Archive for octombrie, 2014

Windows 7 – cum schimbi ping de la IPv6 la IPv4

La un ping in reteaua local primesti ca raspuns o adresa IPv6, nu IPv4

Windows 7 – cum schimbi ping de la IPv6 la IPv4

Vi s-a intimplat, in Windows 7 (dar nu numai), sa vreti sa dati un ping in reteaua locala si in loc de IPv 4 sa va apara la raspuns IPv 6?

Daca da, iata cum puteti „repara”aceasta:

1. Puteti debifa in Local Area Connection optiunea IPv 6, ca in figura de mai jos:

Windows 7 - cum schimbi ping de la IPv6 la IPv4

2. Sau puteti pur si simplu sa scrieti comanda „ping” astfel:

ping -4 [nume_calc /sau IP calc]

(vezi exemplu in figura de mai jos:

cmd in Windows 7 - cum schimbi ping de la IPv6 la IPv4

Simplu, nu? :)

Introducere in PowerShell

Introducere in PowerShell

Am decis ca ar fi util sa scriu o serie de articole legate de PowerShell: ce este, cum il folosim si mai ales de ce.

Un prim articol il puteti gasi aici

Daca aveti sugestii, completari, intrebari sau chiar critici, imi puteti scrie pe adresa:

info@helpdeskcloud.ro

Pe data viitoare!

Cum folosim Group Policy pentru a controla Encrypting File System (EFS)

Azi am fost intrebat cum poti cripta si controla securitatea datelor pe un server Windows. Am spus ceva legat de criptarea datelor si de Group Policy, fara sa fiu insa prea clar in explicatii. Dindu-mi seama ca aceea a fost o intrebare buna, mi-am zis ca merita un raspuns putin mai detaliat, asa ca m-am pus pe scris articolul de fata :)
Encrypting File System (EFS) este o opțiune puternica si (mai ales) gratuita, pentru protejarea datelor stocate pe computerele Windows. EFS a fost inclusa in fiecare sistem de operare de la Windows 2000 incoace. EFS poate fi utilizata securizarea mediului de stocare a datelor. Cu toate acestea, s-ar putea sa nu doriti sa folositi EFS peste tot si sa doriti sa ii restrangeti aria de utilizare si sa aveti control asupra utilizarii EFS. Astfel, puteti sa va folositi de GPO pentru a gestiona EFS.

Cele două etape de Management EFS

EFS are două niveluri de configurare. Primul nivel este stabilit la nivel de calculator, ce prevede dacă va fi sau nu va fi chiar suportata și disponibila aceasta optiune. Al doilea nivel este la nivel de folder și fișier, care realizează criptarea de date.

Windows 2000 (Server și Professional), Windows XP Professional, Windows Server 2003, Windows Vista și Windows Server 2008, toate aceste OS suporta criptarea datelor care se afla pe computer. In mod implicit, toate aceste calculatoare accepta criptarea datelor folosind EFS. Desigur, acest lucru poate fi un lucru negativ, pentru ca unele date sau unele calculatoare nu ar trebui să cripteze date din cauza logisticii.

Si prin logistica ma refer la faptul de a permite utilizatorilor sa cripteze date. Din moment ce toate computerele accepta criptarea în mod implicit și orice utilizator poate cripta,iar datele pot fi criptate pe desktop (local), precum și date care sunt partajate în rețea. Figura 1 ilustreaza opțiunea în cazul în care datele pot fi criptate pe un computer cu Windows XP Professional.

1

Pentru a accesa opțiunea de criptare prezentata în figura 1, aveti nevoie doar sa accesati proprietățile fișierului sau dosarul (folderul) pe care doriți sa-l criptati prin click-dreapta pe obiect, apoi selectand Properties. Apoi, selectati butonul Advanced din caseta de dialog Properties, care va arata la randul sau, caseta de dialog Atribute avansate.

Controlul suportului de EFS pentru calculatoare într-un domeniu Active Directory

Atunci cand un calculator se alatura unui domeniu Active Directory, el nu mai are controlul asupra faptului daca accepta sau nu accepta EFS. În schimb, politica de domeniu implicita stocata în Active Directory (Default Domain Policy) controleaza aceasta capacitate. Toate computerele care sunt integrate intr-un domeniu Windows Active Directory suporta EFS. suport de domeniu Active Directory, prin simpla aderarea la domeniul.

Problema este ca domeniile din Windows 2000 se ocupa de aceasta configuratie Default Domain Policy in mod diferit decat Windows Server 2003 si Windows Server 2008 (da, va veti intreba cine mai utilizeaza azi servere avind pe ele Windows 2000 server instalat. Ei bine, credeti sau nu, am intilnit anul trecut 2 cazuri de genul asta).

