• Базовые возможности кастомизации Suite Bar в SharePoint Server 2016. Настраиваем пользовательские плитки (Custom Tiles) и заголовок сайта (SuiteNavBrandingText)

    Suite Bar Branding in SharePoint 2016Ранее мы писали про кастомизацию Suite Bar в SharePoint 2013. В отличии от рассмотренного ранее примера, в SharePoint Server 2016 принципы штатного управления областью содержимого Suite Bar претерпели существенные изменения. В этой заметке мы рассмотрим такие возможности кастомизации, как "Пользовательские плитки" (Custom Tiles) и смена заголовка сайта через свойство SuiteNavBrandingText.

    Читать далее...

  • Оживляем клиентскую функцию Remote Control у старого контроллера IBM RSA-II или сказ о том, как запустить старые Java-апплеты в Internet Explorer 11 с определённой версией Java

    В этой маленькой заметке мы снова поговорим о древностях. На этот раз речь пойдёт о "бородатом" контроллере управления IBM Remote Supervisor Adapter II Refresh 1, у которого имеется функция удалённого доступа к консоли сервера через механизм Remote Control. В старо-древние глиняные времена на Windows-системе с Internet Explorer и предустановленной Java Runtime Environment (JRE) особых проблем с использованием этой функции у меня не возникало. С тех пор прошло немало времени, и вот мне снова потребовалось воспользоваться функцией Remote Control с клиентской машины на базе ОС Windows 10 c актуальной версией Internet Explorer 11 и предустановленной в эту систему Java 8. Оказалось, что это задача не тривиальна, и для получения желаемого результата в такой клиентской системе, как у меня, потребуется выполнить ряд манипуляций.

    Читать далее...

  • Развёртывание и настройка Icinga 2 на Debian 8.6. Часть 10. Аутентификация и авторизация пользователей Active Directory в Icinga Web 2 (Kerberos и SSO)

    В этой части нашего цикла заметок об Icinga будет рассмотрен пример того, как можно организовать доменную аутентификацию пользователей Active Directory (AD) с поддержкой Kerberos и Single sign-on (SSO) при подключении к веб-консоли Icinga Web 2.

    Если мы заглянем в опорный документ Icinga Web 2 Authentication, то узнаем, что веб-консоль Icinga Web 2 способна работать с аутентификаций, основанной на каталоге Active Directory, других реализациях LDAP-каталогов, базах данных MySQL или PostgreSQL, а также делегировать процесс аутентификации непосредственно веб-серверу. Так, как в рассматриваемом нами примере будут использоваться такие вещи, как аутентификация с помощью Kerberos и дополнительная авторизация с помощью PAM, выбран вариант с делегированием процесса аутентификации веб-серверу. При этом процедуры внутренней проверки прав доступа к объектам веб-консоли Icinga Web 2 будут выполняться через специально созданное подключение к AD, как к LDAP-каталогу.

    Читать далее...

  • Заливаем прошивку AOS 3.9.2 в контроллер APC NMC AP9618 для поддержки TLS 1.0

    В очередной раз мне в руки попалась пара старых контроллеров первого поколения APC UPS Network Management Card (NMC1) AP9618, которые потребовалось настроить для удалённого управления и мониторинга ИБП серии APC Smart-UPS. И в очередной раз столкнулся с проблемой настройки повышения уровня безопасности доступа к этим контроллерам. После обновления до последней имеющейся на сайте APC для этих контроллеров версии Firmware AOS 3.7.3 / SUMX 3.7.2 и включения поддержки HTTPS, я не смог получить доступ по протоколу HTTPS к такому контроллеру ни из одного из современных браузеров.

    Читать далее...

  • Развёртывание и настройка oVirt 4.0. Часть 10. Настройка Single sign-on (SSO) на базе Kerberos для упрощения аутентификации на веб-порталах oVirt

    В этом части описания мы продолжим тему интеграции oVirt 4.0 с внешним LDAP-каталогом на базе домена Microsoft Active Directory (AD) и поговорим о настройке механизма Single sign-on (SSO) средствами протокола Kerberos для веб-сервера Apache с целью облегчения процедуры аутентификации пользователей при входе на веб-порталы oVirt.

    Читать далее...

