Показаны сообщения с ярлыком Windows 2008. Показать все сообщения
Показаны сообщения с ярлыком Windows 2008. Показать все сообщения

четверг, 25 января 2018 г.

КриптоПро, Ошибка проверки контрольной суммы.

Лог сервера заполняется сообщениями 
Ошибка проверки контрольной суммы. Файл: sspicli.dll.64. 
Причиной ошибки может быть обновление операционной системы или некорректная устновка КриптоПро CSP.  
Переустановите КриптоПро CSP или обновите контрольные суммы системных библиотек в реестре, запустив
с правами администратора cpverify -mk system

Чтобы исправить ситуацию 
C:\Users\user>start /b  cpverify -rv system

C:\Users\user>C:\Windows\SysWOW64\crypt32.dll...File C:\Windows\SysWOW64\crypt32.dll has incorrect hash.fail
C:\Windows\system32\crypt32.dll...File C:\Windows\system32\crypt32.dll has incorrect hash.fail
C:\Windows\SysWOW64\cryptsp.dll...File C:\Windows\SysWOW64\cryptsp.dll has incorrect hash.fail
C:\Windows\system32\cryptsp.dll...File C:\Windows\system32\cryptsp.dll has incorrect hash.fail
C:\Windows\SysWOW64\inetcomm.dll...File C:\Windows\SysWOW64\inetcomm.dll has incorrect hash.fail
C:\Windows\system32\inetcomm.dll...File C:\Windows\system32\inetcomm.dll has incorrect hash.fail
C:\Windows\SysWOW64\kerberos.dll...File C:\Windows\SysWOW64\kerberos.dll has incorrect hash.fail
C:\Windows\system32\kerberos.dll...File C:\Windows\system32\kerberos.dll has incorrect hash.fail
C:\Windows\SysWOW64\schannel.dll...File C:\Windows\SysWOW64\schannel.dll has incorrect hash.fail
C:\Windows\system32\schannel.dll...File C:\Windows\system32\schannel.dll has incorrect hash.fail
C:\Windows\SysWOW64\sspicli.dll...File C:\Windows\SysWOW64\sspicli.dll has incorrect hash.fail
C:\Windows\system32\sspicli.dll...File C:\Windows\system32\sspicli.dll has incorrect hash.fail
C:\Windows\SysWOW64\wininet.dll...File C:\Windows\SysWOW64\wininet.dll has incorrect hash.fail
C:\Windows\system32\wininet.dll...File C:\Windows\system32\wininet.dll has incorrect hash.fail
C:\Windows\SysWOW64\winscard.dll...ok
C:\Windows\system32\winscard.dll...ok
Verify hash entries failed

C:\Users\user>start /b  cpverify -rm system

C:\Users\user>Make hash for 16 files

C:\Users\user>start /b  cpverify -rv system

C:\Users\user>C:\Windows\SysWOW64\crypt32.dll...ok
C:\Windows\system32\crypt32.dll...ok
C:\Windows\SysWOW64\cryptsp.dll...ok
C:\Windows\system32\cryptsp.dll...ok
C:\Windows\SysWOW64\inetcomm.dll...ok
C:\Windows\system32\inetcomm.dll...ok
C:\Windows\SysWOW64\kerberos.dll...ok
C:\Windows\system32\kerberos.dll...ok
C:\Windows\SysWOW64\schannel.dll...ok
C:\Windows\system32\schannel.dll...ok
C:\Windows\SysWOW64\sspicli.dll...ok
C:\Windows\system32\sspicli.dll...ok
C:\Windows\SysWOW64\wininet.dll...ok
C:\Windows\system32\wininet.dll...ok
C:\Windows\SysWOW64\winscard.dll...ok
C:\Windows\system32\winscard.dll...ok
Verified hash for 16 files

C:\Users\user>

Автор: на 2 комментария:
Теги: ,

четверг, 31 января 2013 г.

