Рассмотрим вариант настройки протокола LDAPS (LDAP over SSL) с использованием стороннего центра сертификации для домена mydomain.local с тремя контроллерами: DC1,DC2,DC3:
1. Создадим шаблон запроса сертификата в виде файла <имя>.inf для каждого контроллера домена. Замените <имя> на FQDN контроллера (например DC1.mydomain.local):
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=DC1.mydomain.local" ; FQDN текущего контроллера
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
[Extensions]
2.5.29.17 = "{text}"
_continue_ = "dns=DC1.mydomain.local&" ; FQDN текущего
_continue_ = "dns=DC1&" ; короткое имя текущего
_continue_ = "dns=DC2.mydomain.local&" ; FQDN других контроллеров
_continue_ = "dns=DC2&"
_continue_ = "dns=DC3.mydomain.local&"
_continue_ = "dns=DC3&"
_continue_ = "dns=ldap.mydomain.local&" ; виртуальное имя для переключения
_continue_ = "dns=mydomain.local&" ; домен верхнего уровня
_continue_ = "dns=MYDOMAIN" ; NetBIOS-имя домена
Важно:
Для балансировки в раздел [Extensions] необходимо добавить FQDN домена и всех контроллеров домена, а также их NetBIOS имена. Кроме того можно дополнительно прописать отказоустойчивые DNS записи, например "ldap.mydomain.local".
Сохраните файл на каждом контроллере (например, C:\Cert\DC1.inf).
2. Сгенерируем CSR для каждого контроллера. Для этого создадим запросы на сертификаты через командную строку (на каждом контроллере):
certreq -new C:\Cert\<имя>.inf C:\Cert\<имя>.csr
3. Теперь необходимо отправить CSR в сторонний ЦС. Передайте файлы DC1.csr, DC2.csr, DC3.csr администратору внешнего ЦС и получите обратно подписанные сертификаты (DC1.cer, DC2.cer, DC3.cer или DC1.p7b, DC2.p7b, DC3.p7b) от ЦС.
4. Установим сертификаты на контроллеры домена. Для этого выполним на каждом контроллере домена команду импорта:
certreq -accept C:\Cert\<имя>.cer
Чтобы проверить установленный сертификат, откройте "mmc", добавьте оснастку "Сертификаты (локальный компьютер)". Убедитесь, что сертификат отображается в Личное → Сертификаты и имеет закрытый ключ.
5. Для завершения настройки LDAPS на контроллерах при включенном брандмауэре откройте 636 порт:
New-NetFirewallRule -DisplayName "LDAPS" -Direction Inbound -Protocol TCP -LocalPort 636 -Action Allow
6. Перезапустите службу LDAP или перезагрузите сервера:
Restart-Service NTDS -Force
7. Проверьте работу LDAPS при помощи "ldp.exe" - выполните подключение к контроллеру домена, указав порт 636 и галочку "SSL".
Отключение незашифрованного LDAP (опционально):
Откройте "Управление групповыми политиками" и выберите "Default Domain Controllers Policy".
Перейдите: "Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Контроллер домена: требование цифровой подписи для LDAP-сервера".
Установите параметр: "Требуется цифровая подпись".
Перегрузите контроллеры домена для применения изменений.
среда, 18 июня 2025 г.
понедельник, 26 мая 2025 г.
Windows: Удаление раздела восстановления с диска
Иногда такой раздел мешает в виртуальной среде расширить системный диск с ОС Windows. Для удаления запустите консоль с повышенными привилегиями и выполните:
1. Сначала отключите среду восстановления:
reagentc /disable
2. Затем запустите:
diskpart
list volume
Обратите внимание на номер тома для раздела восстановления, запомните его.
3. Удалите раздел:
select volume N
delete volume override
exit
где N - номер вашего раздела восстановления.
В результате проделанных действий раздел восстановления будет удален, а занятое им пространство освободится.
