P. S. Ещё раз хочу упомянуть, что подписки на комментарии тут очень не хватает — в их потоке я предыдущий «проморгал» ;) .

К сожалению, я тоже не умею :( .

Я уже задавался целью научиться расшифровывать билеты. На практике от Wireshark пока удалось добиться только того, что он расшифровывает билеты в тех дампах, которые дает скачать в качестве образцов. На реальных дампах нифига не получатся, что только не пробовал. Разве что не собирал идентичную описанной WireShark-ом инфраструктуру на WS2003 без сервиспаков чтобы попробовать экспортировать оттуда keytab-ы.

Картинка не отображается ;) .

На картинке хотел показать, как получил билеты на актуальное время, хотя время на компьютере было отмотано на пару месяцев назад. Картинки не загружаются: либо обновление не блог кривое пришло, либо что-то не то с хостингом стало.

Ну, передавайте Косте привет :) …

Передал.

Картинка не отображается ;) .

Шаблон :) ?

Ну, передавайте Косте привет :) …

А вообще, ты серьезно мне шаблон разорвал. Надо поговорить об этом факте с коллегами, среди которых есть даже MCM по Directory.

А про Outlook 2010 не знал — спасибо :) .

Я не очень понятно выразился

Если честно, мне и сейчас ни чуть понятней не стало :) . Ну есть у вас два разных ресурса с одинаковым именем и что? Если нужно обеспечить, чтоб обращение происходило на соответствующие сервера, в зависимости от сети, указываете во внешней DNS-зоне свой адрес, во внутренней «внешней зоне» свой. Если нужно, чтоб на одном и том же работали, указываете везде одинаковый — в чём проблема-то?

К сожалению, до своих статей я ещё не дорос — так, в камментах «погадить», да на форумах пообщаться :) .

Монитором трафика пока не смотрел, но полагаю, что подводит время клиент все-таки по NTP

Действительно, про NTP, в этом случае, я как-то не подумал. Я копнул дальше и глубже и обнаружил, что подвод системных часов выполняется именно за счёт него.

так как Kerberos ни разу не предназначен для синхронизации времени

Компьютерные сети тоже ни разу не были предназначены для телефонии и что сейчас происходит ;) ?
В общем, как я и говорил, при первой попытке аутентификации, контроллер вернёт ошибку со своим текущим временем и, видимо, LSAS (или кто там ещё) на столько умный, что вычисляет разницу между текущим системным временем и временем на контроллере домена и все дальнейшие операции со штампами времени происходят с учётом этого смещения!
Я долго и безуспешно пытался найти хоть какое-то подтверждение своим словам в официальных источниках и наконец удача мне улыбнулась:

Although the «0×25 — KRB_AP_ERR_SKEW: Clock skew too great» error might show up in the logs, it will not prevent a user from being authenticated. When this error is returned, the domain controller also supplies the correct time on the domain controller. The Kerberos client uses the correct domain controller time to attempt the authentication request a second time. Presuming that the user’s credentials are valid, the user will be authenticated on the second try.

Таким образом, всё, что связано с Kerberos’ом, работает при любых сдвигах во времени. Но так как кроме Kerberos’а существуют и другие вещи, как проверка сертификатов, вот тут мы уже получим проблему, ибо если время «уедет» за рамки сроков их действия, компьютер не будет им доверять и тот же Lync откажется подключаться.

Кто бы спорил ;)

Не знаю «кто бы спорил», но несколькими комментариями выше вы сами сказали:

Без правильного часового пояса Kerberos-у труба, особенно в свете недавних изменений часовых поясов в России.

Тем самым вводя в заблуждение, что для его работы они жизненно необходимы ;) .

Не проверял, но эксперимент «про 5 лет» может дать другой результат

А я, прежде чем написать, специально проверил. И даже не пять лет — на тридцать назад отматывал ;) . Результаты, что на «Windows XP», что на «Windows 7″ положительные.
Да и что вам стоит выполнить такую проверку — займёт, максимум, минут десять ;) …

А еще есть Failback to NTLM ;)

Я так и знал, что вы начнёте «обвинять во всех смертных грехах» этот «несчастный» NTLM :) ! Я специально проводил все свои эксперименты на «Windows 7″ с полной его блокировкой ;) .

Есть подписка на комменты по RSS

Лично мне, RSS неудобен более, чем полностью :( .

Использую Samba3+OpenLDAP, домен как раз simple, надо переделывать. Сеть небольшая, ~200 хостов, включая виртуальные.
Все устройства имеют именование -. То есть, DOM-005 или DOM-213. Так как сеть маленькая, то из диапазона IP хорошо понятно, что это за устройство (с 1 по 20 — сервера, с 30 по 50 — принтеры и так далее). К тому же, удалёно подключаться к машинам стало проще — из имени хоста следует, куда ломиться. Раздаются имена и IP хоть и через DHCP, но со статической привязкой к MAC, что ОЧЕНЬ удобно. А рабочие места получают по наклейке с их номером.
А вот с пользователями следующая вещь:
smirnov.e — гораздо проще искать, чем e.smirnov. Даже при сотне пользователей знать из всех ФИО — никакого терпения не хватит. В исключительных случаях, можно добавить отчество, если Смирновых расплодилось.

Вот кстати более подробно про разницу между NTLM и Basic для Outlook Anywhere.

А происходит это просто — контроллер отвечает ошибкой Clock Skew, но кроме самой ошибки в ответе содержится текущее время контроллера домена, благодаря чему компьютер подводит свои часы и не испытывает ни малейших проблем.

Монитором трафика пока не смотрел, но полагаю, что подводит время клиент все-таки по NTP, так как Kerberos ни разу не предназначен для синхронизации времени.

Причём, всё время в Kerberos’е (и не только в нём) абсолютно толерантно к часовым поясам, ибо сообщается оно в GMT. Если б этого не было…

Кто бы спорил ;) Важность правильно выставленного часового пояса в том, чтобы у клиента после синхронизации отображалось его действительное локальное время, а не время в чужой временной зоне.

В качестве подтверждения своих слов: отмотайте время, например, на пять лет назад, перезагрузите компьютер и посмотрите на результат…

Вот здесь пишут , что начиная с WS2008 значение MaxPosPhaseCorrection равно 48 часам. Не проверял, но эксперимент «про 5 лет» может дать другой результат.

Теперь вы знаете почему погибшая батарейка на материнской плате не вызывает проблем с входом в систему ;) .

