#firewall VNC
#Открыть порты
#брандмауэр
#firewall

ufw allow from 10.0.80.0/24 to any port 5900:5910 proto tcp

#корневой сертификат
#минцифры

Чтобы проверить, что ваш хост Linux не может проверить (и соответственно не доверяет) SSL сертификату на определенном сайте, выполните команду:

curl –I https://www.sberbank.ru

Скопируйте файлы ваших сертификаты в хранилище сертификатов в каталог usr/local/share/ca-certificates/:

sudo cp my_trusted_sub_ca.crt /usr/local/share/ca-certificates/
sudo cp my_trusted_root_ca.crt /usr/local/share/ca-certificates/

Обновите хранилище сертификатов командой:
sudo update-ca-certificates -v

#Удаление IIS Web Server
Uninstall-WindowsFeature -remove Web-Server

#Восстановление системных файлов windows
Ошибка DISM 0x800f081f: Не удалось найти исходные файлы…

Достаточно скопировать файл install.wim из дистрибутива в корень диска С.
ВНИМАНИЕ: все окна проводника Windows закрыть.
После этого запускаем консоль cmd от имени администратора и проверяем список выпусков Windows:

cd\
dism /Get-WimInfo /WimFile:install.wim

Нужно очистить собственное хранилище компонентов от установленных ранее «обновлённых» файлов:

DISM /Online /Cleanup-Image /StartComponentCleanup

Следуем стандартной процедуре анализа состояния образа Windows и применению исправления ошибок:

DISM /Online /Cleanup-Image /AnalyzeComponentStore
DISM /Online /Cleanup-Image /RestoreHealth /Source:WIM:c:\install.wim:4 /LimitAccess

По окончании работ, запускаем проверку системных файлов:

sfc /scannow

Если не помогло, ставим через мастер нужные компоненты, указываем расположение ресурсов:
WIM:D:\sources\install.wim:4

#СКУД
#контроллеры
Для доступа в панель необходимо:
http://127.0.0.1:8075
(по умолчанию логин и пароль «Администратора» установлен 1, 1)

Команда «Выполнить»
- введенному контроллеру необходимо изменить сетевые настройки:
setnetparam=192.168.1.100;255.255.255.0;192.168.1.1
- изменяет значение ip-адреса контроллера, по которому программа с ним работает, т.е значение внутри самой базы:
updateip=192.168.1.100

- отключение проверки компьютера-хозяина по MAC-адресу:
sendhex=8b000201
- при необходимости изменить порт связи с уже введенным в систему контроллером. Например, когда есть несколько контроллеров размещенных в другой локальной сети:
updateport=7720

#СЕРВЕР ВМ ДЛЯ МИНИОФИСА

Статья не является инструкцией, а всего лишь дает выкладку основных этапов!

1. Скачиваем дистрибутив Ubuntu Server 22.04.02 LTS

https://ubuntu.com/download/server

2. Устанавливаем ОС, не забывая про OpenSSH Server

Обновляем систему:

sudo apt update
sudo apt upgrade

Расширим lvm если требуется:

lvdisplay
lvextend -l +100%FREE /dev/ubuntu-vg/ubuntu-lv
resize2fs /dev/ubuntu-vg/ubuntu-lv

3. Настраиваем сетевой мост с помощью netplan

Определяем основной сетевой интерфейс:

ip addr show

Правим конфигурационный файл:

/etc/netplan/00-installer-config.yaml

В зависимости от задачи задаем статический или динамический IP-адрес на интерфейс сетевого моста.

Пример статического IP:

network:
  version: 2
  renderer: networkd

  ethernets:
    enp5s0:
      dhcp4: false
      dhcp6: false

  bridges:
    br0:
      interfaces: [enp5s0]
      addresses: [192.168.100.2/24]
      routes:
      - to: default
        via: 192.168.100.1
        metric: 100
        on-link: true
      mtu: 1500
      nameservers:
        addresses: [192.168.100.1]
      parameters:
        stp: true
        forward-delay: 4
      dhcp4: no
      dhcp6: no

Пример динамического IP:

network:
  version: 2
  renderer: networkd

  ethernets:
    enp5s0:
      dhcp4: false
      dhcp6: false

  bridges:
    br0:
      interfaces: [enp5s0]
      mtu: 1500
      parameters:
        stp: true
        forward-delay: 4
      dhcp4: yes
      dhcp6: no

Для проверки конфигурационного файла вводим:

netplan --debug generate

Для применения настроек вводим:

netplan apply

4. Создание программного RAID массива

Посмотреть список дисков, подключенных к системе можно с помощью команды lsblk

Необходимо определиться стоит ли размещать RAID непосредственно на диски или на разделы.
Необходимо определиться использовать ли lvm для ВМ.

