Алексей Максимов, Автор в Блог IT-KB

Настраиваем блокировку компьютера при простое через screen saver с помощью Group Policy Preferences

15.10.2011 Автор:Алексей Максимов
137 133 Просмотров 22 комментария

В большинстве организаций, применяющих в своей ИТ инфраструктуре локальные стандарты и регламенты информационной безопасности, уделяется отдельное внимание вопросу блокировки консолей рабочих станций пользователей при наступлении некоторого периода бездействия. Например, в качестве обязательного требования для большинства категорий пользователей может выставляться блокировка рабочего стола компьютера при отсутствии пользовательской активности более 15 минут. В управляемой среде Active Directory в доменных групповых политиках администраторам предоставляется ряд параметров, позволяющих централизованно настроить пользовательскую среду для форсированного применения механизма блокировки рабочего стола посредствам срабатывания программы - хранителя экрана (screen saver), или как её ещё называют, экранной заставки.

Читать далее...
Ограничение доступа к внешним накопителям CD, FD, USB с помощью Group Policy Preferences

14.10.2011 Автор:Алексей Максимов
35 033 Просмотров 5 комментариев

Если по каким-то причинам возникает необходимость на некоторых компьютерах c OC Windows полностью заблокировать доступ пользователям к возможности использования съёмных носителей, – можно воспользоваться настройками доступными в стандартных Административных шаблонах групповых политик в разделе Computer Configuration > Administrative Templates > System > Removable Storage Access

Для того чтобы применить эти параметры к какой-то отдельной группе компьютеров -можно создать отдельную групповую политику с такими настроенными параметрами и прилинковать её например к контейнеру (OU) в домене или изменить разрешения безопасности для этой политики так чтобы применяться она могла лишь к конкретной доменной группе безопасности, в которую включены соответствующие компьютеры.

Читать далее...
WSUS - Управление клиентами с помощью Group Policy Preferences

12.10.2011 Автор:Алексей Максимов
22 250 Просмотров 15 комментариев

Если вы имеете разветвлённую инфраструктуру WSUS с центральным сервером и некоторым количеством подчинённых серверов то, возможно, вы используете для централизации управления клиентами WSUS групповые политики. С появлением механизмов Group Policy Preferences (GPP) у нас появилась возможность вместо множества групповых политик настраивающих разные наборы клиентских компьютеров на ближайшие к ним WSUS сервера, - использовать одну групповую политику с рядом соответствующих настроек в зависимости от тех или иных условий. Читать далее...
Cisco - Обновляем прошивку IOS

06.10.2011 Автор:Алексей Максимов
24 889 Просмотров 2 комментария
Маленький step-by-step по обновлению прошивки IOS на коммутаторе Cisco на примере Cisco Catalyst WS-C2950-24

Последовательность действий:
- Запустить TFTP сервер и сохранить на него текущую прошивку
- Удалить текущую прошивку с коммутатора
- Скопировать с TFTP новую прошивку и перезагрузить коммутатор
Читать далее...
Замена сертификата APC Web/SNMP Management Card

03.10.2011 Автор:Алексей Максимов
6 919 Просмотров 5 комментариев

В предыдущей заметке рассматривалась процедура связки механизма аутентификации на контроллерах управления APC Web/SNMP Management Card с RADIUS сервером и отдельно отмечалось, что при использовании доменной аутентификации важно защитить HTTP трафик шифрованием с помощью цифровых сертификатов. По умолчанию для построения HTTPS соединения контроллеры APC создают само-подписанный сертификат, на который по понятным причинам веб-браузеры реагируют выводом соответствующих предупреждений о недоверии данному сертификату. Чтобы избавиться от этих предупреждений мы можем заменить само-подписанный сертификат на контроллере на сертификат выданный нашим локальным доверенным центром сертификации на базе Windows Server.

