/DetectNow - Запустить немедленный опрос сервера WSUS на наличие обновлений
/ResetAuthorization - Сбросить авторизацию на сервере и клиенте. Фактически это новая регистрация на сервере WSUS. Полезна когда клиент подглюкивает, удаляем его на сервере и командой wuauclt /detectnow /resetAuthorization заново регистрируем на сервере с одновременным запросом списка обновлений
/ReportNow Сбросить статистику на сервер
/ShowSettingsDialog - Показывает диалог настройки расписания установки обновлений
/ResetEulas - сбросить соглашение EULA для обновлений
/ShowWU - переход на сайт обновлений MS
/ShowWindowsUpdate - переход на сайт обновлений MS
/UpdateNow - Немедленно запускает процесс обновления, аналогичен клику кнопки в окне уведомлений о наличии обновлений
/DemoUI - Показывает значок в трее - диалог настройки расписания установки обновлений или установки в зависимости от статуса
disable_ssl_2.0.reg
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000
CA email notification.cmd
REM =================Begin Batch File ==================
@echo off
set emailfrom="" :Setup_SMTP_Server="" Section="" for="" setting="" the="" name="" of="" the="" exchange="" server="" to="" be="" used="" and="" type="" of="" authentication="" to="" be="" used.="" 1="" means="" to="" use="" NTLM,="" 2="" means="" to="" user="" Kerberos,="" 0="" is="" for="" Basic="" authentication="" certutil="" -setreg="" exit\smtp\SMTPServer="" ""
certutil -setreg exit\smtp\SMTPAuthenticate 0
REM If you need to authenticate to the above SMTP server, set the Username (in quotes) and the password to authenticate with
certutil -setsmtpinfo -p ""
:Setup_CA_For_Exit_Module // Section for turning events on or off. In this case, on.
certutil -setreg exit\smtp\eventfilter +EXITEVENT_CRLISSUED
certutil -setreg exit\smtp\eventfilter +EXITEVENT_CERTDENIED
certutil -setreg exit\smtp\eventfilter +EXITEVENT_CERTISSUED
certutil -setreg exit\smtp\eventfilter +EXITEVENT_CERTPENDING
certutil -setreg exit\smtp\eventfilter +EXITEVENT_CERTUNREVOKED
certutil -setreg exit\smtp\eventfilter +EXITEVENT_CERTRETRIEVEPENDING
certutil -setreg exit\smtp\eventfilter +EXITEVENT_CERTREVOKED
certutil -setreg exit\smtp\eventfilter +EXITEVENT_SHUTDOWN
certutil -setreg exit\smtp\eventfilter +EXITEVENT_STARTUP
:CrlIssued // Section for setting CRLIssued parameters.
certutil -setreg exit\smtp\CRLissued\To %emailto%
certutil -setreg exit\smtp\CRLissued\From %emailfrom%
:Denied // Section for setting Denied parameters
certutil -setreg exit\smtp\templates\default\Denied\From %emailfrom%
certutil -setreg exit\smtp\templates\default\Denied\To %emailto%
:Certificate_Issued // Section for setting Issued parameters.
certutil -setreg exit\smtp\templates\default\Issued\From %emailfrom%
certutil -setreg exit\smtp\templates\default\Issued\To %emailto%
:Certificate_Pending // Section for setting Pending parameters.
Certutil -setreg exit\smtp\templates\default\Pending\To %emailto%
certutil -setreg exit\smtp\templates\default\Pending\From %emailfrom%
:Certificate_Revoked // Section for setting Revoked parameters.
certutil -setreg exit\smtp\templates\default\Revoked\From %emailfrom%
certutil -setreg exit\smtp\templates\default\Revoked\To %emailto%
:Certificate_Revoked // Section for setting UnRevoked parameters.
certutil -setreg exit\smtp\templates\default\unRevoked\From %emailfrom%
certutil -setreg exit\smtp\templates\default\unRevoked\To %emailto%
:Certificate_Revoked // Section for setting Retrieve Pending parameters.
