quelques cas concrets susceptibles de générer cette erreur Kerberos :

• La connexion des utilisateurs du domaine peut échouer. Cela peut également affecter l'authentification ADFS
• Les comptes de service gérés par gMSA utilisés pour des services tels que IIS Web Server peuvent ne pas s'authentifier
• Les connexions Remote Desktop utilisant des utilisateurs du domaine peuvent échouer.
• Il se peut que vous ne puissiez pas accéder aux dossiers partagés sur les stations de travail et aux partages de fichiers sur les serveurs.
• L'impression qui nécessite l'authentification de l'utilisateur du domaine peut échouer.

La liste des mises à jour correctives

Désormais, il y a une solution à ce problème et cette solution passe par l'installation d'une nouvelle mise à jour ! Dans le cas où votre infrastructure est affectée par ce bug, la mise à jour doit être installée sur l'ensemble des contrôleurs de domaine Active Directory. Par contre, ce n'est pas nécessaire d'installer la mise à jour sur les autres serveurs ni sur les postes de travail.

Pour ceux qui auraient effectué des modifications dans le but de corriger ce problème temporairement, voici ce que recommande Microsoft : "Si vous avez utilisé une solution de contournement ou des mesures d'atténuation pour ce problème, elles ne sont plus nécessaires et nous vous recommandons de les supprimer."

Puisqu'il s'agit de mises à jour hors bandes, elles ne seront pas distribuées via Windows Update ! Rendez-vous sur le catalogue Microsoft Update (ce qui ne vous empêche pas d'importer la mise à jour dans WSUS).

Voici la liste des mises à jour publiées par Microsoft :

• Windows Server 2022 : KB5021656
• Windows Server 2019 : KB5021655
• Windows Server 2016 : KB5021654
• Windows Server 2012 R2 : KB5021653
• Windows Server 2012 : KB5021652
• Windows Server 2008 SP2 : KB5021657

Pour le moment, il manque un correctif pour Windows Server 2008 R2 comme le montre la liste ci-dessus. Ce correctif sera mis en ligne la semaine prochaine.

Vous pouvez retrouver l'annonce officielle sur le site de Microsoft.

L'article Novembre 2022 – Problèmes avec Kerberos : Microsoft a publié des mises à jour correctives ! est disponible sur IT-Connect : IT-Connect.

Changing passwords regularly is no longer recommended, and the Security Baseline for Windows doesn't include a corresponding setting. Nevertheless, in certain situations, it can be important to know how old the user's passwords are. You can easily find this out with PowerShell.

The post When did users last change their password in Active Directory? first appeared on 4sysops.

The Features and Improvements of Synology DSM 7.2 Revealed

When Synology first revealed that they were already in the final stages of rolling out the latest update to their popular software platform, DSM version 7.2, many of us were quite surprised about the strong focus on enterprise features and appliances being the focus point. Synology has been increasingly shifting gears on its platform toward more business and enterprise-scale users in the last few years and though DSM 7.2 updates did include a few more home, prosumer and SMB improvements, the bulk of the updates that are coming in this new revision are ones to further bolster their business single ecosystem even further! The following article covers everything we learnt about intended software and service updates for the Synology DSM Platform. How many of these end up as DSM 7.2 implementations and how many end up being rolled into individual application updates on their own (and therefore accessible in DSM 7.1 currently) is yet to be seen. Improvements in featured services such as Synology Active Backup, Drive and Surveillance Station may well arrive independently. Here is everything we learnt about future software updates and DSM 7.2. Apologies for the delay in this article. There have been recent hardware reveals in the last couple of weeks (DS723+, DS923+, WRX560 to name just a few) and a larger article that covers the planned 2023 hardware, software and DSM. You can learn about everything that was revealed at the Synology 2023 and Beyond event HERE on the blog.

Synology DSM 7.2 Release Date

Synology detailed numerous planned improvements that are arriving in the latest revision of DSM throughout the presentation. The good news is that people will not have to wait too long for DSM 7.2 to arrive, with the release stated as ‘early 2023’, with further clarification alongside other details to point towards Q1 2023 (Jan-March). This includes a great many smaller quality-of-life improvements, but some bigger ones in storage management and access. Several of the newer individual client software updates will likely be tied to DSM 7.2 and/or arrive in a beta format by the end of the year.

Volume Encryption Coming to DSM 7.2

A long-term request by Synology NAS users for a few years, the ability to encrypt your NAS beyond the current ‘folder’ level in DSM. It is a little odd that Synology has not provided Disk, Volume or Pool level encryption in the system storage manager. The ability to encrypt the full volume means that you can be a great deal broader in your protection from your storage getting intercepted outside of your own authorized use. Prior to this, encrypted upto the folder/shared-folder level meant that you would likely need to maintain multiple key files/codes, as well as result in more work as your structured your system. Volume-level encryption hugely simplifies this, as well as allowing a larger container of storage to encrypt within.

Mac OS Active Backup Client Support

Another HUGELY requested feature is parity in the Mac OS Support in Synology Active Backup that is currently available for the Windows Client. Up until now, Mac users that wanted to create a system-wide (OS level) backup relied on Apple Time Machine. This is still a solid and user-friendly option, but not hugely storage efficient, is tougher to browse through images than Synology AB and also does not play as nice with remote backups as it does with local backups (ie it supports network backups, but even then quite regimentally and does not correlate/manage those particular backups as well as using a Synology client and Synology NAS running Active Backup). Equally, Synology AB and Mac OS client app should allow viable and easier remote Mac image recovery options in a way currently not available.

Improved Active Backup NAS to NAS Remote Backup

NAS to NAS backups are NOT a new thing, but are more often than not either on a file/folder level (i.e using Hyper Backup) or, in the case of 3rd party general/linux servers, a big block of data that cannot effectively be viewed or managed natively. Improved Active Backup NAS to NAS support means that the same level of system/OS level backup image backup that is afforded to Windows PCs, VMs and More in Active Backup Suite can now be made with another Synology NAS server. Till now, the best options you had for NAS-to-NAS backups were Hyper Backup Folder level backups, Snapshot replication to send snapshot images on a schedule/sync/retention configuration, Backup your NAS image to Synology C2 Cloud (which can be synced elsewhere) and a few different file level sync/backup tools between servers. As Active Backup grows in popularity with Synology NAS users, including it in your 3-2-1 system-wide backup strategy makes alot of sense and for those that are already running a periodic/scheduled NAS to NAS backup, this makes even more sense than current file/folder level backups.

Synology Drive to Support Active Directory (AD)

Synology already has a very competent Active Directory management tool in ‘Synology Directory Server’, which turns your Synology NAS into a domain controller (DC) to manage users, devices, groups, and domain policies in a breeze. However, support of Microsoft AD is coming to Synology Drive. For the unaware, Active Directory (AD) is a directory service that runs on Microsoft Windows systems (i.e Windows Server). The main function of Active Directory from the client side is to enable administrators to manage permissions and control access to network resources. In Active Directory, data is stored as objects, which include users, groups, applications, and devices, and these objects are categorized according to their name and attributes. Then you have AD DS (Active Directory Domain Services) are a core component of Active Directory and provide the primary mechanism for authenticating users and determining which network resources they can access. AD DS also provides additional features such as Single Sign-On (SSO), security certificates, LDAP, and access rights management.

