CISCO ASA 5505 - konfigurace SSH

Pár příkazů pro konfiguraci přístupu po SSH.

CISCO ASA - datum a čas

Několik příkazů pro nastavení data a času.

MS EXCHANGE - SEND AS

Veřejná složka má přidělenou e-mail adresu.
Ale občas je nutno, aby jeden uživatel sem tam pod touto e-mail adresou odpověděl (odchozí e-mail adresa byla e-mail adresa veřejné složky).

Veřejná složka má e-mail adresu: faktury@firma.cz
Veřejná složk má jméno: FAKTURY
Uživatel má primární e-mail adresu: jmeno.prijmeni@firma.cz

CISCO ASA 5505 - změna MAC adresy

Občas se to může hodit ...
např. poskytovatel Internetu trvá na DHCP (ale je ochoten provést rezervaci IP adresy oproti MAC adrese)

MS Exchange Server 2016 - interní SMTP RELAY server

Na síti se docela určitě nachází další zařízení jako UPS, tiskárny, ... které mají potřebu cosi odesílat skrz SMTP komunikaci.

Takže si vytvoříme další zabezpečený SMTP RELAY server.

MS Exchange Server 2016 - změna SMTP baneru

A ještě poznámka, jak se změní SMTP baner

MS Exchange Server 2016 - DAG (díl 13)

V případě, že máme 2 a více MS Exchange Serverů 2016 asi budeme chtít vytvořit vysokou dostupnost (respektive ... kvůli tomu pořizujeme licence a to vše konfigurujeme).

Pokud máme jen jeden MS Exchange Server 2016 můžeme tuto kapitolu (mých konfiguračních poznámek) úplně klidně přeskočit.

Opět vše budeme provádět v PowerShellu (pokud není uvedeno jinak).

Úvodní kontrola

• Úplně začátek se přesvědčíme, že na všech serverech, kde je instalován MS Exchange Server 2016 je v lokální skupině Administrators také člen Exchange Trusted Subsystem.
• A totéž platí i pro Windows Server, který bude v roli svědka ... tedy Witness Serveru (tedy musí mít v lokální skupině Administrators člena Exchange Trusted Subsystem)

Dále zkontrolujeme v Active Directory, že skupina Exchange Trusted Subsystem obsahuje za členy nové MS Exchange Server 2016

Předpoklady pro konfiguraci DAG:

• všechny mailbosx servery musí být ve stejné doméně
• vytvořené mailbox databáze
• databáze musí mít jedinečné jméno
• databáze musí být přesunuty do cílových úložných cest
• databáze jsou na lokálních discích serveru
• musíme mít k dispozici jeden další MS Windows server (ne doménový řadič), který nám bude sloužit jako svědek (Witness server)
• stejnou pasivní kopii databáze nelze vytvořit na serveru, kde je již stejná aktivní databáze
• MS Exchange Server 2016 nemůže být instalován na MS Windows server s rolí řadič domény

DAG a vysoká dostupnost

• DAG provádí pouze vysokou dostupnost pouze pro roli mailbox (mailbox databáze)
• Pro roli klientských přístupových služeb (Client Access Services ...OWA, Outlook, ActiveSync atd) nelze použít DAG (pro toto je nutno použít Network Load Ballancer).
• DAG by měl mít lichý počet serverů
• Máli DAH sudý počet server je nutno použít svědka (Windows server) se souborovým sdílením

DAG a požadavky na síťování

• je doporučeno mít vytvořen další síťový adapter a vlastní síť minimálně 1 Gbps (ideálně 10 Gbps)
• každý člen DAG musí mít shodný počet síťových adaptérů a sítí
• síťová latence musí být nižší než 500 ms
• Automatic Private IP Addressing (APIPA) pro DAG členy není podporováno (TCP/IP adresování bez DHCP serveru)

DAG budeme vytvářet v konfiguraci DAG-IP less ... tedy:

• bez IP adresy
• bez Cluster Administrative Access Point (CAAP)
• bez Computer Object in Active Directory

Poznámka:

Pro jistotu si zkontrolujeme, že Backup Software umí tuto konfiguraci zazálohovat (pokud pracujeme se scénářem Exchange with Backup).

# Úvod

  CLS

  Remove-Variable -Name * -ErrorAction SilentlyContinue

  Add-PsSnapin Microsoft.Exchange.Management.PowerShell.E2010

# Tento script vytvoří DAG, vytvoří kopie databází

# Tento script je pro 2 členské servery a 2 databáze

# DEFINICE

  $exsrv16a = "EXSRV16a"

  $exsrv16b = "EXSRV16b"

  $exsrv16a_mbxdtb1 = "2016-am"

  $exsrv16a_mbxdtb2 = "2016-nz"

  

  $dag16 = "EXSRV16DA" # jméno může být maximálně 15 znaků

  $witnesssrv = "DC.firma.cz"

  #$witnessdir = "c:\DAG" # pokud nezadáme bude použito: %SystemDrive%\DAGFileShareWitnesses\<DAG FQDN>

  $filesystem = "NTFS" # další hodnota: REFS

  

# Seznam všech mailbox databází na serverech MS Exchange Server 2016

  Write-Host "Seznam databází na serveru $exsrv16a : " -ForegroundColor Yellow

  Get-MailboxDatabase -Server $exsrv16a | fl name,edbfilepath,logfolderpath

  Write-Host "Seznam databází na serveru $exsrv16b : " -ForegroundColor Yellow

  Get-MailboxDatabase -Server $exsrv16b | fl name,edbfilepath,logfolderpath

# Vytvoření DAG bez IP adresy

  Write-Host "Vytvářím DAG" -ForegroundColor Yellow

  New-DatabaseAvailabilityGroup -Name $dag16 -WitnessServer $witnesssrv -FileSystem $filesystem -WitnessDirectory $witnessdir -DatabaseAvailabilityGroupIPAddresses ([System.Net.IPAddress]::None)

