Перейти к публикации

Windows

  • записей
    17
  • комментариев
    12
  • просмотра
    962

Об этом блоге

Всё, что касается ОС Windows.

Записи в этом блоге

Обзор нововведений в Windows Server 2019

В октябре Microsoft без лишней шумихи выпустила в свет новую версию операционной системы Windows Server. Рассказываем о наиболее интересных изменениях и улучшениях обновлённой серверной платформы. Впервые о новом поколении серверной операционной системы Microsoft открыто заговорила в марте текущего года. Компания не только раскрыла информацию об основных направлениях работы над продуктом и представила тестовую сборку ОС на канале Windows Insider, но и официально озвучила название платформы — Windows Server 2019 (изначально система позиционировалась как Windows Server 2016 R2). На «обкатку» обновлённой ОС у Microsoft ушло немногим более полгода, и уже 2 октября увидела свет финальная версия серверной платформы, которую можно приобрести как на сайте компании, так и у партнёров редмондского гиганта, в том числе российских. Что же нового появилось в системе?   Говоря о нововведениях в Windows Server 2019, прежде всего, стоит отметить новый интерфейс администратора Windows Admin Center (ранее известный как Project Honolulu), основанный на веб-технологиях и позволяющий непосредственно из браузера управлять локальными и удалёнными серверами, в том числе рабочими станциями с Windows 10 на борту. С помощью Windows Admin Center можно конфигурировать серверы и компьютеры в сети организации и за её пределами, получать доступ к файлам, инициализировать терминальные RDP-сессии и подключаться к рабочим столам, запускать PowerShell-скрипты, управлять сервисами, службами, виртуальными машинами, правами пользователей, сертификатами и всевозможными настройками обслуживаемых систем. Поддерживается интеграция с облачными сервисами Azure. Всё это делает Windows Admin Center универсальным инструментом для администрирования серверов, рабочих станций и облачных сервисов. Пользовательский интерфейс Windows Admin Center Вторая интересная особенность Windows Server 2019 — возможность запуска рабочих столов, бинарных исполняемых файлов и bash-скриптов Linux без использования виртуализированных сред. Реализовано это с помощью специальной прослойки Windows Subsystem for Linux (WSL) в ядре ОС, транслирующей системные вызовы Linux в вызовы Windows. Впервые подсистема WSL появилась в Windows 10 с выпуском обновления Fall Creators Update, теперь же работать с окружением Linux можно и в серверной версии операционной системы. В Microsoft убеждены, что нововведение получит широкое применение в среде разработчиков и администраторов мультиплатформенных IT-систем. Как работает подсистема Windows Subsystem for Linux С выпуском Windows Server 2019 компания Microsoft существенно доработала средства обеспечения безопасности программной платформы. Входящий в состав операционной системы Windows Defender получил поддержку технологий Advanced Threat Protection, выявляющих атаки на уровне памяти и ядра и реагирующих на них путём завершения вредоносных процессов и удаления вирусов, механизмов защиты от эксплойтов (Exploit Guard) и сетевых атак, а также функцию «Контролируемый доступ к файлам», блокирующую доступ недоверенных приложений к выбранным папкам и защищающую данные от несанкционированных изменений, в том числе, от программ-шифровальщиков. Упоминания также заслуживают средства шифрования программно-определяемых SDN-сетей (Encrypted Network), позволяющие шифровать трафик виртуальной сети между виртуальными машинами, которые обмениваются между собой данными. Windows Server 2019 обеспечивает комплексную защиту от цифровых угроз Значительно в новой версии серверной платформы эволюционировали экранированные виртуальные машины (Shielded Virtual Machines), впервые появившиеся в Windows Server 2016. Они получили поддержку автономного режима работы, возможность удалённого администрирования посредством VMConnect и PowerShell Direct и — самое главное — поддержку защищённых виртуальных Linux-окружений. Теперь Windows Server 2019 поддерживает выполнение систем Ubuntu, Red Hat Enterprise Linux и SUSE Linux Enterprise Server внутри экранированных виртуальных машин при работе в средах со смешанными ОС. Особенностью экранированных ВМ является то, что доступ к ним может получить только их владелец, администратор лишён этих полномочий Ещё одна новинка — служба миграции хранилища (Storage Migration Service), упрощающая перенос серверов под управлением Windows Server 2003/2008/2012 на более свежие версии ОС. Данная система полностью автоматизирует процесс переноса и выполняет его в несколько этапов, включающих предварительную инвентаризацию старых серверов (определение конфигурации, параметров сети и безопасности, сбор сведений об идентификаторах и учётных записей пользователей Active Directory и проч.), перенос данных на новые серверы и применение сохранённых параметров. По заверениям Microsoft, служба Storage Migration Service учитывает все нюансы переноса рабочих сред с одного сервера на другой и делает процесс миграции абсолютно незаметным для пользователей. Схема работы Storage Migration Service Изменился инструментарий Storage Replica, который позволяет IT-администраторам реплицировать данные между удалёнными серверами, кластерными системами и центрами обработки данных, повышая тем самым их катастрофоустойчивость и предотвращая потери на уровне файловой системы. Теперь реплика хранилища доступна в Windows Server 2019 редакции Standard (ранее этой функцией можно было пользоваться только в версии Datacenter) и дополнительно позволяет проверять подключаемые хранилища на предмет отказоустойчивости. Отдельное внимание разработчиками Microsoft было уделено оптимизации системы журналирования Storage Replica. Улучшениям подверглись инструменты для работы с географически распределёнными кластерами серверов. Из наиболее значимых новшеств упомянем возможность объединения вычислительных кластеров в группы (Cluster Sets) и последующей работы с ними как с единой структурой. Это нововведение должно существенно упростить работу тех, кто на базе Windows Server 2019 строит конвергентные и гиперконвергентные среды. Сюда же стоит добавить поддержку кластеров Azure и возможность перемещения отказоустойчивых кластеров между доменами с сохранением доступности всех развёрнутых на них сервисов, будь то базы данных, веб-службы или виртуальные машины. Последняя функция может быть особенно актуальной для крупных организаций, которые в случае использования Windows Server 2019 могут легко переводить вычислительные ресурсы поглощаемых компаний в свой домен. Поддержка отказоустойчивой кластеризации серверов — одна из сильных сторон платформы Windows Server Немало в новой версии Windows Server реализовано других изменений. Из заслуживающих внимания отметим следующие: существенно сокращённый (с 5 до 1,7 Гбайт) размер образа контейнера Server Core, благодаря своей компактности обеспечивающему ещё более высокий уровень плотности размещения экземпляров ОС на одном физическом хосте; встроенные средства системной аналитики, использующие технологии машинного обучения и позволяющие не только находить проблемные места в серверной инфраструктуре, но и прогнозировать возникновение возможных неисправностей; улучшенную совместимость приложений со средой Server Core; поддержку протокола SMB для контейнеров; встроенные средства защиты виртуализованных окружений; поддержку сетевого протокола HTTP/2; функции дедупликации и сжатия томов ReFS; возможности масштабирования файловых хранилищ Scale-Out File Server до 4 Пбайт на кластер и ручного разграничения выделения томов для повышения отказоустойчивости; поддержку Kubernetes; упрощённый механизм проверки подлинности копий Windows в контейнерах; поддержку энергонезависимой памяти для виртуальных машин Hyper-V; наличие средств оценки производительности в Storage Spaces Direct а также прочие нововведения, полный список которых представлен на информационной площадке Windows IT Pro Center и доступен для вдумчивого изучения по этой ссылке. Как было отмечено выше, операционная система Windows Server 2019 уже доступна для приобретения и развёртывания в организациях. Как и в случае с предыдущей версией, ОС предлагается в редакциях Datacenter, Standard и Essentials, разнящихся набором поддерживаемых функций и стоимостью. Для оценки функциональных возможностей системы предусмотрена пробная версия программной платформы, имеющая ограничения по времени работы.