Создадим таблицу разделов на всех выбранных дисках:

sudo parted /dev/sda mklabel msdos
sudo parted /dev/sdb mklabel msdos
sudo parted /dev/sdc mklabel msdos

Два наиболее часто используемых типа таблиц разделов - это gpt и msdos.

Создадим разделы:

sudo parted /dev/sda mkpart primary ext4 2048 930Gb
sudo parted /dev/sdb mkpart primary ext4 2048 930Gb
sudo parted /dev/sdc mkpart primary ext4 2048 930Gb

Устанавливаем утилиту mdadm:

sudo apt install mdadm

Массив собирается командой:

mdadm --create --verbose /dev/md0 -l 5 -n 3 /dev/sd{a1,b1,c1}

Форматируем полученный раздел в файловую систему Ext4:

sudo mkfs -t ext4 /dev/md0

Посмотреть детальную информацию о массиве /dev/md0 можно с помощью утилиты mdadm:

sudo mdadm --detail /dev/md0

Чтобы убедиться, что при загрузке сервера массив загружается автоматически, нужно отредактировать файл /etc/mdadm/mdadm.conf. Вы можете автоматически сканировать активный массив и добавить данные в файл:

sudo mdadm --detail --scan | sudo tee -a /etc/mdadm/mdadm.conf

После этого вы можете обновить initramfs или исходную файловую систему RAM, чтобы массив был доступен во время загрузки:

sudo update-initramfs -u

Добавьте новые параметры монтирования файловой системы в файл /etc/fstab для поддержки автоматического монтирования при загрузке:

echo '/dev/md0 /mnt/md0 ext4 defaults,nofail,discard 0 0' | sudo tee -a /etc/fstab

5. Устанавливаем KVM

Если полученный результат больше 0, это означает, что KVM совместим с системой и может быть установлен:

egrep -c '(vmx|svm)' /proc/cpuinfo

Необходимые пакеты для KVM:

sudo apt install qemu-kvm libvirt-daemon-system virtinst libvirt-clients bridge-utils

sudo systemctl enable libvirtd
sudo systemctl start libvirtd
sudo systemctl status libvirtd

Добавить своего пользователя в группу KVM и Libvirt:

sudo usermod -aG kvm $USER
sudo usermod -aG libvirt $USER

При использовании менеджера виртуальных машин открываем порты VNC:
ufw allow from 10.0.80.0/24 to any port 5900:5910 proto tcp

#Установка контроллера домена на Windows Server

Статья не является инструкцией, а всего лишь дает выкладку основных этапов!

1. Задать статический IP, отключить IPv6
2. Установка роли Доменные службы Active Directory
3. Повысить роль текущего сервера до контроллера домена (в разделе Results есть ссылка Promote this server to domain controller, выбрать “Добавить новый лес”)
4. Для начала установки роли контроллера домена нажимаем Install
- Наша учётная запись теперь стала доменной
- Видим, что на сервере автоматически поднялась служба DNS, добавилась и настроилась доменная зона corp.mydomain.ru, созданы A-записи для контроллера домена, прописан NS сервер.
- На значке сети отображается предупреждение, по сетевому адаптеру видно, что он не подключен к домену. Дело в том, что после установки роли контроллера домена DNS сервер в настройках адаптера сменился на 127.0.0.1, а данный адрес не обслуживается DNS сервисом.
- Сменим 127.0.0.1 на статический IP адрес контроллера домена
- Теперь сетевой адаптер правильно отображает домен, предупреждение в трее на значке сети скоро пропадёт.
5. Запускаем оснастку Active Directory Users and Computers
- Правой кнопкой на корень каталога, New > Organizational Unit.
- Создаем корневую папку для нашей компании. При создании можно установить галку, которая защищает от случайного удаления.

#Публикация баз данных 1С:Предприятие на веб-сервере (IIS)

Статья не является инструкцией, а всего лишь дает выкладку основных этапов!

1. Устанавливаем веб-сервер Internet Information Server, который по умолчанию входит в поставку Microsoft Windows Server.

Install-WindowsFeature -name Web-Server -IncludeManagementTools

2. Установка клиента 1С, при установке выбираем компоненты «1С: Предприятие 8» и «Модули расширения веб-сервера»

3. После установки добавляем в список информационных баз нужную нам базу и запускаем в режиме конфигуратора, выполняем действие – «Администрирование» – «публикация на веб-сервере», нажимаем кнопку опубликовать.

