Dans ce tutoriel, nous allons voir comment activer ou désactiver le DNS over HTTPS dans Google Chrome, grâce à une GPO (stratégie de groupe).
Comme je le disais dans mon article dédié au DNS-over-HTTPS, cette norme est intéressante pour renforcer la vie privée des utilisateurs sur Internet, mais aussi pour chiffrer les trames DNS. Néanmoins, cela peut poser problème en entreprise puisqu'il devient plus difficile de réaliser du filtrage DNS avec un firewall : les trames DNS sont chiffrées et encapsulées dans du trafic HTTPS.
Si vous souhaitez garder le contrôle et empêcher l'utiliser du DoH au sein de Chrome sur les postes que vous gérez, il est possible d'agir avec une stratégie de groupe. C'est ce que nous allons voir dans cet article.
Vidéo complète sur le DNS over HTTPS : de la théorie à la pratique avec la configuration des navigateurs et une démo sous Windows 10 avec une rapide analyse de trames.
II. Gérer le DNS-over-HTTPS par GPO
Pour la GPO, je vous laisse en créer une nouvelle ou utiliser une GPO existante, c'est à vous de voir.
Ensuite, pour gérer le DNS-over-HTTPS par GPO, on peut appliquer les paramètres au niveau ordinateur ou utilisateur, c'est au choix. Les deux paramètres associés au DoH sont situés à cet emplacement :
Configuration utilisateur / configuration ordinateur > Modèles d'administration > Google > Google Chrome
Pour configurer le DoH au sein de Chrome, il faut activer le paramètre "Contrôle le mode DNS-over-HTTPS". Ensuite, il y a plusieurs valeurs possibles :
Activer DNS-over-HTTPS sans solution de secours à risque : utiliser exclusivement le DNS over HTTPS
Activer DNS-over-HTTPS avec solution de secours à risque : utiliser le DNS over HTTPS et recourir au DNS classique en cas d'erreur
Désactiver DNS-over-HTTPS : ne pas utiliser le DNS over HTTPS
En fonction de votre choix, si vous souhaitez activer ou désactiver le DoH, optez pour la bonne valeur.
GPO - Contrôle le mode DNS-over-HTTPS
Si vous souhaitez désactiver le DoH et empêcher qu'il soit activé par l'utilisateur, vous n'avez rien de plus à effectuer. Par contre, si vous souhaitez activer le DoH, il vous reste une dernière étape : spécifier le serveur DoH à utiliser.
Un second paramètre doit être configuré : "Permet de définir le modèle URI du résolveur DNS-over-HTTPS souhaité". Ce paramètre doit être activé et il faut définir l'URL du résolveur DoH que l'on veut utiliser.
Voici un exemple pour utiliser celui de Quad9 : https://dns.quad9.net/dns-query.
GPO - Permet de définir le modèle URI du résolveur DNS-over-HTTPS souhaité
Dans les deux cas, votre GPO est prête ! Dans Chrome, l'option "Utiliser un DNS sécurisé" est préconfigurée grâce à la GPO et elle ne peut pas être modifiée !
Pour de nombreuses raisons, on peut être amené à changer le nom de domaine d'un site Internet. Le changement du nom de domaine de son site Internet n'est pas une opération anodine et il y a quelques règles à respecter pour conserver son référencement.
Pour une entreprise, ce changement peut être lié à une fusion entre deux entités, à un changement de nom commercial, au changement de l'extension pour passer d'un ".fr" à un ".com", etc... Bien souvent, ce changement permet d'assurer une cohérence.
D'un point de vue technique, changer le nom de domaine d'un site Internet au sein du serveur Web est une opération relativement simple. Elle sera d'autant plus simple avec l'utilisation d'un CMS telle que WordPress. Cependant, il ne faut pas oublier de prendre en considération le référencement du site. Cela est d'autant plus important s'il s'agit d'un blog, d'une boutique en ligne ou d'un site de presse, par exemple. Au-delà de la chute des visites, une mauvaise gestion du changement du nom de domaine peut faire chuter le chiffre d'affaires de l'entreprise. Moins de visites = moins de ventes.