k010v

k010v

Установка и настройка Windows Hyper-V Server 2016

Установка и настройка Windows Hyper-V Server 2016 По материалам serveradmin.ru   Не так давно вышла очередная новая версия Windows Server 2016. Вместе с ним обновился и бесплатный гипервизор от Microsoft — Windows Hyper-V Server 2016. Его можно свободно скачать и использовать на свое усмотрение. Как обычно, первоначальная настройка сложна и не очевидна, придется немного повозиться для получения приемлемого функционала.   Ранее я рассказывал об установке и настройке Hyper-V Server 2012 R2, предыдущей версии бесплатного гипервизора. К сожалению, те методы настройки hyper-v в рабочей группе без домена неактуальны в версии 2016. В частности, утилита hvremote не работает на новой версии. Изменились настройки машины для управления. В данном случае в ее качестве будет выступать рабочая станция под управлением Windows 10. Но в общем и целом мне нравится гипервизор hyper-v, поэтому я решил внимательно проработать вопрос установки и первоначальной настройки для дальнейшего использования по мере необходимости. К плюсам hyper-v в целом и бесплатной версии в частности я отношу следующие моменты: Поддержка всех популярных ОС. Нет никаких проблем с совместимостью, нет необходимости отдельно ставить какие-то драйвера или тулсы. Поддержка hyper-v присутствует во всех windows системах, в ядре линукс, не помню точно с какой версии, но все современные системы ее имеют, в ядре freebsd, начиная с 10-й версии. То есть вы просто берете установочный диск и ставите систему на hyper-v, больше от вас ничего не требуется. Много различных способов бэкапа виртуальных машин. Это могут быть простые скрипты, бесплатные программы, либо полноценные платные версии крупных компаний, специализирующихся на программном обеспечении для бэкапа. Стандартная панель управления гипервизором, которую легко установить на компьютер под управлением windows, начиная с win 8.1. В основе Hyper-V Server популярная серверная система, с которой понятно и удобно работать. К примеру, чтобы загрузить или забрать файл с гипервизора, вам достаточно расшарить на нем папку стандартным образом, как вы это делаете в любой windows системе. Это мое личное мнение, основанное на опыте работы с малыми и средними компаниями, где нет каких-то особенных требований к надежности и доступности сервисов. Где используются несколько серверов с виртуальными машинами, не всегда есть домен windows. Конечно, помимо плюсов, есть и минусы. Первый и главный для меня минус — первоначальная настройка. Нельзя просто взять, установить Hyper-V Server и начать им пользоваться. Необходимо производить какие-то непонятные и не очевидные действия на хосте и управляемой машине. Дальше вы поймете, что я имею ввиду. Но преодолев это препятствие, можно спокойно использовать виртуальную инфраструктуру, основанную на бесплатном гипервизоре от microsoft. Установка Hyper-V Server 2016 Скачать бесплатный Hyper-V Server можно с сайта microsoft со специальной страницы с ознакомительными версиями, где в том числе обитают и бесплатные гипервизоры — https://www.microsoft.com/ru-ru/evalcenter/evaluate-windows-server-2016-essentials. К сожалению, требуется регистрация, но это стандартная практика. Если вам не хочется регистрироваться, можете скачать актуальную версию сервера на момент написания статьи с моего яндекс.диска — https://yadi.sk/d/h4AVkIwPzeuaJ. Дальше выполняете установку стандартным способом, как и любую другую систему. Загружаетесь с iso образа и следуете по шагам инсталлятора. Каких-то нюансов или проблем с тем, чтобы установить hyper-v server нет, так что я не буду заострять на этом внимание. Обращу внимание только на самый конец установки. У меня появилось вот такое окно: При этом я не мог ничего сделать или выбрать. Я нажал ctrl+alt+delete и появилось предложение задать пароль администратора. Я сделал это, установка завершилась, загрузилось окно со стандартным интерфейсом управления: Если вы по какой-то причине закроете это окно, вызвать его снова можно в командной строке с помощью команды sconfig.   Настройка Hyper-V Server 2016 Сразу же выполняем первоначальную настройку Hyper-V Server 2016 через стандартную консоль управления: Указываете рабочую группу, если вас не устраивает стандартная. Меняем имя сервера на что-то более осмысленное и понятное. Добавьте еще одного администратора. Это нужно сделать, чтобы иметь еще одну админскую учетную запись, отличную от administrator. В дальнейшем рекомендую все настройки и подключения выполнять под этой учетной записью. Разрешаем удаленное управление, в том числе ping. Автоматическое обновление оставляю на ваше усмотрение. Я обычно отключаю и все делаю вручную. Рекомендую сразу проверить обновления и установить их. Включаем Remote Desktop со всеми версиями клиента. Указываем сетевые настройки. Стандартно стоит dhcp, рекомендую установить адрес статически. Настройте время, если по-умолчанию стоит не правильное. Настройки телеметрии полностью отключить нельзя. Такой вот микрософт. Не приходится удивляться, с учетом нововведений в последних версиях системы. Быстренько пробежались по основным настройкам hyper-v server 2016. Теперь бы сразу начать установку виртуальных машин, но, к сожалению, пока это не получится сделать. Нам надо каким-то образом подключиться к серверу с помощью панели управления. Пока нам доступен только rdp доступ, но этого не достаточно. Удаленное подключение и управление Hyper-V Server 2016 Подключаемся по rdp к серверу, чтобы было удобно копировать и вставлять длинные команды в командную строку. В консоли cmd переходим в powershell, просто введя команду: powershell Вводим команды для настройки разрешений на фаерволе для удаленного управления: Set-NetFirewallRule -DisplayGroup 'Windows Management Instrumentation (WMI)' -Enabled true -PassThru Set-NetFirewallRule -DisplayGroup 'Remote Event Log Management' -Enabled true -PassThru Set-NetFirewallRule -DisplayGroup 'Remote Volume Management' -Enabled true -PassThru Теперь переходим на клиентскую систему. Напоминаю, что в моем случае это Windows 10 Корпоративная. Заходить на нее нужно под учетной записью с теми же параметрами, что создана на гипервизоре. Добавьте такого же пользователя и работайте под ним. Это обязательное условие для подключения к управлению непосредственно сервером, его службам, дисковой подсистемой и т.д. Для подключения только для управления ролью hyper-v иметь одинаковую с сервером учетку не обязательно, в конце я расскажу, как это сделать. Первым делом создадим запись в файле hosts с именем сервера hyperv. В моем случае эта запись выглядит так: 192.168.1.100 hyperv2016 Убедитесь, что с клиентской машины вы пингуете гипервизор по имени. Теперь нам нужно проверить, чтобы в настройках сетевого адаптера текущее сетевое подключение было указано, как подключенное к частной сети. Это нужно для того, чтобы было включено сетевое обнаружение устройств. Речь вот о чем: По-умолчанию этот параметр включен для частных сетей и выключен для общедоступных. Можете либо включить его и для общедоступных, либо поменять параметр сетевого соединения на частную сеть. Сделать это можно в соседнем разделе панели управления: Я не сразу смог найти, где это сделать, поэтому подсказываю вам. Продолжаем настройку хоста для подключения к hyper-v server 2016. Запускаем cmd от администратора и переходим в powershell. Выполняем команду: winrm quickconfig Обязательно жмите Y и продолжайте. Вводим следующую команду, которая разрешает управление удаленными системами: winrm set winrm/config/client '@{TrustedHosts="hyperv2016"}' В данном примере, hyperv2016 — имя моего гипервизора. При копировании приведенной выше команды обратите внимание на одинарные и двойные кавычки. Они могут измениться при копировании/вставке. В итоге вы получите ошибку во время выполнения команды. При необходимости отредактируйте их вручную. Теперь нам нужно изменить еще один параметр. Запускаем оснастку dcomcnfg.exe, выполнив эту команду в cmd. Открывается оснастка управления службой компонентов. Выполняем последовательность действий, указанных на картинке. Дальше надо установить стандартную оснастку для управления hyperv. Для этого идем в Панель управления -> Программы -> Включение или отключение компонентов Windows. Выбираем там Средства управления Hyper-V и устанавливаем их. Дожидаемся окончания установки и пробуем подключиться к удаленному серверу: Если все сделали правильно, вы подключитесь к серверу и у вас появится возможность им управлять. Расскажу еще об одном нюансе. Вы можете подключиться к удаленному hyper-v серверу, даже если работаете не под той учетной записью, что имеет административные права на гипервизоре. При подключении есть возможность ввести параметры другого пользователя. Но чтобы эта возможность заработала, необходимо выполнить ряд действий как на сервере, так и на клиенте. Для начала надо изменить один параметр в локальной политике компьютера. Для этого выполняем в cmd команду gpedit. Откроется оснастка управления локальными политиками компьютера. Идем по пути: Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных -> Разрешить передачу новых учетных данных с проверкой подлинности сервера «только NTLM». Включаем ее и добавляем запись: wsman/hyperv2016 Далее выполняем команды в powershell. Не забудьте запустить консоль от имени администратора: Set-Item WSMan:\localhost\Client\TrustedHosts -Value "hyperv2016" Enable-WSManCredSSP -Role client -DelegateComputer "hyperv2016" Теперь надо внести некоторые изменения на самом гипервизоре. Подключаемся к нему по rdp, переходим в cmd, запускаем powershell и выполняем команды: Enable-PSRemoting Enable-WSManCredSSP -Role server После этого можете работать под привычным пользователем компьютера, но при этом подключаться к hyper-v server 2016 под другой учетной записью и управлять им. Самое трудное сделали. Теперь мы можем свободно подключаться и управлять гипервизором. Забыл упомянуть о том, как подключиться к управлению самим сервером, то есть как посмотреть список дисков, службы, почитать логи и т.д. Делается это очень просто. Заходите на компьютер под той же учетной записью, что является администратором на гипервизоре. Запускаете стандартную оснастку «Управление компьютером», выбираете локальный компьютер, жмете правой правой кнопкой мыши и выбираете подключиться к другому компьютеру: Пишите имя сервера и подключаетесь к нему. Вам доступны все разделы управления компьютером, кроме диспетчера устройств. К нему почему-то не получается подключиться, возникает ошибка. Я подробно не разбирался в чем дело и как ее исправить. Настройка виртуальных коммутаторов Перед тем, как мы приступим к установке виртуальных машин, подготовим для них сеть. Я не буду подробно рассказывать о нюансах работы сети в hyper-v. Это не тема текущего повествования. Просто создадим сетевой бридж для виртуальных машин. В оснастке управления выбираем справа «Диспетчер виртуальных коммутаторов», выбираем тип «Внешняя». Указываете имя коммутатора. Я рекомендую давать осмысленные названия, чтобы было проще потом управлять. Если это бридж в локальную сеть, то назовите виртуальный коммутатор local. Сохраняйте настройки. Вы увидите предупреждение о том, что сетевые соединения будут сброшены. Все в порядке, соглашайтесь. Будет создан новый виртуальный сетевой интерфейс с теми же настройками, что были у физического. Но здесь есть один важный нюанс. Если ваш сервер получал сетевые настройки по dhcp, то он скорее всего получит новый ip адрес. Имейте это ввиду.   Создание виртуальных машин   Мы почти закончили настройку Windows Hyper-V Server 2016 и готовы приступить к установке виртуальных машин. Надо только загрузить iso образ на гипервизор. Тут все очень просто. Открываем в проводнике на управляющей машине удаленный диск через стандартную возможность windows машин, создаем папку iso и загружаем нужный образ. Так же я рекомендую сразу загрузить какой-нибудь файловый менеджер для удобной навигации по папкам на самом гипервизоре. Лучше использовать портированную версию. Запустить этот менеджер можно будет через командную строку, подключившись по rdp Теперь все готово к созданию виртуальных машин. Сделайте несколько тестовых, а дальше мы научимся их бэкапить. Бэкап виртуальных машин Hyper-V Ранее я уже рассказывал про программу HVBackup для бэкапа виртуальных машин. Она замечательно работает с Windows Hyper-V Server 2016, приведенная статья полностью актуальна. Для работы программы необходимо установить на гипервизоре .Net Framework 3.5 с помощью команды powershell: Install-WindowsFeature NET-Framework-Core А дальше все по приведенной инструкции. Если не хочется возиться с консольной программой, скриптами, планировщиком, но хочется быстро сделать бэкап виртуальной машины hyper-v, можно воспользоваться бесплатной программой Veeam Backup Free Edition. Она позволяет вручную сделать копию виртуальной машины. Основное ограничение бесплатной версии в том, что вы не сможете создавать задания для автоматического бэкапа. Только ручной режим. Это ограничение можно обойти и использовать с помощью скриптов автоматический бэкап в бесплатной veeam, но это тема отдельного разговора. Не хочется рассматривать этот вариант в рамках данной статьи. Подробнее о различиях платной и бесплатной версии можно узнать по ссылке — https://www.veeam.com/pdf/datasheet/veeam_backup_9_5_free_vs_paid_comparison_ru.pdf Программа, конечно, монструозная, весит много, ставится долго, но зато никаких заморочек. Все настраивается легко и понятно через интерфейс программы. После установки запускаете программу. Добавляете новый сервер: Указываете, что это Standalone Hyper-V server, добавляете учетные данные и дожидаетесь окончания установки необходимых компонентов на hyperv сервере. После этого можно создать резервную копию виртуальной машины. Для этого выберите гипервизор, виртуальную машину, которую хотите забэкапить и жмите правой кнопкой мыши по ней. Выбираете VeeamZIP: Дальше указываете место, куда будет сохранен бэкап и все. Запускаете задание и ждете окончания процесса. Бэкапить можно в любое место, куда есть доступ с машины, на которую установлен сам veeam. Можете подключить сетевой диск и бэкапить в него.   Подключение к Hyper-V Server 2016 с Windows 7   Рассмотрим еще один вариант подключения к бесплатному hyper-v, когда у вас в наличие только операционная система Windows 7. Вам нужно создать виртуальную машину, либо изменить настройки существующей, завершить ее работу, или наоборот запустить. Оснастку управления Hyper-V на Windows 7 поставить не получится. На помощь придет программа 5nine Manager Free. Скачать ее можно либо с указанного сайта, но нужна регистрация, после которой на почту придет ссылка для скачивания и файл с лицензией. Для нормальной установки требуется .NET Framework 4.5 или выше. Если в системе он не будет установлен, то инсталлятор просто не начнет установку, даже не сказав почему. Мне пришлось читать руководство, чтобы разобраться, почему на один компьютер у меня нормально ставится программа, а на другой не хочет. После установки запускайте программу и добавляйте hyperv server. Там вы сможете управлять некоторыми настройками гипервизора, добавлять, удалять, запускать, редактировать виртуальные машины. Все сделано достаточно просто и удобно. Если нет стандартной оснастки, эта программа выручает. Сам ей частенько пользуюсь при необходимости.   Заключение Постарался рассмотреть все наиболее значимые аспекты в работе с бесплатным гипервизором от Microsoft. Сам еще не проверял его в работе и особо не интересовался нововведениями, пока не было времени. Смотрел на него только в тестовых стендах. Можете сравнить его с бесплатным гипервизором на kvm — proxmox, который я рассматривал в своей статье установка и настройка proxmox. Самым большим преимуществом последнего является возможность установки на программный рейд. Hyper-V сервер я никогда не пробовал установить на программный рейд, я даже не знаю, возможно ли это. Так что использовать его можно только там, где есть аппаратный рейд, либо в тестовых вариантах. Лично я никогда не ставлю гипервизоры в продакшн на одиночные диски. Все остальное дело привычки и удобства. В proxmox мне нравится управление через web браузер. Не нужно ничего ставить на компьютер. После установки гипервизор сразу готов к работе. В hyper-v удобно, что все системы его поддерживают без проблем. На kvm, к примеру, в proxmox, после установки windows систем в качестве гостевых машин, нужно будет устанавливать драйвера с отдельного диска, либо использовать готовые образы, где они будут уже интегрированы. Мелочь, но все равно не так удобно. Буду рад любым замечаниям по статье, подсказкам или указаниям на ошибки. Так же было бы любопытно узнать, какой гипервизор вы предпочитаете использовать и по какой причине. Какие преимущества по сравнению с остальными гипервизорами вы видите в своем выборе.

k010v

k010v

WOL: Приключения «Волшебного Пакета»

1. Вы с утра выбежали из дома забыв включить компьютер, что бы поддерживать Torrent рейтинг?
2. Вы в очередной раз выбежали из дома, а придя на работу вспомнили что на домашнем ПК остались нужные файлы? или наоборот.
3. У вас отключили свет и ПК, Сервер, etc… отключились? но вам нужны они в рабочем состоянии?
4. Любой другой критический случай настигший вас в дороге.
В этой статье пойдет речь о том, как при помощи Wake On LAN, которая присутствует практически во всех BIOS с 2002 года, включит ваш компьютер по сети или через интернет.
С другого ПК, или мобильного устройства.

  Что нужно иметь   ATX материнскую плату с WOL коннектором; Сетевую карту с поддержкой WOL; BIOS с поддержкой WOL, также WOL должен быть включен;
А также, 
Magic Packet от AMD, для Windows;
PocketLAN для Windows Mobile;
Wake On Lan для Android;
Maemowol для Nokia N800/900 Maemo;

Power On или (NetScan спасибо Tuxozaur) для iPhone/iPod Touch;

  Конфигурация Сетевой Карты
Для работы WOL, необходимо что бы после выключения ПК, сетевая карта находилась в режиме "Standby", о чем свидетельствуют мигающие лампочки на сетевой карте. Если у вас с этим все в порядке, дальнейший текст можно пропустить.

Если лампочки не горят необходимо сделать следующее:
Пуск — Панель Управления — Сетевые подключения, Выбрать активную сетевую карту, зайти в ее свойства, затем "Настроить".
— Если есть пункт Версия NDIS, — Выбрать «NDIS X» (по умолчанию может быть Авто), где X это версия Интерфейса Сетевых Драйверов, соответсвуюший вашей операционной системе;
— Здесь же включить Wake on Magic Packet (Пробуждение Особым Пакетом Magic)

Сохранить изменения, перезагрузить ПК, затем выключить и проверить горят ли лампочки на Сетевой карте.
  Удаленная работа с ПК
Для того, что бы включить и работать удаленно с ПК, вам нужно знать IP и MAC адрес. В этом вам поможет командная строка: ipconfig.exe /all
Также можно попробовать найти МАС с другого компьютера если в находитесь в локальной сети, запустив команду «ping» и затем вывести таблицу ARP (где будут отображены соответствия между IP и MAC):
ping.exe IP_address
arp.exe -a

Если вы используете маршрутизатор необходимо настроить перенаправление широковещательных сообщений на каком-либо порту, на ваш компьютер. 

