EV Observe - Configurer les prérequis de supervision Microsoft Windows

Modifié le 11/08/2022 19:12

L'utilisation des modèles de service pour superviser des équipements Microsoft Windows via les protocoles SNMP et WMI nécessite au préalable de remplir certains prérequis.

  • Les prérequis sont à configurer une seule fois.
  • Ils s'effectuent en 2 étapes :
    • Protocole SNMP : Configuration du service SNMP, des propriétés de l’agent SNMP et de la sécurité SNMP
    • Protocole WMI : Configuration d'un utilisateur dédié à la supervision dans Active Directory, de la sécurité DCOM et de la sécurité WMI
       

Aperçu du rôle des protocoles

  • Le protocole SNMP (Simple Network Management Protocol) permet de gérer les équipements du réseau et de diagnostiquer les problèmes de réseau.
  • Le protocole WMI (Windows Management Instrumentation) est un système de gestion interne de Microsoft Windows qui permet de contrôler et surveiller les ressources systèmes.

Remarques

  • Seul un utilisateur administrateur de domaine ou faisant partie du groupe local Administrateurs de l’équipement Windows peut interroger l’état des services Windows avec WMI.

Procédures

Comment configurer les prérequis de supervision Microsoft Windows pour le protocole SNMP

Étape 1 : Installation de la fonctionnalité SNMP dans les paramètres Windows

1. Ouvrez le panneau de configuration des paramètres Windows, via le menu Démarrer > Paramètres.

2. Cliquez sur Système, puis sur Applications et fonctionnalités dans le panneau latéral.

3. Cliquez sur Fonctionnalités facultatives.

4. Cliquez sur + Ajouter une fonctionnalité.

5. Sélectionnez la fonctionnalité Protocole SNMP.

6. Cliquez sur Installer.
  

Étape 2 : Configuration du service SNMP

1. Affichez les propriétés du service SNMP dans le gestionnaire des services Windows.

  • Ouvrez le gestionnaire des services Windows, via le menu Démarrer > Toutes les applications > Outils d'administration Windows > Services.

Note : Vous pouvez également ouvrir la console via l'invite de commande du menu Démarrer > Exécuter et en saisissant la commande ci-dessous.

services.msc

  • Recherchez la ligne Service SNMP.
  • Cliquez droit et sélectionnez l'option Propriétés dans le menu contextuel.

2. Configurez l'agent SNMP.

  • Cliquez sur l’onglet Agent.
  • Cochez les cases en regard des services que fournit votre ordinateur.
    • Physique: Indique si l’ordinateur gère les périphériques physiques, telle qu’une partition de disque dur.
    • Applications: Indique si l’ordinateur utilise des programmes qui envoient des données via le protocole TCP/IP.
    • Liaison de données et sous-réseau: Indique si l'ordinateur gère un sous-réseau ou une liaison de données TCP/IP, tel un pont.
    • Internet: Indique si l'ordinateur tient lieu de passerelle IP (routeur).
    • Bout en bout: Indique si l'ordinateur tient lieu d’hôte IP.
  • Cliquez sur Appliquer.

3. Configurez la sécurité SNMP.

  • Cliquez sur l’onglet Sécurité.

          SNMP service configuration.png

  • Ajoutez une nouvelle communauté.
    • Cliquez sur Ajouter dans la section Noms de communautés acceptés.
    • Renseignez le nom de la communauté et le droit associé.
      • Le nom de la communauté SNMP est sensible à la casse.

        Best Practice icon.png  Renseignez le même nom de communauté pour tous les serveurs.

      • Le droit LECTURE SEULE est suffisant.
    • Cliquez sur Ajouter.
  • Renseignez l’adresse IP du superviseur autorisé à effectuer des accès SNMP sur le serveur.
    • Cliquez sur l'option Accepter les paquets SNMP provenant de ces hôtes.
    • Cliquez sur Ajouter.
    • Renseignez le nom, l’adresse IP ou l’adresse IPX de l’hôte.
    • Cliquez sur Ajouter.

3. Enregistrez la configuration du service SNMP, via OK.

Vous revenez sur la liste des services.

3. Redémarrez le service SNMP.

  • Cliquez droit sur le service SNMP et sélectionnez l'option Redémarrer dans le menu contextuel.

