Превью контента приватного доступа

Message rejected under suspicion of SPAM от Yandex почта для домена

Сегодня я хочу поделиться с читателями моего приватного блога, посвященного работе с почтовым сервером на базе Exchange 2010 (Version: 14.03.0509.000). Дело в том, что столкнулся с ситуацией, когда с подконтрольной VPS системы совершаем рассылки и среди клиентов есть клиенты, у которых "Почта для домена", отправляемые письма не доходят, клиенты получают вот такую вот отбивку:

Пользователь mail-nwsmtp-mxfront-production-main-79.klg.yp-c.yandex.net отклонил ваше сообщение, отправленное на следующие адреса электронной почты:

Account (s.inna@ekzorchik-perm.ru)

mail-nwsmtp-mxfront-production-main-79.klg.yp-c.yandex.net выдал это сообщение об ошибке:

Message rejected under suspicion of SPAM; https://ya.cc/1IrBc 1745233936-GCLxEpCE00U0-EPVamcHw

Сообщение не было доставлено из-за проблемы с разрешениями или безопасностью. Сообщение мог отклонить модератор, адресат может принимать сообщения электронной почты лишь от некоторых получателей, либо же доставке препятствует другое ограничение.

По логам IMAP выявляем кто user account was locket out

Решил оформить в виде заметки на будущее, а то вроде как помню, а вроде забываю, ситуация в следующем, сейчас в компании все еще почтовый сервер на базе Exchange 2010 (Version: 14.03.0509.000) и порой с учетом заметки: "И снова User account was locked out"

стали приходить на почту сообщения вида:

Subject: Account on Domain lockout notification

Message: A user account was locked out.

Account name: <учетная запись>

Caller Computer Name: srv-mail01-cas

в этом сообщение меня насторожило, что компьютер, на котором идет блокировка учетной записи — это DNS-имя системы на которой развернут почтовый сервер.

Делаем Move VM с одного Hyper-V на другой Hyper-V

Ситуация в следующем, мне нужно на srv-hyperv01 поставить вставить сетевую карту в лице "2-port 10-GbE SFP+ Intel X520-DA2 Server Adapter", а после переделать Virtual Switch, т.е. если раньше он именовался у меня, как: vSwitch (External network: Inter® I350 Gigabit Network Connection), то будет, как vSwitch10G (External network: Intel® Ethernet Server Adapter X520-2).

Я перед процедурой выключения сервера, сперва выключаю VM и через Veeam Backup делаю резервную копию — это на всякий случай.

А далее… произвожу перенос VM с одного хоста hyper-v на другой hyper-v.

Шаги активации развернутого SQL Server 2016

Задача: Хочу оформить как после установки опираясь на заметку: "Порядок поднятия SQL (srv-db01) как на работе" SQL Server 2016 версии 13.0.5850.14 произвести его активацию дабы не получить после прошествии 180 дней невозможность взаимодействовать с SQL Server через SQL Server Management Studio, ну и еще каких-либо нюансов с которыми на продуктиве ой как не хочется столкнуться.

Подключение ящика в Outlook 2016 через AutoDiscover

Ну а сегодня я покажу какие настройки нужно сделать в почтовом клиенте Microsoft Outlook 2016 (операционная система не в домене, во вне) дабы произвести настройку на почтовый ящик alerter@ekzorchikdom.ru через AutoDiscover, по сути это наработка когда данную инструкцию нужно будет передавать тем кто хочет работать из дома. Ведь пакет Microsoft Office как правило у всех установлен и опираясь на данную заметку сделать все самим не предстанет никакого труда. Либо же на рабочем месте удаленного склада настроить почту.

Активируем IMAP взаимодействие с Exchange 2016

Сегодня разберем (см. все заметки на моем приватном блоге https://win.ekzorchik.ru), как на Exchange 2016 моего домена @ekzorchikdom.ru включить возможность подключения из вне ящика через IMAP, по умолчанию такая возможность отключена, но вот когда делаем перенос почтового сервера с Exchange 2010 на Exchange 2016 и большая часть сотрудников подключена на мобильных устройствах через IMAP, взять и сразу отключить нельзя, нужно по одному их переводить на новое подключение, а уже у конкретных отключать IMAP.

Как создать почтовый ящик в Exchange 2016 для @ekzorchikdom.ru

Задача: Хочу сделать себе заметку, как через Exchange Admin Center на Exchange 2016 создать почтовые ящики со всеми нюансами, которые мне необходимы дабы, потом опираясь на эту заметку все делать в едином стиле. Напомню, что весь процесс от и до как в домене развернуть и настроить почтовый сервер есть в приватных заметках блога https://win.ekzorchik.ru. Ну что ж начну свое повествование.

Пограничный шлюз Proxmox Mail Gateway для Exchange 2016

Сегодня тот день, когда для почтового сервера нужен сервис, посредством которого входящие письма будут подвергаться анализу с последующим пропусканием до конечных адресатов либо же отклонением (Антивирусная и Спамовая защита).

В роли этого сервиса выступит отдельная виртуальная машина с сервисом, именуемым как Proxmox Mail Gateway – это пограничный почтовый шлюз. Почтовый шлюз – это система которая слушает 25/tcp порт приема почты, входящая почта подвергается анализу (согласно настроенным правилам, фильтрам) и если все хорошо, то перенаправляется далее на Exchange 2016, где на Exchange нужно изменить прием почты от почтового шлюза.

Устанавливаем Firebird 5.0 на Server 2019 Std

Вспомнил, что у меня есть виртуальная машина в среде виртуализации Debian 10 + Proxmox 6.4-13: VM (srv-s2019a) которая развернута была опираясь на заметку: "Как установить Windows Server 2019 внутри Proxmox 6.4"

и вот на ее основе я разберу, как происходит установка Firebird последней версии на момент написания данной заметки, а именно 19.02.2025, а версия сейчас пятая. Зачем данная заметка, а просто хочу в последствии вспомнить как обслуживать медицинскую программу "МИС Инфоклиника", а там база данных на базе Firebird базируется и не лишним будем подтянуть свои знания.

Как добавить DKIM подпись в Exchange 2016

Сегодня разберем, как примостырить DKIM к почтовому серверу на базе Microsoft Exchange Server 2016 (Version 15.01.2507.044) моего домена @ekzorchikdom.ru.

DKIM (DomainKeys Identified Mail) — подпись позволяет подтвердить, что адрес, указанный в поле «От кого», является реальным адресом отправителя письма, а также повышает «доставляемость» писем.

Кстати говоря, такую задачу я уже делал, когда задался целью по максимуму настроить безопасность для своего почтового сервера на базе Microsoft Exchange Server 2010, о том, как это делается советую ознакомиться с заметкой: "Как добавить DKIM подпись Exchange 2010"

Прежде чем начать пошаговую заметку ознакамливаюсь с информацией по используемому программному обеспечению и вижу, что утилита Exchange DKIM Signer имеет место взаимодействовать с Exchange 2016 если у Вас установлено обновление CU13 и выше, а у меня исходя из заметки: "Все обновления на Exchange 2016", стоит: CU23 SU v2

Подключаем почту Exchange 2016 на Iphone 14

Раз для Android смартфона я показал какие нужно сделать настройки дабы подключить почтовый ящик своего почтового сервера на базе Exchange 2016 домена @ekzorchikdom.ru, то сейчас на очереди это смартфон в лице Iphone 14. Ведь есть категория людей, которые не умеют пользоваться Android аппаратами и для них тоже нужна инструкция.

Подключаем почту Exchange 2016 на Galaxy A55 5G

Сегодня я покажу какие настройки нужно забить в смартфоне Samsung Galaxy A55 5G дабы произвести подключение ящика с почтового сервера на базе Exchange 2016 домена ekzorchikdom.ru

Настраиваем AutoDiscover на Exchange 2016

Итого, по прошествии всех опубликованных заметок, посвященных настройке почтового сервера в лице связки Windows Server 2016 Std + Exchange 2016 (Version 15.01.2507.044) в домене, я плавно дошел до этапа, когда нужно настроить AutoDiscover, как для внутреннего, так и внешнего использования. Чтобы появилась возможность настраивать подключение пользователей к их почтовым ящикам.

Cертификаты для IIS и через ECP применительно к Exchange 2016

Опираясь на заметку где показал каким-образом выпускается сертификат от Let's Encrypt применительно к домену @ekzorchikdom.ru сегодня покажу, что нужно дабы в IIS указать какие сертификаты и "Центре управления Exchange" использовать для служб. И уже от этой заметки мы плавно перейдем к настройкам на клиентских устройства посредством которых будем взаимодействовать с развернутым почтовым сервером.

Сертификат от Let’s Encrypt для домена @ekzorchikdom.ru

После заметки "Связка VPS и Exchange 2016 через туннель" переходим к получению сертификата на DNS имя: mail.ekzorchikdom.ru, т.к. пока в планах нет надобности приобретать за деньги воспользуемся бесплатной возможность от Let's Encrypt и выпустим сертификат сроком на 90 дней. В дальнейшем останется только каждый 90 дней, а желательно за 5-10 дней перевыпускать его. Сертификат предопределим для обращения из вне к виртуальным папкам, как это будет выглядеть я покажу ниже.

Связка VPS и Exchange 2016 через туннель

После всех опубликованных заметок ранее нужно показать каким-образом происходит связка внутреннего dns имени srv-mail02.polygon.local (на нем установлен Windows Server 2016 Std + Exchange 2016) с внешним DNS именем mail.ekzorchikdom.ru купленным на хостере AdminVPS, где настроены внешние DNS записи. Когда это будет сделано, Вы сможете выпустить сертификат от Let'S Encrypt сроком на 90 дней бесплатного использования, и он у Вас на почтовом сервере будет как входящая точка извне дабы инициировать отправку и прием почты, подключение различных клиентов: Outlook, Thunderbird, Android смартфонов, Iphone смартфонов и т.д. Все это будет разобрано в заметках и опубликовано у меня.

Регистрируем DNS записи для домена ekzorchikdom.ru

Продолжаю свою практическую серию заметок, посвященных развертыванию почтового сервера на базе Exchange 2016, сегодня я покажу что нужно сделать на регистраторе DNS где у меня куплено DNS-имя + на нем мне нужно будет прописать некоторые записи необходимые для работы почты, т.е. чтобы с помощью почтового клиента можно было подключиться к ящику, как пример.

Настройка виртуальных каталогов для Exchange 2016

Следующим этапом будет настройка виртуальных каталогов в Exchange 2016, как для внутреннего использования в локальной сети, так и во вне. Для этой заметки понадобится знать внутреннее FQDN-имя хоста и внешнее по которому если такая возможность будет можно будет взаимодействовать с почтовым сервером. У меня будет: внешнее имя — это mail.ekzorchikdom.ru. В последующих заметках я покажу связь внешнего доменного имени с внутренним.

Настраиваем прием почты в Exchange 2016

Если честно, то забыл рассказать, как в Exchange 2016 настроить возможность принимать почту, поэтому исправляюсь, в принципе данный этап можно сделать в любом порядке если смотреть мою серию практических заметок. Действия ниже на сервере srv-mail02.polygon.local который является почтовым сервера с программным обеспечением в лице Exchange 2016.

Внутренний сертификат для сервисов Exchange 2016

Следующий момент — это нужно выпустить сертификат для почтового сервера (внутренний), т.е. для FQDN—имени: srv-mail02.polygon.local. Перед этим у Вас должен быть на домен контроллере развернут центр сертификации (см. заметку: "Разворачиваем Certificate Authority на Server 2016"). Под почтовый сервер создан шаблон (см. заметку: "Создаем шаблон сертификата под Exchange 2016 в Домене"). К тому же этот сертификат будет назначен службам: IMAP, POP, SMTP и внутренним сервисам таким как к примеру: Autodiscover, ecp, owa.

Создаем шаблон сертификата под Exchange 2016 в Домене

Я предпочитаю свое изучение и внедрение разбивать на заметки, где каждая задача — это отдельная заметка. На текущий момент с процессом развертывания почтового сервера на базе связки Windows Server 2016 + Exchange 2016 для домена ekzorchikdom.ru нужно будет выпустить подписанный внутренний сертификат в локальной сети, а чтобы это сделать нужен предопределенный шаблон с настройками. Вот этим я и займусь в этой заметке, покажу как это делаю я от и до.

Разворачиваем Certificate Authority на Server 2016

Далее для нужд почтового сервера нужно чтобы в доменной сети был сервис выдачи сертификатов. Этот сервис поднимается в виде роли на домен контроллере (В моем случае это на Windows Server 2016 Std). С его помощью в последующих заметкам выпустим сертификат для внутреннего взаимодействия с почтовым сервером srv-mail02 (Exchange Server 2016).

Указываем лицензионный ключ Exchange Server 2016

Сегодня тот момент, когда по прошествии всего того что сделано на моем разворачиваемом почтовом сервере Exchange 2016 для домена ekzorchikdom.ru этап, когда нужно активировать лицензионным ключом srv-mail02.

Коннектор для отправки почты во вне на Exchange 2016

Двигаемся дальше с моим почтовым сервером на базе связки Server 2016 Std + Exchange 2016 (Version: 15.01.2507.044) применительно к домену ekzorchikdom.ru. Все заметки в итоге будут собраны по порядку от и до чего нужно сделать. Сейчас этап: Создаем коннектор отправки дабы появилась возможность отправлять почту во вне. Как всегда, все действия проделываю на почтовом сервере через браузер Google Chrome.

Формируем политику именования почтовых ящиков в Exchange 2016

Следующий этап в моем почтовом сервере на базе Exchange 2016 для домена ekzorchikdom.ru — это нужно сформировать политику именования почтовых ящиков, которые будет именоваться по определенному типу. Мне подходит вариант: login@ekzorchikdom.ru, как впрочем используется и в текущем почтовом сервере на базе Exchange 2010.

