Архив метки: Настройка ПО

Установка резервного контроллера домена на Windows Server 2019.

В связи с очень сильной бюджетностью организации и отсутствием резервного сервера и даже резервных ПК, которые хранятся на складе и в любую минуту могут быть использованы, на один администраторский компьютер ADMIN-PC, с параметрами немного лучше, чем у всех остальных в сети, пришлось переносить сервера, на время ремонта основного сервера с несколькими виртуальными машинами. Виртуальные машины этот компьютер не потянет, поэтому решено было установить несколько ОС и запускать их по очереди. Одновременно они могут понадобиться только в аварийной ситуации и к тому же это на непродолжительное время. Рассмотрим установку нескольких ОС на один ПК и затем установим на него контроллер домена Windows Server 2019.

Подготавливаем ПК. Устанавливаем в него несколько жестких дисков HDD и размечаем их как нам требуется. На один HDD желательно устанавливать одну ОС, чтоб в случае поломки HDD, масштабы не были слишком масштабными. В нашем случае это выглядит как на фото ниже.

Создаем по инструкции загрузочную флэшку с Windows Server 2019.

Вставляем загрузочную флэшку в USB-разъем. Запускаем ПК, через BootMenu выбираем флэшку и нажимаем загрузку с неё.

Выбираем Windows Server 2019 Standard (возможности рабочего стола).

Выбираем нужный HDD. Короче говоря, устанавливаем операционную систему стандартным методом до момента перезагрузки системы.

После перезагрузки ПК система не отобразилась в диспетчере загружаемых ОС.

Нужно отметить, что до начала установки этой ОС в ADMIN-PC уже были установлены Windows 7, Windows 10 и Windows Server 2012. Запускаем любую из установленных ранее ОС. Если нет возможности запустить ни одну из операционных систем, тогда нужно править загрузчик вручную. Это отдельный случай.

Загрузив, допустим, Windows 7, скачиваем и запускаем программу для редактирования загрузки EasyBCD.

Выбираем пункт меню – Добавить запись.

Операционные системы – Windows.

Тип – Windows Vista/7/8, в бесплатной версии Win10 нет, поэтому оставляем так.

Имя – любое понятное для нас, латиницей.

Диск – указываем диск, на который начали устанавливать WinSrv2019.

Нажимаем кнопку «Добавить». После этого на вкладке «Текущие настройки» можно убедиться, что добавился дополнительный пункт в загрузочное меню с нашим новым сервером.

В пункте меню «Редактировать меню загрузки» можно поправить отображаемое при загрузке имя ОС и отметить галочкой, какая система будет загружаться по умолчанию.

Нажимаем кнопку «Сохранить». Перезагружаем ПК и проверяем выполненные настройки. Выбираем из появившегося списка Windows Server 2019 и ждем пока завершится установка ОС.

По внешнему виду ОС очень похожа на Windows 10.

Переименовываем сервер. В нашей сети он будет известен как DCSERVER2. Антивирус можно не ставить т.к. есть встроенный Windows Defender.

Подключаем сервер в локальную сеть, назначаем статический IP-адрес. DNS от основного контроллера домена.

Переходим к настройке контроллера домена.

Запускаем диспетчер серверов, в панели мониторинга нажимаем – Добавить роли и компоненты. Откроется мастер добавления.

Перед началом работы >> Далее.

Тип установки – Установка ролей и компонентов >> Далее.

Выбор сервера – выбираем требуемый DCSERVER2 >> Далее.

Роли сервера – отмечаем галочками DNS-сервер и Доменные службы Active Directory >>Добавить компоненты >> Далее. DHCP в нашей сети не используется.

Компоненты >> Далее.

DNS, AD DS >> Далее.

Подтверждение – Установить.

Ждем установку, если понадобится перезагружаем сервер.

Повысим роль сервера до контроллера домена. В диспетчере серверов нажимаем на флажок, затем в раскрывшемся меню выбираем – Повысить роль этого сервера до уровня контроллера домена.

В первом пункте мастера настройки доменных служб Active Directory выбираем – Добавить контроллер домена в существующий домен.

Напротив надписи Домен нажимаем кнопку «Выбрать». Выбираем нужный домен, у нас SCRB.local. Вводим учетные данные администратора из домена. >>Далее.

Следующим пунктом придумываем пароль для режима восстановления служб каталогов DSRM. Можно оставить галочку напротив надписи Глобальный каталог. >>Далее.

Делегирование для этого DNS-сервера невозможно создать… >>Далее.

Дополнительные параметры – указываем источник репликации – основной контроллер домена DCSERVER.

Пути оставляем без изменения. >> Далее.

Параметры подготовки >> Далее.

Просматриваем выбранные параметры >> Далее.

Во время проверки предварительных данных вылез «подводный камень». Не выполнено одно или несколько предварительных требований. Исправьте ошибки и щелкните «Повторить проверку предварительных требований».

Критическая ошибка отмечена красным кружком с крестиком и звучит так:

Сбой проверки предварительных требований для подготовки Active Directory. Не удалось проверить, завершил ли хозяин схемы цикл репликации после последней перезагрузки.

Исключение: Недопустимое критическое расширение. Расширенное сообщение об ошибке сервера:8366. Расширенное сообщение сервера:000020AE: SvcErr: DSID-032103F9, problem 5010 (UNAVAIL_EXTENSION), data 8610.

Программе Adprep не удалось проверить, завершил ли хозяин схемы цикл репликации после последней перезагрузки. Эта схема не обновлена.

