Monthly Archives: January 2012

Rezolvarea de nume prin VPN


Rezolvarea de nume prin VPN

Posibil ca acesta sa fie un subiect invechit sau neinteresant pentru multi dintre voi, dar mai sunt si admini carora le-a scapat acest aspect. Despre ce este vorba? Probabil vi s-a intamplat sa incercati sa va conectati prin vpn si odata conectati sa trebuiasca sa scrieti numele complet de domeniu (FQDN) pentru a rezolva corect numele unui host, probabil ceva de genul host.domain.local. Pasii urmatori va vor arata cat de simplu se rezolva aceasta problema. Aici sunt pasii:

1. Navigheaza la Control Panel\Network and Internet\Network Connections.

2. Apasa click-dreapta Properties pe conexiunea VPN.

3. Du-te pe tab-ul de Networking.

4. Apasa dublu-click pe IPv4 (sau IPv6 daca este cazul).

5. Apasa Advanced.

6. Du-te pe tab-ul DNS.

7. In campul DNS suffix for this connection scrie sufixul domeniului la care te conectezi.

8. Apasa OK.

Asta este tot ce trebuie sa faceti. Acum odata conectati pe VPN, puteti sa va conectati de exemplu prin RDP sau sa da-ti un simplu ping folosind doar numele hostului respectiv. Sufixul se va adauga automat formand FQDN.

Orice intrebari sau sugestii sunt binevenite.

Advertisements

Physical Address Extension – PAE


Physical Address Extension – PAE

PAE este reprezinta o solutie oferita de Intel (functioneaza pe platforme Intel) pentru extinderea limitarii de memorie fizica la mai mult de 4GB pentru sisteme de operare cu o arhitectura pe x86.

Sistemele Microsoft care suporta PAE sunt Windows 2000, Windows XP, Windows Server 2003, Windows Server 2008 doar pe x86. PAE nu este suportat pe x64.

Sistemul de operare Memoria maxima suportata cu PAE
Windows 2000 Advanced Server 8 GB of physical RAM
Windows 2000 Datacenter Server 32 GB of physical RAM
Windows XP 4 GB of physical RAM*
Windows Server 2003 Standard Edition 4 GB of physical RAM*
Windows Server 2003, Enterprise Edition 32 GB of physical RAM
Windows Server 2003, Datacenter Edition 64 GB of physical RAM
Windows Server 2003 SP1, Enterprise Edition 64 GB of physical RAM
Windows Server 2003 SP1, Datacenter Edition 128 GB of physical RAM
Windows Server 2008 Standard 32 GB of physical RAM
Windows Server 2008 Enterprise 128 GB of physical RAM
Windows Server 2008 Datacenter 128 GB of physical RAM

Kernelul pentru PAE necesita procesor cu arhitectura Intel, x86, Pentium Pro sau mai nou, mai mult de 4GB de RAM, Windows 2000, XP, Server 2003, Server 2008. Desi PAE este de multe ori asociat cu marirea capacitatii de memorie el mai porneste si hardware enforced Data Execution Prevention (DEP).

Data execution prevention reprezinta un set de tehnologii Hardware si Software pentru a proteja sistemul de exploatari malitioase de coduri. Incepand cu tehnologiile Server 2003 SP1 DEP este activat si hardware si software. Hardware DEP marcheaza locatiile de memorie dintr-un proces ca si non-executabile decat daca locatia respectiva contine un cod de executare specific. Exista atacuri ce incearca sa introduca si sa execute coduri din partea de memorie non-executabila dar DEP previne aceste atacuri, interceptandu-le si ridicand o eventuala exceptie.

Windows activeaza automat PAE daca DEP este pornit pe un computer ce suporta hardware enabled DEP sau daca computerul este configurat sa faca hot-add (Datacenter) la memorie de peste 4GB.

Daca calculatorul nu suporta hardware-enabled DEP sau nu este configurat pentru hot-add, atunci PAE trebuie activat manual.

