Configuring WPA2 on Cisco Aironet

1240AG> enable
1240AG# configure terminal
1240AG (config)# interface dot11radio 0
1240AG (config-if)# encryption vlan 30 mode ciphers aes-ccm
1240AG (config-if)# ssid Admin
1240AG (config-if-ssid)# vlan 30
1240AG (config-if-ssid)# authentication open
1240AG (config-if-ssid)# authentication key-management wpa version 2
1240AG (config-if-ssid)# wpa-psk ascii $key

cisco bug

sh ip int | inc (.*)(/1)+

сбор логов syslog-ng

apt-get -y install syslog-ng

/etc/syslog-ng/syslog-ng.conf
source lan { udp ();};
destination netlog { file("/var/log/net.log");};
log { source(lan); destination(netlog); };

/etc/logrotate.d/net.log
/var/log/net.log {
daily
rotate 7
compress
missingok
create 640 root adm
delaycompress
}

/etc/init.d/syslog-ng reload

ASA 5510 + Squid

Настройка ASA
access-list proxyclients extended permit tcp host $ip_client any eq www
access-list proxyservers extended permit ip host $ip_proxy any
wccp web-cache redirect-list proxyclients group-list proxyservers
wccp web-cache
wccp interface inside web-cache redirect in

Настройки прокси
/etc/sysctl.conf
net.ipv4.ip_forward=1
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.all.rp_filter=0

echo "ip_gre" >> /etc/modules

/etc/network/wccp.up
#!/bin/bash
iptunnel add wccp0 mode gre remote $asa_router_id local $ip_proxy dev eth0
ifconfig wccp0 inet $ip_proxy netmask 255.255.255.0 up
iptables -t nat -A PREROUTING -i wccp0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128

/etc/network/wccp.down
#!/bin/bash
iptables -t nat -F
iptunnel del wccp0

echo "post-up /etc/network/wccp.up" >> /etc/network/interfaces
echo "pre-down /etc/network/wccp.down" >> /etc/network/interfaces

/etc/squid/squid.conf
wccp2_router $ASA_interface
wccp_version 4
wccp2_rebuild_wait on
wccp2_forwarding_method 1
wccp2_return_method 1
wccp2_assignment_method 1
wccp2_service standard 0

Очистка логов Windows из командной строки

wmic nteventlog where "logfilename = 'security'" call cleareventlog
wmic nteventlog where "logfilename = 'system'" call cleareventlog
wmic nteventlog where "logfilename = 'Application'" call cleareventlog

Инструкции по перемещению базы данных DHCP на компьютере под управлением Windows Server 2003 до Windows Server 2008

Экспорт базы данных DHCP в Windows 2003:
1. На сервере DHCP в Windows 2003 перейдите к командной строке
2. Введите следующую команду:Netsh
3. Введите следующую команду:DHCP:
4. Введите следующую команду:Server \\
5. Введите следующую команду:Экспорт всех c:\w2k3DHCPdb
Примечание.Необходимо иметь права локального администратора для экспорта данных.

Импорт базы данных DHCP
1. Скопируйте экспортированный файл базы данных DHCP на локальном жестком диске компьютера под управлением Windows Server 2008.
2. Установите роль DHCP на сервере.
3. Остановите службу сервера DHCP на сервере. Выполните следующие действия::
a. войти в систему на конечный DHCP-сервер с учетной записью, являющейся членом локальной группы «Администраторы».
б. щелкнитеSTART ::затем –ВыполнитьTYPE :CmdВ диалоговом окнеOPENполя, а затем нажмите кнопкуOk..
c. в командной строке введитеnet stop dhcpserver, а затем нажмите клавишуEnter.. Появится приглашение"Остановка службы DHCP-сервер. Служба DHCP-сервер успешно остановлена»Message.
г. типExit, а затем нажмите клавишуEnter..
4. Удалите файл DHCP.mdb c:\windows\system32\DHCP папке.
5. Запустите службу сервера DHCP.
6. Щелкните правой кнопкой командной строки (cmd) и выберите запуск с правами администратора, чтобы открытьCmdзапрос с повышенными правами.
Примечание.Для импорта данных необходимо иметь права локального администратора..
7. Введите следующую команду:Netsh
8. Введите следующую команду:DHCP:
9. Введите следующую команду:Server<\\name or="" ip="" address="">
10. Введите следующую команду:Импорт c:\w2k3DHCPdb
11. Перезапустите DHCP и проверьте, база данных была перемещена должным образом.

Тип группы и область использования в Windows

Типы группы
security
Группы безопасности используются для управления доступом к ресурсам. Их также можно использовать как сообщения электронной почты списка рассылки.
Распределение
Группы распространения могут использоваться только для списков рассылки электронной почты или простой административной группы. Эти группы не может использоваться для управления доступом, потому что они не являются «включена безопасность». В доменах, в основном режиме тип группы могут быть преобразованы в любое время. В домены в смешанном режиме тип группы фиксированной во время создания и не может быть изменен.

