Blog Jiřího Hýzlera

Když se nedaří generovat statistiky na TMG 2010

Jiří Hýzler — Sun, 25 Apr 2010 20:16:35 GMT

Pokud nasazujete Forefront TMG 2010 a v Event logu se vám bude pravidelně objevovat chyba:

The daily summary for day "04/22/2010" was not created. This may cause the report for this period to be inaccurate. Verify that no prior reporting configuration alerts exist, and that the reporting services on the designated Forefront TMG report server are running and accessible from all the array members. Use the source location 1001.105.7.0.7734.100 to report the failure.

Pak stačí vypnout UAC (User Account Control) a je po chybě. Musím říct, že tahle chyba mi dala fakt pořádně zabrat. Negenerovaly se mi totiž v noci souhrnné statistiky pro TMG reporty, vyzkoušel jsem všechno možné, dokonce i neveřejný hotfix od MS, ale všechno bylo k ničemu. Až úplné vypnutí UAC zabralo.

Zdá se, že ani nový produkt od MS ještě nezaznamenal vlastní technologie nebo že by kovářova kobyla chodila bosa a v MS nikdo věhlasné UAC nepoužíval?

Asi ani s tou bezpečností se to nesmí přehánět ...

jh, 25. 4. 2010

---

Tentokrát musím doplnit můj předchozí post. Bohužel řešení s vypntým UAC se ukázalo jako dočasné, po pár dnech se to vrátilo opět do "starých kolejí". Nakonec vše vyřešil neveřejný hotfix KB 980311 (TMG-KB980311-GLB.msp). Fungování tohoto hotfixu mě ale překvapilo. Po jeho instalaci hned nezačne účinkovat. Začal fungovat až po 4 dnech. To že funguje až po několika dnech jsem četl už v jedné diskusní skupině na Internetu, ale nevěřil jsem tomu. Teď už tomu věřím, ale nechápu to. :-)

jh, 17. 5. 2010

Přechod z Exchange 2003 na Exchange 2010

Jiří Hýzler — Sun, 25 Apr 2010 15:28:31 GMT

Nedávno jsem pro Microsoft publikoval trochu delší článek na téma "Přechod z Exchange Server 2003 na Exchange Server 2010". Článek si můžete přečíst zde: http://technet.microsoft.com/cs-cz/ff625778.aspx.

Jedná se o step-by-step návod jak provést přechod na nejnovější verzi poštovního systému od Microsoft. Věřím, že by mohl být pro řadu z Vás užitečným návodem.

Malé MVP jubileum

Jiří Hýzler — Sun, 25 Apr 2010 15:13:21 GMT

Tak jsem letos 1.4. oslavil malé jubileum. Již popáté za sebou mi byl udělen nejprestižnější mezinárodní titul MVP World Award. Stejně jako v minulých letech mi byl udělen v oblasti Enterprise Security. Jsem rád, že patřím mezi ty, kteří jsou nositeli tohoto nejvyššího ocenění a velmi si toho vážím. Zároveň děkuji všem, kteří mi fandí a děkuji jim za podporu.
Více se o MVP dočtete zde: http://mvp.support.microsoft.com/.

Plán Hands-on-Labs do konce roku 2009 a na rok 2010 pro WUG Praha

Jiří Hýzler — Wed, 28 Oct 2009 17:40:37 GMT

Zde je plán termínů a témat praktických cvičení na počítači, tzv. Hands-on-Labs (HoL) do konce roku 2009 a v roce 2010, které budou pořádány ve spolupráci se sdružením WUG Praha.

Tématem HoLu na Exchange 2010 teď v listopadu budou novinky o proti verzi 2007, o kterých jste mohli slyšet např. na přednášce WUGu Praha 8.10.2009, kterou měl Martin Pavlis. Určitou výjimkou v harmonogranu je cvičení Cisco, kde si můžete "osahat" technologie přepínačů a směrovačů od této firmy. Ačkoliv se nejedná o MS technologii, myslím, že je to unikátní příležitost si zdarma vyzkoušet techniku ovládání těchto zařízení, i když je ve vašem prostředí přímo nepoužíváte.