# Přidání všech MS Exchange Serverů 2016 do DAG

  Add-DatabaseAvailabilityGroupServer -Identity $dag16 -MailboxServer $exsrv16a

  Add-DatabaseAvailabilityGroupServer -Identity $dag16 -MailboxServer $exsrv16b

# Stav DAG

  Write-Host "Stav Clusteru" -ForegroundColor Yellow

  Get-Cluster | Get-ClusterNode

  Write-Host "Jméno Clusteru" -ForegroundColor Yellow

  Get-Cluster

  Write-Host "Stav DAG" -ForegroundColor Yellow

  Get-DatabaseAvailabilityGroup $dag16 -Status

  Write-Host "Stav Witness Server" -ForegroundColor Yellow

  Get-DatabaseAvailabilityGroup $dag16 -Status | fl *witness*

  

# Seznam Mailbox databazí

  Get-MailboxDatabase | sort Name

  

# Kopie mailbox databáze - databáze 1

  Add-MailboxDatabaseCopy -Identity $exsrv16a_mbxdtb1 -MailboxServer $exsrv16b

  Start-Sleep 56

  (Get-Service -Name MSExchangeIS -ComputerName $exsrv16b).Stop()

  Start-Sleep 5

  (Get-Service -Name MSExchangeIS -ComputerName $exsrv16b).Start()

  start-sleep 56

# Mailbox databáze status - databáze 1

  Write-Host "Stav databází na server $exsrv16a :" -ForegroundColor Yellow

  Get-MailboxDatabaseCopyStatus –Server $exsrv16a | sort name

  Write-Host "Stav databází na server $exsrv16b :" -ForegroundColor Yellow

  Get-MailboxDatabaseCopyStatus –Server $exsrv16b | sort name

# Kopie mailbox databáze - databáze 1

  Add-MailboxDatabaseCopy -Identity $exsrv16a_mbxdtb2 -MailboxServer $exsrv16b

  Start-Sleep 56

  (Get-Service -Name MSExchangeIS -ComputerName $exsrv16b).Stop()

  Start-Sleep 5

  (Get-Service -Name MSExchangeIS -ComputerName $exsrv16b).Start()

  start-sleep 56

# Mailbox databáze status databáze 2

  Write-Host "Stav databází na server $exsrv16a :" -ForegroundColor Yellow

  Get-MailboxDatabaseCopyStatus –Server $exsrv16a | sort name

  Write-Host "Stav databází na server $exsrv16b :" -ForegroundColor Yellow

  Get-MailboxDatabaseCopyStatus –Server $exsrv16b | sort name

MS Exchange Server 2016 - oprava indexu databáze

Stalo se mi, že najednou začala databáze hlásit, že má index ve stavu ERROR ... tedy že je poškozený index.

Oprava je velmi jednoduchá.

Vše v PowerShellu

MS Exchange Server 2016 - Prerequisites Scripts

Narazil jsem na velmi zajimavý script ... který pomůže zejména ve fázi přípravy instalace MS Exchange Server 2016

Kontrola - NIC Power Management

Našel jsem na Internetu následující script - NIC Power Management, který provede kontrolu nastavení síťové karty (z pohledu doporučení Microsoft).

MS Exchange Server 2016 - konektor pro příjem (díl 12)

Po instalaci MS Exchange Server 2016 se vytvoří několik konektorů..
Přesto může nastat situace, kdy potřebuje vytvořit další přijímací konektor - např. pro interní SMTP relay.

MS Exchange Server 2016 - Import certifikátu (díl 11)

Máme k dispozici certifikát a ještě provést IMPORT.

MS Exchange Server 2016 - databáze pro MAILBOXy (díl 10)

A nastal čas pro vytvoření databáze pro mailboxy uživatelů.

Databázi můžeme vytvořit v grafickém prostředí ECP.
V Centru pro správu Exchange předeme do sekce Servery a zde je další podsekce Databáze.

Elegantnější je ale toto provést v prostředí PowerShell.

MS Exchange Server 2016 - SAN certifikát (díl 9)

... a pokračuje v konfiguračních poznámkách MS Exchange Serveru 2016.
V minulém díle jsem zakázali LOGY, které generuje MS Exchange nebo IIS.

Nyní máme na řadě oblast certifikátů.
Po instalaci MS Exchange Serveru 2016 se mám také vytvoří (tuším) 3 certifikáty.
Ale použití těchto certifikátů je v produkčním prostředí ... no prostě problematické.

Docela určitě můžeme s úspěchem použít placený (zakoupený certifikát), kde je dnes velký výběr.
Za všech snad mohu jmenovat prodejce, které jsem používal http://www.ssls.cz .

Mne však zajímalo, zda-li lze použít kvalitní certifikát, který je zdarma.

Jasně, pokud máme interní Certifikační autoritu šup tam s ním.
Jen jsou zde ještě určité problémy ... všem potenciálním zařízením musíme instalovat certifikát Certifikační autority.

Další možností je použít Certifikační autoritu ... v minulosti to byla třeba http://www.startssl.com, která nabízí zadarmo certifikáty pouze pro osobní a nekomerční použití.

Takže nám už jen zbývá nová a velmi mladá (nicméně ... zatím se zdá důveryhodná) Certifikační autorita Let’s Encrypt .

Pro MS Exchange Server 2016 potřebujeme SAN certifikát.
Aktuálně si nenabízí doménové certifikáty (*.doména.cz), ale je možno si zažádat o certifikát, která mám až 100 jmen.
Certifikáty jsou vydávány na 90 dnů ... ale to opravdu není problém ... skrz naplánované úlohu můžeme provádět automatickou obnovu.

MS SQL Server - jak zjistím číslo portu

Jak zjistím číslo portu, na kterém poslouchá MS SQL Server ?

