Это когда создаешь Protection Group на шаге Specify exchange protection options есть возможность указать чтобы DPM проверял резервные копии почтовых баз Microsoft Exchange Database с помощью утилиты Eseutil. Данная утилита поставляется вместе с Exchange Server.
Запускаю оснастку System Center 2012 R2 DPM Administrator Console на своем сервере srv-backup.polygon.com и т.к. у меня уже создана группа ExchangeDatabase в которой я определил какую почтовую базу бекапировать мне нужно активировать проверку резервных копий. Для этого перехожу в Protections — и через правый клик мышью на Protection Group: ExchangeDatabase вызываю меню Modify protection group...
Select group members: нажимаю Next
Select data protection method: нажимаю Next
Specify exchange protection options:
Run Eseutil to check data integrity: отмечаю галочкой
Run for both database and log files (maybe slow if databases are large): отмечаю
и нажимаю Next, но пока следующий пункт не доступен, т.к. в каталоге DPM нет данной утилиты:
Eseutil consistency check cannot be performed for this protection group as eseutil.exe is not present on the DPM server.
Copy the following files from the Exchange Server installation folder to "C:\Program Files\Microsoft System Center 2012 R2\DPM\DPM\bin\" on the DPM server:
Ese.dll
Eseutil.exe
You can also choose not to run Eseutil consistency check for this protection group, by not selecting the "Run Eseutil Consistency check" option. However, this is not recommended because it will not ensure the recoverability of the protected data.
ID: 182
А значит копирую необходимые файлы с почтового сервера srv-mail.polygon.com, запускаю на srv-backup консоль командной строки с правами Администратора. Текуще я авторизован в системе под учетной записью Login: ekzorchik у меня всех группы: Domain Admins, Schema Admins, Enterprise Admins:
Win + X - Command Prompt (Admin)
12345
C:\Windows\system32>copy “\\srv-mail\c$\Program Files\Microsoft\Exchange Server\V14\Bin\eseutil.exe” “C:\Program Files\Microsoft System Center 2012 R2\DPM\DPM\bin” /Y C:\Windows\system32>copy “\\srv-mail\c$\Program Files\Microsoft\Exchange Server\V14\Bin\ese.dll” “C:\Program Files\Microsoft System Center 2012 R2\DPM\DPM\bin” /Y C:\Windows\system32> exit
В окне с ошибкой нажимаю Close и снова нажимаю на данном этапе где указал использовать утилиту Eseutil кнопку Next
Specify Exchange DAG protection: нажимаю Next
Select short-term goals: нажимаю Next
Choose consistency check options: нажимаю Next
Summary: нажимаю Update Group
Status: задача «Modify protection group: ExchangeDatabase» должна возвратить и она возвращает статус Success
нажимаю Close.
Теперь при резервном копировании будет проверять база на ошибки.
Итого я дополнил заметку по резервному копированию почтовых баз Exchange 2010.На этом у меня все, с уважением автор блога Олло Александр aka ekzorchik.
То мне нужно знать когда на сервисе происходит какая-либо ошибка или кто-то в моем отделе запускает процесс восстановления. А получить эту информацию можно настроив параметры уведомления.
Шаг №1: На почтовом сервере srv-mail.polygon.com где почтовый сервер это Exchange 2010 Version: 14.03.0123.003 создаем почтовый ящик для сервисных рассылок:
Start - All Programs - Microsoft Exchange Server 2010 — и через правый клик мышью на Exchange Management Console выбираю «Run as administrator«, разворачиваю Microsoft Exchange - Microsoft Exchange On-Premises (srv-mail.polygon.com) - Recipient Configuration - Mailbox - New Mailbox
Choose mailbox type: User Mailbox
Create mailboxes for: New user
First name: sysalerter
Name: sysalerter
User logon name: sysalerter@polygon.com
User logon name (pre-Windows 2000): sysalerter
Password: Aa1234567@!
Confirm password: Aa1234567@!
и нажимаю Next
Alias: sysalerter
Specify the mailbox database rather than using a database automatically selected: отмечаю галочкой
затем нажимаю Browse и выбираю базу.
У меня под системные учетные записи касательно различных уведомлений создана отдельная почтовая база с именем: DBAlert
Database file path: D:\DBAlert\dbalert.edb
Log folder path: D:\DBAlert\Logs
вот ее и выбираю
и нажимаю Next
Шаг №2: Активирую разрешения, как данный почтовый ящик будет работать если его где либо на сервисах настраивать в качестве от имени кого будут идти уведомления:
Start - All Programs - Microsoft Exchange Server 2010 — и через правый клик мышью на Exchange Management Console выбираю «Run as administrator«, разворачиваю Microsoft Exchange - Microsoft Exchange On-Premises (srv-mail.polygon.com) - Recipient Configuration - Mailbox — через правый клик мышью на почтовом ящике sysalerter открываю Properties (Свойства) — перехожу на вкладку «Mailbox Features» и оставляю работать только через IMAP4, а все остальные методы работы перевожу в Status: Disabled
Шаг №3: Авторизуюсь под учетной записью Login: ekzorchik на srv-backup, запускаем оснастку System Center 2012 R2 DPM Administrator Console - Management – Options – вкладка «SMTP Server» и указываю параметры подключения к почтовому серверу и почтовому ящику sysalerter от имени кого будут отправлять информационные уведомления:
SMTP server name: srv-mail.polygon.com
SMTP server port: 25
"From" address": sysalerter@polygon.com
Username: polygon\sysalerter
Password: Aa1234567@!