1. Сначала отключите среду восстановления:
reagentc /disable
2. Затем запустите:
diskpart
list volume
Обратите внимание на номер тома для раздела восстановления, запомните его.
3. Удалите раздел:
select volume N
delete volume override
exit
где N - номер вашего раздела восстановления.
В результате проделанных действий раздел восстановления будет удален, а занятое им пространство освободится.
пятница, 23 мая 2025 г.
Windows: Отключение Azure Arc Setup в Windows Server 2022 и выше
С конца 2024 года вместе с обновлениями Windows приходит новый компонент "Azure Arc Setup", предназначенный для управления Azure ресурсами. Если вы не используете данный функционал, рекомендуется его отключить. Для этого откройте консоль PowerShell с повышенными привилегиями и выполните:
Для Windows 2022:
Disable-WindowsOptionalFeature -Online -FeatureName AzureArcSetup
(Также для Windows 2022 можно отключить данную функцию через выключение компонентов в "Диспетчере серверов")
Для Windows 2025:
DISM /online /Remove-Capability /CapabilityName:AzureArcSetup~~~~
После этого необходимо будет перезагрузить хост.
вторник, 20 мая 2025 г.
ALT Linux: Различные методы настройки синхронизации времени по протоколу NTP
Точная синхронизация времени критична для работы распределенных систем, журналирования событий, безопасности и других задач. В ALT Linux доступны следующие методы настройки NTP (Network Time Protocol): chrony, systemd-timesyncd, ntpd. Перед конфигурированием убедитесь, что другие сервисы синхронизации времени остановлены и отключены.
Настройка Chrony:
Chrony — современное решение для синхронизации с поддержкой работы в условиях нестабильных сетей. В ALT Linux включен по умолчанию. Для настройки выполните следующие шаги:
1. Установите пакет, настройте автозагрузку и запустите сервис:
sudo apt-get update && sudo apt-get install chrony
sudo systemctl enable --now chronyd
2. Откройте файл "/etc/chrony.conf" и укажите NTP-серверы или пулы:
server ntp1.example.com iburst
server ntp2.example.com iburst
или
pool pool.ntp.org iburst
где:
iburst — ускорение начальной синхронизации;
server — использование отдельных серверов;
pool — использование пула серверов.
3. Перезапустите сервис:
sudo systemctl restart chronyd
4. Выполните проверку статуса и просмотрите лог:
chronyc sources -v
chronyc tracking
journalctl -u chronyd
Настройка systemd-timesyncd:
systemd-timesyncd — это легковесный клиент, интегрированный в systemd. Для настройки выполните следующие шаги:
1. Установите пакет:
sudo apt-get update && sudo apt-get install systemd-timesyncd
2. Активируйте сервис:
sudo timedatectl set-ntp true
3. Отредактируйте "/etc/systemd/timesyncd.conf":
[Time]
NTP=ntp1.example.com ntp2.example.com
4. Примените изменения:
sudo systemctl restart systemd-timesyncd
5. Выполните проверку:
timedatectl show-timesync
Настройка ntpd (устаревший метод):
NTPd — это классическая реализация NTP. Для настройки этого метода выполните следующие шаги:
1. Установите пакет:
sudo apt-get update && sudo apt-get install ntp
2. Отредактируйте конфигурационный файл "/etc/ntp.conf":
server ntp1.example.com
server ntp2.example.com
3. Настройте автозагрузку и запустите сервис:
sudo systemctl enable ntpd && sudo systemctl start ntpd
4. Выполните проверку:
ntpq -p
Настройка Chrony:
Chrony — современное решение для синхронизации с поддержкой работы в условиях нестабильных сетей. В ALT Linux включен по умолчанию. Для настройки выполните следующие шаги:
1. Установите пакет, настройте автозагрузку и запустите сервис:
sudo apt-get update && sudo apt-get install chrony
sudo systemctl enable --now chronyd
2. Откройте файл "/etc/chrony.conf" и укажите NTP-серверы или пулы:
server ntp1.example.com iburst
server ntp2.example.com iburst
или
pool pool.ntp.org iburst
где:
iburst — ускорение начальной синхронизации;
server — использование отдельных серверов;
pool — использование пула серверов.