Rok 2009

5.11.2009 – Exchange 2010 (Jiří Hýzler)

26.11.2009 – Exchange 2010 (Jiří Hýzler) – repríza

10.12.2009 – Cisco (Ján Sousedek)

Rok 2010

7.1.2010 – Cisco (Ján Sousedek) - repríza

28.1.2010 – Cisco (Ján Sousedek) - repríza

24.2.2010 – Sharepoint Services (Petr Hanák)

25.2.2010 – Sharepoint Services (Petr Hanák) – repríza

11.3.2010 – SQL 2008 – 2.téma (Ivo Vraštil)

25.3.2010 – SQL 2008 – 2.téma (Ivo Vraštil) – repríza

8.4.2010 – Windows Server 2008 R2 (Petr Seifert)

22.4.2010 – Windows Server 2008 R2 (Petr Seifert) – repríza

6.5.2010 – SQL 2008 R2 (Aleš Hejduk)

20.5.2010 – SQL 2008 R2 (Aleš Hejduk) – repríza

3.6.2010 – PowerShell pro SQL 2008 (Ivo Vraštil)

24.6.2010 – PowerShell pro SQL 2008 (Ivo Vraštil) – repríza

9.9.2010 – Exchange 2010 – 2.téma (Jiří Hýzler)

16.9.2010 – Exchange 2010 – 2.téma (Jiří Hýzler) – repríza

7.10.2010 – Office 2010 (Petr Seifert)

21.10.2010 – Office 2010 (Petr Seifert) – repríza

4.11.2010 – TMG 2010 (Jiří Hýzler)

18.11.2010 – TMG 2010 (Jiří Hýzler) – repríza

2.12.2010 – Office 2010 – 2.téma (Aleš Hejduk)

9.12.2010 – Office 2010 – 2.téma (Aleš Hejduk) – repríza

Registraci na HoLy můžete provést zdarma na webu WUG: www.wug.cz, kde budou postupně zveřejněny. Všichni jste srdečně zváni. Bohužel je ale třeba počítat s omezenou kapacitou a proto bych vás rád požádal, pokud se přihlásíte na nějaký termín a přijde vám potvrzená účast, abyste ji skutečně využili. Pokud z nějakého důvodu nemůžete přijít, dejte ihned vědět Radimovi Petrželovi ze sdružení WUG, který má na starosti registraci, aby se mohl zúčastnit HoLu někdo jiný, popř. pošlete za sebe náhadníka. Je škoda, pokud místa zůstanou neobsazená. Kontakt na Radima Petrželu najdete na stránkách WUG.

HoLy se konají ve firmě OKsystem s.r.o., Na Pankráci 125, Praha 4 (stanice metra "C" Pankrác, cca 100 m od výstupu z metra), začátek akce je vždy v 17:30, předpokládaný konec ve 20:30.

WUG mítinky v Praze v měsíci říjnu 2009

Jiří Hýzler — Thu, 17 Sep 2009 11:46:48 GMT

Společnost OKsystem již delší dobu poskytuje zdarma prostory a techniku pro konání mítinků WUG v Praze. Já zajišťuji pro tyto mítinky technickou organizaci a čas od času zde také přednáším. Pokud se chcete se mnou setkat, máte tak možnost téměř na každém mítinku.

V měsící říjnu jsou pro Vás připraveny tyto mítinky:

1.10.2009 - Windows 7, přednášejícím bude Martin Žugec, MVP
8.10.2009 - Novinky v Exchange Server 2010, přednášejícím bude Martin Pavlis, MVP

Registraci na mítinky můžete provést zdarma na webu WUG: www.wug.cz, kde budou v nejbližší době zveřejněny. Všichni jste srdečně zváni.

Mítinky se konají ve firmě OKsystem s.r.o., Na Pankráci 125, Praha 4 (stanice metra "C" Pankrác, cca 100 m od výstupu z metra), začátek akce je vždy v 17:30, předpokládaný konec ve 21:30.

P.S.: S Radimem Petrželou z WUG pro Vás také připravuji praktická cvičení na počítačích, tzv. HoLy. O termínech a tématech Vás budu ještě informovat.

Publikování, cestování a tak

Jiří Hýzler — Thu, 17 Sep 2009 10:27:52 GMT

Byl jsem několika lidma kontaktován, zda jsem se náhodou neodstěhoval, protože už dlouho ode mě nečetli žádný nový článeček na blogu. Je pravda, že jsem teď svůj blog zanedbával, protože jsem publikoval někde jinde a navíc jsem měl teď měsíc dovolenou v Irsku a Skotsku. Jsem teď zpět v pracovním procesu a snažím se prosekat se džunglí mailů a úkolů, které se mi za dobu mé nepřítomnosti nahromadili.