certutil -setreg exit\smtp\templates\default\retrievepending\From %emailfrom%
certutil -setreg exit\smtp\templates\default\retrievepending\To %emailto%
:Certificate_Authority_Shutdown // Section for setting Shutdown parameters.
certutil -setreg exit\smtp\Shutdown\To %emailto%
certutil -setreg exit\smtp\Shutdown\From %emailfrom%
:Certificate_Authority_Startup // Section for setting Startup parameters.
certutil -setreg exit\smtp\Startup\To %emailto%
certutil -setreg exit\smtp\Startup\From %emailfrom%
net stop certsvc & net start certsvc
echo Certificate Services SMTP Exit module has now been configured.
pause
REM ============ End Batch File ===============
@echo off
set emailfrom="
certutil -setreg exit\smtp\SMTPAuthenticate 0
REM If you need to authenticate to the above SMTP server, set the Username (in quotes) and the password to authenticate with
certutil -setsmtpinfo -p "
:Setup_CA_For_Exit_Module // Section for turning events on or off. In this case, on.
certutil -setreg exit\smtp\eventfilter +EXITEVENT_CRLISSUED
certutil -setreg exit\smtp\eventfilter +EXITEVENT_CERTDENIED
certutil -setreg exit\smtp\eventfilter +EXITEVENT_CERTISSUED
certutil -setreg exit\smtp\eventfilter +EXITEVENT_CERTPENDING
certutil -setreg exit\smtp\eventfilter +EXITEVENT_CERTUNREVOKED
certutil -setreg exit\smtp\eventfilter +EXITEVENT_CERTRETRIEVEPENDING
certutil -setreg exit\smtp\eventfilter +EXITEVENT_CERTREVOKED
certutil -setreg exit\smtp\eventfilter +EXITEVENT_SHUTDOWN
certutil -setreg exit\smtp\eventfilter +EXITEVENT_STARTUP
:CrlIssued // Section for setting CRLIssued parameters.
certutil -setreg exit\smtp\CRLissued\To %emailto%
certutil -setreg exit\smtp\CRLissued\From %emailfrom%
:Denied // Section for setting Denied parameters
certutil -setreg exit\smtp\templates\default\Denied\From %emailfrom%
certutil -setreg exit\smtp\templates\default\Denied\To %emailto%
:Certificate_Issued // Section for setting Issued parameters.
certutil -setreg exit\smtp\templates\default\Issued\From %emailfrom%
certutil -setreg exit\smtp\templates\default\Issued\To %emailto%
:Certificate_Pending // Section for setting Pending parameters.
Certutil -setreg exit\smtp\templates\default\Pending\To %emailto%
certutil -setreg exit\smtp\templates\default\Pending\From %emailfrom%
:Certificate_Revoked // Section for setting Revoked parameters.
certutil -setreg exit\smtp\templates\default\Revoked\From %emailfrom%
certutil -setreg exit\smtp\templates\default\Revoked\To %emailto%
:Certificate_Revoked // Section for setting UnRevoked parameters.
certutil -setreg exit\smtp\templates\default\unRevoked\From %emailfrom%
certutil -setreg exit\smtp\templates\default\unRevoked\To %emailto%
:Certificate_Revoked // Section for setting Retrieve Pending parameters.
certutil -setreg exit\smtp\templates\default\retrievepending\From %emailfrom%
certutil -setreg exit\smtp\templates\default\retrievepending\To %emailto%
:Certificate_Authority_Shutdown // Section for setting Shutdown parameters.
certutil -setreg exit\smtp\Shutdown\To %emailto%
certutil -setreg exit\smtp\Shutdown\From %emailfrom%
:Certificate_Authority_Startup // Section for setting Startup parameters.
certutil -setreg exit\smtp\Startup\To %emailto%
certutil -setreg exit\smtp\Startup\From %emailfrom%
net stop certsvc & net start certsvc
echo Certificate Services SMTP Exit module has now been configured.