Network - co je ECN a Data Center TCP

ECN support in TCP by hosts in Microsoft Windows
Windows versions since Windows Server 2008 and Windows Vista support ECN for TCP.
Since Windows Server 2012, it is enabled by default in Windows Server versions, because Data Center Transmission Control Protocol (DCTCP) is used.
In previous Windows versions and non-server versions it is disabled by default.

ECN support can be enabled using a shell command such as:
netsh interface tcp set global ecncapability=enabled 

MSIE 11 - zvýšení limitu současných spojení

V MS IE 9 je limit současných spojení 6.
V MS IE 10 je limit současných spojení 8.
V MS IE 11 je limit současných spojení 8.

Je doporučeno zvýšit limit na 16 (zejména při trvalé práci na rychlé síti).

Změna se provede zásahem do registrů:

Spustíme REGEDIT:

Windows Server 2012R2 - port mirroring

Nastavení zrcadlení portu ve virtuálním počítači.

MS Exchange Server 2016 - odinstalace

V testovacím prostředí jsem si ladil instalační script.
A také bylo potřeba provést odinstalaci.

Script je v PowerShellu:

Diagnostic and Battery Indicators for Latitude Notebooks and Tablets

A dnes si tu musím schovat odkaz na diagnostické LED pro DELL Lattitude noteboky.

MS Word 2013 - nedostatek paměti nebo místa na disku

MS Word 2013 najednou začne hlásit chybku:

Nedostatek paměti nebo místa na disku nebo v angličtině Insufficient memory or disk space.

A vyskakuje jedno okýnko za druhým.
Až je za chvilku pře-okýnkováno.

Řešení je zde:

Windows Server 2012 - instalace RDS

Vzniknul požadavek na instalaci (po staru) Terminal Services  ... nově se nazývá RDS Services.
A požadavek byl, byl, více uživatelů mohlo současně přistupovat ke serveru.

Instalace se provede takto:

MS Windows Server - zapnutí PING REPLAY

Pro někoho je lepší nastavení v GUI jindy je rychlejší nastavení skrz PowerShell.
Tak si sem ještě musím poznamenat, jak se zapne na MS Windows Serveru odezva na PING.

Cisco router 1720 - ztracené heslo

Ztratil jsem heslo do routru CISCO 1721.
Jak se opět ovládnou CISCO router?

Windows Server 2012R2 - zapnutí DISK PERFORMANCE ve správci úloh

V MS Windows Server 2012 R2 je z důvodu výkonnosti zakázán disk performance (zobrazování čítače, který sleduje výkon disku).

Zapnou ho lze velmi snadno, stačí příkaz v PowerShellu.

MS Exchange Server 2016 - konfigurace - zákaz vytváření logů (díl 8)

Máme instalován MS Exchange Server 2016 a pokračuje v konfiguraci.

Po instalaci si můžeme všimnout, že došlo k vytvoření adresářové struktury:
c:\Program Files\Microsoft\Exchange Server\V15\Logging\Monitoring\Monitoring ,
kde se nachází 2 adresáře, která nám stále rostou ... a rostou

• adresář: MSExchangeHMHost
• adresář: MSExchangeHMWorker

Zejména v adresáři je další adresář ActiveMonitorngTraceLogs, který značně nabývá na objemu.

Máme 3 možnosti:

• nevšímat si těchto adresář (až se pak jednoho dne ráno nebudeme stačit divit ... že došlo místo)
• naplánovanou úlohou automaticky logy promazávat (a nechávat třeba jen posledních 10 dnů)
• zakázat vytváření

MS Exchange Server 2016 - instalační script (díl 7)

A zde máme ještě shrnutí ... celý jednoduchý instalační script

Powershell:

MS Exchange Server 2016 - instalační poznámky (díl 6)

Úspěšně máme za sebou instalační přípravu a můžeme se vrhnout na vlastní instalaci MS Exchange Serveru 2016.

MS Exchange Server 2016 - před instalační script (díl 5)

A ještě si shrneme před-instalační script ...

PowerShell:

MS Exchange Server 2016 - poznámky před instalací (díl 4)

Jen si sem dám trochu poznámek před upgradem MS Exchange Serveru
Budu provádět upgrade z verze 2013 na cílovou verzi 2016 (CU2 ... v době psaní tohoto článku).
Vše bude ve virtualizaci MS-HYPER-V 2012R2.

V případě instalace přímo na fyzický HW je nutno pamatovat na několik doporučených odlišností.
Jedná se např. doporučené vypnutí Hyperthreading.

Pro vyšší výkon je též vhodná optimalizace diskového pole:
- Storage Controller Cache: 75% Write a 25% Read
- Při RAID použít STRIP (per disk chunk) 256 KB nebo větší v násobku 256

Poznámka:
Všechny níže uvedené příkazy jsou použitelné v prostředí PowerShell

PowerShell: ReFS

Jen několik PowerShell příkazů pro práci s souborovým systémem ReFS

MS Exchange Server 2016 - poznámky k ReFS (díl 3)

Pro MS Exchange 2016 je doporučován souborový systém ReFS.
Pojďme se na něj trošičku podívat ... zde mám trochu poznámek.

ReFS = Resilient File System

MS Exchange Server 2016 - poznámky k Load Balancer (díl 2)

V případě, že stavíme vysokou dostupnost (HA) ze dvou a více serverů, tak nás také ve finále začne také zajímat rozklad protokolů pro koncovou komunikaci (HTTP/HTTPS, SMTP, IMAP, POP3, ...).
Nebo-li příchozí komunikaci musíme směrovat vždy a za všech okolností vždy nejméně na jeden "žijící" Exchange Server.

A aby Vysoká dostupnost měla smysl, je doporučeno mít 2 Load Balencery.