А еще есть Failback to NTLM ;)

P. S. Подписки на комментарии в данном блоге очень не хватает ;) .

Есть подписка на комменты по RSS, но не знаю, насколько это юзабельно. Пожелания сделать нормальную подписку уже звучали, все руки мои ленивые не дойдут…

А что мешает иметь два разных ресурса? Внутри сети имя разрешается во внутренний IP-адрес и пользователи продолжают им пользоваться, а снаружи имя разрешается во внешний. Но, если честно — ситуация какая-то «надуманная» :) .

Я не очень понятно выразился. Имел в виду ситуацию, когда внутри http://ftp.argon.pro ведет на внутренний сервер компании, а снаружи http://ftp.argon.pro — на внешний сервер, который, хостится, например, где-то у провайдера. На своей практике таких коллизий я встречал немало, поэтому для меня этот пример совсем не «надуман».

Если вы имеете в виду, что одним Wildcard-сертификатом вы покроете имена из доменов «argon.pro» и «lab.argon.pro», то вы сильно заблуждаетесь.

Согласен, нужно учитывать, что этот сценарий не работает.

И в заключение — я, наоборот, сторонник соответствия внутреннего домена внешнему :) .

Мне будет очень интересно почитать твою статью с твоими аргументами!

- Компьютер, с которого создается запрос, должен входить в домен, в котором опубликован ЦС
- Совершенно не обязательно ;) .

Можешь научить, как это сделать не с доменного компа?

P. S. Я, конечно, понимаю, что я на полтора года «опоздал», но тем не менее :) .

А зачем использовать это имя, когда можно сразу «заложиться» на внешний домен?

«На домен, владение которым невозможно подтвердить, нельзя получить публичный SSL-сертификат»

Вы, видимо, не часто покупаете публичные сертификаты :) . Имена в таких зонах, как «.local», совершенно не требуют проверки ;) . Хотя, всё, как всегда, зависит от конкретного поставщика.

«Администрирование публичных и внутренних DNS-записей затруднено: все публичные DNS-записи в зоне argon.pro, которые используются из внутренней сети должны быть продублированы на внутренней зоне DNS. Также необходимо как-то обеспечивать синхронизацию этих записей.»

На счёт «должны быть продублированы» согласен, а вот «обеспечивать синхронизацию» — совершенно не проблема. Я решаю это банальным делегированием, как описано здесь.

«Внезапно возникла необходимость предоставлять пользователям интернета файловый сервис по тому же адресу http://ftp.argon.pro. Что получилось? Внутренние пользователи не могут подключиться к внешнему сервису по указанному имени…»

А что мешает иметь два разных ресурса? Внутри сети имя разрешается во внутренний IP-адрес и пользователи продолжают им пользоваться, а снаружи имя разрешается во внешний. Но, если честно — ситуация какая-то «надуманная» :) .

«получения публичных SSL-сертификатов (всего один wildcard-сертификат можно использовать как для сайта компании, так и при публикации ресурсов внутренней сети)»

Если вы имеете в виду, что одним Wildcard-сертификатом вы покроете имена из доменов «argon.pro» и «lab.argon.pro», то вы сильно заблуждаетесь. Если вы попробуете открыть сайт по имени «mail.lab.argon.pro», когда на нём весит сертификат «*.argon.pro», то вы получите ошибку — имя в сертификате, в данном случае, должно быть «*.lab.argon.pro» ;) .

И в заключение — я, наоборот, сторонник соответствия внутреннего домена внешнему :) .

В действительности, «особого» там не так уж и много, особенно, если говорить про зеркало. Так как физическая структура хранения данных полностью аналогична Basic, преобразование не составляет ни малейшего труда. Всё что нужно — в таблице разделов у типа файловой системы вместо HEX-значения 42 поставить 07 (NTFS). Правда, при определённых обстоятельствах, для части разделов может потребоваться переопределение параметров начала раздела и его длины, но это тоже выполняется более чем просто.
Такие зеркала, в случае различных сбоев, я неоднократно преобразовывал в Basic.

«При установке ЦС в домене Active Directory по умолчанию должны создаваться групповые политики, которые прописывают доверие клиентов к корневому ЦС»

Во-первых — зачем заморачиваться созданием политик, когда можно просто опубликовать сертификат в AD командой «certutil -dspublish -f FileName.cer RootCA» и именно при обновлении тех самых политик этот сертификат автоматически скачается и установится в доверенные?
Во-вторых — при разворачивании «Enterprise CA» (с правами Enterprise Admin) сертификат публикуется в AD автоматически и ни каких телодвижений предпринимать не нужно ;) .

«но отозваны ли они центром сертификации»

Видимо, имеет место опечатка и имелось в виду «не».

«CRL (Certificate Revocation List, список отзыва сертификатов) на веб-сервере, регулярно обновляемый»

Лично я настраиваю центры сертификации на публикацию CRL’ей в DFS (с репликацией, в случае необходимости), откуда они спокойно раздаются IIS’ом — ни каких «регулярных обновлений» не нужно — всё автоматом. Пример такой настройки я показывал здесь.

«От себя лишь замечу хитрость: если ваш домен имеет доступное из интернета DNS-имя (то есть argon.com.ru, а не argon.local), а на сервер с корневым ЦС установлена опция Web Enrollment, то ЦС уже настроен на публикацию своих CRL по адресу http://server.argon.com.ru/CertEnroll. Поэтому для полноценной работы CRL достаточно просто опубликовать в интернете порт HTTP по доменному имени server.argon.com.ru.»

Ну а в чём сложность сделать то же самое, когда внешнее доменное имя отличается от внутреннего? Обеспечение «прозрачности» доменного суффикса, с моей подачи, описаны здесь.

«Следует иметь ввиду, что проверка отзыва по протоколу OCSP проходит успешно только в том случае, если сертификат ЦС, выдавшего проверяемый сертификат, установлен в хранилище доверенных сертификатов локального компьютера»

Я бы ещё хотел добавить, что успешная проверка по OCSP пройдёт только в том случае, когда сам OCSP-сервер имеет доступ к CRL-файлам — именно оттуда он берёт информацию, избавляя клиента от их скачивания ;) .

«Они же Certificate Enrollment Web Services, если по-английски. Весьма полезная роль»

А я бы сказал, что роль бесполезная и лично я от её использования давно отказался. Поданс, кстати, с этим мнением солидарен (тут и тут) :) .

«По умолчанию ЦС на Windows Server не настроен на выдачу сертификатов, содержащих SAN.»

