Powershell : journal d'événements (get-eventlog et get-winevent)

Un article sur la gestion des événements en powershell.

Afficher les événements

Lister les événements classiques :
Get-eventlog -list

Lister tous les événements :
Get-winevent -listlog * | select logname

Lister les événements de sécurité dans les 100 dernières entrées
get-eventlog -new 100 -Logname Security

Lister les événements de sécurité dans les 100 dernières entrées (ouverture de session : 4624, fermeture de session 4634) pour un utilisateur (guillaume, syntaxe simple mais peu précise)
get-eventlog -new 100 -Logname Security -InstanceId 4624,4634 -Message "*guillaume*" | fl TimeWritten,entrytype,eventid,message

Même commande mais autre syntaxe, en utilisant le splatting :
$params = @{ new= 100
                        logname= "security"
                        instanceid = 4624,4634
                        message = "*guillaume*"  }
get-eventlog @params | fl TimeWritten,entrytype,eventid,message

Afficher un événement spécifique via id (index) :
Get-eventlog -logname system -Index 227211 | fl

Afficher les événements datant de 2 jours maximum 
$jours=(Get-Date).AddDays(-2)
Get-Eventlog -LogName "security" | Where-Object {$_.TimeGenerated -ge $jours}
ou
Get-WinEvent -LogName "security" | Where-Object {$_.TimeCreated -ge $jours}

Exporter et importer

Exporter les événements :

Get-EventLog System | Export-CliXml "c:\temp\eventsystem.clixml"

Vous pouvez ensuite travailler sur l'élément exporté :

$systemlogs = Import-CliXml "c:\temp\eventsystem.clixml"

$systemlogs | fl TimeWritten,entrytype,eventid,message

Vous pouvez aussi exporter les événements avec la commande suivante :

wevtutil epl System "c:\temp\eventsystem.evtx"

Et utiliser le fichier dans powershell de la manière suivante

Get-winevent -path "c:\temp\eventsystem.evtx"

Création d'événement et de catégories

Création de catégories

New-EventLog -Logname Script -Source eventtest

Logname : nom de la catégorie

Source : nom de l'élément (application) qui inscrit les événements dans le journal

Suppression d'une catégorie

Remove-EventLog -LogName script

Suppression d'une source

Remove-EventLog -Source eventtest

Inscrire un événement :

Write-EventLog -LogName script -Source eventtest -EventId 1234 -Message "Bonjour à tous"

Serveur DHCP Windows en Workgroup non autorisé

Lors de la mise en place d’un serveur DHCP sous Windows serveur non membre d’un domaine, il arrive que le DHCP ne fonctionne pas après une configuration correcte.
La console DHCP nous gratifie d’une jolie flèche rouge en nous invitant à autoriser le serveur DHCP dans le domaine Active Directory.
Ca serait-y pas qu’on aurait un DHCP autorisé membre d’un domaine sur le même réseau??

Explication

Un serveur DHCP autonome vérifie automatiquement s’il existe d’autres serveurs DHCP sous Windows et qui eux sont autorisés dans un domaine Active Directory.
Pour cela, le serveur envoi un message d’information DHCP INFORM contenant plusieurs types d'options spécifiques connues et prises en charge par les autres serveurs DHCP exécutant Windows Serveur. Si un serveur DHCP autorisé dans un domaine reçoit le message, il renvoi les informations du domaine racine Active Directory. Si le serveur DHCP reçoit une réponse il ne s’initialise pas, dans le cas contraire il fonctionne tout à fait normalement et relance un DHCP INFORM toutes les 60 minutes.

Résolution

Pour changer la fréquence de vérification, suivre le lien suivant kb297847 et viser la clé de registre RogueAuthorizationRecheckInterval .
Pour résoudre le problème et permettre au serveur DHCP de fonctionner, il suffit de modifier une autre clé de registre :
Dans
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
Modifier la clé
DisableRogueDetection
En indiquant la valeur : 1
Il suffit ensuite de redémarrer le serveur Windows pour valider le changement

Cette dernière clé de registre est aussi proposée par Microsoft pour corriger un problème de consommation mémoire trop importante du serveur DHCP sur un serveur 2008 en workgroup. Voir le kb949530.