Добавляем домен обслуживаемый Exchange 2016

Двигаемся дальше в развертывании почтового сервера на базе Exchange 2016. Мы по чуть-чуть каждой заметкой подходим к цели, нюансов много кто бы что ни говори, а только у меня все сведено к единому в виде пошаговых заметок от и до. Сейчас этап, как на моем почтовом сервере (Hostname: srv-mail02) добавить домен который будет обслуживаться почтовым сервером, т.е. домен в локальной сети, к примеру: polygon.local, а купленное доменное имя — это ekzorchikdom.ru. Вот на его основе и будут почтовые ящики в организации.

Как в Exchange 2016 создать базу данных для общих папок

Продолжаю свое повествование на тему практического развертывания почтового сервера на базе Exchange 2016 от и до, как до этого было проработано на базе Exchange 2010 и опубликовано в приватных заметках моего блога https://win.ekzorchik.ru. Где каждый шаг, нюанс, ошибка разобраны. Если ранее я показал, как:

• Как установить Exchange 2016 на Server 2016
• Все обновления на Exchange 2016
• Как добавить почтовую базу на Exchange 2016

то сейчас следующий момент: — это как создается каталог для базы публичных папок.

Как добавить почтовую базу на Exchange 2016

Сегодня разберем, как на Exchange 2016 (Version: 15.01.2507.044) создается база данных для почтовых ящиков, а то как-то до этого момента не доводилось работать, да и внедрять Exchange 2016, но я исправлюсь, все от и до уже проработано. Сегодня этап разбора от и до с моими нюансами, как создается почтовая база для хранения почтовых ящиков.

Все обновления на Exchange 2016

В виду того факта что я хочу уйти с Exchange 2010 (Version: 14.03.0513.000) который сейчас использую на продуктиве в пользу пока из возможного на моей инфраструктуре — это Exchange 2016. В связи с этим прорабатываю: как разворачивается и вот как перед последующей настройкой произвести обновление на самую последнюю версию, но делать все это буду на тестовой инфраструктуре применительно к домену @ekzorchikdom.ru. Сейчас собственно заметка, как на развернутый из образа: SW_DVD9_Exchange_Svr_2016_CU_19_MultiLang_Std_Ent_.iso_MLF_X22-47606.ISO установить на 25.01.2025 все последние обновления.

Настройка Firewall на VPS где OpenVPN-сервер

В продолжении темы, мой OpenVPN сервер (v2.6.12) развернут на купленной VPS или арендуемом физическом сервере в интернете, выключать на этой системе встроенный брандмауэр глупо, поэтому я на Windows Server 2016 Std которая выступает в качестве операционной системы разберу настройки базовой защиты доступа посредством встроенного брандмауэра. Плюс получу возможность в последствии создания правил, запрещающих подключение к системе если в логах, буду фиксировать попытки неавторизованного взаимодействия.

Настраиваем OpenVPN клиент на Windows 10 Pro

Вот и настал момент, когда собственно и будет показано, как в моем случае настраивается OpenVPN клиент на рабочей системе дабы инициировать шифрованный туннель от клиентского места до VPS системы (OS: Windows server 2016 Std + OpenVPN Server v2.6.12). В ранее опубликованных заметках сделали:

• Поднимаем OpenVPN Server on Windows Server 2016 Std
• Формирую клиентские ключи клиентов OpenVPN

Т.е. все готово, переходим к шагам ниже:

Формирую клиентские ключи клиентов OpenVPN

В ранее опубликованной заметке я показ и задокумментировал какие действия нужно сделать дабы на Windows Server 2016 развернуть OpenVPN сервер версии 2.6.12, теперь если в боевой среде мне нужно будет это сделать у меня есть мое руководство.

Я специально разбиваю большую задачу на под задачи — так легче воспринимать информацию.

Далее я покажу, как нужно сформировать ключи для клиентов OpenVPN которые будет подключаться к серверу OpenVPN.

Поднимаем OpenVPN Server on Windows Server 2016 Std

Задача: Разобрать как на Windows Server 2016 Std поднять OpenVPN Server

Предыстория: в обслуживаемой организации которая сейчас у меня на подработке, предыдущий системный администратор и до него такой же зачем-то приобрели VPS систему на которой развернули Windows Server 2016 и поставили серверную часть ПО в лице "Архимед". И вот чтобы офисные сотрудники мед клиники взаимодействовали с этим программным обеспечение, то на каждой рабочей станции установлен OpenVPN клиент который подключается к OpenVPN серверу тем самым образуя сеть. Странно почему и правильнее все разворачивать в своей локальной сети, а не вот эта работа через интернет. Ну да ладно, я же для себя хочу разобрать каким образом поднимается OpenVPN сервер на Windows, т.к. имел место только если он на Ubuntu Server системах. Дабы если что-то не работает я смог оперативно поправить и разобраться в причинах.

Как всегда, с новым годом приходит ну я бы так сказал желание приобщиться к чему бы то ни было новому, что в последствии скажется в лучшую сторону на последующее использование. Одним из таких новшеств для себя я выделил разбор установки и настройки OpenVPN сервера на Windows Server 2016 от и до.

Установка Adobe Acrobat DC Pro на Windows 11 Pro

Хочу сделать себе шпаргалку на тему действий, которые нужно сделать дабы на Windows 11 Pro (Version 10.0.22631.4460) установить Adobe Acrobat DC Pro (увы, но не авторизованно приобретенную, но полнофункциональную в рамках образования). Данная заметка актуальна для места где идет подработка так и для тех, кто приносит свои системы для преднастройки.

Свое избранное меню приложений в FreeCommander

Я в повседневности использую на рабочем месте Windows 10 Pro (Version: 10.0.18363.657), а, чтобы оперативно производить управление инфраструктурой мне нужно использовать различные приложения, но, если их много они должны быть в оперативном доступе. В качестве файлового менеджера задействую FreeCommander XE 2023 Build 880 32-bit public, в нем есть функционал создания "Избранных инструментов". И вот через него создаю к примеру такое меню:

Сброс пароля на Admin в Archimed

Задача: Зная список действующих пользователей системы Archimed (Версия: 23.60.7.2) вернуть контроль над администратором, т.к. поддержка медицинской информационной системы перешла в моем обслуживание, а что бы выполнять задачи нужны административные привилегии. В этом заметке я покажу, как этого добиться со всеми нюансами.

Получаем список активных врачей в Archimed

Задача: Нужно восстановить данные аутентификации в программе Архимед (Медицинская информационная система), используемая версия 23.60.7.2.

Предыстория: Есть контора которую я с напарником обслуживаю (подработка так сказать) и сейчас мы в процессе восстановления доступом и понимания, как и что используется. Сперва нам говорят вы это не делаете, а потом делаете. Так и вот с этой системой, уволили Администраторшу, которая хоть как-то разбиралась и все делала, но вот под кем она заходила в систему не понятно, да и никто ничего не знает. Как обычно банальное перекладывание ответственности.

Как отправлять от имени другого ящика в Exchange 2010

Предыстория: Мне понадобилось для себя оформить в виде пошаговой заметке каким образом настраивается функционал дабы можно было использовать возможность отправки писем от имени какого-либо системного ящика дабы не светить свой. В процессе столкнулся что пишет: "У вас нет разрешений, необходимых для отправки сообщений из этого почтового ящика". В связи с этим решил разобраться + обнаружилось еще что-то что и указано в заметке. К тому же приобрел дополнительный опыт.

Итак, начинаем…

Миграция DC с Server 2012 R2 на Server 2016

Задача: Произвести миграцию домен контроллера с OS: Windows Server 2012 R2 на OS: Windows Server 2016

Т.е. текущий домен контроллер srv-dc01 на базе OS: Windows Server 2012 R2 Std с функциональным уровнем Windows Server 2012 R2 и я хочу произвести обновление перенос на ново вводимый srv-dc02 на базе OS: Windows Server 2016 и вывод srv-dc01, чистка вхождений в домен. Заметка делается на следующий этап, когда компанию буду переводить с Exchange 2010 на Exchange 2019.

Разворачиваем для тестов UGOS 7 на Hyper-V

Разворачиваем ngfw7-x86-hyperv.zip на Windows Server 2016 Std (Hyper-V) вот именно такую задачу я себе поставил дабы все в виртуальном окружении под виртуализацией проработать связку различного с целью уже последующего переноса настроек на боевое (UserGate D200), как делаю для всего в текущей компании и обслуживаемых компаниях.

На заметку: Для корректной работы вашей виртуальной машины мы рекомендуем использовать не менее 8 ГБ оперативной памяти и двухъядерный виртуальный процессор. Ваш гипервизор должен поддерживать 64-разрядные операционные системы.

Ошибка CDO.Message.1 при отправке почты из 1С 7.7

Забыл, что есть еще заметка по работе 1С 7.7 (Folder + SQL), совсем недавно обратились пользователи что не работает отправка почты из 1С 7.7 клиентам, в области уведомлений значится вот такая вот ошибка:

КнопкаПослатьМыло Значение не представляет агрегатный объект (КнопкаМыло)

> Ошибка: CDO.Message.1: Транспорту не удалось подключиться к серверу.

Вот это интересно, такого я еще не встречал на своей практике работы в этой компании.

Принялся анализировать, что не так:

Перенос системы с физического сервера в Hyper-V

У меня задумка, есть физический сервер на котором крутится сервер OS: Windows Server 2012 R2 с ролью RD Session Host

• Выступает он как терминальный сервер
• Выступает как доступ к опубликованным приложениям
• Взаимодействует со станками

Он довольно старый, как по железу, так и очень много на этой системе завязано.

Моя цель как-то обезопасить наследие, доставшееся мне в облуживание от предыдущего системного администратора, а это значит нужно уйти от физического сервера в пользу виртуализации. Когда будет виртуализация то будет и ежедневный бекап через Veeam Backup and Replication Enterprise Plus ("Установка Veeam Backup and Replication Enterprise Plus on Server 2016 Standard")

Я довольно часто в течении дня решаю много различных задач и задач, которые как системный администратор хочу поменять — это одна из таких.

Восстановление почтового ящика через DPM

Предисловие: Настала новая неделя и как всегда все интересное сразу и сейчас, пишет в WhatsApp главный бухгалтер:

[13:11, 14.10.2024] Инна гл. Бухгалтер: Саш, привет

[13:12, 14.10.2024] Ekzorchik: Доброго времени суток!

[13:12, 14.10.2024] Инна гл. Бухгалтер: Заблокируй учетку Тимофеевой, пож. Увольнение сегодня

[13:12, 14.10.2024] Ekzorchik: Сейчас блокировать?

[13:12, 14.10.2024] Инна гл. Бухгалтер: да

[13:13, 14.10.2024] Ekzorchik: Заблокировал и компьютер отправил в перезагрузку

[13:13, 14.10.2024] Инна гл. Бухгалтер: Спасибо!

Учетную запись заблокировал, все доступы отменил. Далее идет звонок от бухгалтера, мол т.к. сотрудника уволили подключи мне ее почту, сделал. Звонит опять, а почему нет в ящике никаких писем. Проанализировав сообщил, а сотрудник перед тем как главный бухгалтер мне сообщил, сотрудник удалил все письма из всех папок ящика. На вопрос что можно сделать, я сказал, что могу из бекапа восстановить все письма и приступил к задаче:

Экран смартфона на монитор Windows 10 Pro

Сегодня поговорим на тему, как на рабочей станции и подключенный к ней смартфон получить возможность с компьютера видеть все что происходит на смартфоне. Предисловие для чего это понадобилось, просто есть у меня близкий человек, который снимает обзоры палеток и ему в процессе съемки хотелось бы видеть, попадает ли он в кадр при съемках или нет, пока проверяет различные практические приемы. И вот чтобы ему помочь, вспомнил что ранее встречал такую задумку, сперва ее опробываю на себе, а потом покажу ему.

Исходные данные:

• Компьютер с Windows 10 Pro
• Смартфон Samsung Galaxy A55 5G

Ограничиваем права ввода в домен на Server 2012 R2

Сегодня разберем, как минимизировать дефолтные привилегии Authenticated Users в домене дабы не было возможность проэкслуатировать уязвимость на предмет, что любой пользователь в домене может самостоятельно вводить компьютеры в домен количеством 10. Это вообще банальщина которую нужно делать обязательно, как по дефолту это разрешено, что кроме Domain Admins это может делать по-сути любой пользователь в домене.

Тестовый стенд представляет из себя:

srv-dc01

• OS: Windows Server 2012 R2 Std
• IP: 10.90.90.3
• Domain: polygon.local
• Users: alektest@polygon.local содержится в группе Domain Users

srv-w10x64

• OS: Windows 10 Pro
• IP: 10.90.90.10
• Workstation

Проверка отзыва сертификата не удалась на Exchange 2010

И настал очередной срок замены сертификата для сервисов Remote Desktop Gateway & Exchange 2010 (Version: 14.03.0509.00), как я думал, у меня же все задокумментировано и все действия уже на протяжении тройки раз раз в 3 месяца делаются на ура, но… И вот тут, применяя заметку: "Как экспортировать Let’s Encrypted сертификат с Windows Server 2012 R2" я получил pfx сертификат для домена mail.ekzorchikdom.ru, скопировал pfx сертификат на srv-mail01-cas, запускаю оснастку Exchange Management Console - Server Configuration - Import Exchange Certificate… прохожу процесс импорта сертификата и сталкиваюсь с тем что импортированный сертификат имеет статус: "The certificate status could not be determined because the revocation check failed". Вот те на, проверяю на предмет этого свои наработки и понимаю, что с таким еще не сталкивался.

Принудительная чистка почтового ящика на Exchange 2010

Задача: Есть почтовый ящик, от имени которого с сайтов приходят уведомления или осуществляются рассылки, но этот функционал работает, а есть генерируемые службами сообщения отправки на несуществующие адреса и вот нужно периодически чистить почтовый ящик с вот такими вот письмами, как пример:

Т.е. у меня в ящике с именованием "Автоинформатор" содержится более 50.000 писем, удалять через Outlook 2016 где данный ящик подключен не комильфо, вещается почтовый клиент на весь процесс.

