Le désinstaller de Microsoft Exchange 2010 retourne une série d’erreurs à moins de suivre scrupuleusement les points ci-dessous.
⚠ Ceci supprimera vos boîtes mail, contacts, etc…! Il n’y a aucun retour arrière possible ⚠
Nous assumons que c’est le dernier serveur Exchange. Dans le cas contraire, soyez plus spécifique quant aux boîtes mail à supprimer, en précisant -Database par exemple, ou -server pour les connecteurs.
Suppression des boîtes mail utilisateurs mais pas des comptes AD!
Et pour finir suppression du dossier public. Ceci nécessite un peu plus d’efforts comme Exchange doit avoir au moins une base de dossiers publics. Il peut être supprimé avec l’outil ADSIEdit
Exécutez ADSIedit Clic droit sur Connexion… Sous « Sélectionnez un Contexte d’attribution de noms connu: » Sélectionnez « Configuration »
Puis naviguez vers:
CN=Configuration,DC=DOMAIN,DC=LOCAL
CN=Services
CN=Microsoft Exchange
CN=EXCHANGE_ORG
CN=Administrative Groups
CN=Exchange Administrative Group (FYDIBOHF23SPDLT)
CN=Databases
CN=PUBLIC_FOLDER_DATABASE
Maintenant vous pouvez supprimer la base de dossiers publics et désinstaller Microsoft Exchange 2010 sans encombre.
Il peut être nécessaire de lancer des sessions AS400 au boot pour différentes raisons comme lancer des scripts ou encore des sessions imprimantes. Voici quelques aléas que j’ai pu rencontrer.
Tout d’abord, les sessions ne se lançaient pas sans les paramètres additionnels de pcsws.exe /H – pour Hidden – et éventuellement /Q – pour cacher la fenêtre du logo IBM. Les options pcsws.exe sont disponibles sur IBM pour référence.
Cette méthode fonctionne pour une seule session. Pour en lancer plusieurs, il faut les lancer avec la commande « start ». Ajoutez le paramètre /B pour cacher la fenêtre DOS suivi de « », sans quoi les paramètres de la commande principale seront ignorés.
Ce simple script fera donc l’affaire:
@echo off
Set ScriptPath=C:\Scripts
Set client_Access_Home=C:\Program Files (x86)\IBM\Client Access
Set AS400=My_iSeries_Host
Set iSeries_User=myUser
Set password=myPassword
"%client_Access_Home%\cwblogon.exe" %AS400% /u %iSeries_User% /p "%password%"
start /B "" "%client_Access_Home%\Emulator\pcsws.exe" %ScriptPath%\session.ws /Q /H
start /B "" "%client_Access_Home%\Emulator\pcsws.exe" %ScriptPath%\other_session.ws /Q /H
pause
Créez une nouvelle entrée dans le planificateur de tâches à exécuter au démarrage du serveur. Sélectionnez l’utilisateur sous lequel la tâche doit se lancer et cochez « Exécuter même si aucun utilisateur n’a ouvert de session » et ajouter le fichier batch ci-dessus sous Actions.
La commande « pause » doit rester. Sans, la tâche se terminera, ainsi que le processus cmd laissant les process pcsws.exe actifs mais orphelins. L’imprimante restera à l’état Arrêté sur IBM i ! Si quelqu’un a une explication, n’hésitez pas à laisser un commentaire. cwblogon.exe est loin d’être idéal d’un point de vue sécurité, définissez un profil restreint! Indiquez le même utilisateur sous iSeries Navigator ou dans les paramètres de la session.
J’ai testé ceci sur Windows 2012 Serveur. A voir si ca fonctionne sur les autres OS mais il n’y a pas de raison que ca ne fonctionne pas. Vous pouvez maintenant planifier des reboots quand vous le souhaitez sans avoir à gérer la gestion manuelle du démarrage des sessions.
Pour les sessions imprimantes, il vaut mieux imprimer vers un partage d’imprimante Windows. Cette méthode est bien plus efficace. Si vous voulez lancer des commandes CL, il existe des solutions comme: – SSH avec une clé privée, et la commande system. – IBM supporte maintenant Ansible qui peut lancer des commandes CL si vous connaissez Ansible.
