Заметки IT Менеджера

04.11.2013

Очистка AD от Exchange 2013

exchange_2013Оказалось, что очистить окружение от Exchange 2013 — это не самая простая задача. В простейшем случае, если все штатно, то нужно просто запустить uninstall из соответствующей оснастки Control Panel или из командной строки.
Но моя ситуация была интереснее. AD был уже подготовлен и установлено два сервера в виртуалки на Windows Server 2012. Но, виртуалки, по независящим от меня причинам, были сильно повреждены. Но не беда, настройки-то еще как таковой не было! Устанавливаю их по новой, запускаю setup и … Exchange сообщает, что он таки уже как бы есть и его нужно только восстановить. Запускаю восстановление на обоих серверах. Все хорошо, теперь есть оба Exchange, правда самих баз, на которые они ссылаются нет. Ну не беда, сейчас я их штатно удалю, а затем поставлю заново, начисто. Второй сервер удалился без вопросов. А вот первый отказался это делать, т.к. его сильно беспокоили “призраки” системных, да и не только, почтовых ящиков. При всем при этом, он мне красиво рассказывал как именно найти и отключить эти самые ящики. Одна проблема, для этого нужна база, созданная первой на первом из серверов, причем в живом состоянии! Взять ее негде. Что можно сделать? Да грохнуть эти аккаунты в AD! Это, конечно хорошо, но не решит до конца всех вопросов, кроме аккаунтов есть ссылки на базы в AD, на сервер, на группы и т.д. и т.п. Кстати, после какого-то из этапов появляется замечательная ошибка:
“Couldn’t find the Enterprise Organization container”,которую можно использовать как маркер.

В конечном итоге было найдено решение по очистке, которое и привело к нужному результату.

Итак, в случае ошибки типа
“ was run: ”An error occurred with error code ‘3221684226’ and message ‘The system cannot find the file specified. ‘.”
Нужно просто установить RSAT:
Install-WindowsFeature RSAT-ADDS, RSAT-ADDS-Tools

(more…)

12.03.2013

Оперативный контроль аккаунтов пользователей и компьютеров в Active Directory

Обновлено 20.03.2013. Внесен ряд исправлений
В скриптах, связанных с удалением компьютерных учетных записей не выводилось имя компьютера
Кроме того, как оказалось, при массовых операциях, например вводах в группу или удалении из группы, приходит только одно уведомление, что само по себе не очень правильно. В связи с этим скрипты несколько переделаны — вместо последнего, отбираются все такие события за последние 120 секунд

Недавно я публиковал заметку Автоматическое уведомление о заблокированных аккаунтах. Там было вполне рабочее решение, но у него был один недостаток – информация приходила в несколько “корявом” виде. В песочнице хабры я нашел нашел статью, в которой аналогичные вещи сделаны гораздо удобнее.

На ее основании я сделал  десяток скриптов, которые будут информировать вас о:

— блокировании и разблокировании (lock/unlock) учетных записей пользователей
— добавлении или удалении кого-либо в/из группы
— включение или выключение (enable/disable) пользовательского аккаунта

— добавление или удаление компьютера в/из домена
— добавление или удаление пользователя в/из домена

Все нижеприведенные скрипты сохраняются в файлы, по одному в каждый из файлов, файлы кладутся на контроллер домена, там же запускается Task Scheduler и в нем создается задача с триггером на соответствующий EventID в Security Log, например 4740, и действием, содержащим запуск C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe с параметром в виде пути к скрипту и его именем, например, C:\cmd\event-notification-4740-account_lockout.ps1

В результате, вы оперативно получаете информацию по важным изменениям в AD и можете на нее оперативно реагировать

(more…)

19.07.2012

Следующая запись

Просто о сложном

pso-01Одна из актуальных тем во многих организациях – это обеспечение своих пользователей безопасными паролями, с чем у большинства пользователей огромные проблемы. Ведь никому не хочется генерировать сложные пароли, несмотря на то, что в компаниях может быть информация, к которой будут пытаться получить доступ злоумышленники, а такого пароля как 111, 123, qwerty и т.п. казалось бы, более чем достаточно. А если пользовательские учетные записи взломают и будут украдены какие-то данные, скорее всего, виноватым окажется ИТ-подразделение, так как не было внедрено должных средств по обеспечению безопасности.