Возможную причину сбоя см. в файле журнала ADPrep.log в каталоге C:Windowsdebugadpreplogs2019114122331-test.

Для устранения этой ошибки есть два варианта:

1.Устранить из домена все следы контроллера домена, с которым не прошла репликация.

2.Запустить этот контроллер домена, если он еще «живой», и подождать, пока пройдет репликация.

Воспользуемся вторым вариантом, так как сервер с именем WIN-SRV-ST в нашей сети еще не был деинсталирован и его можно запустить.

После запуска старого резервного контроллера домена на виртуальной машине проверка предварительных требований была пройдена. Жмем кнопку >>Установить.

Окно Результаты можно закрыть. Пройдет установка и сервер автоматически перезагрузится.

После перезагрузки в Active Directory – пользователи и компьютеры, можно увидеть новый контроллер домена DCSERVER2.

Контроллер домена работает. Можно проверить пользователей, они все на месте.

Переходим к удалению предыдущего резервного контроллера домена с ОС Windows Server 2008R2 (WIN-SRV-ST, третий в списке) для того, чтоб разобрать главный сервер на ремонт.

2019-01-19T12:02:17

Настройка ПО

Обновление BIOS на материнской плате M2N-MX SE через DOS.

Принесли однажды для ремонта ПК, в котором нужно было заменить ОС с WinXP на Win7. Но оказалось, что после начала установки появляются разные ошибки. Старый виндовс удалился, а новый устанавливаться не желает.

Часто такая ситуация возникает из-за проблем с оперативной памятью либо с HDD, но замена этих деталей и процессора не помогли. Тогда решено было обновить BIOS. После обновления ОС установилась и ПК заработал. Как обновить биос написано далее.

Первым делом заходим в меню BIOS (после включения ПК жать кнопку DEL) и смотрим, какая у нас версия. Version: 0201.

Далее в интернете заходим на сайт производителя или через поисковик по названию мат. платы M2N-MX SE и скачиваем более высокую версию BIOS чем у нас.

С версиями прошивок нужно быть внимательным. Есть мат. платы M2N-MX SE и M2N-MX SE plus. У них разные BIOS и при выборе неподходящей версии обновление не произойдет.

0501 M2N-MX SE СКАЧАТЬ

Когда файлы BIOS в наличии нужно сделать загрузочную флэшку, с которой будет выполняться обновление. Для этого понадобится сама флэшка и небольшая программа RUFUS.

На рабочем ПК вставляем флэшку в USB, запускаем RUFUS.

Последовательно выбираем или отмечаем:

1.Устройство – наша флэшка.

2.Схема раздела и тип системного интерфейса – MBR для компьютеров с BIOS или UEFI.

3.Файловая система – FAT32 (по умолчанию).

4.Размер кластера – (по умолчанию).

5.Новая метка тома – любое краткое название латиницей.

6.Параметры форматирования оставляем: оставляем отмеченными быстрое форматирование, создать загрузочный диск и создать расширенную метку и значок устройства.

7.Создать загрузочный диск – FreeDOS.

Жмем старт и ждем, пока создается наш загрузочный носитель.

Извлекаем из архива файлы скаченного BIOS и все что было в архиве, копируем в корень созданной загрузочной флэшки.

Название прошивки желательно написать короче, например её версию 0501, чтоб при выборе файла в DOS иметь меньше вероятностей на ошибку.

Безопасно извлекаем флэшку, подключаем её в ремонтируемый ПК, включаем его, жмем F8, попадаем в Boot Menu, из списка выбираем нашу флэшку и жмем ENTER. Начнется загрузка с флэшки.

Попав в DOS выбираем английскую раскладку клавиатуры.

Для начала обновления BIOS нужно написать сл. строчку команд:

C:>afudos /i0501.rom

C: – это флэшка (она может быть и не С а др. буква).

>afudos – выполнить приложение afudos (или AFU236U они есть на флэшке, скачиваются в одном архиве с прошивкой).

Пробел.

/i – команда для загрузки прошивки в BIOS (/o команда для считывания прошивки из BIOS).

0501.rom – краткое название скаченной прошивки с расширением.

Нажимаем ENTER и смотрим процесс обновления.

По завершении появляется сообщение Please restart your computer.

Перезагружаем ПК, заходим в BIOS и смотрим версию.

BIOS обновлен.

Проверяем установку ОС – Windows 7 установился. Ремонт ПК завершен.

Через некоторое время попался еще один ПК с мат. платой M2N-MX SE и с добавкой Plus.

Действие по обновлению BIOS все те же самые, только прошивку нужно скачивать другую. Например 0406 или более новую. СКАЧАТЬ

Материнские платы M2N-MX SE уже весьма устарели, однако в гос. предприятиях, не обновлявших свои ПК они еще распространены.

2019-01-19T12:01:54

Настройка ПО

Подробная настройка маршрутизатора MikroTik.

Настройки приведены на примере сети видеонаблюдения нашей организации для MikroTik RB750Gr3.

Постановка задачи: необходимо настроить подключение локальной сети к интернету для работы спец. ПО и пользователей, а так же открыть порты для круглосуточной передачи изображения с видеокамер через внешний статический IP адрес.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Схема подключения маршрутизатора MikroTik ниже.

Доступ к маршрутизатору.

Доступ осуществим через ПО WinBox для Windows. Предварительно скачиваем WinBox с официального сайта.

В первый порт, подписанный как Internet, включаем провод внешней сети (от оптического конвертера), во второй порт подключаем ПК или ноут-бук, с которого будем работать, подключаем провод питания. Питание от адаптера 24В 800мА.

