Создать две разные политики, одну строгую, другую с возможностью настройки пользователями.

Далее предлагаю два варианта.

1. Привязать политики к разным OU/Коллекциям.
2. Создать группы в AD, включить в них нужные учетки компьютеров, для политик использовать фильтрацию по группам.

Для чего использую — Lync Edge, Lync Web, Exchange OWS, Remote Desktop Gateway, SSTP VPN…

антивирус ставится на OU AD, есть в AD OU «ITC»

Суть такова, что политики я не создавал для FEP, а просто изменил в стандартных нужные значения.

В наш отдел IT тоже на некоторых машинах развернул FEP, но люди жалуются, что все под себя антивирус взял, и удаляет и т.д., а им это как бы и не нужно.

Вот поясните мне, как мне правильно сделать для нашего отдела?

мои мысли таковы:

создать новую политику (опять же с приоритетами как? или указать. что она нужна для нужной коллекции?), дабы сами пользователи могли выбирать, что удалять и т.д.

создать коллекцию под эту политику, а вот здесь тоже не понятно каким образом мне указать при создании, чтобы в ней помещались машины из этой OU. какой параметр/критерий надо указать, дабы в дальнейшем на эту коллекцию развернуть НУЖНУЮ политику.

Видимо потому он так куц на функционал, что SIP-а в нем нёт в принципе…

Только lyncdisсover и внешнее имя веб-сервера должны указавать на внешнее имя reverse Proxy.

Другие клиенты, кроме мобильных, lyncdiscover не используют.

Есть другой, более элегантный способ:
НЕ создаем запись lyncdiscoverinternal
Даем клиентам из WiFi сети доступ к lyncdiscover на reverse proxy, где у нас стоит публичный сертификат.

Вот накопал KB931125, из нее следует, что сертификат CA StartSSL устанавливается вместе с обновлениями даже на стрые ОС типа XP, на которых его изначально не было.

Изначально присутствует в Win7/Server2008R2.

Для федерации с дугими Lync-ами вполне пригоден (в том числе проходит тест Remote Connectivity Analyzer), а вот OCS, поставленый на Win2003 и не обновляемый, вполне может и не доверять.

Требуется все же расширение?
как бы все в тестовом режиме хотелось бы погонять неск.месяцев, дабы сеть не забивать лишним. да потом все удалить или в конце кнцов на «рабочем» сервере все сделать и сайт и коллекции. на данном этапе хотелось бы пока эвалюшен версия FEP не десяток компьютеров поставить.
это расширение как я понимаю дополняет атрибуты какието в 2003 схему леса. и как понимаю есть нюансы необходимости таких шагов.
что интересно в коллекции этот компьютер есть, в поле код сайта (OBL)
Клиент — Нет
Одобрено — Н/Д
Назначено — Да

В данном случае, думаю что все проблемы исходят от неправильной установки агента SCCM. Я бы снес текущий и сделал начисто push установку агента, с использованием доменной учетки с админскими правами на клиентской машине.

«Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID
{135D7881-D666-4046-A1DF-7EC7B5785A67}»
«Поставщик PolicyAgentInstanceProvider зарегистрирован в пространстве имен WMI root\ccm\Policy\Machine с правами локальной системы. Это может привести к нарушениям зашиты, если поставщику не удастся олицетворить запрос пользователя.»
«Не найдено описание для события с кодом ( 1042 ) в источнике ( MsiInstaller ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, — дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация: C:\WINDOWS\system32\ccmsetup\{9B236306-42D4-496A-AEB3-B3B039116478}\client.msi; 4028; (NULL); (NULL); (NULL); ; .»
и собственно FEP не ставится.
что-то где-то надо подправить?

Кстити, netbios имена вообще нигде не должны использоваться, только FQDN. Для внутреннего сертификата, соответсвенно, внутренее полное DNS-имя. Если Edge развернут на компе в рабочей группе, то на этом компе должен быть прописан осоновной DNS-суффикс.

Vladimir
так как имя сервера lync-edge и в топологии lync везде фигурирует именно это имя
а сервер уже в работе и менять имя, топологию, а следовательно и переустанавливать lync на edge как то нехорошо))

Нельзя менять внутреннее имя сервера, это так. Однако, в редакторе топологии можно легко поменять внешнее имя в разделе Edge server configuration > External Settings.

