Установка и управление Google Chrome через GPO

Задача: Нужно при входе пользователя в систему запускать браузер (если возможно, то тот, который используется на его машине по умолчанию) и загружать в нем страницу https://win.ekzorchik.ru. Вот такая вот задача поступила от коллеги из нашего IT-отдела. Вот в чем загвоздка, на вопрос для его это и какой в этом практический смысл, он уходит от ответа. Четко сформулировать или как-то еще из него пришлось щипцами вытаскивать. Ну да ладно, я же сделаю да и попутно все задокумментирую. Т.к. все сотрудники в основном пользуются браузером Google Chrome, то внедрю централизованную установку.

Как всегда все обкатываю на своем тестовом полигоне на базе Debian 10 + Proxmox 6.

Мне понадобится:

• srv-dc1.polygon.com (Windows Server 2012 R2 Std + роли AD,DNS,DHCP)
• W10X64p1.polygon.com (рабочая станция Windows 10 Pro)

Шаг №1: Скачиваю с официальной страницы msi пакеты браузера Google Chrome, как для x68 так и для x64:

https://chromeenterprise.google/browser/download/

Шаг №2: Создана папка C:\PO в которую будут определены msi пакеты устанавливаемые через GPO

123456789101112131415

C:\Windows\system32>net share PO=C:\PO /GRANT:”Authenticated Users”,READ C:\Windows\system32>icacls c:\PO /inheritance:d C:\Windows\system32>icacls c:\PO /remove “Users” /T C:\Windows\system32>icacls c:\PO /grant “CREATOR OWNER”:(OI)(CI)(IO)(F) C:\Windows\system32>icacls c:\PO /grant “NT AUTHORITY\Authenticated Users”:(OI)(CI)(RX) C:\Windows\system32>icacls c:\PO /grant “NT AUTHORITY\SYSTEM”:(OI)(CI)(F) C:\Windows\system32>icacls c:\PO /grant “POLYGON\ekzorchik”:(OI)(CI)(F) C:\Windows\system32>icacls c:\PO /grant “BUILTIN\Administrators”:(OI)(CI)(F)

Шаг №3: Создаю WMI—фильтр, т.к. политика будет применяться только к рабочим станциям:

• WMI Filter name: Client
• Namespace: root\CIMv2
• Query: SELECT * FROM Win32_OperatingSystem WHERE ProductType = "1"

Шаг №4: Создаю GPO с именем GPO_Browser_GoogleChrome и нацеливаю ее

• Location: polygon.com
• Security Filtering: Authenticated Users
• WMI Filtering: Client

Шаг №5: Т.к. через данную GPO я буду разворачивать msi пакет, то указываю его:

Edit - GPO_Browser_GoogleChrome - Computer Configuration - Policies - Software Settings — через правый клик мышью на Software Installation выбираю New - Package — и указываю путь к msi пакету: \\srv-dc1\PO\GoogleChromeStandaloneEnterprise64.msi и нажимаю Open

• Deployment state: Assigned

затем открываю свойства данного приложения, перехожу на вкладку Deployment и отмечаю галочкой параметр "Uninstall this application when it falls out of the scope of management"

Шаг №6: Инициирую применение GPO рабочей станцией

Win + R -> cmd.exe

C:\Windows\system32> gpupdate /force

Шаг №7: После перезагрузки клиентской станции, на рабочем столе значится ярлык "Google Chrome", запустив который и открыв «Настройки» - «Справка» - «О браузере Google Chrome», значится, что установлена самая последняя версия 86.0.4240.75 (Официальная сборка) 64 бит на момент написания данной заметки.

Шаг №8: Создаю единый каталог хранения GPO

1	C:\Windows\system32>mkdir “C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions”

Шаг №9: Теперь мне нужно добавить в оснастку Group Policy Management admx шаблон для управления настройками. Скачиваю архив с ADM/ADMX шаблонами групповых политик для Google Chrome ( http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip)

Содержимое архива:

• chromeos (административные шаблоны для Chromium);
• common (содержит html файлы с полным описанием всех настраиваемых параметров политик Chrome – см. файл chrome_policy_list.html);
• каталог windows — содержит шаблоны политик Chrome в двух форматах: ADM и ADMX (admx это более новый формат административных политики, поддерживается начиная с Windows Vista / Windows Server 2008 и выше).

копирую en-us & ru-ru в каталог C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions

C:\Users\ekzorchik\Downloads\policy_templates\windows\admx\en-US

C:\Users\ekzorchik\Downloads\policy_templates\windows\admx\ru-RU

C:\Users\ekzorchik\Downloads\policy_templates\windows\admx\{chrome.admx,google.admx} в каталог C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions

либо если не нужно использовать централизованное хранение шаблонов, можно открыть необходимую GPO, перейти к разделу Computer Configuration - Policies - Administrative Templates и через правый клик на нем выбрать Add/Remove Templates… - Add и указываю путь в UNC-формате, т.е. сперва в каталоге где политика создаю каталог Adm и помещаю в него adm файлы, а затем выбираю их:

и добавляю через Add/Remote Templates… - Add, хотя не нужно, запись уже создастся и будет выглядеть так:

Еще вариант — это поместить admx (chrome.admx & google.admx) настроек Google Chrome в каталог: C:\Windows\PolicyDefinitions и файлы adml (chrome.adml & google.adml) из каталога policy_templates\windows\admx\en-US в каталог C:\Windows\PolicyDefinitions\en-US

Шаг №10: После чтобы появились настройки нужно на домен контроллере сделать Logoff/Logon, либо просто закрыть редактор групповых политик и открыть заново.