II. Acheter son nom de domaine
Avant d'attaquer l'opération du changement du nom de domaine, il faudra passer par une étape obligatoire : l'achat du nom de domaine. Pour pouvoir acquérir un nom de domaine, il faut s'adresser à un Registrar. Ce terme fait référence à un bureau d'enregistrement des noms de domaine. Suite à l'achat d'un nom de domaine, le Registrar se charge des opérations techniques et administratives pour vous désigner comme propriétaire.
Lorsque vous achetez un nom de domaine, c'est pour une durée limitée. Par exemple, vous l'achetez pour un an et tous les ans vous renouvelez le bail pour une année supplémentaire. De cette façon, vous pouvez rester propriétaire du nom de domaine aussi longtemps que vous le souhaitez.
Une petite anecdote avant de rentrer dans le vif du sujet : peut-être que vous ne le saviez pas, mais lorsque j'ai créé un site de tutoriels pour la première fois, le nom de domaine était "neoflow.fr" et puis, environ deux ans plus tard, le site est devenu "it-connect.fr".
III. Changer le nom de domaine et SEO : les bonnes pratiques
Pour bien gérer le changement de nom de domaine, voici quelques bonnes pratiques à respecter. Vous verrez que cela peut s'avérer long et fastidieux.
A. Les redirections 301
Lorsque l'on redirige une page A vers une page B, on peut définir le type de la redirection. Une redirection de type 301 ou une redirection de type 302. Dans le cas d'une redirection 301, on indique au moteur de recherche que cette redirection est permanente. À l'inverse, avec la redirection 302, on précise que cette redirection est temporaire.
Lorsqu'il s'agit de modifier son nom de domaine, on va utiliser des redirections 301 : cette opération étant définitive, nous souhaitons que Google et les autres moteurs de recherche la prennent en considération.
Vous ne devez pas rediriger toutes les pages de votre ancien nom de domaine vers la page d'accueil du nouveau nom de domaine. Cela n'est pas suffisant. Pour que la mise à jour des liens soit effectuée correctement d'un point de vue du référencement, il faut réaliser la correspondance. Si vous conservez le même site, avec les mêmes pages, cela revient à remplacer le nom de domaine dans l'URL (une règle de réécriture d'URL pourra faire votre bonheur).
L'idéal c'est que toutes les pages de votre ancien site renvoient vers votre nouveau site pour limiter la perte de trafic. Le cas échéant, vous devez prévoir une page 404 d'information sur l'ancien site pour avertir les visiteurs.
B. Conserver votre ancien nom de domaine
Dans la continuité du premier conseil, je souhaitais vous avertir sur l'importance de conserver votre ancien de domaine actif. En effet, les redirections 301 ne seront pas prises en compte en quelques heures par les moteurs de recherche. Il en est de même pour les backlinks sur les sites externes. Il est donc important de conserver son ancien nom de domaine pendant 1 an, au minimum. Vous pouvez aussi le conserver indéfiniment.
En résumé, si vous arrêtez trop rapidement votre ancien nom de domaine (c'est-à-dire le site plus accessible sur l'ancien nom de domaine), vous pouvez perdre des visites, ce qui va affecter la popularité de votre site et donc son référencement naturel.
C. Le fichier sitemap
Le fichier sitemap est une sorte de cartographie de votre site Internet au format XML : il s'agit d'un plan détaillé qui sert à visualiser l'arborescence de votre site et la liste des pages. Grâce à ce fichier, Google et les autres moteurs de recherche savent quelles sont les pages à indexer.
Le fichier sitemap de votre nouveau site doit être soumis à Google par l'intermédiaire de l'interface Google Search Console.
D. Google Search Console
Google étant le moteur de recherche numéro 1, vous devez lui prêter une attention particulière. En tant que webmaster, vous disposez d'une console de gestion nommée Google Search Console. Elle permet d'afficher les éventuelles erreurs liées à votre site, une fois que vous l'avez ajouté à votre compte.
Tout cela pour dire que vous devez ajouter votre nouveau nom de domaine au sein de la Google Search Console. Cela vous permettra de déclarer les redirections 301, d'envoyer le nouveau sitemap, mais aussi de déclarer vos deux noms de domaine.
