DZ about Information Tech

Информационные технологии

HP1920 console password + change ip address

Доступ по telnet/console и назначение ip-адреса

_cmdline-mode on

Jinhua1920unauthorized

system-view

# _hidecmd               ctrl +Z - back

Display current-configuration

interface Vlan-interface1

  ip address 192.168.1.68 255.255.255.0

  undo ip address 192.168.189.68 255.255.255.0

Exchange 2013 + get updates through proxy

Периодически появляется ошибка в журнале приложений, сгенерированная MSExchangeApplicationLogic Event ID 3018:

Scenario: GetConfig.GetConfig. The request failed. Mailbox:  Url: https://o15.officeredir.microsoft.com/r/rlidMktplcWSConfig15?CV=15.0.847.32&Client=WAC_Outlook Exception: System.Net.WebException: The remote name could not be resolved: 'o15.officeredir.microsoft.com'
   at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult)
   at Microsoft.Exchange.Data.ApplicationLogic.Extension.BaseAsyncOmexCommand.<>c__DisplayClass2.<EndGetResponseCallback>b__1()

Exchange не может получить данные следующего url: https://o15.officeredir.microsoft.com/r/rlidMktplcWSConfig15?CV=15.0.847.32&Client=WAC_Outlook. Для решения проблемы укажем прокси-сервер прямо в Exchange, воспользовавшись командлетом: 

Set-ExchangeServer имя_сервера -InternetWebProxy internetwebproxy.contoso.com:nnnn 

sams2 + squid + auth

Для каждой учетной записи, создаваемой в Sams 1-ой версии, в squid.conf добавлялись две записи в форматах: "DOMAIN\user" и "user". Новая версия Sams 2, при добавлении учетной записи пользователя,   вносит в конфигурационный файл squid.conf одну запись для пользователя, в зависимости от настроек SAMS: домен по умолчению; настройка авторизации пользователя - включить использование домена пользователя. То есть можно получить разрешение или для пользователя user или для пользователя DOMAIN\user. Однако, при анализе access.log было выявлено, что клиентсое приложение (web-браузер) передает  как имя в формате "user", так и имя в формате "DOMAIN\user". Когда переданное имя не совпадает с именем, присутствующим в squid.conf, возникает ошибка "Доступ запрещен". Принято решение исправить исходники. Будем использовать формат "user" и добавим запись в  формате "DOMAIN\user" в исходный код.

make -C /usr/ports/www/sams2 extract
cd /usr/ports/www/sams2/work/sams2-2.0.0/
cp src/squidconf.cpp src/squidconf.cpp.orig

Дублируем строку № 227 и добавляем в нее имя домена:

  fout <<"acl Sams2Template" << tpl->getId () << " " << method << " " << *(*it) << endl;

  fout <<"acl Sams2Template" << tpl->getId () << " " << method << " MYDOMAIN\\" << *(*it) << endl;

cd /usr/ports/www/sams2/work/sams2-2.0.0/
diff -ruN src/squidconf.cpp.orig src/squidconf.cpp > /usr/ports/www/sams2/files/patch-add-second-user-name 

portmaster -r sams2-2.0.0

Настройки smb.conf:

Если у вас в сети только один домен и вы хотите при авторизации пользователя на PDC использовать только имя пользователя без имени домена, или ваш PDC выдает только имя пользователя без имени домена, можно прописать 
winbind use default domain = yes 
Иначе, если вы хотите использовать при авторизации конструкцию domain\user (у вас в сети несколько доменов), пропишите 
winbind use default domain = no