Pour plus d’information vous pouvez bouquiner ces liens :
Autorisation des serveurs DHCP
DHCP: Rogue detection should be enabled

Comment renommer un domaine 2008

Il est tout à fait possible de modifier le nom d’un domaine pour un domaine sous Windows serveur 2003, 2008, 2008R2.
Le processus implique la mise à jour du DNS (Domain Name System), des relations de confiances, des GPO (Group Policy Object) et des SPN (Service Principal Name).
Il est impératif de lire et de comprendre la documentation technique « Comment renommer un domaine » dont cette documentation est une synthèse.

Important : Si votre forêt comporte au moins un de ces éléments ou fonctionnalités, vous devez impérativement lire la documentation technique de Microsoft :
• Exchange 2000
• Exchange 2007
• Exchange 2010
• DFS
• Autorité de certificat
• Ordinateurs sous NT 4

Conditions et effets sur les services
• Renommer un domaine est supporté dans une forêt où Exchange 2003 SP1 est déployé. Ce n’est cependant pas le cas pour Exchange 2000 ainsi que Exchange Server 2007 et Exchange Server 2010.
• La forêt est indisponible pendant une courte période, le temps que chaque contrôleur de domaine effectue les mises à jour de la base de données.
• Chaque ordinateur membre du domaine doit redémarrer deux fois après que le contrôleur de domaine est été mis à jour.
• Renommer le domaine ne renomme pas le FQDN du contrôleur de domaine. Modifier le FQDN est une opération supplémentaire à effectuer, cependant la non-modification du FQDN n’affecte pas le fonctionnement de la forêt.
• Par défaut, le suffixe DNS des ordinateurs membres est automatiquement mis à jour quand le domaine auquel les ordinateurs sont joins est modifié.

Renommer un domaine : Interaction et processus
L’utilitaire pour renommer le domaine (Rendom)
Rendom.exe est un utilitaire en ligne de commande disponible sur le cd de Windows serveur 2003 (une version plus à jour est disponible sur le site de Microsoft, celle-ci permet de renommer même si exchange 2003 sp1 est déployé sur le domaine).
Rendom.exe est directement disponible sur les contrôleurs de domaine Windows Serveur 2008 R2 et Windows Serveur 2008. Il est aussi disponible dans les Remote Server Administration Tools (RSAT).

Le fichier d’état du renommage de domaine
La première étape du renommage de domaine commence générer un fichier de type XML contenant la liste de tous les controlleurs de domaine de la forêt. A chaque étape ce fichier est modifié fournissant ainsi les informations nécessaire pour la prochaine étape.

Prérequis pour renommer un domaine
• Le niveau fonctionnel doit être 2003 ou supérieur.

• Les zones DNS doivent exister pour les nouveaux domaines.

Renommer un domaine : les étapes
1. Vérifier le niveau fonctionnel de la forêt : 2003 ou supérieur.

2. Créer la zone DNS pour le nouveau domaine.

3. Se connecter sur le contrôleur de domaine maître de la forêt, ouvrir un invite de commande et exécuter la commande rendom /list
Cette commande génère le fichier XML qui est placé à l’emplacement où vous avez exécuté la commande.
Vous devez ensuite ouvrir et modifier toutes les occurrences de l’ancien nom de domaine par le nouveau nom de domaine (aussi bien pour le nom DNS du domaine que pour le nom Netbios).
Un simple rechercher/remplacer suffit, par exemple, remplacer ancien.domain par nouveau.superdomaine (le nom DNS) et remplacer ancien par nouveau (le nom Netbios).

4. Une fois les modification effectuées, vous pouvez exécuter le commande rendom /showforest
Cette commande affiche les informations de votre futur domaine. Vérifiez et modifiez si nécessaire.