Шаг №11: После запускаю оснастку Group Policy Management на домен контроллере (srv-dc1):

Start — Control Panel — Administrative Templates — Group Policy Management и к примеру разворачиваю настройки GPO_Browser_GoogleChrome

А если не централизованное добавление, а ручное использование шаблона в GPO, то доступ к настройкам выглядит так и настройки справедливы, как для Computer Configuration,так и для User Configuration

А если добавление adml & admx файлов в C:\Windows\PolicyDefinitions

Шаг №12: Чтобы к примеру выставить дефолтную страницу по умолчанию, то в настройках GPO

GPO_Browser_GoogleChrome: Computer Configuration - Policies - Administrative Templates - Google - Google Chrome:

• Set Google Chrome as Default Browser: Enabled

GPO_Browser_GoogleChrome: Computer Configuration (практичнее на User Configuration дабы пользователь мог сделать Logoff&Logon, а не перезагружать компьютер) — Policies - Administrative Templates - Google - Google Chrome - Default Settings (users can override) - Startup, Home page and New Tab page:

• Action on startup: Enabled
• Action on startup: Open a list of URLs
• Configure the home page URL: Enabled
• Home page URL: https://win.ekzorchik.ru
• Configure the New Tab page URL: Enabled
• New Tab page URL: https://google.com
• Show Home button on toolbar: Enabled
• URLs to open on startup: Enabled
• URLs to open on startup: нажимаю Show и указываю https://win.ekzorchik.ru

Шаг №13: На клиентской станции применяем политику

1	gpupdate /force

и результат, при запуске браузера с рабочего стола открывается https://win.ekzorchik.ru, а если нажать новая вкладка, то открывается https://google.com

Шаг №14: В процессе внедрения данной заметки возникла задача, нужно чтобы когда пользователь авторизуется на своем рабочем месте у него запускался браузер с определенной страницей.

Сперва создаю скрипт (для начала если Google Browser x64) который будет это делать

on srv-dc1.polygon.com

C:\PO\run.bat

1	start “google” “C:\Program Files\Google\Chrome\Application\chrome.exe” “https://win.ekzorchik.ru”

Затем на рабочем месте W10X64P1 вручную запускаю данный скрипт и в ответ получаю запускаемый браузер Google Chrome и указанный URL. Отлично.

Шаг №15: Теперь нужно модернизировать групповую политику, чтобы было два пакета установки Google Chrome: один для x86, другой для x64.

одна x64-битная установка

вторая x86-битная установка с обязательным сниманием галочки "Make this 32-bit x86 application available to Win64 machines."

Ниже скриншот для наглядного понимания.

for x86 пакет именуется автоматически, как Google Chrome (2)

for x64 пакет именуется автоматически, как Google Chrome

Шаг №16: Модернизирую скрипт, чтобы он запускал только тот браузер который используется в зависимости от архитектуры рабочего места:

\\srv-dc1\PO\run.bat

12345678910111213141516171819202122232425262728293031323334353637

echo off set chrome32=”C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” set chrome64=”C:\Program Files\Google\Chrome\Application\chrome.exe” IF %PROCESSOR_ARCHITECTURE%==”AMD64″ (GOTO 64BIT) :64BIT if exist %chrome32% (goto AAA) if exist %chrome64% (goto BBB) if not exist %chrome32% (goto CCC) if not exist %chrome64% (goto CCC) :AAA rem start “google” %chrome32% “https://win.ekzorchik.ru” start “google” %chrome32% exit :BBB rem start “google” %chrome64% “https://win.ekzorchik.ru” start “google” %chrome64% exit :CCC echo “Browser not found”

Шаг №17: А теперь добавляю данный скрипт в групповую политику, дабы когда пользователь авторизуется на своем рабочем ПК у него запустится скрипт + применится политика назначения дефолтной страницы.

GPO_Browser_GoogleChrome - User Configuration - Policies - Windows Settings - Scripts (Logon/Logoff) — и через правый клик на Logon открываю Properties - Add - Browse, в адресной строке указываю путь до bat файла: \\srv-dc1\PO\run.bat и нажимаю Open, OK окна "Add a Script", Apply окна "Logon Properties" и OK окна "Logon Properties"

Итог настроек GPO:

Шаг №18: Проверяю на клиентской станции если отправить систему в перезагрузку, а после пройти процедуру авторизации отработает политики + Logon скрипт который запустит браузер и первой будет указанная страница в политике.

Задача выполнена. На этом у меня все, с уважением автор блога Олло Александр aka ekzorchik.

Windows 8.1 Corp Uninstall error Execution Options ekrn.exe

Windows 8.1 Корпоративная

Все действия ниже проводятся с правами локального администратора

проблема с удалением ESET Endpoint Antivirus (5.0.2254.1)

Не удалось удалить раздел \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe Убедись в наличии необходимых прав доступа к разделу или обратитесь к обслуживающему персоналу.

Решение:

Запустил msconfig — включил «Безопасный режим» путем отметки во вкладке «Загрузка» тип «Минимальная» оставляем как есть.

Отправляем систему в перезагрузку

перезагрузился в безопасный режим

через утилиту esetuninstaller.exe удалил ESET Endproint Antivirus

или можно просто отобразить все установленные программы и нажать Uninstall.exe, удаление также пройдет успешно.

msconfig отключил «Безопасный режим»

загрузился в обычном режиме и после Nod успешно удален.

Далее устанавливаю правильный дистрибутив антивируса, принятый в компании и в личном использовании.

Заметка работоспособна, на это у меня всё, с уважением автор блога Олло Александр aka ekzorchik.

Запуск задачи на открытие Google Chrome

Задача: Нужно раз в день на клиентских компьютерах запустить задачу с целью запуска браузера с открытием определенной страницы.

Данная задача есть продолжение заметки «Установка и управление Google Chrome через GPO», точнее ее модернизация под новую хотелку нашего сотрудника.

Получилось.

Шаг №1: Итого настройки политики:

on srv-dc1.polygon.com

Login: ekzorchik (Group: Domain Admins)

Win + X -> Control Panel - Administrative Tools - Group Policy Management — открываю политику GPO_Browser_GoogleChrome (Edit) и добавляю настройку по части запуска скрипта который сформирует запуск bat файла ответственного за открытии определенной страницы:

User Configuration - Preferences - Control Panel Settings — и через правый клик на Scheduled Tasks создаю новое задание New — выбираю Scheduled Task (At least Windows 7)

Вкладка General

• Action: Update
• Name: GP
• When running the task, use the following user account: %LogonDomain%\%LogonUser%
• Run only when user is logged on: отмечаю
• Configure: Windows 7, Windows Server 2008 R2

Вкладка Trigger

создаю New

• Begin the task: On a schedule
• Settings: Daily
• Start: 08.10.2020 10:30
• Recur every: 1 days
• Enabled: отмечаю галочкой

вкладка Actions

создаю новое действие New

• Action: Start a program
• Program/Script: \\srv-dc1\PO\run.bat

вкладка Conditions

• Start the task only if the computer is on AC power: отмечаю
• Stop if the computer switches to battery power: отмечаю

