Reprise du message précédent :

Douce chanson que vous me chantez la Armand !  

Y'a une marque de routeur qui s'appelle TotoLink

Ca doit être indien
 
XaT

Vous allez faire quoi pour Windows 10 ?
J'ai pas mal de PC qui sont sous Windows 8.1 Pro, je sais pas encore comment je vais gérer ça

Master + licence VL + déploiement DRBL ou autre ?

Sinon tu dois pouvoir lancer le déploiement via GPO/update ?

XaT

 
Finir de migrer tous les postes sous Win7 déjà

J'ai 3 serveurs en Win 2012 R2, configurés pareil.

2 génèrent bien des logs des sauvegardes dans C:\Windows\Logs\WindowsServerBackup tout seuls comme des grands sans avoir rien demandé.

1 non, j'ai que l'etl et pas les .log

Les taches s'exécutent bien sans erreur, la config de la tache planifiée est la même avec les mêmes caractéristiques et la même ligne de commande, les options du Template sont les mêmes (basique : aucune modif, direction un disque externe dédié).

Une idée pour que ce con me génère bien les log ?

Edit : heuuu ça y est, monsieur viens de me pondre deux logs sur le déclenchement de ce midi. Huhu ...

Mais c'est imbitable comme scheduler, y'a aucune centralisation de l'état d'execution des runbook, la gestion des erreurs est à la limite de l'inexistant donc tu dois te faire ton propre runbook qui va aller écrire des erreurs dans une BDD/eventlog/SCOM (et encore, l'activité SCOM create alertest une pure merde aussi)...
 
Effectivement y'a toujours moyen de contourner le manque d'activités avec du powershell (en s'arrachant un peu les cheveux... le truc qui supporte toujours pas powershell 64 bit sans bidouille à la con, pitié ), mais au final tu te retrouves avec des runbooks "initialize data > run .net script", super le coté visuel
Le coté visuel parons-en, c'est sur que ca permet à des gens pas super techniques d'arriver à des résultats, mais c'est souvent bien laid à maintenir et faire évoluer justement parce qu'ils font ca dans leur coin
 
Et n'oublions pas les mécanismes (lol) de failover/load balancing des runbook
 
Franchement autant j'ai adoré prendre en main le produit, autant pour l'implémenter en prod et coller aux besoins des clients c'est vite moins drôle.
D'ailleurs, j'ai parlé de absolument tous les clients qui pigent pas pourquoi y'a pas un portail selfservice et qui pigent pas plus pourquoi il faudrait installer SCSM pour ca? Heureusement que y'a EUPSCO qui compense un peu...
 
Y'aura une bien une version SC 2016 effectivement, mais dans les technical preview y'a juste aucune nouveauté! Et en parallèle MS a sorti un outil qui permet de convertir les activités (et à terme les runbooks) en SMA... Si ca sent pas l'abandon du produit je sais pas ce que c'est
 

Non mais clairement les investissements vont sur SMA (enfin sur Azure automation plutôt) et si j'ai un nouveau projet à lancer je vais sur cette plateforme qui certe est pas gégé encore mais je pars sur un produit qui ne va subir aucune évolution.

 
Oh ok
tfacon on s'est fait niqué, obligé de prendre des licences Office 365 pour un pool de users pour régularisé nos licences vis à vis de MS sans pour autant se faire sodoculer finanicerement, donc ca y est on va devoir mettre un pied dedans....D'ailleurs si vous avez des retours d'experience la desuss :
- déploiement d'Office 365 et gestion ensuite
- Synchro AD avec Azure et ADFS

J'ai fais qq projets ouais

et donc faut pleurer ou ca se passe pas trop mal ?
 
niveau office 365 de ce que j'ai compris, plus de WinUpdate, les maj se font différement ? Le déploiement initial tu le fais comment ? Via SCCM?

Faut un AD propre, des UPN routables. Déjà là ça blesse en général.
 
La migration tout dépend de quoi tu pars.
 
Les maj du client oui tu récupères des binaires que tu poses sur un share, un process d'office va les chercher, tu peux aussi pousser sur SCCM ou autre solution de teledis.

l'upn c'est ok depuis le passage sur exchange (mais les users ne se logguent pas avec)
 
Office 2010 ou 2013
 
L'idée de la maj sur un share c'est pas mal, mais sans doute moins maitrisable niveau planif ? L'utilisateur a une popup quelque chose derriere ?

La partie ADFS peut être bien touchy aussi.

 
Ce qui est casse-couilles avec ta méthode c'est qu'il faut maintenir manuellement le champ owner, et que c'est ton équipe plutôt que les managers du demandeur qui font les manips.
 
Ce que j'avais mis en place à une époque, c'est d'utiliser l'attribut AD ManagedBy et d'y coller un groupe de responsables du service en question (nommé correctement), chargé de mettre à jour le groupe de permissions. Toute demande d'accès est renvoyée à ce groupe qui se démerde (l'ajout se fait en général via un outil de provisioning). Du coup ton équipe ne gère plus que la liste des managers, qui est bien plus statique que celle des utilisateurs.

