Представляем вашему вниманию очередной обзорный материал об интересных, на наш взгляд, информационных обновлениях в ИТ-сфере за прошедший месяц. Отдельное спасибо за подготовку выпуска Евгению Лейтану.
-
ИТ Вестник №08.2016
-
Автоматическое обновление хранилища сертификатов доверенных корневых центров сертификации на компьютерах Windows не имеющих прямого доступа в Интернет.
Ранее уже приходилось сталкиваться с проблемой невозможности корректного развёртывания ПО из-за того, что на целевых компьютерах с OC Windows не обновляется хранилище сертификатов доверенных корневых центров сертификации (далее для краткости будем называет это хранилище TrustedRootCA). На тот момент вопрос был снят с помощью развёртывания пакета rootsupd.exe, доступного в статье KB931125, которая относилась к ОС Windows XP. Теперь же эта ОС полностью снята с поддержки Microsoft, и возможно, поэтому данная KB-статья более недоступна на сайте Microsoft. Ко всему этому можно добавить то, что уже даже на тот момент времени решение с развёртыванием уже устаревшего в ту пору пакета сертификатов было не самым оптимальным, так как тогда в ходу были системы с ОС Windows Vista и Windows 7, в которых уже присутствовал новый механизм автоматического обновления хранилища сертификатов TrustedRootCA. Вот одна из старых статей о Windows Vista, описывающих некоторые аспекты работы такого механизма - Certificate Support and Resulting Internet Communication in Windows Vista. Недавно я снова столкнулся с исходной проблемой необходимости обновления хранилища сертификатов TrustedRootCA на некоторой массе клиентских компьютеров и серверов на базе Windows. Все эти компьютеры не имеют прямого доступа в Интернет и поэтому механизм автоматического обновления сертификатов не выполняет свою задачу так, как хотелось бы. Вариант с открытием всем компьютерам прямого доступа в Интернет, пускай даже на определённые адреса, изначально рассматривался как крайний, а поиски более приемлемого решения привел меня к статье Configure Trusted Roots and Disallowed Certificates (RU), которая сразу дала ответы на все мои вопросы. Ну и, в общем то, по мотивам этой статьи, в данной заметке я кратко изложу на конкретном примере то, каким образом можно централизованно перенастроить на компьютерах Windows Vista и выше этот самый механизм авто-обновления хранилища сертификатов TrustedRootCA, чтобы он использовал в качестве источника обновлений файловый ресурс или веб-сайт в локальной корпоративной сети. -
Медленная работа Internet Explorer 11 через прокси-сервер Squid с использованием Proxy Auto Configuration (WPAD)
После перехода с Forefront TMG на Squid мне не давала покоя одна проблема, разобраться с которой “с наскоку” никак не получалось. При использовании браузера Internet Explorer 11 в связке с прокси-сервером Squid наблюдались задержки при открытии веб-страниц Интернет-ресурсов, и особенно это было ощутимо на https-ресурсах. При этом те же самые веб-страницы открывались в других браузерах без подобных проблем. Так уж получилось, что изначально изучение этой проблемы пошло в неверном направлении и было ориентировано на связку IE11/HTTPS/Squid. Попытка разобрать трафик между клиентом IE11 и прокси-сервером Squid не дала ничего интересного. В ходе поиска возможной причины использовались всевозможные варианты начиная с таких, как например изменение client_persistent_connections в конфигурационном файле Squid и заканчивая такими глупостями, как например, отключение SPDY/3 и HTTP 1.1 в IE11 или даже использование режима предприятия. По пути наткнулся на довольно занятную статью об IE на “Хабре”. В общем перебор возможных вариантов решения дошёл до экспериментов с авто-конфигурацией прокси, где тоже появились интересные подробности. В частности выяснилось, что IE может давать ощутимые задержки в открытии страниц, если в файле автоконфигурации прокси (WPAD) присутствует вызов функций вида isInNet(host,,). -
Замена программы просмотра PDF файлов - Foxit Reader как альтернатива Adobe Reader
Ни для кого не секрет, что Adobe Reader в последнее время от версии к версии становиться всё более “тяжёлым” и прожорливым к ресурсам, например может очень нескромно потреблять ресурсы при скроллинге в больших файлах. Помимо этого, в последней версии Adobe Reader XI, мы наткнулись на проблемы запуска приложения от имени другого пользователя на Windows 8/8.1. Последней каплей терпения стал отказ запуска на сервере с Windows Server 2012 R2 и ролью RD Session Host с использованием User Profile Disk (UPD)…
В ходе изучения проблемы выяснилось, что подобная ошибка возникает в результате использования защищённого режима, который мы в целях повышения безопасности принудительно включаем при кастомизации пакета развёртывания. Правда, мне так и не удалось понять, почему подобная проблема всплывает именно при использовании UPD.
