Тоже содрано из http://odminblog.ru/razlochivaem-4gb-operativnoy-pamyati-v-windows7-32bit/

Включить встроенную в винду поддержку PAE (Physical Address Extension)  которая как раз и была введена в винду для поддержки более 3Gb оперативной памяти, причем продолжая использовать 32битную адресацию, становится доступным память до 64Gb. Для этого запускаем msdos-promt и и в нем говорим следующее:
BCDEdit /set PAE forceenable
BCDEdit /set nolowmem on

После этого вроде как все должно начать летать и видиться, но у меня картина осталась той же самой, так что это не дало мне ни малейшего результата. После чего я решил таки рискнуть пропатчить систему найденным патчером для ядра.  Вкратце суть работы такова, на машине с процессором поддерживающим технологию PAE, данный патч  создает копию имеющегося  ntkrnlpa.exe после чего патчит его и по его мотивам создает новый файл ntkr128g.exe , который и грузит через скрипт AddBootMenu.cmd, который добавляет в boot-меню, так что при загрузке системы появится два типа загрузки – обычная и с поддержкой до 128GB . Для внесения изменений в систему запускаем патчик, говорим  ДА на тему внесения изменений, после чего в появившемся досовском окошке надо будет сказать Y, тем самым дав разрешение на вышеупомянутый патч. После этого система перегружается и при загрузке машина выдает 4GB (доступно 3,86Gb)

Для избавления от меню выбора идем в свойства «мой компьютер» там говорим Дополнительные параметры системы -> Загрузка и восстановление -> Параметры. Снимаем галку Отображать список операционных систем. Перегружаемся.

После всех этих манипуляций у меня появилась надпись в правом нижнем углу, гласившая  «Test Mode Windows 7 Build 7600» -не скажу что она мне доставляла неудобство, но чувство эстетического дискомфорта я все же при виде её испытывал, поэтому говорим WIN_окошко (что между правым Ctrl и Alt) + R и вбиваем  mcbuilder. Говорим ок, ждем выполнения и перезагружаем машину.

Собственно все- машина видит 4 гига, рапортует о том, что доступны 3.86Gb и главное что может пользовать эту область памяти для выполнения своих процессов- запустил три машины по 1.2Gb и все нормально шуршало- исключая хостовую операционку ибо она сама подтормаживала, как и должна была бы при использовании 256 метров.

Тупо содрано отсюда http://www.alexxhost.ru/2010/10/exchange.html (пригодится) :).

Исправление

Для исправления базы данных придется использовать команду ESEUTIL /P. Стоит несколько раз подумать, прежде чем пользоваться функцией Repair, т.к. данная операция в ЛЮБОМ случае приведет к потере данных, и сколько именно данных будет потеряно спрогнозировать не реально, можно только с уверенностью сказать, что информация, находящаяся в лог-файлах будет на 100% потеряна.

Все дело в том, что база данных почтовых ящиков не является реляционной, а состоит из множества деревьев с указателями на страницы с данными. Так вот, ESEUTIL /P будет проверять все эти указатели и при обнаружении несоответствий, просто удалит указатель, в независимости от того, на какие данные он ссылается.

Процесс исправления запускается не по отношению к лог-файлам, как было с восстановлением, а по отношению к файлу самой базы данных.

eseutil /P MDB2.edb

После запуска на экран выводится предупреждение, которое позволяет одуматься и отказаться от этого метода восстановления базы.

Рис.1: Предупреждение перед операцией Repair.

Если все же вы твердо решили продолжать, то нужно нажать ОК и утилита ESEUTIL сделает все сама.

Рис.2: Исправление базы при помощи команды ESEUTIL /P.

После операции Repair может быть заметно снижена производительность базы данных, в связи с этим рекомендуется делать автономную дефрагментацию базы при помощи команды ESEUTIL /D, в результате выполнения команды будет создана абсолютно новая база данных, но тут нужно помнить, что для дефрагментации базы у вас должно быть свободного места больше на 110%, чем занимает исходная база.

Проверка логической целостности

После дефрагментации нужно будет проверить логическую целостность базы данных. Ранее, для этого используется утилита ISINTEG. На серверах Exchange 2007 и старше можно было выполнить команду:

isinteg -s имя_сервера -fix -test alltests

тем самым инициировав процесс проверки базы данных.

Рис.3: Проверка логической целостности базы при помощи ISINTEG.

Описание программы ISINTEG.

Неудобство использования ISINTEG заключается в том, что во время её работы база данных почтовых ящиков должна находиться в отключенном состоянии, а это означает достаточно длительный простой в случае большого размера базы.

Exchange 2010

Плюсом к этому, с приходом Exchange 2010 ISINTEG перестала понимать все функции новой базы данных. Но это и нормально, ведь данное средство не изменялось с 2000-го года!

К счастью, сервер Exchange 2010 и не нуждается в отдельном средстве проверки базы, т.к. по умолчанию, для каждой базы на сервере ежедневно по расписанию производится фоновое обслуживание, которое автоматически находит ошибки и при этом не требует отключения базы.

Рис.4: Фоновое обслуживание базы данных.

Exchange 2010 SP1

С входом Exchange 2010 SP1, появилась замена средства ISINTEG в виде новых командлетов:

· New-MailboxRepairRequest – тестирование и исправление почтовых ящиков;

· New-PublicFolderDatabaseRepairRequest – тестирование и исправление общих папок.

Эти командлеты позволяют выполнять тестирование и исправление как целых баз данных, так и отдельных почтовых ящиков. При этом может быть запущено асинхронное сканирование сразу нескольких ящиков, которые во время проверки будут недоступны пользователю, зато все остальные ящики в базе будут прекрасно работать. Правда, если вы запускаете проверку для всей базы сразу, то все почтовые ящики в базе будут отключены.

Синтаксис использования командлетов следующий:

new-MailboxRepairRequest [-Mailbox <MailboxID> | -Database <DatabaseID>] -CorruptionType <CorruptionType> [-DetectOnly] [-DomainController <FQDN>]

Здесь

· Mailbox или Database – это соответственно почтовый ящик или база данных;

· CorruptionType – вид проверки, которую вы желаете запустить:

o SearchFolder;

o AggregateCounts;

o ProvisionedFolder;

o FolderView.

· DetectOnly – используется, если вы хотите лишь обнаружить ошибки, но не исправлять их;

· DomainController – определяет контроллер домена для обновления данных.

Для того, чтобы запустить сразу все виды проверки, то необходимо их перечислить через запятую:

New-MailboxRepairRequest -Mailbox <MailboxID> -CorruptionType SearchFolder,AggregateCounts,ProvisionedFolder,FolderView

Если нужен только один вид проверки для базы данных, то команда будет выглядеть следующим образом:

New-MailboxRepairRequest –Database MDB2 –CorruptionType AggregateCounts

Рис.5: Проверка всей базы.

В результате команда будет выполняться в фоновом режиме, а вам будет доступен её RequestID. Также в журнале событий Windows вы найдете событие под номером EventID = 10059, которое будет означать запуск сканирования

Рис.6: Запуск сканирования базы данных в журнале событий Windows.

И событие с EventID = 10048, которое будет означать успешное завершение операции.

Рис.7: Завершение операции сканирования базы данных в журнале событий Windows.

I ran into this as well. Read through the entire other thread but didn’t find an answer, so I figured it out on my own. I wanted to paste here since I couldnt find the answer anywhere else online. In short, the error “Guest memory manager: failed” occurs when the config script is trying to load the module vmmemctl.ko. However, i could never get it to create this module or use the binary module.

- Be sure that you have the entire FreeBSD kernel source when installing the vmware-freebsd-tools.tar.gz. If you don’t have them, use sysinstall to put them on!

- Get vmmemctl.tar. If you chose the standard paths, it will be at /usr/local/lib/vmware-tools/modules/source/vmmemctl.tar. Copy it to a temporary location

- It’s easier to just type commands instead of explaining them:

cp /usr/local/lib/vmware-tools/modules/source/vmmemctl.tar /tmp

cd /tmp

tar -zxf vmmemctl.tar

cd /tmp/vmmemctl-only

make

- This will give you a vmmemctl.ko file

- Do NOT run make install at this point as the README suggests. The Makefile is coded to cp vmmemctl.ko to /modules, which won’t exist on a stock install. This instead makes it copy vmmemctl.ko to a FILE called /modules. Instead manually copy vmmemctl.ko to /boot/kernel:

cp vmmemctl.ko /boot/kernel

- you can now use kldload to load this module if you’d like, or just re-run /usr/local/bin/vmware-config-tools.pl and it will do this for you.

Source

Problem: When you try to use Windows Update or update Windows Defender to check for and install updates, you receive one of the following error messages:

Windows Defender error code 0×80072efd
Windows Update error code 80072efd

The following solution worked for me on a PC running Vista SP1. This was after all of the other suggestions provided by Microsoft Support at http://support.microsoft.com/kb/836941 and http://support.microsoft.com/kb/971058 did not work.

Solution (Vista SP 1):

1. Click the “Start” Button, click “All programs”, and click “Accessories”.

2. Right-click “Command Prompt” Run as administrator”. If you are prompted for an administrator password or confirmation, type the password or provide confirmation. 3. Type “netsh winhttp reset proxy” (without quotes) at the command prompt, and press Enter. 4. Try the update again.

Link

tcpdump.sh

#!/bin/sh
host=’192.168.210.200′
file=’dump200.cap’
tcpdump -i vlan210 -s 0 -w $file src host $host or dst host $host

Проводилось на CentOs5.

Монтируем виндовую шару:

mount -t cifs //192.168.0.1/Backup -o username=administrator,password=password /mnt

Бэкапим:

/sbin/dump -0uan -f - / | gzip -2 | dd of=/mnt/serverbackup-`date ‘+%d-%B-%Y’`.dump.gz

From one of blogs:

Чтобы не забыть:

Монтируем виндовую шару:

mount_smbfs -I 192.168.X.X -d 777 -O root:wheel //administrator@backup_server/Backup /mnt

Смотрим что у нас имеется:

server# df
Filesystem  1K-blocks    Used     Avail Capacity  Mounted on
/dev/ad0s1a    507630  312096    154924    67%    /
devfs               1       1         0   100%    /dev
/dev/ad0s1e    507630      26    466994     0%    /tmp
/dev/ad0s1f 203114302 2747794 184117364     1%    /usr
/dev/ad0s1d  30462636  259030  27766596     1%    /var

Бэкапим:

dump -0 -L -f - /dev/ad0s1a > /mnt/dump_ad0s1a_root.img

dump -0 -L -f - /dev/ad0s1f > /mnt/dump_ad0s1f_usr.img

dump -0 -L -f - /dev/ad0s1d > /mnt/dump_ad0s1d_var.img

Для экономии можно еще на лету сжимать (вдвое меньше примерно получается) - я не заморачивался.

Понадобилось сделать доступ из внутренней сети к стэйджингу так, чтобы продакшн тоже был доступен.

Простое создание зоны в ДНС не подходит уже.

Мало того, оказалось, что на стэйджинге прописаны имена сервера как и на продакшне (т.е. только IP-адреса разные).

Сразу же возникла мысль использовать локальный Apache + mod_proxy.

После изучения мануалов по мод-прокси и ресолвинга в инете различных гадостей, получилось вот что:

Были сконфигурированы 2 виртуальных хоста (думаю можно было еще покрутить mod_rewrite, но так было быстрее):

<VirtualHost 192.168.22.22:80>
DocumentRoot “/usr/local/www/apache22/data/test”
ServerName another-test.com
ServerAlias www.another-test.com
ErrorLog “/var/log/test_log”
RewriteEngine On
#RequestHeader set Host test.com
#RequestHeader set Server test.com
#RequestHeader set x-forwarded-server “http://test.com”
#RequestHeader set x-orig-accept-name “http://test.com”
ProxyRequests Off
ProxyPreserveHost On
ProxyPass / http://177.77.77.77/
ProxyPassReverse / http://177.77.77.77/
</VirtualHost>
<VirtualHost 192.168.22.22:80>
DocumentRoot “/usr/local/www/apache22/data/test”
ServerName second.another-test.com
ServerAlias second.another-test.com
ErrorLog “/var/log/test_log”
RewriteEngine On
#RequestHeader set Host second.test.com
#RequestHeader set Server second.test.com
#RequestHeader set x-forwarded-server “http://second.test.com”
#RequestHeader set x-orig-accept-name “http://second.test.com”
ProxyRequests Off
ProxyPreserveHost On
ProxyPass / http://177.77.77.77/
ProxyPassReverse / http://177.77.77.77/
</VirtualHost>

Здесь хочу обратить внимание - слэш в конце следующих директив(нужны обе) обязателен, иначе будет выдавать ошибка вроде Cannot resolve DNS name for: … :

ProxyPass / http://177.77.77.77/
ProxyPassReverse / http://177.77.77.77/

Также test.com - продакшн, another-test.com - стэйджинг.

В Bind была создана зона соответсвующая - в ней просто тип - мастер и файл базы.

В файле базы не нужно использовать TTL для имен А и т.п., иначе будет ругаться (в моем случае апач и байнд на одной машине находились).

Для виндового сервера пришлось прописать форвардер(сервер с биндом) на данный домен.

Не думал, что в моей небольшой организации возникнут проблемы с кол-вом разрешенных мобильных устройств.

Но этот момент настал. Один из пользователей не смог подключиться к почте со своего нового Айпада.

Понять что происходит помогло сообщение в его почте о превышении им лимита.

Что в этом случае можно сделать:

1. Увеличить лимит для всего сервера либо отдельно взятого ящика командой (применяется не сразу, возможно нужно перезапустить некоторые службы):

Set-ThrottlingPolicy –EASMaxDevices 50 –Identity DefaultThrottlingPolicy_hex_string

где DefaultThrottlingPolicy_hex_string можно найти командой: Get-ThrottlingPolicу

2.Пользователь может зайти на веб-аксесс:

Sign in to Outlook Web App, go to Options > Phone > Mobile Phones, and delete any unused partnerships to reduce the number of devices associated with this account to ten or fewer.

(See http://technet.microsoft.com/en-us/library/dd298094.aspx)

I have got a router Mikrotik 750.

Periodically I have issues when the internet channel failed.

But it start work when I changed port speed to 10Mbps and later turned it back to 100Mbps. (problem with cable )

So, I wrote script for switching the port speed automatically:

:global u
:local PingCount 3;
:local CheckIp1 1.1.1.1;
:local isp1 [/ping $CheckIp1 count=$PingCount];
:if ($isp1=$PingCount) do={
/interface ethernet monitor ether1-gateway once do={
:set u $rate
}
:if ($u = “10Mbps”) do={
:log info “$u setup it to 100Mbps”
interface ethernet set ether1-gateway speed=100Mbps
}
#:log info $isp1;
}

:if ($isp1!=$PingCount) do={
/interface ethernet monitor ether1-gateway once do={
:set u $rate
}
:if ($u = “100Mbps”) do={
:log info “$u setup it to 10Mbps”
interface ethernet set ether1-gateway speed=10Mbps
}
#:log info $isp1;
}
#:log info $u

1. Run Exchange powershell console and type (e.g.):

New-ManagementRoleAssignment –Role “Mailbox Import Export” –User domain\admin

So, You got rights import-export for user admin.