WORM Support Addition

Write Once, Read Many (WORM) has been around in the world of data storage for a considerable length of time and allows a file to be accessed by many, many users without the original file being in any way changed or corrupted – a real issue if a file/database is being accessed by many users and changes inadvertently occur which overwrite the file or changes being made by others (file/media editors tackle this in other means, such as via using shadow editing or non-linear editing). WORM (Write Once, Read Many) is used to avoid modification of saved data.  With increasingly stringent regulations on how information is stored, many countries require government agencies, financial institutions, and healthcare providers to comply with strict data archiving regulations. Many of these require storage systems to not tamper with archived data. This has led to WORM becoming increasingly common in commercial setups. Good examples are photos, contracts, financial reports, emails, employee information, and other important documents. They should not be modified once stored. In some professional fields, massive data needs to be analyzed, and huge amounts of real-time data need to be recorded and tracked. WORM technology is ideal for protecting these records so that they will not be overwritten and can be saved as a reference for future use.

The support of WORM in the Synology storage infrastructure will allow loving for files for a predetermined time, as well as configuration into two separate types – Compliance and Enterprise. Compliance issues ZERO write/edit/change, even by IT admins for the pre-defined period of time. Enterprise is similar, however, it DOES allow IT admin(s) to make changes and/or adapt the WORM access. Also, grace periods can be set in for files going into WORM configurations, which allow a period of time to pass before locks are engaged. This change along with several others that are to be implemented in DSM 7.2 are slated for Q1 of 2023 (Jan-March). In short, in WORM enabled folders data is protected from manipulation by not being able to change or delete it for a specified period of time. Immutable data backups can also be carried out via Hyper Backup for further protection and retention down the line too.

SMB Multi-Channel – Better Port Utilization and Improved Drive Integration

SMB is not new, but updates to Drive and SMB support also see changes with Synology DSM 7.2, with cross-protocol file locking between SMB shares and Drive, ensuring that files in use cannot be edited or overwritten across them. In addition, with SMB multichannel transfer, all network connections available between servers and clients can be used to increase the performance of SMB file transfer, regardless of traditional conflicts that would prevent them being bound/crossed together conventionally

Improvements to Synology Office Services and Features

Synology has provided their Office application in the DSM application list for quite a long time, serving as an in-house alternative to using 3rd party office doc tools such as Google Docs and Microsoft office. This combined with the Synology Drive application results in you being able to open all of your office format docs (text, spreadsheets, PDFs, etc) from within the Synology ecosystem, where your data lives. However, there is always room for improvement and we are told that new features such as document watermarks, improved revision recognition on docs exported over and an increase in support of file format/layouts from Microsoft Word etc.

Click to view slideshow.

Scale-Out Clusters and ‘Synology Backup Cloud’

Synology highlighted their massive HD6500 and then discussed HUGE scale out cluster storage. The new scale-out clusters are also scheduled to appear in 2023 and provide faster file and object storage. This should allow server combinations of HD6500s servers that scale upto that of 12 petabytes to operate with a write speed of up to 60 GB/s (60,000MB/s).

Additionally, Synology is improving the management of large-scale backups from a single portal point, via a new platform/service they are calling ‘Synology Backup Cloud’ (name almost certainly will change!) that will cover the operations of Active Backup, Hyper Backup and C2 Backup operations. Synology is aiming for this tool to provide the IT admin with a single easy window to manage, remote control and monitoring of all aspects of data backup.

Not a lot was said on this feature, but expect its development to be a little slower than most as, much like Active Insight, this is very much an enterprise site tool and likely at a premium.

Improvements in Synology C2 Identity

The Synology C2 Identity application that was introduced with Synology DSM 7 at launch is also going to see updates in its supported authentication methods and client tech. These will include Windows Hello and Apple Face ID/Touch ID, as well as in connection with the upcoming C2 identity user portal, employees using managed devices can be automatically signed in with SAML.

Synology Drive – Remote Erase

The benefits of Synology Drive when it comes to larger teams of users being able to access the same folder(s) of data in order to collaborate on projects are already well documented. However, what if a client system that has access to a synced drive folder gets hijacked? Or at a moment’s notice, you need to suspend access to the share from a specific client machine AND want to ensure that no locally sync’d/download copy is still there? Well, soon Synology Drive will be receiving an update to allow exactly that includes the ability to delete data remotely and is intended to minimize security risks by removing synchronized folders from stolen Windows and macOS systems.

That just about covers it. There were further improvements that were featured in Synology Secure sign-in and C2 Password services to improve the range of supported authentication methods, as well as improvements to their Synology C2 cloud platform access and implementation. However, as these are more to do with the individual services/applications, I will save this for the inevitable Synology DSM 7.2 Beta preview and included services. So, what do you think of the planned improvements coming to DSM 7.2? Would you have liked to have seen further updates to the more ‘everyman’ services, i.e upgrades to Synology Photos AI recognition to match that of Synology Moments? Or a little more parity between Windows and Mac OS compatibility? Let’s discuss it below. We pool the comments on this article and the videos that are featured in it to keep all the relevant comments in one place, so take a look and see if your POV is the same as everyone else’s.

 

This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below

Need Advice on Data Storage from an Expert?

We want to keep the free advice on NASCompares FREE for as long as we can. Since this service started back in Jan '18, We have helped hundreds of users every month solve their storage woes, but we can only continue to do this with your support. So please do choose to buy at Amazon US and Amazon UK on the articles when buying to provide advert revenue support or to donate/support the site below. Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you. Need Help? Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry. [contact-form-7]     Terms and Conditions Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.  

All Windows administrators need to know the essential concepts of Active Directory passwords: how passwords are stored in Active Directory, how password authentication works, and how to manage Active Directory passwords. A common task for admins is to reset users' passwords, which you can do with the GUI or PowerShell. However, in large networks, a self-service solution is required. Computer account passwords are another topic that administrators have to be familiar with.

The post Active Directory passwords: All you need to know first appeared on 4sysops.

Suite à l'installation des mises à jour d'octobre 2022, Microsoft affirme que vous pouvez rencontrer une erreur au moment d'ajouter une machine à votre domaine Active Directory. Ce problème affecte de nombreuses versions de Windows et se produit sous certaines conditions. Faisons le point.

Dans le but de corriger la faille de sécurité CVE-2022-38042 dans les services de domaine Active Directory, Microsoft a durci la configuration à l'occasion de la sortie des mises à jour d'Octobre 2022, avec le fameux Patch Tuesday. D'après Microsoft : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges d’administrateur de domaine."

Une fois le correctif installé, vous pouvez rencontrer des difficultés pour ajouter un ordinateur à votre domaine Active Directory. Ceci est lié aux changements apportés par la mise à jour : avec les protections supplémentaires, il n'est plus possible d'ajouter une machine au domaine si le compte ordinateur existe déjà dans le domaine Active Directory. Dans le cas où le nom d'ordinateur n'est pas déjà utilisé dans l'Active Directory, la machine pourra être ajoutée sans aucune difficulté.