pause
REM ============ End Batch File ===============
Install VmWare Tools
mkdir /media/cdrom
mount /dev/cdrom /media/cdrom
cp /media/cdrom/VMware*.tar.gz /tmp
umount /media/cdrom
cd /tmp
tar xzvf VMware*.gz
cd vmware-tools-distrib/
./vmware-install.pl
cd ..
rm VMwareTools-*
rm -r vmware-*
mount /dev/cdrom /media/cdrom
cp /media/cdrom/VMware*.tar.gz /tmp
umount /media/cdrom
cd /tmp
tar xzvf VMware*.gz
cd vmware-tools-distrib/
./vmware-install.pl
cd ..
rm VMwareTools-*
rm -r vmware-*
Удаление профилей в Windows Server 2008 с помощью Delprof2
http://helgeklein.com/free-tools/delprof2-user-profile-deletion-tool/
Deletes inactive profiles on 'computername'.
Delprof2 /c:computername
Lists inactive older than 30 days profiles on 'computername' without deleting them.
Delprof2 /c:computername /l /d:30
Deletes locally cached roaming profiles only.
Delprof2 /r
Cisco 3750 stack
Просмотр состояния
show switch stack-portsshow switch neighbors
show switch
Изменить номер члена стека
switch текущий-номер-члена-стека renumber новый-номер-члена-стека
reload slot текущий-номер-члена-стека
Значение приоритета
switch номер-члена-стека priority новое-значение-приоритета
HTTPS Apache
1. Создаем закрытый ключ и SSL-сертификат
openssl req -new -x509 -days 365 -keyout server.key -out server.pem
После ответа на все вопросы в директории должны появиться два новых файла - server.pem и server.crt (ключ и сертификат, соответственно).
Cнимаем пароль с ключа:
cp server.key server.key.orig
openssl rsa -in server.key.orig -out server.key
rm server.key.orig
cp server.key /etc/ssl/private/
chmod 0600 /etc/ssl/private/server.key
2. Включаем поддержку mod_ssl в Apache
a2enmod ssl
3. Настройка mod_ssl в a Apache
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
меняем их на:
SSLCertificateFile /etc/ssl/certs/server.pem
SSLCertificateKeyFile /etc/ssl/private/server.key
/etc/init.d/apache2 restart
openssl req -new -x509 -days 365 -keyout server.key -out server.pem
После ответа на все вопросы в директории должны появиться два новых файла - server.pem и server.crt (ключ и сертификат, соответственно).
Cнимаем пароль с ключа:
cp server.key server.key.orig
openssl rsa -in server.key.orig -out server.key
rm server.key.orig
Скопируем их в /etc/ssl и назначим файлу ключа права чтения только администратору:
cp server.key /etc/ssl/private/
chmod 0600 /etc/ssl/private/server.key
2. Включаем поддержку mod_ssl в Apache
a2enmod ssl
3. Настройка mod_ssl в a Apache
sudo a2ensite default-ssl
vi etc/apache2/ sites-enabled/default-ssl
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
меняем их на:
SSLCertificateFile /etc/ssl/certs/server.pem
SSLCertificateKeyFile /etc/ssl/private/server.key
/etc/init.d/apache2 restart
certutil
view OCSP cache:
certutil -urlcache ocsp
view CRL cache:
certutil -urlcache crl
view both OCSP and CRL cache:
certutil -urlcache *
delete OCSP cache:
certutil -urlcache ocsp delete
delete CRL cache:
certutil -urlcache crl delete
delete “all” cache:
certutil -urlcache * delete
immediately invalidate all items from the cache:
certutil -setreg chain\ChainCacheResyncFiletime @now
invalidate the currently cached items in 2 day, 4 hours(sets a registry value to the current date and time plus 2 days and 4 hour), basically disables temporarily the cache until after now plus 2 days and 4 hours:
certutil -setreg chain\ChainCacheResyncFiletime @now+2:4
identify the last time that the cache was invalidated(displays registry value):
certutil -getreg chain\ChainCacheResyncFiletime
to delete a registry value:
certutil -delreg chain\ChainCacheResyncFiletime
Also the certutil command has an option(GUI) to verify the status of a certificate:
certutil -url ‘certificatefilename’