Типы области
Универсальный
Универсальные группы могут быть использованы в любом месте того же леса Windows. Они доступны только в основном режиме предприятия. Универсальные группы могут быть простой подход для администраторов, некоторые из-за внутренних ограничений на их использование не существует. Пользователей можно напрямую присвоить универсальных групп, они могут быть вложенными и их можно использовать непосредственно с помощью списков управления доступом для обозначения разрешения на доступ в любом домене в рамках предприятия.

Универсальные группы хранятся в глобальном каталоге (GC); это означает, что все изменения, внесенные в эти группы engender репликации на все серверы глобального каталога для всего предприятия. Поэтому необходимо внести изменения в универсальные группы только после тщательного изучения преимуществ универсальных групп затрат в сравнении с нагрузку репликации повышение глобального каталога. Если организация имеет, кроме одного, хорошо организованной сети LAN, не снижение производительности должен быть сталкивались, хотя широко распределенных веб-узлов могут возникнуть серьезные последствия. Как правило организации, с помощью глобальных следует использовать универсальные группы только для сравнительно статических групп, в котором членство изменить редко.
Глобальная
Глобальные группы — это основная область группы, в котором пользователи находятся в домены в смешанном режиме. Глобальные группы могут находиться только в дескрипторах безопасности объектов ресурсов, которые находятся в одном домене. Это означает, что нельзя ограничить доступ к объекту, основываясь исключительно на членство пользователей в глобальную группу из другого домена.

Глобальные группы для пользователя, вычисляется при входе в домен. Поскольку глобальные группы на основе домена, изменения в глобальные группы не существует репликация глобального каталога, в течение всего предприятия.

В основном режиме домена глобальные группы могут быть вложены в друг с другом. Это полезно в том случае, когда администраторы имеются вложенные подразделения и требуется делегировать административные функции организационные единицы (OU) постепенно снижаться способом работы дерево Подразделений. В этом случае дерева глобальная группа может служить параллельной конструкции, для назначения таких прав, уменьшение
Локальный домен
Domain Local groups can be used for the direct assignment of access policies on specific resources that are not directly stored in Active Directory, (such as file server shares, printer queues, and so on).

Domain Local groups should not be used to assign permissions on Active Directory objects, because Domain Local groups cannot be evaluated in other domains, and parts of most Active Directory objects get replicated to other domains in the form of the GC. Access restrictions placed on Active Directory objects that are based on Domain Local group membership have no effect on GC queries that take place in groups other than the domain in which the Domain Local group originated.

pipefail

#!/bin/bash
set -euo pipefail

Опция -e останавливает скрипт если процесс вернул не 0 (и пишет в stderr на какой строке ошибка).

Опция -u останавливает скрипт, если используется неопределённая переменная.

Опция -o pipefail фейлит выполнение пайпа, если один из подкомпонентов выполняется с ошибкой.

ntp Windows

w32tm /config /manualpeerlist:time.nist.gov,0x8 /syncfromflags:MANUAL
net stop w32time
net start w32time
w32tm /resync


для проверки доступности указанного сервера
w32tm /stripchart /computer:time.nist.gov

Текущее значение SNTP
net time /querysntp

Password Recovery Procedure for the Cisco 806, 826, 827, 828, 831, 836, and 837 Series Routers

1. Attach a terminal or PC with terminal emulation to the console port of the router.
2. Press Break on the terminal keyboard within 60 seconds of power up in order to put the router into ROMMON
3. Type confreg 0x2142 at the rommon 1> prompt in order to boot from Flash.
4. Type reset at the rommon 2> prompt.
5. Type no after each setup question, or press Ctrl-C in order to skip the initial setup procedure.
6. Type enable at the Router> prompt.
7. Type configure memory or copy startup-config running-config in order to copy the nonvolatile RAM (NVRAM) into memory.
Important: Do not type copy running-config startup-config or write. These commands erase your startup configuration.
8. Type configure terminal
9. Type config-register 0x2102
10. Press Ctrl-z or end in order to leave the configuration mode.
11. Type write memory or copy running-config startup-config in order to commit the changes.

Skype registry key

Following is the list of registry keys that apply to the Skype for Windows (version 3.0 and above):

HKEY_LOCAL_MACHINE (HKLM)
The registry keys for the local machine take precedence over the registry
keys for the local user if there is a conflict.

HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, DisableApi, REG_DWORD = {0,1}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, DisableFileTransfer, REG_DWORD = {0,1}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, MemoryOnly, REG_DWORD = {0,1}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, DisableContactImport, REG_DWORD = {0,1}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, DisableVersionCheck, REG_DWORD = {0,1}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, DisablePersonalise, REG_DWORD = {0,1}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, DisableLanguageEdit, REG_DWORD = {0,1}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, ListenPort, REG_DWORD = {0,1}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, ListenHTTPPorts, REG_DWORD = {0,1}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, DisableTCPListen, REG_DWORD = {0,1}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, DisableUDP, REG_DWORD = {0,1}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, DisableSupernode, REG_DWORD = {0,1}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, ProxySetting, REG_SZ = {string}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, ProxyAddress, REG_SZ = {string}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, ProxyUsername, REG_SZ = {string}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, ProxyPassword, REG_SZ = {string}
HKEY_LOCAL_MACHINE\Software\Policies\Skype\Phone, WebStatus, REG_DWORD = {0,1}

HKEY_CURRENT_USER (HKCU)

The registry keys for the current user take precedence over the
configuration parameters in the XML configuration files if there is a
conflict.
The configuration parameters defined in the XML configuration files
shared.xml and config.xml take precedence over any preferences the user
selects in the Skype client if there is a conflict.

HKEY_CURRENT_USER\Software\Policies\Skype\Phone, DisableApi, REG_DWORD = {0,1}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, DisableFileTransfer, REG_DWORD = {0,1}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, MemoryOnly, REG_DWORD = {0,1}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, DisableContactImport, REG_DWORD = {0,1}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, DisableVersionCheck, REG_DWORD = {0,1}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, DisablePersonalise, REG_DWORD = {0,1}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, DisableLanguageEdit, REG_DWORD = {0,1}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, ListenPort, REG_DWORD = {0,1}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, ListenHTTPPorts, REG_DWORD = {0,1}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, DisableTCPListen, REG_DWORD = {0,1}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, DisableUDP, REG_DWORD = {0,1}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, DisableSupernode, REG_DWORD = {0,1}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, ProxySetting, REG_SZ = {string}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, ProxyAddress, REG_SZ = {string}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, ProxyUsername, REG_SZ = {string}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, ProxyPassword, REG_SZ = {string}
HKEY_CURRENT_USER\Software\Policies\Skype\Phone, WebStatus, REG_DWORD = {0,1}

Присоединение Windows 7 к домену

netdom join %computername% /domain:DOMAIN.COM /userd:DOMAIN\administrator /passwordd@ssw0rd

модификация прав доступа на множестве компьютерах

Права Log On Locally rпозволяют пользователю локально логиниться на компьютер. По умолчанию всем пользователям в лесу Active Directory дано право подключаться к любому серверу, за исключением контролеров домена. Группа безопасности Local Users добавлена в "Allow Log On Locally" на локальном сервере и эта группа содержит группу. Если вы решите создать группу безопасности, и дать членам только этой группы права локального входа на определенные сервера, то вы можете сделать это вручную, использую групповую политику или скрипты.

В этом примере, я создам группу безопасности с именем RDP Access и дам права членам этой группы логиниться локально на 100 серверов из 500.

Необходимые шаги:
Создайте текстовый файл: Servers.txt
Скопируйте имена 100-та нужных серверов в этот файл.
Запустите следующую командуRun the following command:
For /F "Tokens=*" %a in (Servers.txt) Do Ntrights.exe -m \\%a -u "Domain_Name\RDP Access" +r SeInteractiveLogonRight
Команда выше назначит право Log On Locally группе RDP Access на всех компьютерах, перечисленных в файле Servers.txt.

Параметры Get-Mailbox

Получить список всех почтовых ящиков, которые были созданы за последнюю неделю.
Get-Mailbox Where-Object {$_.WhenCreated –ge ((Get-Date).Adddays(-7))}

Команда выше выдаст вам список всех ящиков созданных за последную неделю, но однако она может не содержать необходимых вам опций. Модифицируем её немного.
Get-Mailbox Where-Object {$_.WhenCreated –ge ((Get-Date).Adddays(-7))} ft name, servername, database

Вы можете экспортировать результат в txt или csv файл.
Get-Mailbox Where-Object {$_.WhenCreated –ge ((Get-Date).Adddays(-7))} ft name,
servername, database Out-File C:\mailboxes.txt
Get-Mailbox Where-Object {$_.WhenCreated –ge ((Get-Date).Adddays(-7))} ft name,
servername, database Export-CSV c:\mailboxes.csv

Команду можно легко изменить для поиска информации за последний месяц। Например, получаем все ящики, созданные в августе।
Get-Mailbox Where-Object {($_.WhenCreated).Month –eq 8} ft name, servername, database

Перенаправление результата команды в Meaure-Object даст нам количество созданных почтовых ящиков।
Get-Mailbox Where-Object {($_.WhenCreated).Month –eq 8} Measure-Object

И напоследок получаем список за 2009-ый год:
Get-Mailbox Where-Object {($_.WhenCreated).Year –eq 2009} ft name, servername, database

Файлы сертификатов X.509

*.cer – сертификат, сохраненный в стандарте CER. Может включать в себя сертификат, секретный ключ, путь сертификации.
*.der – сертификат, сохраненный в стандарте DER. Может включать в себя сертификат, секретный ключ, путь сертификации.
*.crt – файл сертификата в формате CER, DER или Netscape
*.pem – сертификат в кодировке Base64. Может также включать полный путь удостоверения сертификата и секретный ключ.
*.p8 – файл, содержащий секретный ключ, защищенный по стандарту PKCS#8.
*.p12 (в Windows используется расширение *.pfx) – файл сертификата, защищенный по стандарту PKCS#12. Может включать в себя сертификат, секретный ключ, путь сертификации.

