čtvrtek 8. prosince 2016

CISCO ASA 5505 - konfigurace SSH

Pár příkazů pro konfiguraci přístupu po SSH.


středa 30. listopadu 2016

MS EXCHANGE - SEND AS

Veřejná složka má přidělenou e-mail adresu.
Ale občas je nutno, aby jeden uživatel sem tam pod touto e-mail adresou odpověděl (odchozí e-mail adresa byla e-mail adresa veřejné složky).

Veřejná složka má e-mail adresu: faktury@firma.cz
Veřejná složk má jméno: FAKTURY
Uživatel má primární e-mail adresu: jmeno.prijmeni@firma.cz


úterý 29. listopadu 2016

CISCO ASA 5505 - změna MAC adresy

Občas se to může hodit ...
např. poskytovatel Internetu trvá na DHCP (ale je ochoten provést rezervaci IP adresy oproti MAC adrese)

pondělí 10. října 2016

MS Exchange Server 2016 - interní SMTP RELAY server

Na síti se docela určitě nachází další zařízení jako UPS, tiskárny, ... které mají potřebu cosi odesílat skrz SMTP komunikaci.

Takže si vytvoříme další zabezpečený SMTP RELAY server.


čtvrtek 6. října 2016

MS Exchange Server 2016 - DAG (díl 13)

V případě, že máme 2 a více MS Exchange Serverů 2016 asi budeme chtít vytvořit vysokou dostupnost (respektive ... kvůli tomu pořizujeme licence a to vše konfigurujeme).

Pokud máme jen jeden MS Exchange Server 2016 můžeme tuto kapitolu (mých konfiguračních poznámek) úplně klidně přeskočit.

Opět vše budeme provádět v PowerShellu (pokud není uvedeno jinak).

Úvodní kontrola

  • Úplně začátek se přesvědčíme, že na všech serverech, kde je instalován MS Exchange Server 2016 je v lokální skupině Administrators také člen Exchange Trusted Subsystem.
  • A totéž platí i pro Windows Server, který bude v roli svědka ... tedy Witness Serveru (tedy musí mít v lokální skupině Administrators člena Exchange Trusted Subsystem)

Dále zkontrolujeme v Active Directory, že skupina Exchange Trusted Subsystem obsahuje za členy nové MS Exchange Server 2016

Předpoklady pro konfiguraci DAG:
  • všechny mailbosx servery musí být ve stejné doméně
  • vytvořené mailbox databáze
  • databáze musí mít jedinečné jméno
  • databáze musí být přesunuty do cílových úložných cest
  • databáze jsou na lokálních discích serveru
  • musíme mít k dispozici jeden další MS Windows server (ne doménový řadič), který nám bude sloužit jako svědek (Witness server)
  • stejnou pasivní kopii databáze nelze vytvořit na serveru, kde je již stejná aktivní databáze
  • MS Exchange Server 2016 nemůže být instalován na MS Windows server s rolí řadič domény

DAG a vysoká dostupnost
  • DAG provádí pouze vysokou dostupnost pouze pro roli mailbox (mailbox databáze)
  • Pro roli klientských přístupových služeb (Client Access Services ...OWA, Outlook, ActiveSync atd) nelze použít DAG (pro toto je nutno použít Network Load Ballancer).
  • DAG by měl mít lichý počet serverů
  • Máli DAH sudý počet server je nutno použít svědka (Windows server) se souborovým sdílením
DAG a požadavky na síťování
  • je doporučeno mít vytvořen další síťový adapter a vlastní síť minimálně 1 Gbps (ideálně 10 Gbps)
  • každý člen DAG musí mít shodný počet síťových adaptérů a sítí
  • síťová latence musí být nižší než 500 ms
  • Automatic Private IP Addressing (APIPA) pro DAG členy není podporováno (TCP/IP adresování bez DHCP serveru)

DAG budeme vytvářet v konfiguraci DAG-IP less ... tedy:
  • bez IP adresy
  • bez Cluster Administrative Access Point (CAAP)
  • bez Computer Object in Active Directory
Poznámka:
Pro jistotu si zkontrolujeme, že Backup Software umí tuto konfiguraci zazálohovat (pokud pracujeme se scénářem Exchange with Backup).


# Úvod
  CLS
  Remove-Variable -Name * -ErrorAction SilentlyContinue
  Add-PsSnapin Microsoft.Exchange.Management.PowerShell.E2010

# Tento script vytvoří DAG, vytvoří kopie databází
# Tento script je pro 2 členské servery a 2 databáze

# DEFINICE
  $exsrv16a = "EXSRV16a"
  $exsrv16b = "EXSRV16b"
  $exsrv16a_mbxdtb1 = "2016-am"
  $exsrv16a_mbxdtb2 = "2016-nz"
  
  $dag16 = "EXSRV16DA" # jméno může být maximálně 15 znaků
  $witnesssrv = "DC.firma.cz"
  #$witnessdir = "c:\DAG" # pokud nezadáme bude použito: %SystemDrive%\DAGFileShareWitnesses\<DAG FQDN>
  $filesystem = "NTFS" # další hodnota: REFS
  
# Seznam všech mailbox databází na serverech MS Exchange Server 2016
  Write-Host "Seznam databází na serveru $exsrv16a : " -ForegroundColor Yellow
  Get-MailboxDatabase -Server $exsrv16a | fl name,edbfilepath,logfolderpath
  Write-Host "Seznam databází na serveru $exsrv16b : " -ForegroundColor Yellow
  Get-MailboxDatabase -Server $exsrv16b | fl name,edbfilepath,logfolderpath