Именно это имя (или имена) должно содержаться во внешнем SSL сертификате.

Сообщение «Warning: The chain of the certificate ### is invalid» говорит о том, что не вся цепочка сертификатов валидна на локальном компьютере. Скорее всего, пропущен какой-то Intermediate центр сертификации. Проверить это легко, если открыть свойства выданного сертификата (.cer) и проверить цепочку. Если там есть какие-то проблемы, то доустановить пропущенные CA в хранилища Root или Intermediate компьютера. Цепочка должна заканчиваться на корневом, самоподписанном CA.

Кстати, для Windows Server 2008 R2 SP1 путь немного изменился, новый выглядит так:

C:\Windows\servicing\Packages\Microsoft-Windows-Media-Format-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.mum

мне очень помогло.
огромний СПОСИБО!!!

Все рекомендации хороши, но сервер, потом еще раз сервер ?
советую подумать над таким вариантом:
(Первые 2 буквы регион ) — (Принт-сервер)(номер) зачем 3 раза кодировать srv ?
например организация распределена по регионам
петропавловские сервера:
pp-dcs001 (петропавловский — домен контролер сервер 001)
pp-ps001 (петропавловский принт сервер 001)
pp-fs001( это файловый )

Для публикации Edge достаточно сертификата на имя sip.xxx.ru, если в SRV-записях используется оно же.

UC-сертификат отличается от остальных SAN сертификатов, что позволяет добавить в SAN локальные DNS-имена типа lync.domain.local. Нам на эдж это не требуется.

Более полробно по настроеке Lync Mobility Push я нашел здесь.

Для добавления драйверов развертываемый образ, можно использовать как онлайн добавление драйверов (из самой операционки), так и оффлайн, прямо в образ: Add and Remove Drivers Offline.

Может правильным было настроить сервер времени на хостовой машине и всех синхронизировать уже с ней(кстати у меня она не в домене)?

Годный вариант, но синхронизировать с ней только PDC, ни к чему корячить топологию синхронизации в AD. Это можно обозвать как назначение внутренней машины в качестве внутреннего источника времени. Сомнения по поводу убегания времени на виртуальной машине в случае отсутствия доступа к инету оправданы.

И еще вопрос, как распространить настройки синхронизации времени на машины домена?

Ничего не надо настраивать, все само будет, в пределах леса AD. Если хочешь корячить топологию, то unmanaged групповыми политиками (напрямую в реестр).

Машины в домене по-умолчанию синхронизируют время с ближайшим по топологии DC или это настраивается списком внешних источников для синхронизации?

Ближайшим в терминах сайтовой топологии, если не изменять настройки. Второй вариант — руками список источников вбить.

Как работает список внешних источников для синхронизации: синхронизация происходит спервым по списку, если не доступен то со следуюцим и т.д.; со всеми сразу; случайно с одним из списка?

В документах это не описано, но по опыту — по порядку. Также у каждого источника есть так называемый Stratum, чем он ниже, тем больше доверие к источнику. Текущий источник и его параметры можно посмотреть командой w32tm /monitor

Кстати на него можно водрузить WSUS.

2. Также, проверить, что обращение к этому IP/DNS не идёт через прокси-сервер.

3. Если ЦС у тебя на винде, интегрированный с AD, то его нужно настроить на публикацию CRL/AIA в AD. Обычно так настроено по умолчанию.

Ну и лихи е пути…
4. Отключить в GPO проверку CRL для RDP
5. Через GPO установить на клиентские компы самоподписанные сертификаты TS в качестве доверенных.

1. Сохранить на комп и проверить на валидность с помощью certutil.
2. Сохранить на комп и импортировать в хранилище «доверенные ЦC» компа, just for fun

Если в результате этих действий ничего нового не обнаружится, то присылай полные сертификаты, без приватных ключей, ессно.

1. Проверить, что сертификат на терминале действительно доверен клиентским компьютеором, вся цепочка от сертификата до Root CA. Причем доверие должно быть не на уровне хранилища пользователя, а на уровне компьютера.

2. Если есть машины, при доступе с которых не возникает этой проблемы, то сравнить конфиги с больными.

3. Если еще не стоит, попробовать развернуть Online Responder. Правда при этом нужно сертификаты перевыпускать, чтоб они содержали инфу о нём.