вкладка Settings

• Allow task to be on demand: отмечаю
• Run task as soon as possible after a scheduled start is missed: отмечаю
• Stop the task if it runs longer than: 3 days
• If the running task does not end when requested, force it to stop: отмечаю

Шаг №2: Содержимое скрипта run.bat

12345678910111213141516171819

echo offset chrome32=”C:\Program Files (x86)\Google\Chrome\Application\chrome.exe”set chrome64=”C:\Program Files\Google\Chrome\Application\chrome.exe”IF %PROCESSOR_ARCHITECTURE%==”AMD64″ (GOTO 64BIT):64BITif exist %chrome32% (goto AAA)if exist %chrome64% (goto BBB)if not exist %chrome32% (goto CCC)if not exist %chrome64% (goto CCC):AAArem start “google” %chrome32% “https://win.ekzorchik.ru”start “google” %chrome32% “https://win.ekzorchik.ru”exit:BBBrem start “google” %chrome64% “https://win.ekzorchik.ru”start “google” %chrome64% “https://win.ekzorchik.ru”exit:CCCecho “Browser not found”

Шаг №3: Содержимое политики по части использования добавленного шаблона Google Chrome:

User Configuration - Policies - Administrative Templates - Google - Google Chrome - Default Settings (users can override) - Startup, Home page and New Tab page

• Action on startup: Enabled

• Action on startup: Open a list of URLs

• Show Home button on toolbar: Enabled
• URLs to open on startup: Enabled
• URLs to open on startup: https://win.ekzorchik.ru

Шаг №4: Т.к. часть настроек политики применяется на пользователь, то на клиентской рабочей станции они применяться после того как пользователь авторизуется на ней. Это будет если он сделает "Завершение сеанса" с последующей авторизацией, при Win + L "Блокировка экрана" — политика не применится. Либо если будет перезагрузка компьютера она применится. Чтобы наглядно показать применение политики можно в консоли командной строки набрать:

Win + R -> cmd.exe

1	C:\Users\aollo>gpupdate /target:user

Да, политика применилась. Вот когда она отработала в указанный день и время, я уточнил у заявителя данной заявки, мол все отработало. На что получил ответ — да всё спасибо, отработало как и планировалось, в следующий раз понадобится она через месяц когда выйдут новости. Хотя стоп! В процессе доработки задачи проскальзывало, что нужно чтобы данная задача через планировщик отрабатывала каждый понедельник в 10:30. У нас так всегда, сперва хотят но не знаю зачем хотя. А раз так то нужно сделать деактивирую политику на удаление данной задачи на клиентских рабочих местах.

Пока на этом у меня всё, что хотел то задокумментировал, с уважением автор блога Олло Александр aka ekzorchik.

Как добавить избранное на новую вкладку браузера Google Chrome

Доработка GPO_Browser_GoogleChrome

Данная заметка есть доработка групповой политики, посредством которой я централизованно на всех устанавливаю браузер Google Chrome и предопределяю страницу по умолчанию дабы все сотрудники офиса получали самую актуальную информацию о том, что творится в целом у компании:

• Установка и управление Google Chrome через GPO
• Запуск задачи на открытие Google Chrome

В процессе эксплуатации выявил, при открытии новой вкладки браузера перестала открываться страница с поисковой системой, содержащей ярлыки на наиболее популярно используемые страницы. Ниже скриншот, что я имею ввиду:

Чтобы это дело поправить нужно в настройках групповой политики на домен контроллере:

GPO_Browser_GoogleChrome -

вот эта страница должна открываться в хроме при открытии пустой вкладки: chrome://new-tab-page/

а открывается вот эта: chrome://newtab/

итого:

User Configuration - Policies - Administrative Templates: Policy definitions (ADMX files) retrieved from the local computer. - Google - Google Chrome - Default Settings (users can override) - Startup, Home page and New Tab page.

• Configure the New Tab page URL: Enabled

• New Tab page URL: chrome://new-tab-page/

после нажимаем Apply, OK.

В процессе тестирования это оказалось то что нужно было, но, как и всегда был момент, когда пользователь запускает браузер Google Chrome, а затем нажимает открыть новую вкладку и страница не открывается, а пишет: "НЕ удается получить доступ к сайту. Веб-страница по адресу chrome://new-tab-page/, возможно, временно не доступна или постоянно перемещена по новому адресу”.

решение:

Обновил сотруднику браузер, был 78.0.3904.108 (32бит) обновил до 86.0.4240.75 и после перезапустил браузер после стало норм и нет ошибки "Не удается получить доступ к сайту"

Вот так кстати всегда, вроде тестируешь, есть группа которые согласны принять участие в улучшении, все внедряется, а после оказывается, что есть еще нюансы. И вот в этом случае главное все документировать.

Итого проблему с открытием новой вкладки где отображается указанная поисковая система и личная выбора наиболее посещаемых сайтов выполнена. На этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.

Порядок установки TMG on Server 2008 R2 Std

Моя задача: Разобрать как пошаговые заметки все моменты как у меня сейчас настроен корпоративный шлюз на базе Forefront TMG 2010 с целью понимания, как и что дабы в последствии уйти от него в пользу pfSense. Я придерживаюсь позиции, что сперва нужно узнать, как сейчас настроено дабы если что-то пойдет не так в процессе переноса я мог вернуться обратно, плюс упорядочу правила, может какие не используются или настроено не правило. Что же такое Forefront TMG 2010 — это ПО организации периметра локальной сети с целью обеспечения VPN доступа, предотвращение вторжения, проверка наличия вредоносных программ и фильтрация URL-адресов.