IBM i est capable de communiquer avec les partages imprimantes Windows en utilisant le protocole Unix LDP. C’est une solution bien meilleure que la session imprimante du Client Access vu qu’on se repose sur un simple partage et un service Windows. Il n’y a pas besoin de démarrer une session manuellement.
Sur Windows
Sur le serveur Windows, ouvrir le gestionnaire d’ordinateur, ajouter le rôle Serveur d’impression et sélectionner le service LPD. Celui-ci devrait être actif après le redémarrage.
Une fois redémarré, ajouter une imprimante, installer les pilotes adéquats et créer un partage dans les Propriétés de l’imprimante. Assurez-vous que la page de test s’imprime correctement.
Sur AS400
IBM recommande de créer une OUTQ distante (remote) mais ce n’est pas idéal pour certaines applications qui ont besoin d’imprimer sur un device. J’opterai donc pour une imprimante virtuelle couplée à une OUTQ distante. Cela se fait en 2 étapes.
Il existe plusieurs moyens de filtrer des adresses mac sur un switch parmi lesquels nous pouvons citer – le port security, – les access lists mac ou même – l’authentication 802.1x avec un serveur Radius.
Les ACL mac requièrent des switches de haut niveau tandis que l’authentification 802.1x nécessite une installation assez lourde et exige de gérer une base de données d’adresses mac sur un serveur Radius. Port security autorise l’ouverture de ports à des adresses mac mais cela implique d’avoir une liste exhaustive et d’appliquer une gestion drastique. Et comment interdire l’accès d’une mac à un vlan spécifique?
Tous les switches Cisco ont une fonctionnalité de base qui permet de configurer des adresses mac statiques. Voici 2 commandes simples qui vous aideront dans différents scenarii.
Interdire une Adresse Mac sur un vlan
Vous souhaitez interdire une machine d’appartenir à un vlan spécifique parce que ce vlan a des droits particuliers comme un accès à internet parr exemple alors que ce n’est pas le cas pour les autres. Vous pouvez interdire une adresse mac d’être sur un vlan avec l’option « drop »:
Cisco(config)# mac address-table static 0023.64a4.0e8c vlan 49 drop
Cisco(config)# do show mac address
49 0025.64a4.0e8c STATIC Drop
Forcer une Adresse Mac sur un vlan
Vous pouvez aussi faire l’inverse. Forcer une adresse mac sur un vlan et un port uniques, pour s’assurer qu’elle soit bien isolée du reste du réseau (si le vlan est configuré de cette façon). Pensez à ce vieil Windows XP sur lequel tourne encore un logiciel dont vous ne pouvez pas vous débarrasser :)
Cisco(config)# mac address-table static 0023.64a4.0e8c vlan 48 int fa0/35
Cisco(config)# do show mac address
48 0025.64a4.0e8c STATIC Fa0/35
Cela empêche quelqu’un d’accéder au mauvais vlan juste en connectant son câble sur un autre port – intentionnellement ou accidentellement – au cas où il aurait accès à l’armoire de brassage réseau.
Le client access peut se déployer par GPO grâce au fichier MSI fourni dans le répertoire d’installation. Vous devrez néanmoins créer un fichier MST pour l’accompagner lors du déploiement.
Créer un Fichier de Transformation
Un fichier de transformation contient des paramètres personnalisés que vous pouvez appliquer en déployant un logiciel par GPO. Le MSI n’a ainsi pas besoin d’être modifié.
Téléchargez out d’abord Instedit pour personnaliser le fichier MSI. Exécutez Instedit et cliquez sur Fichier -> Ouvrir et naviguez vers image32\cwbinstall.msi. Le MST (fichier Transform) s’appliquera aussi au package 64 bits un peu plus tard. Dans le menu, cliquez Transform -> New Transform Créez Transform.mst dans le même répertoire.
