Записи с Меткой ‘ windows server

Samba AD

Настройка Samba AD в 4.4 на Centos 7
Installing Samba 4.4.0 AD DC on CentOS 7.1511
installing-samba-4-4-0-ad-dc-on-centos-7

kinit administrator@BALES.LAN — Домен пишется СТРОГО ЗАГЛАВНЫМИ!!!

Если мешает NetworkManager в resolf.conf

sudo /etc/init.d/NetworkManager stop
chkconfig NetworkManager off

Также, можно пойти другим путем и использовать systemctl:
systemctl disable NetworkManager
systemctl stop NetworkManager

———————————————

Unit SystemD
vim /lib/systemd/system/samba.service

[Unit]
Description= Samba 4 Active Directory
After=syslog.target
After=network.target

[Service]
Type=forking
PIDFile=/usr/local/samba/var/run/samba.pid
LimitNOFILE=16384
EnvironmentFile=-/etc/conf.d/samba
ExecStart=/usr/local/samba/sbin/samba
ExecReload=/usr/bin/kill -HUP $MAINPID

[Install]
WantedBy=multi-user.target

systemctl enable samba
systemctl start samba

——————————————

Прописывание обратной зоны для 192.168.10.5

Теперь давайте добавим зону traning.kz в наш сервер:
samba-tool dns zonecreate traning.kz 10.168.192.in-addr.arpa -UAdministrator%’Traning.kz!’

Создаём PTR запись для сервера dc.traning.kz:
samba-tool dns add dc.traning.kz 10.168.192.in-addr.arpa 1 PTR dc.traning.kz -UAdministrator%’Traning.kz!’

Теперь создадим А запись для нашего сервера gateway:
samba-tool dns add 192.168.10.5 traning.kz gateway A 192.168.10.1 -UAdministrator%’Traning.kz!’

Давайте проверим:
ping gateway

После создания зоны Самбу необходимо перезапустить:

systemctl restart samba
————————————————-
Ошибки

Ввод ubuntu в домен

AD + Samba Backend Centos 6.8 (4.5)
Samba 4.5 in CentOS 6.8 as Secondary DC with Microsoft Active Directory 2012R2

—————————————————

Полный гайд по PDC и BDC на Samba — все, что нужно.
http://yvision.kz/post/542170 — samba-4-PDC AD DC-centos-7 PDC

http://yvision.kz/post/577878 — samba-4-BDC SDC

——————————————————
Перемещаемые профили windows 7

https://www.stefanwienert.de/blog/2014/07/02/samba-4-active-directory-controller-with-windows-7-roaming-profiles-plus-linux-login-the-definitive-guide/
samba-4-active-directory-controller-with-windows-7-roaming-profiles-linux-login-the-complete-guide-_-stefanwienert

How to configure Samba 4 as Secondary Domain Controller

Samba4 provisioning
Доменный контроллер Samba4 на CentOS
%d0%b4%d0%be%d0%bc%d0%b5%d0%bd%d0%bd%d1%8b%d0%b9-%d0%ba%d0%be%d0%bd%d1%82%d1%80%d0%be%d0%bb%d0%bb%d0%b5%d1%80-samba4-%d0%bd%d0%b0-centos-medium

Миграция доменного контроллера Windows 2008R2 в Samba4
%d0%bc%d0%b8%d0%b3%d1%80%d0%b0%d1%86%d0%b8%d1%8f-%d0%b4%d0%be%d0%bc%d0%b5%d0%bd%d0%bd%d0%be%d0%b3%d0%be-%d0%ba%d0%be%d0%bd%d1%82%d1%80%d0%be%d0%bb%d0%bb%d0%b5%d1%80%d0%b0-windows-2008r2-%d0%b2-samba4

https://wiki.samba.org/index.php/Setup_Samba_as_an_AD_Domain_Member

windows server 2012 Безопасность windows — эти файлы невозможно открыть

1. В свойствах IE на закладке Безопасность в зоне Опасных сайтов включил опцию Запуск программ и небезопасных файлов. Теперь могу менять настройки Windows. В остальных зонах эта опция включена или с запуском без предупреждения или с предупреждением.
2. В свойствах IE на закладке Безопасность в зоне Надежных сайтов прописать все свои IP.

Fail2ban работа с NAT RDP

Стырено с Хабра — Спасибо.
Fail2ban работа с NAT

Большинство используют Fail2ban для защиты различных программ на сервере. Но как быть, если надо защитить сервис, находящийся внутри локальной сети? Тут нам понадобится связка из iptables для маркировки трафика и Fail2ban для принятия решения по блокировке.

Всё будем делать на Centos 6.

Заставим iptables писать свой лог в отдельный файл, как тут — https://habrahabr.ru/post/259169/.

