🕐 Синхронизация времени Active Directory с внешним NTP источником времени
В Active Directory домене используется строгая иерархическая схема синхронизации времени:
🔹PDC-эмулятор (в корневом домене) является основным источником времени домена
🔹Остальные DC получают время от PDC-эмулятора
🔹Рядовые рабочие станции и сервера берут время у ближайшего контроллера домена
⚙️По умолчанию PDC синхронизирует время с аппаратными часами физического сервера (гипервизора, если DC запущен на ВМ). Соответственно, если время на аппаратных часах неточное, это может вызвать проблемы при взаимодействии со внешними системами. Поэтому нужно обязательно настроить синхронизацию времени на PDC с внешним надежным источников времени (NTP) и отключить синхронизацию с локальными часами/гипервизором.
✅В этой статье мы рассмотрели, как правильно настроить синхронизацию времени в домене, и что делать если что-то работает некорректно.
Настройка синхронизации времени в домене Active Directory
В Active Directory домене используется строгая иерархическая схема синхронизации времени:
🔹PDC-эмулятор (в корневом домене) является основным источником времени домена
🔹Остальные DC получают время от PDC-эмулятора
🔹Рядовые рабочие станции и сервера берут время у ближайшего контроллера домена
⚙️По умолчанию PDC синхронизирует время с аппаратными часами физического сервера (гипервизора, если DC запущен на ВМ). Соответственно, если время на аппаратных часах неточное, это может вызвать проблемы при взаимодействии со внешними системами. Поэтому нужно обязательно настроить синхронизацию времени на PDC с внешним надежным источников времени (NTP) и отключить синхронизацию с локальными часами/гипервизором.
✅В этой статье мы рассмотрели, как правильно настроить синхронизацию времени в домене, и что делать если что-то работает некорректно.
Настройка синхронизации времени в домене Active Directory
🗝Сбросить забытый пароль к IPMI для сервера Supermicro (или изменить стандартный
🔹 Получить список пользователей:
🔹 Изменить пароль пользователя с ID 2:
Сброс пароля IPMI на серверах Supermicro
За статью спасибо Alex.
ADMIN/ADMIN) можно непосредственно из установленной на сервере операционной системы с помощью утилиты IPMICFG. Эта утилита позволяет изменять базовые настройки контроллера управления сервером (Supermicro Baseboard Management Controller, BMC), в том числе настройки сети, управлять пользователями и ролями. IPMICFG доступна как для Linux, так и для Windows.🔹 Получить список пользователей:
IPMICFG-Win.exe -user list
🔹 Изменить пароль пользователя с ID 2:
IPMICFG-Win.exe -user setpwd 2 mypasswdd
Сброс пароля IPMI на серверах Supermicro
За статью спасибо Alex.
Диагностика и исправление неполадок в WMI репозитории Windows
📚 WMI это одна из ключевых подсистем Windows, и если она неисправна, на компьютере могут наблюдаться проблемы с работой служб, получением системной информации от WMI провайдеров, выполнением скриптов и ошибки в работе сторонних приложений. WMI репозиторий это база данных, в которой хранятся статические данные, об объектах, такие как классы, определенные поставщиками WMI.
🔹 Проверим работу WMI с помощью простого тестового запроса из PowerShell:
🔹Проверить целостность WMI репозитория:
✅ Скрипт полного сброса WMI репозитория (
WMI: Исправление ошибок, восстановление репозитория в Windows
📚 WMI это одна из ключевых подсистем Windows, и если она неисправна, на компьютере могут наблюдаться проблемы с работой служб, получением системной информации от WMI провайдеров, выполнением скриптов и ошибки в работе сторонних приложений. WMI репозиторий это база данных, в которой хранятся статические данные, об объектах, такие как классы, определенные поставщиками WMI.