Součástí MS Windows Server 2016 je také role NLB.
Tato role je je však v praxi nepoužitelná jako Load Balancer pro MS Exchange Server.
Vývojový Exchange tým navíc NLB (která je součástí MS Windows Server 2012 R2) nedoporučuje pro použití s MS Exchange Serverem.

Takže se musíme po-ohlédnut po jiných řešeních v případě, že chceme nasadit vysokou dostupnost.

Jedním z možných řešení (v případě, že nechceme či nemůžeme pořizovat HW nebo SW Load Balancer) je použití DNS Round Robin Load Balancing, která je použitelná v případě plánovaných odstávek ... viz mini-série článků Exchange 2016 DNS Round Robin Load Balancing .

DNS Round Robin Load Balancing má však některé nevýhody:

• nesleduje zdraví služeb
• nemonitoruje zátěž ... ale tupě, spravedlivě směruje požadavky mezi všechny Exchange servery
• nemá možnost provádět aktivní - pasivní Load Balancing
• neprovádí protokolování
• neprovádí žádné hlášení
• zastavení serveru není okamžité, nejprve je nutno upravit záznamy v DNS
• poctivě, spravedlivě směruje dotazy
  (a nepozná, že jeden ze serverů má silnější konfiguraci nebo naopak je přetížen či je dokonce vypnut)

Takže ani DNS Round Robin ve funkci Load Balancer není to pravé ořechové
(respektive je tak nějak použitelný v případě plánovaných odstávek)

a hledáme tedy dále ...

MS Exchange Server 2016 - licenční poznámky (díl 1)

Čeká mne upgrade na poslední verzi MS EXCHANGE SERVER 2016.

Tak zde je trocha mých poznámek k licencím.

Nákup:
- kupuje se tzv. serverová lincence pro instalaci MS EXCHANGE SERVER

- a kupuje se tzv. přístupová licence ... neboli CAL ... pro každého uživatele nebo zařízení

Volba schématu napájení

Moc se o tom neví, nebo spíše se na to zapomíná.
Na serverech u velkých sowtwarových serverových balíků (např. MS Exchange Server, MS SQL Server) je velmi vhodné zvolit schéma napájení na "Vysoký výkon"

Na příkazové řádce se to provede takto:

MS Exchange - jakou verzi požívám (powershell)

Jak zjistím ... jakou verzi MS Exchange Serveru používám ... tedy přesněji jaký build ?

V PowerShellu snadno:

Windows Update - reset služby

Kdo nepotkal nějakou chybu ve Windows u služby Windows Update ať hodí kamenem.
Občas mne potká chybka 8024800A

Co s tím ... ?

Boj se SPAMy

Pokud bojujete se SPAMY, zkuste se podívat po následujících technologiích.
Všechny 3 níže uvedené se konfigurují skrz záznam v DNS.

SPF

Exchange Server 2013 - update OAB

Offline Address Book (OAB) se z-aktualizuje v PowerShellu příkazem:

Exchange Server 2013 - update GAL

Global Address List se zaktualizuje příkazem v PowerShellu takto:

EXCHANGE 2013 - Vypnutí DELIVERY Reportu

Vypnutí DELIVERY REPORTU

Exchange 2013 - vypnutí NDR reportů

Při jednotlivém použití je existence Non Delivery Reports (NDR) reportu oprávněná … dokonce žádoucí.
Odesílatel se dozví, že mailbox neexistuje (nebo že se uklepnul v adrese).

SPAMMEŘI však zkouší jednotlivé domény a testují existenci e-mail adres (na základě NDR reportů).

Masové použití (respektive zneužití NDR reportů) cílené na doménu je však nežádoucí.

Vypnutí odesílání NDR reportů 

MS Exchange 2013 - zakázané mailboxy

Prostředí MS Exchange 2013 CU12.
OS je MS Windows Server 2012R2.

A zde je několik PowerShell příkazů pro práci s mailboxem ve stavu soft-deleted nebo disabled (zakázaných).

Seznam zakázaných mailboxů (disabled mailbox) se vypíše v PowerShellu takto:

PowerShell - backup CA

Jen krátký scriptík - záloha Certifikační autority
Záloha se provede do lokálního disku a následně ještě scriptík provede kopii.

PowerShell - smazání všech proměnných na konci scriptu

Na konci každého scriptu vždy mažu definované proměnné, nebo proměnné, které vznikají scriptem.

Provádím to takto:

Powershell - jak zjistit přiřazené písmenko po přidání disku

Potřebuji v PowerShellu scriptem přidat (přimontovat) VHDx disk.
Následně potřebuji s tímto diskem v PowerShellu pracovat.

Kardinální otázka zní, jaké má ten disk písmenko?

Na clusteru nejde sdílet adresář

Nejprve popis prostředí:
- MS Windows Server 2012 R2
- instalovaný virtuální Windows Failover Cluster
- virtuální cluster se skládá ze dvou virtuálních VM (2 node cluster)
- role je souborový server

A problém ... potřeboval jsem na-sdílet adresář do vysoké dostupnosti (do role souborový server)

Obdržel jsem chybové hlášení:

Při pokusu os sdílení <jméno adresáře> došlo k neznámé chybě.
Pro tuto operaci musí být prostředky online ve stejném uzlu.
Sdílený prostředek nebyl nyní vytvořen.

Skype for Business - powershell import module

Jak v PowerShellu import modul pro Skype for Bussiness.

Skype for Business 2015 - verze v PowerShellu

Jak zjistím verzi Skype for Business 2015 Server z prostředí PowerShellu ?

PowerShell - odeslání e-mailu

Skrz naplánované úlohy můžeme pravidelně spouštět script v PowerShellu a výsledek si nechat zaslat do e-mailu.