Определяемся, какой сервис будем защищать — пускай это будет сервер терминалов RDP на порту 3389.

Стандартное правило обычно выглядит вот так:

-A PREROUTING -i eth1 -p tcp -m tcp —dport 3389 -j DNAT —to-destination 192.168.1.209:3389

Теперь нам надо добавить к стандартному правилу проброса порта во внутреннюю сеть. Вида (eth1 — внешний интерфейс, порт 3389 (сервер терминалов) и внутренний адрес сервера 192.168.1.209):

Правила маркировки пакетов с помощью iptables, чтобы получить вот такие строчки в iptables:

-A PREROUTING -i eth1 -p tcp -m tcp —dport 3389 -m state —state NEW -m hashlimit —hashlimit 1/hour —hashlimit-burst 5 —hashlimit-mode srcip —hashlimit-name RDP —hashlimit-htable-expire 31000 -j LOG —log-prefix «Iptables: RDP 3389 detected: »
-A PREROUTING -i eth1 -p tcp -m tcp —dport 3389 -j LOG —log-prefix «Iptables: hashlimit: »
-A PREROUTING -i eth1 -p tcp -m tcp —dport 3389 -j DNAT —to-destination 192.168.1.209:3389

Почитать, что делает первая строчка и как она работает, можно вот тут https://habrahabr.ru/post/88461/.

Теперь пишем обработку файла iptables.log в Fail2ban.

Пишем в /etc/fail2ban/jail.local:

[rdp-bruteforce]
enabled = true
filter = rdp-bruteforce
action = iptables-nat[name=rdp-bruteforce, protocol=tcp]
logpath = /var/log/iptables.log
maxretry = 3 ; Три попытки
bantime = 86400 ; Бан на 1 сутки
findtime = 60 ; Время за которое должно повториться событие 1 минута

Пишем в /etc/fail2ban/filter.d/rdp-bruteforce.conf:

# Fail2Ban configuration file
#
# Author: AwS59
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named «host». The tag «» can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P[\w\-.^_]+)
# Values: TEXT
#
# Sample log: Feb 29 11:16:55 mars kernel: Iptables: hashlimit: IN=XXX OUT= MAC=XX:XX:XX:XX:XX: SRC=X.X.X.X DST=X.X.X.X LEN=X
# TOS=0x00 PREC=0x00 TTL=X ID=X DF PROTO=TCP SPT=X DPT=X WINDOW=X RES=0x00 SYN URGP=0
#
failregex = hashlimit: .* SRC=
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

Пишем в /etc/fail2ban/action.d/iptables-nat.conf:

[INCLUDES]
before = iptables-common.conf
[Definition]
# Option: actionstart
# Notes.: command executed once at the start of Fail2Ban.
# Values: CMD
#
actionstart = -t nat -N f2b-
-t nat -A f2b- -j
-t nat -I PREROUTING -p -j f2b-
# Option: actionstop
# Notes.: command executed once at the end of Fail2Ban
# Values: CMD
#
actionstop = -t nat -D PREROUTING -p -j f2b-
-t nat -F f2b-
-t nat -X f2b-

# Option: actioncheck
# Notes.: command executed once before each actionban command
# Values: CMD
#
actioncheck = -n -L PREROUTING -t nat | grep -q ‘f2b-[ \t]’
# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: See jail.conf(5) man page
# Values: CMD
#
actionban = -t nat -I f2b- 1 -s -j DNAT —to
-I FORWARD -s -d -j ACCEPT
# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: See jail.conf(5) man page
# Values: CMD
#
actionunban = -t nat -D f2b- -s -j DNAT —to
-D FORWARD -s -d -j ACCEPT
[Init]

Осталось перезапустить службы iptables и Fail2ban и начинаем следить за iptables.log и появлением там строк с hashlimit и реакцией в Fail2ban на эти строчки.

sentinel smartkey 1c driver

Driver_Installation_SDI
http://sentinelcustomer.safenet-inc.com/sentineldownloads/?s=&c=all&p=Smartkey&o=Windows&t=all&l=all

usb vid_14a8&pid_0001 Катран драйвер для 1с ключа

Драйвер для ключа Катран
от XP до w2k12 R2

Linux (Xenserver 7) HASP проброс USB в Windows server 2012

1с с ключем HASP, нужно пробросить с Xenserver 7 в виртуалку w2k12.
Собственно брал USB over Network with XenServer 6 _ Citrix Blogs гайд нормальный, но проблема заключилась в том что собирается x86 софт, а XEN x64, что приводило к ошибке:

[root@srv-xen1 ~]# /usr/local/usb-redirector/bin/usbsrv
-bash: /usr/local/usb-redirector/bin/usbsrv: /lib/ld-linux.so.2: bad ELF interpreter: No such file or directory

 

Можно это лечить установкой glibc.i686, но ломка зависимостей в xenserver мне не улыбнулась.