Нюанс работы обработок из 1С 7.7 через COM с 1C 8.3

Как всегда, самое интересное, в связи с выходом каких-то норм отчетности, от нашего программиста 1С поступила задача: нужно до 01.10.2024 произвести обновление платформу 1С с текущей: 8.3.22.2283 на 8.3.24.1691. Вот только обновлять платформу нужно на двух серверах, один отвечает за Бухгалтерию, а другой за склад, но это мелочи.

Я подготовил план обновления, ниже процесс следования и то с чем столкнулся при проверке работы обработок через COM соединение: «Поле агрегатного объекта не обнаружено (Connect)» и как это и эту проблему победил.

Резервное копирование настроек Mikrotik и Mikrotik(ов) за ним

Задача: Нужно совершать резервное копирование Mikrotik'ов которые стоят за главным и также главного, который выступает, как шлюз для телефонов организации. Мне надоело что в компании все время какие-то траблы с прохождение аудио трафика через общий шлюз и дабы исключить его я из пула адресов которые провайдер выделяет нам (организации) взял 1 и на оборудовании CRS326-24G-2S+ (arm)) построил сеть: Access порты и Tagged порты. До каждого здания от главного идет линк и стоит Mikrotik, как: CRS326-24G-2S+ (смотря сколько там телефонов) и CRS112-8G-4S (если мало, то вот этот). Теперь проблем с телефонией нет. Исходя из этого у меня образовался технический долг перед собой, мне нужно разобрать каким образом я могу осуществлять резервное копирование всех настроек оборудования. Если для управления и назначения портов я использую RoMon подключение, то для своей задачи прибегну к сформированным вариантам какие я вижу для решения:

Подключаемся к LTV-2RN3280 через IE

Задача: Разбираем подключение к регистратору LTV LTV-2RN3280 с Windows 10 Pro

Сегодня будет небольшая заметка, о том, как с рабочей станции под управлением Windows 10 Pro иметь возможность подключаться к регистратору дабы на удаленной площадке получить возможность посмотреть, как там обстановка.

Не работает Full Access to OWA на Exchange 2010

Предыстория такова, если берешь отпуск, то перед ним обязательно что-то да произойдет и вот в этом году (2024г) — это было не исключением, буквально на неделю, в выходные отключают свет в организации, охранники не сообщили начальнику АХО, а он в свою очередь не поставил в известность руководителя IT-отдела, т.е. сервера работали на ИБП, ИБП выработал ресурс батарей и все выключилось. Т.к. на выходных работа компании не стопорится, а продолжает работать, начались звонки, что не работает почта, RDG (шлюз на подключение извне). Когда пробывал подключиться ничего не шло, ну почти через Aspia конечно же подключался, но не видел два физических сервера на которых работает: почта и шлюз. Вынужден был приехать.

Если один физический сервер я каким-то образом заставил работать, то вот второй нет, а это почта.

Приступил к восстановлению Exchange 2010 той версии которая была, а именно: Version: 14.03.0509.000

Восстановил работоспособность почты, в процессе выявления что и как не работает (ведь почту в этой компании не я самолично разворачивал и как было сделано не до конца понимал), все было поправлено, но как же без но: перестал работать для системных администраторов доступ к почтовым ящикам через URL вида: https://srv-mail01-cas/owa/alektest2@ekzorchikdom.ru выводилось окно авторизации в ящик, а должно было быть как было ранее вход в ящик.

Оснастка WSUS cannot connect server SSL

При открытии оснастки WSUS на сервере Windows Server 2016 Std и подключении к текущему сервису где установлен WSUS при использовании SSL получаю ошибку:

Cannot connect to 'SRV-UPDATES'. Please make sure the Post-Installation task is completed successfully in that server. If it was, please verify if the server is using another port or different Secure Sockets Layer (SSL) setting.

Редактируем файл hosts на Windows 11

Сегодня я составлю пошаговую заметку о том как на Windows 11 Pro вносить изменения в файл host и чтобы они были на постоянке, а не возвращались к дефолтному значению.

Конвертация Server 2016 Evaluation в Standard

В связи с возникнувшей подработкой, еще одна небольшая проблема, есть физически арендуемые сервер (DL25-SSD 2 × Intel Xeon L5630: 4 × 2.13ГГц, 24 ГБ DDR3 ECC, 2 × 480 ГБ SSD SATA, 2 × 1 ТБ HDD SATA) на котором установлена Windows Server 2016 Standard Russian, на ней развернут сервис "ArchiMed+" и вот от пользователей поступила заявка, что они не могу подключиться клиентской частью, пишет нет связи с сервером лицензий. А сервер лицензий как раз на этом физически арендуемом сервере.

Процесс C:\Windows\system32\wlms\wlms.exe (WIN-EOJDC2PHF5V) инициировал действие "Завершить работу" для компьютера WIN-EOJDC2PHF5V от имени пользователя NT AUTHORITY\СИСТЕМА по причине: Другое (Запланированное)

Код причины: 0x80000000

Тип выключения: Завершить работу

Комментарий: Истек срок действия лицензии для этой установки Windows. Компьютер завершает работу.

Устанавливаем HyperV на SuperMicro X11DPU

Предыстория, раз на текущий сервер Supermicro X11DPU (Motherboard: SYS-6029U-TR4) я не могу взгромоздить использование виртуализации в лице ESXi 7, почему см. заметку: "Будет ли VROC на ESXi 7", то значит будет виртуализация на базе Windows в лице Hyper-V. Ось: Windows Server 2016 Std. Хоть вспомню какого это, а то забыл, все же больше: ESXi или Proxmox. Заметка как заметка как у меня боевой сервер настроен чтобы, опираясь на нее второй такой же настроить также. Я за то, что сервисы были настроены мною и обслуживались так же мною.

Ручная миграция VM между хостами Hyper-V

Задача: Проработать каким образом с Hyper-V (OS: Windows Server 2012 R2 Std) произвести перенос VM (OS: Windows Server 2012 R2 c ролью Remote Desktop Gateway) на новый сервер c Hyper-V (OS: Windows Server 2016 Std)

Предыстория:

Есть физический сервер (Baseboard: S5000PSL + SRCSASRB), он довольно-таки старый и на нем развернута операционная система Windows Server 2012 R2 Std на которой поднята роль Hyper-V. Когда я пришел в эту контору работать, я большую часть виртуальных машин перенес в ESXi, а вот одна машина осталась. Процесс конвертации в другую систему виртуализации завершался ошибками и пока эта VM живет на старом сервере.

Но тут одним словом бац родилась идея как ее перенести, и я ее как эксперимент не документирую перенес, и она запустилась, но перенес не на ESXi, а на Hyper-V. Вот об этом я и хочу сделать себе пошаговую заметку на будущее использование.

Централизованно завершаем задания на серверах печати

Задача: Хочу через консоль командной строки завершать задания, которые отправлены на принтере находящиеся в Offline

У меня для себя задачка, в компании более 50 единиц оргтехники и когда принтер меняется в связи с проблемами вида: Жует бумагу, черная полоса, лист бумаги в точках, застревает бумага на тот, что был в резерве, на принтере, изъятом и помеченном, как дата, когда произошла проблема и у кого заменили, на сервере печати для этого принтера могут оставаться задания, которые на него были отправлены. И порой случается, когда принтер пришел из ремонта, его подключаешь в сеть и все что на него до этого было отправлено тут же начинает печататься. А это уже не актуально и тратится бумага. Вот в этом случае, я хочу сделать/разобрать, как можно к примеру каждый день ночью чтобы запускался скрипт, который будет чистить по всем принтерам на сервере печати задания.

к примеру принтер поменяли, а очередь осталась.

Настройка приложения SuperLive Plus на Galaxy A55 5G

Ранее на блоге https://win.ekzorchik.ru я опубликовал заметки, посвященные регистраторам LTV, а именно:

• Настройка приложения SuperLive Plus на видеорегистратор LTV-RNE-321-02
• Правила на доступ к регистраторам LTV за TMG
• Доступ к регистратору LTV RNE-322 02 за Mikrotikом
• Создаю ограниченного пользователя для LTV-RNE-321-02

и вот с учетом них, сейчас нужно настроить приложение SuperLive Plus на смартфоне Samsung Galaxy A55 5G к трем видеорегистраторам LTV:

• LTV RNE-641 02
• LTV RNE-321 02
• LTV RNE-322 02

дабы я мог со своего смартфона Samsung Galaxy A55 5G обращаться к ним и лицезреть видеопоток который осуществляется в офисе.

Доступ через RADIUS к Wi-Fi контроллеру Cisco AIR-CT5508-50-K9

Т.к. мы начали ("Как обновить Wi-Fi контроллер Cisco AIR-CT5508-50-K9") использовать Wi-Fi контроллер Cisco AIR-CT5508-50-K9, то пока анализируем его работу по управлению точками на малом складу и есть замечания, случают непроизвольные отвалы терминалов от подключения к бесшовному Wi-Fi. Наш руководитель предложил попробовать перенастроить авторизацию терминалов к Wi-Fi с PSK авторизации на Radius авторизацию. Тем более что скинули конфигурационный файл с другой конторы в помощь чтобы было на что опираться при настройке и что это реально в другой конторе работает. Может оно конечно работает, но там не такой же склад, материалы из которых он сделан, расположение продукции.

Я уже не раз использовал RADIUS,

• Доступ из вне через L2TP при использовании RADIUS
• Авторизация через RADIUS для MikroTik на Server 2016

то и данный вызов взял на себя, плюс сделаю пошаговую заметку на этот счет.

Отменяем настройку Password never expires

После разработанной мною инструкции по информационной безопасности для офисных сотрудников и утвержденной начальником отдела ИТ и генеральным директором идет закономерное изменение текущего, т.е. что было ранее и на что забивалось или шло в угоду сотрудниками так сказать по доброте душевной.

Как один пример из пунктов, что теперь никакой настройки, что у доменной учетной записи не стояло галочки «Password never expires» (Пароль никогда не истекает), но при этом оставить тот пароль который установлен и не указывать его заново обращаясь к системному администратору.

Ниже от и до что нужно сделать.

Разворачиваем клиент 1С 8.3 через Dr.Web Enterprise Security Suite

Как через Dr.Web Enterprise Security Suite который развернут на Windows Server 2016 опираясь на заметки моего приватного блога https://win.ekzorchik.ru настроить задание посредством которого можно будет на рабочих местах вот прям как дал команду производить установку клиента 1С:Предприятие 8, а не делать через GPO (хотя через GPO если смотреть заметку: "Формируем установку 1с 8.3.18.1957 через GPO", то сделав раз установка проходит централизованно, чем я и пользуюсь в повседневности).

Использую заметку по GPO установке клиента 1С 8, я уже применял к релизам:

• 8.3.18.1902
• 8.3.18.1957
• 8.3.22.2283

Короче цель просто добавить с свою копилку умений такую наработку.

Приступаю:

У меня задача:

Нужно установить 1С 8 следующим пользователям и перечислены доменные пользователи.

Решение ошибки Error: 948 при запуске DPM Administrator Console

Выполняя в очередной раз профилактику работоспособности всех сервисов компании наткнулся, что моя сервис в лице (OS: Windows Server 2012 R2 Std) System Center 2012 R2 DPM (Version: 4.2.1603.0) при попытке запуска System Center 2012 R2 DPM Administrator Console не запускается. Тут я уже напрягся, появляется окно вида:

Unable to connect to srv-backup02.polygon.local. (ID: 948)

Verify that DPM Service is running on this computer.

Да уж, веселое время препровождение у меня сейчас начнется. Именно на этот сервис у меня подключено резервное копирование:

• Профилей и перемещаемых папок одного сервера
• Профилей и перемещаемых папок второго сервера
• Почтовых архивов пользователей

Выводим Dr.Web Agent на Windows 10 из Мобильного режима

В один прекрасный момент столкнулся с тем, что установленный на рабочей станции под управлением Windows 10 Pro агент от Dr.Web который был настроен на VPS систему ("Dr.Web Enterprise Security Suite on Ubuntu 22.04") и все прекрасно обновлялось и контролировалось, а тут бац замечаю, что Агент Dr.Web 13.0 на этой системе которая вынесена в отдельный VLAN с сервисом который на ней крутится имеет статус: Мобильный режим.

Установка Dr.Web Agent вручную на Windows 10 Pro

Сегодня я покажу, каким образом производится установка Dr.Web Agent на Windows 10 Pro если у Вас центральная консоль DrWeb вынесена во вне, т.е. работает на VPS системе, для чего так, а для того чтобы устанавливать агент на домашние ПК пользователей дабы они взаимодействовали с ресурсами компании и были защищены. Политика компании — она заботится о своих сотрудниках и безопасности в целом.

По сути: у меня два Dr.Web Enterprise Security Suite — один на VPS системе ("Dr.Web Enterprise Security Suite on Ubuntu 22.04"), а другой на Windows Server 2016 Std (развернутый по заметке: "Как установить Dr.Web Enterprise Security Suite on Server 2016")

Как завершить зависшие сессии соединений

Предыстория, все наконец-таки есть время разобрать что-либо интересное и главное то что пригодится мне в дальнейшем. Наметил тему, которую буду сейчас изучать, из FreeCommander XE по настроенному на избранной панели запустил mRemoteNG, выбрал подключение к домашнему vpn.ekzorchik.ru (Авторизация через SSH Key) через него у меня в Remote Desktop Connection Manager настроено подключение к одной из VM: srv-rdphome (Windows Server 2019 Std).

Настроено подключение по RDP, как:

• Server name: 127.0.0.1:33392
• Display name: srv-rdphome
• User name: ekzorchik
• Password: password
• Domain: WORKGROUP

но вот произошло подвисание Remote Desktop Connection Manager и мое подключение зависло, перезапуск mRemoteNG и RDCM ни к чему не привели.

