Ранее уже приходилось сталкиваться с проблемой невозможности корректного развёртывания ПО из-за того, что на целевых компьютерах с OC Windows не обновляется хранилище сертификатов доверенных корневых центров сертификации (далее для краткости будем называет это хранилище TrustedRootCA). На тот момент вопрос был снят с помощью развёртывания пакета rootsupd.exe, доступного в статье KB931125, которая относилась к ОС Windows XP. Теперь же эта ОС полностью снята с поддержки Microsoft, и возможно, поэтому данная KB-статья более недоступна на сайте Microsoft. Ко всему этому можно добавить то, что уже даже на тот момент времени решение с развёртыванием уже устаревшего в ту пору пакета сертификатов было не самым оптимальным, так как тогда в ходу были системы с ОС Windows Vista и Windows 7, в которых уже присутствовал новый механизм автоматического обновления хранилища сертификатов TrustedRootCA. Вот одна из старых статей о Windows Vista, описывающих некоторые аспекты работы такого механизма - Certificate Support and Resulting Internet Communication in Windows Vista. Недавно я снова столкнулся с исходной проблемой необходимости обновления хранилища сертификатов TrustedRootCA на некоторой массе клиентских компьютеров и серверов на базе Windows. Все эти компьютеры не имеют прямого доступа в Интернет и поэтому механизм автоматического обновления сертификатов не выполняет свою задачу так, как хотелось бы. Вариант с открытием всем компьютерам прямого доступа в Интернет, пускай даже на определённые адреса, изначально рассматривался как крайний, а поиски более приемлемого решения привел меня к статье Configure Trusted Roots and Disallowed Certificates (RU), которая сразу дала ответы на все мои вопросы. Ну и, в общем то, по мотивам этой статьи, в данной заметке я кратко изложу на конкретном примере то, каким образом можно централизованно перенастроить на компьютерах Windows Vista и выше этот самый механизм авто-обновления хранилища сертификатов TrustedRootCA, чтобы он использовал в качестве источника обновлений файловый ресурс или веб-сайт в локальной корпоративной сети.
-
Автоматическое обновление хранилища сертификатов доверенных корневых центров сертификации на компьютерах Windows не имеющих прямого доступа в Интернет.
-
Развёртывание клиентской части системы документооборота Directum с помощью System Center 2012 R2 Configuration Manager
В рамках внедрения корпоративной системы документооборота (СЭД) Directum была поставлена задача централизованного развёртывания клиентской части этого ПО. “Внедренцами” нам был выдан подготовленный дистрибутив клиентской части c пакетом интеграции в Microsoft Office. Вместе с msi-пакетами нам был предложен командный файл, с помощью которого можно было организовать развертывание ПО из сетевой папки с помощью разных инструментов автоматизации, таких как например Group Policy. Но в силу того, что задача развёртывания осложнялась необходимостью генерации персонального цифрового сертификата (для возможности работы механизма цифровых подписей) для пользователей, было решено расширить функции автоматизации этой задачи с помощью System Center 2012 R2 Configuration Manager (SCCM). Далее мы кратко рассмотрим основные этапы необходимых манипуляций для реализации поставленной задачи по следующему плану:1. Создание и развёртывание приложения Directum Client в SCCM
2. Создание и развёртывание пакета интеграции Microsoft Office в SCCM
3. Развёртывание скрипта генерации сертификата пользователя в SCCM
4. Централизованная работа с ярлыками с помощью GPP (Group Policy Preferences) -
Медленная работа Internet Explorer 11 через прокси-сервер Squid с использованием Proxy Auto Configuration (WPAD)
После перехода с Forefront TMG на Squid мне не давала покоя одна проблема, разобраться с которой “с наскоку” никак не получалось. При использовании браузера Internet Explorer 11 в связке с прокси-сервером Squid наблюдались задержки при открытии веб-страниц Интернет-ресурсов, и особенно это было ощутимо на https-ресурсах. При этом те же самые веб-страницы открывались в других браузерах без подобных проблем. Так уж получилось, что изначально изучение этой проблемы пошло в неверном направлении и было ориентировано на связку IE11/HTTPS/Squid. Попытка разобрать трафик между клиентом IE11 и прокси-сервером Squid не дала ничего интересного. В ходе поиска возможной причины использовались всевозможные варианты начиная с таких, как например изменение client_persistent_connections в конфигурационном файле Squid и заканчивая такими глупостями, как например, отключение SPDY/3 и HTTP 1.1 в IE11 или даже использование режима предприятия. По пути наткнулся на довольно занятную статью об IE на “Хабре”. В общем перебор возможных вариантов решения дошёл до экспериментов с авто-конфигурацией прокси, где тоже появились интересные подробности. В частности выяснилось, что IE может давать ощутимые задержки в открытии страниц, если в файле автоконфигурации прокси (WPAD) присутствует вызов функций вида isInNet(host,,). -
Замена программы просмотра PDF файлов - Foxit Reader как альтернатива Adobe Reader
Ни для кого не секрет, что Adobe Reader в последнее время от версии к версии становиться всё более “тяжёлым” и прожорливым к ресурсам, например может очень нескромно потреблять ресурсы при скроллинге в больших файлах. Помимо этого, в последней версии Adobe Reader XI, мы наткнулись на проблемы запуска приложения от имени другого пользователя на Windows 8/8.1. Последней каплей терпения стал отказ запуска на сервере с Windows Server 2012 R2 и ролью RD Session Host с использованием User Profile Disk (UPD)…
В ходе изучения проблемы выяснилось, что подобная ошибка возникает в результате использования защищённого режима, который мы в целях повышения безопасности принудительно включаем при кастомизации пакета развёртывания. Правда, мне так и не удалось понять, почему подобная проблема всплывает именно при использовании UPD.