Comment configurer les prérequis de supervision Microsoft Windows pour le protocole WMI

Étape 1 : Dans Active Directory, création et configuration de l’utilisateur dédié à la supervision

1. Créez dans votre domaine Active Directory un utilisateur de domaine dédié à la supervision.

Note : L'utilisateur doit faire partie du groupe local Administrateurs.

exemple  domain\servicenav

2. Créez un élément de GPO pour empêcher l’utilisateur de se connecter sur l’équipement, en mode Console et en mode Bureau à distance.

          WMI user configuration.png
 

Étape 2 : Démarrage du service WMI Infrastructure de gestion Windows

1. Ouvrez le gestionnaire des services Windows, via le menu Démarrer > Toutes les applications > Outils d'administration Windows > Services.

Note : Vous pouvez également ouvrir la console via l'invite de commande du menu Démarrer > Exécuter.

services.msc

2. Affichez les propriétés du service WMI Infrastructure de gestion Windows.

  • Recherchez la ligne Infrastructure de gestion Windows.
  • Cliquez droit et sélectionnez l'option Propriétés dans le menu contextuel.

3. Configurez un démarrage automatique du service.

  • Cliquez sur l'onglet Général.
  • Sélectionnez Automatique comme type de démarrage.
  • Cliquez sur OK.
    Le service est lancé à chaque démarrage de Windows.
     

Étape 3 : Ajout de l’utilisateur au groupe local Performance Monitor Users
 

Étape 4 : Configuration de la sécurité DCOM

1. Ouvrez le panneau de configuration des services des composants Windows, via l'invite de commande.

  • Allez sur le menu Démarrer > Exécuter.
  • Saisissez la commande ci-dessous.

dcomcnfg.exe

2. Affichez les propriétés du poste de travail.

  • Cliquez sur Mon ordinateur sous la racine de la console.
  • Cliquez droit et sélectionnez l'option Propriétés dans le menu contextuel.

3. Configurez les autorisations d'accès.

  • Cliquez sur l'onglet Sécurité COM.
  • Cliquez sur Modifier les limites dans la section Autorisations d'exécution et d'activation.
  • Sélectionnez l'utilisateur WMI dans la section Limites de sécurité.
  • Cochez les cases Exécution à distance et Activation à distance dans la colonne Autoriser.
  • Cliquez sur OK.

4. Fermez le panneau de configuration des services des composants Windows.
 

Étape 5 : Configuration de la sécurité WMI

1. Ouvrez la console de gestion Windows MMC (Microsoft Management Console), via l'invite de commande.

  • Allez sur le menu Démarrer > Exécuter.
  • Saisissez la commande ci-dessous.

wmimgmt.msc

2. Affichez les propriétés du contrôle WMI.

  • Cliquez sur Contrôle WMI sous la racine de la console.
  • Cliquez droit et sélectionnez l'option Propriétés dans le menu contextuel.

3. Configurez les autorisations d'accès de l'espace de nom CIMV2.

  • Allez sur le noeud Root > CIMV2.
  • Cliquez sur Sécurité.
  • Sélectionnez l'utilisateur WMI.
  • Cochez les cases Activer le compte et Appel à distance dans la colonne Autoriser.
  • Cliquez sur OK.
    Vous revenez sur la fenêtre de propriétés.

4. Enregistrez la configuration, via OK.

5. Fermez la console de gestion Windows MMC.
 

Étape 6 : Test du bon fonctionnement des droits d’accès à distance à WMI depuis la Box

1. Testez les droits d’accès à distance à WMI pour l'utilisateur WMI.

Via la ligne de commande wmic

  • Exécutez la commande ci-dessous depuis le terminal de la Box.

wmic --user='login' --password='password' --workgroup='domain' --namespace='root\CIMV2' server.IP.address "SELECT * FROM Win32_LogicalDisk" ; echo $?

  • Vérifiez que le résultat obtenu est identique aux lignes ci-dessous.

