• SCOM 2007 R2 - Назначение Primary и Failover серверов на агентах

    30.08.2011 Автор:Алексей Максимов
    3 322 Просмотров Комментариев нет

    imageПо мере расширения инфраструктуры SCOM и увеличения серверов управления (Management Server) может возникнуть необходимость в форсированном назначении значений Primary Management Server и Failover Management Server для агентов, чтобы избежать ситуации когда при недоступном ближайшем первичном сервере управления агенты начнут обращаться на сервера управления на удалённых площадках нагружая при этом WAN-каналы там где это не желательно. Такое поведение агентов в конфигурации по умолчанию может быть обусловлено настройками, которые можно видеть в конфигурационном файле клиента в кэше коннектора соответствующей ему группы управления.

    Читать далее...

  • Forefront TMG 2010 – Разрешение нестандартных туннелируемых портов

    25.08.2011 Автор:Алексей Максимов
    14 077 Просмотров 15 комментариев

    Возникла необходимость использовать через TMG 2010 подключение к HTTPS узлу в интернете, использующему нестандартный порт (не 443). В настройке по умолчанию вэб-прокси TMG разрешает доступ только по порту 443. Для того чтобы изменить перечень разрешенных портов воспользуемся подключением к COM-объекту TMG с помощью PowerShell.

    Для того чтобы получить текущий список открытых туннелируемых портов, непосредственно на TMG сервере выполним PS скрипт:

    $ServerName = "MY-PROXY-SERVER"

    $FPCRoot = New-Object -comObject "FPC.Root"

    $TMGObj = $FPCRoot.Arrays.Connect($ServerName)

    $TMGObj.ArrayPolicy.WebProxy.TunnelPortRanges

    В первой строчке в переменной $ServerName укажите имя своего сервера TMG или имя массива TMG, если сервер является членом массива.


    Для того чтобы расширить список открытых туннелируемых портов, например 444 портом, выполним PS скрипт:

    $ServerName = "MY-PROXY-SERVER"

    $FPCRoot = New-Object -comObject "FPC.Root"

    $TMGObj = $FPCRoot.Arrays.Connect($ServerName)

    $TMGObj.ArrayPolicy.WebProxy.TunnelPortRanges.AddRange("SSL 444", 444, 444)

    $TMGObj.ApplyChanges()


    Для того чтобы удалить ранее добавленный порт выполним PS скрипт:

    $ServerName = "MY-PROXY-SERVER"

    $FPCRoot = New-Object -comObject "FPC.Root"

    $TMGObj = $FPCRoot.Arrays.Connect($ServerName)

    $TMGObj.ArrayPolicy.WebProxy.TunnelPortRanges.Remove("SSL 444")

    $TMGObj.ApplyChanges()

    Дополнительные источники информации:

  • PowerShell - Проверяем флаг защиты доменных OU от случайного удаления

    24.08.2011 Автор:Алексей Максимов
    10 563 Просмотров 10 комментариев

    imageВ оснастке Active Directory Users and Computers (dsa.msc) открыв свойства любого OU на закладке Object можно наблюдать флаг “Protect object from accidental deletion” (Защитить объект от случайного удаления). В библиотеке “Best Practices Analyzer for Active Directory Domain Services” есть хорошая заметка на тему управления этим флагом через PowerShell - AD DS: All OUs in this domain should be protected from accidental deletion

    Для того чтобы получить перечень всех OU на которых не установлен флаг защиты выполним скриптоблок:

    # Переменная $LDAPPathOU – ADSI путь к контейнеру внутри которого будем производить поиск OU (в формате distinguishedName)

    #

    $LDAPPathOU = "OU=ImportantOUs,DC=holding,DC=com"

    Import-Module ActiveDirectory

    Get-ADOrganizationalUnit -filter * -SearchScope Subtree -SearchBase $LDAPPathOU -Properties ProtectedFromAccidentalDeletion | Where {$_.ProtectedFromAccidentalDeletion -match "False"} | Select name, DistinguishedName | Format-Table –AutoSize


    Для того чтобы на всех незащищённых OU сразу выставить данный флаг немного изменим скриптоблок до следующего вида:

    $LDAPPathOU = "OU=ImportantOUs,DC=holding,DC=com"

    Import-Module ActiveDirectory

    Get-ADOrganizationalUnit -filter * -SearchScope Subtree -SearchBase $LDAPPathOU -Properties ProtectedFromAccidentalDeletion | Where {$_.ProtectedFromAccidentalDeletion -match "False"} | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true

    При желании выполнение такого скрипта можно включить в планировщик задач чтобы в последующем быть уверенным в том, что на всех важных OU этот флаг будет включён.