HP 1910 802.1x authentication throw ethernet network

Конфигурация для 801.1x проверки подлинности:

version 5.20, Release 1513P62

sysname switch

clock timezone Moscow add 03:00:00

domain default enable krata

telnet server enable

ip ttl-expires enable

dot1x

dot1x timer tx-period 15

dot1x timer supp-timeout 20

dot1x retry 3

dot1x authentication-method eap

 

radius scheme system

 primary authentication 192.168.111.28

 primary accounting 192.168.111.28

 secondary authentication 192.168.187.110

 secondary accounting 192.168.187.110

 key authentication cipher uewiurysdffuiwe=

 key accounting cipher $lkjwelrjencm we,=

 timer realtime-accounting 15

 timer response-timeout 5

 user-name-format without-domain

 nas-ip 192.168.199.71

 retry 5

 accounting-on enable

#

domain krata1

 authentication default radius-scheme system local

 authorization default radius-scheme system local

 accounting default radius-scheme system local

 authentication login radius-scheme system local

 authorization login radius-scheme system local

 accounting login radius-scheme system local

 authentication lan-access radius-scheme system local

 authorization lan-access radius-scheme system local

 accounting lan-access radius-scheme system local

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

 accounting optional 

domain system

 authentication lan-access radius-scheme system local

 authorization lan-access radius-scheme system local

 accounting lan-access radius-scheme system local

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

 accounting optional

#

user-group system

#

interface GigabitEthernet1/0/5

 port access vlan 93

 stp edged-port enable

 mac-address max-mac-count 1

 dot1x re-authenticate

 undo dot1x handshake

 dot1x port-method portbased

 dot1x

#

Проверка подлинности с рукопожатиями не нужна в проводной сети.

 

 

 

 

Windows system disc write access

При создании файла в корневой директории срабатывает UAC. Возникает ошибка 0x80070522. Из-за этого Дос-программа при попытке создания файла генерирует ошибку "недостаточно памяти". NTFS-разрешения установлены пользователи - изменение. Вот решение проблемы: 

Отключение параметра безопасности  Admin Approval Mode

To change that do the following:

1. Run->secpol.msc

2. Local Policies->Security Options.

3. Set "User Account Control: Run all administrators in Admin Approval Mode" to Disable.

Don't want windows 10

Чтобы windows не предлагал вам windows исправьте реестр:

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate DWORD-параметр DisableOSUpgrade = 1.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade DWORD-параметр ReservationsAllowed = 0.

 

Cisco route-map sample

Пример из официального руководства по подготовке к экзамену ROUTE.

Фильтрация маршрутов c помощью route-map:

! On Router WAN2:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
WAN2# show running-config
! lines omitted for brevity
router eigrp 1
network 10.0.0.0
distribute-list route-map filter-man-slash30 out
auto-summary
!
ip prefix-list manufacturing seq 5 permit 10.17.35.0/24 ge 25 le 25
ip prefix-list manufacturing seq 10 permit 10.17.36.0/24 ge 26 le 26
!
ip prefix-list slash30 seq 5 permit 0.0.0.0/0 ge 30 le 30
!
route-map filter-man-slash30 deny 8
match ip address prefix-list manufacturing
!
route-map filter-man-slash30 deny 15
match ip address prefix-list slash30
!
route-map filter-man-slash30 permit 23
! Notice – no match commands, so the above clause matches all remaining routes
!

Фильтрация маршрутов, используя ip prefix-list:

! On Router WAN1:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
WAN1# show running-config
! lines omitted for brevity
router eigrp 1
network 10.0.0.0
distribute-list prefix fred out
auto-summary
!
ip prefix-list fred seq 5 deny 10.17.35.0/24 ge 25 le 25
ip prefix-list fred seq 10 deny 10.17.36.0/24 ge 26 le 26
ip prefix-list fred seq 15 deny 0.0.0.0/0 ge 30 le 30
ip prefix-list fred seq 20 permit 0.0.0.0/0 le 32

Фильтрация маршрутов, используя ACL:

WAN1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
WAN1(config)# access-list 2 deny 10.17.32.0 0.0.31.255
WAN1(config)# access-list 2 permit any
WAN1(config)# router eigrp 1
WAN1(config-router)# distribute-list 2 out
WAN1(config-router)# ^Z

Несмотря на то, что последний из способов является самым медленным, он работает, он прост и имеет привычный синтаксис. Вот за что я люблю CISCO - многовариантность!