Подключаем ответную часть патч-корда в сетевую карту ПК. В настройках TCP/IP указываем адрес в одном диапазоне с роутером. Обычно у MikrоTik ip-адрес 192.168.88.1.

Запускаем WinBox, подключаемся к роутеру по ip-адресу.

Можно подключиться по MAC-адресу. Переписываем его с коробки в поле вместо ip-адреса и нажимаем – Connect.

На вкладке Neighbors можно увидеть все доступные в сети роутеры микротик.

Смена прошивки.

Перед началом выполнения настроек, желательно обновиться до последней версии прошивки. В новых прошивках, как правило, устранены известные проблемы.

После соединения, в главном меню выбираем New Terminal и смотрим версию прошивки. В данном случае видим 6.42.7.

Переходим на страницу загрузок официального сайта. Находим нужный нам роутер по названию, в нашем случае RB750Gr3. Выбираем версию прошивки Current (текущая) либо Stable (стабильная). Изменения на сайте происходят довольно часто и расположение как на скриншоте ниже может быть другим. Скачиваем из строчки с надписью Main package. Файл прошивки называется в моем случае routeros-mmips-6.43.npk

Открываем место, куда мы сохранили прошивку и перетягиваем её в окно MikroTik.

Появится сообщение о загрузке файла.

Перезагружаем роутер: System >> Reboot.

Подтверждаем перезагрузку и ждем примерно 1-2 мин.

После перезагрузки снова подключаемся к роутеру, запускаем терминал и проверяем версию прошивки. Она изменилась на 6.43.

Удаляем конфигурацию, настроенную по умолчанию.

Нужно помнить, что удаляя базовые настройки, удалятся параметры безопасности и их нужно будет настроить.

Настройка портов.

Переименуем порты, для удобства пользования. Это действие не обязательное и выполняется по желанию.

Открываем вкладку Interfaces. Изменяем название первого порта на WAN и нажимаем Apply.

Остальные порты переименовываем таким же образом и называем по порядку LAN1… LAN4.

Те же действия можно выполнить через текстовые команды в терминале. Открываем в боковом меню New Terminal и вводим команды.

<br />
/interface ethernet set [ find default-name=ether1 ] name=WAN

<br />
/interface ethernet set [ find default-name=ether2 ] name=LAN1

<br />
/interface ethernet set [ find default-name=ether3 ] name=LAN2

<br />
/interface ethernet set [ find default-name=ether4 ] name=LAN3

<br />
/interface ethernet set [ find default-name=ether5 ] name=LAN4

/interface ethernet set [ find default—name=ether1 ] name=WAN

/interface ethernet set [ find default—name=ether2 ] name=LAN1

/interface ethernet set [ find default—name=ether3 ] name=LAN2

/interface ethernet set [ find default—name=ether4 ] name=LAN3

/interface ethernet set [ find default—name=ether5 ] name=LAN4

Создание моста.

Переходим на вкладку Bridge. Нажимаем синий крестик и добавляем новый интерфейс моста.

Name: LAN-BRIDGE

ARP: proxy-arp

Через командную строку терминала:

<br />
/interface bridge add name=LAN-BRIDGE arp=proxy-arp fast-forward=no

1	/interface bridge add name=LAN—BRIDGE arp=proxy—arp fast—forward=no

Добавление портов в мост.

В разделе портов добавляем все наши LAN-порты (кроме WAN) нажимая синий крестик.

В каждом добавленном порте указываем:

Intrface: LAN1… LAN4;

Bridge: LAN-BRIDGE.

Это нужно для организации коммутатора. Изначально в роутере все порты сами по себе.

*можно назначить один порт мастером и привязать к нему остальные, затем в мост добавить только мастера, это было актуально для прошивок ниже 6.41.

Через командную строку терминала:

<br />
/interface bridge port add bridge=LAN-BRIDGE interface=LAN1 hw=yes

<br />
/interface bridge port add bridge=LAN-BRIDGE interface=LAN2 hw=yes

<br />
/interface bridge port add bridge=LAN-BRIDGE interface=LAN3 hw=yes

<br />
/interface bridge port add bridge=LAN-BRIDGE interface=LAN4 hw=yes

/interface bridge port add bridge=LAN—BRIDGE interface=LAN1 hw=yes

/interface bridge port add bridge=LAN—BRIDGE interface=LAN2 hw=yes

/interface bridge port add bridge=LAN—BRIDGE interface=LAN3 hw=yes

/interface bridge port add bridge=LAN—BRIDGE interface=LAN4 hw=yes

Подключение к интернету.

PPPoE.

В нашем случае подключение PPPoE. Переходим на вкладку PPP. Нажимаем на синем крестике маленький треугольник и в выпадающем меню выбираем PPPoE Client в самом низу.

В создавшемся новом интерфейсе указываем на вкладке General имя и внешний порт WAN.

На вкладке Dial Out указываем логин и пароль из договора с провайдером. Все галочки как на картинке ниже. Apply. OK.

Через командную строку терминала:

<br />
/interface pppoe-client add name=ByFly interface=WAN user=123456789012345@beltel.by password=11111 use-peer-dns=yes add-default-route=yes disabled=no

1	/interface pppoe—client add name=ByFly interface=WAN user=123456789012345@beltel.by password=11111 use—peer—dns=yes add—default—route=yes disabled=no

Правило для работы интернета.

Правило NAT выполняет замену IP-адресов локальной сети на IP-адрес внешней сети и обратно.