5. Vous pouvez maintenant exécuter la commande rendom /upload
Cette commande traduit la structure de la nouvelle forêt en une séquence de mise à jour qui sera exécutée individuellement sur chaque contrôleur de domaine de la forêt.

6. L’étape suivante consiste à vérifier si chaque contrôleur de domaine est prêt pour effectuer les modifications. Pour ce faire, exécutez la commande rendom /prepare

7. Ensuite exécutez le renommage de domaine avec rendom /execute
Un message vous avertit du redémarrage du serveur

8. Il reste tout de même quelques opérations à effectuer et notamment réparer les GPO avec les commandes suivantes :
gpfixup /olddns:ancien.domaine /newdns:nouveau.superdomaine
gpfixup /oldnb:ancien /newnb:nouveau

9. Il ne vous reste plus qu’à redémarrer deux fois les ordinateurs du domaine pour qu’ils intègrent les modifications

10. La dernière étape consiste à nettoyer les informations de l’ancien domaine avec la commande rendom /clean

11. Vous pouvez supprimer les zones DNS des anciens domaines et modifier le FQDN du contrôleur de domaine (propriétés système -> onglet nom de l'ordinateur -> modifier (Ok) -> Autres)

Comment sauvegarder et restaurer le serveur DHCP sous Windows serveur 2003-2008

Rappel sur le serveur DHCP
Le serveur DHCP enregistre les informations des baux et des réservations dans des fichiers situés dans le dossier %SystemRoot%\System32\DHCP. Les fichiers utilisés sont les suivants :

• Dhcp.mdb : Le fichier principal de base de données.
• J50.log : Un fichier de journal des transactions utilisé pour récupérer des transactions incomplètes en cas de dysfonctionnement du serveur.
• J50.chk : Un fichier de point de contrôle utilisé conjointement au journal des transactions pour le serveur DHCP. 
• Res1.log : Un fichier journal réservé pour le serveur DHCP. 
• Res2.log : Un fichier journal réservé pour le serveur DHCP. 
• Tmp.edb : Un fichier temporaire de travail pour le serveur DHCP.

Compresser la base de données
Il peut être utile de compacter la base de données DHCP avant de la sauvegarder ou de l'exporter
Pour ce faire, il est nécessaire d'utiliser l'utilitaire jetpack.exe. Voici la procédure :

1. Lancez un invite de commande avec des droits administrateur
2. Entrez : cd %systemroot%\system32\dhcp
3. Arrêtez le service serveur DHCP en tapant : net stop dhcpserver
4. Compactez avec jetpack : jetpack dhcp.mdb temp.mdb

Syntaxe et fonctionnement de la commande jetpack :
jetpack.exe < nom_de_la_base_de_données > < nom_de_la_base_de_données_temporaire >
Jetpack.exe compacte la base de données DHCP en procédant comme suit :

1. Copies de la base de données d'informations dans un fichier de base de données temporaire appelé temp.mdb.
2. Supprime le fichier de base de données d'origine DHCP.mdb.
3. Renomme le fichier de base de données temporaire par le nom de fichier d'origine.

Sauvegarder la base de données DHCP :
Par défaut, les informations de base de données DHCP sont sauvegardées automatiquement toutes les 60 minutes. Pour sauvegarder manuellement, procédez comme suit :

1. Dans la console DHCP, cliquez-droit sur le serveur que vous souhaitez sauvegarder, puis cliquez sur Sauvegarde.
2. Dans la boîte de dialogue Rechercher un dossier, sélectionnez le dossier qui contiendra la sauvegarde base de données DHCP, puis cliquez sur OK.

