Обнаружена закладка в протоколе Kerberos реализации Microsoft
2012-04-01, 20:50 / ArgonЕсть у меня коллега, который админит очень большую сеть. В силу бессмысленных и беспощадных причин в этой сети присутствуют машины под управлением Windows 98, на которых выполняются ВНЕЗАПНО критичные приложения.
Что характерно, машины с Win 98 используют аутентификацию в домене Active Directory. Кое-как всё работало, пока не стали обновлять контроллеры домена до Windows Server 2008 R2.
| Рубрика | Размышления |
|---|---|
| Метки | active directory, windows server |
| Комментарии | 3 комментария » |
Выбор имени домена Active Directory
2012-03-30, 01:00 / ArgonБолее полугода прошло с выпуска моей последней серьёзной статьи О пустых корневых доменах в Active Directory. Пришла весна, и с ней — обостренное желание родить фундаментальный материал, отвечающий на вопрос, который вроде бы очевиден, но при этом критически важен при проектировании: какое же имя дать домену Active Directory, чтобы потом не было мучительно больно?
В этой статье я постараюсь провести вас от самых худших вариантов имени домена Active Directory к самому, по моему мнению, лучшему варианту, попутно указав на преодолеваемые грабли.
Содержание:
| Рубрика | Core Infrastructure |
|---|---|
| Метки | active directory |
| Комментарии | 22 комментария » |
Доступ к Lync Mobility из внутренних сетей WiFi
2012-03-29, 16:45 / ArgonВ предыдущей заметке я описал способ подключения мобильных клиентов Lync к веб-службам, использующим SSL-сертификат, к которому устройство изначально не имеет доверия.
Однако действия по установке сертификата корневого CA на каждое устройство могут быть не удобны в масштабах большого предприятия. Выход из ситуации один: веб-службы Lync должны использовать публичный SSL сертификат, выпущенный CA из списка рекомендованных.
Задача осложняется тем, что Lync использует как внутренние пути к веб службам (на front end), так и внешние (на reverse proxy). Естественно, устанавливать публичный сертификат на внутренние веб-службы только для обеспечения совместимости с Lync Mobility не очень хочется.
| Рубрика | Unified Communications |
|---|---|
| Метки | lync server, pki, совместимость |
| Комментарии | 11 комментариев » |
Как совместить RD Gateway и Outlook Anywhere
2012-03-22, 18:15 / ArgonПредставим ситуацию:
- Имеется один публичный SSL-сертификат на имя autodiscover.lab.argon.pro без списка альтернативных имён (SAN)
- Имеется только один свободный публичный IP-адрес
- Стоит задача при данных ограничениях опубликовать в интернете Remote Desktop Gateway и Exchange 2010 Outlook Anywhere
| Рубрика | Tips and Tricks |
|---|---|
| Метки | exchange server, remote desktop services, tmg, совместимость |
| Комментарии | 12 комментариев » |
О национальной дискриминации телефонных номеров в Lync
2012-03-13, 11:40 / ArgonВ данной заметке я покажу, как различается отображение телефонных номеров в контактах Lync для номеров с кодом +1 и для всех остальных, и как сильно все остальные страдают от этого.
| Рубрика | Unified Communications |
|---|---|
| Метки | lync server |
| Комментарии | 13 комментариев » |
Lync 2010 Mobility
2012-01-16, 03:00 / ArgonВ данной заметке я расскажу, с какими интересными особенностями мне пришлось встретиться при неспешном развертывании Lync Mobility в своей тестовой среде.
| Рубрика | Unified Communications |
|---|---|
| Метки | lync server, pki, устранение ошибок |
| Комментарии | 12 комментариев » |
Lync Server Edge, TMG и NLB
2011-11-30, 13:23 / Argon[Пока пишу основные поинты, объяснения и уточнения напишу позже…]
- Lync Server Edge можно установить я на ту же машину, что и Forefront TMG. Edge использует ту же версию SQL Server 2008 Express, но создаёт свой экземпляр.