Проверено базовый CRL бла-бла-бла

2. Скинь этот сертификат на комп, при подключении с которого выдается ошибка проверки сертификатов.

Выполни certutil -url name.cer

Должна пройти проверка отзыва сертификата, либо по CRL, либо по OCSP.

Игорь, добрый день!
Получаю именно такую ошибку, хотя, как мне кажется, настроил все верно, не могли бы помочь разобраться в данной проблеме?
Могу прислать скриншот, где четко видно, как все настроено, но не знаю, куда именно надо слать.
Заранее признателен за содействие.

по поводу RODC. Я тут статейку писал, как можно получить полномочия используя RODC:
http://gexeg.blogspot.com/2009/12/active-directory.html

A malicious user who compromises an RODC can attempt to configure it in such a way that it tries to replicate attributes that are defined in the RODC filtered attribute set. If the RODC tries to replicate those attributes from a domain controller that is running Windows Server 2008, the replication request is denied. However, if the RODC tries to replicate those attributes from a domain controller that is running Windows Server 2003, the replication request can succeed.

Therefore, as a security precaution, ensure that forest functional level is Windows Server 2008 if you plan to configure the RODC filtered attribute set. When the forest functional level is Windows Server 2008, an RODC that is compromised cannot be exploited in this manner because domain controllers that are running Windows Server 2003 are not allowed in the forest.

Во многом согласен, особенно с развеянием мифов по поводу «безопасности» мастера схемы в корневом домене.

А вот с инфой о практической реализации возможности наделать гадостей, имея прямой доступ только к RODC, пока не сталкивался.

Если сцылок накидаешь, буду рад :)

вот возьмите учетку со schema admin и попробуйте нарушить работу службы каталогов.. :) создали много классов? атрибутов? что еще можете сделать?

Да кому такая схема нужна будет, после таких-то надругательств ;)

>>>Если иерархия доменов в пределах одного леса строиться именно по перечисленным выше причинам, то вполне разумно в качестве корня иерархии использовать «пустой» домен, который не будет выполнять никаких ответственных функций, кроме как логического корня и высшей точки назначения привилегий.
ну какбы иерархия доменов в назначении привилегий не играет…

вообще можно добавить еще один миф: доступ к схеме-мастеру не приводит к компрометации :) вот возьмите учетку со schema admin и попробуйте нарушить работу службы каталогов.. :) создали много классов? атрибутов? что еще можете сделать? модифицировать системную часть схемы можете?

Однако, для варианта Forest Trust этот дополнительный уровень все равно удлинняет цепочку аутентификации (Kerberos, NTLM).

C:\Program Files\Microsoft SQL Server\100\Tools\Binn>sqlcmd -E
1> EXEC sp_addsrvrolemember ‘WIN-58VES4PDRM8\Администратор’, ‘sysadmin’
2> GO
Сообщение 15247, уровень 16, состояние 1, сервер WIN-58VES4PDRM8\SQLEXPRESS, про
цедура sp_addsrvrolemember, строка 29
У пользователя нет разрешений на выполнение данного действия.

———
А «AutoAttendant(Exchange2010)» для Lync Server также является нестандартным пользователем?

Попытался указать в Responce Group телефон AutoAttendant на Exchange — безуспешно.
Пробовал различные способы: 1) в настройках группы («Lync Control Panel» -> «Responce Group» -> «Group») в параметре «Use an existing email distribution list» — указал адрес «distribution list», членом в которой является mail-enabled контакт «AutoAttendant», 2) в очереди «queue» в параметре «enable queue time-out» пытался указать в «Call Action» -> «Forward to sip address» указать адрес «AutoAttendant»).
—
В итоге сценарий:
Ext/int call -> Lync Server Responce Group -> Autoattendant Exchange
реализуем в принципе?

Логин/пароль, видимо, сохранён в Win Secure Store, посмотреть его можно из панели управления, либо командой:
cmdkey /list

Годная статья, добавлю в ссылки.

Слуш, а у тебя инфайта на хабру не найдётся?

http://habrahabr.ru/blogs/it-infrastructure/93423/

1. Пароль сохранен.
2. Юзеры каким-то образом авторизованы в домене.

Систему транслитерации выбирают топ-менеджеры. Простому пользователю с этим спорить смысла нет, в такой ситуации. Если системы не будет, то очень быстро всё в зоопарк превращается. =)

поставь чтоли отслеживатель ответов в бложик. а то в рсс пихать это некомильфо.

