Задать вопрос

Роман Безруков

системный инженер
Лайки

  • Электронные внутриофисные подписи - бывают ли?

    @SunTechnik
    Электронная подпись - это обычный сертификат.
    То-есть поднимаете свой PKI, и выпускаете сертификаты для сотрудников.
    Надо только определиться на чем хранить этот сертификат. (можно на простой флешке, но легко сделать копию, а покупать электронные носители, скорее Вы не захотите).
    Но есть вопрос юридический: насколько эти подписи будут значимы в случае конфликтной ситуации. Так как админ в любой момент сможет выпустить новую подпись на любого сотрудника или отозвать старую.
    Ответ написан
    4 комментария
    4 комментария

  • Есть ли программа для установки софта из под прав пользователя?

    SignFinder
    @SignFinder
    Wintel\Unix Engineer\DevOps
    "Хотелось бы не отвлекаться на массовые задачи по установке однообразного софта."
    1. Microsoft Configuration Manager
    2. GPO.
    3. Admin By Request
    Ответ написан
    1 комментарий
    1 комментарий

  • Правильная замена железного КД (резервного) на ВМ?

    SignFinder
    @SignFinder
    Wintel\Unix Engineer\DevOps
    Бекап КД вообще здесь не нужен. Что вы с ним потом делать то будете? При восстановлении DC в инфраструктуру с работающим AD вас ждет USN rollback.
    План может быть следующий:
    1. Ввести новый DC с новым именем.
    2. Поменять имя железного DC на %ИМЯЖЕЛЕЗНОГОDC%-OLD.
    3. Поменять имя нового виртуального DC на %ИМЯЖЕЛЕЗНОГОDC%.
    4. Сделать ротацию ip адресов старого и нового DC.
    5. Понизить железный DC до сервера и вывести из эксплуатации, если нужно.

    Самое важное - это смена имен контроллеров. Это делается неспеша, проверяя через ADSIEDIT, что все изменения атрибутов AdditionalHostName и т.п. реплицировались на другие DC
    типа так https://techcommunity.microsoft.com/blog/coreinfra...

    Настройки DHCP и NPS спокойно переносятся через любой импорт экспорт, хоть из состава Powershell, хоть старый NET.
    Если у вас failover кластер, то вообще проще - просто ввести новый в кластер.
    Ответ написан
    3 комментария
    3 комментария

  • Правильная замена железного КД (резервного) на ВМ?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    И еще способ добавлю - виртуализировать железный. Вполне рутинная процедура. И тогда все ваши этапы не нужны. :)
    Ответ написан
    2 комментария
    2 комментария

  • Как подключить windows 11 по ikev2/ipsec?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Хех, знакомая вещь. У меня в инструкции даже пунктик об этом есть:
    6.1. При попытке подключения выдается сообщение «Непроверенные учетные данные проверки подлинности IKE»
    Данное сообщение обычно означает, что Windows пытается использовать для аутентификации сторонний сертификат (поскольку изначально ограничение на издателя не установлено, Windows просто берет первый сертификат из раздела «Личное»)
    Первоначально следует убедиться в следующих вещах:
    - Личный сертификат установлен в область «Личное» компьютера (а не пользователя!)
    - В области «Доверенные корневые центры сертификации» компьютера находятся все корневые сертификаты (см. Рисунок 10), при этом для сертификатов ... Subordinate CA #1 и ... Subordinate CA #2 допустимо находиться в области «Промежуточные центры сертификации» компьютера (Windows автоматически помещает ... Subordinate CA #1 в эту область)
    - Путь издания сертификата верный
    Как это сделать — см. Приложение 1
    Если данные условия выполняются, но соединение не устанавливается, следует убедиться в том, что в области «Личное» компьютера находится один сертификат компьютера. Кто может разместить там сертификаты? Да кто угодно — клиент-банки, программы участия в тендерах, брокерские программы, сертификаты налоговой службы и т. д.
    Если в области «Личное» компьютера находится более одного сертификата, следует выполнить следующую процедуру:
    - правая кнопка на значке меню, пункт «Выполнить», ввести текст “powershell”
    - в открывшейся консоли powershell ввести следующие команды:
    $ca = Get-ChildItem Cert:\LocalMachine\Root | ? Subject -match 'CN=... Root CA'
    Set-VpnConnection -ConnectionName "My VPN" -MachineCertificateIssuerFilter $ca