Тут я вспомнил, что могу сделать следующее:

Отправка сообщила об ошибке 0x80042109

У нас есть сотрудники (OS: Windows 10 Pro), которые разъездные и вот у них у каждого есть персональный ноутбук, на нем настроено, что доступ к сетевому диску и рабочей базе под управлением 1С 7.7 осуществляется через технологию RemoteAPP. А вот почта в лице Microsoft Outlook 2016 подключается по IMAP к нашему почтовому сервер на базе Exchange 2010 (Version: 14.03.0509.000), но не все так просто, иногда у разъездных возникает следующая ошибка:

Задача: 'alektest@ekzorchikdom.ru' - отправка сообщила об ошибке (0x80042109): 'Невозможно подключиться к серверу исходящей почты (SMTP). Если вы получите это сообщение снова, обратитесь к администратору сервера или поставщику услуг Интернета.

iPhone 13 через почта Gmail не воспринимает исходящие сообщения

Тут такое дело написала мне сотрудница в Whatsapp на тему что у нее на телефоне:

• Модель: iPhone 13 Pro
• Версия: iOS 16.1.1

при настроенном почтовом клиенте "Почта Gmail" на почтовый ящик компании, где у нас почта строится на базе Exchange 2010 (Version: 14.03.0509.000) некоторые письма не читаются, у нее в почтовом клиенте они отображаются вот так:

т.е. не отображаются символы русского языка.

Лицензия AutoCAD недействительна

Итак, после новости что AutoCAD хоть какой-либо лицензионный или нелицензионный в России не будет работать мы уже как-то все смирились (если рабочая станция имеет выход в интернет), да можно конечно переучиться на российское программное обеспечение, а может поступить как делается в России.

Вот к примеру, вышел на работу 22.04.2024 и тут с самого раннего утра идет звонок, что у меня при работе в AutoCAD 2019 появилось окно

Nonvalid Software Detected

Используемая лицензия AutoCAD недействительна.

Компанией Autodesk обнаружена недействительная лицензия, доступ к ней заблокирован.

Закрываем все сессии, все подключения к 1С 7.7

У меня перед самим собой есть технический долг задач, которые я должен разобрать дабы моя работа была на 100% оптимизирована и все нюансы решались все продуктивнее и продуктивнее. Сейчас выдалась свободное время и нужно разобрать, как при внештатной задаче от руководителя IT-отдела можно было в боевой базе связки 1C 7.7 Folder + SQL база быстро завершать соединения дабы руководитель мог зайти в режиме "Конфигуратор" и сделать/поправить нужное.

Но чтобы зайти в режиме "Конфигуратор" нужно закрыть все сессии, все подключения к базе и не лишним будет закрыть у всех клиент 1С v7.7.

На заметку: Также отдельные шаги справедливы и при использовании 1С Предприятие 8

С учетом требований выше, я покажу в шагах каким образом все осуществляется. После действий ниже технический долг закрыт.

Окно Система заблокирована в 1С 7.7

Иногда мне звонят пользователи в организации где я сейчас работаю c вопросом, подключитесь ко мне у меня на экране какое окно со вводом пароля, что это такое.

Я уже все что происходит на работе задокумментировал со всеми скриншотами ошибок и путей их решения на слух по услышанному понимаю, что у пользователей.

Вот сейчас у пользователя на экране красуется окно запроса ввода пароля (ниже как пример):

• Система заблокирована (введите пароль)
• Пользователь: ОллоАлександр

Ограничиваем доступ к DNS адресам через GPO

В сегодняшней заметке я покажу каким образом посредством доменных групповых политик можно распространить на рабочие станции сотрудников кто пользуется продуктами Adobe, Coral, Autodesk самолично составленный список DNS адресов на которые с рабочих мест идет обращение дабы отправить анонимную информацию, проверить лицензированность софта и т.д. и заблокировать. Хотя в полной мере узнать, что же конкретно передается такой цели я себе не ставил, главное, что я нашел действенный способ и уже как много лет его применяю. Моя обслуживаемая инфраструктура строится на двух домен контроллерах (srv-dc01 & srv-dc02) под управлением Windows Server 2012 R2 Std ([Version 6.3.9600])

Доступ через SMSS исключительно одному разработчику

Задача от Куратора с нашей стороны для подрядчиков/программистов: Поставить на терминальный сервер подрядчиков оснастку SQL Management Studio дабы из-под одной учетной записи можно было подключаться к SQL серверу и развернуть свежий бекап, настроить связку SQL + 1C 7.7 (Folder) под другой SQL-записью дабы тестировать: — «Мы хотим попробовать получать остатки из 77 по SQL (Разработчик сказал, что это самый быстрый метод получения данных)».

Нужно заблокировать домен и поддомены на ORF для Exchange 2010

Задача: заблокировать на почтовом сервере прием писем от следующего списка:*@s1.afredo.ru, *@s3.afredo.ru, *@s4.afredo.ru, *@s5.afredo.ru, *@s6.afredo.ru, *@s7.afredo.ru, *@s8.afredo.ru, *@s9.afredo.ru, *@s10.afredo.ru, *@s11.afredo.ru, ..., *@s99.afredo.ru

Было в бы конечно хорошо применить фильтр вида: *@afredo.ru и *@*.afredo.ru, но увы вот так вот просто это не работает.

У меня для защиты от СПАМ для моего Exchange 2010 (Version: 14.03.0509.000) используется отдельный инструмент в лице ORF Fusion (за подробностями, что и как прошу в заметку: "Устанавливаем и настраиваем ORF Fusion on Exchange 2010"). Ну так вот с его помощью и буду решать данную задачу, т.к. спам с выявленных доменов продолжает доставать.

Решил поставленную задачу может не совсем универсально, но все же решение как первый вариант вполне меня устраивает:

Нюансы использования Jabra SPEAK 810 и Windows 10 Pro

В процессе использования cпикерфон для конференций Jabra SPEAK 810 который стоит на столе по центру было выявлено, что хоть и настроили сопряжение через Bluetooth с рабочей станцией (Asus E520) с которой подключен большой дисплей (Sony SNYFB03 65.0'') он уже висит на стене, а за ним рабочая станция. То периодически рабочую станцию выключают, а когда включают связь между Jabra SPEAK 810 не поднимается автоматически. Я думаю это из-за того, что от Jabra нет ответного адаптера, а связь идет со встроенным Bluetooth модулем в Asus E520.

Ниже как происходит использование данного железа при последующем задействовании приложения Zoom Desktop.

Как установить DPM агент с консоли DPM Administrator Console на Windows 10 Pro

Задача: Нужно проработать как на рабочую станцию под управлением Windows 10 Pro установить DPM агент дабы настроить план резервного копирования делать бекап файлового расшаренного каталога. Просто в домене есть станции где по определенным причинам нельзя выносить редактируемые файлы на общий или подключаемый ресурс в целях безопасности. Ну в принципе причина не важно, есть поставленная задача какой бы абсурдной она не звучала.

Невозможно открыть набор папок в Outlook 2016

Предыстория, мне понадобилось оформить в виде пошаговой заметки из своих наработок в одну единую, как для почтовых ящиков пользователей сделать "Архивные папки". Я включил свой боевой стенд домена @ekzorchikdom.ru, подключаюсь к Windows 10 Pro под Login: alektest, запускаю почтовый клиент Microsoft Outlook 2016 (дистрибутив: SW_DVD5_Office_Professional_Plus_2016_64Bit_Russian_MLF_X20-42453.ISO), но почтовый клиент не запускается, получаю ошибку вида:

Microsoft Outlook

Не удается запустить приложение Microsoft Outlook.

Невозможно открыть окно Outlook.

Невозможно открыть набор папок.

Файл C:\Users\alektest\AppData\Local\Microsoft\Outlook\alektest@ekzorchikdom.ru - 1.ost не является файлом данных Outlook (OST).

Внедряем Архивные папки для Exchange 2010

Сегодня я составляю заметку как сделать чтобы у пользователей Вашего почтового сервера (домен @ekzorchikdom.ru) на базе Server 2008 R2 Ent + Exchange 2010 (уже версии Version: 14.03.0513.000) был архив куда они самостоятельно могут переносить важные письма, создавать удобную им структуру каталогов дабы в течении нескольких лет иметь доступ к ним. Почему так, а не просто хранить их в почтовом ящике, дело в том, что у нас в компании учредителями принято решение, что все письма по всей компании каждое воскресенье минут 90 дней от текущей даты все письма удаляются. Но есть и список почтовых ящиков, для которых сделано исключение.

Как это реализовал я Вы можете ознакомиться в заметках блога по подписке:

• "Письма старше 90 дней удаляем"

А вот для тех, кто не в исключении, я создаю PST файл где файл располагается на отдельном сетевом диске (Задействую DFS ссылку и путь принимает вид: \\polygon.local\Users\Archives)

Ниже как сделать сетевое ресурс с почтовыми архивами для пользователей.

Скрипт резервного копирования Print Server(ов)

Когда что-то делаешь и это становится однотипным выполнением, то волей не волей задумываешься, а почему бы это не автоматизировать. Хоть как-то, пусть это будет первая версия, а уже далее с учетом полученного опыта в написании автоматизации усложнять на благо себе для решения задумки.

Сегодня на повестке дня будет задача по осуществлению создания резервной копии настроек Print Server, но я уже не буду, опираясь на ранее опубликованную заметку заходить на каждый сервер с ролью Print Server и делать экспорт всех настроек.

В текстовом редакторе Notepadd создаю скрипт, посредством которого через штатную утилиту PrintBrm.exe осуществляется, как резервное копирование, так и восстановление, но меня больше будет интересовать первое.

И снова User account was locked out

Предыстория: от 31.01.2024 звонит начальник IT—отдела, разблокируйте мне мою доменную учетную запись, а потом через минут 15 опять и так далее. Cпрашиваю не меняли ли Вы пароль в ближайшее время, ответ не менял. Как известно, пользователям не доверяю, а проверяю.

Подключаюсь к домен контроллеру (srv-dc01) через Remote Desktop Connection Manager, запускаю консоль командной строки с правами Администратора и проверяю, а когда пользователь менял пароль:

Вспоминаю, что когда-то давным-давно уже сталкивался с чем-то подобным, смотрю по своим записям и натыкаюсь на оформленную заметку «A User account was locked out через почтовый сервер». Получается ситуация один в один, но на этот раз, раз такая ситуация наблюдается только с одной учетной записью

Единый скрипт активации Windows & Office через свой KMS

Если Вы все же решили использовать в локальной сети которую, как системный администратор поддерживаете, сервис KMS который у Вас развернут на Ubuntu 22.04 Server опираясь на заметку: "Поднимаем KMS сервер на Ubuntu 22.04", то хочу порекомендовать Вам взять за основу Online KMS Activation Script v7.0.cmd отредактировать его чтобы запускав его от имени Администратора активировать Windows и/или Office через свой KMS сервис. У меня таких скрипта два: один в локальной сети, другой на VPS системе для систем, которые работают вне локальной сети.

Не забираются Bitrix бекапы через WinSCP

Предыстория: перед новым годом, случилось ЧП, в одной из серверных где расположен сервер бекапа куда по воскресеньям сливаются все бекапы систем встал кондиционер (ошибка FF), как оказалось после, когда приехали ремонтики: закончился фреон. Кондиционер не работает, температура поднимается и сервер выключился по перегреву. С учетом, когда заработает кондиционер, я сервер бекапов пока перенес в другую серверную, но столкнулся, что на новом сервере бекапов не отрабатывает мой скрипт по заметке "Скачиваем Bitrix бекапы с сервера за раз". Вот сейчас хочу добить почему не забираются Bitrix бекапы и чего не хватает.

Как сменить подключение агента Drweb на другой сервер

Задача: Как сменить подключение рабочей станции с установленным агентом антивирусной защиты DrWeb на другой сервер.

Т.е. изначально у меня была VPS система размещенная на https://cloudlite.ru/, на которой была поднята централизованная часть "Dr.Web Enterprise Security Suite on Ubuntu 22.04" посредством которой я для удаленных сотрудников на офисные или рабочие ПК которые не состоят в домене производил установка Агента DrWeb дабы системы были защиты Антивирусом. Все прекрасно работало, но! От 25.11.2023 получил письмо в личный кабинет, то CloudLite в одностороннем порядке расторгает договор со всеми: Физические лица и Юридические лица и у нас есть срок до 25.12.2023 съехать от них, он закрывают данное направление, как предоставление услуг. Хорошо, начала процесс переноса всех VPS и сервисов внутри.

Выполняем команды через DrWeb на рабочих местах

Задача: Как через Антивирус DrWEB создать задачу на завершение определенного процесса на рабочих станциях.

В прошлом году, когда у меня на работе был ESET Protect я себе под задачи системного администрирования при проведении тех или иных работ настраивал задания "Выполняем команды через ESET Agent на рабочих местах" которые вот прям сейчас выполнялись, нацеливая на рабочие станции. Было удобно, а как дела обстоят с этим если текущее антивирусное решение строится на базе Dr.Web Enterprise Security Suite.

На заметку: У Вас должна быть куплена лицензия и тогда пройдясь по моим заметкам у Вас в компании будет внедрено антивирусное решение на базе DrWeb, все как сейчас у меня.

• Как установить Dr.Web Enterprise Security Suite on Server 2016
• Формируем собственные репозитарии Dr.Web
• Настраиваю вход в консоль Dr.Web через Active Directory
• Как создать группу рабочих станций в Dr.Web
• Конфигурируем Сервер Dr.Web
• Устанавливаем Агент Dr.Web через GPO
• Порядок перехода с ESET Antivirus на DrWEB Antivirus

Итак, приступим к действиям по созданию заданий, которые мне необходимы.

Как на Honor 9X настроить почту на домен @ekzorchikdom.ru

Задача: Составить себе пошаговую инструкцию, какие действия нужно сделать на смартфоне Honor 9X (на любом смартфоне с осью Android) дабы настроить подключение к почтовому ящику с учетом дополнений, которые я внес, разбирая почему на смартфонах iphone не отображаются письма через IMAP в заметке: "Не читаются письма на IPHONE(ах) подключенных по IMAP". Просто у меня все что касательно моего должно быть под инструкциями, да и к тому же на своих проектах я обкатываю настройки дабы перенести их на боевое.