# Vytvoření DAG bez IP adresy
  Write-Host "Vytvářím DAG" -ForegroundColor Yellow
  New-DatabaseAvailabilityGroup -Name $dag16 -WitnessServer $witnesssrv -FileSystem $filesystem -WitnessDirectory $witnessdir -DatabaseAvailabilityGroupIPAddresses ([System.Net.IPAddress]::None)

# Přidání všech MS Exchange Serverů 2016 do DAG
  Add-DatabaseAvailabilityGroupServer -Identity $dag16 -MailboxServer $exsrv16a
  Add-DatabaseAvailabilityGroupServer -Identity $dag16 -MailboxServer $exsrv16b

# Stav DAG
  Write-Host "Stav Clusteru" -ForegroundColor Yellow
  Get-Cluster | Get-ClusterNode
  Write-Host "Jméno Clusteru" -ForegroundColor Yellow
  Get-Cluster

  Write-Host "Stav DAG" -ForegroundColor Yellow
  Get-DatabaseAvailabilityGroup $dag16 -Status
  Write-Host "Stav Witness Server" -ForegroundColor Yellow
  Get-DatabaseAvailabilityGroup $dag16 -Status | fl *witness*
  
# Seznam Mailbox databazí
  Get-MailboxDatabase | sort Name
  
# Kopie mailbox databáze - databáze 1
  Add-MailboxDatabaseCopy -Identity $exsrv16a_mbxdtb1 -MailboxServer $exsrv16b
  Start-Sleep 56
  (Get-Service -Name MSExchangeIS -ComputerName $exsrv16b).Stop()
  Start-Sleep 5
  (Get-Service -Name MSExchangeIS -ComputerName $exsrv16b).Start()
  start-sleep 56

# Mailbox databáze status - databáze 1
  Write-Host "Stav databází na server $exsrv16a :" -ForegroundColor Yellow
  Get-MailboxDatabaseCopyStatus –Server $exsrv16a | sort name
  Write-Host "Stav databází na server $exsrv16b :" -ForegroundColor Yellow
  Get-MailboxDatabaseCopyStatus –Server $exsrv16b | sort name

# Kopie mailbox databáze - databáze 1
  Add-MailboxDatabaseCopy -Identity $exsrv16a_mbxdtb2 -MailboxServer $exsrv16b
  Start-Sleep 56
  (Get-Service -Name MSExchangeIS -ComputerName $exsrv16b).Stop()
  Start-Sleep 5
  (Get-Service -Name MSExchangeIS -ComputerName $exsrv16b).Start()
  start-sleep 56

# Mailbox databáze status databáze 2
  Write-Host "Stav databází na server $exsrv16a :" -ForegroundColor Yellow
  Get-MailboxDatabaseCopyStatus –Server $exsrv16a | sort name
  Write-Host "Stav databází na server $exsrv16b :" -ForegroundColor Yellow
  Get-MailboxDatabaseCopyStatus –Server $exsrv16b | sort name



středa 5. října 2016

MS Exchange Server 2016 - oprava indexu databáze

Stalo se mi, že najednou začala databáze hlásit, že má index ve stavu ERROR ... tedy že je poškozený index.

Oprava je velmi jednoduchá.

Vše v PowerShellu

pondělí 3. října 2016

MS Exchange Server 2016 - Prerequisites Scripts

Narazil jsem na velmi zajimavý script ... který pomůže zejména ve fázi přípravy instalace MS Exchange Server 2016


pátek 30. září 2016

Kontrola - NIC Power Management

Našel jsem na Internetu následující script - NIC Power Management, který provede kontrolu nastavení síťové karty (z pohledu doporučení Microsoft).

čtvrtek 29. září 2016

MS Exchange Server 2016 - konektor pro příjem (díl 12)

Po instalaci MS Exchange Server 2016 se vytvoří několik konektorů..
Přesto může nastat situace, kdy potřebuje vytvořit další přijímací konektor - např. pro interní SMTP relay.


pondělí 26. září 2016

MS Exchange Server 2016 - databáze pro MAILBOXy (díl 10)

A nastal čas pro vytvoření databáze pro mailboxy uživatelů.

Databázi můžeme vytvořit v grafickém prostředí ECP.
V Centru pro správu Exchange předeme do sekce Servery a zde je další podsekce Databáze.

Elegantnější je ale toto provést v prostředí PowerShell.

pátek 23. září 2016

MS Exchange Server 2016 - SAN certifikát (díl 9)

... a pokračuje v konfiguračních poznámkách MS Exchange Serveru 2016.
V minulém díle jsem zakázali LOGY, které generuje MS Exchange nebo IIS.

Nyní máme na řadě oblast certifikátů.
Po instalaci MS Exchange Serveru 2016 se mám také vytvoří (tuším) 3 certifikáty.
Ale použití těchto certifikátů je v produkčním prostředí ... no prostě problematické.

Docela určitě můžeme s úspěchem použít placený (zakoupený certifikát), kde je dnes velký výběr.
Za všech snad mohu jmenovat prodejce, které jsem používal http://www.ssls.cz .

Mne však zajímalo, zda-li lze použít kvalitní certifikát, který je zdarma.

Jasně, pokud máme interní Certifikační autoritu šup tam s ním.
Jen jsou zde ještě určité problémy ... všem potenciálním zařízením musíme instalovat certifikát Certifikační autority.

Další možností je použít Certifikační autoritu ... v minulosti to byla třeba http://www.startssl.com, která nabízí zadarmo certifikáty pouze pro osobní a nekomerční použití.

Takže nám už jen zbývá nová a velmi mladá (nicméně ... zatím se zdá důveryhodná) Certifikační autorita Let’s Encrypt .