2. Restart Exchange powershell console.

3. Create a share on a server or use existed one, and grant Exchange Trusted Subsystem read/write permission. You can’t export on the local disks (but why not - I can’t understand).

4. Type the command:

New-MailboxExportRequest -Mailbox ivan.ivanov -FilePath “\\Server\Share\ivan_ivanov.pst”

5. You can review the backup state and progress:

Get-MailboxExportRequest | Get-MailboxExportRequestStatistics

Links: http://www.stevieg.org/2010/07/using-the-exchange-2010-sp1-mailbox-export-features-for-mass-exports-to-pst/

http://technet.microsoft.com/en-us/library/ff607299.aspx

Once PM ask me to configure strict access to a project in TRAC for user.
He can have access only for “New ticket” and view only own tickets.

Firstly, I have created the user account and add him to the special group.

I assigned the next permissions for this group:

MILESTONE_VIEW

REPORT_VIEW

TICKET_APPEND

TICKET_CHGPROP

TICKET_CREATE

TICKET_EDIT_CC

TICKET_EDIT_DESCRIPTION

TICKET_MODIFY

TICKET_VIEW

Result:
part of trac.ini (11.5)

[authz_policy]
authz_file = c:\apache\tracprojects\ifst\conf\authzpolicy.conf                #pick file with policy

[components]
authz_policy.* = enabled      #turning on policy

[mainnav]
tickets.href = /report/7        #set navigation button “View tickets” to report “My tickets” by default

authzpolicy.conf

[wiki:Documents]
admin1 = WIKI_ADMIN
admin2 = WIKI_ADMIN
* = “”

[milestone:Test]
user = MILESTONE_VIEW

[milestone:*]
user = “”

[report:7]
user = REPORT_VIEW

[report:*]
user = “”

But … I found some issues with permissions and understood that this way incorrect.

I looked up again and found this: http://trac-hacks.org/wiki/PrivateTicketsPlugin

So, my trac.ini became:

[components]
privatetickets.* = enabled

[mainnav]
tickets.href = /report/6

[trac]
permission_policies = PrivateTicketsPolicy, DefaultPermissionPolicy, LegacyAttachmentPolicy

[privatetickets]
group_blacklist =

And I added the permission: TICKET_VIEW_REPORTER (it turn up after installing the plugin) for group.

Понадобилось мне добавлять пользователей в Lync с другого сервера, где у меня работает скрипт по созданию новых юзеров.

Но ставить туда админские утилиты от Lync не хотелось.

Нашел вариант удаленной загрузки модуля powershell для Lync:

#Import the Lync module
$lyncOptions = New-PSSessionOption -SkipRevocationCheck -SkipCACheck -SkipCNCheck
$lync = New-PSSession -ConnectionUri https://lync1/ocspowershell -SessionOption $lyncOptions -Authentication NegotiateWithImplicitCredential
Import-PSSession $lync

Там же и для Exchange:

#Load the Exchange cmdlets
$exch = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://exchange1/powershell
Import-PSSession $exch

Взято отсюда: http://www.mikepfeiffer.net/2012/01/managing-exchange-2010-and-lync-2010-from-a-single-powershell-session/

И еще полезный ресурс по Lync 2010: http://msunified.net/2010/11/22/lync-server-2010-features-and-how-to-configure-them/

После очередного обновления портов моя мониторилка перестала работать через веб.

Переустановил начисто перл, speedy, smokeping - не помогло.

Решилось путем нескольких запусков:

perl-after-upgrade -f

Краткая напоминалка:

Делаем backup image на всякий случай (можно и не делать).
1. Run WAIK cmd as administrator
2. Монтируем образ в папку: imagex /mountrw d:\setup_x64.WIM 2 c:\mount or Dism /Mount-Wim /WimFile:d:\setup_x64.wim /Index:2 /MountDir:C:\mount
3. Добавляем драйвера из папки d:\inf: Dism /Image:C:\mount /Add-Driver /Driver:d:\inf /Recurse
4. Закрываем образ: Dism /Unmount-Wim /MountDir:C:\mount /Commit
5. Делаем replace image в консоли управления WDS.

#!/bin/sh
input=`/usr/local/etc/rc.d/digitemp_DS9097 -a -q -s /dev/cuau0 -o\%.C`
/usr/local/bin/rrdtool update /var/rrdtool/db/digitemp.rrd N:$input
if [ $input -ge 35 ]; then
mail -s “There is too HOT in the server room, current temp is $input degrees by Celsius” admin@mydomain.com < /usr/local/etc/mail.txt
echo “Temp is $input” | ssh -l user mail.mydomain.com sendsms XXXXXXXXXX
fi

WWWPREFIX=/usr/local/www/apache22/data/images
RRDPREFIX=/var/rrdtool/db
/usr/local/bin/rrdtool graph $WWWPREFIX/temp.png \
–width 500 –height 200 –imgformat PNG \
–title “Temperature for 12h”  –rigid  –color BACK#FAFAFA  \
–vertical-label Celsius \
–alt-autoscale-max \
–slope-mode \
DEF:input=$RRDPREFIX/digitemp.rrd:input:MAX   \
VDEF:minn=input,MINIMUM \
VDEF:maxx=input,MAXIMUM \
VDEF:avg=input,AVERAGE \
VDEF:curr=input,LAST \
AREA:input#00640080:”Temp”        \
CDEF:p0=input,0,- AREA:p0#00FF0080 \
CDEF:p1=input,1,- AREA:p1#00EE0080 \
CDEF:p2=input,2,- AREA:p2#00DD0080 \
CDEF:p3=input,3,- AREA:p3#00CC0080 \
CDEF:p4=input,4,- AREA:p4#00BB0080 \
CDEF:p5=input,5,- AREA:p5#00AA0080 \
CDEF:p6=input,6,- AREA:p6#00990080 \
CDEF:p7=input,7,- AREA:p7#00880080 \
CDEF:p8=input,8,- AREA:p8#00770080 \
CDEF:p9=input,9,- AREA:p9#00660080 \
CDEF:p10=input,10,- AREA:p10#00550080 \
CDEF:p11=input,11,- AREA:p11#00440080 \
CDEF:p12=input,12,- AREA:p12#00330080 \
CDEF:p13=input,13,- AREA:p13#00220080 \
CDEF:p14=input,14,- AREA:p14#00110080 \
CDEF:p15=input,15,- AREA:p15#00100080 \
CDEF:p16=input,16,- AREA:p16#00090080 \
CDEF:p17=input,17,- AREA:p17#00080080 \
CDEF:p18=input,18,- AREA:p18#00070080 \
CDEF:p19=input,19,- AREA:p19#00060080 \
CDEF:p20=input,20,- AREA:p20#00050080 \
LINE2:input#006500:”Current”        \
LINE2:32#FF0000:”Critical” \
LINE2:25#F29D00:”Allowed” \
LINE2:21#6197DB:”Recommended” \
GPRINT:minn:”Min=%6.2lf”      \
GPRINT:maxx:”Max=%6.2lf”      \
GPRINT:avg:”Average=%6.2lf”      \
GPRINT:curr:”Current=%6.2lf\l” \

Нужно было установить SBS 2011 Essentials и подключить WP7 к этому делу.

Устанавливал на VMWare ESXi, один сетевой интерфейс, размер диска для виртуальной машины = 160гб (при 40Гб не захотел устанавливаться, тем не менее стандарт-эдишн установился на 80гб).

После установки нужно пройти по пунктам стартовой страницы в панели управления.

Т.к. сервер у меня подключен в локалку без Upnp шлюза, то визард выдал ошибку, что роутер не подключен - игнорим.

Пробрасываем порты 80 и 443 вручную со шлюза на этот сервер.

Устанавливаем server-side add-in Windows Phone Connector for SBS2011, перейти можно с панели управления по ссылке … Add-ins справа.

Устанавливаем на WP7 приложение My Business Server (WP7 Connector client) из маркета бесплатно.

Присваиваем доменное имя для сервера - не локальное, которое мы давали при установке, а внешнее - для внешнего доступа.

На этом этапе нужно иметь зарегистрированное доменное имя для сервера и сертификат (обязательно белый) либо сделать это прямо в визарде.

В моем случае это было днс-имя моего шлюза, на которое я и выписал бесплатный 30-дневный сертификат.

Вводим на телефоне адрес сервера - будут запрошены логин и пароль.

Подключить ПК к серверу можно по линку http://server/connect

Важное замечание: без белого сертификата телефон сразу будет отбивать “Cannot connect to the server”.

Самоподписанные сертификаты не годятся - я пробовал даже устанавливать сертификат сервера и сертификат локального CA на телефон - не помогло.

В логи ничего не пишет, отбой тоже ни о чем не говорит :).

В идеале сервер должен быть подключен к роутеру с Upnp - тогда настройка проброса портов проходит автоматически и в панели управления нет ошибок о подключении к интернет.

Разработчики ресетнули данный девайс.

После ресета он потребовал пройти активацию, но у нас нет сети Веризон.

Нужно сделать так:

1) press EMERGENCY CALL

2) DIAL ##778 (CALL)

3) PRESS EDIT MODE

4) ENTER PASSWORD WHICH IS: 000000

5) TAP NAM Settings

6) Enter Your 10 digit phone number press OK или просто вводим 10 нулей

7) TAP NAM 1 and enter you 7 digid cel phone number without area code или просто 7 нулей

TAP NAM 2 enter your 3 digit area code или нули

9) TAP back

10) TAP SID/NID settings and change the left box to: 40 leave the right box as it is(then tap ok)

11) TAP MENU

12) TAP COMMIT MOD. AFTER STEP 12 the android will restart in 10 seconds and will bypass the main activation screen

Если не срабатывает - забиваем нулями код сети (2й пункт в NAM settings).

Если он не редактируется: подключаем телефон к ПК, заходим на появившийся СД, устанавливаем драйвер, проверяем что в устройствах все установилось, скачиваем CDMA Workshop (ищем в инете ), изменяем код сети, записываем изменения. Перегружаем телефон - вуаля.

Возникла идея отслеживать подозрительные запросы к сайту.

Т.к. это Apache на windows 2003 server, то …

В инете было найдено это: http://www.apachelounge.com/viewtopic.php?p=19450

Т.е. надо скачать и скопировать в каталог windows или просто прописать PATH файлы и библиотеки к ним wtee, grep4win, klog:

(я установил все эти пакеты на виртуалку и выдрал необходимые файлы: egrep.exe, fgrep.exe, grep.exe, klog.exe, wtee.exe, libiconv2.dll, libintl3.dll, pcre3.dll)

- klog.exe (http://www.tucows.com/preview/507460)  - завернуто в оболочку - игнорим установку барахла либо ищем нормальную ссылку.
- Grep for Win32 (http://gnuwin32.sourceforge.net/packages/grep.htm)
- wtee.exe (http://code.google.com/p/wintee/)

После установки этих пакетов я скопировал все нужные бинарники в каталог винды.

Далее настраиваем сам апач. Как я не бился - не работало.

Рецепт простой оказался - нужно вставлять данную строку отдельно по виртуальным хостам, не в главный конфиг.

Мой первый фильтр отсылает записи об ошибке 404 на syslog-сервер:

CustomLog “|wtee.exe -a C:/apache2.2/logs/access.log |grep –line-buffered 404 |klog -u 514 -h 192.168.200.99 -s -p 185 -i” common

Для проверки работоспособности Lync нужны были белые сертификаты.

Получил их на Комодо - понятно, быстро и просто - я даже удивился скорости и простоте, в отличие от GoDaddy.

Начал ставить через визард, но не тут-то было - не видит из визард и все тут.

Нашел в инете полезную статью: http://argon.pro/blog/2011/03/lync-edge-ssl-certificate/

Проще говоря, нужно дать команду из повершелл с админскими правами:

Set-CSCertificate -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -Thumbprint 7D7E76B3A4582168992DF09F788D96AA42833A81 -Verbose

где Thumbprint смотрим в сертификате, перед этим импортируем его в сертификаты локального ПК.

Те же действия касаются и Lync Front End, только роли там: default, WebServicesInternal,WebServicesExternal.

Если взглянуть после этого в визард - увидим напротив этого сертификата - Invalid.

Не обращаем внимания - службы успешно стартуют.

Понадобилась отправка алертов на телефон.

Рассылку смс через почту операторы закрыли.

Самый недорогой смс-шлюз с ком-портом - около 500грн, либо искать телефон с кабелем и т.п.

Нашел в хозяйстве PCMCIA GSM-modem Sony Ericsson GC89 и переходник PCMCIA-PCI (100 + 70грн).

Вставил в имеющуюся машинку с FreeBSD 8.0, определилось как:

none1 at pci0:3:0:1:       class=0x070002 card=0x000318de chip=0x434414e4 rev=0x03 hdr=0x00
    vendor     = 'Broadcom Corporation'
    device     = 'EDGE/GPRS data and 802.11b/g combo cardbus [GC89]'
    class      = simple comms
    subclass   = UART
    bar   [10] = type I/O Port, range 32, base 0x1000, size 256, enabled

kernel: cardbus0: <simple comms, UART> at device 0.0 (no driver attached)

Порылся в инете - патчим:

add it string:
{ 0x14e4, 0x4344, 0xffff, 0, "Sony Ericsson GC89 PC Card", 0x10},
to file
sys/dev/uart/uart_bus_pci.c

пересобираем ядро: make buildkernel && make installkernel

получаем:

uart2: <16550 or compatible> port 0×1000-0×10ff irq 11 at device 0.0 on cardbus0

в девайсах появился cuau2

Проверяем отправку смс напрямую (не забыть вставить сим-карту :)):

коннектимся cu -l /dev/cuau2 -s 57600 (на скорости 115200 сыпался мусор - команды не вводились) b вводим команды:

AT+CFUN=1
AT
AT+CGREG=1
AT+CMGF=1
AT+CMGS=”+380501430001″
>test,CTRL+Z

смс прошла.

Для упрощения отправки смс поставил /usr/ports/comms/smstools3.

smsd.conf получился такой:

devices = GSM1
logfile = /var/log/smsd.log
loglevel = 5

[GSM1]
device = /dev/cuau2
baudrate = 57600
#incoming = yes
pin = ignore

Для отладки можно поставить логлевел в 7, для принятия и чтения смс - incoming=yes, пробовал инициализировать модем - были ошибки - поэтому init убрал совсем.

Кроме того, при отправке смс сыпало ошибками типа:

Cannot handle /var/spool/sms/outgoing/send_WJReV3: Access denied. Check the file and directory permissions.

