hvostat: Jeeslaya (Default)
В связи с тем, что SHA-1 теперь "всё", то требуется провести апгрейд центра сертификации.

Есть два варианта:
1) Смена корневого сертификата
2) Перенастройка дефолтного криптоалгоритма

Второй вариант реализуется следующим образом:
1) Вваливаемся в командную строку.
2) Вбиваем следующее:
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
3) Перезапускаем CA:
net stop certsvc
net start certsvc

PS: А переходить, видимо, надо сразу на SHA-3

__
hvostat: Jeeslaya (Default)
Утащил у [livejournal.com profile] ra1aie, за что ему большое спасибо.

Бывает так, что позарез нужно скачать какой-то файл с удаленного сервера, а на машине или server core, или слетевший ie, или другие причины, препятствующие скачиванию файлов традиционным способом.
И здесь нам поможет BITSAdmin - встроенная в Windows Server утилитка, способная выполнять функции wget.
Пример: bitsadmin /transfer myDownloadJob /download /priority normal http://www.site.domain/uzful_toolz.zip c:\uzful_toolz.zip

Коллега [livejournal.com profile] asm7 дополнил:
Также, можно воспользоваться командлетом PowerShell:
Invoke-WebRequest

Командлет присустствует в PowerShell 3.0 или старше.

__
hvostat: Jeeslaya (Default)
Задача: скопировать набор групповых политик из одной OU в другую OU.

Решение:
Воспользоваться PowerShell.

$SourceOU = "SOURCE_OU"
$DestinationOU = "OU=DESTINATION_OU,OU=MOSCOW,DC=hvostat,DC=local"

[xml]$gpos = Get-GPOReport -all -ReportType xml

foreach ($gpo in $gpos.gpos.gpo) {

if ($gpo.LinksTo.SOMName -eq $SourceOU) {
New-GPLink -Name $gpo.name -Target $DestinationOU
}
}

__
hvostat: Jeeslaya (Default)
При попытке войти на сервер по RDP со смарт-картой получаем отлуп из сабжа.

Лечение простое: отключить NLA.

__
hvostat: Jeeslaya (Default)
Задача: получить данные по изданным сертификатам в CA.

Решение:
1) Скачать специальный PowerShell модуль отсюда.
3) Установить.
4) Импортировать модуль:
Import-Module PSPKI
5) Заполучить список интересующих сертификатов, например, вот так:
Get-CA | Get-IssuedRequest | Where-Object CertificateTemplate -eq "Secret Template" |Sort-Object NotAfter | ft CommonName, NotAfter

__
hvostat: Jeeslaya (Default)
Господин Филин, aka [livejournal.com profile] rustedowl схватил крайне неприятную проблему: передача данных между виртуалками и хост-машиной идёт со скоростью 1Мбит/с, хотя должна ~1Гбит.

Решение простое - на сетевой карте хоста отключаем TCP Offload, UDP Offload и Large Send Offload. Сразу после этого изменения скорость между хостом и виртуалкой выросла до ожидаемых величин.

Интересно, что когда Филин создал второй, тестовый switch для проверки - будет ли обмен данными идти нормально, через второй switch он шел нормально, в то время как через первый тормозил. Так же интересно, что нормально проходил FTP и IPerf, но не SMB.
Единственное отличие между тестовым и основным switch было в том, что основной входил в сетевой мост с реальными сетевыми адаптерами, а тестовый был сам по себе.

Про рекомендации от самих мелкомягких можно прочитать вот тут.

__
hvostat: Jeeslaya (Default)
Задача - узнать установленную версию PowerShell.

Нет ничего проще:
1) (внезапно!) Запускаем PowerShell
2) Вводим команду:
$PSVersionTable
3) ???
4) PROFIT!!!

Задача - установить PowerShell v.3.0. на Windows 7.
1) Скачиваем и устанавливаем DotNet 4.0
2) Скачиваем и устанавливаем Windows Management Framework 3.0

Задача - установить PowerShell v.4.0. на Windows 7.
1) Скачиваем и устанавливаем DotNet 4.5
2) Скачиваем и устанавливаем Windows Management Framework 4.0

PS: После всего комплекса телодвижений не забываем перекомпилировать модули .net

Список модулей и совместимость )

__
hvostat: Jeeslaya (Default)
Проблема:
При попытке войти в систему с помощью смарт-карты получаем крайне информативный отлуп:
"this smart card could not be used"

Проблема особенно часто проявляется при использовании мобильного интернета и/или нестабильных каналов связи.
При этом имеется 100% уверенность, что с драйверами на клиенте и сервере, а также самой смарт-картой и сертификатами всё в полном порядке.