Windows 2008R2 и NTP 


w32tm /config /manualpeerlist:"192.168.20.1",0x8 /syncfromflags:manual /reliable:yes /update

net stop w32time && net start w32time

w32tm /stripchart /computer:ml350.MyDomain.ru /samples:5 /dataonly

w32tm /monitor /domain:MyDomain

w32tm /monitor /domain:MyDomain
w32tm /resync
w32tm /query  /configuration

0x8 say what?

You might have noticed the 0x8 flag above. What does it mean? KB875424 mention:

0x01 - use special poll interval SpecialInterval
0x02 - UseAsFallbackOnly
0x04 - send request as SymmetricActive mode
0x08 - send request as Client mode
Автор: на Комментариев нет:
Теги: ,

среда, 17 октября 2012 г.

Upgrade с Windows Standard до Enterprise Edition

To determine the installed edition, run:

DISM /online /Get-CurrentEdition

To check the possible target editions, run:

DISM /online /Get-TargetEditions

Finally, to initiate an upgrade, run:

DISM /online /Set-Edition:<edition ID> /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

So, for example, to upgrade to Windows Server 2008 R2 Datacenter from a downlevel edition, you would run:

DISM /online /Set-Edition:ServerDatacenter /productkey:ABCDE-ABCDE-ABCDE-ABCDE-ABCDE

Почему то с официально купленным ключем не получилось, взял ключ из ссылки ниже
  • Windows Server 2008 R2 Datacenter – 74YFP-3QFB3-KQT8W-PMXWJ-7M648
  • Windows Server 2008 R2 Enterprise – 489J6-VHDMP-X63PK-3K798-CPX3Y 
Сервер до upgrade не был активирован. Ввел новый ключ (официально купленный) и активировал.

Воспользовался информацией

ещё
Автор: на Комментариев нет:
Теги: , ,

суббота, 6 октября 2012 г.

Запрет пользователям ввод в домен ПК

Оказывается, по умолчанию, в AD каждый пользователь может вводить в домен компьютеры. Т.е. вообще любой пользователь AD может добавить свой личный ноутбук в домен без ведома администратора. Чтобы заблокировать эту возможность, необходимо изменить всего лишь один атрибут.

The number of workstations currently owned by a user is calculated by looking at the ms-DS-CreatorSID attribute of machine accounts.

To modify Active Directory to allow more (or fewer) machine accounts on the domain, use the Adsiedit tool.

WARNING Using Adsiedit incorrectly can cause serious problems that may require you to reinstall your operating system. Microsoft cannot guarantee that problems resulting from the incorrect use of Adsiedit can be solved. Use Adsiedit at your own risk.
  1. Install the Windows Support tools if they have not already been installed. This is necessary only for Windows 2000 and Windows Server 2003. For Windows Server 2008 and Windows Server 2008 R2, Adsiedit is installed automatically when you install the Active Directory Domain Services role.
  2. Run Adsiedit.msc as an administrator of the domain. Expand the Domain NC node. This node contains an object that begins with "DC=" and reflects the correct domain name. Right-click this object, and then click Properties.
  3. In the Select which properties to view box, click Both. In the Select a property to view box, click ms-DS-MachineAccountQuota.
  4. In the Edit Attribute box, type the number of workstations that you want users to be able to maintain concurrently.
  5. Click Set, and then click OK.
ссылка
Add workstations to domain
 
Автор: на Комментариев нет:
Теги: , ,

суббота, 21 июля 2012 г.

Изменение буквы системного или загрузочного диска

Предупреждение. Не используйте данную методику для изменения букв дисков, назначенных операционной системой — это может привести к тому, что операционная система перестанет загружаться. Рассмотренная методика предназначена только для восстановления работоспособности после изменения букв дисков. Перед выполнением описанных ниже действий создайте резервную копию системного реестра.

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
249321 Не удается войти в систему после изменения буквы диска с загрузочным разделом
В статье приводятся инструкции по изменению буквы системного или загрузочного диска Windows. Корпорация Майкрософт рекомендует не изменять буквы дисков (особенно — буквы, присвоенные дискам при установке Windows). Внесение таких изменений оправдано только в тех случаях, когда буквы дисков были изменены без ведома пользователя. Это может быть вызвано разделением зеркального тома на разделы или изменением конфигурации диска. В таком случае необходимо восстановить исходное назначение букв дисков.

