Le blog technique

Toutes les astuces #tech des collaborateurs de PI Services.

#openblogPI

Voir tous les articles

Retrouvez les articles à la une

Erreur installation de correctif: L’assistant d’installation pour la mise à jour de sécurité Exchange s’est terminé prématurément

par | 29 Nov 2021 |

Lors de l’installation d’un correctif de sécurité pour Exchange Server 2016, l’erreur suivante a été rencontrée « Setup Wizard for Security Update for Exchange Server 2016 cumulative Update…. ended prematurely »

L’erreur est due à une installation incomplète qui a entraîné la désactivation des services messagerie.

Résolution:

  • Définir les services Exchange sur Automatique et démarrer-les:

Get-Service -Name MSE* | Set-Service -StartupType Automatic
Set-Service -Name MSExchangeImap4 -StartupType Disabled
Set-Service -Name MSExchangeIMAP4BE -StartupType Disabled
Set-Service -Name MSExchangePop3 -StartupType Disabled
Set-Service -Name MSExchangePOP3BE -StartupType Disabled
Write-Host « Starting Services… »
Get-Service -Name MSE* | where {$_.StartType -ne « Disabled »} | Start-Service

  • Démarrer aussi les autres services dépendants comme IIS, Search, etc
  • Exécuter le fichier de correctif cumulatif dans une invite de commande avec l’option « Exécuter en tant qu’administrateur ». Ceci donnera au programme d’installation l’autorisation nécessaire pour installer le correctif avec succès.

–> L’activation et le démarrage des services conduisent à une installation réussie de la mise à jour de sécurité.

Nouveau module Exchange atténuant automatiquement les failles critiques

par | 27 Nov 2021 |

Microsoft a intégré un nouveau module à Exchange qui mettra en place automatiquement les mesures d’atténuation lorsqu’une nouvelle faille de sécurité est dévoilée. Ce nouveau composant se nomme « Microsoft Exchange Emergency Mitigation (EM) »

Les CU22 and CU11 pour Exchange 2016 et 2019 contiennent cette nouvelle fonctionnalité de sécurité supplémentaire :

  • L’idée n’est pas de vous protéger définitivement, mais temporairement, en attendant que vous ayez le temps d’installer le correctif de sécurité. Cela est valable aussi quand Microsoft n’a pas encore sorti le correctif, afin de vous protéger. Retenez que cela ne remplace pas les patchs de sécurité.
  • Cela installe un service Windows Exchange qui vérifie une fois par heure si une atténuation contre une vulnérabilité est disponible et l’installe le cas échéant,
  • Cette fonctionnalité est optionnelle et peut être désactivée
  • Seules les vulnérabilités jugées critiques auront une atténuation.

Le composant EM peut appliquer trois types d’atténuation :

  • Règle de réécriture d’URL dans IIS : Créer une règle pour bloquer les requêtes HTTP sur une URL spécifique
  • Gestion des services Exchange : Désactiver un service Exchange vulnérable
  • Gestion des pools d’applications : Désactiver un pool d’applications vulnérable

 La mise en place de cette nouvelle fonctionnalité nécessite :

    • l’installation du module IIS URL Rewrite, qui s’ajoute désormais aux prérequis systèmes à l’installation/mise à jour d’Exchange.
    • Le serveur doit accéder à l’url https://officeclient.microsoft.com/getexchangemitigations
    • Si Windows Server 2012 R2 est utilisé pour Exchange 2016, il faut installer la KB2999226.

Lors de l’installation/upgrade, il y a un changement d’accord de licence selon si vous souhaitez partager des données de diagnostics avec Microsoft ou non: Le switch /IAcceptExchangeServerLicenseTerms a été remplacé par:

    • /IAcceptExchangeServerLicenseTerms_DiagnosticDataON
    • /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF

Vous pouvez activer/désactiver le partage de des données de diagnostics unitairement par serveur avec la commande :

Set-ExchangeServer -Identity <ServerName> -DataCollectionEnabled $false

Vous pouvez activer/désactiver la fonctionnalité EM au niveau de l’organisation, ou au niveau serveur.

Set-OrganizationConfig -MitigationsEnabled $false

Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false

Après l’application d’un Security Update (SU), la mitigation associée est conservée, il faut retirer la mitigation manuellement

– Les activités des mitigations sont logés dans le journal des évènements des serveurs : (source MSExchange Mitigation Service) et dans le répertoire V15\Logging\MitigationService

MECM (SCCM) : Bonnes pratiques pour Windows 10 Servicing Upgrades (mises à jour des fonctionnalités)

par | 13 Nov 2021 | ,

Dans un projet de migration de Windows 10 vers une nouvelle version en utilisant les mises à jour de fonctionnalités de Microsoft Endpoint Configuration Manager, il y a quelques bonne pratiques à appliquer pour optimiser le process.

Ci-dessous 4 bonnes pratiques :

1. Définissez les paramètres ci-dessous sur la règle du plan de maintenance pour vous assurer de ne pas avoir de groupe de mise à jour logicielle vide après une synchronisation mensuelle des mises à jour SCCM, où les mises à jour des fonctionnalités sont remplacées (exemple de migration vers Windows 10 1909)

2. Augmentez la durée d’exécution maximale des mises à jour des fonctionnalités de Windows 10, de 120 minutes (valeur par défaut) à 600 minutes pour éviter la corruption de la migration (pour les appareils lents)

3. Définissez un plan de gestion de l’alimentation personnalisé sur les collections d’appareils cibles de migration pour désactiver le mode veille et l’arrêt du disque lorsque l’ordinateur n’est pas sur batterie

  • Assurez-vous que la gestion de l’alimentation est activée dans les paramètres du client

  • Sur une collection contenant tous les ordinateurs cibles pour la migration, définissez un plan personnalisé (ConfigMgr) pour les plans Peak et Non-Peak avec les modifications suivantes :

4. Modifiez les paramètres du client dans l’onglet des mises à jour logicielles comme suit :

  • Calendrier d’analyse des mises à jour logicielles > A lieu toutes les 12h (valeur par défaut : 24h)
  • Planifier la réévaluation du déploiement > A lieu toutes les 12h (valeur par défaut : 24h)
  • Dès que l’échéance d’un déploiement de mise à jour logicielle est atteinte, installer tous les autres déploiement de mise à jour logicielle avec une échéance pendant une période de temps spécifiée > Non (valeur par défaut : Oui)
  • Spécifier la priorité du thread pour les mises à jour des fonctionnalisés > Normal (valeur par défaut : Non configuré)

Derniers articles

Catégories

Archives

Auteurs/Autrices