Removing WPAD from DNS block list

Updating the block list
Use the dnscmd command-line tool to manage the global query block list. Open a command line prompt, and then do the following:
To check whether the global query block is enabled, type the following:

dnscmd /info /enableglobalqueryblocklist

To display the host names in the current block list, type the following:

dnscmd /info /globalqueryblocklist

To disable the block list and ensure that the DNS Server service does not ignore queries for names in the block list, type the following:

dnscmd /config /enableglobalqueryblocklist 0

To enable the block list and ensure that the DNS Server service ignores queries for names in the block list, type the following:

dnscmd /config /enableglobalqueryblocklist 1

To remove all names from the block list, type the following:

dnscmd /config /globalqueryblocklist

To replace the current block list with a list of the names that you specify, type the following:

dnscmd /config /globalqueryblocklist name [name]…

update IOS

copy run tftp

show flash:

delete c2800nm-adventerprisek9_mz.124-24.T.bin

copy tftp://c2800nm-adventerprisek9_ivs_mz.124-24.T1.bin flash:c2800nm-adventerprisek9_ivs_mz.124-24.T1.bin

verify /md5 flash:c2800nm-adventerprisek9_ivs_mz.124-24.T1.bin

boot system flash:c2800nm-adventerprisek9_ivs_mz.124-24.T1.bin

reload

DHCP PIX

dhcpd address 10.10.10.1-10.10.10.128 inside
dhcpd enable inside
dhcpd dns 192.168.100.25
dhcpd domain piva.net
dhcpd lease 7200
dhcpd ping_timeout 100

How to move a DHCP database from a computer that is running Windows Server 2003 to Windows Server 2008

Export the DHCP database from Windows 2003:

1. On the Windows 2003 DHCP server, navigate to a command prompt
2. Type the following Command: netsh
3. Type the following Command: DHCP
4. Type the following Command: server <\\Name or IP Address>
5. Type the following Command: export c:\w2k3DHCPdb all
Note You must have local administrator permissions to export the data.

Import the DHCP database

1. Copy the exported DHCP database file to the local hard disk of the Windows Server 2008-based computer.
2. Install the DHCP Role on the server.
3. Stop the DHCP server service on the server. To do this, follow these steps:
a. Log on to the target DHCP server by using an account that is a member of the local Administrators group.
b. Click Start, click Run, type cmd in the Open box, and then click OK.
c. At the command prompt, type net stop DHCPserver , and then press ENTER. You receive a "The Microsoft DHCP Server service is stopping. The Microsoft DHCP Server service was stopped successfully" message.
d. Type exit, and then press ENTER.
4. Delete the DHCP.mdb file under c:\windows\system32\DHCP folder.
5. Start the DHCP server service.
6. Right-click on the Command Prompt (cmd) and select run as administrator, to open the cmd prompt using elevated privileges.
Note You must have local administrator permissions to import the data.
7. Type the following Command: netsh
8. Type the following Command: DHCP
9. Type the following Command: server <\\Name or IP Address>
10. Type the following Command: import c:\w2k3DHCPdb
11. Restart DHCP and verify the database has moved over properly.

Перенаправление пользователей и компьютеров в контейнерах доменов Active Directory

Redirecting CN=Users to an administrator-specified organizational unit

redirusr  

redirusr ou=myusers,DC=contoso,dc=com

Redirecting CN=Computers to an administrator-specified organizational unit

redircmp container-dn container-dn

redircmp ou=mycomputers,DC=contoso,dc=com

Изменение установленного по умолчанию количества компьютеров, которое прошедший проверку пользователь может подключить к домену

С помощью сценария интерфейса службы Active Directory (ADSI) увеличить или уменьшить значение атрибута ms-DS-MachineAccountQuota.
Для этого выполните следующие действия:
1. От имени администратора домена запустите оснастку Adsiedit.msc.
3. Откройте узел Domain NC. Он содержит объект с именем, начинающимся символами DC=, которое отображает правильное имя домена.
Щелкните объект правой кнопкой мыши и выберите команду Свойства.
4. В списке Select which properties to view выберите элемент Both.
5. В списке Select a property to view выберите элемент ms-DS-MachineAccountQuota.
6. В поле Edit Attribute укажите число рабочих станций, которые пользователь может обслуживать одновременно. (Нужно 0 :-). По умолчанию 10)
7. Нажмите кнопку Set, а затем — ОК.