Если маршрутизатор вы не используете, то достаточно знать ваш внешний (выделенный IP), в фаерволе открыть 9 порт. и пользоваться WOL c любого устройства, например с iPhone, предварительно указав данные включаемого ПК.

k010v

k010v

Как изменить порт службы RDP с 3389 на другой

Как изменить порт службы RDP с 3389 на другой Добрый день уважаемые читатели и гости блога, сегодня у нас с вами вот такая задача: изменить входящий порт службы RDP (терминального сервера) со стандартного 3389 на какой-то другой. Напоминаю, что RDP служба это функционал операционных систем Windows, благодаря которому вы можете по сети открыть сессию на нужный вам компьютер или сервер по протоколу RDP, и иметь возможность за ним работать, так как будто вы сидите за ним локально.   Что такое RDP протокол Прежде чем, что то изменять, хорошо бы понимать, что это и как это работает, я вам об этом не перестаю повторять. RDP или Remote Desktop Protocol это протокол удалённого рабочего стола в операционных системах Microsoft Windows, хотя его происхождение идет от компании PictureTel (Polycom). Microsoft просто его купила. Используется для удаленной работы сотрудника или пользователя с удаленным сервером. Чаще всего такие сервера несут роль сервер терминалов, на котором выделены специальные лицензии, либо на пользователе, либо на устройства, CAL. Тут задумка была такой, есть очень мощный сервер, то почему бы не использовать его ресурсы совместно, например под приложение 1С. Особенно это становится актуальным с появлением тонких клиентов. Сам сервер терминалов мир увидел, аж в 1998 году в операционной системе Windows NT 4.0 Terminal Server, я если честно тогда и не знал, что такое есть, да и в России мы в то время все играли в денди или сегу. Клиенты RDP соединения, на текущий момент есть во всех версиях Windows, Linux, MacOS, Android. Самая современная версия RDP протокола на текущий момент 8.1. Порт rdp по умолчанию Сразу напишу порт rdp по умолчанию 3389, я думаю все системные администраторы его знают. Принцип работы протокола rdp И так мы с вами поняли для чего придумали Remote Desktop Protocol, теперь логично, что нужно понять принципы его работы. Компания Майкрософт выделяет два режима протокола RDP: Remote administration mode > для администрирования, вы попадаете на удаленный сервер и настраиваете и администрируете его Terminal Server mode > для доступа к серверу приложений, Remote App или совместное использование его для работы. Вообще если вы без сервера терминалов устанавливаете Windows Server 2008 R2 - 2016, то там по умолчанию у него будет две лицензии, и к нему одновременно смогут подключиться два пользователя, третьему придется для работы кого то выкидывать. В клиентских версиях Windows, лицензий всего одна, но и это можно обойти, я об этом рассказывал в статье сервер терминалов на windows 7. Так же Remote administration mode, можно кластеризировать и сбалансировать нагрузку, благодаря технологии NLB и сервера сервера подключений Session Directory Service. Он используется для индексации пользовательских сессий, благодаря именно этому серверу у пользователя получиться войти на удаленный рабочий стол терминальных серверов в распределенной среде. Так же обязательными компонентами идут сервер лицензирования. RDP протокол работает по TCP соединению и является прикладным протоколом. Когда клиент устанавливает соединение с сервером, на транспортном уровне создается RDP сессия, где идет согласование методов шифрования и передачи данных. Когда все согласования определены и инициализация окончена, сервер терминалов, передает клиенту графический вывод и ожидает входные данные от клавиатуры и мыши. Remote Desktop Protocol поддерживает несколько виртуальных каналов в рамках одного соединения, благодаря этому можно использовать дополнительный функционал Передать на сервер свой принтер или COM порт Перенаправить на сервер свои локальные диски Буфер обмена Аудио и видео Этапы RDP соединения Установка соединения Согласование параметров шифрования Аутентификация серверов Согласование параметров RDP сессии Аутентификация клиента Данные RDP сессии Разрыв RDP сессии Безопасность в RDP протоколе Remote Desktop Protocol имеет два метода аутентификации Standard RDP Security и Enhanced RDP Security, ниже рассмотрим оба более подробно. Standard RDP Security RDP протокол при данном методе аутентификации, шифрует  подключение средствами самого RDP протокола, которые есть в нем, вот таким методом: Когда ваша операционная система запускается, то идет генерация пары RSA ключиков Идет создание сертификата открытого ключа Proprietary Certificate После чего Proprietary Certificate подписывается RSA ключом созданным ранее Теперь RDP клиент подключившись к терминальному серверу получит Proprietary Certificate Клиент его смотрит и сверяет, далее получает открытый ключ сервера, который используется на этапе согласования параметров шифрования. Если рассмотреть алгоритм с помощью которого все шифруется, то это потоковый шифр RC4. Ключи разной длины от 40 до 168 бит, все зависит от редакции операционной системы Windows, например в Windows 2008 Server – 168 бит. Как только сервер и клиент определились с длиной ключа, генерируются два новых различных ключа, для шифрования данных. Если вы спросите про целостность данных, то тут она достигается за счет алгоритма MAC (Message Authentication Code) базируемого на SHA1 и MD5 Enhanced RDP Security RDP протокол при данном методе аутентификации использует два внешних модуля безопасности: CredSSP TLS 1.0 TLS поддерживается с 6 версии RDP. Когда вы используете TLS, то сертификат шифрования можно создать средствами терминального сервера, самоподписный сертификат или выбрать из хранилища. Когда вы задействуете CredSSP протокол, то это симбиоз технологий Kerberos, NTLM и TLS. При данном протоколе сама проверка, при которой проверяется разрешение на вход на терминальный сервер осуществляется заранее, а не после полноценного RDP подключения, и тем самым вы экономите ресурсы терминального сервера, плюс тут более надежное шифрование и можно делать однократный вход в систему (Single Sign On), благодаря NTLM и Kerberos. CredSSP идет только в ОС не ниже Vista и Windows Server 2008. Вот эта галка в свойствах системы разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети.   Изменить порт rdp Для того, чтобы изменить порт rdp, вам потребуется:  Открываем редактор реестра (Пуск -> Выполнить -> regedit.exe) Переходим к следующему разделу:   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp   Находим ключ PortNumber и меняем его значение на номер порта, который Вам нужен. Выберите обязательно десятичное значение, я для примера поставлю порт 12345. Как только вы это сделали, то перезапустите службу удаленных рабочих столов, через командную строку, вот такими командами: Далее не забудьте в брандмауэре Windows после изменения порта RDP открыть его, для этого жмем WIN+R и в окне выполнить пишем firewall.cpl. Далее переходим в пункт Дополнительные параметры И создаем новое входящее правило для нового rdp порта. Напоминаю, что порт rdp по умолчанию 3389. Выбираем, что правило будет для порта Протокол оставляем TCP и указываем новый номер RDP порта. Правило у нас будет разрешающее RDP соединение по не стандартному порту При необходимости задаем нужные сетевые профили. Ну и назовем правило, понятным для себя языком. Для подключения с клиентских компьютеров Windows адрес пишите с указанием порта. Например, если порт Вы изменили на 12345, а адрес сервера (или просто компьютера, к которому подключаетесь): myserver, то подключение по MSTSC будет выглядеть так:
mstsc -v:myserver:12345 или через командную строку. Как видите изменить порт rdp совсем не трудная задача, все тоже самое можно проделать средствами групповой политики.

k010v

k010v

Как подключиться к Windows из Linux?

Как подключиться к Windows из Linux? Можно установить программу Vinagre, хотя есть и другие. Если она вас не устроит, то откройте Synaptic и в поиск введите слово RDP - протокол этой службы. Найдёте ещё с дюжину программ, которые делают тоже самое. Ну а мы установим эту программу, Vinagre:
sudo apt-get install vinagre После установки идём в МЕНЮ - ИНТЕРНЕТ - ПРОСМОТР УДАЛЁННЫХ РАБОЧИХ СТОЛОВ. Запускаем программу и вводим все, что необходимо: ip адрес, который мы до этого придумали, логин администратора (admin) и размер экрана. Вот, появилось окно, вводим пароль и попадаем в Windows! Теперь можно работать сразу на двух компьютерах на одном мониторе. Очень похоже, как при работе на виртуальной машине, только теперь у меня ничего не зависнет :)   И ещё один момент: в программе вы заметите, что кроме RDP есть и другие протоколы, по которым можно подключиться к Windows - VNC и SSH. Эти протоколы лучше данного, но для подключения по ним нужен дополнительный софт в Windows. Даже больше скажу: нужно запустить VNC или SSH сервер. Я раньше это делал и как это реализовать знаю. Но об этом напишу как нибудь в другой раз :)  

k010v

k010v

Включение RDP на компьютерах через GPO

cmd -> gpedit.msc 1.Добавим RDP в исключения Windows Firewall: 1. Политика "Локальный компьютер" (Computer Configuration) -> 
2. Административные шаблоны (Administrative Templates) -> 
3. Сеть (Network) -> 
4. Сетевые подключения (Network Connections) -> 
5. Брандмауер Windows (Windows Firewall) -> 
6. Профиль домена (Domain Profile) -> 
7. Разрешить исключения для входящих сообщений удаленного управления рабочим столом (Windows Firewall: Allow Remote Desktop Exception - Enable) 2.Включение Удаленного Рабочего стола (Remote Dektop): 1. Политика "Локальный компьютер" (Computer Configuration) -> 
2. Административные шаблоны (Administrative Templates) -> 
3. Компоненты Windows (Windows Components) -> 
4. Службы удаленных рабочих столов (Terminal Services) -> 
5. Узел сеансов удаленных рабочих столов -> 
6. Подключения -> 
7. Разрешать удаленное подключение с использованием служб удаленных рабочих столов (Allow users to connect remotely using Terminal Services - Enable) Не забываем обновить политики cmd -> gpupdate /force UPD: 1. Можно ограничить список клиентов, которым разрешено удаленное подключение с использованием служб удаленных рабочих столов, изменив параметр политики «Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность\Требовать проверку подлинности пользователя для удаленных подключений с помощью проверки подлинности на уровне сети».
2. Можно ограничить количество одновременно подключенных пользователей с помощью параметра политики «Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Подключения\Ограничить количество подключений» или путем настройки параметра «Максимальное число подключений» на вкладке сетевого адаптера средства настройки узла сеансов удаленных рабочих столов.

k010v

k010v

Пропадают ярлыки с рабочего стола в Windows 7

Аннотация На ПК с Windows 7 могут пропадать ярлыки, которые вы создаете на рабочем столе.

Это может происходить, если средство обслуживания системы считает их поврежденными. Средство обслуживания системы еженедельно проверяет операционную систему. Оно устраняет проблемы автоматически или сообщает о них в центре поддержки. При наличии более четырех поврежденных ярлыков на рабочем столе средство автоматически удаляет их. Что такое поврежденная ссылка? Поврежденный ярлык указывает на файл, папку или диск, который доступен не всегда, например на USB-устройство, которое может отключаться во время работы средства, или на сетевую папку, недоступную в это время в сети. Обходной путь Для решения проблемы используйте один из указанных ниже способов. Способ 1. Удалите с рабочего стола все поврежденные ярлыки, кроме 4 Уменьшите число поврежденных ярлыков на рабочем столе до четырех или меньше. Это можно сделать,  удалив с рабочего стола все ярлыки, кроме 4 наиболее часто используемых. Если у вас больше 4 ярлыков, вы также можете создать на рабочем столе папку и переместить все ярлыки в нее. Эти ярлыки не будут удалены, потому что они не находятся непосредственно на рабочем столе. 
  Способ 2. Отключите средство обслуживания системы Если на рабочем столе должно находиться больше четырех поврежденных ярлыков, можно отключить средство обслуживания системы.



Примечание. В случае отключения средства все задачи, за которые оно отвечает, выполняться не будут. Поэтому рекомендуется использовать способ 1.

Для отключения средства выполните перечисленные ниже действия: Нажмите кнопку Пуск , а затем выберите пункт Панель управления. В разделе Система и безопасность щелкните элемент Поиск и исправление проблем.
Примечание. Если параметр Система и безопасность не отображается, измените способ просмотра на Панели управления. Чтобы  изменить способ просмотра, щелкните стрелку вниз в списке Представление и выберите параметр Категория. Элемент Представление расположен в правом верхнем углу Панели управления.
  В области навигации слева выберите элемент Изменить параметры. Задайте для параметра Обслуживание компьютера значение Выключено.