Для фикса правим /usr/local/bin/sendsms, там было smsd_user=”smsd”. Меняем на smsd_user=”uucp”

Пробуем отправить смс:

sendsms 380501430001 ‘Test’

Работает!

Затем я настроил запуск скрипта на отправку с другой Freebsd машины по ssh, и тут меня ждал облом - сообщение создавалось от имени запускающего обычного юзера и снова сыпались ошибки с пермишшенами. После долгих мучений, изменил скрипт sendsms - добавил chmod 666 $TMPFILE:

chmod 666 $TMPFILE

chown $owner $TMPFILE

После этого смс стасли отправляться нормально с правами обычного пользователя.

Полезные ссылки:

http://www.lissyara.su/articles/freebsd/programms/smstools_3/

http://smstools3.kekekasvi.com/

P.S.: После перезагрузки модем не втыкал - прописал инит:

devices = GSM1
logfile = /var/log/smsd.log
loglevel = 5

[GSM1]
device = /dev/cuau2
baudrate = 57600
#rtscts = no
init = AT+CFUN=1
init2 = AT+CREG=1
incoming = yes
pin = ignore

Еще настроил обработку событий при получении смс - добавляется строка в конфиг:

devices = GSM1
logfile = /var/log/smsd.log
loglevel = 5
eventhandler = /usr/local/share/smstools/fwd2mail

[GSM1]
device = /dev/cuau2
baudrate = 57600
#rtscts = no
init = AT+CFUN=1
init2 = AT+CREG=1
incoming = yes
pin = ignore

Сам скрипт fwd2mail:

#!/bin/sh

if [ "$1" = "RECEIVED" ]; then
mail -s “SMS” youremail@domain.com < $2
fi

Smsd gives two or three arguments to the eventhandler. The first one is SENT, RECEIVED, FAILED, REPORT or CALL.

The second one is the SMS file filename. The third argument is the message id of the SENT message, it is only used if you sent a message successfully with status report enabled.

Следующим шагом будет управление чем-либо посредством смс.

#Creating firewall exception for SQL instance
netsh advfirewall firewall add rule name=”OCS SQL RTC Access” dir=in action=allow program=”c:\Program Files\Microsoft SQL Server\MSSQL10.RTC\MSSQL\Binn\sqlservr.exe” enable=yes profile=any

#Creating firewall exception for SQL Browser
netsh advfirewall firewall add rule name=”SQL Browser” dir=in action=allow protocol=UDP localport=1434

В интернет имеется множество мануалов по установке Lync.

Здесь я опишу ошибки и проблемы с которыми мне пришлось столкнуться для минимального развертывания.

Сама установка не вызывает проблем даже без чтения документации - все что нужно инсталлятор подскажет.

Т.к. я был ограничен в ресурсах, то решил просто установить Front End на одном ПК и думал, что этого будет достаточно.

Для внутренних пользователей все работало, но внешние пользователи могли только чатиться - с митингами - то же самое.

На МС-форуме мне ответили что для того чтобы “все” работало, нужно установить Edge роль на отдельном сервере.

Я удалил Lync FE - просто я удалив черз установку-удаление, но при “свежей” установке у меня подхватывалась старая топология.

В результате была найдена последовательность

1. Нужно удалить все что относится к Lync через установка-удаление.

2. Там же удалить SQL-Express.

3. Удалить папку SQL в Program Files.

4. Удалить папку с базами данных SQL в корне диска С:\CsData.

5. На контроллере домена запустить ADSI Editor, подключиться к Configuration и удалить CN=Configuration, CN=Services, CN=RTC Service (всю ветку).

6. После этого можно начинать чистую установку при этом запустить Prepare Forest из визарда (на нем будет светиться восклицательный знак - мы же все удалили )

Lync FE я установил на виртуальную машину, т.к. он обслуживает, в основном, только внутренних пользователей и не требует внешнего IP-адреса.

На него я пробросил с роутера порты 80 и 443 (на роутере) на 8080 и 4443 (на FE) - это нужно для того чтобы внешние пользователи (и гости также) могли зайти на митинги.

Если роутер не поддерживает такой фичи, - необходимо поднять Reverse Proxy и пробросить порты через него.

Apache вполне подойдет для такой роли. Смысл Reverse Proxy и заключается в том чтобы слушать и обрабатывать не запросы внутренних пользователей, а запросы извне по этим портам и перенаправлять в локальную сеть.

Все остальное будет выполнять Edge. Его я установил на машине с реальным IP-адресом (относительно реальным :), машина находится за роутером и роутер мапит внешний адрес на внутренний адрес данной машины 192.168.10.17).

Для того же сетевого интерфейса присвоил еще один адрес 192.168.10.117 - он в топологии будет внутренним, а 192.168.10.17 - внешним.

Без такого деления службы Edge не запускаются.

Продолжение следует …

Знакомые подключились к УТСК Велтон-Телеком - по оптике идет инет, телефон и IPTV.

Роутер у них Mikrotik 750G. Подружил я все это так …

Для начала нужно обновить прошивку роутера. Да - у роутера самая последняя прошивка 5.9, но не такая :).

Идем на сайт микротика и скачиваем соотв-ю прошивку в zip-файле.

Там содержатся все модули. Копируем модули (явно ненужные - не надо, типа ipv6, hotspot, …) в Files на микротике.

Перегружаем роутер. В меню Routing появится пункт IGMP Proxy.

Первый порт - это WAN (Инет), второй - LAN (master), 3-5 - LAN (Slave).

В меню interfaces выбираю 5й порт, переименовываю чтобы было понятнее, в св-вах порта ставлю Master Port: none. Т.е. это у нас будет второй WAN-интерфейс.

Соединяю второй порт велтоновского “модема” с 5-ым на Микротике.

Если порт работает - будет видна “R” напротив этого интерфейса (Running).

Раздел IP - Adresses: добавляем адрес для нашего WAN2 (в инструкции сказано 169.254.1.1-254, техподдержка сказала - можно любой адрес внутренней сети).

Открываем окно терминала и вставляем следующие команды (отредактируйте под себя):

routing igmp-proxy interface add comment="Upstream" disabled="no" interface="ether1-gateway1" threshold="1" upstream="yes" alternative-subnets="0.0.0.0/0"
routing igmp-proxy interface add comment="Downstream" disabled="no" interface="ether5-IPTV" threshold="1"
routing igmp-proxy set quick-leave="yes" query-interval="00:01:00" query-response-interval="00:00:10"

Обратите внимание, без destination network не заработало.

Добавляем правила в файрволл:

ip firewall filter add chain="input" action="accept" protocol="igmp" comment="Allow IGMP"
ip firewall filter add chain="input" action="drop" in-interface="ether1-IPTV" comment="Drop input"

Собственно все, скачал клиент и все заработало.

Please be aware if you modify the “meet” URL please run the step2 ‘Setup or remove  Lync server component ’ and do an IIS reset.

http://technet.microsoft.com/en-us/library/gg412918.aspx

Thanks to Sharon.Shen.

Если вы меняете линк к meet.my.domain для веб-конференций, вы должны обновить не только топологию, но и реактивировать сам сервер.

Иначе получите ошибку 404 при попытке подключиться к митингу через веб.

Количество точек доступа в моем хозяйстве увеличилось до 3 шт.

Включен фильтр по МАКам.

Чтобы добавить МАК нужно зайти на каждую точку через веб-интерфейс и добавить вручную.

Дабы автоматизировать сей рутинный процесс я слепил скриптик на VBScript.

Он создает шелл и эмулирует ввод с клавиатуры.

На точке доступа должен быть открыт вход telnet.

В цикле перебираются все три точки доступа 192.168.200.31-33.

PWD = InputBox(”Enter Password”)
MAC = InputBox(”Enter MAC-address”)
For i = 1 to 3
Set oShell = WScript.CreateObject(”WScript.Shell”)
command = “telnet 192.168.200.3″ & i
oShell.Run command
WScript.Sleep 1000
oShell.SendKeys “admin” & chr(13)
WScript.Sleep 1000
oShell.SendKeys PWD & chr(13)
WScript.Sleep 1000
oShell.SendKeys “set acl allow ” & MAC & chr(13)
WScript.Sleep 1000
oShell.SendKeys “reboot” & chr(13)
Next
WScript.Echo “Done!”

Легким движением руки скрипт переделывается для удаления маков - команда: del acl <MAC>

Примерно то же самое пробовал сделать с помощью ssh, cmd и plink, но plink чего-то ожидал бесконечно после ввода команды, а при прерывании Ктрл-Ц уводил точку в ребут.

plink -v -ssh 192.168.200.31 -l admin -pw 123 -s set acl allow 11:22:33:44:55:77

Проверка на живучесть различных хостов у меня реализована на smokeping.

Нужно было проверять живучесть сайта не только на хттп ответ и пинг, но и на содержимое.

Скорее всего это можно было сделать и в smokeping, но я решил сделать быстрее:

#!/bin/sh

# Пингаем сайт через 1 внешний канал

test1=`ping -c 3 mysite.com | grep seq=2`

# Пингаем через второй канал, вдруг первый упал

test2=`ping -c 3 192.168.10.244 | grep seq=2`

# Проверяем был-ли ответ хоть по одному каналу
if [ -z "$test1" ] && [ -z "$test2" ];
then
mail -s “No ping to mysite.com - it can be a problem with our Internet-channel” site.alert@mydomain.com < /usr/local/etc/mail.txt
exit 0
fi;

# Если пинг прошел - проверяем сайт на наличие конкретного содержимого (у меня это содержимое выбирается из базы, т.е. если сайт лег по причине неработоспособности базы или движка - это будет видно)

test3=`/usr/local/bin/curl -s “http://mysite.com/contact-us.aspx” | grep job | awk ‘{ print $0 }’`
#test=`curl -s “http://mysite.com/about-us.aspx” | grep job | awk ‘{ print $0 }’`
#echo $test
if [ -z "$test3" ];
then
#       echo FAILURE!!!
mail -s “The site mysite.com is down!” site.alert@mydomain.com < /usr/local/etc/mail2.txt
echo “ok” > /usr/local/etc/site.tmp
elif [ -f /usr/local/etc/site.tmp ];
then
#           echo OK!!!
rm /usr/local/etc/site.tmp
mail -s “The site mysite.com is working now!” site.alert@mydomain.com < /usr/local/etc/mail.txt
fi;
# Если было обнаружено, что сайт лежит - взводится флаг (файл site.tmp) и отправляется сообщение, если сайт заработал - флаг снимается и отправляется сообщение, что все ок.

Я делаю апдейт портам на FreeBSD так:

получаю обновленное дерево портов:

portsnap fetch

накатываю обноаления на ports:

portsnap update

смотрю какие пакеты необходимо обновить:

pkg_version -v | grep need

капризные пакеты обновляю ручками:

portupgrade <имя пакета>

если почти уверен что больше проблем не будет - применяю скрипт:

#!/usr/local/bin/bash

portupgrade=”/usr/local/sbin/portupgrade”
pkg_ver=”/usr/sbin/pkg_version”

LIST=`${pkg_ver} -v | grep ‘need’ | awk ‘{print $1}’`

for pkg_name in ${LIST}
do
${portupgrade} -f ${pkg_name}
done

Совет: сначала обновлять “коренные” пакеты, например, обновить perl и только потом smokeping  и т.п. основанное на перле, ну, и т.д.

Попала ко мне в руки точка доступа Dlink DWL-2100AP revision A5 прошивка 2.13 с американским блоком питания на 120В - 5В 2А.

У меня был отечественный 5В 1А - 1 ампера хватило - все работает.

Далее, мне нужно было обновить прошивку до текущей 2.50eu.

Скачал, зашел в соотв-ее меню через веб-интерфейс - жму обновить и т.п. - но не тут-то было - на третьем шаге (обновление) выдает ошибку.

Ладно - мы пойдем другим путем: захожу телнетом - пытаюсь обновить - ошибка.

Порылся в инете - нашел хорошую статью о переделке 2100 в 3200: http://stas.noskov.name/wi-fi/2100ap/

Я экспериментировать не стал и воспользовался данным методом для прошивки версии 2.50.

Сделал все как доктор прописал:

• поднял фтп,
• сконвертил 2100-v250eu.tfp в 2100.apimg,
• зашел в инженерное меню,
• скачал прошивку.

telnet 192.168.0.50

D-Link Access Point login: admin
Password:

Atheros Access Point Rev 3.3.0.156
D-Link Access Point wlan1 -> alpha
Password-> ******** <— sdd21234
Ok
D-Link Access Point wlan1 ->

D-Link Access Point wlan1 -> superftp 192.168.0.11
Username-> anonymous
Password-> *** <— от балды, я набрал asd
Remote File-> apimg1
Local File-> apimg1
download or upload-> download
Getting anonymous@192.168.0.11:apimg1 -> apimg1
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#######################################
done
1633178 bytes
1633178 bytes read
D-Link Access Point wlan1 ->

Внимание, скачал в файл не apimg1, а с другим именем - это была моя ошибка, перезаливаю в правильное имя - облом: Invalid file length — 1453056 bytes written, 1452032 bytes read, делаю

ls

rm apppimg1

места стало достаточно

Этого я не делал:

D-Link Access Point wlan1 -> delpcode
[WARNING] Deleting the Product Code File…
D-Link Access Point wlan1 -> set factorydefault

заливаю снова - success!

reboot

Через 30сек точка поднялась - я получил то что хотел :).

Все мои предыдущие настройки сохранились.

Где-то нашел скрипт проверки и отключения неактивных аккаунтов - переделал под себя + добавил отправку по почте (отключение аккаунтов задисэйблено).

# Read the input parameters $Subtree and $NbDays

param([string] $Subtree, [string] $NbDays)

# Get the current date

$currentDate = [System.DateTime]::Now

# Convert the local time to UTC format because all dates are expressed in UTC (GMT) format in Active Directory

$currentDateUtc = $currentDate.ToUniversalTime()

# Set the LDAP URL to the container DN specified on the command line

#$LdapURL = “LDAP://” + $Subtree
$LdapURL = “LDAP://192.168.100.2:389/dc=my,dc=domain,dc=com”
$NbDays = 90
# Initialize a DirectorySearcher object

$searcher = New-Object System.DirectoryServices.DirectorySearcher([ADSI]$LdapURL)

# Set the attributes that you want to be returned from AD

$searcher.PropertiesToLoad.Add(”displayName”) >$null

$searcher.PropertiesToLoad.Add(”sAMAccountName”) >$null

$searcher.PropertiesToLoad.Add(”lastLogonTimeStamp”) >$null

# Calculate the time stamp in Large Integer/Interval format using the $NbDays specified on the command line

$lastLogonTimeStampLimit = $currentDateUtc.AddDays(- $NbDays)

$lastLogonIntervalLimit = $lastLogonTimeStampLimit.ToFileTime()

#Write-Host “Looking for all users that have not logged on since “$lastLogonTimeStampLimit” (”$lastLogonIntervalLimit”)”
$body = “Looking for all users that have not logged on since $lastLogonTimeStampLimit”

$searcher.Filter = “(&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(lastLogonTimeStamp<=” + $lastLogonIntervalLimit + “))”

# Run the LDAP Search request against AD

$users = $searcher.FindAll()

if ($users.Count -eq 0)

{

Write-Host “  No account needs to be disabled.”