  • Медленная работа Internet Explorer 11 через прокси-сервер Squid с использованием Proxy Auto Configuration (WPAD)

    imageПосле перехода с Forefront TMG на Squid мне не давала покоя одна проблема, разобраться с которой “с наскоку” никак не получалось. При использовании браузера Internet Explorer 11 в связке с прокси-сервером Squid наблюдались задержки при открытии веб-страниц Интернет-ресурсов, и особенно это было ощутимо на https-ресурсах. При этом те же самые веб-страницы открывались в других браузерах без подобных проблем. Так уж получилось, что изначально изучение этой проблемы пошло в неверном направлении и было ориентировано на связку IE11/HTTPS/Squid. Попытка разобрать трафик между клиентом IE11 и прокси-сервером Squid не дала ничего интересного. В ходе поиска возможной причины использовались всевозможные варианты начиная с таких, как например изменение client_persistent_connections в конфигурационном файле Squid и заканчивая такими глупостями, как например, отключение SPDY/3 и HTTP 1.1 в IE11 или даже использование режима предприятия. По пути наткнулся на довольно занятную статью об IE на “Хабре”. В общем перебор возможных вариантов решения дошёл до экспериментов с авто-конфигурацией прокси, где тоже появились интересные подробности. В частности выяснилось, что IE может давать ощутимые задержки в открытии страниц, если в файле автоконфигурации прокси (WPAD) присутствует вызов функций вида isInNet(host,,), как описано, например, здесь - MSDN Blog - AsiaTech: Microsoft APGC Internet Developer Support Team - IE hang when access some web sites with Proxy.pac.

    Читать далее...

  • Медленная работа iLO2 в Internet Explorer 11 : Обновляем прошивку до версии 2.25

    imageСуть проблемы - в заголовке заметки. При использовании браузера Internet Explorer 11 для доступа к веб-интерфейсу Integrated Lights-Out 2 (iLO2) в некоторых случаях (закономерность выявить не удалось) можно наблюдать жуткие тормоза открытия веб-страниц. Такое поведение замечено на нескольких разных версиях прошивки вплоть до 2.20.

    Решается эта проблема установкой текущей актуальной версии Firmware 2.25 (Апрель 2014), в которой улучшена поддержка IE11. Загрузить файл онлайн установщик для 64-битных версий Windows (cp023068.exe) можно по ссылке Online ROM Flash Component for Windows x64 - HP Integrated Lights-Out 2.

    Читать далее...

  • Enterprise Mode в Internet Explorer 11

    imageВ Internet Explorer 11 появилась улучшенная совместимость со старыми WEB-приложениями - Enterprise Mode. Активируя новую возможность, сайт работает так, как работал бы на Internet Explorer 8.

    Данная возможность доступна только с версии 11.07. На Windows 8.1 данная опция появляется после установки обновления KB2919355 (так называемое Update 1), на Windows 7 - только после установки обновления KB2929437. После установки указанных обновлений по умолчанию эта функциональность отключена, но её можно активировать как для пользователя так и для компьютера, используя шаблоны групповых политик либо правку реестра.

    Данная возможность может быть полезна в тех организациях, которые например используют АС “Интернет-Банк” Сбербанка. На версиях IE выше чем 9 это веб-приложение либо некорректно работает (IE 10), либо попросту не запускается (IE 11).

    Читать далее...

  • Настраиваем Web Proxy Automatic Discovery (WPAD)

    imageЕсли вы настраиваете параметры прокси сервера в веб-браузере Internet Explorer (IE) с помощью групповых политик, и тем более делаете это с запретом изменений настроек для пользователя, то рано или поздно может возникнуть ситуация, когда пользователь выехавший в командировку не сможет воспользоваться на служебном ноутбуке браузером для доступа в интернет где-нибудь в гостинице или аэропорте из-за невозможности отключения этих самых жёстко заданных настроек прокси.

    Чтобы избежать подобной проблемы можно воспользоваться механизмом авто-настройки параметров прокси в браузере - Web Proxy Automatic Discovery (WPAD). С точки зрения клиентского браузера суть механизма WPAD в том, что при попытке доступа в интернет, браузер будет находить (через DNS/DHCP) сервер, на котором размещён настроечный файл http://wpad.holding.com/wpad.dat 

    Файл Wpad.dat это файл Java-script в котором задаются настройки параметров расположения имени и порта прокси сервера, а также список исключений для обхода прокси. В случае недоступности данного файла браузер будет выполнять попытку прямого подключения к Интернет-ресурсам через настроенный в свойствах сетевого адаптера шлюз по умолчанию. При этом в настройках самого браузера в явном виде параметры прокси не указываются, а включается соответствующая опция авто-обнаружения. Механизм WPAD поддерживают браузеры Internet Explorer, Mozilla Firefox, с некоторыми ограничениями Opera и др.

    Для того чтобы клиентский браузер узнал о том, где в локальной сети расположен сервер с опубликованным файлом wpad.dat, может использоваться механизм обращения в DNS или получения настроек с сервера DHCP. Эти оба метода можно применять как раздельно, так и совместно и каждый из этих методов имеет свои достоинства и недостатки.