Résultat, l'erreur "0xaac (2732): NERR_AccountReuseBlockedByPolicy" est générée au moment d'ajouter la machine au domaine, accompagné par la description suivante : "Un compte avec le même nom existe dans Active Directory. La réutilisation du compte a été bloquée par la politique de sécurité." - Microsoft en parle sur cette page.

Cela est une question d'autorisations, alors cela pourrait affecter vos déploiements de machines Windows. En effet, si vous utilisez un compte pour provisionner les comptes ordinateurs dans l'AD avant que l'image soit déployée, et que le compte utilisé ensuite pour joindre la machine au domaine pendant le déploiement n'est pas le même, cela posera problème.

Quelles sont les solutions ?

La désinstallation des mises à jour d'Octobre 2022 n'est pas réellement une solution pérenne. Pour éviter d'être confronté à ce problème, Microsoft donne les trois solutions suivantes (qui sont cohérentes, finalement) :

• Effectuez l'opération de jonction au domaine en utilisant le même compte qui a créé le compte ordinateur dans le domaine cible.
• Si le compte existant est inutilisé (machine HS et réinstallée, par exemple), supprimez-le avant de tenter à nouveau de joindre le domaine.
• Renommez l'ordinateur et effectuez la jonction au domaine en utilisant un nom de compte ordinateur qui n'est pas déjà utilisé

Même si ce n'est pas conseillé, Microsoft indique aussi que vous pouvez désactiver les nouvelles mesures de sécurité temporairement, le temps d'ajouter la machine au domaine. Sur le poste client, vous devez créer la valeur de Registre "NetJoinLegacyAccountReuse" (REG_DWORD) avec la valeur "1" à l'emplacement "HKLM\System\CurrentControlSet\Control\LSA". Une fois la machine dans le domaine, vous devez la supprimer.

• Voir la documentation de Microsoft

Les versions de Windows affectées

On peut considérer que l'ensemble des versions de Windows sont affectées puisque Microsoft donne la liste suivante :

• De Windows 7 SP1 à Windows 11 version 22H2, ce qui inclus donc toutes les versions de Windows 10
• De Windows Server 2008 SP2 à Windows Server 2022

Source

L'article Hardening Windows : les mises à jour d’Octobre peuvent perturber l’ajout de PC au domaine Active Directory est disponible sur IT-Connect : IT-Connect.

Synology Reveal Details on Diskstation Manager 7.2, Mac OS Support Improvements, WORM, Volume Encryption, Cameras and more

When it comes to the value of a Synology NAS product, I think it would be fair to say that the bulk of the $$$ that you pay goes towards the software – Diskstation Manager (DSM). With an enormous range of 1st party services, features and client applications, DSM ensures that a Synology NAS (regardless of scale) is a complete hardware and software solution! The DSM platform has received numerous updates over the years, but few were as big or as polished as DSM 7. Recently at the Synology 2023 and Beyond global streaming event, Synology revealed a number of the planned features that are arriving in the DSM 7.2 software update, intended for 2023. Although typically sub revision updates like 7.0>7.1>7.2 might ordinarily be considered minor updates in most software, in the Synology DSM platform however these tend to include pretty large-scale improvements, new applications, improved service capabilities, a larger supported hardware client base and even a few extra up and coming beta services available to be tried out (under strict ‘tests’ status!). These were revealed alongside a number of new innovations coming to individual applications and services, further increasing security and data integrity (with a real buzz on immutable data, data that cannot and/or should not be changed). Finally, there was a few featured improvements highlighted for several areas of their surveillance platform that included the new cameras (already mentioned HERE) and improvements configuring Surveillance Station via DS Cam. Let’s go through everything new we learned at Synology 2023 and Beyond.

Updates and New Features Coming to Synology DSM We Know so far

The following is everything we learnt about intended software and services updates for the Synology Platform. How many of these end up as DSM 7.2 implementations and how many end up being rolled into individual application updates on their own (and therefore accessible in DSM 7.1 currently) is yet to be seen. Improvements in featured services such as Synology Active Backup, Drive and Surveillance Station may well arrive independently. Here is everything we learnt about future software updates and DSM 7.2:

Synology DSM 7.2 Release Date

Synology detailed numerous planned improvements that are arriving in the latest revision of DSM throughout the presentation. The good news is that people will not have to wait too long for DSM 7.2 to arrive, with the release stated as ‘early 2023’, with further clarification alongside other details to point towards Q1 2023 (Jan-March). This includes a great many smaller quality-of-life improvements, but some bigger ones in storage management and access. Several of the newer individual client software updates will likely be tied to DSM 7.2 and/or arrive in a beta format by the end of the year.

Volume Encryption Coming to DSM 7.2

A long-term request by Synology NAS users for a few years, the ability to encrypt your NAS beyond the current ‘folder’ level in DSM. It is a little odd that Synology has not provided Disk, Volume or Pool level encryption in the system storage manager. The ability to encrypt the full volume means that you can be a great deal broader in your protection from your storage getting intercepted outside of your own authorized use. Prior to this, encrypted upto the folder/shared-folder level meant that you would likely need to maintain multiple key files/codes, as well as result in more work as your structured your system. Volume-level encryption hugely simplifies this, as well as allowing a larger container of storage to encrypt within.

Mac OS Active Backup Client Support

Another HUGELY requested feature is parity in the Mac OS Support in Synology Active Backup that is currently available for the Windows Client. Up until now, Mac users that wanted to create a system-wide (OS level) backup relied on Apple Time Machine. This is still a solid and user-friendly option, but not hugely storage efficient, is tougher to browse through images than Synology AB and also does not play as nice with remote backups as it does with local backups (ie it supports network backups, but even then quite regimentally and does not correlate/manage those particular backups as well as using a Synology client and Synology NAS running Active Backup). Equally, Synology AB and Mac OS client app should allow viable and easier remote Mac image recovery options in a way currently not available.

Improved Active Backup NAS to NAS Remote Backup

NAS to NAS backups are NOT a new thing, but are more often than not either on a file/folder level (i.e using Hyper Backup) or, in the case of 3rd party general/linux servers, a big block of data that cannot effectively be viewed or managed natively. Improved Active Backup NAS to NAS support means that the same level of system/OS level backup image backup that is afforded to Windows PCs, VMs and More in Active Backup Suite can now be made with another Synology NAS server. Till now, the best options you had for NAS-to-NAS backups were Hyper Backup Folder level backups, Snapshot replication to send snapshot images on a schedule/sync/retention configuration, Backup your NAS image to Synology C2 Cloud (which can be synced elsewhere) and a few different file level sync/backup tools between servers. As Active Backup grows in popularity with Synology NAS users, including it in your 3-2-1 system-wide backup strategy makes alot of sense and for those that are already running a periodic/scheduled NAS to NAS backup, this makes even more sense than current file/folder level backups.

New Synology WRX560 WiFi Router Released

Note – My Full Review of the Synology WRX560 Router is now LIVE and you can watch it HERE on YouTube and read it HERE on the Blog.