Причина:
По дефолту, таймаут работы со смарт-картой для обмена RSA-ключами равен 1,5 секундам.
Этого более чем достаточно в случае работы в интрасети, но недостаточно при работе через медленный интернет.

Решение:

1) Вваливаемся в regedit.
2) Находим ключи.
2.1) В общем случае:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider]
[...]
"TransactionTimeoutMilliseconds"=dword:00005DC
[...]

2.2) Конкретно в моём случае:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\eToken Base Cryptographic Provider]
[...]
"TransactionTimeoutMilliseconds"=dword:000005DC
[...]

3) Увеличиваем значение TransactionTimeoutMilliseconds до необходимых значений. Я установил 1388, что в переводе равняется 5 секундам.
4) ???
5) PROFIT!!!

__
hvostat: Jeeslaya (Default)
Вместо русских букв в программах видно знаки вопроса.

Решение:
1. Вваливаемся на сервер
2. "Control panel" => "Region" => Administrative => "Change system locale"
3. Выбираем "Russian"
4. Перезагружаем сервер.
5. ???
6. PROFIT!!!

Если не помогло:

1) Вваливаемся в regedit
2) HKLM/System/CurrentControlSet/Control/NLS/CodePage
3) в CP с 1250 по 1254 выставить значение 1251
4) Перезагружаем сервер.
5) PROFIT!

_
hvostat: Jeeslaya (Default)
Ни в коем случае не ставьте драйвера/утилиты для работы с eToken на сервера через RDP - от этого службе смарт-карт становится плохо и она прекращает их пробрасывать в удаленные сеансы.

Правильный метод следующий:
1) Ввалится в сервер через консоль Hyper-V, iLo, IMM или подобную.
2) Запустить службы:
SCardSvr "Smart Card"
ScDeviceEnum "Smart Card Device Enumeration Service"
3) Установить метод запуска обеих служб в "automatic"
4) Установить драйверы/утилиты SafeNet / eToken PKI Client
5) ???
6) Profit!!!

Как убедится, что всё сделано правильно:
1) Ввалиться на сервер через RDP
2) Открыть SNAC/ ETPC
3) Кликнуть RMB по "Tokens" и выбрать "Reader Settings" или "Managing readers" в зависимости от клиента.
4) Значения "Set number.... to:" по дефолту должны быть следующими: 2,1

_
hvostat: Jeeslaya (Default)
Задача: получить в е-мейл результаты PS скрипта и/или уведомление через Scheduler.
Решение: использовать командлет Send-MailMessage

Пример:
$report = "Some report data"
Send-MailMessage -Body "$report" -Subject "PowerShell Test" -To admin@contoso.com -SmtpServer mail.contoso.com -From powershell@contoso.com -UseSsl -Encoding UTF8

_
hvostat: Jeeslaya (Default)
Усиленно готовлюсь к экзамену для сертификации Microsoft.

Вопросы на экзамене в 50% очень странные, состоящие из справочной информации, типа:
- Какое максимальное количество DNS-зон может держать сервер 2012R2?
- Сколько MAC-адресов создаёт Hyper-V по дефолту?

Но среди прочего, встретил и настоящий шедевр.
Тема: "Хранение данных и Storage Spaces"
Информация к размышлению и далее, вопросы:

On a new server running Windows Server 2012, Morris created a storage pool that
consists of two physical drives holding 1 TB each. Then he created three simple virtual
disks out of the space in the storage pool. Using the Disk Management snap-in,
Morris then created a RAID-5 volume out of the three virtual disks.
With this in mind, answer the following questions:
1. In what way is Morris’s storage plan ineffectual at providing fault tolerance?
2. Why will adding a third disk to the storage pool fail to improve the fault tolerance
of the storage plan?
3. How can Morris modify the storage plan to make it fault tolerant?

Вот мне реально интересно: это автор книги "сделал пипеточку" и придумал такой кейс?
Или реально в саппорт Microsoft позвонил очередной Кумар и рассказал историю выше, а затем выкатил претензию - "Я же всё сделал, как вы учили! Почему же оно сломалось?!!"

_
hvostat: Jeeslaya (Default)
Задача: "переложить" расшаренные папки с одного диска на другой.

1) Останавливаем службу LanMan:
PS Stop-Service LanmanServer [-Force]
2) Копируем папку:
Robocopy.exe D:\FileShare1 E:\FileShare1\ /e /copyall
3) Правим реестр вот тут:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares
4) Запускаем службу LanMan:
PS Start-Service LanmanServer
5) ???
6) PROFIT!!!

Миграция WSUS:

wsusutil.exe movecontent E:\WSUS\ E:\move.log [-skipcopy]
_
hvostat: Jeeslaya (Default)
Как удаленно управлять серверами под управлением ОС Windows Server версий ниже 2012?

