Превью контента приватного доступа

Выполняем команды через DrWeb на рабочих местах

Задача: Как через Антивирус DrWEB создать задачу на завершение определенного процесса на рабочих станциях.

В прошлом году, когда у меня на работе был ESET Protect я себе под задачи системного администрирования при проведении тех или иных работ настраивал задания "Выполняем команды через ESET Agent на рабочих местах" которые вот прям сейчас выполнялись, нацеливая на рабочие станции. Было удобно, а как дела обстоят с этим если текущее антивирусное решение строится на базе Dr.Web Enterprise Security Suite.

На заметку: У Вас должна быть куплена лицензия и тогда пройдясь по моим заметкам у Вас в компании будет внедрено антивирусное решение на базе DrWeb, все как сейчас у меня.

• Как установить Dr.Web Enterprise Security Suite on Server 2016
• Формируем собственные репозитарии Dr.Web
• Настраиваю вход в консоль Dr.Web через Active Directory
• Как создать группу рабочих станций в Dr.Web
• Конфигурируем Сервер Dr.Web
• Устанавливаем Агент Dr.Web через GPO
• Порядок перехода с ESET Antivirus на DrWEB Antivirus

Итак, приступим к действиям по созданию заданий, которые мне необходимы.

Как на Honor 9X настроить почту на домен @ekzorchikdom.ru

Задача: Составить себе пошаговую инструкцию, какие действия нужно сделать на смартфоне Honor 9X (на любом смартфоне с осью Android) дабы настроить подключение к почтовому ящику с учетом дополнений, которые я внес, разбирая почему на смартфонах iphone не отображаются письма через IMAP в заметке: "Не читаются письма на IPHONE(ах) подключенных по IMAP". Просто у меня все что касательно моего должно быть под инструкциями, да и к тому же на своих проектах я обкатываю настройки дабы перенести их на боевое.

Не читаются письма на IPHONE(ах) подключенных по IMAP

Итак, проблема…

В один момент отследить, когда именно исключительно на смартфонах IPHONE перестали приниматься письма от рабочего Exchange, т.е. регистрация аккаунта проходит успешно (Ошибок нет), но вот когда с рабочего домена отправляешь письмо оно приходит на iphone, а последующие письма приходят, уведомление на iphone есть что письмо пришло, но при попытке зайти в письмо я вижу только первое. Все последующие письма от любых сотрудников все также приходят, но на iphone(ах) как бы вкладываются в первое.

Да ситуация странная, сперва было по записям просмотрено что менялось, включались логи IMAP опираясь на заметку "Логи протокола IMAP на Exchange 2010", но там ошибок нет, а их и нет, только что именно смартфоны IPHONE не видят письма, а смартфоны с Android видят, отвечают, пересылают.

Поиск в интернете ни к чему не привел, я понял что это мой частный случай.

Итак, воспроизводим проблему

• есть почтовый сервер @ekzorchikdom.ru
• есть iphone 14 (IOS 17.1.1), до этого был IOS 16.7.2, обновились на самую последнюю версию, думал проблема с версией. Куплен нам в отдел для решения проблемы.
• iphone 11 (IOS 14.7.1) смартфон генерального директора
• iphone SE (6S) (version 14.4.2) смартфон одного из внештатных специалистов по видеонаблюдению
• есть почтовый ящик alektest@ekzorchikdom.ru

Не удаляется база публичных папок на Exchange 2010

Столкнулся на днях что, когда ввел в эксплуатацию еще один почтовый сервер на базе Exchange 2010 версии 14.03.0248.002 с ролью Mailbox, перенес на него все системные почтовые ящики, создал почтовые базы, перенес ящики пользователей в новые базы на новый сервер srv-mail08-mb приступил к процедуре удаления старого: srv-mail05-mb. При удалении базы под каталог публичных папок получил ошибку

The public folder database 'PuiblicDB01_NEW' cannot be deleted.

Действия по смене IP на Exchange 2010

Мне в скором времени предстоит изменить внутренний IP адрес на почтовом сервере Exchange 2010 (Version: 14.03.0248.002) и хотелось бы подготовиться к данной процедуре не абы второпях это делать, а как всегда опираясь на свою заметку сделать от и до с минимум моментов которые я не знаю, а тут у меня под рукой есть свой собственный почтовый действующий сервер в моем домене polygon.local. Для чего это нужно, причины у могут быть разными, к примеру почтовый сервер это VM под Hyper-V и нужно вынести ее на ESXi и в рамках единой адресации расположить все сервера в отдельной сети. Т.е. VLAN 4 — это пользовательские станции, VLAN 90 — это серверные системы, так обычно бывает, когда компания растет и хочется все привести к понятной структуре, а не городить все системы в /24 маске.

Обновляем CA сертификат в домене

Предыстория: у меня для нужд сервиса Remote Desktop Gateway и Exchange 2010 в домене polygon.local развернут центр сертификации опираясь на заметку "Разворачиваем Certificate Authority на Server 2012 R2".

Потом применена заметка:

• The permissions on the certificate template
• Как распространить сертификат CA через GPO

ну так вот, в боевой среде корневой сертификат заканчивается (смотрю на srv-dc01): mmc - File - Add/Remove Snap-in… -

Available snap-ins: выбираю Certificates и нажимаю Add

• This snap-in will always manage certificates for: выбираю Computer account

затем разворачиваю: Console Root - Certificates (Local Computer) - Trusted Root Certification Authorities - Certificates — вижу FIRMA CA заканчивается 14.12.2023

а в моем домене polygon.local сертификат srv-dc01-ca я сделал Valid from: 27.09.2023 to 27.09.2028, т.е. я его создавал на 5 лет.

Логи протокола IMAP на Exchange 2010

Сейчас задумка следующая, хочу включить логи для протокола IMAP и посмотреть, что происходит, когда почтовый клиент подключается к почтовому серверу Exchange 2010 (Version: 14.03.0248.002) моего домена @ekzorchikdom.ru

Настраиваем IMAP на Exchange 2010

Сегодня у меня будет заметка посвященная, как на моем почтовом сервере Exchange 2010 (Version: 14.03.0248.002) сделать так, чтобы можно было подключаться к домену @ekzorchikdom.ru посредством протокола IMAP (993/tcp) через настроенные почтовые клиенты. К примеру, у нас у сотрудников настроена почта на смартфоне дабы оперативно решать возникающие вопросы или быть в курсе происходящего. Замечу, что мой почтовый сервер на 100% идентичен офисному почтовому серверу, так я прорабатываю настройки и если все хорошо, то переношу их на боевое использование.

Приступим:

Как запретить по EHLO выдавать чувствительную информацию

Я хочу при чтобы при обращении к моем почтовому серверу Exchange 2010 (Version: 14.03.0248.002) из вне, где в качестве домена использую @ekzorchikdom.ru если я делаю проверку работоспособности по порту 25/tcp через команду telnet mail.ekzorchikdom.ru 25 первое 220 я теперь получаю mail.ekzorchikdom.ru. Это я сделал в заметке: "Удаляем заголовки локального сервера Exchange 2010", далее набираю EHLO mail и в ответ получаю 250-srv-mail01-cas.polygon.local Hello [79.171.173.XXX]

Удаляем заголовки локального сервера Exchange 2010

Задумка: Хочу проработать момент, дабы отправляемая почта из локальной сети через Exchange 2010 (Version: 14.03.0248.002) во вне, где в качестве домена использую @ekzorchikdom.ru из писем удалялись заголовки сообщений показывающие какой у меня, используется почтовый сервер и внутренний IP—адрес почтового сервера.