Audit Logging в Exchange 2010

В Exchange 2010 есть новая полезная функция, которая позволяет отслеживать все изменения выполняемые пользователями или администраторами в системе. Все действия, независимо от того где они были выполнены, в EMS, EMC или ECP будут сохраняться в журнале аудита. В данном режиме не логируются командлеты “Get”, так как в результате мы получим огромный лог обычных ежедневных операций.

Для успешной настройки логирования необходимо выполнить следующие действия. Для большинства из них мы будем использовать командлет Set-AdminAuditLogConfig.

Первым шагом для выполнения нашей задачи нам нужно создать ящик, в котором будут храниться логи аудита.

Аудит администратора по умолчанию выключен. Запустите командлет Get-AdminAuditLogConfig | fl для проверки:

Для включения аудита запустите следующий командлет:
Set-AdminAuditLogConfig –AdminAuditLogEnabled $true

Для настройки агента аудита, отсылающего почту на выбранный нами ящик выполните следующую команду:
Set-AdminAuditLogConfig –AdminAuditlogMailbox “AuditMailbox@mail.local”

Вы можете выбрать командлеты, которые будут подвергаться аудиту. К примеру вы можете логировать выполнение любых командлетов, связанных с транспортными функциями и почтовыми ящиками, использовав маску *mailbox* и *transport*.
Set-AdminAuditLogConfig –AdminAuditLogCmdlets *mailbox*, *transport*

Таким же способом мы можем отбирать логируемые параметры командлетов.
Set-AdminAuditLogConfig –AdminAuditLogParameters database, server

Настройка catalyst 2960

conf t
no enable password
enable secret 1234
service password-encryption
no ip domain-lookup
ip domain-name net.test
ip name-server 172.25.1.1
crypto key generate rsa
ip ssh time-out 60
ip ssh version 2
ip ssh authentication-retries 2
logging on
loggin origin-id hostname
logging buffered 262144 debugging
logging rate-limit 10 except warnings
logging trap debug
login on-failure trap

login on-success trap
logging 172.25.1.2
aaa new-model
aaa authentication login default local
ntp server 172.25.1.2
clock timezone UTC 2
banner motd ^
*************************************************
NOTICE TO USERS WARNING!
This system is the property of NET Inc.
The use of this system is restricted to authorized users,
unauthorized access is forbidden and will be prosecuted by law.
Disconnect IMMEDIATELY if you are not an authorized user!
*************************************************
^

archive
log config
logging enable
hidekeys
notify syslog
exit
exit

aaa authorization exec default local
username cprun privilege 15 secret 0 CopyRunConfig
username cprun autocommand copy run tftp://172.25.1.2/

username cpstart privilege 15 secret 0 CopyStartConfig
username cpstart autocommand copy run tftp://172.25.1.2/


no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service password-encryption
service tcp-keepalives-in
service tcp-keepalives-out
no cdp run
no ip bootp server
no ip http server
no ip http secure-server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd

ip subnet-zero

spanning-tree portfast default
spanning-tree portfast bpduguard default

line con 0
logging synchronous
escape-character 3
exec-timeout 15 0
exit
line vty 0 15
logging synchronous
escape-character 3
exec-timeout 1440 0
login local
exit
wr