- Если сервера TMG работают в составе массива, и для массива включен Win NLB, Lync Edge по-прежнему может работать, используя DNS Load Balancing
- При этом работают Lync Web Services, опубликованные через TMG NLB
- Для служб Lync Edge (Access, Web Conf, A/V) не заявлена поддержка Win NLB. Это неспроста, данные службы через Win NLB не работают, я проверил.
- Даже в лабораторных условиях, логин на выделенные Edge сервера происходит в разы быстрее, чем на совмещенные с TMG.
| Рубрика | Разное |
|---|---|
| Комментарии | 2 комментария » |
Ошибки менеджера NLB на машинах с TMG
2011-11-29, 03:50 / ArgonПредставим ситуацию: на две чистые операционные системы Windows Server 2008 R2 установлен Microsoft Forefront Threat Management Gateway 2010 SP2. Из данных экземпляров TMG собран Enterpise-массив (Enterprise TMG Array). Из консоли управления TMG на массиве включается балансировка нагрузки (NLB) для внутренних и внешних интерфейсов (Enable Network Load Balancing Integration).
Если следовать мануалу, то балансировка нагрузки действительно работает. Однако, если запустить на одном из узлов кластера консоль Network Load Balancing Manager, то можно увидеть следующие сообщения в логе:
Loading configuration information from host "AR-S-GW2.lab.argon.pro" for cluster 10.18.252.100
The RPC server is unavailable on the specified computer. Error connecting to "AR-S-GW2.lab.argon.pro"
Поискав в интернетах способы решения этой проблемы, я нашел следующую информацию:
- консоль Network Load Balancing Manager использует DCOM для общения между узлами кластера
- TMG не поддерживает DCOM
- TMG конфигурирует NLB-кластер не через DCOM, поэтому всё работает
- так как всё работает, на ошибки в Network Load Balancing Manager можно забить
Я решил не забивать и разобраться в этой проблемой…
| Рубрика | Error Fixes |
|---|---|
| Метки | nlb, tmg, устранение ошибок |
| Комментарии | Нет комментариев » |
Как интегрировать обновления в дистрибутив TMG
2011-11-29, 00:59 / ArgonС момента выхода Microsoft Forefront Threat Management Gateway (TMG) 2010 уже вышло 3 серьезных обновления: SP1, SP1 Update 1, и, вышедший совсем недавно, SP2. Однако, полного дистрибутива, включающего данные обновления, выпущено не было.
Этот факт весьма не удобен тем, что обновления на TMG ставятся последовательно. Нельзя сразу взять и накатить на свежеустановленный TMG последний сервис пак, нужно ставить всю цепочку обновлений, на данный момент, как писал выше, их 3 штуки.
Если приходится часто ставить TMG, либо не хочется последовательно накатывать все обновления, а сразу поставить последнюю версию продукта, предлагаю воспользоваться возможностью интегрировать выпущенные обновления в дистрибутив продукта. Такая интеграция на английском зовётся slipstream, и многие дистрибутивы Microsoft (но не все) её поддерживают.
| Рубрика | Tips and Tricks |
|---|---|
| Метки | sql server, tmg, автоматизация, обновления |
| Комментарии | 2 комментария » |
Как включить запись звука через RDP
2011-11-24, 02:02 / ArgonКак известно, в службах удаленных рабочих столов в ОС Windows Server 2008 R2 и Windows 7 появилась возможность «записи» звука. Данная функция позволяет работать в «терминале» с такими приложениями, с которыми ранее было не возможно. Например, клиент Lync для голосового вызова или подключения к конференции требует наличия устройства записи (микрофона).
Хотя в интернете есть статьи, детально и со скриншотами описывающие действия по включению RDP Remote Recording, для вновь установленных ОС в общем случае данных действий не достаточно. В этой заметке я приведу проверенный лично алгоритм включения Remote audio recording на WS2008R2 и Win7.
| Рубрика | Tips and Tricks |
|---|---|
| Метки | remote desktop services, windows client, windows server, удаленное администрирование |
| Комментарии | 9 комментариев » |