Ответы пользователя по тегу Windows Server
  • Как можно задать перенаправление папки ProgramData при работе с RDS?

    @res2001
    Developer, ex-admin
    Путь к ProgramData задается в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.
    Но менять расположение в работающей винде не стоит, т.к. там полно "внутренних" ссылок, а так же на ProgramData есть ссылки в других местах. При переносе большая часть ссылок будут недействительны. Трудно даже предположить, что отвалится после подобного действия.
    Вижу единственный рабочий вариант - изменение расположения ProgramData в процессе установки винды с помощью файла ответов, может есть и другие варианты задать новое расположение папки при установке.
    Но, на сколько я понимаю, перенос ProgramData вам ничего не дасть, т.к. эта папка одна для всех пользователей, она и в новом месте будет такой же.

    По AppData. Перенесите целиком профиль пользователя. Вместе с ним перенесется и пользовательский AppData. Ручной перенос профиля описывал тут несколько раз.
    Как вариант - перенести конкретную папку из AppData и создать на прежнем месте ссылку в новое местоположение.
    Но, пользовательская AppData находится в пользовательском профиле и она уже изолирована от других пользователей. Так что о какой дополнительной изоляции идет речь.

    И еще. Динамические библиотеки (на сколько я понял речь идет о такой библиотеке) открываются в режиме многопользовательского доступа. Т.е. несколько программ могут легко использовать одну и ту же библиотеку. Это так работает всегда на системном уровне и изменить это нельзя.
    Это значит, что внутри библиотеки блокируется какой-то другой ресурс, который становится не доступным другим пользователям. Вам надо выяснить у разработчика программы что там блокируется и как с этим бороться.
    Ответ написан
  • Как запустить сеанса другого пользователя из под своего?

    @res2001
    Developer, ex-admin
    Запустите любое приложение из-под этого пользователя.
    Ответ написан
    Комментировать
  • Сервер-клиент openvpn win не видят за собой локальную сеть. как исправить?

    @res2001
    Developer, ex-admin
    Подключение ВПН на клиенте и сервере создает дополнительный виртуальный сетевой адаптер со своим IP адресом. Программное обеспечение ВПН отвечает только за трафик, который попадает внутрь ВПН. Все остальное конфигурируется стандартными средствами: таблицы маршрутизации, фаерволы, NAT. В openvpn некоторые настройки таблиц маршрутизации можно (нужно) указывать в конфиге ВПН, а не напрямую править таблицы в ОС. Все это относится к любой ОС - принципы работы openvpn одинаковы в линукс и винде.

    Обычно конфиг клиента делают максимально "легким". Там указывают только необходимые опции для подключения к серверу (протокол, адрес и порт сервера, параметры шифрования и логирования). Все что касается маршрутизации между сетями (route, push route) убирается в конфиг сервера.
    Опция push "route ..." - добавляет маршрут на удаленной стороне. Т.е. если опция указана в конфиге сервера, то маршрут добавляется на стороне клиента.
    Для добавления маршрута на стороне сервера в конфиге сервера используется опция: route

    CCD файлы:
    У вас не правильный синтаксис для опции ifconfig-push.
    Правильный такой: ifconfig-push client_ip mask
    Т.е. IP сервера не требуется указывать.
    В опции iroute указываем сети за этим конкретным клиентом. Эти маршруты добавятся в таблицу маршрутизации сервера при подключении клиента. Не нужно дублировать эти маршруты опциями route в основном конфиге сервера.
    Так же можно в CCD файле указать опцию push route для добавления маршрута клиенту для сети за сервером. Обычно push route указывают в основном конфиге сервера и она работает для всех клиентов.

    Но! Что бы сети за клиентом и сервером могли друг друга видеть они должны знать по каким маршрутам передавать трафик друг для друга. Если ВПН сервер и ВПН клиент являются для своих сетей шлюзами по умолчанию - то проблемы нет, компы внутри сетей и так будут слать весь трафик через них. Но если ВПН сервер и/или ВПН клиент не являются шлюзами по умолчанию для своих сетей, то требуется добавить дополнительные маршурты для соседних сетей через ВПН сервер/клиент. Централизованно маршруты можно добавить через опции DHCP, возможно политиками AD.

    Фаерволы на любом узле могут блокировать трафик. Для отладки взаимодействия сетей через ВПН рекомендую сначала отключить фаерволы на всех тестовых устройствах. После того как настроите маршрутизацию фаерволы включайте по одному, сразу проверяйте работу и вносите изменения в правила фаервола, если необходимо.

    После того как вы добились соединения ВПН клиента с сервером все остальное - это правильная настройка маршрутизации и фаерволов.
    Ответ написан
  • Как сделать чтобы Windows могла проверить подлинность самоподписанного сертификата?

    @res2001
    Developer, ex-admin
    Попробуйте добавить сертификат в Personal, Trusted People или Trusted Device
    А вообще - не используйте самоподписанный сертификат.
    Поднимите свой ЦС. Сгенерируйте сертификат ЦА, и сертификат сервера, который будет подписан сертификатом ЦА. На клиентах устанавливаете в корневые доверенные центры сертификации сертификат ЦА и будет вам счастье.
    Можно использовать встроенный в Windows Server Центр сертификации, или использовать openssl.