Additionally you can check the validity of a certificate
certutil -f –urlfetch -verify 'certificatefilename’
Backup Cert database
certutil –backupdb BackupDirectory
backup private key
certutil -f –backupkey BackupDirectory
determine the CSP and hash algorithm
certutil -getreg ca\csp\*
Disable web enrolment after uninstalling cert srv
certutil -vroot delete
Shutdown CA
certutil –shutdown
Find Database location
certutil -databaselocations
restore db
certutil –F –restoredb BackupDirectory
enable the use of version 2 and version 3 certificates on an upgraded enterprise CA
certutil -setreg ca\setupstatus +512
Resetting the CRL Publishing Period
certutil –delreg CA\CRLNextPublish
certutil –delreg CA\CRLDeltaNextPublish
Certificate database and log file location
%WINDIR%\system32\certlog and %WINDIR%\system32\certsrv
certutil -urlcache ocsp
view CRL cache:
certutil -urlcache crl
view both OCSP and CRL cache:
certutil -urlcache *
delete OCSP cache:
certutil -urlcache ocsp delete
delete CRL cache:
certutil -urlcache crl delete
delete “all” cache:
certutil -urlcache * delete
immediately invalidate all items from the cache:
certutil -setreg chain\ChainCacheResyncFiletime @now
invalidate the currently cached items in 2 day, 4 hours(sets a registry value to the current date and time plus 2 days and 4 hour), basically disables temporarily the cache until after now plus 2 days and 4 hours:
certutil -setreg chain\ChainCacheResyncFiletime @now+2:4
identify the last time that the cache was invalidated(displays registry value):
certutil -getreg chain\ChainCacheResyncFiletime
to delete a registry value:
certutil -delreg chain\ChainCacheResyncFiletime
Also the certutil command has an option(GUI) to verify the status of a certificate:
certutil -url ‘certificatefilename’
Additionally you can check the validity of a certificate
certutil -f –urlfetch -verify 'certificatefilename’
Backup Cert database
certutil –backupdb BackupDirectory
backup private key
certutil -f –backupkey BackupDirectory
determine the CSP and hash algorithm
certutil -getreg ca\csp\*
Disable web enrolment after uninstalling cert srv
certutil -vroot delete
Shutdown CA
certutil –shutdown
Find Database location
certutil -databaselocations
restore db
certutil –F –restoredb BackupDirectory
enable the use of version 2 and version 3 certificates on an upgraded enterprise CA
certutil -setreg ca\setupstatus +512
Resetting the CRL Publishing Period
certutil –delreg CA\CRLNextPublish
certutil –delreg CA\CRLDeltaNextPublish
Certificate database and log file location
%WINDIR%\system32\certlog and %WINDIR%\system32\certsrv
Порты необходимые для работы контроллера домена и клиентов в домене
Ярлыки:
Active directory,
windows
Данный список включает в себя список всех сервисов и их портов, используемых при взаимодействии Active Directory:
UDP порт 88 для Kerberos авторизации.
UDP и TCP порт 135 для операций взаимодействия контроллер-контроллер и контроллер-клиент.
TCP порт 139 и UDP 138 для File Replication Service между контроллерами домена.
UDP порт 389 для LDAP запросов от клиента к серверу.
TCP и UDP порт 445 для File Replication Service
TCP и UDP порт 464 для смены пароля Kerberos
TCP порт 3268 и 3269 для доступа к Global Catalog от клиента к контроллеру.
UDP порт 53 для DNS запросов
TCP порт 53 для передачи днс зоны
Откройте данные порты в файерволе между клиентским компьютером и контроллером домена, или между контроллерами, для стабильной работы Active Directory.
UDP порт 88 для Kerberos авторизации.
UDP и TCP порт 135 для операций взаимодействия контроллер-контроллер и контроллер-клиент.
TCP порт 139 и UDP 138 для File Replication Service между контроллерами домена.
UDP порт 389 для LDAP запросов от клиента к серверу.