Yes, Synology is working on a new WiFi 6 and 2.5G router – The Synology RT3000ax (also known as the WRX560). Before I go any further though,a little bit of background. I think it would be safe to say that Synology has been quite successful in their range of prosumer routers. When they first introduced the RT1900ac 6 years ago, it was seen as something of an experiment to see if they could bring the same level of software, design and experience that they had learned in network attached storage to one of the most common devices in all our homes and offices worldwide. Fast forward to now and they are on the 3rd Generation (technically, a little bit of overlap) and we have seen both the standard of Synology Router and the functionality of Synology Router Manager (SRM) evolve considerably – with the router arm of their portfolio getting stronger all the time. This brings us to the newly revealed WRX560 router, a more compact 802.11ax router that seems destined to serve as the refresh for the MR2200ac or (more likely) the RT2600ac at some point in the future.

With a new and intriguing design (definitely looks like what the most recent star wars trilogy did to stormtrooper helmets, but ok) and borrowed elements of the recently released RT6600ax router, the WRX560 would appear to be designed to be in a tier of their router portfolio serving as the middle-ground (when the OTT RT6600ax seems a bit pie in the sky).

Synology Drive to Support Active Directory (AD)

Synology already has a very competent Active Directory management tool in ‘Synology Directory Server’, which turns your Synology NAS into a domain controller (DC) to manage users, devices, groups, and domain policies in a breeze. However, support of Microsoft AD is coming to Synology Drive. For the unaware, Active Directory (AD) is a directory service that runs on Microsoft Windows systems (i.e Windows Server). The main function of Active Directory from the client side is to enable administrators to manage permissions and control access to network resources. In Active Directory, data is stored as objects, which include users, groups, applications, and devices, and these objects are categorized according to their name and attributes. Then you have AD DS (Active Directory Domain Services) are a core component of Active Directory and provide the primary mechanism for authenticating users and determining which network resources they can access. AD DS also provides additional features such as Single Sign-On (SSO), security certificates, LDAP, and access rights management.

WORM Support Addition

Write Once, Read Many (WORM) has been around in the world of data storage for a considerable length of time and allows a file to be accessed by many, many users without the original file being in any way changed or corrupted – a real issue if a file/database is being accessed by many users and changes inadvertently occur which overwrite the file or changes being made by others (file/media editors tackle this in other means, such as via using shadow editing or non-linear editing). WORM (Write Once, Read Many) is used to avoid modification of saved data.  With increasingly stringent regulations on how information is stored, many countries require government agencies, financial institutions, and healthcare providers to comply with strict data archiving regulations. Many of these require storage systems to not tamper with archived data. This has led to WORM becoming increasingly common in commercial setups. Good examples are photos, contracts, financial reports, emails, employee information, and other important documents. They should not be modified once stored. In some professional fields, massive data needs to be analyzed, and huge amounts of real-time data need to be recorded and tracked. WORM technology is ideal for protecting these records so that they will not be overwritten and can be saved as a reference for future use.

The support of WORM in the Synology storage infrastructure will allow loving for files for a predetermined time, as well as configuration into two separate types – Compliance and Enterprise. Compliance issues ZERO write/edit/change, even by IT admins for the pre-defined period of time. Enterprise is similar, however, it DOES allow IT admin(s) to make changes and/or adapt the WORM access. Also, grace periods can be set in for files going into WORM configurations, which allow a period of time to pass before locks are engaged. This change along with several others that are to be implemented in DSM 7.2 are slated for Q1 of 2023 (Jan-March). In short, in WORM enabled folders data is protected from manipulation by not being able to change or delete it for a specified period of time. Immutable data backups can also be carried out via Hyper Backup for further protection and retention down the line too.

SMB Multi-Channel – Better Port Utilization and Improved Drive Integration

SMB is not new, but updates to Drive and SMB support also see changes with Synology DSM 7.2, with cross-protocol file locking between SMB shares and Drive, ensuring that files in use cannot be edited or overwritten across them. In addition, with SMB multichannel transfer, all network connections available between servers and clients can be used to increase the performance of SMB file transfer, regardless of traditional conflicts that would prevent them being bound/crossed together conventionally

Improvements to Synology Office Services and Features

Synology has provided their Office application in the DSM application list for quite a long time, serving as an in-house alternative to using 3rd party office doc tools such as Google Docs and Microsoft office. This combined with the Synology Drive application results in you being able to open all of your office format docs (text, spreadsheets, PDFs, etc) from within the Synology ecosystem, where your data lives. However, there is always room for improvement and we are told that new features such as document watermarks, improved revision recognition on docs exported over and an increase in support of file format/layouts from Microsoft Word etc.

Click to view slideshow.

Scale-Out Clusters and ‘Synology Backup Cloud’

Synology highlighted their massive HD6500 and then discussed HUGE scale out cluster storage. The new scale-out clusters are also scheduled to appear in 2023 and provide faster file and object storage. This should allow server combinations of HD6500s servers that scale upto that of 12 petabytes to operate with a write speed of up to 60 GB/s (60,000MB/s).

Additionally, Synology is improving the management of large scale backups from a single portal point, via a new platform/service they are calling ‘Synology Backup Cloud’ (name almost certainly will change!) that will cover the operations of Active Backup, Hyper Backup and C2 Backup operations. Synology is aiming for this tool to provide the IT admin with a single easy window to manage, remote control and monitoring of all aspects of data backup.

Not a lot was said on this feature, but expect its development to be a little slower than most as, much like Active Insight, this is very much an enterprise site tool and likely at a premium.

Improvements in Synology C2 Identity

The Synology C2 Identity application that was introduced with Synology DSM 7 at launch is also going to see updates in its supported authentication methods and client tech. These will include Windows Hello and Apple Face ID/Touch ID, as well as in connection with the upcoming C2 identity user portal, employees using managed devices can be automatically signed in with SAML.

Synology Drive – Remote Erase

The benefits of Synology Drive when it comes to larger teams of users being able to access the same folder(s) of data in order to collaborate on projects is already well documented. However, what if a client system that has access to a synced drive folder gets hijacked? Or at a moment’s notice, you need to suspend access to the share fro a specific client machine AND want to ensure that no locally sync’d/download copy is still there? Well, soon Synology Drive will be receiving an update to allow exactly that includes the ability to delete data remotely and is intended to minimize security risks by removing synchronized folders from stolen Windows and macOS systems.

Synology BC500 and TC500 Surveillance Cameras

Yes, that is right! Synology has revealed (at their Synology Enterprise Data Management Annual Conference Event in Taiwan) that they plan on releasing a new range of Surveillance PoE cameras to be used in conjunction with their excellent CCTV/NVR software, Surveillance Station. These are the Synology BC500 compact Bullet camera and the Synology TC500 Dome camera. Although not a vast amount of information was revealed on these new cameras, it is worth highlighting that this makes Synology the FIRST commercial NAS brand to release their own range of cameras. To put that into perspective, although IP Cameras (Web cameras, internet cameras, etc) have been supported and compatible with Synology NAS systems for years (thousands of models and brands), this is the first time they have directly produced a camera that they are personally recommending for use with their systems and software.