Переходим на вкладку IP. Выбираем Firewall.

В разделе NAT нажимаем синий крестик и добавляем новое правило как на картинке ниже.

На вкладке General выбираем:

Chain: srcnat;

Out. Interface: Byfly – наш ранее созданный внешний интерфейс PPPoE.

На вкладке Action в первом поле выбираем из выпадающего меню masquerade. Нажимаем Apply. OK.

Через командную строку терминала:

<br />
/ip firewall nat add chain=srcnat out-interface=WAN action=masquerade

1	/ip firewall nat add chain=srcnat out—interface=WAN action=masquerade

DNS.

Переходим в IP >> DNS.

Здесь нужно либо прописать DNS, либо как у меня они уже сами определились.

Обязательно ставим галочку Allow Remote Requests.

OK.

Через командную строку терминала (если DNS статический):

<br />
/ip dns set servers=8.8.8.8 allow-remote-requests=yes

1	/ip dns set servers=8.8.8.8 allow—remote—requests=yes

Локальная сеть.

Переходим в IP >> Addresses.

Пишем адрес для локальной сети. Выбираем ранее созданный интерфейс LAN-BRIDGE. Жмем Apply. OK.

Маска указывается через слэш (например /24), Network может появится автоматически.

Через командную строку терминала:

<br />
/ip address add interface=LAN-BRIDGE address=192.168.0.1/24

1	/ip address add interface=LAN—BRIDGE address=192.168.0.1/24

DHCP.

Настраиваем по необходимости. При DHCP сервере, подключаемые пользователи получают IP адреса от маршрутизатора автоматически.

Создаем так называемый пул – диапазон IP адресов, которые будет раздавать наш DHCP сервер. Переходив на вкладку IP >> Pool. Жмем на синий крестик. В открывшейся форме заполняем имя и адреса, какие мы хотим чтоб раздавались. Apply. OK.

Через командную строку терминала:

<br />
/ip pool add name=POOL-DHCP ranges=192.168.0.10-192.168.0.99

1	/ip pool add name=POOL—DHCP ranges=192.168.0.10—192.168.0.99

Создаем DHCP Server. IP >> DHCP Server.

Вводим имя, выбираем наш созданный сетевой мост LAN-BRIDGE.

Выбираем созданный на предыдущем шаге пул IP адресов POOL-DHCP.

Apply. OK.

Через командную строку терминала:

<br />
/ip dhcp-server add name=DHCP-SERVER interface=LAN-BRIDGE address-pool=POOL-DHCP disabled=no

1	/ip dhcp—server add name=DHCP—SERVER interface=LAN—BRIDGE address—pool=POOL—DHCP disabled=no

Создадим DHCP сеть. Вводим как на картинке ниже адрес сети, шлюз, маску и DNS server. Apply. OK.

Через командную строку терминала:

<br />
/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24

1	/ip dhcp—server network add address=192.168.0.0/24 dns—server=192.168.0.1 gateway=192.168.0.1 netmask=24

DHCP — привязка IP.

Привязка нужна для того, чтоб при подключении к сети одному и тому же пользователю всегда присваивался один и тот же IP-адрес.

Переходим в IP->DHCP Server->Leases-> нажимаем +

Указываем (выбираем) IP, MAC (устройства, которое хотим привязать) и наш созданный DHCP сервер. OK.

Можно привязать розданный IP-адрес. Правой кнопкой мыши на клиента DHCP -> Make Static. Теперь этому клиенту всегда будет раздаваться один и тот же IP-адрес.

Через командную строку терминала:

<br />
/ip dhcp-server lease add address=192.168.0.79 mac-address=A1:B2:C3:D4:E5:F6 server=DHCP-SERVER

1	/ip dhcp—server lease add address=192.168.0.79 mac—address=A1:B2:C3:D4:E5:F6 server=DHCP—SERVER

Открытие портов. (Проброс портов)

Переходим в IP >> Firewall >> NAT.

Добавляем новое правило на синий крестик.

На вкладке General отмечаем:

Chain: dstnat

Protocol: tcp

Dst.Port 81 (порт можно выбрать любой свободный)

На вкладке Action выбираем:

Action: dst-nat

To Addresses: 192.168.0.105 (адрес локальной камеры)

To Ports: 80 (локальный порт, у всех камер одинаковый)

Нажимаем Apply или OK.

Через командную строку терминала:

<br />
/ip firewall nat add action=dst-nat chain=dstnat dst-port=81 protocol=tcp to-addresses=192.168.0.105 to-ports=80 comment=»PORT 81″

1	/ip firewall nat add action=dst—nat chain=dstnat dst—port=81 protocol=tcp to—addresses=192.168.0.105 to—ports=80 comment=«PORT 81»

Проверяем, открылся ли порт и заработала камера.

У нас статический внешний IP адрес. Я захожу на него с указанием порта через браузер IE и вижу работающую камеру.

Открытый порт можно проверить на сервисе в интернете.

Если нужны еще камеры, создаем новые правила с другими внешними портами для других внутренних IP.

Firewall.

Правил достаточно много, по этому вводить их нужно через командную строку терминала. Правила взяты из настройки по умолчанию.

