hvostat: Jeeslaya (Default)
Задача: получить данные по изданным сертификатам в CA.

Решение:
1) Скачать специальный PowerShell модуль отсюда.
3) Установить.
4) Импортировать модуль:
Import-Module PSPKI
5) Заполучить список интересующих сертификатов, например, вот так:
Get-CA | Get-IssuedRequest | Where-Object CertificateTemplate -eq "Secret Template" |Sort-Object NotAfter | ft CommonName, NotAfter

__
hvostat: Jeeslaya (Default)
Ни в коем случае не ставьте драйвера/утилиты для работы с eToken на сервера через RDP - от этого службе смарт-карт становится плохо и она прекращает их пробрасывать в удаленные сеансы.

Правильный метод следующий:
1) Ввалится в сервер через консоль Hyper-V, iLo, IMM или подобную.
2) Запустить службы:
SCardSvr "Smart Card"
ScDeviceEnum "Smart Card Device Enumeration Service"
3) Установить метод запуска обеих служб в "automatic"
4) Установить драйверы/утилиты SafeNet / eToken PKI Client
5) ???
6) Profit!!!

Как убедится, что всё сделано правильно:
1) Ввалиться на сервер через RDP
2) Открыть SNAC/ ETPC
3) Кликнуть RMB по "Tokens" и выбрать "Reader Settings" или "Managing readers" в зависимости от клиента.
4) Значения "Set number.... to:" по дефолту должны быть следующими: 2,1

_
hvostat: Jeeslaya (Default)
При попытке удалить программу в безопасном режиме получаем отлуп:
"The Windows Installer service is not accessible in Safe Mode"

Однако, при попытке запустить сервис лапами вручную получаем другой отлуп:
"Error 1084: This service cannot be started in Safe Mode."

Решение:
1) Вваливаемся в regedit.
2) Находим ветку: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
3) Создаём в ней "key" по имени "MSIServer"
4) Внутри созданного ключа изменяем значение "not set" на "service".
5) Повторяем то же самое для ветки: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
6) Перезагружаем сервер
7) ???
8) PROFIT!!!

_
hvostat: Jeeslaya (Default)
1) Вваливаеся в Hyper-V virtual switch manager.
2) Создаём новый свитч типа "internal".
3) Вваливаемся в "Network Connections".
4) Выбираем физические интерфейсы, которые будем бриджевать, ВКЛЮЧАЯ тот виртуальный интерфейс, который создался в шаге №2.
5) Назначаем IP-адрес, маску и прочие гейтвеи.
6) ???
7) PROFIT!!!

_
hvostat: Jeeslaya (Default)
Куда пропала утилита Disk Cleanup в Windows 2012/Windows 2012R2?

Никуда не пропадала:
1) Запускаем Server Manager
2) Manage => Add Roles and Features
3) Устанавливаем "фичу" в Features => User Interface and Infrastructure => Desktop Expirience
4) Перезапускаем сервер.
5) ???
6) Profit!

В отличии от Windows2008, 2008R2и 2012 фокус с копированием файлов не пройдет - только ставить "фичу".

__
hvostat: Jeeslaya (Default)
Проблема: в логах аудита безопасности огромное количество записей с сабжевым заголовком и следующим содержимым:

An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: SERVER_NAME$
Account Domain: DOMAIN
Logon ID: 0x3E7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:

Failure Information:
Failure Reason: Account currently disabled.
Status: 0xC000006E
Sub Status: 0xC0000072

Process Information:
Caller Process ID: 0x1070
Caller Process Name: C:\Windows\System32\inetsrv\w3wp.exe

Network Information:
Workstation Name: SERVER_NAME
Source Network Address: -
Source Port: -

---------------------

Решение:
1) Открываем regedit.
2) Находим ветку:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
3) Создаём: new=>multi-string value
4) Называем его: BackConnectionHostNames
5) В содержимом прописываем FQDN’ы узла или имена узлов для веб-узлов, которые размещены на сервере.
Формат: каждое имя вводим на новой строке.
6) Перезапускаем службу IISAdmin.
7) ???
8) PROFIT

_
hvostat: Jeeslaya (Default)
Оригинал взят у [livejournal.com profile] shmel_reality в Проблема Установки Framework 3.5. Ошибка 0x800F081F
Да, тема не новая, есть на сайте Microsoft уже ответ на эту ошибку, но если альтернативный путь указан Вами верно, то эта ошибка на самом деле о другом.

