Před časem jsem měl možnost nahlédnout do jedné kapitoly nově připravované knihy Jiřího Peterky Báječný svět elektronického podpisu a mohu tuto knihu jednoznačně doporučit všem, kteří chtějí rozkrýt magii obklopující certifikáty, asymetrické klíče, komerční a kvalifikované certifikační autority, problémy, které vyplývají s certifikáty, časovými razítky, datovými schránkami atd.
Kniha vyšla 4.4.2011 pod hlavičkou CZ.NIC, její autorská verze je ke stažení na knihy.nic.cz ve formátu PDF, EPUB a MOBI. Za měsíc bude možné si (podobně jako u publikace Pavla Satrapy IPv6) objednat tištěnou publikaci.
Aktualizace 21.3.2011: Na blogu Microsoftu se objevila informace, že níže uvedený článek KB975484 byl rozšířen o .VBS skript, který pomůže všem, kteří se dostali k chybě 0xc0000034. Bacha, je nutné přepnout na anglickou verzi článku, v češtině ty informace zatím chybějí. Zároveň článek pomůže pouze těm, kteří aktuálně trpí uvedenou chybou, nepomůže těm, kteří si pomohli úpravou xml nebo odmazali SetupExecute. Takže pro mnoho lidí přichází MS s řešením s křížkem po funuse.
Dnes na nás čekalo nepříjemné překvapení na několika pracovních stanicích a noteboocích, na nichž se večer při vypínání objevila hláška, že se bude instalovat SP1 z WSUS. Předem podotýkám, že jsme aplikaci SP1 testovali a nenarazili na problém – jak se ale dnes ukázalo, testovali jsme nedokonale. Více...
Každé AD by mělo být pravidelně monitorováno, aby neobsahovalo vyhnilé účty, jak počítačů, tak lidí. Ne všude to funguje tak, že člověk odchází ze společnosti a automaticky jsou smazány všechny jeho účty. Je to také oblíbenou otázkou auditorů. Takže přijde vhod jednoduchý baťáček, spouštěný pravidelně v rozumných intervalech (denně/týdně), který projde komplet doménu a vyhledá mrtvoly. Více...
Nejhorší závady jsou, když něco řadu měsíců či let běží a pak se to bez zjevné příčiny podělá. Jako v případě jedné firmy, která má AD se dvěma sajtami, DFS s replikací mezi sajtami a klienty smíšenými Windows XP SP3, Windows Vista, Windows 7. Zničehonic si začali uživatelé s WXP v pobočkové sajtě stěžovat na pomalý login do sítě, chybějící síťové disky, zatuhávající explorer.exe a řadu dalších problémů. Procházel jsem komplet všechny servery, virtualizované i Hyper-V mastery, nikde nic. Zvažoval jsem případný problém s TCP offloadem, TCP Chimney, RSS, ale to by problémy nepostihovaly jen WXP. V pobočkové sajtě je jeden AD řadič, je to Global Catalog, eventlog čistý jak lilie. Hlava mi to nebrala, prohledával jsem všemožné stránky, dohledával historické WXP hotfixy týkající se DFS, abych vždy zjistil, že už jsou začleněny do SP3. Kontroloval jsem čas, lokální i síťové firewally, antiviry, DNS zóny dopředné i reverzní, práva na GPO, nic. Více...
V poslední době se na mne obrátili hned dva známí, jak je to s VirtualBoxem a jeho nasazením na pracovní počítače. Jelikož VirtualBox na svém pracovním notebooku taky používám (hlavně kvůli tomu, že zvládá VHD i VMDK) a už jsem si to nepamatoval, tak jsem si šel osvěžit znalosti na http://www.virtualbox.org/wiki/VirtualBox_PUEL. Šílenost PUEL znamená Personal Use and Evaluation License.
Podstatný je §2 Grant of license, ve kterém se píše: “Personal Use requires that you use the Product on the same Host Computer where you installed it yourself and that no more than one client connect to that Host Computer at a time for the purpose of displaying Guest Computers remotely.” Více...