Вроде такое можно сделать, просто, когда анализировал заголовки писем для самообразования, то обращал внимание что в некоторых значится какой сервер используется, а в некоторых нет и другая чувствительная информация, которая для получателя ни к чему. Т.к. у меня Exchange 2010 за NAT, в организации где я системный администратор тоже Exchange за NAT. Так что нужно проработать как усложнить выявление информации.

Как установить Exchange 2016 на Server 2016

Поставил себе задачу, хочу проработать как развернуть почтовый сервер для своего домена @ekzorchikdom.ru, но теперь в качестве почтового сервера выступит не Exchange 2010, а Exchange 2016. Просто это оказалось интересным сделать самим от и до с разбором всех нюансов, все как я хочу и делаю на текущем месте работы в свободное время. Это задача, а в конечном итоге будет цель: перевод инфраструктуры Exchange 2010 на Exchange 2016, Exchange 2019 в текущей организации мощности не потянут, да и объемы работы таких нет.

Ну что ж приступим, как всегда все обкатываем в тестовых условиях где в роли гипервизора выступает Debian 10 + Proxmox 6.4-13 на котором развернуты виртуальные машины. Сейчас я буду устанавливать Exchange 2016 и покажу, как данный процесс проходит.

Как добавить DKIM подпись Exchange 2010

Продолжаю свое изучение работы с почтовым сервером на базе Exchange 2010 (Version: 14.03.0248.002). В этой заметке я разберу, как настроить SPF, DKIM, DMARC записи для своего почтового сервера домена @ekzorchikdom.ru

Устанавливаем и настраиваем ORF Fusion on Exchange 2010

Сегодня я покажу, каким образом можно установить и настроить систему фильтрации спама для Microsoft Exchange Server имя ему ORF Fusion. Я данное программное обеспечение применяю, как на боевом почтовом сервере, так и на применю к своему, ранее на блоге я показал от и до, как разворачивается почтовый сервер Exchange 2010 (Version: 14.03.0248.002). Ведь нужно же с чего-то начинать, у себя я собрал рабочий почтовый сервер и уже опираясь на заметки смогу развернуть в любой другой организации. Никто не запрещает также использовать Proxmox Mail Gateway ("Пограничный шлюз Proxmox Mail Gateway для Exchange 2010"), подходит также.

Итак, продукт ORF Fusion использует такие технологии многократной фильтрации, как черные списки DNS, SURBL-проверки, серые списки и многие другие для идентификации спама и другого вида нежелательной электронной почты. ORF Fusion предлагает эффективный, настраиваемый спам-фильтр, особенностью которого является способность использовать DNS— и SURBL-черные списки – онлайн-базы данных различных спам-характеристик. Большинство этих черных списков, подобно SpamCop или DSBL, обновляются почти каждую секунду. Это гарантирует, что ORF Enterprise Edition может блокировать новые спам-атаки.

Предварительные действия:

Этап №1: "Связываем Wireguard на Mikrotik 7.11.2 и VPS в Беларуссии"

Этап №2: "Поднимаем почтовый сервер Exchange 2010 для домена ekzorchikdom.ru"

Этап №3: "Настройка Exchange 2010 на домен ekzorchikdom.ru"

Отлично, теперь переходим к сути данной заметки:

Настройка Exchange 2010 на домен ekzorchikdom.ru

Так в прошлой заметке ("Поднимаем почтовый сервер Exchange 2010 для домена ekzorchikdom.ru") я все подготовил прежде чем настраивать почтовый сервер Exchange 2010 (Version: 14.03.0248.002), а сейчас будем его настраивать на работу через домен ekzorchikdom.ru от и до, и с нюансами, которые у меня возникли и как я их решал.

Задача: После того, как в домене развернули Certificate Authority опираясь на ранее опубликованную заметку "Разворачиваем Certificate Authority на Server 2012 R2" нужно распространить на все рабочие Windows системы CA сертификат. ОН необходим будет, когда будет к примеру почтовый сервер и клиенты будут запускать Microsoft Outlook.

Стенд:

srv-dc01.polygon.local

• OS: Windows Server 2012 R2 Standard
• ISO: SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.ISO
• Roles: AD,DNS,DHCP,CA

Приступим:

Как на Server 2008 R2 Ent запустить утилиту wacs.exe

Дело в том, что у меня получилось самим развернуть действующий почтовый сервер на базе Exchange 2010 (никогда в боевом окружении этого не делал, обычно все было уже до меня, обычно только поддерживал) и тут я начал прорабатывать каждую настройку, как сделано в организации где я работают, так и все что мне кажется интересным. В одном из шагов установки для доступа из вне мне нужен сертификат при обращении на URL https://WAN_DNS_ADDRESS/owa и вот чтобы сертификат был я его получают через Let's Encrypt. Когда просто качал пакет wacs и пытался его запустить получал ошибку. Значит нужно проработать как на Windows Server 2008 R2 Ent запускать утилиту wacs.exe, т.е. какие действия после установки OS из образа (SW_DVD5_Windows_Svr_DC_EE_SE_Web_2008_R2_64Bit_English_w_SP1_MLF_X17-22580.ISO) и установленной роли CAS нужно сделать.

Нюансы установки Wireguard клиента на Server 2008 R2

Задача: Разобрать каким образом и что нужно дабы на Windows Server 2008 R2 Enterprise/Standard установить Wireguard клиент.

Для чего такая задача? Хочу с ее помощью разобрать каким образом разворачивается почтовый сервер Exchange различные релизы, начиная от Exchange 2010 до Exchange последних версий. Просто у меня в обслуживании есть Exchange 2010 и его нужно переносить, обновлять, но так как я никогда не разворачивал с нуля да чтобы еще и работал на прием и отправку нужно подготовиться. Да и интересно это. Поэтому образовалась данная заметка, как первый этап, т.к. у меня для тестов нет постоянного IP, а дабы получить его я задействую VPN.

Как перенести Ubuntu 18.04 с Hyper-V на ESXi 7.0

Задача: Мне для практических нужд нужно проработать как перенести Ubuntu 18.04 Server развернутую на Hyper-V (OS: Windows Server 2012 R2 Standard) в ESXi-7.0U3b-18905247-standard (VMware, Inc.) нового сервера "Сервер Intel в сборе"

srv-virtual01

• OS: Windows Server 2012 R2 Standard
• Motherboard: S5000VSA
• RAM: 20,0 GB DDR2 FB-DIMM

HDD: RAID 1

• Slot 0: SAS ST3146356SS (146Gb)
• Slot 1: SAS ST3146356SS (146Gb)

HDD: RAID 6

• Slot 2: SAS ST3300657SS (300Gb)
• Slot 3: SAS ST3300657SS (300Gb)
• Slot 4: SAS ST3300657SS (300Gb)
• Slot 5: SAS ST3300657SS (300Gb)

(Сервер устарел)

Выполнить ConfigureRemotingForAnsible.ps1 через GPO

Задача: Хочу приобщиться к Автоматизированному управлению Windows системами через Ansible на Ubuntu 22.04 Server — это как единый инструмент быстрой настройки/подстройки доменных систем коим я его вижу.