Windows 2000 – Controlul asupra EFS

In Windows 2000 EFS va fi suportat diferit diferit decat in sistemele de operare de mai tarziu, motiv pentru care configuratia EFS este diferita în Default Domain Policy. Pentru Windows 2000, cheia pentru activarea si dezactivarea EFS este tot pe baza certificatului de agent de recuperare EFS, inclusa în Default Domain Policy. În mod implicit, contul de Administrator are acest certificat si este configurat ca agent de recuperare de date. (Daca nu exista nici un certificat de recuperare de date, EFS esueaza.)

Pentru a accesa aceasta configuratie în Default Domain Policy,, urmati calea în Group Policy Editor:

Computer Configuration \ Windows Settings \ Security Settings \ politici publice cheie \ criptate agenti de recuperare de date

În aceasta locatie, veti vedea EFS File Encryption Certificate for the Administrator, ca figura 2.

2

Aceasta configuratie este cea care ofera tuturor computerelor posibilitatea de a cripta fisiere. Pentru a elimina aceasta capacitate, ar trebui sa stergeti doar Administrator Certification din GPO. Daca ati dori sa oferiti EFS la doar cateva computere în Active Directory, ar trebui sa urmati acesti pasi:

Creati un nou GPO si legati-l la o unitate organizationala (OU) care contine toate calculatoarele care au nevoie sa suporte criptare.
Accesati Encrypted Data Recovery Agents node în GPO si adaugati într-un certificat care suporta recuperarea de date EFS.
Acest lucru va oferi calculatoarelor la care se aplica GPO abilitatea de a utiliza EFS pentru datele care sunt stocate pe computerele respective.

Windows 2003 si 2008 – controlul asupra EFS

Cele mai noi domenii si sisteme de operare (cele aparute mai tarziu decat Windows 2000) suporta EFS într-un mod similar, dar cu unele diferente specifice.

Nu mai este nevoie de agent de recuperare de date pentru criptare (cum era in Windows 2000).
EFS nu mai este controlat prin includerea certificatului de agent de recuperare de date în GPO.
EFS suporta accesul utilizatorilor multipli la fisierele criptate.
Prin urmare, pentru Windows 2003 si Windows 2008, vom avea un set diferit de taskuri de efectuat, în scopul de a controla EFS pe computerele din domeniu. Setarea exista in continuare in Default Domain Polic, dar noua cale pe care va trebui sa o accesati este:

Computer Configuration \ Windows Settings \ Security Settings \ Politici Publice cheie \ Encrypting File System

Acum, în loc de a modifica data recovery agent, va trebui sa faceti clic dreapta pe Encrypting File System node. Din optiunea meniului afisat, selectati Properties. De acolo, va aparea o caseta de validare (check box) care spune „Allow users to encrypt files using Encrypting File System (EFS)” pentru domeniile voastre Windows 2003. In Windows Server 2008 interfata s-a schimbat radical, oferind suport granular de EFS din Property, asa cum se arata în figura 3.

3

Nota Observati ca pe tab-ul General exista un buton radio cu mentiunea „Nu permiteti”. Aceasta optiune dezactiveaza EFS pe TOATE computerele din domeniu. De asemenea acolo veti observa si multe alte optiuni disponibile pentru controlul EFS.

Aveți posibilitatea de a viza, de asemenea, doar anumite calculatoare din domeniu, urmand pasii de mai sus in sectiunea de domeniu Windows 2000.

In concluzie: EFS este un instrument foarte puternic și util. Se pot cripta datele stocate pe computerele Windows. Criptarea va ajuta la protejarea impotriva utilizatorilor sau atacatorilor care incearca sa acceseze datele, dar nu au acces sau capacitatea de a decripta datele. EFS este un proces in două etape, dar in primul rand EFS trebuie să fie activat pe computer. Aceasta poate fi controlata prin Politicile de grup (GPO), și este activa de indata ce calculatoarele adera la un domeniu. Administratorii au puterea de a activa sau dezactiva EFS pe orice calculator in domeniul prin configurarea unui GPO. Prin dezactivarea EFS pentru toate calculatoarele din domeniu si apoi crearea si configurarea unui nou GPO, calculatoare specificate nu mai pot utiliza EFS.

Probleme frecvente: Exchange 2010 si DNS

Exchange 2010 si DNS – Probleme frecvente

DNS este unul din componentele cele mai importante ale unui server Exchange 2010 (impreuna cu Active Directory, desigur). În acest articol insa nu vom discuta despre implementarea DNS, ci haideți să aruncăm o scurtă privire la unele probleme de DNS, mai des intalnite, care afectează Exchange Server.