Tahle věc mě vytáčela řadu měsíců, vlastně roků. Nebyla ale tak důležitá, abych se tomu věnoval až do úspěšného vyřešení. Až teď. Doména, kterou v práci používáme, má prazáklady už z Windows 2000 a je postupně upgradována, schéma rozšiřováno, AD řadiče i jména domén přejmenovávány, nahrazovány atd. Až do doby nasazení Windows Vista (někdy před čtyřmi lety) jsem i z domova přes VPN bez problémů přistupoval k DFS zdrojům. Pak se něco změnilo a přístup přes DFS rozcestník přestal fungovat, takže jsem se smířil s nouzovým přístupem na cílové sdílené adresáře na příslušných serverech. Místo tvaru \\domena.local\dfs\adresar jsem si tak holt mapoval přímo \\server.domena.local\adresar.
V minulých dnech jsem ale musel řešit problém s Windows XP, které nedokázaly korektně komunikovat s AD řadiči W2008R2 (o tom ale až v následujícím článku) a při té příležitosti jsem narazil i na problém DFS přes VPN. A teď už vím, co jsme kdysi hodně dávno udělali špatně. Více...
Testuji od včerejška iPhone s iOS 4 a s úžasem dlouholetého uživatele systémů Windows Mobile mám v iPhone nakonfigurovány 2 (slovy DVA) Exchange účty! Trochu mne zarazil požadavek na PIN, který se na telefonu objevil před pokusem o prvotní synchronizaci druhého Exchange účtu. Až po chvíli mi docvaklo, že je to Exchange ActiveSync Mailbox Policy, která je standardně aktivována po instalaci SBS 2011 Standard. Více...
Člověk by čekal, že když má server udržovaný, s aktuálními servisními balíčky a hotfixy, tak je v pohodě. Opak je však pravdou – je více než záhodno utahovat vše, co jde. A jednou z oblastí, které je dobré kontrolovat na všech verzích Windows Serveru, je SSL.
IIS od verze 5 volil protokoly v tomto sestupném pořadí – PCT 1.0, SSL 3.0, SSL 2.0. PCT 1.0 a SSL 2.0 jsou již obecně považovány za slabé, od Windows 7 a Windows Serveru 2008 R2 již nejsou ze strany klienta používané. Bohužel je však i ve Windows 2008 SSL 2.0 standardně zapnuté, takže si jej může případný útočník vynutit (řekne serveru, že nepodporuje SSL 2.0).
Platí, že TLSv1 = SSLv3. U starších OS je ještě doporučeno zakázat slabé šifry DES 56/56, NULL, RC2 40/128, RC4 40/128, RC4 56/128. Ty jsou opět u Windows Serveru 2008 R2 standardně vypnuté.
Nejsnazší cestou, jak zjistit aktuální stav, je spustit některý z online testů: Více...
Tento týden kolegové linuxáři v práci rychle ověřovali verze a kombinace OS a hotfixovali denial of service na PHP. Dávám si zde poznámku kvůli tomu, že určité kombinace se týkají i Windows, IIS/Apache a PHP. Z toho, co jsem četl, tak by se problém mohl týkat x86 systémů a PHP verzí 5.2.x a 5.3.x. Údajně by měly být v pohodě x64 edice.
Ověřit konkrétní instalaci lze jednoduše – tenhle řádek pošle PHP do nekonečné smyčky:
<?php $d = 2.2250738585072011e-308; ?>
Před rokem a půl jsem si v tomto článku poznamenal konfiguraci souběžného fungování IIS 7 a Apache na jednom serveru. Ne že by to v IIS 7.5 bylo jinak, začíná se však kromě IPv4 používat i IPv6, tak si neuškodí poznamenat ještě pár drobností.
Příkaz netsh s níže uvedenými parametry upravuje tento záznam v registrech - HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters, ListenOnlyList. Více...