Nous allons maintenant modifier le MST. Cliquez sur la table Property, puis sur la partie droite, clic droit -> Add row Saisissez les propriétés et valeurs. Ex: CWBPrimaryLang/MRI2928 pour avoir le Français en langue par défaut. Cliquez ensuite « Enregistrer » dans le menu fichier. Toutes les modifications seront sauvegardées dans le fichier MST. Le MSI n’a subit aucune modification.
Vous trouverez des propriétés intéressantes que vous pouvez modifier dans la table Property: CWBInstallType: Complete/Custom/PC5250User (valide seulement à la première installation) CWBPrimaryLang: MRI2928 Dans la tables Feature: Mettez le champ level à 1 pour les fonctionnalités que vous voulez installer. La liste complète de ces fonctionnalités est disponible sur http://www-01.ibm.com/support/knowledgecenter/ssw_ibm_i_71/rzaij/rzaijfeattree.htm
Note: Si le Client Access iSeries est déjà installé sur l’ordinateur exécutant la GPO, seules les fonctionnalités déjà installées seront prises en compte. Le logiciel ne fera que se mettre à jour. Un peu dommage! Il existe 2 façons de contourner ce comportement: – Désinstaller Client Access et exécuter la GPO avec les nouvelles fonctionnalités listées dans le fichier MST. – Exécuter à la main msiexec /i cwbinstall.msi ADDLOCAL=feature (où feature est la fonctionnalité à ajouter)
Note: L’installation et le menu « Tous les programmes » s’afficheront en Anglais comme expliqué sur IBM. La sélection de la langue est disponible uniquement en exécutant setup.exe. Quoi qu’il en soit, la barre de menu dans les applications sera installée dans la langue définie dans CWBPrimaryLang.
Comment utiliser le MST?
Avant de créer la GPO, vous pouvez exécuter le fichier de transformation sur une machine de test en ligne de commande pour vous assurer que tout fonctionne correctement:
Si tout se passe bien, vous pouvez maintenant créer un objet de stratégie de groupe.
1. Créez un nouveau paquet d’installation logiciel dans le noeud paramètres ordinateur de l’éditeur de GPO. 2. Sélectionnez le fichier MSI cwbinstall, puis cliquez Avancé (C’est le SEUL moment que vous pouvez appliquer la transformation au package). 3. Pour les installations 32 bits, dans l’onglet Déploiement, cliquez Avancé, et décochez « Rendre cette application 32 bits X86 compatibles sur les machines 64 » 3. Sur l’onglet Modifications, cliquez Ajouter et sélectionnez le fichier MST créé précédemment. 4. Si vous avez des OS 32 et 64 bits sur votre réseau, ajoutez un second logiciel dans la même GPO, et sélectionnez l’application iSeries 64 bits. Le système choisira automatiquement la bonne version lors de l’application de la GPO
Service Packs et Prérequis
Pour plus de stabilité, vous devriez installer les derniers service packs iSeries Client Access service pack par dessus la dernière version. Téléchargez Microsoft Visual C++ 2005 Redistributable SP1 Security update – C’est un prérequis du service pack – vcredist_x86.EXE et vcredist_x64.EXE sur Microsoft. Téléchargez les derniers service packs 32 et 64 bits sur la page de téléchargement des SP IBM. Extrayez vcredist_xXX.exe avec 7zip ou un autre logiciel pour obtenir les fichiers MSI et CAB.
Préinstallez l’exécutable du service pack sur un ordinateur et choisissez d’extraire les fichiers dans un dossier permanent. Copiez le contenu du dossier dans votre image d’installation par défaut, en écrasant les anciens fichiers. Pour vcredist, créez une nouvelle GPO avec les MSI 32 et 64 bits (Ne décochez pas la compatibilité 32 bits puisque les OS 64 bits ont besoin de Visual C++ 32 et 64).
Changez l’ordre des GPO pour que le client Access s’exécute après vcredist: Cliquez sur l’OU; Dans le panneau de droite, mettez le Client Access en position 1 (l’ordre est inversé, la 1re ligne s’exécute en dernier!) Redéployez la GPO du Client Access avec le service pack intégré.
Vérification du déploiement avec RSOP
Vous pouvez vérifier que le déploiement s’est bien passé avec les outils habituels Microsoft comme rsop.msc ou gpresult.