клиент совсем старый, и база соответсвенно не обновлена

Если на всусе с аппрувами все в порядке, то клиент и базы, сам понимаешь, должны обновлятся.

в adm.console комп появился нормально

То, что клиент появился в консоли, говорит о том, что связь с МОМом имеется, аутентификация проходит.

А с другими клиентами какая-то беда. Может, базы мом-а попробовать из бекапа откатить?

Либо удалить из мома остальные компы, чтобы они перерегистрировались? Тренироваться, конечно, сперва сделав бэкап.

Как вариант, попробовать накатить новый агент на чистую машину, или переустановить на старой. Посмотреть, как оно себя поведёт.

srv-1 — сервер.

может все это влиять? тогда что предпринять дальше дальше

Затем запустил ручной поиск обновлений Windows на клиентах, если не найдёт, то курить взаимодействие клиентов и всус.

Также, может пока рано драматизировать, база мома обновляется ммееедленно.

13.06.11

Client Version: 1.5.1996.0
Engine Version: 1.1.6903.0
Antivirus definition: 1.105.1849.0
Antispyware definition: 1.105.1849.0

Машины с MOM, сервер FCS работает, в логах вроде подозрительного нет, политику раздает на OU (сейчас еще раз переназначил для подстраховки).

На сервере WSUS и вручную синхронизацию делал и так по плану тоже идут обновления (другие не касаемый антивируса), и в состоянии компьютеров пишет, что требуется установить для указанных компьтютеров: Обновление определения для Microsoft Forefront Client Security – БЗ977939 (Определение 1.105.2020.0)

выбираю в антивирусе обновиться, пишет, мол нету доступных.

Стас [Комментарий от 2011-06-14, 19:11],
Последняя схема формирования логина, в котором гибко выбираются части имени и фамилии, позволяет избежать коллизий лучше всех.

Например, имеем трёх юзеров с именем Федор Бондарчук. Первого называем fbond, второго febo, третьего fedorb. И так далее, вариантов масса.

Vitaly [Комментарий от 2011-06-14, 21:14],
Верное уточнение!

Stanislav Buldakov [Комментарий от 2011-06-15, 11:27],
Спасибо за ссылку. Только дописал свою часть про OU, иду по ссылке, и вижу что мысли во многом сходятся ;)

Насчет транслитирации по гостам — я, например, не согласен с транслитерацией своей фамилию по стандарту, применяемому в ФМС. Отдельное заявление писал, чтобы мою фамилию транслитерировали как мне нужно. И думаю, что не один такой. Если юзеру пофиг — то есть смысл транслитерировать по стандарту. Если не пофиг, то почему бы не прислушаться к его мнению.

относительно транслитерации — выбирается любая система транслитерации (типа той, что используется в ФМС при транслитерации имени-фамилии получателя загранпаспорта). в результате все неоднозначности транслитерации снимаются.

годная статья =)

И еще по поводу логинов типа i.rom. Точки тоже зло. чуть меньшее чем русские логины но зло. Для меня. Бесит…

раньше тоже использовал шаблон
Бондарчук Фёдор Сергеевич = fbond

но чем больше пользователей, тем больше колизий с совпадением логинов,

сейчас использую Бондарчук Фёдор Сергеевич = fsbond (по одной букве из имени, отчества + часть фамилии)

но даже в этом случае бывают совпадения,
есть люди ФИО которых полностью сопдает (хотя не родственники, и живут в разных городах)

как быть в этом случае, посоветуй…

Кстати, удаленный WSUS можно задействовать как Site System для SCCM. Сам SCCM установки полного всуса, насколько помню не требует, а только его консоли, которая обеспечивает работу API WSUS.

После того, как клиент CM стоит, создаем коллекцию, назначаем на нее адвертайзинг FEP, включаем в коллекцию компьютеры (явным перечислением, либо по каким-то правилам)

Как понимаю нужно, чтобы клиент SCCM установился. Но так и не понял, где именно и каким образом установить на определенные машины.

to oriang: была похожая ошибка был виноват Файервол.

1. У меня голый Aстериск, а «Intra Company Route» — это настройка FreePBX, и как она транслируется в конфигурацию Asterisk, я пока не нашел.