Шаблон для настройки коммутаторов catalyst2950

! на каталистах этот сервис не нужен.Что-то связанное с X.25
no service pad
!
! Периодически посылать пакеты, даже если сессия неактивна
! Нужно чтобы:
! 1. NAT не разрывал соединение
! 2. Чтоб зависшая сессия не висела долго - если нет keepalive пакетов сессия сбрасывается.
service tcp-keepalives-in
service tcp-keepalives-out
!
! В дебаге указывать месное время с точностью до миллисекунд
service timestamps debug datetime msec localtime
!
! В логе указывать местное время
service timestamps log datetime localtime
!
! Скрывать пароли от случайного подглядывания.
! На вид они не читаются, но есть алгоритм который позволяет узнать исходный пароль.
service password-encryption
!
! Нумеровать сообщения которые пишутся в лог
! это позволяет узнать, что какие то сообщения были потеряны либо из за rate-limit на самой циске,
! либо при передаче по сети (это возможно так как протокол syslog использует udp и повторной отправки сообщений нет)
service sequence-numbers
!
! отключем dhcp - все равно на какталисте он не нужен, только занимает память и снижает защищенность
no service dhcp
!
! Выделить в оперативной памяти буфер 256 Кб для записи логов
! не смотря на то, что логи пишутся по сети на сервер, если связь по сети временно отсутствовала, то
! посмотреть ошибки можно будет тоолько в локальном буфере командой show logging
logging buffered 262144 debugging
!
! Писать в лог не больше 10 сообщений (уровня debugging, informational и notifications) в секунду, чтоб не вызвать этим перегрузку
! сообщетия уровня warnings и выше (errors, critical, alerts, emergencies) пишутся не смотря на это ограничение скорости
logging rate-limit 10 except warnings
!
! На консоль (rs-232) выводить только критические сообщения, т. к. вывод сообщений на консоль замедляет работу
logging console critical
!
! Включаем AAA
aaa new-model
!
! По умолчанию при заходе на каталист (через telnet или console) аутентификацмя идет через tacacs+ ! Если tacacs+ сервер недоступен, то для входа используется enable secret (логин при этом не спрашивается, сразу пароль)
aaa authentication login default group tacacs+ enable
!
! Авторизация идет через tacacs+, если он недоступен то авторизацию проходит любой,
! кто прошёл аутентификацию, т. е. ввел enable secret
aaa authorization exec default group tacacs+ if-authenticated
!
! Посылать stop-пакет, если был неправильно введен логин/пароль
! нужно, чтобы в /var/log/tac_plus.acct попадали попытки подобрать пароль
aaa accounting send stop-record authentication failure
!
! Для учета работы через телнет использовать tacacs+
! записи о том, что когда заходил на циску и когда выходил пишутся в /var/log/tac_plus.acct
aaa accounting exec default start-stop group tacacs+
!
! Посылать на tacacs+ сообщения о перезагрузке каталиста
aaa accounting system default start-stop group tacacs+
!
! Задаем enable, чтоб если tacacs+ не работает по нему мы зайти на каталист
enable secret good_password
!
! Указываем часовой пояс, разница времени по сравнению с UTC - 2 часа
clock timezone UTC2
!
! Автоматически восстанавливать работу порта если он отключился по port security по прошествии errdisable recovery interval
! если мака который вызвал отключение на порту больше нет
errdisable recovery cause security-violation
!
! В состоянии errdisable порт находится 120 секунд, после этого пробует включиться если
! для данной причины была указана команда errdisable recovery cause
errdisable recovery interval 120
!
! Разрешить использование 0 в номере подсети
ip subnet-zero
!
! Запретить обработку опций ip пакета source routing
! в современных сетях это не используется для нормальной работы и нужно отключить из соображений безопасности
no ip source-route
!
! Ограничить скорость посылаемых каталистом icmp пакетов типа destination unreachable до 1-го пакета в секунду (1000 мс)
ip icmp rate-limit unreachable 1000
!
! То же самое но для icmp destination unreachable, подтип fragmentation is needed and DF set
ip icmp rate-limit unreachable DF 1000
!
! Включаем TCP Selective Acknowledgment для повышения производительности tcp на каналах, где есть потери пакетов
! Более подробно про SACK можно прочитать в RFC2018
! если в пределах окна было потеряно несколько пакетов SACK позволяет повторно отправить только потерянные пакеты,
! а не все пакеты начиная с первого потеряно. Например, без SACK если были посланы пакеты с 1-го по 8-й и потеряны
! 4-й и 7-й пакеты, то передающий хост получить подтверждение о приеме только 1, 2 и 3-го пакетов и должен будет повторно
! отправить 4, 5, 6, 7, 8. Если включить SACK то будет получены подтверждения для пакетов 1, 2, 3, 5, 6, 8 и повторно
! нужно будет отправить только 4-й и 7-й пакеты.
ip tcp selective-ack
!
! Включаем опцию TCP timestamp для более точного измерения RTT что повышает производительность TCP
! более подробно описано в RFC1323
ip tcp timestamp
!
! Включаем path mtu discovery, который необходим если по маршруту есть участки с mtu меньше чем 1500 байт
! более подробно можно прочитать про эту команду на cisco.com ip tcp path-mtu-discovery
! указываем список доменов, который подставляют когда указано только имя хоста, без домена (в командах ping, traceroute, telnet и др.)
ip domain-list host1.test.com
! имя домена для данного хоста
ip domain-list test.com
! наши ДНС сервера
ip name-server 192.168.1.1
ip name-server 192.168.1.2
!
! per vlan spanning tree
