Category: it

Отдыхаю

Немного о себе и о журнале.

Обо мне

29eaf0d30da5cca21847dc0b465d6b05[1]

Меня зовут Михаил. Живу в Питере, работаю обычным сисадмином. Кроме работы, увлекаюсь всем подряд, от походов, до написания мелких рассказиков. Журнал, хоть и называется "Заметки админа", здесь можно найти всё, и юмор, и мои рассказики, и техническую информацию по работе. Если что кому интересно, задавайте вопросы тут, если смогу, отвечу.
И о правилах журнала.
В журнале присутствует ненормативная лексика, я не сдерживаюсь, да и других не сдерживаю, так, что, если вам это не по душе, то ... ну сами понимаете.
Общаться я предпочитаю на "ты", всякие "выканья" меня вводят в ступор.
Если этими краткими словами я не отвратил тебя от прочтения этого журнала, милости просим.
О политике френдов
Да, во френдомарафонах не участвую, френжу только тех, чей журнал мне понравится по содержанию и по духу. Если кому нужны именно взаимные френды - это не ко мне. Если хочешь обратить мое внимание на свой журнал, оставь ссылочку, я посмотрю, но гарантии, что зафренжу, нет.

Приятного чтения.
Рыба

Задачка для админов :)

Задано.
* Доменная сеть.
* В сети работает Exchange
* Приобретен МФУ, который умеет сканировать в почту.
* В МФУ есть адресная книга, куда заведены как внутренние почтовые адреса, так и внешние.
* На внутренние адреса сканы с МФУ доставляются, на внешние - хрен.
Вопрос.
* Что надо сделать, чтобы сканы с МФУ доставлялись и на внешние адреса и почему не доставляется на внешние?

Решение под спойлером, но, сперва, попробуйте догадаться :)

[Решение.]Решение.
Причина.
* На внешние не доставляется потому, что коннектор приема настроен с запретом на open relay, то есть от анонимуса он не может переправить письмо во внешний мир.
Что надо сделать.
* Добавить почтовику дополнительный внутренний IP.
* Настроить дополнительный коннектор получения с разрешением на open relay.
* В МФУ прописать дополнительный IP почтовика в качестве почтового сервера.
Рыба

Windows server 2016 RDS с перемещенными профилями

Коллеги, на терминальном сервере настроен параметр внешнего хранения профилей пользователей.
Какое-то время после запуска сервера, всё идет прекрасно, но через несколько часов начинают появляться вот такие евенты.
Через некоторое время они начинают сыпаться валом. И сервер встает. Пуск не работает, панель задач не откликаются, новые клиенты вместо десктопа видят только черный экран без панели задач.
Помогает перезагрузка, но это не дело, кто может что-то подсказать.

Да, RDS стоит на физическом сервере, профили на другом сервере, тоже на физике, сетка гигабитная.


Имя журнала: System
Источник: Disk
Дата: 23.05.2019 17:24:35
Код события: 158
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: rds02.****.local
Описание:
Диск 35 имеет такие же идентификаторы, как у по крайней мере одного из дисков, подключенных к системе. Чтобы устранить эту проблему, перейдите на веб-сайт службы поддержки корпорации Майкрософт (http://support.microsoft.com) и введите поисковой запрос "KB2983588".

Provider Name=Disk
EventID Qualifiers=32772
Code=158
Рыба

Ошибка подключения по RDP - CredSSP

После некоторых обновлений винды, при попытке подключения по RDP, выдает вот такую ошибку


Начал искать, нашел большую статью с несколькими вариантами решения проблемы.
Там описывается несколько вариантов решения проблемы, от удаления определенных обновлений, до правки локальной политики. Но мне больше всего понравилось вот такое решение.

Запускаем с админским приоритетом следующую команду.

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Вуаля, ошибка идет в лес.
Рыба

Недопустимые (зарезервированные) имена файлов.

Тут я задавал загадку для админов и других IT, но никто не ответил, а кто захотел - не знал.

Согласно "Обзор файловых систем FAT, HPFS и NTFS"


Указанные ниже имена зарезервированы.
CON, AUX, COM1 - COM9, COM4, LPT1 - LPT9, PRN, NUL


Хоть, статья и старая, но ограничения никто не снимал.
Может тут кто-нибудь объяснить сможет почему эти имена файлов и каталогов недопустимы?

[Для недогадливых ответ тут]

Рыба

Хоть и ранова-то, но .... вот вам, админы.

[О предупреждениях в КриптоПро CSP версий 3.9 и 4.0 с 1 октября 2017 г.]

О предупреждениях в КриптоПро CSP версий 3.9 и 4.0 с 1 октября 2017 г.