и нажимаю «Send Test Email«, предлагается указать почтовый адрес кому отправить тестовое сообщение: указываю aollo@polygon.com, если все указано верно, будет сообщение:
"An e-mail message has been successfully sent to aollo@polygon.com
ID: 528"
Даю полный права на почтовый ящик aollo@polygon.com учетной записи POLYGON\ekzorchik и обратившись через браузер (https://srv-mail/owa/aollo@polygon.com/) к данному ящику получаю сформированное тестовое письмо от DPM (Data Protection Manager)
Итак настройки SMTP проделаны.
Теперь переключаюсь в консоли DPM на вкладку Notifications и указываю типы отправляемых алертов
Critical alerts: отмечаю галочкой
Warning alerts: отмечаю галочкой
Informational alerts: отмечаю галочкой
Recipients (Получатели): aollo@polygon.com
и нажимаю «Send Test Notification«, в ответ получаю сообщение
"An e-mail message has been successfully sent to the specified recipients. ID: 529", нажимаю OK
Вижу сообщение:
Нажимаю OK окна Options в DPM, так как я только что, настроил способ через который мне будут слаться информационные сообщения.
Шаг №3: Но Шаг №2 был проверочным, когда я нажимаю OK при указанных настройках во вкладке «SMTP Server«, то получаю ошибку:
"DPM Setup is unable to update the report server configuraton to configure e-mail settings. (ID: 3040)
Log on to srv-backup. On the Start menu, point to All Programs, point to Microsoft SQL Server, point to Configuration Tools, and then click Reporting Services Configuration. In Configure Report Server, update the e-mail settings."
Проделываю:
Win - Reportings Services Configuration Manager
Server Name: srv-backup
Report Server Instance: MSSQLSERVER
и нажимаю Connect, перехожу на «E-Mail Settings»
Sender Address: sysalerter@polygon.com
Current SMTP Delivery Method: Use SMTP server
SMTP Server: srv-mail.polygon.com
и нажимаю Apply
Затем закрываю утилиту «Reporting Services Configuration Manager: SRV-BACKUP\MSSQLSERVER»
Снова я на вкладке «SMTP Server» и теперь при нажатии кнопки OK ошибок нет и настройки применены
Шаг №4: Теперь активируем отчеты чтобы по ним мне на почту приходило пока всех что можно.
Авторизуюсь под учетной записью Login: ekzorchik на srv-backup, запускаем оснастку System Center 2012 R2 DPM Administrator Console - Reporing
Если вы Видите надпись
Please wait while Reporting is being initialized.
а потом окно ошибки
"DPM could not connect to SQL Server Reporting Services. Restart SQL Server Reporting Services, and then try the operation again. ID: 3013"
это значит что не запущена служба «SQL Server Reporing Services»
Win + X -> Command Prompt (Admin)
1234567
C:\Windows\system32> sc query ReportServer State: 1 STOPPED C:\Windows\system32> sc config ReportServer start= auto C:\Windows\system32> net start ReportServer
После если снова перейти в меню Reporing вы должны увидеть шаблоны отчетов:
Выбираю, к примеру отчет «Disk Utilization» нажимаю E-mail (Edit) — вкладка Email, прописываю получателя aollo@polygon.com и получаю ошибку:
А что это такое?
"Reporting Services Server cannot connect to the DPM database. To repair the configuration, follow steps for repairing DPM from DPM Setup Help. ID: 3001"
Шаг №5: Решение ошибки ID: 3001
все дальнейшие действия проделываю на srv-backup (на ней у меня и SQL & DPM)
Win - Reporting Service Configuration Connection
Server Name: SRV-BACKUP
Report Server Instance: MSSQLSERVER
и нажимаю Connect, затем перехожу в Report Manager URL и нажимаю Apply
После чего активируется доступ через URL адрес к Report Manager по двум ссылкам:
http://SRV-BACKUP:80/Reports
https://srv-backup:443/Reports
После нажимаю на любой URL-АДРЕС
К примеру на http://srv-backup:80/Reports, щелкаю левой кнопкой мыши по: DPMReports_*.
см. скриншот для наглядного понимания что и куда
После нажимаю DPMReportsDataSource
После по умолчанию я нахожусь в меню Properties
Отмечаю пункт Credentials stored securely in the report server
и прописываю себе доступ, т.к. я имею доступ в DPM.
User name: polygon\ekzorchik
Password: 712mbddr@
Use as Windows credentials when connecting to the data source: отмечаю
и нажимаю «Test Connection«, если все указано верно то в ответ обязательно должна быть надпись «Connection created successfully»
и только после нажимаю Apply, закрываю окно браузера со ссылкой http://srv-backup/Reports и окно «Report Services Configuration Manager: SRV-BACKUP\MSSQLSERVER»
Шаг №6: Возвращаюсь в консоль DPM и предопределяю отправку уведомлению на почтовый адрес aollo@polygon.com
Reporting — нажимаю на «Disk Utilization» и E-mail - Edit
Run the Dist Utilization report according to the schedule options: отмечаю галочкой
затем на вкладке Email указываю получателя(ей)
Recipients: aollo@polygon.com
Report format: HTML
и нажимаю OK
По аналогии проделываю с шаблонами:
Recovery
Recovery Point Status
Status
Tape Management
Tape Utilization
С учетом свои потребностей также стоит предопределить задания планировщика в каждом из шаблонов.