k010v

k010v

PowerShell: инструмент не только для сисадмина

Немного коснувшись Powershell в тексте про простейшие скрипты, мы уже убедились в том, что это достаточно простой и эффективный инструмент для выполнения повседневных задач. Однако понять истинные возможности PowerShell по нескольким примерам и поверхностному изучению категорически невозможно, ведь до определенного момента вас не покидает ощущение надуманной легкости. Так является ли PowerShell важным инструментом Windows или это игрушка для гиков? Давайте разбираться. Краткая справка PowerShell был официально запущен в 2006 году и был призван заменить сильно ограниченный интерпретатор командной строки cmd. Это уже была вторая попытка замены, выпущенный 8 годами ранее Windows Script Host провалился из-за отсутствия встроенной документации и отсутствия интеграции в оболочку. Ну а PowerShell учел большинство ошибок своих предшественников, 3 года с момента презентации допиливался до пристойного вида и в итоге предстал перед армией системных администраторов в весьма приятном виде. Командлеты на конвейере Основа PowerShell — командлеты. Если вы хоть немного знаете английский язык, то уже поняли, что название «командлеты» происходят от красноречивого «cmdlet». Их структура включает в себя собственно команду (глагол) и объект (существительное). Например: Get-Process, Sort-Object, Rename-Item и так далее. Разделение, как видно, выполняется знаком «-». Есть ограниченный список командлетов, используемый системой по умолчанию, но начиная с версии PowerShell 2.0 вы можете самостоятельно создавать свои командлеты. Подробнее прочитать об этой процедуре вы можете на официальной странице Microsoft. Кстати, актуальная версия 5.1 вышла в августе прошлого года. Другое базисное понятие в PowerShell — конвейер (Pipeline). Конвейер — процедура передачи выходных данных одного командлета в качестве входных следующего. Обозначается конвейер «|» , а на практике такая запись выглядит предельно просто: Get-Process | Sort CM Как видно из записи, в коде в конце каждой строки ставить «;» не надо, но данный знак можно использовать для разделения командлетов: Get-Process; Get-Help Все удобно и красиво. Ну а главное в PowerShell — это конечно же скрипты. Здесь, как в любом уважающем себя языке высокого уровня имеются возможность работать с переменными, функциями, условными операторами, циклами, исключениями и т. д. В общем, существенных ограничений в функциональности вы не ощутите. Удобство и скорость Конечно, желая пойти навстречу своим клиентам и до предела облегчить им жизнь, огромная команда Microsoft создала удобный и понятный даже далекому от программирования человеку продукт. Вот представьте на минуту, что вы системный администратор в офисе. Вам надо проверить не занимаются ли сотрудники ерундой на рабочем месте. Проще всего это сделать, осуществив поиск и завершение «неправильного» процесса на компьютере в активного каталоге: $proc = "Wrong_Proc"
$strCategory = "computer"
$objDomain = New-Object System.DirectoryServices.DirectoryEntry
$objSearcher = New-Object System.DirectoryServices.DirectorySearcher
$objSearcher.SearchRoot = $objDomain
$objSearcher.Filter = ("(objectCategory=$strCategory)")
$colProplist = "name"
foreach ($i in $colPropList){$objSearcher.PropertiesToLoad.Add($i)}
$colResults = $objSearcher.FindAll()
foreach ($objResult in $colResults)
{
$objComputer = $objResult.Properties
$objComputer.name
if (Test-Connection -Count 2 -ComputerName $objComputer.name -Quiet)
{
$ps = Get-WmiObject Win32_Process -Filter "Name='$proc'" -ComputerName $objComputer.name

foreach ($i in $ps)
{
$result = $i.Terminate()
if ($result.ReturnValue -eq 0) { "Success $comp"}
else {"Error $comp"}
}
}
}   Wromg_Proc — название искомого процесса, например, wmplayer.exe. Первая часть скрипта посвящена поиску нашего компьютера, вторая в AD, вторая — собственно работе с процессом. Несмотря на то, что визуально такая запись может оттолкнуть новичка, фактически со знанием английского можно легко расшифровать код. Но за удобство , как это давно повелось, Microsoft пришлось заплатить немалую цену. Среди необходимых жертв и «гуляющий» синтаксис с упрощениями, который не позволяет новичкам свободно читать код своих более опытных коллег, и неоправданные вольности в оформлении, в том числе исходного кода. Но главное, чем приходится жертвовать — быстродействие. Код, исполняемый на PowerShell может быть в разы медленнее линуксового аналога bash. И если при работе только со своей машиной это не слишком заметно, то при обслуживании десятков и сотен удаленных компьютеров вы теряете часы времени вместо десятков минут. Заверните со списком литературы Не знаю, заинтересовались ли вы PowerShell по итогам этого опуса, но если да, то найти остальную информацию вам не составит труда. В отличие от многих других языков, в российском сегменте интернета очень много качественной информации по PowerShell для людей любого уровня подготовки. Но начать следует с официальной странички, ибо где ещё вы найдёте точную актуальную информацию. Да, абсолютное большинство здесь на английском языке, любой подручный переводчик вам поможет во всём разобраться. Учебник, кстати, на русском. Немало интересных и познавательных обучалок можно найти на Хабрахабр. Готовые скрипты на любой вкус и несколько слов от создателей можно найти на горячо горячо любимом GitHub. Интересную книгу для знакомства со средой можно абсолютно законно и бесплатно скачать здесь. Оговорка: книга довольно старая, охватить возможности вы сможете только до 2 версии. Или вот настольная книга с готовыми скриптами и комментариями. Очень пригодится практикующему сисадминщику и тому, кто интересуется языком для личных, но реальных дел.

k010v

k010v

7 скриптов для Windows, которые помогут сэкономить время

Если вы только недавно встали на путь программирования и ещё даже не пробовали поиграться с установленной операционной системой, то манипулирование с помощью скриптов может вызвать резонные вопросы необходимости и удобства. Однако, даже если опустить тот простой факт, что они помогают лучше понять, как функционирует ОС, в будущем при создании приложений, исполнение сценариев может оказаться крайне полезным навыком. Для исполнения следующих скриптов мы обратимся к PowerShell. Любой системный администратор (по профессии или в душе) знает его возможности и периодически пользуется, для всех остальных это просто интерфейс командной строки или иностранное слово. На популярных ресурсах вы можете найти уйму идей, как использовать PowerShell для развлечения и дела, здесь же мы рассмотрим лишь простые скрипты, которые помогут войти в курс дела. Выключение и перезапуск Итак, самая простая операция выключения вашего компьютера. Открываем блокнот, прописываем: shutdown -s -t 0 Сохраняем файл, как *.cmd (*- имя вашего файла, например shutdown.cmd) и не забудьте в типе выбрать “все файлы”. Всё, исполняемый файл по запуску выключит ваш компьютер. “-s”, в данном случае означает выключение, замените на “-r” - получите перезагрузку. “-t” - таймер, у нас он установлен на 0 секунд, но если установить на 60 - получите выключение через 60 секунд. Удаляем ненужное В различных сборках, предустановленных на компьютер или ноутбук, вы можете наткнуться на массу абсолютно ненужных пакетов приложений. Удалить их с помощью скрипта проще простого: get-appxpackage -name *APPNAME* | remove-appxpackage Как вы понимаете, *APPNAME* - название неинтересующей надстройки. Да, удалять эти пакеты можно стандартным путём или через специальные программы, но вы можете создать скрипт, который удалит их все одним двойным кликом. Управляем процессами Есть в PowerShell две полезные команды, которые позволят бороться с ветряными мельницами (процессами, снижающими быстродействие). Вывести их на экран можно просто прописав:  Get-Service или информацию о конкретном сервисе под кодовым названием *NAME* (на этом месте должно быть название интересующего сервиса): Get-Service *NAME* Но это можно сделать в диспетчере задач, а вот действительно полезным может оказаться создание файла, который по клику закрывал бы все процессы с повышенным потреблением ресурсов (браузеры, антивирусы и пр.). Для этого воспользуйтесь командой Stop-Service: Stop-Service -Name *ANTIVIRUS* Stop-Service -Name *BROWSER* Названия для замены указаны в * *. Переименовываем группу файлов Ещё одна назойливая проблема: вы скопировали с фотоаппарата или телефона изображения. Огромная куча фотографий, которые называются однотипно вроде HGNMD034, где HGNMD - название общей директории, объединяющей файлы, например, отснятые за один день. Для того, чтобы сделать название этих файлов приятнее или иметь возможность объединить несколько папок, не получив при этом хронологическую путаницу из-за имен, можно использовать скрипт группового переименования: $path = "$comp\desktop\journey\russia"
$filter = '*.jpg'
get-childitem -path $path -filter $filter |
rename-item -newname {$_.name -replace 'HGNMD','RUSSIA'} В первой строке в кавычках укажите точный путь к файлам. Во второй строке - расширение файлов, подлежащих изменению. В последней строке вместо “HGNMD” - общее в названиях файлов, подлежащее замене, на что-то, вместо “RUSSIA” - имя, которое вы хотите присвоить. Если данный скрипт опять сохранить в качестве исполняемого файла, то подобные однотипные операции будут отнимать у вас всего несколько секунд времени. Ищем файлы Ещё одна простая задача, реализуемая на PowerShell - поиск файлов в директории. В данном случае рассмотрим поиск log-файлов: Get-Childitem C:\Windows\*.log Или чуть более сложный пример, когда поиск будет производиться ещё и в подпапках: Get-ChildItem C:\Windows\* -Include *.log -Recurse -Force Это чуть более правильная и полная запись, где “Include” - указывает на искомую часть, “Recurse” - на поиск во вложенных каталогах, “Force” - поиск включает в себя системные и скрытые файлы. Справка Итак, с общими принципами функционирования PowerShell мы более-менее разобрались. Если что-то непонятно - обратитесь к справочной информации следующим образом: Get-Help Services Это команда, которая выведет на экран все доступные команды с кратким описанием. Хотите подробнее? Нет ничего проще: Get-Help -Name *CMDLET* Где вместо *CMDLET* вставьте любую интересующую команду. Находим данные Теперь перейдём к простым скриптам, описанным чуть более сложными командами. Например, с помощью PowerShell вы можете выудить почти всю информацию о железе и комплектующих. Как вариант, вот скрипт для оценки уровня заряда аккумулятора: Add-Type -AssemblyName System.Windows.Forms
[Windows.Forms.PowerStatus].GetConstructor('NonPublic, Instance', $null, [Type[]]@(), $null ).Invoke($null) Архитектура процессора удалённого компьютера: [PSObject].Assembly.GetType( 'System.Management.Automation.PsUtils'
).GetMethod('GetProcessorArchitecture', [Reflection.BindingFlags]40
).Invoke($null, @()) Иногда важной задачей бывает проверка прав администратора у текущего пользователя. Вот простой способ на PowerShell: [PSObject].Assembly.GetType('System.Management.Automation.Utils').GetMethod(
'IsAdministrator', [Reflection.BindingFlags]40).Invoke($null, @()) На этом пока остановимся. Как вы наверное убедились, PowerShell не самый сложный, но очень полезный инструмент, который способен выполнять, как простейшие операции, так и достаточно сложные. Однако PowerShell не единственный инструмент для создания скриптов для Windows. Но об этом в следующий раз.

k010v

k010v

Повышение привилегий в Windows-среде

Практика управления информационной безопасностью: pentest
Повышение привилегий пользователя до уровня администратора домена Windows
  Введение
Хорошая система управления информационной безопасностью (СУИБ) требует регулярной оценки своей эффективности. Существуют разные методики подобных оценок, одной из разновидностей которых является т.н. «тест на проникновение» или pentest – санкционированная симуляция хакерской атаки на информационную систему с целью выявления уязвимостей в её защите до того, как их обнаружит реальный злоумышленник. При этом могут использоваться любые доступные в реальной жизни хакерские инструменты, эксплойты, методы и т.д.

Данная статья содержит описание одной из таких антихакерских практик, ставившей своей целью повышение полномочий рядового пользователя домена Microsoft Windows до уровня администратора домена. В основу статьи был положен отчет о результатах теста, реализованного на практике. По соображениям конфиденциальности вся информация, позволяющая идентифицировать место проведения (имена домена и хостов, учетных записей и т.д.) удалена либо изменена. В статье показаны основные методики, для лучшего понимания я привел теоретические основы и используемые уязвимости конкретных версий операционных систем, а также общие рекомендации по защите. И хотя большинство указанных версий ОС Windows на момент публикации будут считаться устаревшими, статья может быть полезна начинающим системным администраторам для лучшего понимания методов защиты учётных данных в среде Windows.
Описание объекта тестирования
Объект тестирования достаточно стандартный – информационная система небольшой (менее 200 сотрудников) компании, специализирующейся на разработке ПО. Внутренняя сеть компании также типична: коммутируемый Gigabit Ethernet, домен Microsoft Windows (будем называть его CORP.LOCAL). Внутренние хосты разделены на IP- подсети на основании своей функциональной принадлежности (как то: группа разработчиков, инженеры по качеству, отдел управления кадрами, бухгалтерия, маркетинг, топ-менеджемент, facilities и т.д.), вся сегментация сделана на L3-коммутаторе. Также имеется выделенный в отдельную IP-подсеть парк внутренних серверов, содержащий: два контроллера домена Windows Server 2008 с интегрированной DNS, внутренний почтовый сервер под управлением Exchange, файл-сервер, терминальный сервер и некоторые другие вспомогательные сервера под управлением Windows и Linux. Отдельно стоит отметить тестовую лабораторию с парком машин под управлением разных версий Microsoft Windows (как десктопных, так и серверных) и предназначенных для тестирования разрабатываемого ПО. Доступ к хостам тестовой лаборатории имеют все сотрудники. Основная версия настольной ОС – Windows 7. На настольных компьютерах и серверах установлено плохо настроенное антивирусное ПО разных производителей (от компаний Symantec, Kaspersky и Trend Micro, почему плохо настроенное – об этом позже).
  Модель нарушителя
Нарушитель – внутренний сотрудник, имеющий непривилегированную пользовательскую учетную запись в домене, настольный компьютер, физический доступ к тестовым компьютерам, (возможно, имеет корпоративный ноутбук), но не имеющий ни на одном из них привилегий локального администратора. Также учетная запись нарушителя не имеет возможности менять настройки антивирусного ПО. Цель нарушителя – получить доступ, эквивалентный доступу администратора, к контроллеру домена и/или файловому серверу.

Как видим, и модель нарушителя, и описание компании достаточно типично.
  Реализация атаки   Шаг 0. Сбор информации о внутренней сети
Итак, мы действуем от лица нарушителя. На данном шаге нам нужно собрать информацию о:
  внутренней адресации и разбиении на подсети именах и IP-адресах хостов, в первую очередь нас интересует список серверов использовании протокола NetBIOS.
Сначала с помощью утилиты ipconfig мы получаем IP-адреса серверов DNS:192.168.12.1 и 192.168.12.2. Т.к. служба DNS интегрирована с Active Directory, это даёт нам основания считать, что мы знаем IP-адреса контроллеров домена. Далее используя утилиту nslookup в интерактивном режиме мы пытаемся получить список всех хостов в зоне corp.local:

> ls –d corp.local > file

Фактически, эта команда инициирует полный трансфер зоны DNS, с сохранением её в file. Многие администраторы забывают настроить ограничения на трансфер зоны для внутренней сети, чем облегчают потенциальному злоумышленнику сбор сведений об инфраструктуре компании, подробнее см. [12].