А о другом Я Вам поведаю. На днях ставил Framework 3.5 на Windows Server 2012 Std, но вылезала ошибка 0x800F081F. Ранее проблем (в начале 2014 года) не было. Чешу голову, ищу решение на просторах сети. Без результатно. Дальше включаю уже свою голову и начинаем анализировать проблему. Много чего было опробовано, но решение было следующим:

"Майкрософт выпустило обновление KB2966827, которое ставиться само, даже, в отсутствии самоего Фреймворка. Действие простое - сносим это обновление через Control Panel и перезапускаем из Server Manager установку. Установка проходит успешно".

Делов на 5 минут, но "секс" продолжался 4 часа.

hvostat: Jeeslaya (Default)
Иногда, например для тестов, требуется создать большие файлы.

Простейший скрипт на PowerShell:

$path = "С:\test\testfile.txt"
$file = [io.file]::Create($path)
$file.SetLength(250gb)
$file.Close()
Get-Item $path

UPD: Господин товарищ [livejournal.com profile] ms_serg подсказывает, что можно использовать fsutil:

fsutil file createnew C:\test\testfile.txt 1000

Сразу оговорю нюансы обоих методов: файлы создаются пустые.
Будет свободная минутка - черкну на PS "Фуфлотрон mk.II", который создаёт "честные" файлы, с рандомной "кашей" внутри.
hvostat: Jeeslaya (Default)
Стас [livejournal.com profile] klink0v раскопал прекрасное:

Разобрался почему у меня раньше не удавалось сделать Single Sign On с использованием Kerberos и шифрования сеансовых ключей в AES-256. При этом, шифрование в RC4 работало без нареканий. Как выяснилось, Windows Server 2012 R2 из коробки поддерживает и AES128, и AES256, но по умолчанию они выключены. Чтобы включить, надо для аккаунта установить флаг, см. скриншот.

Скриншот )

Если хочется ключей с шифрованием AES-256, то подобную процедуру нужно проделать для каждого пользовательского аккаунта и для каждого сервиса, который должен аутентифицировать этих пользователей.

Народ с "serverfault.com" советует использовать для этого вот такой Powershell-скрипт.

Скрипт )

Почему нельзя было включить эти возможности по умолчанию, лично для меня остается великой загадкой.

hvostat: Jeeslaya (Default)
Проблема: после установки Windows Server 2012r2 и/или установки апдейтов в Task Manager видно ".net runtime optimization service", который значительно использует ресурсы процессора.

Решение:
1) Запускаем PowerShell
2) Заходим в папку, где установлен .net:
C:\WINDOWS\Microsoft.NET\Framework\v4.0.NNNNN)
3) Выполняем команду:
ngen.exe executequeueditems
!!! ВНИМАНИЕ !!!
Команда ОЧЕНЬ "жручая", т.е. выполнять её имеет смысл тогда, когда сервер не загружен либо еще не запущен в продакшн.
4) Ждём некоторое время, пока закончится компиляция.
5) Заходим в папку, где установлен .net64:
C:\WINDOWS\Microsoft.NET\Framework64\v4.0.NNNNN)
6) Выполняем команду:
ngen.exe executequeueditems
7) Ждём некоторое время, пока закончится компиляция.
8) Проверяем, выполняем команду еще раз:
ngen.exe executequeueditems
9) В случае, если всё выполнено правильно, получаем ответ:
All compilation targets are up to date.
10) ???
11) PROFIT!!!

UPD: То же самое справедливо и для Windows7 и Windows8.
hvostat: Jeeslaya (Default)
Развернул DirectAccess.

Кто не сталкивался - это такой хитрый виндовый VPN, который работает через HTTPS туннель.
Разворачивается только на компьютерах с ОС Win7 или Win8 с редакцией не ниже enterprise, включенных в домен.

Главное преимущество - не требует от конечного пользователя ВООБЩЕ ничего.

Заработало с пол-пинка и сразу взлетело.

На дворе уж давно XXI век, а мне до сих пор непривычно видеть в консоли IPv6 адреса.

PS: Ну чо, теперь надо усиленно по нему потоптаться, чтобы задетектить грабли и можно внедрять.
hvostat: Jeeslaya (Default)
Да, чуть не забыл.

К нам вчера приходил интегратор, ставить К+.

Он заявил следующее:
1) В сочетании Консультант+ и Windows Server 2012r2 есть БАГ.
2) На текущий момент (02.07.2014) это НЕ ЛЕЧИТСЯ.
3) Мы были уже четвёртым клиентом с такой проблемой.

Workaround:
Поставили К+ на Windows Server 2008r2 Standard.
И все проблемы ушли, как с белых яблонь дым.