3. Перезапустите сервис:
sudo systemctl restart chronyd
4. Выполните проверку статуса и просмотрите лог:
chronyc sources -v
chronyc tracking
journalctl -u chronyd
Настройка systemd-timesyncd:
systemd-timesyncd — это легковесный клиент, интегрированный в systemd. Для настройки выполните следующие шаги:
1. Установите пакет:
sudo apt-get update && sudo apt-get install systemd-timesyncd
2. Активируйте сервис:
sudo timedatectl set-ntp true
3. Отредактируйте "/etc/systemd/timesyncd.conf":
[Time]
NTP=ntp1.example.com ntp2.example.com
4. Примените изменения:
sudo systemctl restart systemd-timesyncd
5. Выполните проверку:
timedatectl show-timesync
Настройка ntpd (устаревший метод):
NTPd — это классическая реализация NTP. Для настройки этого метода выполните следующие шаги:
1. Установите пакет:
sudo apt-get update && sudo apt-get install ntp
2. Отредактируйте конфигурационный файл "/etc/ntp.conf":
server ntp1.example.com
server ntp2.example.com
3. Настройте автозагрузку и запустите сервис:
sudo systemctl enable ntpd && sudo systemctl start ntpd
4. Выполните проверку:
ntpq -p
четверг, 15 мая 2025 г.
ALT Linux: Настройка подключения по SSH для пользователя "root"
Для настройки выполните следующие шаги:
1. Установите или проверьте, что установлен пакет "openssh":
sudo apt-get install openssh
2. Отредактируйте конфигурационный файл:
sudo nano /etc/openssh/sshd_config
Раскомментируйте и установите значение в "yes" параметра "PermitRootLogin".
3. Перезапустите демон:
sudo systemctl restart sshd
Если служба была не запущена - включите и запустите:
sudo systemctl enable --now sshd
4. Пробуйте установить подключение по SSH пользователем "root".
1. Установите или проверьте, что установлен пакет "openssh":
sudo apt-get install openssh
2. Отредактируйте конфигурационный файл:
sudo nano /etc/openssh/sshd_config
Раскомментируйте и установите значение в "yes" параметра "PermitRootLogin".
3. Перезапустите демон:
sudo systemctl restart sshd
Если служба была не запущена - включите и запустите:
sudo systemctl enable --now sshd
4. Пробуйте установить подключение по SSH пользователем "root".
четверг, 10 апреля 2025 г.
ALT Linux: Различные способы настройки сетевых интерфейсов
Для просмотра драйверов сетевых адаптеров выполните:
lspci -k | grep -A2 Ethernet
Список сетевых интерфейсов можно увидеть командой:
ls /sys/class/net
Допустим наш интерфейс называется "ens33".
Настройки интерфейсов с помощью утилиты "ip".
ip link show #Просмотр сетевых подключений
ip -s l #Просмотр статистики по отправленным/полученным пакетам
ip address show #Просмотр конфигурации TCP/IP
ip link set dev ens33 up #Включение интерфейса, если он был выключен
ip address flush dev ens33 #Сброс конфигурации интерфейса
ip addr add 192.168.0.5/24 broadcast + dev ens33 #Установка IP и маски
ip addr del 192.168.0.5/24 dev ens33 #Удаление IP и маски (в случае ошибки)
ip route show #Просмотр таблицы маршрутизации
ip route add default via 192.168.0.1 dev ens33 #Установка шлюза по умолчанию
ip route delete default #Удаление шлюза по умолчанию
ip route add 192.168.10.0/24 via 192.168.0.254 dev ens33 #Добавление маршрута
ip route del 192.168.10.0/24 dev ens33 #Удаление маршрута
echo "nameserver 192.168.0.1 8.8.8.8" | sudo tee /etc/resolv.conf #Добавление DNS
Данные настройки являются временными и будут работать до перезагрузки ОС.