и письма в почтовый ящик aollo@polygon.com начинают приходить.
Итого, я для себя разобрал, как для сервиса резервного копирования активировать настройки отправки уведомлений, прописать почтовый сервер и решить возникающие ошибки.
На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.
Можно настройки отправки уведомлений от DPM сделать через альтернативный порт подключения к SMTP-сервису. Т.е если порт 25 на почтовом сервере не разрешен все подряд, а жестко рулится правилами. В таком случае нужно создать еще один коннектор на отправку, указать от какого IP адреса и к какому IP адресу (Почтовый сервер) может идти отправка. У меня через такой коннектор идет взаимодействие 1C + Exchange
Шаг №1: На почтовом сервере Exchange 2010 создаю новый Receive Connector. Авторизую на srv-mail под учетной записью Login: ekzorchik у нее есть права, т.к. она вхожа в группу «Organization Management»
Start - All Programs - Microsoft Exchange Server 2010 - Exchange Management Console - Microsoft Exchange - Microsoft Exchange On-Premises (srv-mail.polygon.com) - Server Configuration - Hub Transport - New Receive Connect...
Name: Anonymous
Select: the intended use for this Receive connector: Custom
и нажимаю Next
удаляю (All Available IPv4):25
нажимаю Add... -
Specify an IP address: указываю IP адрес почтового сервера, т.е. 10.90.90.10
Port: 2525
и нажимаю Next
удаляю 0.0.0.0-255.255.255.255
нажимаю Add...
Address or address range: указываю IP адрес системы с DPM сервисом, 10.90.90.12/32
и нажимаю OK окна «Add IP Addresses of Remote Servers»
и нажимаю Next - New - Finish
Затем открываю свойства (Properties) созданного коннектора Anonymous
вкладка Authentication
Basic Authentication: отмечаю галочкой
вкладка Permission Group
Specify who is allowd to connect to this Receive connector: отмечаю галочкой только Anonymous Users
и нажимаю OK окна «Anonymous Properties»
Проверяю, что коннектор создался:
Start - All Programs - Accessories — и через правый клик на «Command Prompt» выбираю элемент меню «Run as administrator»
Итого задействованные коннекторы на почтовом сервере
Anonymous: порт 2525 с обязательным указанием IP-address кто может отправлять почту
Client SRV-MAIL: порт 587 с обязательной аутентификацией
Default SRV-MAIl: порт 2525 выключена настройка.
Шаг №3: Теперь настройки SMTP на сервисе System Center 2012 R2 (srv-backup) будут выглядеть как:
Management - Options - SMTP Server
SMTP server name: srv-mail.polygon.com
SMTP server port: 2525
"From" address: sysalerter@polygon.com
Username: polygon\sysalerter
Password: Aa1234567@!
и нажимаю «Send Test E-mail»
в ответ окно «Send Test E-mail» где нужно указать получателя тестового сообщения:
Enter the e-mail address to send a test message to: указываю aollo@polygon.com
и нажимаю Send
После нажатия кнопки OK для активации изменений получаем окно с ошибкой/уведомлением.
«DPM Setup is unable t update the report server configuration to configure e-mail settings. (ID: 3040)
Log on srv-backup. On the Start menu, point All Programs, point to Microsoft SQL Server, point to Configuration Tools, and then click Reporting Service Configuration. In Configure Report Server, update the e-mail settings.»
Но как я помню настройки по сути не изменились если перейти в сервис Reporing Services Configuration, а значим можно просто перезапустить службу:
Win + X -> Command Prompt (Admin)
123
C:\Windows\system32> net stop ReportServer C:\Windows\system32> net start ReportServer
и после возвращаюсь к окно применения настроек вкладке SMTP Server и спокойно нажимаю кнопку OK и настройки применяются успешно.
Задача: Настроить мониторинг изменения учетной записи
Login: sa на SQL Server's
У меня на работе довольно странная ситуация в плане коммуникации между Руководителем IT отдела, Программистом 1С и системными администраторами. Говорить что делается и что изменяется, как то не принято. А вот писать письма если что-то не так — так это вполне нормальная практика. Вот на выходных 11 апреля, программист 1С не мог якобы зайти под учетной записью Sa в базе. А все потому что пароль на учетку был изменен. Да и спрашивается зачем ему заходить под ней если у него есть своя. Тут еще смешнее, вопреки всем правилам работы с информационными системами, тут работают в домене под доменной учетной записью Administrator , а под SQL с применением учетной записи sa. Я конечно отучаю их и вот чтобы не было вопросов кто изменил пароль я хочу настроить аудит. Ниже мой практический опыт настройки.