Možná je chyba, že jsem nikdy zde nezveřejňoval, že jsem napsal ten a ten článek tam a tam, tak to alespoň teď zkusím trochu napravit. Ještě těsně před mým odjezdem na dovolenou jsem publikoval na serveru http://www.mstv.cz/it/ 3 videa na téma:

FSMO role v Active Directory
Group Policy Management Console
Záloha a obnova Active Directory

Všechny dema jsou předváděna pro Windows Server 2003, ale drtivá většina informací je použitelná i pro novější serverové operační systémy. Pokud byste měli zájem o nějaké další téma, klidně mi napište.

Je opravdu RODC (Read Only Domain Controller) jen pro čtení?

Jiří Hýzler — Sun, 01 Feb 2009 19:59:34 GMT

Než odpovím na otázku v titulku, možná někdo netuší co je to RODC, proto si dovolím nejprve popsat tento typ řadiče.

RODC je novým typem řadiče domény ve Windows Server 2008. Pamětníci Windows NT by mohli namítnout, že zase tak nový typ řadiče to není, protože už v NT byl tzv. BDC (Backup Domain Controller), který by podle názvu RODC odpovídal. Je pravda, že skutečně stejně jako kdysi BDC uchovává nový řadič kopii adresářové databáze pouze pro čtení, ale současně nabízí mnohem více funkcionality.

Hlavními vlastnostmi RODC jsou:

Active Directory (AD) databáze pouze pro čtení.
- Aplikace, které potřebují pouze číst z AD, mohou využívat RODC. Jakmile ale potřebují provést změnu v databázi, musí se obrátit na „zapisovatelný“ DC, tzv. RWDC (Read Write Domain Controller), ze kterého se změna replikuje zpět na RODC.
- Application Compatibility with RODCs: http://technet.microsoft.com/en-us/library/cc754165.aspx
Jednosměrná replikace.
- Směrem z RODC se nic nereplikuje (i kdyby na něm byla změna přímo provedena – např. něco byste smazali v SYSVOLu). Jednosměrná replikace pouze na RODC snižuje komplexnost replikační struktury a snižuje riziko replikace změn z poboček, kde bývá nejčastěji RODC nasazen a kde většinou bývá menší míra zabezpečení serverů.
Filtrované atributy (Filtered Attribute Set – FAS)
- Administrátor může specifikovat atributy (kromě system-critical atributů), které se nebudou replikovat na žádný RODC v lese. To může zamezit vyzrazení některých informací v případě kompromitování RODC.
- Steps to Add an Attribute to the RODC Filtered Attribute Set: http://technet.microsoft.com/en-us/library/cc772331.aspx
Omezení kešování hesel
- Jeden z největších benefitů. Po instalaci RODC neuchovává žádná uživatelská ani počítačová hesla pro přihlášení (kromě vlastního počítačového účtu RODC a krbtgt). Když obdrží požadavek na autentizaci, tak ho automaticky přeposílá na RWDC. Administrátor může nastavit skupinu uživatelských účtů a účtů počítačů, jejichž hesla budou kešovány na RODC (typicky pouze pro zaměstnance pobočky a jejich počítače). Pak tyto účty jsou autentizovány přímo RODC bez použití RWDC. Důvodem omezení replikace hesel na RODC je bezpečnost. V případě kompromitování RODC nemá útočník způsob jak získat hesla např. administrativních účtů v doméně, protože tyto účty se nekešují na RODC, tj. nejsou fyzicky na tomto serveru (pro tyto účty se autentizace provádí na RWDC, který je typicky umístěn jen v centrále). Kompromitované účty zaměstnanců pobočky je navíc možné rychle a hromadně resetovat smazáním účtu počítače RODC na RWDC.
- Více o kešování hesel a fungování autentizace na RODC se dočtete zde: http://technet.microsoft.com/en-us/library/cc754218.aspx
Admin role separation
- Většinou na pobočce DC nezastává pouze funkci repliky AD, ale jsou na něm nainstalovány i další služby. V předchozích verzích bylo obtížné delegovat administraci na pobočkovém řadiči domény, protože buď jste museli delegovaného uživatele zařadit do doménových administrátorů (a tím mohl provádět i změny do AD) nebo jste ho mohli zařadit do skupiny Server Operators a tím sice nemohl provádět změny do AD a při tom měl administrativní oprávnění k operačnímu systému serveru, ale zároveň tím získal možnost administrovat všechny OS řadičů domény v celé doméně. Nyní máte možnost svěřit delegovanému uživateli jen administrativní oprávnění k OS jen na jeden konkrétní řadič domény (např. pro možnost restartovat nějakou aplikaci, aplikování aktualizací, instalaci ovladačů apod.)
Podpora DNS služby
- I DNS server umí fungovat na RODC a i on je pouze pro čtení. Pro konfiguraci DNS není potřeba nic zvláštního nastavovat (postupuje se stejně jako u RWDC), jen všechny požadavky na zápis do DNS databáze budou automaticky přeposílány na RWDC.
Dvou-fázová instalace RODC
- Administrátor může předem na RWDC vytvořit účet pro nový RODC (computer i server object) a delegovat uživatele, který může následně provést instalaci konkrétního RODC. Uživatel pak např. v pobočce už jen spustí instalaci, která může být i navíc automatizována pomocí odpovědního souboru.