Cette console aura également un rôle à jouer suite à la migration. En effet, elle vous permettra de suivre l'évolution de votre référencement dans le temps, et notamment l'impact du changement du nom de domaine. Par exemple, si vous voyez que le nombre d'erreurs 404 (pages introuvables) explose, c'est qu'il y a un souci quelque part au sein de vos règles de redirection.
E. Les liens externes (backlinks)
Les liens externes font partie des indicateurs clés à prendre en compte lorsque l'on évalue la qualité du référencement d'un site Internet. Lorsqu'un site Internet dispose de nombreux liens externes (appelés backlinks), cela lui permet d'améliorer son référencement. Il y a des backlinks plus importants que les autres, en fonction de la popularité du site source, mais aussi du type de lien (notamment s'il est do-follow ou non).
Cela signifie que lors du changement du nom de domaine, vous devez réaliser un inventaire des liens externes pointant vers votre site, dans le but de les faire actualiser par les webmasters des sites concernés. Plus facile à dire qu'à faire. Par exemple, sur un forum cela s'annonce compliqué, mais sur le site d'un partenaire cela sera très certainement possible.
Je fais référence aux liens externes dans ce chapitre de l'article, mais cela ne veut pas dire qu'il faut négliger les liens internes. Le maillage interne étant important, pensez à mettre à jour les liens internes à votre site pour pointer vers le nouveau domaine.
IV. Conclusion
Avec ces bonnes pratiques, vous avez désormais connaissance des actions principales à mettre en oeuvre pour conserver votre référencement (ou limiter la perte au maximum) suite au changement d'un nom de domaine sur votre site.
Je n'ai pas insisté sur les sauvegardes, mais bien sûr, avant d'effectuer des changements majeurs sur votre site Internet, effectuez une sauvegarde complète. Dans le même esprit, testez l'opération au sein d'un environnement de développement avant d'affecter la production.
Lorsque l'on utile WSL 2 sous Windows pour faire tourner des distributions Linux, nous n'avons pas trop de visibilité sur les ressources utilisées, ou en tout cas, sur le maximum de ressources que peuvent utiliser nos machines Linux. Microsoft a intégré un fichier de configuration nommé ".wslconfig" qui permet de gérer les ressources, c'est ce que nous allons voir.
II. WSL : ressources utilisées par les distributions Linux
Pour commencer, cherchons à voir quelles sont les ressources consommées par les distributions Linux. Je vous rappelle que l'on peut voir l'état de chaque distribution Linux (démarrée/arrêtée) avec la commande suivante :
wsl -l -v
Ensuite, au niveau des processus, nous avons bien des processus "wsl.exe", mais ils ne sont pas du tout représentatifs des ressources consommées. Pour avoir des informations précises, il faut s'intéresser à d'autres processus : vmmem. Ce processus permet de visualiser les ressources consommées par les machines virtuelles, en l'occurrence dans notre cas, la machine virtuelle WSL qui fait tourner les distributions Linux.
À partir de la console PowerShell, on peut voir facilement les ressources consommées par ce processus :
Get-Process vmmem
Bien entendu, vous pouvez voir ces informations à partir du Gestionnaire des tâches, en mode graphique. On peut voir sur la copie d'écran ci-dessous que le démarrage d'une distribution Linux entraîne la création d'un nouveau processus, et surtout cela entraîne une consommation de RAM : 436 Mo. On peut également voir le taux d'occupation du CPU.
Ressources consommées par WSL (RAM et CPU)
Si la distribution Linux tourne, mais que l'on ne fait rien avec, elle consomme relativement peu de RAM. Encore que, sur une machine avec 8 Go de RAM, on peut vite le sentir.
Ce que je vous recommande, c'est d'arrêter une distribution Linux quand vous ne l'utilisez plus (sans pour autant arrêter la machine virtuelle WSL). Comme nous l'avions vu dans un autre article, cette opération s'effectue avec la commande suivante :
wsl -t <nom de la distribution>
wsl -t Ubuntu
Voilà qui devrait libérer un peu de ressources sur votre machine Windows. Passons maintenant à la gestion des ressources.
III. Gérer les ressources avec .wslconfig
Depuis Windows 10 2004 (ou 20H1 ou May 2020 Update), il est possible de gérer les ressources utilisables par WSL grâce à un fichier .wslconfig que l'on va venir créer à la racine du profil de notre utilisateur :
Mémoire (RAM) : 50 % de la mémoire RAM totale de Windows ou 8 Go (la valeur la plus faible étant retenue). Sur les versions antérieures à la Build 20175 : 80 % de la mémoire RAM totale de Windows, en sachant qu'actuellement Windows 10 21H1 correspond à la Build 19043.