Но сперва нужно на всех рабочих станция выполнить скрипт ConfigureRemotingForAnsible.ps1 посредством которого разрешится подключение с управляющей системы Ubuntu 22.04 Server + Ansible и выполнение PlayBook которые под свои задачи я буду применять. К примеру распространение nethasp.ini с учетом принадлежности рабочего места: Если Бухгалтерия, то он конфигурационный файл nethasp.ini, есть те, кто работают с конфигурацией "Управление торговлей", то другой nethasp.ini.

Для меня это актуально, так что задачу я себе придумал, буду реализовывать. Да и свободное время на самообразование и улучшение своего статуса, как специалиста нужно поддерживать, а еще завязывать все на себя.

Проработать установку JAVA JRE через GPO

Хочу, чтобы при первоначальной подготовке рабочего места или разом у меня в домене через групповые политики производилась установка/обновление пакета JAVA JRE на рабочих местах, т.е. вынести еще одно действие на автоматизацию, тем самым исключить ручной труд. Заметка разобрана на боевом применение в домене polygon.local на базе Windows Server 2012 R2 Standard.

Бекап SQL базы по сети

В сегодняшней заметке я покажу, каким образом я ввел в эксплуатацию задумки по организации бекапа SQL баз, т.е. не просто бекап встроенными средствами через SQL Management Studio, а далее Maintenance Plan на этот же сервер, но, и чтобы был бекап за этот день и на другом месте и мне не приходилось вручную их перемещать. По-сути это бекап sql баз по сети.

Сперва задумка была применить ее к серверу где располагается база 1С 7.7 (т.е. 1С 7.7 + (folder + SQL). Если по части отдельного резервного копирования бекапов рабочего каталога folder я реализовал, об этом можно почитать в моей заметке "Бекап бекапа каталога 1С 7.7". По прошествии уже 14 дней данная наработка мне пригодилась, когда при запланированных работах с сервером srv-db02 он не поднимался, но я вспомнил что у меня есть на всякий случай резервная копия на отдельной системе, тут я выдохнул и занялся реанимацией старого сервера. Все прошло успешно.

Сейчас буду разбирать, как настроить бекап SQL баз по сети на отдельную систему в системе.

Настраиваем https для URL certsrv

В прошлой заметке "Разворачиваем Certificate Authority на Server 2012 R2" я развернул Certificate Authority, а сейчас я разберу, как сделать чтобы доступ к CA был не http://srv-dc01/certsrv/, а вида https://srv-dc01/certsrv.

и вижу информационное окно

The permissions on the certificate template

Задача: Нужно дать возможность использовать шаблон сертификата на создание запроса

В прошлой заметке "Разворачиваем Certificate Authority на Server 2012 R2" я развернул Certificate Authority, а сейчас у меня цель решить, каким же образом выдаются права на доступ к шаблону при создании запроса на сертификат. Просто я решил внедрить использование сертификатов в домене. А значит для одной заметки делаю запрос, но не могу задействовать шаблон.

Что я делаю, что получаю ошибку ниже

"The permissions on the certificate template do not allow the current user to enroll for this type of certificate. You do not have permission to request this type of certificate."

Разворачиваем Certificate Authority на Server 2012 R2

Задача: Развернуть Центр сертификации (Certificate Authority) на Windows Server 2012 R2 в домене polygon.local

Для чего это нужно? Я хочу получить возможность создания сертификатов для внутренних сервисов домена с целью подтверждения подлинности, к примеру, для Remote Desktop Gateway, к примеру, для обращения к IIS сервиса не по http, а по https.

Бекап бекапа каталога 1С 7.7

Задача: Хочу помимо основного бекапа каталога 1С 7.7 (у меня работа 1С 7.7 строится на связке Folder + SQL) делать/копировать бекап еще на другой сервер.

Ранее, когда я пришел в текущую организацию задался целью все что сделано и не сделано в инфраструктуре переделать как должно быть, чтобы не было мест, которые мне не известны. Только так можно отвечать за что-то и поддерживать. Да и тем более только я один заинтересован чтобы все работало по best practices.

к примеру организовал резервное копирование каталога 1С 7.7 — см. заметку "Скрипт для бекапа 1C 7.7 Folder"

составленный скрипт успешно работает уже более 2 лет, а вот теперь как выдалась свободная минута решил, а почему бы не делать бекап бекапа, просто надоело это делать вручную по воскресеньям (за это платят чтобы я каждую неделю проверял все системы и собирал со всех систем бекапы и размещал их в другой сети, системе где доступ к ним имею только Я).

Ниже мой план решения поставленной самому себе задачи:

Ручная активация Windows LTSB через KMS сервис на Ubuntu 22.04 Server

Одно время я на работе думал что если всем установить на компьютеры Windows 10 Корпоративная 2016 с долгосрочным обслуживанием и стандартизировать все установленное ПО, то не будет каких либо проблем, как же я ошибался, начались на нескольких ПК проблема с подсистемой видеодрайвера, то не хотели вставать обновления то программы, путем анализа выявил что всему виной в моем случаем этот образ SW_DVD5_WIN_ENT_LTSB_2016_64BIT_Russian_MLF_X21-07471.iso ([Version 10.0.14393]), после большую часть систем перебил на образ: SW_DVD9_Win_Pro_10_1909.2_64BIT_Russian_Pro_Ent_EDU_N_MLF_X22-26638.iso и проблемы прекратились. Все стало стандартизировано, но есть но, несколько систем все также остались на LTSB дистрибутиве и вроде как все работает и проблем нет, а вот как активировать данные системы, вспомнил что развернул недавно KMS на Ubuntu 22.04 (Поднимаем KMS сервер на Ubuntu 22.04), поставил задачу разобрать как активировать.

Как сделать бекап самого Maintenance Plan

Задача: Как сделать бекап самого Maintenance Plan

Т.е. когда в эксплуатацию будет вводиться точно такая же связка сервера с базой чтобы не каждый раз создать план обслуживания SQL базы, а просто взять и импортировать уже имеющийся план именно от этой версии.

Странно почему я этого раньше не делал, но все меняется, с учетом опыта и возникающих задач приходится учиться делать то что раньше не нужно было.

COM-соединение с агентов сервера не видит comctrl

У нас появился в штате еще один программист 1С и постоянно идет взаимодействие с подрядчиками, которые как я и говорил ранее пилят взаимодействие 1С 7.7 и 1С 8.3 (Управление торговлей) и все это выливается в то что каждый день после работы в районе 21 часов он выполняет обновление конфигурации в боевой базе, когда все части кода проработаны. Ну так вот чтобы ему завершать сеансы пользователей, специально для него я сделал функционал завершения сеансов с базой 1С 8.3 (см заметку "Как завершить сеансы с базой 1С 8.3"). Но все бы хорошо, но есть всегда одно, но, именно у него, когда он действует по отправленной инструкции в Telegram:

Порядок перехода с ESET Antivirus на DrWEB Antivirus

Задача: Проработать каким образом на рабочих местах в компании будет производится переход на новый антивирус с использования ESET Endpoint Antivirus на новый DrWeb Antivirus, когда действующая лицензия истечет. Истекает 26/07/2023, сейчас у меня есть время проработать/смоделировать многие моменты и уже применяя на боевом и множестве рабочих станций по максимуму минимизировать процесс дабы офисные пользователи не заметили что-либо. Кстати этого я уже добился. Ниже шаги что нужно сделать в обоих системах ESET & DrWeb, Active Directory и т.д.

