dolezel.net

Co není v hlavě, je v blogu...

Špek s VPN

Tohle si musím napsat. Přišel jsem k SBS 2011, který byl nainstalován někým jiným. Je vidět, že na to několik let nebylo pořádně sáhnuto (Exchange 2010 SP1 atd.). Chci rozjet SSTP VPN. Pamatuji si, že jsem se SBS a SSTP dříve bojoval, jeden článek mám tady, další tady. Pořád nic. Hlásí mi to chybovou hlášku, kterou jsem nikdy předtím neviděl.

vpn_no_sstp_connection

Pro klid duše jsem si ověřil navázání VPN i z Windows 7, stejná chyba. Více...

Změna certifikátu na serveru, kde je IIS i SSTP VPN

V případě, že na IIS serveru (pro zjednodušení uvažuji jednu NIC, jednu IP adresu, žádný Apache či jiný non-IIS HTTP server) změním adresu, je potřeba opravit i konfiguraci SSTP. Při prvním kliknutí na záložku Security (Zabezpečení) ve vlastnostech RRAS serveru dostanu toto chybové hlášení: Více...

SBS2011, resp. Exchange 2010 a export mailboxu do PST ze zálohy

Peklo na zemi. Zálohy prováděné Windows Backupem. Víc snad už nemám sílu psát. Více...

SSTP VPN nouzové připojení v SBS 2011

SBS 2011 obsahuje průvodce pro konfiguraci VPN. Nakonfiguruje ale pouze PPTP VPN, tj. variantu, která pracuje s TCP/1723 a GRE protokolem (IP 41). Rozjíždět L2TP/IPSec VPN na SBS 2011 je peklo, protože uživatelé by byli ztraceni kvůli certifikátům. IKEv2 je zase omezené pouze na klienty Windows 7,8. Alternativou tak je SSTP VPN, dostupná od Windows Vista. Tento typ VPN nelze nakonfigurovat přes žádného SBS průvodce, ale hezky klasicky.

Problémem ale je, že standardní instalace SBS 2011 vytvoři certifikační autoritu, jejíž veřejný klíč nikam veřejně nevystaví (takže je nutné jej pro funkčnost SSTP VPN na VPN klientovi naimportovat do Trusted Root CA počítače) a navíc všem vydaným certifikátům dává CRL Distribution Points pouze v AD, tj. LDAP. To je při přístupu na SSTP server z Internetu nanic, VPN klient dostane chybovou hlášku o nemožnosti zkontrolovat revokační list. Dočasným řešením je tak na VPN klientovi dočasně zakázat ověřování revokace certifikátu SSTP serveru. Více...

SBS2011 a Remote Desktop Gateway

Včera jsem se s tím mořil, hromadu toho rozbil a pracně opravoval a dnes najdu článek, který vše vysvětluje. KB2472211 uvádí, že během instalace SBS2011 je nastavena Remote Desktop Gateway, ale není nainstalována administrační konzole Remote Desktop Gateway Manager, což může člověka zmást. Co hůř, v Server Manageru se role Remote Desktop Gateway jeví jako nenainstalovaná, takže by člověk snadno podlehl pokušení a chtěl ji nainstalovat. Jenže to je špatně. Více...

SBS2011 Standard – dodatečné e-mail domény

Obzvláště u menších firem dochází často ke slučování, přejmenovávání. To má dopady i na e-mail domény, které má SBS přijímat. Asi nejjednodušším příkladem je požadavek na příjem další domény. To se řeší naprosto stejně jako u “dospělého” Exchange Serveru 2010 pomocí Exchange management nástrojů. V prvním kroku přidám New Accepted Domain a označím ji jako Authoritative, případně Internal Relay, pokud je jmenný prostor sdílený ještě s jiným poštovním řešením. Následně vytvořím novou E-mail Address Policy (pokud chci přidat adresu jen nějaké množině uživatelů) nebo změním již stávající (pokud chci přidat adresu s touto doménou všem). Jak moc práce to pro mne bude představovat záleží na tom, jak rozumně jsem E-mail Address Policies navrhl v minulosti a zdali byly správně využívány. Více...