Mémoire (SWAP) : 25 % de la taille de la mémoire RAM disponible pour Windows, arrondie au Go le plus proche.
Processeur : la machine WSL peut utiliser le même nombre de processeurs que Windows, autrement dit tous les cœurs du CPU.
En lisant ces informations, on voit que la machine virtuelle WSL 2 peut consommer beaucoup de ressources sur notre machine. Nous allons pouvoir maîtriser cette consommation de ressources en jouant avec le fichier .wslconfig.
Commencez par créer un fichier nommé ".wslconfig" au sein de votre profil utilisateur. Pour rappel, cela va donner :
C:\Users\<mon utilisateur>\.wslconfig
Ou tout simplement :
%USERPROFILE%\.wslconfig
Dans ce fichier, commencez par créer une section sur la première ligne :
[wsl2]
A. WSL 2 : limiter la RAM
Pour limiter la RAM utilisable au maximum, par exemple à 4 Go, on va spécifier :
memory=4GB
Si vous souhaitez définir une valeur très faible, comme 512 Mo, c'est possible aussi :
memory=512MB
B. WSL 2 : limiter la mémoire SWAP
Pour la mémoire SWAP, le principe est le même qu'avec la RAM, si ce n'est que le nom du paramètre est différent :
swap=2GB
Pour désactiver le SWAP, on fera :
swap=0
Par définition, la mémoire SWAP s'appuie sur un fichier. Ici, ce sera sur un disque virtuel au format VHDX. Par défaut, ce disque est créé dans le profil de l'utilisateur à l'emplacement suivant :
%USERPROFILE%\AppData\Local\Temp\swap.vhdx
Pour définir un nouvel emplacement, Microsoft propose une option, mais elle ne fonctionne pas chez moi...! Voici tout de même pour information, si vous voulez essayer :
swapFile="C:\TEMP\swap.vhdx"
C. WSL 2 : gérer le nombre de processeurs virtuels
Pour le CPU, nous pouvons définir le nombre de processeurs virtuels de la machine virtuelle, comme on le ferait avec une VM dans Hyper-V.
Pour limiter la machine virtuelle à deux processeurs virtuels, voici la ligne à inclure :
processors=2
D. WSL 2 : exemple de fichier .wslconfig
Si l'on reprend les directives que l'on vient de voir, cela nous donne le résultat suivant :
[wsl2]
memory=4GB
swap=2GB
processors=2
Enregistrez le fichier .wslconfig et fermez-le pour le moment. Pour que les changements soient pris en compte, nous devons arrêter la VM WSL 2 et la relancer. Pour l'arrêter, voici la commande :
wsl --shutdown
Pour la relancer, il suffit de lancer une distribution Linux ou d'exécuter la commande "wsl"... La mécanique va se lancer !
Si l'on regarde les ressources de la distribution Linux, on peut voir que la RAM est bien définie à 4 Go et qu'il n'y a pas de SWAP (je l'ai défini à "0" dans le fichier de configuration pour cet essai) :
top
Le fichier de configuration .wslconfig intègre deux, trois, options supplémentaires. Vous pouvez spécifier un noyau Linux personnalisé (option kernel), mais aussi désactiver la possibilité de faire du port forwarding vers votre distribution Linux lorsque vous ciblez "localhost" (comme on a pu voir dans les épisodes précédents).
localhostForwarding=false
Voilà, vous connaissez l'essentiel du fichier de configuration .wslconfig pour gérer les ressources de WSL ! Vous allez retrouver le contrôle !
N'oubliez pas de consulter les autres épisodes de cette série d'articles pour maîtriser pleinement WSL sous Windows.
L'histoire se répète : Microsoft a publié en urgence une nouvelle mise à jour pour corriger des problèmes liés aux imprimantes et aux scanners. Il s'agit de la mise à jour KB5005394.
