Active Directory Certificate Services - omezení platnosti 2 roky

Ve výchozím nastavení, tedy alespoň na serveru Windows Server 2012R2 má certifikační autorita nastavené omezení platnosti vydávaných certifikátu. Certifikáty jsou vydávány na maximálně 2 roky.

Jak toto nastavení změnit?

• certutil -getreg ca\ValidityPeriod - zjištění jednotek platnosti - year výchozí
• certutil -getreg ca\ValidityPeriodUnits - zjištění počtu jednotek - 2 výchozí

• certutil -setreg ca\ValidityPeriodUnits 5 - nastavení maximální platnosti na 5 let

Po změně je nutné restartovat službu AD CS.

Dále již záleží na příslušných šablonách, s jakou délkou bude certifikát vydán.

Active Directory Certificate Services neukazuje šablonu

Vytvořili jste si v AD CS( Windows Server 2012R2) duplikát některé z předpřipravených šablon, chcete ji aktivovat, ale šablona se nezobrazuje v přehledu pro aktivaci.

Příčinou je, že v dřívějších verzích bylo možné vlastní šablony aktivovat pouze pro verze Enterprise. Toto omezení je od 2008R2 vypnuté a šablonu si tedy můžete aktivovat v edici Standard. Problémem mohou být cesty upgradu ze starších systémů. Zkontrolujte jakou edici AD CS máte:

1. Otevřete adsiedit.msc
2. Navigujte se v cestě:CN=Configuration | CN=Services | CN=Public Key Services | CN=Enrollment Services
3. Pravým tlačítkem na certifikační autoritu a zkontrolujte parametr Flags, který by měl být rovný 10. Já měl hodnotu dvě. Po změně na 10 začalo vše fungovat.

NPS - Byla přijata neočekávaná nebo chybně formátovaná zpráva - Event ID 6273 - kód 266

Chyba se zřejmě vyskytuje na více systémech, ale mým byl Windows Server SBS2011. Cílem bylo nakonfigurovat Wifi přes Radius s ověřováním notebooků skrze certifikát generovaný AD CS(Active Directory Certification Services). Problém bude i v ověřování přes heslo(MSCHAPv2).

Při pokusu o připojení napíše klient: K této síti se nebylo možné připojit.
Security Event log na NPS serveru ukazuje událost:

EventID:6273
Kód chyby: 266
Důvod:Byla přijata neočekávaná nebo chybně formátovaná zpráva.


Důvodem je příliš mnoho kořenových certifikačních autorit na NPS serveru, které jsou zasílány klientovy. Chyba vznikla po nějakém update od MS.

Řešení: Řešením je zakázání odesílání certifikačních autorit klientovi změnou registrů. Změna funguje okamžitě a není potřeba cokoliv restartovat.

1. V registrech otevřeme cestu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
2. Vyvoříme:

typ:DWORD

Název:SendTrustedIssuerList

hodnota: 0(false)

Nyní by připojení mělo fungovat bez problémů, za předpokladu, že vše ostatní je v pořádku

Fortigate 60E logování do paměti

Fortigate 60E - low-end model, který neobsahuje disk a umožňuje tedy provoz logovat do paměti, do Fortianalyzeru a FortiCloudu.

Pokud potřebujete logovat do paměti, jako na všech modelech je potřeba mít logování zapnuté, což by ve výchozím stavu mělo být povolené:

Bohužel pokud logujete do paměti, je ve výchozím stavu nastavena úroveň logování na Warning,takže neuvidíte skoro žádné logy na záložce Forward Traffic. Nastavení je třeba upravit přes konzoli pomocí následujících příkazů:

Config log memory filter
get //vypsání aktuální konfigurace viz. obrázek níže. Serverity=warning

set severity information

end

Nyní by se logy již měly začít po chvíli objevovat. Pokud logujete na disk, je ve výchozím stavu úroveň logování nastavena právě na information.

Exchange 2010 - reset hesla OWA

V případě, že potřebujete resetovat přístupová hesla všem uživatelům s tím, že někteří využívají pouze Outlook a přístup do doménové sítě jiný nemají, je možné resetovat heslo přes Outlook Web Access. Je potřeba reset hesla povolit.

1. Povolení resetu hesla je třeba provést na všech Client Access serverch. Pokud máte jeden Exchange server tak právě na něm.
2. Otevřete editor registrů a najděte cestu:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchange OWA
3. Vytvořte: DWORD: ChangeExpiredPasswordEnabled s hodnotou 1
4. Restartujte IIS - Služba publikování na webu.

SBS2011 - Active Directory chybějící editor atributů

Po migraci z SBS2003 na SBS2011 Vám bude s největší pravděpodobností v Active Directory chybět záložka Editor atributů. Obvyklý trik: Zobrazit-> Upřesňující funkce zřejmě nepomůže.
Jasně, můžete si vyspat atributy přes powershell, ale někdy se prostě GUI může hodit. Jak na to?