Обращаем внимание, что в связи с требованиями ФСБ России о запрете использования ГОСТ Р 34.10-2001 для формирования подписи после 1 января 2019 года (источник), с 1 октября 2017 года в КриптоПро CSP версий 3.9 и 4.0, а также в КриптоПро JCP 2.0 будут появляться предупреждения о необходимости скорого перехода на ГОСТ Р 34.10-2012 при формировании подписи по ГОСТ Р 34.10-2001. Пользователь, обладающий правами администратора системы, может отложить предупреждения на месяц, установив соответствующий флаг в данном окне.

Если появление предупреждений, требующих действий пользователя, в вашей системе нежелательно (в том числе, в УЦ при выпуске CRL в автоматическом режиме, а также в любых информационных системах, предполагающих автоматическое формирование электронной подписи, но не подавляющих появление окон с помощью флага CRYPT_SILENT), сообщаем, что вы можете заблаговременно их отключить.

Подробности по ссылке (Отключение предупреждающих окон о необходимости скорого перехода на ГОСТ Р 34.10-2012).

© КриптоПРО


[Отключение предупреждающих окон о необходимости скорого перехода на ГОСТ Р 34.10-2012]

Отключение предупреждающих окон о необходимости скорого перехода на ГОСТ Р 34.10-2012


Обращаем внимание, что в связи с требованиями ФСБ России, сопряженными с запретом использования ГОСТ Р 34.10-2001 для формирования подписи после 1 января 2019 года (см. http://tc26.ru/info/new-national-standards/), с 1 июля 2017 года в КриптоПро CSP версий 3.9 и 4.0, а также КриптоПро JCP 2.0 будут появляться предупреждения о необходимости скорого перехода на ГОСТ Р 34.10-2012 при формировании ключей ГОСТ Р 34.10-2001, а с 1 октября 2017 года – и при формировании подписи по ГОСТ Р 34.10-2001. Пользователь, обладающий правами администратора системы, при запуске приложения с правами администратора (UAC) может отложить предупреждения на месяц, установив соответствующий флаг в данном окне.

На случай если появление этих предупреждений в вашей системе нежелательно, вы можете заблаговременно их отключить.

Для отключения данных предупреждений в КриптоПро CSP до 1 января 2019 года при работе с ОС Windows старше XP\Windows Server 2003 нужно создать в реестре следующие параметры типа QWORD и установить их равными 1d4a164f03e4000 (шестнадцатеричная система счисления):

Для 64-битных Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\warning_time_gen_2001

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\warning_time_sign_2001

Для 32-битных Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\warning_time_gen_2001

HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\warning_time_sign_2001



Для отключения данных предупреждений в КриптоПро CSP при работе с ОС Windows XP\Windows Server 2003 нужно создать в реестре следующие параметры типа DWORD и установить их равными ffffffffff:

Для 64-битной ОС:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\warning_time_gen_2001

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\warning_time_sign_2001

Для 32-битной ОС:

HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\warning_time_gen_2001

HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\warning_time_sign_2001



Для отключения данных предупреждений в КриптоПро CSP до 1 января 2019 года на Unix-системах нужно добавить два ключа в конфигурационный файл /etc/opt/cprocsp/config64.ini (или /etc/opt/cprocsp/config.ini в случае 32-битной системы) в существующую секцию Parameters:

[Parameters]
# Параметры провайдера
warning_time_gen_2001=ll:131907744000000000
warning_time_sign_2001=ll:131907744000000000



Для отключения данных предупреждений в КриптоПро JCP возможно выполнить один из следующих вариантов:

1) под управлением учетной записи администратора поставить галку «Не отображать предупреждения об использовании ключей ГОСТ Р 34.10-2001» на закладке «Дополнительно» панели управления JCP;

2) под управлением учетной записи администратора выполнить команду:

< JRE >/bin/java ru.CryptoPro.JCP.Util.SetPrefs -system -node ru/CryptoPro/JCP/tools -key Gost2001Warning_class_default -value true

где JRE – JRE с установленным JCP;

3) под управлением учетной записи администратора вручную отредактировать файлы настроек:

а) в ОС Windows – раздел HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Prefs\ru\/Crypto/Pro\/J/C/P\tools (64-бит) или HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Prefs\ru\/Crypto/Pro\/J/C/P\tools (32-бит.) добавить или отредактировать параметр /Gost2001/Warning_class_default, задав ему значение true;

б) в ОС *nix – в папке .systemPrefs (положение зависит от ОС и настроек администратора, например, /etc/.java/.systemPrefs), в файле ru/CryptoPro/JCP/tools/prefs.xml отредактировать параметр Gost2001Warning_class_default, задав ему значение true, например:

< entry key="Gost2001Warning_class_default" value="true" >



P.S. Под "необходимостью скорого перехода на ГОСТ Р 34.10-2012" подразумевается обновление КриптоПро CSP до версии 4.0 и выше (или обновление КриптоПро JCP до версии 2.0) и обращение до конца 2018 года в УЦ за получением ключевой пары на новых алгоритмах.