Мне нужно на SQL Server включить мониторинг кто изменяет пароль на учетную запись Login: Sa
Шаг №1: На текущем сервере srv-backup создаю каталог куда будут записываться логи работы аудита:
Win + X - Command Prompt (Admin)
1
C:\Windows\system32>if not exist c:\Log mkdir c:\Log
Шаг №2: Создаю для SQL базы уровень аудита:
Win + нажимаю на кружок со стрелочкой вниз — затем в листинге всех установленных программ нахожу оснастку SQL Server Management Studio и через правый клик мышью на ней выбираю из меню «Pin to Star«. Теперь при нажатии на кнопку Win у меня в главном меню иконка доступа в SQL Server Management Studio, нажимаю на нее, запускается SQL Server Management Studio. Подключаюсь:
Server type: Database Engine
Server name: SRV-SERVER
Authentication: Windows Authentication
и нажимаю Connect
Затем разворачиваю SRV-SERVER (SQL Server 11.0.7001 - SRV-SERVER\ekzorchik) — Security — и через правый клик мышью на Audits выбираю New Audit, запускаем мастер
Audit name: AuditDB
Queue delay (in milleseconds): 1000
On Audit Log Failure: Continue
Audit destination: File
File path: указываю путь до каталога C:\Log (его создал в "Шаг №1")
Audit File Maximum Limit: Maximum rollover files: Unlimited
Maximum file size: 10 MB
после нажимаю OK текущего окна «Create Audit»
Шаг №3: Связываю профили аудита с настройками аудита
Далее передвигаюсь на
Databases — моя база testdb - Security — и через правый клик мышью на «Database Audit Specifications» выбираю меню «New Database Audit Specification...»
Name: DatabaseTestDBAudit
Audit: выбираю созданный профиль аудита, т.е. AuditDB (это из Шаг №2)
Actions: предопределяю профили из списка
DATABASE_PRINCIPAL_CHANGE_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
Должно получиться вот так:
после нажимаю OK текущего окна «Create Database Audit Specification»
Шаг №4: Теперь активирую созданный аудит из «Шаг №2»
Security - Audits — и через правый клик мышью на AuditDB активирую «Enable Audit» — «Close»
Шаг №5: Теперь активирую связанный профиль с профилем аудита из «Шаг №3»
Databases - testdb - Security - Database Audit Specifications — и через правый клик мышью на DatabaseTestDBAudit активирую "Enable Database Audit Specification" - "Close"
Users mapped to this login: отмечаю галочкой базу testdb и права
после нажимаю OK текущего окна «Login - New»
Разлогиниваюсь и авторизуюсь в сервисе базы данных с использованием
Server type: Database Engine
Server name: SRV-SERVER
Authentication: SQL Server Authentication
Login: alektest
Password: Aa1234567
и нажимаю Connect
Разлогиниваюсь
Авторизуюсь снова под ekzorchik (Windows Authentication) и удаляю созданного пользователя
Security - Logins — и через правый клик на учетке alektest выбираю Delete - OK - OK, но увы пока учетная запись соединена через User Mapping с базой ее удалить нельзя:
В свойствах учетной записи alektest снимаю галочку с Users mapped to this login с базы testdb и возвращаюсь к удаление учетной записи из сервиса базы данных.
Проверяю лог событий создания и удаления пользователя:
Security - Audits — через правый клик мышью на AuditDB выбираю View Audit Logs вижу фиксируемые мною действия, как создание учетной запись, присвоение прав и удаление:
Подробно достаточно.
Также если посмотреть что содержится в каталоге C:\Log
Шаг №7: Точно такой же вывод можно получить если сформировать запрос «New Query»
123
select event_time, action_id,server_principal_name,database_principal_name,database_name,object_name,statement from sys.fn_get_audit_file (‘C:\Log\*.sqlaudit’,default,default) order by event_time DESC
Все выше это показательный пример того, как можно мониторить действия выполняемые с базой.
Шаг №8: Создаю серверный аудит SQL Server:
Security - Server Audit Specifications - New Server Audit Specification...
Name: ServerAudit
Audit: AuditDB
Audit Action Type:
SUCCESSFUL_LOGIN_GROUP
FAILED_LOGIN_GROUP
LOGOUT_GROUP
и нажимаю OK окна «Create Server Audit Specification»
Шаг №9: Активирую серверный аудит SQL Server из «Шаг №8«:
Security - Server Audit Specifications и через правый клик на ServerAudit выбираю «Enable Server Audit Specification» — «Close»
Шаг №10: Проверяю, как работает аудит входа и выхода к примеру. Для этого завершаю текущее подключение и через n-ое количество времени подключаюсь снова, к примеру через
Server type: Database Engine
Server name: SRV-SERVER
Authentication: SQL Server Authentication
Login: sa
Password: 712mbddr@
и нажимаю Connect
Security - Audits — и через правый клик на AuditDB выбираю View Audit Logs
И да теперь у меня есть логирование входов и выходов, также значит и все остального, что предопределено в «Шаг №8«.
Отлично, вот благодаря поставленным задачам самому себе я узнаю чуть больше чем другие и применяю их сразу же на рабочем месте. Теперь с учетом проделанных настроек выше уже будет затруднительно отмазываться, что это не я менял пароль на учетную запись.
На этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.
Задача: В ходе составления пошаговой заметке, как посредством Zabbix Server 4.4 on Ubuntu 18.04 Server мониторить RDP соединения, сессии и т.д на Windows Server 2012 R2 Std мне понадобилось чтобы в системе был модуль PSTerminalServices посредством которого я все это проверну, но вот в процессе его инсталляции в систему столкнулся с недопонимание как он должен быть инсталлирован. Ниже моя пошаговая заметка как это дело поправить от и до.
Шаг №1: Авторизуюсь в системе Windows с правами Администратора ( это у меня учетная запись Login: ekzorchik Pass: 712mbddr@) и запускаю сперва консоль командной строки, а после перехожу в консоль PowerShell:
1234567891011
Win + X – Command Prompt (Admin) – Yes Microsoft Windows [Version 6.3.9600] (c) 2013 Microsoft Corporation. All rights reserved. C:\Windows\system32>powershell Windows PowerShell Copyright (C) 2014 Microsoft Corporation. All rights reserved.