1. Otevřete si adsiedit.msc
2. Pokud nejste připojení, musíte přes pravé tlačítko nastavit připojení k výchozímu názvovému kontextu.
3. Poté vyhledejte cestu: CN=405,CN=DisplaySpecifiers,CN=Configuration.DC=domain, DC=local viz obrázek



CN=405 je identifikátor pro češtinu viz. domain languages

4. Nyní editujte následující:
1. CN=User-Display object, upravte AdminPropertyPages a vložte:11,{c7436f12-a27f-4cab-aaca-2bd27ed1b773}
2. CN=Computer-Display object, upravte AdminPropertyPages a vložte:12,{c7436f12-a27f-4cab-aaca-2bd27ed1b773}
3. CN=Default-Display object, upravte AdminPropertyPages a vložte:4,{c7436f12-a27f-4cab-aaca-2bd27ed1b773}
5. Nyní byste měli vidět záložku Editor atributů.

HP Proliant ML310 G8 v2 - Hyper-V 2016 nestartuje

Skvělá vychytávka na server HP Proliant ML310 Gen8 v2, která se projeví po instalaci role Hyper-V ve Windows Server 2016 Std.

Chyba

Po doinstalaci role Hyper-V server přestane startovat a zasekne se při načítání Windows Serveru.

Řešení
Úprava nastavení v BIOSU:

• povolení VT - Virtualization Technology - enable
• zakázání VT-D - Intel® Virtualization Technology for Directed I/O  - disable

VT je ve výchozím nastavení povoleno a VT-D také. Je třeba tedy zakázat VT-D.

Powershell - kontrola dědičnosti oprávnění

Zde je jednoduchý powershell skript pro kontrolu zapnuté inheritance v zadané složce.
Před spuštěním skriptu je třeba upravit složku, která se bude kontrolovat a soubor s výpisem.


První verze vypíše pouze složky, které mají zablokované dědění oprávnění:

Get-ChildItem D:\Data\Company -recurse | ?{$_.PSIsContainer}|get-acl | ? {$_.AreAccessRulesProtected} | select @{Name="Path";Expression={Convert-Path $_.Path}},AreAccessRulesProtected | ft -autosize | out-file C:\Temp\prava.txt -width 1000


Ve druhé verzi jsou vypsány i všechny soubory se zablokovanou dědičností:

Get-ChildItem D:\Data\Company -recurse | get-acl | ? {$_.AreAccessRulesProtected} | select @{Name="Path";Expression={Convert-Path $_.Path}},AreAccessRulesProtected | ft -autosize | out-file C:\Temp\prava.txt -width 1000

Správa HP switche HPE 1920 - příkazová řádka

Přehled důležitých příkazů pro správu switche HPE 1920 přes příkazovou řádku:

• Zapnutí rozšířené příkazové řádky: _cmdline-mode on  heslo pro HPE1920 je: Jinhua1920unauthorized
• Logování do terminal okna(připojení přes telnet) - terminal logging/debugging
• Debugování např. STP událostí - debugging stp event
• Vypuntí debugování STP událostí - undo debugging stp event
• Vstup do system view pro nabídku dalších příkazů a konfiguraci - system-view pro výstup CTRL+Z 
• Configurace telnetu - user-interface vty 0
• nastavení timeout (6 hodin) pod telenetem: idle-timeout 3600
• Přidání portu do VLAN -  vlan xx-->port GigabitEthernet 1/0/1
• Nastavení IP vlany - interface vlan-interface xx-->ip address 10.10.88.1 255.255.255.0
• Uložení konfigurace: save
• Nastavení jména switche sysname SW1
• Nastavení trunk portu + VLAN
• interface GigabitEthernet 1/0/16
• port link-type trunk
• port trunk pvid vlan 1
• port trunk permit vlan 88
• Přidání více portů do VLAN - access porty=PVID
• VLAN 8
• port GigabitEthernet 1/0/3 to GigabitEthernet 1/0/15
• Nastavení pvid portu
• pod inerface: port access pvid 20
• pod vlan: port GigabitEthernet 1/0/20
• Nastavení času
• nastavení NTP serveru - ntp-service unicast-server 195.113.144.201
• nastavení timezone - clock timezone Belgrade add 01:00:00
• Výchozí routa - ip route-static 0.0.0.0 0.0.0.0 Vlan-interface xx 10.10.88.1 preference 60
• Statistiky pro daný interface - display interface GigabitEthernet 1/0/22

Managed Service Account - odebrání z přihlášení

Managed Service account(MSA), resp. Group Managed Service Account(gMSA) pro Windows Server 2012 je skvělá věc. Pokud trochu řešíte bezpečnost a nechcete, aby všechno běželo s právy local system.
Teorii si najděte jinde.

Pokud nastavíte nějakou službu, aby běžela pod servisními účty, můžete se dostat do situace, že z nějakého důvodu budete potřebovat změnit nastavení. Pokud si otevřete vlastnosti služby, možnost je zašedlá:

Řešením by byla změna registrů, případně přes příkaz:

sc config <nazevSluzby> obj=LocalSystem password= ""

Tento příkaz změní přihlášení služby pod LocalSystem.