Что понадобится:

1) Инфраструктура домена

srv-dc.polygon.com (AD, DNS, DHCP)

2) Виртуальная машина под Forefront TMG 2010

Характеристики:

CPU 1 (2 cores)

RAM: 6Gb

HDD: 70Gb

2) Наличии двух сетевых карт на VM: srv-gw.polygon.com

WAN (vmbr0)

LAN (vmbr1) (10.90.90.2/24)

На своем тестовом полигоне создаю VM с осью Windows Server 2008 R2 Std SP1 English

Именую ее, как srv-gw.polygon.com

Шаг №1: Авторизуюсь в системе как администратор домена (Login: ekzorchik Group: Domain Admins)

Шаг №2: В системе которая будет являться шлюзом для локальной сети выключаю брандмауэр для всех профилей:

Start - All programs - Accessories — и через правый клик на Command Prompt запускаю консоль командной строки с правами администратора "Run as administrator"

123456789

c:\Windows\system32> netsh advfirewall set allprofiles state off rem Disable Last Access Time (Увеличивает производительность) c:\Windows\system32> fsutil behavior set disablelastaccess 0 rem Отправляем систему в перезагрузку c:\Windows\system32> shutdown /r /t 3

Шаг №3: Произвожу настройку сетевых интерфейсов:

Start - Control Panel - View by: Category - Small icons - Network and Sharing Center - Change adapter settings

• Local Area Connection (переименовываю в WAN) и открываю свойства адаптера где обозначаю

This connection uses the following items:

Internet Protocol Version 4 (TCP/IPv4): отмечаю галочкой

со всех остальных настроек галочки снимаю

IP address: 172.33.33.105

Subnet mask: 255.255.255.0

Default gateway: 172.33.33.100

• Local Area Connection 2 (переименовываю в LAN) и открываю свойства адаптера где обозначаю

This connection uses the following items:

Client for Microsoft Networks: отмечаю галочкой

QoS Packet Scheduler: отмечаю галочкой

File and Printer Sharing for Microsoft Networks: снимаю галочку

Internet Protocol Version 4 (TCP/IPv4): отмечаю галочкой

Link-Layer Topology Discovery Mapper I/O Driver: отмечаю галочкой

Link-Layer Topology Discovery Responder: отмечаю галочкой

На заметку: Отключение ‘File and Print Sharing for Microsoft Networks’ на внутреннем интерфейсе TMG сервера не позволит подключаться к общим папкам (шарам) этого TMG сервера, независимо от системной политики или каких-то других правил доступа. Это рекомендуется для лучшей безопасности, т.к. общим папкам совершенно не место на фаерволе.

• IP address: 10.90.90.2
• Subnet mask: 255.255.255.0
• Preferred DNS server: 10.90.90.3
• Alternate DNS server: 10.90.90.3

Шаг №4: После авторизуюсь на домен контроллере и в оснастке DNS указываю в свойствах во вкладке Forwarders указываю DNS, к примеру, обычно указываю DNS WAN адреса который предоставляем Вам Ваш провайдер, либо 8.8.8.8 и 8.8.4.4

Шаг №5: Перехожу в каталог C:\Soft\TMG\ куда у меня распакован дистрибутив и запускаю средство подготовки чтобы убедиться, что на компьютере установлены приложения, необходимые для успешной установки Forefront TMG 2010.

C:\Soft\TMG\2010\Forefront TMG 2010 x64 Ent\autorun.html (экран приветствия)

нажимаю на Run Preparation Tool (это запускается мастер: "C:\Soft\TMG\2010\Forefront TMG 2010 x64 Ent\FPC\PrerequisiteInstaller.exe"

после нажимаю Next

• I accept the terms of the License Agreements: отмечаю и нажимаю Next
• Forefront TMG services and Management: отмечаю и нажимаю Next

На заметку:

• Forefront TMG services and Management — установка одного сервера Forefront TMG на компьютере, включая установку всех служб Forefront TMG и консоли управления Forefront TMG, предназначенной для локального управления Forefront TMG.
• Enterprise Management Server (EMS) for centralized array management — этот параметр установки доступен только в выпуске Forefront TMG Enterprise Edition (в версии Forefront TMG Standard Edition данный параметр установки отсутствует). Сервер Enterprise Management Server позволяет централизованно управлять несколькими массивами Forefront TMG.

Происходит подготовка (ожидаю)

Затем мастер сообщает, что все подготовительные компоненты установлены и настроены, нажимаю Finish в следствии чего запускается мастер "Launch Forefront TMG Installation Wizard"

Нажимаю Next

• I accept the terms in the license agreement: отмечаю и нажимаю Next

указываю

• User Name: Windows User
• Organization: polygon
• Product Serial Number: V3K2P-BCYDT-QCBPP-868CM-V2KPF

и нажимаю Next

• путь установки оставляю по умолчанию: Installation path for Forefront TMG: C:\Program Files\Microsoft Forefront Threat Management Gateway\

и нажимаю Next

затем предопределяю внутренний интерфейс

нажимаю Add

нажимаю Add Adapter...

и отмечаю галочкой интерфейс, который я переименовал ранее, как LAN (локальная сеть) и нажимаю OK

после нажимаю OK окна Addresses где нажимал Add Adapter..., затем нажимаю Next этапа мастера где предопределил внутреннюю сеть

затем нажимаю Next — этот шаг, когда в систему будут установлены роли:

• SNMP Service
• IIS Admin Service
• World Wide Web Publishing Service
• Microsoft Operations Manager Service

а после нажимаю Install, ожидаю…

Процесс установки завершен и теперь кликаем Launch Forefront TMG Management when wizard closes — запуск консоли управления TMG 2010 для начальной конфигурации:

Но вот тут у меня не все так гладко как хотелось бы, вижу ошибку запуска скрипта на этой странице:

Щелкаем Yes:

Решение по этой ошибке:

Зайдите по пути C:\Program Files\Microsoft Forefront Threat Management Gateway\UI_HTMLs\TabsHandler\TabsHandler.htc. После открываем свойства и переходим на вкладку Security и раз я установку произвожу не под локальным администратором (SRV-GW\Administrators), а под Polygon\ekzorchik (Group: Domain Admins) мне нужно дать себе полный права на данный файл:

Открываем его (файл TabsHandler.htc) с помощью текстового редактора Notepad++ или обычного Notepad.exe и через поиск по слову "paddingTop" находим совпадения и перед каждой строкой ставим символ комментария "//". После сохраняем внесенные изменения.

После этого изменения Forefront Threat Management Gateway (TMG) открывается без ошибки:

Start - All Programs - Microsoft Forefront TMG - Forefront TMG Management и запускается процесс инсталляции состоящий из трех шагов:

Шаг №1: Configure network settings

нажимаю Next

• Edge firewall: выбираю

нажимаю Next

• Network adapter connected to the LAN: выбираю LAN

нажимаю Next

• Network adapter connected to the Internet: выбираю WAN

нажимаю Next, затем Finish

Шаг №2: Configure System settings

нажимаю Next

• идентификацию хоста - оставляю по умолчанию

и нажимаю Next, затем Finish

Шаг №3: Define deployment options

нажимаю Next

• I do not want to use the Microsoft Update service: отмечаю

и нажимаю Next, Yes

выводится какая лицензия установки TMG

и нажимаю Next

• No, I don't want to participate: отмечаю

и нажимаю Next

• Select your level of participation: выбираю None. No information is sent to Microsoft

и нажимаю Next, затем Finish

итак, все три шага мастера я прошел, отмечаю галочкой Run the Web Access wizard

и нажимаю Close.