Шаг №2: Вывожу на консоль какие пути использует консоль PowerShell когда производится подгрузка модуля в скрипте или в интерактивном режиме:
Шаг №3: У меня есть модуль PSTerminalServices через который я расписываю как мониторить состояние RDP посредством Zabbix Server 4.4 и вот его мне нужно добавить в систему дабы через Zabbix Agent получать значения.
Я файлы модуля скопировал в созданный каталог "RDP":
12345678910111213141516171819
C:\Windows\System32\WindowsPowerShell\v1.0\Modules\Rdp (Directory) Format PSFanatic.PSTerminalServices.Format.ps1xml (Directory) Bin Cassia.dll Cassia.zip (Directory) en-US about_PSTerminalServices_Module.help.txt PSTerminalServices.psd1 PSTerminalServices.psm1
Проверяю, а какие теперь модули видит оболочка PowerShell:
но увы в выводе нет моего модуля: PSTerminalServices
Шаг №4: Что я сделал чтобы модуль появился в списке, просто переименовал директорию RDP в PSTerminalServices и после вывод команды Get-Module -ListAvailable показал наличии моего модуля.
Шаг №5: Пробую импортировать модуль в консоль PowerShell, но перед этим закрываю консоль PowerShell и по шагам выше открываю, затем:
12345678910111213
Win + X – Command Prompt (Admin) – Yes C:\Windows\system32>powershell Windows PowerShell Copyright (C) 2014 Microsoft Corporation. All rights reserved. PS C:\Windows\system32> Set-ExecutionPolicy Unrestricted PS C:\Windows\system32> Import-Module PSTerminalServices PS C:\Windows\system32>
ошибок нет, модуль подгружен.
Ниже, пример получения активных RDP сессий с текущего сервера где у меня поднята роль терминального сервера:
Сегодня будет заметка, как я устанавливаю в ручном режиме Zabbix Agent 4.4.0 для взаимодействия с Zabbix Server 4.4.0 on Ubuntu 18.04 Server. Просто данная заметка понадобится в дальнейшем и дабы не писать в заметках одно и тоже я просто буду делать ссылку на вот эту, а если нужно что-то дополнить то буду дописывать, как впрочем делаю всегда. Все заметки связаны.
Шаг №1: Открываю URL ссылку официального сайта Zabbix и скачиваю агента:
После не забываем сохранить внесенные изменения и перезапускаем агента
12345678910111213
Win + X -> Command Prompt (Admin) – “Yes” C:\Windows\system32>sc config “Zabbix Agent” start=auto [SC] ChangeServiceConfig SUCCESS C:\Windows\system32>net stop “Zabbix Agent” C:\Windows\system32>net start “Zabbix Agent” The Zabbix Agent service is starting. The Zabbix Agent service was started successfully.
На заметку: Я не использую Windows брандмауэр, а потому его отключаю:
1
C:\Windows\system32>netsh advfirewall set allprofiles state off
если же Windows брандмауэр использую, то создаю правило на доступ от сервера к агенту:
Сегодня просто шаги, как организовать ftp подключение с рабочей станции под управлением Windows 10 Pro (Version 10.0.18362.356) к развернутому на Ubuntu 18.04 Server сервису ProFTPD дабы пользователь мог обмениваться файлами между офисом и подрядчиком.
Шаг №1: На Windows 10 запускаю проводник
Win + X -> Проводник, затем через правый клик мышью на "Этот компьютер" выбираю "Добавить новый элемент в сетевое окружение". Запускаем мастер "Добавление сетевого расположения", нажимаю "Далее", отмечаю "Выберите другое сетевое расположение" и нажимаю "Далее", указываю адрес подключения:
Сетевой адрес или адрес в Интернете: ftp://ftp2.ekzorchik.ru
и нажимаю "Далее",
Анонимный вход: снимаю галочку
Пользователь: ftp1
и нажимаю "Далее",
Введите имя для этого сетевого подключения: ftp2.ekzorchik.ru
и нажимаю "Далее",
Открыть это расположение в сети после нажатия кнопки "Готово": Отмечаю галочкой
и нажимаю "Готово".
При первом подключении будет выведено окно где нужно указать данные подключение и отметить галочкой "Сохранить пароль"
FTP-сервер: ftp2.ekzorchik.ru
Пользователь: ftp1
Пароль: Aa1234567aA
Сохранить пароль: Отмечаю галочкой
и нажимаю "Вход"
Теперь у Вас в "Этот компьютер" проводника значится еще одно сетевое расположение по-мимо подключения сетевого диска, а если развернуть "Этот компьютер" то видно: FTP-соединение, Видео, Документы, Загрузки, Изображения, Музыка, Объемные объекты, Рабочий стол, Windows (C), nas (172.35.35.4).
Шаг №2: Также можно пользователю создать ярлык на доступ:
Сворачиваем все окна на рабочем столе, затем через правый клик мышью на рабочем столе выбираем меню "Создать" - "Ярлык"
Укажите расположение объекта: %windir%\explorer<ПРОБЕЛ> ftp://ftp1:Aa1234567aA@ftp2.ekzorchik.ru
и нажимаю «Далее»,
Введите имя ярлыка: ftp2.ekzorchik.ru
и нажимаю "Готово".