Les clés de registre qui contrôlent l'emplacement et le délai des sauvegardes DHCP, ainsi que d'autres
paramètres DHCP, sont situées sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters.
Les clés  suivantes définissent la configuration de la sauvegarde touches suivantes de contrôle de la base de données DHCP et la configuration de sauvegarde:

• BackupDatabasePath : Définit l'emplacement de la base de données DHCP. Vous devez définir cette option dans la boîte de dialogue Propriétés du DHCP. Cliquez sur l'onglet Avancé, puis définir le champ Chemin d'accès de base de données, le cas échéant.
• DatabaseName : Définit le nom du fichier de base de données DHCP primaire. La valeur par défaut est DHCP.mdb.
• BackupInterval : Détermine la fréquence de la base de données DHCP-client sauvegardés. La valeur par défaut est de 60 minutes.
• DatabaseCleanupInterval : Détermine combien de fois le service DHCP supprime  les enregistrements expirés de la base de données DHCP. La valeur par défaut est de quatre heures.

Restaurer la base de données DHCP

1. Démarrez la console DHCP, cliquez-droit sur le serveur que vous souhaiter restaurer, puis cliquez sur Restaurer.
2. Dans la boîte de dialogue Rechercher un dossier, sélectionnez le dossier qui contient la sauvegarde que vous souhaiter restaurer, puis cliquez sur OK.
3. Lors de la restauration de la base de données, le service Serveur DHCP est arrêté. En conséquence, les clients DHCP sont temporairement incapables de communiquer avec le serveur DHCP pour obtenir des adresses IP.

Note : Seules les bases DHCP de la même version linguistique peuvent être restaurées. Par exemple, une base de données DHCP d'un serveur DHCP qui exécute une version anglaise du système d'exploitation ne peut pas être restaurée sur un serveur DHCP exécutant une version japonaise du système d'exploitation.

Synchronisation NTP externe sur un serveur 2008

Par défaut, un serveur 2008 (ou 2008 R2) possède l'onglet "temps internet" dans la fenêtre de configuration "date et heure" qui permet de synchroniser le système avec un serveur de temps disponible sur internet.
Cet onglet n'apparaît que si le serveur est un serveur autonome (non membre d'un domaine).
Si vous configurez votre serveur comme contrôleur de domaine primaire, cet onglet disparaît, de même pour toutes les machines membres du domaine (clientes et serveurs).
Automatiquement toutes les machines du domaines vont se synchroniser sur le contrôleur de domaine primaire qui sert de serveur de temps local via le service w32time (Temps Windows).
Note : Une machine membre du domaine ne doit pas voir un décalage de temps avec le contrôleur de domaine primaire (ou plus exacte le KDC : Key Distribution Center) supérieur à 5 min. Cette valeur, liée au protocole Kerberos et définit par défaut à 5 minutes, est appelée "skewtime".


Le problème qui peut se poser alors, c'est un décalage de temps, par rapport à l'heure H, du contrôleur de domaine primaire qui lui utilise son horloge interne.
Voici la procédure pour faire en sorte que votre serveur se synchronise avec un serveur de temps internet. Microsoft ne propose pas de liste de serveurs de temps mais nous renvoie vers le site : www.pool.ntp.org
En ce qui me concerne, j'ai choisi deux serveurs de temps français : canon.inria.fr et ntp-sop.inria.fr.

Dans un invite de commande sur le contrôleur de domaine primaire, exécuter :

#Afficher la source actuelle de temps
w32tm /query /source

#Modifier la source de temps et utiliser les serveurs de temps
w32tm /config /syncfromflags:manual /manualpeerlist:”canon.inria.fr,ntp-sop.inria.fr”

#Redémarrer le service de temps
net stop w32time && net start w32time

#Afficher la configuration complète du temps windows :
w32tm /query /configuration
...
[Fournisseurs de temps]
NtpClient (Locale)
...
Type: NTP (Locale)
NtpServer: canon.inria.fr (Locale)
...

#Synchroniser manuellement le serveur
w32tm /resync

Update 25/03/12 : Si cela ne fonctionne pas compléter avec les commandes fournies par fossoyeur en commentaire.

Note : La commande w32tm remplace la commande net time pour la configuration du temps.

Bien sûr, il est nécessaire d'autoriser, sur le ou les pare-feux adéquats, votre serveur à envoyer des requêtes sur le port UDP 123 (In -> Out)

Après ça, normalement plus personne ne devrait venir se plaindre que les machines ne sont pas à l'heure H.