Устанавливаем Агент Dr.Web через GPO

Наконец таки настал тот момент когда я подписчикам блога https://win.ekzorchik.ru хочу показать, каким образом с учетом всех заметок выше относящихся к развертыванию Антивирусного решения на базе Dr.Web производится автоматизированная установка Агента Dr.Web на рабочие места под управлением Windows и уже с учетом профиля, группы идет доустановка необходимых компонентов, тем самым станция становится на защиту. И вот все это благодаря слаженному механизму моих заметок от и до. Агент на рабочий станции домена я будут устанавливать через групповые политики домена.

• Как установить Dr.Web Enterprise Security Suite on Server 2016
• Формируем собственные репозитарии Dr.Web
• Настраиваю вход в консоль Dr.Web через Active Directory
• Как создать группу рабочих станций в Dr.Web
• Конфигурируем Сервер Dr.Web

Конфигурируем Сервер Dr.Web

Мы постепенно в заметках развертывания антивирусного решения на базе Dr.Web Enterprise Security Suite подходим к самому интересному, а именно, а как же все-таки устанавливает агент будь это в ручном режиме или автоматизированному, т.е. при использовании доменной инфраструктуры (через применение файла ответов). Все разобранная информация собиралась на практическом опыте по крупицам путем чтения документации, практическом применении и выводах что и, как и в какой последовательности. Сейчас я покажу, что нужно сделать дабы подготовить серверную часть Dr.Web на которую будут самостоятельно подвязываться системы с Windows операционной системой…

Настраиваю вход в консоль Dr.Web через Active Directory

Сегодня речь пойдем, как интегрировать центральную консоль Dr.Web в Active Directory, т.е. я хочу получить возможность авторизовываться в консоли Dr.Web, как задействуя локальную авторизацию, так и доменную. Хотя, когда использовал(ую) ESET Protect я таким не заморачивался и считаю, что такая система, как антивирусная защита должна строиться отдельно. Здесь же я просто решил заморочиться и разобрать, просто или все же есть немыслимое количество действий для реализации задуменного.

Чтобы это реализовать и будет данная пошаговая заметка.

Формируем собственные репозитарии Dr.Web

Как и говорил, публикую для себя пошаговые действия по развертыванию Dr. Web Enterprise Security Suite, сегодня речь пойдет на тему формирования собственного каталога программного обеспечения доступного в локальной сети через браузер дабы, используя лицензионный ключ произвести с учетом купленного только тот набор программ, которые изначально были заложены в ТЗ. Т.е. при открытии браузером ссылки вида: https://srv-drweb.polygon.local/install будет софт:

Агент Dr.Web для Active Directory

Утилита для модификации схемы Active Directory

фaйл drwinst.exe

и т.д.

Предварительные действия:

• Как установить Dr.Web Enterprise Security Suite on Server 2016

Как установить Dr.Web Enterprise Security Suite on Server 2016

Предыстория такова, начиная с того факта как я начал работать в текущей компании всегда использовалось антивирусное решение на базе ESET, была 5 версия, с 2022 года по 2023 (середину лета) используем ESET Protect который я также успешно проработал в заметках:

• Устанавливаем ESET Protect на Server 2016 в домене
• Как активировать ESET PROTECT on Server 2016 Std
• Антивирус на рабочие места и сервера через ESET PROTECT
• При входе в ESET Protect пишет Не подключено
• Как установить ESET Endpoint Antivirus 9 на Windows 10 Pro
• Выполняем команды через ESET Agent на рабочих местах
• Создаем задачу на установку ESET Endpoint Antivirus
• Создаем задачу на установку ESET Server Security

Как видите работа была сделана громадной, все работает, отлавливает, но как всегда есть «НО». Т.к. в виду санкций по отношению к России, часть поставщиков ушли с российского рынка, купить/продлить лицензию нельзя. Поэтому я выступил инициатором в приобретении антивирусного решения на базе Dr.Web Enterprise Security Suite. Закупили лицензии.

Чтобы лучше понять, как настраивается я поднял стенд и все также, как и с ESET проработал, узнал много нового и получается готов к переводу всей инфраструктуры на новое антивирусное решение. Поэтому начинаю цикл пошаговых заметок по внедрению Dr. Web Enterprise Security Suite.

Как завершить сеансы с базой 1С 8.3

Повадились у нас разработчики 1С 8.3 (Управление торговлей) дорабатывать функционал вместе с подрядчиками, а значит, когда что-то допиливают и обкатывать на тестовой то после согласовывают задачу на обновление конфигурации уже боевой базы. Это обычно проходит после 21.00, но вот в чем загвоздка, вроде все обговорили, все в курсе, но как показывает практика даже руководителя сидят в базе не отключаюсь и как прикажете обновляться. Поэтому пишут в общий чат Telegram (я волей не волей состою там) с просьбой:

ekzorchik, закрой все подключения к базе UT09052023, а то я не могу обновить конфигурацию находясь в "Конфигураторе"

правда Я обычно возле компьютера, а периодически мониторю что пишут мне в Telegram, но уже который месяц это продолжается, меня это стало задалбывать, все же это функционал 1С выкидывать пользователей, а не каждый раз прибегать ко мне чтобы я подключился на сервер srv-db04, открыл оснастку "Администрирование серверов 1С Предприятия x86-64" перешел в нужную "Информационную базу" - "Сеансы" — выделил всех за исключением программиста который подключен в режиме "Конфигуратор" и через правый клик мышью и выбрал Delete, отрапортовал в Telegram что "выкинул" и после увидел в чате:

> ekzorchik: выкинул >

Владислав Рогов: Спасибо

Владислав Рогов: УТ рабочая обновлена

> ekzorchik: а разве через конф нельзя никак всех выбить, завершить сессии

> Владислав Рогов: ekzorchik, если бы мог, то не обращался, если кто-то из коллег знает тайные вещи, поделитесь

Как не программист 1С я решил, что нужно найти способ чтобы программисты 1С делали это сами не прибегая каждый раз ко мне, но без доступа к самому серверу по RDP, ибо не фиг. Так хоть за систему отвечаю минимизирую кто имеет доступ.

Приступаю к решению поставленной задачи:

Уведомление о событиях через iRedMail на SQL Server 2016

Задача: Настроить уведомления на SQL Server 13.0.5026.0 при использовании почтового сервера iRedMail 1.6.2 on Ubuntu 22.04

Я хочу проработать заметку, как на Server 2016 Standard при установленном SQL Server 2016 (13.0.5026.0) настроить уведомление на почту при использовании почтового сервера на базе Ubuntu 22.04 + iRedMail 1.6.2, возможно столкнусь с какими-либо трудностями т.к. до этого такого не делал. Получение уведомлений важно при построении планов обслуживания дабы не подключаться каждый раз к SQL Server и не смотреть все логи, а таким образом получать только ту информацию, которая необходима по части выполняемых работ.