Запускается мастер Welcome to the Web Access Policy Wizard

нажимаю Next

• Do you want the wizard to create a default rule that blocks access to potentially malicious URL categories? выбираю No, do not create the rule for me

и нажимаю Next

• Block access to these Web destinations: пропускаю и нажимаю Next
• Do you want to apply malware inspection to the rules created by the Web Access Policy Wizard? No, do not inspect Web content requested from the Internet

и нажимаю Next

• Allow users to establish HTTPS connections to Web sites: отмечаю
• Do not inspect HTTPs traffic and do not validate HTTPS site certificates. Allow all HTTPS traffic

и нажимаю Next

• Enable the default Web caching rule: снимаю галочку (Кэш не буду использовать)

и нажимаю Next, затем Finish

после перехожу в Firewall Policy и нажимаю Apply

Далее предупреждение о рестарте сервисов во время установки:

Do not show this prompt again: отмечаю галочкой дабы не указывать комментарий после каждого нажатия на Apply когда я буду применять какие либо настройки

и нажимаю Apply

Применяются изменения, изменения применились:

На заметку: Как обновить TMG до версии, как у меня на работе см заметку.

Итого первичная установка завершена. Далее я заметка к заметке буду настраивать с учетом имеющегося у меня от и до на данном виртуальном стенде со всеми нюансами. А пока я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.

Как экспортировать Let’s Encrypted сертификат с Windows Server 2012 R2

У себя на рабочем месте я использую бесплатные сертификаты от Let’s Encrypted на Windows сервисах — это Remote Desktop Gateway и Exchange 2010.

• Нужно обновить сертификат для Remote Desktop Gateway
• Продлеваем сертификат Let’s Encrypt для Exchange 2010

Ну так вот я был вынужден в связи с текущими настройками два раза генерировать один и тот же сертификат на mail.ekzorchik.ru и если на RDG он просто импортируется, то для Exchange нужно было делать дополнительные действия по замене отпечатка. Т.е. получается, что у меня два сертификата на mail.ekzorchik.ru и за этим нужно следить чтобы вовремя продлять. Но это мелочи, Zabbix 5.0 выручает, главное помнить, что сертификатов два, а не один.

Мне же хотелось иметь возможность экспортировать сертификат как я проделываю на бухгалтерский компьютерах если перенастраиваю рабочее место и т.д. Но увы, тут сертификат от Let’s Encrypted имеет пароль на закрытую часть и версии которую я использую на Windows Server 2012 R2 Std для сервиса Remote Desktop Gateway нет возможности узнать какой пароль.

Шаг №1: Инициирую шаги по экспорту приватного сертификата:

on srv-ts01-gate (OC: Windows Server 2012 R2 Std, Role: RDG)

Login: ekzorchik, Group: Domain Admins

Win + X -> Command Prompt (Admin)

C:\Windows\system32> mmc - File - Add/Remove Snap-in…

Available snap-ins: выбираю Certificates и нажимаю Add,

• This snap-in will always manage certificates for: Computer account и нажимаю Finish, а затем OK

Через правый клик мышью на сертификате (внешнем сертификате) нажимаю на нем и выбираю All Tasks - Export… и вот первая проблема, я не могу экспортировать приватный ключ (т.е. если бы возможность была, я бы в конечном итоге получил pfx файл) для данного сертификата:

Увы не могу. Исправляю текущее положение дел последующими шагами.

Шаг №2: Далее действия нужно проделать через утилиту wacs.exe (это клиент Win-ACME client) с целью отобразить информацию по установленном сертификату от Let’s Encrypted. У меня он уже установлен.

on srv-ts01-gate (OC: Windows Server 2012 R2 Std, Role: RDG)

Login: ekzorchik, Group: Domain Admins

Win + X -> Command Prompt (Admin)

123456

C:\Windows\system32> cd /d c:\acmec:\acme>wacs.exe[INFO] A simple Windows ACMEv2 client (WACS)[INFO] Software version 2.0.8.356 (RELEASE)[INFO] IIS version 8.5[INFO] Please report issues at https://github.com/PKISharp/win-acme

Т.к. у меня версия клиента 2.0.8.356, вроде как есть уже более новая, скачиваю ее с официального сайта (https://www.win-acme.com/): win-acme.v2.1.11.917.x64. на всякий случай я скопировал ее к себе дабы она всегда была под рукой.

Распаковываю архив на диск C:\acme.v2.1.11.917.x64, перехожу в него и запускаю утилиту wacs.exe

Please choose from the menu: q

1234567

c:\acme>cd %systemroot%\system32 C:\Windows\System32>cd /d c:\win-acme.v2.1.11.917.x64 c:\win-acme.v2.1.11.917.x64> c:\win-acme.v2.1.11.917.x64>wacs.exe

A simple Windows ACMEv2 client (WACS)

Software version 2.1.11.917 (RELEASE, PLUGGABLE, 64-bit)

ACME server https://acme-v02.api.letsencrypt.org/

IIS version 8.5

Running with administrator credentials

Scheduled task points to different location for .exe and/or working directory

Scheduled task is disabled

Scheduled task exists but does not look healthy

Please report issues at https://github.com/win-acme/win-acme

N: Create certificate (default settings)

M: Create certificate (full options)

R: Run renewals (0 currently due)

A: Manage renewals (1 total)

O: More options...

Q: Quit

Please choose from the menu: нажимаю на клавиатуре клавишу «A»

Welcome to the renewal manager. Actions selected in the menu below will be

applied to the following list of renewals. You may filter the list to target

your action at a more specific set of renewals, or sort it to make it easier

to find what you're looking for.