Pro MS Exchange Server 2016 potřebujeme SAN certifikát.
Aktuálně si nenabízí doménové certifikáty (*.doména.cz), ale je možno si zažádat o certifikát, která mám až 100 jmen.
Certifikáty jsou vydávány na 90 dnů ... ale to opravdu není problém ... skrz naplánované úlohu můžeme provádět automatickou obnovu.

čtvrtek 15. září 2016

Network - co je ECN a Data Center TCP

ECN support in TCP by hosts in Microsoft Windows
Windows versions since Windows Server 2008 and Windows Vista support ECN for TCP.
Since Windows Server 2012, it is enabled by default in Windows Server versions, because Data Center Transmission Control Protocol (DCTCP) is used.
In previous Windows versions and non-server versions it is disabled by default.

ECN support can be enabled using a shell command such as:
netsh interface tcp set global ecncapability=enabled 

středa 14. září 2016

MSIE 11 - zvýšení limitu současných spojení

V MS IE 9 je limit současných spojení 6.
V MS IE 10 je limit současných spojení 8.
V MS IE 11 je limit současných spojení 8.

Je doporučeno zvýšit limit na 16 (zejména při trvalé práci na rychlé síti).

Změna se provede zásahem do registrů:

Spustíme REGEDIT:

pondělí 12. září 2016

MS Exchange Server 2016 - odinstalace

V testovacím prostředí jsem si ladil instalační script.
A také bylo potřeba provést odinstalaci.

Script je v PowerShellu:

středa 7. září 2016

MS Word 2013 - nedostatek paměti nebo místa na disku

MS Word 2013 najednou začne hlásit chybku:

Nedostatek paměti nebo místa na disku nebo v angličtině Insufficient memory or disk space.

A vyskakuje jedno okýnko za druhým.
Až je za chvilku pře-okýnkováno.

Řešení je zde:

úterý 6. září 2016

Windows Server 2012 - instalace RDS

Vzniknul požadavek na instalaci (po staru) Terminal Services  ... nově se nazývá RDS Services.
A požadavek byl, byl, více uživatelů mohlo současně přistupovat ke serveru.

Instalace se provede takto:


pondělí 5. září 2016

MS Windows Server - zapnutí PING REPLAY

Pro někoho je lepší nastavení v GUI jindy je rychlejší nastavení skrz PowerShell.
Tak si sem ještě musím poznamenat, jak se zapne na MS Windows Serveru odezva na PING.


čtvrtek 1. září 2016

Windows Server 2012R2 - zapnutí DISK PERFORMANCE ve správci úloh

V MS Windows Server 2012 R2 je z důvodu výkonnosti zakázán disk performance (zobrazování čítače, který sleduje výkon disku).

Zapnou ho lze velmi snadno, stačí příkaz v PowerShellu.


středa 31. srpna 2016

MS Exchange Server 2016 - konfigurace - zákaz vytváření logů (díl 8)

Máme instalován MS Exchange Server 2016 a pokračuje v konfiguraci.

Po instalaci si můžeme všimnout, že došlo k vytvoření adresářové struktury:
c:\Program Files\Microsoft\Exchange Server\V15\Logging\Monitoring\Monitoring ,
kde se nachází 2 adresáře, která nám stále rostou ... a rostou
  • adresář: MSExchangeHMHost
  • adresář: MSExchangeHMWorker
Zejména v adresáři je další adresář ActiveMonitorngTraceLogs, který značně nabývá na objemu.

Máme 3 možnosti:
  • nevšímat si těchto adresář (až se pak jednoho dne ráno nebudeme stačit divit ... že došlo místo)
  • naplánovanou úlohou automaticky logy promazávat (a nechávat třeba jen posledních 10 dnů)
  • zakázat vytváření

pondělí 29. srpna 2016

čtvrtek 25. srpna 2016

MS Exchange Server 2016 - poznámky před instalací (díl 4)

Jen si sem dám trochu poznámek před upgradem MS Exchange Serveru
Budu provádět upgrade z verze 2013 na cílovou verzi 2016 (CU2 ... v době psaní tohoto článku).
Vše bude ve virtualizaci MS-HYPER-V 2012R2.

V případě instalace přímo na fyzický HW je nutno pamatovat na několik doporučených odlišností.
Jedná se např. doporučené vypnutí Hyperthreading.

Pro vyšší výkon je též vhodná optimalizace diskového pole:
- Storage Controller Cache: 75% Write a 25% Read
- Při RAID použít STRIP (per disk chunk) 256 KB nebo větší v násobku 256

Poznámka:
Všechny níže uvedené příkazy jsou použitelné v prostředí PowerShell

úterý 23. srpna 2016

MS Exchange Server 2016 - poznámky k ReFS (díl 3)

Pro MS Exchange 2016 je doporučován souborový systém ReFS.
Pojďme se na něj trošičku podívat ... zde mám trochu poznámek.

ReFS = Resilient File System

pondělí 22. srpna 2016

MS Exchange Server 2016 - poznámky k Load Balancer (díl 2)

V případě, že stavíme vysokou dostupnost (HA) ze dvou a více serverů, tak nás také ve finále začne také zajímat rozklad protokolů pro koncovou komunikaci (HTTP/HTTPS, SMTP, IMAP, POP3, ...).
Nebo-li příchozí komunikaci musíme směrovat vždy a za všech okolností vždy nejméně na jeden "žijící" Exchange Server.

A aby Vysoká dostupnost měla smysl, je doporučeno mít 2 Load Balencery.