🔹 Проверим работу WMI с помощью простого тестового запроса из PowerShell:
Get-CimInstance Win32_OperatingSystem
🔹Проверить целостность WMI репозитория:
winmgmt /verifyrepository
✅ Скрипт полного сброса WMI репозитория (
%SystemRoot%\System32\Wbem\Repository), перерегистрации библиотек WMI, службы и перекомпиляции MOF файлов приведен в статье. Мы подробно рассмотрели выполнить диагностику работоспособности WMI и исправить типовые проблемы, если WMI репозиторий поврежден.WMI: Исправление ошибок, восстановление репозитория в Windows
📚 По умолчанию на Windows устройствах, DNS запросы к серверу являются предпочтительным способом резолвинга имен. Но если DNS сервер отсутствует/не доступен/не нашел запрошенную запись, Windows будет пытаться использовать альтернативные способы разрешения имен, такие как:
🔹 MulticastDNS (mDNS)
🔹 Link-Local Multicast Name Resolution (LLMNR)
🔹 NetBIOS (NBNS)
Все эти три способа разрешения имен включены по умолчанию, и отлично работают для разрешения имен в простой локальной сети (рабочей группе), в которой отсутствует собственный внутренний DNS сервер.
⚠️ Однако в доменной сети, в которой DNS сервис, по сути является гарантированным, особенности этих протоколов могут быть использованы злоумышленником в LAN для реализации спуфинг, relay и MITM атак, что потенциально может привести к перехвату паролей/хэшей.
✅ Отключаем широковещательные протоколы (mDNS, LLMNR, NetBIOS) на компьютерах в домене Windows
🔹 MulticastDNS (mDNS)
🔹 Link-Local Multicast Name Resolution (LLMNR)
🔹 NetBIOS (NBNS)
Все эти три способа разрешения имен включены по умолчанию, и отлично работают для разрешения имен в простой локальной сети (рабочей группе), в которой отсутствует собственный внутренний DNS сервер.
⚠️ Однако в доменной сети, в которой DNS сервис, по сути является гарантированным, особенности этих протоколов могут быть использованы злоумышленником в LAN для реализации спуфинг, relay и MITM атак, что потенциально может привести к перехвату паролей/хэшей.
✅ Отключаем широковещательные протоколы (mDNS, LLMNR, NetBIOS) на компьютерах в домене Windows
🔐По умолчанию для службы RDP генерируются самоподписанные сертификаты. Это не несет существенных рисков безопасности, но может раздражать пользователей появлением сообщения о невозможности проверки подлинности сертификата.
✅ В статье мы рассмотрели, как в Windows вручную заменить (установить) сертификат RDP (в том числе на сертификат, полученный от Let’s Encrypt) или создать шаблон для автоматического выпуска RDP сертификатов на внутреннем CA.
Настройка SSL/TLS сертификатов для защиты RDP подключений
✅ В статье мы рассмотрели, как в Windows вручную заменить (установить) сертификат RDP (в том числе на сертификат, полученный от Let’s Encrypt) или создать шаблон для автоматического выпуска RDP сертификатов на внутреннем CA.
Настройка SSL/TLS сертификатов для защиты RDP подключений
⚙️Небольшая заметка о расширении корневого тома на гипервизоре Proxmox. По умолчанию установщик Proxmox создает одну LVM группу из трех томов:
🔹 data
🔹 swap (/dev/pve/swap)
🔹 root (/dev/pve/root)
✅Мы рассмотрели варианты расширения корневого тома на Proxmox хосте за счет неиспользуемого места на диске, или за счет удаления data тома, если вы храните ВМ на другом диске/ внешнем хранилище (раздел data имеет тип LVM-thin и используется по-умолчанию для хранения файлов дисков виртуальных машин).
Расширение корневого раздела (LVM) в Proxmox
🔹 data
🔹 swap (/dev/pve/swap)
🔹 root (/dev/pve/root)
✅Мы рассмотрели варианты расширения корневого тома на Proxmox хосте за счет неиспользуемого места на диске, или за счет удаления data тома, если вы храните ВМ на другом диске/ внешнем хранилище (раздел data имеет тип LVM-thin и используется по-умолчанию для хранения файлов дисков виртуальных машин).
Расширение корневого раздела (LVM) в Proxmox
🗑Начиная с функционального уровня Windows Server 2008 R2, в Active Directory доступна корзина для простого восстановления (случайно или не очень случайно) удаленных объектов.
📚Главное преимущество AD Recycle Bin - она позволяет восстановить удаленный объект вместе со всеми атрибутами (свойствами, группами доступа) в течении времени 180 дней ( значение по-умолчанию, задается на уровне домена в атрибуте
Корзина AD по умолчанию отключена. Перед ее включением нужно учитывать следующие моменты:
🔹 Включение корзины AD – необратимый шаг, который влечет изменение схемы каталога (отключить корзину нельзя)
🔹 В момент включения корзины ранее удаленные tombstone-объекты превратятся в recycled-объекты, и восстановить их после этого будет уже невозможно.