    Эта фигня происходит из-за тупости винды. Она не умеет фильтровать сертификаты по издателю (по умолчанию) и для проверки соединения тупо берет первый по списку сертификат, даже если он истекший. Указание фильтра издателя частично решает проблему, но удалять истекшие сертификаты по-прежнему надо.
    Ответ написан
    12 комментариев
    12 комментариев

  • Какие есть аналоги ПО Devolution Remote Desktop Manager?

    mr_jok
    @mr_jok
    mRemoteNG с базой в SQL
    Ответ написан
    Комментировать
    Комментировать

  • Как удалить большой снапшот Hyper-V?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Да, избавиться от снапшота в условиях нехватки места не получится. Необходимо любыми способами изыскать том минимум на 14Т свободного пространства на время выполнения операции слияния. Если нет такого накопителя - собрать несколько штук в страйп.

    Если гипервизор не единственный, придётся на рабочем выполнить экспорт, потом перенести накопитель на другой, там импортировать по месту и затем сливать. Если же гипервизор единственный, или придётся собирать страйп, понадобится 18Т пространства (или два тома - 9 для экспорта и 14 для импорта и слияния), потому что нужно будет делать импорт с созданием нового идентификатора и, соответственно, с копированием.

    К слову, все эти операции можно проводить и на примонтированной шаре. Только сетевушку желательно на 10Г, или это будет очень долго.

    Конечно, не исключено, что слияние даст суммарно финальный том не 5+4=9, а меньше... но я бы на это не рассчитывал. А если в процессе кончится место, и слияние оборвётся по ошибке, то виртуалка, скорее всего, умрёт. Именно поэтому операцию следует выполнять на экспортированной и реимпортированной копии.

    Есть и ещё вариант. Выполнить внутри виртуалки бэкап тома с данными на подключенный третий диск. А потом пересоздать рабочий диск и восстановить.

    Либо подключить ещё один, пустой, образ, и внутри виртуалки собрать и синхронизировать софт-mirror, потом развалить, оставив только том-копию, убрать том-оригинал и мигрировать на его место копию. Тогда получится обойтись дополнительным томом на 9Г, но геморроя куда как больше. Зато плюс этого способа - он допускает выполнение всех операций без остановки виртуалки.
    Ответ написан
    Комментировать
    Комментировать

  • Как ввести в работу контроллер домена после 5-дневного простоя?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Просто включите и работайте: все изменения, сделанные на других КД, будут на него перенесены репликацией. AD сконструирована так, что изменения никуда не пропадают в течение срока их хранения. А 5 дней - это значительно меньше срока хранения: для базы данных AD он очень редко в наше время (это когда домен - родом с Win2K) бывает 60 дней, обычно - 180, а для изменений в папке SYSVOL (там лежат политики и скрипты) - 90 дней.
    PS Для диагностики отсутствия проблем с КД испольуйте команду dcdiag /q из командной строки в режиме администратора. Если нет ошибок, она не вернет ничего. Правда, в первые сутки после запуска там даже в норме могут быть сообщения об ошибках в журналах событий (во время запуска), в таком случае загляните в эти журналы.
    Ответ написан
    4 комментария
    4 комментария

  • Как предоставить доступ с терминалов на ВМ с полной имитацией работы на локальном ПК?

    Rsa97
    @Rsa97
    Для правильного вопроса надо знать половину ответа
    Это называется "тонкий клиент". Есть как готовые (стоят, обычно, дороже, чем компьютеры с теми же параметрами), так и чисто софт, который можно установить на любой компьютер или грузить по сети. Смотрите ThinStation или wtWare.
    Ответ написан
    Комментировать
    Комментировать

  • Как разрешать имена компьютеров не в составе домена в локальной сети с помощью DNS сервера?

    @SunTechnik
    Заведите в DNS AD нужные компьютеры.
    Укажите на них использовать DNS от AD.
    И будут они нормально видеть друг друга по именам, в домен вводить их не обязательно..
    Ответ написан
    34 комментария
    34 комментария

  • Портал для изменения паролей учётных записей AD?

    borisdenis
    @borisdenis
    Ленив и вреден...
    Зачем изобретать велосипед?
    Ctrl+Alt+Del => Изменить пароль
    Меняет пароль пользователя который сейчас залогинен и без разницы доменный он или локальный. Конечно же если в AD в учетке пользователя не стоит отметка "запретить пользователю менять пароль."
    Ответ написан
    8 комментариев
    8 комментариев

  • Кто блокирует сертификат и что делать?