This is something that alot of users have been asking/demanding for quite a long time. Here is the hardware that was revealed:

• 5MP Camera
• 2880X1620 Maximum Resolution
• 30FPS Maximum Framerate
• 110 Degrees Field of view
• IP67 Weatherproof
• PoE+ Support
• SD Card Slot
• Onboard Hardware for enhanced AI operations in Surveillance Station (Extent TBC)
• Edge Recording in conjunction with the SD Card Slot

You can learn more about the Synology BC500 Bullet Camera and TC500 Turret Camera in our video below:

New Synology VS750HD KVM Surveillance Module

Synology is also working on releasing a new VisualStation device, the VS750HD partner device for surveillance coverage and monitoring in larger environments. That is a device with which you can monitor up to 75 streams and they state up to two monitors can be connected (still TBC)

This article will likely see a few updates as the week goes on! Subscribe to updates in the box below to get alerts when we add more!

This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below

Need Advice on Data Storage from an Expert?

We want to keep the free advice on NASCompares FREE for as long as we can. Since this service started back in Jan '18, We have helped hundreds of users every month solve their storage woes, but we can only continue to do this with your support. So please do choose to buy at Amazon US and Amazon UK on the articles when buying to provide advert revenue support or to donate/support the site below. Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you. Need Help? Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry. [contact-form-7]     Terms and Conditions Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.  

 

Microsoft released version 22H2 of Windows 10 (Windows 10 2022 Update). It offers practically no new features for end users but introduces some changes that are relevant for admins. These include extensive alignment of group policies and the security baseline with Windows 11 22H2.

The post Windows 10 22H2: New Group Policy settings and updated Security Baseline, no ADK first appeared on 4sysops.

The UserAccountControl attribute can be used to configure several account settings in Active Directory. This applies, for example, to the expiration date of passwords or to Kerberos delegation. An AD audit should check this attribute regularly. This can be done using PowerShell, and there is a cmdlet for changing flags.

The post UserAccountControl attribute: Checking and configuring security settings for Active Directory accounts first appeared on 4sysops.

I. Présentation

Dans ce tutoriel, nous allons apprendre à déployer un contrôleur de domaine Active Directory sur le Cloud Azure de Microsoft. Que ce soit pour créer un nouveau domaine Active Directory ou pour ajouter un contrôleur de domaine à un domaine Active Directory existant, il y a un réel intérêt à s'appuyer sur le Cloud Azure pour bénéficier d'un contrôleur de domaine. Notamment, car on peut profiter de la haute disponibilité du Cloud.

Selon les bonnes pratiques, un environnement Active Directory doit être constitué d'au moins 2 contrôleurs de domaine. Si l'on part du principe qu'il y a un contrôleur de domaine sur votre infrastructure locale, il peut s'avérer judicieux de se tourner vers une VM Azure pour le second contrôleur de domaine.

Lors de la création d'une machine virtuelle dans Azure, il y a la possibilité d'attribuer une adresse IP publique à la VM. Je vous déconseille d'activer cette option en production. Pour que le contrôleur de domaine situé sur Azure communique avec vos serveurs on-premise, les éventuels autres contrôleurs de domaine, et vos postes de travail, il convient de monter un VPN site-à-site entre les deux infrastructures (on-premise et Azure).

• Monter un VPN site-à-site entre Azure et un pare-feu PfSense

Pour une utilisation en production, il faudra être vigilant au niveau des coûts, notamment les coûts liés à la machine virtuelle (type de VM, options de redondance, région, type de disques, etc...), mais aussi au tunnel VPN entre les deux infrastructures.

Dans cette démonstration, il n'est pas question du tout d'Azure AD même si l'on s'appuie sur le Cloud Azure. Ici, c'est un serveur sous Windows Server 2022 qui est mis en place, avec le rôle "ADDS", comme on le ferait sur son infrastructure locale.

II. Créer la machine virtuelle Azure

Commençons par créer la machine virtuelle dans Azure, à partir du portail d'administration : Créer > Machine virtuelle Azure.

L'assistant de création d'une nouvelle VM va démarrer, avec les différentes étapes habituelles : options de base, disques, réseau, etc... En ce qui concerne, le premier onglet nommé "De base", il y a plusieurs informations basiques à renseigner :

• Abonnement : choix de la souscription Azure
• Groupe de ressources : création d'un groupe de ressources pour cette machine virtuelle (ou utilisation d'un groupe existant)
• Nom de la machine virtuelle : nom du serveur, au niveau du système et dans la console Azure
• Région : région Azure dans laquelle déployer la VM, c'est-à-dire l'emplacement géographique
• Options de disponibilité : redondance de la VM dans d'autres régions Azure afin d'assurer une haute disponibilité en cas de crash du datacenter. Utile pour la production
• Type de sécurité : choisir "Lancer des machines virtuelles approuvées" permet d'activer le vTPM, le Secure Boot et la surveillance de l'intégrité
• Image : le type de système d'exploitation, ici "Windows Server 2022 Datacenter: Azure Edition - Génération 2"
• Architecture : x64 obligatoire pour ce système
• Taille : le type de machines virtuelles, ce qui joue sur la quantité de RAM et de vCPU - La VM "Standard_B2s" est basique, mais suffisante pour ce type d'usage à mon sens.

Ce qui donne :

Descendez dans la page... Définissez un nom pour le compte administrateur local du serveur, ainsi que son mot de passe. Ces identifiants devront être utilisés par la suite pour se connecter sur le serveur. On veille à choisir "Aucun" pour "Ports d'entrée publics".

Ensuite, c'est l'étape "Disques" qui s'affiche à l'écran. Le "SSD Standard" est suffisant d'un point de vue des performances, mais Microsoft le recommande surtout pour des tests. Pour la production, c'est le "SSD Premium" qui est recommandé, à minima.

• Microsoft Learn - Comparatif des disques Azure

Pour la partie réseau, vous pouvez créer un nouveau réseau virtuel s'il s'agit d'un nouvel environnement. En ce qui me concerne, c'est rattaché sur un réseau virtuel existant "VNET-10.10.0.0-16" dans lequel il y a un sous-réseau. Ici, on joue clairement sur la partie "réseau local" Azure.

En ce qui concerne les options "Adresse IP publique" et "Ports d'entrée publics", je vous recommande de choisir "Aucun" pour ne pas exposer la VM sur Internet. Dans un premier temps, cela peut s'avérer utile, mais veiller à désactiver ces options par la suite. L'objectif étant que le contrôleur de domaine soit joignable à partir du tunnel VPN.

Configurez éventuellement les autres options, sinon vous pouvez poursuivre jusqu'à la fin. Au final, la machine virtuelle "AZ-ADDS" est créée :

III. Définir une adresse IP statique

Nous allons attribuer une adresse IP statique à nouvelle machine virtuelle, à partir de l'interface Azure : 10.10.100.201/24. Quant au serveur DNS, ce sera la même valeur : 10.10.100.201/24. J'insiste sur le fait que cette configuration s'effectue dans le portail Azure, et non dans les paramètres du système. 