Не читаются письма на IPHONE(ах) подключенных по IMAP

Итак, проблема…

В один момент отследить, когда именно исключительно на смартфонах IPHONE перестали приниматься письма от рабочего Exchange, т.е. регистрация аккаунта проходит успешно (Ошибок нет), но вот когда с рабочего домена отправляешь письмо оно приходит на iphone, а последующие письма приходят, уведомление на iphone есть что письмо пришло, но при попытке зайти в письмо я вижу только первое. Все последующие письма от любых сотрудников все также приходят, но на iphone(ах) как бы вкладываются в первое.

Да ситуация странная, сперва было по записям просмотрено что менялось, включались логи IMAP опираясь на заметку "Логи протокола IMAP на Exchange 2010", но там ошибок нет, а их и нет, только что именно смартфоны IPHONE не видят письма, а смартфоны с Android видят, отвечают, пересылают.

Поиск в интернете ни к чему не привел, я понял что это мой частный случай.

Итак, воспроизводим проблему

• есть почтовый сервер @ekzorchikdom.ru
• есть iphone 14 (IOS 17.1.1), до этого был IOS 16.7.2, обновились на самую последнюю версию, думал проблема с версией. Куплен нам в отдел для решения проблемы.
• iphone 11 (IOS 14.7.1) смартфон генерального директора
• iphone SE (6S) (version 14.4.2) смартфон одного из внештатных специалистов по видеонаблюдению
• есть почтовый ящик alektest@ekzorchikdom.ru

Не удаляется база публичных папок на Exchange 2010

Столкнулся на днях что, когда ввел в эксплуатацию еще один почтовый сервер на базе Exchange 2010 версии 14.03.0248.002 с ролью Mailbox, перенес на него все системные почтовые ящики, создал почтовые базы, перенес ящики пользователей в новые базы на новый сервер srv-mail08-mb приступил к процедуре удаления старого: srv-mail05-mb. При удалении базы под каталог публичных папок получил ошибку

The public folder database 'PuiblicDB01_NEW' cannot be deleted.

Действия по смене IP на Exchange 2010

Мне в скором времени предстоит изменить внутренний IP адрес на почтовом сервере Exchange 2010 (Version: 14.03.0248.002) и хотелось бы подготовиться к данной процедуре не абы второпях это делать, а как всегда опираясь на свою заметку сделать от и до с минимум моментов которые я не знаю, а тут у меня под рукой есть свой собственный почтовый действующий сервер в моем домене polygon.local. Для чего это нужно, причины у могут быть разными, к примеру почтовый сервер это VM под Hyper-V и нужно вынести ее на ESXi и в рамках единой адресации расположить все сервера в отдельной сети. Т.е. VLAN 4 — это пользовательские станции, VLAN 90 — это серверные системы, так обычно бывает, когда компания растет и хочется все привести к понятной структуре, а не городить все системы в /24 маске.

Обновляем CA сертификат в домене

Предыстория: у меня для нужд сервиса Remote Desktop Gateway и Exchange 2010 в домене polygon.local развернут центр сертификации опираясь на заметку "Разворачиваем Certificate Authority на Server 2012 R2".

Потом применена заметка:

• The permissions on the certificate template
• Как распространить сертификат CA через GPO

ну так вот, в боевой среде корневой сертификат заканчивается (смотрю на srv-dc01): mmc - File - Add/Remove Snap-in… -

Available snap-ins: выбираю Certificates и нажимаю Add

• This snap-in will always manage certificates for: выбираю Computer account

затем разворачиваю: Console Root - Certificates (Local Computer) - Trusted Root Certification Authorities - Certificates — вижу FIRMA CA заканчивается 14.12.2023

а в моем домене polygon.local сертификат srv-dc01-ca я сделал Valid from: 27.09.2023 to 27.09.2028, т.е. я его создавал на 5 лет.

Логи протокола IMAP на Exchange 2010

Сейчас задумка следующая, хочу включить логи для протокола IMAP и посмотреть, что происходит, когда почтовый клиент подключается к почтовому серверу Exchange 2010 (Version: 14.03.0248.002) моего домена @ekzorchikdom.ru

Настраиваем IMAP на Exchange 2010

Сегодня у меня будет заметка посвященная, как на моем почтовом сервере Exchange 2010 (Version: 14.03.0248.002) сделать так, чтобы можно было подключаться к домену @ekzorchikdom.ru посредством протокола IMAP (993/tcp) через настроенные почтовые клиенты. К примеру, у нас у сотрудников настроена почта на смартфоне дабы оперативно решать возникающие вопросы или быть в курсе происходящего. Замечу, что мой почтовый сервер на 100% идентичен офисному почтовому серверу, так я прорабатываю настройки и если все хорошо, то переношу их на боевое использование.

Приступим:

Как запретить по EHLO выдавать чувствительную информацию

Я хочу при чтобы при обращении к моем почтовому серверу Exchange 2010 (Version: 14.03.0248.002) из вне, где в качестве домена использую @ekzorchikdom.ru если я делаю проверку работоспособности по порту 25/tcp через команду telnet mail.ekzorchikdom.ru 25 первое 220 я теперь получаю mail.ekzorchikdom.ru. Это я сделал в заметке: "Удаляем заголовки локального сервера Exchange 2010", далее набираю EHLO mail и в ответ получаю 250-srv-mail01-cas.polygon.local Hello [79.171.173.XXX]

Удаляем заголовки локального сервера Exchange 2010

Задумка: Хочу проработать момент, дабы отправляемая почта из локальной сети через Exchange 2010 (Version: 14.03.0248.002) во вне, где в качестве домена использую @ekzorchikdom.ru из писем удалялись заголовки сообщений показывающие какой у меня, используется почтовый сервер и внутренний IP—адрес почтового сервера.

Вроде такое можно сделать, просто, когда анализировал заголовки писем для самообразования, то обращал внимание что в некоторых значится какой сервер используется, а в некоторых нет и другая чувствительная информация, которая для получателя ни к чему. Т.к. у меня Exchange 2010 за NAT, в организации где я системный администратор тоже Exchange за NAT. Так что нужно проработать как усложнить выявление информации.

Как установить Exchange 2016 на Server 2016

Поставил себе задачу, хочу проработать как развернуть почтовый сервер для своего домена @ekzorchikdom.ru, но теперь в качестве почтового сервера выступит не Exchange 2010, а Exchange 2016. Просто это оказалось интересным сделать самим от и до с разбором всех нюансов, все как я хочу и делаю на текущем месте работы в свободное время. Это задача, а в конечном итоге будет цель: перевод инфраструктуры Exchange 2010 на Exchange 2016, Exchange 2019 в текущей организации мощности не потянут, да и объемы работы таких нет.

Ну что ж приступим, как всегда все обкатываем в тестовых условиях где в роли гипервизора выступает Debian 10 + Proxmox 6.4-13 на котором развернуты виртуальные машины. Сейчас я буду устанавливать Exchange 2016 и покажу, как данный процесс проходит.

Как добавить DKIM подпись Exchange 2010

Продолжаю свое изучение работы с почтовым сервером на базе Exchange 2010 (Version: 14.03.0248.002). В этой заметке я разберу, как настроить SPF, DKIM, DMARC записи для своего почтового сервера домена @ekzorchikdom.ru

Устанавливаем и настраиваем ORF Fusion on Exchange 2010

Сегодня я покажу, каким образом можно установить и настроить систему фильтрации спама для Microsoft Exchange Server имя ему ORF Fusion. Я данное программное обеспечение применяю, как на боевом почтовом сервере, так и на применю к своему, ранее на блоге я показал от и до, как разворачивается почтовый сервер Exchange 2010 (Version: 14.03.0248.002). Ведь нужно же с чего-то начинать, у себя я собрал рабочий почтовый сервер и уже опираясь на заметки смогу развернуть в любой другой организации. Никто не запрещает также использовать Proxmox Mail Gateway ("Пограничный шлюз Proxmox Mail Gateway для Exchange 2010"), подходит также.

Итак, продукт ORF Fusion использует такие технологии многократной фильтрации, как черные списки DNS, SURBL-проверки, серые списки и многие другие для идентификации спама и другого вида нежелательной электронной почты. ORF Fusion предлагает эффективный, настраиваемый спам-фильтр, особенностью которого является способность использовать DNS— и SURBL-черные списки – онлайн-базы данных различных спам-характеристик. Большинство этих черных списков, подобно SpamCop или DSBL, обновляются почти каждую секунду. Это гарантирует, что ORF Enterprise Edition может блокировать новые спам-атаки.

Предварительные действия:

Этап №1: "Связываем Wireguard на Mikrotik 7.11.2 и VPS в Беларуссии"

Этап №2: "Поднимаем почтовый сервер Exchange 2010 для домена ekzorchikdom.ru"

Этап №3: "Настройка Exchange 2010 на домен ekzorchikdom.ru"

Отлично, теперь переходим к сути данной заметки:

Настройка Exchange 2010 на домен ekzorchikdom.ru

Так в прошлой заметке ("Поднимаем почтовый сервер Exchange 2010 для домена ekzorchikdom.ru") я все подготовил прежде чем настраивать почтовый сервер Exchange 2010 (Version: 14.03.0248.002), а сейчас будем его настраивать на работу через домен ekzorchikdom.ru от и до, и с нюансами, которые у меня возникли и как я их решал.

Задача: После того, как в домене развернули Certificate Authority опираясь на ранее опубликованную заметку "Разворачиваем Certificate Authority на Server 2012 R2" нужно распространить на все рабочие Windows системы CA сертификат. ОН необходим будет, когда будет к примеру почтовый сервер и клиенты будут запускать Microsoft Outlook.

Стенд:

srv-dc01.polygon.local

• OS: Windows Server 2012 R2 Standard
• ISO: SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.ISO
• Roles: AD,DNS,DHCP,CA

Приступим:

Как на Server 2008 R2 Ent запустить утилиту wacs.exe

Дело в том, что у меня получилось самим развернуть действующий почтовый сервер на базе Exchange 2010 (никогда в боевом окружении этого не делал, обычно все было уже до меня, обычно только поддерживал) и тут я начал прорабатывать каждую настройку, как сделано в организации где я работают, так и все что мне кажется интересным. В одном из шагов установки для доступа из вне мне нужен сертификат при обращении на URL https://WAN_DNS_ADDRESS/owa и вот чтобы сертификат был я его получают через Let's Encrypt. Когда просто качал пакет wacs и пытался его запустить получал ошибку. Значит нужно проработать как на Windows Server 2008 R2 Ent запускать утилиту wacs.exe, т.е. какие действия после установки OS из образа (SW_DVD5_Windows_Svr_DC_EE_SE_Web_2008_R2_64Bit_English_w_SP1_MLF_X17-22580.ISO) и установленной роли CAS нужно сделать.

Нюансы установки Wireguard клиента на Server 2008 R2

Задача: Разобрать каким образом и что нужно дабы на Windows Server 2008 R2 Enterprise/Standard установить Wireguard клиент.

Для чего такая задача? Хочу с ее помощью разобрать каким образом разворачивается почтовый сервер Exchange различные релизы, начиная от Exchange 2010 до Exchange последних версий. Просто у меня в обслуживании есть Exchange 2010 и его нужно переносить, обновлять, но так как я никогда не разворачивал с нуля да чтобы еще и работал на прием и отправку нужно подготовиться. Да и интересно это. Поэтому образовалась данная заметка, как первый этап, т.к. у меня для тестов нет постоянного IP, а дабы получить его я задействую VPN.

Как перенести Ubuntu 18.04 с Hyper-V на ESXi 7.0

Задача: Мне для практических нужд нужно проработать как перенести Ubuntu 18.04 Server развернутую на Hyper-V (OS: Windows Server 2012 R2 Standard) в ESXi-7.0U3b-18905247-standard (VMware, Inc.) нового сервера "Сервер Intel в сборе"

srv-virtual01

• OS: Windows Server 2012 R2 Standard
• Motherboard: S5000VSA
• RAM: 20,0 GB DDR2 FB-DIMM

HDD: RAID 1

• Slot 0: SAS ST3146356SS (146Gb)
• Slot 1: SAS ST3146356SS (146Gb)

HDD: RAID 6

• Slot 2: SAS ST3300657SS (300Gb)
• Slot 3: SAS ST3300657SS (300Gb)
• Slot 4: SAS ST3300657SS (300Gb)
• Slot 5: SAS ST3300657SS (300Gb)

(Сервер устарел)

Выполнить ConfigureRemotingForAnsible.ps1 через GPO

Задача: Хочу приобщиться к Автоматизированному управлению Windows системами через Ansible на Ubuntu 22.04 Server — это как единый инструмент быстрой настройки/подстройки доменных систем коим я его вижу.

Но сперва нужно на всех рабочих станция выполнить скрипт ConfigureRemotingForAnsible.ps1 посредством которого разрешится подключение с управляющей системы Ubuntu 22.04 Server + Ansible и выполнение PlayBook которые под свои задачи я буду применять. К примеру распространение nethasp.ini с учетом принадлежности рабочего места: Если Бухгалтерия, то он конфигурационный файл nethasp.ini, есть те, кто работают с конфигурацией "Управление торговлей", то другой nethasp.ini.

Для меня это актуально, так что задачу я себе придумал, буду реализовывать. Да и свободное время на самообразование и улучшение своего статуса, как специалиста нужно поддерживать, а еще завязывать все на себя.

Проработать установку JAVA JRE через GPO

Хочу, чтобы при первоначальной подготовке рабочего места или разом у меня в домене через групповые политики производилась установка/обновление пакета JAVA JRE на рабочих местах, т.е. вынести еще одно действие на автоматизацию, тем самым исключить ручной труд. Заметка разобрана на боевом применение в домене polygon.local на базе Windows Server 2012 R2 Standard.

