Восстановить работу домена на Server 2016 после падения контроллера домена

 Сломался один из контроллеров домена (NTDS) и нужно вернуть его в строй.

        Делать нужно всё из-под администратора домена и на каждом шагу лезть в безопасность и давать группе Администраторы домена полные права.
        Для этого на втором живом КД (если их два), из оснастки Пользователи и компьютеры AD, удаляем из папки Domain Controllers упавший КД, жмём везде согласие, переносим все роли на текущий КД. Далее идём в оснастку AD Сайты и службы, в корневой папке сайта из папки Servers удалить старый КД. Теперь надо разобраться с DNS.

Недоступен диспетчер DNS На Windows Server 2016

        Чтобы устранить ошибки необходимо сначала определить контроллер домена, являющийся хозяином операций для эмулятора основного контроллера домена (PDC):
netdom query fsmo

        Дважды кликнуть службу Центр распространения ключей Kerberos, в поле «Тип запуска» выбрать значение Отключено и перезагрузить.
        После перезагрузки воспользоваться Netdom для сброса безопасных каналов между данным контроллером домена и хозяином операций для эмулятора PDC. Для этого на контроллере домена, не являющемся хозяином операций для эмулятора PDC:

netdom resetpwd /server:имя_сервера /userd:имя_домена\administrator /passwordd:пароль_администратора
        

Перезагрузить, удалить старые записи, очистить кеш, создать стандартные папки, создать зону прямого/обратного просмотра (всё это по правой кнопке на DNS сервер)
        Запустить службу «Центр распространения ключей Kerberos»

ipconfig /registerdns
dcdiag /test:DNS /q диагностика

Как-то так. Всё получилось, все роли перенесены на живой КД и он работает.

Читать далее ...

Войти в сетевую папку под другим пользователем без перезагрузки

Часто бывает, что в ОС Windows сохранены/закэшированы доступы к сетевым ресурсам/папкам или RDP и необходимо зайти под другим пользователем. Но иногда это нужно сделать без перезагрузки или без перелогинивания. Как?

Для этого нужно:

1. Очищаем сохраненные логины/пароли в Windows

Win+R:

rundll32.exe keymgr.dll, KRShowKeyMgr

Удалить сетевой ресурс, в который необходимо попасть под другим пользователем без перезагрузки:

2. Останавливаем текущие соединения, удаляем кэш тикетов Kerberos, перезапускаем проводник

Смотрим текущие соединения в  CMD:

net use

Удаляем необходимое текущее соединение

net use \\Server\SomeDirectory /delete

Или все имеющиеся соединения

net use * /delete

Далее сбрасываем кэш выданных тикетов Kerberos

klist purge

Это связано с тем, что членство в группах AD обновляется при создании билета Kerberos, которое происходит при загрузке системы или при аутентификации пользователя во время входа в систему.

Перезапускаем explorer, вводим в Консоль (Win+R, вводим CMD):

taskkill /F /IM explorer.exe & start explorer

Все!

Читать далее ...

Смена типа аутентификации в Zabbix

Настроил   аутентификацию Zabbix через LDAP к AD, но забыл добавить пользователя.
Кнопка была нажата и больше я войти в админку под локальной учетной записью, равно как и доменной я не смог.
Вариантов было только два - делать format c: или искать способ смены аутентификации с LDAP на внутреннюю.
Выход конечно же нашелся, причем не такой кардинальный.

Подключился по ssh на сервер и проделал манипуляции, что показаны на скриншоте

После чего авторизация в системе мониторинга Zabbix стала как и ранее - внутренняя. 

Т.е могу использовать логины-пароли по дефолту:

Username: Admin

Password: zabbix

Вот и все

P.$.

Не забываем предварительно сделать резервную копию. 

Читать далее ...

Настройка wsus для не доменного ПК\сервера

 Очень нужно было

Прямого доступа в инет с сервера нет, но update нужен

Решаем просто. Ковыряем дырку на сетевом оборудовании между wsus и серваком:

В реестр -  настройки:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

"WUServer"="http://wsus.local"

"WUStatusServer"="http://wsus.local"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

"UseWUServer"=dword:00000001

"NoAutoRebootWithLoggedOnUsers"=dword:00000001

"IncludeRecommendedUpdates"=dword:00000001

"DetectionFrequencyEnabled"=dword:00000001

"DetectionFrequency"=dword:0000000c

"NoAutoUpdate"=dword:00000000

"AUOptions"=dword:00000002

"ScheduledInstallDay"=dword:00000000

"ScheduledInstallTime"=dword:00000003

"RebootRelaunchTimeoutEnabled"=dword:00000001

"RebootRelaunchTimeout"=dword:000005a0

Не забываем указывать свой адрес сервера WSUS.