Si besoin, veuillez vous référer à ce tutoriel :

• Tutoriel - Configurer une adresse IP statique sur une VM Azure

Pour la configuration IP, cela donne :

Et, pour la partie DNS :

Désormais, la machine virtuelle est accessible via cette adresse IP : on peut se connecter en RDP et vérifier son adresse IP.

ipconfig /all

Les informations correspondent bien à la configuration définie dans Azure :

IV. Installer le rôle ADDS

La machine virtuelle "AZ-ADDS" étant prête, nous pouvons déployer le rôle ADDS : Active Directory Domain Services, correspondant aux services d'annuaire Active Directory.

Au sein du "Server Manager", on clique sur "Manage" en haut à droite puis "Add Roles and Feature" pour ajouter le rôle. Un assistant s'exécute... Passez la première étape nommée "Before you begin".

À l'étape suivante, sélectionnez "Role-based or feature-based installation" et poursuivez. Passez l'étape "Select destination server" puisque nous installons sur le serveur local.

Sélectionnez le rôle "Active Directory Domain Services" et validez avec "Add Features" quand la seconde fenêtre va apparaître, au moment où vous cochez la case pour sélectionner ce rôle. Ceci va permettre de bénéficier des différents outils d'administration.

Passez l'étape "Features", puis une fois à l'étape "Active Directory Domain Services", cliquez une nouvelle fois sur "Next".

L'installation est en cours de progression ! Patientez un instant.

Quand ce sera terminé, un avertissement s'affiche en haut à droite du gestionnaire de serveur. Cliquez dessus puis sur le bouton "Promote this server to a domain controller".

Un assistant va s'exécuter afin de nous permettre de créer notre domaine Active Directory. Sélectionnez "Add a new forest", car il s'agit d'un nouvel environnement. Dans le cas où vous souhaitez ajouter ce contrôleur de domaine à un domaine existant, choisissez "Add a domain controller to an existing domain".

Donnez un nom à ce domaine, par exemple "it-connect.corp" ou en utilisant un sous-domaine de votre domaine public, par exemple "corp.it-connect.fr". Poursuivez.

À l'étape suivante, conservez les options par défaut, car nous devons attribuer à ce serveur le rôle de "Serveur DNS". Définissez un mot de passe de récupération des services Active Directory.

Poursuivez l'étape "DNS Options", où l'avertissement est tout à fait normal.

Choisissez un nom NetBIOS pour ce domaine, ce qui est un nom court en quelque sorte. Par exemple : IT-CONNECT.

Passez l'étape "Paths" sans effectuer de modification, car nous conservons les paramètres par défaut pour la base Active Directory et le répertoire SYSVOL.

L'étape de vérification vérifie que tous les feux sont au vert pour permettre la création du domaine Active Directory et de la nouvelle forêt. Lisez les avertissements, et cliquez sur "Install" pour lancer l'installation.

A la fin du processus, le serveur va redémarrer tout seul ! Il faudra s'authentifier sur votre serveur avec le compte créé initialement avec la VM Azure, sauf que désormais il s'agit du compte administrateur du domaine ! Ainsi, dans l'OU "Users", il n'y a pas de compte "Administrateur" ou "Administrator", mais un compte "florian" dans mon exemple comme j'ai choisis ce nom lors de la création. Voyez par vous-même :

Dans l'OU "Domain Controllers", le contrôleur de domaine "AZ-ADDS" est visible et s'il s'agit du seul et uniquement DC de mon environnement.

V. Conclusion

Voilà, vous venez de déployer un contrôleur de domaine sur Azure avec un nouveau domaine Active Directory ! À quelques petits détails près... avec l'assistant ADDS, ce tutoriel s'applique aussi pour l'ajout d'un contrôleur de domaine à un domaine existant.

Si vous avez activé l'adresse IP publique afin d'effectuer cette configuration, pensez à désactiver cette fonction lorsque votre tunnel entre le Cloud et votre infrastructure locale sera mis en place. En attendant, vous pouvez configurer le firewall Azure pour autoriser uniquement votre adresse IP publique.

Par la suite, il conviendra de déployer un second contrôleur de domaine pour respecter la bonne pratique évoquée en début d'article. Vous devez également déclarer vos sites et vos sous-réseaux Active Directory pour rattacher chaque contrôleur de domaine sur le bon site.

The post Active Directory : comment déployer un contrôleur de domaine sur Azure ? first appeared on IT-Connect.

The current release of Windows 11 includes over 70 new settings for group policies. Most of these serve as security improvements and have largely been included in the security baseline. In addition, there are new policies for the Windows UI, the package manager winget, and Internet Explorer.

The post New group policies in Windows 11 2022: Start menu, taskbar, winget, printing, Defender, and IE first appeared on 4sysops.

I. Présentation

Dans ce tutoriel, je vous propose de mettre en place un script PowerShell qui va envoyer une notification par e-mail aux utilisateurs X jours avant l'expiration de leur mot de passe Active Directory, afin de les inviter à changer le mot de passe avant la date butoir.

Selon les environnements, et sous réserve qu'il y ait une politique de mots de passe en place (ce qui, malheureusement, n'es pas si évident que ça), l'expiration du mot de passe sur un compte utilisateur peut poser des problèmes de connexion sur des services basés sur l'authentification Active Directory. D'ailleurs, j'ai abordé cette problématique plus en détail dans mon article "Active Directory et la mise en cache des identifiants".

L'une des "solutions" consiste à notifier les utilisateurs que leur mot de passe va expirer, quelques jours avant le jour J où ils devront impérativement changer le mot de passe. C'est ce que nous allons voir aujourd'hui, en passant par PowerShell.

II. Récupérer la date d'expiration du mot de passe avec PowerShell

Au sein de l'Active Directory, et plus particulièrement des comptes utilisateurs, chaque objet dispose d'un attribut qui contient la date et l'heure d'expiration du mot de passe. Cette valeur est calculée selon la politique de mots de passe appliquée sur l'utilisateur. Voici le nom de l'attribut auquel je fais référence :

msDS-UserPasswordExpiryTimeComputed

Cette valeur est visible avec l'interface graphique, avec la console "Utilisateurs et ordinateurs Active Directory" via l'onglet "Editeur d'attributs", ou via PowerShell. Voici un exemple :

La valeur de cet attribut n'est pas directement modifiable, car il s'agit d'un attribut construit dont la valeur a la particularité d'être calculée à partir d'autres attributs (pwdLastSet) et objets. Tous les détails de cet attribut sont disponibles dans la documentation de Microsoft :

• Microsoft Learn - msDS-UserPasswordExpiryTimeComputed

Cette information est également visible avec la commande historique "net user", en précisant un nom d'utilisateur, puis en regardant le champ "Le mot de passe expire". Voici un exemple avec l'utilisateur "guy.mauve" :

net user guy.mauve /domain

Toutefois, je trouve que la valeur de l'attribut Active Directory est plus fiable que celle renvoyée par cette commande.

