pondělí 12. prosince 2016

Windows update KB3133977 a KB3197868 error 0x80004005

Občas se to stává. Nainstalujete aktualizace, restartujete počítač a při restartu se aktualizace konfigurují, konfigurují, až se něco pokazí a vrací se změny. Tento proces se u některých může opakovat dokola a dokola a aktualizace se stále neinstalují..
Postupů, jak tyto problémy řešit, je veliké množství, ale zrovna u těchto dvou KB3133977 a KB3197868 -  všechny postupy selhávaly, až na jeden.

  1. Otevřete si správce disků - Win+R a napišete: diskmtmt.msc
  2. Pokud zde vidíte Recovery Partition, oddíl pro obnovení disku, na které je minimum volného místa, je problém na světe.
  3. Zmenšete systémový oddíl např. o 2GB a poté obnovovací oddíl rozšiřte. Doporučuji využít nástroj: MiniTool Partition Wizard Free Edition
  4. Restartujte PC. Restart bude trvat delší dobu. Poté přes správce disků zkontrolujte volné místo na obnovovacím oddíle.
  5. Znovu nainstalujte aktualizace.

čtvrtek 8. prosince 2016

Skype po přihlášení

Zde je návod na jednoduché nastavení spouštění Skype po přihlášení libovolného uživatele na pc.

V registrech vyhledejte cestu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

a vytvořte novou řetezcovou hodnotu(REG_SZ):

Název:       Skype
Hodnota:   "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun


Nastavení lze aplikovat přes skupinové politiky.




Powershell - plánovač úloh

Co dělat, pokud máte powershell skript, který Vám při spuštění z powershellu funguje, ale pokud ho naplánujete pomocí plánovače úloh, skript stále běží a nikdy neskončí?
Řešení je jednoduché:

Do plánovače úloh dejte spouštět přímo powershell a cestu ke skriptu dejte do parametru, viz. obrázek. Parametr -file  je výchozí, takže ho není potřeba udávat.




středa 30. listopadu 2016

SSTP - Funkce zrušení nemohla zkontrolovat zrušení, protože server pro zrušení byl offline

Špatný překlad anglického originálu: The revocation function was unable to check revocation because the revocation server was offline.

Pokud se Vám tato chyba zobrazuje při pokusu o připojení na VPN, máte problém s ověřením platnosti certifikátu. Zde je návod na ověření VPN typu SSTP. U ostatních VPN musíte nějakým způsobem zjistit, jaký certifikát Vám server předkládá a url pro revokaci.


  1. U SSTP funguje VPN na 443 a můžete přes prohlížeč otestovat jaký certifikát Vám server předloží.
  2. Zobrazte si v adresním řádku prohlížeče jeho vlastnosti.
  3. Vyberte Podrobnosti a poté dohledejte parametr: Distribuční místa seznamu odvolaných certifikátů.
  4. Zde najdete URL, přes kterou se pc snaží ověřit, jestli je certifikát platný
  5. Pokud se v prohlížeči na danou url nedostane a máte veřejnou certifikační autoritu, můžete ověřování dočasně vypnout pomocí registrů:
HKLM\System\CCS\Services\SSTPSvc\Parameters
NoCertRevocationCheck = DWORD = 1

pátek 11. listopadu 2016

Dropbox jako služba - Server 2012 R2

Zde je návod jak zprovoznit Dropbox na Windows Server 2012 R2 jako službu tak, aby Vám soubory synchronizoval na pozadí.


  1. Instalace Dropboxu
  2. Instalace  Windows Server 2003 Resource Kit 
  3. Vytvoření uživatele, pod kterým služba poběží
  4. Spuštění Dropboxu pod tímto uživatelem - buď je nutné se přihlásit, nebo přes run as.
  5. Nastavení Dropboxu. Nastavte složku do které se bude synchronizovat a vypněte notifikace na plochu a spuštění Dropboxu při startu. Poté Dropbox ukončete.
  6. Spušťte cmd jako admin a navigujte do adresáře: C:\Program Files (x86)\Windows Resource Kits\Tools - defaultní adresář instalace Resouce Kitu.
  7. Zadejte příkaz: instsrv.exe Dropbox “c:\Program Files (x86)\Windows Resource Kits\Tools\srvany.exe”
  8. Pokud byla služba úspěšně přidána. Upravte její natavení a změňte uživatele pod kterým se bude spouštět, ale ještě nepouštějte. Musí to být uživatel, pod kterým Dropbox naposledy běžel.
  9. Běžte do registrů a v cestě: HKLM\SYSTEM\CurrnetControlSet\Services\Dropbox vytvořte nový klíč: Parameters
  10. Vytvořte zde dvě hodnoty REG_SZ(string):
    1. Application s hodnotou: C:\Program Files (x86)\Dropbox\Client\Dropbox.exe
    2. AppParameters s hodnout: /home
  11. Nyní můžete službu spustit a otestovat synchronizaci.
Je potřeba nezapomenout, že uživatel, pod kterým služba poběží potřebuje mít právo zapisovat do adresáře, kam se bude synchronizovat.