Součástí MS Windows Server 2016 je také role NLB.
Tato role je je však v praxi nepoužitelná jako Load Balancer pro MS Exchange Server.
Vývojový Exchange tým navíc NLB (která je součástí MS Windows Server 2012 R2) nedoporučuje pro použití s MS Exchange Serverem.

Takže se musíme po-ohlédnut po jiných řešeních v případě, že chceme nasadit vysokou dostupnost.

Jedním z možných řešení (v případě, že nechceme či nemůžeme pořizovat HW nebo SW Load Balancer) je použití DNS Round Robin Load Balancing, která je použitelná v případě plánovaných odstávek ... viz mini-série článků Exchange 2016 DNS Round Robin Load Balancing .

DNS Round Robin Load Balancing má však některé nevýhody:
  • nesleduje zdraví služeb
  • nemonitoruje zátěž ... ale tupě, spravedlivě směruje požadavky mezi všechny Exchange servery
  • nemá možnost provádět aktivní - pasivní Load Balancing
  • neprovádí protokolování
  • neprovádí žádné hlášení
  • zastavení serveru není okamžité, nejprve je nutno upravit záznamy v DNS
  • poctivě, spravedlivě směruje dotazy
    (a nepozná, že jeden ze serverů má silnější konfiguraci nebo naopak je přetížen či je dokonce vypnut)
Takže ani DNS Round Robin ve funkci Load Balancer není to pravé ořechové
(respektive je tak nějak použitelný v případě plánovaných odstávek)

a hledáme tedy dále ...

pátek 19. srpna 2016

MS Exchange Server 2016 - licenční poznámky (díl 1)

Čeká mne upgrade na poslední verzi MS EXCHANGE SERVER 2016.
Tak zde je trocha mých poznámek k licencím.

Nákup:
- kupuje se tzv. serverová lincence pro instalaci MS EXCHANGE SERVER
- a kupuje se tzv. přístupová licence ... neboli CAL ... pro každého uživatele nebo zařízení

čtvrtek 18. srpna 2016

Volba schématu napájení

Moc se o tom neví, nebo spíše se na to zapomíná.
Na serverech u velkých sowtwarových serverových balíků (např. MS Exchange Server, MS SQL Server) je velmi vhodné zvolit schéma napájení na "Vysoký výkon"

Na příkazové řádce se to provede takto:

pátek 12. srpna 2016

pátek 29. července 2016

Windows Update - reset služby

Kdo nepotkal nějakou chybu ve Windows u služby Windows Update ať hodí kamenem.
Občas mne potká chybka 8024800A

Co s tím ... ?

pátek 8. července 2016

Boj se SPAMy

Pokud bojujete se SPAMY, zkuste se podívat po následujících technologiích.
Všechny 3 níže uvedené se konfigurují skrz záznam v DNS.

SPF

čtvrtek 30. června 2016

Exchange 2013 - vypnutí NDR reportů

Při jednotlivém použití je existence Non Delivery Reports (NDR) reportu oprávněná … dokonce žádoucí.
Odesílatel se dozví, že mailbox neexistuje (nebo že se uklepnul v adrese).

SPAMMEŘI však zkouší jednotlivé domény a testují existenci e-mail adres (na základě NDR reportů).

Masové použití (respektive zneužití NDR reportů) cílené na doménu je však nežádoucí.

Vypnutí odesílání NDR reportů 

úterý 28. června 2016

MS Exchange 2013 - zakázané mailboxy

Prostředí MS Exchange 2013 CU12.
OS je MS Windows Server 2012R2.

A zde je několik PowerShell příkazů pro práci s mailboxem ve stavu soft-deleted nebo disabled (zakázaných).

Seznam zakázaných mailboxů (disabled mailbox) se vypíše v PowerShellu takto:

pondělí 27. června 2016

PowerShell - backup CA

Jen krátký scriptík - záloha Certifikační autority
Záloha se provede do lokálního disku a následně ještě scriptík provede kopii.


pátek 24. června 2016

čtvrtek 23. června 2016

Powershell - jak zjistit přiřazené písmenko po přidání disku

Potřebuji v PowerShellu scriptem přidat (přimontovat) VHDx disk.
Následně potřebuji s tímto diskem v PowerShellu pracovat.

Kardinální otázka zní, jaké má ten disk písmenko?


úterý 21. června 2016

Na clusteru nejde sdílet adresář

Nejprve popis prostředí:
- MS Windows Server 2012 R2
- instalovaný virtuální Windows Failover Cluster
- virtuální cluster se skládá ze dvou virtuálních VM (2 node cluster)
- role je souborový server

A problém ... potřeboval jsem na-sdílet adresář do vysoké dostupnosti (do role souborový server)

Obdržel jsem chybové hlášení:

Při pokusu os sdílení <jméno adresáře> došlo k neznámé chybě.
Pro tuto operaci musí být prostředky online ve stejném uzlu.

Sdílený prostředek nebyl nyní vytvořen.


čtvrtek 16. června 2016

PowerShell - odeslání e-mailu

Skrz naplánované úlohy můžeme pravidelně spouštět script v PowerShellu a výsledek si nechat zaslat do e-mailu.

Takže na konce PowerShellu se přidá následující:

středa 15. června 2016

PowerShell - error 0x80131515

V PowerShellu ... provádím IMPORT modulu.
Obdržím následující chybové hlášení:

Import-Module : Could not load file or assembly 'file:///C:\Windows\system32\WindowsPowerShell\v1.0\Modules\SshShell\Renci.SshNet.dll' or one of its dependencies. Operation is not supported. (Exception from HRESULT: 0x80131515)

Vyřeším to takto:

úterý 14. června 2016

Otevření souboru RDP z webového serveru

Jen úvod:
PowerShellem generuji HTML stránku do web serveru (IIS 8.5)
A součástí je odkaz na RDP soubor, který chci otevřít v web prohlížeči.