Всеобщее заблуждение ;) ! Центры сертификации прекрасно выдают SAN-сертификаты и без включения данной опции — когда-то Вадим мне «не верил», но по предыдущей ссылке сам признался в своём заблуждении и вредности данного флага.

«Компьютер, с которого создается запрос, должен входить в домен, в котором опубликован ЦС»

Совершенно не обязательно ;) .

«Более гибким и универсальным способом запроса сертификатов с SAN является следующий, использующий утилиту certreq.»

На счёт универсального не поспоришь, а вот на счёт гибкости полностью не согласен :) ! На мой взгляд, самый гибкий — запрос через MMC-консоль в новых системах. И просто и удобно и наглядно и без создания файлов с кучей параметров, которые в голове не удержишь и нужно обращаться к заранее заготовленным шаблонам.

«Отправить запрос центру сертификации и получить в ответ .cer файл. Для этого можно воспользоваться MMC-конcолью управления Certification Authority (и указать .req файл) либо Web Enrollment (в окно расширенного запроса вставить содержимое .req файла и выбрать шаблон веб-сервера).»

Я предпочитаю, в случае необходимости, отправлять запрос командой «certreq -Submit -attrib «certificatetemplate:WebServer» Request.req Response.cer».

«Если ЦС у тебя на винде, интегрированный с AD, то его нужно настроить на публикацию CRL/AIA в AD»

Тоже большое заблуждение ;) . Эти ссылки в интернет-сценариях только мешают и наилучшим вариантом является их полное «выпиливание» из сертификатов — оставить только публичные HTTP-ссылки.

P. S. Подписки на комментарии в данном блоге очень не хватает ;) .

Машины, входящие в домен как-то дополнительно настраивать не нужно, они сами синзронизируются с контроллеров.

По поводу сертификатов для WiFi. Пока у нас в MS были Win Mobile 6.5, то для коннекта действительно требовалось поставить сертификат. На WP 7.5 для подключения к той же сети достаточно учетных данных в домене. Еще не разбирался, почему так.

А, так в большенстве случаев для доступа к корпоративному WiFi используется EAP-TLS следовательно корни корпоративного ЦС уже есть на мобильном устройстве, поэтому на серверах линка можно оставлять сертификат выпущенный внутренним ЦС, а вот для публикации edge нужны внешние ибо федерация и пуш-нотификации.

Internal\Mcx указывает на внешние веб-сервисы для того, чтобы при роуменге между WiFi/сотовыми сетями не было проблем с разрешением имён. Чтобы реконет происходил гладко. Можно как в статье играть с TTL, но это надо тестировать, кто его знает как на самом деле мобильные клиенты коннектятся.

lyncdiscoverinternal > lync-web-services-internal > lync-web-services-external

Как видишь, в середине присутствуют внутренние веб-службы с их неугодным SSL-сертификатом. Именно поэтому я написал, что DNS-запись lyncdiscoverinternal не нужна.

Более подробно процесс редиректов разобран в последней ссылке в «источниках вдохновения» ;)

Беглая проверка браузером показала, что так оно и есть на портах 80 и 443.

w32tm.exe /config /manualpeerlist:"pool.ntp.org,0x8"
/syncfromflags:manual /update

Либо аналогичными параметрами в реестре.

autodiscover.lab.argon.pro
argon.pro

Второе мне использовать не получиться по причине хостинга этого блога не в моей среде.

А два правила публикации на TMG с одним листнером с разными Public Name? По идее должно работать.

Должно и работает. Но в начальных ограничениях я написал, что у нас только сертификат с одиночным common name без SAN. Подсказка, это бесплатный StartSSL ;)

К сожалению, ничего не меняется. Также подтверждаю, что с обновлением сервера и клиента CU5 баг остался.
Нет никаких сведений, когда будет пофиксено?

Если мы создаём нового пользователя, то какое-то время его телефоны отображаются в том виде, как они забиты в AD.

Однако, по прошествии какого-то времени, а также добавления этого пользователя себе в контакты, брюки превращаются в то, что описано в этой заметке.

Other then for Windows Server 2008, for Windows 7 the Allow audio recording redirection policy does not need to be enabled to allow audio recording redirection. However, if you configure the policy to Disabled, Audio Recording Redirection is not available

Т.к. политикой можно только отключить, по умолчанию оно считается включеным. Почему на Ent редакции fDisableAudioCapture=1 тайна покрытая мраком.

Создать две разные политики, одну строгую, другую с возможностью настройки пользователями.

Далее предлагаю два варианта.

1. Привязать политики к разным OU/Коллекциям.
2. Создать группы в AD, включить в них нужные учетки компьютеров, для политик использовать фильтрацию по группам.

Для чего использую — Lync Edge, Lync Web, Exchange OWS, Remote Desktop Gateway, SSTP VPN…

антивирус ставится на OU AD, есть в AD OU «ITC»

Суть такова, что политики я не создавал для FEP, а просто изменил в стандартных нужные значения.

В наш отдел IT тоже на некоторых машинах развернул FEP, но люди жалуются, что все под себя антивирус взял, и удаляет и т.д., а им это как бы и не нужно.

Вот поясните мне, как мне правильно сделать для нашего отдела?

мои мысли таковы:

создать новую политику (опять же с приоритетами как? или указать. что она нужна для нужной коллекции?), дабы сами пользователи могли выбирать, что удалять и т.д.

создать коллекцию под эту политику, а вот здесь тоже не понятно каким образом мне указать при создании, чтобы в ней помещались машины из этой OU. какой параметр/критерий надо указать, дабы в дальнейшем на эту коллекцию развернуть НУЖНУЮ политику.

Видимо потому он так куц на функционал, что SIP-а в нем нёт в принципе…

Только lyncdisсover и внешнее имя веб-сервера должны указавать на внешнее имя reverse Proxy.

Другие клиенты, кроме мобильных, lyncdiscover не используют.

Есть другой, более элегантный способ:
НЕ создаем запись lyncdiscoverinternal
Даем клиентам из WiFi сети доступ к lyncdiscover на reverse proxy, где у нас стоит публичный сертификат.

Вот накопал KB931125, из нее следует, что сертификат CA StartSSL устанавливается вместе с обновлениями даже на стрые ОС типа XP, на которых его изначально не было.

Изначально присутствует в Win7/Server2008R2.

Для федерации с дугими Lync-ами вполне пригоден (в том числе проходит тест Remote Connectivity Analyzer), а вот OCS, поставленый на Win2003 и не обновляемый, вполне может и не доверять.

