dolezel.net

Co není v hlavě, je v blogu...

Změna edice Windows Server 2016

Podařilo se nám na server nainstalovat Standard edici. Když jsem kontroloval podmínky pro Storage Spaces Direct (S2D), tak jsem narazil na Datacenter edici. A když jsem si pak spočítal cenu SPLA licencí, tak bylo jasné, že musíme Hyper-V servery povýšit na Datacenter.Více...

Powershell - jak rychle zjistit FSMO roles

Takhle:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster
Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles | Where-Object {$_.OperationMasterRoles} | Format-Table -AutoSize

Nastavení DNS serverů na DC

Nad tímhle s železnou pravidelností vždy zaváhám. Jak správně nastavit DNS servery v konfiguraci DC (Active Directory řadiče), který je sám DNS serverem?

První IP adresa DNS serveru musí být adresa druhého DNS serveru. Druhá nebo třetí adresa DNS serveru může být adresa toho DC, který konfiguruji, ale musí to být loopback adresa (tj. 127.0.0.1), nikoliv IP adresa nakonfigurovaná na síťové kartě.

V případě používání IPv6 platí to samé, pouze loopback adresa je ::1.

A jak v případě jediného DC ala SBS? MS říká, že DC by měly být vždy min. dva. Ale pokud není zbytí, lze si pomoci třeba tím, že zprovozním sekundární DNS server třeba na Synology boxu, ten si bude stahovat zóny z primárního DNS (tj. DC), kde musím samozřejmě povolit sekundární BIND servery a povolit stahování zón. Na DC poté nastavím coby primární DNS server IP adresu Synology boxu, jako druhou pak 127.0.0.1.

Zdroje:

https://blogs.technet.microsoft.com/askds/2010/07/17/friday-mail-sack-saturday-edition/#dnsbest

https://technet.microsoft.com/en-us/library/dd378900(WS.10).aspx

https://technet.microsoft.com/en-us/library/ff807362(v=ws.10).aspx

Event ID 36887 a Schannel

Tahle chyba mne dlouho vytáčela k šílenství. V případě internetového serveru, kdy na straně klienta může být blbě nastavené cokoliv, je ve finále tisíc logování této chyby úplně nanic. Nakonec pomůže změnit jeden záznam v registrech. Více...

Nefunkční DC, dubnové patche, zapomenutý iSCSI target

Dneska to bylo pěkné. Chcípající DC (The RPC server is unavailable.), hromada záznamů v Eventlogu s ID 4227 a 4231, postupně umírající replikace mezi AD sajtami, uživatelé stěžující si na nedostupnost DFS namespace \\domena.tld\. Prostě zpráva z kategorie těch po ránu nejméně oblíbených. Více...

IIS a SHA256 certifikát

Vypršel mi StartSSL certifikát, tak jsem si před obnovou řekl, že už je na čase obměnit SHA1 za SHA256. No jo, jenže IIS Manager ve Windows Serveru 2012 R2 vyrobí CSR automaticky jen s SHA1. Tak dobrá, nahodím mmc.exe, přidám si Certificates snap-in a holt ten požadavek vyrobím ručně. V tu chvíli jsem netušil, jakou zábavu jsem si připravil pro pár hodin v průběhu několika dalších dní.

Úvodem jsem dal Request New Certificate…. Špatně, správně je nutné zvolit Advanced Operations a následně Create Custom Request… Více...

W2003 DC a dva prima hotfixy

Dnešní den jsem plánoval něco zcela jiného. Nakonec to dopadlo tak, že jsem se celý den snažil pochopit, co se to proboha stalo ve dvou různých firmách, ve kterých se v noci nainstalovaly na servery hotfixy. A od rána prudí uživatelé, že se nemůžou přihlásit přes RDP na server, že se jim Outlook nedokáže přihlásit k Exchange 2003 či Exchange 2010, ale přitom přes OWA vše jde. A nefunkční jsou i Outlooky na MAC OS X. Teď, po dvanácti hodinách, už samozřejmě vidím souvislost, ale ráno ani omylem. Takže co se to vlastně stalo? Více...

