Primary DNS Windows server 2008R2 secondary DNS bind

Windows 2008R2
zone: AD-integrated
  forward: contoso.internal
  reverse 0.0.10.in-addr.arpha
domain: contoso.internal
dc name: Glasgow.contoso.internal
IP 10.0.0.11

CentOS


eth0 IP 10.0.5.12 - wan interface


eth1 IP 10.0.0.150 - lan interface
BIND 9.8.2rc1

1) Устанавливаем bind и добавляем в автозагрузку
2) меняем имя компьютера на gw.contoso.internal
     hostname gw.contoso.internal
3) разрешаем в iptables обращение к bind через eth1
     iptables -I INPUT -i eth1 -j ACCEPT
4) в resolv.conf записываем
     nameserver 10.0.0.150
5) В свойствах DNS сервера Glasgow на вкладке advanced ставим галочку BIND secondaries
6) Добавляем запись типа А для gw.contoso.internal в зону contoso.internal  ставим галочку создать PTR запись
7) В свойствах зоны contoso.internal на вкладке Name Servers добавляем gw.contoso.internal
8) На вкдадке  Zone Transfers включаем, выбираем вариант Only to servers listed on the Name Servers tab, жмем Notify включаем, выбираем  Servers listed on the Name Servers tab
9) для обратной зоны делаем то же что и в пунктах 7-8
10) Дописываем в файл /etc/named.conf

zone "contoso.internal" IN {
    type slave;
    file "contoso.internal.zone";
    masters { 10.0.0.11; };
    allow-query { localhost; 10.0.0.0/24; };
    allow-notify { 10.0.0.11; };
};

zone "0.0.10.in-addr.arpa" IN {
    type slave;
    file "0.0.10.in-addr.arpa.zone";
    masters { 10.0.0.11; };
    allow-query { localhost; 10.0.0.0/24; };
    allow-notify { 10.0.0.11;};
};

11) перезагружаем службу DNS на Glasgow, затем на gw
12) вот и все шаги

Как переименовать компьютер из командной строки

Использовал в доменной среде 
1) Запускаем консоль cmd
2) netdom renamecomputer OldCompName /newname:NewCompName /ud:UserName@DomainName /pd:UserPassword
где
OldCompName - старое имя
NewCompName - новое имя
UserName - имя доменного пользователя, с Админскими правами на OldCompName
DomainName - имя домена
UserPassword - пароль пользователя UserName

установка NTP сервера в CentOS

Проверяем установлен ли ntp в системе, если нет, то устанавливаем, у меня его нет.
#yum -y install ntp

Однократно синхронизируем время:
#ntpdate 0.ru.pool.ntp.org

Далее выставляем время в BIOS:
#hwclock -systohc
Что бы система после загрузки не показывала время равное времени в BIOS а правильно выставляла смещения в соответствии с часовым поясом, проверяем содержимое файла /etc/sysconfig/clock должно быть такое:
ZONE="Asia/Krasnoyarsk"

Помещаем в автозагрузку демона ntp для постоянной синхронизации времени:
#chkconfig -level 2345 ntpd on

Запускаем демона
service ntpd start

Сверяем текущее время в системе должно совпадать с реальным:
#date

Как проверить синхронизируется ли ntp сервером время и все ли там в порядке:

[root@ns1 ~]# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 *mail.sonur.ru   .PPS.            1 u  106  128  377  113.239   -5.040  11.926
+gw-pirogovka.mi 130.173.91.58    2 u   90  128  377   77.684  -13.709  11.327
+pressa.assembly 198.123.30.132   2 u   16  128  377  104.095    0.276  11.672
 LOCAL(0)        .LOCL.          10 l   59   64  377    0.000    0.000   0.008


Значение каждой колонки

remote
Имя удаленного NTP-сервера. Если указать ключ —n, вы получите
IP-адреса серверов вместо имён.

refid
Указывает, откуда каждый сервер получает время в данный момент.
Это может быть имя хоста или что-то вроде.GPS., указывающее на
источник глобальной системы позиционирования (Global
Positioning System).

