Retifff's Blog

Мой ИТ блог

Установка Active Directory Certificate Services (AD CS)

Posted by retifff на 29.04.2012

Этой небольшой статьей я планирую начать цикл статей, посвященных настройке Windows Server 2008 R2. Планируется несколько статей — пошаговых мануалов, таких как миграция с Exchange 2003 на Exchange 2010, публикация сервисов Exchange на TMG, настройка Remote Desktop Services и опять же публикация их на TMG и т.п.

Мы рассмотрим установку служб сертификации Active Directory (AD CS), так как они мне понадобятся во всех последующих статьях.

Исходные данные: как всегда, имеется в наличии домен testcompany.local, контроллер домена dc01 под управлением Windows Server 2008 R2, единственный, для тестовой среды достаточно.

Будет рассматриваться упрощенная модель развертывания служб сертификации, достаточная для большинства небольших и средних организаций, с установкой единственного центра сертификации с типом Enterprise. Для развертывания инфраструктуры с подчиненными центрами сертификации эта статья не подходит. Впрочем, если всё же захочется, в Microsoft Technet всё есть, дерзайте. Также можно ознакомиться со статьей на сайте Вадима Поданса: Обсуждение схем иерархии Certification Authority.

В тестовой среде я буду устанавливать службы сертификации (AD CS) на контроллер домена, dc01, в реальной же сети, есть варианты. Если поставить на контроллер домена, то корневой сертификат автоматом распространится на все компьютеры домена без каких-либо усилий с вашей стороны. На отдельном сервере придется публиковать его в AD. Редакцию лучше выбрать Windows Server 2008 R2 Enterprise Edition, в которой можно будет создавать свои шаблоны сертификатов, а также там присутсвуют другие возможности, недоступные в редакции Standard. Различия можно увидеть по этой ссылке: http://technet.microsoft.com/en-us/library/cc755071.aspx. Не всем это правда будет нужно, но тем не менее, всегда лучше иметь больше возможностей, чем меньше🙂

Запускаем Server Manager > Roles > Add Roles. Запустится визард, в нем на шаге Select Server Roles ставим галку напротив строчки Active Directory Certificate Services и нажимаем кнопку Next:

Active Directory Certificate Services - Select Server Roles

На следующем шаге Introduction to Active Directory Certificate Services внимательно читаем, что там написано и нажимаем Next.
Читать далее…

Posted in Microsoft | Отмечено: , , , , | 3 комментария »

Миграция роли Active Directory и перенос контроллера домена на другой сервер

Posted by retifff на 27.07.2011

Введение

Как недавно выяснилось, процесс миграции домена с Windows Server 2003 на Windows Server 2008/R2 (либо просто на другой сервер) для начинающих системных администраторов представляет сложности и даже вызывает некоторую боязнь, хотя на самом деле он настолько прост, что о написании такой статьи я даже и не задумывался никогда, тем более что в интернете их полно.

Тем не менее, целью данной статьи было объединить типовые действия, возникающие при миграции, поэтому приступим. Статья будет представлять собой пошаговый мануал, с наиболее распространенным случаем миграции с 2003 на 2008 R2 и с необходимыми отступлениями для других вариантов. Собственно шаги:

 

Исходные данные и техзадание

Иходная ситуация — существует домен, testcompany.local. Для упрощения в нем будет один контроллер домена под Windows Server 2003, с именем dc01. DNS-сервер также на нем, основная зона интегрирована в Active Directory.

Сетевые настройки контроллера:

IP-адрес — 192.168.1.11
Маска — 255.255.255.0
Шлюз — 192.168.1.1
DNS-сервер — 192.168.1.11

Задача — установить контроллер домена на другом сервере, причем работающем под Windows Server 2008 R2, старый контроллер понизить до рядового сервера (а затем возможно, удалить вообще), а все функции старого контроллера передать новому.

 

Подготовительные работы

В качестве подготовительных работ следует запустить команды netdiag (эта команда существует только в 2003 Server, Support Tools) и dcdiag, убедиться в отсутствии ошибок, а при их наличии исправить эти ошибки.

В первую очередь определяем держателя FSMO-ролей в домене, командой:

netdom query fsmo

Читать далее…

Posted in Microsoft | Отмечено: , , , | 19 комментариев »

Применение планшета

Posted by retifff на 25.02.2011

Для чего вообще нужен планшет? Таким вопросом я задавался, когда вышел iPad и, сказать честно, был в недоумении по поводу всеобщей истерии по поводу его выхода и не мог придумать ему абсолютно никакого применения. Однако с выходом планшетов размером поменьше (и подешевле🙂 ) ситуация немного изменилась.

Итак, для чего мне может пригодится планшет?