Теперь когда пользователь нажмет два раза левой кнопкой мыши на ярлыке своего рабочего стола у него откроется FTP-ресурс.
Шаг №3: Правильнее использовать специализированный клиент, к примеру FileZilla.
Шаг №4: Также на рабочей станции нужно включить работу пассивного режима при работе с FTP:
Win + X - Control Panel - Просмотр: Категория - Мелкие значки - Свойства браузера - Дополнительно -
Использовать пассивный FTP-протокол (Для совместимости): отмечаю галочкой
кстати это галочка — это ключ в реестре:
HKCU\Software\Microsoft\FTP
Имя: Use PASV
Тип: REG_SZ
Значение: yes
Шаг №5: При отметке галочки "Сохранить пароль", пароль на FTP сохраняется в реестре:
Итого я задокумментировал себе как быстро подключить FTP доступ в Windows 10 Pro. На этом моя заметка завершена, с уважением автор блога Олло Александр aka ekzorchik.
В процессе разговора своих хотелок мой руководитель обмолвился, что если не удастся сделать как он видит (опять это видение), мне придется каждому ручками подключаться к доменному пользователю и прописывать подключение к FTP ресурсу посредством которого происходит обмен файлами между подрядчиком и офисом. Но вот в процессе этого обсуждения я уловил, что мне нужно как-то это автоматизировать. Еще чего, ну раз — два можно настроить вручную, а если это множество — то наше все это Автоматизация.
Шаг №1: Вот в интернете у нас развернут ProFTPD on Ubuntu 18.04 Server, но также это может быть внутри офисной сети. Разницы особой нет.
Шаг №2: Авторизуюсь на контроллере домена с правами учетной записи вхожей в группу Domain Admins и создаю на контейнер или на весь домен групповую политику, а ограничение по безопасности указываю созданную группу посредством которой на рабочем столе пользователя будет ярлык на доступ к FTP. И ни какого ручного труда. Раз заморочимся, после будем наслаждаться.
srv-dc1
Win + X - Control panel - View by: Category - Small icons - Administrative Tools - Group Policy Management - Group Policy Management - Forest: polygon.com - Domains — и через правый клик на polygon.com выбираю меню "Create a GPO in this domain, and Link it here..."
Name: GPO: FTP_Desktop_Shortcut
Source Started GPO: (none)
и нажимаю OK, изменяю нацеливание применения политики с Security Filtering на группу FTPAccess, а после на вкладке Delegation нужно обязательно добавить группу "Authenticated Users": Allowed Permissions: права на чтение. Иначе политика не будет работать.
перехожу к редактированию GPO
GPO: FTP_Desktop_Shortcut: User Configuration - Preferences - Windows Settings — и через правый клик на Shortcut выбираю New - Shortcut
вкладка General
Action: Update
Name: ftp.polygon.com (это имя ярлыка на рабочем столе)
Target type: File System Object
Location: Desktop
Target path: %windir%\explorer.exe
Arguments: "ftp://ftp1:Aa1234567@10.90.90.11"
Shortcut key: None
Run: Normal Window
и нажимаю Apply - Ok
Ниже скриншот созданной групповой политики для наглядности что должно получиться:
Далее закрываем оснастку Group Policy Management
Шаг №3: Берем любую рабочую станцию, к примеру у меня это Windows 10 Pro, авторизуюсь на ней под учетной записью alektest, данная учетная запись включена в группу FTPAccess, после входа на компьютер на рабочем столе теперь ярлык на доступ к FTP ресурсу:
И вот он ярлык: Через двойной клик по нему левой кнопкой мыши открывается explorer.exe и пользователь может работать с данным ресурсом опираясь на права доступа которые я как системный администратор по заданию от своего руководителя предопределил:
У меня для данной ftp-учетной записи полные права. Так было указано в ТЗ.
На заметку: Данная заметка полностью опирается, как если бы Вам требовалось создать ярлык(и) на сетевую папку, как я это уже делал в заметке, но также можно в "Мой компьютер" добавить данные ярлык на доступ, что в процессе работы нужно будет сделать, дабы у пользователя было несколько способов открыть FTP-ресурс.
Шаг №4: Только вот пользователь может открыть свойства ярлыка и увидеть пароль. Но если на сервере сделать что только с определенного IP можно подключиться будет без разницы. Знает он пароль или нет. Средствами firewall-cmd я это сделаю на Ubuntu 18.04 Server.
На заметку: Что для каждого пользователя создавать свою GPO, т.к. доступ к FTP может быть из под разного пользователя, ну наверное да. Хотя руководитель говорил только про одного пользователя, двух и они будут под одной учетной, т.к. это один отдел.
Итого я пока подготовил почву для автоматизированной настройки подключения на рабочих местах к сервису ProFTPD если он виден пользователям, как в домене так и в глобальной сети на администрируемых ресурсах. На этом моя заметка, завершена, с уважением автор блога Олло Александр aka ekzorchik.