2. CID в мой конфигурации итак всегда передается. Конфуз в том, что если я звоню от известного Линку CID-a (который прописан как AnalogDevice) то звонки идут по маршруту, если от звоню как кто-то внешний, то нифига.

2. У меня наоборот, с MS большая дружба, а с Аваей как-то не доводилось сталкиваться.

С другой стороны, в терминале мы, как правило, звук не воспроизводим, а тормоза изображения воспринимаем теприливо. Поэтому описанное мной поведение может остатья незамеченным.

Но всеж-таки «Certificate Requirements for External User Access» говорят вполне конкретные вещи. И если им не следовать, то велика вероятность ступить на детские грабли. То федерация не заработает, то аппаратный Lync-телефон из интернетов не залогинится.

2. Для Autodiscovery и уж тем более федерации нет такого требования, чтоб имя в сертификате было вида sip.domain.ru! Использовать можно абсолютно любое! Про вариант с недоступностью SRV-записи Шура пояснил :) .

3. Сертификаты моего постовщика не входят в этот список, но проблем с ним нет, даже на мобильных устройствах! На самом деле, главное, чтоб корень был доверенным на всех устройствах, которыми вы будете пользоваться. Для поставщиков из приведённого списка это просто гарантируется.

Сейчас расскажу, чем TMG разочаровал… Представим конфигурацию. 2 интернетовских сетевых интерфейса. На каждом по шлюзу. Настроен failover. Все работает. Даже «policy-based routing».

Добавляем на любой из интерфейсов второй IP-адрес. А он не работает. Выключаем failover — работает.

А это значит, что с TMG мы имеем либо failover, либо DirectAccess. Но не оба сразу. В свое время я этим был очень сильно расстроен и потянулся к железкам.

Насчат эффективности работы SIP фильтра хочу проверить. Но пока нет доверия, TMG уже разочаровывал меня.

Тем более, что в официальных тестах «минимальная» конфигурация TMG, выполняющая помимо прочих ролей SIP/VoIP Protection, поддерживает 750(!) пользователей, что «немногим» больше, чем указанные 50 :)

Отмечу, что в случае с SIP/VoIP Protection TMG проводит инспекцию сетевого трафика на уровне приложений, чего в случае «публикации» Lync Edge не происходит. Так что нагрузка в последнем случае будет еще меньше, а значит исходная конфигурация сможет поддерживает еще больше пользователей.

«Ну и в довершение» TMG/ISA *поддерживаются* в роли reverse proxy И firewall для Lync/OCS! Единственное ограничение — нельзя использовать NAT для интерфейса Edge A/V Server.

Реальных измерений не имею, но по моему опыту, TMG всеж-таки заточен на некритичный к задержкам трафик, типа HTTP, FTP и т. п.

50 активных пользователей, да еще если в конференции — разве мало?

Ну и в довершение, TMG официально поддерживается только для публикации Lync Web Services, службы Edge допускают либо прямую публикацию в инете, либо hardware load balancers.

может дело что-то в другом…

Эхх… буду копать Avaya… Хотя признаюсь в ней(Avaya) я понимаю не много )))

Когда мы ищём в адресной книге от мы должны произносить полность ФИО или можно только фамилию?

Блин и какие у меня есть варианты?

1. По поводу поиска в адресной книге — А как сделать для всех пользователей атрибут PhoneticDisplayName?
2. Про третий пример — Если мы сделаем * то мы сможем на любые номера звонить из голосового меню?

У меня Avaya c Lync соответственно по SIP, а вот сама Avaya с внешним миром по протоколу H.323 и кодек G.729

Есть предположение, что может быть проблема с кодеками. То есть соединение по SIP установлено, сигнализация идет, но когда трубку поднимают, должен побежать голосовой трафик. А это по-каким то причинам не происходит. Поэтому соединение разрывается.

С такими вопросами лучше писать комментарии к другим моим заметкам, типа Маршрутизация вызовов в Lync Server 2010.

Когда звонк проходит на сотовый Lync его сбрасывает и пишет время 00:00

Такое ощущение что успешный дозвон Lync воспринимает как поднятие трубки и не видя голоса или чего там сбрасывает и говорит что вызов завершён или занято… Или лучше так: IPO говорит(возвращает) Lync что соединение установлено и Lync воспринимает это как поднятие трубки…

что-то типа того, думаю суть понятна. Где копать, на АТС или Lync?