<br />
/ip firewall filter add action=accept chain=input connection-state=established,related comment=»accept established,related»

<br />
/ip firewall filter add action=drop chain=input connection-state=invalid comment=»drop invalid»

<br />
/ip firewall filter add action=accept chain=input protocol=icmp comment=»accept ICMP»

<br />
/ip firewall filter add action=drop chain=input in-interface=!LAN-BRIDGE comment=»drop all not coming from LAN»

<br />
/ip firewall filter add action=accept chain=forward connection-state=established,related,untracked comment=»accept established,related, untracked»

<br />
/ip firewall filter add action=drop chain=forward connection-state=invalid comment=»drop invalid»

<br />
/ip firewall filter add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=WAN comment=»drop all from WAN not DSTNATed»

/ip firewall filter add action=accept chain=input connection—state=established,related comment=«accept established,related»

/ip firewall filter add action=drop chain=input connection—state=invalid comment=«drop invalid»

/ip firewall filter add action=accept chain=input protocol=icmp comment=«accept ICMP»

/ip firewall filter add action=drop chain=input in—interface=!LAN—BRIDGE comment=«drop all not coming from LAN»

/ip firewall filter add action=accept chain=forward connection—state=established,related,untracked comment=«accept established,related, untracked»

/ip firewall filter add action=drop chain=forward connection—state=invalid comment=«drop invalid»

/ip firewall filter add action=drop chain=forward connection—nat—state=!dstnat connection—state=new in—interface=WAN comment=«drop all from WAN not DSTNATed»

Установка пароля администратора.

В боковом меню выбираем System >> Users.

В открывшемся окне отмечаем admin или другого нужного пользователя.

Изменяем пароль нажав на кнопку Password.

Введя пароль, нажимаем Apply.

Учетную запись admin лучше заблокировать и не использовать в целях безопасности.

Создание учетной записи через командную строку терминала:

<br />
/user add name=Batman password=Qetuoadgjl!@#12345 group=full

1	/user add name=Batman password=Qetuoadgjl!@#12345 group=full

Удаление стандартной учетной записи admin через командную строку терминала:

<br />
/user remove admin

1	/user remove admin

Так же в целях безопасности нужно отключить неиспользуемые сервисные интерфейсы IP>>Services. У данного роутера оставлено подключение только через WinBox.

Через командную строку терминала:

<br />
/ip service set telnet disabled=yes

<br />
/ip service set ftp disabled=yes

<br />
/ip service set www disabled=yes

<br />
/ip service set ssh disabled=yes

<br />
/ip service set api disabled=yes

<br />
/ip service set api-ssl disabled=yes

/ip service set telnet disabled=yes

/ip service set ftp disabled=yes

/ip service set www disabled=yes

/ip service set ssh disabled=yes

/ip service set api disabled=yes

/ip service set api—ssl disabled=yes

Когда все настройки выполнены и роутер работает как требуется делаем резервную копию конфигурации.

Резервная копия конфигурации.

В главном меню выбираем Files. Нажимаем Backup.

В открывшемся окне:

— в поле Name пишем имя для резервной копии;

— при желании устанавливаем пароль;

— отмечаем галочкой Don’t Encrypt.

Нажимаем Backup.

Среди файлов появится наша новая резервная копия. Можно перетащить её мышкой в папку ПК для сохранности.

Через командную строку терминала:

<br />
/system backup save name=config1

1	/system backup save name=config1

При восстановлении конфигурации из резервной копии выбираем нужный файл и нажимаем Restore. Перед этим рекомендуется выполнить сброс конфигурации.

Сброс в заводские настройки.

В процессе настроек ситуация может выйти из под контроля, и к роутеру пропадет доступ. Если WinBox, ping или сканер сети не находят подключенного роутер, то ничего не остается, как выполнить сброс настроек до заводской конфигурации. Для этого:

1.Отключаем питание роутера.

2.Нажимаем внутреннюю кнопку RES (reset) сброс, как на фото и подаем питание.

3.Продолжаем удерживать кнопку еще 10-15 сек.

-USR загорится зеленым и начнет мигать, затем перестанет;

-прозвучит одинарный сигнал;

-затем двойной звуковой сигнал.

На этом всё. Роутер сброшен до заводской конфигурации. Подключаемся к нему через WinBox по MAC адресу, либо по IP 192.168.88.1

2018-10-13T12:38:55

Настройка ПО

MikroTik – способы подключения.

Подключение будет осуществляться к роутеру MikroTik 951Ui 2HnD, который находится в работе в локальной сети нашей организации и лежит за подвесным потолком. Кабель ЛВС подключен во второй порт роутера. Настройки роутера временно сброшены на заводские.

По умолчанию IP-адрес для внутренней сети большинства роутеров MikroTik – 192.168.88.1 (2-5 порты).

Компьютер с которого выполняется подключение находится под управлением ОС Windows. Он должен быть в одном IP-диапазоне с роутером. Для этого в сетевом адаптере ПК указываем 192.168.88.10.

Выполним подключение следующими способами:

1.Web-браузер. Самый простой способ подключения к MikroTik.

1.Вводим в адресной строке любого браузера IP-адрес роутера: 192.168.88.1 (нажимаем Ввод)

2.На открывшейся странице авторизации вводим логин и пароль.

Логин: admin

Пароль: (пароля нет)

3.Нажимаем кнопку Login.

После выполнения авторизации видим основное меню RouterOS. На первой вкладке Quick Set выполняется быстрая настройка. Для подробной настройки в графическом интерфейсе нужно перейти на вкладку WebFig. На вкладке Terminal откроется командная строка, для выполнения настроек с помощью ввода текстовых команд.

2.WinBox

Настройки роутера и компьютера как в предыдущем разделе: роутер сброшен на заводскую конфигурацию, в ПК IP-адрес 192.168.88.10.

Скачиваем актуальную версию WinBox с официального сайта.