pátek 8. července 2016

Windows backup - error - 2147942402 - The system cannot find the file specified

Pokud se při Windows Backup setkáte s chybou s kódem: 2147942402, která bývá doprovázena hláškou: Systém nemohl najít potřebný soubor(The system cannot find the file specified), s velkou pravděpodobností problém vyřešíte pomocí check disku.


  1. Spusťte příkazovou řádku jako správce a pomocí příkazu: chkdsk C: /r (kde C: je jednotka) proveďte kontrolu disku. Pokud se jedná o systémový disk, budete muset kontrolu naplánovat a provede se při dalším restartu. Kontrola může trvat v řádu hodin.
  2. Doporučuji celý postup opakovat a check disk provést ještě jednou.

úterý 26. dubna 2016

Fujitsu server - SNMP monitoring - OID

Pro monitoring serverů přes SNMP potřebujete znát OID, na které se budete ptát a také co vrácené hodnoty znamenají. Pokud potřebujete monitorovat server Fujitsu, můžete využít následující OID:
  • 1.3.6.1.4.1.231.2.10.2.11.3.1.1.3.1 - Enviroment
  • 1.3.6.1.4.1.231.2.10.2.11.3.1.1.3.2 - PowerSupply
  • 1.3.6.1.4.1.231.2.10.2.11.3.1.1.3.3 - MassStorage
  • 1.3.6.1.4.1.231.2.10.2.11.3.1.1.3.4 - SystemBoard
  • 1.3.6.1.4.1.231.2.10.2.11.2.1.0 - Global Server State
    • 1 - ok, 2 - Degraded, 3 - Error, 4 - Fail, 5 - Unknown
  • 1.3.6.1.4.1.231.2.10.2.2.5.4.1.1.6.0 - CPU1
    • 1 - unknown, 2 - disabled, 3 - ok, 4 - not-present, 5 - error, 6 - fail, 7 -missing termination, 8 - prefailure
  • 1.3.6.1.4.1.231.2.10.2.2.5.11.1.1.2.0 - PSU1
    • 1 - ok, 2 - ok, 3 - Degraded, 4 - critical

Monitorovaný server byl: Fujitsu Primergy TX140 S1

úterý 29. března 2016

IPSec - Úvod - část 1

Rozhodl jsem se popsat IPSec. Důvodů jsem měl několik a to především absence nějakého komplexního informačního zdroje, který jsem sám hledal.

IPSec můžeme považovat za jakýsi framework, neboli sadu protokolů pro bezpečnou komunikaci v prostředí internetu. Pokud to zjednodušíme, je to typ VPN a rozhodně to není žádný protokol. Pracuje na 3(síťové) vrstvě OSI/ISO modelu a je složen z 5 základních kamenů:

  • První částí je IPSec protokol. Máme na výběr AH(Authentication Header) nebo ESP (Encapsulating Security Payload)
  • Druhou částí jsou algoritmy pro šifrování, zajišťující důvěrnost dat . DES ani 3DES již nejsou doporučovány, takže volíme AES a zde se rozlišuje délka klíče.
  • Třetí je integrita - nezměnitelnost dat. Zde je k dispozici MD5 - slabé nebo SHA s různou délkou secret key.
  • Dále je tu autentifikace, což zde představuje způsob vzájemného ověření dvou koncových bodů, která se snaží vytvořit spojení. Máme na výběr PSK(Pre-Share key) nebo RSA - digitální certifikát.
  • Poslední částí je způsob generování klíčů(o jejich výměnu se stará IKE). Zde si můžeme vybrat různá skupiny Diffie-Hellman.

AH vs ESP

IPSec stojí na těchto dvou protokolech, které představují základní a první volbu, kterou je třeba při výběru IPSec učinit. Rozdíl je podstatný

AH - je IP protokol 51. Poskytuje integritu a autentifikaci - chybí zde možnost šifrování. Poskytuje mnohem slabší zabezpečení než ESP. Integrita a autentifikace zprostředkována pomocí jednocestné hashovací funkce. Z odesílaného paketu je spočítán hash, který je kombinován s klíčem - tím je dosaženo i autentifikace. K původnímu paketu je tento hash přiložen. Na druhé straně je proveden stejný postup a oba hashe se porovnají. Hash originálního paketu je vytvořen z datové části a IP hlavičky. Část(TTL), která se po cestě mění je vynechána. Hash musí sedět na jeden bit. Na obrázku níže vidíme AH paket v Transport mode a poté při Tunnel mode, o kterých bude více později.