1: [IISBinding] mail.ekzorchik.ru - renewed 11 times, due after 2020.12.10 17:17:47

D: Show details for the renewal

R: Run the renewal

U: Analyze duplicates for the renewal

C: Cancel the renewal

V: Revoke certificate(s) for the renewal

Q: Back

Choose an action or type numbers to select renewals: нажимаю на клавиатуре клавишу «D»

Details for renewal 1/1

Id:                  ICchgKiSy0u_puQUHATW1w

File:                ICchgKiSy0u_puQUHATW1w.renewal.json

FriendlyName:        [Auto] [IISBinding] mail.ekzorchik.ru

.pfx password:       ticbrUMvXnImtDt/NhsfGNQI+YiOsTzr93BBiv8CfUk=

Renewal due:         10.12.2020 17:17:47

Renewed:             11 times

Target        -----------------------------------------------------------------

- Plugin:           IIS - (Read site bindings from IIS)

- Sites:            1

- Hosts:            mail.ekzorchik.ru

Validation    -----------------------------------------------------------------

- Plugin:           Manual - (Create verification records manually

(auto-renew not possible))

CSR           -----------------------------------------------------------------

- Plugin:           RSA - (RSA key)

Store         -----------------------------------------------------------------

- Plugin:           CertificateStore - (Windows Certificate Store)

Installation  -----------------------------------------------------------------

- Plugin:           IIS - (Create or update https bindings in IIS)

History (most -----------------------------------------------------------------

1: 24.06.2020 6:00:13 - Error - Authorization failed

2: 24.06.2020 18:03:45 - Error - Authorization failed

3: 24.06.2020 18:04:24 - Error - Authorization failed

4: 24.06.2020 18:07:08 - Error - Authorization failed

5: 24.06.2020 18:25:54 - Success - Thumbprint FB1B80D5FA72EBD97C69E4D814B069FCA

D73A2EA 6: 18.07.2020 18:36:02 - Success - Thumbprint EDFD0FDDFC3CC8582FAE7A1601870B0A9

830FAAD 7: 23.07.2020 19:10:58 - Success - Thumbprint 782A1443C82D9CE59A61A9740ECE35B94

CF8CC48 8: 23.07.2020 19:21:49 - Success - Thumbprint 782A1443C82D9CE59A61A9740ECE35B94

CF8CC48 9: 16.10.2020 13:58:58 - Success - Thumbprint BCD9F2BA02C9F64C62450FCAFBAEB1423

8A5D66B 10: 16.10.2020 14:17:47 - Success - Thumbprint BCD9F2BA02C9F64C62450FCAFBAEB142

38A5D66B

Press <Enter> to continue

Choose an action or type numbers to select renewals: q

N: Create certificate (default settings)

M: Create certificate (full options)

R: Run renewals (0 currently due)

A: Manage renewals (1 total)

O: More options…

Q: Quit

Please choose from the menu: q

А вот и в строке .pfx password сам пароль: ticbrUMvXnImtDt/NhsfGNQI+YiOsTzr93BBiv8CfUk=

Шаг №3: Импортирую приватный ключ (pfx файл) к сертификатам, которые использует система Windows:

on srv-ts01-gate (OC: Windows Server 2012 R2 Std, Role: RDG)

Login: ekzorchik, Group: Domain Admins

перехожу в каталог "C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates", нажимаю на верхний файл ICchgKiSy0u_puQUHATW1w-cache.pfx

Запускается мастер импорта

• Store Location: выбираю Local Machine

нажимаю Next

• File name: C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates\ICchgKiSy0u_puQ (Оставляю по умолчанию)

нажимаю Next

и вот шаг где требуется пароль на экспорт приватного ключа:

• Password: указываю пароль который показал мне клиент (Windows ACMEv2 client) ticbrUMvXnImtDt/NhsfGNQI+YiOsTzr93BBiv8CfUk=
• Mark this key as exportable. This will allow you to back up or transport your keys at a later time: отмечаю галочкой
• Include all extended properties: отмечаю галочкой

и нажимаю Next

Далее указываю местонахождение сертификата для Windows, оставляю по дефолту и нажимаю Next

А затем нажимаю Finish.

Шаг №4: Теперь экспортирую сертификат в файловую систему Windows, к примеру, на логический диск каталога C:\Certs:

on srv-ts01-gate (OC: Windows Server 2012 R2 Std, Role: RDG)

Login: ekzorchik, Group: Domain Admins

Win + X -> Command Prompt (Admin)

C:\Windows\system32> mmc - File - Add/Remove Snap-in…

• Available snap-ins: выбираю Certificates и нажимаю Add,
• This snap-in will always manage certificates for: Computer account и нажимаю Finish, а затем OK

Console Root - Certificates (Local Computer) - Personal - Certificates — выделяю сертификат mail.ekzorchik.ru и через правый клик на нем перехожу All Tasks - Export и мне становятся доступны опции, как

• Yes, export the private key: на выходе будет pfx файл
• No, do not export the private key: на выходе будет cer файл

выбираю Yes, нажимаю Next, обязательно отмечаю

• Include all certificates in the certification path if possible
• Export all extended properties

и нажимаю Next, ставлю пароль

• Password: отмечаю
• Password: Aa1234567
• Confirm password: Aa1234567

На заметку: Пароль на закрытый ключ (pfx-файл) должен быть сложным и не быть легко угадываемым и простым.

и нажимаю Next

Далее указываю куда произвести экспорт:

File name: Browse - C:\Certs\ именую, как mail.ekzorchik.ru_do_14_01_2020 (Type: Personal Information Exchange (*.pfx)) и нажимаю Save затем нажимаю Next, Finish

повторяю, процедуру экспорта, но на этот раз выбираю "No, do not export the private key" и именую, как mail.ekzorchik.ru _do_14_01_2020.cer

Итого теперь раз сгенерировав сертификат, после через 90 дней его продлеваем (это если как у меня используется создание записи через проверку DNS), а после можно экспортировать его и перенести на почтовый сервер Exchange 2010. Получается один сертификат на два сервиса, как и должно быть, а не костыль с заменой отпечатка, как есть у меня в заметке.

На этом данная практическая заметка завершена, с уважением автор блога Олло Александр aka ekzorchik.

Как обновить свежеустановленный TMG 2010

Задача: Нужно обновить тестовый шлюз TMG до версии, которая стоит у меня на работе.

Итак, у меня на работе в качестве шлюза для локальной сети используется Windows Server 2008 R2 Std + сервис Forefront TMG (Version 7.0.9193.575). А я, когда установил себе в тестовое окружение и базово настроил, проверил, что у меня версия Version 7.0.7734.100

Я задался вопросом, как же обновиться до той версии которая у меня на работе.