 

 

HP switch ACL + command line access

Ниже приведен порядок создания и назначения списков доступа для коммутатров уровня доступа HP (например серия 1910):

1. Создать ACL 
2. Создать Classifier
3. Создать Behavior (deny)
4. Создать QOS policy (связать Classifier и Behavior)
5. Назначить созданную политику на требуемые порты.
 

Доступ по telnet/console и назначение ip-адреса

_cmdline-mode on

512900

system-view

# _hidecmd               ctrl +Z - back

Display current-configuration

interface Vlan-interface1

  ip address 192.168.1.68 255.255.255.0

  undo ip address 192.168.189.68 255.255.255.0

 

 

Exchange 2013 + TMG + SSL Geotrust True BusinessID SAN

Продолжительное время наша организация использовала самоподписанный сертификат для owa. Несколько месяцев назад приобрели Geotrust True BusinessID SAN. Установка прошла успешно, но возникли проблемы:

1. При запуске outlook появляется предупреждение о несоответствии имени сертификата. В настройках exchange были прописаны имена domain.local. После замены domain.local на domain.ru предупреждения о неверном имени в сертификате ушли. Командлеты для просмотра настроек,: Get-ClientAccessServer, Get-OwaVirtualDirectory, Get-ActiveSyncVirtualDirectory, Get-OutlookAnywhere 

Изменяем значение полей InternalHostname, InternalDomainName, AutoDiscoverServiceInternalUri и др. Например, для просмотра значений используем следующие команды:

get-ClientAccessServer | fl name,AutoDiscoverServiceInternalUri

Get-OutlookAnywhere | fl name, InternalHostname

Для смены значений используем такие команды:

Get-OutlookAnywhere | Set-OutlookAnywhere -InternalHostname mail.domain.ru -InternalClientsRequireSsl $false

get-ClientAccessServer | Set-ClientAccessServer -AutoDiscoverServiceInternalUri https://autodiscover.domain.ru/autodiscover/autodiscover.xml

Естественно, что имена domain.ru должны правильно разрешаться в dns. Для этого настраиваем сплит-днс и вносим в зону domain.ru записи с ip адресами серверов внутренней сети. Для проверки используем командлет Resolve-DnsName.

Так как в купленном сертификате отсутствуют имена domain.local, следует исправить значение поля CertPrincipalName на msstd:mail.domain.ru командлетами Get-OutlookProvider | Set-OutlookProvider.

2. Проблема с публикацией owa через TMG 2010. Не открывалась форма аутентификации. Для корректной работы потребовалось выставить чекбокс Forward the original host header instead of the actual one (specified in the Internal site name field). 

 

   

Страницы: 1
 Гостевая 




captcha1
Обновить
* Введите текст, указанный на картинке
* Обязательные для заполнения поля

 

 

 

antispam Exchange 2013

Небольшая инструкция по установке и настройке встроенного антиспам-фильтра.

Настройку проводим через консоль Exchange Management Shell:

Просматриваем установленных агентов командой Get-TransportAgent.

[PS] C:\Windows\system32>Get-TransportAgent
Identity                                           Enabled         Priority
--------                                           -------         --------
Transport Rule Agent                           True            1
Malware Agent                                    True            2
Text Messaging Routing Agent              True            3
Text Messaging Delivery Agent             True            4

В списке отсутствуют агенты антиспама, поэтому проводим установку агентов:

[PS] C:\Windows\system32>cd $exscripts
[PS] C:\Program Files\Microsoft\Exchange Server\V15\scripts>.\install-AntispamAgents.ps1
WARNING: Please exit Windows PowerShell to complete the installation.
Identity                                           Enabled         Priority
--------                                           -------         --------
Content Filter Agent                               True            5
Sender Id Agent                                    True            6
Sender Filter Agent                                True            7
Recipient Filter Agent                             True            8
Protocol Analysis Agent                          True            9
WARNING: The agents listed above have been installed. Please restart the Microsoft Exchange Transport service for
changes to take effect.