    WPAD и DHCP

    Метод настройки сервера DHCP для использования WPAD можно найти здесь: TechNet Library - Creating a WPAD entry in DHCP

    Его основа сводится к добавлению на сервер DHCP дополнительной опции 252, в которой указывается URL файла авто-настройки. Эта опция назначается на сервер или отдельную область и передается клиентам DHCP вместе с основными настройками IP.

    Итак, для настройки сервера DHCP на Windows Server 2008 R2 откроем консоль управления этой ролью (Start -> Programs -> Administrator Tools -> DHCP) и в свойствах сервера выберем пункт управления опциями - Set Predefined Options.

    В окне опций, чтобы добавить новую опцию нажмём Add и затем укажем параметры опции:

    Name – WPAD
    Code – 252
    Data Type – String
    Description - 
    Web Proxy Automatic Discovery
    image

    После этого зададим в поле String значение URL по умолчанию и сохраним параметр.

    image

    В документации встречается отдельное замечание о том, что имя файла wpad.dat должно быть написано в данном случае в нижнем регистре.

    После того как опция создана мы можем сконфигурировать её как для отдельной области так и глобально для всего сервера DHCP:

    image Как видно, при задании URL размещения файла авто-настройки можно указывать нестандартный порт вместо 80, что является преимуществом в сравнении с методом настройки через DNS где при публикации файла может использоваться только 80 порт. С другой стороны метод настройки через DHCP не поможет нам на системах где используется статическая IP адресация (DHCP клиент не запущен) и при этом требуется настройка браузера, например на терминальных серверах. Более того, по имеющейся информации обрабатывать опцию с DHCP способен только Internet Explorer, то есть говорить об альтернативных браузерах в данном случае не приходится вообще. 

    WPAD и DNS

    В нашем практическом примере мы будем использовать метод с использованием DNS, так как, на мой взгляд, он является наиболее универсальным, хотя и не лишён некоторых недостатков (некритичных в нашей ситуации).

    Суть метода настройки клиентов WPAD с использованием DNS заключается в том, что в основной зоне DNS (DNS Suffix) создается запись формата wpad.domain.com которая ссылается на сервер где опубликован файл wpad.dat. Тип этой записи может быть как A так и CNAME.

    В нашем примере все клиенты находятся в DNS домене holding.com. В зоне прямого просмотра holding.com мы создаём запись CNAME - tmgcluster.holding.com. Эта запись ссылается на имя массива из двух серверов Forefront TMG находящихся в NLB кластере.

    Прежде чем начать использовать наш DNS сервер для WPAD, мы должны убедиться в том, что он не настроен на блокировку обновления/разрешения имён wpad. Такая блокировка по умолчанию защищает сервер от атак по регистрации фальшивых узлов wpad. Во времена Windows Server 2003 такая защита обеспечивалась тем, что в зонах DNS создавалась специальная запись-заглушка с типом TXT. Подробней об этом можно почитать в статье KB934864 - How to configure Microsoft DNS and WINS to reserve WPAD registration. С приходом Windows Server 2008 в роли DNS Server появился встроенный механизм глобальных листов блокировки. В нашем примере используется сервер DNS на базе Windows Server 2008 R2, и для того, чтобы посмотреть задействован ли в данный момент механизм глобальных блокировок выполним команду:

    dnscmd /info /enableglobalqueryblocklist

    Чтобы получить содержимое блок-листа выполним:

    dnscmd /info /globalqueryblocklist

    В конфигурации по умолчанию в блок-лист как раз таки включены записи wpad и isatap. Чтобы переписать содержимое блок-листа, исключив оттуда интересующий нас wpad, выполним команду:

    dnscmd /config /globalqueryblocklist isatap

    image

    По сути в данном случае утилита dnscmd оперирует с параметрами реестра описанными в статье TechNet Library - Remove ISATAP from the DNS Global Query Block List

    В ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters

    блок-лист хранится в параметре GlobalQueryBlockList

    Если есть желание отключить использование блок-листа совсем, можно выполнить:

    dnscmd /config /enableglobalqueryblocklist 0

    или же в изменить соответствующий параметр реестра EnableGlobalQueryBlockList

    После сделанных изменений нужно перезапустить службу DNS

    net stop dns & net start dns


    WPAD сервер

    Используя TechNet Library - Configuring a WPAD server рассмотрим настройки на стороне сервера Forefront TMG, который будет у нас выполнять роль сервера WPAD с опубликованным файлом авто-конфигурации wpad.dat

    В консоли Forefront TMG Management в дереве навигации перейдём в ветку Networking на закладку Networks и выберем сеть, для которой нам нужно создать прослушиватель WPAD (обычно это внутренняя сеть – Internal). Откроем свойства этой сети

    image

    На закладке Auto Discovery включим опцию публикации файла wpad.dat -  Publish automatic discovery information for this network