✅ В статье рассмотрены оба сценария восстановления удаленного пользователя, когда AD Recycle Bin включена и когда нет.
Восстановление удаленных объектов в Active Directory
📚Главное преимущество AD Recycle Bin - она позволяет восстановить удаленный объект вместе со всеми атрибутами (свойствами, группами доступа) в течении времени 180 дней ( значение по-умолчанию, задается на уровне домена в атрибуте
msDS-DeletedObjectLifetime). В лесе AD с отключенной корзиной технически восстановить удаленный объект также возможно, но при этом у него будут утрачены большинство атрибутов (кроме базовых, таких как GUID, SID, CN).Корзина AD по умолчанию отключена. Перед ее включением нужно учитывать следующие моменты:
🔹 Включение корзины AD – необратимый шаг, который влечет изменение схемы каталога (отключить корзину нельзя)
🔹 В момент включения корзины ранее удаленные tombstone-объекты превратятся в recycled-объекты, и восстановить их после этого будет уже невозможно.
✅ В статье рассмотрены оба сценария восстановления удаленного пользователя, когда AD Recycle Bin включена и когда нет.
Восстановление удаленных объектов в Active Directory
Запускаем цикл вебинаров и открытых демонстраций – «Basisный интенсив с Merlion»!
В течение года мы разберем функциональные особенности экосистемы продуктов ведущего российского разработчика решений для оказания облачных услуг, платформы динамической инфраструктуры и виртуализации – Basis:
∙ Basis Dynamix Standard – гибкая платформа управления виртуализацией для контроля гипервизоров и виртуальных ЦОД на базе виртуальных машин.
∙ Basis Dynamix Enterprise – высокопроизводительная платформа на базе динамической инфраструктуры для управления виртуальными серверами и контейнерами.
∙ Basis Workplace – ПО для создания инфраструктуры виртуальных рабочих столов с возможностью выбора сценария использования.
Вы узнаете, как решения помогают управлять виртуальными серверами, обеспечивать контроль гипервизоров и создавать инфраструктуры виртуальных рабочих столов.
Регистрация (https://tglink.io/dc96803896a8?erid=2W5zFJDBNvU) осуществляется 1 раз – и вы получаете доступ ко всей серии вебинаров.
#реклама
О рекламодателе
В течение года мы разберем функциональные особенности экосистемы продуктов ведущего российского разработчика решений для оказания облачных услуг, платформы динамической инфраструктуры и виртуализации – Basis:
∙ Basis Dynamix Standard – гибкая платформа управления виртуализацией для контроля гипервизоров и виртуальных ЦОД на базе виртуальных машин.
∙ Basis Dynamix Enterprise – высокопроизводительная платформа на базе динамической инфраструктуры для управления виртуальными серверами и контейнерами.
∙ Basis Workplace – ПО для создания инфраструктуры виртуальных рабочих столов с возможностью выбора сценария использования.
Вы узнаете, как решения помогают управлять виртуальными серверами, обеспечивать контроль гипервизоров и создавать инфраструктуры виртуальных рабочих столов.
Регистрация (https://tglink.io/dc96803896a8?erid=2W5zFJDBNvU) осуществляется 1 раз – и вы получаете доступ ко всей серии вебинаров.
#реклама
О рекламодателе
📝 Для автоматического логирования всех команд, которые запускаются в PowerShell консоли и/или запускаемых PS1 скриптов в Windows, можно использовать встроенную функцию логирования.
✅ Для запуска/остановки записи всех команд и результатов (всего, что выводится в консоль) из текущего сеанса PowerShell в текстовый файл используются командлеты Start-Transcript и Stop-Transcript. По умолчанию логи пишутся в текстовый файл в профиле пользователя (
✅ С помощью параметра Turn on PowerShell Transcription в групповых политиках можно включить автоматическое логирование всех запускаемых PowerShell команд/скриптов на компьютере.