Запускаем скаченное приложение из папки загрузок или оттуда, где файл был сохранен.

В открывшемся окне WinBox:

1.Переходим на вкладку Neighbors.

2.Выбираем нужный роутер из списка.

3.Вводим логин admin (пароля нет).

4.Нажимаем кнопку Connect.

При нажатии на ячейку с IP-адресом, соединение будет выполнятся по IP. Если нажать на MAC-адрес, то подключение к роутеру выполнится по MAC-адресу соответственно.

После выполнения авторизации видим основное меню RouterOS.

На левой боковой панели первая вкладка Quick Set. Из неё можно выполнить быстрые настройки. Более детальная настройка во всех остальных вкладках.

Доп.

В выпадающем меню вкладки Tools основного окна WinBox можно перейти в расширенный режим – Advanced Mode. В этом режиме появляется несколько дополнительных полей.

Полезность расширенного режима становится понятной после некоторого времени регулярного использования WinBox.

3.TelNet

TelNet – сетевой протокол для реализации текстового терминального интерфейса по сети wiki.

Подключение будем выполнять через клиента PuTTy.

1.Скачиваем PuTTy в соответствии с разрядностью Windows с сайта разработчика.

2.Запускаем putty.exe из папки загрузок. В открывшемся окне указываем:

— IP-адрес роутера (по умолчанию 2-5 порты 192.168.88.1);

— тип подключения – Telnet;

— нажимаем кнопку Open.

Порт изменится сам, в зависимости от выбранного типа подключения. Или если номер порта изменен на ответной стороне, указываем его вручную.

Для удобства можно сохранить сессию подключения написав понятное имя в поле Saved Sessions и нажать кнопку Save.

3.Вводим учетные данные. По умолчанию у MikroTik логин admin, пароля нет. Нажимаем кнопку Вввод на клавиатуре.

*при вводе пароля введенные значения не отображаются

После правильного ввода учетных данных произойдет подключение. Далее управляем роутером через командную строку.

В качестве теста можно вывести список всех настроек, которые выполнены в MikroTik с помощью команды:

<br />
/export

/export

4.SSH.

SSH (англ. Secure Shell – безопасная оболочка) – сетевой протокол для удаленного администрирования через терминал, такой же как и TelNet, с отличием в повышенной безопасности в виде полного шифрования передаваемых данных. wiki

Порядок действий в данном случае следующий.

1.Создаем пару ключей шифрования.

2.Импортируем публичный ключ в MikroTik.

3.Подключаемся к MikroTik через PuTTy используя приватный ключ.

1.Создадим пару ключей. Сделать это можно в генераторе ключей PuTTY. Скачиваем puttygen.exe в соответствии с разрядностью Windows с сайта разработчика.

Запускаем PuTTy Key Generator.

Отмечаем тип ключа – RSA.

Нажимаем кнопку Generate.

Для генерации случайных вероятностей нужно возить мышкой по центру окна программы. В это время будет набираться зеленая полоска.

После завершения генерации:

-сохраняем публичный ключ, скопировав содержимое верхнего поля в отдельный файл (можно без расширения или .txt);

-сохраняем приватный ключ нажав кнопку Save private key.

*при сохранении ключей может появится сообщение о необходимости ввести passphrase (парольную фразу), в целях безопасности можно ввести, в этом примере оставим поле пустым

**кнопка Save public key создает файл ключа, но при импорте в MikroTik возникает ошибка

2.Импортируем публичный ключ в MikroTik.

Перетягиваем ключ из папки на компьютере в окошко File List роутера.

Привяжем ключ к учетной записи. Переходим через боковое меню RouterOS по следующему пути.

System >> Users >>SSH Key >> Import SSH Key.

В окне Import SSH Key указываем требуемого пользователя (для теста создан user).

Из выпадающего списка поля Key File выбираем нужный ключ.

Нажимаем кнопку Import SSH Key.

Ключ появится в списке.

3.Подключаемся к MikroTik через PuTTy используя приватный ключ.

Запускаем PuTTY, в боковом меню переходим по пути: Connection >> SSH >> Auth.

В поле Privte key file for authentication выбираем созданный ранее приватный SSH ключ кнопкой Browse.

Переходим в пункт меню Session.

Вводим IP-адрес роутера 192.168.88.1

Указываем протокол подключениия SSH

Нажимаем кнопку Open.

Появится сообщение о том, что ключ не внесен в кэш. Нажимаем кнопку ДА.

Вводим имя пользователя, которому добавляли ключ SSH. Нажимаем кнопку Ввод. Пароль вводить не требуется.

В результате произойдет подключение, далее можно вводить терминальные команды для выполнения настроек роутера.

Завершается сеанс командой:

<br />
/quit

/quit

Замеченные лаги.

При вводе пользователя выезжает запрос на ввод пароля. Ситуация возникает при смене SSH ключа.

В таком случае удаляем в реестре всю ветку каталогов, связанную с PuTTY.

Запускаем PuTTY и добавляем SSH ключ еще раз. Подключаемся к роутеру.

Для использования любого из способов, описанных выше, в MikroTik должны быть активированы доступы к указанным сервисам. По заводской конфигурации в роутере это именно так и есть. Если роутер уже находится в работе, то следует убедиться, что требуемые сервисы активированы. Сделать это можно через боковое меню IP >> Services.

Неиспользуемые сервисы нужно отключить в целях безопасности.

2018-10-11T10:49:08

Настройка ПО

Передача ролей контроллера домена на Windows Server 2012.

В предыдущих статьях:

— подключение и установка сервера;

— настройка контроллера домена.