CLASS: Win32_LogicalDisk
Access|Availability|BlockSize|Caption|Compressed|ConfigManagerErrorCode|ConfigManagerUserConfig|CreationClassName|Description|DeviceID|DriveType|ErrorCleared|ErrorDescription|ErrorMethodology|FileSystem|FreeSpace|InstallDate|LastErrorCode|MaximumComponentLength|MediaType|Name|NumberOfBlocks|PNPDeviceID|PowerManagementCapabilities|PowerManagementSupported|ProviderName|Purpose|QuotasDisabled|QuotasIncomplete|QuotasRebuilding|Size|Status|StatusInfo|SupportsDiskQuotas|SupportsFileBasedCompression|SystemCreationClassName|SystemName|VolumeDirty|VolumeName|VolumeSerialNumber
0|0|0|A:|False|0|False|Win32_LogicalDisk|Lecteur de disquettes 3 ¢ pouces|A:|2|False|(null)|(null)|(null)|0|(null)|0|0|5|A:|0|(null)|NULL|False|(null)|(null)|False|False|False|0|(null)|0|False|False|Win32_ComputerSystem|COSVGRE14|False|(null)|(null)
0|0|0|C:|False|0|False|Win32_LogicalDisk|Disque fixe local|C:|3|False|(null)|(null)|NTFS|3661844480|(null)|0|255|12|C:|0|(null)|NULL|False|(null)|(null)|True|False|False|96266612736|(null)|0|True|True|Win32_ComputerSystem|COSVGRE14|False||0AF823EF
0|0|0|D:|False|0|False|Win32_LogicalDisk|Disque CD-ROM|D:|5|False|(null)|(null)|(null)|0|(null)|0|0|11|D:|0|(null)|NULL|False|(null)|(null)|False|False|False|0|(null)|0|False|False|Win32_ComputerSystem|COSVGRE14|False|(null)|(null)
0

Via un recensement sur la Box

  • Lancez un recensement depuis la Box, avec l'utilisateur WMI.

Le recensement interroge la classe WMI Win32_OperatingSystem avec l’utilisateur WMI.

  • Vérifiez que le recensement s'est bien effectué.

Un succès indique que l’utilisateur WMI dispose bien des droits d’accès à distance à WMI.

2. Corrigez les erreurs si l'utilisateur WMI ne peut pas accéder à la Box, puis relancez le test.

Timeout de la requête WMI

librpc/rpc/dcerpc_connect.c:790:dcerpc_pipe_connect_b_recv()] failed NT status (c00000b5) in dcerpc_pipe_connect_b_recv [wmi/wmic.c:196:main()] ERROR: Login to remote object. NTSTATUS: NT_STATUS_IO_TIMEOUT - NT_STATUS_IO_TIMEOUT 1

  • Résolution : Vérifiez que les règles de pare-feu autorisent le protocole WMI sur le serveur.
     

Hôte non joignable

librpc/rpc/dcerpc_connect.c:337:dcerpc_pipe_connect_ncacn_ip_tcp_recv()] failed NT status (c000023d) in dcerpc_pipe_connect_ncacn_ip_tcp_recv [librpc/rpc/dcerpc_connect.c:828:dcerpc_pipe_connect_b_recv()] failed NT status (c000023d) in dcerpc_pipe_connect_b_recv [wmi/wmic.c:196:main()] ERROR: Login to remote object. NTSTATUS: NT_STATUS_HOST_UNREACHABLE - NT_STATUS_HOST_UNREACHABLE 1

  • Résolution : Vérifiez que l'adresse IP est correcte.
     

Mot de passe erroné

  • Résolution : Vérifiez que le mot de passe ne contient pas le caractère @, qui n'est pas géré correctement par WMI.
    Note : Erreur constatée sur Windows server 2019
     

Serveurs Workgroup – connexion impossible

  • Cause : Une connexion impossible avec un compte administrateur local peut être liée à l'activation de l’UAC (User Account Control) lors de la supervision d’un noeud qui appartient à un workgroup (hors domaine).
  • Résolution : Désactivez l’UAC à distance sur ce noeud.
    Note : Cela ne désactive pas l’UAC local.
    • Connectez-vous à la machine avec un compte administrateur.
    • Ajoutez une clé de registre pour désactiver l'UAC local.
      • Ouvrez la base de registre.
      • Recherchez la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
      • Localisez ou ajoutez la clé DWORD : LocalAccountTokenFilterPolicy avec la valeur 1 (Note : La valeur 0 permet de réactiver l’UAC à distance).
Tags :
Powered by XWiki © EasyVista 2022