Настройка сетевой подсистемы "Etcnet".
1. Установите пакет и запустите службу:
sudo apt-get install etcnet
sudo systemctl enable --now network
2. Для настройки интерфейса необходимо создать или отредактировать уже имеющийся файлы в директории "/etc/net/ifaces/ens33/", где "ens33" - имя сетевого интерфейса.
В файле "options" настройте следующие параметры:
Для DHCP:
BOOTPROTO=dhcp #Использует DHCP
TYPE=eth
CONFIG_WIRELESS=no
SYSTEMD_BOOTPROTO=dhcp4
CONFIG_IPV4=yes #Включает поддержку IPv4 для интерфейса.
DISABLED=no #Yes-когда не используется Etcnet
NM_CONTROLLED=no #Yes-когда используется NetworkManager
SYSTEMD_CONTROLLED=no #Yes-когда используется Systemd-Networkd
ONBOOT=yes #Активирует интерфейс при загрузке системы.
Для статического IP:
BOOTPROTO=static #Использует статический IP
TYPE=eth
CONFIG_WIRELESS=no
SYSTEMD_BOOTPROTO=static
CONFIG_IPV4=yes #Включает поддержку IPv4 для интерфейса.
DISABLED=no #Yes-когда не используется Etcnet
NM_CONTROLLED=no #Yes-когда используется NetworkManager
SYSTEMD_CONTROLLED=no #Yes-когда используется Systemd-Networkd
ONBOOT=yes #Активирует интерфейс при загрузке системы.
Создайте рядом файл "ipv4address" со следующим содержимым:
192.168.0.5/24 #IP и маска
Создайте рядом файл "ipv4route" со следующим содержимым:
default via 192.168.0.1 #Шлюз по умолчанию
192.168.10.0/24 via 192.168.0.254 #Статические маршруты
Создайте рядом файл "resolv.conf" со следующим содержимым:
nameserver 192.168.0.1 #DNS1
nameserver 8.8.8.8 #DNS2
3. Перезапустите интерфейс:
sudo ifdown ens33 && sudo ifup ens33
или службу:
sudo systemctl restart network
4. Выполните проверки настроек:
ip address show
ip route show
resolvconf -l
При необходимости удаления компонентов "Etcnet" выполните:
sudo apt-get remove etcnet
sudo rm -f /etc/net
sudo rm -f /etc/resolv.conf #Удалить симлинк
Настройка сетевой подсистемы "NetworkManager".
1. Установите NetworkManager:
sudo apt-get install NetworkManager
2. Включите и запустите службу:
sudo systemctl enable --now NetworkManager
3. Сконфигурируйте сетевой интерфейс с помощью терминальной утилиты "nmtui" ("sudo apt-get install NetworkManager-tui") или в командной строке утилитой "nmcli":
Просмотр:
nmcli con show #Просмотр сетевых подключений
nmcli dev show ens33 #Просмотр активного соединения на "ens33"
nmcli con show 'Wired connection 1' #Просмотр параметров подключения
Настройки для DHCP:
nmcli con mod 'Wired connection 1' ipv4.method auto
nmcli con mod 'Wired connection 1' ipv4.addresses "" ipv4.gateway ""
nmcli con mod 'Wired connection 1' ipv4.dns ""
nmcli con mod 'Wired connection 1' ipv4.routes ""
nmcli con up 'Wired connection 1'
Настройки для статического IP:
nmcli con mod 'Wired connection 1' ipv4.addresses 192.168.0.5/24
nmcli con mod 'Wired connection 1' ipv4.gateway 192.168.0.1
nmcli con mod 'Wired connection 1' ipv4.dns "192.168.0.1 8.8.8.8"
nmcli con mod 'Wired connection 1' +ipv4.routes "192.168.10.0/24 192.168.0.254"
nmcli con mod 'Wired connection 1' ipv4.method manual
nmcli con up 'Wired connection 1'
4. Выполните проверки настроек:
ip address show
ip route show
resolvconf -l
При необходимости удаления компонентов "NetworkManager" выполните:
sudo apt-get remove NetworkManager openresolv
sudo rm -rf /etc/NetworkManager/ #Удалить основные настройки
sudo rm -rf /var/lib/NetworkManager/ #Удалить служебные данные
sudo rm -f /etc/resolv.conf #Удалить симлинк
Настройка сетевой подсистемы "systemd-networkd".
