dolezel.net

Co není v hlavě, je v blogu...

Změna certifikátu na serveru, kde je IIS i SSTP VPN

V případě, že na IIS serveru (pro zjednodušení uvažuji jednu NIC, jednu IP adresu, žádný Apache či jiný non-IIS HTTP server) změním adresu, je potřeba opravit i konfiguraci SSTP. Při prvním kliknutí na záložku Security (Zabezpečení) ve vlastnostech RRAS serveru dostanu toto chybové hlášení: Více...

SBS2011, resp. Exchange 2010 a export mailboxu do PST ze zálohy

Peklo na zemi. Zálohy prováděné Windows Backupem. Víc snad už nemám sílu psát. Více...

SSTP VPN nouzové připojení v SBS 2011

SBS 2011 obsahuje průvodce pro konfiguraci VPN. Nakonfiguruje ale pouze PPTP VPN, tj. variantu, která pracuje s TCP/1723 a GRE protokolem (IP 41). Rozjíždět L2TP/IPSec VPN na SBS 2011 je peklo, protože uživatelé by byli ztraceni kvůli certifikátům. IKEv2 je zase omezené pouze na klienty Windows 7,8. Alternativou tak je SSTP VPN, dostupná od Windows Vista. Tento typ VPN nelze nakonfigurovat přes žádného SBS průvodce, ale hezky klasicky.

Problémem ale je, že standardní instalace SBS 2011 vytvoři certifikační autoritu, jejíž veřejný klíč nikam veřejně nevystaví (takže je nutné jej pro funkčnost SSTP VPN na VPN klientovi naimportovat do Trusted Root CA počítače) a navíc všem vydaným certifikátům dává CRL Distribution Points pouze v AD, tj. LDAP. To je při přístupu na SSTP server z Internetu nanic, VPN klient dostane chybovou hlášku o nemožnosti zkontrolovat revokační list. Dočasným řešením je tak na VPN klientovi dočasně zakázat ověřování revokace certifikátu SSTP serveru. Více...

Windows 8 a zálohování

Ve Windows 8 je zálohování, jaké známe z Windows 7, naprosto ukryto. A zdůvodnění? To je neuvěřitelné: “… this function is being deprecated and will not be updated. It was rarely used and its functionality has been replaced by the new File History feature.” To si v Microsoftu opravdu myslí, že zálohování bylo dobré jen na soubory? Co komplet nastavení systému? Vím, že se dají synchronizovat nastavení pod Microsoft Account, ale pochopitelně jsou aplikace, které nejsou od Microsoftu a takhle nefungují.

V tomto článku, který popisuje File History, jdou ve vysvětlování důvodů ještě kousek dál: “Our telemetry shows that less than 5% of consumer PCs use Windows Backup and even adding up all the third party tools in use, it is clear nowhere near half of consumer PCs are backed up.

Přiznám se, že tomuhle moc nerozumím. Cost-cutting je všudypřítomný, ale takhle extrémně? Těch ubohých 5 procent uživatelů je tak odkázáno na produkty třetích stran, případně na dumání, jak umožnit zálohování a la Windows 7, ovšem za cenu znefunkčnění File History.

Co bude další na řadě? Udělá si Microsoft průzkum, že necelá desetina uživatelů používá ACL a zbytek se spokojí s Everyone Full Control?

ICACLS používání

V poslední době často používám pro nastavování práv ICACLS.EXE. Výhodou je dostupná historie spuštěných příkazů a hlavně snadný přenos do dokumentace. Měl jsem trochu chaos v definici rozsahu dědění mnou definovaných práv, dokud jsem nenašel tuhle stránku. Jelikož mají zrovna stránky, které obsahují velmi užitečné informace, tendenci jako na potvoru zmizet, tak si raději sem část informací přenesu.

Pokud chci přidat práva třeba aplikačnímu poolu, použiji konstrukci icacls c:\inetpub\webs\www.domena.cz /grant "IIS APPPOOL\DefaultAppPool":(OI)(CI)(RX) .  Definici práv (poslední závorka) najdu v icacls /?, ale co znamenají ty zmatky předtím? Více...

Google a monitoring IP provozu

Sedím doma, hledám něco na netu a najednou se mi místo očekávaných výsledků na Google objeví tato stránka. Chvíli jsem nechápal, co se děje, až jsem si v dolní části všiml IPv6 adresy z mně přiděleného subnetu 6to4 tunelu od Hurricane Electrics. Jsem připojený přes pražský uzel, který byl zřízen v lednu 2012, vypadá to, že už nás tam pár visí a tak jsme uvízli v hledáčku Googlu – raději ani nechci vědět, co vše Google sleduje. Více...