Задача состоит в передаче ролей c основного контроллера домена Windows Server 2008 с Active Directory (AD) на резервный контроллер домена Windows Server 2012. Резервный контроллер домена (DCSERVER) должен стать основным, а тот, который сейчас основной (WIN-SRV-ST) должен стать резервным и в перспективе демонтироваться. Все действия выполняются на резервном сервере DCSERVER. Оба сервера работоспособны и «видят» друг друга.

Перед началом передачи ролей необходимо проверить, какой из серверов является хозяином ролей. Для этого вызываем командную строку Win+R >> cmd и вводим команду:

netdom query fsmo – запрос на определение хозяина ролей FSMO

По результату выполнения команды видно, что хозяин всех ролей контроллер домена, который у нас называется Win-srv-st, он сейчас основной.

Краткая справка:

FSMO (англ. Flexible single-master operations — «операции с одним исполнителем») — типы выполняемых контроллерами домена AD операций, требующие обязательной уникальности сервера, выполняющего данные операции (wiki). Это значит, что данные роли могут быть только на одном контроллере домена.

Хозяин схемы (Schema Master) – отвечает за возможность изменения существующей схемы AD (например добавление Exchange и тп.)

Хозяин именования доменов (Domain Naming Master) – добавляет/убавляет домены (если их несколько в одном лесу).

PDC (Primary Domain Controller Emulator) — эмулятор основного контроллера домена. Отвечает за смену паролей их репликацию, изменение групповой политики, синхронизацию время и совместимость с ранними версиями Windows.

Диспетчер пула RID (Relative ID Master) – создает ID для каждого объекта AD.

Хозяин инфраструктуры (Infrastructure Master) – передает информацию об объектах AD между другими контроллерами домена (например, когда пользователи из одного домена попали в соседний).

Есть еще одна очень важная роль – Global Catalog (GC) – хотя она не является FSMO т.к. её держателем могут быть несколько DC одновременно, без неё невозможно нормальное функционирование домена и его служб. GC хранит у себя копии всех объектов AD и частичные реплики других доменов леса. Он позволяет находить пользователям и приложениям объекты в любом домене существующего леса, отвечает за проверку подлинности имени пользователя, предоставляет сведения о членстве пользователя в универсальных группах, может общаться с другим доменным лесом.

Далее, смотрим в Active Directory (AD) >> Пользователи и компьютеры >> Наш домен >> Managed Service Accounts, чтоб учетная запись, под которой мы работаем, обладала всеми необходимыми правами.

Учетная запись должна как минимум входить в группы:

— администраторы домена;

— администраторы предприятия;

— администраторы схемы.

Передача ролей хозяина операций RID, PDC и Инфраструктуры.

Нажимаем правой кнопкой мыши на имя домена в каталоге и выбираем пункт – Хозяева операций…

В открывшемся окне видим, что хозяином во всех трех вкладках RID, PDC и Инфраструктура является Win-Srv-St.SCRB.local. Ниже написано: Чтоб передать роль хозяина операций следующему компьютеру, нажмите кнопку «Изменить». Убеждаемся что в самой нижней строчке имя сервера, которому мы хотим передать роль хозяина и жмем изменить. Делаем это же на всех трех вкладках.

В появившемся вопросе подтверждения жмем Да.

Роль хозяина успешно передана. ОК. Хозяином операций стал DCSERVER.SCRB.local.

Делаем то же самое на оставшихся двух вкладках PDC и Инфраструктура.

Передача роли «Хозяин именования доменов».

Выбираем в AD DS нашего сервера пункт Active Directory – домены и доверие.

Правой кнопкой мыши жмем по названию и выбираем, как и ранее, строчку Хозяин операций…

Проверяем имена серверов, нажимаем изменить.

Хозяином операций стал DCSERVER.

Передача роли «Хозяин схемы».

Первоначально зарегистрируем в системе библиотеку управления схемой AD с помощью команды regsvr32 schmmgmt.dll

Нажимаем WIN+R >> cmd

Вводим команду и получаем ошибку: Модуль «schmmgmt.dll загружен, но не удалось выполнить вызов DLLRegisterServer, код ошибки: 0x80040201.

Ошибка, потому что командную строку нужно запускать от имени администратора. Сделать это можно, например из меню Пуск. Выбираем командную строку и нажимаем запуск от имени администратора.

Еще раз вводим команду regsvr32 schmmgmt.dll. Теперь всё прошло как нужно.

Нажимаем WIN+R, пишем mmc

В открывшейся консоли выбираем Файл >> Добавить или удалить оснастку… (или жмем CTRL+M)

Среди доступных оснасток выбираем Схема Active Directory, нажимаем добавить. ОК.

В корне консоли выбираем добавленную оснастку, нажимаем на неё правой кнопкой мыши и выбираем строчку «Хозяин операций…»

Текущим хозяином схемы значится Win-Srv-St.SCRB.local. В нижней строчке тоже его имя.

При нажатии кнопки «Сменить» появляется сообщение: Текущий контроллер домена Active Directory является хозяином операций. Чтоб передать роль хозяина другому DC, нужно нацелить на этот DC схему Active Directory.

Возвращаемся к оснастке и выбираем ПКМ Сменить контроллер домена Active Directory.

В открывшемся окне выбираем нужный сервер. В нашем случае DCSERVER.SCRB.local. ОК.

Консоль выдаст сообщение: Оснастка схемы Active Directory не подключена к хозяину операций схемы. Выполнение изменений невозможно. Изменения схемы могут быть сделаны только в схеме владельца FSMO.