Как читалка, букридер в первую очередь. У меня давно была мысль купить себе нормальную читалку на E-Ink, но останавливали два момента:

  1. Чтение в темноте. Для них невозможно в принципе из-за принципа самой технологии E-Ink. Либо с дурацким фонариком, который освещает полкомнаты и мешает спать вашей половине. А читать в темноте я люблю, перед тем как уснуть.
  2. Чтение PDF-документов. Их отображение на экране бумагоподобных читалок мягко говоря неудовлетворительное, особенно при использовании масштабирования.

Есть и другие не очень приятные моменты, но эти основные.
Читать далее…

Posted in Мобильные устройства | Отмечено: , , , | 8 комментариев »

LG Optimus One — частный отзыв

Posted by retifff на 23.02.2011

В общем как я и планировал, оптимальным телефоном для меня оказался LG Optimus One, название у него конечно в точку.

Я не буду делать полноценный обзор этого аппарата, их полно в интернете, сделаю акцент лишь на тех моментах, которые мне были нужны и про которые я писал в своей заметке Выбор идеального бюджетного смартфона на Android.

Я приобрел его в середине декабря 2010 года, за 10 тысяч рублей, но попал под акцию и 15% (1500 р.) мне перечислили в качестве бонуса на на мой номер телефона, так что получилось совсем бюджетно. Пользуюсь им уже довольно приличное время и могу описать свои впечатления.

Главное, напоминалки, ради чего и задумывалась покупка смартфона на андроиде, реализуются с помощью виджета для календаря Android Agenda Widget. Виджет этот в поставку не входит и скачивался отдельно, из маркета. Кстати советую все программы скачивать именно из маркета, а не с различных сайтов, чтобы как минимум иметь возможность обновления.

Выглядит главный экран с установленным виджетом Android Agenda Widget у меня вот так:
Читать далее…

Posted in Мобильные устройства | Отмечено: , , , | 4 комментария »

Форум системных администраторов — добро пожаловать!

Posted by retifff на 12.02.2011

Собственно ссылка на него в колонке справа у меня с декабря висит, но написать только сейчас решил. Другие айтишные форумы перестали устраивать, в основном странными действиями своей администрации, поэтому некая группа товарищей, со мной в том числе, решила поднять собственный форум, заходите, задавайте вопросы, общайтесь — Sysadminz.Ru.

Posted in Новости | Отмечено: , , | Leave a Comment »

Microsoft Active Directory Topology Diagrammer

Posted by retifff на 24.12.2010

Вообще программа уже не новая, но я про нее узнал только в этом месяце, при выполнении аудита одного нашего клиента. Сеть у него очень крупная, большое количество доменов, сайтов, серверов Exchange и т.п., поэтому вручную делать схему Active Directory очень трудоемко.  Очень полезная штука для визуализации Active Directory, может построить схему доменов, сайтов с линками, OU, Exchange с коннекторами и т.п. Схему он рисует совершенно автоматически, путем подключения к AD и вывода этой информации в Microsoft Visio (я пробовал в 2003, 2007 и 2010, во всех работает). Получается что-то типа того:

Microsoft Active Directory Topology Diagrammer

Пока писал это пост, нагуглил статью про него:
http://www.exchangerus.ru/2008/06/23/active-directory-topology-diagrammer-–-pomoshhnik-administratora/

Скачать можно по этой ссылке:  http://www.microsoft.com/downloads/en/details.aspx?FamilyID=cb42fc06-50c7-47ed-a65c-862661742764&displaylang=en

Posted in Новости | Leave a Comment »

Выбор идеального (но бюджетного) смартфона на Android

Posted by retifff на 20.09.2010

Вообще, мне всегда хватало и телефона, но в последнее время стал постоянно забывать многие вещи, которые нужно сделать в определенное время, билеты скажем на поезд вовремя купить. Поэтому решил, что мне нужна напоминалка, которая всегда под рукой. Требования к ней очень простые, хотелось, чтобы на главном экране были все напоминалки, причем не за какую-нибудь несчастную пару дней, а за очень приличное время, которое можно было бы настроить (скажем не меньше, чем за пару месяцев🙂 ).

Визуально хотелось бы, чтобы примерно как в Windows Mobile встречи организованы, в моем кпк Acer n311 это выглядело вот так:
Напоминалки в Windows Mobile
Использовать телефон с его 9-и кнопочным набором для этой цели не очень удобно, а вот большая виртуальная клавиатура по-моему как раз подойдет.
Читать далее…

Posted in Мобильные устройства | Отмечено: , , , | Leave a Comment »

Автоматическая авторизация в Kerio Winroute пользователей из Active Directory

Posted by retifff на 11.04.2010

Внимание! Статья не закончена! И вообще это черновик.