1) Ставим .NET Framework 4.0
2) Ставим Windows Management Framework 3.0
3) Настраиваем правило файрволла "Windows Remote Management (HTTP-In)" - включить
4) Настраиваем правило файрволла "COM+ Network Access (DCOM-In)" - включить
5) Настраиваем правило файрволла "Remote Event Log Management (NP-In)" - включить
6) Настраиваем правило файрволла "Remote Event Log Management (RPC)" - включить
7) Настраиваем правило файрволла "Remote Event Log Management (RPC-EPMAP)" - включить
8) Выполняем команду
winrm quickconfig
9) ???
10) PROFIT!!!

Команды PowerShell: )
_
hvostat: Jeeslaya (Default)
Коллега поделился интересным наблюдением.

Его коллеги отличились, сочинили доменную политику и зачем-то отключили Remote Registry на всех серверах в домене.

Возник очень интересный баг: на сервера, в которых отключен Remote Registry невозможно добавить роль домен-контроллера.

Работать со шлемазлами, которые отключают удаленный реестр - хуёво.
По возможности старайтесь избегать этого.

_
hvostat: Jeeslaya (Default)
Проблема:
Иногда на сервере со статическим IP-адресом после установки службы DC и отработки создания нового ADDC в консоли DNS видно отсутствие необходимых DNS записей (SRV для pdc, kerberos и т.д.).

Адрес DNS в настройках сетевого адаптера единственный и установлен 127.0.0.1

Перезагрузка службы NET STOP/START NETLOGON не помогает.

Команда DCDiag /Fix завершается с отлупом:
The host [addc_guid]._msdcs.cmo-compliance.com could not be resolved to an IP address. Check the DNS server, DHCP, server name, etc.

Решение:
1) Открыть настройки адаптера локальной сети
2) Зайти в свойства IPv4 TCP/IP на вкладку DNS
3) Нажать Advanced и поставить галку "Register this connection’s addresses in DNS".
4) ???
5) PROFIT!!!

За гайдлайн благодарю [livejournal.com profile] xatkaru.
_
hvostat: Jeeslaya (Default)
При попытке удалить программу в безопасном режиме получаем отлуп:
"The Windows Installer service is not accessible in Safe Mode"

Однако, при попытке запустить сервис лапами вручную получаем другой отлуп:
"Error 1084: This service cannot be started in Safe Mode."

Решение:
1) Вваливаемся в regedit.
2) Находим ветку: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
3) Создаём в ней "key" по имени "MSIServer"
4) Внутри созданного ключа изменяем значение "not set" на "service".
5) Повторяем то же самое для ветки: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
6) Перезагружаем сервер
7) ???
8) PROFIT!!!

_
hvostat: Jeeslaya (Default)
1) Вваливаеся в Hyper-V virtual switch manager.
2) Создаём новый свитч типа "internal".
3) Вваливаемся в "Network Connections".
4) Выбираем физические интерфейсы, которые будем бриджевать, ВКЛЮЧАЯ тот виртуальный интерфейс, который создался в шаге №2.
5) Назначаем IP-адрес, маску и прочие гейтвеи.
6) ???
7) PROFIT!!!

_
hvostat: Jeeslaya (Default)
Проверяем:
0) Расхождение даты-времени на сервере, CA и клиенте.
1) Находим точку CDP HTTP в сертификате и проверяем её доступность и статус сертификата с помощью команды:
certutil -verify c:\crt\some_cert.crt
В зависимости от результата:
2) Фиксим CDP на CA
3) DNS
4) Канал связи

Если со всем вышеперечисленным у вас полный "фэн-шуй", тогда выполняем следующее:
1) Вваливаемся в regedit на сервере с IIS
2) Находим ветку:
HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo
3) Создаём праметр dword32 с названием "DefaultSslCertCheckMode"
4) Проверям дефолтное значение, равное "0".
5) Перезагружаем сервер.
6) ???
7) PROFIT

_
hvostat: Jeeslaya (Default)
Куда пропала утилита Disk Cleanup в Windows 2012/Windows 2012R2?

Никуда не пропадала:
1) Запускаем Server Manager
2) Manage => Add Roles and Features
3) Устанавливаем "фичу" в Features => User Interface and Infrastructure => Desktop Expirience
4) Перезапускаем сервер.
5) ???
6) Profit!

В отличии от Windows2008, 2008R2и 2012 фокус с копированием файлов не пройдет - только ставить "фичу".

__

Profile

hvostat: Jeeslaya (Default)
hvostat

June 2017

S M T W T F S
    123
45678910
11121314151617
181920212223 24
252627282930 

Syndicate

RSS Atom

Style Credit

Expand Cut Tags

No cut tags
Page generated 23 July 2017 18:42
Powered by Dreamwidth Studios