Во избежание таких неприятностей, в операционных системах Windows присутствуют неплохо себя зарекомендовавшие политики паролей, которые отчасти помогают справиться с небезопасными пользовательскими паролями. Однако, у этих политик есть существенное ограничение.

View original post ещё 2 370 слов

12.07.2012

Как показать дополнительную информацию в Active Directory Users and Computers?

Если запустить оснастку Active Directory Users and Computers, то можно увидеть, что набор полей, которые показываются для объектов типа Computer весьма скуден. А ведь хочется и видеть больше и иметь возможность отсортировать по ним.

Например, запустить Active Directory Users and Computers, перейти к какому-то OU и выбрать View Add/Remove Columns, то можно увидеть то, что невозможно вывести информацию о том, какая операционная система используется на том или ином компьютере..

01

(more…)

01.12.2011

Сервер для филиала, RODC, NAS и другое

Недавно возникла необходимость одно из наших подразделений вывести в отдельный офис. Речь шла где-то о 25-30 людях с компьютерами + необходимая техника. Особенность в том, что это редакции журналов, соответственно они работают с большими объемами данных, т.о. работа с нашей сетью хранения данных через WAN подключение, мягко говоря, не подходит.

Итак, нужно было решить ряд задач, а именно, удобную аутентификацию в нашем домене, групповые политики, DNS, DHCP, сервисы печати и хранения данных.

В конечном итоге решено было выделить старенький стоечный сервер, который с успехом потянет Windows 2008 R2 на котором и будут установлены все службы. Проблема оставалась только в том, что в нем стояли диски не очень большого размера (ранее на нем был развернут временный терминальный сервер), да и не было в то время дисков, объем которых измерялся в терабайтах :-)

Самым удобным решением в этом случае оказалось применение готового NAS. Вначале выбор был остановлен на Synology DS712+, но на складе их не оказалось, а поставки ожидались, как обычно, через несколько месяцев. Зато доступен был QNAP 239 Pro II+. Это двухдисковая модель NAS, с поддержкой iSCSI. Для нее были куплены два диска Western Digital 2Tb Raid Edition4 7200RPM 64MB (WD2003FYYS SATAII). К счастью, мы успели их купить еще до того, как цены окончательно взмыли ввысь, хотя и дешевыми их назвать сложно.

(more…)

23.05.2011

Доверительные отношения между доменами и firewall

Я недавно интересовался настройкой доверительных отношений между доменами или лесами. В случае туннеля все несколько проще, в остальных случаях использование файрволла обязательно, а для этого нужно знать что открывать.

Чтобы межсетевой экран не препятствовал установлению безопасных каналов и доверительных отношений между доменами, на нем должны быть открыты перечисленные ниже порты. Поскольку по обе стороны межсетевого экрана могут находиться компьютеры, одновременно являющиеся как клиентом, так и сервером, необходимо, чтобы соответствующие порты были открыты в обе стороны.

Windows NT

Порты клиентов

Порт сервера Служба
1024-65535/TCP 135/TCP RPC *
137/UDP 137/UDP Служба имен NetBIOS
138/UDP 138/UDP Вход в сеть и обзор сети NetBIOS
1024-65535/TCP 139/TCP Сеанс NetBIOS
1024-65535/TCP 42/TCP Репликация WINS

(more…)

23.11.2010

Статистика использования мобильных устройств для доступа к интернет за октябрь 2010

Все выпуски статистики использования мобильных устройств для доступа в интернет

Уже некоторое время я публикую свой анализ статистики использования браузеров. В настоящее время меня заинтересовала такая информация как то, какими мобильными устройствами люди пользуются для того, чтобы ходить на интернет сайты. Это, конечно же, несколько отличается от того, что написано у меня в заголовке, т.к. доступ к интернет это не только сайты, но я собираюсь делать обзор именно такой информации.

К сожалению, с источниками данных все не так хорошо, как мне хотелось бы и не все источники, которые я использую для исследования браузеров подходят. Я буду использовать следующие источники:

(more…)

25.03.2010

WSUS — сверка списка компьютеров с AD

обновлено 25.03.2010

На блоге Ильи Сазонова обнаружил очень интересный материал: WSUS — сверка списка компьютеров с AD. Да и вообще, там регулярно появляется любопытная информация.

Позволю себе перенести то, что он выложил к себе с некоторыми моими комментариями и модификациями.