Avec PowerShell, on peut afficher la date d'expiration des mots de passe pour un ensemble d'utilisateurs avec cette commande :

Get-ADUser -Filter { (Enabled -eq $True) -and (PasswordNeverExpires -eq $False)} –Properties "DisplayName", "mail", "msDS-UserPasswordExpiryTimeComputed" | 
           Select-Object -Property "Displayname","mail",@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}

Cette commande retourne l'information pour tous les utilisateurs activés et dont le mot de passe a une date d'expiration. Voici un exemple de sortie :

III. Expiration du mot de passe : notification par e-mail

L'e-mail est un canal de communication privilégié et efficace en entreprise, même s'il y a également d'autres solutions de communication comme Microsoft Teams. Le fait d'envoyer une notification par e-mail à l'utilisateur quelques jours avant l'expiration de son mot de passe va vous permettre de communiquer en direct avec lui, de façon automatique.

Désormais, intéressons-nous au script PowerShell, qui est disponible sur mon GitHub : vous pouvez le réutiliser en l'état ou l'adapter à votre guise. Pour utiliser ce script nommé "Send-ADPasswordExpirationNotifications.ps1", vous avez seulement besoin de modifier ces quelques variables :

# Nombre de jours avant l'expiration pour envoyer la notification
$DateThreshold = 7

# Serveur SMTP - Nom du serveur
$SMTPServer = "smtp.domaine.fr"

# Serveur SMTP - Numéro de port
$SMTPPort = 25

# Serveur SMTP - Adresse e-mail de l'expéditeur
$SMTPSender = "[email protected]"

# Serveur SMTP - Encodage Email
$SMTPEncoding =[System.Text.Encoding]::UTF8

# Envoyer une synthèse aux administrateurs
[boolean]$SendReportAdmin = $true

# Adresse e-mail du destinataire pour la synthèse
$SendReportAdminEmail = "[email protected]"

Vous pouvez adapter le script pour la prise en charge du SSL et/ou des Credentials dans les commandes Send-MailMessage (pour envoyer les e-mails) selon votre environnement. Vous pouvez aussi ajouter l'option "-Cc" avec votre adresse e-mail, si vous souhaitez recevoir une copie de l'e-mail envoyé à chaque utilisateur.

Lorsque ce script tourne, il va récupérer la date d'expiration du mot de passe pour tous les utilisateurs activés et dont l'option "Le mot de passe n'expire jamais" n'est pas cochée. Ensuite :

• Dans le cas où le seuil de notification est définit à "7", un e-mail sera émis à l'utilisateur si son mot de passe expire dans 7 jours ou moins de 7 jours.
• Dans le cas où le mot de passe est déjà expiré, la notification n'est pas envoyée.

Chaque utilisateur recevra une notification similaire à celle-ci :

Le service informatique recevra une synthèse par e-mail avec la liste des utilisateurs dont le mot de passe expire bientôt. Cet e-mail est envoyé uniquement si "$SendReportAdmin = $true" donc vous pouvez activer ou non ce rapport supplémentaire.

Le script est disponible ici :

• GitHub - Send-ADPasswordExpirationNotifications.ps1

Pour que ces notifications soient envoyées automatiquement, il convient d'exécuter ce script dans une tâche planifiée. Sur le contrôleur de domaine avec les rôles FSMO, ce sera très bien à mon sens. Quant au compte utilisé pour l'exécution de la tâche planifiée, un gMSA est conseillé.

L'action à lancer ressemblera à ceci :

powershell.exe -File "C:\Scripts\Send-ADPasswordExpirationNotifications.ps1"

Comme ceci :

Si vous n'êtes pas très à l'aise avec cette partie de la configuration, consultez ces deux articles :

• Tâche planifiée - Exécuter un script PowerShell
• Tâche planifiée - Utiliser un gMSA

IV. Conclusion

Grâce à la mise en place de ce script, vos utilisateurs seront notifiés que leur mot de passe expire prochainement et pourront procéder à la réinitialisation de celui-ci avant l'échéance précisée dans l'e-mail.

Si vous avez des suggestions pour améliorer le script "Send-ADPasswordExpirationNotifications.ps1", n'hésitez pas à m'en faire part.

The post Active Directory : notification par e-mail pour l’expiration de mot de passe first appeared on IT-Connect.

I. Présentation

Pour les administrateurs de parcs informatiques sous Windows avec des machines intégrées à un domaine Active Directory, le message d'erreur "La relation d’approbation entre cette station de travail et le domaine principal a échoué" est un grand classique. Le type d'erreur que l'on rencontre tous au moins une fois, même si l'on aimerait bien s'en passer ! Il existe diverses pistes et solutions pour se sortir de se pétrin... Notamment, manuellement via l'interface graphique, mais aussi en ligne de commande.

Dans ce tutoriel, je vais répondre à une question simple : comment corriger l'erreur "La relation d’approbation entre cette station de travail et le domaine principal a échoué" ? Sur une machine en anglais, le message d'erreur correspondant est "The trust relationship between this workstation and the primary domain failed".

II. Le principe des mots de passe "ordinateurs"

Lorsqu'une machine Windows est intégrée à un domaine Active Directory, un objet appartenant à la classe "computer" est créé dans l'annuaire. Cet objet est alors un compte d'ordinateur pour la machine en question. Au-delà du nom, il y a un mot de passe qui est associé à ce compte : ce mot de passe est connu de la machine Windows et de l'annuaire Active Directory. Par défaut, ce mot de passe est valide pour une durée de 30 jours. Au bout de 30 jours, il est renouvelé automatiquement, sans aucune action de votre part.

En modifiant une stratégie de groupe sur votre environnement, par exemple la GPO "Default Domain Policy" qui est native, vous pourrez retrouver le paramètre "Membre de domaine : ancienneté maximale du mot de passe du compte ordinateur" qui montre que la valeur par défaut est de 30 jours.

Quand ce message d'erreur se produit, c'est comme si la confiance entre les deux parties avait soudainement disparu. Dans de nombreux cas, cela s'explique par le fait que le mot de passe de l'ordinateur local (la machine Windows intégrée dans l'AD) ne correspond pas au mot de passe stocké dans l'Active Directory. Autrement dit, le renouvellement du mot de passe ne s'est pas passé comme prévu...

Le renouvellement du mot de passe est initié par la machine Windows, à partir du service Netlogon. Cette opération s'effectue au démarrage, ou au moment de s'authentifier auprès du contrôleur de domaine. Le mot de passe est alors stocké dans le Registre Windows sous "HKLM\SECURITY\Policy\Secrets". De son côté, l'Active Directory stocke également ce nouveau secret. Dans une très grande majorité des cas, ce processus s'effectue correctement : heureusement, sinon tous les 30 jours ce serait infernal.

Parfois, cette opération échoue et l'erreur "La relation d’approbation entre cette station de travail et le domaine principal a échoué" se produit ! Il arrive même que sur une même machine, cette erreur revienne assez régulièrement. Je pense qu'il y a plusieurs erreurs qui peuvent se produire, plusieurs cas différents, pour en arriver à ce message. Par exemple, si le mot de passe est bien actualisé dans l'Active Directory mais pas dans la base locale : on se retrouve avec un secret différent. Cela peut se produire aussi si l'objet correspondant à cet ordinateur est supprimé de l'Active Directory.