Читать далее ...

DHCP Audit Log Paused

 Запись в логе DHCP «DHCP Audit Log Paused» может быть связана с превышением размера лога. По умолчанию - 10 mb. Увеличиваем через PS

Set-DhcpServerAuditLog -MaxMBFileSize 50

Переименовать текущий файл, после чего, будет создан новый файл.

Читать далее ...

В чем разница между SQL Server и SQL Server Express?!

Может кому-то будет полезно.

Ключевые различия
SQL SERVER: Microsoft RDMS (система управления реляционными базами данных)
SQL EXPRESS: Подмножество SQL Server для небольших / встроенных приложений
Максимальный размер БД
SQL SERVER: 10 ГБ
SQL EXPRESS: 4 ГБ
Сервисы
SQL SERVER: создание БД, обновление, управление транзакциями, восстановление, шифрование, сервисы
SQL EXPRESS: создание, изменение, удаление, удаление, запросы, триггеры, команды в БД
Место расположения
SQL SERVER: хост-компьютер
SQL EXPRESS: компьютерная система
Домен
SQL SERVER: настольные приложения и веб-сайты
SQL EXPRESS: небольшие встроенные приложения
Максимальное использование оперативной памяти
SQL SERVER: Enterprise - ОС Max 2016 Standard - 128 ГБ
SQL EXPRESS: 1 ГБ
Требуется минимум памяти
SQL SERVER: 4 ГБ, процессор 1 ГГц (32 бита) или лучше 64-битный
SQL EXPRESS: 1 ГБ
Объекты хранения
SQL SERVER: FileTables и FileStreams
SQL EXPRESS: Файлы БД, резервные копии
Агент SQL Server
SQL SERVER: планирует задания и обрабатывает другие автоматизированные задачи
SQL EXPRESS: отсутствует
Платная версия
SQL SERVER: Существует
SQL EXPRESS: Бесплатно
Службы отчетности
СЕРВЕР SQL: Да
SQL EXPRESS: Нет
Аналитические службы, OLAP и инструмент для анализа данных
SQL SERVER: Поддерживается аналитическая обработка в режиме онлайн.
SQL EXPRESS: Нет
Службы уведомлений, миграция данных, шифрование
СЕРВЕР SQL: Да
SQL EXPRESS: Нет
SQL Profiler
SQL SERVER: Чтобы посмотреть, куда направляются ресурсы БД
SQL EXPRESS: Более быстрый ExpressProfiler
Удаленный доступ
SQL SERVER: Нет
SQL EXPRESS: Нет
Машинное обучение
SQL SERVER: Нет ограниченного параллелизма
SQL EXPRESS: Нет
Масштабируемость
SQL SERVER: Да, с файлами LDF
SQL EXPRESS: Да, только через несколько взаимосвязанных БД
Экземпляры на компьютер
SQL SERVER: 5
SQL EXPRESS: 16

Читать далее ...

СБРОС ПАРОЛЯ ROOT В MYSQL 5.7

Пускай лежит тут

Алгоритм ныне немного другой, чем был ранее.

1) Запускаем MySQL в safe mode

service mysqld stop

sudo mysqld_safe --skip-grant-tables &

2) Заходим в MySQL и сбрасываем пароль

mysql -u root mysql

update user set authentication_string=PASSWORD("новый_пароль") where User='root';

FLUSH PRIVILEGES;

Понизить уровень безопасности:

set global validate_password_policy=LOW

 

3) Добавление НОВЫХ пользователей:

CREATE USER 'newuser'@'localhost' IDENTIFIED BY 'password';

GRANT ALL PRIVILEGES ON * . * TO 'newuser'@'localhost';

FLUSH PRIVILEGES;

 

 4) Возможно понадобится:

SET PASSWORD = PASSWORD('your_new_password');

Читать далее ...

Установка RSAT в windows 10 1903

После обновления до 1903 на моем рабочем  компе отказалось работать RSAT

На сайте мелкософта я нужной версии не нашел.

Инет большой - ему как бы виднее и решение есть.

Решение такое (вернее оно не одно решение, а два с половиной):

Можно выполнить скрипт https://gallery.technet.microsoft.com/Install-RSAT-for-Windows-75f5f92f

Можно выполнить команду в powershell: Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability –Online

 Но у меня вылезла ошибка: 

Лечим так:

regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

UseWUServer -> 0

net stop wuauserv && net start wuauserv из cmd

Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability –Online

Проверяем что RSAT установлен

Get-WindowsCapability -Name RSAT* -Online | Select-Object -Property State,DisplayName

Проверяем в меню

Все!