Бекап SQL базы по сети

В сегодняшней заметке я покажу, каким образом я ввел в эксплуатацию задумки по организации бекапа SQL баз, т.е. не просто бекап встроенными средствами через SQL Management Studio, а далее Maintenance Plan на этот же сервер, но, и чтобы был бекап за этот день и на другом месте и мне не приходилось вручную их перемещать. По-сути это бекап sql баз по сети.

Сперва задумка была применить ее к серверу где располагается база 1С 7.7 (т.е. 1С 7.7 + (folder + SQL). Если по части отдельного резервного копирования бекапов рабочего каталога folder я реализовал, об этом можно почитать в моей заметке "Бекап бекапа каталога 1С 7.7". По прошествии уже 14 дней данная наработка мне пригодилась, когда при запланированных работах с сервером srv-db02 он не поднимался, но я вспомнил что у меня есть на всякий случай резервная копия на отдельной системе, тут я выдохнул и занялся реанимацией старого сервера. Все прошло успешно.

Сейчас буду разбирать, как настроить бекап SQL баз по сети на отдельную систему в системе.

Настраиваем https для URL certsrv

В прошлой заметке "Разворачиваем Certificate Authority на Server 2012 R2" я развернул Certificate Authority, а сейчас я разберу, как сделать чтобы доступ к CA был не http://srv-dc01/certsrv/, а вида https://srv-dc01/certsrv.

и вижу информационное окно

The permissions on the certificate template

Задача: Нужно дать возможность использовать шаблон сертификата на создание запроса

В прошлой заметке "Разворачиваем Certificate Authority на Server 2012 R2" я развернул Certificate Authority, а сейчас у меня цель решить, каким же образом выдаются права на доступ к шаблону при создании запроса на сертификат. Просто я решил внедрить использование сертификатов в домене. А значит для одной заметки делаю запрос, но не могу задействовать шаблон.

Что я делаю, что получаю ошибку ниже

"The permissions on the certificate template do not allow the current user to enroll for this type of certificate. You do not have permission to request this type of certificate."

Разворачиваем Certificate Authority на Server 2012 R2

Задача: Развернуть Центр сертификации (Certificate Authority) на Windows Server 2012 R2 в домене polygon.local

Для чего это нужно? Я хочу получить возможность создания сертификатов для внутренних сервисов домена с целью подтверждения подлинности, к примеру, для Remote Desktop Gateway, к примеру, для обращения к IIS сервиса не по http, а по https.

Бекап бекапа каталога 1С 7.7

Задача: Хочу помимо основного бекапа каталога 1С 7.7 (у меня работа 1С 7.7 строится на связке Folder + SQL) делать/копировать бекап еще на другой сервер.

Ранее, когда я пришел в текущую организацию задался целью все что сделано и не сделано в инфраструктуре переделать как должно быть, чтобы не было мест, которые мне не известны. Только так можно отвечать за что-то и поддерживать. Да и тем более только я один заинтересован чтобы все работало по best practices.

к примеру организовал резервное копирование каталога 1С 7.7 — см. заметку "Скрипт для бекапа 1C 7.7 Folder"

составленный скрипт успешно работает уже более 2 лет, а вот теперь как выдалась свободная минута решил, а почему бы не делать бекап бекапа, просто надоело это делать вручную по воскресеньям (за это платят чтобы я каждую неделю проверял все системы и собирал со всех систем бекапы и размещал их в другой сети, системе где доступ к ним имею только Я).

Ниже мой план решения поставленной самому себе задачи:

Ручная активация Windows LTSB через KMS сервис на Ubuntu 22.04 Server

Одно время я на работе думал что если всем установить на компьютеры Windows 10 Корпоративная 2016 с долгосрочным обслуживанием и стандартизировать все установленное ПО, то не будет каких либо проблем, как же я ошибался, начались на нескольких ПК проблема с подсистемой видеодрайвера, то не хотели вставать обновления то программы, путем анализа выявил что всему виной в моем случаем этот образ SW_DVD5_WIN_ENT_LTSB_2016_64BIT_Russian_MLF_X21-07471.iso ([Version 10.0.14393]), после большую часть систем перебил на образ: SW_DVD9_Win_Pro_10_1909.2_64BIT_Russian_Pro_Ent_EDU_N_MLF_X22-26638.iso и проблемы прекратились. Все стало стандартизировано, но есть но, несколько систем все также остались на LTSB дистрибутиве и вроде как все работает и проблем нет, а вот как активировать данные системы, вспомнил что развернул недавно KMS на Ubuntu 22.04 (Поднимаем KMS сервер на Ubuntu 22.04), поставил задачу разобрать как активировать.

Как сделать бекап самого Maintenance Plan

Задача: Как сделать бекап самого Maintenance Plan

Т.е. когда в эксплуатацию будет вводиться точно такая же связка сервера с базой чтобы не каждый раз создать план обслуживания SQL базы, а просто взять и импортировать уже имеющийся план именно от этой версии.

Странно почему я этого раньше не делал, но все меняется, с учетом опыта и возникающих задач приходится учиться делать то что раньше не нужно было.

COM-соединение с агентов сервера не видит comctrl

У нас появился в штате еще один программист 1С и постоянно идет взаимодействие с подрядчиками, которые как я и говорил ранее пилят взаимодействие 1С 7.7 и 1С 8.3 (Управление торговлей) и все это выливается в то что каждый день после работы в районе 21 часов он выполняет обновление конфигурации в боевой базе, когда все части кода проработаны. Ну так вот чтобы ему завершать сеансы пользователей, специально для него я сделал функционал завершения сеансов с базой 1С 8.3 (см заметку "Как завершить сеансы с базой 1С 8.3"). Но все бы хорошо, но есть всегда одно, но, именно у него, когда он действует по отправленной инструкции в Telegram:

Порядок перехода с ESET Antivirus на DrWEB Antivirus

Задача: Проработать каким образом на рабочих местах в компании будет производится переход на новый антивирус с использования ESET Endpoint Antivirus на новый DrWeb Antivirus, когда действующая лицензия истечет. Истекает 26/07/2023, сейчас у меня есть время проработать/смоделировать многие моменты и уже применяя на боевом и множестве рабочих станций по максимуму минимизировать процесс дабы офисные пользователи не заметили что-либо. Кстати этого я уже добился. Ниже шаги что нужно сделать в обоих системах ESET & DrWeb, Active Directory и т.д.

Устанавливаем Агент Dr.Web через GPO

Наконец таки настал тот момент когда я подписчикам блога https://win.ekzorchik.ru хочу показать, каким образом с учетом всех заметок выше относящихся к развертыванию Антивирусного решения на базе Dr.Web производится автоматизированная установка Агента Dr.Web на рабочие места под управлением Windows и уже с учетом профиля, группы идет доустановка необходимых компонентов, тем самым станция становится на защиту. И вот все это благодаря слаженному механизму моих заметок от и до. Агент на рабочий станции домена я будут устанавливать через групповые политики домена.

• Как установить Dr.Web Enterprise Security Suite on Server 2016
• Формируем собственные репозитарии Dr.Web
• Настраиваю вход в консоль Dr.Web через Active Directory
• Как создать группу рабочих станций в Dr.Web
• Конфигурируем Сервер Dr.Web

Конфигурируем Сервер Dr.Web

Мы постепенно в заметках развертывания антивирусного решения на базе Dr.Web Enterprise Security Suite подходим к самому интересному, а именно, а как же все-таки устанавливает агент будь это в ручном режиме или автоматизированному, т.е. при использовании доменной инфраструктуры (через применение файла ответов). Все разобранная информация собиралась на практическом опыте по крупицам путем чтения документации, практическом применении и выводах что и, как и в какой последовательности. Сейчас я покажу, что нужно сделать дабы подготовить серверную часть Dr.Web на которую будут самостоятельно подвязываться системы с Windows операционной системой…

Настраиваю вход в консоль Dr.Web через Active Directory

Сегодня речь пойдем, как интегрировать центральную консоль Dr.Web в Active Directory, т.е. я хочу получить возможность авторизовываться в консоли Dr.Web, как задействуя локальную авторизацию, так и доменную. Хотя, когда использовал(ую) ESET Protect я таким не заморачивался и считаю, что такая система, как антивирусная защита должна строиться отдельно. Здесь же я просто решил заморочиться и разобрать, просто или все же есть немыслимое количество действий для реализации задуменного.

Чтобы это реализовать и будет данная пошаговая заметка.

Формируем собственные репозитарии Dr.Web

Как и говорил, публикую для себя пошаговые действия по развертыванию Dr. Web Enterprise Security Suite, сегодня речь пойдет на тему формирования собственного каталога программного обеспечения доступного в локальной сети через браузер дабы, используя лицензионный ключ произвести с учетом купленного только тот набор программ, которые изначально были заложены в ТЗ. Т.е. при открытии браузером ссылки вида: https://srv-drweb.polygon.local/install будет софт:

Агент Dr.Web для Active Directory

Утилита для модификации схемы Active Directory

фaйл drwinst.exe

и т.д.

Предварительные действия:

• Как установить Dr.Web Enterprise Security Suite on Server 2016

Как установить Dr.Web Enterprise Security Suite on Server 2016

Предыстория такова, начиная с того факта как я начал работать в текущей компании всегда использовалось антивирусное решение на базе ESET, была 5 версия, с 2022 года по 2023 (середину лета) используем ESET Protect который я также успешно проработал в заметках:

• Устанавливаем ESET Protect на Server 2016 в домене
• Как активировать ESET PROTECT on Server 2016 Std
• Антивирус на рабочие места и сервера через ESET PROTECT
• При входе в ESET Protect пишет Не подключено
• Как установить ESET Endpoint Antivirus 9 на Windows 10 Pro
• Выполняем команды через ESET Agent на рабочих местах
• Создаем задачу на установку ESET Endpoint Antivirus
• Создаем задачу на установку ESET Server Security

Как видите работа была сделана громадной, все работает, отлавливает, но как всегда есть «НО». Т.к. в виду санкций по отношению к России, часть поставщиков ушли с российского рынка, купить/продлить лицензию нельзя. Поэтому я выступил инициатором в приобретении антивирусного решения на базе Dr.Web Enterprise Security Suite. Закупили лицензии.

Чтобы лучше понять, как настраивается я поднял стенд и все также, как и с ESET проработал, узнал много нового и получается готов к переводу всей инфраструктуры на новое антивирусное решение. Поэтому начинаю цикл пошаговых заметок по внедрению Dr. Web Enterprise Security Suite.

Как завершить сеансы с базой 1С 8.3

Повадились у нас разработчики 1С 8.3 (Управление торговлей) дорабатывать функционал вместе с подрядчиками, а значит, когда что-то допиливают и обкатывать на тестовой то после согласовывают задачу на обновление конфигурации уже боевой базы. Это обычно проходит после 21.00, но вот в чем загвоздка, вроде все обговорили, все в курсе, но как показывает практика даже руководителя сидят в базе не отключаюсь и как прикажете обновляться. Поэтому пишут в общий чат Telegram (я волей не волей состою там) с просьбой:

ekzorchik, закрой все подключения к базе UT09052023, а то я не могу обновить конфигурацию находясь в "Конфигураторе"

правда Я обычно возле компьютера, а периодически мониторю что пишут мне в Telegram, но уже который месяц это продолжается, меня это стало задалбывать, все же это функционал 1С выкидывать пользователей, а не каждый раз прибегать ко мне чтобы я подключился на сервер srv-db04, открыл оснастку "Администрирование серверов 1С Предприятия x86-64" перешел в нужную "Информационную базу" - "Сеансы" — выделил всех за исключением программиста который подключен в режиме "Конфигуратор" и через правый клик мышью и выбрал Delete, отрапортовал в Telegram что "выкинул" и после увидел в чате:

> ekzorchik: выкинул >

Владислав Рогов: Спасибо

Владислав Рогов: УТ рабочая обновлена

> ekzorchik: а разве через конф нельзя никак всех выбить, завершить сессии

> Владислав Рогов: ekzorchik, если бы мог, то не обращался, если кто-то из коллег знает тайные вещи, поделитесь

Как не программист 1С я решил, что нужно найти способ чтобы программисты 1С делали это сами не прибегая каждый раз ко мне, но без доступа к самому серверу по RDP, ибо не фиг. Так хоть за систему отвечаю минимизирую кто имеет доступ.

Приступаю к решению поставленной задачи:

Уведомление о событиях через iRedMail на SQL Server 2016

Задача: Настроить уведомления на SQL Server 13.0.5026.0 при использовании почтового сервера iRedMail 1.6.2 on Ubuntu 22.04

Я хочу проработать заметку, как на Server 2016 Standard при установленном SQL Server 2016 (13.0.5026.0) настроить уведомление на почту при использовании почтового сервера на базе Ubuntu 22.04 + iRedMail 1.6.2, возможно столкнусь с какими-либо трудностями т.к. до этого такого не делал. Получение уведомлений важно при построении планов обслуживания дабы не подключаться каждый раз к SQL Server и не смотреть все логи, а таким образом получать только ту информацию, которая необходима по части выполняемых работ.

В заметке будет задействовано:

Виртуальная машина с установленной Ubuntu 22.04 Server + iRedMail 1.6.2 (почтовый сервер) + установленный wireguard клиент который связывается в доменным именем mail.ekzorchik.com, а уже на той системе которая во вне поднят wireguard сервер и через проброс порта идет переброска портов: 25, 443, 465, 993. О том, как это сделано у меня Вы можете посмотреть в заметке: "iRedmail 1.6.2 на Ubuntu 22.04 через Wireguard туннель"

На тестовом полигоне под управлением Debian 10 + Proxmox 6.4-13 создана виртуальная машина с осью Windows Server 2016 Standard и развернут SQL Server версии 13.0.5026.0. О том, как это сделано у меня Вы можете посмотреть в заметке: "Порядок поднятия SQL (srv-db01) как на работе"

Чистка сеансовых данных и кеша 1С 8.3

После рабочего дня увидел в общей группе Telegram которая состоит из подрядчиков 1С 8.3 (8.3.18.1957) , некоторых наших программистов и куратора проекта задание, которое ждет меня в Redmine с темой "Очистка КЭШ" на сервере где установлена тестовая база UTTEST также требуется всем, кто взаимодействует с данной базой прописать в настройках клиента 1С 8.3 ключ /ClearCache.