spanning-tree mode pvst
! включать по умолчанию bpdufilter для портов с настройкой spanning-tree portfast
spanning-tree portfast bpdufilter default
! описание этой команды на cisco.com найти не удалось
no spanning-tree optimize bpdu transmission
! исползовать расширения 802.1t для pvst
spanning-tree extend system-id
!
! Порт, подключенный к маршрутизатору или серверу
! на котром настроен inter-vlan routing
interface FastEthernet0/1
! перед любым description ставим -- чтобы он не сливался с конфигом, а выделялся
  description -- to gw
! 802.1q транк
switchport mode trunk
! не распозновать режим (mode access или mode trunk) автоматически
switchport nonegotiate
! загрузка интерфейса, показываемая в show int вычисляется за последние 60 секунд
load-interval 60
! сразу переводить порт в forwarding без задержки
spanning-tree portfast trunk
!
! Порт, к которому подключен другой коммутатор
! Обращаю внимание, что spanning-tree portfast в этом случае прописывать нельзя
interface FastEthernet0/2
description -- to sw2
switchport mode trunk
switchport nonegotiate
load-interval 60
!
! Настройки порта для клиента, подключенного к общему vlan
! чтобы он не мог менять IP на маршрутизаторе с помощью static arp привязываем ip к mac
! а чтобы не мог менять MAC прописываем на порту port-security
interface FastEthernet0/3
description ““--”” 1111 Firmname, office 303
switchport access vlan 100
switchport mode access
switchport nonegotiate
switchport port-security
load-interval 60
! отключаем на клиентских портах cdp - клиентам не нужно знать технически подробности нашего оборудования no cdp enable
! сразу переводить порт в forwarding без задержки, кроме того на таких портах у нас по умолчанию включается bpdufilter
spanning-tree portfast
!
! Клиент для которого выделен отдельный vlan
interface FastEthernet0/4
description -- 2222 Firm2name, room 302
switchport access vlan 14
switchport mode access
switchport nonegotiate
load-interval 60
no cdp enable
spanning-tree portfast
!
! Неиспользуемые порты помещаем в 1001 vlan чтоб они не имели доступа к сети.
! shutdown на таких портах не делам, чтоб видеть подключено к ним что то или нет.
!
interface FastEthernet0/5
switchport access vlan 1001
switchport mode access
switchport nonegotiate
load-interval 60
spanning-tree portfast
!
! .........................
!
interface FastEthernet0/24
switchport access vlan 1001
switchport mode access
switchport nonegotiate
load-interval 60
spanning-tree portfast
!
! Интерфейс, через который мы получаем доступ к коммутатору
interface Vlan1
description -- management interface
  ip address 192.168.1.5 255.255.255.0
no ip redirects
no ip proxy-arp
no ip route-cache
!
! Шлюз по умолчанию
ip default-gateway 192.168.1.1
! Отключаем веб интерфейс. Во многих версиях IOS он подвержен DoS.
no ip http server
!
! Ограничиваем доступ к коммутатру по telnet
! это особенно актуально учитывая что пароль при подключении по telnet передается открытым текстом
! и нужны дополнительные меры для защиты от подключения извне
ip access-list extended vty-access
remark -- hosts permitted to access the router
permit tcp 192.168.1.0 0.0.0.255 any
deny tcp any any range 0 65535 log-input
deny ip any any log-input
!
! сервер на который мы по сети пишем логи. На нем настрое syslogd
logging 192.168.1.6
!
! Сервера по которым мы можем синхронизировать время
! если не использовать этот access list то у злоумышленника будет шанс изменить время на коммутаторе
access-list 2 remark -- ntp hosts to which the router can synchronize
access-list 2 permit 192.168.1.80
access-list 2 permit 192.168.1.68
access-list 2 deny any log
!
! Указываем на какие сервера можно можно копировать конфигурацию (или с каких)
! если дана команда по snmp
! без этого включать WR snmp community небезопасно
access-list 4 remark -- tftp servers to/from which config download/upload is permitted
access-list 4 permit 192.168.1.67
access-list 4 deny any
!
! Ограничиваем доступ по snmp на чтение
access-list 5 remark -- hosts permitted to read snmp MIBs on the switch
access-list 5 permit 192.168.1.34
access-list 5 permit 192.168.1.64 0.0.0.7
access-list 5 deny any log
!
! Ограничиваем доступ по snmp на запись. Чем меньше хостов здесь указаны, тем спокойнее можно спать.
access-list 6 remark -- hosts permitted to write snmp MIBs on the switch
access-list 6 permit 192.168.1.67
access-list 6 deny any log
! snmp community для доступа на чтение. Я предпочитаю генерировать случайную строку программой pwgen
! 5 - номер акцесс листа.
snmp-server community XXXXX RO 5
! То же саме но с доступом на запись. Обязательно указываем aceess list
snmp-server community XXXXX RW 6
! Физическое расположение сервера.
! Настоятельно рекомендую указывать, чтоб не перепутать что где стоит. Когда каталистов в сети много помнить наизусть это нерельно.
snmp-server location Street 9, 2 floor
! контактная информация
snmp-server contact admin@test.com
!
! акцесс лист с адресами куда можно по tftp копировать конфиг, если была команда на это по snmp
snmp-server tftp-server-list 4
tacacs-server host 192.168.1.67 key XXXXXX
!
! Текст, который показывается при подключении к коммутатору
banner motd *
________________________________________________________________________________
Warning : Authorized access only !!!
Disconnect IMMEDIATELY if you are not an authorized person !!!
_______________________________________________________________________________