Что это и зачем это нужно? В каждой уважающей себя организации используется Active Directory как единый каталог и WSUS для централизованной установки обновлений. Но, по разным причинам, некоторые компьютеры могут не обновляться со WSUS. Причины тому могут быть самые разные: сбой агента обновления, файрволл, еще что-то … Главное – это то, что такие случае нужно выявлять и разбираться с ними индивидуально.

(more…)

08.02.2010

WMI фильтры в групповой политике

Ни для кого не секрет, что групповые политики являются одной из самых полезных технологий Microsoft Active Directory. Если у вас компьютеров более 10 штук, то Active Directory и групповые политики помогут вам сэкономить массу сил и позволят избежать кучи ошибок.

Но, при все при этом,  параметры этих политик для разных операционных систем у Microsoft  могут сильно отличаться, кроме того, у вас может быть необходимость назначать эти параметры по разному. “На поверхности” лежит способ с отдельными контейнерами. Он прост, но не совсем удобен, кроме того, он слабо подходит для пользовательских политик.

Есть несколько решений этой задачи. Из новых, достаточно удобных решений – это Group Policy Preferences. У item-level targeting есть и такие параметры как операционная система, разрядность и т.д. Но, к сожалению, такой функционал есть только в разделе Preferences, а других разделов групповой политики это не касается.

Кроме того, есть такая чудная вещь, как WMI filtering. Что особенно удобно, фильтры готовятся заранее, а затем только выбираются в свойствах нужной вам политики.

Как именно это делается? Запускаю Group Policy Management, на панели навигации выбираю WMI Filters, там правая кнопка мышки и New. В поле Name набираю Windows 7 и нажимаю Add. В поле Query набираю:

select * from Win32_OperatingSystem where Version like "6.1" and ProductType = "1"

После этого нажимаю Ok, а затем Save.

Возможные значения для OperatingSystem и ProductType:

  1. Windows Server 2008 R2 или Windows 7 — 6.1%
  2. Windows Server 2008 или Windows Vista — 6.0%
  3. Windows Server 2003 — 5.2%
  4. Windows XP — 5.1%
  5. Windows 2000 — 5.0%
  1. Клиентские версии Windows – 1
  2. Серверные версии Windows, выступающие в роли контроллера домена – 2
  3. Серверные версии Windows, не выступающие в роли контроллера домена (отдельные серверы) — 3

Кстати, если есть желание отобрать Vista и Windows 7, то можно записать правило отбора так:

select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "1"

Есть еще одно свойство, которое может выступать в качестве параметра отбора, это Caption. Ранее я использовал именно его, но, к сожалению, у меня с новыми версиями OS, почему-то, есть проблемы с его считыванием. Но его, по прежнему можно использовать с более ранними версиями:

Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional"

Возможные значения:

  1. Microsoft Windows 2000 Professional
  2. Microsoft Windows 2000 Server
  3. Microsoft(R) Windows(R) Server 2003 Enterprise x64 Edition
  4. Microsoft(R) Windows(R) Server 2003, Standard Edition
  5. Microsoft(R) Windows(R) Server 2003 Standard x64 Edition
  6. Microsoft® Windows Server® 2008 Standard without Hyper-V
  7. Microsoft® Windows Vista™ Business
  8. Microsoft Windows XP Professional

Кстати, из этого списка видно, что при этом способе выборка может быть более подробной, т.к. в этом случае можно отобрать еще и разные редакции и разрядность операционной системы.

22.12.2009

Установка DC на Windows Server 2008 R2 – новые сюрпризы

После того, как оказалось, что контроллер домена на Windows Server 2008 R2 не поддерживает Network Team меня поджидал и второй, куда более странный сюрприз. После установки контроллера домена и перезагрузки оказалось, что не запускаются несколько служб: Intersite Messaging, DNS Server и WINS. Если стартовать вручную, то все работало. Я, понятное дело, такое поведение списывал на то, что у меня был network team. DC я снова понизил до рядового сервера, снес team, отключил одну из сетевых и снова повысил до DC. Но проблема не исчезла! По прежнему, эти сервисы сами не стартуют!

Ситуацию спасает замена для этих сервисов замена параметра Startup Type с Automatic на Automatic (Delayed Start)

Почему всегда работавший automatic не работает, и почему они сами не смогли этого сделать – непонятно. Факт в том, что после смены этого параметра проблем пока нету.

Следующая страница →

Создайте бесплатный сайт или блог на WordPress.com.

%d такие блоггеры, как: