Превью контента приватного доступа

Дабы посетители знали, что есть контент заслуживающий внимания и он практичен что самое главное, а не вода, то здесь буду публиковать новости выходящих заметок в приватном доступе на текущем блоге: https://win.ekzorchik.ru

От 15.04.2024

Закрываем все сессии, все подключения к 1С 7.7

У меня перед самим собой есть технический долг задач, которые я должен разобрать дабы моя работа была на 100% оптимизирована и все нюансы решались все продуктивнее и продуктивнее. Сейчас выдалась свободное время и нужно разобрать, как при внештатной задаче от руководителя IT-отдела можно было в боевой базе связки 1C 7.7 Folder + SQL база быстро завершать соединения дабы руководитель мог зайти в режиме "Конфигуратор" и сделать/поправить нужное.

Но чтобы зайти в режиме "Конфигуратор" нужно закрыть все сессии, все подключения к базе и не лишним будет закрыть у всех клиент 1С v7.7.

На заметку: Также отдельные шаги справедливы и при использовании 1С Предприятие 8

С учетом требований выше, я покажу в шагах каким образом все осуществляется. После действий ниже технический долг закрыт.

От 15.04.2024

Окно Система заблокирована в 1С 7.7

Иногда мне звонят пользователи в организации где я сейчас работаю c вопросом, подключитесь ко мне у меня на экране какое окно со вводом пароля, что это такое.

Я уже все что происходит на работе задокумментировал со всеми скриншотами ошибок и путей их решения на слух по услышанному понимаю, что у пользователей.

Вот сейчас у пользователя на экране красуется окно запроса ввода пароля (ниже как пример):

  • Система заблокирована (введите пароль)
  • Пользователь: ОллоАлександр
от 20.03.2024

Ограничиваем доступ к DNS адресам через GPO

В сегодняшней заметке я покажу каким образом посредством доменных групповых политик можно распространить на рабочие станции сотрудников кто пользуется продуктами Adobe, Coral, Autodesk самолично составленный список DNS адресов на которые с рабочих мест идет обращение дабы отправить анонимную информацию, проверить лицензированность софта и т.д. и заблокировать. Хотя в полной мере узнать, что же конкретно передается такой цели я себе не ставил, главное, что я нашел действенный способ и уже как много лет его применяю. Моя обслуживаемая инфраструктура строится на двух домен контроллерах (srv-dc01 & srv-dc02) под управлением Windows Server 2012 R2 Std ([Version 6.3.9600])

от 19.03.2204

Доступ через SMSS исключительно одному разработчику

Задача от Куратора с нашей стороны для подрядчиков/программистов: Поставить на терминальный сервер подрядчиков оснастку SQL Management Studio дабы из-под одной учетной записи можно было подключаться к SQL серверу и развернуть свежий бекап, настроить связку SQL + 1C 7.7 (Folder) под другой SQL-записью дабы тестировать: — «Мы хотим попробовать получать остатки из 77 по SQL (Разработчик сказал, что это самый быстрый метод получения данных)».

от 13.03.2024

Нужно заблокировать домен и поддомены на ORF для Exchange 2010

Задача: заблокировать на почтовом сервере прием писем от следующего списка:*@s1.afredo.ru, *@s3.afredo.ru, *@s4.afredo.ru, *@s5.afredo.ru, *@s6.afredo.ru, *@s7.afredo.ru, *@s8.afredo.ru, *@s9.afredo.ru, *@s10.afredo.ru, *@s11.afredo.ru, ..., *@s99.afredo.ru

Было в бы конечно хорошо применить фильтр вида: *@afredo.ru и *@*.afredo.ru, но увы вот так вот просто это не работает.

У меня для защиты от СПАМ для моего Exchange 2010 (Version: 14.03.0509.000) используется отдельный инструмент в лице ORF Fusion (за подробностями, что и как прошу в заметку: "Устанавливаем и настраиваем ORF Fusion on Exchange 2010"). Ну так вот с его помощью и буду решать данную задачу, т.к. спам с выявленных доменов продолжает доставать.

Решил поставленную задачу может не совсем универсально, но все же решение как первый вариант вполне меня устраивает:

от 07.03.2024

Нюансы использования Jabra SPEAK 810 и Windows 10 Pro

В процессе использования cпикерфон для конференций Jabra SPEAK 810 который стоит на столе по центру было выявлено, что хоть и настроили сопряжение через Bluetooth с рабочей станцией (Asus E520) с которой подключен большой дисплей (Sony SNYFB03 65.0'') он уже висит на стене, а за ним рабочая станция. То периодически рабочую станцию выключают, а когда включают связь между Jabra SPEAK 810 не поднимается автоматически. Я думаю это из-за того, что от Jabra нет ответного адаптера, а связь идет со встроенным Bluetooth модулем в Asus E520.

Ниже как происходит использование данного железа при последующем задействовании приложения Zoom Desktop.

от 06.03.2024

Как установить DPM агент с консоли DPM Administrator Console на Windows 10 Pro

Задача: Нужно проработать как на рабочую станцию под управлением Windows 10 Pro установить DPM агент дабы настроить план резервного копирования делать бекап файлового расшаренного каталога. Просто в домене есть станции где по определенным причинам нельзя выносить редактируемые файлы на общий или подключаемый ресурс в целях безопасности. Ну в принципе причина не важно, есть поставленная задача какой бы абсурдной она не звучала.

от 27.02.2024

Невозможно открыть набор папок в Outlook 2016

Предыстория, мне понадобилось оформить в виде пошаговой заметки из своих наработок в одну единую, как для почтовых ящиков пользователей сделать "Архивные папки". Я включил свой боевой стенд домена @ekzorchikdom.ru, подключаюсь к Windows 10 Pro под Login: alektest, запускаю почтовый клиент Microsoft Outlook 2016 (дистрибутив: SW_DVD5_Office_Professional_Plus_2016_64Bit_Russian_MLF_X20-42453.ISO), но почтовый клиент не запускается, получаю ошибку вида:

Microsoft Outlook

Не удается запустить приложение Microsoft Outlook.

Невозможно открыть окно Outlook.

Невозможно открыть набор папок.

Файл C:\Users\alektest\AppData\Local\Microsoft\Outlook\alektest@ekzorchikdom.ru - 1.ost не является файлом данных Outlook (OST).

от 27.02.2024

Внедряем Архивные папки для Exchange 2010

Сегодня я составляю заметку как сделать чтобы у пользователей Вашего почтового сервера (домен @ekzorchikdom.ru) на базе Server 2008 R2 Ent + Exchange 2010 (уже версии Version: 14.03.0513.000) был архив куда они самостоятельно могут переносить важные письма, создавать удобную им структуру каталогов дабы в течении нескольких лет иметь доступ к ним. Почему так, а не просто хранить их в почтовом ящике, дело в том, что у нас в компании учредителями принято решение, что все письма по всей компании каждое воскресенье минут 90 дней от текущей даты все письма удаляются. Но есть и список почтовых ящиков, для которых сделано исключение.

Как это реализовал я Вы можете ознакомиться в заметках блога по подписке:

А вот для тех, кто не в исключении, я создаю PST файл где файл располагается на отдельном сетевом диске (Задействую DFS ссылку и путь принимает вид: \\polygon.local\Users\Archives)

Ниже как сделать сетевое ресурс с почтовыми архивами для пользователей.

от 06.02.2024

Скрипт резервного копирования Print Server(ов)

Когда что-то делаешь и это становится однотипным выполнением, то волей не волей задумываешься, а почему бы это не автоматизировать. Хоть как-то, пусть это будет первая версия, а уже далее с учетом полученного опыта в написании автоматизации усложнять на благо себе для решения задумки.

Сегодня на повестке дня будет задача по осуществлению создания резервной копии настроек Print Server, но я уже не буду, опираясь на ранее опубликованную заметку заходить на каждый сервер с ролью Print Server и делать экспорт всех настроек.

В текстовом редакторе Notepadd создаю скрипт, посредством которого через штатную утилиту PrintBrm.exe осуществляется, как резервное копирование, так и восстановление, но меня больше будет интересовать первое.

от 01.02.2024

И снова User account was locked out

Предыстория: от 31.01.2024 звонит начальник ITотдела, разблокируйте мне мою доменную учетную запись, а потом через минут 15 опять и так далее. Cпрашиваю не меняли ли Вы пароль в ближайшее время, ответ не менял. Как известно, пользователям не доверяю, а проверяю.