AH paket - Transport mode

AH paket - Tunnel mode

AH hlavička obsahuje následující pole:
  • Next Header - Identifikuje další hlavičku, ve které je id IP protokolu - pro TPC=6
  • Length - zde je délka AH hlavičky
  • Security Parametres Index (SPI) - Je používáno v kombinaci s cílovou adresou a vybraným IPSec protokolem pro indetifikaci SA(Security Association - viz. dále), které se použije.
  • Sequence number - pro využití anti-replay - vysvětleno níže u ESP.
  • Authentication Data - Obsahuje ICV (Integrity Check Value) - pro ověření integrity paketu.  




ESP - je IP protokol 50. Na rozdíl od AH poskytuje možnost šifrování, ale není to podmínkou. Minimálním požadavkem je nastavit šifrování nebo autentifikaci - jeden musí být vybrán. Vždy záleží na implementaci daného výrobce, které šifrovací algoritmy jsou podporovány, ale většinou to bývají: DES,3DES a AES s různou bitovou délkou klíče. ESP dle vybraného módu šifruje celý paket včetně IP hlavičky, případně pouze data při Transport mode. Šifrování je prvním krokem a poté se provede hashovací funkce, která opět poskytuje integritu a autenticitu. ESP umožňuje nastavení Anti-replay protection, což je ochrana proti vložení jiných paketů do streamu dat. Pakety se při odesílání číslují a vždy se zvýší počítadlo. Příjemce ověřuje, jestli přišel paket se správným pořadovým číslem a také, jestli již daný paket nedorazil. U AH je tato funkce také podporována.

ESP Paket - Ttransport mode.




ESP paket - Tunnel mode.

ESP Hlavička obsahuje:
  • SPI -  stejné jako u AH
  • Sequence number - stejné jako u AH
ESP Trailer obsahuje:
  • Padding  -  složí pro zarovnání paketu
  • Padding Length  - zde je dálka Padding. Pro příjemce informace, kolik toho má zahodit.
  • Next Header - Identifikuje hlavičku části Data.
ESP Autentifikace obsahuje:
  • Authentication Data - stejné jako u AH


Tunnel vs Transport mode

Rozdíly jsou již trochu patrné z obrázků paketů výše. U Transport mode je bezpečnost pouze na 4 vrstvě OSI/ISO modelu - IP hlavička je nešifrovaná a ponechána původní.  Tunnel mode šifruje i původní IP hlavičkou a přidává novou. Tedy je celý původní paket chráněn.









neděle 27. března 2016

WinSCP - zjištění hesla

Pokud máte v programu WinSCP uložené heslo, ale nepamatujete si ho, cesta ke zjištění není složitá. Musíte ovšem splňovat jednu podmínku a to, že nemáte nastavený Master password, který by hesla šifroval. Bez master password ukládání hesel není doporučené, protože opravdu není složité ho získat. Takže jak na to:

Potřebujete mít heslo uložené v .ini souboru. Přednastavené je uložení v registrech. Kde máte heslo uložené zjistíte přes Nástroje--> Předvolby --> Úložiště


Místo uložení hesla

Pokud máte heslo v registrech, musíte ho přes Nástroje--> Exportovat/Zálohovat konfiguraci  vyexportovat do .ini souboru.

Druhým krokem je stažení programu winscppwd. Jedná se o utilitu pro příkazovou řádku.
Použití je jednoduché: Program z příkazové řádky spustíte a jako parametr mu dáte cestu k vyexportovanému, nebo původnímu .ini souboru. A je hotovo.
Získané heslo.

Skript vrací data ve tvaru: usernam@ipAdresaServeru   heslo.



pátek 26. února 2016

Relace byla odpojena, protože pro tento počítač není dostupná licence pro klientský přístup k terminálovému serveru.

Pokud vám selhává připojení na vzdálenou plochu s následující chybou:

Relace byla odpojena, protože pro tento počítač není dostupná licence pro klientský přístup k terminálovému serveru.

Remote session was disconnected because there are no Remote Desktop client access licenses

je řešení relativně jednoduché:


  1. Vyhedejte v registru cestu:   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing
  2. Smažte klíč MSLicensing - doporučuji předtím provést export jako zálohu.

Zjištění verze Javy - příkazová řádka Windows

Pro zjištění verze instalované Javy stačí jednoduchý příkaz. Je potřeba ho spouštět z složky jre, kterou ověřujete. Občas není java instalovaná, ale používají se pouze binární soubory a poté není možné to ověřit v instalovaných programech ani jinde.
Příkaz je následující: java.exe -version