}

else

{

foreach ($user in $users)

{

# Read the user properties

[string]$adsPath = $user.Properties.adspath

[string]$displayName = $user.Properties.displayname

[string]$samAccountName = $user.Properties.samaccountname

[string]$lastLogonInterval = $user.Properties.lastlogontimestamp

# Disable the user

#$account=[ADSI]$adsPath

#$account.psbase.invokeset(”AccountDisabled”, “True”)

#$account.setinfo()

# Convert the date and time to the local time zone

$lastLogon = [System.DateTime]::FromFileTime($lastLogonInterval)

#              Write-Host “  Disabled user “$displayName” (”$samAccountName”) who last logged on “$lastLogon” (”$lastLogonInterval”)”
#              Write-Host “  —> “$displayName” (”$samAccountName”) who last logged on “$lastLogon”"
$body = $body + ” $displayName ($samAccountName) who last logged on $lastLogon ” | out-string

}

}

### Send mail
$FromAddress = “admin@domain.com”
$ToAddress = “ya@domain.com”
$MessageSubject = “Inactive Accounts Report”
$SendingServer = “MailServer”

$SMTPMessage = New-Object System.Net.Mail.MailMessage $FromAddress,$ToAddress,$MessageSubject,$body
$SMTPClient = New-Object System.Net.Mail.SMTPClient $SendingServer
$SMTPClient.Send($SMTPMessage)

Чтобы запустить из планировщика скрипт, нужно указать имя запускаемой программы:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

и параметры командной строки:

-command “& ‘C:\Backup\last_logon.ps1′ “

Connect:

cu -l /dev/cuau1 -s 115200

Disconnect: open another console and:

killall -9 cu

Нужно было быстренько дать доступ на фтп человеку для заливки очень большого объема данных.

На самом фтп-сервере места было мало и я примонтировал шару с виндового файл-сервера.

И тут выскочила проблемка - невозможно было записать ничего через фтп-клиент.

Локально - пожалуйста - все ок, менял chown - не изменяется.

Помогло следующее - при монтировании сразу указать права и разрешения:

mount_smbfs -I 192.168.200.12 -d 777 -O ftp_user:ftp_user //ftp_user@WS12/FTP /mnt/smb

где ftp_user:ftp_user - юзер:группа, 777 - понятно - разрешения, WS12/FTP - путь к шаре.

Далее, нужно это запихнуть в стартап. Я сделал скрипт /usr/local/etc/rc.d/mountsmb.sh

#!/bin/sh
mount_smbfs -N -I 192.168.200.12 //ftp_user@WS12/FTP /mnt/smb

Но это еще не все - нужно отредактировать файл /etc/nsmb.conf, чтобы не спрашивало пароль при запуске.

[default]
workgroup=WS12

[WS12]
addr=192.168.200.12

[WS12:FTP_USER]
password=********

Обращаю внимание, что все нужно писать БОЛЬШИМИ буквами

Столкнулся с глюком: Непонятно почему перестал апдейтиться форефронт.

Помогло следующее: из командной строки дать команду:

“C:\Program Files\Microsoft Forefront\Forefront System\Client\AntiMalware\mpcmdrun” -SignatureUpdate

Нужно было перенаправить запросы на новые линки.

По-умолчанию в IIS нет rewrite module.

Его нужно доустановить, брать отсюда: http://www.iis.net/download/URLRewrite

В панели управления появится фича Rewrite Rules.

Создаем Blank Rule, даем имя.

У меня были статические линки, поэтому я выбрал Exact Match.

Внимание! Строки для поиска и замены должны быть после /

Т.е. например, есть линк http://xyz.com/about.html - пишем в правило: about.html

То же самое в Rewrite, должно быть http://xyz.com/about_new.html - ишем: about_new.html

Ну и вот неплохой материальчик: http://learn.iis.net/page.aspx/461/creating-rewrite-rules-for-the-url-rewrite-module/

Возникла необходимость ходить в инет из-под другого IP.

Решил так …

В IPFW:

ipfw add 10 fwd 192.168.20.20,3128 tcp from 192.168.20.99 to any 80 in recv rl3

В squid.conf:

cache_peer 192.168.21.21 parent 3128 3130 proxy-only no-digest no-query default

acl s99 src 192.168.20.99

always_direct deny s99 # запрещаем ходить мимо прокси

never_direct allow s99 # то же самое что и предыдущее чтоб наверняка

prefer_direct off # без этого не работало

Если в IPFW сразу отфорвардить на прокси в другой сети - не работает, если кто знает как побороть - пишите

И еще: удаленный прокси должен работать при запуске основного.

В продолжение записи об MPD.

Возникла идея отслеживать айпишники пользователей, т.е. откуда они ходят в ВПН - модернизировал предыдущий скрипт для MPD (см. предыдущие посты).

#!/bin/sh
# Предварительно была создана БД mpd и таблица mpd_access на хосте 192.168.0.10
IFS=’:’

#Получаем текущую дату в формате пригодном для MySQL

time=”`date -j +”%Y-%m-%d %H:%M:%S”`”
# Читаем сообщение от MPD и присваиваем переменные
while read _key _value; do

if [ -z "${_key}" ]; then
break
fi

if [ -n "${_value}" ]; then

if [ "${_key}" = "USER_NAME" ] || [ "${_key}" = "PEER_ADDR" ] || [ "${_key}" = "SELF_ADDR" ] || [ "${_key}" = "PEER_MAC_ADDR" ] || [ "${_key}" = "ACCT_STATUS_TYPE" ]; then
LOGLINE=”$LOGLINE ${_key}=${_value}”
fi
case “${_key}” in
“ACCT_STATUS_TYPE”) type=”${_value}” ;;
“USER_NAME”) user=”${_value}” ;;
“SELF_ADDR”) local=”${_value}” ;;
“PEER_ADDR”) remote=”${_value}” ;;
esac
fi
done
# Делаем запрос к MySQL. Сортируем по убыванию и берем только последнюю запись, относящуюся к этому юзеру.

# Параметры -N -r -B обеспечивают вывод только значения, т.е. без заголовка столбца
query=”`/usr/local/bin/mysql -N -r -B -h 192.168.0.10 -uuser -ppassword -D mpd –execute=”SELECT remote from mpd_access WHERE user=’$user’ ORDER BY number DESC LIMIT 1″`”

# Шлем себе письмецо

if [ $query != $remote ]; then
mail -s “VPN - Last seen remote IP changed from $query to $remote” admin@local.com < /usr/local/etc/mail.txt;
fi
# Записываем в сислог и в базу
echo $LOGLINE | logger -p local7.info -t mpd-acct
/usr/local/bin/mysql -h 192.168.0.10 -uuser -ppassword -D mpd –execute=”INSERT INTO \`mpd_access\` (\`type\`, \`user\`, \`local\`, \`remote\`, \`time\`) values (’${type}’, ‘${user}’, ‘${local}’, ‘${remote}’, ‘${time}’)”

В результате, если текущий адрес не совпадает с прошлым - будет отправлено уведомление.

Интересную темку нашел: тыц

citrin предложил такой вот способ логирования IP клиентов:

В конфиге mpd нужно написать

set auth enable ext-acct
set auth extacct-script /usr/local/sbin/mpd-acct.sh
В /usr/local/sbin/mpd-acct.sh написать:

код

#!/bin/sh

IFS=':'

while read _key _value; do

        if [ -z "${_key}" ]; then
                break
        fi

        if [ -n "${_value}" ]; then
                LOGLINE="$LOGLINE ${_key}=${_value}"
        fi
done

echo $LOGLINE | sed 's/^ //' | logger -p local7.info -t mpd-acct

---

в /etc/syslog.conf дописать:

!*
local7.* /var/log/mpd-acct.log

Я переделал под себя немножко - получилось так:

#!/bin/sh

IFS=’:’

while read _key _value; do

if [ -z "${_key}" ]; then
break
fi

if [ -n "${_value}" ]; then

if [ "${_key}" = "USER_NAME" ] || [ "${_key}" = "PEER_ADDR" ] || [ "${_key}" = "SELF_ADDR" ] || [ “${_key}” = “PE
LOGLINE=”$LOGLINE ${_key}=${_value}”
fi

fi
done

echo $LOGLINE | logger -p local7.info -t mpd-acct

в /etc/syslog.conf дописать

!*
local7.* @192.168.10.1

Нужно было часто проверять отправку писем через локальный SMTP (в процессе настройки ) - получился такой вот скриптец на vbs:

Set oShell = WScript.CreateObject(”WScript.Shell”)
oShell.Run “telnet.exe 192.168.0.1 25″
WScript.Sleep 1000
oShell.SendKeys “helo TEST” & chr(13)
WScript.Sleep 1000
oShell.SendKeys “mail from:vasya.pupkin@gmail.com” & chr(13)
WScript.Sleep 1000
oShell.SendKeys “rcpt to:kolya.pupkin@local.com” & chr(13)
WScript.Sleep 20000
oShell.SendKeys “data” & chr(13)
WScript.Sleep 1000
oShell.SendKeys “test” & chr(13)
WScript.Sleep 1000
oShell.SendKeys “.” & chr(13)
WScript.Sleep 1000
oShell.SendKeys “quit” & chr(13)

Backup-site.ps1

Add-PSSnapIn Microsoft.SharePoint.PowerShell
$backupdestination = “//server/SharePoint_BackUp/”
[int] $HistoryDays = 5
[int] $minusHistoryDays = -5

#Verify if more then 10 backup exist, old can be deleted
$a = dir $backupdestination |? {$_.name.EndsWith(’.backup’)}
if($a.count -gt $HistoryDays)
{

#Delete old files
$DelDate = (Get-Date).AddDays($minusHistoryDays)
dir $backupdestination |? {$_.CreationTime -lt $delDate -and $_.name.EndsWith(’.backup’)} | del -force
}

#Create new backup
$siteName=”http://spserver/sites/Documents”
$TodayDate = Get-Date -format D
$BackUpFileName = $backupdestination + “SiteDocuments_$TodayDate.backup”

Backup-SPSite -Identity $siteName -Path $BackUpFileName  -Force

Backup-Farm.ps1

Add-PSSnapIn Microsoft.SharePoint.PowerShell
Backup-SPFarm -Directory \\server\SharePoint_BackUp -BackupMethod full

Интересный глюк пришлось ресолвить на днях.

При запуске services.msc предлагалось открыть или сохранить файл views (mmcndmgr.dll) и список служб не отображался.

При запуске IE7 аналогично предлагало скачать или открыть файл ieframe.dll и другие.

В инете нашлось такое вот решение (http://www.technologyquestions.com/technology/internet-explorer/112882-windows-update-killed-ie7-navcancl-ieframe-dll-error.html):

See ‘Known issues with this security update > Controls that prompt before
they are loaded’ section of http://support.microsoft.com/kb/931768

1. Try opening IE in No Add-ons mode & see if this behavior persists. If it
doesn’t, change your IE home page to “blank” then close IE7 and reopen
normally (i.e., with all Add-ons enabled) and see if the behavior returns.

2. If still no joy, reopen in No Add-ons mode, reset IE settings
(http://support.microsoft.com/kb/923737), close IE, open normally and see if
the behavior still persists.

This is all related to a cross-site security vulnerability addressed by
MS07-027/KB931768: http://secunia.com/advisories/24535/

Also try this fix, courtesy of MVP Robert Aldwinckle:

Start > Run > Type or copy/paste the following into the box:

iexplore.exe -nohome -extoff

Мне помогло. На всякий случай я повыключал все аддоны (2шт), кроме джавы.

Нужно было периодически копировать конфиги с рабочей FreeBSD на резервную, получилось следующее:

1. Для того чтобы не запрашивался пароль при копировании, необходимо сгенерировать ключи на машине с которой будет происходить копирование (пользователь также важен) и передать паблик-ключ на целевую машину.

Генерируем: ssh-keygen -t rsa

Спросит где создаются файлы и попросит ввести пароль - запоминаем, пароли не вводим - просто “Энтер” 2 раза.

2. Копируем на целевую машину паблик-ключ (спросит пароль пользователя user):

scp -P 2222 /root/.ssh/id_rsa.pub user@192.168.10.2:/home/user/.ssh/authorized_keys

Здесь я указал порт удаленно машины 2222 (если стандартный 22, то указывать не надо), файл который копируется и файл в который копируется. Это должен быть authorized_keys. Если у вас уже имеется такой файл, то копируйте в другой и затем добавляйте содержимое в текущий.

3. Теперь можно запускать команду копирования - пароль запрашиваться не будет.

З.Ы. Не забывайте передавать паблик-ключ того пользователя, под которым будет выполняться команда.

Для того чтобы иметь прямой доступ к роутеру на всякий случай сделал подключение к нему через null-модемный кабель через другой ПК.

Подключаем кабель к FreeBSD COM1 и к другому ПК (Windows) COM1.

Далее в /etc/ttys правим строку:

ttyd0   “/usr/libexec/getty std.9600″   dialup  off secure
на:

ttyd0   “/usr/libexec/getty std.9600″   dialup  on secure

Заставляем FreeBSD перечитать INIT:

kill -HUP 1

Вуаля - можно подключаться через гипертерминал и т.п.

Нужно было одновременно держать сервер для входящих подключений и PPTP-туннель в другие сетки с маршрутизацией между этими сетями.

mpd.conf

startup:
# configure the console
#    set console self 127.0.0.1 5005
#    set console user vasya
#    set console open
# configure the web server
#    set web self 192.168.2.2 5006
#    set web user vasya password
#    set web open

default:
load pptp0
load pptp_vpn
pptp0:
set ippool add pool1 192.168.2.30 192.168.2.40
create bundle template B
set iface enable proxy-arp
set iface disable on-demand
set iface idle 0
set iface enable tcpmssfix
set bundle yes crypt-reqd
set ipcp yes vjcomp
set ipcp ranges 192.168.2.2/24 ippool pool1
set ipcp dns 192.168.2.10
set ipcp nbns 192.168.2.2
set bundle enable compression
#    set bundle enable encryption
set ccp yes mppc
set mppc yes e40
set mppc yes e56
set mppc yes e128
set mppc yes stateless
create link template L pptp
set link action bundle B
set link yes acfcomp protocomp
set link enable multilink
set link disable pap
set link enable chap chap-msv1 chap-msv2
set link keep-alive 10 60
set link mtu 1460
set pptp self 0.0.0.0
set pptp disable windowing
set link enable incoming

pptp_vpn:
create bundle static B1
set ipcp ranges 192.168.2.1/32 192.168.3.1/32
set iface route 192.168.3.0/24
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e56
set mppc yes e128
set bundle yes crypt-reqd
set ipcp yes vjcomp
set bundle enable crypt-reqd
set mppc yes stateless

create link static L1 pptp
set link action bundle B1
set link yes acfcomp protocomp
set link enable multilink
set link disable pap
set link disable chap
set link accept chap
set auth authname “user”
set auth password “pass”
set link mtu 1460
set link keep-alive 10 75
set link max-redial 0
set pptp self 211.1.1.1
set pptp peer 71.1.1.1
set link enable incoming
open

Замечания:

192.168.2.1/32 локальный адрес сервера, 192.168.3.1/32 - адрес удаленного сервера.