Подключаюсь к домен контроллеру (srv-dc01) через Remote Desktop Connection Manager, запускаю консоль командной строки с правами Администратора и проверяю, а когда пользователь менял пароль:

Вспоминаю, что когда-то давным-давно уже сталкивался с чем-то подобным, смотрю по своим записям и натыкаюсь на оформленную заметку «A User account was locked out через почтовый сервер». Получается ситуация один в один, но на этот раз, раз такая ситуация наблюдается только с одной учетной записью

от 18.01.2024

Единый скрипт активации Windows & Office через свой KMS

Если Вы все же решили использовать в локальной сети которую, как системный администратор поддерживаете, сервис KMS который у Вас развернут на Ubuntu 22.04 Server опираясь на заметку: "Поднимаем KMS сервер на Ubuntu 22.04", то хочу порекомендовать Вам взять за основу Online KMS Activation Script v7.0.cmd отредактировать его чтобы запускав его от имени Администратора активировать Windows и/или Office через свой KMS сервис. У меня таких скрипта два: один в локальной сети, другой на VPS системе для систем, которые работают вне локальной сети.

от 15.01.2024

Не забираются Bitrix бекапы через WinSCP

Предыстория: перед новым годом, случилось ЧП, в одной из серверных где расположен сервер бекапа куда по воскресеньям сливаются все бекапы систем встал кондиционер (ошибка FF), как оказалось после, когда приехали ремонтики: закончился фреон. Кондиционер не работает, температура поднимается и сервер выключился по перегреву. С учетом, когда заработает кондиционер, я сервер бекапов пока перенес в другую серверную, но столкнулся, что на новом сервере бекапов не отрабатывает мой скрипт по заметке "Скачиваем Bitrix бекапы с сервера за раз". Вот сейчас хочу добить почему не забираются Bitrix бекапы и чего не хватает.

от 01.12.2023

Как сменить подключение агента Drweb на другой сервер

Задача: Как сменить подключение рабочей станции с установленным агентом антивирусной защиты DrWeb на другой сервер.

Т.е. изначально у меня была VPS система размещенная на https://cloudlite.ru/, на которой была поднята централизованная часть "Dr.Web Enterprise Security Suite on Ubuntu 22.04" посредством которой я для удаленных сотрудников на офисные или рабочие ПК которые не состоят в домене производил установка Агента DrWeb дабы системы были защиты Антивирусом. Все прекрасно работало, но! От 25.11.2023 получил письмо в личный кабинет, то CloudLite в одностороннем порядке расторгает договор со всеми: Физические лица и Юридические лица и у нас есть срок до 25.12.2023 съехать от них, он закрывают данное направление, как предоставление услуг. Хорошо, начала процесс переноса всех VPS и сервисов внутри.

от 21.11.2023

Выполняем команды через DrWeb на рабочих местах

Задача: Как через Антивирус DrWEB создать задачу на завершение определенного процесса на рабочих станциях.

В прошлом году, когда у меня на работе был ESET Protect я себе под задачи системного администрирования при проведении тех или иных работ настраивал задания "Выполняем команды через ESET Agent на рабочих местах" которые вот прям сейчас выполнялись, нацеливая на рабочие станции. Было удобно, а как дела обстоят с этим если текущее антивирусное решение строится на базе Dr.Web Enterprise Security Suite.

На заметку: У Вас должна быть куплена лицензия и тогда пройдясь по моим заметкам у Вас в компании будет внедрено антивирусное решение на базе DrWeb, все как сейчас у меня.

Итак, приступим к действиям по созданию заданий, которые мне необходимы.

от 17.11.2023

Как на Honor 9X настроить почту на домен @ekzorchikdom.ru

Задача: Составить себе пошаговую инструкцию, какие действия нужно сделать на смартфоне Honor 9X (на любом смартфоне с осью Android) дабы настроить подключение к почтовому ящику с учетом дополнений, которые я внес, разбирая почему на смартфонах iphone не отображаются письма через IMAP в заметке: "Не читаются письма на IPHONE(ах) подключенных по IMAP". Просто у меня все что касательно моего должно быть под инструкциями, да и к тому же на своих проектах я обкатываю настройки дабы перенести их на боевое.

от 16.11.2023

Не читаются письма на IPHONE(ах) подключенных по IMAP

Итак, проблема…

В один момент отследить, когда именно исключительно на смартфонах IPHONE перестали приниматься письма от рабочего Exchange, т.е. регистрация аккаунта проходит успешно (Ошибок нет), но вот когда с рабочего домена отправляешь письмо оно приходит на iphone, а последующие письма приходят, уведомление на iphone есть что письмо пришло, но при попытке зайти в письмо я вижу только первое. Все последующие письма от любых сотрудников все также приходят, но на iphone(ах) как бы вкладываются в первое.

Да ситуация странная, сперва было по записям просмотрено что менялось, включались логи IMAP опираясь на заметку "Логи протокола IMAP на Exchange 2010", но там ошибок нет, а их и нет, только что именно смартфоны IPHONE не видят письма, а смартфоны с Android видят, отвечают, пересылают.

Поиск в интернете ни к чему не привел, я понял что это мой частный случай.

Итак, воспроизводим проблему

  • есть почтовый сервер @ekzorchikdom.ru
  • есть iphone 14 (IOS 17.1.1), до этого был IOS 16.7.2, обновились на самую последнюю версию, думал проблема с версией. Куплен нам в отдел для решения проблемы.
  • iphone 11 (IOS 14.7.1) смартфон генерального директора
  • iphone SE (6S) (version 14.4.2) смартфон одного из внештатных специалистов по видеонаблюдению
  • есть почтовый ящик alektest@ekzorchikdom.ru
от 16.11.2023

Не удаляется база публичных папок на Exchange 2010

Столкнулся на днях что, когда ввел в эксплуатацию еще один почтовый сервер на базе Exchange 2010 версии 14.03.0248.002 с ролью Mailbox, перенес на него все системные почтовые ящики, создал почтовые базы, перенес ящики пользователей в новые базы на новый сервер srv-mail08-mb приступил к процедуре удаления старого: srv-mail05-mb. При удалении базы под каталог публичных папок получил ошибку

Не могу удалить базу публичных папок

The public folder database 'PuiblicDB01_NEW' cannot be deleted.

от 08.11.2023

Действия по смене IP на Exchange 2010

Мне в скором времени предстоит изменить внутренний IP адрес на почтовом сервере Exchange 2010 (Version: 14.03.0248.002) и хотелось бы подготовиться к данной процедуре не абы второпях это делать, а как всегда опираясь на свою заметку сделать от и до с минимум моментов которые я не знаю, а тут у меня под рукой есть свой собственный почтовый действующий сервер в моем домене polygon.local. Для чего это нужно, причины у могут быть разными, к примеру почтовый сервер это VM под Hyper-V и нужно вынести ее на ESXi и в рамках единой адресации расположить все сервера в отдельной сети. Т.е. VLAN 4 — это пользовательские станции, VLAN 90 — это серверные системы, так обычно бывает, когда компания растет и хочется все привести к понятной структуре, а не городить все системы в /24 маске.

от 26.10.2023

Обновляем CA сертификат в домене

Предыстория: у меня для нужд сервиса Remote Desktop Gateway и Exchange 2010 в домене polygon.local развернут центр сертификации опираясь на заметку "Разворачиваем Certificate Authority на Server 2012 R2".

Потом применена заметка:

ну так вот, в боевой среде корневой сертификат заканчивается (смотрю на srv-dc01): mmc - File - Add/Remove Snap-in… -

Available snap-ins: выбираю Certificates и нажимаю Add

  • This snap-in will always manage certificates for: выбираю Computer account

затем разворачиваю: Console Root - Certificates (Local Computer) - Trusted Root Certification Authorities - Certificates — вижу FIRMA CA заканчивается 14.12.2023

а в моем домене polygon.local сертификат srv-dc01-ca я сделал Valid from: 27.09.2023 to 27.09.2028, т.е. я его создавал на 5 лет.

от 26.10.2023

Логи протокола IMAP на Exchange 2010

Сейчас задумка следующая, хочу включить логи для протокола IMAP и посмотреть, что происходит, когда почтовый клиент подключается к почтовому серверу Exchange 2010 (Version: 14.03.0248.002) моего домена @ekzorchikdom.ru

от 26.10.2023

Настраиваем IMAP на Exchange 2010

Сегодня у меня будет заметка посвященная, как на моем почтовом сервере Exchange 2010 (Version: 14.03.0248.002) сделать так, чтобы можно было подключаться к домену @ekzorchikdom.ru посредством протокола IMAP (993/tcp) через настроенные почтовые клиенты. К примеру, у нас у сотрудников настроена почта на смартфоне дабы оперативно решать возникающие вопросы или быть в курсе происходящего. Замечу, что мой почтовый сервер на 100% идентичен офисному почтовому серверу, так я прорабатываю настройки и если все хорошо, то переношу их на боевое использование.