-
Антивирус для Windows Server - настраиваем список исключений. Обновлено 11.08.2016
В ходе настройки политик управления клиентами любого антивирусного ПО необходимо определять список каталогов, имён процессов или даже расширений фалов, которые должны исключаться из Real-Time сканирования. Постараюсь собрать в одном месте информацию о рекомендуемых параметрах исключений и по мере необходимости буду его корректировать. Стоит отметить, что список составлен исходя из приложений, которые эксплуатируются в моём рабочем окружении. Список разделен по основным категориям сервисов и там где возможно есть ссылки на официальные рекомендации производителей ПО. Во всех случаях подразумевается что программное обеспечение установлено в каталоги «по умолчанию». -
PowerShell - Резервное копирование групповых политик Active Directory (GPO)
Операцию резервного копирования доменных объектов групповых политик (GPO) можно выполнить штатным способом с помощью консоли Group Policy Management (gpmc.msc), но если нам потребуется автоматизировать данный процесс, - можно использовать командлеты модуля GroupPolicy для PowerShell 2.0 -
WSUS - Управление клиентами с помощью Group Policy Preferences
Если вы имеете разветвлённую инфраструктуру WSUS с центральным сервером и некоторым количеством подчинённых серверов то, возможно, вы используете для централизации управления клиентами WSUS групповые политики. С появлением механизмов Group Policy Preferences (GPP) у нас появилась возможность вместо множества групповых политик настраивающих разные наборы клиентских компьютеров на ближайшие к ним WSUS сервера, - использовать одну групповую политику с рядом соответствующих настроек в зависимости от тех или иных условий. Читать далее... -
Интересный параметр GPO: Удалить команду "Выполнить" из меню "Пуск"
В процесс настройки ужесточенной групповой политики для применения на терминальных серверах наткнулся на интересное поведение одного из параметров GPO.
Путь в GPO:
Конфигурация пользователя/Административные шаблоны/Меню "Пуск" и панель задачПараметр:
Удалить команду "Выполнить" из меню "Пуск"
Cуть в том, что при включении данного параметра, как выяснилось, в системе перестает корректно работать переход по UNC пути не только в Explorer и IE но и во всех других приложениях, например в той же 1С…т.е. переход с диска на диск в GUI путём клацанья мышкой как бы работает, но например из командного интерпретатора Cmd.exe при попытке подключения сетевого диска утилитой net – возникают ошибки по типу ограничения доступа…что само по себе не очень логично, и мне пришлось убить почти час времени чтобы среди кучи выставленных параметров GPO на терминальном сервере найти виновника странного поведения системы…
В описании к данному параметру GPO конечно есть какая-то далеко неоднозначная фраза что-то типа «перестает работать интерфейс»…но что она значит на деле приходиться узнавать путем хождения по граблям …
Онлайн-курсы Евгения Лейтана
Внедрение Microsoft System Center Operations (SCOM) 2016/201913 уроков (6 часов видео), лабораторные работы и вручение именного сертификата.
Промокод "IT-KB_60" со скидкой 60%!
RSS - Записи