Не отключайте IPv6 и Windows Firewall


i

Есть две проблемы, которые меня давно очень сильно заботят- это отключение IPv6 и Windows Firewall во многих организациях. Для тех, кто привык поступать подобным образом, у меня две новости, и обе плохие. Новость номер один- это очень не рекомендуемый сценарий. И новость номер два: не все знают, что до кучи ещё и неподдерживаемый.

Часто администратор, как существо чрезвычайно ленивое, отключает встроенный брандмауэр, в надежде, что:

  •  все  сразу залитает по сетке!
  • не надо будет создавать несколько правил для ПО, используемого в организации (обычно не более 5-7  дополнительных правил, которые можно легко распространить, задокументировать и быстро изменить с помощью одного объекта групповой политики)
  •  он нинужен, потому, что у нас есть здоровский корпоративный антивирус!
  •  что-то пинг не работает, надо задисаблить файервол!

Читать далее

Реклама

Сбрасываем безопасный канал (пароль) между контроллерами домена


Если сломалась репликация, и пароли контроллеров домена не синхронизированы, и «secure channel is broken» то:

Для сброса пароля KDC  на проблемном сервере:

1. Останавливаем службу Key Distribution Center (KDC). ( net stop KDC)

2.Запускаем Kerbtray.exe (или klist, как кому удобнее)

3. Очищаем билеты (Purge Tickets) в графике или klist -Purge. Убедитесь, что билеты удалены.

4.  На PDC emulator сбрасываем пароль учетной записи проблемного контроллера домена:

 netdom /resetpwd /server:server2 /userd:domain.com\administrator /passwordd:password

5. Для синхронизации изменений выполняем repadmin /syncall.

6.Запускаем службу  KDC на проблемном сервере, на котором были проблемы с репликацией (Server2): net start KDC.

7. Радуемся хорошо проделанной работе.

http://support.microsoft.com/kb/2090913

GPO — сиротки.


Продолжаем тему групповых политик- ранее мы говорили о небольшом аудите Active Directory.

Как выражаются западные коллеги, «script please».  А то не модно, и качать что-то надо,  и страшные пугающие окна о несовместимости, и вообще не одной строкой.

Да нет проблем- забираем тут. Читать далее

Gpotool Error: Sysvol version mismatch


Вот такой вот интересный вывод дала Gpotool при  разборе полетов.

Policy {GUID}
Error: Version mismatch on dc1.domain.org, DS=65580, sysvol=65576
Friendly name: Default Domain Controllers Policy
Error: Version mismatch on dc2.domain.org, DS=65580, sysvol=65576
Details:
————————————————————
DC: dc1.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:04 PM
DS version:     1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2
————————————————————
DC: dc2.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:05 PM
DS version:     1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2

Разберем вывод подробнее: видно, что  в политике Default Domain Controllers Policy есть определённые расхождения во мнениях между частями DS и Sysvol. Чтож, давайте исправлять положение: поправим версию аккуратно до 45.Значение, которое нужно ввести , будет 65581. (1 * 65536 + 45 = 65581). Откройте в блокноте \\domainname\sysvol\policies\{Default_Domain_Controllers_Policy_GUID}\gpt.ini и установите Version=65581.

Сейчас пора  взять в руки ADSIEdit, ADExplorer или ldp (и тд 😉 ), и установить значение для versionnumber CN={Default_Domain_Controllers_Policy_GUID},CN=Policies,CN=System,DC=domainname равным 65581.

Теперь можно принять ванну, выпить чашечку кофе (вообще мой самый любимый шаг в инструкции, буду теперь везде вставлять!) ,и запустить GPOTool еще раз. Версии номеров, которые мы должны увидеть в выводе, должны быть очень похожи на 65581  1(user) и 45(machine).

Примечание: GUID Default Domain Controllers Policy всегда 6AC1786C-016F-11D2-945F-00C04FB984F9, но в этом необходимо удостоверится- талантливый администратор мог удалить политику и создать новый GPO  с параметрами по умолчанию..

Домашнее чтение: http://blogs.technet.com/b/grouppolicy/archive/2007/12/14/understanding-the-gpo-version-number.aspx?Redirected=true

https://blogs.technet.com/b/grouppolicy/archive/2008/01/08/understanding-the-domain-based-gpo-version-number-scripts-included.aspx?Redirected=true

Восстановление контроллера домена из моментального снимка (snapshot)


Довольно часто администраторы, не знакомые с предметом, восстанавливают контроллеры домена из снимка или из старого бекапа. Контроллеры их за это не любят, а администраторы приходят жаловаться в технеты. Сегодня мы посмотрим, как быстро и точно побороть эту проблему.

Статья относится к Windows 2008 R2 и всем предыдущим ОС- в Windows server 2012 нам, наконец-то, нечего бояться. Читать далее