Приступим:

от 16.10.2023

Как запретить по EHLO выдавать чувствительную информацию

Я хочу при чтобы при обращении к моем почтовому серверу Exchange 2010 (Version: 14.03.0248.002) из вне, где в качестве домена использую @ekzorchikdom.ru если я делаю проверку работоспособности по порту 25/tcp через команду telnet mail.ekzorchikdom.ru 25 первое 220 я теперь получаю mail.ekzorchikdom.ru. Это я сделал в заметке: "Удаляем заголовки локального сервера Exchange 2010", далее набираю EHLO mail и в ответ получаю 250-srv-mail01-cas.polygon.local Hello [79.171.173.XXX]

от 16.10.2023

Удаляем заголовки локального сервера Exchange 2010

Задумка: Хочу проработать момент, дабы отправляемая почта из локальной сети через Exchange 2010 (Version: 14.03.0248.002) во вне, где в качестве домена использую @ekzorchikdom.ru из писем удалялись заголовки сообщений показывающие какой у меня, используется почтовый сервер и внутренний IPадрес почтового сервера.

Вроде такое можно сделать, просто, когда анализировал заголовки писем для самообразования, то обращал внимание что в некоторых значится какой сервер используется, а в некоторых нет и другая чувствительная информация, которая для получателя ни к чему. Т.к. у меня Exchange 2010 за NAT, в организации где я системный администратор тоже Exchange за NAT. Так что нужно проработать как усложнить выявление информации.

от 17.10.2023

Как установить Exchange 2016 на Server 2016

Поставил себе задачу, хочу проработать как развернуть почтовый сервер для своего домена @ekzorchikdom.ru, но теперь в качестве почтового сервера выступит не Exchange 2010, а Exchange 2016. Просто это оказалось интересным сделать самим от и до с разбором всех нюансов, все как я хочу и делаю на текущем месте работы в свободное время. Это задача, а в конечном итоге будет цель: перевод инфраструктуры Exchange 2010 на Exchange 2016, Exchange 2019 в текущей организации мощности не потянут, да и объемы работы таких нет.

Ну что ж приступим, как всегда все обкатываем в тестовых условиях где в роли гипервизора выступает Debian 10 + Proxmox 6.4-13 на котором развернуты виртуальные машины. Сейчас я буду устанавливать Exchange 2016 и покажу, как данный процесс проходит.

от 11.10.2023

Как добавить DKIM подпись Exchange 2010

Продолжаю свое изучение работы с почтовым сервером на базе Exchange 2010 (Version: 14.03.0248.002). В этой заметке я разберу, как настроить SPF, DKIM, DMARC записи для своего почтового сервера домена @ekzorchikdom.ru

от 10.10.2023

Устанавливаем и настраиваем ORF Fusion on Exchange 2010

Сегодня я покажу, каким образом можно установить и настроить систему фильтрации спама для Microsoft Exchange Server имя ему ORF Fusion. Я данное программное обеспечение применяю, как на боевом почтовом сервере, так и на применю к своему, ранее на блоге я показал от и до, как разворачивается почтовый сервер Exchange 2010 (Version: 14.03.0248.002). Ведь нужно же с чего-то начинать, у себя я собрал рабочий почтовый сервер и уже опираясь на заметки смогу развернуть в любой другой организации. Никто не запрещает также использовать Proxmox Mail Gateway ("Пограничный шлюз Proxmox Mail Gateway для Exchange 2010"), подходит также.

Итак, продукт ORF Fusion использует такие технологии многократной фильтрации, как черные списки DNS, SURBL-проверки, серые списки и многие другие для идентификации спама и другого вида нежелательной электронной почты. ORF Fusion предлагает эффективный, настраиваемый спам-фильтр, особенностью которого является способность использовать DNS— и SURBL-черные списки – онлайн-базы данных различных спам-характеристик. Большинство этих черных списков, подобно SpamCop или DSBL, обновляются почти каждую секунду. Это гарантирует, что ORF Enterprise Edition может блокировать новые спам-атаки.

Предварительные действия:

Этап №1: "Связываем Wireguard на Mikrotik 7.11.2 и VPS в Беларуссии"

Этап №2: "Поднимаем почтовый сервер Exchange 2010 для домена ekzorchikdom.ru"

Этап №3: "Настройка Exchange 2010 на домен ekzorchikdom.ru"

Отлично, теперь переходим к сути данной заметки:

от 09.10.2023

Настройка Exchange 2010 на домен ekzorchikdom.ru

Так в прошлой заметке ("Поднимаем почтовый сервер Exchange 2010 для домена ekzorchikdom.ru") я все подготовил прежде чем настраивать почтовый сервер Exchange 2010 (Version: 14.03.0248.002), а сейчас будем его настраивать на работу через домен ekzorchikdom.ru от и до, и с нюансами, которые у меня возникли и как я их решал.

Настройка Exchange 2010 на домен ekzorchikdom.ru

Как распространить сертификат CA через GPO

Задача: После того, как в домене развернули Certificate Authority опираясь на ранее опубликованную заметку "Разворачиваем Certificate Authority на Server 2012 R2" нужно распространить на все рабочие Windows системы CA сертификат. ОН необходим будет, когда будет к примеру почтовый сервер и клиенты будут запускать Microsoft Outlook.

Стенд:

srv-dc01.polygon.local

  • OS: Windows Server 2012 R2 Standard
  • ISO: SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.ISO
  • Roles: AD,DNS,DHCP,CA

Приступим:

от 27.09.2023

Как на Server 2008 R2 Ent запустить утилиту wacs.exe

Дело в том, что у меня получилось самим развернуть действующий почтовый сервер на базе Exchange 2010 (никогда в боевом окружении этого не делал, обычно все было уже до меня, обычно только поддерживал) и тут я начал прорабатывать каждую настройку, как сделано в организации где я работают, так и все что мне кажется интересным. В одном из шагов установки для доступа из вне мне нужен сертификат при обращении на URL https://WAN_DNS_ADDRESS/owa и вот чтобы сертификат был я его получают через Let's Encrypt. Когда просто качал пакет wacs и пытался его запустить получал ошибку. Значит нужно проработать как на Windows Server 2008 R2 Ent запускать утилиту wacs.exe, т.е. какие действия после установки OS из образа (SW_DVD5_Windows_Svr_DC_EE_SE_Web_2008_R2_64Bit_English_w_SP1_MLF_X17-22580.ISO) и установленной роли CAS нужно сделать.

от 19.09.2023

Нюансы установки Wireguard клиента на Server 2008 R2

Задача: Разобрать каким образом и что нужно дабы на Windows Server 2008 R2 Enterprise/Standard установить Wireguard клиент.

Для чего такая задача? Хочу с ее помощью разобрать каким образом разворачивается почтовый сервер Exchange различные релизы, начиная от Exchange 2010 до Exchange последних версий. Просто у меня в обслуживании есть Exchange 2010 и его нужно переносить, обновлять, но так как я никогда не разворачивал с нуля да чтобы еще и работал на прием и отправку нужно подготовиться. Да и интересно это. Поэтому образовалась данная заметка, как первый этап, т.к. у меня для тестов нет постоянного IP, а дабы получить его я задействую VPN.

от 18.09.2023

Как перенести Ubuntu 18.04 с Hyper-V на ESXi 7.0

Задача: Мне для практических нужд нужно проработать как перенести Ubuntu 18.04 Server развернутую на Hyper-V (OS: Windows Server 2012 R2 Standard) в ESXi-7.0U3b-18905247-standard (VMware, Inc.) нового сервера "Сервер Intel в сборе"

srv-virtual01

  • OS: Windows Server 2012 R2 Standard
  • Motherboard: S5000VSA
  • RAM: 20,0 GB DDR2 FB-DIMM

HDD: RAID 1

  • Slot 0: SAS ST3146356SS (146Gb)
  • Slot 1: SAS ST3146356SS (146Gb)

HDD: RAID 6

  • Slot 2: SAS ST3300657SS (300Gb)
  • Slot 3: SAS ST3300657SS (300Gb)
  • Slot 4: SAS ST3300657SS (300Gb)
  • Slot 5: SAS ST3300657SS (300Gb)

(Сервер устарел)

от 01.09.2023

Выполнить ConfigureRemotingForAnsible.ps1 через GPO

Задача: Хочу приобщиться к Автоматизированному управлению Windows системами через Ansible на Ubuntu 22.04 Server — это как единый инструмент быстрой настройки/подстройки доменных систем коим я его вижу.