Требуется все же расширение?
как бы все в тестовом режиме хотелось бы погонять неск.месяцев, дабы сеть не забивать лишним. да потом все удалить или в конце кнцов на «рабочем» сервере все сделать и сайт и коллекции. на данном этапе хотелось бы пока эвалюшен версия FEP не десяток компьютеров поставить.
это расширение как я понимаю дополняет атрибуты какието в 2003 схему леса. и как понимаю есть нюансы необходимости таких шагов.
что интересно в коллекции этот компьютер есть, в поле код сайта (OBL)
Клиент — Нет
Одобрено — Н/Д
Назначено — Да

В данном случае, думаю что все проблемы исходят от неправильной установки агента SCCM. Я бы снес текущий и сделал начисто push установку агента, с использованием доменной учетки с админскими правами на клиентской машине.

«Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID
{135D7881-D666-4046-A1DF-7EC7B5785A67}»
«Поставщик PolicyAgentInstanceProvider зарегистрирован в пространстве имен WMI root\ccm\Policy\Machine с правами локальной системы. Это может привести к нарушениям зашиты, если поставщику не удастся олицетворить запрос пользователя.»
«Не найдено описание для события с кодом ( 1042 ) в источнике ( MsiInstaller ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, — дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация: C:\WINDOWS\system32\ccmsetup\{9B236306-42D4-496A-AEB3-B3B039116478}\client.msi; 4028; (NULL); (NULL); (NULL); ; .»
и собственно FEP не ставится.
что-то где-то надо подправить?

Кстити, netbios имена вообще нигде не должны использоваться, только FQDN. Для внутреннего сертификата, соответсвенно, внутренее полное DNS-имя. Если Edge развернут на компе в рабочей группе, то на этом компе должен быть прописан осоновной DNS-суффикс.

Vladimir
так как имя сервера lync-edge и в топологии lync везде фигурирует именно это имя
а сервер уже в работе и менять имя, топологию, а следовательно и переустанавливать lync на edge как то нехорошо))

Нельзя менять внутреннее имя сервера, это так. Однако, в редакторе топологии можно легко поменять внешнее имя в разделе Edge server configuration > External Settings.

Именно это имя (или имена) должно содержаться во внешнем SSL сертификате.

Сообщение «Warning: The chain of the certificate ### is invalid» говорит о том, что не вся цепочка сертификатов валидна на локальном компьютере. Скорее всего, пропущен какой-то Intermediate центр сертификации. Проверить это легко, если открыть свойства выданного сертификата (.cer) и проверить цепочку. Если там есть какие-то проблемы, то доустановить пропущенные CA в хранилища Root или Intermediate компьютера. Цепочка должна заканчиваться на корневом, самоподписанном CA.

Кстати, для Windows Server 2008 R2 SP1 путь немного изменился, новый выглядит так:

C:\Windows\servicing\Packages\Microsoft-Windows-Media-Format-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.mum

мне очень помогло.
огромний СПОСИБО!!!

Все рекомендации хороши, но сервер, потом еще раз сервер ?
советую подумать над таким вариантом:
(Первые 2 буквы регион ) — (Принт-сервер)(номер) зачем 3 раза кодировать srv ?
например организация распределена по регионам
петропавловские сервера:
pp-dcs001 (петропавловский — домен контролер сервер 001)
pp-ps001 (петропавловский принт сервер 001)
pp-fs001( это файловый )

Для публикации Edge достаточно сертификата на имя sip.xxx.ru, если в SRV-записях используется оно же.

UC-сертификат отличается от остальных SAN сертификатов, что позволяет добавить в SAN локальные DNS-имена типа lync.domain.local. Нам на эдж это не требуется.

Более полробно по настроеке Lync Mobility Push я нашел здесь.

Для добавления драйверов развертываемый образ, можно использовать как онлайн добавление драйверов (из самой операционки), так и оффлайн, прямо в образ: Add and Remove Drivers Offline.

Может правильным было настроить сервер времени на хостовой машине и всех синхронизировать уже с ней(кстати у меня она не в домене)?

Годный вариант, но синхронизировать с ней только PDC, ни к чему корячить топологию синхронизации в AD. Это можно обозвать как назначение внутренней машины в качестве внутреннего источника времени. Сомнения по поводу убегания времени на виртуальной машине в случае отсутствия доступа к инету оправданы.

И еще вопрос, как распространить настройки синхронизации времени на машины домена?

Ничего не надо настраивать, все само будет, в пределах леса AD. Если хочешь корячить топологию, то unmanaged групповыми политиками (напрямую в реестр).

Машины в домене по-умолчанию синхронизируют время с ближайшим по топологии DC или это настраивается списком внешних источников для синхронизации?

Ближайшим в терминах сайтовой топологии, если не изменять настройки. Второй вариант — руками список источников вбить.

Как работает список внешних источников для синхронизации: синхронизация происходит спервым по списку, если не доступен то со следуюцим и т.д.; со всеми сразу; случайно с одним из списка?

В документах это не описано, но по опыту — по порядку. Также у каждого источника есть так называемый Stratum, чем он ниже, тем больше доверие к источнику. Текущий источник и его параметры можно посмотреть командой w32tm /monitor

Кстати на него можно водрузить WSUS.

2. Также, проверить, что обращение к этому IP/DNS не идёт через прокси-сервер.

3. Если ЦС у тебя на винде, интегрированный с AD, то его нужно настроить на публикацию CRL/AIA в AD. Обычно так настроено по умолчанию.

Ну и лихи е пути…
4. Отключить в GPO проверку CRL для RDP
5. Через GPO установить на клиентские компы самоподписанные сертификаты TS в качестве доверенных.

1. Сохранить на комп и проверить на валидность с помощью certutil.
2. Сохранить на комп и импортировать в хранилище «доверенные ЦC» компа, just for fun

Если в результате этих действий ничего нового не обнаружится, то присылай полные сертификаты, без приватных ключей, ессно.

1. Проверить, что сертификат на терминале действительно доверен клиентским компьютеором, вся цепочка от сертификата до Root CA. Причем доверие должно быть не на уровне хранилища пользователя, а на уровне компьютера.

2. Если есть машины, при доступе с которых не возникает этой проблемы, то сравнить конфиги с больными.

3. Если еще не стоит, попробовать развернуть Online Responder. Правда при этом нужно сертификаты перевыпускать, чтоб они содержали инфу о нём.