Продолжаю наблюдение.
hvostat: Jeeslaya (Default)
1) Запускаем PowerShell
2) Вводим:
Dism.exe /online /enable-feature /featurename:adminui /all
Dism.exe /online /enable-feature /featurename:nis /all
Dism.exe /online /enable-feature /featurename:psync /all
3) Перезагружаемся.
4) Profit
hvostat: Jeeslaya (Default)
Мы тут столкнулись с одной проблемой:
Есть сервер с установленной на него Windows 2012 R2 Standard. На нём с невыявленной периодичностью встаёт раком служба "LanmanServer".
Внешне это выглядит следующим образом. На сервере есть N-ное количество расшаренных папок. (DFS не используется)
В одной из таких папок установлен "Коснультант+" (если это важно). Несколько дней всё работает без проблем.
Потом расшаренные папки по сети начинают открываться, простите за мой французский, с пердежом и рвотой. Листинг файлов и директорий выдается по нескольку минут. Копирование, если вообще удаётся его стартовать, идёт со скоростью нескольких килобайт в секунду. При этом загрузка процессора на сервере остается низкой, никаких проблем с железом выявлено не было.
В итоге заходишь в консоль сервера, перезапускаешь руками пресловутую LanmanServer, в результате чего всё снова взвивается ракетой. Ещё на несколько дней. До наступления следующего тупняка.
В логах смотрел, ничего интересного либо подозрительного там нет.
Вопрос к залу. Как вообще можно продиагностировать проблему? Как понять кто, как и при каких обстоятельствах ставит в столь интимную позу сервер? Куда смотреть, что искать?

UPD: Спасибо за дельные советы! Будем пробовать.
hvostat: Jeeslaya (Default)
Проблема: в процессе инсталляции продукта (подобное часто встречается у Exchange и MSSQL) возникает отлуп с ошибкой 2337.
Полный текст ошибки: "Error:Installing product N:\exchangeserver.msi failed. Fatal error during installation. Error code is 1603. Last error reported by the MSI package is 'The installer has encountered an unexpected error installing this package. This may indicate a problem with this package. The error code is 2337. '"

Решение.
Вариант 1:
1) Распакуйте ISO-образ с помошью 7zip или RAR (это важно: именно архиваторами, а не встроенными средствами системы) в отдельную папку.
2) Попробуйте запустить установщик повторно.

Вариант 2:
1) Скачайте другой образ или тот же образ, но из другого источника.
hvostat: Jeeslaya (Default)
Проблема: несмотря на корректную работы политики "завершать удаленный сеанс при извлечении смарт-карты" ничего не происходит.

Решение:
1) На клиентской машине запускаем консоль services.msc
2) Находим сервис SCPolicySvc, он же "smart card removal policy", он же "политика удаления смарт-карт"
3) Запускаем сервис и изменяем тип запуска на "automatic".
4) ???
5) Profit!
hvostat: Jeeslaya (Default)
"you can’t install the IPAM feature on a DC."
hvostat: Jeeslaya (Default)
Абсолютно новый домен-контроллер на базе Windows 2012r2 + сервер с такой же свежей системой.
При попытке раскатать групповую политику, а точнее Group Policy Modeling, вкладка summary можно увидеть следующее предупреждение:
Default Domain Policy => AD / SYSVOL Version Mismatch

Непонятно.

Идём на технет, читаем там ПРЕКРАСНОЕ:
MAIN PROBLEM: A main debug tool for DC's providing wrong information. Thus leading anybody to assume a debug tool is correct and not buggy, i.e. replies about rechecking your sysvol, replication etc. (assumption: the debug tool work). So this problem needs to be corrected. Even DCDIAG will provide similar wrong information and support you in going about this the wrong way. EVEN BIGGER PROBLEM: Not fixed.

[...]

Wasted a lot of time on this ... because it was a bug in one of the main "debug tools" in AD. It "can not" be wrong. At least not standing there uncorrected when Microsoft knows a main debug Tool may be providing false information.

[...]

Leave as it is - that's a confirmed code defect in the RSoP module.

Я могу написать то же самое, слово в слово, только обильно сдобрю русским матом.

Решение:
1) Качаем апдейт отсюда:
http://www.microsoft.com/en-us/download/details.aspx?id=41814
2) Устанавливаем апдейт на сервер и клиенты.
3) Выполняем команду gpupdate /force на сервере и клиентах
4) ???
5) Но это не поможет. Решение сейчас ищу.

Риторический вопрос - отдел QA у МелкоМягких вообще чем занимается, если пропустили такое говно?

Profile

hvostat: Jeeslaya (Default)
hvostat

June 2017

S M T W T F S
    123
45678910
11121314151617
181920212223 24
252627282930 

Syndicate

RSS Atom

Style Credit

Expand Cut Tags

No cut tags
Page generated 20 September 2017 02:06
Powered by Dreamwidth Studios