    SignFinder
    @SignFinder
    Wintel\Unix Engineer\DevOps
    Вариант того, что если сертификат отозван, то он действительно отозван - не рассматривается я так понимаю? :-)
    Уверены, что это один и тот же сертификат на проблемной машине и остальных? Thumbprint сравнивали?
    Вангую, что на проблемную машину не прилетают обновления\не установилось обновление корневых сертификатов, а на остальные остановилось.
    Ответ написан
    2 комментария
    2 комментария

  • Как закрыть доступ к домену компам не находящиеся в домене?

    SignFinder
    @SignFinder
    Wintel\Unix Engineer\DevOps
    Развернуть свой CA, выдавать всем доменным компьютерам сертификаты, которые по правам смогут получать только Domain Computers.
    Настроить в NPS проверку по сертификату.
    Ответ написан
    4 комментария
    4 комментария

  • Как прописать настройки DNS для добавления компьютера в домен Windows?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Нет, нельзя.
    В hosts можно прописать только записи типа A, а обнаружение домена работает через записи типа SRV.

    PS А с чем связано такое странное желание? Если с тем, что вам нужно разрешать ещё и имена в интернете, то можно настроить на сервере DNS на контроллере домена пересылку на тот сервер, который разрешает имена в интернете. Либо - позволить контроллеру домена свободно рассылать запросы DNS по всему интернету - тогда он сам обратится к нужным серверам-владельцам зон, начиная с корневых (их список у него есть).
    Ответ написан
    6 комментариев
    6 комментариев

  • Будет ли корректной установка Docker на Windows Server и последующее развёртывание, например, Squid и DNS?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Если вам нужно ПО под Linux, чтобы оно физически было размещено на сервере под Windows - cоздайте на сервере виртуальную машину в Hyper-V и поставьте Linux на нее. А лучше - посмотрите, нет ли аналогов этого ПО под Windows. Например, сервер DNS уже есть в Windows Server из коробки.
    Ответ написан
    Комментировать
    Комментировать

  • Как сменить FQDN Exchange сервера?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    В Exchange Management Shell (который Powershell) командой:
    Set-SendConnector -Identity <SendConnectorIdParameter> -FQDN <fqdn>


    SendConnectorIdParameter - имя соединителя, через который идет отправка почты в Интернет
    fqdn - имя, которое разрешается во внешний белый IP сервера, желательно чтобы IP-адрес разрешался в это имя (этот вопрос решается с провадером: нужно изменить или добавить в зоне обратного разрешения запись PTR).
    Ответ написан
    Комментировать
    Комментировать

  • WMI почему отказывает в доступе?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Руководство от MS - здесь там есть ссылки и на руководство по настройке удаленного доступа к WMI, и на руководство по устранению неисправностей.
    Ответ написан

  • Как сделать Linux более безопасным?

    paran0id
    @paran0id Куратор тега Linux
    Умный, но ленивый
    гуглите "linux hardening"
    Ответ написан
    Комментировать
    Комментировать

  • Как сбросить пароль администратора на другом ПК удаленно?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Нет. В этом и сила таких программ - в том, что они локально работают с файлами, загруженные с диска, флэшки, черта лысого - тогда, когда нет контроля за доступом к этому файлу.
    Пригнать туда "руки" и командовать по телефону, что делать. Я так однажды FreeBSD переставлял - я был в Новосибирске, "руки" - в Омске.
    Ответ написан
    Комментировать
    Комментировать

  • Как контролировать комплектацию рабочего места?

    anthtml
    @anthtml
    Системный администратор программист радиолюбитель
    Классическое GLPI + FusionInverter или что-то подобное
    Но задача больше административная - пломбировка системников, написание политик, инструкций и роспись сотрудников в карточках оборудования - это если уж совсем заморачиваться.
    Хотя в большинстве случаев достаточно чтобы бухи назначили МОЛ началька отдела (кабинета) и закрепили все имущество за ним, а не так что все компы в организации числятся за сисадмином
    Ответ написан
    Комментировать
    Комментировать