Protože IIS standardně nezná RDP soubor je nutno nejprve doplnit konfiguraci.

pondělí 13. června 2016

pátek 10. června 2016

PSTerminal Service nefunkční s Windows 7

Powershell ve Windows (týká se jak serverových, tak desktopových) aktuálně neobsahuje rozumný příkaz pro zjištění informací o vzdáleně přihlášených uživatelích pro RDP.

K touto krásně poslouží projekt PSTerminalServices, který bezvadně funguje s Windows Serverem.
Ale potýkal jsem s Windows 7 ... zde jsem nemohl vydolovat žádné informace.

Totiž ... mám udělaný skrz naplánované úlohy PowerShell report (který mi generoval do HTML, kdo používá VM).
No a ten Powershell report mi končil jakousi chybkou.
Trošičku jsem se tomu včera po obědě věnoval a zde je řešení.

Nejprve jsem musel povolit RPC na Windows 7.

čtvrtek 9. června 2016

středa 8. června 2016

Windows - záloha souborových práv

Někdy se to může hodit ... záloha práva sdílení a záloha práv nad soubory (a adresáři).

1. Sdílení

Regedit - Export tohoto klíče:
HKLMSYSTEMCurrentControlSetServicesLanmanServerShares 

2. Soubory a adresáře

záloha:
icacls d:data /save ntfsperms.txt /t /c

obnova:
icacls d: /restore ntfsperms.txt


Zdroj:

pondělí 6. června 2016

Exchange 2013 - certifikát s více jmény

Nový certifikát pro MS Exchange Server
(respektive pro IIS web server ... tedy úplně přesně pro Outlook Web App).

Obvykle potřebujeme jeden certifikát s více jmény alternativními jmény.
V případě, že nám certifikát stačí z interní doménové CA je postup tento:

Spustíme PowerShell a zadáme následující:

pátek 3. června 2016

Outlook 2016 - základní diagnostika připojení k MS Exchange Serveru

Taková drobná finta ... nicméně stojí za poznamenání.
Ale není to žádná novinka ... už to existuje několik verzí zpět.

Takže, když je spuštěný MS Outlook 201?, tak najdeme na systémové liště vedle hodin (obvykle bývá na obrazovce v pravém dolním roku) ikonku OUTLOOK.

Najedeme nad ní s myšákem.

čtvrtek 2. června 2016

Přesměrování HTTP na HTTPS na Microsoft® IIS

Přesměrování webového obsahu z nezabezpečeného protokolu HTTP na zabezpečený HTTPS na serveru Microsoft IIS se řeší modulem URL Rewrite.

Postup:
- Modul URL Rewrite lze získat zde.
- instalovat certifikát pro Web server
- pro daný web v sekci "Nastavení SSL" vypnout volbu "Požadovat protokol SSL".

středa 1. června 2016

TURRIS - nefunkční PPTP z LAN do Internetu

Potřebuji sestavit VPN typu PPTP z LAN do Internetu (tedy skrz TURRISe).
Potřebuji tedy, aby VPN byla jen a pouze průchozí.

Co je potřeba provést?

čtvrtek 26. května 2016

Exchange Server 2013 - obnova Witness serveru

Popis prostředí:
- mám 2 MS Exchange Servery 2013
- mám vytvořen DAG
- WITNESS server je na jiném ... třetím serveru

Problém:
Potřeboval jsem provést reinstalaci WITNESS serveru.
Po reinstalaci v MS Exchange admin centru vyskakovalo hlášení že je ve stavu FAIL

Bylo nutno provést obnovu

Provede se takto:

úterý 24. května 2016

PowerShell - datum včera

Jen si tu musím honem rychle poznamenat tento scriptík ... jak v PowerShellu použít včerejší datum

Powershell:

pátek 20. května 2016

Powershell a Exchange script 2013

Potřebuji cosi udělat v PowerShellu s MS Exchange Server 2013.
A vyvstává kardinální otázka: Jak připojit EXCHANGE 2013 modul.

Odpověď je zde:

úterý 17. května 2016

pondělí 16. května 2016

pátek 13. května 2016

Windows - byl jste přihlášen pomocí dočasného uživateslkého profilu

Problém:
uživatel je přihlášen pomocí dočasného uživatelského profilu
Po odhlášené bude dočasný uživatelský profil smazán (včetně všech dat, konfigurací v něm uložených) .

Pro řešení pomohla MS KB.

úterý 3. května 2016

Exchange 2013 - content filer

Práce s CONTENT filtrem v MS Exchange Server 2013

Vypíše stav filtru:
Get-ContentFilterConfig

Get-ContentFilterConfig | Format-List ExternalMailEnabled


Dá (a vše předchozí smaže) do filtru vyjímku na doménu xyz.cz:
Set-ContentFilterConfig -BypassedSenderDomains "xyz.cz"

Přidá již existujícímu následující 2 domény:
Set-ContentFilterConfig -BypassedSenderDomains @{Add="abc.cz", "def.cz"}

Odstraní 2 existující domény:
Set-ContentFilterConfig -BypassedSenderDomains @{remove="abc.cz", "def.cz"}


Odkaz:
https://technet.microsoft.com/en-us/library/aa995953(v=exchg.160).aspx

čtvrtek 14. dubna 2016

WSUS 2012R2 - neprovádí se aktualizace Windows 7

Tohle primárně řešil kolega, já jsem jen paběrkoval ... z povzdálí jsem vše sledoval (neb jsem měl spousty jiné práce).
Ale přesto se to sem musím poznamenat.
Třeba by se to mohlo někomu hodit.