Проверено базовый CRL бла-бла-бла

2. Скинь этот сертификат на комп, при подключении с которого выдается ошибка проверки сертификатов.

Выполни certutil -url name.cer

Должна пройти проверка отзыва сертификата, либо по CRL, либо по OCSP.

Игорь, добрый день!
Получаю именно такую ошибку, хотя, как мне кажется, настроил все верно, не могли бы помочь разобраться в данной проблеме?
Могу прислать скриншот, где четко видно, как все настроено, но не знаю, куда именно надо слать.
Заранее признателен за содействие.

по поводу RODC. Я тут статейку писал, как можно получить полномочия используя RODC:
http://gexeg.blogspot.com/2009/12/active-directory.html

A malicious user who compromises an RODC can attempt to configure it in such a way that it tries to replicate attributes that are defined in the RODC filtered attribute set. If the RODC tries to replicate those attributes from a domain controller that is running Windows Server 2008, the replication request is denied. However, if the RODC tries to replicate those attributes from a domain controller that is running Windows Server 2003, the replication request can succeed.

Therefore, as a security precaution, ensure that forest functional level is Windows Server 2008 if you plan to configure the RODC filtered attribute set. When the forest functional level is Windows Server 2008, an RODC that is compromised cannot be exploited in this manner because domain controllers that are running Windows Server 2003 are not allowed in the forest.

Во многом согласен, особенно с развеянием мифов по поводу «безопасности» мастера схемы в корневом домене.

А вот с инфой о практической реализации возможности наделать гадостей, имея прямой доступ только к RODC, пока не сталкивался.

Если сцылок накидаешь, буду рад :)

вот возьмите учетку со schema admin и попробуйте нарушить работу службы каталогов.. :) создали много классов? атрибутов? что еще можете сделать?

Да кому такая схема нужна будет, после таких-то надругательств ;)

>>>Если иерархия доменов в пределах одного леса строиться именно по перечисленным выше причинам, то вполне разумно в качестве корня иерархии использовать «пустой» домен, который не будет выполнять никаких ответственных функций, кроме как логического корня и высшей точки назначения привилегий.
ну какбы иерархия доменов в назначении привилегий не играет…

вообще можно добавить еще один миф: доступ к схеме-мастеру не приводит к компрометации :) вот возьмите учетку со schema admin и попробуйте нарушить работу службы каталогов.. :) создали много классов? атрибутов? что еще можете сделать? модифицировать системную часть схемы можете?

Однако, для варианта Forest Trust этот дополнительный уровень все равно удлинняет цепочку аутентификации (Kerberos, NTLM).

C:\Program Files\Microsoft SQL Server\100\Tools\Binn>sqlcmd -E
1> EXEC sp_addsrvrolemember ‘WIN-58VES4PDRM8\Администратор’, ‘sysadmin’
2> GO
Сообщение 15247, уровень 16, состояние 1, сервер WIN-58VES4PDRM8\SQLEXPRESS, про
цедура sp_addsrvrolemember, строка 29
У пользователя нет разрешений на выполнение данного действия.

———
А «AutoAttendant(Exchange2010)» для Lync Server также является нестандартным пользователем?

Попытался указать в Responce Group телефон AutoAttendant на Exchange — безуспешно.
Пробовал различные способы: 1) в настройках группы («Lync Control Panel» -> «Responce Group» -> «Group») в параметре «Use an existing email distribution list» — указал адрес «distribution list», членом в которой является mail-enabled контакт «AutoAttendant», 2) в очереди «queue» в параметре «enable queue time-out» пытался указать в «Call Action» -> «Forward to sip address» указать адрес «AutoAttendant»).
—
В итоге сценарий:
Ext/int call -> Lync Server Responce Group -> Autoattendant Exchange
реализуем в принципе?

Логин/пароль, видимо, сохранён в Win Secure Store, посмотреть его можно из панели управления, либо командой:
cmdkey /list

Годная статья, добавлю в ссылки.

Слуш, а у тебя инфайта на хабру не найдётся?

http://habrahabr.ru/blogs/it-infrastructure/93423/

1. Пароль сохранен.
2. Юзеры каким-то образом авторизованы в домене.

Систему транслитерации выбирают топ-менеджеры. Простому пользователю с этим спорить смысла нет, в такой ситуации. Если системы не будет, то очень быстро всё в зоопарк превращается. =)

поставь чтоли отслеживатель ответов в бложик. а то в рсс пихать это некомильфо.

клиент совсем старый, и база соответсвенно не обновлена

Если на всусе с аппрувами все в порядке, то клиент и базы, сам понимаешь, должны обновлятся.

в adm.console комп появился нормально

То, что клиент появился в консоли, говорит о том, что связь с МОМом имеется, аутентификация проходит.

А с другими клиентами какая-то беда. Может, базы мом-а попробовать из бекапа откатить?

Либо удалить из мома остальные компы, чтобы они перерегистрировались? Тренироваться, конечно, сперва сделав бэкап.

Как вариант, попробовать накатить новый агент на чистую машину, или переустановить на старой. Посмотреть, как оно себя поведёт.

srv-1 — сервер.

может все это влиять? тогда что предпринять дальше дальше

Затем запустил ручной поиск обновлений Windows на клиентах, если не найдёт, то курить взаимодействие клиентов и всус.

Также, может пока рано драматизировать, база мома обновляется ммееедленно.

13.06.11

Client Version: 1.5.1996.0
Engine Version: 1.1.6903.0
Antivirus definition: 1.105.1849.0
Antispyware definition: 1.105.1849.0

Машины с MOM, сервер FCS работает, в логах вроде подозрительного нет, политику раздает на OU (сейчас еще раз переназначил для подстраховки).

На сервере WSUS и вручную синхронизацию делал и так по плану тоже идут обновления (другие не касаемый антивируса), и в состоянии компьютеров пишет, что требуется установить для указанных компьтютеров: Обновление определения для Microsoft Forefront Client Security – БЗ977939 (Определение 1.105.2020.0)

выбираю в антивирусе обновиться, пишет, мол нету доступных.

Стас [Комментарий от 2011-06-14, 19:11],
Последняя схема формирования логина, в котором гибко выбираются части имени и фамилии, позволяет избежать коллизий лучше всех.

Например, имеем трёх юзеров с именем Федор Бондарчук. Первого называем fbond, второго febo, третьего fedorb. И так далее, вариантов масса.

Vitaly [Комментарий от 2011-06-14, 21:14],
Верное уточнение!