Без     set link disable pap и set link disable chap не согласовывалось исходящее подключение.

Тут вставилось без табов - нужны, мпд чувствителен к этому.

1. Включить модуль mod_deflate.so

2. Добавить в конфиг:

<IfModule deflate_module>

SetOutputFilter DEFLATE
# исключаем Netscape 4.x, Netscape 4.06-4.08,

BrowserMatch ^Mozilla/4 gzip-only-text/html

BrowserMatch ^Mozilla/4\.0[678] no-gzip

# MSIE маскирующийся под Netscape включаем

BrowserMatch \bMSIE !no-gzip !gzip-only-text/html

# для прокси отключаем сжатие

Header append Vary User-Agent env=!dont-vary
# исключаемые типы файлов

SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png|ico|swf|exe|t?gz|zip|bz2|sit|rar|7z|pdf)$ \

no-gzip dont-vary

</IfModule>

3. В секцию виртуального хоста добавить это: SetOutputFilter DEFLATE

Я не добавлял и так заработало.

Проверить можно либо файрбагом, либо командой:

wget -S --spider http://localhost --header "Accept-Encoding: gzip,deflate" -o /dev/stdout | grep -i content

Как вариант - использовать эту утилиту:

http://iain.cx/src/nssm/

Проверил на 2008R2 - работает.

netsh interface ipv4 set subinterface "Название подключения" mtu=xxxx store=persistent

Взято c Unixforum.org.

Проблема, была в том, что срабатывал только один роутер, а роутер на системные алиасы был ниже, чем на локальные. Переместил выше и добавил unseen, тогда после проверки условия работа не завершается, а передается следующему роутеру. Т.е. стало так:

userforward:
driver = redirect
check_local_user
file = $home/.forward
allow_fail
allow_defer
no_verify
unseen

system_aliases:
driver = redirect
allow_fail
allow_defer
data = ${lookup{$local_part}lsearch{/etc/aliases}}
unseen

Взято с форума Lissyara.su

#!/bin/sh
dir_ssl="/usr/local/etc/apache/ssl"
dir_cert="/usr/local/etc/apache/ssl/cert"
dir_private="/usr/local/etc/apache/ssl/private"

mkdir -p ${dir_cert}
mkdir -p ${dir_private}
chown -R ЮЗЕР:ГРУППА ${dir_ssl}
chmod -R 644 ${dir_ssl}

echo "Создаем секретный RSA ключ (зашифруем в Triple-DES и PEM форматах)(запомним введенную фразу):"
openssl genrsa -rand /dev/random -des3 -out ${dir_private}/server.key 1024

echo "Просматриваем детали вашего RSA ключа (server.key)"
openssl rsa -noout -text -in ${dir_private}/server.key

echo "Создаем расшифрованную версию PEM вашего server.key"
openssl rsa -in ${dir_private}/server.key -out ${dir_private}/server.pem

echo "Создаем файл звапроса сертификата"
openssl req -new -key ${dir_private}/server.pem -out ${dir_cert}/server.crt

echo "Самостоятельно подпишем запрос на сертификат"
openssl x509 -req -days 3650 -in ${dir_cert}/server.crt -signkey ${dir_private}/server.key -out ${dir_cert}/server.crt

echo "Детали запроса на подписку сертификата"
openssl x509 -noout -text -in ${dir_cert}/server.crt

exit 0

Взято с сайта hotfreebsd.ru

Использование portupgrade для обновления установленных из портов программ.

cd /usr/ports/ports-mgmt/portupgrade  && make install clean
??????????????????????????????????????????????????????????????????????
?                Options for portupgrade 2.4.6_2,2                   ?
? ?????????????????????????????????????????????????????????????????? ?
? ?           [X] BDB4  Use Berkeley DB >=2 as backend             ? ?
? ?           [ ] BDB1  Use Berkeley DB 1.85 as backend            ? ?
? ?                                                                ? ?
? ?                                                                ? ?
? ?                                                                ? ?
? ?                                                                ? ?
? ?                                                                ? ?
? ?                                                                ? ?
? ?                                                                ? ?
? ?                                                                ? ?
? ?                                                                ? ?
? ?                                                                ? ?
? ?                                                                ? ?
? ?                                                                ? ?
? ?                                                                ? ?
??????????????????????????????????????????????????????????????????????
?                       [  OK  ]       Cancel                        ?
??????????????????????????????????????????????????????????????????????

WITHOUT_X11=yes

/etc/make.conf

pkg_version -v | grep "need"

apache-2.2.11_3                     <   needs updating (port has 2.2.11_4)
clamav-0.94.2                       <   needs updating (port has 0.95.1_1)
curl-7.19.2                         <   needs updating (port has 7.19.4)
freetype2-2.3.7                     <   needs updating (port has 2.3.9_1)
gamin-0.1.10                        <   needs updating (port has 0.1.10_1)
gio-fam-backend-2.18.4              <   needs updating (port has 2.20.1)
glib-2.18.4                         <   needs updating (port has 2.20.1)
havp-0.88_1                         <   needs updating (port has 0.90)
icu-3.8.1_1                         <   needs updating (port has 3.8.1_2)
libSM-1.1.0,1                       <   needs updating (port has 1.1.0_1,1)
libX11-1.1.3_1,1                    <   needs updating (port has 1.2.1,1)
libslang2-2.1.4                     <   needs updating (port has 2.1.4_1)
m4-1.4.11,1                         <   needs updating (port has 1.4.12,1)
openldap-client-2.4.13              <   needs updating (port has 2.4.16)
pcre-7.8                            <   needs updating (port has 7.9)
perl-5.8.9                          <   needs updating (port has 5.8.9_2)
php5-5.2.8                          <   needs updating (port has 5.2.9)
php5-session-5.2.8                  <   needs updating (port has 5.2.9)
php5-xml-5.2.8                      <   needs updating (port has 5.2.9)
php5-xmlrpc-5.2.8                   <   needs updating (port has 5.2.9)
png-1.2.34                          <   needs updating (port has 1.2.35)
python25-2.5.2_3                    <   needs updating (port has 2.5.4_1)
rtgui-0.2.2_2                       <   needs updating (port has 0.2.7)
rtorrent-devel-0.8.4                <   needs updating (port has 0.8.4_1)
ruby-1.8.6.287,1                    <   needs updating (port has 1.8.7.72_1,1)
ruby18-bdb-0.6.4                    <   needs updating (port has 0.6.5)
squid-3.0.13                        <   needs updating (port has 3.0.14)
trafd-3.0.1_2                       <   needs updating (port has 3.0.2.1)
xmlrpc-c-devel-1.11.00_3            <   needs updating (port has 1.18.00)
xproto-7.0.14                       <   needs updating (port has 7.0.15)

portupgrade имя_обновляемого_порта

1

portupgrade -arR

1

pkgdb  -F

1

pkgdb -fu

After you restart the destination computer, you may experience the following symptoms:

• You receive one of the following Stop error messages:
  • Stop 0×0000007B Inaccessible_Boot_Device
  • STOP: 0×00000079 Hal_Mismatch
• The computer stops responding at startup.
• The computer that is running Windows Server 2008 crashes on startup. This occurs when the source HAL and the target HAL do not match.
• The computer spontaneously restarts when you receive the following message on a black screen early in the restart process:
  Starting Windows 2000
• You cannot configure your display settings.
• The network adapter does not function correctly.

To resolve issues with the display settings or with a network adapter, remove the graphics adapter or the network adapter from Device Manager, and then restart the computer. Windows will redetect the device and possibly prompt you for drivers.

To resolve the problem when the source HAL and the target HAL under Windows Server 2008, follow these steps:

1. Click Start, right-click Command Prompt, and then click Run as administrator.
2. Run the following command: bcdedit /set GUID_identifier detecthal yes

To resolve the Stop error or the problem where a computer stops responding, perform an in-place upgrade of Windows.

Часть конфига:

*** Alerts ***
to = ya@local.com
from = some@local.com

+someloss
type = loss
# in percent
pattern = >0%,*12*,>0%,*12*,>0%
comment = loss 3 times  in a row

+bigloss
type = loss
pattern = >50%
comment = Bigloss

*** Targets ***

probe = FPing

+ Test
menu = Targets
title = Servers
++ site_com_ua
title = www.site.com.ua / HTTP
probe = EchoPingHttp
alerts = bigloss
host = www.site.com.ua

Взято отсюда: http://www.mikepfeiffer.net/2010/03/managing-certificates-using-exchange-2010-management-shell/

При создании сертификата не забывайте добавлять основное имя сертификата к альтернативным именам, иначе аутлук будет ругаться на прокси-сервер и не даст подключиться.

# Creating
$cert = New-ExchangeCertificate -GenerateRequest -SubjectName “c=US, o=Litware, cn=mail.litware.internal” -DomainName

owa.litware.internal,mail.litware.internal -PrivateKeyExportable $true

$cert | Out-File c:\cert.txt

# Go to site with Certsrv and get certificate - template Web-Server

# Import and assigning
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\cert.cer -Encoding Byte -ReadCount 0))

Get-ExchangeCertificate -DomainName owa.litware.internal | Enable-ExchangeCertificate -Services IIS,SMTP

# Export for future use or backup
$file = Get-ExchangeCertificate -DomainName owa.litware.internal | Export-ExchangeCertificate -BinaryEncoded:$true -Password (Get-Credential).password

Set-Content -Path “c:\cert.pfx” -Value $file.FileData -Encoding Byte

# Import exported and assigning
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\cert.pfx -Encoding Byte -ReadCount 0)) -Password:(Get-Credential).password

Get-ExchangeCertificate -DomainName mail.litware.internal | Enable-ExchangeCertificate -Services IIS,SMTP

# Removing
Get-ExchangeCertificate | ?{$_.IsSelfSigned -eq $true} | Remove-ExchangeCertificate -Confirm:$false

И не вздумайте переключаться в панель управления и визуально продолжить начатое - получиться хрень.

https://www.testocsconnectivity.com

Удобно отслеживать логи в реальном времени в Unix - есть для этого tail.

Есть подобное и для Windows: http://ophilipp.free.fr/op_tail.htm

Возникла временная необходимость пробросить порт с внешней машины на внутреннюю под виндой. Случайно наткнулся на хорошую вещицу:

http://www.quantumg.net/portforward.php

Example: isinteg -s server1 -fix -test alltests

Дать команду: powercfg -h off

Столкнулся с такой проблемой при бэкапе на win2k8R2 + Exchange2007SP2:

делаю бэкап с помощью wbadmin и возникает примерно такая ошибка:

Consistency check for component ‘1a0a0e79-76ce-4985-aa99-35f5018b0ed7′\’Microsoft Exchange Server\Microsoft Information Store\SERVER1′ failed. Application ‘Exchange’ will not be avaliable in the backup done at time ‘10/14/2009 8:44:42 AM’

Погуглив некоторое время, нашел решение: http://blogs.technet.com/b/dhardin/archive/2009/10/21/vss-backup-using-windows-server-backup-on-exchange-server-2007-sp2-fails-when-lcr-or-scr-is-enabled.aspx

Рецепт прост:

RESOLUTION

In order to take an online Exchange-aware backup of a server using LCR or serving as an SCR target you must disable the Replica VSS Writer used by LCR.  To do so, follow these steps:

1.  Open Registry Editor and browse to the HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\Replay\Parameters registry key.

2.  Add a new DWORD value named EnableVSSWriter and set the value to 0 (zero).

3.  Restart the Microsoft Exchange Replication Service.

This will allow Windows Server Backup to use the Microsoft Exchange Information Store service’s VSS Writer to perform the backup.  You can confirm that the backup was successful by starting the Recovery Wizard in Windows Server Backup and verifying that you are able to select the Exchange application for recovery.

FreeBSD - проброс портов через NATD

Собственно вот содержимое конфиг-файлов для реализации. Взято из офизиальной документации, см.ниже. Работает либо alias (-a), либо interface (-n) - выбор за вами. Т.е. в конфиге мы указываем либо алиас-адрес, либо интерфейс.

rc.conf

natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"

natd.conf

interface rl0
same_ports
use_sockets
unregistered_only
redirect_port tcp 192.168.0.10:25 25
# редирект идет на 192.168.0.10 с 25го порта на 25й.

rc.firewall

# Я решил не изменять дефолтный:

# Main devert for ALL
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add divert natd all from any to any via ${natd_interface}
fi
;;
esac

# Allow SMTP - обратите внимание - разрешение идет после диверта
${fwcmd} add allow tcp from any to 192.168.2.197 25 via ${oif}

Для запуска 2х инстансов NATD либо так:

rc.firewall

#First NAT

natd -m -u -a ${oip1} -p 8668
${fwcmd} add divert 8668 all from any to any via ${oif2}

# Second NAT
natd -m -u -a ${oip2} -p 8778
${fwcmd} add divert 8778 all from any to any via ${oif2}

либо через natd.conf

# default instance
port 8668
alias_address 158.152.17.1

# second instance
instance dsl1
port 8778
alias_address 192.168.0.1

Сам NATD для перезапуска можно кильнуть: killall natd или kill PID(NATD), а затем запустить /etc/rc.d/natd -f /etc/natd.conf

Либо: /etc/rc.d/natd restart

Важное замечание: разрешающее правило для прохождения пакета должно стоять после диверта, а до этого никких РАЗРЕШАЮЩИХ (запрещающих) правил. Проверено, если стоит разрешающее правило перед дивертом и после диверта тоже разрешающее, то до второго пакет не доходит, даже несмотря на net.inet.ip.fw.one_pass=0

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-natd.html

Как через .batник открыть RDP(3389порт) и создать пользователя чтобы не задеть админа, который онлайн.

Открыть порт

reg add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 1

или

echo off
IF [%1]==[] ( ECHO Usage: %0 computername ) ELSE (
reg add “\\%1\HKLM\SYSTEM\CurrentControlSet\Control\Termina    l Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add “\\%1\HKLM\SYSTEM\CurrentControlSet\Services\Shared    Access\Parameters\FirewallPolicy\DomainProfile\Glo    ballyOpenPorts\List” /v “3389:TCP” /t REG_SZ /d “3389:TCP:LocalSubNet:Enabled:Remote Desktop” /f )
pause

Создать юзера:

net user Name Pass /add
net localgroup Administrators Name /add
net localgroup “Remote Desktop Users” Name /add
net accounts /maxpwage:unlimited
exit

*пасс может потребываться по политике безопасности сложный

Спрятать учетку из логона ХР:

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis   t” /v Admin /t REG_DWORD /d “00000000″ /f

Admin - имя учетки

P.S.: Взято на одном из форумов от PHOEN_i_X.