не приводилось ли Вам интегрировать Lync(OCS) с Avaya IP Office 500 на прошивке 6.х???

Сейчас пытаюсь интегрировать данный продукты, но пока как-то ни как…

TS-экзамен скучный и задротский; PRO-экзамен сложный, но интересный. Для подготовки чтения ТехНета было достаточно.

Я, кстати, сегодня получил подтверждения успешной сдачи экзаменов на звание «MCITP: Lync Server 2010 Administrator» ;)

Спасибо!

Если хочется через TMG:

1. Настроить в Topology Builder-е для Edge-a NAT=[публичный адрес TMG] и свободные на TMG публичные порты (например, Access=5061, A/V=50443, WebConf=50444)
2. Опубликовать эти порты на TMG правилом публикации произвольного TCP-протокола

Или можно поставить в не делегированная, но клиент может выполнять и т.д.???

Вот это замануха! Если есть опыт решения данного вопроса поделитесь, пожалуйста!

Также в статье «Forefront Client Security unexpectedly scans files that are stored in network locations when you perform a full scan of a client computer» есть ссылка на хотфикс, который позволяет не сканировать сетевые файлы, на которые ссылаются ярлыки на локальном компе.

Кстати, несчет автоконфигурации, интересно, к каким портам клиенты пробуют подключаться, если SRV записи не находят, а видят только имя домена вида sip.controso.com. К 5061 точно подключается, а вот интересно, к каким еще пробуют…

• в статье Certificate Requirements for External User Access пишут «If you are using client auto-configuration or federation, also include any SIP domain FQDNs used within your company (for example, sip.contoso.com, sip.fabrikam.com).»
• в статье Planning for Certificates под SIP Domain понимают уже адреса вида sipdomain01.contoso.com
• сам же Certificate Wizard неприменно включает домен вида sip.contoso.com в список SAN

Где правда?..

Однако, psexec имеет ключ «-l», который позволяет имитировать исполнение команды от имени пользователя без прав администратора на целевой системе.

Все довольно просто. Ставим FEP, развертываем его клиентов, они удаляют FCS.

Вопрос переноса данных об инцидентах из FCS в FPE не рассматривается.

Через Microsoft Exchange Server Remote Connectivity Analyzer прогонять пробовали?

There are no more targets available to send an MWI message for user Dmitriy Dombrovskiy.

Пытаося нагуглить — ничего подходящего не нашел :)

Вопрос собственно – можно ли уже развернутые политики каким то образом импортировать на новый сервер управления? Заранее спасибо)

Подозреваю, что нет. Думаю, их идентификаторы хранятся в базе данных FCS, и по этим идентификаторам он узнает, что они «свои». В вашем случае, можно либо пересоздать политики, либо ковырять базу.

LMcom,
Похоже на ошибку в Windows Installer. Проверьте, запущена ли установка с правами администратора, не выполняется ли сейчас другая установка, либо ранее выполнялась установка, требующая перезагрузки.

Константин,
Тоже как-то хотел воспользоваться такой функцией, не нашел. Тут, видимо, и лень разработчиков, и следование политикам повышенной безопасности, чтобы ничего не пропустить.

Насчет баз 1С и прочих БД — их, конечно, в первую очередь в исключения надо добавлять.

Падение производительности наблюдается на компьютерах, где обрабатываются большие файлы (например локально лежат базы 1С и т.д.). Еще: на одном «тормозящем» компьютере я выполнил поиск файлов по размеру более 50 Mb, в результате этого поиска нашелся ряд больших файлов (более 100 Mb) с расширением tmp, лежащих в системных папках, после того, как я их удалил, компьютер стал работать заметно быстрее.

Я не нашел, как добавить в исключения большие файлы (более * Mb, как это зачастую реализовано в традиционных антивирусах), уважаемый Argon, Вы не знаете — возможно ли это? Если возможно, то как?

The following process failed.
Process: C:\WINDOWS\system32\msiexec.exe
Exit code: 1639Number of tasks completed: [21.10.2010 8:55:15]

Хотя проверку проходит со всеми «зелеными» галочками и начинается установка.

Подскажите, в чем может быть проблема.

netsh int ipv6 add route ::/0 External fc00:10:18:2::180 publish=yes

в моём примере.