При этом в названии оснастки появился нужный нам сервер.

Снова жмем на неё правой кнопкой мыши и переходим к хозяину операций. Проверяем названия серверов, жмем кнопку «Сменить».

Роль хозяина операций успешно передана. ОК.

Для того, чтоб убедиться в передаче ролей, введем еще раз в командной строке netdom query fsmo

Хозяином ролей теперь является DCSERVER.SCRB.local.

Глобальный каталог.

Чтоб уточнить, где расположен GC нужно пройти по пути: AD – Сайты и службы >> Sites >>Default-First-Site-Name >> Servers >> DCSERVER

В появившейся службе NTDS Settings жмем ПКМ и выбираем – Свойства.

Если стоит галочка напротив надписи Глобальный каталог, то значит что он на этом сервере. А вообще, в нашем случае GC расположен на обоих DC.

Настройка DNS.

В настройке DNS нового основного DC пишем вот что:

В первой строчке IP адрес бывшего основного DC (Win-Srv-St), который теперь стал резервным 192.168.1.130.

Во второй строчке 127.0.0.1 т.е. самого себя (можно и свой IP написать, чтоб по конкретнее).

В том контроллере домена который у нас стал резервным записано так:

В первой строчке IP основного DC.

Во второй строчке свой IP. Все работает.

DHCP у нас в сети не работает по причине местных обстоятельств, по этому перенастраивать его не нужно. Зато нужно пройти 200 ПК и вручную прописать новый DNS. По этой причине решено пока что не демонтировать старый контроллер домена. За полгода планомерных обходов DNS у пользователей поменяются.

2018-07-21T16:45:01

Настройка ПО

Настройка контроллера домена на WindowsServer2012.

В предыдущей статье описание подключения и установки сервера.

Нужно отметить, что контроллер домена в нашей сети до этого момента уже существовал на виртуальной машине. Задача состоит в том, чтобы настроить контроллер домена на реальной машине, сделать его вторым резервным, затем передать ему полномочия главного контроллера и отключить (демонтировать) виртуальную машину. Так же за одно осуществится перенос контроллера домена с Windows Server 2008 R2 на более новый Windows Server 2012 R2. Приступим.

Сразу после установки Windows Server 2012 R2 и авторизации под учетной записью администратора на экране открывается приложение «Диспетчер серверов» и предлагает нам настроить сервер. Если он не открылся или случайно закрылся, то найти его можно на панели задач внизу слева.

Нажимаем добавить роли и компоненты.

Установка ролей и компонентов >> Далее.

Выбираем наш сервер >> Далее.

В качестве ролей сервера выбираем DNS-сервер и Доменные службы Active Directory. Как правило, DHCP-сервер идет третьим вместе с двумя предыдущими ролями, однако у нас в сети он не задействован по причине местных обстоятельств.

В разделе «Компоненты» оставляем всё без изменения >> Далее.

Читаем об службах, которые мы добавляем >> Далее.

Подтверждаем выбор и нажимаем >> Установить.

Ждем пока идет установка.

После установки в диспетчере серверов появятся AD DS и DNS. Нажимаем на флажок с предупреждением в верхней части окна и выбираем надпись – Повысить роль этого сервера до уровня контроллера домена.

Откроется мастер настройки доменных служб Active Directory. При выборе операции развертывания отмечаем пункт: Добавить контроллер домена в существующий домен.

Вводим название нашего домена, учетные данные и получаем ошибку – Не удалось связаться с контроллером домена Active Directory для домена «SCRB». Убедитесь что доменное имя DNS введено правильно.

Переходим в настройки сети и в свойствах TCP/IP проверяем, какой введен DNS. DNS-ом должен быть IP-адрес действующего контроллера домена, у нас это 192.168.1.130 (было прописано что-то другое).

Снова пробуем указать сведения о существующем домене. На сей раз ошибка другой тематики – Не удалось войти в домен с указанными учетными данными. Введите действительные учетные данные и попробуйте еще раз.

На самом деле я часто подсматриваю настройки на сайте первоисточника Microsoft. Насчет авторизации там написано, что нужно использовать учетную запись с правами администратора действующего домена.

Значит, применим эту учетную запись.

Когда все настройки введены правильно, при вводе домена можно нажать на кнопку «Выбрать» и наш действующий домен появится в списке. Выбираем его.

На следующем пункте вводим пароль из цифр и букв разного регистра>> Далее.

Следующим пунктом значатся параметры DNS. Оставляем их пока что без изменений. Жмем >> Далее.

Указываем источник репликации – действующий контроллер домена. Репликация это восстановление (синхронизация) данных Active Directory одного контроллера домена на других. Когда работает репликация изменения в одном контроллере домена (допустим создание нового пользователя) через некоторое время переносятся и во все остальные.

Расположение баз данных AD и файлов оставляем без изменения.

Параметры подготовки >> Далее.

Предоставляется последний шанс проверить параметры. Проверяем, жмем – Далее. Начнется проверка предварительных требований.

Нажимаем – Установить.

После установки и перезагрузки автоматически начнется репликация. Для того, чтоб в этом убедиться, переходим в Диспетчер серверов >> AD DS. Нажимаем правой кнопкой мыши на наш контроллер домена DCSERVER и выбираем пункт меню – Пользователи и компьютеры Active Directory. Откроется оснастка и в директории Managed Service Accounts мы начинаем узнавать знакомых пользователей. Всего в домене у нас пока что около 70 пользователей. Все они со временем появились.