Перезапустим службу Microsoft Exchange Transport:

Restart-Service MSExchangeTransport

В моем случае почта получается через транзитный сервер. В записи spf его адреса нет, поэтому отключаем проверку spf:

Set-SenderIdConfig -Enabled $false

Отключим Protocol Analysis Agent, так как exchange получает письма с транзитного сервера:

Set-SenderReputationConfig -SenderBlockingEnabled $false 

Другой способ - отключение агента:

Disable-TransportAgent “Protocol Analysis Agent”

Просмотр настроек:

Get-SenderIdConfig для SenderID Agent;

Get-SenderReputationConfig для Protocol Analysis Agent;

Get-SenderFilterConfig для Sender Filter Agent ;

Get-RecipientFilterConfig для Recipient Filter Agent;

Get-ContentFilterConfig для Content Filter Agent ;

Настройки Connection Filtering Agent состоят из следующих командлетов:

  • - IP Block List: Get-IPBlockListConfig
  • - IP Block List Providers: Get-IPBlockListProvidersConfig
  • - IP Allow List: Get-IPAllowListConfig
  • - IP Allow List Providers: Get-IPAllowListProvidersConfig

Основные настройки проводим в Content Filter Agent:

Set-ContentFilterConfig  -BypassedRecipients postmaster@domain.ru

Set-ContentFilterConfig  -QuarantineMailbox   karantin@domain.ru 

Set-ContentFilterConfig -SCLQuarantineThreshold 7

Set-ContentFilterConfig -BypassedSenderDomains  domain1.ru, domain2.ru

Просмотр заблокированных сообщений:

Get-AgentLog -StartDate "27 jan 2015" |where {$_.Action -eq "QuarantineMessage"} | ft Timestamp,IPAddress,P1FromAddress,Recipients

или

Get-AgentLog -StartDate "27 jan 2015" |where {$_.Action -ne "AcceptMessage"} | ft Timestamp,IPAddress,P1FromAddress,Recipients

Просмотр писем на несуществующие п/я:

Get-AgentLog -StartDate "27 jan 2015" |where {$_.Action -eq "RejectCommand"} | ft Timestamp,IPAddress,P1FromAddress,Recipients

 

 

Полезные ссылки:

http://kvazar.wordpress.com/2009/05/20/%D1%81%D0%B1%D0%BE%D1%80-%D1%81%D1%82%D0%B0%D1%82%D0%B8%D1%81%D1%82%D0%B8%D0%BA%D0%B8-%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%8B-%D1%84%D0%B8%D0%BB%D1%8C%D1%82%D1%80%D0%BE%D0%B2-%D0%B0%D0%BD%D1%82%D0%B8/

https://www.corelan.be/index.php/2007/10/12/exchange-2007-administration-antispam-and-content-filtering/

Exchange 2013 Offline Address Book

Перестала загружаться офлайн адресная книга на клиентах. Просмотр журналов 

C:\Program Files\Microsoft\Exchange Server\V15\Logging подтвердил, что книга генерируется успешно. Файлы в директории C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\OAB\guid\ присутствуют с текущими датами создания. 

Журналы C:\Program Files\Microsoft\Exchange Server\V15\OABDownload содержат следующую ошибку:

WebExceptionStatus=ProtocolError;ResponseStatusCode=404;WebException=System.Net.WebException: The remote server returned an error: (404) Not Found.    at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult)    at Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass23.<OnResponseReady>b__21();

Два сервера работают в DAG. Просматриваем информацию об адресной книге:

Get-OfflineAddressBook

 Name                                    Versions                                AddressLists

----                                    --------                                ------------

Default Offline Address Book (Ex2012)   {Version4}                              {\All Contacts, \Default Global Addr... 