Takže na konce PowerShellu se přidá následující:

PowerShell - error 0x80131515

V PowerShellu ... provádím IMPORT modulu.
Obdržím následující chybové hlášení:

Import-Module : Could not load file or assembly 'file:///C:\Windows\system32\WindowsPowerShell\v1.0\Modules\SshShell\Renci.SshNet.dll' or one of its dependencies. Operation is not supported. (Exception from HRESULT: 0x80131515)

Vyřeším to takto:

Otevření souboru RDP z webového serveru

Jen úvod:
PowerShellem generuji HTML stránku do web serveru (IIS 8.5)
A součástí je odkaz na RDP soubor, který chci otevřít v web prohlížeči.

Protože IIS standardně nezná RDP soubor je nutno nejprve doplnit konfiguraci.

PowerShell - povolení spuštění scriptů

Standardně má PowerShell po instalaci zakázáno spouštění scriptů.
Povolení se provede takto:

PSTerminal Service nefunkční s Windows 7

Powershell ve Windows (týká se jak serverových, tak desktopových) aktuálně neobsahuje rozumný příkaz pro zjištění informací o vzdáleně přihlášených uživatelích pro RDP.

K touto krásně poslouží projekt PSTerminalServices, který bezvadně funguje s Windows Serverem.
Ale potýkal jsem s Windows 7 ... zde jsem nemohl vydolovat žádné informace.

Totiž ... mám udělaný skrz naplánované úlohy PowerShell report (který mi generoval do HTML, kdo používá VM).
No a ten Powershell report mi končil jakousi chybkou.
Trošičku jsem se tomu včera po obědě věnoval a zde je řešení.

Nejprve jsem musel povolit RPC na Windows 7.

PowerShell - seznam IP adres spuštěných VM

A to si tady musím poznamenat.

Krásná přehledná tabulka, ze které se dozvím, jméno a IP adresu spuštěné VM.

Windows - záloha souborových práv

Někdy se to může hodit ... záloha práva sdílení a záloha práv nad soubory (a adresáři).

1. Sdílení

Regedit - Export tohoto klíče:

HKLMSYSTEMCurrentControlSetServicesLanmanServerShares 

2. Soubory a adresáře

záloha:

icacls d:data /save ntfsperms.txt /t /c

obnova:
icacls d: /restore ntfsperms.txt

Zdroj:

https://blogs.technet.microsoft.com/askds/2008/11/24/how-to-back-up-and-restore-ntfs-and-share-permissions/

Powershell a MS SQL 2014

PowerShell a MS SQL Server 2014

Jak na připojení z Powershell ISE

Exchange 2013 - certifikát s více jmény

Nový certifikát pro MS Exchange Server
(respektive pro IIS web server ... tedy úplně přesně pro Outlook Web App).

Obvykle potřebujeme jeden certifikát s více jmény alternativními jmény.
V případě, že nám certifikát stačí z interní doménové CA je postup tento:

Spustíme PowerShell a zadáme následující:

Outlook 2016 - základní diagnostika připojení k MS Exchange Serveru

Taková drobná finta ... nicméně stojí za poznamenání.
Ale není to žádná novinka ... už to existuje několik verzí zpět.

Takže, když je spuštěný MS Outlook 201?, tak najdeme na systémové liště vedle hodin (obvykle bývá na obrazovce v pravém dolním roku) ikonku OUTLOOK.

Najedeme nad ní s myšákem.

Přesměrování HTTP na HTTPS na Microsoft® IIS

Přesměrování webového obsahu z nezabezpečeného protokolu HTTP na zabezpečený HTTPS na serveru Microsoft IIS se řeší modulem URL Rewrite.

Postup:
- Modul URL Rewrite lze získat zde.

- instalovat certifikát pro Web server
- pro daný web v sekci "Nastavení SSL" vypnout volbu "Požadovat protokol SSL".

TURRIS - nefunkční PPTP z LAN do Internetu

Potřebuji sestavit VPN typu PPTP z LAN do Internetu (tedy skrz TURRISe).
Potřebuji tedy, aby VPN byla jen a pouze průchozí.

Co je potřeba provést?

Exchange Server 2013 - obnova Witness serveru

Popis prostředí:
- mám 2 MS Exchange Servery 2013
- mám vytvořen DAG
- WITNESS server je na jiném ... třetím serveru

Problém:
Potřeboval jsem provést reinstalaci WITNESS serveru.
Po reinstalaci v MS Exchange admin centru vyskakovalo hlášení že je ve stavu FAIL

Bylo nutno provést obnovu

Provede se takto:

PowerShell - datum včera

Jen si tu musím honem rychle poznamenat tento scriptík ... jak v PowerShellu použít včerejší datum

Powershell:

Powershell a Exchange script 2013

Potřebuji cosi udělat v PowerShellu s MS Exchange Server 2013.
A vyvstává kardinální otázka: Jak připojit EXCHANGE 2013 modul.

Odpověď je zde:

Exchange 2013 - jak zjistit odpojený mailbox

Jak zjistit zda-li mám odpojený mailbox v svém EXCHANGE Serveru 2013 ?

V Exchange Powershellu např. takto:

MS Exchange 2013 - export mailbox do PST souboru

Potřeboval jsem provést export schránky jednoho uživatele do souboru PST.

No a zde je stručný návod:

Windows - byl jste přihlášen pomocí dočasného uživateslkého profilu

Problém:
uživatel je přihlášen pomocí dočasného uživatelského profilu
Po odhlášené bude dočasný uživatelský profil smazán (včetně všech dat, konfigurací v něm uložených) .

Pro řešení pomohla MS KB.