Имеется сервер с двумя провайдерами и 2 NAT соответственно. Нужно перегрузить демон NATD без перезагрузки системы.

Второй NAT стартует из скрипта rc.firewall.

Даем следующие команды:

ps ax | grep natd - находим PID основного НАТ

kill PID  - убиваем

/etc/rc.d/natd start - стартуем

sh /etc/rc.firewall - обновляем файрволл

Для проверки нам понадобится много чего :

1. Аккаунт на gmail.com c активированным календарем и IMAP4 (SSL).

2. Возможность доступа к нашему серверу по IMAP4 (SSL).

3. FreeBSD (у меня 8я) c Perl + Python + дополнительные библиотеки (список ниже, в статье).

4. Сам скрипт и терпение.

Итак, делаем п1. - думаю с этим проблем нет. Далее на FreeBSD8 (виртуалка) установил из портов Perl, Python и библиотеки указанные в начале скрипта.

Т.к. украинские операторы закрыли возможность отправки смс через интернет (mail), то нам придется воспользоваться услугами Google Calendar и статьей brOziliy. Выдержка из статьи:

Нас интересуют уведомления для календаря по-умолчанию — выставляем уведомление за 1 минуту до события по SMS.
Также нужно привязать к этому аккаунту номер своего мобильного (это делается там же, в настройках календаря).
Далее, следуем по этой ссылке: code.google.com/p/gcalcli/ и качаем GCalCLI — консольная утилита на Python, которая позволяет работать с гугловым календарём.
Всё, что требуется для работы утилиты — описано на странице проекта, там буквально пара Python-модулей.
Для нормальной работы gcalcli нужно его немного допилить (куда ж без этого).
Открываем файл на редактирование идём на строку 226 и меняем её на это:

feedPrefix    = ‘https?://www.google.com/calendar/feeds/’

Думаю, все понятно: скачать консольную утилиту и пару модулей к ней, скомпилировать, допилить :). На FreeBSD8 у меня все прошло на УРА.

Аглоритм такой:  логинимся на Жмыло по IMAP4, очищаем INBOX, отсылаем через наш сервер письмо, ждем 90сек, проверяем письма в INBOX на предмет конкретной темы, то же самое проделываем для нашего сервера. Если письмо не обнаружилось - создается запись в ГуглКалендаре и через минуту приходит СМС. У меня работает на МТС. Теперь сам скрипт (mail.pl):

#!/usr/bin/env perl
use strict;
use warnings;
use Mail::IMAPClient;
use IO::Socket::SSL;
use Net::SMTP;
use Net::SMTP::SSL;

# Readmail and verify
sub read_mail {

my $to = $_[0];
my $subject = $_[1];
my $body = $_[2];
my $sendserver = $_[3];
my $from = $_[4];
my $password = $_[5];
my $readserver = $_[6];
my $user = $_[7];
my $password2 = $_[8];

# Connect to the IMAP server via SSL
my $socket = IO::Socket::SSL->new(
PeerAddr => $readserver,
PeerPort => 993,
)
or die “socket(): $@”;

# Build up a client attached to the SSL socket.
# Login is automatic as usual when we provide User and Password
my $client1 = Mail::IMAPClient->new(
Socket   => $socket,
User     => $user,
Password => $password2,
)
or die “new(): $@”;

# Auth and list folders
print “I’m authenticated at $readserver\n” if $client1->IsAuthenticated();
#my @folders = $client1->folders();
#print join(”\n* “, ‘Folders:’, @folders), “\n”;

# Print messages in INBOX
$client1->select(”INBOX”) or die “Select ‘INBOX’ error: “, $client1->LastError, “\n”;
my @msgs = $client1->messages or warn “No messages: $@\n”;
print join(”\n* “, ‘Messages:’, @msgs), “\n”;

# Delete messages
print “Clearing INBOX …\n”;
scalar(@msgs) and $client1->delete_message(@msgs) or warn “Cannot mark messages as deleted: $@\n”;
$client1->expunge() or warn “Cannot clear INBOX\n”;

# Send mail
print “Sending mail via $sendserver…\n”;
my $smtp;
if ($sendserver eq ‘192.168.1.17′) {
if (not $smtp = Net::SMTP->new($sendserver, Port => 26, Debug => 1)) { die “Could not connect to server\n”; }
}
if ($sendserver ne ‘192.168.1.17′) {
if (not $smtp = Net::SMTP::SSL->new($sendserver, Port => 465, Debug => 1)) { die “Could not connect to server\n”; }
$smtp->auth($from, $password) || die “Authentication failed!\n”;
}
$smtp->mail($from . “\n”);
$smtp->to($to . “\n”);
$smtp->data();
$smtp->datasend(”From: ” . $from . “\n”);
$smtp->datasend(”To: ” . $to . “\n”);
$smtp->datasend(”Subject: ” . $subject . “\n”);
$smtp->datasend(”\n”);
$smtp->datasend($body . “\n”);
$smtp->dataend();
$smtp->quit;

# Sleep for waiting mail
my $i;
print “Waiting for mail 90sec …\n”;
sleep 90;

print “Verifying for new messages in mailbox at $readserver …\n”;

# Getting messages again …
$client1->select(”INBOX”) or die “Select ‘INBOX’ error: “, $client1->LastError, “\n”;
my @msgs2 = $client1->messages or warn “No messages: $@\n”;
print join(”\n* “, ‘Messages:’, @msgs2), “\n”;

# Verify and SMS
# Search message with SUBJECT
my $msgs1 = $client1->search(’SUBJECT “Testmail”‘);
if (@$msgs1) {
print “Found: @$msgs1\n”;
}
if (!@$msgs1)
{
print “Not Found!\n”;
my $sec = ”;
my $min = ”;
my $hour = ”;
($sec, $min, $hour) = (localtime(time))[0,1,2];
$min = $min + 2;
my $theTime = “$hour:$min”;
print “Set alert to $theTime\n”;
print “Sending SMS …\n”;
system(”gcalcli –user my.alert\@gmail.com –pw password quick ‘$theTime MailServer Error!’”);
}
# Say bye
$client1->logout();
}

# ***** Main Program *****

# Verify send from Gmail and read on Exchange
&read_mail(’test@my.com’, ‘Testmail’, ‘Test’, ’smtp.gmail.com’, ‘my.alert@gmail.com’, ‘password’, ‘192.168.1.17′, ‘test@ls.my.com’, ‘password’);
# Verify send from Exchange and read on Gmail
&read_mail(’my.alert@gmail.com’, ‘Testmail’, ‘Test’, ‘192.168.1.17′, ‘test@my.com’, ‘password’, ‘imap.gmail.com’, ‘my.alert@gmail.com’, ‘password’);

Внимание! В тексте встречаются переменные которые не объявлены в начале, но используются при проверке. Кому надо - допилите под себя :).

Огромное спасибо brOziliy за статью на Хабре: http://habrahabr.ru/blogs/sysadm/96099/

Для обслуживания сквидом 2х провайдеров достаточно добавить в конфиг несколько строк:

http_port 192.168.0.1:3128

http_port 192.168.0.1:3129 # добавили второй слушающий порт

acl second_provider myport 3129 # описали acl, в который попадут клиенты, обратившиеся на порт 3129

tcp_outgoing_address 111.111.111.111 second_provider # 111.111.111.111 - локальный адрес интерфейса, на котором у нас вторая линия

Мои скрипты для резервирования канала Интернет. (FreeBSD 7.2 - 8).  Написано на основе одной из статей с сайта OpenNet.Ru.

reserve.sh (добавлено к crontab для запуска каждую минуту)

#!/bin/sh
PATH=”/sbin:/usr/bin”

#Main Provider Router
ISP1=”111.111.111.1″

#Second Provider Router
ISP2=”222.222.222.1″

#IF 2 channels don’t work - will be set it
DEFAULT_ISP=”111.111.111.1″

# IP’s for ping
OVER_ISP1=”444.444.444.4″
OVER_ISP2=”333.333.333.3″

# Local source IP’s
IP1=”111.111.111.2″
IP2=”222.222.222.2″

# Verify routes
netstat -nr | grep ${OVER_ISP1} >/dev/null 2>&1
if [ $? != 0 ]; then
echo “Add static route to ${OVER_ISP1} via ${ISP1}”
route add ${OVER_ISP1} ${ISP1} -static
fi
netstat -nr | grep ${OVER_ISP2} >/dev/null 2>&1
if [ $? != 0 ]; then
echo “Add static route to ${OVER_ISP2} via  ${ISP2}”
route add ${OVER_ISP2} ${ISP2} -static
fi
# What is work now
current_now=`netstat -nr | grep default | awk ‘{print $2}’`
echo -n “ping over ISP1:”
ping -c 2 -S ${IP1} ${OVER_ISP1} >/dev/null 2>&1
if [ $? -eq 0 ]; then
echo ” [OK]”
ISP1_stat=0
else
echo ” [FAILED]”
ISP1_stat=1
mail -s “Main Internet-channel FAILED” root < /dev/null
fi
echo -n “ping over ISP2:”
ping -c 1 -S ${IP2} ${OVER_ISP2} >/dev/null 2>&1
if [ $? -eq 0 ]; then
echo ” [OK]”
ISP2_stat=0
else
echo ” [FAILED]”
ISP2_stat=1
mail -s “Second Internet-channel FAILED” root < /dev/null
fi
if [ ${ISP1_stat} -eq 1 -a ${ISP2_stat} -eq 0 -a ${current_now} = ${ISP1} ]; then
# Для FreeBSD8 строка такая: if [ ${ISP1_stat} -eq 1 -a ${ISP2_stat} -eq 0 -a "${current_now} = ${ISP1}" ]; then
echo “ISP1 suck”
route delete default
route add default ${ISP2}
mail -s “Main Internet-channel FAILED - switching to Second” root < /dev/null
fi
if [ ${ISP1_stat} -eq 0 -a ${current_now} != ${ISP1} ]; then
# Для FreeBSD8: if [ ${ISP1_stat} -eq 0 -a "${current_now} != ${ISP1}" ]; then
echo “Back to ISP1″
route delete default
route add default ${ISP1}
/usr/local/etc/racoon/setkey.conf
mail -s “Main Internet-channel OK - switching back to MAIN” root < /dev/null
fi

В один прекрасный момент сервер Exchange перестал принимать почту. Как оказалось, на диске осталось менее 4Гб свободного места и сработала автоматическая защита. Как первое решение - я отключил автозащиту проверяющую свободное место на диске. Добавил скрипт который уведомляет меня ежедневно о наличии свободного места и размере почтовых ящиков:

Add-PSSnapin Microsoft.Exchange.Management.Powershell.Admin -erroraction silentlyContinue

###Отправка сценария статистики почтовых ящиков

###Сначала, администратор должен изменить значения сообщения следующим образом
$FromAddress = “my@my.com”
$ToAddress = “my@my.com”
$MessageSubject = “Mailbox Size Report”
$MessageBody = “Attached is the current list of mailbox sizes.”
$SendingServer = “SERVER”

###Теперь получить статистику и сохранить ее в текстовом файле
Get-MailboxStatistics | Sort-Object TotalItemSize -Descending | ft displayName,@{label=”TotalItemSize(KB)”;expression={$_.TotalItemSize.Value.ToKB()}},ItemCount > C:\Backup\Mailboxes.txt

###Создать сообщение и добавить текстовый файл статистики как вкладыш
$systemdrive = new-object System.IO.DriveInfo($Env:SystemDrive)
$MessageBody = echo $systemdrive | findstr TotalFreeSpace
$SMTPMessage = New-Object System.Net.Mail.MailMessage $FromAddress,$ToAddress,$MessageSubject,$MessageBody
$Attachment = New-Object Net.Mail.Attachment(”C:\Backup\Mailboxes.txt”)
$SMTPMessage.Attachments.Add($Attachment)

###Отправить сообщение
$SMTPClient = New-Object System.Net.Mail.SMTPClient $SendingServer
$SMTPClient.Send($SMTPMessage)

Далее начал чистить …

Сначала удалил все логи Exchange, затем IIS коих насобиралось 1.5Гб.

Далее проверил размер почтовых ящиков и суммарный объем показал 32Гб.

Далее в папке хранения БД обнаружилось логов транзакций аж на 150Гб. После гугления на предмет: а шо ж будет если их просто грохнуть, нашел замечательные статьи на эту тему. Ссылки ниже, а сейчас просто выдержки из них:

Если все базы данных в группе хранения отключены и находятся в состоянии «чистого» отключения, все файлы журнала можно безопасно удалить без последствий для баз данных. После удаления всех файлов журнала Exchange создаст новую последовательность файлов журнала, начинающуюся с Enn00000001.log. Файлы баз данных можно также переместить на другой сервер или в другую группу хранения с существующими файлами журнала, при этом базы данных подключатся к другому потоку журнала.

• 1. Главный, он же правильный метод, это своевременное резервное копирование Microsoft Exchange Server с помощью специально предназначенных для этого программ. Они это делают с помощью специального API, простым файловым бекапом копировать базу нельзя, т.к. файлы базы, логов и вспомогательных файлов будут открыты и не скопируются. Исключением является размонтирование базы и ее копирование, как файла. Но это не рекомендуется.
• 2. Перемещение логов или баз  на другой диск
• 3. Размонтирование баз и  удаление вручную ВСЕХ логов. Для большей надежности лучше убедиться в корректном закрытии базы(eseutil /MH) и проверить последний сброшенный в базу лог (eseutil /MK)
• 4. Проверка последнего сброшенного в базу лога (eseutil /MK) и удаление всех ненужных. Последний сброшенный лог можно определить командой:

C:\eseutil /mk «C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\E00.chk» |find » Checkpoint:»

Checkpoint: (0×21,8,16)

0×21 означает, что файлы E0000000020.log и старше, т.е. E0000000019.log, можно спокойно удалить.

Что собственно и  делает программа резервного копирования. Full backup делает бекап базы+ бекап логов, потом ненужные логи удаляет.  Incremental бекап тупо копирует логи с момента Full backup и удаляет проигранные в базу.

Если лень удалять файлы вручную, то можно использовать скрипт на PowerShell.

$temp = (eseutil /mk «C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group\E00.chk»)[13]

$Bottom_Log_File = $temp.remove($temp.IndexOf(«,»)).remove(0,$temp.IndexOf(«x»)+1)
Get-ChildItem «C:\Program Files\Microsoft\Exchange Server\Mailbox\First Storage Group» | Where-Object { $_.Name.Length -eq 15 -AND $_.Name -like «E00*.log» -AND $_.Name.Substring(3+8-$Bottom_Log_File.length,$Bottom_Log_File.length) -lt $Bottom_Log_File } | foreach($_) {remove-item $_.fullname}

Для запуска скрипта по времени можно вставить конструкцию powershell.exe -noexit D:\Purge_Exchange_T_Logs_3rdSGroup_LCR.ps1 в Tasks Scheduler.