Pentru a activa PAE se va foosi comanda BCDEdit /set pentru a seta optiunea de boot:

bcdedit /set [{ID}] pae ForceEnable

Daca DEP este activat, PAE nu poate fi dezactivat. Folositi comanda  BCDEdit /set pentru a dezactiva si DEP si PAE:

bcdedit /set [{ID}] nx AlwaysOff
[{ID}] – pentru setari default nu treceti nici un ID.
bcdedit /set [{ID}] pae ForceDisable
Windows Server 2003 and Windows XP:  Pentru a activa PAE, foloseste parametrul /PAE in fisierul boot.ini. Pentru a dezactiva PAE, folositi /NOPAE. Pentru a dezactiva DEP, folositi parametrul /EXECUTE.
Daca aveti comentarii sau sugestii sunt binevenite.

MMC could not create the snap-in


MMC could not create the snap-in.

The snap-in might not have been installed correctly.

CLSID: FX:{f8abd46c-1297-4474-9cdf-831ebb245f49}

Urmatoarea eroare apare pe sisteme Windows Server 2008 si 2008 R2 din cate stiu eu, dar este posibil sa apara si pe sisteme mai vechi cum ar fi 2003. Ceea ce este important este ca aceasta eroare apare din cauza unor update-uri pentru .NET Framework.

Eroare se manifesta de fiecare data cand incercam sa deschidem un modul in consola, un “snap-in” fie din start menu fie din MMC. Mai jos aveti imaginea ce apare in momentul in care vreti sa deschideti o consola.

Solutia este foarte simpla, trebuiesc redenumite 2 fisiere. Navigati la: C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG

Acolo aveti “machine.config” si “machine.config.default“. Redenumiti din “machine.config” in “machine.config.old” bentru a face backup la configuratia curenta, si apoi faceti o copie a fisierului “machine.config.default” si redenumiti-l in “machine.config“.

Asta a fost. Nici macar nu este nevoie de restart.

Bafta!

Active Directory Recycle Bin feature


Activarea optiunii Recycle Bin din Active Directory

Aceasta optiune este dezactivata by default in Windows Server 2008 R2. Ca sa functioneze aceasta optiune este nevoie de FFL (forest functional level) de 2008 R2. Exista doua metode prin care se poate face asta. Printr-un cmdlet PowerShell sau prin Ldp.exe.

Activarea optiunii prin LDP.EXE:

  1. Apasa Start, Run si scrie ldp.exe.
  2. Ca sa faci bind pe serverul ce tine forest root domain-ul, apasa Connection, apasa Connect, apasa Bind.
  3. Apasa View, apasa Tree, apoi in BaseDN selecteaza partitia CN=Configuration… si apasa OK.
  4. Apasa semnul “+” in dreptul partitiei si du-te la CN=Partitions.
  5. Apasa click-dreapta pe containerul CN=Partitions si apasa Modify.
  6. In casuta de dialog Modify, sterge continutul casutei DN.
  7. In casuta de dialog Modify, in Edit Entry Attribute, scrie enableOptionalFeature.
  8. In casuta de dialog Modify, in campul Value scrie: CN=Partitions,CN=Configuration,DC=DomeniulMeu,DC=Com:766ddcd8-acd0-445e-f3b9-a7f9b6744f2a. DomeniulMeu si Com le inlocuiti cu datele din AD-ul vostru.                               

766ddcd8-acd0-445e-f3b9-a7f9b6744f2a reprezinta GUID-ul pentru AD recycle bin. Pentru a verifica care este GUID-ul pentru Recycle Bin navigheaza la CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=DomeniulMeu,DC=Com si in dreapta identifica valoarea pentru atributul msDS-OptionalFeatureGUID

9.    In casuta de dialog Modify, in Operations, apasa Add, Enter si apoi Run.

10.   Pentru a verifica daca s-a activat optiunea navigheaza la containerul CN=Partitions. In panoul din dreapta gaseste atributul msDS-EnabledFeature.