Чтобы изменить или поменять местами буквы дисков или томов (если это не удается сделать с помощью оснастки «Управление дисками»), выполните следующие действия.

Примечание. В приведенных ниже инструкциях предполагается, что буква диска D была присвоена неправильно и должна быть изменена на букву, назначенную в данный момент диску С.

В результате выполнения описанных ниже действий буквы дисков C и D поменяются местами. Если необходимо просто изменить букву диска, присвойте параметру \DosDevice\буква: в качестве значения любую букву, которая не используется на данный момент.

Изменение буквы системного или загрузочного диска

Предупреждение. Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к серьезным неполадкам, требующим переустановки операционной системы. Корпорация Майкрософт не гарантирует устранения этих неполадок. При изменении реестра полагайтесь на свой опыт и знания.
  1. Создайте резервную копию состояния системы и данных, находящихся на компьютере.
  2. Войдите в систему с правами администратора.
  3. Запустите программу Regedt32.exe.
  4. Перейдите к следующему разделу реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
  5. Щелкните раздел MountedDevices.
  6. В меню Безопасность выберите пункт Разрешения.
  7. Предоставьте группе «Администраторы» право «Полный доступ». После выполнения описанных ниже действий необходимо восстановить права, существовавшие ранее.
  8. Закройте программу Regedt32.exe и запустите программу Regedit.exe.
  9. Найдите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
  10. Найдите параметр, содержащий букву, которая должна быть присвоена диску. В данном случае это параметр «\DosDevices\C:».
  11. Щелкните правой кнопкой мыши параметр \DosDevices\C: и выберите команду Переименовать.

    Примечание. Для переименования этого параметра вместо программы Regedt32 необходимо использовать программу Regedit.
  12. В новом имени укажите одну из неиспользуемых на данный момент букв (например «\DosDevices\Z:»).

    Теперь буква C свободна.
  13. Найдите параметр, соответствующий букве диска, которую необходимо изменить. В данном случае это параметр «\DosDevices\D:».
  14. Щелкните правой кнопкой мыши параметр \DosDevices\D: и выберите команду Переименовать.
  15. Укажите имя с учетом новой буквы диска (в данном случае — «\DosDevices\С:»).
  16. Выделите правой кнопкой мыши параметр \DosDevices\Z:, выберите команду Переименовать и измените имя на «\DosDevices\D:».
  17. Закройте программу Regedit и запустите Regedt32.exe.
  18. Установите существовавшие ранее разрешения для группы «Администраторы» (как правило, это разрешение «Только чтение»).
  19. Перезагрузите компьютер.
Автор: на Комментариев нет:
Теги: ,

вторник, 3 июля 2012 г.

Squid Windows 2008R2 Kerberos CentOS 6.2


Ставим squid
yum install cyrus-sasl-gssapi krb5-workstation krb5-devel squid

Создаем в DNS прямую и обратную записи для хоста squid.my.dom

Cоздаем в AD пользователя: usersquid, и группы wg_internet wg_internet_full ...
Cоздаем кейтаб для этого пользователя:

c:\windows\system32\ktpass -princ HTTP/squid.my.dom@MY.DOM -mapuser usersquid@MY.DOM -crypto rc4-hmac-nt -pass password -ptype KRB5_NT_PRINCIPAL -out c:\squid.my.dom.keytab

именно c:\windows\system32\ktpass, а не просто ktpass иначе ошибка, видимо в 64 версии ошибка.
Если кейтаб создан с параметром -crypto aes256-sha1, то не заработала авторизация
В логе squid про несоответствие ключей клиента, возможно надо настраивать krb5.conf, добавлять какой либо параметр 


2012/06/27 10:57:34| squid_kerb_auth: ERROR: gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information.
2012/06/27 10:57:34| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information. '


Копируем c:\squid.my.dom.keytab в каталог /etc/squid 

Добавляем в /etc/rc.d/init.d/squid
KRB5_KTNAME=/etc/squid/squid.my.dom.keytab
export KRB5_KTNAME