Читать далее...
Использование RADIUS (Windows Network Policy Server) для аутентификации и авторизации на ИПБ APC (Web/SNMP Management Card)

29.09.2011 Автор:Алексей Максимов
22 837 Просмотров 13 комментариев

Если в организации имеется большое количество сетевых устройств, таких как маршрутизаторы, коммутаторы, сетевые принтеры, контроллеры управления ИБП и др., – рано или поздно может встать вопрос о централизации управления этими устройствами. Понятие централизации управления в данном контексте является очень широким и мы в данной заметке рассмотрим одну из его составляющих – централизация функций аутентификации/авторизации/контроля доступа к этим устройствам. Реализацию этих функций можно найти в программных и программно-аппаратных вариантах у разных производителей оборудования, но если речь идёт об унификации этих функций в парке устройств разных производителей, - на помощь нам приходит протокол RADIUS. Любой уважающий себя производитель сетевого оборудования имеет на сегодня для своих устройств поддержку этого протокола.

Рассмотрим на практике случай, когда в организации имеется некоторое количество источников бесперебойного питания (ИБП) фирмы APC с установленными в них контроллерами управления APC Web/SNMP Management card.

Читать далее...
HP 3.6V Ni-MH Battery Pack - Из Гонк-Конга “с любовью”…

23.09.2011 Автор:Алексей Максимов
6 541 Просмотров 7 комментариев

Имея в своём хозяйстве несколько SCSI контроллеров HP Smart Array 6400 и старенькие, но вполне ещё работающие “в полный рост” дисковые полки типа HP MSA 500 G2, озаботился как-то вопросом замены батарей питающих модули кэш-памяти на этих контроллерах, так как с определённым сроком эксплуатации эти батарейные модули вырабатывают свой ресурс… А когда наступает этот грустный момент, встроенные средства диагностики контроллера блокируют использование неисправной батареи. Вот так выглядит оригинальный батарейный модуль, требующий замены:

По информации, которую слили нам местные коммерсы, выпуск таких батарейных модулей давно завершён и сейчас в качестве их замены используются какие-то другие модули той же ёмкости и форм-фактора, стоимость которых варьируется в пределах 8 тысяч рублей. И так получилось, что совершенно случайно, в интернете наткнулся на информацию о том что для этих батарейных модулей есть ещё и китайский аналог от “конторы” под названием CameronSino Technology под номером модели CS-RAC6400SL. При этом цена оказалась более чем в два раза меньше, чем просили за оригинальный батарейный модуль от HP. Выглядит этот “чудо-аналог” так:

Обратите внимание на искусно приписанные парт-номера HP…

Для пробы было решено сначала приобрести несколько таких модулей… Когда модули были получены и я принялся выполнить их установку на место отслуживших свой срок модулей, то с разочарованием для себя обнаружил, что штырьки фиксации на плате - у китайской батарейки были смещены в сторону примерно на миллиметр, что не позволило устанавливать их на плату без предварительного “тюнинга” с помощью монтажного ножа.

Но это не самое грустное в этой истории, самое грустное оказалось то, что контроллеры HP ни в какую не захотели распознать китайские батарейный модули как работающие, хотя вольтметр уверенно показывал на каждом модуле напряжение в 3.8V

Самое смешное то, что в интернете можно увидеть то, что коммерсы довольно бойко на многих сайтах предлагают эти самые китайские батарейные модули как реальную альтернативу оригинальным модулям от HP.

Так и напрашивается старая пословица “Скупой платит дважды”…
Microsoft Office Outlook 2010 и Outlook Hotmail Connector

21.09.2011 Автор:Алексей Максимов
19 531 Просмотров 1 Комментарий

С переходом на Outlook 2010 почти сразу после появления новых коннекторов для него имел опыт общения с коннектором Microsoft Office Outlook Hotmail Connector, и что-то как-то не сложились у меня с ним в ту пору нормальные отношения, ибо первые его реинкарнации работали из рук вон криво. Последнее время достаточно много приходится работать с почтовым аккаунтом на Hotmail, и поэтому вспомнился этот зверёк. Скачал текущую версию коннектора (14.0.6106.5001), установил и с удивлением для себя обнаружил, что текущая версия работает более или менее адекватно.

