DVoropaev, если задача снизить количество сущностей, проще будет перейти на авторизацию по сертификатам в ssh
PKI много где применима в отличие от ssh ключей
nikolay1214, cloak разрабатывался как плагин для сокрытия трафика shadowsocks. Он может накладывать дополнительный слой шифрования или не делать этого если тунелируемый трафик уже зашифрован. Шифрование включается и отключается на стороне клиента, серверную часть при этом перенастраивать не требуется. Cloak умеет работать как плагин для ss, так и в виде самостоятельной службы.
Простой Человек, в сообщении пишут на некорректный сертификат сервера, где-то происходит подмена сертификата. Часто этим занимаются антивирусы на локальном компьютере для дешифровки и "защиты" пользователя от неблагонадежных сайтов и контента. В Kaspersky надо выключить web защиту соединений чтобы он не вмешивался в трафик. В остальных смотреть в том же направлении. Типичная MITM атака только со стороны антивирусов: https://encyclopedia.kaspersky.ru/glossary/man-in-...
Raeshka871, найти в интернете kms сервер и настроить активацию через данный сервер. Сменить ключ активации на MAK или любой купленный. Настроить VPN до рабочей сети и активировать по средством рабочего KMS сервера. Принести комп туда где его настраивали и снова активировать на 180 дней.
Если искать kms в интернете можно воспользоваться shodan.io, порт KMS по умолчанию 1688 протокол TCP
Мне всегда нравились вопросы как в данном топике. На них есть отличный ответ: быстро, качественно, недорого - выберите любые два. Автору важно недорого, если вторым выберет качество, то результата придется подождать, если вторым станет быстро, соответственно потеряют в качестве.
Harbid Abu Marhamedoff, полностью согласен. Есть серверы которым статика необходима. Тот же контроллер домена хочет статический адрес при настройке, но это не принципиально и ADDS вполне может получать зарезервированный адрес от DHCP сервера в сети (не рекомендуется, но такая схема тоже работает). Есть серверы которым действительно нужна статика, но они находятся под управлением администратора который понимает что делает и может изменить сетевые настройки в соответствии с рабочими процессами. Серверов в сети значительно меньше чем рабочих станций и перебить ручками настройки не составит больших проблем.
Могу сказать за свой опыт, если рядовой сервер в домене, можно зарезервировать ему адрес на DHCP, но лучше при вводе в эксплуатацию какого либо нового сервиса изначально настраивать обращение клиентов к данному сервису по FQDN. На перспективу это упростит обновление сервиса. К примеру ADCS настраиваем на публикацию списков отзыва сертификатов не по имени сервера и не по IP адресу а по имени ca.domain.tld тогда в случае замены сервера CA в DNS потребуется изменить CNAME запись со старого имени сервера на новый (пример очень грубый, на самом деле там много всего что с CA связано).
Так же надо понимать что хочет автор вопроса, на сколько я понял необходимо перевести всех пользователей в новый "чистый" домен с наименьшими потерями времени.
Если резюмировать, то есть серверы которым должны быть назначены статические адреса (Hyper-V или DHCP например), есть серверы которые могут работать как со статическими адресами так и с динамикой (ADDS/DNS/CA), тут надо смотреть по ситуации и оценивать риски, например при отказе сервера DHCP, и есть рядовые серверы которым можно раздавать динамику, обращение к таким серверам всегда будет по доменному имени (например сервер терминалов). На рабочих станциях лучше никогда не использовать статику либо динамика либо резервирование на DHCP.
Тестирование с выключением старого контроллера домена тоже хорошая идея при этом в зависимости от топологии AD надо смотреть события на контроллерах домена находящихся в работе.
Для контроля обращений к старому серверу на его адресе можно поднять другую виртуалку или другой сервер или рабочую станцию с запущенным tcpdump или wireshark для мониторинга обращений сетевых устройств к старому серверу. Когда все устройства которые будут отображаться в логах сетевых сканеров будут перенастроены, освобождаем адрес сервера, запускаем его и корректно выводим из домена с понижением до рядового сервера и удалением служб ADDS.
Домен можно поднимать в сети любых размеров, зависит от бизнеса, кто-то готов пользоваться нелицензионным софтом, кто-то даже при малой численности сотрудников готов финансировать потребности IT и купить им необходимое количество лицензий.
Harbid Abu Marhamedoff, у клиентов не должно быть статических настроек при наличии в сети DHCP сервера, статика только на серверах (да и то не на всех). При раздаче параметров в динамике проблем замены DNS на клиентах нет.
В службе DNS настраиваются серверы условной пересылки для того чтобы участники каждого домена могли обращаться к ресурсам соседнего домена по имени, а не по адресу. Так же на клиентах групповой политикой или DHCP сервером можно настроить доменные суффиксы для поиска чтобы не прописывать полные FQDN имена.
1. Если принтер подключен к ПК с установленным VipNet Monitor, смотри правила открытой сети. Печать с компа на комп использует SAMBA порты. Минимально можно открыть TCP:445 но в таком случае придется на втором компьютере подключаться по IP адресу компьютера с VipNet;
2. Если принтер подключен к ПК без VipNet Monitor, дополнительных правил на ПК с VipNet Monitor не требуется;
3. Проверить туннели, если есть пересечения физических сетей предприятия и туннелей, включить виртуализацию для тунелируемых адресов пересекающихся сетей.
Мега удобная коробка. Избавился от всех дисков, винт на 1Тб позволяет напичкать исошки на любой случай жизни, плюч остается место для копий создаваемых например загрузочным Acronis TI
PKI много где применима в отличие от ssh ключей