RODC může replikovat pouze z Windows Server 2008 RWDC, proto je potřeba alespoň 1 mít nainstalován. Replikace z Windows Server 2003 DC nebo z RODC není možná.

RODC je téměř ideální nasazovat na pobočkách. Na pobočkách totiž je mnohem méně věnovaná pozornost bezpečnosti serverů a to jak fyzické, tak i logické. Většinou na pobočce nebývá stále přítomen administrátor, z prostorových důvodů servery (a tedy ani řadič domény) nebývají uzamčeny v serverovně, ale jsou umístěny přímo v kanceláři (v lepším případě jsou uzamčeny v racku, ale už jsem viděl je i povalovat se na společné chodbě, protože moc hučely). Není tedy divu, že k serverům a DC mají přístup na pobočkách obyčejní zaměstnanci a bohužel i v mnoha případech cizí osoby.

RODC není samospasitelným řešením bezpečnosti DC, ale v kombinaci s instalací na Windows Server 2008 Server Core a technologií BitLocker výrazně zvyšuje bezpečnost tohoto serveru.

Obr: Fyzická bezpečnost DC na pobočce.

A nyní se vrátím konečně k otázce z titulku tohoto článku, zda může RODC zapisovat do vlastní databáze.

RODC má skutečně databázi AD jen pro čtení až na jednu skupinu atributů. V běžné situaci, pokud se pošle na RODC zápisová operace, RODC přesměrovává požadavek na RWDC, který pak tuto změnu replikuje zpět na RODC. Konkrétně, jestliže aplikace se pokusí zapsat na RODC, RODC ji odpoví referencí, informující aplikaci, že by měla svůj požadavek na zápis nasměrovat na RWDC. Pokud aplikace nepodporuje reference, nejspíše nebude fungovat (proto byste je měli důsledně otestovat, než je nasadíte na RODC – viz odkaz výše „Application Compatibility with RODCs“.

Představte si ale situaci, kdy pobočkové RODC nebude mít konektivitu k žádnému RWDC a v té době se někdo pokusí hacknout uživatelský účet nějakým password attackem. Za normální situace, by se na RWDC automaticky inkrementoval atribut BadPwdCount a jakmile by útočník dosáhl počtu povolených pokusů definovaných v politice hesel (v GPO nebo v PSO), účet by byl uzamčen. Protože ale RODC by nemuselo mít konektivitu k RWDC, které by zvýšilo čítač BadPwdCount (to by byla zranitelnost RODC, protože účet uživatele by se nikdy neuzamkl), tak z tohoto důvodu RODC může zapisovat ve vlastní databázi atribut na počet chybných pokusů a přihlášení, tedy BadPwdCount a také atribut LastLogon, aby umožnil případné zamčení účtu.

Jeden starší tip na bootovací CD s XP

Jiří Hýzler — Sun, 01 Feb 2009 15:12:24 GMT

Pokud si vypalujete vlastní CD s instalací operačního systému Windows XP, např. aby jste si integrovali SP3 rovnou do instalace (postup vytváření CD je např. zde: http://www.cdr.cz/a/1173 nebo zde: http://www.cdr.cz/a/5332 ), tak jste možná narazili na chybu čtení souborů cyclad-z.inf a cyclom-y.inf během instalace OS.
Tato chyba je způsobena při vypalování CD, protože použijete formát ISO-9660 místo Joilet, který dovoluje znak pomlčky.