-
Windows Server 2012 R2 Remote Desktop Services - Настраиваем пользовательский интерфейс на серверах RD Session Host
После развёртывания новой фермы RD Connection Broker на базе Windows Server 2012 R2 встаёт вопрос настройки пользовательского окружения на серверах RD Session Host. В целом общий процесс настройки почти полностью совпадает с тем, что уже описывалось ранее в заметке Remote Desktop Services - Настраиваем пользовательский интерфейс на серверах RD Session Host. Исключением является лишь пара пунктов, которые будут здесь описаны. Читать далее... -
Windows Server 2012 R2 Remote Desktop Connection Broker - Предупреждение безопасности RDP-клиента при использовании доверенного сертификата.
Выполнено развёртывание Remote Desktop Service на базе Windows Server 2012 R2 в конфигурации с высоко-доступным RD Connection Broker. В свойствах развёртывания для нужд RD Connection Broker SSO назначен сертификат, выпущенный внутренним Центром сертификации, корневому сертификату которого доверяют все клиентские компьютеры локальной сети. Казалось бы, все минимальные условия для беспроблемного подключения клиентов к ферме RDS соблюдены, однако в процессе подключения у RDP-клиента возникает дополнительный вопрос о том, действительно ли мы доверяем “Издателю”.
-
Enterprise Mode в Internet Explorer 11
В Internet Explorer 11 появилась улучшенная совместимость со старыми WEB-приложениями - Enterprise Mode. Активируя новую возможность, сайт работает так, как работал бы на Internet Explorer 8.Данная возможность доступна только с версии 11.07. На Windows 8.1 данная опция появляется после установки обновления KB2919355 (так называемое Update 1), на Windows 7 - только после установки обновления KB2929437. После установки указанных обновлений по умолчанию эта функциональность отключена, но её можно активировать как для пользователя так и для компьютера, используя шаблоны групповых политик либо правку реестра.
Данная возможность может быть полезна в тех организациях, которые например используют АС “Интернет-Банк” Сбербанка. На версиях IE выше чем 9 это веб-приложение либо некорректно работает (IE 10), либо попросту не запускается (IE 11).
-
Hyper-V - Error applying Live Migration changes - Failed to modify settings
При обновлении ОС до Windows Server 2012 R2 на одном из хостов виртуализации Hyper-V столкнулся с загадочной проблемой. При попытке задать параметры Live Migration через консоль Hyper-V Manager получал ошибку "Failed to modify settings"
-
Загадочное поведение окна запуска баз 1С 7.7 настроенного через GPP Registry Wizard
Как известно, программа запуска баз 1С версии 7.7 (1cv7.exe) информацию о перечне зарегистрированных БД хранит в пользовательском ключе реестра HKEY_CURRENT_USER\Software\1C\1Cv7\7.7\Titles. При использовании 1С v7.7 в многопользовательской среде на серверах RDS в своё время у нас возник вопрос единообразной централизованной настройки указанного ключа реестра для всех пользователей, который мы успешно решили с помощью использования метода описанного в заметке Windows Server 2008 R2 – Добавление скриптов входа на сервере RDS через ключ реестра AppSetup. То есть фактически на серверы RDS был добавлен дополнительный winlogon-скрипт, выполняющий ряд необходимых настроек пользовательского окружения, в том числе и заполнение списка зарегистрированных БД 1С в указанном ключе реестра. -
Обновляем ADMX шаблоны групповых политик в центральном доменном хранилище до уровня Windows 8.1 и Windows Server 2012 R2
На первоначальном этапе внедрения новых ОС нам нужно подготовить доменную инфраструктуру применения групповых политик – расширить набор шаблонов групповых политик для поддержки новых систем, расположенный в центральном хранилище шаблонов в сетевой папке, например в нашем случае это будет папка \\holding.com\SYSVOL\holding.com\Policies\PolicyDefinitions\Перед нами стоит задача – собрать все новые и обновлённые *.ADMX файлы шаблонов групповых политик и соответствующие им английские и русские языковые *.ADML файлы (чтобы администраторы в домене могли при необходимости использовать для редактирования групповых политик оснастку Group Policy Management (GPMC) на обоих языках).
Онлайн-курсы Евгения Лейтана
Внедрение Microsoft System Center Operations (SCOM) 2016/201913 уроков (6 часов видео), лабораторные работы и вручение именного сертификата.
Промокод "IT-KB_60" со скидкой 60%!
RSS - Записи