    Другой вариант - ослабить проверку сертификата у клиента. Думаю как-то это должно делаться в винде, возможно через реестр или GPO. Но я бы не стал этого делать.
    Ответ написан
    Комментировать
  • Какой RDP клиент для Windows со списком и папками/категориями вы знаете?

    @res2001
    Developer, ex-admin
    Делает отдельный каталог на раб.столе с набором .rdp файлов для всех ваших серверов. Файлы называйте так что бы было удобно находить нужный, можно делать вложенную иерархию. И все доступно из коробки :-)
    Ответ написан
    Комментировать
  • Поддерживает ли HP smart array p410 hotswap?

    @res2001
    Developer, ex-admin
    В принципе поддерживает. Но его надо предварительно соответственно настроить.
    Настройка может включать в себя выделение spare дисков под автоматическую замену, и указание, что новые диски делать spare дисками.
    В таком случае при выходе из строя одного из дисков автоматически включается в работу spare диск, на него происходит автоматический ребилд. При этом вышедший из строя диск выводится из работы и на нем загорается светодиод. Вышедший из строя диск можно спокойно вытаскивать ничего больше не делая с сервером. Вставляете на его место новый диск, и он становится новым spare диском. Все это делается без захода в ОС и прочих манипуляций с ПО.
    Я работал по такой схеме.
    Ответ написан
    Комментировать
  • Альтернатива sudo/su для Windows?

    @res2001
    Developer, ex-admin
    Параметр в реестре:
    reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

    отключает действие UAC для процессов запускаемых удаленно. Устанавливать его надо на ПК, на котором будут удаленно запускаться приложения. После установки требуется перезагрузка.
    Когда он установлен и вы запускаете что-то удаленно с правами администратора удаленного компьютера, то программа запускается с реальными администраторскими правами, без фильтра UAC.
    Например с помощью того же psexec (или wmic) можно будет запускать удаленно приложения.
    Не уверен, что это сработает в случае с ssh и telnet, т.к. сервер службы работает на удаленном компьютере.
    Ответ написан
  • Почему не работает синхронизация времени с доменом?

    @res2001
    Developer, ex-admin
    Но вот ПК на Win-7 почему-то показывает разницу во времени 1 час, т.е. на сервере 10:30 а на машине с Win-7 9:30 Почему так?

    Похоже на проблемы с настройкой часового пояса или возможно она у вас все еще переходит на зимнее/летнее время из-за отсутствия каких-то обновлений.
    Помнится, когда в РФ отменяли переход на зимнее/летнее время микрософт выпускала обновление, которое вносило изменения в настройки часового пояса.

    Мне нужно чтобы контроллер домена использовал локальное время сервера (доступа к внешнему источнику нет)

    В таком случае вам нужно завести в сети отдельный ПК не входящий в домен (чтоб он не синхронизировал время с контроллером), на нем развернуть NTPD и синхронизировать его с временем из интернета, а ваш контроллер настроить на синхронизацию времени с этим ПК. Проще всего на этом ПК поставить линукс, под ним настроить NTPD не составит труда. Изменять время руками - ну это ... плохо, мягко говоря.
    Ответ написан
    2 комментария
  • Почему бэкап windows server 2003 системы не работает и нельзя перенести на виртуальную машину?

    @res2001
    Developer, ex-admin
    Потому что Windows 2003 Server не переносит настолько серьезную смену железа без подготовки.
    Гуглите "Windows XP/2003 перенос на другое железо/компьютер".
    Ответ написан
    Комментировать
  • Лимиты на CPU и МЕМ per user, удаленный рабочий стол. Как сделать на Win?

    @res2001
    Developer, ex-admin
    чтобы он ощущал себя как будто на своем пк сидит?

    Настроите RemoteApp и пользователи вообще не будут видеть удаленного рабочего стола, только окно удаленного приложения. Отзывчивость зависит от канала связи (в т.ч. и пользовательского) и ресурсов сервера (их должно хватать).
    Ограничивать ресурсы пользователей RDS можно с помощью DFSS. Для этого требуется серверная версия винды, конечно.
    Ответ написан
  • Инкрементальное или дифференциальное копирование штатными средствами Windows. Кто как реализовывал?

    @res2001
    Developer, ex-admin
    Файлы можно бэкапить с помощью xcopy, используя аттрибут файла "Архивный" как сигнал о том, что файл был модифицирован после последней архивации. После любой модификации файла аттрибут установится автоматически.
    Если надо сжимать, то консольный rar умеет так же работать с этим атрибутом. После архивации файла атрибут сбрасывается. Если правильно помню флаг -ac у него за это отвечает. На счет других архиваторов не знаю, есть ли у них поддержка такой возможности (вроде у старого доброго arj еще была такая фишка).
    Собственно, основывая бэкап на использовании этого аттрибута можно накидать не сложный батник для бэкапа, который будет архивировать любым нужным архиватором выбранные файлы. Отбирать файлы по атрибутам можно с помощью dir, архивируем файл, сбрасываем аттрибут, профит.
    Ответ написан
    Комментировать
  • Как организовать удаленное управление на Windows 7,10 Под управлением active directory?