Результат. Успех. Незащищенный трансфер зоны дал нам полный список имен внутренних хостов, включая сервера, и их IP-адресов. Используя утилиты nbtstat, telnet а также любой из распространенных сканеров уязвимостей нарушитель может собрать информацию о платформе, работающих службах, версии ОС на интересующих его хостах.
  Шаг 1. Получение привилегий локального администратора
Теория. Для получения пароля локального администратора применяется атака на сохраненное в системном реестре значение хэш-функции этого пароля. Несмотря на то, что математически хэш-функция является необратимой, вычисление пароля возможно путем прямого перебора её значений совместно с атакой по словарю. В Windows исторически применяется два алгоритма вычисления парольной хэш-функции: устаревший алгоритм LM и более новый алгоритм NT (иногда также называемый NTLM). Хэш-функция LM является уязвимой в силу своей малой вычислительной сложности, что делает возможным перебор её значений даже на слабом компьютере. Наличие в реестре системы одновременно LM- и NT-хэшей пароля гарантируют злоумышленнику его взлом за приемлемое время. Значение хэша LM при настройках по-умолчанию сохраняется в реестре ОС Windows XP/2003, что делает эти системы особо привлекательными для хакера. Хэш-функция NT является вычислительно более сложной, однако, перебор её значений значительно упрощается тем, что для нее существуют доступные таблицы pre-calculated значений (т.н. Rainbow-таблицы) – они сводят вычисление значения хэш-функции к поиску искомого хэша среди pre-calculated значений.

Объект атаки. Хэши паролей в базе SAM (реестр). В нашем случае это все машины, к которым мы имеем физический доступ. В первую очередь, это наш рабочий десктоп, во вторую – хосты для выполнения тестов.

Реализация. С машинами, к которым есть физический доступ, проделываем следующую операцию: загружаемся с внешнего носителя (используя Windows Pre-installation Environment CD или Linux Live CD), монтируем системный раздел NTFS и копируем ветви реестра HKLM\SYSTEM и HKLM\SAM (файлы %WINDIR%\System32\Config\System и %WINDIR%\System32\Config\Sam соответственно). Особое внимание уделяем машинам под управлением Windows XP\Windows 2003, на которых вероятно нахождение LM-хэша. Для дампа паролей из скопированных файлов реестра используем используем инструменты [1], [2] (все ссылки в конце статьи). Результат:



Последняя строчка содержит искомый NT-хэш локального администратора. На хостах из тестовой лаборатории (назовем эти хосты LAB1 и LAB2) находим ненулевой LM-хэш:





Итак, нами получены NT- и LM-хэши. Но как восстановить из них пароль? Для этого воспользуемся теми же инструментами [1], [2] а также он-лайн сервисами реверса хэша [8] — [11]:



Примечание: реальный пароль состоял из названия компании с небольшим модификатором и быстро сломался под атакой по словарю).

Результат. Успех. Получены пароли (пусть они будут «Pa$$word1» и «Pa$$word2») учетной записи локального администратора с нашего рабочего десктопа и двух тестовых компьютеров. Но помогут ли они получить права администратора домена? Об этом далее.
  Шаг 2. Получение учетных данных администратора домена
Теория. В большинстве случаев для этого достаточно получить значение NT-хэша пароля администратора домена. Это связано с тем, что при проверке пользователя по протоколу NTLM аутентифицируемая система предъявляет аутентификатору только NT-хэш, а проверки пароля не происходит. NT-хэш может быть получен из т.н. хранилища LSA путем обращения к т.н. Logon-сессии администратора (Logon-сессия — специальной область данных, создаваемая процессом Winlogon, где хранится имя пользователя, домен входа и значение NT-хэша пароля, все вместе это называется LSA-secret). Этот NT-хэш используется процессом NTLMSSP при аутентификации по протоколу NTLM. Logon-сессия сохраняется все время пока учетная запись залогинена в систему. Также NT-хэш можно перехватить из NTLM-сессии аутентификации администратора. Кроме того, получение пароля администратора возможно из кэша Domain Cached Credentials (DCC). DCC — это локальный кэш, который заполняется при успешном входе пользователя в домен. Назначение кэша DCC — иметь возможность произвести аутентификацию пользователя при недоступности контроллера домена.

Объекты атаки:
  Хэши DCC (ветка реестра HKLM\Security). Logon-сессия администратора домена (LSA-secret). Перехват NTLM-сессии (не рассматриваем из-за большей практической сложности).
Практика. Многие Windows-администраторы для выполнения разного рода операций на компьютерах пользователей используют учетную запись администратор домена. При этом её данные попадают в кэш DCC. Поэтому сначала попытаемся получить пароль из кэша DCC. Заходим на нашу рабочую станцию, сохраняем ветвь реестра HKLM\Security и импортируем её в [1]. Т.к. у нас имеется пароль локального администратора, загружать машину с внешнего носителя для сохранения реестра уже не нужно:



В кэше лежат данные паролей трех учетных записей. Последняя учетная запись (***user) нас не интересует, вторая учетная запись искомых привилегий не имеет, а вот пользователь shadmin похож на искомого администратора. К сожалению, алгоритм MS-CACHE2 имеет большую вычислительную сложность и атака прямым перебором на него неэффективна. Функция MS-CACHEv2 содержит «вычислительный секрет» — salt (в качестве “salt” используется имя учетной записи) что делает её защищенной от атаки по Rainbow-таблицам. Однако, в будущем возможно появление таблиц значений хэша для стандартных учетных записей – “Administrator”, «Администратор» и т.д. Ради интереса отправляем найденный «кэш-хэш» в облачный сервис [8] — [11] (о результатах и эффективности таких сервисов в конце статьи). Пока «облако думает» пытаемся найти другие DCC. Анализируем список хостов, полученный на шаге 0, проверяем, на какие сервера мы можем зайти под локальным администратором используя пароли, полученные на шаге 1. Т.к., на контроллере домена локальный администратор заблокирован, а почтовый сервер обычно лучше защищен, экспериментировать надо с второстепенными серверами. В нашем случае в списке серверов был найден сервер с неприметным именем Upd. Вход с найденным на шаге 1 паролем “Pa$$word2” оказывается успешным. Обнаруживаем, что на хосте Upd:
  Не установлено антивирусное ПО. На нём работает Apache, являющийся сервером управления для корпоративного антивируса (это значит, что там же есть пароль учетной записи, используемой для удаленной установки антивирусного ПО и теоретически его можно оттуда вытащить). На хосте не ведется аудит неудачных попыток входа. Версия ОС – Windows 2008 R2.
Сделав дамп реестра HKLM\Security мы получаем DCC-хэш учетной записи СORP.LOCAL\Administrator (и ряда других):



Теоретически, можно попробовать подобрать пароль к Administrator через облачный сервис. Однако, как я уже упоминал выше, атака перебором на MS-CACHEv2 бесполезна (хотя, возможно, через пару лет ситуация изменится). Оставляем в покое DCC и переходим к поиску Logon-сессий. Проверяем, кто из пользователей вошел в систему на хосте Upd:



Видим, что на машине Upd висят две неактивные сессии – администратора и уже знакомого нам пользователя Shadmin, а значит, мы можем получить NT-хэши их паролей путем кражи LSA-secret. Это ключевой момент, определивший успех всей атаки. Для кражи хэша используем эксплойт Lslsass [3]. Для его выполнения необходимы права локального администратора (вернее, права на отладку процессов), которые у нас уже есть. Получаем список секретов LSA (в формате «домен\учетная запись:LM-хэш:NT-хэш:::»):
  lslsass v1.0 - Copyright (C) 2010 Bjorn Brolin, Truesec (www.truesec.com) Found Lsass pid: 520 Lsass process open Found possible primary token Found real token UPD\Administrator::00000000000000000000000000000000:<i>8833c58febc977799520e7536bb2011e</i>::: Found possible primary token Found possible primary token Found possible primary token Found real token UPD\Administrator::00000000000000000000000000000000:8833c58febc977799520e7536bb2011e::: Found possible primary token Found real token UPD\Administrator::00000000000000000000000000000000:8833c58febc977799520e7536bb2011e::: Found possible primary token Found real token CORP.LOCAL\UPD$::00000000000000000000000000000000:68987a0fb5529dbf99d5eac3bfce773b::: Found possible primary token Found real token CORP.LOCAL \UPD$::00000000000000000000000000000000:68987a0fb5529dbf99d5eac3bfce773b::: Found possible primary token Found real token CORP.LOCAL \UPD$::00000000000000000000000000000000:68987a0fb5529dbf99d5eac3bfce773b::: Found possible primary token Found real token CORP.LOCAL \Administrator::00000000000000000000000000000000: <b> c690e441dc78bc5da8b389e78daa6392 </b>::: Found possible primary token Found real token CORP.LOCAL \shadmin::00000000000000000000000000000000: <b> 5794cba8b464364eacf366063ff70e78 </b> :::
Выделенные болдом строки содержат искомые парольные хэши. Также обратите внимание на выделенный курсивом хэш в шестой строчке. Где-то мы его уже видели, правда?

Результат. Успех. У нас на руках NT-хэш пароля учетной записи администратора домена. Но какая польза от хэша, если восстановление исходного пароля по нему за приемлемое время невозможно? Об этом в следующем шаге.
  Шаг 3. Обманываем NTLM-сессию аутентификации
Теория. Windows никогда не использует для аутентификации пароль в чистом виде, аутентифицируемая система всегда предъявляет хэш. Отсюда возникает идея: заменив имя пользователя, домен входа и NT-хэш в Logon-сессии зашедшего в систему пользователя на соответствующие значения доменного администратора мы можем аутентифицироваться по протоколу NTLM перед удаленной системой как администратор домена. Данная атака [7] возможна только при аутентификации по протоколу NTLM. Несмотря на широкое распространение протокола Kerberos, NTLM является единственным возможным способом аутентификации клиента, при доступе к сетевой шаре не по символьному имени, а по IP-адресу [13].

Объект атаки. Logon-сессия локального администратора.

Практика. Существует несколько доступных эксплойтов, позволяющих реализовать атаку на платформе Windows Server 2008 x86 и x64. Основным является эксплойт Windows Credentials Editor [4]. Для осуществления атаки заходим на хост LAB2, используя учетные данные “Administrator”\”Pa$$word2”. С помощью [4] подменяем имя учетной записи, домен входа и данные NT-хэша в Logon-сессии на соответствующие значения Shadmin, полученные нами на предыдущем шаге:



Имя учетной записи администратора домена и её NT- хэш передается команде wce в качестве аргумента из командной строки. Результат — хэш успешно изменен. Замечу, что членство пользователя в группе и токен доступа при атаке не изменяются:



Мы по-прежнему локальный Administrator, замазанное зеленым имя хоста на скриншоте выше — LAB2. Однако, при NTLM-аутентификации удаленной системе будет предъявлено имя домена CORP.LOCAL, имя пользователя Shadmin и хэш от пароля Shadmin. Вот дамп одного сетевого пакета, содержащего security blob сессии NTLM:



Замазано зеленым имя домена (CORP.LOCAL) и имя хоста (LAB2 ) ), предъявлена учетная запись – Shadmin. Теперь пытаемся подключиться к корневому разделу системного тома на контроллере домена командой net use используя IP-адрес контроллера домена:



Успешно. Для проверки доступа я создал в корне текстовый файлик (найдите его на скриншоте). Создав на диске контроллера домена батник с нужной нам последовательностью команд, мы можем, используя [5], выполнить на контроллере домена нужную операцию (например, добавить пользователя в группу администраторов домена). Операция будет выполнена с правами учетной записи Shadmin. Для иллюстрации создаем на удаленном хосте простой командный файл, добавляющий локального пользователя:

net user TstUsr Pa$$word /add

Удаленно запускаем его с хоста LAB2:



Он будет выполнен в удаленной системе 192.168.13.125 с привилегиями пользователя нашей текущей сессии – shadmin (т.е., администратора домена). Проверяем:



Второй вывод команды net user показывает нового пользователя. Несмотря на невозможность запуска таким образом приложений, требующих интерактивного взаимодействия с пользователем (например, оснасток MMC), можно выполнить широкий спектр действий с помощью скриптов.

Результат. Успех. Получен доступ к файловой системе и shell контроллера домена.
  Резюме
Вкратце цепочка атаки выглядела следующим образом: Сбор информации о структуре сети -> Получение пароля локального администратора -> Использование этого пароля для входа на один из второстепенных серверов -> Кража «оставленных без присмотра» учетных данных администратора домена -> Модификация своей Logon-сессии и повышение привилегий до нужного уровня.

Успеху атаки способствовали:
  Слабая защита зоны DNS от трансфера на недоверенные хосты. Слабая парольная политика. На большинстве компьютеров домена для учетной записи локального администратора использовался одинаковый пароль, уязвимый к атаке по словарю. Отсутствие либо слабая настройка антивирусного ПО на критичных хостах. Слабая защита парольных хэшей – две неактивные администраторские Logon-сессии на хосте Upd, наличие хэшей LM в базе SAM. Неудовлетворительная политика аудита.