Дальше смотрел в сторону usb/ip, но многие писали, что дружит не со всем. С hasp нет!
Пошел искать дальше.
https://virtualhere.com/ тот-же usb/ip, но меньше гемороя. И дрова свежие для всего.
1 usb бесплатно за остальные плати.

Installation is simple, figure out the architecture of your server device (for example x86_64), then on the linux server device:

wget http://www.virtualhere.com/sites/default/files/usbserver/vhusbdx86_64 (e.g x86_64, see list below) ()
chmod +x ./vhusbdx86_64 (to make that file executable)
sudo ./vhusbdx86_64 -b (to run it in the background)
Plug USB devices to share into your server and run the Client on the remote machines

vi /etc/sysconfig/iptables
вставить перед REJECT
-A RH-Firewall-1-INPUT -m state —state NEW -m tcp -p tcp —dport 7575 -j ACCEPT

service iptables restart

DEP Windows Server

DEP Windows поддерживает четыре варианта настройки DEP на уровне системы. Во всех этих вариантах может использоваться как программная, так и аппаратная реализация DEP.

OptIn Данное значение используется по умолчанию. На компьютерах, оснащенных процессорами с поддержкой DEP, функция DEP включена по умолчанию для ограниченного числа системных файлов и программ. При этом по умолчанию защищаются только системные файлы Windows.

OptOut По умолчанию функция DEP включена для всех процессов. В диалоговом окне Система панели управления можно вручную создать список приложений, для которых следует отключить DEP. Специалисты по информационным технологиям могут воспользоваться пакетом средств обеспечения совместимости приложений (Application Compatibility Toolkit), чтобы отключить функцию DEP для одной или нескольких программ. При этом вступают в силу исправления, обеспечивающие совместимость программ, для функции DEP.

AlwaysOn Функция DEP включается для всей системы. Все процессы работают с выполнением проверок DEP. В этом режиме нельзя отключить функцию DEP для отдельных приложений. Исправления, обеспечивающие совместимость программ, для функции DEP в силу не вступают. Программы, для которых с помощью пакета средств обеспечения совместимости приложений было отключено использование функции DEP, также работают с выполнением проверок DEP.

AlwaysOff Функция DEP отключена для всей системы, независимо от наличия аппаратной поддержки DEP. Процессор не работает в режиме PAE, если в файле Boot.ini не указан параметр /PAE.

Windows server 2003
Boot.ini > AlwaysOff

Windows Server 2012
cmd (с Админскими правами) > bcdedit.exe /set {current} nx AlwaysOff

У меня без полного отключения DEP не старовал 1c эмулятор ключа Eutron.

WEBDAV windows 2008 client & net use

how to enable webclient service on server 2008
To enable webclient service on server 2008 we need to install desktop experience feature. In earlier version of windows webclient service could be installed by enabling WebDAV component if IIS.

Start the Windows Server Manager.
In the tree view, highlight the Features node.
In the details pane, click Add Features.
In the Add Features Wizard, check the Desktop Experience box, and then click Next.
Click Install.
When the Add Features Wizard has finished, click Close.
Click Yes when promoted to restart the computer.

Подключение WebDAV из командной строки Windows
Также можно использовать возможности командной строки – команда NET USE успешно подключает WebDAV хранилища, например, эта команда подключает папку Яндекс.Диск в виде логического диска Y:

net use Y: https://webdav.yandex.ru /user: /persistent:yes
Эта команда для подключения папки Box в виде логического диска X:

net use X: https://dav.box.com/dav /user: /persistent:yes
После этого можно пользоваться стандартными командами для работы с файлами, например:

copy backup.zip y:\backup
Проблемы с большими файлами
Операции (скачивания, закачивание) над небольшими файлами проходят отлично. Однако при большем размере файла (50 МБ и более) возникают проблемы. Например, появляется сообщение Delayed Write Failed (Ошибка отложенной записи), а размер закачанного файла оказывается 0 байт.

Для решения этих проблем можно попробовать изменить параметры клиента, как это описано ниже, подробнее см. в статье You cannot download more than 50 MB or upload large Files when the upload takes longer than 30 minutes using Web Client in Windows 7

Но в действительности получилось закачать файл 300 МБ только командой xcopy с отключением буферизации:

xcopy *.zip y:\backup /Y /Z /V /J
Копирование закончилось успешно, при том что не получилось ни проводником Windows, ни copy /y /z /v.

Лимит на размер файла
Исходное значение 50 000 000 байт. Задается в байтах параметром реестра:

DWORD FileSizeLimitInBytes
в разделе:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters
Например, можно задать 500 000 000.