Od začátku ....
Museli jsem provést přesun serveru, kde byla role WSUS (pro naši interní infrastrukturu).
Tedy přesun serveru ... není to úplně výstižné slovo ... spíše se jednalo o přesun služby.
A ten byl spojený s novou reinstalací.
A novou konfigurací služby WSUS.

Když bylo vše hotovo a uvedeno do provozu, tak kolega zjistil, že těm, co mají Windows 7, se neprovádí aktualizace.

Hledání řešení se táhlo velmi dlouho.

středa 13. dubna 2016

Windows Server 2016 - boot from VHD

Již od verze desktopového operačního systému MS Windows 7 lze provést boot z VHD souboru (kde je podporovaný operační systém).
Pro serverový operační systém je podpora až od verze MS Windows Server 2008 R2 (snad si to dobře pamatuji)

Myslím, že s  menší či větší modifikací toto platí i pro prostředí MS Windows 7 a novější či MS Widnows Windows Server 2008R2 a novější

Já jsem si jen chtěl vyzkoušet, že to funguje i případě varianty Windows Server 2016 TP4 na serveru intel NUC 6i5SYH.
Zachtělo se mi totiž v prostředí MS Windows Serveru 2016 provést boot z VHD (operačním systémem, který bootuje z VHD je v mém případě MS Windows 10).

Postupů je je na Internetu celá řada.
Proto snad ani nebudu uvádět zdroj.
Ale já zde ještě nemám poznamenaný ... a navíc aspoň jsem si vyzkoušel, že to je funkční i v prostředí MS Windows Serveru 2016

Nejprve je potřeba vytvořit prázdné disk (soubor VHD nebo lépe VHDX).
Postupů je opět celá řada. Lze to naklikat v GUI nebo z CMD nebo z PowerShellu.


CMD: Vytvoření disku VHDx, vytvoření oddílu 
diskpart
create vdisk file="c:\win10.vhdx" maximum 61440 type=expandable
select vdisk file= "c:\win10.vhdx"
attach vdisk
list disk
list volume
create partition primary
list volume
select volume Windows10
format quick
assign letter=V:
exit


úterý 12. dubna 2016

Ze života: úpé-eska mi dnes ráno vynadala

Tak jsem přišel ráno do kanceláře.
Už skrz dveře jsem slyšel nadávající úpé-esku.

A jak jsem otevřel dveře, tak nadávání zesílilo.
Pištěla překotně a vůbec mě nechtěla pustit ke slovu.

Ale až po té,
co jsem opět zapnul náš starý známý proudový chránič v rozvaděči,
se františkova úpé-eska uklidnila a začala si tiše hladově vrnět:

pondělí 11. dubna 2016

Ze života: Revize elektriky

Po 7 měsících jsme se z vyhnanství opět nastěhovali zpět do kanceláře.
Máme novou podlahu
Podhledy.
I Nové posvícení.
Nesmím zapomenout, že máme také vymalováno.

Ono to vše se ani tak netýkalo naší kanceláře, ale spíše celé budovy.
Po těch 20 - 25 letech už to se chtělo nějakou drbnou údržbu.
Řešilo se více věcí ... no a my jsem se jen svezli.

Snad ještě musím podotknout, že v budově také proběhla rekonstrukce elektro - rozvaděčů.

Několik dnů po nastěhování nám vypadly pojistky.
Je to náhoda nic neděje .... nahodíme je a po chvilce se pracuje se dál.

Jsme večer v práci ... instalují CU 12 na MS Exchange 2013.
Z domova

A najednou mi pod rukama doslova umře počítač.
Nic neděje ... Stejně jsem ho měl zapnutý jen kvůli poznámkám.

Následující pracovní den přijdu do práce a tam zoufale piští ÚPeSka.
Tak zase na hodím pojistky.

A jdu to reklamovat.

Přes den opět výpadek opět vypadnul pruďák.
Frekvence výpadků se zkracuje.

To už se rozčílím a důrazně se připomenu.

Přiběhne kluk (z naší firmy co to měl na povel ... nejen namalování, ale i realizaci a kontrolu).
A jeho první slova jsou: 

pondělí 4. dubna 2016

Intel NUC 6i5SYH - levný server


V případě, že pokukujete po malém levném serveru (ať už na doma, nebo do firmy) připadá také v úvahu škatulka Intel NUC z toho velkého množství hardware, které je v nabídce.

Co činí již 6. generaci tak zajímavou?
  • malé rozměry
  • nízká spotřeba
  • slot SDXC
  • výstup na HDMI 1.4b a Mini-DP 1.2
  • intel Wireless Display 6.0
  • WiFi 802.11ac
  • Bluetooth 4.1
  • audio výstup 7.1 skrz HDMI nebo mini-DP
  • 4 porty USB 3.0
  • výstup na sluchátka a mikrofon
  • infra port
  • a uvnitř na desce jsou další 2 portu USB 2.0 a NFC (je nutno vytáhnout)
  • záruka 3 roky
Většina výše uvedených parametrů je pro server nezajímavá
Zajímavější jsou spíše tyto poslední 3 parametry:

  • pro síť je k dispozici 1 port 10/100/1000
    (a případně lze přidat drátové ethernety skrz USB)
  • pro disky je dispozici M.2 a SATA
    lze tedy mít uvnitř škatulky 2 úložiště
    - např. rychlé SSD úložiště na M.2
    - např. pomalé HDD úložiště na SATA
  • paměť ... ano opravdu umí až 32 GB DDR4 dvou-kanál