1. Установите службы "systemd-networkd" и "systemd-resolved", добавьте их в автозапуск:
sudo apt-get install systemd-networkd
sudo systemctl enable --now systemd-networkd
sudo systemctl enable --now systemd-resolved
2. Создайте файл конфигурации (расширение ".network" обязательно):
sudo nano /etc/systemd/network/20-wired.network
Настройки для DHCP:
[Match]
Name=ens33
[Network]
DHCP=ipv4
Настройки для статического IP:
[Match]
Name=ens33
[Network]
Address=192.168.0.5/24
Gateway=192.168.0.1
DNS=192.168.0.1 8.8.8.8
[Route]
Destination=192.168.10.0/24
Gateway=192.168.0.254
Metric=10 #Опционально
3. Перезапустите службу:
sudo systemctl restart systemd-networkd
4. Выполните проверки настроек:
ip address show
ip route show
resolvectl
При необходимости удаления компонентов "systemd-networkd" выполните:
sudo systemctl stop systemd-networkd systemd-resolved
sudo apt-get remove systemd-networkd
sudo rm -rf /etc/systemd/network/* #Удалить конфигурации сетевых интерфейсов
sudo rm -f /etc/resolv.conf #Удалить симлинк
Общие рекомендации!!!
Для простых конфигураций серверов и виртуальных машин используйте "systemd-networkd", все остальные модули рекомендуется в этом случае удалить:
sudo apt-get remove etcnet NetworkManager openresolv dhcpcd
sudo rm -rf /etc/net #Удалить настройки Etcnet
sudo rm -rf /etc/NetworkManager/ #Удалить основные настройки NM
sudo rm -rf /var/lib/NetworkManager/ #Удалить служебные данные NM
sudo rm -f /etc/resolv.conf #Удалить симлинк
понедельник, 7 апреля 2025 г.
Arch Linux: Изменение локали, русификация консоли
Чтобы русифицировать консоль в Arch Linux для вывода сообщений на русском языке, а также корректного отображения кириллицы, выполните следующие шаги по настройке:
1. Настройте конфигурацию локали системы:
sudo nano /etc/locale.gen
Раскомментируйте: "ru_RU.UTF-8 UTF-8"
2. Сгенерируйте новый список локалей:
sudo locale-gen
3. Установите локаль по умолчанию:
sudo nano /etc/locale.conf
Укажите:
LANG=ru_RU.UTF-8
LC_CTYPE=ru_RU.UTF-8
4. Установите шрифт с поддержкой кириллицы (например "terminus-font"):
sudo pacman -S terminus-font
5. Для проверки отображения шрифта измените текущий консольный шрифт на новый (например "ter-v22b"; обозначения: 22 - размер, b - жирный, n - нормальный):
sudo setfont ter-v22b
6. Выведите таблицу символов нового шрифта:
sudo showconsolefont
7. Добавьте шрифт в автозагрузку:
sudo nano /etc/vconsole.conf
Укажите:
FONT=ter-v22b #Шрифт Terminus (кириллица)
KEYMAP=ru #Раскладка клавиатуры: русская
FONT_MAP=8859-5 #Использовать кодировку ISO 8859-5
8. Обновите initramfs:
sudo mkinitcpio -P
9. Настройте параметры ядра для типа загрузки "systemd-boot":
sudo nano /boot/loader/loader.conf
Добавьте параметры в конец файла:
vconsole.font=ter-v22b
vconsole.keymap=ru
Подписаться на:
Сообщения (Atom)