A ješte jeden tip: Pokud máte nainstalované Windows XP a musíte např. vyměnit základní desku, tak můžete narazit na chybu INACCESSIBLE_BOOT_DEVICE, tak by Vám mohl pomoci návod na: http://www.cdr.cz/a/3687 nebo rady na http://smallvoid.com/article/winnt-inaccessible-boot-device.html (zde je jich víc pro NT až WS2003)

Co je to SYN attack?

Jiří Hýzler — Sun, 01 Feb 2009 15:10:02 GMT

SYN (TCP požadavek na spojení) je útok, který spadá do skupiny Denial of Service (DoS) a dal by se charakterizovat takto:

Použitím podvržené (spoofed) IP adresy (typicky nepoužívané na Internetu), útočník pošle několik SYN paketů na cílový počítač.
Pro každý SYN packet, keterý cílový počítač obdrží, musí alokovat prostředky a poslat SYN-ACK potvrzení na zdrojovou IP adresu.
Protože cílový počítač neobrží odpověď (ACK) z útočícího počítače, že dostal v pořádku SYN-ACK potvrzení, posílá znovu útočícímu počítači paket SYN-ACK a to celkem 5x v 3, 6, 12, 24 a 48 vteřinových intervalech s nadějí, že vytoužený ACK paket od útočícího PC dostane. Po celou dobu ale musí držet alokované prostředky, než po posledním neúspěšném pokusu je bude moci uvolnit.

Když útočník používá tuto techniku opakovaně, je jasné, že cílovému pocítači brzy dojdou prostředky a nebude schopen akceptovat další spojení a tím odepře služby legitimním uživatelům.

Pro zjištění, zda Váš systém může být zranitelný vůči tomuto typu útoku, napište v příkazové řádce:
netstat -n -p tcp
a podívejte se na řádky, které obsahují status SYN_RECEIVED. Jestliže uvidíte hodně těchto položek, Váš systém je zranitelný na tento útok.

Ochranu Vám samozřejmě poskytne kvalitní firewall, ale i ve Windows je možné pomoci ochraně proti DoS útokům a zkrátit časy pro SYN požadavky. Stačí když v registrech v cestě HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters v DWORD hodnotě SynAttackProtect budete mít nastavenu hodnotu 2.

Pozn.: Hodnota 0 v SynAttackProtect znamená žádnou ochranu. Hodnota 1 omezuje počet SYN opakovaných pokusů a čekacích dob, když je dosažen maximální počet otevřených TCP spojení (TcpMaxHalfOpen), tedy spojením ve stavu SYN_RECEIVED, a když je dosažen maximální počet opakovaných pokusů (TcpMaxHalfOpenRetried). Hodnota 2 v SynAttackProtect funguje podobně jako hodnota 1, ale navíc zahrnuje zpoždění Winsock notification dokud se nedokončí celé three-way handshake (tedy celé TCP spojení). Protože Windows vyvolá SynAttackProtect až po dosažení hodnot v TcpMaxHalfOpen a TcpMaxHalfOpenRetried, doporučuji nastavit i tyto hodnoty v registrech na 100 resp. 80.

Další parametry TCP/IP pro hardening najdete v mém starším článku: http://blog.hyzler.net/archive/2007/07/06/11.aspx

Test rychlosti připojení k Internetu

Jiří Hýzler — Sun, 01 Feb 2009 14:44:22 GMT

Asi si říkáte, že takových testů je všude spousta, ale tenhle je přeci jenom trochu vyjímečný. Obvykle tyto služby totiž testují jen konektivitu k danému webu nebo poskytovateli a bohužel nevypovídají nic o tom, jakou konektivitu máte např. do různých států. Na této adrese (http://www.dslreports.com/speedtest?more=1) najdete rozcestník odkazů na testy rychlosti v různých částech světa (ČR je tam také :-) ), navíc jsou zda i testy specielně pro mobilní telefony (máte možnost si vybrat různé velikosti dat).

Pokud se zdarma zaregistrujete, budete mít k dispozici i další testy např. na kvalitu linky připojení. Testů je tam celá řada, některé služby jsou už pak pro premium registrace, tedy placené.

Na druhou stranu ne všechny testy mi fugovaly, což mohlo být ale způsobeno mým vysokým stupněm zabezpečení mého domácího PC a firewallů. :-)

Zde je adresa: http://www.dslreports.com/tools