Exchange 2013 - content filer

Práce s CONTENT filtrem v MS Exchange Server 2013

Vypíše stav filtru:
Get-ContentFilterConfig

Get-ContentFilterConfig | Format-List ExternalMailEnabled


Dá (a vše předchozí smaže) do filtru vyjímku na doménu xyz.cz:
Set-ContentFilterConfig -BypassedSenderDomains "xyz.cz"

Přidá již existujícímu následující 2 domény:
Set-ContentFilterConfig -BypassedSenderDomains @{Add="abc.cz", "def.cz"}

Odstraní 2 existující domény:
Set-ContentFilterConfig -BypassedSenderDomains @{remove="abc.cz", "def.cz"}


Odkaz:
https://technet.microsoft.com/en-us/library/aa995953(v=exchg.160).aspx

WSUS 2012R2 - neprovádí se aktualizace Windows 7

Tohle primárně řešil kolega, já jsem jen paběrkoval ... z povzdálí jsem vše sledoval (neb jsem měl spousty jiné práce).
Ale přesto se to sem musím poznamenat.
Třeba by se to mohlo někomu hodit.

Od začátku ....
Museli jsem provést přesun serveru, kde byla role WSUS (pro naši interní infrastrukturu).
Tedy přesun serveru ... není to úplně výstižné slovo ... spíše se jednalo o přesun služby.
A ten byl spojený s novou reinstalací.
A novou konfigurací služby WSUS.

Když bylo vše hotovo a uvedeno do provozu, tak kolega zjistil, že těm, co mají Windows 7, se neprovádí aktualizace.

Hledání řešení se táhlo velmi dlouho.

Windows Server 2016 - boot from VHD

Již od verze desktopového operačního systému MS Windows 7 lze provést boot z VHD souboru (kde je podporovaný operační systém).
Pro serverový operační systém je podpora až od verze MS Windows Server 2008 R2 (snad si to dobře pamatuji)

Myslím, že s  menší či větší modifikací toto platí i pro prostředí MS Windows 7 a novější či MS Widnows Windows Server 2008R2 a novější

Já jsem si jen chtěl vyzkoušet, že to funguje i případě varianty Windows Server 2016 TP4 na serveru intel NUC 6i5SYH.
Zachtělo se mi totiž v prostředí MS Windows Serveru 2016 provést boot z VHD (operačním systémem, který bootuje z VHD je v mém případě MS Windows 10).

Postupů je je na Internetu celá řada.

Proto snad ani nebudu uvádět zdroj.

Ale já zde ještě nemám poznamenaný ... a navíc aspoň jsem si vyzkoušel, že to je funkční i v prostředí MS Windows Serveru 2016

Nejprve je potřeba vytvořit prázdné disk (soubor VHD nebo lépe VHDX).
Postupů je opět celá řada. Lze to naklikat v GUI nebo z CMD nebo z PowerShellu.


CMD: Vytvoření disku VHDx, vytvoření oddílu 
diskpart
create vdisk file="c:\win10.vhdx" maximum 61440 type=expandable
select vdisk file= "c:\win10.vhdx"
attach vdisk
list disk
list volume
create partition primary
list volume
select volume Windows10
format quick
assign letter=V:
exit

Ze života: úpé-eska mi dnes ráno vynadala

Tak jsem přišel ráno do kanceláře.

Už skrz dveře jsem slyšel nadávající úpé-esku.

A jak jsem otevřel dveře, tak nadávání zesílilo.

Pištěla překotně a vůbec mě nechtěla pustit ke slovu.

Ale až po té,

co jsem opět zapnul náš starý známý proudový chránič v rozvaděči,

se františkova úpé-eska uklidnila a začala si tiše hladově vrnět:

Ze života: Revize elektriky

Po 7 měsících jsme se z vyhnanství opět nastěhovali zpět do kanceláře.
Máme novou podlahu
Podhledy.
I Nové posvícení.
Nesmím zapomenout, že máme také vymalováno.

Ono to vše se ani tak netýkalo naší kanceláře, ale spíše celé budovy.
Po těch 20 - 25 letech už to se chtělo nějakou drbnou údržbu.

Řešilo se více věcí ... no a my jsem se jen svezli.

Snad ještě musím podotknout, že v budově také proběhla rekonstrukce elektro - rozvaděčů.

Několik dnů po nastěhování nám vypadly pojistky.

Je to náhoda nic neděje .... nahodíme je a po chvilce se pracuje se dál.

Jsme večer v práci ... instalují CU 12 na MS Exchange 2013.
Z domova

A najednou mi pod rukama doslova umře počítač.

Nic neděje ... Stejně jsem ho měl zapnutý jen kvůli poznámkám.

Následující pracovní den přijdu do práce a tam zoufale piští ÚPeSka.

Tak zase na hodím pojistky.

A jdu to reklamovat.

Přes den opět výpadek opět vypadnul pruďák.

Frekvence výpadků se zkracuje.

To už se rozčílím a důrazně se připomenu.

Přiběhne kluk (z naší firmy co to měl na povel ... nejen namalování, ale i realizaci a kontrolu).

A jeho první slova jsou: 

Intel NUC 6i5SYH - levný server

V případě, že pokukujete po malém levném serveru (ať už na doma, nebo do firmy) připadá také v úvahu škatulka Intel NUC z toho velkého množství hardware, které je v nabídce.

Co činí již 6. generaci tak zajímavou?

• malé rozměry
• nízká spotřeba
• slot SDXC
• výstup na HDMI 1.4b a Mini-DP 1.2
• intel Wireless Display 6.0
• WiFi 802.11ac
• Bluetooth 4.1
• audio výstup 7.1 skrz HDMI nebo mini-DP
• 4 porty USB 3.0
• výstup na sluchátka a mikrofon
• infra port
• a uvnitř na desce jsou další 2 portu USB 2.0 a NFC (je nutno vytáhnout)
• záruka 3 roky

Většina výše uvedených parametrů je pro server nezajímavá
Zajímavější jsou spíše tyto poslední 3 parametry:

• pro síť je k dispozici 1 port 10/100/1000
  (a případně lze přidat drátové ethernety skrz USB)
• pro disky je dispozici M.2 a SATA
  lze tedy mít uvnitř škatulky 2 úložiště
  - např. rychlé SSD úložiště na M.2
  - např. pomalé HDD úložiště na SATA
• paměť ... ano opravdu umí až 32 GB DDR4 dvou-kanál

Z čeho se dá vybírat v 6. generaci Intel NUC ?