© КриптоПРО


[Новое поколение СКЗИ КриптоПро CSP - версия 5.0]

Новое поколение СКЗИ КриптоПро CSP - версия 5.0


Мы выпустили новую версию СКЗИ КриптоПро CSP - версия 5.0. Это новое поколение нашего криптопровайдера, объединяющее в себе три основных продуктовых линейки компании: КриптоПро CSP (работа с ключами на классических токенах и в пассивных хранилищах), КриптоПро ФКН (работа с неизвлекаемыми ключами на новых токенах наших партнеров с безопасной аутентификацией на ключи) и КриптоПро DSS (ключи в облаке). Сохраняя преимущества этих программных продуктов, КриптоПро CSP 5.0 расширяет возможности применения за счет поддерживаемых платформ и алгоритмов, быстродействия и удобства пользовательского интерфейса.

При этом работа со всеми ключевыми носителями, включая ключи в облаке, теперь единообразна. Для перевода прикладной системы, в которой работал КриптоПро CSP любой из версий, на поддержку ключей в облаке или на носители с неизвлекаемыми ключами, не потребуется какая-либо переработка ПО – интерфейс доступа остается единым, и работа с ключом в облаке будет происходить точно таким же образом, как и с классическим ключевым носителем.

Отдельно хочется отметить, что именно начиная с КриптоПро CSP 5.0 будет введена поддержка ГОСТ Р 34.12-2015 (включая "Кузнечик") и ГОСТ Р 34.13-2015.

Предлагаем заинтересованным пользователям скачать новую версию в разделе загрузки. По всем вопросам и пожеланиям, связанным с КриптоПро CSP 5.0 пишите нам на форуме.

До конца года мы планируем провести вебинар, посвященный техническим вопросам использования КриптоПро CSP 5.0, анонс мероприятия будет размещен в новостях.

© КриптоПРО

Рыба

Максимальная длина имени домена. Средняя длина имени домена

К вопросу о длинах имен доменов

Длина имени каждого домена (между разделительными точками) не может превышать 63 знака, общая же длина имени (включая имена субдоменов, разделительные точки и имя зоны) ограничена 255 знаками.

Минимальная длина доменного имени (без учета разделительных точек и имени зоны) принята равной 2.

Для зон SU, BIZ, INFO и DE — 3 символа.
[Далее тут]
Максимальная длина доменного имени согласно RFC 1035 составляет 63 символа. Многие реестры накладывают ограничения на минимальную длину - 3 символа, определенную RFC 1535.

Правила записи доменных имен.


В домене допустимы следующие символы:
Можно использовать буквы, цифры и «-» (дефис, минус), регистр символов значения не имеет.
Минимальная длина имени домена - 2 символа, максимальная — 255 символов (с точками и именем домена первого уровня).
Имя домена не может начинаться или заканчиваться на дефисы или содержать два дефиса подряд.

В именах доменов обычно используются латинские буквы.
В имени домена можно использовать и кириллицу, при переключении клавиатуры.

Имя домена состоит из нескольких частей, разделенных точкой:
Имя домена первого уровня — из одной части (ru, com и т.д.).
Имя домена второго уровня — из двух частей (antula.ru).
Имя домена третьего уровня — из трех частей (dir.antula.ru).


Длина каждой части не более 63 символов.

В RU-CENTER 16.05.08 зарегистрирован самый большой числовой домен Рунета, установивший новый рекорд Рунета.

Доменное имя состоит из 63-х девяток и выглядит следующим образом: 999999999999999999999999999999999999999999999999999999999999999.RU

Этот домен является самым большим из числовых имен, зарегистрированных в зоне RU. Из-за ограничений по максимальному количеству символов в домене (63 знака - для российской доменной зоны) большего числа в виде доменного имени в Рунете зарегистрировать нельзя. Любое другое число по своему значению будет меньше этого.



Это доменное имя закрывает дюжину самых длинных доменных имен в зоне RU.