st
Stratum (уровень) это число от 1 до 16, указывающее на точность
сервера. Единица означает максимальную точность, 16 — сервер
недоступен. Ваш уровень будет равен уровню наименее точного
удаленного сервера плюс 1.

poll
Интервал между опросами (в секундах). Значение будет изменяться
между минимальной и максимальной частотой опросов. В начале
интервал будет маленьким, чтобы синхронизация происходила
быстро. После того как часы синхронизируются, интервал начинает
увеличиваться, чтобы уменьшить трафик и нагрузку на популярные
сервера времени.

reach
Восьмеричное представление массива из 8 бит, отражающего
результаты последних восьми попыток соединения с сервером. Бит
выставлен, если удаленный сервер ответил.

delay
Количество времени (в секундах) необходимого для получения
ответа на запрос «который час? ".

offset
Наиболее важное поле. Разница между временем локального и
удаленного серверов. В ходе синхронизации это значение должно
понижаться, указывая на то, что часы локальной машины идут все
точнее.

jitter
Дисперсия (Jitter) - это мера статистических отклонений от
значения смещения (поле offset) по нескольким успешным парам
запрос-ответ. Меньшее значение дисперсии предпочтительнее,
поскольку позволяет точнее синхронизировать время.

Значение знаков перед именами серверов

- Означает, что локальный сервис NTP не предпочитает этот сервер
+ Означает, что локальный сервис NTP предпочитает этот сервер
x Отмечает плохой хост
* Указывает на текущий наиболее предпочтительный сервер

Редактируем файл конфигурации NTP etc/ntp.conf




#Строка restrict 127.0.0.1 разрешает управление демоном ntpd только с localhost ,
#можно вообще закрыть доступ написав restrict default ignore
restrict 127.0.0.1
restrict -6 ::1

#или разрешить только из локальной сети
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap

#здесь я указал пулы для России
server 0.ru.pool.ntp.org
server 1.ru.pool.ntp.org
server 2.ru.pool.ntp.org

#тут говортся юзать синхронизацию с локальными часами если глобальные не доступны
server 127.127.1.0 # local clock
fudge 127.127.1.0 stratum 10

# Здесь располагается дрифт файл в котором происходит постепенный сдвиг в разнице по времени
driftfile /var/lib/ntp/drift

keys /etc/ntp/keys

Добавляем правило в фаервол

iptables -I INPUT 1 -s 192.168.0.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT

Синхронизация времени в домене Windows

Рабочие станции домена синхронизируются с ближайшим контроллером, контроллеры синхронизируются с хозяином роли эмулятор PDC. Так что настраиваем синхронизацию времени только на нем.

На контроллере домена с ролью "эмулятор PDC"
1) Проверяем открыт ли порт UDP 123 для входящего NTP трафика
2) Для настройки источника времени вводим  команду
w32tm /config /manualpeerlist:<peers> /syncfromflags:manual /reliable:yes /update

Параметр	Описание
W32tm /config /update	Настройка эмулятора PDC.
/manualpeerlist:<peers>	Задает список DNS-имен или IP-адресов для источника времени по протоколу NTP, с которыми синхронизируется эмулятор основного контроллера домена. (Данный список обозначается как "пользовательский список одноранговых узлов".) Например, можно указать в качестве NTP-сервера адрес time.windows.com. Если указывается несколько одноранговых узлов, следует использовать в качестве разделителя пробел и поместить имена узлов в кавычки.
/syncfromflags:manual	Задает необходимость синхронизировать время в соответствии с пользовательским списком одноранговых узлов.
/reliable:yes	Определяет компьютер как надежную службу времени.