Но сперва нужно на всех рабочих станция выполнить скрипт ConfigureRemotingForAnsible.ps1 посредством которого разрешится подключение с управляющей системы Ubuntu 22.04 Server + Ansible и выполнение PlayBook которые под свои задачи я буду применять. К примеру распространение nethasp.ini с учетом принадлежности рабочего места: Если Бухгалтерия, то он конфигурационный файл nethasp.ini, есть те, кто работают с конфигурацией "Управление торговлей", то другой nethasp.ini.

Для меня это актуально, так что задачу я себе придумал, буду реализовывать. Да и свободное время на самообразование и улучшение своего статуса, как специалиста нужно поддерживать, а еще завязывать все на себя.

от 29.08.2023

Проработать установку JAVA JRE через GPO

Хочу, чтобы при первоначальной подготовке рабочего места или разом у меня в домене через групповые политики производилась установка/обновление пакета JAVA JRE на рабочих местах, т.е. вынести еще одно действие на автоматизацию, тем самым исключить ручной труд. Заметка разобрана на боевом применение в домене polygon.local на базе Windows Server 2012 R2 Standard.

от 24.08.2023

Бекап SQL базы по сети

В сегодняшней заметке я покажу, каким образом я ввел в эксплуатацию задумки по организации бекапа SQL баз, т.е. не просто бекап встроенными средствами через SQL Management Studio, а далее Maintenance Plan на этот же сервер, но, и чтобы был бекап за этот день и на другом месте и мне не приходилось вручную их перемещать. По-сути это бекап sql баз по сети.

Сперва задумка была применить ее к серверу где располагается база 1С 7.7 (т.е. 1С 7.7 + (folder + SQL). Если по части отдельного резервного копирования бекапов рабочего каталога folder я реализовал, об этом можно почитать в моей заметке "Бекап бекапа каталога 1С 7.7". По прошествии уже 14 дней данная наработка мне пригодилась, когда при запланированных работах с сервером srv-db02 он не поднимался, но я вспомнил что у меня есть на всякий случай резервная копия на отдельной системе, тут я выдохнул и занялся реанимацией старого сервера. Все прошло успешно.

Сейчас буду разбирать, как настроить бекап SQL баз по сети на отдельную систему в системе.

от 17.08.2023

Настраиваем https для URL certsrv

В прошлой заметке "Разворачиваем Certificate Authority на Server 2012 R2" я развернул Certificate Authority, а сейчас я разберу, как сделать чтобы доступ к CA был не http://srv-dc01/certsrv/, а вида https://srv-dc01/certsrv.

и вижу информационное окно

Для запроса сертификата нужно чтобы доступ к certsrv был через https

от 16.08.2023

The permissions on the certificate template

Задача: Нужно дать возможность использовать шаблон сертификата на создание запроса

В прошлой заметке "Разворачиваем Certificate Authority на Server 2012 R2" я развернул Certificate Authority, а сейчас у меня цель решить, каким же образом выдаются права на доступ к шаблону при создании запроса на сертификат. Просто я решил внедрить использование сертификатов в домене. А значит для одной заметки делаю запрос, но не могу задействовать шаблон.

Что я делаю, что получаю ошибку ниже

При создании запроса на сертификат получаю ошибку нет прав на шаблон

"The permissions on the certificate template do not allow the current user to enroll for this type of certificate. You do not have permission to request this type of certificate."

от 16.08.2023

Разворачиваем Certificate Authority на Server 2012 R2

Задача: Развернуть Центр сертификации (Certificate Authority) на Windows Server 2012 R2 в домене polygon.local

Для чего это нужно? Я хочу получить возможность создания сертификатов для внутренних сервисов домена с целью подтверждения подлинности, к примеру, для Remote Desktop Gateway, к примеру, для обращения к IIS сервиса не по http, а по https.

от 10.08.2023

Бекап бекапа каталога 1С 7.7

Задача: Хочу помимо основного бекапа каталога 1С 7.7 (у меня работа 1С 7.7 строится на связке Folder + SQL) делать/копировать бекап еще на другой сервер.

Ранее, когда я пришел в текущую организацию задался целью все что сделано и не сделано в инфраструктуре переделать как должно быть, чтобы не было мест, которые мне не известны. Только так можно отвечать за что-то и поддерживать. Да и тем более только я один заинтересован чтобы все работало по best practices.

к примеру организовал резервное копирование каталога 1С 7.7 — см. заметку "Скрипт для бекапа 1C 7.7 Folder"

составленный скрипт успешно работает уже более 2 лет, а вот теперь как выдалась свободная минута решил, а почему бы не делать бекап бекапа, просто надоело это делать вручную по воскресеньям (за это платят чтобы я каждую неделю проверял все системы и собирал со всех систем бекапы и размещал их в другой сети, системе где доступ к ним имею только Я).

Ниже мой план решения поставленной самому себе задачи:

от 04.07.2023

Ручная активация Windows LTSB через KMS сервис на Ubuntu 22.04 Server

Одно время я на работе думал что если всем установить на компьютеры Windows 10 Корпоративная 2016 с долгосрочным обслуживанием и стандартизировать все установленное ПО, то не будет каких либо проблем, как же я ошибался, начались на нескольких ПК проблема с подсистемой видеодрайвера, то не хотели вставать обновления то программы, путем анализа выявил что всему виной в моем случаем этот образ SW_DVD5_WIN_ENT_LTSB_2016_64BIT_Russian_MLF_X21-07471.iso ([Version 10.0.14393]), после большую часть систем перебил на образ: SW_DVD9_Win_Pro_10_1909.2_64BIT_Russian_Pro_Ent_EDU_N_MLF_X22-26638.iso и проблемы прекратились. Все стало стандартизировано, но есть но, несколько систем все также остались на LTSB дистрибутиве и вроде как все работает и проблем нет, а вот как активировать данные системы, вспомнил что развернул недавно KMS на Ubuntu 22.04 (Поднимаем KMS сервер на Ubuntu 22.04), поставил задачу разобрать как активировать.

от 03.07.2023

Как сделать бекап самого Maintenance Plan

Задача: Как сделать бекап самого Maintenance Plan

Т.е. когда в эксплуатацию будет вводиться точно такая же связка сервера с базой чтобы не каждый раз создать план обслуживания SQL базы, а просто взять и импортировать уже имеющийся план именно от этой версии.

Странно почему я этого раньше не делал, но все меняется, с учетом опыта и возникающих задач приходится учиться делать то что раньше не нужно было.

от 28.06.2023

COM-соединение с агентов сервера не видит comctrl

У нас появился в штате еще один программист и постоянно идет взаимодействие с подрядчиками, которые как я и говорил ранее пилят взаимодействие 1С 7.7 и 1С 8.3 (Управление торговлей) и все это выливается в то что каждый день после работы в районе 21 часов он выполняет обновление конфигурации в боевой базе, когда все части кода проработаны. Ну так вот чтобы ему завершать сеансы пользователей, специально для него я сделал функционал завершения сеансов с базой 1С 8.3 (см заметку "Как завершить сеансы с базой 1С 8.3"). Но все бы хорошо, но есть всегда одно, но, именно у него, когда он действует по отправленной инструкции в Telegram:

от 21.06.2023

Порядок перехода с ESET Antivirus на DrWEB Antivirus

Задача: Проработать каким образом на рабочих местах в компании будет производится переход на новый антивирус с использования ESET Endpoint Antivirus на новый DrWeb Antivirus, когда действующая лицензия истечет. Истекает 26/07/2023, сейчас у меня есть время проработать/смоделировать многие моменты и уже применяя на боевом и множестве рабочих станций по максимуму минимизировать процесс дабы офисные пользователи не заметили что-либо. Кстати этого я уже добился. Ниже шаги что нужно сделать в обоих системах ESET & DrWeb, Active Directory и т.д.

от 21.06.2023

Устанавливаем Агент Dr.Web через GPO

Наконец таки настал тот момент когда я подписчикам блога https://win.ekzorchik.ru хочу показать, каким образом с учетом всех заметок выше относящихся к развертыванию Антивирусного решения на базе Dr.Web производится автоматизированная установка Агента Dr.Web на рабочие места под управлением Windows и уже с учетом профиля, группы идет доустановка необходимых компонентов, тем самым станция становится на защиту. И вот все это благодаря слаженному механизму моих заметок от и до. Агент на рабочий станции домена я будут устанавливать через групповые политики домена.