На основании этого можно вывести общие рекомендации по защите:

0. Тщательно скрывать внутреннюю структуру сети от возможных злоумышленников. Так, у пользователей не должно быть возможности получить полное содержимое файла зоны DNS. Недоверенных пользователей (это могут быть, например, стажеры, сотрудники, у которых не закончился испытательный срок и т.д.) имеет смысл переносить в отдельную подсеть, используя NAT для подмены адресов (включая, например, модификацию DNS-ответов).

1. Правильная политика назначения паролей локального администратора. Пароль локального администратора должен быть разным на хостах, имеющих разную степень защищенности от НСД. Компрометация пароля локального администратора на любом из хостов домена должна сводить к минимуму возможность использования злоумышленником этого пароля.

2. Хранение LM-хэша в SAM должно быть запрещено политиками безопасности.

3. Не надо использовать в качестве части пароля администратора название компании или её домена ) Это затруднит злоумышленнику атаку по словарю. Но даже используя сложный пароль, не забывайте самостоятельно и регулярно проверять его хэш на стойкость используя онлайн-сервисы.

4. Не рекомендуется выполнять рутинные операции на компьютерах домена из-под учетной записи администратора домена. Это защитит учетную запись от перехвата данных Logon-сессии и от попадания хэша пароля в DCC-кэш.

5. Взять за правило не оставлять без присмотра Logon-сессию администратора домена. Best practice: закончил работу – разлогинься.

6. Утилиты подмены LSA достаточно малочисленны. Имеет смысл отслеживать их эволюцию и проверять их успешное детектирование корпоративным антивирусным ПО.

7. У пользователя, даже имеющего права локального администратора, не должно быть возможности изменять настройки корпоративного антивируса. Выключение службы антивируса на рабочих станциях домена должно приводить к оповещению администратора домена (в этом смысле в ходе теста неплохо отработал Symantec Endpoint Protection).
  Дополнение 1. Поведение антивирусного ПО
На компьютерах компании использовалось антивирусное трех видов: KAV, актуальный на момент проведения теста Symantec Endpoint Protection и устаревший продукт от Trend Micro. В большинстве случаев использованные в ходе атаки инструменты определялись как Hack Tool/Rootkit/Trojan. KAV без предупреждения удалял их, а SEP (даже выключенный) выдавал предупреждение и перемещал в карантин не давая возможности запустить. Однако наличие прав локального администратора позволяет отключить KAV, а защита SEP была обойдена путем ручного прописывания пути-исключения для проверки, опять-таки, с использованием учетной записи локального администратора. Установленный на некоторых хостах антивирус от Trend Micro не запуск эксплойтов реагировал никак.
  Дополнение 2. Эффективность использования онлайн-сервисов проверки хэша
Для проверки стойкости хэшей паролей существует множество онлайн-сервисов. Они позволяют работать с наиболее распространенными хэшами – LM, NTLM, MD4, MD5, WPA, с хэшами, использующими salt и т.д. Для проверки хэша используется прямой перебор с использованием вычислительной мощности современных GPU, перебор по словарю, гибридные атаки и т.д. Единожды вскрытый хэш может пополнить базу и использоваться в дальнейшем. Сервис может быть бесплатным для проверки короткого (менее 8 символов) пароля или брать небольшое вознаграждение. В процессе теста я использовал четыре таких сервиса, ссылки приведены в конце статьи. Я отправил несколько найденных на шаге 2 хэшей и через 15 месяцев получил от сервиса On-line Hash Crack [9] уведомление об успешном восстановлении одного из них )
  Ссылки
Использованные инструменты

[1] Cain & Abel — a password recovery tool for Microsoft Operating Systems. It allows easy recovery of several kind of passwords by sniffing the network, cracking encrypted passwords using Dictionary, Brute-Force and Cryptanalysis attacks, recording VoIP conversations, decoding scrambled passwords, recovering wireless network keys, revealing password boxes, uncovering cached passwords and analyzing routing protocols.
[2] L0pht Crack.
[3] Lslsass exploit. Dumps active logon session password hashes from the lsass process.
[4] Windows Credentials Editor post-exploit. Инструмент для изменения Logon-credentials.
[5] PsExec из комплекта PS Tools

Подробные описания уязвимостей

[6] Серия статей «Эффективное получение хэша паролей в Windows» на сайте www.securitylab.ru
[7] Pass-the-Hash, описание атаки на удаленную систему путем предоставления ей скомпроментированного хэша.

Облачные сервисы взлома хэшей
[8] Question-defense.com (кажется, уже неработоспособен на момент публикации ( )
[9] www.onlinehashcrack.com
[10] www.cloudcracker.com
[11] On-line hash killer

Дополнительные материалы

[12] Безопасность и тюнинг DNS в Windows Server
[13] Kerberos is not used when you connect to SMB shares by using IP address

k010v

k010v

Установка DNS и Active Directory - Windows Server 2016

Установка и настройка DNS-сервера и Active Directory в Windows Server 2016 практически не отличается от предыдущих выпусков серверов компании Microsoft, таких как Windows Server 2012, 2008. Пройдя несколько шагов устанавливается роль DNS и Доменные службы Active Directory, также для сервера имён потребуется небольшая настройка.     Установка и настройка роли DNS-сервера и Доменные службы Active Directory До установки ролей сервера, требуется задать имя будущему серверу, а также статический IP-адрес. Также, если имеются, указываем IP-арес шлюза. 1. Нажимаем правой клавишей мыши на "Этот компьютер" и выбираем "Свойства". В открывшемся окне - "Изменить параметры" - "Изменить". Задаём имя компьютера и нажимаем "ОК". Для того, чтобы изменения вступили в силу, перезагружаем компьютер. 2. Для того, чтобы открыть сетевые соединения, в поле "Поиск" набираем команду ncpa.cpl. Выбираем нужный сетевой интерфейс, правой клавишей мыши - "Свойства". IP версии 6(TCP/IPv6) выключаем, если не используем. Затем выбираем IP версии(TCP/IPv4). Заполняем поля: IP-адрес: адрес сервера (например, 192.168.100.5) Маска подсети: маска сети (например, 255.255.255.0) Основной шлюз: шлюз, если имеется (например, 192.168.100.1) Предпочитаемый DNS-сервер: (например, 192.168.100.5) 3. Теперь можно начать установку ролей сервера. Для этого выбираем "Диспетчер серверов". 4. В следующем окне - "Добавить роли и компоненты". 5. Читаем "Перед началом работы" и нажимаем "Далее". Затем оставляем по умолчанию чекбокс "Установка ролей или компонентов" и снова "Далее". В следующем окне выбираем сервер, на который будем устанавливать роли и "Далее". 6. Выбора ролей сервера - ставим галочки напротив "DNS-сервера" и "Доменные службы Active Directory". При появлении запроса о добавлении компонентов - "Добавить компоненты". Затем "Далее". 7. В следующих окнах нажимаем "Далее", а в окне "Подтверждение установки компонентов" выбираем "Установить". Этот мастер можно закрывать, по окончании установки появится предупреждение в диспетчере серверов. 8. После окончания установки выбранных ролей сервера, нажимаем на значок предупреждения в "Диспетчере серверов" и выбираем "Повысить роль этого сервера до уровня контроллера домена". 9. В следующем окне - "Добавить новый лес". Имя корневого домена - уникальное имя вашего домена. 10. В "Параметрах контроллера домена" оставляем по умолчанию режим работы леса и домена - "Windows Server 2016". Вводим пароль для режима восстановления служб каталогов (DSRM).Этот пароль может пригодиться, его обязательно надо запомнить или записать в надежное место. 11. В окне "Параметры DNS" - нажимаем "Далее". 12. В "Дополнительные параметры" - "Далее". 13. Расположение базы данных AD DS, файлов журналов и попок SYSVOL оставляем по умолчанию, нажимаем "Далее". 14. Проверяем параметры, затем "Далее". 15. После того, как сервер проверит соответствие предварительных требований, можно нажимать "Установить". 16. После настройки контроллера домена, можно перейти к настройке обратной зоны DNS-сервера. Для этого в "Диспетчер серверов" выбираем "Средства", далее "DNS". 17. В открывшемся окне выбираем наш сервер, затем "Зона обратного просмотра". Правой клавишей мыши - "Создать новую зону...". 18. В мастере создания новой зоны оставляем тип зоны - "Основная зона", затем "Далее". 19. Оставляем по умолчанию чекбокс на "Для всех DNS-серверов, работающих на контроллерах домена в этом домене, снова "Далее". 20. В следующем окне - "Зона обратного просмотра IPv4", затем "Далее". 21. Для настройки зоны обратного просмотра задаем "Идентификатор сети" (например 192.168.100). После этого появится автоматически зона обратного просмотра. Нажимаем "Далее". 22. В следующем окне оставляем по умолчанию "Разрешить только безопасные динамические обновления, затем "Далее". 23. Для завершения настройки создания новой зоны проверяем настройки и нажимаем "Готово". 24. Появится зона обратного просмотра для домена. 25. В "Диспетчере серверов" выбираем "Пользователи и компьютеры Active Directory". Проверяем работу Active Directory. На этом установка и настройка выбранных ролей сервера заканчивается.

k010v

k010v

Создание и настройка групповых политик в Windows Server 2008 R2

Данное руководство представляет собой пошаговую инструкцию по созданию и настройке локальной групповой политики, а также групповых политик на уровне доменов и подразделений в Windows Server 2008 R2.   Групповые политики – это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object).   I. Область действия групповых политик Все групповые политики имеют свою область действия (scope), которая определяет границы влияния политики. Области действия групповых политик условно можно разделить на четыре типа: Локальные групповые политики Групповые политики, применяемые к локальному компьютеру, или локальные групповые политики. Эти политики настраиваются в оснастке «Редактор локальных групповых политик» и применяются только к тому компьютеру, на котором они были настроены. Они не имеют механизма централизованного развертывания и управления и, по сути, не являются групповыми политиками. Групповые политики доменов Объекты групповых политик, применяемые к домену Active Directory (AD) и оказывающие влияние на все объекты, имеющие отношение к данному домену. Поскольку в рамках домена работает механизм наследования, то все политики, назначенные на домен, последовательно применяются и ко всем нижестоящим контейнерам. Групповые политики подразделения Политики, применяемые к подразделению (Organizational Unit policy, сокр. OU) и оказывающие влияние на все содержимое данного OU и дочерних OU (при их наличии). Групповые политики сайтов Сайты в AD используются для представления  физической структуры организации. Границы сайта определяются одной или несколькими IP-подсетями, которые объединены высокоскоростными каналами связи. В один сайт может входить несколько доменов и наоборот, один домен может содержать несколько сайтов. Объекты групповой политики, примененные к сайту AD, оказывают влияние на все содержимое этого сайта. Следовательно, групповая политика, связанная с сайтом, применяется ко всем пользователям и компьютерам сайта независимо от того, к какому домену они принадлежат.   II. Порядок применения и приоритет групповых политик Порядок применения групповых политик напрямую зависит от их области действия. Первыми применяются Локальные политики, затем Групповые политики сайтов, затем отрабатывают Доменные политики и затем OU политики. Если на одну OU назначено несколько GPO, то они обрабатываются в том порядке, в котором были назначены (Link Order). Приоритет GPO напрямую зависит от порядка их применения — чем позднее применяется политика, тем выше ее приоритет. При этом нижестоящие политики могут переопределять вышестоящие — например Локальная политика будет переопределена Доменной политикой сайта, Доменная политика — политикой OU, а политика вышестоящего OU — нижестоящими политиками OU.   III. Создание локальной групповой политики 1. Для создания локальной групповой политики зайдите на рабочую станцию, нажмите Пуск, в поле поиска введите Выполнить, затем, в поисковой выдаче, выберите Выполнить (Рис.1). Рис.1 . 2. В открывшемся окне введите в поле gpedit.msc, затем нажмите OK (Рис.2). Рис.2 . 3. В открывшемся окне Вы увидите две основные категории параметров групповой политики — параметры конфигурации компьютера и параметры конфигурации пользователя. Параметры конфигурации компьютера применяются к компьютеру в целом, то есть действуют в отношении всех пользователей, входящих в систему на данном компьютере, без различия, гости они, пользователи или администраторы. Параметры конфигурации пользователя действуют только в отношении конкретно заданных пользователей (Рис.3). Рис.3 . 4. Выберите: Конфигурация пользователя > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.4). Рис.4 . 5. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:\Green_Local.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер (Рис.5). Рис.5 . 6. После перезагрузки компьютера Вы увидите, что политика отработала и фон рабочего изменился (Рис.6). Рис.6 . IV. Создание и настройка групповой политики на уровне домена 1. Для создания групповой политики на уровне домена зайдите на сервер, выберите Пуск > Администрирование > Управление групповой политикой (Рис.7). Рис.7 . 2. Выберите домен (прим. в данном руководстве это example.local), через правую кнопку мыши вызовите меню, в котором выберите Создать объект групповой политики в этом домене и связать его… (Рис.8). Рис.8 . 3. В появившемся окне выберите, в соответствующем поле, имя новой групповой политики (прим. в данном руководстве это GPO-1), затем нажмите ОК (Рис.9). Рис.9 . 4. Выберите созданную групповую политику (прим. GPO-1), через правую кнопку мыши вызовите меню, в котором выберите Изменить (Рис.10). Рис.10 . 5. Выберите: Конфигурация пользователя > Политики > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.11). Рис.11 . 6. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:\Yellow_Domain_GPO-1.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (Рис.12). Рис.12 . 7. После перезагрузки компьютера Вы увидите, что групповая политика домена отработала и фон рабочего стола на компьютере изменился (прим. на компьютере доменные политики успешно применились и переопределили настройки, задаваемые локальными политиками. Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым) (Рис.13). Рис.13 . V. Создание и настройка групповой политики на уровне подразделения 1. Для создания групповой политики на уровне подразделения (Organizational Unit policy, сокр. OU) зайдите на сервер, выберите Пуск > Администрирование > Управление групповой политикой (Рис.14). Рис.14 . 2. Выберите домен (прим. в данном руководстве это example.local), через правую кнопку мыши вызовите меню, в котором выберите Создать подразделение (Рис.15). Рис.15 . 3. В появившемся окне выберите, в соответствующем поле, имя нового подразделения (прим. в данном руководстве это OU-1), затем нажмите ОК (Рис.16). Рис.16 . 4. Выберите созданное подразделение (прим. OU-1), через правую кнопку мыши вызовите меню, в котором выберите Создать объект групповой политики в этом домене и связать его… (Рис.17). Рис.17 . 5. В появившемся окне выберите, в соответствующем поле, имя новой групповой политики (прим. в данном руководстве это GPO-2), затем нажмите ОК (Рис.18). Рис.18 . 6. Выберите созданную групповую политику (прим. GPO-2), через правую кнопку мыши вызовите меню, в котором выберите Изменить (Рис.19). Рис.19 . 7. Выберите: Конфигурация пользователя > Политики > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.20). Рис.20 . 8. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это Red_OU_OU-1_GPO-2.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (прим. на этом же компьютере она была переопределена доменной групповой политикой) (Рис.21). Рис.21 . 9. После перезагрузки компьютера Вы увидите, что доменная политика (GPO-1) переопределена политикой (GPO-2), назначенной на OU. (Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым, после чего доменная политика была переопределена политикой OU и фон стал красным) (Рис.22). Рис.22 . VI. Наследование в групповых политиках 1. На все политики в домене распространяется наследование, т.е. политики, назначенные на родительский контейнер (домен или OU), последовательно применяются ко всем дочерним контейнерам. При необходимости это можно изменить, отключив наследование для отдельно взятого OU. Для этого необходимо перейти в управление групповой политикой (прим. Пуск > Администрирование > Управление групповой политикой), выбрать нужное OU (прим. в данном руководстве это OU-1), кликнуть на нем правой клавишей мыши и в контекстном меню отметить пункт Блокировать наследование. После этого для данного OU и его дочерних OU (при их наличии) отменяется воздействие всех вышестоящих политик (Рис.23).   Примечание! Политика Default Domain Policy содержит настройки, определяющие политику паролей и учетных записей в домене. Эти настройки не могут быть заблокированы. Рис.23 . VII. Форсирование применения групповых политик 1. Форсирование применения групповых политик применяется тогда, когда данная политика должна отработать независимо от остальных политик. Если политика форсирована, то, вне зависимости от своей области действия она получает наивысший приоритет. Это значит, что ее настройки не могут быть переопределены нижестоящими политиками, а также на нее не действует отмена наследования. Чтобы форсировать политику, необходимо перейти в управление групповой политикой (прим. Пуск > Администрирование > Управление групповой политикой), выбрать нужную политику (прим. в данном руководстве это GPO-1), кликнуть на ней правой клавишей мыши и в контекстном меню отметить пункт Принудительный (Рис.24). Рис.24 .  Надеемся, что данное руководство помогло Вам! 