A l'occasion du Patch Tuesday de juillet 2021, Microsoft a corrigé la faille de sécurité CVE-2021-33764. Sauf qu'il s'avère que le renforcement de la sécurité crée des problèmes pour l'utilisation de certaines imprimantes, de certains scanners, mais aussi de certains périphériques multifonctions.
Sur son site, Microsoft explique qu'il y a un problème avec les périphériques qui ne respectent pas la section 3.2.1 de la norme RFC 4556, lors de l'utilisation de l'authentification par carte (smart card). Toujours d'après Microsoft, l'erreur se produirait après avoir installé la mise à jour de juillet sur les contrôleurs de domaine. Ce qui n'est pas illogique puisqu'il y a une histoire d'algorithme et de Kerberos derrière tout ça.
Plutôt que d'installer le correctif de Microsoft, vous pouvez regarder du côté du périphérique qui pose problème : le pilote est-il à jour ? Le firmware du périphérique est-il à jour ? Un coup de fil au support du fabricant peut s'avérer utile.
La KB5005394 s'adresse uniquement à Windows 10 1809, Windows Server 1809, et à Windows Server 2019. Dans le même temps, Microsoft a publié la mise à jour KB5005392 pour Windows 7 et Windows Server 2008 R2. Même si l'authentification par carte ne fonctionne plus, la méthode classique via utilisateur et mot de passe doit continuer de fonctionner. Pour Windows 10 et Windows Server 2019, la mise à jour est disponible en tant que paquet indépendant sur le Microsoft Catalog.
En complément, Microsoft devrait sortir d'autres mises à jour rapidement car ce bug touche toutes les versions de Windows 10, Windows 8.1 et Windows Server.
Il y a quelques jours, Microsoft a publié une nouvelle version majeure de son navigateur : Edge 92. À cette occasion, la firme de Redmond a intégré de nombreuses nouveautés, notamment l'extension Outlook pour Edge.
Intégration d'Outlook dans Edge
Un mois après la version Preview, l'extension Outlook pour Edge est disponible en version stable. Cette extension permet une intégration d'Outlook au sein d'Edge, par l'intermédiaire d'un bouton. Il donne accès à un panneau Outlook qui donne un accès rapide à ses e-mails, à son calendrier, à ses contacts ainsi qu'à ses tâches.
Grâce à cette extension, il n'est plus nécessaire de basculer d'Edge à Outlook. Diverses actions sont disponibles : lire et écrire des e-mails, ajouter un nouvel événement à votre calendrier, ajouter ou valider une tâche, etc. L'extension doit être installée manuellement.
Edge et la gestion des mots de passe
Microsoft a amélioré la fonctionnalité de gestion des mots de passe d'Edge. Désormais, le navigateur peut analyser les mots de passe que vous enregistrez pour vous dire s'ils sont assez complexes ou non, ou si vous utilisez le même mot de passe sur plusieurs sites. Des fonctions classiques, mais bienvenues.
Sur mobile, Edge devient un véritable gestionnaire de mots de passe. En effet, un mot de passe enregistré dans Edge peut être utilisé pour s'authentifier sur une autre application, par exemple Instagram.
Edge 92 : les autres nouveautés
La fonctionnalité "Collections" du navigateur Edge est capable d'enregistrer des captures d'écran de pages Web, en plus des images et du texte. Cette fonction sert à regrouper du contenu au sein de ce que l'on pourrait appeler, un groupe de contenus.
Par ailleurs, Microsoft Edge 92 revoit sa manière de lire les vidéos sur les sites Internet. Par défaut, la fonction de "Lecture automatique" des vidéos sera désactivée. Ce qui n'était pas le cas jusqu'ici. Plus précisément, le paramètre "Contrôler si le son et la vidéo sont lus automatiquement sur les sites" prendra la valeur "Limiter". En fonction de vos habitudes sur un site, la lecture automatique sera activée ou non par Edge.
Edge 92 est également l'occasion pour Microsoft de corriger certains bugs, comme d'habitude. La mise à jour d'Edge sera déployée au fur et à mesure sur les postes, mais vous pouvez aussi mettre à jour le navigateur manuellement à partir du menu : Aides et commentaires > à propos de Microsoft Edge.
Vidéo complète sur le DNS over HTTPS : de la théorie à la pratique avec la configuration des navigateurs et une démo sous Windows 10 avec une rapide analyse de trames.