Обновление книги Update-OfflineAddressBook “Default Offline Address Book (Ex2012)”, перезапуск службы Microsoft Exchange Mailbox Assistant service успешно генерировали адресную книгу, но клиенты так и не могут ее получить. Были добавлены разрешения ntfs на папку OAB пользователям Authenticated Users Read&Execute, List Folder Contents к существующему разрешению Read.  Однако, проблема оставалась нерешенной.

В итоге было обнаружено, что в свойствах адресной книги отсутствует второй сервер DAG:

VirtualDirectories               : {MAIL1\OAB (Default Web Site), MAIL1\OAB (Exchange Back End)}

 

Было принято решение создать новую книгу:

New-OfflineAddressBook -Name "EXCHANGE 2013 OAB" -AddressLists "\Default Global Address List"

Назначить на существующие почтовые базы:

Get-Mailboxdatabase | Set-MailboxDatabase -OfflineAddressBook "EXCHANGE 2013 OAB"

Перезагрузка серверов и последующая проверка подтвердили наличие виртуальных директорий для 2-х серверов:

VirtualDirectories : {MAIL1\OAB (Default Web Site), MAIL1\OAB (Exchange Back End), MAIL2\OAB (Exchange Back End)}

 Адресная книга загружается.

Интересная тема есть в интернете про "KB2986204 breaks Offline Address Book download using MAPI over HTTP", но это другой случай, т.к. у нас https. 

 

Тестирование Nas4Free в конфигурации для отказоустойчивого iSCSI хранилища

Возникла необходимость создания отказоустойчивого iSCSI хранилища для виртуальных машин. Почему выбран Nas4Free расскажу позже.

В отказоустойчивой конфигурации будет задействовано 2 сервера с 2-мя HDD в каждом (один для ОС, второй для данных) и 2-мя сетевыми картами в каждом сервере (одна для доступа к данным по LAN, вторая для зеркалирования HDD). Эсксиз:

 

 Клиенты, использующие хранилище, будут обращаться к адресу CARP 192.168.150.87. CARP позволит клиентам обращаться к виртуальному IP-адресу, который в один момент времени будет назначен одному из серверов Stor1 или Stor2. В нашем случае, CARP адрес можно представить как триггер, адрес назначается или к одному серверу или к другому, в зависимости от того, какой из серверов назначен главным.

Вторая используемая нами технология называется HAST. HAST позволит создать копию hdd2 на другом компьютере. Hdd2 заркалируется с главного компьютера на подчиненный поблочно. HAST можно представить как RAID1, работающий между 2-мя серверами, но подобно CARP, имеющий неравнозначные главный и подчиненный диски. Для репликации используются отдельные сетевые карты em1.

Есть третья и четвертая технологии, если так можно их назвать, - это файловая система ZFS, расположенная на заркалируемом hdd2, которую также нужно переключать на главный сервер и iSCSI Target, предоставляющий ресурсы хранилища клиентам. Таким образом, мы будем использовать несколько технологий, и одной из важных задач является задача согласованной работы описанных технологий, чтобы при смене главного сервера, последовательно переключились CARP, HAST, ZFS, iSCSI. Для этого можно написать сценарии переключения или использовать NAS4Free, в котором уже есть готовые сценарии и нам остается только правильно настроить appliance.

Если мы понимаем как это должно работать, то можно переходить к конфигурации:

Настроим CARP на stor1:

 

CARP на stor2:

На stor1 и stor2 

 

 Добавляем вторую сетевую карту в список интефейсов на stor1 и stor2:

Назначаем IP адрес второму сетевому интерфейсу. На stor1 10.90.90.1, на stor2 10.90.90.2: 

 

Если мы будем использовать джамбо фреймы, то следует установть значение  9216 в поле MTU на предыдущем экране.