Exchange Server 2010 Service Pack 2

V neděli Microsoft vydal dlouho očekávaný SP2 pro Exchange Server 2010. Důležitý je hlavně pro hostery, kteří si rozbili ústa na rok starém preferovaném instalačním přepínači /hosting, který zavedl SP1. Nyní Microsoft potvrdil to, co si řada malých hosterů myslela již dávno – že to není ten správný směr – a prohlásil, že bude hostery podporovat na instalacích on-premise, pokud tam budou mít SP2, bez /hosting a budou používat řešení, které splní určité požadavky. Tyto požadavky byly vydány v úterý pod názvem Multi-Tenancy and Hosting Guidance for Exchange Server 2010 SP2. Pro hostery tak nyní nastávají krušné časy. Musí se vyrovnat s koncem /hosting režimu, se vzrůstající konkurencí jak ze strany třetích společností, tak od samotného Microsoftu v podobě Office 365. Předpokládám, že všichni, kteří nebyli účastníky TAP programu, nyní usilovně instalují testovací prostředí a identifikují novinky, problémy. Více...

Windows 2008/7/Vista a vícero IP adres na jedné NIC

Teď jsem si tak ukázkově nabil ústa, že si to musím ihned poznamenat. I když na tohle bych asi jen tak nezapomněl. Už od dob NT4 má člověk zafixováno, že pokud zadá na jednu síťovou kartu vícero IP adres, pro odchozí provoz bude použita ta prvně zadaná, tj. ta, která se zobrazí v nastavení TCP/IP, kde volím mezi statickou a dynamickou (DHCP) adresou. Suverénně jsem tak dnes nakonfiguroval Windows 2008 Web Server R2 a zaboha jsem nemohl přijít na to, proč vše nefunguje tak, jak má. Velké překvapení nastalo po několika hodinách bádání – od dob Vist je vše jinak. Více...

SBS 2011 a instalace W2008 R2 SP1

Nad tím, zdali je bezpečné nainstalovat Windows 2008 R2 Service Pack 1 na SBS 2011, jsem uvažoval a váhal. Jednak kvůli problémům s instalací samotného SP1, ale také kvůli tomu, že všechny SBS jsou “trochu posunuté” a často již obsahují nějaký SP1 v sobě. Pochyby rozptýlil až tento článek. Já věděl, že je tam nějaký zádrhel, ale nepamatoval jsem si přesně jaký – SP1 je již obsažen v SBS2011 Essentials edici.

Autor článku poskytuje sofistikovaný hint, jak určit, jestli je ten který hotfix či service pack bezpečné instalovat na SBS – když se to objeví ve Windows Update, bylo to jimi prověřeno a schváleno k nasazení Smile Více...

SBS 2011 a interní SMTP relay server

Tohle je tak častý požadavek, že si jej sem uložím. Vše níže uvedené platí též pro Exchange Server 2010, ale při jeho instalaci se přeci jenom víc předpokládá, že ten, kdo to instaluje, rozumí víc problematice SMTP konektorů.

Téměř v každé společnosti se nachází nějaké interní železo, které neumí SMTP autentizaci a přitom chce odesílat e-maily. Může to být vícefunkční zařízení, skener, remote ovládací karta serveru nebo třeba hloupý RAID software hlídající zdraví disků. Ve všech těchto případech standardní instalace SBS 2011 narazí. Automaticky vytvořené konektory jsou totiž nakonfigurované tak, že umožňují příjem anonymní pošty pouze z brány příslušné podsítě. Tj. vylučují interní rozsah podsítě, v níž je SBS 2011 umístěn. Standardně ale není vytvořen ani žádný klientský SMTP konektor, jenž by povinně vyžadoval autentizaci (kterou by ale ta zařízení, o nichž píšu, stejně neuměla) a běžel na zabezpečeném portu třeba TCP/587. Už jsem se potkal i s názorem, že to SBS neumí, tak vedle něj postavíme linuxový relay server. OMG! Více...