Задача: пользователи сети должны выходить в интернет только после авторизации на Kerio Winroute, автоизация должна быть незаметной для пользователей (NTLM), пользователи должны иметь возможность выходить в интернет с любого компьютера локальной сети, т.е. без привязки к IP-адресу своего компьютера.

Исходные данные: настроенная локальная сеть с работающим DNS в первую очередь, настроенный Kerio Winroute для всех пользователей. Кто не читал мои статьи ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!! и Kerio Winroute Firewall: ПРАВИЛЬНЫЕ Traffic Policy!!! сделайте это сейчас. Они немного устарели, в связи с выходом новых версий Kerio Winroute, но принципиально все верно.

Есть домен testcompany.local, есть контроллер домена dc01 с DNS-сервером на нем,  есть рядовой сервер gate (тоже в домене, это необязательное условие автоматической авторизации) с установленным и на нем Kerio Winroute. В этой статье рассматривается версия 6.7.1 Patch 2, самая актуальная на момент написания статьи.

Читать далее…

Posted in Kerio | Отмечено: , , , , | 10 комментариев »

Скрипт очистки содержимого папки Temp пользователя

Posted by retifff на 28.03.2010

Скрипт опять не мой, к сожалению, а товарища xlam с серого форума. Используется для удаления содержимого временных папок (Temp) пользователя, путем помещения его в logon или logoff скрипты пользовательской политики:

'Скрипт очищает папку %Temp% пользователя
On Error Resume Next
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objTMP = objFSO.GetSpecialFolder(2)
Set objFolder = objFSO.GetFolder(""&objTMP&"")
Set colSubfolders = objFolder.SubFolders
Set colSubfiles = objFolder.Files
For Each objSubfolder in colSubfolders
objSubfolder.Delete
Next
For Each objSubfile in colSubfiles
objSubfile.Delete
Next

Posted in Скрипты | Отмечено: , , , , | Leave a Comment »

Скрипт — Залогиненные пользователи на компьютерах в консоли Active Directory онлайн

Posted by retifff на 23.01.2010

Часто бывает нужно определить, за каким компьютером находится тот или иной пользователь. Собственно для этого и предназначен этот скрипт, авторство не мое, но так как он весьма полезный, я решил разместить его у себя в блоге, надеюсь автор не обидится🙂

При выполнении скрипта происходит запись в атрибут Description (объекта — компьютера в Active Directory) имени текущего залогиненного пользователя. Это делается при логоне/логоффе пользователя.

Как все делается. Есть два скрипта, один для Logon, другой для Logoff. Скрипты эти помещаются соответственно в Logon и Logoff скрипты в групповую политику для OU, в котором находятся учетные записи пользователей.
Далее, группе… скажем Domain Users делегируем на OU, содержащий компьютеры, следующие разрешения: Computer Objects > Write Description.

Сами скрипты (логофф отличается от логон только парой слов в предпоследней строке): Читать далее…

Posted in Скрипты | Отмечено: , | 6 комментариев »

Пошаговая (step-by-step) настройка Kerio MailServer на работу через mx-записи

Posted by retifff на 11.01.2010

Лирическое отступление. Всяким гуру и профи эта статья ни к чему, ну да они с kerio и не работают. Думаю она пригодится новичкам в системном администрировании, пошаговых мануалов всегда не хватает. Ну и еще мне хотелось показать, как настроить Kerio Mailserver в качестве полноценного почтового сервера, с работой через  mx-записи, с использованием пользователей из Active Directory, подключением Outlook по MAPI и т.п., ведь очень часто KMS используется как простой POP3/SMTP сервер, когда на самом деле он вполне может составить конкуренцию Exchange в небольших компаниях.

Задача: установить в организации почтовый сервер на базе Kerio MailServer (KMS), обеспечить прием и отправку почты в организации, доступ сотрудников к почте внутри и снаружи организации.

Что необходимо до установки почтового сервера:

  1. Наличие зарегистрированного доменного имени второго (ну или третьего хотя бы🙂 ) уровня, в нашем случае это testcompany.ru.
  2. В случае работы через MX-записи нужен будет собственно доступ к редактированию этих записей. Обычно хостер или регистратор имен предоставляет такую услугу.
  3. Собственно сервер, удовлетворяющий требованиям: http://www.kerio.com/mailserver/requirements.

Читать далее…

Posted in Kerio | Отмечено: , , , , , , , , , , , , , | 82 комментария »

Сдал сегодня 70-297: Designing a Microsoft Windows Server 2003 Active Directory and Network Infrastructure

Posted by retifff на 17.12.2009

Экзамен не очень сложный, 70-293 был намного сложнее для меня. В общем теперь я MCSE 2003… когда уже пора бы быть кем-нибудь по 2008🙂

Posted in Разное | 2 комментария »