На stor1 и stor2 настраиваем HAST:

Без перезагрузки не получится применить изменения. Перезагружаем stor1 и stor2. Включаем sshd и выполняем на stor1:

hastctl role init disk1

hastctl create disk1

hastctl role primary disk1

На stor2 выполняем следующие команды:

hastctl role init disk1

hastctl create disk1

hastctl role secondary disk1

На этом этапе могут возникнуть ошибки. Например, status degrated. В случае ошибок, выполняем следующие шаги (при stor1 primary) :

На stor1 устанавливаем роль init (hastctl role init disk1).

На stor2 устанавливаем роль primary (hastctl role primary disk1). 

На stor2 импортируем пул и проверяем наличие данных

На stor1 пересоздаем ресурс disk1 (hastctl create disk1).

На stor1 устанавливаем роль secondary (hastctl role secondary disk1). 

На stor1 проверим, что синхронизация запустилась (hastctl status).

Ждем, пока завершится синхронизация, контролируя состояние командой hastctl status. Должен появиться статус complete на stor1 и stor2 , пока он не появится, к следующему шагу не переходим. 

Добавляем новый диск на stor1 и на stor2.

Форматируем disk1 файловой системой ZFS. Меню Disks->Format.

Добавляем виртуальный диск ZFS. Меню Disks->ZFS->Pools->Virtual Device. 

Добавляем пул. Меню Disks->ZFS->Pools->Management.

Добавляем в PostInit script  строку /usr/local/sbin/carp-hast-switch slave. Меню System-> Advanced->Command scripts. 

Выключаем главный сервер и импортируем пул на резервном сервере. Меню: ZFS->Configuration->Detected 

Синхронизируем пул на резервном. МенюZFS->Configuration->Synchronize

Запускаем выключенный сервер и ставим его главным. Меню HAST->Settings -> switch VIP  to master. 

Настроим iSCSI Target. Все настройки по умолчанию:

Cоздаем iSCSI Target. Меню Services->iSCSI Target->Setings.

Добавим портал. Меню Services->iSCSI Target->Portals.

Добавим группу инициаторов. Меню Services->iSCSI Target->Initiators.

Добавим Extent. Services->iSCSI Target->Targets->Extent.

 

Добавим Target. Services->iSCSI Target->Targets->Target.

Были протестированы 3 версии nas4free. Выше описана конфигурация для этого образа: NAS4Free-x64-LiveCD-9.1.0.1.847.iso. Версия 9.2 не выводила информацию в поле Role и поле Status получало значение unknown на странице HAST->Resources->Recources, несмотря на то, что HAST->Resources->Information и hastctl status корректно отображали информацию. Вероятно, связано это с тем, что сменился формат вывода hastctl. Версия NAS4Free 9.3.0.2.1190 падала в дамп после настройки carp, причем на 2-х серверах с разным аппаратным обеспечением, с ошибкой: panic: No usable event timer found. Ссылка для анализа дампов https://www.freebsd.org/doc/en/books/developers-handbook/kerneldebug-gdb.html. Отключение линка на физическом уровне спасало ситуацию, но дальнейшие настройки без доступа по сети становились невозможны. Следует отметить, что задачей являлась проверка работоспособности программного обеспечения и возможность установить/восстановить работоспособность сетевого хранилища,  а не анализ кода php и дампов ядра, поэтому после установки рабочей версии были поставлены новые задачи, а именно проверка надежности, оценка времени восстановления после сбоя и.т.д.  

 Действия при split brain:

Находим secondary ноду и выполняем команды:

hastctl role init disk1

hastctl create disk1

hastctl role secondary disk1 

При ошибках zfs, errors: Permanent errors have been detected in the following files,  выявляемых командой zpool status выполняем команду

zpool scrub pool1

 

  

Страницы: 1
 Гостевая 




captcha1
Обновить
* Введите текст, указанный на картинке
* Обязательные для заполнения поля

Добро пожаловать на сайт о различных направляниях в IT!