В заметке будет задействовано:

Виртуальная машина с установленной Ubuntu 22.04 Server + iRedMail 1.6.2 (почтовый сервер) + установленный wireguard клиент который связывается в доменным именем mail.ekzorchik.com, а уже на той системе которая во вне поднят wireguard сервер и через проброс порта идет переброска портов: 25, 443, 465, 993. О том, как это сделано у меня Вы можете посмотреть в заметке: "iRedmail 1.6.2 на Ubuntu 22.04 через Wireguard туннель"

На тестовом полигоне под управлением Debian 10 + Proxmox 6.4-13 создана виртуальная машина с осью Windows Server 2016 Standard и развернут SQL Server версии 13.0.5026.0. О том, как это сделано у меня Вы можете посмотреть в заметке: "Порядок поднятия SQL (srv-db01) как на работе"

Чистка сеансовых данных и кеша 1С 8.3

После рабочего дня увидел в общей группе Telegram которая состоит из подрядчиков 1С 8.3 (8.3.18.1957) , некоторых наших программистов и куратора проекта задание, которое ждет меня в Redmine с темой "Очистка КЭШ" на сервере где установлена тестовая база UTTEST также требуется всем, кто взаимодействует с данной базой прописать в настройках клиента 1С 8.3 ключ /ClearCache.

Т.е. я прихожу на работу довольно таки рано, то решил совместить свое время с решение данной задачи.

Предварительные знания:

• Сеть для подрядчиков посредством Mikrotik
• Не сохраняет пароль на доступ к тестовому серверу

Как расширить LUN с почтовыми архивами без отключения LUN

Задача: Есть LUN который подключен к Windows Server 2012 R2 Std, после данный LUN отформатирован как файловая система NTFS и смонтирован как еще один логический диск. На данном диске располагается каталог доступный только пользователями прошедшим проверку Authentication Users и у каждого есть своя папка с созданным PST файлом который подключен пользователю и в него он переносит только те письма, которые ему нужны на долговременное время. Пользователи уведомлены, что по достижению архив равным 50Gb их архив просто не откроется и это будет их проблемы, а не мои.

Исходные данные:

• Сетевое хранилище ReadyNAS 2120 (v6.10.2)
• • http://nas01
  • Login: admin
  • Pass: password
• OS: Windows Server 2012 R2 Std

Предварительные действия или заметки по сетевому хранилищу на текущий момент:

• Как создать новый LUN в ReadyNAS 2120

оказывается, я такое уже делал ниже заметка:

• Resize Disk System от NAS в лице LUN

Но у меня ситуация в следующем, на данном LUN располагается сетевой каталог где каждый из пользователей имеет свою персонифицированную папку в которой располагается Архив почты, т.к. у меня сотрудники ограничены ящиками от 512Mb до 4Gb в зависимости от должности. А то как показывает практика сколько не выделишь все будет использовано.

Ну так вот, сейчас LUN под почтовые архивы имеет размер 300Gb

Как показал тест на одном из LUN что не обязательно отключать LUN от сервера дабы увеличить место:

Резервная копия и восстановление шлюза на базе TMG

У меня на работе до сих по используется шлюз (TMG Version: 7.0.9193.575) для выхода в интернет на базе обычного компьютера с двумя сетевыми картами (одна — это выход в интернет, вторая — сеть между данным шлюзом и маршрутизатором Mikrotik RB1100AHx4 Dude Edition на котором созданы VLAN, правила доступа, приоритизация трафика, маршруты, тестовые сети). Т.к. я получается только один на работе заинтересован чтобы все работало (зарплата капает, т.к. все настроено и работает, все ошибки задокумментированы и инфраструктура улучшается), то мне в задачу по резервному копированию захотелось добавить процесс быстрого восстановление на всякий случай шлюза. Странно что я еще этого не сделал, но не важно. Сперва разбираю весь процесс резервного копирования и восстановления на примере тестового окружения, после перенесу все на боевое.

Подключение к опубликованной базе через VPN с Android клиента

Задача: Наш уже можно так сказать внештатный программист, который обслуживает/разрабатывает функционал для склада по части 1С 8.3 Управление торговлей, редакция 11 (11.4.13.227) не так чтобы часто находится на складе с нашим экспертом по складской логистике, он все же удаленный сотрудник. Офис находится в Самаре и когда явно что-то нужно то его отправляют в командировку к нам и уже на месте идет работа. Но порой ему не нужно быть у нас так часто как, наверное, хотелось бы нашему руководству, программист — это такая единица, которой суждено быть на удаленке.

От программиста поступила задача, можно ли ему как-то сделать дабы он мог со своего личного АТОЛ SmartPro подключаться, как к тестовому серверу (где работают подрядчики переписывающие или настраивающее сопряжение 1С 7.7 и 1С 8.3) так и к боевому серверу в части приложения под Android к опубликованной информационной базе.

Сев и поразмышляв как этого можно добиться, первое что приходит — это сделать банальный проброс порта с адреса источника организации где работает программист, либо же сделать VPN доступ явно к указанным серверам:

Не открывается Launch remote console у виртуальной машины

Текущая система: Windows 10 Pro (Version 10.0.18363.657), запускаю браузер Google Chrome (версия браузера на момент написания заметки: 113.0.5672.127).

Открываю URL https://srv-esxi02 (у меня это ESXi v6.7.0 (Build 8169922) — авторизуюсь — перехожу в Virtual Machines — перехожу в любую виртуальную машину, затем нажимаю Console - Launch remote console и должно открыться окно с консолью виртуальной машины, но оно даже не запускается/не скачивается. А мне такой функционал нужен (т.е. до этого работало)

Ниже порядок решения:

Как опубликовать еще одну базу 1С не перезагружая IIS

Поступила задача, ну точнее в Telegram чате где общаются программисты 1С 8.3 проскользнула тема, что один из наших программистов 1С не может произвести связку 1С 8 с 1С 7 через URL. Путем вопросов что он конкретно хочет получить, а не просто присылается скриншот в чат, мол не могу подключиться, как тестировать и все в таком духе. Выяснил, что ему нужно также, как и для боевой базы произвести публикацию своей тестовой дабы его обработки можно было сперва оттестировать, а потом уже переносить на боевое вовремя после работы.

У меня все разнесено

srv-db04.polygon.local - Здесь "Консоль 1С" и опубликованы базы, + поднят IIS

• OS: Windows Server 2016 Standard
• ISO: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso

srv-db03.polygon.local - Здесь у меня SQL Server 13.0.5026.0 где располагается боевая база

• OS: Windows Server 2016 Standard
• ISO: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso

srv-db03-test.polygon.local - Здесь у меня SQL Server 13.0.5026.0 где располагаются тестовые базы для разработчиков 1С 8.3

• OS: Windows Server 2016 Standard
• ISO: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso

Боевая база опубликована и в процессе как это делалось была составлена себе пошаговая заметка: "Опубликовать тестовую базу 1C через Web с использованием IIS"

Итак, первым делом обращаюсь к своей заметке, т.к. я помню, что это делал Я, никто другой не захотел вникать как это делается.

Все что нужно я вспомнил и приступаю.