TCP и UDP порт 445 для File Replication Service
TCP и UDP порт 464 для смены пароля Kerberos
TCP порт 3268 и 3269 для доступа к Global Catalog от клиента к контроллеру.
UDP порт 53 для DNS запросов
TCP порт 53 для передачи днс зоны
Откройте данные порты в файерволе между клиентским компьютером и контроллером домена, или между контроллерами, для стабильной работы Active Directory.
Безопасный debug в Cisco
Запуск debug режима на маршрутизаторе может сильно влиять на производительность вплоть до полной недоступности устройства как по сети так и через консольный порт. Если не посылать вывод сообщений debug режима на консоль, тогда это может помочь в некоторой степени. В этой статье будет описано как без вывода данных на консоль можно посмотреть информацию debug режима.
Некоторые команды debug, например
debug ip packet detail
могут привести к недоступности маршрутизатора во время вывода данных на консоль. Зачастую, это случается из-за большого объема данных при медленной скорости подключения 9600 бод.
Таким образом, отключим эту функцию!
config t
no logging console
Однако, с момента "замирания" данных на экране информация debug режима не очень полезна. Таким образом, можно подключиться к маршрутизатору при помощи telnet клиента и запустить
terminal monitor
для отправки всех сообщений режима debug клиенту. Уже лучше, но это все так же может привести к печальным последствиям.
Необходимо только переместить все сообщения debug режима в буфер
logging buffered
после чего их можно просмотреть при помощи
show log
Есть и другая опция, которая помогает при отладке:
debug ip packet
которая является безопасней при применении списка доступа(access-list) для анализа необходимого трафика. Например:
access-list 100 permit ip any host 1.1.1.1
access-list 100 permit ip host 1.1.1.1 any
debug ip packet detail 100
В этом примере можно увидеть детальную информацию по IP пакетам от хоста(1.1.1.1) или к этому хосту.
Некоторые команды debug, например
debug ip packet detail
могут привести к недоступности маршрутизатора во время вывода данных на консоль. Зачастую, это случается из-за большого объема данных при медленной скорости подключения 9600 бод.
Таким образом, отключим эту функцию!
config t
no logging console
Однако, с момента "замирания" данных на экране информация debug режима не очень полезна. Таким образом, можно подключиться к маршрутизатору при помощи telnet клиента и запустить
terminal monitor
для отправки всех сообщений режима debug клиенту. Уже лучше, но это все так же может привести к печальным последствиям.
Необходимо только переместить все сообщения debug режима в буфер
logging buffered
после чего их можно просмотреть при помощи
show log
Есть и другая опция, которая помогает при отладке:
debug ip packet
которая является безопасней при применении списка доступа(access-list) для анализа необходимого трафика. Например:
access-list 100 permit ip any host 1.1.1.1
access-list 100 permit ip host 1.1.1.1 any
debug ip packet detail 100
В этом примере можно увидеть детальную информацию по IP пакетам от хоста(1.1.1.1) или к этому хосту.
Решаем проблему совместимости Cisco и SFP
Столкнулся недавно с проблемой. А суть ее такова: есть коммутатор Cisco 3560E и в нем есть модуль для подключения SFP. Если вставить родные SFP от Cisco, то все работает; если же подключить SFP модуль стороннего производителя, тогда этот модуль не будет принимать коммутатор.