*
!
line con 0
! Увеличиваем кол-во запоминаемых команд
history size 256
! Что бы не пытался ресолвить через ДНС то что получилось в результате опечатки при наборе команды
transport preferred none
! Перывать traceroute по нажатию Ctrl+C
escape-character 3
line vty 0 15
! Указываем aceess list которым ограничен доступ по telnet
access-class vty-access in
! После 300 минут неактивности закрываем сессию
exec-timeout 300 0
history size 256
transport preferred none
transport input telnet
transport output telnet
escape-character 3
!
! Ключ, который используется для уатентификации в ntp
ntp authentication-key 1 md5 xxxxxx xx
! Включаем его использование
ntp authenticate
ntp trusted-key 1
! Акцесс лист в котором указаны сервера
ntp access-group peer 2
! ntp сервера, по которым синхронизируем время
ntp server 192.168.1.80 key 1
ntp server 192.168.1.68 key 1
!
end

How to rename a Windows Server 2008 domain

rendom /list

в файле Domainlist.xml меняем domain name. ForestDNSZones, DomainDNSZones, Netbios name.

rendom /showforest

rendom /upload

rendom /prepare

rendom /execute

gpfixup /olddns:08r2.lab /newdns:mcts.lab

gpfixup /oldnb:08r2 /newnb:mcts

rendom /clean

apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName

Не удалось достоверно определить полное доменное имя севера, используя 127.0.0.1 для ServerName.

echo "ServerName localhost" > /etc/apache2/httpd.conf

/etc/init.d/apache2 restart

Mailtips в Exchange 2010

MailTips, или проще говоря, подсказки - это одна из новых функций Exchange Server 2010. Когда пользователь создает сообщение, появляются подсказки, сообщающие ему некую инфорацию о получателе. Предполагается (да я думаю и поможет), что это поможет уменьшить поток некорректных писем, а значит и нагрузку на сервер.

MailTips работают в различных сценариях, я перечислю лишь некоторые из них:

Если один из получателей находится вне офиса.
Когда почтовый ящик получателя переполнен.
Размер сообщения превышает допустимый для отправки размер.
Когда сообщение посылается на слишком большое число адресатов.
При попытке отправить письмо ограниченному получателю.
При отправке на внешние или неправильные домены.
При попытке отправить письмо модерируемому получателю.
И многое другое.

Просмотр настроенные подсказок.
Запустите указанный ниже командлет в Exchange Management Shell для получения действующих в организации настроек.
Get-OrganizationConfig fl *mailtips*


Включение или отключение подсказок.
Для включения или отключения подсказок вы должны использовать командлет “Set-OrganizationConfig”.
Set-OrganizationConfig -MailTipsAllTipsEnabled $true

Настройка подсказки, оповещающий о большом количестве получателей.
По умолчанию в новой установке Exchange Server 2010 стоит лимит в 25 человек. При превышение этого количество появится подсказка, сообщающая о превышение. Для изменения этого числа можно использовать командлет “Set-OrganizationConfig”. Уменьшим количество до 15-ти.
Set-OrganizationConfig -MailTipsLargeAudienceThreshold 15

Включение или отключение подсказки о внешнем получателе.
Вы можете иметь неприятные воспоминания об отправке какои-либо внутренней информации на внешние адреса. Для предотвращения подобного постарается помочь подсказа, извещающая нас о том, что получетель нашего письма находиться вне нашей организации.
Set-OrganizationConfig –MailTipsExternalRecipientsTipsEnabled $True

Включение или отключение подсказок, связанных с данными почтового ящика.
Теперь речь пойдет о подсказках, связанных с определенным почтовым ящиком. Это отправитель вне офиса и ящик переполнен.
Set-OrganizationConfig -MailTipsMailboxSourcedTipsEnabled $true

Просмотр статистики почтовых ящиков в Exchange 2010

посмотреть доступные почтовые базы организации:
C:\>Get-MailboxDatabase

статистика по отдельной базе с ограничением числа отображаемых ящиков:
C:\>Get-MailboxDatabase "Mailbox Database 1" Get-Mailbox -ResultSize 15

статистика общего числа элементов и размера ящиков по отдельной базе:
:\>Get-MailboxDatabase "Mailbox Database 1" Get-MailboxStatistics Sort totalitemsize -desc ft displayname, totalitemsize, itemcount

подробная статистика по конкретному ящику:
C:\>Get-MailboxStatistics -identity Administrator flRunspaceId : c3678368-5798-4340-8a0a-ab3f721b1a97

импортируем статистику в CSV файл:
C:\>Get-MailboxDatabase "Mailbox Database 1" Get-MailboxStatistics Sort totalitemsize -desc ft displayname, totalitemsize, itemcount Export-CSV C:\mailboxes.csv

Как отключить PC Speaker

1) если вам нужно один раз отключить спикер, просто выполняем команду:
modprobe -r pcspkr
спикер будет молчать до следующей перезагрузки.

2) Если же вы хотите отключить PC Speaker навсегда, нужно добавить его в «блэклист». Для этого открываем на редактирование файл /etc/modprobe.d/blacklist-pcspkr.conf:
vim /etc/modprobe.d/blacklist-pcspkr.conf
и добавляем туда строку:
blacklist pcspkr