Т.е. я прихожу на работу довольно таки рано, то решил совместить свое время с решение данной задачи.

Предварительные знания:

• Сеть для подрядчиков посредством Mikrotik
• Не сохраняет пароль на доступ к тестовому серверу

Как расширить LUN с почтовыми архивами без отключения LUN

Задача: Есть LUN который подключен к Windows Server 2012 R2 Std, после данный LUN отформатирован как файловая система NTFS и смонтирован как еще один логический диск. На данном диске располагается каталог доступный только пользователями прошедшим проверку Authentication Users и у каждого есть своя папка с созданным PST файлом который подключен пользователю и в него он переносит только те письма, которые ему нужны на долговременное время. Пользователи уведомлены, что по достижению архив равным 50Gb их архив просто не откроется и это будет их проблемы, а не мои.

Исходные данные:

• Сетевое хранилище ReadyNAS 2120 (v6.10.2)
• • http://nas01
  • Login: admin
  • Pass: password
• OS: Windows Server 2012 R2 Std

Предварительные действия или заметки по сетевому хранилищу на текущий момент:

• Как создать новый LUN в ReadyNAS 2120

оказывается, я такое уже делал ниже заметка:

• Resize Disk System от NAS в лице LUN

Но у меня ситуация в следующем, на данном LUN располагается сетевой каталог где каждый из пользователей имеет свою персонифицированную папку в которой располагается Архив почты, т.к. у меня сотрудники ограничены ящиками от 512Mb до 4Gb в зависимости от должности. А то как показывает практика сколько не выделишь все будет использовано.

Ну так вот, сейчас LUN под почтовые архивы имеет размер 300Gb

Как показал тест на одном из LUN что не обязательно отключать LUN от сервера дабы увеличить место:

Резервная копия и восстановление шлюза на базе TMG

У меня на работе до сих по используется шлюз (TMG Version: 7.0.9193.575) для выхода в интернет на базе обычного компьютера с двумя сетевыми картами (одна — это выход в интернет, вторая — сеть между данным шлюзом и маршрутизатором Mikrotik RB1100AHx4 Dude Edition на котором созданы VLAN, правила доступа, приоритизация трафика, маршруты, тестовые сети). Т.к. я получается только один на работе заинтересован чтобы все работало (зарплата капает, т.к. все настроено и работает, все ошибки задокумментированы и инфраструктура улучшается), то мне в задачу по резервному копированию захотелось добавить процесс быстрого восстановление на всякий случай шлюза. Странно что я еще этого не сделал, но не важно. Сперва разбираю весь процесс резервного копирования и восстановления на примере тестового окружения, после перенесу все на боевое.

Подключение к опубликованной базе через VPN с Android клиента

Задача: Наш уже можно так сказать внештатный программист, который обслуживает/разрабатывает функционал для склада по части 1С 8.3 Управление торговлей, редакция 11 (11.4.13.227) не так чтобы часто находится на складе с нашим экспертом по складской логистике, он все же удаленный сотрудник. Офис находится в Самаре и когда явно что-то нужно то его отправляют в командировку к нам и уже на месте идет работа. Но порой ему не нужно быть у нас так часто как, наверное, хотелось бы нашему руководству, программист — это такая единица, которой суждено быть на удаленке.

От программиста поступила задача, можно ли ему как-то сделать дабы он мог со своего личного АТОЛ SmartPro подключаться, как к тестовому серверу (где работают подрядчики переписывающие или настраивающее сопряжение 1С 7.7 и 1С 8.3) так и к боевому серверу в части приложения под Android к опубликованной информационной базе.

Сев и поразмышляв как этого можно добиться, первое что приходит — это сделать банальный проброс порта с адреса источника организации где работает программист, либо же сделать VPN доступ явно к указанным серверам:

Не открывается Launch remote console у виртуальной машины

Текущая система: Windows 10 Pro (Version 10.0.18363.657), запускаю браузер Google Chrome (версия браузера на момент написания заметки: 113.0.5672.127).

Открываю URL https://srv-esxi02 (у меня это ESXi v6.7.0 (Build 8169922) — авторизуюсь — перехожу в Virtual Machines — перехожу в любую виртуальную машину, затем нажимаю Console - Launch remote console и должно открыться окно с консолью виртуальной машины, но оно даже не запускается/не скачивается. А мне такой функционал нужен (т.е. до этого работало)

Ниже порядок решения:

Как опубликовать еще одну базу 1С не перезагружая IIS

Поступила задача, ну точнее в Telegram чате где общаются программисты 1С 8.3 проскользнула тема, что один из наших программистов 1С не может произвести связку 1С 8 с 1С 7 через URL. Путем вопросов что он конкретно хочет получить, а не просто присылается скриншот в чат, мол не могу подключиться, как тестировать и все в таком духе. Выяснил, что ему нужно также, как и для боевой базы произвести публикацию своей тестовой дабы его обработки можно было сперва оттестировать, а потом уже переносить на боевое вовремя после работы.

У меня все разнесено

srv-db04.polygon.local - Здесь "Консоль 1С" и опубликованы базы, + поднят IIS

• OS: Windows Server 2016 Standard
• ISO: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso

srv-db03.polygon.local - Здесь у меня SQL Server 13.0.5026.0 где располагается боевая база

• OS: Windows Server 2016 Standard
• ISO: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso

srv-db03-test.polygon.local - Здесь у меня SQL Server 13.0.5026.0 где располагаются тестовые базы для разработчиков 1С 8.3

• OS: Windows Server 2016 Standard
• ISO: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso

Боевая база опубликована и в процессе как это делалось была составлена себе пошаговая заметка: "Опубликовать тестовую базу 1C через Web с использованием IIS"

Итак, первым делом обращаюсь к своей заметке, т.к. я помню, что это делал Я, никто другой не захотел вникать как это делается.

Все что нужно я вспомнил и приступаю.

Есть тестовая база: UT09052023 и ее нужно опубликовать и чтобы все кто работают с боевой базой даже не почувствовали что вносятся изменения.

При активации Windows 7 ошибка 0xC004F035

Задача: Разобраться почему не активируется Windows 7 Pro на ноутбуке Lenovo IdeaPad S210

Предыстория, раньше в отделе IT был ноутбук Lenovo IdeaPad S210 (Intel Pentium CPU 2117U @ 1.80 GHz (2cores), 4Gb RAM) который я использовал как мобильный помощник при настройке сетевого оборудования на месте, поиск информации если не рядом с рабочим местом, в общем все что делает настоящий системный администратор, находясь один где-либо. Ну да ладно. Только в ноутбуке был обычный жесткий диск (HDD) и его стало не хватать/умирал, решил заменить на SSD (Samsung SSD 870 EVO SATA 2.5 on 250Gb). Разобрал ноутбук, заменил диск. В качестве рабочей системы решил остановиться на Windows 7 Pro. В качестве установщика ОС на помощь пришел мой Zalman VE500 (Dual режим), а дистрибутив: SW_DVD5_Win_Pro_7w_SP1_64BIT_Russian_-2_MLF_X17-59431.iso

При активации KMS ключом столкнулся с ошибкой:

Активация Windows(R) 7, Professional edition (b92e9980-b9d5-4821-9c94-140f632f63

12) ...

Ошибка: 0xC004F035 Служба лицензирования программного обеспечения сообщила, что

на данном компьютере не удалось выполнить активацию с помощью ключа многократной

установки. При использовании корпоративных лицензий обновление можно выполнить

только из уполномоченной операционной системы. Обратитесь к системному администратору или воспользуйтесь ключом другого типа

Ниже шаги и утилиты для решения данной проблемы…

Удаленная помощь программистов без AnyDesk

Есть у нас в компании программист специализирующийся на разработке/сопряжении различных торговых площадок в рабочую базу под управлением 1С 7.7 (Folder + SQL). И порой ему для оперативного понимания что курирующий человек по торговым площадкам делает, объясняет, что нужно и как он себе это видит они оба в паре один на удаленке другой в офисе решают производственные запросы. А мне постоянно пишут, запусти пользователю AnyDesk, введи логин и пароль на повышение прав — это здорово отнимает время. Я решил (у руководителя IT-отдела получил одобрение), а почему бы не задействовать инструмент Aspia, т.е. программисту на офисную рабочую станцию устанавливаем Aspia Console, подключаемся к центральному узлу, на рабочую станцию сотрудника ставим Aspia Host и дальше программист уже взаимодействует, видя полный рабочий стол и более никаких административных прав не нужно.

Ниже порядок действия для решения производственных задач предоставления удаленного доступа.

Преднастройка резервного копирования Mikrotikов через PowerShell

Меняю систему с wrkst0100 на wrkst0101 и столкнулся что мой скрипт резервного копирования не работает. Разбираюсь что еще нужно учесть в заметке.

Дело вот в чем. У меня на работе полетел жесткий диск на моей офисной рабочей станции, и этим днем оказалось, что это пятница, раз в этот день не так много задач, обычно их нет, я решил по-быстрому заменить себе систему. Взял купленный компьютер, который мы покупаем в сборе:

• Motherboard: Asus H510M-R
• CPU: Intel ® Core ™ i5-10400 CPU @2.90GHz
• RAM: 8Gib
• SSD: 250Gb

установил на него систему Windows 10 Pro из дистрибутива SW_DVD9_Win_Pro_10_1909.2_64BIT_Russian_Pro_Ent_EDU_N_MLF_X22-26638.ISO

приступил к настройке под рабочее окружение и когда открыл свою заметку "Централизованное резервное копирования Mikrotik через PowerShell" столкнулся, что возможно что-то поменялось в использованном командлете в статье, что вот прям как там описано у меня заработало, но не полностью. А значит нужно дополнить заметку некоторыми нюансами:

Ручная активация Windows через KMS сервис на Ubuntu 22.04 Server

После того, как я разобрался как развернуть собственный KMS сервис на базе Ubuntu 22.04 Server (задействуется заметка "Поднимаем KMS сервер на Ubuntu 22.04") в локальной сети предприятия, на тестовых системах активация проходила и на 180 дней я избавлен от напоминания систему что мол меня еще не активировали. Я решил проработать, составляя batch файлы под каждую ось, которую использую: Windows 10 Pro, Server 2008 R2 Standard/Enterprise, Server 2012 R2, Server 2016, Server 2022 с учетом различных версий, чтобы все перевести на KMS, а не как местами сейчас с использованием KMS-активатора (что неправильно и часто слетает).

Ну что ж поехали:

Запрет приема почты из вне для системных почтовых ящиков

Поступила задача от Руководителя Web-проектов, ему для регистрации отправки писем от имени почтового ящика сторонним сервисом нужно подтверждение, что данный адрес принадлежит компании. Но вот что интересно, он указывает адрес noreply@ekzorchik.ru, но письма на него не приходят (из вне). Смотрим что не так и что возможно было когда-то сделано. Я поднял свои записи, т.к. обычно только я занимаюсь администрирование инфраструктуры, ничего такого сверхъестественного не делалось с данным почтовым ящиком.

Система предварительной проверки поступающих писем на базе ORF Administration Tool показывает что адресат который отправляет письма на адрес noreply@ekzorchik.ru находится в доверенном списки и списке белых адресов, но письма по прежнему нет в ящике.

Прямо чудеса.

Прорабатываем обновление Exchange 2010 до последнего

Задача: Установить самые последние обновления для Exchange 2010 при которых Exchange 2010 будет работать. Дело в том, что у меня сейчас версия почтового сервера Version: 14.03.0248.002, данную версию я использую на работе и как ее добиться у меня подробно описано в заметке. Мне стало интересно, а могу ли я поставить самую последнюю посредством обновления: Exchange2010-KB5000978

Итак, приступаю к проработке действий по обновлению, но делаю это в тестовой конфигурации, ни в коем случае не на боевую, пока во всяком случае.

Как сформированный документ в 1С 7.7 конвертнуть в PDF

Задача: Как в системе Windows 10 Pro настроить печать в PDF при использовании 1C 7.7, т.е. когда пользователь нажимает "Печать" выводится окно, как выглядит документ с учетом всех полей, далее предлагается окно где сохранить документ и вуаля вот он.

У меня по умолчанию всем пользователям в домене устанавливается Adobe Reader DC, клиент 1С 7.7 через GPO, но данное программное обеспечение это всего лишь обеспечивает просмотр документов, чтобы получить на выходе отправку документа в PDF ниже по шагам в данной заметке.

Исходная система:

• OS: Windows 10 Pro ([Version 10.0.18363.657])
• ISO: SW_DVD9_Win_Pro_10_1909.2_64BIT_Russian_Pro_Ent_EDU_N_MLF_X22-26638.ISO

Нюансы установки Aspia Host на Windows 7

При очередной помощи офисным сотрудникам столкнулся с нюансами где у пользователей все еще на домашнем ПК или ноутбуке установлена Windows 7, к примеру, в рамках данной заметке рассмотрю систему из образа SW_DVD5_Win_Pro_7w_SP1_64BIT_Russian_-2_MLF_X17-59431.iso

Ранее я сделал для себя переносную установку Aspia Host «Переносная установка Aspia host на Windows систему» нацеленную на свой собственный Aspia Relay + Aspia Router, установка получилась в виде запакованного 7zip (aspia.exe) архив который я положил на внешний доменный ресурс и когда мне звонят чтобы я помог им удаленно я пишу им,

Скачайте и установите http://<domain>.ru/aspia.exe, после в трее рядом с часами у Вас будет иконка, нажав на которую откроется окно где Вам нужно сообщить мне цифры

А вот у пользователей на Windows 7 Максимальная установка не проходила, выход из ситуации следующий:

Не удается проверить удостоверение шлюза удаленных рабочих столов

У нас менеджеры затеяли очередную обновочку, нам IT-отделу за два дня сказали, что на выходных нужно убрать/перенести все рабочие места обоих кабинетов куда-либо, т.к. на выходных будут менять всю офисную мебель: Столы, Стулья, Шкафы. Наш начальник IT-отдела пришел и поведал нам такую новость, вот только сказав, что помочь не может его не будет на выходных в городе, прикольно что скажешь.