Правим krb5.conf
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = MY.DOM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 kdc_timesync = 1
 ticket_lifetime = 24h
 forwardable = true
 proxiable = true
 default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
 default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
 permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

[realms]
 MY.DOM = {
  kdc = ad-ds-2008r2.my.dom
  admin_server = ad-ds-2008r2.my.dom
  kdc = 192.168.1.9
  admin_server = 192.168.1.9
  default_domain = my.dom
 }

[domain_realm]
 .my.dom = MY.DOM
 my.dom = MY.DOM

[appdefaults]
 pam = {
  debug = false
  ticket_lifetime = 36000
  renew_lifetime = 36000
  forwardable = true
  krb4_convert = false
 }

[login]
 krb4_convert = true
 krb4_get_tickets = false
Правим squid.conf 
#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
##acl localnet src 10.0.0.0/8   # RFC1918 possible internal network
##acl localnet src 172.16.0.0/12        # RFC1918 possible internal network
##acl localnet src 192.168.0.0/16       # RFC1918 possible internal network
##acl localnet src fc00::/7       # RFC 4193 local private network range
##acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

#auth_param negotiate program /usr/lib64/squid/squid_kerb_auth -d
auth_param negotiate program /usr/lib64/squid/squid_kerb_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on

#######################
# для входа по запросу имя/пароль
#
auth_param basic program /usr/lib64/squid/squid_ldap_auth -v3 -R -D  usersquid@my.dom -W /etc/squid/authpw  -b "cn=users,dc=my,dc=dom" -f "sAMAccountName=%s" -h ad-ds-2008r2.my.dom
auth_param basic children 10
auth_param basic realm Proxy Authentication
auth_param basic credentialsttl 2 hours

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

acl AUTH proxy_auth REQUIRED

acl mynet src 192.168.1.0/24 192.168.32.0/20
acl client_wsus  src 192.168.1.128/32 192.168.1.16/32
acl server_wsus  dstdomain wsus.prov.ru

# Проверка соответствия пользователь-группа
external_acl_type ldap_group ttl=1200 %LOGIN /usr/lib64/squid/squid_ldap_group -v3 -R -D usersquid@my.dom -W /etc/squid/authpw -b "dc=my,dc=dom" -f "(&(samaccountname=%v)(memberof=cn=%a,cn=users,dc=my,dc=dom))" -K -h ad-ds-2008r2.my.dom
# Hosts that are not required to authenticate
acl Auth_Not_Required src "/etc/squid/acl/auth_not_required.txt"

# Domains accessible to all PC's
##acl Open_Domains dstdomain "/etc/squid/acl/open_domains.txt"

# Hosts & domains that are denied to restricted users
##acl Banned_Hosts dst "/etc/squid/acl/banned_hosts.txt"
acl Banned_Domains dstdomain "/etc/squid/acl/banned_domains.txt"
acl Banned_URLs url_regex  "/etc/squid/acl/banned_urls.txt"
acl Good_URLs url_regex  "/etc/squid/acl/good_urls.txt"
acl Banned_Extensions url_regex  "/etc/squid/acl/banned_extensions.txt"
acl price_URLs url_regex "/etc/squid/acl/price_URLs.txt"

# Full access
acl Access_Full external ldap_group wg_internet_full

# Restricted access
acl Access_Restricted external ldap_group wg_internet

# Restricted access Price URLs only
acl Access_Restricted_Price external ldap_group wg_internet_price

#######################
# Domains free to all users without needing to authenticate.
##http_access allow Open_Domains
# Разрешаем доступ хостам без регистрации
# IP addresses of hosts that don?t need to authenticate (usually automation hosts #performing automated downloads and without a Novell client.
http_access allow Auth_Not_Required
# Разрешаем доступ хостам из локалки к WSUS серверу провайдера
http_access allow client_wsus server_wsus
##http_access allow domainusers mynet
# Let users with full Internet access.
http_access allow AUTH Access_Full
http_access deny Banned_Domains
http_access deny Banned_URLs !Good_URLs
http_access deny Banned_Extensions
http_access allow AUTH Access_Restricted
http_access allow AUTH Access_Restricted_Price price_URLs
####################################
# тестовое разрешение для любых авторизованных пользователей.
#http_access allow AUTH

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
##http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
Автор: на Комментариев нет:
Теги: , , ,

вторник, 3 апреля 2012 г.