Скажем в малююююююсеньких компаниях вполне возможен следующий сценарий бекапа:

1. Размонтирование хранилища
2. Копирование файла базы сообщений
3. Удаление всех логов
4. Монтирование базы.

Если по ночам сервер не используется и базы можно размонтировать, то чем плохо? Бесплатно и быстро.

Ссылки:

http://technet.microsoft.com/ru-ru/library/bb331951%28EXCHG.80%29.aspx

http://www.exchangerus.ru/2009/07/01/%D1%83%D0%B4%D0%B0%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BB%D0%BE%D0%B3%D0%BE%D0%B2-%D1%82%D1%80%D0%B0%D0%BD%D0%B7%D0%B0%D0%BA%D1%86%D0%B8%D0%B9-%D0%B2-microsoft-exchange-server-2007/

http://www.winblog.ru/2006/11/10/10110604.html

Задача: автоматизировать процесс резервирования-восстановления основного раздела (диск С).

Как это получилось у меня.

Я создал загрузочный CD который при загрузке выдает меню Backup, Restore, Exit. Backup автоматически без учпстия пользователя делает образ диска С на диск Д (в .gho). Restore - автоматически восстанавливает диск С из образа хранящегося на диске Д.

1. Нагуглил загрузочный образ Ghost (11Мб, Windows 98 command prompt).

2. С помощью 7zip извлек boot image.

3. C помощью UltraISO заменил autoexec.bat на свой (содержимое ниже). Извлечь boot image можно и с помощью UltraISO.

4. Открыл в UltraISO Ghost.iso и изменил загрузочный образ на измененный. И добавил файл CHOICE.EXE т.к. в 98й не работает опция SET /P.

5. Теперь содержимое autoexec.bat c комментами:

ECHO OFF
MOUSE.COM
LH \MSCDEX.EXE /L:X /D:JERRY
smartdrv.exe
CLS
X:\
:MENU
ECHO.
ECHO ………………………………………..
ECHO PRESS 1 or 2 to select your task, or 3 to EXIT.
ECHO ………………………………………..
ECHO.
ECHO 1 - Backup partition C (first)
ECHO 2 - Restore partition C from backup
ECHO 3 - EXIT
ECHO.
ECHO Type 1, 2, or 3, then press ENTER:
CHOICE /C:123
IF ERRORLEVEL 3 GOTO EOF
IF ERRORLEVEL 2 GOTO RESTORE
IF ERRORLEVEL 1 GOTO BACKUP
:BACKUP
echo Starting backup …
pause
ghost -clone,mode=pdump,src=1:1,dst=1:2\Disk_C.gho -Z1 -NTCHKDSK -NTIL -NTIC -batch
GOTO MENU

:RESTORE
echo Starting restore …
pause
ghost -clone,mode=pload,src=1:2\Disk_C.gho:1,dst=1:1 -fx -sure -batch
GOTO MENU

:EOF

Обращаю внимание на строчку src=1:2\Disk_C.gho:1 - мы указываем что образ лежит на первом жестком диске, раздел 2 (диск Д) и в этом образе берем раздел 1 (диск С). Из-под DOS мы не увидим NTFS-drive откуда брали и куда мы сохраняли образ диска, но Ghost прекрасно видит :).

Ссылки живые на момент написания:

http://www.4shared.com/file/76731618/c9bb569a/BOOT_CD_GHOST_11.html

http://www.tech-forums.net/computer_articles/restore/restore-disk.php - позже нашел - очень хорошая статья с иллюстрациями.

Как сделать по-другому: создать любой загрузочный диск с DOS, дополнить своим autoexec.bat, запихнуть туда ghost, если не помещается - расширить загрузочный диск (есть такая опция).

@cls
@echo off
echo 1. Verifying services
echo —————————————-
echo WUASERV   &&@Sc.exe query wuauserv | findstr STATE
echo BITS      &&@Sc.exe query bits | findstr STATE
echo WINDEFEND &&@Sc.exe query windefend | findstr STATE
echo —————————————-
echo #
echo 2. Verifying netsvc in registry
echo —————————————-
@reg query “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs”
echo —————————————-
echo #
echo 3. Autorun turn OFF
echo —————————————-
@reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
echo —————————————-
echo #
echo 4. Show hiding files turn ON
echo —————————————-
@reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0×1 /f
echo —————————————-
echo #
echo 5. Windows Defender detect autorun turn ON
echo —————————————-
@reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v “Windows Defender” /t REG_EXPAND_SZ /d “%ProgramFiles%\Windows Defender\MSASCui.exe -hide” /f
echo —————————————-
echo Done …
pause

Решил попробовать бэкап для Exchange по следующему рецепту: http://theessentialexchange.com/blogs/michael/archive/2009/04/11/backing-up-exchange-2007-on-windows-2008.aspx

Все бы хорошо, но выполнение скрипта, как мне показалось, уж слишком затянулось и я решил прервать его таскменеджером.

После данных манипуляций в системе остался “след” скрипта - диск G (неудаленная shadow copy диска).

Пришло время собирать камни и я решил от него избавиться - некрасиво как-то и не только.

Убиваем эту копию утилитой diskshadow:

• запускаем cmd - даем команду diskshadow - попадаем в консоль данной утилиты (либо читаем хелп по ней и мастерим скрипт-файл)
• в консоли я дал команду: delete shadows exposed G:

В результате, у меня пропал диск G и добавилось около 20Гб свободного места на основном диске :).

В продолжение предыдущей статьи о загрузке HirensBootCD, возникла необходимость проделать все то же с помощью WDS (Windows Deployment Services).

Имеется установленный сервер Windows 2008 Server R2 с ролью WDS (К слову сказать, сервер установлен как виртуальная машина в середе VMWareServer2).

1. Скачиваем HirensBootCD (на момент написания статьи это версия 10.4) http://www.hirensbootcd.net/

2. Скачиваем syslinux http://www.kernel.org/pub/linux/utils/boot/syslinux/

3. Копируем на сервер WDS в папку C:\RemoteInstall\Boot\x86 (или где она у вас там) следующие файлы:

• из syslinux \com32\menu\vesamenu.c32
• из syslinux \core\pxelinux.0
• из Hirens \HBCD\memdisk
• из Hirens сам образ диска переименованный в hirens.iso
  
• берем любую картинку - делаем ее формата png или jpg размером 640 на 480, например space.jpg (копируем туда же)

4. В папке C:\RemoteInstall\Boot\x86 находим файл wdsnbp.com и переименовываем в original_wdsnbp.com (например).

5. Скопированный нами туда pxelinux.0 переименовываем в wdsnbp.com (в предыдущих версиях сервера (до R2) можно было просто указать файл в Server properties, Boot tab, не переименовывая). Либо даем команды серверу (имеется в виду что pxelinux.0 переименован в pxelinux.com):

WDSUTIL /Set-Server /BootProgram:boot\x86\pxelinux.com /Architecture:x86

WDSUTIL /Set-Server /N12BootProgram:boot\x86\pxelinux.com /Architecture:x86

WDSUTIL /Set-Server /BootProgram:boot\x64\pxelinux.com /Architecture:x64

WDSUTIL /Set-Server /N12BootProgram:boot\x64\pxelinux.com /Architecture:x64

6. Делаем копию pxeboot.n12 и переименовываем в pxeboot.0

7. В С:\RemoteInstall\Boot\x86 создаем подпапку pxelinux.cfg

8. В ней создаем файл с именем default следующего содержания:

DEFAULT      vesamenu.c32
PROMPT       0
NOESCAPE     0
ALLOWOPTIONS 0
# Timeout in units of 1/10 s
TIMEOUT 300
MENU WIDTH 40
MENU MARGIN 0
MENU ROWS 12
MENU TIMEOUTROW 14
MENU HSHIFT 5
MENU VSHIFT 2
MENU COLOR BORDER 30;44       #00000000 #00000000 none
MENU COLOR TABMSG 1;36;44     #00000000 #00000000 none
MENU COLOR TITLE 1;36;44     #00000000 #00000000 none
MENU COLOR SEL   30;47       #40000000 #20ffffff
MENU BACKGROUND space.jpg

MENU TITLE PXE Boot menu
MENU WIDTH 80
MENU MARGIN 18
MENU ROWS 4

LABEL wds
MENU       DEFAULT
MENU       LABEL Windows Deployment Services
KERNEL     pxeboot.0

LABEL local
MENU LABEL Boot from Harddisk
LOCALBOOT 0

LABEL Hirens
MENU LABEL Hirens
KERNEL memdisk
INITRD hirens.iso
APPEND iso

9. Перезапускаем сервер WDS.

В результате, мы получим возможность загрузки с локального диска, продолжить работу с WDS (все что было настроено до этого - работает) и загрузить HirensBootCD. Аналогично, можно подготовить и добавить образов загрузки на базе загрузчика syslinux и т.п.

И еще. Не пугайтесь, когда при загрузке WDS вы увидите только x86 или x64 варианты загрузки - смело выбирайте сетап и далее в одном из шагов можно выбрать желаемую архитектуру.

Ссылки:

http://killerbits.com/myblog/wds-rhel-linux

http://www.deployvista.com/Home/tabid/36/EntryID/65/language/en-US/Default.aspx

http://www.deployvista.com/Home/tabid/36/EntryID/67/language/en-US/Default.aspx

Скриншоты:

Исходные данные: Win2k3R2 with IIS.

1. Устанавливаем Visual Studio 2008 SP1.

2. Устанавливаем необходимые SDK.

3. Устанавливаем Collabnet SVN client only.

4. Устанавливаем CruiseControl.NET.

5. Настраиваем IIS:

• Открываем IIS Manager, создаем New Web Site по правой клавише на Web Sites.
• Запустится визард.
• Жмем Next, вводим имя сайта CCNet (например) и жмем Next, далее снова Next, если ставим все по-умолчанию (порт, заголовок и т.п.).
• Выбираем C:\%ProgramFiles%\CruiseControl.NET\webdashboard как рабочуб директорию нашего сайта и жмем Next.
• Ставим галочки ‘Read’ и ‘Run scripts’, и жмем Next. Веб-сайт будет создан.

6. Переходим в папку C:\%ProgramFiles%\CruiseControl.NET\server и редактируем файл ccnet.conf, приводим его к след виду:

<cruisecontrol>

<project name=”AMP3″>

<webURL>http://192.168.1.166:80</webURL> <!– Адрес и порт нашего вебсервера, настроенного в п.5 –>

<workingDirectory>C:\Projects\AMP3Working</workingDirectory> <!– Рабочий каталог проекта, сюда будут вытягиваться сырцы из СВН и строиться билды –>

<artifactDirectory>C:\Projects\AMP3Artifact</artifactDirectory> <!– Каталог для логов –>

<sourcecontrol type=”svn”> <!– Секция для СВН –>

<trunkUrl>svn://192.168.1.26/AMP3/trunk/AmazonMP3</trunkUrl> <!– Собственно, линк к исходникам –>

<workingDirectory>C:\Projects\AMP3Working</workingDirectory> <!– Сырцы класть сюда –>

<username>user</username>

<password>password</password>

<autoGetSource>true</autoGetSource> <!– Автоматически получать сырцы –>

<executable>C:\Program Files\CollabNet\Subversion Client\svn.exe</executable> <!– Путь к файлу-клиенту СВН –>

</sourcecontrol>

<triggers>

<intervalTrigger seconds=”60″/> <!– Интервал для проверки изменений в СВН и последующих действий –>

</triggers>

<tasks>

<devenv> <!– Секция для запуска процедуры сборки –>

<solutionfile>AMP3.sln</solutionfile> <!– Файл описания проекта, обычно лежит в корне рабочей папки и вытягивается из СВН как и все остальное –>

<configuration>Debug</configuration>

<buildtype>Build</buildtype>

<project>AMP3</project> <!– Имя проекта должно совпадать с именем проекта в файле описания, solution –>

<executable>C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\devenv.com</executable> <!– Путь к компилятору –>

<buildTimeoutSeconds>600</buildTimeoutSeconds> <!– Время на сборку –>

<version>VS2008</version>

</devenv>

</tasks>

</project>

</cruisecontrol>

P.S.: Для второго проекта нужно было запускать батники для сборки, поэтому в конфиг позже были добавлены такие строки:

<project name=”P2″>
<webURL>http://192.168.1.166:80</webURL>
<workingDirectory>C:\Projects\P2Working</workingDirectory>
<artifactDirectory>C:\Projects\P2Artifact</artifactDirectory>
<sourcecontrol type=”svn”>
<trunkUrl>svn://192.168.1.2/P2/Inner_build</trunkUrl>
<workingDirectory>C:\Projects\P2Working</workingDirectory>
<username>p2</username>
<password>p2</password>
<autoGetSource>true</autoGetSource>
<executable>C:\Program Files\CollabNet\Subversion Client\svn.exe</executable>
</sourcecontrol>
<triggers>
<intervalTrigger seconds=”60″/>
</triggers>
<prebuild>
<exec>
<baseDirectory>C:\Projects\P2Working\Inner_build\Utils</baseDirectory>
<executable>C:\Projects\P2Working\Inner_build\Utils\copy_all_headers.bat</executable>
</exec>
</prebuild>
<tasks>
<exec>
<baseDirectory>C:\Projects\P2Working\Inner_build\AutoBuild</baseDirectory>
<executable>C:\Projects\P2Working\Inner_build\AutoBuild\build.bat</executable>
<buildTimeoutSeconds>3600</buildTimeoutSeconds>
</exec>
</tasks>
</project>

7. Для проверки работоспособности запускаем сначала консольный вариант сервера ccnet.exe.

Если что-то не так, - напишет соответствующее сообщение. Если все ОК - services.msc - ставим службе CruiseControl автоматичесий запуск.

8. Используемые ссылки:

http://confluence.public.thoughtworks.org/display/CCNET/Visual+Studio+Task

http://confluence.public.thoughtworks.org/display/CCNET/Task+And+Publisher+Blocks

http://confluence.public.thoughtworks.org/display/CCNET/Email+Publisher

http://confluence.public.thoughtworks.org/display/CCNET/Build+Publisher

http://confluence.public.thoughtworks.org/display/CCNET/Subversion+Source+Control+Block

http://wiki.agiledev.ru/doku.php?id=automation:build_package_deploy

http://ilmatte.wordpress.com/2008/06/01/cruisecontrolnet-tutorial-part-1/#ccnettutinstallccnet

http://elegantcode.com/2009/02/10/getting-cruisecontrolnet-working-with-svn-over-https/

http://weblogs.asp.net/jdanforth/pages/How-to-Hook-Up-a-VS.NET-2005-Solution-With-CruiseControl.NET-in-a-Few-Minutes.aspx

https://oss.werkbold.de/trac-cc

https://oss.werkbold.de/trac-cc/wiki/CruiseControlSection

9. Скриншоты:

Задача: необходимо загрузить инсталл операционки или утилиты по PXE.