    В поле где указан номер порта устанавливаем 80 порт. Как уже отмечалось ранее, в силу того, что мы используем связку WPAD/DNS, мы должны использовать именно этот порт.

    image

    Переключаемся на закладку Web Browser и настраиваем список исключений для узлов и доменов к которым клиенты должны ходить напрямую минуя прокси.

    image

    Сохраняем настройки конфигурации TMG и после этого через веб браузер TMG должен отдавать нам скрипт авто-настройки по адресу http://tmgcluster.holding.com/wpad.dat

    Открыв этот файл, мы сможем проверить попали ли в него данные списка обхода прокси. Изучив содержимое этого файла можно заметить то, что по умолчанию в этот файл адреса прокси-серверов попадают в виде IP адресов

    ...

    DirectNames=new MakeNames();

    cDirectNames = 10;

    HttpPort = "8080";

    cNodes = 2;

    function MakeProxies(){

    this[0] = new Node("192.168.0.11",2531460408,1.000000);

    this[1] = new Node("192.168.0.12",3457248957,1.000000);

    }

    Proxies = new MakeProxies();

    ...

    В некоторых случаях, например если требуется авторизация Kerberos, это может вызвать некоторые сложности. Есть хороший пост на эту тему Forefront TMG (ISA Server) Product Team Blog > Understanding By-Design Behavior of ISA Server 2006: Using Kerberos Authentication for Web Proxy Requests on ISA Server 2006 with NLB.

    Для того чтобы изменить адреса прокси попадающие в wpad с IP на FQDN можно воспользоваться подключением к COM-объекту TMG через Powershell и свойством CarpNameSystem. Чтобы получить текущее значение этого свойства, выполним скрипт:

    $ServerName = "TMGCLUSTER"

    $FPCRoot = New-Object -comObject "FPC.Root"

    $TMGObj = $FPCRoot.Arrays.Connect($ServerName)

    $TMGObj.ArrayPolicy.WebProxy.CarpNameSystem

    Установленное по умолчанию значение "2" нам нужно будет заменить на значение "0" следующим образом:

    $ServerName = "TMGCLUSTER"

    $FPCRoot = New-Object -comObject "FPC.Root"

    $TMGObj = $FPCRoot.Arrays.Connect($ServerName)

    $TMGObj.ArrayPolicy.WebProxy.CarpNameSystem = 0

    $TMGObj.ApplyChanges()

    Для вступления параметров в силу нужно перезапустить сервера TMG.

    После перезагрузки снова проверяем содержимое файла wpad.dat и убеждаемся в том, что адреса прокси указаны в виде FQDN серверов.

    ...

    function MakeProxies(){

    this[0] = new Node("TMG01.holding.com",2531460408,1.000000);

    this[1] = new Node("TMG02.holding.com",3457248957,1.000000);

    }

    ...

    WPAD клиенты

    Дело осталось за малым – включить настройку WPAD в свойствах клиентских веб-браузеров. В Internet Explorer эта опция включена по умолчанию, и если ранее вы использовали групповые политики для явного задания настроек прокси, то возможно имеет смысл их же использовать для стирания старых настроек и включения авто-определения. image

    В браузере Mozilla Firefox активация механизма WPAD делается аналогичным образом и работает без нареканий (проверено на текущей версии 12.0)

    image

    Дополнительная информация:

    TechNet Library - Automatic Discovery for Firewall and Web Proxy Clients

  • FIX: Не работает консоль “Факсы и сканирование Windows” после установки IE9– Ошибка сценария 2107

    После развертывания IE9 при попытке отправить факс через консоль “Факсы и сканирование Windows” можно столкнуться с неадекватным поведением процесса WFS.exe. Отправка факса завершается ошибкой сценария res://ieframe.dll/preview.js и приводит к зависанию консоли.

    image


    Известно, что причина именно в IE9 и что после возврата на IE8 консоль начинает работать штатно. На просторах TechNet можно найти несколько тому подтверждений, однако похоже что фикс, исправляющий данную проблему выйдет нескоро, а может и не выйдет вовсе. Пока опытным путём удалось лишь найти некоторое обходное решение -  для того, чтобы отправка факса завершалась успешно, нужно оставлять неизменённым поле тела факса, то есть не редактировать его при создании факса. Всё что вы хотите вставить в тело факса можно написать во вложенном файле.

    image


    Решение не очень изящное но рабочее.

    Update 13.01.2012

    Выпущено исправление доступное для скачивания из статьи 
    KB2647169 - Windows Fax and Scan cannot send a fax if Internet Explorer 9 is installed in Windows 7 or in Windows Server 2008 R2

    Данное исправление не доступно через WSUS и его нужно скачивать и устанавливать отдельно. Есть надежда что хотфикс будет в будущем включен в состав SP2