Voilà, le décor est posé, maintenant nous allons voir quelques méthodes basées sur PowerShell pour corriger cette erreur. Je préfère donner plusieurs pistes, au cas où une méthode ne s'applique pas, vous pouvez en essayer une autre.

III. Dépannage - "La relation d’approbation entre cette station de travail et le domaine principal a échoué"

A. La méthode manuelle

La méthode manuelle est connue de beaucoup d'administrateur système. Elle fonctionne, mais elle n'est pas pratique, car elle nécessite de déconnecter la machine du réseau. Elle consiste à réaliser les actions suivantes sachant que l'objectif est de retirer la machine du domaine et de la réintégrer :

1 - Déconnecter l'ordinateur du réseau

2 - Se connecter en administrateur local

3 - Retirer l'ordinateur du domaine

Remove-Computer -UnjoinDomaincredential IT-Connect\Admin -PassThru -Verbose -Restart

4 - Réinitialiser l'objet ordinateur dans l'Active Directory

5 - Redémarrer l'ordinateur

6 - Reconnecter le câble réseau

7 - Ajouter l'ordinateur au domaine

Add-Computer -DomainName it-connect.local -Restart

Le principal inconvénient de cette méthode, c'est qu'elle implique une présence physique puisqu'il faut déconnecter la machine du réseau. Pour sortir la machine du domaine et l'ajouter de nouveau, on peut utiliser l'interface graphique de Windows ou les commandes PowerShell "Remove-Computer" et "Add-Computer".

B. La méthode PowerShell : Test-ComputerSecureChannel

Depuis plusieurs années, il est possible de corriger cette erreur avec PowerShell ! Une très bonne nouvelle, car ça veut dire qu'on peut le faire à distance, donc c'est beaucoup plus pratique. La commande Test-ComputerSecureChannel existe depuis Windows 10, elle est toujours disponible sur Windows 11. Personnellement, je vous recommande cette méthode.

Sur une machine où la relation d'approbation est cassée, il faut se connecter et exécuter simplement cette commande dans une console PowerShell :

Test-ComputerSecureChannel

Il est également possible de cibler un contrôleur de domaine spécifique, comme on le fait avec les commandes du module Active Directory. Par exemple :

Test-ComputerSecureChannel -Server "SRV-ADDS.it-connect.local"

Cette commande retourne simplement true (vrai) ou false (faux) pour indiquer l'état de la relation d'approbation entre l'ordinateur et l'annuaire (avec le paramètre -Verbose). Dans le cas où vous avez l'erreur de relation d'approbation, la commande retournera "false". De ce fait, il faudra ajouter le paramètre -Repair qui permet de réparer la relation d'approbation ainsi que les identifiants.

Test-ComputerSecureChannel -Repair -Credential [email protected]

On peut aussi faire :

Test-ComputerSecureChannel -Repair -Credential (Get-Credential)

En ce qui concerne le compte utilisateur, il peut s'agir d'un compte Administrateur ou tout simplement d'un compte qui a le droit d'ajouter des machines au domaine Active Directory.

Puisque c'est du PowerShell, on peut aussi agir à distance sur une ou plusieurs machines avec Invoke-Command. Voici un exemple :

Invoke-Command -ComputerName PC-01 -ScriptBlock { Test-ComputerSecureChannel }

Note : que ce soit avec cette méthode ou la méthode qui va suivre, si l'objet ordinateur n'existe pas dans l'Active Directory, il vaut mieux le créer avant. Avec la console "Utilisateurs et ordinateurs Active Directory" (ou une autre méthode), effectuez un clic droit "Nouveau" puis "Ordinateur". Attribuez le même nom.

• Microsoft Learn - Test-ComputerSecureChannel

C. La méthode PowerShell bis : Reset-ComputerMachinePassword

Lorsque l'erreur se produit, il y a une seconde commande PowerShell qui peut rendre service pour se sortir d'affaire : Reset-ComputerMachinePassword, disponible avec Windows PowerShell 5.1. Cette commande permet de réinitialiser le mot de passe du compte ordinateur de la machine locale.

Là encore, cette commande s'exécute depuis l'ordinateur où se situe l'erreur.

Voici comment s'utilise cette commande :

Reset-ComputerMachinePassword -Credential [email protected]

On peut également préciser le nom du contrôleur de domaine cible :

Reset-ComputerMachinePassword -Credential [email protected] -Server "SRV-ADDS.it-connect.local"

L'opération sera automatique, ce n'est pas à vous de définir le mot de passe. Cette méthode permet aussi de corriger l'erreur d'approbation.

• Microsoft Learn - Reset-ComputerMachinePassword

D. La méthode netdom

Netdom est un outil qui existe depuis très longtemps sur Windows, avant même que PowerShell pointe le bout de son nez. Il permet aussi de réinitialiser le mot de passe du compte ordinateur à partir de la ligne de commande.

Voici un exemple où je contacte le contrôleur de domaine "SRV-ADDS", en utilisant le compte "florian" et sans préciser le mot de passe en clair (d'où le "*").

netdom resetpwd /s:SRV-ADDS /ud:florian /pd:*

IV. Conclusion

Voilà, nous venons voir différentes manières de corriger l'erreur "La relation d’approbation entre cette station de travail et le domaine principal a échoué" sur vos machines Windows ! Avec PowerShell pour les machines récentes, et avec netdom (ou la méthode manuelle) pour les machines avec des systèmes plus anciens, car on le sait tous qu'il y en a encore en circulation !

Si vous connaissez une autre méthode, n'hésitez pas à nous en faire part avec un commentaire !

The post Windows : comment corriger l’erreur de relation d’approbation ? Voici plusieurs méthodes ! first appeared on IT-Connect.

Together with the release of Windows 11 2022, Microsoft published the corresponding security baseline. It recommends activating a whole range of additional group policies, most of which are new with this OS version. One main focus is on safeguarding printers.

The post Security baseline for Windows 11 2022: New recommended settings for printing, Defender, NetBIOS, and VBS first appeared on 4sysops.

Learn how ManageEngine ADManager Plus allows easy management for on-premises Active Directory and cloud applications, such as Microsoft 365 and Google Workspace, as well as easy Active Directory automation and permission delegation.

The post Automation for Active Directory, Microsoft 365, and Google Workspace with ManageEngine ADManager Plus first appeared on 4sysops.

Backing up domain controllers is a crucial part of any disaster recovery plan for organizations leveraging Active Directory on-premises. There are two types of restores: authoritative and nonauthoritative. Which one do you use where? We can perform both using Windows Server Backup. Let's look at this process with the nonauthoritative restore.

The post Recover Active Directory domain controllers with nonauthoritative restore first appeared on 4sysops.

Have you ever received the following error message when you tried to sign in on a domain controller? We can't sign you in with this credential because your domain isn't available. Scary, huh? With the help of Active Directory's Directory Services Restore Mode (DSRM), you can recover Active Directory by booting up in safe mode to restore a working configuration of your Active Directory. I hope you still know your DSRM password. If not, I show you how to reset the DSRSM password in this article.

The post Directory Services Restore Mode: DSRM password reset, recover Active Directory first appeared on 4sysops.