Также можно синхронизировать принудительно командой
w32tm /resync /rediscover

То, что для почтовых протоколов теперь и у Яндекса заявлена поддержка SSL — это просто замечательно. Однако, веб-доступ по прежнему работает по HTTP, а чтобы попасть по SSL, нужно руками ввести HTTPS в адресную строку. Действительно, работает!

На момент проведения моего сравнения в хелпе Яндекса про SSL для почтовых протоколов не было ни слова, а про веб доступ нет и сейчас.

А вот с календарем и прочими сервисами все печальнее. Если в Google Apps эти сервисы работают от созданной учетки в вашем домене, то сервисы Яндекса авторизуются по яндексной учетке, а не доменной. Хотя лично мне бесплатные сервисы для совместной работы и не нужны, есть корпоративные.

—

Благодарю за вести с внутренней кухни почты для домена Яндекса. Развитие в этом направлении меня радует.

SSL у Яндекса есть как для почтовых программ, так и для веб-интерфейса.

Календарь и планировщик задач для доменных пользователей есть и у Яндекса, просмотр документов — тоже. Общая АК, на сколько я знаю, планируется в скором времени. В новом веб-интерфейсе, который сейчас тестируется на основной почте Яндекса, уже есть возможность выбирать внешние адреса, от имени которых можно отправлять письма. В будущем это станет доступным и для доменов, наверняка.

Чтобы работало объявление default router, я создал следующие условия.

На компе WS 2008 две сетевухи.

Local1 fc00:10:18:1::10/64 — раздает этот префикс и адреса клиентам по DHCP.
Сконфигурирован
netsh int ipv6 add route fc00:10:18:1::/64 Local1 publish=yes

Local2 fc00:10:18:2::10/64 — для объявления Default Router в сеть Local1 нужен сконфигурированный next-hop адрес (следующего маршрутизатора для текущего роутера).
Сконфигурирован
netsh int ipv6 add route ::/0 Local2 fc00:10:18:2::180 publish=yes

Таким образом, клиенты получают DHCP адреса и префикс fc00:10:18:1::/64, а также default router (маршрут ::/0), который указывает на link-local адрес (fe80:…) адаптера Local1.

Как сделать, чтобы клиенты как адрес шлюза получали назначенный адаптеру Local1 адрес (fc00:10:18:1::10) вместо link-local — еще не знаю.

Не проверял, но пишут, что для WS 2008 R2 уже нет необходимости объявлять на роутере next-hop адрес следующего роутера, достаточно выполнить

netsh int ipv6 set int advertisedefaultroute=enabled

Я исследовал этот вопрос, попробовал объявить
add route ::/0 Local fc00:10:18:1::1 publish=yes
где 10:18:1::1 — адрес другого компа со службой маршрутизации. Этот маршрут на самом серваке прописывается, но до клиентов не доходит.

Однако, если прописать
add route ::/0 Local fc00:10:18:1::10 publish=yes
где 10:18:1::10 — адрес того же компа, то до клиентов доходит маршрут «::/0 on-link» (виден в ipconfig как «::»), то есть без указания роутера, и, соответственно, маршрутизация не работает.

Если на клиенте руками прописать
route add ::/0 fc00:10:18:1::10
то шлюз работает как надо.

Я попробую решить эту проблему, так как мне тоже интересно.

Насчет второго IPv6 адреса… Так как флаг M в DHCPv6 установлен (netsh int ipv6 set interface Local man=en), то DHCP сервером назначаются клиентом адреса, при этом же сами клиенты генерируют еще Stateless IPv6 адреса (EUI-64) самостоятельно. Таким образом клиенты имеют по 2 адреса и больше.

Чтобы отключить автогенрацию IPv6 на стороне клиентов, нужно выполнить

netsh interface ipv6 set global randomizeidentifiers=disabled

…однако, зачем? Пусть живёт.

То есть, если на одной машине стоит DHCPv6 и Routing, то достаточно использовать команды

netsh int ipv6 set int Local adv=en
netsh int ipv6 add route ::/0 Local publish=yes

По моим наблюдениям все равно никто в начале раб дня не работает в полную силу, время на раскачку уходит, тот же чай пьют…

Так же, я нашел на официальном сайте Microsoft рекомендации по добавлению в исключения определенных системных файлов ОС и серверных приложений, в зависимости от ролей конкретного сервера (http://support.microsoft.com/kb/943556), которые Microsoft рекомендует добавить в исключения антивирусных приложений для повышения производительности. Любопытно, что ни одному антивирусу это особо не требуется, кроме антивируса производства самих Microsoft.