Задумка: Как обезопасить свои наработки которые я делаю в течении рабочего дня находясь на рабочем месте в офисе. Да я все документирую, зарисовываю, составляю таблицы, карты, анализ ошибок. Храню это в папке для каждой работы, в конце дня архивирую и отправлю к себе в личное облачное хранилище на базе OwnCloud 10 + Ubuntu 18.04. Но это как-то не по-админски, тут меня посетила мысль. Раз на работе у меня Windows 10 Pro то почему бы не реализовать такое
Создаю виртуальный диск (vhd-файл)
Зашифровываю его через BitLocker
Устанавливаю OwnCloud Client for Windows 10 Pro + подключаю аккаунт на котором будут мои наработки, а хранение файлов организовано на созданном виртуальном диске.
Т.е. я работаю весь день а по уходу просто запускаю скрипт которым отключаю виртуальный диск, клиент OwnCloud разрывает соединение доступ к ним (наработкам) никто на работе не получит.
Все это дело обернуто скриптом.
Ниже моя рабочая реализация задуманного.
Шаг №1: Создаю файл виртуального диска на своей офисной системе под управлением Windows 10 Pro, на ней я авторизован как обычный пользователь не имеющий прав администратора:
Win + X – Панель управления – Администрирование – через правый клик мышью на "Управление компьютером" выбираю "Запуск от имени администратор", указываю свою административную учетную запись – Управление компьютером (Локальным) - Запоминающие устройства - Управление дисками - Действие – Создать виртуальный жесткий диск
Расположение: C:\Soft\owncloud.vhd
Размер виртуального жесткого диска: 2 Гб
Формат виртуального жесткого диска: VHD
Тип виртуального жесткого диска: Фиксированный размер (Рекомендуется)
Затем через оснастку «Управление дисками» инициализирую диск, указываю применяю таблицу разделов (мне хватит и MBR), создаю простой том, назначаю букву (к примеру W:), файловая система NTFS
Шаг №2: Включаю Bitlocker на созданном томе:
Win + X – Проводник – Этот компьютер – и через правый клик мышью на томе W:выбираю "Включить Bitlocker"
Использовать пароль для снятия блокировки диска: отмечаю галочкой
Введите свой пароль: <парольная фраза>
Введите пароль еще раз: <парольная фраза>
и нажимаю "Далее", затем
Как вы хотите архивировать свой ключ восстановления?: указываю "Сохранить в файл"
Сохраняю ключ восстановления в каталог со своими наработками, к примеру: tips_firma\tips_bitlocker
Имя файла: Ключ восстановления BitLocker DA4D5OUE-C6E7-4F07-B5F0-8E1CEC083481.TXT
Тип файла: Текстовый файлы (*.txt)
и нажимаю "Сохранить"
На заметку: Ключ восстановления нельзя сохранить на шифрованный диск, я его сохраняю в папку где у меня наработки.
Затем мастер спрашивает "Укажите, как часть диска требуется зашифровать": отмечаю "Шифровать весь диск (выполняется медленнее, подходит для уже используемых ПК и дисков)"
Затем мастер спрашивает "Выбрать режим шифрования для использования": отмечаю "Режим совместимости (оптимально для дисков, которые могу быть перемещены с этого устройства)"
Затем мастер спрашиваем "Зашифровать этот диск?": нажимаю "Начать шифрование"
и выполняется шифрование моего виртуального диска W:
Шаг №3: Моя первая версия скрипта посредством которого я запускаю его на рабочей системе через правый клик мышью по нему, если я не администратор на компьютере то указываю логин и и пароль свой административной учетной записи, далее выбираю 1 – это Mount, 2 – это Unmount, а все остальное скрипт завершается. Если я выбрал 1 то монтируется vhd файл, и совершается процедура разблокировки тома Bitlocker путем ввода парольной фразы на том.
1234567891011121314151617181920
@echo offrem RUN SCRIPT FOR “Run as Administrator”set /p input=”Insert (1) Mount and (0) Dismount owncloud.vhd: ” if %input% == 1 ( echo %input% echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo attach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt rem Enter password for Tom W: (security Bitlocker) manage-bde -unlock w: -Password) else if %input% == 0 ( echo %input% echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo detach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt manage-bde -lock w: ) else ( echo “Ne 1 i ne 2”)
Шаг №4: Запускаю созданный скрипт omount.bat с рабочего стола через правый клик мышью по нему и выбрав "Запуск от имени администратора", в вожу административные данные, затем указав "1" что нужно смонтировать виртуальный диск указываю пароль для разблокировки этого тома:
Результат смонтированного vhd файла и разблокировки этого тома:
Шаг №5: Если нужно отключить том, что повторяю все заново, но после набираю цифру 2 для разблокировки и том W: успешно пропадает.
Шаг №6: Устанавливаю на свою рабочую станцию клиент OwnCloud client (https://download.owncloud.com/desktop/stable/ownCloud-2.6.1.13407.13049.msi)
Шаг №7: Настраиваю клиент на свой сервис OwnCloud 10 который у меня:
посредством туннеля openvpn доступен, если внешний IP-серый
посредством CNAME-записи, если внешний IP-динамический
Шаг №8: Пока я на работе, у меня виртуальный диск смонтирован и клиент OwnCloud синхронизирует изменения с сервером, уходя с работы на скрипте через правый клик мышью выбираю 2 и диск отключается, а клиент OwnCloud более не синхронизирует, т.к. каталог на который он настроен нету.
Пока данный вариант очень удобен.