от 20.06.2023

Конфигурируем Сервер Dr.Web

Мы постепенно в заметках развертывания антивирусного решения на базе Dr.Web Enterprise Security Suite подходим к самому интересному, а именно, а как же все-таки устанавливает агент будь это в ручном режиме или автоматизированному, т.е. при использовании доменной инфраструктуры (через применение файла ответов). Все разобранная информация собиралась на практическом опыте по крупицам путем чтения документации, практическом применении и выводах что и, как и в какой последовательности. Сейчас я покажу, что нужно сделать дабы подготовить серверную часть Dr.Web на которую будут самостоятельно подвязываться системы с Windows операционной системой…

от 19.06.2023

Настраиваю вход в консоль Dr.Web через Active Directory

Сегодня речь пойдем, как интегрировать центральную консоль Dr.Web в Active Directory, т.е. я хочу получить возможность авторизовываться в консоли Dr.Web, как задействуя локальную авторизацию, так и доменную. Хотя, когда использовал(ую) ESET Protect я таким не заморачивался и считаю, что такая система, как антивирусная защита должна строиться отдельно. Здесь же я просто решил заморочиться и разобрать, просто или все же есть немыслимое количество действий для реализации задуменного.

Чтобы это реализовать и будет данная пошаговая заметка.

от 19.06.2023

Формируем собственные репозитарии Dr.Web

Как и говорил, публикую для себя пошаговые действия по развертыванию Dr. Web Enterprise Security Suite, сегодня речь пойдет на тему формирования собственного каталога программного обеспечения доступного в локальной сети через браузер дабы, используя лицензионный ключ произвести с учетом купленного только тот набор программ, которые изначально были заложены в ТЗ. Т.е. при открытии браузером ссылки вида: https://srv-drweb.polygon.local/install будет софт:

Агент Dr.Web для Active Directory

Утилита для модификации схемы Active Directory

фaйл drwinst.exe

и т.д.

Предварительные действия:

от 16.06.2023

Как установить Dr.Web Enterprise Security Suite on Server 2016

Предыстория такова, начиная с того факта как я начал работать в текущей компании всегда использовалось антивирусное решение на базе ESET, была 5 версия, с 2022 года по 2023 (середину лета) используем ESET Protect который я также успешно проработал в заметках:

Как видите работа была сделана громадной, все работает, отлавливает, но как всегда есть «НО». Т.к. в виду санкций по отношению к России, часть поставщиков ушли с российского рынка, купить/продлить лицензию нельзя. Поэтому я выступил инициатором в приобретении антивирусного решения на базе Dr.Web Enterprise Security Suite. Закупили лицензии.

Чтобы лучше понять, как настраивается я поднял стенд и все также, как и с ESET проработал, узнал много нового и получается готов к переводу всей инфраструктуры на новое антивирусное решение. Поэтому начинаю цикл пошаговых заметок по внедрению Dr. Web Enterprise Security Suite.

от 16.06.2023

Как завершить сеансы с базой 1С 8.3

Повадились у нас разработчики 1С 8.3 (Управление торговлей) дорабатывать функционал вместе с подрядчиками, а значит, когда что-то допиливают и обкатывать на тестовой то после согласовывают задачу на обновление конфигурации уже боевой базы. Это обычно проходит после 21.00, но вот в чем загвоздка, вроде все обговорили, все в курсе, но как показывает практика даже руководителя сидят в базе не отключаюсь и как прикажете обновляться. Поэтому пишут в общий чат Telegram (я волей не волей состою там) с просьбой:

ekzorchik, закрой все подключения к базе UT09052023, а то я не могу обновить конфигурацию находясь в "Конфигураторе"

правда Я обычно возле компьютера, а периодически мониторю что пишут мне в Telegram, но уже который месяц это продолжается, меня это стало задалбывать, все же это функционал выкидывать пользователей, а не каждый раз прибегать ко мне чтобы я подключился на сервер srv-db04, открыл оснастку "Администрирование серверов 1С Предприятия x86-64" перешел в нужную "Информационную базу" - "Сеансы" — выделил всех за исключением программиста который подключен в режиме "Конфигуратор" и через правый клик мышью и выбрал Delete, отрапортовал в Telegram что "выкинул" и после увидел в чате:

> ekzorchik: выкинул >

Владислав Рогов: Спасибо

Владислав Рогов: УТ рабочая обновлена

> ekzorchik: а разве через конф нельзя никак всех выбить, завершить сессии

> Владислав Рогов: ekzorchik, если бы мог, то не обращался, если кто-то из коллег знает тайные вещи, поделитесь

Как не программист я решил, что нужно найти способ чтобы программисты делали это сами не прибегая каждый раз ко мне, но без доступа к самому серверу по RDP, ибо не фиг. Так хоть за систему отвечаю минимизирую кто имеет доступ.

Приступаю к решению поставленной задачи:

от 13.06.2023

Уведомление о событиях через iRedMail на SQL Server 2016

Задача: Настроить уведомления на SQL Server 13.0.5026.0 при использовании почтового сервера iRedMail 1.6.2 on Ubuntu 22.04

Я хочу проработать заметку, как на Server 2016 Standard при установленном SQL Server 2016 (13.0.5026.0) настроить уведомление на почту при использовании почтового сервера на базе Ubuntu 22.04 + iRedMail 1.6.2, возможно столкнусь с какими-либо трудностями т.к. до этого такого не делал. Получение уведомлений важно при построении планов обслуживания дабы не подключаться каждый раз к SQL Server и не смотреть все логи, а таким образом получать только ту информацию, которая необходима по части выполняемых работ.

В заметке будет задействовано:

Виртуальная машина с установленной Ubuntu 22.04 Server + iRedMail 1.6.2 (почтовый сервер) + установленный wireguard клиент который связывается в доменным именем mail.ekzorchik.com, а уже на той системе которая во вне поднят wireguard сервер и через проброс порта идет переброска портов: 25, 443, 465, 993. О том, как это сделано у меня Вы можете посмотреть в заметке: "iRedmail 1.6.2 на Ubuntu 22.04 через Wireguard туннель"

На тестовом полигоне под управлением Debian 10 + Proxmox 6.4-13 создана виртуальная машина с осью Windows Server 2016 Standard и развернут SQL Server версии 13.0.5026.0. О том, как это сделано у меня Вы можете посмотреть в заметке: "Порядок поднятия SQL (srv-db01) как на работе"

 

от 06.06.2023

Чистка сеансовых данных и кеша 1С 8.3

После рабочего дня увидел в общей группе Telegram которая состоит из подрядчиков 1С 8.3 (8.3.18.1957) , некоторых наших программистов и куратора проекта задание, которое ждет меня в Redmine с темой "Очистка КЭШ" на сервере где установлена тестовая база UTTEST также требуется всем, кто взаимодействует с данной базой прописать в настройках клиента 1С 8.3 ключ /ClearCache.

Т.е. я прихожу на работу довольно таки рано, то решил совместить свое время с решение данной задачи.

Предварительные знания:

от 05.06.2023

Как расширить LUN с почтовыми архивами без отключения LUN

Задача: Есть LUN который подключен к Windows Server 2012 R2 Std, после данный LUN отформатирован как файловая система NTFS и смонтирован как еще один логический диск. На данном диске располагается каталог доступный только пользователями прошедшим проверку Authentication Users и у каждого есть своя папка с созданным PST файлом который подключен пользователю и в него он переносит только те письма, которые ему нужны на долговременное время. Пользователи уведомлены, что по достижению архив равным 50Gb их архив просто не откроется и это будет их проблемы, а не мои.

Исходные данные:

  • Сетевое хранилище ReadyNAS 2120 (v6.10.2)
    • http://nas01
    • Login: admin
    • Pass: password
  • OS: Windows Server 2012 R2 Std

Предварительные действия или заметки по сетевому хранилищу на текущий момент:

оказывается, я такое уже делал ниже заметка:

Но у меня ситуация в следующем, на данном LUN располагается сетевой каталог где каждый из пользователей имеет свою персонифицированную папку в которой располагается Архив почты, т.к. у меня сотрудники ограничены ящиками от 512Mb до 4Gb в зависимости от должности. А то как показывает практика сколько не выделишь все будет использовано.

Ну так вот, сейчас LUN под почтовые архивы имеет размер 300Gb

Как показал тест на одном из LUN что не обязательно отключать LUN от сервера дабы увеличить место:

от 31.05.2023

Резервная копия и восстановление шлюза на базе TMG

У меня на работе до сих по используется шлюз (TMG Version: 7.0.9193.575) для выхода в интернет на базе обычного компьютера с двумя сетевыми картами (одна — это выход в интернет, вторая — сеть между данным шлюзом и маршрутизатором Mikrotik RB1100AHx4 Dude Edition на котором созданы VLAN, правила доступа, приоритизация трафика, маршруты, тестовые сети). Т.к. я получается только один на работе заинтересован чтобы все работало (зарплата капает, т.к. все настроено и работает, все ошибки задокумментированы и инфраструктура улучшается), то мне в задачу по резервному копированию захотелось добавить процесс быстрого восстановление на всякий случай шлюза. Странно что я еще этого не сделал, но не важно. Сперва разбираю весь процесс резервного копирования и восстановления на примере тестового окружения, после перенесу все на боевое.