В интернете нашел описание номеров сборок и пакетов обновлений, соответствующих:

Номер сборки	База знаний	Описание
7.0.7734.100	n/a	2010 RTM
7.0.7734.151	977062	The IP address filter conditions of the filter do not work in Forefront TMG 2010
7.0.7734.152	977691	The application initialization fails after you build a Forefront TMG 2010 appliance if the computer does not have a valid IP address
7.0.7734.156	979578	2010 пакет исправлений: January 25, 2010 (доступен по запросу)
7.0.7734.158	980311	2010 пакет исправлений: February 12, 2010
7.0.7734.165	980674	An IPsec VPN site-to-site tunnel or a PPTP VPN site-to-site tunnel does not work if you enable integrated NLB on a Forefront TMG 2010 array
7.0.7734.182	2520426	MS11-040: Vulnerability in Threat Management Gateway Firewall Client could cause remote code execution: June 14, 2011 (клиентское обновление)
7.0.7734.186	2616324	Пакет исправление для клиента Forefront Threat Management Gateway
7.0.8108.200	981324	2010 Service Pack 1
7.0.9027.400	2288910	2010 Service Pack 1 Software Update 1
7.0.9027.410	2433623	2010 Service Pack 1 Software Update 1 Rollup 1
7.0.9027.425	2475183	2010 Service Pack 1 Software Update 1 Rollup 2
7.0.9027.441	2498770	2010 Service Pack 1 Software Update 1 Rollup 3
7.0.9027.450	2517957	2010 Service Pack 1 Software Update 1 Rollup 4
7.0.9193.500	2555840	2010 Service Pack 2
7.0.9193.515	2649961	2010 Service Pack 2 Rollup 1
7.0.9193.540	2689195	2010 Service Pack 2 Rollup 2
7.0.9193.575	2735208	2010 Service Pack 2 Rollup 3
7.0.9193.601	2870877	2010 Service Pack 2 Rollup 4
7.0.9193.644	2954173	2010 Service Pack 2 Rollup 5

Из этой таблицы мои шаги:

Шаг №1: Авторизуемся на системе где у меня шлюз под учетной записью из под которой производилась установка:

Шаг №2: Открываем https://www.catalog.update.microsoft.com/Search.aspx?q=TMG и скачиваем обновления или любым другим способом, т.к. там есть только часть обновлений описываемых в этой заметке. Кстати ниже ссылка где скачать их от меня их все.

• 7.0.8108.200          981324         2010 Service Pack 1 (TMG-KB981324-AMD64-ENU.msi)
• 7.0.9193.500          2555840      2010 Service Pack 2

Шаг №3: Сперва закрываю консоль:

Start - All Programs - Microsoft Forefront TMG - Forefront TMG Management - Microsoft Forefront Threat Management - Forefront TMG (srv-gw)

Шаг №4: Устанавливаю TMG-KB981324-AMD64-ENU.msp (Service Pack 1), но почему-то увы установка завершается ошибкой, пишет:

Setup cannot modify or create the registry entry

System\CurrentControlSet\Services\Tcpip\Parameters.

Разбираюсь.

Итого порядок действия:

а) Start - All Programs - Accessories — и через правый клик на Command Prompt выбираю меню Run as administrator

б) Перехожу в каталог где у меня лежит msp пакет:

C:\Windows\system32>cd /d c:\Soft\TMG

в) Запускаю msp пакет:

C:\Soft\TMG\TMG-KB981324-AMD64-ENU.msp

нажимаю Next

• I accept the terms in the license agreement: отмечаю и нажимаю Next

тут все по дефолту и нажимаю Next

• Configuration Storage Server (type the FQDN): srv-polygon.com
• Connect using the credentials of the logged on user: отмечаю

и после нажимаю Install

начинается установка и установка завершается успешно

Шаг №5: Проверяю, как сейчас версия TMG — версия 7.0.8108.200

Шаг №6: Устанавливаю KB2288910 (TMG-KB2288910-amd64-ENU.msp)

Шаг №7: Устанавливаю на TMG 2010 Service Pack 2 (TMG-KB2555840-amd64-ENU.msp

Шаг №8: Проверяю, как сейчас версия TMG — версия 7.0.9193.500

Шаг №9: Ну а далее устанавливаю

• TMG-KB2649961-amd64-GLB SP2 RU1.exe
• TMG-KB2689194-amd64-GLB SP2 RU2.exe
• TMG-KB2734208-amd64-GLB SP2 RU3.msp

Шаг №10: Проверяю, как сейчас версия TMG — версия 7.0.9193.575

Итого я получил точно такую же версию TMG 2010, как и у меня на работе. Также для будущего использования залил к себе на OwnCloud архив используемых здесь обновлений.

На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.

Как закрывать все RDP соединения для PDA

Работая на удаленке (мы работаем через день в связи с этим COVID-19) поступила задача: нужно на связке под склад которая состоит из одного сервера чисто под кластер 1С + роль Terminal Server, а другого под SQL Server под одну базу настроить чтобы все RDP соединения терминалов сбора данных завершались в 03 часа ночи каждый день.

И вот работая подключаюсь ни по Remote Desktop Gateway соединению («Доступ к RDP через авторизацию RADIUS», а по своему «Доступ по RDP через SSH туннель» я приступил к решению данной задачи.

Что имеем:

srv-db03.polygon.local

Hardware: Supermicro X10DRi

OS: Server 2016 Std

Processor: Intel® Xeon® CPU E5-2660 v4 @ 2.00GHz 2.00 GHz (2 processor)

RAM: 128Gb

• используется под SQL Server 13.0.5026.0

srv-db04.polygon.local

Hardware: Supermicro X10DRi

OS: Server 2016 Std

Processor: Intel® Xeon® CPU E5-2660 v4 @ 2.00GHz 2.00 GHz (2 processor)

RAM: 128Gb

используется как

• кластер 1С Предприятия 8.3 (x86-64) 8.3.16.1063
• Terminal Server
• Print Server (под принтеры этикеток: TSC TDP-225, TOSHIBA B-FP3D)

Терминалы сбора данных:

• PDA GP G-5000
• PDA Zebra MC330K
• PDA ATOL SMARTPRO

Учетные данные:

• Login: pda0001 - pda0040

Из имеющихся настроек посредством GPO есть только настройки если сессия активна, неактивна, отключена завершать через определенное время, но это не подходит.