Увеличение тома Windows 2008

В настройках конфигурации виртуальной машины увеличиваем размер жесткого диска. Заходим в diskpart 


DISKPART> list volume

  Том    ###  Имя  Метка        ФС     Тип         Размер   Состояние  Сведения
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
     Том 0     D                       CD-ROM          0 б  Нет носит
     Том 1         Зарезервиро  NTFS   Раздел       100 Mб  Исправен   Системны
     Том 2     C                NTFS   Раздел       149 Gб  Исправен   Загрузоч

DISKPART> list partition

  Раздел    ###  Тип               Размер   Смещение
  -------------  ----------------  -------  -------
  Раздел 1    Основной           100 Mб  1024 Kб
  Раздел 2    Основной           149 Gб   101 Mб

DISKPART> select volume 2

Выбран том 2.

DISKPART> extend

DiskPart: том успешно расширен.

DISKPART> detail volume

  Диск ###  Состояние      Размер   Свободно Дин  GPT
  --------  -------------  -------  -------  ---  ---
* Диск 0    В сети          200 Gбайт      0 байт

Только чтение          : Нет
Скрытый                     : Нет
Нет буквы диска по умолчанию: Нет
Теневая копия          : Нет
Вне сети                : Нет
Зашифровано BitLocker: Нет
Устанавливаемый            : Да

Емкость тома:             199 Gбайт
Свободное место на томе:   59 Gбайт

DISKPART>

Для win2003 этого достаточно, для win2008:
In Windows 2008, click Start > Computer Management > Disk Manager, right-click on the partition and select Extend Volume. For more information, see the Microsoft Knowledge Base article 325590.
Автор: на 1 комментарий:
Теги: , ,

пятница, 14 октября 2011 г.

Advantage Database Server (ADS)

При установке на Windows 2008 не забыть открыть порты
Входящие
 ADS TCP port 6262
 ADS UDP port 6262
Исходящие (надо уточнить, пока сделал так)
для программы: тип протокола любой
%ProgramFiles%\Advantage 10.10\Server\ads.exe
Автор: на Комментариев нет:
Теги: ,

среда, 10 августа 2011 г.

KMS

nslookup -type=srv _vlmcs._tcp.winitpro.ru
Server:  dc1.winitpro.ru
Address:  192.168.1.55
_vlmcs._tcp.winitpro.ru      SRV service location:
priority       = 0
weight         = 0
port           = 1688
svr hostname   = kms-server.winitpro.ru
kms-server.winitpro.ru       internet address = 192.168.67.34
При помощи данного запроса мы нашли KMS сервер  домене (это сервер  kms-server.winitpro.ru )
В том случае, если такой SRV записи в домене нет, DNS сервер вернет ошибку.


net stop sppsvc
net start sppsvc



Проверка успешности активации сервера KMS Office

Чтобы проверить успешность установки и активации ключа KMS-сервера Office 2010, используйте скрипт slmgr.vbs. Откройте командную строку с повышенными полномочиями на KMS-сервере введите следующую команду и нажмите клавишу ВВОД:
cscript slmgr.vbs /dlv all
Для просмотра сведений только для Office 2010 укажите идентификатор активации после параметра /dlv:
cscript slmgr.vbs /dlv bfe7a195-4f8f-4f0b-a622-cf13c7d16864



Disable KMS server DNS record publishing

If you need to disable KMS servicing (i.e. a server that tries to publish _VLMCS._tcp.domain.com records for a domain then do the following:
  1. Start an administrative cmd-prompt
  2. slmgr.vbs –cdsn
  3. net stop slsvc && net start slsvc
To verify that the server isn’t trying to publish the DNS record for KMS server run the following command “slmgr.vbs -dlv”.
  • DNS publishing is enabled
    image
  • DNS publishing is disabled
    image

Автор: на Комментариев нет:
Теги: ,
Подписаться на: Сообщения (Atom)