k010v

k010v

Как включить RDP на компьютерах через GPO

Пуск -> Выполнить -> gpedit.msc

1.Добавим RDP в исключения Windows Firewall:
Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall -> Domain Profile -> Windows Firewall: Allow Remote Desktop Exception - Enable

для русской версии:
Политика "Локальный компьютер" -> Административные шаблоны -> Сеть -> Сетевые подключения ->Брандмауер Windows-> Профиль домена -> Разрешить исключения для входящих сообщений удаленного управления рабочим столом


2.Включение Удаленного Рабочего стола (Remote Dektop):
Computer Configuration -> Administrative Templates -> Windows Components -> Terminal Services -> Allow users to connect remotely using Terminal Services - Enable

для русской версии:
Политика "Локальный компьютер" -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Подключения -> Разрешать удаленное подключение с использованием служб удаленных рабочих столов            

k010v

k010v

Как установить Windows Server 2012 R2 и не получить 200 обновлений вдогонку

Windows Server 2012 R2 вышел 18 октября 2013 года. С тех пор на эту серверную операционную систему Microsoft выпущено несколько сотен обновлений исправляющих уязвимости и дефекты продукта, а так же улучшающие функционал.

Огромное количество обновлений — источник головной боли. Наиболее актуальный дистрибутив сервера, так называемый «Update2», в который интегрированы обновления по ноябрь 2014 года, безнадежно устарел. Установив с него операционную систему, вы получите вдогонку еще 200+ обновлений, которые будут устанавливаться 2-4 часа.

В этой короткой инструкции мы освежим ноябрьский дистрибутив, интегрировав в него все кумулятивные пакеты обновлений и обновления безопасности.

Помимо дистрибутива мы освежим и память администратора, вспомнив как обновляется носитель для установки, зачем выполняется каждый шаг, и какие нас может ожидать подвохи на разных этапах.

Делать будем по максимуму просто, используя штатные инструменты.

Все работы лучше проводить на сервере с уже развернутом Windows Server 2012 R2, чтобы не было накладок с версией утилиты DISM. Так же на нем удобно подключать ISO файлы, не распаковывая их.
  Готовим рабочие директории
Для работы потребуются следующие каталоги:

ISO — в этот каталог копируются файлы дистрибутива. В скопируйте в него содержимое дистрибутива SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.ISO, предварительно смонтировав образ, а затем размонтировав.
 
MOUNT — пустой каталог, в него будут монтироваться образы из wim-файла.
CU — в этот каталог поместим кумулятивные обновления
SU — в этом каталоге будут находиться обновления безопасности и другие обновления
  mkdir D:\WS2012R2\ISO mkdir D:\WS2012R2\MOUNT mkdir D:\WS2012R2\CU mkdir D:\WS2012R2\SU   Скачиваем кумулятивные обновления
Tip & Trick #1. Microsoft выпускает для Windows Server 2012 R2 кумулятивные пакеты обновлений, но в них входят только обновления, исправляющие ошибки и улучшающие функционал. Обновления безопасности не включены. При этом обновления и не особо кумулятивны. Некоторые не включают в себя предыдущие обновления, и надо ставить «кумулятивное» за каждый месяц. Бардак. В октябре эта ситуация изменится к лучшему.

Со списком кумулятивных обновлений вы можете ознакомиться на этой wiki странице.

С ноября 2014 года нам потребуется интегрировать следующие обновления:

1. December 2014 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3013769, cкачать.

2. July 2016 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3172614, скачать.

Пакеты за май и июнь поглощены этим июльским пакетом. Но перед установкой обязательно обновление April 2015 servicing stack update for Windows 8.1 and Windows Server 2012 R2. KB3021910, скачать.

3. August 2016 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3179574, скачать.
  Обновленный клиент центра обновления можно не интегрировать

UPD: Я несколько преувеличил то, насколько Microsoft качественно подготовила дистрибутив. Обновления April 2014 и November 2014 действительно интегрированы. А все промежуточные — нет. Поэтому добавляем
May 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2955164, скачать
June 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2962409, скачать.
July 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2967917, скачать.
August 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2975719, скачать.
September 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2984006, скачать.
October 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2995388, скачать.

Tip & Trick #2. В разных статьях для интеграции обновлений предлагается извлечь из msu cab-файл. Делать это для offline-образа необязательно — интегрируйте msu без распаковки.

В папку CU разместите упомянутые выше msu файлы — Windows8.1-KB3013769-x64.msu, Windows8.1-KB3021910-x64.msu, Windows8.1-KB3138615-x64.msu, Windows8.1-KB3172614-x64.msu, Windows8.1-KB3179574-x64.msu.
  Скачиваем обновления безопасности
Помимо кумулятивных обновлений интегрируем обновления, которые способна скачать утилита WSUS Offline Update.
Для этого:
  Скачиваем программу download.wsusoffline.net Выбираем обновления для Windows Server 2012 R2


  После скачивания открываем каталог wsusoffline\client\w63-x64\glb и *.cab файлы копируем в каталог C:\WS2012R2\SU
ОСТОРОЖНО: Если в список попали KB2966828 или KB2966827, удалите их, иначе после установки не получится добавить компонент Net Framework 3.5 (подробности).

Обновления готовы, приступим к интеграции.
  Интеграция обновлений
Для интеграции обновлений нам потребуется: Смонтировать содержимое одного из образов в install.wim
  dism /mount-wim /wimfile:{путь к wim файлу} /Index:{N} /mountdir:{путь к директории монтирования} Интегрировать в offline установку каждое обновление
  dism /image:{путь к директории монтирования} /add-package /packagepath:{путь к *.msu или *.cab файлу} Сохранить изменения
  dism /Unmount-WIM /MountDir:{путь к директории монтирования} /Commit
Этот процесс легко следующим автоматизировать командным файлом:
  for /l %%N in (1,1,4) do ( dism /mount-wim /wimfile:"D:\WS2012R2\ISO\sources\install.wim" /Index:%%N /mountdir:D:\WS2012R2\MOUNT for %%f in (D:\WS2012R2\CU\*.*) DO (dism /image:D:\WS2012R2\MOUNT /add-package /packagepath:%%f) for %%f in (D:\WS2012R2\SU\*.*) DO (dism /image:D:\WS2012R2\MOUNT /add-package /packagepath:%%f) dism /unmount-WIM /MountDir:D:\WS2012R2\MOUNT /Commit )

Tip: Запуская командный файл, перенаправьте вывод в журнал UpdateWIM.cmd >>log.txt 2>>&1

В результате мы получим файл D:\WS2012R2\ISO\sources\install.wim размером в 6.15Gb. Можем ли мы его уменьшить? Да, с помощью экспорта можно получить оптимизированный файл размером в 5.85Gb.

Экономия небольшая, кроме того после этого не очень красиво выглядит диалог выбора операционной системы при установке, поэтому следующий шаг опционален.
  Что надо сделать?   Создание компактного образа install.esd   Сборка ISO-файла
Для сборки нам потребуется утилита oscdimg.exe из комплекта Windows ADK. Если у вас ее не оказалось, можно просто скачать утилиту по ссылке (не используйте из этого комплекта ничего, кроме самой утилиты).

Tip & Trick #3. Для того, чтобы не было проблем с загрузкой из образа, следует расположить загрузочные файлы в пределах первых 4 гигабайт образа. Для этого используем файл bootorder.txt

boot\bcd
boot\boot.sdi
boot\bootfix.bin
boot\bootsect.exe
boot\etfsboot.com
boot\memtest.exe
boot\en-us\bootsect.exe.mui
boot\fonts\chs_boot.ttf
boot\fonts\cht_boot.ttf
boot\fonts\jpn_boot.ttf
boot\fonts\kor_boot.ttf
boot\fonts\wgl4_boot.ttf
sources\boot.wim

Пути в этом файле указываются относительно корневой директории с образом, поэтому подстраивать пути на ваши фактические не требуется.

Tip & Trick #4. Если install.wim имеет размер больше 4700Mb, то инсталлятор вылетит с ошибкой «Windows cannot open the required file D:\sources\install.wim. Error code: 0x8007000D».

Нас учили что жизнь — это бой, поэтому разделим исходный install.wim на два командой
  dism /split-Image /imagefile:D:\WS2012R2\ISO\sources\install.wim /swmfile:D:\WS2012R2\ISO\sources\install.swm /filesize:4096
Оригинальный файл install.wim можно удалить.

Tip & Trick #5. Вообще Microsoft говорит, что пить так делать нельзя.
Мы говорим, что будем! Инсталлятор прекрасно подхватывает swm-файл. Проблем с установкой не будет.

Собираем образ командой:

oscdimg -m -n -yoD:\WS2012R2\bootorder.txt -bD:\WS2012R2\ISO\BOOT\etfsboot.com -lIR5_SSS_X64FREV_EN-US_DV9 D:\WS2012R2\ISO en_windows_server_2012R2_August_2016.iso

Уважаемый ildarz подсказывает, что для создания образа, одинаково хорошо работающего с BIOS и EFI, следует руководствоваться KB947024 и создавать образ так:
  oscdimg -m -u2 -udfver102 -yoD:\WS2012R2\bootorder.txt -bootdata:2#p0,e,bD:\WS2012R2\ISO\BOOT\Etfsboot.com#pEF,e,bD:\WS2012R2\ISO\EFI\microsoft\BOOT\efisys.bin -lIR5_SSS_X64FREV_EN-US_DV9 D:\WS2012R2\ISO en_windows_server_2012R2_August_2016.iso
Работоспособность проверена в ESXi с любым типом загрузки (BIOS/EFI).

Все получилось? Поздравляю!



Но решена ли проблема полностью? Для идеала необходимо интегрировать еще сотню «опциональных» и «рекомендованных» обновлений, но с этим не будем торопиться. Дадим Microsoft шанс самим разобраться в том бардаке, который они устроили с обновлениями.

PS. Зачем мы все это делали? Для того, чтобы освежить память, сделать работу чуть удобнее и получить несколько простых командных файлов, при помощи которых в дальнейшем можно практически автоматизированно интегрировать обновления в серверный дистрибутив, экономя время ввода сервера в эксплуатацию. Тем более есть надежда, что начиная с октября интегрировать обновления станет гораздо проще.

Точно так же вы сможете интегрировать Windows 7 convenience rollup и не наступить на грабли распаковки обновлений, невозможности загрузки из образа, превышения размера install.wim.