Activarea optiunii prin PowerShell:

  1. Apasa Start, apasa Administrative Tools, click-dreapta  Active Directory Module for Windows PowerShell, apasa Run as administrator.
  2.    In fereastra aparuta introduceti urmatoarea comanda dupa care apasati Enter:

Enable-ADOptionalFeature -Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity>

De exemplu pentru a activa cosul pentru domeniul ene.internal se va folosi comanda:

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ene,DC=internal’ –Scope ForestOrConfigurationSet –Target ‘ene.internal’

  1. Apasa Enter si asta a fost.

Orice intrebari sau sugestii sunt binevenite.

Copierea prin RDP


CUM SE POT COPIA SAU MUTA FISIERE PRIN RDP si CUM PUTEM PREVENI ACEST LUCRU

Unii stiu cum sa faca asta altii nu… pentru cei ce nu stiu aici sunt pasii.

1. Apasa Start, apoi Run. Scrie mstsc si apasa OK/Enter.

2. Asigura-te ca este bifata optiune pentru Clipboard. Apasa butonul More…

3. Selecteaza Smart cards si bifeaza Local Disk (C:).

4. Conecteaza-te si acum poti copia si muta documente de pe masina respectiva in computerul tau local.

5. Sistemul la care m-am conectat este un XP dar ar putea fi si Vista sau 7. Este acelasi lucru ca si cum te-ai conecta la un Share doar ca in felul asta maparea se creaza automat. Ceea ce este “nice” este ca in felul asta poti copia sau muta prin drag and drop.

Aceasta metoda nu este recomandata si ar putea fi exploatata in diverse moduri. By default aceaste optiuni sunt “enabled” pe sisteme dar ca si masura de securitate se pot restrictiona prin doua politici simple.

Daca sistemul la care ne conectam nu face parte dintr-un domeniu atunci se vor modifica politicile locale de pe acea masina. Daca face parte dintr-un domeniu se vor aplica prin politici de domeniu me masinile ce se doreste acest lucru. Calea de accesare in ambele cazuri este urmatoarea:

1. Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection\Do not allow clipboard redirection.

Aceasta setare previne copierea prin Clipboard.

2. Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection\Do not allow drive redirection.

Aceasta optiune previne “maparea” drive-ului local pe masina pe care s-a efectuat conectarea.

Orice comentarii sau sugestii sunt binevenite!

Configurarea DHCP Split Scope


Cum se configureaza “split-scope” pe un server DHCP 2008 R2?

Configuratia Split-scope mai este cunoscuta si cu numele de “regula 80/20” si se considera ca si o optiune de High-Availability pentru configuratia serverelor de DHCP. Split scope presupune obtinerea redundantei prin configurarea a 2 scope-uri din acelasi subnet pe doua servere DHCP diferite. Cele doua scope-uri nu se suprapun ci sunt complementare deci nu vor aloca acelasi ip vreunui echipament

Numele de 80/20 vine de la procentul de adrese din cele doua scope-uri, adica 80% din range-ul de adrese configurate in primul scope pe un server DHCP, iar 20% configurat in al doilea scope, pe al doilea server DHCP. Pentru a evita epuizarea rapida a celui de al doilea scope de 20% se va configura al doile server DHCP sa ofere adresele ip cu un delay.

Pasii de configurare:

Fig1- Porneste wizard-ul pentru Split-Scope.

Fig2- Apasa next la meniul introductiv.

Fig3- Adaugarea serverului secundar DHCP

Fig4- Se configureaza procentul impartirii leasului pe cele 2 servere DHCP

Ajusteaza split-ul folosind sliderul. Celelalte valori sunt configurate automat SAU splitul poate fi configurat cu campul pentru procent sau range-ul de adrese ip excluse.

Fig6- Seteaza delay-ul acordarii leas-urilor pe serverul DHCP secundar. Apasa Next pentru continuare.

Fig8- Verifica setarile ce urmeaza a fi aplicate. Apasa next pentru a continua.

Fig9- Rezultatul final al configurarii Split Scope.

Sper ca asta va ajuta la configurarea serverului DHCP pentru split scope. Orice comentarii sau sugestii sunt binevenite.