от 29.05.2023

Подключение к опубликованной базе через VPN с Android клиента

Задача: Наш уже можно так сказать внештатный программист, который обслуживает/разрабатывает функционал для склада по части 1С 8.3 Управление торговлей, редакция 11 (11.4.13.227) не так чтобы часто находится на складе с нашим экспертом по складской логистике, он все же удаленный сотрудник. Офис находится в Самаре и когда явно что-то нужно то его отправляют в командировку к нам и уже на месте идет работа. Но порой ему не нужно быть у нас так часто как, наверное, хотелось бы нашему руководству, программист — это такая единица, которой суждено быть на удаленке.

От программиста поступила задача, можно ли ему как-то сделать дабы он мог со своего личного АТОЛ SmartPro подключаться, как к тестовому серверу (где работают подрядчики переписывающие или настраивающее сопряжение 1С 7.7 и 1С 8.3) так и к боевому серверу в части приложения под Android к опубликованной информационной базе.

Сев и поразмышляв как этого можно добиться, первое что приходит — это сделать банальный проброс порта с адреса источника организации где работает программист, либо же сделать VPN доступ явно к указанным серверам:

от 29.05.2023

Не открывается Launch remote console у виртуальной машины

Текущая система: Windows 10 Pro (Version 10.0.18363.657), запускаю браузер Google Chrome (версия браузера на момент написания заметки: 113.0.5672.127).

Открываю URL https://srv-esxi02 (у меня это ESXi v6.7.0 (Build 8169922) — авторизуюсь — перехожу в Virtual Machinesперехожу в любую виртуальную машину, затем нажимаю Console - Launch remote console и должно открыться окно с консолью виртуальной машины, но оно даже не запускается/не скачивается. А мне такой функционал нужен (т.е. до этого работало)

Ниже порядок решения:

от 26.05.2023

Как опубликовать еще одну базу 1С не перезагружая IIS

Поступила задача, ну точнее в Telegram чате где общаются программисты 1С 8.3 проскользнула тема, что один из наших программистов не может произвести связку 1С 8 с 1С 7 через URL. Путем вопросов что он конкретно хочет получить, а не просто присылается скриншот в чат, мол не могу подключиться, как тестировать и все в таком духе. Выяснил, что ему нужно также, как и для боевой базы произвести публикацию своей тестовой дабы его обработки можно было сперва оттестировать, а потом уже переносить на боевое вовремя после работы.

У меня все разнесено

srv-db04.polygon.local - Здесь "Консоль 1С" и опубликованы базы, + поднят IIS

  • OS: Windows Server 2016 Standard
  • ISO: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso

srv-db03.polygon.local - Здесь у меня SQL Server 13.0.5026.0 где располагается боевая база

  • OS: Windows Server 2016 Standard
  • ISO: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso

srv-db03-test.polygon.local - Здесь у меня SQL Server 13.0.5026.0 где располагаются тестовые базы для разработчиков 1С 8.3

  • OS: Windows Server 2016 Standard
  • ISO: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso

Боевая база опубликована и в процессе как это делалось была составлена себе пошаговая заметка: "Опубликовать тестовую базу 1C через Web с использованием IIS"

Итак, первым делом обращаюсь к своей заметке, т.к. я помню, что это делал Я, никто другой не захотел вникать как это делается.

Все что нужно я вспомнил и приступаю.

Есть тестовая база: UT09052023 и ее нужно опубликовать и чтобы все кто работают с боевой базой даже не почувствовали что вносятся изменения.

от 25.05.2023

При активации Windows 7 ошибка 0xC004F035

Задача: Разобраться почему не активируется Windows 7 Pro на ноутбуке Lenovo IdeaPad S210

Предыстория, раньше в отделе IT был ноутбук Lenovo IdeaPad S210 (Intel Pentium CPU 2117U @ 1.80 GHz (2cores), 4Gb RAM) который я использовал как мобильный помощник при настройке сетевого оборудования на месте, поиск информации если не рядом с рабочим местом, в общем все что делает настоящий системный администратор, находясь один где-либо. Ну да ладно. Только в ноутбуке был обычный жесткий диск (HDD) и его стало не хватать/умирал, решил заменить на SSD (Samsung SSD 870 EVO SATA 2.5 on 250Gb). Разобрал ноутбук, заменил диск. В качестве рабочей системы решил остановиться на Windows 7 Pro. В качестве установщика ОС на помощь пришел мой Zalman VE500 (Dual режим), а дистрибутив: SW_DVD5_Win_Pro_7w_SP1_64BIT_Russian_-2_MLF_X17-59431.iso

При активации KMS ключом столкнулся с ошибкой:

Активация Windows(R) 7, Professional edition (b92e9980-b9d5-4821-9c94-140f632f63

12) ...

Ошибка: 0xC004F035 Служба лицензирования программного обеспечения сообщила, что

на данном компьютере не удалось выполнить активацию с помощью ключа многократной

установки. При использовании корпоративных лицензий обновление можно выполнить

только из уполномоченной операционной системы. Обратитесь к системному администратору или воспользуйтесь ключом другого типа

Ниже шаги и утилиты для решения данной проблемы…

от 24.05.2023

Удаленная помощь программистов без AnyDesk

Есть у нас в компании программист специализирующийся на разработке/сопряжении различных торговых площадок в рабочую базу под управлением 1С 7.7 (Folder + SQL). И порой ему для оперативного понимания что курирующий человек по торговым площадкам делает, объясняет, что нужно и как он себе это видит они оба в паре один на удаленке другой в офисе решают производственные запросы. А мне постоянно пишут, запусти пользователю AnyDesk, введи логин и пароль на повышение прав — это здорово отнимает время. Я решил (у руководителя IT-отдела получил одобрение), а почему бы не задействовать инструмент Aspia, т.е. программисту на офисную рабочую станцию устанавливаем Aspia Console, подключаемся к центральному узлу, на рабочую станцию сотрудника ставим Aspia Host и дальше программист уже взаимодействует, видя полный рабочий стол и более никаких административных прав не нужно.

Ниже порядок действия для решения производственных задач предоставления удаленного доступа.

от 24.05.2023

Преднастройка резервного копирования Mikrotikов через PowerShell

Меняю систему с wrkst0100 на wrkst0101 и столкнулся что мой скрипт резервного копирования не работает. Разбираюсь что еще нужно учесть в заметке.

Дело вот в чем. У меня на работе полетел жесткий диск на моей офисной рабочей станции, и этим днем оказалось, что это пятница, раз в этот день не так много задач, обычно их нет, я решил по-быстрому заменить себе систему. Взял купленный компьютер, который мы покупаем в сборе:

  • Motherboard: Asus H510M-R
  • CPU: Intel ® Core ™ i5-10400 CPU @2.90GHz
  • RAM: 8Gib
  • SSD: 250Gb

установил на него систему Windows 10 Pro из дистрибутива SW_DVD9_Win_Pro_10_1909.2_64BIT_Russian_Pro_Ent_EDU_N_MLF_X22-26638.ISO

приступил к настройке под рабочее окружение и когда открыл свою заметку "Централизованное резервное копирования Mikrotik через PowerShell" столкнулся, что возможно что-то поменялось в использованном командлете в статье, что вот прям как там описано у меня заработало, но не полностью. А значит нужно дополнить заметку некоторыми нюансами:

от 18.05.2023

Ручная активация Windows через KMS сервис на Ubuntu 22.04 Server

После того, как я разобрался как развернуть собственный KMS сервис на базе Ubuntu 22.04 Server (задействуется заметка "Поднимаем KMS сервер на Ubuntu 22.04") в локальной сети предприятия, на тестовых системах активация проходила и на 180 дней я избавлен от напоминания систему что мол меня еще не активировали. Я решил проработать, составляя batch файлы под каждую ось, которую использую: Windows 10 Pro, Server 2008 R2 Standard/Enterprise, Server 2012 R2, Server 2016, Server 2022 с учетом различных версий, чтобы все перевести на KMS, а не как местами сейчас с использованием KMS-активатора (что неправильно и часто слетает).

Ну что ж поехали:

от 11.05.2023

Запрет приема почты из вне для системных почтовых ящиков

Поступила задача от Руководителя Web-проектов, ему для регистрации отправки писем от имени почтового ящика сторонним сервисом нужно подтверждение, что данный адрес принадлежит компании. Но вот что интересно, он указывает адрес noreply@ekzorchik.ru, но письма на него не приходят (из вне). Смотрим что не так и что возможно было когда-то сделано. Я поднял свои записи, т.к. обычно только я занимаюсь администрирование инфраструктуры, ничего такого сверхъестественного не делалось с данным почтовым ящиком.