Спасибо за внимание и до новых встреч, друзья.

Если есть возможность поделиться опытом — жду вас в комментариях.

k010v

k010v

Windows Server 2012 - установка и настройка WSUS

Автор: Уваров А.С. — 17.07.2014 13:42 Тема настройки локального сервера обновлений (WSUS) уже поднималась на нашем сайте, но так как с тех пор прошло довольно много времени и произошли довольно серьезные изменения, то назрела необходимость обновить статью. Сегодня мы расскажем о настройке роли WSUS на платформе Windows Server 2012, данный процесс во многом стал проще и легче, а службы WSUS теперь полноценно интегрированы в систему.   Начиная с Windows Server 2008 R2, WSUS был включен в состав ОС в качестве одной из ролей, поэтому, несмотря на то, что мы будем рассматривать платформу Windows Server 2012 R2, все сказанное, за незначительными поправками, будет справедливо и для Server 2008 R2. Из сторонних пакетов потребуется установить только Microsoft Report Viewer 2008 SP1 Redistributable, однако он не является обязательным и на работу службы не влияет, а требуется только для формирования отчетов. Поэтому даже если вы забудете его установить - ничего страшного не произойдет, при первом обращении к отчетам система сообщит вам об этом и даст ссылку на скачивание. Важно! Существует ряд ограничений на установку служб ролей WSUS. Сервер БД WSUS не может быть контроллером домена, Сервер WSUS не может быть одновременно сервером терминалов Remote Desktop Services. Для установки WSUS откроем Диспетчер серверов и перейдем в Управление - Добавить роли и компоненты. В открывшемся мастере добавляем роль Службы Windows Server Update Services. Следующим шагом будут добавлены все необходимые роли и компоненты, таким образом больше ничего настраивать отдельно не придется. В качестве хранилища по умолчанию WSUS предлагает использовать внутреннюю базу данных Windows (Windows Internal Database, WID). Для небольших внедрений мы не видим смысла в установке отдельного SQL-сервера, никаких существенных преимуществ это не даст. Следующим шагом переходим к базовым настройкам служб роли. В нашем случае потребуется выбрать опции WID Database и WSUS Services, если вы собираетесь использовать SQL-сервер, то вместо WID Database следует выбрать опцию База данных. Сам сервер баз данных к этому моменту уже должен быть развернут в вашей сети. Следующим шагом укажите размещение хранилища обновлений, рекомендуем выделить для этих целей отдельный жесткий диск или раздел диска. Также возможен вариант, когда на сервере WSUS будет храниться только информация об обновлениях, сами пакеты обновлений будут, после их одобрения и назначения администратором, скачиваться с серверов Microsoft. На наш взгляд такая схема будет удобна небольшим компаниям с хорошим интернет каналом, действительно, ради десятка машин организовывать локальное хранилище большого смысла не имеет, особенно если WSUS не единственная роль данного сервера. Для приблизительной оценки требуемого места приведем данные с одной реальной инсталляции, произведенной летом 2012 года. На текущий момент выбраны следующие продукты: все клиентские ОС от Windows XP до Windows 8.1, кроме Vista, все серверные ОС от Server 2003 до Server 2012 R2, Office 2010, Exchange 2010, SQL Server 2008 - 2012, а также ряд дополнительных продуктов из разряда Распространяемых пакетов Visual C++ и т.п. Размер обновлений в хранилище на текущий момент (два года после установки) - 173 ГБ, размер SQL базы данных - около 10 ГБ. Если вы выбрали внешнюю базу данных, то также потребуется указать параметры подключения к SQL серверу. После чего можно переходить к установке роли, перезагрузка не требуется. После установки нажмите на флажок с желтым восклицательным знаком в Диспетчере серверов и щелкните Запуск послеустановочных задач, дождитесь окончания процедуры (восклицательный знак исчезнет). На этом установку роли можно считать законченной и переходит к настройке службы WSUS, мы подробно освещали этот процесс в предыдущей статье и не видим смысла заострять на этом внимание. Если коротко, то сначала нужно выбрать источник синхронизации: сервера Microsoft или вышестоящий WSUS сервер. Затем выбрать языки и продукты. Указать классы обновлений. И задать параметры автоматической синхронизации. Процесс первоначальной синхронизации может занять продолжительное время, зависящее от выбранного набора продуктов и классов, а также скорости вашего интернет канала. Не забудьте указать правила автоматического одобрения и одобрить уже скачанные обновления. После чего потребуется сообщить клиентам расположение вашего WSUS сервера, это можно сделать через групповые политики: Конфигурация компьютера - Политики - Административные шаблоны - Центр обновления Windows - Указать размещение службы обновлений Microsoft в интрасети. Или в локальных политиках: Пуск - Выполнить - gpedit.msc, затем Конфигурация компьютера - Административные шаблоны - Центр обновления Windows (Windows Update)- Указать размещение службы обновлений Microsoft в интрасети. Путь к серверу следует прописывать как http://SERVER_NAME:8530, при этом рекомендуем явно указывать порт службы. Через некоторое время компьютеры начнут получать обновления и появятся в консоли сервера, где можно получить детальную информацию по уже установленным и требующимся обновлениям. Кстати, если вы забыли установить Microsoft Report Viewer 2008 SP1 Redistributable, то при попытке вызвать отчет получите следующее сообщение, которое содержит ссылку на скачивание необходимого пакета. : Как видим, Microsoft проделало большую работу по совершенствованию службы WSUS, теперь это одна из ролей системы и ее установка и настройка не должна вызывать затруднений даже у новичков.

k010v

k010v

В будущее без Майкрософт

После неудачи мюнхенского проекта перехода на свободное ПО многие посчитали, что вопрос внедрения свободного ПО в государственные учреждения закрыт, либо отложен на неопределенное время. А сам факт отказа стал одним из весомых аргументов в дискуссиях о роли и месте свободного ПО. Однако если отбросить медийный шум и спокойно разобраться в ситуации, то выяснится, что причины мюнхенского отказа носили вовсе не технический характер, а сама идея остается весьма привлекательной. Предлагаем вашему вниманию статью от нашего зарубежного коллеги созданную на основе публикаций в немецкой прессе. Земельный парламент земли Шлезвиг-Гольштейн в городе Киле (откуда килька) собрался совершить долгосрочный переход всех структур правительства на программное обеспечение с открытым кодом (open-source). На первом этапе, до 2020 года, необходимо провести исследование самой возможности перехода на программное обеспечение с открытым кодом. Правящая коалиция из трёх партий (ХДС, Зелёные и Свободные демократы) официально заявили о совместном пожелании усиленно внедрять свободное ПО в государственных структурах.   Цель таких мероприятий: «обеспечить современное и работоспособное управление». Как естественный шаг в таком случае воспринимается уход от продуктов фирмы Майкрософт. Такие планы в Германии не являются чем-то новым, но они всё ещё находятся или на стадии эксперимента или уже потерпели неудачу. Из последних примеров -- столица Баварии город Мюнхен, где с большой помпой в начале 2000-ых приступили к переводу всех структур госаппарата на Linux и в настоящее время разворачиваются назад к Windows. Мюнхенский проект «обратной миграции» продлится до 2022 года и будет стоить дополнительно 50 миллионов евро. Кратко о проекте в Мюнхене В 2003 году правительство Мюнхена рассмотрело идею о переводе всех структур градоуправления на свободное ПО и Линукс в качестве операционной системы. Несмотря на потуги руководства Майкрософта, постановление о замене всех лицензий Windows было принято, проект запущен и поэтапный перевод всех рабочих мест в аппарате городской управы стартовал в 2006 году. В 2013 году было заявлено об «успешном завершении миграции» всех систем. С 2015 года появились разногласия, многие депутаты и сотрудники жаловались на неудобства в обращении с приложениями под системой Линукс. После долгих дебатов, Мюнхен решил начать миграцию назад к продуктам Майкрософт и ОС Windows. На ошибках учатся Но в Киле не пугаются, наоборот -- из опыта Мюнхена можно почерпнуть много полезного. Проблема была не в самом программном обеспечении, но в том, как сотрудники мюнхенских государственных структур пользовались программами open-source. Именно недовольство сотрудников и привело к прощанию с проектом LiMux. Поэтому проект в Киле во многом направлен, в первую очередь, на успешную перестановку всех компьютерных структур. «Одна из наибольших проблем, возникающих в процессе дигитализации, это огромная и растущая власть малочисленных концернов, которые господствуют на рынке», -- так заявили в правящей коалиции. Поэтому политика и госаппарат должны потрудиться «стать дигитально суверенными и независимыми». Кроме того, политики считают, что применение открытого ПО поможет избежать проблем с «обусловленными спецификой производителей дыр в безопасности». Но не только в Германии думают о программах с открытым кодом... Швейцария поднимает паруса open source Опрос 200 швейцарских фирм и учреждений показал -- свободное ПО играет всё большую роль. Open-Source-Software (OSS) играет важную роль среди прочих программ на компьютерах пользователей, 56 процентов респондентов указали, что используют OSS. В списке такие приложения как Mozilla Firefox, 7-Zip, VLC и LibreOffice. Немалый объём свободного ПО применяется и в облачных технологиях, такие программы как Docker или Nextcloud прочно заняли место ранее используемых коммерческих приложений.   Больше «за», чем «против» Семь из десяти опрошенных используют Linux и технологии apache на серверах, так-же в ходу серверные приложения nginx или lighttpd. Большой интерес у фирм вызывает свободное ПО для менеджмента клиентов (CRM), управления товарными потоками (ERP). Важнейшим аргументом для применения OSS является широкая поддержка стандартов и совместимость свободного ПО. «Повышенная безопасность» или «стабильность» значительно важнее для фирм, экономия средств попала на шестое место среди аргументов. Значительно уменьшились сомнения по поводу ответственности за безопасность программного обеспечения, что обосновано ростом числа профессиональных консультантов для свободного ПО. Страхи по переходу от коммерческого к свободному ПО отходят на второй план.     Автор: Виктор Хартманн (Берлин)              

k010v

k010v

Переименование компьютера в домене

Порой возникает необходимость изменить имя компьютера, входящего в домен. Иногда это возникает из-за приведения имен компьютеров к некоторому стандарту, иногда — из-за перестановки компьютера из одного отдела в другой.   Можно, конечно, вручную выгнать его из домена, изменив имя и установив рабочую группу, а затем обратно подключить его к домену под новым именем. Однако это требует личного участия и в случае определенных настроек параметров безопасности получить компьютер без административных прав (если локальные администраторы заблокированы и административный доступ есть только у некоторых доменных учетных записей). Самый правильный и удобный способ переименовать компьтер в домене, это использовать возможности предоставленные нам самим доменом. Переименовываем компьютер На рабочем месте администратора нам необходима консольная программа netdom, ее можно установить из Support\Tools на диске с дистрибутивом ОС. Параметры команды:
netdom renamecomputer компьютер /newname:новое_имя_компьютера/userd:имя_домена\имя_администратора /passwordd:* /usero:локальный_администратор
/passwordo:* /reboot:время в секундах до автоматической перезагрузки Описание предыдущей командной строки: компьютер — текущее имя компьютера. новое_имя_компьютера — имя, которое вы хотите присвоить компьютеру. имя_домена\имя_администратора — NetBIOS-имя домена и имя учетной записи пользователя, обладающего правами администратора на объект компьютера в домене. локальный_администратор — это пользователь, обладающий локальными правами администратора. Может совпадать с учетной записью пользователя, указанной для /userd: Значок «звездочка» (*) — это значение, связанное с параметрами /passwordd: и/passwordo: и указывающее, что для отображения вводимого пароля следует использовать скрытые символы. Время в секундах до автоматической перезагрузки — это промежуток времени между переименованием компьютера и его перезагрузкой. Если этот параметр не указан, компьютер следует перезагрузить вручную. Эту команду следует вводить в одну строку, к примеру у нас есть компьютер test в домене example , переименовываем в work-01: netdom renamecomputer test /newname:work-01 /userD:example\administrator /passwordd:парольадминистратора После этого остается только перезагрузить компьютер и он будет иметь новое имя. Автоматизируем Чтобы не вводить всю команду каждый раз, когда необходимо переименовать компьютер, можно использовать специальный BAT-файл: @echo off SET /P pcName="Enter old pc name for renaming: " SET /P newName="Enter new pc name: " netdom renamecomputer %pcName% /newname:%newName% /userd:domain\admin /passwordd:* /reboot:15 pause В этом скрипте необходимо указать логин и пароль пользователя, обладающего соответствующими полномочиями и тогда после запуска скрипта достаточно будет указать старое имя компьютера и новое.

k010v

k010v



  • Блоги

    • CentOS

      • 13
        записей
      • 1257
        комментариев
      • 17369
        просмотров
    • web-администрирование

      • 3
        записи
      • 0
        комментариев
      • 257
        просмотров
    • Mikrotik

      • 11
        записей
      • 225
        комментариев
      • 21973
        просмотра
    • LAN

      • 5
        записей
      • 0
        комментариев
      • 1171
        просмотр
    • Windows

      • 17
        записей
      • 12
        комментариев
      • 962
        просмотра
    • Asterisk

      • 2
        записи
      • 0
        комментариев
      • 91
        просмотр
    • Разное

      • 1
        запись
      • 0
        комментариев
      • 332
        просмотра
    • 1C

      • 1
        запись
      • 0
        комментариев
      • 240
        просмотров
    • Linux

      • 2
        записи
      • 0
        комментариев
      • 264
        просмотра
    • iOS

      • 1
        запись
      • 0
        комментариев
      • 274
        просмотра
×