Есть тестовая база: UT09052023 и ее нужно опубликовать и чтобы все кто работают с боевой базой даже не почувствовали что вносятся изменения.

При активации Windows 7 ошибка 0xC004F035

Задача: Разобраться почему не активируется Windows 7 Pro на ноутбуке Lenovo IdeaPad S210

Предыстория, раньше в отделе IT был ноутбук Lenovo IdeaPad S210 (Intel Pentium CPU 2117U @ 1.80 GHz (2cores), 4Gb RAM) который я использовал как мобильный помощник при настройке сетевого оборудования на месте, поиск информации если не рядом с рабочим местом, в общем все что делает настоящий системный администратор, находясь один где-либо. Ну да ладно. Только в ноутбуке был обычный жесткий диск (HDD) и его стало не хватать/умирал, решил заменить на SSD (Samsung SSD 870 EVO SATA 2.5 on 250Gb). Разобрал ноутбук, заменил диск. В качестве рабочей системы решил остановиться на Windows 7 Pro. В качестве установщика ОС на помощь пришел мой Zalman VE500 (Dual режим), а дистрибутив: SW_DVD5_Win_Pro_7w_SP1_64BIT_Russian_-2_MLF_X17-59431.iso

При активации KMS ключом столкнулся с ошибкой:

Активация Windows(R) 7, Professional edition (b92e9980-b9d5-4821-9c94-140f632f63

12) ...

Ошибка: 0xC004F035 Служба лицензирования программного обеспечения сообщила, что

на данном компьютере не удалось выполнить активацию с помощью ключа многократной

установки. При использовании корпоративных лицензий обновление можно выполнить

только из уполномоченной операционной системы. Обратитесь к системному администратору или воспользуйтесь ключом другого типа

Ниже шаги и утилиты для решения данной проблемы…

Удаленная помощь программистов без AnyDesk

Есть у нас в компании программист специализирующийся на разработке/сопряжении различных торговых площадок в рабочую базу под управлением 1С 7.7 (Folder + SQL). И порой ему для оперативного понимания что курирующий человек по торговым площадкам делает, объясняет, что нужно и как он себе это видит они оба в паре один на удаленке другой в офисе решают производственные запросы. А мне постоянно пишут, запусти пользователю AnyDesk, введи логин и пароль на повышение прав — это здорово отнимает время. Я решил (у руководителя IT-отдела получил одобрение), а почему бы не задействовать инструмент Aspia, т.е. программисту на офисную рабочую станцию устанавливаем Aspia Console, подключаемся к центральному узлу, на рабочую станцию сотрудника ставим Aspia Host и дальше программист уже взаимодействует, видя полный рабочий стол и более никаких административных прав не нужно.

Ниже порядок действия для решения производственных задач предоставления удаленного доступа.

Преднастройка резервного копирования Mikrotikов через PowerShell

Меняю систему с wrkst0100 на wrkst0101 и столкнулся что мой скрипт резервного копирования не работает. Разбираюсь что еще нужно учесть в заметке.

Дело вот в чем. У меня на работе полетел жесткий диск на моей офисной рабочей станции, и этим днем оказалось, что это пятница, раз в этот день не так много задач, обычно их нет, я решил по-быстрому заменить себе систему. Взял купленный компьютер, который мы покупаем в сборе:

• Motherboard: Asus H510M-R
• CPU: Intel ® Core ™ i5-10400 CPU @2.90GHz
• RAM: 8Gib
• SSD: 250Gb

установил на него систему Windows 10 Pro из дистрибутива SW_DVD9_Win_Pro_10_1909.2_64BIT_Russian_Pro_Ent_EDU_N_MLF_X22-26638.ISO

приступил к настройке под рабочее окружение и когда открыл свою заметку "Централизованное резервное копирования Mikrotik через PowerShell" столкнулся, что возможно что-то поменялось в использованном командлете в статье, что вот прям как там описано у меня заработало, но не полностью. А значит нужно дополнить заметку некоторыми нюансами:

Ручная активация Windows через KMS сервис на Ubuntu 22.04 Server

После того, как я разобрался как развернуть собственный KMS сервис на базе Ubuntu 22.04 Server (задействуется заметка "Поднимаем KMS сервер на Ubuntu 22.04") в локальной сети предприятия, на тестовых системах активация проходила и на 180 дней я избавлен от напоминания систему что мол меня еще не активировали. Я решил проработать, составляя batch файлы под каждую ось, которую использую: Windows 10 Pro, Server 2008 R2 Standard/Enterprise, Server 2012 R2, Server 2016, Server 2022 с учетом различных версий, чтобы все перевести на KMS, а не как местами сейчас с использованием KMS-активатора (что неправильно и часто слетает).

Ну что ж поехали:

Запрет приема почты из вне для системных почтовых ящиков

Поступила задача от Руководителя Web-проектов, ему для регистрации отправки писем от имени почтового ящика сторонним сервисом нужно подтверждение, что данный адрес принадлежит компании. Но вот что интересно, он указывает адрес noreply@ekzorchik.ru, но письма на него не приходят (из вне). Смотрим что не так и что возможно было когда-то сделано. Я поднял свои записи, т.к. обычно только я занимаюсь администрирование инфраструктуры, ничего такого сверхъестественного не делалось с данным почтовым ящиком.

Система предварительной проверки поступающих писем на базе ORF Administration Tool показывает что адресат который отправляет письма на адрес noreply@ekzorchik.ru находится в доверенном списки и списке белых адресов, но письма по прежнему нет в ящике.

Прямо чудеса.

Прорабатываем обновление Exchange 2010 до последнего

Задача: Установить самые последние обновления для Exchange 2010 при которых Exchange 2010 будет работать. Дело в том, что у меня сейчас версия почтового сервера Version: 14.03.0248.002, данную версию я использую на работе и как ее добиться у меня подробно описано в заметке. Мне стало интересно, а могу ли я поставить самую последнюю посредством обновления: Exchange2010-KB5000978

Итак, приступаю к проработке действий по обновлению, но делаю это в тестовой конфигурации, ни в коем случае не на боевую, пока во всяком случае.

Как сформированный документ в 1С 7.7 конвертнуть в PDF

Задача: Как в системе Windows 10 Pro настроить печать в PDF при использовании 1C 7.7, т.е. когда пользователь нажимает "Печать" выводится окно, как выглядит документ с учетом всех полей, далее предлагается окно где сохранить документ и вуаля вот он.

У меня по умолчанию всем пользователям в домене устанавливается Adobe Reader DC, клиент 1С 7.7 через GPO, но данное программное обеспечение это всего лишь обеспечивает просмотр документов, чтобы получить на выходе отправку документа в PDF ниже по шагам в данной заметке.

