Reklama na kurzy
Pokud má někdo zájem, tak můžete přijít na moje, mnou připravené, špičkové :-) kurzy v GOPASu. V tuto chvíli je potvrzeno, že se to uskuteční, takže neváhejte!
GOC19 – Small Business Server 2008, 3 dny od 30.6. v Brně
GOC18 – PKI, 3 dny od 7.7. v Praze
GOC16 – Kerberos, 3 dny od 27.7. v Praze
Všechno se odehrává na nejnovějších technologiích Windows Server 2008.
Rychlovka místo pingu
Všichni určitě znáte příkaz PING -T, který pinguje nějakou adresu až do konce světa. Hodí se to když se třeba server restartuje. Jenže samotný PING není vždycky ta nejlepší detekce funkčních služeb.
Často třeba čekáte ještě nějakou dobu, než naběhne vzdálená plocha (Remote Desktop, Terminal Services). A při tom PING už dlouho odpovídá. Je teda lepší zkoušet odpověď přímo na RDP portu. Tedy TCP 3389. Jenže na to potřebujete port scan.
Já používám PORTQRY, což je podporovaný nástroj od Microsoftu. Trošku je problém, že mu chybí parametr T :-(
Ale to se vyřeší jednoduše. No, možná ne úplně jednoduše, ale když si to párkrát osvěžíte, tak to tak rychle nezapomentete :-)
FOR /L %a IN (1,1,10000) DO (portqry -n ts1 -e 3389)
Nebo možná ještě přehledněji:
FOR /L %a IN (1,1,10000) DO (portqry -n ts1 -e 3389 | findstr "tcp port")
Ta závorka za slovíčkem IN znamená přesně “generuj čísla od 1 s krokem po 1 do 10000”.
FAQ: Jak vypnout IPv6
Ano, ve Windows Vista i Windows 2008 je automaticky nainstalován protokol IPv6. Prozatím to má hodně problémů s kompatibilitou a rozhodně to ztěžuje řešení potíží. Moje odpověď je: vypnout, na vždy :-)
Jak na to? Vyskytují se různé pokusy, jak toho dosáhnout. Většina z nich situaci ještě zhorší. Jediná opravdu funkční metoda je zakázat vůbec nahrávání IPv6 do paměti. Nemusíte ani měnit HOST soubor, ani vypínat zaškrtávátka na síťových kartách (což mimojiné nedoporučuju).
Prostě přidejte do registrů tuto hodnotu:
HKLM\System\CurrentControlSet\Services\TCPIP6\Parameters DisabledComponents = DWORD (32bit) = FFFFFFFF
Buď to můžete udělat ručně, nebo si toto nastavení rozdistribuujte pomocí Group Policy, pomocí rozšíření zvaného Group Policy Preferences.
Zálohování na síť
Existuje takové tvrzení, že s nástrojem Windows Server Backup se nedá zálohovat na síť. Nebo možná že ano, ale že to nelze naplánovat. Nesmysl :-)
Password Filter pro logování hesel
Měl jsem tady na TechEdu přednášku na bezpečnost Active Directory. Ukazoval jsem jednu takovou šikovnou utilitku na zachytávání clear-text hesel na DC při jejich změně.
Pokud o to máte zájem, tak je ke stažení tady.
Jenom POZOR! je to jenom na testování. Může vám to něco poničit! V žádném případě nezkoušet v reálu.
Jen pro informaci, jedná se o normální, tzv. Active Directory Password Filter).aspx, který se prostě nainstaluje na každé DC, které máte. Když si uživatel mění heslo, změna hesla jde vždy (i bez tohoto filtru) na doménu v plné formě.
Tedy, je sice zašifrovaná (původním heslem), ale DC nakonec vidí heslo v čisté formě. Potřeba to je kvůli kontrole komplexnosti například. Druhým důvodem je, že někdy chcete (například MIIS/ILM) synchronizovat změnu hesel z AD do jiných databází. A to bez toho, abyste viděli čisté heslo, neuděláte.
DLL knihovna se registruje na DC do registrů:
HKLM\System\CurrentControlSet\Control\LSA Notification Packages = REG_MULTI_SZ
No a tam nakonec prostě přidáte jméno té DLL bez přípony. Tedy přesně sevecekPWDfilter. A restartnete.
DNS aliasy a sdílené soubory
Někdy potřebujete udělat CNAME alias v DNS na jméno serveru (například nějaký starý po migraci apod.). Všechno pojede, jenom ne sdílené soubory. Ty totiž kontrolují, co uživatel zadal za jméno serveru.
Tzn. že jestli mám server, který se jmenuje NOVY-SERVER, tak pokud se na něho snažím dostat pomocí jména STARY-SERVER, tak to nepojede.
Aby to jelo, je treba na NOVY-SERVER udělat úpravu v registrech a povolit aliasy.
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters DisableStrictNameChecking = DWORD = 1
A restart. Tak jen do toho!
ISA a DNS suffix pro VPN klienty
Hurá. Konečně sem dostal oficiální vyjádření ke známému problému DNS suffixů pro ISA VPN klienty…
BitLocker s TPM
Dneska sem si konečně na notebooku zapnul BitLocker. Už sem se na to dlouho těšil. Mám totiž noťas s TPM. To je hardwarové uložiště jeho dešifrovacího klíče. Nic extra speciálního, jen prostě nemusíte mít USB klíč. A vesele šifrujete celý disk. Prostě bezpečí na úrovni :-)
Všichni se přihlašte na TechEd
Letos to bude bomba. Špičkové přednášky, Rafal Lukawiecki, zbrusu nový a revoluční Geek-Room pro hardcoráře a vrcholná přednáška o virtualizaci od Martina Zeleného na nadupaném hardware od Dell.
Cestování s uloženými hesly
Credentials Roaming, to je něco! Určitě znáte taková ta uložená hesla co najdete ve vlastnestech uživatelských účtů v ovládacích panelech...