В связи с этим под такую задачу не придумал лучше, как написать простенький bat—файл, который через планировщик заданий на srv-db04 запустит скрипт который произведен выборку определенных пользователей и завершить их сессии.

C:\Scripts\endses.bat

1234567891011121314151617

@echo offrem end session for srv-db04rem 03:00 nightrem logoff %userid14% /server:%host14% /VMset host=”srv-db04″rem for /f “tokens=1” %%i in (C:\scripts\pda2.txt) DO logoff %%i /server:%host% /VM  rem find all pda exclude status Disconnectedquery session | findstr /I “pda” | findstr /V “Disc” > c:\scripts\pda2.txt rem for /f “tokens=3” %%i in (C:\Scripts\pda2.txt) DO echo %%ifor /f “tokens=3” %%i in (C:\Scripts\pda2.txt) DO echo y | logoff %%i /server:%host% /VM  rem find all pda status Disconnectedquery session | findstr /I “pda” | findstr “Disc” > c:\scripts\pda3.txtrem for /f “tokens=2” %%g in (C:\Scripts\pda3.txt) DO echo %%gfor /f “tokens=2” %%g in (C:\Scripts\pda3.txt) DO echo y | logoff %%g /server:%host% /VM

После чего создал задание на srv-db04 что при срабатывании триггера на время 03 часа запускается данный скрипт от имени учетной записи обладающей правами Администратора сервера. И данный скрипт успешно отработал.

Пока нам этого хватает. Задача выполнена, а я приобрел еще одну заметку по решенной задачи. На это у меня всё, с уважением автор блога Олло Александр aka ekzorchik.

Как добавить почтовую базу на Exchange 2010

Задача: Нужно к почтовому серверу на базе Exchange 2010 (Version 14.03.0123.003) добавить еще одну почтовую базу

Почтовый сервер на базе Exchange 2010 установлен на Windows Server 2008 R2 Ent по заметке: «Обновленная установка Exchange 2010 в домене polygon»

Просто я хочу вынести в новую почтовую базу все системные почтовые ящики и выставить квоту в размере 512 Mb на каждый ящик.

К тому же у меня под каждый отдел так сделано.

У меня все роли почтового сервера на одной машине, т.к. она тестовая и отрабатываю пошаговые действия.

Шаг №1: Т.к. мой тестовая инфраструктура базируется на гипервизоре Debian 10 + Proxmox 6, то мне просто нужно добавить к VM еще один диск из LVM-Thin который представляет из себя M.2 Диск. Как это сделано у меня кому интересно смотреть «Как добавить диск, как LVM-Thin в Proxmox 6 on Debian 10»

Я выделил/подключил еще одни диск размером 100Gb, и он теперь в системе как диск D:

На логическом диске D: создаю папку Exchange, внутри еще папку с именем Databases, снимаю с нее наследование и переназначаю права доступа до:

после внутри создаю теперь папку(и) под базу данных, к примеру, MailboxDB01

Шаг №2: Теперь перехожу к созданию почтовой базы:

Для этого авторизуюсь на почтовом сервере с правами учетной записи которая состоит в группе Organization Management — у меня это учетная запись Login: ekzorchik, запускаю оснаcтку Exchange Management Console:

Start - All Programs - Microsoft Exchange Server 2010 - Exchange Management Console - Microsoft Exchange - Microsoft Exchange On-Premises (srv-mail.polygon.com) - Organization Configuration - Mailbox — и в правой части Action нажимаю на “New Mailbox Database…”

• Mailbox database name: MailboxDB01

Server name: Browse — выбираю srv-mail и нажимаю ОК, Next, изменяю путь с дефолтного на свой где будет располагаться файл почтовой базы и лог:

• Database file path: D:\Exchange\Databases\MailboxDB01\MailboxDB01.edb
• Log folder path: D:\Exchange\Database\MailboxDB01
• Mount the database: Отмечаю галочкой

и нажимаю Next, New, Finish

Теперь у меня две почтовые базы и в ново добавленной я могу предопределить квоты на создаваемые почтовые ящики и после расположить в ней системные почтовые ящики:

На заметку: Я добавляю вот так выше новые почтовые базы, к примеру так делал недавно когда подключил через iSCSI LUN ("Как создать новый LUN в ReadyNAS 2120") созданный под системные ящики и отдел IT и дабы не забыть использовал данную заметку.

На этом заметка завершена, с уважением автор блога Олло Александр aka ekzorchik.

Как установить NetFramework 3.5 если на компьютере нет интернета

Скачиваем на любой другой системе пакет dotnetfx35.exe и через любой носитель копируем его на станцию где нет интернета

Авторизуемся на станции под правами локального администратора

Запускаем dotnetfx35.exe и у меня вот такое вот окно:

Фильтр SmartScreen сейчас не доступен.

Проверьте подключение к Интернету. Функция «SmartScreen Защитника Windows» не доступа, поэтому она не может определить, безопасно ли запускать это приложение. Нажимаю «Запустить»

После такое окно:

«Приложению на вашем компьютере требуется следующий компонент Windows:

.NET Framework 3.5 (включает .NET 2.0 и 3.0)

• Скачать и установить этот компонент

Windows загрузит необходимые файлы из Центра обновлений Windows и завершит установку

• Пропустить установку

Ваши приложения могу неправильно взаимодействовать с этим компонентом.

Но как быть интернета то нет, а пакет хоть и весит 231 Mb что-то не идет как установщик

Выход из этой ситуации таков, нужно скопировать на эту систему образ Windows 10 и через правый клик мышью по нему нажать «Смонтировать», а если Windows 10 у Вас как виртуальная машина на Proxmox 6 то через CD-ROM подключиться

к примеру образ: SW_DVD9_Win_Pro_10_1903.1_64BIT_Russian_Pro_Ent_EDU_N_MLF_X22-14082.iso

для VM выглядит это так:

После чего в Windows 10 Pro появляется логический диск с образом ISO

Теперь запускаем консоль командной строки с правами администратора и вводим нижеследующую команду (скриншот)

Пуск - Служебные - Windows - Дополнительно - Запуск от имени администратора

1	dism.exe /online /enable-feature /featurename:NetFx3 /All /LimitAccess /Source:D:\sources\sxs

и теперь если перейти Win + R - control.exe - Программы и компоненты - Включение или отключение компонентов Windows значится, что компонента .NET Framework 3.5 (включает .NET 2.0 и 3.0) включена:

Итого задача выполнена. На этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.