Исходная система:

• OS: Windows 10 Pro ([Version 10.0.18363.657])
• ISO: SW_DVD9_Win_Pro_10_1909.2_64BIT_Russian_Pro_Ent_EDU_N_MLF_X22-26638.ISO

Нюансы установки Aspia Host на Windows 7

При очередной помощи офисным сотрудникам столкнулся с нюансами где у пользователей все еще на домашнем ПК или ноутбуке установлена Windows 7, к примеру, в рамках данной заметке рассмотрю систему из образа SW_DVD5_Win_Pro_7w_SP1_64BIT_Russian_-2_MLF_X17-59431.iso

Ранее я сделал для себя переносную установку Aspia Host «Переносная установка Aspia host на Windows систему» нацеленную на свой собственный Aspia Relay + Aspia Router, установка получилась в виде запакованного 7zip (aspia.exe) архив который я положил на внешний доменный ресурс и когда мне звонят чтобы я помог им удаленно я пишу им,

Скачайте и установите http://<domain>.ru/aspia.exe, после в трее рядом с часами у Вас будет иконка, нажав на которую откроется окно где Вам нужно сообщить мне цифры

А вот у пользователей на Windows 7 Максимальная установка не проходила, выход из ситуации следующий:

Не удается проверить удостоверение шлюза удаленных рабочих столов

У нас менеджеры затеяли очередную обновочку, нам IT-отделу за два дня сказали, что на выходных нужно убрать/перенести все рабочие места обоих кабинетов куда-либо, т.к. на выходных будут менять всю офисную мебель: Столы, Стулья, Шкафы. Наш начальник IT-отдела пришел и поведал нам такую новость, вот только сказав, что помочь не может его не будет на выходных в городе, прикольно что скажешь.

Что сделал я:

• Настроил два Mikrotik CRS326-24G-2S+ (VLAN)
• Подключил их к ядру
• Проверил, что удаленка на базе Remote Desktop Gateway у всех менеджеров есть, о том, как настраивается Remote Desktop Gateway см. в заметке "Доступ к RDP через авторизацию RADIUS"

Ну да ладно, до выходных все демонтировали, в воскресенье все поставили обратно, договорились что все сотрудники, у которых есть техническая возможность будут на удаленке и тут началось.

Самое смешно оказалось, что удаленка каким-то образом у всех оказалась не настроена, переустановили компьютер, приобрели новый и все в таком духе.

На многих обнаружилось, что установленная ось — это Windows 7 Pro и при создании подключения:

Устраняем ошибку CredSSP при подключении к Server 2012 R2

Хочу разобрать, почему, когда развернута система Windows Server 2012 R2 Std из образа "SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.iso", настроена, создана еще одна административная учетная запись и при подключении по RDP (с включенной настройкой NLA) к этой системе у пользователя к примеру, на Windows 10, Server 2012 R2, Server 2016 и т.д. получается ошибка вида:

Подключение к удаленному рабочему столу (Remote Desktop Connection)

Произошла ошибка при проверке подлинности. (An authentication error has occurred.)

Указанная функция не поддерживается. (The function requested is not supported)

Удаленный компьютер: 172.33.33.117 (Remote computer: 172.33.33.117)

Причиной ошибки может быть защита от атак с использование криптографического оракула CredSSD. (This could be due to CredSSP encryption oracle remediation.)

Это значит, что у меня образ очень старый и на нем по всей видимости не хватает каких-либо обновлений, наверное, или чего-либо еще.

Взаимодействие с регистратором Dahua с Windows Server 2016

Т.к. я реализую удаленное взаимодействие с Windows системами дома через схему: SSH-туннель до vpn.ekzorchik.ru, а уже там через OpenVPN идет связь с домашним Mikrotik RB2011UiAS-2Hnd-IN, то мне порой нужно иметь Web-доступ к своему домашнем регистратору. В качестве домашней Windows системы выступает Windows Server 2016 Std которая развернута внутри боевого сервера под управлением: ((Supermicro SYS-5019S-M: Debian 10 + Proxmox 7 (установка выполнена из iso-образа), ZFS разделы, 64Gb оперативной памяти (2 модуля 378A4G43MB1-CTD)).

Мой порядок подключения к srv-home (OS: Windows Server 2016 Std) и настройки на ней подключения к домашнему регистратору Dahua DHI-NVR2108HS-8P-4KS2

Автоматически запускаемые приложения на Windows Server 2012 R2

Задача: Как отключить автоматически запускаемые приложения на Windows Server 2012 R2 Standard

Как отключить автоматически запускаемые приложения на Windows Server 2012 R2 Standard (образ: SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.ISO), таким вопросом я как-то задался, когда из бекапа восстановил систему и обнаружил, что в трее возле часов запущены некоторые программы, к примеру, Torrent Client. Просто у меня данная система используется, когда я с работы подключаюсь к домашней инфраструктуре. Как же отключить или узнать какие программы еще есть в "Автозагрузке".

Если на Windows 7/10 Pro можно просто вызвать "Диспетчер задач", то там была вкладка «Автозагрузка» и можно было видеть приложения и через правый клик выбрать (если Авторизован как Администратор или пользователь) "Отключить."

То на Windows Server 2012 R2 Std при вызове Win + R -> taskmgr.exe — просто нет вкладки Autoruns, есть только: Processes, Performance, Users, Details, Services.

Не сохраняет пароль на доступ к тестовому серверу

Теперь, когда тестовый стенд (srv-ts00-abc = 192.168.11.14) уже во всю используется помимо подрядчиков, но и офисными сотрудниками для проверки переброски из 1С 8.3 (Управление торговлей) в 1С 7.7 и наоборот, от нашего руководителя данным проектом стала поступать задача подключения

• офисных сотрудников к тестовому стенду
• Прописать им базы 1С 7.7 и 1С 8.3
• Создать учетные записи в необходимых базах

Напомню самому себе, что под тестовый стенд я создал на центральном маршрутизаторе отдельный VLAN 11, сделал заметку на этот счет себе:

• Сеть для подрядчиков посредством Mikrotik

В данной сети создал VM для SQL Server (Version: 13.0.5026.0) и VM для терминального сервера (srv-ts00-abc) и все это на базе Windows Server 2016 Std (SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso)

Ниже мой порядок предоставление доступа офисным сотрудникам к тестовому стенду:

Установка Veeam Backup and Replication Enterprise Plus on Server 2016 Standard

Хочу себе сделать пошаговую заметку по установке Veeam Backup & Replication Enterprise Plus 11.0.1.1261_20211005(712mbddr@).7z, cперва на виртуальную машину, а после как разберу все возникающие нюансы, вынесу ее на отдельную физическую систему не связанную с сетью компании, по аналогии, как сейчас работает система на Windows Server 2008 R2 Ent которая расположена в отдельном сегменте где собираются все бекапы сервисов: базы данных, бекапы сайтов, бекап сетевого оборудования и т.д.

Настройка Syncthing, как сервис в Windows

Сегодня я сделаю себе заметку целью которой будет организовать работу приложения Syncthing на Windows 10 Pro ([Version 10.0.19045.2728]), но не посредством ручного запуска exe файла, а чтобы сама операционная система, как сервис запускала приложение и обеспечивала меня функционалом обмена файлами с узлами или централизованным обеспечением содержимого с подконтрольными системами. Т.е главная система Ubuntu 22.04 Server с сервисом Syncthing (Доверительный обмен файлами через syncthing) только передает, а текущая система Windows 10 Pro только получает.