Stanislav Buldakov [Комментарий от 2011-06-15, 11:27],
Спасибо за ссылку. Только дописал свою часть про OU, иду по ссылке, и вижу что мысли во многом сходятся ;)

Насчет транслитирации по гостам — я, например, не согласен с транслитерацией своей фамилию по стандарту, применяемому в ФМС. Отдельное заявление писал, чтобы мою фамилию транслитерировали как мне нужно. И думаю, что не один такой. Если юзеру пофиг — то есть смысл транслитерировать по стандарту. Если не пофиг, то почему бы не прислушаться к его мнению.

относительно транслитерации — выбирается любая система транслитерации (типа той, что используется в ФМС при транслитерации имени-фамилии получателя загранпаспорта). в результате все неоднозначности транслитерации снимаются.

годная статья =)

И еще по поводу логинов типа i.rom. Точки тоже зло. чуть меньшее чем русские логины но зло. Для меня. Бесит…

раньше тоже использовал шаблон
Бондарчук Фёдор Сергеевич = fbond

но чем больше пользователей, тем больше колизий с совпадением логинов,

сейчас использую Бондарчук Фёдор Сергеевич = fsbond (по одной букве из имени, отчества + часть фамилии)

но даже в этом случае бывают совпадения,
есть люди ФИО которых полностью сопдает (хотя не родственники, и живут в разных городах)

как быть в этом случае, посоветуй…

Кстати, удаленный WSUS можно задействовать как Site System для SCCM. Сам SCCM установки полного всуса, насколько помню не требует, а только его консоли, которая обеспечивает работу API WSUS.

После того, как клиент CM стоит, создаем коллекцию, назначаем на нее адвертайзинг FEP, включаем в коллекцию компьютеры (явным перечислением, либо по каким-то правилам)

Как понимаю нужно, чтобы клиент SCCM установился. Но так и не понял, где именно и каким образом установить на определенные машины.

to oriang: была похожая ошибка был виноват Файервол.

1. У меня голый Aстериск, а «Intra Company Route» — это настройка FreePBX, и как она транслируется в конфигурацию Asterisk, я пока не нашел.

2. CID в мой конфигурации итак всегда передается. Конфуз в том, что если я звоню от известного Линку CID-a (который прописан как AnalogDevice) то звонки идут по маршруту, если от звоню как кто-то внешний, то нифига.

2. У меня наоборот, с MS большая дружба, а с Аваей как-то не доводилось сталкиваться.

С другой стороны, в терминале мы, как правило, звук не воспроизводим, а тормоза изображения воспринимаем теприливо. Поэтому описанное мной поведение может остатья незамеченным.

Но всеж-таки «Certificate Requirements for External User Access» говорят вполне конкретные вещи. И если им не следовать, то велика вероятность ступить на детские грабли. То федерация не заработает, то аппаратный Lync-телефон из интернетов не залогинится.

2. Для Autodiscovery и уж тем более федерации нет такого требования, чтоб имя в сертификате было вида sip.domain.ru! Использовать можно абсолютно любое! Про вариант с недоступностью SRV-записи Шура пояснил :) .

3. Сертификаты моего постовщика не входят в этот список, но проблем с ним нет, даже на мобильных устройствах! На самом деле, главное, чтоб корень был доверенным на всех устройствах, которыми вы будете пользоваться. Для поставщиков из приведённого списка это просто гарантируется.

Сейчас расскажу, чем TMG разочаровал… Представим конфигурацию. 2 интернетовских сетевых интерфейса. На каждом по шлюзу. Настроен failover. Все работает. Даже «policy-based routing».

Добавляем на любой из интерфейсов второй IP-адрес. А он не работает. Выключаем failover — работает.

А это значит, что с TMG мы имеем либо failover, либо DirectAccess. Но не оба сразу. В свое время я этим был очень сильно расстроен и потянулся к железкам.

Насчат эффективности работы SIP фильтра хочу проверить. Но пока нет доверия, TMG уже разочаровывал меня.

Тем более, что в официальных тестах «минимальная» конфигурация TMG, выполняющая помимо прочих ролей SIP/VoIP Protection, поддерживает 750(!) пользователей, что «немногим» больше, чем указанные 50 :)

Отмечу, что в случае с SIP/VoIP Protection TMG проводит инспекцию сетевого трафика на уровне приложений, чего в случае «публикации» Lync Edge не происходит. Так что нагрузка в последнем случае будет еще меньше, а значит исходная конфигурация сможет поддерживает еще больше пользователей.

«Ну и в довершение» TMG/ISA *поддерживаются* в роли reverse proxy И firewall для Lync/OCS! Единственное ограничение — нельзя использовать NAT для интерфейса Edge A/V Server.

Реальных измерений не имею, но по моему опыту, TMG всеж-таки заточен на некритичный к задержкам трафик, типа HTTP, FTP и т. п.

50 активных пользователей, да еще если в конференции — разве мало?

Ну и в довершение, TMG официально поддерживается только для публикации Lync Web Services, службы Edge допускают либо прямую публикацию в инете, либо hardware load balancers.

может дело что-то в другом…

Эхх… буду копать Avaya… Хотя признаюсь в ней(Avaya) я понимаю не много )))

Когда мы ищём в адресной книге от мы должны произносить полность ФИО или можно только фамилию?

Блин и какие у меня есть варианты?

1. По поводу поиска в адресной книге — А как сделать для всех пользователей атрибут PhoneticDisplayName?
2. Про третий пример — Если мы сделаем * то мы сможем на любые номера звонить из голосового меню?

У меня Avaya c Lync соответственно по SIP, а вот сама Avaya с внешним миром по протоколу H.323 и кодек G.729

Есть предположение, что может быть проблема с кодеками. То есть соединение по SIP установлено, сигнализация идет, но когда трубку поднимают, должен побежать голосовой трафик. А это по-каким то причинам не происходит. Поэтому соединение разрывается.

С такими вопросами лучше писать комментарии к другим моим заметкам, типа Маршрутизация вызовов в Lync Server 2010.

Когда звонк проходит на сотовый Lync его сбрасывает и пишет время 00:00

Такое ощущение что успешный дозвон Lync воспринимает как поднятие трубки и не видя голоса или чего там сбрасывает и говорит что вызов завершён или занято… Или лучше так: IPO говорит(возвращает) Lync что соединение установлено и Lync воспринимает это как поднятие трубки…

что-то типа того, думаю суть понятна. Где копать, на АТС или Lync?