Z čeho se dá vybírat v 6. generaci Intel NUC ?
  • 6i3 s procesorem i3-61100U / 2,30 GHz
  • 6i5 s procesorm i5-6260U / 1,80 GHz
  • 6i7 s procesorem i7-6770HQ / 3,50 GHz
Poznámka:
- intel NUC 6i7KYK bude dostupný od 05/2016
- pro úložiště má pouze M.2 konektor ve verzi 22x42 nebo 22x80 SATA or PCIe SSD
- má velmi výkonnou grafiku 
Intel Iris Pro 580 Graphics
- má 1 port 
Thunderbolt 3 s USB 3.1 (USB Type-C konektor)

Pro NUC 6i3 a NUC6i5 platí:
a od každé verze je ještě varianta v krabičce, která je nízká nebo vysoká

Vysoká varianta od té nízké se liší písmenkově
  • SYK (nízká)
  • SYH (vysoká o nějakých cca 9 mm)
kde vysoká varianta má nejen navíc 1 SATA port, ale i místo pro uložení cca 7 mm vysoké HDD nebo SSD


A pár postřehů z praxe:

čtvrtek 31. března 2016

CISCO ASA 5506-X - jako ntp server

Kolega chtěl vědět ...
Lze nastavit CISCO ASA 5506-X (nebo jiné ASA zařízení) jako NTP server ?

Patrál jsem v dokumentaci

středa 30. března 2016

Windows Server 2016 - požadavky na běh

Od předchozí verze Microsoft trošičku opět zpřísnil.
Požadavek na SLAT byl doporučen ... nyní je u vyžadován.
A nadále zůstává požadavek na 64-bit procesor.

Jaké jsou tedy všechny požadavky na běh MS Windows Server 2016 ?

úterý 29. března 2016

HYPER-V - NUM LOCK

Ve verzi HYPER-V 2012R2 nejde nastavit hodnotu NUM LOCK.
Tuším, že v některé předešlé verzi to fugovalo.

Takže status NUMLOCK pro virtuální HYPER-V počítač se nastaví takto:

středa 23. března 2016

Windows 2012R2 - přepnutí mezi GUI a CLI

V PowerShellu lze snadno provést přepnutí mezi grafickým prostředí a verzí CORE.
A to oběma směry.

A tady je několik příkazů v PowerShellu:

úterý 22. března 2016

Exchange 2013 - track log

Potřeboval jsem co si najít v logu MS Exchange 2013.
Hledal jsem jakési detaily ohledně jednoho e-mailu

A následně jsem dal do kupy tento PowerShell script.


pondělí 21. března 2016

Souboj obchodů: ALZA versus CZC

Rozhodnul jsem se k objednání nového počítače (starý má již cca 7 let).

Vybral jsem si INTEL NUC.
A k objednání mne přiměla aktuální sleva na mnou zvolený model INTEL NUC6i5SYH
K němu je ještě potřeba objednat operační paměť a nějaké to úložiště (tedy disk).

A protože paměť nebyla u CZC k mání (a ani se nerýsovala brzká dodávka nejen ke mně, ale i do obchodu na sklad), tak jsem se podíval do ostatních obchodů.
Zde mne zaujala nabídka v obchodě ALZA, kde navíc byla také výrazně levnější než u CZC.

Objednávku jsem provedl ve středu 16.3.2016 v odpoledních hodinách (daleko před 17 hodinou).
Všechno objednané bylo skladem.

U obchodu ALZA jsem zvolil dodání na Českou poštu.
U obchodu CZC jsem zvolil dodání na partnera CZC.

Objednávku jsem okamžitě zaplatil on-line platební kartou.
Mezi oběma objednávkami mohl být rozdíl tak cca 5 - 10 minut.

A dopadlo to takto:

úterý 15. března 2016

AD RMS - The revocation process could not continue - the certificate(s) could not be checked.

Na klientské stanici uživatel dává dává z prostředí MS OFFICE práva RMS.
A místo práv obdrží následující chybku:

0x800B010E: Proces zrušení nemůže pokračovat, protože nelze zkontrolovat certifikáty.

nebo v anglištině:

The revocation process could not continue - the certificate(s) could not be checked.


pondělí 14. března 2016

Windows 2012R2 - Certification Authority Web Enrollment Configuration Failed 0x80070057

Při konfiguraci (zavolání ze SERVERU MANAGERU) se může vyskytnout následující chybová hláška:

AD: Certification Authority Web Enrollment Configuration Failed 0x80070057 (WIN32: 87)

Přestože chybka vypadá hrůzostrašně, oprava je velmi jednoduchá.

pátek 11. března 2016

Windows Server 2012 R2 - Migrace Certifikační Autority

Pokud potřebujete provést migraci Certifikační Autority (dále jen CA) ze serveru MS Windows Server 2012R2 na jiný server MS Windows Server 2012R2, tka postup je takovýto:

Migrace se neprovádí u těchto rolí:
  • CA Web Enrollment
  • Online Responder
  • Network Device Enrollment
  • Certificate Enrollment Web Services
Migrace se týká pouze vlastní Certifikační autority



1. Záloha CA a privátního klíče + zastavení CA
Na starém serveru s CA
   GUI:
   Spustit certsrv.msc - Všechny úkoly - Zálohovat CA - Vybrat Privátní klíč a databázi
   Všechny úkoly - Zastavit CA

   PowerShell:
  Backup-CARoleService –path <BackupDirectory> 
  Stop-service certsvc

   CMD:
    Certutil.exe –backupdb <BackupDirectory>
  Certutil.exe –backupkey <BackupDirectory>
     net stop certsvc
   Zastavením CA zabráníme vzniku (respektive ztrátě) dalších certifikátů.


pátek 4. března 2016

Vypnutí kontroly odvolání certifikátů na CA

Kdesi v hlubinách Internetu jsem našel toto následující:

Disabled the feature that checks revocation on all certificates in the PKI hierarchy with the following command on the CA:

pondělí 29. února 2016

Load Balancer

Jednou z rolí ve Windows Serveru 2012 R2 je NLB (Network Load Balancing Services).
Má však některá "svá specifiká", takže v praxi v některých případech je její použití velmi omezené či vůbec nemožné.