Добавляем логирование в PowerShell скрипты
✅ Для запуска/остановки записи всех команд и результатов (всего, что выводится в консоль) из текущего сеанса PowerShell в текстовый файл используются командлеты Start-Transcript и Stop-Transcript. По умолчанию логи пишутся в текстовый файл в профиле пользователя (
%userprofile%\Documents). Можно указать произвольный файл лога (допустимо хранить его во внешней сетевой папке на сервере для централизованного сбора ).✅ С помощью параметра Turn on PowerShell Transcription в групповых политиках можно включить автоматическое логирование всех запускаемых PowerShell команд/скриптов на компьютере.
Добавляем логирование в PowerShell скрипты
Виртуальные машины и контейнеры в одном окружении? Да, это реально!
На вебинаре в среду расскажем и покажем, как виртуализация в экосистеме Deckhouse делает возможным запуск виртуальных машин рядом с контейнерами, обеспечивая единое, управляемое Kubernetes-окружение для построения современного частного облака.
🗓 Дата: 23 апреля, среда
⏰ Время: 12:00 (МСК)
📌 Место: Онлайн, нужна регистрация
Обсудим:
🔹 какие возможности по управлению виртуальными машинами есть в Deckhouse;
🔹 для чего нужна совместная работа виртуальных машин и контейнеров;
🔹 какие сценарии виртуализации есть в экосистеме Deckhouse;
🔹 и главное — покажем тестовый стенд и приложение.
✍️ Участники вебинара смогут оставить заявку на тестирование Deckhouse Virtualization Platform или на запуск демоприложения в Deckhouse Kubernetes Platform.
Зарегистрироваться
На вебинаре в среду расскажем и покажем, как виртуализация в экосистеме Deckhouse делает возможным запуск виртуальных машин рядом с контейнерами, обеспечивая единое, управляемое Kubernetes-окружение для построения современного частного облака.
🗓 Дата: 23 апреля, среда
⏰ Время: 12:00 (МСК)
📌 Место: Онлайн, нужна регистрация
Обсудим:
🔹 какие возможности по управлению виртуальными машинами есть в Deckhouse;
🔹 для чего нужна совместная работа виртуальных машин и контейнеров;
🔹 какие сценарии виртуализации есть в экосистеме Deckhouse;
🔹 и главное — покажем тестовый стенд и приложение.
✍️ Участники вебинара смогут оставить заявку на тестирование Deckhouse Virtualization Platform или на запуск демоприложения в Deckhouse Kubernetes Platform.
Зарегистрироваться
🖨Одной из распространённых проблем при использовании терминального сервера Windows (RDS), на который пробрасываются локальные принтеры с компьютеров пользователей, заключается в большом количестве неактивных TS портов печати от перенаправленных принтеров (Inactive TS Port), которые накапливаются со временем. Все это вызывает проблемы с производительностью RDSH хоста, пропаданию перенаправленных принтеров в сессиях пользователей и другим проблем со службой печати на терминале. Проблема плавающая и проявляется в первую очередь на RDS хостах с большим количеством сеансов (40+).
✅Для предотвращения таких проблем с печатью на терминальных серверах можно использовать следующие подходы:
🔹Пробрасывать с компьютера в RDP сессию пользователю только один принтер, назначенный по умолчанию (настраивается политикой). Это уменьшит количество создаваемых портов печати.
🔹С какой-то периодичностью скриптом очищать неактивные порты
🔹Регулярно перезагружать RDS хост. Это очищает TS порты печати.
Неактивные TS порты принтеров на RDS сервере
✅Для предотвращения таких проблем с печатью на терминальных серверах можно использовать следующие подходы:
🔹Пробрасывать с компьютера в RDP сессию пользователю только один принтер, назначенный по умолчанию (настраивается политикой). Это уменьшит количество создаваемых портов печати.
🔹С какой-то периодичностью скриптом очищать неактивные порты
🔹Регулярно перезагружать RDS хост. Это очищает TS порты печати.
Неактивные TS порты принтеров на RDS сервере
📏 По умолчанию при подключении к RDP сессии на Windows Server встроенным клиентом mstsc.exe, настройки масштабирования удаленного рабочего стола наследуются с компьютера клиента. Изменить настройки масштабирования в RDP сессии нельзя. Такое поведение может вызвать жалобы от пользователей с мониторами HiDPI (4к) на слишком мелкие (или наоборот слишком большие) шрифты, значки, тексты и другие элементы UI в окне удаленного рабочего стола.