4. Делаем отдельный пул приложений. Назовем его 1c-32x и разрешим ему запуск 32-х битных приложений (“Разрешены 32-разрядные приложения: True”). Назначаем сайту пул приложений “1c-32x”.

PS. Настройка аутентификации Windows при расположении веб-сервера IIS и рабочих серверов на разных машинах
https://its.1c.ru/db/metod8dev/content/5944/hdoc
оставить только NTLM-аутентификацию. После этого и тонкий, и веб клиент проходят sso-аутентификацию без проблем.
https://forum.infostart.ru/upload/forum/upload/f09/f09405763ed4b5793829404ecd724a35

Если получаем ошибку доступа к файлам:
Диспетчер IIS -> Проверка подлинности -> Анонимная проверка подлинности -> Изменить -> Удостоверение пула приложений -> Указанный пользователь (пользователь с правом доступа к сетевому каталогу с БД)

#ТЕРМИНАЛЬНЫЙ СЕРВЕР БЕЗ ДОМЕНА

Статья не является инструкцией, а всего лишь дает выкладку основных этапов!

1. Роль Remote Desktop Licensing

Для установки сервиса удаленных рабочих столов предусмотрен специальный мастер, но поскольку сервер не в домене, выбираем “Установка ролей или компонентов”:
- службы удаленных рабочих столов
- службы ролей (лицензирование удаленных рабочих столов)

2. Диспетчер лицензирования удаленных рабочих столов
- активируем в автоматическом режиме
- устанавливаем лицензии (соглашение enterprise agreement),
номер соглашения 4965437
- клиентская лицензия на устройство

3. Remote Desktop Session Host
Remote Desktop Services - средство лицензирования удаленных рабочих столов:
- задаем режим лицензирования
gpedit.msc
Конфигурация компьютера - Административные шаблоны - Компоненты windows - Службы удаленных рабочих столов - Узел сеансов удаленных рабочих столов - Лицензирование
1) Использовать указанные серверы лицензирования: localhost
2) Задать режим лицензирования: на устройство

4. Создаем пользователей и добавляем их в группу “Пользователи удаленного рабочего стола”

#Файловый сервер на Windows Server

Статья не является инструкцией, а всего лишь дает выкладку основных этапов!

1. Управление - Добавить роли и компоненты
2. Файловые службы и службы хранилища
- Службы хранения;
- Файловый сервер;

#Создание бота telegramm, отправка сообщения в группу
1) Зарегистрировать бота и получить его уникальный id через специальный бот - @BotFather.

/start
/newbot

- указать имя бота
- дублировать название бота, но только суффиксом _bot
(BotFather возвращает токен бота и ссылку для быстрого добавления бота в контакты)
- проверить полученный токен с помощью ссылки: api.telegram.org/bot<TOKEN>/getMe
2) создать чат и добавить бота
3) получить id нашего бота:

- https://api.telegram.org/botXXXXXXXXXXXXXXXXXX/getUpdates

(вместо символов X нужно подставить токен)
4) активировать бота:
/join
5) обновить страницу, чтобы сделать повторный запрос:
- записать фрагмент кода - id вашего бота, нужен id со знаком минус: "my_chat_member":{"chat":{"id":-594377170, ...
6) отправить сообщение боту в Telegram:

https://api.telegram.org/botTOKEN/sendMessage?chat_id=charID&text=test

(https://api.telegram.org/bot6044510454:AAHz-t6H0cbBFDi4y4SFe3wcU2CqqNd5w98/sendMessage?chat_id=-1001843821443&text=test)

#Синхронизация времени \ Домен
#DC
#w32tm

w32tm /config /syncfromflags:manual /manualpeerlist:"0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org" /reliable:yes /update

net stop w32time
net start w32time
w32tm /resync /force

w32tm /monitor

#микротик
#ovpn

Корневой сертификат

/certificate 
add name=ca country="RU" state="31" locality="SML" organization="Biskvit LLC" unit="IT" common-name="ca" key-size=2048 days-valid=3650 key-usage=crl-sign,key-cert-sign 
sign ca ca-crl-host=127.0.0.1

Сертификат и закрытый ключ сервера
/certificate
add name=ovpn-server country="RU" state="67" locality="SML" organization="Biskvit LLC" unit="IT" common-name="ovpn-server" key-size=2048 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server
sign ovpn-server ca="ca"

Клиентские сертификаты
:local myNAME;
:set myNAME "user1";

/certificate
add name=$myNAME country="RU" state="67" locality="SML" organization="Biskvit LLC" unit="IT" common-name="$myNAME" key-size=2048 days-valid=3650 key-usage=tls-client
sign $myNAME ca="ca"

Экспорт сертификата
:local myNAME;
:set myNAME "user1";