от 27.07.2020 (Новая версия скрипта)
123456789101112131415161718192021222324252627
@echo offrem RUN SCRIPT FOR “Run as Administrator”set /p input=”Insert (1) Mount and (0) Dismount owncloud.vhd: ” if %input% == 1 ( echo %input% “%ProgramFiles(x86)%\ownCloud\owncloud.exe” echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo attach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt rem Enter password for Tom W: (security Bitlocker) manage-bde -unlock w: -Password timeout 10 icacls W:\owncloud /inheritance:d icacls W:\owncloud “NT AUTHORITY\СИСТЕМА”:(OI)(CI)(F) icacls W:\owncloud /grant “BUILTIN\Администраторы”:(OI)(CI)(F) icacls W:\owncloud /grant “POLYGON\AOllo”:(OI)(CI)(F)) else if %input% == 0 ( echo %input% echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo detach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt manage-bde -lock w: taskkill /F /IM “owncloud.exe” ) else ( echo “Ne 1 i ne 2”)
От 26.08.2020 (Новая версия скрипта)
Если указана строка set /p input="Insert (1) Mount and (0) Dismount owncloud.vhd: "то после скрипт закрывается, правильнее после символа равенства указать пробел, будет вот так:
1234567891011121314151617181920
@echo offrem RUN SCRIPT FOR “Run as Administrator”rem NB: пространство после ‘=’ очень важноset /P input= “Insert (1) Mount and (0) Dismount owncloud.vhd: “if %input% == 1 ( echo %input% echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo attach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt rem Enter password for Tom W: (security Bitlocker) manage-bde -unlock w: -Password) else if %input% == 0 ( echo %input% echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo detach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt manage-bde -lock w: ) else ( echo “Ne 1 i ne 2”)
От 22.10.2020
Доработанный скрипт:
12345678910111213141516171819202122232425262728
@echo offrem RUN SCRIPT FOR “Run as Administrator”rem NB: пространство после ‘=’ очень важноset /P input= “Insert (1) Mount and (0) Dismount owncloud.vhd: “if %input% == 1 ( echo %input% echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo attach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt rem Enter password for Tom W: (security Bitlocker) manage-bde -unlock w: -Password timeout 10 icacls W:\owncloud /inheritance:d icacls W:\owncloud “NT AUTHORITY\СИСТЕМА:(OI)(CI)(F)” icacls W:\owncloud /grant “BUILTIN\Администраторы:(OI)(CI)(F)” rem Local Admin for Computer icacls W:\owncloud /grant “BUILTIN\ekzorchik:(OI)(CI)(F)” icacls W:\owncloud /grant “AMILUX\AOllo:(OI)(CI)(F)”) else if %input% == 0 ( echo %input% echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo detach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt manage-bde -lock w: pause) else ( echo “Ne 1 i ne 2”)
На этом заметка завершена, с уважением автор блога Олло Александр aka ekzorchik.
У меня на работе есть простенькое хранилище на 12Tb (4 диска по 3Tb объединенных в RAID 5
Disk 1: ST3000NC002-1DY166
Disk 2: ST3000NC002-1DY166
Disk 3: ST3000NC002-1DY166
Disk 4: ST3000NC002-1DY166
) посредством которого к серверам посредством iSCSI — это протокол SCSI через IP, связывающий сервер с хранилищем данных подключен диск или это по простому LUN (кусочек диска определенного размера). Как если бы это был диск на физически установленном сервере, но этот работает по сети. Так вот. Для нужд сервера базы данных (Server 2012 R2 Std), я решил выделить отдельный LUN куда перенесу все тестовые и копии SQL баз, т.к. они не особо часто используются и все должно быть по правильному и понятному настроено. Рабочие базы отдельно, тестовые базы отдельно. Мое хранилище — это ReadyNAS 2120 v6.10.2
Шаг №1: Создаю группу через которую происходит нацеливание включенных в нее LUN(нов) на хост:
http://nas01/ - admin: 712mbddr@ – iSCSI – New Group
Шаг №5: Возвращаюсь в Web-интерфейс управления своим хранилищем http://nas01/ - admin: 712mbddr@ – iSCSI, находим созданную группу db1c с LUN(ом) внутри db1c и нажимаем Properties и даем доступ для хоста:
Allowed Initiators: Selected и нажимаю на иконку «Плюсик» и в поле
Name: указываем скопированный Initiator name с хоста, т.е. iqn.1991-05.com.microsoft:srv-db03.polygon.com
И нажимаем Create
На заметку: Данные по безопасности добавляем по желанию.
Затем нужно добавленный Initiator (IQN) отметить галочкой в колонке Allowed
И нажимаем Apply
Шаг №6: После снова возвращаемся на хост, запускаем оснастку iSCSI Initiator, вкладка Discovery – Discover Portal…
IP address or DNS name: nas01
Port: (Default is 3260): 3260
И нажимаю OK, перехожу во вкладку Targets вижу все существующие IQN LUN(ов), но выделил только LUN: iqn.1994-11.com.netgear:nas01:e21554b2:db1c и нажав Connect – OK я могу подключить, т.к. доступ подключению задал выше.
Шаг №7: На хосте, открываю оснастку управления дисками:
Win + X – Control Panel – Administrative Tools – Computer Management – Storage – Disk Management – и вот подключенный LUN, через правый клик мышью на нем выбираю Online и после в проводнике если буква диска не занята появляется новый диск и с ним можно работать как если бы он был физическим, только сейчас он работает по сети.
На этом напоминалка заметка завершена. С уважением автор блога Олло Александр aka ekzorchik.