 
N'hesite pas a en dire plus

Quand tu as installé les 5 serveurs et les 30 services nécessaires, ce n'est pas si compliqué
(Edit j'ai oublié les 70 certificats aussi )

J'avoue

 
ça je l'ai eu fait dans une autre vie, et malgré les mecs pas trop cons qu'il y avait, ils arrivaient régulièrement à tout pêter. (dont se retirer leurs propres droits..)
 
Alors avec les bras cassés de ma boite actuelle (je vous recommande d'aller filtrer sur mon pseudo dans le topic les phrases cultes), je vais même pas tenter, le serveur de fichier est en feu sous 3 jours  

Je vois pas ils comment ils pourraient tout péter si la seule manip possible est d'ajouter/enlever des utilisateurs à un seul groupe (le leur).

 
C'est une techno complexe, assez fragile, qui nécessite entre autre de la PKI (techno elle-même complexe, surtout si tu n'as rien à l'heure actuelle) et de gros investissements côté soft/hardware. Le vrai prix du Cloud, il est là, prends le temps de le chiffrer car ça risque de te coûter plus cher que d'acheter quelques licences Office.

Non pas besoin de PKI pour de l'ADFS.

 
C'est quand même plus pratique.

Je vois pas en quoi

Comment tu gères les certificats de tes serveurs sans PKI ?

Je pensais point de vue grosse boîte  

 
je comprends pas ton histoire de pki.
C'est plutot conseillé d'avoir des certificats publics sur du ADFS d'apres ce que je lis

 
Je ne vois pas pourquoi il faudrait une AC reconnue publiquement. En tous cas, le déploiement que j'ai fait, c'était tout en interne et il n'y a pas eu de problème à l'utilisation. S'il y'a des problèmes connus, ça m'interesse
Ok, il y'a une alerte si les utilisateurs essaient de se connecter depuis un poste qui n'est pas géré par la boîte mais bon... y'a peu de chance que ça arrive
 
Ensuite, j'ai l'impression que pour vous PKI = infra interne alors que pas forcément de mon point de vue. Verisinge et Gromodo, c'est de la PKI.

 
Avec Office365 si t'as quand meme de grande chance que le gars se connecte à son compte depuis des PC ou tablette/smartphone pas dans le domaine. Donc mieux vaut avoir des certificats publics. Les fonctions qui arrivent (ou existaient mais sont encore plus mise en avant) avec Win10 vont le demander aussi.
 
Je comprends pas ce que tu dis niveau PKI, essaye d'etre clair
Si tu as besoin d'installer une PKI (qu'on a deja) c'est que tu fais du certif interne, sinon tu passes par verisign ou autre bien sur. tu parlais de quoi toi ? de certif auto signé ?

 
Dans ce cas, effectivement...
 

 
Si tu fais de l'auto-signé, tu n'as pas de PKI.
Je disais juste que, contrairement à Je@nb, je ne vois pas comment sans PKI (qu'elle soit gérée par toi, Pierre, Paul ou Verisign, ça ne change pas grand chose), tu peux gérer tous les certificats nécessaires pour ADFS  sauf si tu n'as qu'un serveur et une poignée de postes à la limite.
 
Si pour toi PKI = autorité de certification interne alors OK, pas besoin de PKI selon ta définition. Mais pour moi, ce n'est pas la définition que j'ai d'une PKI
 
Je ne suis pas sûr d'être plus clair

pour moi t'es clair en tout cas

Oui qd il dit qu'il y a besoin d'une PKI je comprenais qu'il y a besoin d'installer une PKI (donc en interne) et ça non il n'y a besoin.
Sur ton infra ADFS il y a juste besoin d'un certificat public (que tu prends chez tout bon fournisseur) comme tu aurais sur ton serveur web dispo à l'extérieur et 2 certificats que tu autosignes (c'est plutôt la pair de clé qui est intéressante si me rappelle bien).

pour upgrader un 2012 en 2012 R2, c'est juste un patch a passer comme pour win8=>win8.1 ou bien faut foutre le dvd win2012R2 et faire une upgrade ?

D'ailleurs elle arrive quand la TP3 ?
 
XaT

 
ok compris
 
dans tous les cas ca sera un certif public (soit notre wildcard soit un nouveau si on veut gérer les UPN non standard mais c'est pas encore sur) et les certifs qui vont bien en interne si y'en a besoin, on a une autorité de certif interne.

Foutre le DVD et upgrade ouais.

Ce sont deux versions différentes, ce n'est pas un simple patch. L'upgrade in-place est possible mais pas recommandé car méthode plutôt crade.

ok merci

+10 000
 
2012 => format => réinstalle => 2012R2

Le défi du jour : deviner les rôles des serveurs suivants à partir de leur nom : amaterasu et kagebushin. Mais