/certificate
export-certificate $myNAME type=pem export-passphrase=XXXXXXXX

Новый пул адресов для выдачи клиентов

/ip pool
add name=ovpn_pool0 ranges=10.0.80.41-10.0.80.60

Новый профиль ovpn

/ppp profile
add local-address=10.0.80.1 name=ovpn remote-address=ovpn_pool0

Добавление пользователя ovpn
:local myNAME;
:set myNAME "user1";
:local myPSWRD;
:set myPSWRD "BISu\$er1";

/ppp secret
add name=$myNAME password=$myPSWRD profile=ovpn service=ovpn

Включить аутентификацию по пользователю
/ppp aaa
set accounting=yes

Включить службу ovpn
/interface ovpn-server server
set auth=sha1 certificate=ovpn-server cipher=aes256 default-profile=ovpn enabled=yes require-client-certificate=yes

Разрешить входящие подключения к OpenVPN серверу
/ip firewall filter
add action=accept chain=input dst-port=1194 protocol=tcp

Конфигурационный файл клиента
client
dev tun
proto tcp

remote XX.XXX.XXX.XXX 1194

resolv-retry infinite
nobind
persist-key
persist-tun



ca ca.crt

cert cert_export_user1.crt
key cert_export_user1.key

remote-cert-tls server
cipher AES-256-CBC
verb 4
auth-user-pass pass.txt
auth-nocache
tls-client
auth SHA1
route 10.0.80.0 255.255.0.0
route 192.168.1.0 255.255.255.0

#Видеорегистратор
#Novicam pro
#TR1008
Адрес сервера P2P:
dev.guardingvisionru.com
Наблюдение через приложение:
iVMS 4.5. PRO

#браузер Яндекс для организаций
Поддержка российских ОС и электронных подписей КриптоПро.
https://browser.yandex.ru/corp

#Установка и настройка Windows 11 без подключения к Интернету и без аккаунта Microsoft

Shift+F10

OOBE\BYPASSNRO

Не нули, а буква

#не запускается сервис mysql

Can't start server : Bind on unix socket: Address already in use
Do you already have another server running on socket: /tmp/mysql.sock

Нужно передать все права на файл пользователю и группе mysql:

sudo chown mysql:mysql /var/run/mysqld/

Ссылка на ресурс:
https://www.8host.com/blog/ustranenie-oshibok-soketov-v-mysql/

#восстановление загрузчика windows 10

diskpart
list volume

UEFI и GPT: скрытый раздел FAT32 (99-300 Мб)
BIOS и MBR: NTFS (500 Мб)

select volume N

format fs=fat32

или

format fs=ntfs

assign letter=Z
exit
bcdboot C:\Windows /s Z: /f ALL

(где C: — диск с файлами Windows, Z: — буква диска присвоенная скрытому разделу).

diskpart
list volume
select volume N

(N - номер скрытого тома, которому присвоена буква диска)

remove letter=Z

(удаляем букву диска назначенную скрытому разделу).

exit

#Копирование сертификатов
#Копирование сертификатов ФНС РуТокен

1) диспетчер сертификатов

certmgr.msc

ПКМ > сертификат > Все задачи > Экспорт (экспортировать закрытый ключ)

2) реестр
текущий пользователь

HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My

либо
по SID пользователя

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

- выбрать SID(имеет вид, например, S-1-5-21-1993962763-492894223-1202660629-6195), и посмотреть ProfileImagePath, в конце строки имя пользователя, которому принадлежит этот SID.
- экспортировать ветку HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS\SID_текущего_пользователя\Keys в reg файл
- для 64-битных систем это HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\SID_текущего_пользователя\Keys

в экпортированном reg-файле поменять SID_текущего_пользователя старый на нового.
- запускаете reg файл
- установить личные сертификаты для привязки сертификатов к контейнерам.

3) утилиты CertFix (обязательно версия 2.7) и Token.exe
- экспортировать сертификат с рутокена на USB накопитель с помощью Token.exe
- отключить доступ в интернет для CertFix
- на сертификат shift+ПКМ > Сделать экспортируемым (файловая система)

#Очистка системы Ubuntu

1) Очистка пакетов
Удалить неиспользуемые пакеты из кэша:

sudo apt autoclean

Очистка кэша в Ubuntu, утилиты apt:

sudo apt clean

Удаление ненужных зависимостей:

sudo apt autoremove

2) Старые версии snap пакетов (по умолчанию, это три):

sudo snap set system refresh.retain=3

3) Старые пакеты программ:

dpkg -l | awk '/^rc/ {print $2}' | xargs sudo dpkg --purge

или

sudo aptitude purge ~c