Auteur : Pascal Dupont

Document importé sans retouche du wiki des EMMIRs, il faut donc l'adapter à votre environnement

Spiceworks s'appuie sur certaines fonctionnalités de Windows pour collecter la plupart des informations. Il s'agit du WMI (Windows Management Instrumentation). Je pense qu'on peut considérer cela comme une sorte de SNMP propriétaire portant non pas sur le réseau, mais sur le système d'exploitation d'un ordinateur.

J'ai constaté que bon nombre de services de Windows dépendent du partage de fichiers, le WMI semble en faire partie. Pas de partage de fichiers, pas de WMI. Il faut donc l'activer. Le WMI n'aime pas non plus le partage simple de fichiers. Bien que sur un windows XP pro ile ne soit pas censé être activé par défaut, j'ai découvert que la plupart des PC étaient configurés ainsi. Enfin, le WMI a également besoin de l'administration distante sur les windows. Je n'ai trouvé qu'une ligne de commande ou la GPO pour l'activer.

Accessoirement j'aime que les PC répondent au ping, donc je l'ai configuré également par GPO.

Sur le contrôleur de domaine, installez le Group Policy Management Console (c'est plus pratique que l'outil de base) disponible ici [1]. Cet outil a quelques dépendances service pack 1 pour windows server 2003 (à vérifier) et 1 ou 2 autre programmes téléchargeables chez Microsoft. Les GPO sont définies par des modèles d'administration (fichiers .adm). Il existe une page chez Microsoft pour avoir les dernières versions ici [2]. Cela apporte beaucoup de nouvelles fonctionnalités par rapport aux versions fournies il y a quelques années. Il est également possible de créer ses propres fichiers .adm, et nous en aurons besoin tout à l'heure.

Dans les outils d'administration, ouvrez Gestion des stratégies de groupe.

Dans votre domaine, faites un clic droit sur Objets de stratégies de groupe, puis nouveau. Donnez un nom explicite à votre GPO. Ensuite faites un clic droit sur votre nouvelle GPO, et choisissez modifier.

Voici le fichier .adm, tout prêt. Sauvegardez-le quelque part, vous allez l'ajouter aux modèles d'administration des GPO.

CLASS MACHINE
CATEGORY !!WindowsComponents
CATEGORY !!categoryname
KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa"
POLICY !!policyname
#if version >= 4
SUPPORTED !!SUPPORTED_Win2kSP1
#endif
; the following command specifies text on the Explain tab
EXPLAIN !!explaintext
; the following command creates a PART that contains a list box
PART !!labeltext DROPDOWNLIST REQUIRED
; the following statement specifies the registry value to modify
VALUENAME "forceguest"
; the following statement populates the drop down list
ITEMLIST
NAME !!actif VALUE NUMERIC 1 DEFAULT
NAME !!inactif VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
categoryname="Partage simple de fichiers"
WindowsComponents="Composants Windows"
policyname="activation ou desactivation du partage simple"
explaintext="activation ou desactivation du partage simple"
labeltext="activation ou desactivation du partage simple"
actif="actif"
inactif="inactif"
SUPPORTED_Win2kSP1="Au minimum Microsoft Windows 2000 Service Pack 1"

Fichier:Gpo-global.JPG

Dans la GPO en cours d'édition, développez Configuration de l'ordinateur, puis faites un clic droit sur Modèles d'administration (c'est là que les fichiers .adm ajoutent des options). Choisissez ajout/suppression de modèles.... Dans la fenêtre qui apparaît, cliquez sur ajouter... et désignez le fichier .adm personnalisé sauvegardé tout à l'heure. Fermez la fenêtre d'ajout/suppression de modèles.

Développez à nouveau Configuration de l'ordinateur, puis Modèles d'administration, Composants Windows et enfinPartage simple de fichiers. La partie à droite est généralement vide. la GPO personnalisée est masquée.

Faites un clic droit dans la zone de droite de l'éditeur de GPO, affichage puis filtrage.... Décochez Afficher uniquement les paramètres de stratégie pouvant être entièrement gérés.

L'arborescence se contracte, il faut redévelopper l'arborescence (Configuration de l'ordinateur, puis Modèles d'administration, Composants Windows et enfinPartage simple de fichiers). Double cliquez sur activation ou desactivation du partage simple. configurez le partage simple de fichiers sur inactif.

Allez dans Confoguration de l'ordinateur, Modèles d'administration, Réseau, Connexions réseau, Pare-feu Windows, Profil du domaine (sans vous perdre en chemin ! ;-) ) Fichier:Gpo-global.JPG

Dans la partie de droite configurez les réglages ci-dessous.

Fichier:Gpo-remoteadmin.JPG

Fichier:Gpo-filesharing.JPG

Fichier:Gpo-icmp.JPG

Fermez la fenêtre d'édition de la GPO, et revenez sur la GPMC.

Il suffit de glisser la GPO sur une unité d'organisation (OU) de l'Active Directory. Un lien est établi entre la GPO et l'OU. Il est possible d'activer ou désactiver le déploiement de la GPO par un clic droit sur ce lien, en cochant ou décochant Lien activé.