Certifikát webového serveru hezky pěkně manuálně

Předpoklady:

CA akceptuje SAN CSR.
Chci mít certifikát s možností exportu privátního klíče.

Postup:

Stáhnu si přílohu ssl.inf a doplním/změním požadované parametry.

Vytvořím CSR soubor
certreq -new ssl.inf ssl.req

CSR můžu zkontrolovat pomocí
certutil ssl.req

Pokud je CA dostupná přes RPC, můžu následující příkaz spustit rovnou tam, kde jsem vytvářel CSR. Jinak musím soubor na CA nejdříve překopírovat.

certreq -submit ssl.req
nebo
certreq -attrib “CertificateTemplate:webserver” -submit ssl.req

Druhou variantu je nutné použít např. v případě, kdy bych chtěl takto vydat certifikát na základě CSR vytvořeného v průvodci Exchange 2010 (a možná i 2013).

Předposledním krokem je instalace vydaného certifikátu, čímž dojde k propojení s privátním klíčem
certreq -accept ssl.cer

Posledním krokem je export certifikátu ve formátu PFX a uložení na bezpečné místo. Nejdříve si certifikát vypíšu.
certutil -store My

Musím si poznamenat sériové číslo certifikátu a následně jej vyexportovat
certutil -exportPFX -p "Password" My 610df5bb000000000002 exportovany_certifikat.pfx

Zdroje:

http://blogs.technet.com/b/pki/archive/2009/08/05/how-to-create-a-web-server-ssl-certificate-manually.aspx
http://certificate.fyicenter.com/685_Microsoft_CertUtil_Microsoft_certutil_-user_Certificate_St.html
http://blogs.technet.com/b/yuridiogenes/archive/2011/04/20/exporting-certificates-using-certutil.aspx

ssl.inf (1,4KB)

Špek s VPN

Tohle si musím napsat. Přišel jsem k SBS 2011, který byl nainstalován někým jiným. Je vidět, že na to několik let nebylo pořádně sáhnuto (Exchange 2010 SP1 atd.). Chci rozjet SSTP VPN. Pamatuji si, že jsem se SBS a SSTP dříve bojoval, jeden článek mám tady, další tady. Pořád nic. Hlásí mi to chybovou hlášku, kterou jsem nikdy předtím neviděl.

vpn_no_sstp_connection

Pro klid duše jsem si ověřil navázání VPN i z Windows 7, stejná chyba. Více...

Synchronizace času v doménové hierarchii

V poslední době jsem několikrát řešil problémy s časem ve forestu, případně v doméně s vícero sajtami. Párkrát jsem se k tomu dostal v okamžiku, kdy někdo přede mnou dočasně “poléčil” problémy času na non-PDC DC fixním nastavením NTP serveru. To je řešení následků problému, nikoliv odstranění příčiny. Takže v prvním kroku je třeba uvést nastavení non-PDC do pořádku:

w32tm /config /syncfromflags:domhier /update
w32tm /resync /rediscover

Jiný postup opravy (pro krapet odlišný problém) jsem si uložil zde.

V druhém kroku pak následuje vysvětlení lokálnímu IT týmu, jak se věci mají, jak to funguje. K tomu je nejlepší tento obrázek, který jsem, přiznávám, někde ukradl (s odkazováním na externí URL obrázku mám špatné zkušenosti, někdo změní blogovací nástroj, tím pádem změní URL a obrázek je v háji):

NTP_in_forest

Obrázek je všeříkající, bez nutnosti složitě popisovat, co si odkud může vzít čas.

Pokud se jedná o virtualizovaný DC, je nutné vypnout podporu synchronizace času mezi DC a hypervisorem. Postup pro Hyper-V jsem si popsal zde.

Na závěr je třeba mrknout na nastavení PDC, otestování povolené komunikace mezi PDC a externím zdrojem času. Často jsem se setkal s chybějícími či chybnými pravidly v korporátním firewallu. A koneckonců je nutné se podívat i na korektní konfiguraci PDC – popsáno tady.