• 6i3 s procesorem i3-61100U / 2,30 GHz
• 6i5 s procesorm i5-6260U / 1,80 GHz
• 6i7 s procesorem i7-6770HQ / 3,50 GHz

Poznámka:

- intel NUC 6i7KYK bude dostupný od 05/2016
- pro úložiště má pouze M.2 konektor ve verzi 22x42 nebo 22x80 SATA or PCIe SSD
- má velmi výkonnou grafiku Intel Iris Pro 580 Graphics
- má 1 port Thunderbolt 3 s USB 3.1 (USB Type-C konektor)

Pro NUC 6i3 a NUC6i5 platí:

a od každé verze je ještě varianta v krabičce, která je nízká nebo vysoká

Vysoká varianta od té nízké se liší písmenkově

• SYK (nízká)
• SYH (vysoká o nějakých cca 9 mm)

kde vysoká varianta má nejen navíc 1 SATA port, ale i místo pro uložení cca 7 mm vysoké HDD nebo SSD

A pár postřehů z praxe:

CISCO ASA 5506-X - jako ntp server

Kolega chtěl vědět ...
Lze nastavit CISCO ASA 5506-X (nebo jiné ASA zařízení) jako NTP server ?

Patrál jsem v dokumentaci

Windows Server 2016 - požadavky na běh

Od předchozí verze Microsoft trošičku opět zpřísnil.
Požadavek na SLAT byl doporučen ... nyní je u vyžadován.
A nadále zůstává požadavek na 64-bit procesor.

Jaké jsou tedy všechny požadavky na běh MS Windows Server 2016 ?

HYPER-V - NUM LOCK

Ve verzi HYPER-V 2012R2 nejde nastavit hodnotu NUM LOCK.
Tuším, že v některé předešlé verzi to fugovalo.

Takže status NUMLOCK pro virtuální HYPER-V počítač se nastaví takto:

Windows 2012R2 - přepnutí mezi GUI a CLI

V PowerShellu lze snadno provést přepnutí mezi grafickým prostředí a verzí CORE.
A to oběma směry.

A tady je několik příkazů v PowerShellu:

Exchange 2013 - track log

Potřeboval jsem co si najít v logu MS Exchange 2013.
Hledal jsem jakési detaily ohledně jednoho e-mailu

A následně jsem dal do kupy tento PowerShell script.

Souboj obchodů: ALZA versus CZC

Rozhodnul jsem se k objednání nového počítače (starý má již cca 7 let).

Vybral jsem si INTEL NUC.
A k objednání mne přiměla aktuální sleva na mnou zvolený model INTEL NUC6i5SYH
K němu je ještě potřeba objednat operační paměť a nějaké to úložiště (tedy disk).

A protože paměť nebyla u CZC k mání (a ani se nerýsovala brzká dodávka nejen ke mně, ale i do obchodu na sklad), tak jsem se podíval do ostatních obchodů.
Zde mne zaujala nabídka v obchodě ALZA, kde navíc byla také výrazně levnější než u CZC.

Objednávku jsem provedl ve středu 16.3.2016 v odpoledních hodinách (daleko před 17 hodinou).
Všechno objednané bylo skladem.

U obchodu ALZA jsem zvolil dodání na Českou poštu.
U obchodu CZC jsem zvolil dodání na partnera CZC.

Objednávku jsem okamžitě zaplatil on-line platební kartou.
Mezi oběma objednávkami mohl být rozdíl tak cca 5 - 10 minut.

A dopadlo to takto:

AD RMS - The revocation process could not continue - the certificate(s) could not be checked.

Na klientské stanici uživatel dává dává z prostředí MS OFFICE práva RMS.
A místo práv obdrží následující chybku:

0x800B010E: Proces zrušení nemůže pokračovat, protože nelze zkontrolovat certifikáty.

nebo v anglištině:

The revocation process could not continue - the certificate(s) could not be checked.

Windows 2012R2 - Certification Authority Web Enrollment Configuration Failed 0x80070057

Při konfiguraci (zavolání ze SERVERU MANAGERU) se může vyskytnout následující chybová hláška:

AD: Certification Authority Web Enrollment Configuration Failed 0x80070057 (WIN32: 87)

Přestože chybka vypadá hrůzostrašně, oprava je velmi jednoduchá.

Windows Server 2012 R2 - Migrace Certifikační Autority

Pokud potřebujete provést migraci Certifikační Autority (dále jen CA) ze serveru MS Windows Server 2012R2 na jiný server MS Windows Server 2012R2, tka postup je takovýto:

Migrace se neprovádí u těchto rolí:

• CA Web Enrollment
• Online Responder
• Network Device Enrollment
• Certificate Enrollment Web Services

Migrace se týká pouze vlastní Certifikační autority



1. Záloha CA a privátního klíče + zastavení CA
Na starém serveru s CA
   GUI:
   Spustit certsrv.msc - Všechny úkoly - Zálohovat CA - Vybrat Privátní klíč a databázi
   Všechny úkoly - Zastavit CA

   PowerShell:

  Backup-CARoleService –path <BackupDirectory> 

  Stop-service certsvc

   CMD:

    Certutil.exe –backupdb <BackupDirectory>
  Certutil.exe –backupkey <BackupDirectory>

     net stop certsvc
   Zastavením CA zabráníme vzniku (respektive ztrátě) dalších certifikátů.