Система предварительной проверки поступающих писем на базе ORF Administration Tool показывает что адресат который отправляет письма на адрес noreply@ekzorchik.ru находится в доверенном списки и списке белых адресов, но письма по прежнему нет в ящике.

Прямо чудеса.

от 03.05.2023

Прорабатываем обновление Exchange 2010 до последнего

Задача: Установить самые последние обновления для Exchange 2010 при которых Exchange 2010 будет работать. Дело в том, что у меня сейчас версия почтового сервера Version: 14.03.0248.002, данную версию я использую на работе и как ее добиться у меня подробно описано в заметке. Мне стало интересно, а могу ли я поставить самую последнюю посредством обновления: Exchange2010-KB5000978

Итак, приступаю к проработке действий по обновлению, но делаю это в тестовой конфигурации, ни в коем случае не на боевую, пока во всяком случае.

от 03.05.2023

Как сформированный документ в 1С 7.7 конвертнуть в PDF

Задача: Как в системе Windows 10 Pro настроить печать в PDF при использовании 1C 7.7, т.е. когда пользователь нажимает "Печать" выводится окно, как выглядит документ с учетом всех полей, далее предлагается окно где сохранить документ и вуаля вот он.

У меня по умолчанию всем пользователям в домене устанавливается Adobe Reader DC, клиент 1С 7.7 через GPO, но данное программное обеспечение это всего лишь обеспечивает просмотр документов, чтобы получить на выходе отправку документа в PDF ниже по шагам в данной заметке.

Исходная система:

  • OS: Windows 10 Pro ([Version 10.0.18363.657])
  • ISO: SW_DVD9_Win_Pro_10_1909.2_64BIT_Russian_Pro_Ent_EDU_N_MLF_X22-26638.ISO
от 26.04.2023

Нюансы установки Aspia Host на Windows 7

При очередной помощи офисным сотрудникам столкнулся с нюансами где у пользователей все еще на домашнем ПК или ноутбуке установлена Windows 7, к примеру, в рамках данной заметке рассмотрю систему из образа SW_DVD5_Win_Pro_7w_SP1_64BIT_Russian_-2_MLF_X17-59431.iso

Ранее я сделал для себя переносную установку Aspia Host «Переносная установка Aspia host на Windows систему» нацеленную на свой собственный Aspia Relay + Aspia Router, установка получилась в виде запакованного 7zip (aspia.exe) архив который я положил на внешний доменный ресурс и когда мне звонят чтобы я помог им удаленно я пишу им,

Скачайте и установите http://<domain>.ru/aspia.exe, после в трее рядом с часами у Вас будет иконка, нажав на которую откроется окно где Вам нужно сообщить мне цифры

А вот у пользователей на Windows 7 Максимальная установка не проходила, выход из ситуации следующий:

от 26.04.2023

Не удается проверить удостоверение шлюза удаленных рабочих столов

У нас менеджеры затеяли очередную обновочку, нам IT-отделу за два дня сказали, что на выходных нужно убрать/перенести все рабочие места обоих кабинетов куда-либо, т.к. на выходных будут менять всю офисную мебель: Столы, Стулья, Шкафы. Наш начальник IT-отдела пришел и поведал нам такую новость, вот только сказав, что помочь не может его не будет на выходных в городе, прикольно что скажешь.

Что сделал я:

  • Настроил два Mikrotik CRS326-24G-2S+ (VLAN)
  • Подключил их к ядру
  • Проверил, что удаленка на базе Remote Desktop Gateway у всех менеджеров есть, о том, как настраивается Remote Desktop Gateway см. в заметке "Доступ к RDP через авторизацию RADIUS"

Ну да ладно, до выходных все демонтировали, в воскресенье все поставили обратно, договорились что все сотрудники, у которых есть техническая возможность будут на удаленке и тут началось.

Самое смешно оказалось, что удаленка каким-то образом у всех оказалась не настроена, переустановили компьютер, приобрели новый и все в таком духе.

На многих обнаружилось, что установленная ось — это Windows 7 Pro и при создании подключения:

от 19.04.2023

Устраняем ошибку CredSSP при подключении к Server 2012 R2

Хочу разобрать, почему, когда развернута система Windows Server 2012 R2 Std из образа "SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.iso", настроена, создана еще одна административная учетная запись и при подключении по RDP (с включенной настройкой NLA) к этой системе у пользователя к примеру, на Windows 10, Server 2012 R2, Server 2016 и т.д. получается ошибка вида:

Подключение к удаленному рабочему столу (Remote Desktop Connection)

Произошла ошибка при проверке подлинности. (An authentication error has occurred.)

Указанная функция не поддерживается. (The function requested is not supported)

Удаленный компьютер: 172.33.33.117 (Remote computer: 172.33.33.117)

Причиной ошибки может быть защита от атак с использование криптографического оракула CredSSD. (This could be due to CredSSP encryption oracle remediation.)

Это значит, что у меня образ очень старый и на нем по всей видимости не хватает каких-либо обновлений, наверное, или чего-либо еще.

от 17.04.2023

Взаимодействие с регистратором Dahua с Windows Server 2016

Т.к. я реализую удаленное взаимодействие с Windows системами дома через схему: SSH-туннель до vpn.ekzorchik.ru, а уже там через OpenVPN идет связь с домашним Mikrotik RB2011UiAS-2Hnd-IN, то мне порой нужно иметь Web-доступ к своему домашнем регистратору. В качестве домашней Windows системы выступает Windows Server 2016 Std которая развернута внутри боевого сервера под управлением: ((Supermicro SYS-5019S-M: Debian 10 + Proxmox 7 (установка выполнена из iso-образа), ZFS разделы, 64Gb оперативной памяти (2 модуля 378A4G43MB1-CTD)).

Мой порядок подключения к srv-home (OS: Windows Server 2016 Std) и настройки на ней подключения к домашнему регистратору Dahua DHI-NVR2108HS-8P-4KS2

от 03.04.2023

Автоматически запускаемые приложения на Windows Server 2012 R2

Задача: Как отключить автоматически запускаемые приложения на Windows Server 2012 R2 Standard

Как отключить автоматически запускаемые приложения на Windows Server 2012 R2 Standard (образ: SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.ISO), таким вопросом я как-то задался, когда из бекапа восстановил систему и обнаружил, что в трее возле часов запущены некоторые программы, к примеру, Torrent Client. Просто у меня данная система используется, когда я с работы подключаюсь к домашней инфраструктуре. Как же отключить или узнать какие программы еще есть в "Автозагрузке".

Если на Windows 7/10 Pro можно просто вызвать "Диспетчер задач", то там была вкладка «Автозагрузка» и можно было видеть приложения и через правый клик выбрать (если Авторизован как Администратор или пользователь) "Отключить."

То на Windows Server 2012 R2 Std при вызове Win + R -> taskmgr.exe — просто нет вкладки Autoruns, есть только: Processes, Performance, Users, Details, Services.

от 29.03.2023

Не сохраняет пароль на доступ к тестовому серверу

Теперь, когда тестовый стенд (srv-ts00-abc = 192.168.11.14) уже во всю используется помимо подрядчиков, но и офисными сотрудниками для проверки переброски из 1С 8.3 (Управление торговлей) в 1С 7.7 и наоборот, от нашего руководителя данным проектом стала поступать задача подключения

  • офисных сотрудников к тестовому стенду
  • Прописать им базы 1С 7.7 и 1С 8.3
  • Создать учетные записи в необходимых базах

Напомню самому себе, что под тестовый стенд я создал на центральном маршрутизаторе отдельный VLAN 11, сделал заметку на этот счет себе:

В данной сети создал VM для SQL Server (Version: 13.0.5026.0) и VM для терминального сервера (srv-ts00-abc) и все это на базе Windows Server 2016 Std (SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso)

Ниже мой порядок предоставление доступа офисным сотрудникам к тестовому стенду:

от 26.03.2023

Установка Veeam Backup and Replication Enterprise Plus on Server 2016 Standard

Хочу себе сделать пошаговую заметку по установке Veeam Backup & Replication Enterprise Plus 11.0.1.1261_20211005(712mbddr@).7z, cперва на виртуальную машину, а после как разберу все возникающие нюансы, вынесу ее на отдельную физическую систему не связанную с сетью компании, по аналогии, как сейчас работает система на Windows Server 2008 R2 Ent которая расположена в отдельном сегменте где собираются все бекапы сервисов: базы данных, бекапы сайтов, бекап сетевого оборудования и т.д.