La ligne de commande gpupdate /target:computer demande à l'ordinateur de charger les GPO auprès du contrôleur de domaine. Si l'administration à distance est déjà activée sur le poste, vous pouvez utiliser psexec.exe téléchargeable ici [3].

psexec \\MaStation -u pedagogie\bugier gpupdate /target:computer

le paramètre -u permet de spécifier l'utilisateur qui excutera la commande. Son mot de passe sera demandé. Pour déployer immédiatement la GPO sur tous les PC actuellement sous tension:

psexec \\* -u pedagogie\bugier gpupdate /target:computer

Sur mes sites, j'ai vu que les baux DHCP durent 1 ou 2 semaines selon les sites. Quand une période de vacances arrive, les baux DHCP ont presque tous expiré, et Spiceworks est perturbé: il interoge un PC avec un nom, mais en réalité c'est un autre PC qui répond, entrainant des croisements dans sa base de données.

Vous pouvez cibler ce problème quand des PC qui n'ont pas subi de changement matériel ont changé d'adresse MAC, ou que des PC qui étaient bien détectés ne le sont plus.

Pour le vérifier, allez faire un tour sur le serveur DNS (outils d'administration, DNS).

Développez Serveur-pedago,Zones de recherche inversée, 172.16.x.x Subnet (ou équivalent). Si vous êtes sur un masque de sous réseau en 16 bits, vous aurez plusieurs "sous-dossiers" correspondant au troisième octet des IP enregistrées.

Dans un de ces "sous-dossiers", triez la liste par nom d'hôte (colonne Données). Recherchez des entrées multiples pour le même hôte, et ayant des IP différentes. Si ces cas existent, il faut activer le nettoyage de la zone DNS inversée.

Développez la zone de recherche inversée et faites un clic droit sur les sous réseaux à nettoyer, puis propriétés. Une fenêtre apparait.

Cliquez sur Vieillissement, cochez Netoyer les enregistrements de ressources obsolètes. J'ai configuré les deux intervalles sur 1 heure. Validez et revenez sur la console du serveur DNS.

Ensuite faites un clic droit, propriétés sur le serveur-pedago, cliquez sur l'onglet Avancé. Cochez Activer le nettoyage automatique des enregistrements obsolètes, et réglez le délai à 1 heure. Validez tout et gardez la console du serveur DNS. Vidéo disponible ici [4]

Pour procéder manuellement à un nettoyage (pour faire un test) utilisez la commande suivante sur le serveur.

dnscmd serveur-pedago /startscavenging

Après cette commande, ou passé le délai configuré, utilisez l'observateur d'évènements DNS de la console du serveur DNS pour voir le résultat du nettoyage.

Il peut avertir que le nettoyage n'a pas eu lieu car un nettoyage a eu lieu récemment, ou car aucune zone n'est cochée pour le nettoyage (vérifiez les zones de résolution inversée). Dans le cas contraire, l'évènement montre le nombre d'entrées scannées et nettoyées.

Après la première exécution du nettoyage sur la zone de résolution inverse, j'ai remarqué une erreur quand j'utilise nslookup. L'outil effectue une résolution inversée sur l'IP du serveur DNS; mais l'entrée correspondante a été effacée. Cela doit être dû au fait que le serveur DNS est en IP fixe, et donc il n'a pas de bail DHCP à renouveler. Par conséquent les entrées DNS du serveur lui-même deviennent obsolètes.

Fichier:DNS-ajout-PTR-01.JPG

Pour résoudre ceci, faites un clic droit sur votre sous réseau, puis nouveau pointeur (PTR).

Fichier:DNS-ajout-PTR-02.JPG

Remplissez le formulaire et précisez le nom du serveur DNS (en général le contrôleur de domaine). Précisez le nom du domaine, et ajoutez un point au bout du nom. Vous pouvez regarder les autres entrées PTR enregistrées pour exemple.

Voici comment diagnostiquer un problème sur des PC spécifiques, ramenant parfois aux problèmes (en principe) résolus par les configurations ci-dessus.

Testez la résolution de nom sur le PC:

nslookup MaStation

Cette commande retourne l'IP de la satation, supposons qu'elle retourne 172.16.10.45.

nslookup 172.16.10.45

Cette commande devrait retourner le nom donné lors du premier nslookup. Si ce n'est pas le cas, il ya un problème sur le serveur DNS.

(à vérifier car je le dis de mémoire, n'étant pas sur site)

Il faut vérifier la résolution de nom (voir ci-dessus). Si la résolution de nom est OK, il faut activer l'administration à distance sur le PC.

Placez votre souris sur ces stations et attendez (patiemment) l'infobulle les concernant. Comparez les adresses MAC. Si elles sont identiques, comparez les IP (toujours dans l'infobulle). Si, comme moi vous avez donné des baux permanents aux PC, effacez la station ayant la mauvaise IP. Sinon effacez la station mal détectée si l'autre l'est correctement.

Si les adresses MAC sont différentes, il vaut mieux garder les deux entrées pour avoir rapprocher le nombre de stations détectées du nombre réel.

Un tutoriel plutôt bien fait même si il s'appuie sur une version un peu ancienne de Spiceworks