По поводу добавления интенсивно используемых приложений в исключения возникает вопрос, если все интенсивно используемые приложения будут добавлены в исключения, то что же будет тогда сканировать сам FCS, и как же это скажется на защите в конечном счете?

Особенно порадовала Ваша фраза на счет чая :)
Интересно, Microsoft не прилагает бесплатно подписку на чай?
А то покупать его для 300 пользователей контора разорится, боюсь.

P.S.: Я посчитал и выяснил, что увеличивать всем оперативную память до 1 Gb по стоимости получится цена того же самого Kaspersky Business Space Security, на который денег изначально пожалели и решили сэкономить.

Исключения на рабочих станциях… Например если есть какое-то определенное интенсивно юзаемое приложение, которое генерит/обрабатывает файлы, вот его и добавлять.

Я прекрасно понимаю, что FCS защищает именно клиентские машины, а не периметр сети, или почту, не понимаю, к чему Вы это написали.

Следует учесть, что FCS — именно Client Security, а не All-In-One. То есть FCS защищает именно клиентов, а периметр сети — Forefront TMG, почту Forefront for Exchange. И т. п.

http://social.technet.microsoft.com/Forums/ru-RU/forefrontru/thread/01829ee8-8af7-4d73-a916-8e743d94324e

Argon, скажите, я правильно понял, что если компьютер в домен не включен, то отчеты на сервер управления он отсылать и управляться этим сервером не будет, даже если клиента развернуть на этом компьютере с использованием fcslocalpolicytool?
Есть ли какой-нибудь способ управления таким компьютером через сервер управления?

Предполагаю, что если тестовые политики потом заменить на боевые, то клиенты боевой сервер подхватят.

Но возможно, что придется на списке компов какую-нить команду по сети выполнить (типа регистрации в МОМ-е)

2.1 Нужен WSUS, для ручной установки можно скачать с Windows Update Catalog последнюю версию Client Security.
2.2 Консоль FCS делает создают политику, которая содержит настройки реестра.

или же не заморачиваться и просто ставить с ключом /nomom, в таком случае надо деплой в reg файл, тогда идут у меня вопросы:
2.1 какие файлы нужны для установки клиента на машину? подразумеваю, что машины xp sp2 рус(большинство уже sp3).
2.2 reg.файл просто в нужное OU в AD запихнуть, как скрипт логон для ПК?

Поднять чистую виртуалочку под сервер FCS нет возможности?

While the Windows Installer Cleanup utility resolved some installation problems, it sometimes damaged other components installed on the computer. Because of this, the tool has been removed from the Microsoft Download Center.

Но в Гугле найти можно. На крайняк у меня в запасах есть.

Я нашел пост на английском языке, где описывается та же самая проблема с этой ошибкой, человек пишет, что он просто удалил FCS, затем воспользовался каким-то toolkit для чистки и снова установил fcs (http://social.technet.microsoft.com/Forums/en-US/Forefrontclientsetup/thread/7c6f46cb-6bb4-4118-88e4-2ca63632df21).
Только не понятно, что же за toolkit он использовал.

Какая ОСь? Есть ли на компе еще что-нибудь «лишнее»? Пробовал ли переставить FCS? Были ли ошибки при установке FCS?

Если на одном компе обе роли, перезапусти комп или соотв службы, посмотри в логи, может какие ошибки будут писаться.

Подскажите пожалуйста, где искать причину этой проблемы, сам в официальной документации не нашел.

Из стареньких ОСей поддерживаются эти: Windows 2000 SP4 or later, Windows XP SP2 or later, Windows Server 2003 SP1.

А телнет немного для другого сделан.

Использование в любых организациях — нарушение лицензионного соглашения.

Если хочется сэкономить, то можно использовать FCS в организации без сервера управления.

Также есть возможность после установки «пуске» зайти в Reporting Services Configuration, в этой утилите можно и вручную настроить многие параметры, в том числе и приложения IIS.

В случае дальнейших проблем, пишите сюда. Обещаю отвечать быстрее ;)

Здравствуйте, открывается с ошибками:

Не удается найти требуемую страницу
Запрошенная страница удалена, переименована или временно недоступна.

Режим Enhanced Security отключил.