Нагуглил замечательную штуку http://www.ultimatedeployment.org/ - версия UDA 2.0 beta

Установил, опробовал - понравилось.

Итак, возможности данного образа весьма интересны: Unattended OS installations (Windows, Linux, ESX, Solaris).

Я проверил инсталл ESXi 4.0, Win2k3, WinXP - все прошло успешно, думаю, Linux тоже встанет без проблем. Отмечу некоторые сложности при установке Windows: на новых и не очень сетевых платах (я использовал встроенные) загрузка винды не пройдет из-за отсутсвия драйвера. Как это поправить описано на форуме и, если будет воодушевеление, я добавлю это в эту статью. Сейчас же я хочу акцентировать внимание на загрузке различных вспомогательных утилит вроде тестирования дисков, памяти, и т.п. Само UDA2 поддерживает загрузку “утилит” BartPE(требует образ винды), Clonezilla Live, GpartedLive, - мне это все неитересно - не пользуюсь. Зато очень важно для меня использование HirensBootCD.

Первые поиски привели меня сюда: http://www.ultimatedeployment.org/forum/viewtopic.php?f=5&t=103

Пост Dave.Mishchenko натолкнул меня на правильный путь и для теста я реализовал это. Теперь пошагово :).

1. Я зашел на веб-морду моего PXE-сервера и инициировал добавление новой ОС - меню OS. Вписал Flavor name: MHDDPlus, Operating System: Manual Configuration.

2. Далее на запрос Kernel щелкаем в окошке ввода - сработает форма выбора образа ядра, я взял memdisk из комплекта HirensBootCD 10.4, а Initrd из поста выше bdos. Жмем Next - новый пункт меню создан.

3. Идем в пункт меню Templates, жмем New. Template name: MHDDPlusTemplate, Operating System: Manual configuration, Flavor: MHDDPlus, Description: ваше описание для шаблона. Жмем Next и Finish - шаблон создан.

Обращаю внимание на то, что образы ядра и загрузчика будут загружены на сервер в соответсвующую папку /var/public/tftproot/manual/MHDDPlus, а в файле меню /var/public/tftproot/pxelinux.cfg/templates/MHDDPlusTemplate.menu будет прописано следующее:

MENU TITLE Template MHDDPlusTemplate

DEFAULT default
TIMEOUT 1
LABEL default
MENU LABEL default
KERNEL manual/MHDDPlus/memdisk
APPEND initrd=manual/MHDDPlus/bdos

С первого раза получился глюк и вместо коррекнтых путей у меня вписало пути виндовой машины откуда я закачивал образы - пришлось править.

Все - грузим необходимую машину по PXE, выбираем в меню соответствующий пункт и получаем наши утилиты.

Снова замечание: нет драйверов для SCSI и т.п., а это не есть хорошо. Но при желании можно расковырять образ bdos - открывается 7zip и поправить недостающее.

Все хорошо, но, все же, хотелось бы иметь весь Hirens :).

Подняв инфу о memdisk - имеем следующее: http://syslinux.zytor.com/wiki/index.php/MEMDISK#ISO_images

Ключевой пункт:

ISO images

For ISO images, the parameter ‘iso’ must be passed to MEMDISK.

LABEL hdt_iso
  LINUX memdisk
  INITRD hdt.iso
  APPEND iso

Это навело меня на некоторые мысли, которые реализовались в ЭТО :).

1. Создаем новую запись ОС через веб-морду  с именем HirensISO и и типом ОС Manual configuration как я описывал выше.

2. Указываем образ ядра как и ранее memdisk из комплекта Hirens, initrd - сам Hirens.iso, Default command line: INITRD=iso. Я закачивал на сервер образ Hirens98.iso вручную через WinSCP.

3. Создаем шаблон так же как я описал ранее.

4. Проверяем чтобы файл меню /var/public/tftproot/pxelinux.cfg/templates/HirensISO.menu выглядел следующим образом:

MENU TITLE Template HirensISO

DEFAULT default
TIMEOUT 1
LABEL default
MENU LABEL default
KERNEL manual/Hirens/memdisk
INITRD manual/HirensISO/Hirens98.iso
APPEND iso

5. Ваааау! Радости то скоко - работает!

Примечания:

Сам образ UDA2 собран на CentOS. Если кто привык работать с MC, - ставим как обычно: yum install mc

Все хозяйство для инсталляции и меню собрано в папке /var/public/tftproot. В ходе экспериментов правил там все что мне нужно было.

Загрузка Mini WindowsXP не пошла - ушло в ребут.

Скиншоты:

Задача: Нужно создать коннектор с разрешением принимать от анонимусов для внутренних приложений и серверов типа CRM и т.п.
                    Имеем предварительно настроенные принимающий коннектор для получения почты от любых клиентов на 25 порту, а также коннектор для возможности отправки почты от аутентифицированных клиентов на 587 порту.

                    С помощью консоли (или PowerShell) создаем коннектор тип Custom, ставим порт 26, ставим слушающий адрес - внутренний адрес сервера, выбираем от каких адресов будем принимать (например, 192.168.1.0/24). В свойствах коннектора ставим разрешение для анонимных пользователей.
                    Это еще не все :).
                    Чтобы через этот коннектор можно было отправлять почту на любые адреса, нужно дать разрешение - даем команду в PowerShell:
Get-ReceiveConnector “Имя коннектора” | Add-ADPermission -User “NT AUTHORITY\ANONYMOUS LOGON” -ExtendedRights “ms-Exch-SMTP-Accept-Any-Recipient”

Задача: разрешить аутентификацию NTLM через Exchange RPC Proxy и чтобы Basic тоже работала.
После длительных поисков нашел замечательную статью на этот счет (http://cid-a19e3265de255fbb.spaces.live.com/blog/cns!A19E3265DE255FBB!2221.entry).

Коротко, делаем так:

If it doesn’t have “Basic, NTLM” and only NTLM, then run this command in PowerShell.
get-outlookanywhere | set-outlookanywhere -IISauthentication basic,Ntlm
Этого я не делал: get-outlookanywhere | set-outlookanywhere -Clientauthentication basic,Ntlm

When an Outlook client using Outlook Anywhere tries to connect to Exchange 2007 running on Windows Server 2008, the client receives repeated prompts to enter their credentials and can’t connect.
This is because Internet Information Services (IIS) 7.0, the Web server role in Windows Server 2008, has kernel mode enabled by default for Integrated Windows authentication.
%systemroot%\system32\inetsrv\AppCmd.exe set config /section:system.webServer/security/authentication/windowsAuthentication /useKernelMode:false
appcmd.exe Stop Site “Default Web Site”
appcmd.exe Start Site “Default Web Site”

When Exchange 2007 is run under Windows Server 2008, clients who use Exchange 2007 may be repeatedly prompted for their credentials during Outlook Anywhere sessions. This issue occurs when NTLM Authentication is selected as the authentication method in the Exchange Proxy Settings dialog box for the Outlook profile on the client computer. This issue does not occur if Basic Authentication is selected as the authentication method in the Exchange Proxy Settings dialog box. By default, Kernel Mode Authentication is enabled in Internet Information Services (IIS) 7.0 on the Client Access server. To resolve this issue, disable Kernel Mode Authentication for Client Access servers that are running Windows Server 2008.
%systemroot%\system32\inetsrv\AppCmd.exe set config /section:system.webServer/security/authentication/windowsAuthentication /useKernelMode:false

Следуя поговорке «предупрежден - значит вооружен», решил поставить IDS и Rsyslog в пределах вверенной мне сети.

Сначала, был опробован OSSIM (http://www.alienvault.com/products.php?section=OpenSourceSIM). Однако, мне он показался слишком мудреным и туговатым в настроуке, несмотря на наличие обширного веб-интерфейса. После некоторых поисков, я остановился на EasyIDS (http://www.skynet-solutions.net/easyids/). Это Snort + NTOP + Arpwatch + … в одном флаконе на базе CentOS 5.2. Выглядит попроще, чем OSSIM, но и более проста в настройке, как по мне. Итак, начнем …

Для начала, я провел подготовительные работы:

1.       Имеем DHCP-сервер. Я зарезервировал IP для IDS. (Рекомендации по установке)

2.       Развернем систему на виртуальной машине в среде VMWare ESXi 4. Для этого была докуплена дополнительная сетевая плата Intel 1000MT (40$) и создан еще один Virtual Switch в ESXi, куда и вошла эта сетевая. Внимание! Нужно включить на этом свитче Promiscuous mode.

3.       На управляемом свитче AT-8000S настроил «Port Mirroring». Source port - порт моего инет-шлюза смотрящий во внутреннюю сеть, Destination Port - порт, куда смотрит дополнительная сетевая плата ESXi. При этом Destination Port «изолируется».

Переходим непосредственно к установке.

Заливаем скачанный образ «EasyIDS-0.4.iso» в хранилище ESXi. Создаем виртуальную машину: я выбрал шаблон Debian 5 32-bit, 8Gb HDD, 512Mb Memory, подключил основную сетевую и дополнительную, CD c замапленным ISO.

Установка проходит без проблем - указываем все запрошенные данные, запоминаем рутовый пароль и для mysql. Система сама получит адрес по DHCP на первый интерфейс eth0, второй интерфейс eth1 будет «слушать» то что идет через шлюз из нашей сети.

Уже на данном этапе мы можем зайти на страничку браузером и посмотреть результат: по-умолчанию Login: admin

Password: password

Система уже работает и собирает данные.

Чтобы не смотреть все время логи, настроим уведомление по e-mail: Settings - Snort - Notify Settings.

Все конфиги можно отредактировать через веб, либо прямо в системе - все просто и понятно.

Не буду описывать все пункты меню J, остановлюсь на пунке Analysis - мне очень нравится смотреть отчет NTOP:

Видим, что 84 хост усиленно качал, следующий за ним и 48 тоже развил небывалую активность (см. Host Contacts), жмакаем на хост - попадаем в отчет - смотрим по какому протоколу - HTTP - иду ставить клизму. По колонке Host Contacts можно сразу определить кто использует торренты J.

На мыло мне приходят такие сообщения, например:

easyids detected ICMP Destination Unreachable Communication Administratively Prohibited from 195.66.138.10 to 192.168.2.139 11 times last at 2010-01-06 10:54:21

easyids detected SQL probe response overflow attempt from 69.203.141.40 to 192.168.2.236 2 times last at 2010-01-06 10:51:28

Первый тип приходит регулярно, на него можно не обращать внимания. Нагуглил вот такое:
In your snort.conf, the default value for your SQL servers is:
var SQL_SERVERS $HOME_NET
Replace $HOME_NET with the actual IP addrs of any internal SQL servers.
Or comment out the alert for SID 2329 in sql.rules.
Then you won’t see these false positives any more.

Идем дальше - прилепим сюда же систему централизованного сбора логов с Win-серверов.

Логинимся в систему либо через консоль ESXi, либо через SSH.

Без mc неудобно J - ставим (нужен инет):

yum install mc

Можно жить! J

Устанавливаем rsyslog вместо стандартного syslog.

Делал по этой статье http://openskill.info/infobox.php?ID=1475, поставил и снес ввиду устаревшего дистриба.

В репозиториях CentOS была версия 2.0.6, хотя на официальном сайте уже намного свежее - скачиваем понравившийся, на тот момент была версия 5.5.1: http://rsyslog.com/, там же куча документации и т.п.

Распаковываем и приступаем к конфигурированию и компиляции. Тут не забываем включить поддержку mysql:

./configure - -enable-mysql - -enable-rsyslogd - -enable-mail

Компилируем:

make

и … облом - вылетаем с ошибкой. Погуглив, нахожу решение, видимо не понравилась виртуальная среда: чтобы не запускать конфиг поновой - иду в соданный Makefile и добавляю в переменную CFLAGS новый флаг “-march=i686″.

Или поновой:

./configure CFLAGS=”-march=i686“ - -enable-mysql - -enable-rsyslogd - -enable-mail

Все проходит на ура. Устанавливаем:

make install

Создаем базу в mysql если она не создана автоматом (файлик находится в папке дистрибутива /plugins/ommysql/createDB.sql):

mysql  -uroot -p”password” < createDB.sql

Создаем пользователя для базы:

adduser syslog

Даем разрешения на базу для пользователя, прописываем в /etc/rsyslog.conf и /path/top/phplogcon/config.php.

mysql> grant all on Syslog.* to syslog@localhost identified by ‘mypass’;

mysql> flush privileges ;

Активируем rsyslog в автозагрузке (и деактивируем syslog)

chkconfig syslog off

chkconfig rsyslog on

Если такого сервиса не оказалось - создаем rsyslog.sh и кладем в init.d:

Даем команду:

chkconfig -add rsyslog

Правим конфиг /etc/rsyslog.conf

Краткое пояснение: загружаются модули для mysql, udp, tcp, mail, все события пишутся в базу mysql и локальные файлы. Для сообщения с пометкой ALERT и ERR генерятся сообщения и отправляются по e-mail.

В /etc/sysconfig/rsyslog правим строку к виду:

SYSLOGD_OPTIONS=”-c4″

Чтобы не наступать на грабли, как я J, в системе по-умолчанию работает строгий файрволл. Поэтому идем в /etc/sysconfig/iptables и добавляем перед всеобщим дропом, т.е. открываем 514 порт udp и tcp:

-A RH-Firewall-1-INPUT -m state –state NEW -m udp -p udp –dport 514 -j ACCEPT

-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 514 -j ACCEPT

Ставим PHPLogCon для визуализации.

При первом входе на страничку потребуется пройти по шагам для создания конфиг-файла. Не забудьте выбрать источник событий - база данных.

С серверной частью все - перейдем к клиентской.

Клиентами у нас выступают Windows 2003 Server и Windows 2008 Server. На 2003м я установил el2sl, на 2008 Snare, хотя, можно было ограничиться только Snare(http://www.intersectalliance.com/projects/SnareWindows/).

Snare конфигурируется через веб-интерфейс - Network Settings: указываем адрес нашего syslog-сервера, ставим галочку SYSLOG HEADERS. Далее, по желанию, можно настроить какие сообщения будут передаваться на сислог - я, например, выбрал warning, error, audit failure. Это же можно настроить через rsyslog.conf - смотрите офиц.сайт. На сайте http://www.intersectalliance.com еще есть много интересностей и вкусностей.

Все! У меня все заработало - навожу красоту и допиливаю напильником под себя.

Не очень красиво выглядят записи, но, поработав напильником, можно это исправить.

Всем привет!

Здесь я буду писать шпаргалки для себя чтобы не забыть и может быть кому-то еще пригодится.