  • Основные приемы работы с Key Management Service (KMS) на Windows 7 и Windows Server 2008 R2

    23.08.2011 Автор:Алексей Максимов
    35 240 Просмотров 6 комментариев

    imageДля изучения вопроса пришлось ознакомится с документами размещенными на узле TechNet Library - Volume Activation
    Из всего перечитанного можно отметить два самых содержательных и подробных гайда:

    Руководство по планированию развертывания Volume Activation ОС Windows 7 и Windows Server 2008 R2
    (    Скачать: Volume Activation Planning Guide_Windows7.docx)
    Опубликовано: июнь 2009.

    Руководство по развертыванию Volume Activation ОС Windows 7 и Windows Server 2008 R2
    (    Скачать: Volume Activation Deployment Guide_Windows7.docx)
    Опубликовано: июнь 2009 г.

    Русскоязычные версии гайдов можно найти по ссылке
    TechNet Library > Deployment > Volume Activation > Localized Content

    В данном посте тезисно выжаты основные важные моменты из документации.
    Сразу хочу отметить что приемы работы с публикацией KMS в DNS для последующей авто-активации клиентов рассматриваться не будет.

    Читать далее...

  • Не работает сканирование через HP JetDirect после установки IE9

    16.08.2011 Автор:Алексей Максимов
    4 030 Просмотров 5 комментариев

    После развертывания IE9 через WSUS от администратора одного из отделений поступило обращение о том, что перестал работать режим сетевого сканирования для МФУ HP подключенного к сети через принт-сервер HP JetDirect 175x. В новом браузере попытка соединения с принт-сервером приводила к таймауту ожидания.

    image

    После недолгого изучения вопроса стало очевидно, что при обращении к принт-серверу по IP адресу браузер воспринимал его веб-интерфейс как узел недоверенной зоны и применял к нему усиленные настройки безопасности, которые в свою очередь блокировали часть веб-функционала. Подтверждением тому стало восстановление работоспособности функции сетевого сканирования после временного отключения режима усиленной безопасности Inetrnet Explorer. 

    Соответственно для решения проблемы в данном случае достаточно использовать при обращении к веб-интерфейсу принт-сервера вместо его IP адреса полное доменное имя (FQDN) – типа http://print-server.domain.com с учетом того, что в настройках IE9 в зону узлов местной интрасети внесено имя локального домена в формате *.domain.com

  • Forefront TMG 2010 - Отказ работы консоли после установки IE9

    04.08.2011 Автор:Алексей Максимов
    3 995 Просмотров 6 комментариев

    После установки рекомендуемых обновлений с WSUS, которые включают в себя новую версию браузера IE9 может перестать корректно работать консоль управления Forefront TMG 2010 на базе MMC - Forefront TMG Management. При попытке перехода к любому разделу управления TMG консоль будет порождать ошибку типа:

    image

    Есть жёсткий метод решения проблемы – редактирование файла C:Program FilesMicrosoft Forefront Threat Management GatewayUI_HTMLsTabsHandlerTabsHandler.htc как это описано например здесь: Технический блог Евгения Протопопова - TMG 2010 Console Error

    Но можно избавиться от этой ошибки и более простым способом – изменением региональных настроек ОС. Открываем апплет изменения региональных настроек intl.cpl и на вкладке Formats сменить Format на English (United States)

    image

    После этого консоль заработает и можно будет спокойно дождаться выхода обновления исправляющего эту проблему и после его установки вернуть региональные настройки назад.

  • SCOM 2007 R2 - Аудит изменений доменных групп безопасности

    03.08.2011 Автор:Алексей Максимов
    5 455 Просмотров 2 комментария

    imageВ больших доменных инфраструктурах имеющих несколько доменных администраторов может быть весьма актуальным вопрос аудита изменений, производимых в членстве предопределённых административных групп.

    Для решения этой задачи воспользуемся возможностями SCOM и на примере доменной группы “Domain Admins” создадим правила, которые будут отслеживать события, регистрируемые в журнале “Security” на контроллерах домена в момент добавления и удаления пользователей в эту доменную группу безопасности.

    Читать далее...

  • SCOM 2007 R2 - Странное поведение мониторов SNMP Probe при операциях сравнения.