Как создать пользователя в 1С 7.7

Сейчас мне нужно понять, каким образом наш руководитель IT—отдела (по совместительству программист 1С) создает пользователей в 1С 7.7, т.к. на мой вопрос: «Вы создадите учетные записи для подрядчиков или Я», ответил, что Я. Но я этого никогда не делал, на вопрос: «А какие права», «да, ставь полные, ведь с генеральным директором все согласовано». Ну раз так, то приступаю, но как всегда все обкатываю на тестовой базе (беру бекап от 10.03.2023 на 15 часов дня) развернутой на сервере srv-db02-test (где не используется функционал "Гибкие блокировки").

• Hostname: srv-db02-test
• Folder: D:\DB\Base20231500_10032023
• Path: \\srv-db02-test\db$\Base20231500_10032023
• SQL: WorkBase20231500_10032023

Дополнение как сбросить grace period TS Windows Server 2016

Задача: Столкнулся что у меня на тестовом сервере для подрядчиков (пилят переход 1С 7.7 на 1С 8 или работу в паре) настал момент, когда Grace Period использования роли терминального сервера начал подходить к концу, оставалось около 9 дней бесплатного использования (из 120 дней полнофункционального использования).

• ISO образ из которого установлена система: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.ISO
• OS: Windows Server 2016 Std (Microsoft Windows [Version 10.0.14393])

Как всегда, сперва просили терминальный сервер для подрядчиков, а уже сейчас это сложная система с различными доступами в боевую сеть, хранилище конфигурации, доступы мобильных клиентов для отладки, но только я знаю, как оно устроено и что от чего зависит.

Для решения своей задачи я обратился к своего блогу: https://win.ekzorchik.ru где есть заметка "Как сбросить grace period TS Windows Server 2016"

но вот попытавшись на текущем месте работы проделать все по ней столкнулся:

Windows SSH Permissions for private key are too open

Хочу разобрать, а почему с Windows 10 Pro не могу подключиться к хосту Ubuntu 20.04 Server через встроенный консольный клиент ssh где вместо пароля использую ключ private key, а вот когда я использовал клиент putty то все успешно. Т.е. данная заметка альтернатива использованию "Доступ через SSH туннель с Windows в офис"

Текущая Windows 10 Pro система:

Доступ через SSH туннель с Windows в офис

Задача: Разобрать как на Windows системе безопасно подключаться извне к ресурсам компании, где в качестве точки подключения выступает "Внешняя система" с доступом только по SSH. Настроено правило на брандмауэре компании, что попасть на ресурсы компании можно только с "Внешней системы" с защитой по источнику.

Схема работы удаленного подключения будет такой:

• Пользователь (Windows) -> Внешняя система в интернете - шлюз до работы - Инфраструктура работы
• На Шлюзе компании правило проброс порта, что с внешней системы подключение по RDP на рабочую станцию сотрудника или терминальный сервер

Выглядит эта схема, так:

Доступ из вне через L2TP при использовании RADIUS

Один из моих читателей моего блога обратился ко мне с просьбой помочь ему настроить возможность подключение к Mikrotik(у) задейстовав VPN подключение, но чтобы не для каждого создавать связку логин и пароль, а аутентификация велась бы через RADIUS+Active Directory (система Windows Server 2012 R2 Standard). Раз я делал и практически внедрял для управления микротиками RADIUS, то я согласился помочь на безвоздмезной основе, да и задача интересная. Результат я предоставил тому человеку на следующий день и после благодаря моим подсказкам и наводкам где у него не получалось у него все заработало. Рад был помочь, плюс для себя подчерпнул что-то новое.

Дополнение к переносу базы без функционала Гибкие блокировки

Предыстория, если, ранее опираясь на составленную пошаговую заметку я проделывал операции по создании копии боевой базы 1С 7.7 (Folder + SQL) для нужд программистов с целью проверки той или иной задумки, то вот сегодня как я думал обычной задачи я столкнулся, что нет прав на изменение констант:

Просто не подключается клиент 1С 7.7 к базе

Тут такое дело. В компанию снова взяли программиста 1С, ну посмотрим на долго ли он и не сбежит ли, может все что в компании для него станет в тягость и не сможет вытянуть нагрузку.

Клиент 1С 7.7 (7.70.025) установлен через GPO и подключения к базам также через GPO. Но пока программист 1С входит в курс дела ему нужны тестовые базы: "Перенос базы без функционала Гибкие блокировки на другой сервер"

Подключил я значит ему тестовую базу

Программист 1С с рабочего стола запускает ярлык 1С 7.7, выбирает подключение к базе "Добавить"

• В режиме: 1С:Предприятие
• Название: test
• Путь: \\srv-db02-test\db$\Base20221200_26092022\

нажимаем ОК, ОК и у него клиент даже не запускается, ошибок на рабочей станции нет, на сервере также нет.

Я же под собой нормально подключаюсь

Принудительный доступ через IE к регистратору LTV RNE-322 02

Получилось так, позвонил начальник СБ и попросил помочь охраннику на удаленной площадке, у него почему-то перестали в браузере отображаться камеры с регистратора. Позвонил ему на мобильный и он показал, что при запуске браузер Internet Explorer (Windows 10 Pro), открытии URL ссылки на доступ к регистратору LTV RNE-322 02 он получает ошибку:

Аудит изменения состава группы Domain Admins

В рамках общей безопасности решил разобрать, как получать уведомления на почту если кто-либо каким-либо образом повысив свои права в домене добавляет другую учетную запись в группу Domain Admins или же удаляет учетную запись.

По аналогии можно сделать и для других доменных групп.

Что понадобится, для осуществления данной задачи:

• Домен (polygon.com) контроллер на базе Windows Server 2012 R2 Std (можно и выше)
• Почтовый сервер в компании, у меня пока Exchange 2010 (14.03.0248.002)
• Заметка: "Настройка исходящей почты в 1C через Exchange 2010"

На заметку: В основе данной заметки лежит заметка "Уведомление о блокировке учетной записи на почту". Вот так имея одну наработку все последующее настраивается на предыдущее, очень удобно.

Работа 1С 7.7 c FTP на внешней системе

У меня очень жесткая политика по части предоставления доступа, права только те что нужно и ни какого полный доступ. Лучше посидеть поразбирать, как что настроить чем сделать все лишь бы как. На этот раз я принялся переделывать правила на нашем шлюзе "Как обновить свежеустановленный TMG 2010", где TMG (Version 7.0.9193.575).

Но в процессе столкнулся что те кто работает с программой 1С 7.7 с обработками взаимодействующими с FTP перестали работать.

Узнаем кто в 1С 7.7 подключен в монопольном режиме

Сегодня я узнал чуть более чем вчера (как объяснить пользователю почему при подключении к базе в 1С 7.7 он получает ошибку:

«Ошибка блокировки данных.

Возможно, данные используются другой задачей.»

Начну с предыстории, у нас в конце ноября образовались подрядчики, которые часть функционала из 1С 7.7 переносят в 1С 8.3 (Управление торговлей). Для них я развернул отдельный VLAN, сеть 192.168.12.0/24. Памятка "Сеть для подрядчиков посредством Mikrotik" как я это реализовал есть на моем ресурсе. Внутри ESXi 7.0 развернул две виртуальный машины:

На заметку: обе системы не в домене, доступ к машине с ролью терминального сервера идет только с явно прописанных адресов и через "Подключение к удаленному рабочему столу" это в рамках локальной сети, а извне также, но не с дефолтным портом (3389/tcp) и с предопределенных адресов подрядчиков.