Что сделал я:

• Настроил два Mikrotik CRS326-24G-2S+ (VLAN)
• Подключил их к ядру
• Проверил, что удаленка на базе Remote Desktop Gateway у всех менеджеров есть, о том, как настраивается Remote Desktop Gateway см. в заметке "Доступ к RDP через авторизацию RADIUS"

Ну да ладно, до выходных все демонтировали, в воскресенье все поставили обратно, договорились что все сотрудники, у которых есть техническая возможность будут на удаленке и тут началось.

Самое смешно оказалось, что удаленка каким-то образом у всех оказалась не настроена, переустановили компьютер, приобрели новый и все в таком духе.

На многих обнаружилось, что установленная ось — это Windows 7 Pro и при создании подключения:

Устраняем ошибку CredSSP при подключении к Server 2012 R2

Хочу разобрать, почему, когда развернута система Windows Server 2012 R2 Std из образа "SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.iso", настроена, создана еще одна административная учетная запись и при подключении по RDP (с включенной настройкой NLA) к этой системе у пользователя к примеру, на Windows 10, Server 2012 R2, Server 2016 и т.д. получается ошибка вида:

Подключение к удаленному рабочему столу (Remote Desktop Connection)

Произошла ошибка при проверке подлинности. (An authentication error has occurred.)

Указанная функция не поддерживается. (The function requested is not supported)

Удаленный компьютер: 172.33.33.117 (Remote computer: 172.33.33.117)

Причиной ошибки может быть защита от атак с использование криптографического оракула CredSSD. (This could be due to CredSSP encryption oracle remediation.)

Это значит, что у меня образ очень старый и на нем по всей видимости не хватает каких-либо обновлений, наверное, или чего-либо еще.

Взаимодействие с регистратором Dahua с Windows Server 2016

Т.к. я реализую удаленное взаимодействие с Windows системами дома через схему: SSH-туннель до vpn.ekzorchik.ru, а уже там через OpenVPN идет связь с домашним Mikrotik RB2011UiAS-2Hnd-IN, то мне порой нужно иметь Web-доступ к своему домашнем регистратору. В качестве домашней Windows системы выступает Windows Server 2016 Std которая развернута внутри боевого сервера под управлением: ((Supermicro SYS-5019S-M: Debian 10 + Proxmox 7 (установка выполнена из iso-образа), ZFS разделы, 64Gb оперативной памяти (2 модуля 378A4G43MB1-CTD)).

Мой порядок подключения к srv-home (OS: Windows Server 2016 Std) и настройки на ней подключения к домашнему регистратору Dahua DHI-NVR2108HS-8P-4KS2

Автоматически запускаемые приложения на Windows Server 2012 R2

Задача: Как отключить автоматически запускаемые приложения на Windows Server 2012 R2 Standard

Как отключить автоматически запускаемые приложения на Windows Server 2012 R2 Standard (образ: SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.ISO), таким вопросом я как-то задался, когда из бекапа восстановил систему и обнаружил, что в трее возле часов запущены некоторые программы, к примеру, Torrent Client. Просто у меня данная система используется, когда я с работы подключаюсь к домашней инфраструктуре. Как же отключить или узнать какие программы еще есть в "Автозагрузке".

Если на Windows 7/10 Pro можно просто вызвать "Диспетчер задач", то там была вкладка «Автозагрузка» и можно было видеть приложения и через правый клик выбрать (если Авторизован как Администратор или пользователь) "Отключить."

То на Windows Server 2012 R2 Std при вызове Win + R -> taskmgr.exe — просто нет вкладки Autoruns, есть только: Processes, Performance, Users, Details, Services.

Не сохраняет пароль на доступ к тестовому серверу

Теперь, когда тестовый стенд (srv-ts00-abc = 192.168.11.14) уже во всю используется помимо подрядчиков, но и офисными сотрудниками для проверки переброски из 1С 8.3 (Управление торговлей) в 1С 7.7 и наоборот, от нашего руководителя данным проектом стала поступать задача подключения

• офисных сотрудников к тестовому стенду
• Прописать им базы 1С 7.7 и 1С 8.3
• Создать учетные записи в необходимых базах

Напомню самому себе, что под тестовый стенд я создал на центральном маршрутизаторе отдельный VLAN 11, сделал заметку на этот счет себе:

• Сеть для подрядчиков посредством Mikrotik

В данной сети создал VM для SQL Server (Version: 13.0.5026.0) и VM для терминального сервера (srv-ts00-abc) и все это на базе Windows Server 2016 Std (SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso)

Ниже мой порядок предоставление доступа офисным сотрудникам к тестовому стенду:

Установка Veeam Backup and Replication Enterprise Plus on Server 2016 Standard

Хочу себе сделать пошаговую заметку по установке Veeam Backup & Replication Enterprise Plus 11.0.1.1261_20211005(712mbddr@).7z, cперва на виртуальную машину, а после как разберу все возникающие нюансы, вынесу ее на отдельную физическую систему не связанную с сетью компании, по аналогии, как сейчас работает система на Windows Server 2008 R2 Ent которая расположена в отдельном сегменте где собираются все бекапы сервисов: базы данных, бекапы сайтов, бекап сетевого оборудования и т.д.

Настройка Syncthing, как сервис в Windows

Сегодня я сделаю себе заметку целью которой будет организовать работу приложения Syncthing на Windows 10 Pro ([Version 10.0.19045.2728]), но не посредством ручного запуска exe файла, а чтобы сама операционная система, как сервис запускала приложение и обеспечивала меня функционалом обмена файлами с узлами или централизованным обеспечением содержимого с подконтрольными системами. Т.е главная система Ubuntu 22.04 Server с сервисом Syncthing (Доверительный обмен файлами через syncthing) только передает, а текущая система Windows 10 Pro только получает.

Как создать пользователя в 1С 7.7

Сейчас мне нужно понять, каким образом наш руководитель IT—отдела (по совместительству программист 1С) создает пользователей в 1С 7.7, т.к. на мой вопрос: «Вы создадите учетные записи для подрядчиков или Я», ответил, что Я. Но я этого никогда не делал, на вопрос: «А какие права», «да, ставь полные, ведь с генеральным директором все согласовано». Ну раз так, то приступаю, но как всегда все обкатываю на тестовой базе (беру бекап от 10.03.2023 на 15 часов дня) развернутой на сервере srv-db02-test (где не используется функционал "Гибкие блокировки").

• Hostname: srv-db02-test
• Folder: D:\DB\Base20231500_10032023
• Path: \\srv-db02-test\db$\Base20231500_10032023
• SQL: WorkBase20231500_10032023

Дополнение как сбросить grace period TS Windows Server 2016

Задача: Столкнулся что у меня на тестовом сервере для подрядчиков (пилят переход 1С 7.7 на 1С 8 или работу в паре) настал момент, когда Grace Period использования роли терминального сервера начал подходить к концу, оставалось около 9 дней бесплатного использования (из 120 дней полнофункционального использования).

• ISO образ из которого установлена система: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.ISO
• OS: Windows Server 2016 Std (Microsoft Windows [Version 10.0.14393])

Как всегда, сперва просили терминальный сервер для подрядчиков, а уже сейчас это сложная система с различными доступами в боевую сеть, хранилище конфигурации, доступы мобильных клиентов для отладки, но только я знаю, как оно устроено и что от чего зависит.

Для решения своей задачи я обратился к своего блогу: https://win.ekzorchik.ru где есть заметка "Как сбросить grace period TS Windows Server 2016"

но вот попытавшись на текущем месте работы проделать все по ней столкнулся:

Windows SSH Permissions for private key are too open

Хочу разобрать, а почему с Windows 10 Pro не могу подключиться к хосту Ubuntu 20.04 Server через встроенный консольный клиент ssh где вместо пароля использую ключ private key, а вот когда я использовал клиент putty то все успешно. Т.е. данная заметка альтернатива использованию "Доступ через SSH туннель с Windows в офис"

Текущая Windows 10 Pro система:

C:\Users\ekzorchik>ver
Microsoft Windows [Version 10.0.19045.2604]
C:\Users\ekzorchik>ssh -V
OpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2
C:\Users\ekzorchik>ssh alektest2@remote.ekzorchik.ru -i "c:\keys\alektest2@remote.ekzorchik.ru_private_key.ppk"
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions for 'c:\\keys\\alektest2@remote.ekzorchik.ru_private_key.ppk' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "c:\\keys\\alektest2@remote.ekzorchik.ru_private_key.ppk": bad permissions
alektest2@remote.ekzorchik.ru's password:

Доступ через SSH туннель с Windows в офис

Задача: Разобрать как на Windows системе безопасно подключаться извне к ресурсам компании, где в качестве точки подключения выступает "Внешняя система" с доступом только по SSH. Настроено правило на брандмауэре компании, что попасть на ресурсы компании можно только с "Внешней системы" с защитой по источнику.

Схема работы удаленного подключения будет такой:

• Пользователь (Windows) -> Внешняя система в интернете - шлюз до работы - Инфраструктура работы
• На Шлюзе компании правило проброс порта, что с внешней системы подключение по RDP на рабочую станцию сотрудника или терминальный сервер

Выглядит эта схема, так:

Доступ из вне через L2TP при использовании RADIUS

Один из моих читателей моего блога обратился ко мне с просьбой помочь ему настроить возможность подключение к Mikrotik(у) задейстовав VPN подключение, но чтобы не для каждого создавать связку логин и пароль, а аутентификация велась бы через RADIUS+Active Directory (система Windows Server 2012 R2 Standard). Раз я делал и практически внедрял для управления микротиками RADIUS, то я согласился помочь на безвоздмезной основе, да и задача интересная. Результат я предоставил тому человеку на следующий день и после благодаря моим подсказкам и наводкам где у него не получалось у него все заработало. Рад был помочь, плюс для себя подчерпнул что-то новое.

Дополнение к переносу базы без функционала Гибкие блокировки

Предыстория, если, ранее опираясь на составленную пошаговую заметку я проделывал операции по создании копии боевой базы 1С 7.7 (Folder + SQL) для нужд программистов с целью проверки той или иной задумки, то вот сегодня как я думал обычной задачи я столкнулся, что нет прав на изменение констант:

Просто не подключается клиент 1С 7.7 к базе

Тут такое дело. В компанию снова взяли программиста 1С, ну посмотрим на долго ли он и не сбежит ли, может все что в компании для него станет в тягость и не сможет вытянуть нагрузку.

Клиент 1С 7.7 (7.70.025) установлен через GPO и подключения к базам также через GPO. Но пока программист 1С входит в курс дела ему нужны тестовые базы: "Перенос базы без функционала Гибкие блокировки на другой сервер"

Подключил я значит ему тестовую базу

Программист 1С с рабочего стола запускает ярлык 1С 7.7, выбирает подключение к базе "Добавить"

• В режиме: 1С:Предприятие
• Название: test
• Путь: \\srv-db02-test\db$\Base20221200_26092022\

нажимаем ОК, ОК и у него клиент даже не запускается, ошибок на рабочей станции нет, на сервере также нет.

Я же под собой нормально подключаюсь

Принудительный доступ через IE к регистратору LTV RNE-322 02

Получилось так, позвонил начальник СБ и попросил помочь охраннику на удаленной площадке, у него почему-то перестали в браузере отображаться камеры с регистратора. Позвонил ему на мобильный и он показал, что при запуске браузер Internet Explorer (Windows 10 Pro), открытии URL ссылки на доступ к регистратору LTV RNE-322 02 он получает ошибку:

Аудит изменения состава группы Domain Admins

В рамках общей безопасности решил разобрать, как получать уведомления на почту если кто-либо каким-либо образом повысив свои права в домене добавляет другую учетную запись в группу Domain Admins или же удаляет учетную запись.

По аналогии можно сделать и для других доменных групп.

Что понадобится, для осуществления данной задачи:

• Домен (polygon.com) контроллер на базе Windows Server 2012 R2 Std (можно и выше)
• Почтовый сервер в компании, у меня пока Exchange 2010 (14.03.0248.002)
• Заметка: "Настройка исходящей почты в 1C через Exchange 2010"

На заметку: В основе данной заметки лежит заметка "Уведомление о блокировке учетной записи на почту". Вот так имея одну наработку все последующее настраивается на предыдущее, очень удобно.

Работа 1С 7.7 c FTP на внешней системе

У меня очень жесткая политика по части предоставления доступа, права только те что нужно и ни какого полный доступ. Лучше посидеть поразбирать, как что настроить чем сделать все лишь бы как. На этот раз я принялся переделывать правила на нашем шлюзе "Как обновить свежеустановленный TMG 2010", где TMG (Version 7.0.9193.575).

Но в процессе столкнулся что те кто работает с программой 1С 7.7 с обработками взаимодействующими с FTP перестали работать.

Узнаем кто в 1С 7.7 подключен в монопольном режиме

Сегодня я узнал чуть более чем вчера (как объяснить пользователю почему при подключении к базе в 1С 7.7 он получает ошибку:

«Ошибка блокировки данных.

Возможно, данные используются другой задачей.»

Начну с предыстории, у нас в конце ноября образовались подрядчики, которые часть функционала из 1С 7.7 переносят в 1С 8.3 (Управление торговлей). Для них я развернул отдельный VLAN, сеть 192.168.12.0/24. Памятка "Сеть для подрядчиков посредством Mikrotik" как я это реализовал есть на моем ресурсе. Внутри ESXi 7.0 развернул две виртуальный машины:

На заметку: обе системы не в домене, доступ к машине с ролью терминального сервера идет только с явно прописанных адресов и через "Подключение к удаленному рабочему столу" это в рамках локальной сети, а извне также, но не с дефолтным портом (3389/tcp) и с предопределенных адресов подрядчиков.