Таймаут
Исходное значение 1800 секунд или 30 минут, поэтому операции более 30 минут прерываются. Значение таймаута задается в секундах параметром реестра:

DWORD FsCtlRequestTimeoutInSec
в разделе:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MRxDAV\Parameters
В статье рекомендуется значение 3600, т.е. 3600 секунд или один час.

net use x: /delete — unmount x:

net use x: /persistent:yes|no — autologon windows

КАК ЛЕЧИТЬ WINDOWS SERVER 2012 ПРИ ОШИБКЕ СЕРВЕРА ЛИЦЕНЗИРОВАНИЯ

http://profor.pro/blog/item/40/
Надавно столкнулся с неожиданной проблемой, в январе месяце я установил и настроил windows server 2012, всё было сделано по Тз

т.е. используется Windows Server 2012 в рабочей группе (без использования домена), устанавливаются купленные клиентские сертификаты на подключение к серверу терминалов,

устанавливается и активируется сервер лицензирования.

Всё прекрасено работало ровно 120 дней после этого возникла ошибка

«Удаленный сеанс поскольку отсутствуют доступные серверы лицензирования сервера терминалов для проведения лицензирования. Обратитесь к администратору сервера«.

Возникли собственно вопрос как и почему.

Первым делом отправились в

Диспетчер серверов\Службы удаленных рабочих столов\Серверы

Там проверили что

1. Windows server 2012 активирован

2. Запущены службы: удаленных рабочих столов , лицензирования удаленных рабочих столов

Далее в

Диспетчер серверов\Локальный сервер

там обнаружилась ошибка

Льготный период лицензирования удаленных рабочих столов истек, а служба не была зарегистрирована на сервере лицензирования с установленными лицензиями. Для постоянной работы необходим сервер лицензирования удаленных рабочих столов. Сервер узла сеансов удаленных рабочих столов может работать без сервера лицензирования в течение 120 дней со дня первоначального запуска.

и

не установлен режим лицензирования удаленных рабочих столов

Однако режим лицензирования установлен,а служба лицензирования настроена и сам сервер активирован.

Оказалось что в последних версиях microsoft windows server 2008 2008 r2 2012 рекомендуют использовать домен, при этом работают оба режима лицензирования,

а в случае отсутствия домена возможен только режим лицензирования на устройство, и по истечении 120 дней режим лицензирования на пользователя перестаёт работать и к серверу становится невозможно подключиться по РДП.

исправляем данную ситуацию открываем Powershell или в выполнить winkey+r

Настраиваем локальные политики для серверов находящихся в рабочей группе

. В строке терминала пишем gpedit.msc и изменяем соответствующие ключи.

Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Лицензирование — Использовать указанные серверы лицензирования удаленных рабочих столов (добавляем имя нашего сервера или его ip адресс)

Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Лицензирование — Задать режим лицензирования удаленных рабочих столов (выбираем тип лицензий на устройство)

Англоязычный вариант:

Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Licensing — Use the specified Remote Desktop license servers (добавляем имя нашего сервера или его ip адресс)

Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Licensing — Set the Remote licensing mode (выбираем тип лицензий на устройство)

Важно ! Если мы выберем режим лицензирования на пользователя то ошибка останется и сервер продолжить повторять что отсутствуют доступные серверы лицензирования , потому что в рабочей группе может быть только режима лицензирования на устройство.

Далее в том же powershell запускаем gpupdate, Далле нужно переполучить лицензии для этого

Далее переполучаем лицензии панель управления — администрирование — службы удаленных рабочих столов — Диспетчер лицензирования удаленных рабочих столов

открываем все серверы — кликаем правой кнопкой по нашему серверу — управление лицензиями

далле — перестроить базу данных сервера лицензирования — база данных лицензирования удаленных рабочих столов повреждена

нажимайте галку подтвердить удаление лицензий установленых на этом сервере

далее повторно устанавливаете лицензии (пр на сервере установить лицензии)

соглашение open license вводите ваш номер авторизации и номер дицензии если у вас винда была куплена.

или

Найдите где-нибудь тут http://link.ac/12nf

тип лицензий обязательно выбрать на устройство.

Затем перезапускаете службы: лицензирования удаленных рабочих столов и удаленных рабочих столов

или перезагружаете сервер после чего к серверу снова можно будет подключиться по РДП

Проверка подлинности на Win Server 2012

Произошла ошибка при проверке подлинности.
Не удается установить связь с локальной системой безопасности

Удаленный компьютер: *****
Причиной ошибки может быть пароль с истекшим сроком действия.
Обновите ваш пароль, если срок его действия истек.
Обратитесь за помощью к вашему администратору или в службу технической поддержки.

Решение:

Редактор локальной групповой политики (gpedit.msc) – Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов – Безопасность – Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети – Отключить.