Sa vedem intai care sunt serverele DNS folosite de Exchange Server: serverele Exchange ar trebui să utilizeze serverele DNS interne pentru rezolvarea de nume (name resolution). Pentru ca Exchange Server sa poate demara, componenta DSAccess a Exchange System Attendant trebuie să poata localiza controlerele de domeniu / global catalogs. Destul de frecvent unul sau mai multe servere Exchange, sau chiar DCs / GCs, „puncteaza” spre servere DNS invalide sau inexistente (care au fost dezactivate) sau spre servere DNS ale unui ISP. În ultimul caz, serverele DNS ale SP nu au informații cu privire la zona DNS utilizata de Active Directory vostru.

Prezența root domain (.) în serverele DNS interne: Domeniul rădăcină, care este desemnat printr-un punct, este prezent în serverele DNS interne ale multor implementări. Acest lucru previne rezolvarea domeniilor de Internet care utilizează aceste servere DNS. Dacă Exchange Server utilizează un server DNS care are un domeniu rădăcină prezent, livrarea de e-mail pentru Internet hosts poate să esueze. Dacă utilizați un domeniu rădăcină pe serverele DNS interne, este important sa configurati aceste servere cu un forwarder de rezolvare de nume pentru domenii de internet. Cu toate acestea, în medii care trebuie izolate de Internet (unde Exchange Server este utilizat doar pentru e-mail intern), astfel de configurații pot fi complet valabile și utilizate in acest scop.

Zonele externe DNS si inregistrarile MX: Pentru toate numele de domenii pentru care serverul de Exchange accepta e-mail de intrare, zonele DNS externe ar trebui sa fie configurate pe un server DNS care este accesibil de pe Internet pe UDP si TCP port 53. O inregistrare MX este necesara in aceste zone asa incat SMTP hosts de pe internet sa poata trimite e-mail la aceste domenii.

Inregistrarile MX sunt inregistrari DNS care indica, in general, catre A records ale serverului de mail. A records, de asemenea, cunoscut sub numele de host records (inregistrari gazda), mapeaza un hostname (nume de gazda) la o adresa IP. Pentru zonele DNS externe, acest lucru ar trebui sa fie adresa IP publica / externa a serverului de e-mail responsabil pentru primirea e-mail Internet de intrare (inbound) (fie ca este vorba Exchange Server sau orice alt server SMTP).

De multe ori inregistrarea MX indica de fapt catre o inregistrare CNAME, care este un nume Canonical (Canonical Name) sau alias, pentru un host nume. O inregistrare A ar trebui sa existe deja pentru aceasta. Cu toate acestea, indicand inregistrarile MX catre CNAME duce la o incarcare suplimentara pe serverele DNS – serverul DNS gazda emitator va trebui acum sa interogheze serverul vostru DNS de doua ori. Prima interogare este pentru a rezolva inregistrarea MX. Aceasta trebuie sa interogheze serverul DNS pentru a doua oara cand un CNAME este returnat de la interogarea pentru inregistrarea MX, in scopul de a rezolva CNAME la o inregistrare A.

Reverse lookup zones si pointers record: Un alt aspect adesea ignorat, mai ales în organizatiile mici, este configuratia Reverse lookup zones. Reverse lookup zones contin înregistrarile PTR (pointer) care rezolva adresele IP pentru „fully qualified hostnames”, la fel cum înregistrarile de tip A (A records) mapeaza hostnames la IP.

Ca o masura de antispam, multe ISP-uri si organizatii resping e-mailurile de la gazde a caror adresa IP nu se „rezolva” la un nume de gazda. Cu alte cuvinte, e-mailurile vor fi respinse în cazul în care o zona de cautare inversa (Reverse lookup zone) nu exista sau nu exista o înregistrare PTR pentru acea adresa IP în zona de cautare inversa.

Cele mai multe organizatii mici, care au o singura adresa IP sau doar cateva adrese IP nu primesc „blocul” lor de adrese IP delegate de la ISP. În astfel de cazuri, este important sa contacteze ISP-ul pentru a avea înregistrarile PTR create pentru voi, in special SMTP hosts, cum ar fi servere Exchange.

O conceptie gresita comuna este ca înregistrarea PTR ar trebui sa rezolve „fully qualified name” al sending host. Cu toate acestea, desi ar putea fi o idee buna sa facem acest lucru, nu este întotdeauna posibil. Acest lucru este valabil mai ales în cazurile în care domenii SMTP multiple sunt gazduite într-o organizatie Exchange, si adresele IP de expediere trimit e-mail catre aceste domenii multiple. Acest lucru este comun setarile hosting-ului. Ceea ce este important pentru livrare e-mail-urilor este ca pentru adresa IP sa avem un record PTR ​​.