не приводилось ли Вам интегрировать Lync(OCS) с Avaya IP Office 500 на прошивке 6.х???

Сейчас пытаюсь интегрировать данный продукты, но пока как-то ни как…

TS-экзамен скучный и задротский; PRO-экзамен сложный, но интересный. Для подготовки чтения ТехНета было достаточно.

Я, кстати, сегодня получил подтверждения успешной сдачи экзаменов на звание «MCITP: Lync Server 2010 Administrator» ;)

Спасибо!

Если хочется через TMG:

1. Настроить в Topology Builder-е для Edge-a NAT=[публичный адрес TMG] и свободные на TMG публичные порты (например, Access=5061, A/V=50443, WebConf=50444)
2. Опубликовать эти порты на TMG правилом публикации произвольного TCP-протокола

Или можно поставить в не делегированная, но клиент может выполнять и т.д.???

Вот это замануха! Если есть опыт решения данного вопроса поделитесь, пожалуйста!

Также в статье «Forefront Client Security unexpectedly scans files that are stored in network locations when you perform a full scan of a client computer» есть ссылка на хотфикс, который позволяет не сканировать сетевые файлы, на которые ссылаются ярлыки на локальном компе.

Кстати, несчет автоконфигурации, интересно, к каким портам клиенты пробуют подключаться, если SRV записи не находят, а видят только имя домена вида sip.controso.com. К 5061 точно подключается, а вот интересно, к каким еще пробуют…

• в статье Certificate Requirements for External User Access пишут «If you are using client auto-configuration or federation, also include any SIP domain FQDNs used within your company (for example, sip.contoso.com, sip.fabrikam.com).»
• в статье Planning for Certificates под SIP Domain понимают уже адреса вида sipdomain01.contoso.com
• сам же Certificate Wizard неприменно включает домен вида sip.contoso.com в список SAN

Где правда?..

Однако, psexec имеет ключ «-l», который позволяет имитировать исполнение команды от имени пользователя без прав администратора на целевой системе.

Все довольно просто. Ставим FEP, развертываем его клиентов, они удаляют FCS.

Вопрос переноса данных об инцидентах из FCS в FPE не рассматривается.

Через Microsoft Exchange Server Remote Connectivity Analyzer прогонять пробовали?

There are no more targets available to send an MWI message for user Dmitriy Dombrovskiy.

Пытаося нагуглить — ничего подходящего не нашел :)

Вопрос собственно – можно ли уже развернутые политики каким то образом импортировать на новый сервер управления? Заранее спасибо)

Подозреваю, что нет. Думаю, их идентификаторы хранятся в базе данных FCS, и по этим идентификаторам он узнает, что они «свои». В вашем случае, можно либо пересоздать политики, либо ковырять базу.

LMcom,
Похоже на ошибку в Windows Installer. Проверьте, запущена ли установка с правами администратора, не выполняется ли сейчас другая установка, либо ранее выполнялась установка, требующая перезагрузки.

Константин,
Тоже как-то хотел воспользоваться такой функцией, не нашел. Тут, видимо, и лень разработчиков, и следование политикам повышенной безопасности, чтобы ничего не пропустить.

Насчет баз 1С и прочих БД — их, конечно, в первую очередь в исключения надо добавлять.

Падение производительности наблюдается на компьютерах, где обрабатываются большие файлы (например локально лежат базы 1С и т.д.). Еще: на одном «тормозящем» компьютере я выполнил поиск файлов по размеру более 50 Mb, в результате этого поиска нашелся ряд больших файлов (более 100 Mb) с расширением tmp, лежащих в системных папках, после того, как я их удалил, компьютер стал работать заметно быстрее.

Я не нашел, как добавить в исключения большие файлы (более * Mb, как это зачастую реализовано в традиционных антивирусах), уважаемый Argon, Вы не знаете — возможно ли это? Если возможно, то как?

The following process failed.
Process: C:\WINDOWS\system32\msiexec.exe
Exit code: 1639Number of tasks completed: [21.10.2010 8:55:15]

Хотя проверку проходит со всеми «зелеными» галочками и начинается установка.

Подскажите, в чем может быть проблема.

netsh int ipv6 add route ::/0 External fc00:10:18:2::180 publish=yes

в моём примере.

Также можно синхронизировать принудительно командой
w32tm /resync /rediscover

То, что для почтовых протоколов теперь и у Яндекса заявлена поддержка SSL — это просто замечательно. Однако, веб-доступ по прежнему работает по HTTP, а чтобы попасть по SSL, нужно руками ввести HTTPS в адресную строку. Действительно, работает!

На момент проведения моего сравнения в хелпе Яндекса про SSL для почтовых протоколов не было ни слова, а про веб доступ нет и сейчас.

А вот с календарем и прочими сервисами все печальнее. Если в Google Apps эти сервисы работают от созданной учетки в вашем домене, то сервисы Яндекса авторизуются по яндексной учетке, а не доменной. Хотя лично мне бесплатные сервисы для совместной работы и не нужны, есть корпоративные.

—

Благодарю за вести с внутренней кухни почты для домена Яндекса. Развитие в этом направлении меня радует.

SSL у Яндекса есть как для почтовых программ, так и для веб-интерфейса.

Календарь и планировщик задач для доменных пользователей есть и у Яндекса, просмотр документов — тоже. Общая АК, на сколько я знаю, планируется в скором времени. В новом веб-интерфейсе, который сейчас тестируется на основной почте Яндекса, уже есть возможность выбирать внешние адреса, от имени которых можно отправлять письма. В будущем это станет доступным и для доменов, наверняка.

Чтобы работало объявление default router, я создал следующие условия.

На компе WS 2008 две сетевухи.

Local1 fc00:10:18:1::10/64 — раздает этот префикс и адреса клиентам по DHCP.
Сконфигурирован
netsh int ipv6 add route fc00:10:18:1::/64 Local1 publish=yes

Local2 fc00:10:18:2::10/64 — для объявления Default Router в сеть Local1 нужен сконфигурированный next-hop адрес (следующего маршрутизатора для текущего роутера).
Сконфигурирован
netsh int ipv6 add route ::/0 Local2 fc00:10:18:2::180 publish=yes

Таким образом, клиенты получают DHCP адреса и префикс fc00:10:18:1::/64, а также default router (маршрут ::/0), который указывает на link-local адрес (fe80:…) адаптера Local1.