При подключении SFP модуля стороннего производителя в логи коммутатор пишет вот что:
00:40:35: %GBIC_SECURITY_CRYPT-4-VN_DATA_CRC_ERROR: GBIC in port Gi0/25 has bad crc
00:40:35: %PHY-4-UNSUPPORTED_TRANSCEIVER: Unsupported transceiver found in Gi0/25
00:40:40: %GBIC_SECURITY_CRYPT-4-VN_DATA_CRC_ERROR: GBIC in port Gi0/26 has bad crc
00:40:40: %PHY-4-UNSUPPORTED_TRANSCEIVER: Unsupported transceiver found in Gi0/26
Решить эту проблему достаточно просто. Заходим на коммутатор и "заставляем" коммутатор принять наши модули стороннего производителя при помощи команд:
service unsupported-transceiver
no errdisable detect cause gbic-invalid
no errdisable detect cause sfp-config-mismatch
При подключении SFP модуля стороннего производителя в логи коммутатор пишет вот что:
00:40:35: %GBIC_SECURITY_CRYPT-4-VN_DATA_CRC_ERROR: GBIC in port Gi0/25 has bad crc
00:40:35: %PHY-4-UNSUPPORTED_TRANSCEIVER: Unsupported transceiver found in Gi0/25
00:40:40: %GBIC_SECURITY_CRYPT-4-VN_DATA_CRC_ERROR: GBIC in port Gi0/26 has bad crc
00:40:40: %PHY-4-UNSUPPORTED_TRANSCEIVER: Unsupported transceiver found in Gi0/26
Решить эту проблему достаточно просто. Заходим на коммутатор и "заставляем" коммутатор принять наши модули стороннего производителя при помощи команд:
service unsupported-transceiver
no errdisable detect cause gbic-invalid
no errdisable detect cause sfp-config-mismatch
Перенаправление сообщений из EventLog Windows на удалённый syslog
Для установки нужно скачать архив со страницы проекта(https://engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys/index_html) и распаковать его в директорию %systemroot%\system32 (Обычно это C:\Windows\system32).
После распаковки нужно запустить командную строку: «Пуск» -> «Программы» -> «Стандартные» -> «Командная строка». И выполнить в ней следующие команды:
%SystemDrive%
cd %SystemRoot%\System32
evtsys -i -h 192.168.2.1
net start evtsys
Первыми двумя командами осуществляется переход в директорию с файлами утилиты, третья устанавливает evtsys как системную службу (она получит имя "Eventlog to Syslog"). Последняя команда запускает эту службу.
После этого системные логи из EventLog начнут дублироваться в удалённый Syslog.
Если по какой-то причине нужно удалить evtsys то в командной строке нужно выполнить следующие команды:
%SystemDrive%
cd %SystemRoot%\System32
net stop evtsys
evtsys -u
del evtsys.*
Здесь сначала останавливается служба, потом удаляется запись о ней из реестра системы и наконец удаляются сами файлы утилиты.
Отдельно нужно оговориться о том, что в русской версии Windows сообщения пересылаются в кодировке cp1251, потому для чтения логов на сервере сбора логов имеет смысл воспользоваться примерно такой командой:
iconv -f cp1251 192.168.2.201-notice.log | less
После распаковки нужно запустить командную строку: «Пуск» -> «Программы» -> «Стандартные» -> «Командная строка». И выполнить в ней следующие команды:
%SystemDrive%
cd %SystemRoot%\System32
evtsys -i -h 192.168.2.1
net start evtsys
Первыми двумя командами осуществляется переход в директорию с файлами утилиты, третья устанавливает evtsys как системную службу (она получит имя "Eventlog to Syslog"). Последняя команда запускает эту службу.
После этого системные логи из EventLog начнут дублироваться в удалённый Syslog.
Если по какой-то причине нужно удалить evtsys то в командной строке нужно выполнить следующие команды:
%SystemDrive%
cd %SystemRoot%\System32
net stop evtsys
evtsys -u
del evtsys.*
Здесь сначала останавливается служба, потом удаляется запись о ней из реестра системы и наконец удаляются сами файлы утилиты.
Отдельно нужно оговориться о том, что в русской версии Windows сообщения пересылаются в кодировке cp1251, потому для чтения логов на сервере сбора логов имеет смысл воспользоваться примерно такой командой:
iconv -f cp1251 192.168.2.201-notice.log | less
Дополнительная информация об учетной записи пользователя
вторник, 25 января 2011 г.
Ярлыки:
Active directory,
windows
Account Lockout and Management Tools http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en . Копируем acctinfo.dll в %systemroot%\system32. Регистрируем библиотеку regsvr32 acctinfo. В консоли ADUC появится закладка “Additional Account Info”.
Подписаться на:
Сообщения (Atom)