Vypnutí kontroly odvolání certifikátů na CA

Kdesi v hlubinách Internetu jsem našel toto následující:

Disabled the feature that checks revocation on all certificates in the PKI hierarchy with the following command on the CA:

Load Balancer

Jednou z rolí ve Windows Serveru 2012 R2 je NLB (Network Load Balancing Services).
Má však některá "svá specifiká", takže v praxi v některých případech je její použití velmi omezené či vůbec nemožné.

Takže dokonce EXCHANGE tým pro svůj MS Exchange Server NLB nedoporučuje ... a naopak doporučuje k použití jiné - konkurenční produkty.

CISCO ASA - CHYBA: unable to launch device manager from

Najednou mi odpadl management na CISCO ASA.
V grafickém prostředí obdržím chybové hlášení: unable to launch device manager from ...

Se můžu snažit jak chci (odinstalace  JAVY, ASDM) ale nic nepomáhá.

Zajimavé je, že na "malou ASu 5505" je vše funkční.

Moje prostředí:

CISCO ASA 5510: ... nefunkční
- ASA 9.1(6)
- ASDM 7.5(2)

CISCO ASA 5505: ... funkční
- ASA 9.2(4)
- ASDM 7.5(1)

OS: - MS Windows 10 build 14257

Cisco odborník na ASu řekne ... dyť máš funkční SSH.
Ano mám, ale přeci jen grafické prostředí je občas rychlejší, když si honem rychle nedokážu vzpomenout na syntaxi.

DVB-T2 v ČR v normě H.265/HEVC

Další velká televizní změna nás opět čeká.
Před několika lety utichlo analogové vysílání.
A v současné televizní normě DVB-T se za cca 4 roky (2020 - 2021) přestane vysílat.
(Přesné datum bude ještě stanoveno).

Zdá se, že je to ještě daleko.
Ale je potřeba si uvědomit, že v normě DVB-T2 se začne pravděpodobně vysílat již na konci letošního roku (2016) a na konci příštího roku (2017) má již být celoplošné pokrytí.

Co musí televize umět, aby přijímala DVB-T2 ?

Veřejný český DNS server

Nejen GOOGLE má veřejný DNS server.
Také CZ.NIC má veřejný DNS.

CA - prodloužení platnosti certifikátů

Microsoft Certifikační autorita vydává standardně certifikáty s délkou platnosti maximálně 1 rok.
Někdy může být tato hodnota nepraktická a potřebujeme vydávat certifikáty s delší dobou platnosti.

Jedna z možností, jak zařídit změnu platnosti všech vydávaných certifikátů ja např. tato:

CISCO AnyConnect a SHA 256 zatím spolu NEkamarádí

V případě, že používáte VPN AnyConnect od firmy CISCO a rozhodujete se přejít na SHA256, tak koukněte na následující článek.

Zatím SHA256 není podporované ... respektive je zde chybka.

V každém případě, ověřování certifikátů s SHA256 selhává.

SHA-256 kompatibility list

Vynikající článek od Globalsign.
SHA-256 je už vcelku aktuální.

CISCO ASA 5506-X - konfigurace SSL VPN

A ještě zde máme pokročilou konfiguraci pro CISCO ASA 5506-X.
Občas se hodí vzdálený VPN přístup do lokální sítě
(... plynule navazujeme v konfiguraci na předchozí článek)

CISCO ASA 5506 - úvodní konfigurace

Zde si dám jen několik poznámek k úvodní konfiguraci.

CISCO ASA 5506-X - reset to factory default

Jak se provéde RESET do továrního nastavení u VPN firewallu CISCO ASA 5506-X

Exchange 2013 - White List

vše se provádí v v PowerShellu (Exchange Management Shell)

Kontrola:
get-ContentFilterConfig

Certifikační autorita - obnova certifikátu

Mám Certifikační autoritu v MS Windows 2012 R2.
A potřebuji obnovit certifikát Certifikační autority (co nevidět vyprší platnost certifikátu).
A zároveň chci přejít na z SHA-1 na SHA-2 .

OS a další komponenty musí podporovat SHA-256

Více např. zde. https://support.globalsign.com/customer/portal/articles/1499561-sha-256-compatibility

Tak jdeme na to:

Zmenšení velikosti virtuálního disku VHDX

Trnitá cesta vede k cíli ...
... ale není to nemožné.
Jde to.

Virtuální disk VHDX lze zmenšit např takto:

Nejprve doporučuji provést plnou záloho celého počítače.

Uvnitř běžící VM

1. Odinstalovat nepotřebné programy
2. Smazat všechny nepotřebné data
3. Smazat TEMP adresář: c:\Windows\TEMP
4. Smazat pracovní nepotřebná data v uživatelském profilu
5. Vyprázdnit kešku od MSIE a dalších www prohlížečů
6. Vysypat koš
7. Dle potřeby (dle vlastního uvážení vypnout SHADOW COPY)
   

Jaké frekvence používají mobilní operátoři v ČR ?

Jen si sem dám několik poznámek k tomu, jaké frekvence  používají mobilní operátoři v ČR.

Může se to hodit .. .když si třeba kupuji mobil a chci z něj vmáčknout co nejvíce (pro Internet).

RMS nefunguje v Office 2013

Co dělat,když najednou nefunguje RMS?
V MS Office 2013.

Konfigurce se nezměnila a všechny služby na RMS serveru běží.

CISCO WLC - záloha konfigurace na FTP

A ještě jednou, jak se provede záloha konfigurace pro WLC (v mém případě CT 2504) na FTP server
Opět stačí příkazů v SSH konsole.

CISCO WLC - záloha konfigurace na TFTP

A ještě jednou, jak se provede záloha konfigurace pro WLC (v mém případě CT 2504).
Opět stačí příkazů v SSH konsole.

Cisco switch - záloha konfigurace

Záloha CISCO switche se provede poměrně jednoduše.
Stačí jen několik příkazů v SSH konsole.