Полезные команды:
Принудительная синхронизация от источника
w32tm /resync /rediscover
Отображение состояния синхронизации контроллеров домена в домене
w32tm /monitor
Отображение текущих источников синхронизации и их статуса
w32tm /query /peers

iptables

Проброс порта за нат:
iptables -t nat -A PREROUTING -s <source IP> -p tcp --dport <внешний порт> -i <внешний интерфейс> -j DNAT --to-destination <distination IP>:<destination port>

Сохранение правил:
/etc/init.d/iptables save

In Gentoo saved rules are in folder:
/var/lib/iptables

Восстановление правил, из ранее сохраненной копии:
cat /home/files/rules-save | iptables-restore

in Gentoo: iptables-restore /var/lib/iptables/rules-save

With dynamic IP we can use MASQUERADE.
For instance:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

With static ip - we can use snat
For example:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source внешний_IP

Don't forget, if you have more that one rules in POSTROUTING for one interface (for example eth0) only first rule will apply.


masquerade заново определяет внешний адрес для каждого нового коннекта.
при кратковременном пропадании линка, masquerade сбрасывает все открытые соединения, т.к. предполагает, что адрес уже сменился. snat сохраняет соединения, если они по таймауту не отвалятся.


-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Outlook 2010 Не удается сохранить вложение. Невозможно создать файл

При попытке сохранить вложение из outlook появляется сообщение:

1. Запускаем редактор реестра
2. Открываем путь: HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Security.
3. Смотрим значение OutlookSecureTempFolder - размещение временных файлов Outlook.
   Очищаем содержимое этой папки.
4. Запускаем outlook, все работает

Exim

Удаление письма из очереди Exim
Просмотр писем в очереди:
    /usr/sbin/exim -bp
Удаление письма по ID:
   /usr/sbin/exim -v -Mrm ID

Запуск от имени Run as

В доменной среде бывает приходится запускать программы от имени локального пользователя.
Чтобы не писать полностью "имя компьютера\имя пользователя" s win 7, 2008R2 можно написать так: ".\имя пользователя"

например:
вместо ws-it-01\Администратор
пишем .\Администратор

Права на закрытие сеансов терминального сервера (user rights to logoff terminal session)

Появилась необходимость дать пользователю права на закрытие терминальных сессий. при этом обойтись минимальными разрешениями в системе. Терминальный сервер под управлением Windows Server 2008R2 SP1

Идем: Пуск -Администрирование - Службы удаленных рабочих столов - Конфигурация узла сеансов удаленных рабочих столов. Запускаем от имени пользователя с правами Администратора этого сервера



Открываем свойства RDP-Tcp


 Переходим на вкладку Безопасность - Дополнительно - Добавить - Вашего пользователя
Ставим галочку напротив "Выход из системы" это и есть то что нам нужно. Жмем ОК подтверждаем.



Теперь пользователи или группа если вы добавляли права для группы, имеют права закрывать чужие терминальные сессии. Закрывать нужно при помощи Диспетчера служб удаленных рабочих столов (Пуск -Администрирование - Службы удаленных рабочих столов - Диспетчер служб удаленных рабочих столов).
Текущие сеансы пользователей, вошедших до этой настройки закрыть нельзя.
Источник: http://technet.microsoft.com/en-us/library/cc732332%28WS.10%29.aspx

Смена редакции windows 2008R2 без переустановки

На рабочем сервере под Windows Server 2008R2 Standard SP1 потребовалось увеличить объем оперативной памяти. Роли, установленные на этом сервере: службы терминалов, сервер приложений. На сервере уже установлено 32 Gb RAM, а увеличить нужно до 48Gb. Проблема в том что в редакции Standard максимальный объем ограничен цифрой 32Gb.
Сервер в работе круглосуточно, переустанавливать систему не вариант, но памяти добавить тоже нужно.

Последовательность действий:

1. Убедиться что у вас есть лицензии на windows server 2008R2 Enterprise, приобрести если нет.
2. Открываем cmd от имени администратора  этого сервера
3. Для получения текущей редакции ОС вводим:  dism /online /get-currentedition
4. Для получения списка допустимых для смены редакций вводим: dism /online /get-targeteditions 
5. Для смены редакции на Enterprise вводим: dism /online /set-edition:ServerEnterprise /ProductKey:?????-?????-?????-?????-????? (вместо вопросов подставляете Ваш серийный ключ для Windows server 2008R2 Enterprise)
6. Для вступления изменений в силу требуется перезагрузка, не обязательно делать ее сразу, сервер продолжает работать в обычном режиме.
7. После перезагрузки пройдет настройка (в моем случае заняла 1 минуту).
8. Вуаля, на поднявшемся сервере редакция enterprise и есть несколько дней чтобы активировать систему.