CISCO WLC řadič (CT2504) - reboot from CLI

 Na příkazovém řádku se provede reboot následujícím postupem:

MS OFFICE 365 Multifactor

 Jen si sem musím dát krátkou poznámku jak na mobilu a v AZURE nastavit u uživatele (jak spárovat) ANDROID AUTHENTICATOR.

BitLocker - odemčení z cmd

Následujícím příkazem manuálně odemčeme disk, který je chráněn bitlockerem:

Přesný čas ve Windows doméně

Několik typů pro řešení problému přesného času ve Windows doméně.

Nejprve nastavení serveru

Nejprve je nutno určit,
který doménový AD řadič má roli FSMO emulátoru PDC

netdom query fsmo

ADFS backup

Jak zálohovat konfiguraci ADFS ?

Přesný čas

Jen několik příkazů pro OS MS Windows.
Příkazy jsou pro CMD.

CISCO ASA - TEST RADIUS

jen několik příkazu na CISCO ASA (v mém případě 5510)

ERROR 1297 při spuštění služby AD FS

Na doménovém řadiči (ADDS = Active Directory Domain Services) verze MS Windows server 2016 jsem měl také instalovánu službu ADFS (Active Directory Federation Services).

No a potřeboval jsem tento server ponížit na obyčejný členský server.
Provedl jsem DEMOTE a odinstalaci role ADDS.

Po restartu (nyní již členského serveru) se však služba nespustila.
V mém případě se služba ADFS spouštěla pod doménovým účtem.

Obdržel jsem chybu ERROR 1297 s následujícím zněním:

Windows could not start the Active Directory Federation Services service on Local Computer Error 1297: A privilege that the service requires to function properly does not exist in the service account configuration. You may use the Services Microsoft Management Console (MMC) snap-in (services.msc) and the Local Security Settings MMC snap-in (secpol.msc) to view the service configuration and the account configuration.

Je nutno provést následující kroky k opravě:

Windows Serrver 2019 a RADIUS

Konkrétně v prostředí MS Windows má zkratku NPAS (Network Policy and Access Services).

Tato služba je v prostředí MS Windows Server 2019 + všechny aktualizace k 2020/05 nefunkční.

A lze ji opravit jednoduše.

Žádost o certifikát skrz webové rozhraní

Je instalovaná interní certifikační autorita (jako role ADCS ve Windows MS Windows Server 2019).

Jedna z komponent také nabízí webové rozhraní (skrz další roli - IIS).

A uživatel si může zažádat o certifikát skrz webové rozhraní této interní certifikační autority.

Webové rozhraní (respektive žádost) je či není funkční v následujících OS MS Windows.

Každý OS má instalovány všechny aktualizace k 1.3.2020

co je to AAA

Co to je AAA ?

AAA = authentication, authorization and accounting protocol
tedy v češtině:
autentizační, autorizační a účtovací protokol počítačových sítí

WiFi autentizační metody

Pro účely autentizace se v 802.1x sítích využívá protokol EAP (Extensible Authentication Protocol).
V operačním systému ANDROID 9.x jsou k dispozici tyto následující autentizační metody.

CA nemůže publikovat CRL certifikáty - event ID 66,74,75

Certifikační autorita (CA)  vydává certifikáty.
A v pravidelných intervalech CA vydává také seznam zneplatněných certifikátů. V něm jsou zapsány informace o certifikátech, které jejich vlastníci prohlásili za neplatné (nechali je zneplatnit).
K tomu dochází např. tehdy, když je zcizen soukromý klíč vlastníka nebo skončí podmínky pro používání certifikátu.

Ve firemním prostředí se to nejčastěji stává při ukončení pracovního poměru (ukončení spolupráce) se zaměstnancem (nebo s externím pracovníkem, brigádníkem, ...) .

Default nastavení pro publikaci CRL certifikátů v AD CS MW Windows Server 2019

je nastaveno na: 

• CRL publication Interval: 1 Weeks
• Delta CRLs: 1 Days

Publikaci lze také provést ručně:

• v grafickém prostředí přejdeme na název CA
• přejdeme na Revoked Certifikates
• v MENU zvolíme ALL TASKS
• následně PUBLISH
• a následně NEW CRL nebo DELTA CRL ONLY

Při ruční publikaci NEW CRL můžeme obdržet tyto následující chyby:

• Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)
• V Event logu (Servers Roles - Active Directory Certification Services) Event ID: 66 + 74 + 75 (podrobněji viz níže)

Při ruční publikaci DELTA CRL ONLY můžeme obdržet tyto následující chyby:

• Operation aborted 0x80004004 (-2147467260 E_ABORT)
• V Event logu (Servers Roles - Active Directory Certification Services) Event ID: 66 +74 + 75 (podrobněji viz níže)

Event ID: 75

Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location on server adcs.firma.cz: ldap:///CN=CA(2),CN=CA19,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domena,DC=cz.  

Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND).

ldap: 0x20: LDAP_NO_SUCH_OBJECT: 0000208D: NameErr: DSID-03100241, problem 2001 (NO_OBJECT), data 0, best match of: 'CN=CA,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domena,DC=cz'

Event ID: 74

Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server adcs.firma.cz: ldap:///CN=CA(2),CN=CA19,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=firma,DC=cz.  

Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND).

ldap: 0x20: LDAP_NO_SUCH_OBJECT: 0000208D: NameErr: DSID-03100241, problem 2001 (NO_OBJECT), data 0, best match of: 'CN=CA,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=firma,DC=cz'

Event ID: 66

Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location: ldap:///CN=CA(2),CN=CA19,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=firma,DC=cz.  

Operation aborted 0x80004004 (-2147467260 E_ABORT).

Tato chyba je poměrně nepříjemná.
Některé další navazující systémy si kontrolují seznam zneplatněných certifikátů. A pokud ho neobdrží, tak mohou odepřít uživateli přístup (v mém případě bylo nefunkční přihlášení do firemní WiFi sítě ... pro ověřování se používá osobní certifikát uživatele).

Nad řešením jsem strávil několik bezesných nocí a spousty pracovních dnů.

NPS - odregistrace

NPS = Network Policy Server

Jak provést odregistrovat NPS server z AD?

SMB - Zakázání protokolu SMB verze 1

Protokol SMB verze 1 obsahuje mnoho zranitelností, které s úspěchem využívají viry typu RANSONWARE.

I proto je vhodné ho vypnout.

Provádí se v Powershellu takto:

SMB - Šifrování přenosu dat

Přenos dat v protokolu SMB ve výchozím stavu není šifrován.

Šifrování protokolu SMB lze zapnout pouze od verzi 3.

Provádí se PowerShell příkazem:

Zjištění verze SMB protokolu

v PowerShellu zjistíme verzi SMB takto

PowerShell - podrobné informace o instalovaném OS

Powershell příkaz vypíše podrobné info o instalovaném OS:

AD - převzetí FSMO rolí

Může také nastat případ, že je nutno převzít (násilně) některou z rolí.
Prostě proto, že původní server (který obsluhoval tyto role) již není k dispozici.

AD - transfer FSMO rolí

Pokud potřebujeme provést přesun (převod, transfer) rolí, musí být řadič držící tyto role dostupný.

Samozřejmostí je, že také musíte mít všechny potřebná oprávnění (Domain Admin, Enterprise Admin, Schema Admin).

Jednotlivé role požadují tyto oprávnění:

FSMO role               Potřebná oprávnění

Schema Master       Schema Admin

Domain Naming       Enterprise Admin

Relative ID Master       Domain Admin

PDC Emulator               Domain Admin

Infrastructure Master     Domain Admin

Na libovolném doménovém řadiči spustíme NTDSUTIL.

ntdsutil: roles

fsmo maintenance: connections

server connections: connect to server jmeno_nového_serveru

Binding to jmeno_nového_serveru ...

Connected to jmeno_nového_serveru using credentials of locally logged on user.

server connections: q

fsmo maintenance:

a převedeme požadovanou roli

Transfer naming master

Transfer infrastructure master

Transfer PDC

Transfer RID master

Transfer schema master

a následně provedeme RESTART serveru


Odkaz:
https://support.microsoft.com/cs-cz/help/255504/using-ntdsutil-exe-to-transfer-or-seize-fsmo-roles-to-a-domain-control

Active Directory - zjištění FSMO rolí

Potřebuji zjistit, jaké FSMO role má každý server (řadič domény).

Active Directory - FSMO role

Zkratka FSMO = Flexible Single Master Operations

Po instalaci na Active Directory na více serverů (jedné domény) mají různé servery různé speciální role, které se starají o hladký běh a funkčnost celého systému v prostředí více serverů. Některé funkce však vyžadují centrální autoritu - proto je definováno celkem 5 základní rolí. Na tyto centrální autority se jednotlivé doménové řadiče obracejí se svými požadavky.

Tyto jsou instalovány automaticky při instalaci prvního Active Directory serveru. A také jsou automaticky přemístěny na další servery (když je více serverů v rámci domény). při korektní od-instalaci jsou tyto role automaticky přemístěny na zbývající doménové řadiče (servery).

AD Schema Versions

AD version	objectVersion
Windows Server 2000	13
Windows Server 2003	30
Windows Server 2003 R2	31
Windows Server 2008	44
Windows Server 2008 R2	47
Windows Server 2012	56
Windows Server 2012 R2	69
Windows Server 2016	87
Windows Server 2019	88

 a zjistíme příkazem:

Verze MS SMB protokolu

SMB neboli Server Message Block je síťový souborový protokol, určený pro sdílení souborů a tiskáren mezi počítači. Microsoft doporučuje z bezpečnostních důvodů zakázat protokol SMB verze 1.0, jehož zranitelnosti využívá např. ransomware WannaCrypt nebo EternalRocks.

Nejstarší verze SBM 1 již není bezpečná a Ransomware dokáže využít její zranitelnosti a proniknout a ovládnou přes něj počítač i server. Doporučení je tedy jasné, vypnout podporu SBM verze 1.

Systém Windows 10 Enterprise a Windows 10 Education již po čisté instalaci neobsahují klienta ani server SMBv1.

Systém Windows Server 2016 Education již po čisté instalaci neobsahuje předvoleně klienta ani server SMBv1.

Windows 10 Home a Windows 10 Professional po čisté instalaci stále obsahují klienta SMBv1.

Pokud klient SMBv1 není používán celkem 15 dní (kromě vypnutého počítače), automaticky se sám odinstaluje.