hvostat: Jeeslaya (Default)
В связи с тем, что SHA-1 теперь "всё", то требуется провести апгрейд центра сертификации.

Есть два варианта:
1) Смена корневого сертификата
2) Перенастройка дефолтного криптоалгоритма

Второй вариант реализуется следующим образом:
1) Вваливаемся в командную строку.
2) Вбиваем следующее:
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
3) Перезапускаем CA:
net stop certsvc
net start certsvc

PS: А переходить, видимо, надо сразу на SHA-3

__
hvostat: Jeeslaya (Default)
Задача: скопировать набор групповых политик из одной OU в другую OU.

Решение:
Воспользоваться PowerShell.

$SourceOU = "SOURCE_OU"
$DestinationOU = "OU=DESTINATION_OU,OU=MOSCOW,DC=hvostat,DC=local"

[xml]$gpos = Get-GPOReport -all -ReportType xml

foreach ($gpo in $gpos.gpos.gpo) {

if ($gpo.LinksTo.SOMName -eq $SourceOU) {
New-GPLink -Name $gpo.name -Target $DestinationOU
}
}

__
hvostat: Jeeslaya (Default)
При попытке войти на сервер по RDP со смарт-картой получаем отлуп из сабжа.

Лечение простое: отключить NLA.

__
hvostat: Jeeslaya (Default)
Господин Филин, aka [livejournal.com profile] rustedowl схватил крайне неприятную проблему: передача данных между виртуалками и хост-машиной идёт со скоростью 1Мбит/с, хотя должна ~1Гбит.

Решение простое - на сетевой карте хоста отключаем TCP Offload, UDP Offload и Large Send Offload. Сразу после этого изменения скорость между хостом и виртуалкой выросла до ожидаемых величин.

Интересно, что когда Филин создал второй, тестовый switch для проверки - будет ли обмен данными идти нормально, через второй switch он шел нормально, в то время как через первый тормозил. Так же интересно, что нормально проходил FTP и IPerf, но не SMB.
Единственное отличие между тестовым и основным switch было в том, что основной входил в сетевой мост с реальными сетевыми адаптерами, а тестовый был сам по себе.

Про рекомендации от самих мелкомягких можно прочитать вот тут.

__
hvostat: Jeeslaya (Default)
Проблема:
При попытке войти в систему с помощью смарт-карты получаем крайне информативный отлуп:
"this smart card could not be used"

Проблема особенно часто проявляется при использовании мобильного интернета и/или нестабильных каналов связи.
При этом имеется 100% уверенность, что с драйверами на клиенте и сервере, а также самой смарт-картой и сертификатами всё в полном порядке.

Причина:
По дефолту, таймаут работы со смарт-картой для обмена RSA-ключами равен 1,5 секундам.
Этого более чем достаточно в случае работы в интрасети, но недостаточно при работе через медленный интернет.

Решение:

1) Вваливаемся в regedit.
2) Находим ключи.
2.1) В общем случае:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider]
[...]
"TransactionTimeoutMilliseconds"=dword:00005DC
[...]

2.2) Конкретно в моём случае:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\eToken Base Cryptographic Provider]
[...]
"TransactionTimeoutMilliseconds"=dword:000005DC
[...]

3) Увеличиваем значение TransactionTimeoutMilliseconds до необходимых значений. Я установил 1388, что в переводе равняется 5 секундам.
4) ???
5) PROFIT!!!

__
hvostat: Jeeslaya (Default)
Задача: получить в е-мейл результаты PS скрипта и/или уведомление через Scheduler.
Решение: использовать командлет Send-MailMessage

Пример:
$report = "Some report data"
Send-MailMessage -Body "$report" -Subject "PowerShell Test" -To admin@contoso.com -SmtpServer mail.contoso.com -From powershell@contoso.com -UseSsl -Encoding UTF8

_
hvostat: Jeeslaya (Default)
Задача: "переложить" расшаренные папки с одного диска на другой.

1) Останавливаем службу LanMan:
PS Stop-Service LanmanServer [-Force]
2) Копируем папку:
Robocopy.exe D:\FileShare1 E:\FileShare1\ /e /copyall
3) Правим реестр вот тут:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares
4) Запускаем службу LanMan:
PS Start-Service LanmanServer
5) ???
6) PROFIT!!!

Миграция WSUS:

wsusutil.exe movecontent E:\WSUS\ E:\move.log [-skipcopy]
_
hvostat: Jeeslaya (Default)
Проблема:
Иногда на сервере со статическим IP-адресом после установки службы DC и отработки создания нового ADDC в консоли DNS видно отсутствие необходимых DNS записей (SRV для pdc, kerberos и т.д.).

Адрес DNS в настройках сетевого адаптера единственный и установлен 127.0.0.1

Перезагрузка службы NET STOP/START NETLOGON не помогает.

Команда DCDiag /Fix завершается с отлупом:
The host [addc_guid]._msdcs.cmo-compliance.com could not be resolved to an IP address. Check the DNS server, DHCP, server name, etc.

Решение:
1) Открыть настройки адаптера локальной сети
2) Зайти в свойства IPv4 TCP/IP на вкладку DNS
3) Нажать Advanced и поставить галку "Register this connection’s addresses in DNS".
4) ???
5) PROFIT!!!

За гайдлайн благодарю [livejournal.com profile] xatkaru.
_

Profile

hvostat: Jeeslaya (Default)
hvostat

June 2017

S M T W T F S
    123
45678910
11121314151617
181920212223 24
252627282930 

Syndicate

RSS Atom

Style Credit

Expand Cut Tags

No cut tags
Page generated 20 September 2017 02:14
Powered by Dreamwidth Studios