от 17.03.2023

Настройка Syncthing, как сервис в Windows

Сегодня я сделаю себе заметку целью которой будет организовать работу приложения Syncthing на Windows 10 Pro ([Version 10.0.19045.2728]), но не посредством ручного запуска exe файла, а чтобы сама операционная система, как сервис запускала приложение и обеспечивала меня функционалом обмена файлами с узлами или централизованным обеспечением содержимого с подконтрольными системами. Т.е главная система Ubuntu 22.04 Server с сервисом Syncthing (Доверительный обмен файлами через syncthing) только передает, а текущая система Windows 10 Pro только получает.

от 13.03.2023

Как создать пользователя в 1С 7.7

Сейчас мне нужно понять, каким образом наш руководитель ITотдела (по совместительству программист ) создает пользователей в 1С 7.7, т.к. на мой вопрос: «Вы создадите учетные записи для подрядчиков или Я», ответил, что Я. Но я этого никогда не делал, на вопрос: «А какие права», «да, ставь полные, ведь с генеральным директором все согласовано». Ну раз так, то приступаю, но как всегда все обкатываю на тестовой базе (беру бекап от 10.03.2023 на 15 часов дня) развернутой на сервере srv-db02-test (где не используется функционал "Гибкие блокировки").

  • Hostname: srv-db02-test
  • Folder: D:\DB\Base20231500_10032023
  • Path: \\srv-db02-test\db$\Base20231500_10032023
  • SQL: WorkBase20231500_10032023
от 13.03.2023

Дополнение как сбросить grace period TS Windows Server 2016

Задача: Столкнулся что у меня на тестовом сервере для подрядчиков (пилят переход 1С 7.7 на 1С 8 или работу в паре) настал момент, когда Grace Period использования роли терминального сервера начал подходить к концу, оставалось около 9 дней бесплатного использования (из 120 дней полнофункционального использования).

  • ISO образ из которого установлена система: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.ISO
  • OS: Windows Server 2016 Std (Microsoft Windows [Version 10.0.14393])

Как всегда, сперва просили терминальный сервер для подрядчиков, а уже сейчас это сложная система с различными доступами в боевую сеть, хранилище конфигурации, доступы мобильных клиентов для отладки, но только я знаю, как оно устроено и что от чего зависит.

Для решения своей задачи я обратился к своего блогу: https://win.ekzorchik.ru где есть заметка "Как сбросить grace period TS Windows Server 2016"

но вот попытавшись на текущем месте работы проделать все по ней столкнулся:

от 10.03.2023

Windows SSH Permissions for private key are too open

Хочу разобрать, а почему с Windows 10 Pro не могу подключиться к хосту Ubuntu 20.04 Server через встроенный консольный клиент ssh где вместо пароля использую ключ private key, а вот когда я использовал клиент putty то все успешно. Т.е. данная заметка альтернатива использованию "Доступ через SSH туннель с Windows в офис"

Текущая Windows 10 Pro система:

C:\Users\ekzorchik>ver
Microsoft Windows [Version 10.0.19045.2604]
C:\Users\ekzorchik>ssh -V
OpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2
C:\Users\ekzorchik>ssh alektest2@remote.ekzorchik.ru -i "c:\keys\alektest2@remote.ekzorchik.ru_private_key.ppk"
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions for 'c:\\keys\\alektest2@remote.ekzorchik.ru_private_key.ppk' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "c:\\keys\\alektest2@remote.ekzorchik.ru_private_key.ppk": bad permissions
alektest2@remote.ekzorchik.ru's password:
от 09.03.2023

Доступ через SSH туннель с Windows в офис

Задача: Разобрать как на Windows системе безопасно подключаться извне к ресурсам компании, где в качестве точки подключения выступает "Внешняя система" с доступом только по SSH. Настроено правило на брандмауэре компании, что попасть на ресурсы компании можно только с "Внешней системы" с защитой по источнику.

Схема работы удаленного подключения будет такой:

  • Пользователь (Windows) -> Внешняя система в интернете - шлюз до работы - Инфраструктура работы
  • На Шлюзе компании правило проброс порта, что с внешней системы подключение по RDP на рабочую станцию сотрудника или терминальный сервер

Выглядит эта схема, так:

Схема по части взаимодействия через Windows SSH Tunnel

от 02.03.2023

Доступ из вне через L2TP при использовании RADIUS

Один из моих читателей моего блога обратился ко мне с просьбой помочь ему настроить возможность подключение к Mikrotik(у) задейстовав VPN подключение, но чтобы не для каждого создавать связку логин и пароль, а аутентификация велась бы через RADIUS+Active Directory (система Windows Server 2012 R2 Standard). Раз я делал и практически внедрял для управления микротиками RADIUS, то я согласился помочь на безвоздмезной основе, да и задача интересная. Результат я предоставил тому человеку на следующий день и после благодаря моим подсказкам и наводкам где у него не получалось у него все заработало. Рад был помочь, плюс для себя подчерпнул что-то новое.

от 01.03.2023

Дополнение к переносу базы без функционала Гибкие блокировки

Предыстория, если, ранее опираясь на составленную пошаговую заметку я проделывал операции по создании копии боевой базы 1С 7.7 (Folder + SQL) для нужд программистов с целью проверки той или иной задумки, то вот сегодня как я думал обычной задачи я столкнулся, что нет прав на изменение констант:

от 21.02.2023

Просто не подключается клиент 1С 7.7 к базе

Тут такое дело. В компанию снова взяли программиста 1С, ну посмотрим на долго ли он и не сбежит ли, может все что в компании для него станет в тягость и не сможет вытянуть нагрузку.

Клиент 1С 7.7 (7.70.025) установлен через GPO и подключения к базам также через GPO. Но пока программист входит в курс дела ему нужны тестовые базы: "Перенос базы без функционала Гибкие блокировки на другой сервер"

Подключил я значит ему тестовую базу

Программист с рабочего стола запускает ярлык 1С 7.7, выбирает подключение к базе "Добавить"

  • В режиме: 1С:Предприятие
  • Название: test
  • Путь: \\srv-db02-test\db$\Base20221200_26092022\

нажимаем ОК, ОК и у него клиент даже не запускается, ошибок на рабочей станции нет, на сервере также нет.

Я же под собой нормально подключаюсь

от 20.02.2023

Принудительный доступ через IE к регистратору LTV RNE-322 02

Получилось так, позвонил начальник СБ и попросил помочь охраннику на удаленной площадке, у него почему-то перестали в браузере отображаться камеры с регистратора. Позвонил ему на мобильный и он показал, что при запуске браузер Internet Explorer (Windows 10 Pro), открытии URL ссылки на доступ к регистратору LTV RNE-322 02 он получает ошибку:

При обращении через IE к LTV RNE-322 02 плагин не установлен

 

от 01.02.2023

Аудит изменения состава группы Domain Admins

В рамках общей безопасности решил разобрать, как получать уведомления на почту если кто-либо каким-либо образом повысив свои права в домене добавляет другую учетную запись в группу Domain Admins или же удаляет учетную запись.

По аналогии можно сделать и для других доменных групп.

Что понадобится, для осуществления данной задачи:

На заметку: В основе данной заметки лежит заметка "Уведомление о блокировке учетной записи на почту". Вот так имея одну наработку все последующее настраивается на предыдущее, очень удобно.

от 01.02.203

Работа 1С 7.7 c FTP на внешней системе

У меня очень жесткая политика по части предоставления доступа, права только те что нужно и ни какого полный доступ. Лучше посидеть поразбирать, как что настроить чем сделать все лишь бы как. На этот раз я принялся переделывать правила на нашем шлюзе "Как обновить свежеустановленный TMG 2010", где TMG (Version 7.0.9193.575).

Но в процессе столкнулся что те кто работает с программой 1С 7.7 с обработками взаимодействующими с FTP перестали работать.

от 01.02.2023

Узнаем кто в 1С 7.7 подключен в монопольном режиме

Сегодня я узнал чуть более чем вчера (как объяснить пользователю почему при подключении к базе в 1С 7.7 он получает ошибку:

«Ошибка блокировки данных.

Возможно, данные используются другой задачей.»

Начну с предыстории, у нас в конце ноября образовались подрядчики, которые часть функционала из 1С 7.7 переносят в 1С 8.3 (Управление торговлей). Для них я развернул отдельный VLAN, сеть 192.168.12.0/24. Памятка "Сеть для подрядчиков посредством Mikrotik" как я это реализовал есть на моем ресурсе. Внутри ESXi 7.0 развернул две виртуальный машины:

На заметку: обе системы не в домене, доступ к машине с ролью терминального сервера идет только с явно прописанных адресов и через "Подключение к удаленному рабочему столу" это в рамках локальной сети, а извне также, но не с дефолтным портом (3389/tcp) и с предопределенных адресов подрядчиков.

От ekzorchik