Как сделать, чтобы клиенты как адрес шлюза получали назначенный адаптеру Local1 адрес (fc00:10:18:1::10) вместо link-local — еще не знаю.

Не проверял, но пишут, что для WS 2008 R2 уже нет необходимости объявлять на роутере next-hop адрес следующего роутера, достаточно выполнить

netsh int ipv6 set int advertisedefaultroute=enabled

Я исследовал этот вопрос, попробовал объявить
add route ::/0 Local fc00:10:18:1::1 publish=yes
где 10:18:1::1 — адрес другого компа со службой маршрутизации. Этот маршрут на самом серваке прописывается, но до клиентов не доходит.

Однако, если прописать
add route ::/0 Local fc00:10:18:1::10 publish=yes
где 10:18:1::10 — адрес того же компа, то до клиентов доходит маршрут «::/0 on-link» (виден в ipconfig как «::»), то есть без указания роутера, и, соответственно, маршрутизация не работает.

Если на клиенте руками прописать
route add ::/0 fc00:10:18:1::10
то шлюз работает как надо.

Я попробую решить эту проблему, так как мне тоже интересно.

Насчет второго IPv6 адреса… Так как флаг M в DHCPv6 установлен (netsh int ipv6 set interface Local man=en), то DHCP сервером назначаются клиентом адреса, при этом же сами клиенты генерируют еще Stateless IPv6 адреса (EUI-64) самостоятельно. Таким образом клиенты имеют по 2 адреса и больше.

Чтобы отключить автогенрацию IPv6 на стороне клиентов, нужно выполнить

netsh interface ipv6 set global randomizeidentifiers=disabled

…однако, зачем? Пусть живёт.

То есть, если на одной машине стоит DHCPv6 и Routing, то достаточно использовать команды

netsh int ipv6 set int Local adv=en
netsh int ipv6 add route ::/0 Local publish=yes

По моим наблюдениям все равно никто в начале раб дня не работает в полную силу, время на раскачку уходит, тот же чай пьют…

Так же, я нашел на официальном сайте Microsoft рекомендации по добавлению в исключения определенных системных файлов ОС и серверных приложений, в зависимости от ролей конкретного сервера (http://support.microsoft.com/kb/943556), которые Microsoft рекомендует добавить в исключения антивирусных приложений для повышения производительности. Любопытно, что ни одному антивирусу это особо не требуется, кроме антивируса производства самих Microsoft.

По поводу добавления интенсивно используемых приложений в исключения возникает вопрос, если все интенсивно используемые приложения будут добавлены в исключения, то что же будет тогда сканировать сам FCS, и как же это скажется на защите в конечном счете?

Особенно порадовала Ваша фраза на счет чая :)
Интересно, Microsoft не прилагает бесплатно подписку на чай?
А то покупать его для 300 пользователей контора разорится, боюсь.

P.S.: Я посчитал и выяснил, что увеличивать всем оперативную память до 1 Gb по стоимости получится цена того же самого Kaspersky Business Space Security, на который денег изначально пожалели и решили сэкономить.

Исключения на рабочих станциях… Например если есть какое-то определенное интенсивно юзаемое приложение, которое генерит/обрабатывает файлы, вот его и добавлять.

Я прекрасно понимаю, что FCS защищает именно клиентские машины, а не периметр сети, или почту, не понимаю, к чему Вы это написали.

Следует учесть, что FCS — именно Client Security, а не All-In-One. То есть FCS защищает именно клиентов, а периметр сети — Forefront TMG, почту Forefront for Exchange. И т. п.

http://social.technet.microsoft.com/Forums/ru-RU/forefrontru/thread/01829ee8-8af7-4d73-a916-8e743d94324e

Argon, скажите, я правильно понял, что если компьютер в домен не включен, то отчеты на сервер управления он отсылать и управляться этим сервером не будет, даже если клиента развернуть на этом компьютере с использованием fcslocalpolicytool?
Есть ли какой-нибудь способ управления таким компьютером через сервер управления?

Предполагаю, что если тестовые политики потом заменить на боевые, то клиенты боевой сервер подхватят.

Но возможно, что придется на списке компов какую-нить команду по сети выполнить (типа регистрации в МОМ-е)

2.1 Нужен WSUS, для ручной установки можно скачать с Windows Update Catalog последнюю версию Client Security.
2.2 Консоль FCS делает создают политику, которая содержит настройки реестра.

или же не заморачиваться и просто ставить с ключом /nomom, в таком случае надо деплой в reg файл, тогда идут у меня вопросы:
2.1 какие файлы нужны для установки клиента на машину? подразумеваю, что машины xp sp2 рус(большинство уже sp3).
2.2 reg.файл просто в нужное OU в AD запихнуть, как скрипт логон для ПК?

Поднять чистую виртуалочку под сервер FCS нет возможности?

While the Windows Installer Cleanup utility resolved some installation problems, it sometimes damaged other components installed on the computer. Because of this, the tool has been removed from the Microsoft Download Center.

Но в Гугле найти можно. На крайняк у меня в запасах есть.

Я нашел пост на английском языке, где описывается та же самая проблема с этой ошибкой, человек пишет, что он просто удалил FCS, затем воспользовался каким-то toolkit для чистки и снова установил fcs (http://social.technet.microsoft.com/Forums/en-US/Forefrontclientsetup/thread/7c6f46cb-6bb4-4118-88e4-2ca63632df21).
Только не понятно, что же за toolkit он использовал.

Какая ОСь? Есть ли на компе еще что-нибудь «лишнее»? Пробовал ли переставить FCS? Были ли ошибки при установке FCS?

Если на одном компе обе роли, перезапусти комп или соотв службы, посмотри в логи, может какие ошибки будут писаться.

Подскажите пожалуйста, где искать причину этой проблемы, сам в официальной документации не нашел.

Из стареньких ОСей поддерживаются эти: Windows 2000 SP4 or later, Windows XP SP2 or later, Windows Server 2003 SP1.

А телнет немного для другого сделан.

Использование в любых организациях — нарушение лицензионного соглашения.

Если хочется сэкономить, то можно использовать FCS в организации без сервера управления.

Также есть возможность после установки «пуске» зайти в Reporting Services Configuration, в этой утилите можно и вручную настроить многие параметры, в том числе и приложения IIS.

В случае дальнейших проблем, пишите сюда. Обещаю отвечать быстрее ;)

Здравствуйте, открывается с ошибками:

Не удается найти требуемую страницу
Запрошенная страница удалена, переименована или временно недоступна.

Режим Enhanced Security отключил.