Takže dokonce EXCHANGE tým pro svůj MS Exchange Server NLB nedoporučuje ... a naopak doporučuje k použití jiné - konkurenční produkty.

čtvrtek 11. února 2016

CISCO ASA - CHYBA: unable to launch device manager from

Najednou mi odpadl management na CISCO ASA.
V grafickém prostředí obdržím chybové hlášení: unable to launch device manager from ...

Se můžu snažit jak chci (odinstalace  JAVY, ASDM) ale nic nepomáhá.

Zajimavé je, že na "malou ASu 5505" je vše funkční.

Moje prostředí:

CISCO ASA 5510: ... nefunkční
- ASA 9.1(6)
- ASDM 7.5(2)

CISCO ASA 5505: ... funkční
- ASA 9.2(4)
- ASDM 7.5(1)

OS: - MS Windows 10 build 14257

Cisco odborník na ASu řekne ... dyť máš funkční SSH.
Ano mám, ale přeci jen grafické prostředí je občas rychlejší, když si honem rychle nedokážu vzpomenout na syntaxi.


středa 10. února 2016

DVB-T2 v ČR v normě H.265/HEVC

Další velká televizní změna nás opět čeká.
Před několika lety utichlo analogové vysílání.
A v současné televizní normě DVB-T se za cca 4 roky (2020 - 2021) přestane vysílat.
(Přesné datum bude ještě stanoveno).

Zdá se, že je to ještě daleko.
Ale je potřeba si uvědomit, že v normě DVB-T2 se začne pravděpodobně vysílat již na konci letošního roku (2016) a na konci příštího roku (2017) má již být celoplošné pokrytí.

Co musí televize umět, aby přijímala DVB-T2 ?


pondělí 8. února 2016

CA - prodloužení platnosti certifikátů

Microsoft Certifikační autorita vydává standardně certifikáty s délkou platnosti maximálně 1 rok.
Někdy může být tato hodnota nepraktická a potřebujeme vydávat certifikáty s delší dobou platnosti.

Jedna z možností, jak zařídit změnu platnosti všech vydávaných certifikátů ja např. tato:


pátek 5. února 2016

CISCO AnyConnect a SHA 256 zatím spolu NEkamarádí

V případě, že používáte VPN AnyConnect od firmy CISCO a rozhodujete se přejít na SHA256, tak koukněte na následující článek.

Zatím SHA256 není podporované ... respektive je zde chybka.

V každém případě, ověřování certifikátů s SHA256 selhává.


středa 3. února 2016

CISCO ASA 5506-X - konfigurace SSL VPN

A ještě zde máme pokročilou konfiguraci pro CISCO ASA 5506-X.
Občas se hodí vzdálený VPN přístup do lokální sítě
(... plynule navazujeme v konfiguraci na předchozí článek)


úterý 19. ledna 2016

pondělí 18. ledna 2016

Certifikační autorita - obnova certifikátu

Mám Certifikační autoritu v MS Windows 2012 R2.
A potřebuji obnovit certifikát Certifikační autority (co nevidět vyprší platnost certifikátu).
A zároveň chci přejít na z SHA-1 na SHA-2 .

OS a další komponenty musí podporovat SHA-256

Tak jdeme na to:

pátek 15. ledna 2016

Zmenšení velikosti virtuálního disku VHDX

Trnitá cesta vede k cíli ...
... ale není to nemožné.
Jde to.

Virtuální disk VHDX lze zmenšit např takto:

Nejprve doporučuji provést plnou záloho celého počítače.

Uvnitř běžící VM

  1. Odinstalovat nepotřebné programy
  2. Smazat všechny nepotřebné data
  3. Smazat TEMP adresář: c:\Windows\TEMP
  4. Smazat pracovní nepotřebná data v uživatelském profilu
  5. Vyprázdnit kešku od MSIE a dalších www prohlížečů
  6. Vysypat koš
  7. Dle potřeby (dle vlastního uvážení vypnout SHADOW COPY)

čtvrtek 14. ledna 2016

Jaké frekvence používají mobilní operátoři v ČR ?

Jen si sem dám několik poznámek k tomu, jaké frekvence  používají mobilní operátoři v ČR.

Může se to hodit .. .když si třeba kupuji mobil a chci z něj vmáčknout co nejvíce (pro Internet).

středa 13. ledna 2016

RMS nefunguje v Office 2013

Co dělat,když najednou nefunguje RMS?
V MS Office 2013.

Konfigurce se nezměnila a všechny služby na RMS serveru běží.


CISCO WLC - záloha konfigurace na FTP

A ještě jednou, jak se provede záloha konfigurace pro WLC (v mém případě CT 2504) na FTP server
Opět stačí příkazů v SSH konsole.

úterý 12. ledna 2016

CISCO WLC - záloha konfigurace na TFTP

A ještě jednou, jak se provede záloha konfigurace pro WLC (v mém případě CT 2504).
Opět stačí příkazů v SSH konsole.


pondělí 11. ledna 2016

Cisco switch - záloha konfigurace

Záloha CISCO switche se provede poměrně jednoduše.
Stačí jen několik příkazů v SSH konsole.