не забываем вернуть UseWUServer -> 1  и  перезfпустить службу WSUS (служба обновлений у меня корпоративная и надо вернуть все на свои места).

P.$

Можно было конечно и в офлайн режиме поставить – иметь дистрибутив с Windows 20 1903 и шаманить с ней.

Но у меня ее нет, поэтому я поставил как выше

Можно было поставить через Параметры Windows -> Приложения -> Дополнительные возможности -> Добавить компонент

Но мы не ищем легких путей и командная строка для нас все или почти все 😊

Читать далее ...

Импорт резервирования на Windows DHCP

При миграции DHCP сервера на базе MS Windows на другой сервер необходимо импортировать записи резервирования IP адресов.
При переносе DHCP с Windows 2012R2 на Windows 2016 - Backup и Restore не работает, на новом сервере служба не понимает резервную копию.

Делаем следующее:

1. Экспортировать настройки старого DHCP сервера

netsh Dhcp Server \\old-server dump > c:\dhcp.txt

2. Найти записи резервирования в файле

они начинаются с текста
   # =================================================================
   #  Start Add ReservedIp to the Scope : 10.10.10.0, Server : OLD-SERVER
   # =================================================================

и заканчиваются текстом
   # =================================================================
   #  End   Add ReservedIp to the Scope : 10.10.10.0, Server : OLD-SERVER
   # =================================================================

3. импортировать так:

netsh Dhcp Server [\\server] Scope <scope-address> Add reservedip <ip-address> <mac-address> "<hostname>" "<comment>" "<DHCP|BOOTP|BOTH>"

Не забываем - запуск cmd от имени Администратора
Пример:

netsh Dhcp Server \\new-server Scope 10.10.10.0 Add reservedip 10.10.10.13 06244359vvd2 "rnws0032.domen.ru" "workstation" "DHCP"

Читать далее ...

Как заставить работать SFP-модули не-CISCO в устройствах CISCO.

    Всем известно, что производители сетевого оборудования дают возможность использования трансиверов, но часто пишут, что - strongly recommended, рекомендуют использовать трансиверы именно своего производителя. Порой ценник на них ох как кусается.

    Как я прочитал – CISCO не рекомендует использовать трансиверы не-CISCO, могут лишить гарантии из-за несовместимости оборудования и т.д.

    По умолчанию оборудование CISCO не видит трансиверы не-CISCO, помечая их как Invalid или Unknown transiver.

Обходим ограничение

В привилегированном режиме:

(config-if)# service unsupported-transceiver

В ответ:

Warning: When Cisco determines that a fault or defect can be traced to the use of third-party transceivers installed by a customer or reseller, then, at Cisco's discretion, Cisco may withhold support under warranty or a Cisco support program. In the course of providing support for a Cisco networking product Cisco may require that the end user install Cisco transceivers if Cisco determines that removing third-party parts will assist Cisco in diagnosing the cause of a support issue.

После этого трансивер должен работать в штатном режиме.

Читать далее ...

Создание единого vmdk файла из кучи разрозненных

Нужно собрать единый файл vmdk, который я создал на тестовой виртуальной машине VMware Workstation.

Было так:

Команда сбора в единый файл - на скриншоте ниже

Читать далее ...

На злобу дня

Десять москвичей
Пошли с утра побегать.
На одного чихнули,
И их осталось девять.

Девять москвичей
Бродили между сосен.
Один кору погладил,
И их осталось восемь.

Восемь москвичей
Набились в лифт затем.
Один нажал на кнопку,
И их осталось семь.

Семь москвичей зачем-то
Зашли в кафе поесть.
И просто удивительно,
Что их осталось шесть.

Шесть москвичей отважно
Пошли потанцевать.
Один не знал дистанции,
И их осталось пять.

Пять москвичей за гречкою
Попёрлись из квартиры.
Один потрогал апельсин –
И их уже четыре.

Четыре москвича идут,
А им навстречу Боря.
Один с ним поздоровался,
И их осталось трое.

Три москвича пошли гулять:
Пустая же Москва!
Но голубь сверху перданул,
И их осталось два.

Два москвича нарушили
Строжайший карантин.
На них напал Собянин.
Остался лишь один.

Москвич последний посмотрел
Вокруг себя устало,
Ушёл пешком в небытие –
И никого не стало.

Читать далее ...