    02.08.2011 Автор:Алексей Максимов
    5 143 Просмотров 1 Комментарий

    Если возникает необходимость мониторинга сетевых устройств поддерживающих протокол SNMP, -  в SCOM 2007 R2 мы можем через консоль “Operations Console” на закладке “Authoring” с помощью помощника “Create a unit monitor” создать SNMP Probe Based Monitor, который будет через указанные нами интервалы времени выполнять к сетевому устройству запрос определённых значений OID и на основании полученных данных изменять статус этого сетевого устройства по принципу Healthy/Unhealthy

    image

    Однако на практике вы можете столкнуться с ситуацией когда созданный вами монитор ведёт себя не совсем так как вы этого от него ожидаете. Например вы создали монитор, который раз в несколько минут опрашивает источник бесперебойного питания (ИБП) в серверной на предмет значения конкретного OUD возвращаемого текущее значение входного напряжения. Если этот OID опросить по SNMP с помощью любого стороннего приложения (например MIB Browser) то возможно мы увидим что тип возвращаемого значение – целочисленное значение – “Integer”, в то время как визард SCOM “Create a unit monitor” по умолчанию задает тип значения – строка – “String”.

    Соответственно получаемое от устройства значение будет преобразовываться в строку и уже в дальнейшем подвергаться например некорректным операциям сравнения которые могут присутствовать в нашем мониторе, что само по себе и становится причиной необъяснимых срабатываний алертов.

    Для исправления этой ситуации нам необходимо выгрузить Management Pack в котором сохранён наш SNMP Probe Based Monitor в XML файл и найти в нём секции Expression и в тэгах XPathQuery Type и Value Type в которых задаётся тип значения…

    image

    Нужно выполнить замену типа получаемого значения на тот в котором непосредственно значение отдается самим сетевым устройством, в нашем случае это будет “Integer”…

    image

    После этого сохраняем XML файл и загружаем его обратно в SCOM в качестве Management Pack.

    Решение проблемы найдено здесь: Gefufna - How to create SNMP Probe Based Two-State Monitor in SCOM?

  • Windows Server 2008 R2 RDS & Outlook – ассоциация с файлами *.eml

    01.08.2011 Автор:Алексей Максимов
    3 830 Просмотров Комментариев нет

    imageНа терминальном сервере с Windows Server 2008 R2 с установленным Office 2010 в пользовательских сессиях нет возможности открывать *.eml файлы, так как в системе по умолчанию отсутствует ассоциация этого типа файлов с каким-либо приложением. В Windows Server 2003 такой проблемы не было так как *.eml файлы были ассоциированы с имеющимся по умолчанию в ОС приложением Outlook Express. В новой же системе отсутствие ассоциации приводит к тому, что при попытке открытия такого файла пользователь получает окно выбора приложения с помощью которого ОС может открыть этот файл…и в этом окне как правило бездумно щёлкает по значку IE, так как он самый первый. К чему это всё приводит нетрудно догадаться.

    Чтобы решить эту проблему мы можем сделать ассоциацию *.eml файлов с любым доступным просмотрщиком такого формата, например если в ОС уже имеется установленный Office 2010 то сделать это можно путём добавления соответствующей информации в системный реестр. Вот пример *.reg файла:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINESOFTWAREClassesOutlook.File.eml]
    @="Сообщение электронной почты"
    "EditFlags"=hex:00,00,00,00

    [HKEY_LOCAL_MACHINESOFTWAREClassesOutlook.File.emlshell]
    @="Open"

    [HKEY_LOCAL_MACHINESOFTWAREClassesOutlook.File.emlshellOpen]

    [HKEY_LOCAL_MACHINESOFTWAREClassesOutlook.File.emlshellOpencommand]
    @=""C:\Program Files (x86)\Microsoft Office 2007\Office12\OUTLOOK.EXE" /eml "%1""

    [HKEY_CLASSES_ROOT.eml]
    @="Outlook.File.eml"

    [HKEY_CLASSES_ROOT.emlOpenWithProgids]
    "Outlook.File.eml"=""

    [HKEY_LOCAL_MACHINESOFTWAREClasses.eml]
    @="Outlook.File.eml"

    [HKEY_LOCAL_MACHINESOFTWAREClasses.emlOpenWithProgids]
    "Outlook.File.eml"=""

  • Mozilla Firefox & NTLM/Kerberos Single Sign-on (SSO)

    29.07.2011 Автор:Алексей Максимов
    11 679 Просмотров Комментариев нет

    imageПри попытке открыть в Mozilla Firefox внутренние корпоративные сайты на SharePoint Server с включённой аутентификацией Kerberos получил запрос на ввод имени пользователя и пароля. То есть прозрачная передача учетных данных текущего пользователя, как в Internet Explorer, не произошла. Просмотрел все доступные опции в меню навигации Firefox "Инструменты" > "Настройки", но с к сожалению не нашёл там ничего, касающегося безопасности передачи учетных данных текущего пользователя. После некоторых поисков в Интернете, обнаружил, что способ передачи учётных данных всё-таки имеется. Читать далее...

Предыдущая страница Следующая страница