Ja veel mõned viited veakoodidele

Kergema hilisema ülesleidmise huvides olgu siin veel mõned vanad kohad kus veakoode kirjas:

NT Status Codes – https://msdn.microsoft.com/en-us/library/cc231200.aspx

Üleüldse on https://msdn.microsoft.com/en-us/library/cc231196.aspx päris asjalik.

Samuti võib kiigata Dev Centris olevasse https://msdn.microsoft.com/en-us/library/windows/desktop/ms681381(v=vs.85).aspx

, kuigi see on mõne koha pealt hõredavõitu.

Windows serveri aktiveerimine.

image

 

Tavalises keskkonnas (Active Directory ja suhteliselt avatud sisevõrk) on Windows Serveri aktiveerimine imelihtne, eeldusel et Sul (sinu firmal, kliendil) on Microsoftiga hulgilitsensi leping.

1. Installeeri  KMS (ja aktiveeri see kindlasti KMS võtmega).

2. Kirjelda KMS teenuskirje (SRV) DNS’is.

Service: _VLMCS

Protocol: _tcp

Priority: 0

Weight: 0

Port: 1688

ja defineeri hosti nimi.

Kui aktiveerimist vajav server kuulub samasse AD domeeni, siis leitakse kirje automaatselt DNS päringuga. Kui domeene/metsi on mitmeid, kuid soovid sama KMS’i kasutada, siis defineeri vastvad SRV kirjed igas DNS tsoonis.

Tsipa keerulisemaks läheb olukord juhul, kui server pole domeeni liidetud ja/või asub tulemüüride taga.

Alati on võimalik server aktiveerida lihtsama vastupanu teed minnes – ehk kasutada MAK (multiple aktivation key) või suhelda Microsofti toetelefoniga.

Laisa inimesena otsustasin KMS lahenduse tööle ajada. Selleks:

1. käivita (Elevated õigustes) CMD ja käsuta

cscript c:\windows\system32\slmgr.vbs –skms sinuKMS.server.fqdn[:port]

kui nimelahendus töötab, kasuta nime, kui ei, võid kasutada IP’d või nime/IP hosts faili kirjutada. Kui kasutada vaikimisi porti (1688) pole porti defineerida vaja.

Väljund peaks olema:
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

Key Management Service machine name set to sinuKMS.server.fqdn successfully.

2. Hoolitse, et oleks avatud TCP port 1688 serveri ja sinuKMSserveri vahel. Proovi kasvõi telnet sinuKMS.server.FQDN 1688

(NB! Telnet klient on alates Windows 2008’st eraldi installimist vajav Featuur).

Kui kasutad serveris Windowsi või mingit muud tulemüüri siis võib-olla vajadus ka sinna vastva reegel lisada. Näiteks Forefront TMG serveri puhul on enamus liiklust vaikimisi keelatud (mõningane hulk haldus porte on lubatud, kuid mitte aktiveerimiseks vajalik)

 

3. käsuta samas CMD promptis

cscript C:\Windows\System32\slmgr.vbs -ato

Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

Activating Windows Server(R), ServerStandard edition (68531fb9-5511-4989-97be-d1
1a0f55633f) …
Product activated successfully.

Keywords: activating windows, firewall, KMS, TMG

SSL ja sertifikaatide aegumine.

SSL sertifikaadid on üheaegselt nii õnnistus kui needus. Serdinduse peamine eesmärk on tagada kliendi-serveri vahelise liikluse autentsus, terviklikus või/ja  salajasus. Ehk kaitsta meid või informatsiooni. Teisalt on nad lisakoormus serverile (lisandunud sisu krüptimine võib omajagu tõsta protsessori kasutust) ja administraatorile.

Kuidas ?

SSL sertifikaatidel on omadus aeguda. Aegunud sert = mittekasutatav sert. Kui Sinu serdid on välja antud mõne korraliku firma poolt – siis suure tõenäosusega nad teavitavad mõne aja ette, et kallis inimene, see veebiserveri sert nimega www.minudomeen.eu aegub 10 päeva päras, kas Sa soovid uuendada (loomulikult hoolivad nad kliendist, nad ju soovivad uut makset)? Kodukootud, kas sisemise sisemise PKI infra või ise signeeritud serdi puhul sellist teavitust Sulle keegi ei saada.  Ja pealegi võib teavitus tulla valele inimesele, sattuda rämpsu või  tähelepanuta jääda. Ja Voilaa – meil on probleem.

SCOM’i pole kaasasolevate halduspakettide abil panna otseselt sertide aegumist jälgima. On mõningad variandid:

  • kirjutada vbs/powershell skripte, mis serte kontrollivad.
  • Kui rakendus kirjutab serdi aegumise kohta teate Eventlogi jälgida vastvate sündmuste teket
  • mõningad rakenduse halduspaketid sisaldavad loogikat rakenduse poolt kasutatavate sertide jälgimiseks. Kuid need pole paraku eriti paindlikud ja vastva monitori olemasolu  on pigem juhuslik.

Siiani parim lahendus on Raphael Burri poolt arendatud PKI Certificate Verification MP. Tasuta.

Lisaks sertifikaatide aegumisele tuvastatakse ka teisi olukordi, mille tagajärjel on sertifikaat kehtetuks muutunud (revoked, CA chain broken, CRL invalild).

Paraku on ka siinjuures piirang – agendita SSL sertifikaadi kontrolli ei toetata. Ehk – sa ei saa selle MP abil kuidagi kontrollida mõne avaliku https veebilehe serdi kehtivust. (kui Sa just seda serverit ei adminni ja kui see just Windows pole). Või ka lihtsalt IISi küljes oleva serdi kehtivust üle https päringu.

Nagu halduspakettide importimisel ikka   – loe läbi dokumentatsioon, veelkord, katseta testkeskkonnas ja kui sobib tee vajalikud muudatused ja kasuta enda päriskeskkonnas.

image

Peale MP importimist tekib Sul Monitoring puusse kenasti alamharu, kuid vaikimisi on sertifikaatide avastamine välja lülitatud. Mida, kus ja kuidas jälgida ja alerte genereerida – seda pead juba defineerima alistuspaketis. Ja selle paki suunad siis kas grupile või objektidele.

Kaasas olev dokumentatsioon on väga hea ja seda tasub mõttega lugeda.

Üheks MP kasulikuks küljeks võib arvestada veel nüansi, et hinnatakse kõiki (millede avastamine on lubatud) serte. Kui süsteemis on sert, mis on kehtetu ja pole otseselt kusagil kasutusel, siis see kuvatakse. Mõistlik on taolised serdid eemaldada, kuid siin on teatud piirangud, mis on dokumentatsioonis kenasti kirjeldatud.

Keywords: SSL Certificates, SCOM, monitoring