"Топ-12" доменов Рунета:

GLEDENOV-POD-KAKIM-TI-NIKOM-SIDISH-NA-FORUME-DOMENFORUM-DOT-NET.RU
I-AM-DMITRY-MUKHACH-FROM-SPB-ICQ-3235555-SEARCH-WORK-IN-IT-TECH.RU
SAMOEDLINNOEDOMENNOEIMYAVRUSSKOMINTERNETEPRINADLEZHITERIELMEDIA.RU
SO-PLEASE-DO-NOT-ASK-ME-WHY-SOME-PEOPLE-WANT-TO-BE-BRAINDAMAGED.RU
YA-NA-SAMOM-PONTOVOM-SAYTE-V-RUSSKOMNETE-MOY-NOMER-POSLE-SLESHA.RU
YAPRISHELKTEBESPRIVETOMRASSKAZATCHTOSOLNCEVSTALODAJDENEGNAPIVKO.RU
MAXIMALNAYA-DLINA-DOMENNOGO-IMENI-NE-DOLZHNA-PREVYSHAT-63-BUKAF.RU
718281828459045235360287471352662497757247093699959574966967627.RU
141592653589793238462643383279502884197169399375105820974944592.RU
TAK-KHARLAMOV-VALENTIN-IZ-VORONEZHA-STAL-ZNAMENIT-VESEGO-ZA-600.RU
Рыба

Загадка для админов и других ITшников :)

Вопрос банальный, требующий базовых знаний. Он встречается в экзаминах M$, начиная с Windows NT4. Диск не запаролен, обычный диск с NTFS.

Ответы скринятся. Правильный ответ или под вечер, или в понедельник.
Итак.

У нас был компьютер, в нем было два физических диска. Один с системой, а второй с данными. Первый сдох, для скорости доступа к данным мы вынули второй диск и вставили его в другой компьютер с виндой. В списке дисков он видится, но при попытке войти на него, говорит, что нет доступа. Вы работаете от имени локального админа.
1 - В чем причина?
2 - Как это вылечить?

UPD.
Q:что говорит ежели на диске тыркнуть правой кнопкой крыски?
A:Диск полностью рабочий, всё нормально, никаких аномалий.

Q:есть ли инфа о диске?
A:Ну да, диск полностью рабочий

Q: что будет если выбрать открыть в новом окне?
A: монопенисуально, "нет доступа"

Q: Вирусы или автораны?
A: Он же работал только что на другоим компе, на диске только инфа, никаких аномалий, никаких сбоев и слётов партиций,никаких райдов и других извратов. Дист ТОЛЬКО с файлами данных, полностью рабочий, отформатирован под NTFS.

Q: Может кривые руки, еоги, голова или другое что-то не правильное или часть другого диска ....
A: Нет, это диск с данными, без всяких извратов и сбоев, отдельный, не часть чего-то, без сбоев, без каких-либо надуманных и гипотетических неприятностей. Абсолютно нормальный, базовый том с одним разделом MBR. ....

Пока не знаю что еще придумать в ответы :)

Q:локальный одмин ключевое слово?
Ну да, одно из :)

Q: первый комп был в домене?
A: Вот тут да, забыл это добавить, каюсь ...

Важное добавление.
Исходный комп был в домене, читаем на stand alone или в другом домене, или отключенным от сети .... не важно.

Хотя, надо проверить и с воркгруппой, скорее всего, и там можно получить тот же эффект. Проверю - напишу.
Рыба

Как сделать UEFI загрузку с флешки.

Помните, я писал как подправить дистрибут винды?
Теперь расскажу как сделать флешку, которая бы воспринималась биосами как UEFI загрузочный диск. Постараемся пользоваться только средствами винды, с минимальным привлечением внешних утилит.
Сразу признаюсь, некоторые скриншоты скоммунижжены отсюда.
Сначала, подготавливаем флешку
Теперь подправляем сам дистрибут.
[Процесс внутри]

Копируем весь, подготовленный нами ранее, дистрибутив и копируем его на флешку.
Сразу отмечу, что UEFI диск можно сделать только для 64-х битной системы.

Примечание. В отличии от систем с BIOS, позволяющих загружаться с загрузочных разделов с FAT, FAT32, exFAT или NTFS, UEFI позволяет загрузиться только с загрузчика, находящегося на загрузочном диске, отформатированном в файловой системе FAT32.


Поехали править.
1 копируем каталог efi\microsoft\boot в efi\microsoft
13509d1356533964-uefi-bootable-usb-flash-drive-create-windows-11a[1]

2 открываем sources\install.wim или с помощью dism, или с помощью FAR (выбираем этот файл и нажимаем Ctrl+PgDn), или с помощью 7-Zip. Z предпочитаю far.
3 достаем файл sources\install.wim\1\Windows\Boot\EFI\bootmgfw.efi и копируем его в efi/boot каталог флешки.
2016-03-22 09-54-59 {arclite wim install.wim  Windows Boot EFI} - Far 3.0.3800 x64 Administrator

4 переименовываем его в bootx64.efi
13512d1356518139-uefi-bootable-usb-flash-drive-create-windows-efi-boot[1]

5 Всё, флешка готова. Можно ставить с нее винду.