Управлению безопасностью для "правильных" руководителей

Каждая организация ждет от вас, как от ИТ-руководителя, внедрения стратегии безопасности, которая защитит предприятие и его клиентов от атак злоумышленников. То, насколько эффективно и проактивно вы реагируете на угрозы, определяет успешность вашей карьеры. Успех опирается на политики, процедуры и грамотное общение с руководителями.

Если вы понимаете, что важно для организации и почему, то с легкостью сможете определить необходимые приоритеты.

    Безусловно, каждая организация должна иметь или разработать собственный подход к обеспечению безопасности ИТ, однако базовый список процедур поможет упростить эту задачу:

Ежедневно:

• Проверять наличие исправлений для оборудования, ПО и сетевых устройств. Убедится, что в организации используются политики и средства для поддержания актуального состояния ресурсов и защиты систем.
• В максимально возможной степени консолидировать действия по обеспечению безопасности с помощью автоматизированных средств (например – WSUS, zabbix и т.д.).

 Еженедельно:

• Проводить подробный анализ журналов, отчетов и показателей. Использовать эту информацию для обнаружения брешей и проблем, и определения наилучших методов их устранения.
• Рассказывать о возникающих и существующих угрозах ИТ-сотрудникам и специалистам по безопасности, а также всем другим сотрудникам, когда это необходимо. Например: разработчики приложений должны понимать, как злоумышленник может использовать уязвимости в коде, а сотрудники должны знать, как происходит атака и как ее предотвратить.

 Ежемесячно:

• Проводить глубокий анализ журналов безопасности и других данных, чтобы понять, как быстро ваша организация реагирует на угрозы и устанавливает новые пакеты исправлений, а также что именно можно улучшить. Зная, когда происходили определенные события, а также как и насколько быстро сотрудники реагировали на них, можно лучше понять причины задержек при реагировании и других потенциальных проблем. При необходимости - изменить политики, процедуры и провести работу с сотрудниками.
• Выполняйте подробный анализ происшедшего и проверяйте всю ИТ-инфраструктуру системы безопасности.
• Проверяйте бизнес-процессы и системы для выявления уязвимых мест (таких как отсутствие исправлений и незащищенность систем обмена мгновенными сообщениями), которые могут стать причиной возникновения проблем с безопасностью.
• Организуйте регулярные встречи руководителей и обеспечьте участие всех отделов в разработке плана по обеспечению безопасности. При этом необходимо учитывать условия работы различных отделов и обеспечивать обратную связь всех отделов с ИТ-сотрудниками.

Для успешного выполнения плана требуется структура и партнерство сотрудников.

Чтобы быть успешным лидером в области ИТ, руководитель должен понимать, как взаимодействовать с другими сотрудниками и привлекать их к обеспечению безопасности. Если вы хорошо выполните эти задачи, то достигнете полного соблюдения политик безопасности и сможете создать план, который соответствует деловым целям организации.

Ниже приведены некоторые советы:

• Согласуйте стратегию с требованиями бизнеса.
• Учитывайте вопросы безопасности с самого начала.
• Создайте в организации структуру для управления безопасностью. Уделяйте внимание обучению.

Для создания безопасной среды требуется надежная стратегия и грамотная тактика: тщательно планируйте, регулярно контролируйте выполнение и быстро реагируйте на неправильные действия. Руководители, которые серьезно занимаются вопросами обеспечения безопасности и выделяют время и сотрудников для эффективного управления ею, имеют больше шансов улучшить работу компании и добиться карьерного роста.

Читать далее ...

Обновление корневых сертификатов на Windows 10 вручную.

Понадобилось мне обновить корневые сертификаты. Так как интернет ограниченный и почему-то через WSUS скачиваться  никоим образом не захотело, пришлось изгаляться и ставить в ручную. 

        Ранее, в Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe.

        К сожалению, а может быть и нет утилиты с сайта Microsoft уже нельзя скачать. Но можно  ее скачать по ссылке (http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip)

Качаем, распаковываем, смотрим:

Но файлы датированы 2013 годом и как бы сертификаты уже устарели

Запускаем cmd с админскими правами и выполняем:

certutil.exe -generateSSTFromWU roots.sst

В каталоге появился файл roots, при запуске которого увидим, что он содержит 401 сертификат:

Экспортировать сертификаты и ставить вручную - это не наш метод!

Для установки всех сертификатов из файла и добавления их в список корневых сертификатов, запускаем PS с админскими правами и выполняем поочередно:

$sstStore = ( Get-ChildItem -Path C:\sert\rootsupd\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

Можно зайти в оснастку сертификаты и проверь, что все они импортированы

Ну и как бы все - все просто

Читать далее ...