✅ В Windows Server 2019,2016 можно отключить наследование настроек масштабирования с клиента с помощью параметра реестра IgnoreClientDesktopScaleFactor:
После этого можно задать параметры масштабирования в сессии пользователя через параметр LogPixels. Например, для 200% масштабирования нужно создать параметр со значением 192:
🚫 В Windows Server 2022 и 2025 параметр IgnoreClientDesktopScaleFactor не работает (игнорируется), и параметры масштабирования рабочего стола DPI всегда берутся с клиента. Поэтому приходится на клиенте задавать настройки масштабирования, которые хорошо выглядят и на локальном компьютере, и в RDP сессии, либо использовать альтернативный RDP клиент.
Размер шрифта и масштабирование экрана в RDP (RDS) сессии
✅ В Windows Server 2019,2016 можно отключить наследование настроек масштабирования с клиента с помощью параметра реестра IgnoreClientDesktopScaleFactor:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations" /f /v IgnoreClientDesktopScaleFactor /t REG_DWORD /d 1
После этого можно задать параметры масштабирования в сессии пользователя через параметр LogPixels. Например, для 200% масштабирования нужно создать параметр со значением 192:
reg add "HKCU\Control Panel\Desktop" /f /v LogPixels /t REG_DWORD /d 192
🚫 В Windows Server 2022 и 2025 параметр IgnoreClientDesktopScaleFactor не работает (игнорируется), и параметры масштабирования рабочего стола DPI всегда берутся с клиента. Поэтому приходится на клиенте задавать настройки масштабирования, которые хорошо выглядят и на локальном компьютере, и в RDP сессии, либо использовать альтернативный RDP клиент.
Размер шрифта и масштабирование экрана в RDP (RDS) сессии
Платформа 1С может интегрироваться с различными веб-серверами, но каждая такая интеграция требует особого подхода. На открытом вебинаре 28 апреля в 20:00 МСК мы научим вас тонкостям взаимодействия 1С с веб-серверами и расскажем о плюсах и минусах разных вариантов.
Это урок для системных администраторов, разработчиков, архитекторов и технических лидеров, желающих повысить эффективность работы с 1С и улучшить инфраструктуру.
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
Please open Telegram to view this post
VIEW IN TELEGRAM
🪟В новой статье мы собрали основные рекомендации, которые могут быть полезны при развертывании Windows Server в виртуальной машине на гипервизоре Proxmox VE.
✅ Были рассмотрены типовые настройки виртуального оборудования, установка драйверов VirtIO, а также другие аспекты, которые позволят добиться стабильности и быстродействия Windows ВМ в среде Proxmox.
Базовые рекомендации по развертыванию Windows в виртуальной машине Proxmox
✅ Были рассмотрены типовые настройки виртуального оборудования, установка драйверов VirtIO, а также другие аспекты, которые позволят добиться стабильности и быстродействия Windows ВМ в среде Proxmox.
Базовые рекомендации по развертыванию Windows в виртуальной машине Proxmox
⚙️ В свежем релизе Proxmox VE 8.4 появилась возможность монтировать общие директории с хоста в виртуальные машины через файловую систему VirtioFS. Это позволяет виртуальным машинам напрямую получать доступ к директориям и папкам на локальном хосте без использования сетевых протоколов типа SMB или NFS.
✅ Принцип работы довольно простой:
1️⃣Создаем на Proxmox общую папку в разделе Datacenter -> Directory Mappings
2️⃣ Добавляем виртуальное устройство в VirtioFS в ВМ
3️⃣ Монтируем общую директорию с хоста в ВМ. В гостевых Linux поддержка virtiofs есть на уровне ядра, а в Windows придется установить драйвер VirtioFS (входит в образ virtio-win-.iso) и утилиту WinFsp для монтирования файловой системы.
Как настроить общие папки в Proxmox для доступа из ВМ через VirtioFS
✅ Принцип работы довольно простой:
1️⃣Создаем на Proxmox общую папку в разделе Datacenter -> Directory Mappings
2️⃣ Добавляем виртуальное устройство в VirtioFS в ВМ
3️⃣ Монтируем общую директорию с хоста в ВМ. В гостевых Linux поддержка virtiofs есть на уровне ядра, а в Windows придется установить драйвер VirtioFS (входит в образ virtio-win-.iso) и утилиту WinFsp для монтирования файловой системы.
Как настроить общие папки в Proxmox для доступа из ВМ через VirtioFS