Читать далее...
Hyper-V P2V с помощью Disk2vhd

21.09.2011 Автор:Алексей Максимов
6 683 Просмотров 3 комментария

Проводя в прошедшие выходные миграцию физического терминального сервера на платформе HP ProLiant DL360 c Windows Server 2008 в виртуальную среду с помощью SCVMM 2008 R2 столкнулся с проблемой установки компонент миграции, в частности vmmP2VSource.msi. Предыдущий опыт P2V с помощью SCVMM во всех случаях был успешным, но в этот раз, как выяснилось, из-за проблем системного характера на мигрируемом сервере развертывание компонент миграции было невозможно без предварительного траблшутинга и решения этой системной проблемы. Но как это иногда бывает, на подобного рода действия времени не было, и пришлось воспользоваться альтернативным методом миграции, а именно конвертировать “на горячую” диски физического сервера в формат VHD с помощью маленькой но удаленькой утилиты от Mark Russinovich и Bryce Cogswell - Disk2vhd.

С помощью этой утилиты можно выполнить снятие снапшота необходимых разделов диска в единый VHD файл и сохранить на сетевой ресурс, например сразу на Hyper-V хост. При этом, перед началом процесса конвертации, весьма желательно остановить все критичные процессы на сервере, например работающие экземпляры SQL Server и других БД.

После того как виртуальные диски будут созданы (диски создаются динамическими), выключаем физический сервер и на хосте Hyper-V создаём новую виртуальную машину с подключением к ней этих виртуальных дисков.

Первый запуск VM возможно будет долгим из-за переопределения состава оборудования в ОС и попыток запуска вендорных утилит из состава HP ProLiant Support Pack. Чтобы избежать этого в дальнейшем, после запуска ОС останавливаем все системные службы из состава ПО HP ProLiant Support Pack и производим удаление этих программных компонент с последующей перезагрузкой.

Следующим важным шагом будет установка компонент интеграции Hyper-V и удаление всех устройств-фантомов. О том как удалить из ОС неиспользуемые устройства можно найти в заметке Диспетчер устройств не отображает устройства, не подключенные к компьютеру под управлением Windows

После всех указанных действий альтернативную миграцию сервера можно считать законченной и время загрузки виртуальной ОС должно быть на порядок меньше, чем у её физического прародителя.

Скачать эту могучую малютку можно по ссылке:
Windows Sysinternals - File and Disk Utilities - Disk2vhd
Windows Server DHCP – Перенос областей DHCP между серверами

20.09.2011 Автор:Алексей Максимов
14 433 Просмотров 18 комментариев

Иногда возникает необходимость переноса областей DHCP (Scope) между серверами Windows Server, особенно если область содержит некоторое количество резервирований. Задача с лёгкостью выполняется с помощью встроенной в Windows Server утилиты Netsh.

Для того чтобы выполнить экспорт областей в файл для последующего импорта на другом сервере выполним команду:

Netsh dhcp server \\Server01 export C:\Temp\DHCPScopes

Копируем получившийся файл DHCPScopes на другой сервер и выполняем операцию импорта областей:

Netsh dhcp server \\Server02 import C:\Temp\DHCPScopes

В моём случае копировалась супер-область с двумя входящими в неё областями. Попытки при копировании указать конкретную отдельную область у меня успехом не увенчались, возможно это было связано именно с используемой у меня супер-областью. Следует обратить внимание на то, что прежде, чем выполнять экспорт/импорт, во избежание недоразумений, желательно сделать так, чтобы имена и диапазоны копируемых областей не пересекались с уже имеющимися на сервере областями. Вывести список всех областей можно следующей командой:

Netsh dhcp server \\Server02 show scope

Источник: KB281626 - How to use the Netsh utility to export and import DHCP scopes