    @res2001
    Developer, ex-admin
    Что сделать как это исправить ?

    В сообщении все написано - только члены группы "Удаленный рабочий стол" имеют право заходить по RDP.
    Надо добавить пользователя в эту группу. Если такой локальной группы нет, можно ее создать руками и добавить туда пользователей.
    Думаю в АД, есть аналог локальной группы. Тут я не в теме. Гуглите.
    Ответ написан
  • Как разделить сервер пополам?

    @res2001
    Developer, ex-admin
    Винда для гипервизора требует лицензии, т.е. денег, для использования в качестве гостя то же.
    Линукс денег не требует + любой свободный гипервизор.
    Так же как гипервизор можно использовать VMWare ESXi, его можно использовать отдельно от VSphere в бесплатном варианте есть определенные ограничения. Это специализированая ОС заточенная под гипервизор на базе линукса.
    Ответ написан
  • Как открыть порты в Windows утилитой iptables?

    @res2001
    Developer, ex-admin
    В винде управлять фаерволом из командной строки можно с помощью netsh.
    iptables - это из мира Линукс.
    Ответ написан
    Комментировать
  • Как ограничить доступ на изменения к папке с репозиторием git на windows server?

    @res2001
    Developer, ex-admin
    Есть альтернатива ssh доступу - git-демон.
    Входит в комплект с гитом. Принимает запросы по сети, без непосредственного доступа к файлам для клиентов. Не универсальный как ssh, поэтому с его помощью нельзя запустить например консоль :-) Но в отличие от ssh никак незащищает канал передачи, но в локальной сети это не актуально, а в интернете - доступ к нему можно завернуть в ВПН.
    Ответ написан
    Комментировать
  • Почему на статике не работает интернет?

    @res2001
    Developer, ex-admin
    DNS сервер у вас реально где расположен? Этот адрес и укажите на TS.
    Ответ написан
    1 комментарий
  • Можно ли запустить Windows и Ubuntu Server одновременно?

    @res2001
    Developer, ex-admin
    Если от убунты будет достаточно консоли, то можно использовать WSL и в нем установленную убунту.
    Преимущества перед виртуализацией очевидны - работает так же быстро, ресурсов потребляет меньше, чем ВМ (только то что реально используется запущенными приложениями), есть доступ к файловой системе Windows<->Ubuntu "из коробки".
    На каком-то ответственном участке я бы не стал это использовать в продакшене, т.к. инструмент не совсем для этого. Но в целом вариант не плохой, возможно со временем технология дорастет и до серьезного продакшена.
    Ответ написан
    2 комментария
  • Можно ли разрешить просмотр списка файлов и подкаталогов, но, при этом, запретить чтение файлов в Windows?

    @res2001
    Developer, ex-admin
    Можно. В расширенных правах есть отдельное право на чтение содержимого каталога.
    Для родительского каталога его разрешаете, а чтение запрещаете.
    Т.к. вам нужно видеть вложенные папки, то нужно будет поиграть с параметром "Applies to" в расширенных опциях и установить наследование.
    Точнее сейчас не скажу, т.к. нет под рукой винды.
    Скриншоты и описание можно посмотреть тут: https://windowsnotes.ru/other/nastrojka-razresheni...
    Ответ написан
    1 комментарий
  • Можно безопасно использовать удаленный вход в Windows server из интернета по RDP?

    @res2001
    Developer, ex-admin
    Можно:
    1.включить проверку подлинности на уровне сети
    2.не использовать самоподписанный сертификат (завести свой ЦС, генерить на нем сертификаты для сервера и клиентов)
    3.использовать только надежные протоколы шифрования
    4.включить проверку подлинности клиента
    5.изменить порт RDP по умолчанию - опционально
    Вот тут не плохо все описано.

    В целом это общие методы для защиты любого соединения (не только RDP) с помощью SSL/TLS.
    Ответ написан
    3 комментария
  • Возможно ли бэкапить виртуалки изнутри?

    @res2001
    Developer, ex-admin
    1.Какой гипервизор используете?
    2.Обычно не нужно останавливать виртуалку для бэкапа, достаточно сделать снэпшот и бэкапить снэпшот. Именно так работает большая часть софта для бэкапа виртуалок.
    3.Во многих случаях нельзя просто так взять и забэкапить снэпшот виртуалки, т.к. содержимое снэпшота может быть не консистентно (и если придется восстанавливать снэпшот вы рискуете потерять данные). Например если в виртуалке крутится база данных, то ее надо бэкапить средствами базы данных, а не гипервизора. Та же АД - это по сути база данных. По факту бэкапить снэпшотами можно только для какой-то файло помойки или для сервера приложений, где есть только установленные приложения, которые не часто меняются.
    Ответ написан
    Комментировать