16.7 C
Firenze
giovedì, Aprile 23, 2026
Home Blog Page 4165

Installazione e Configurazione LAPS per la gestione delle Password – Fase 2

Andrea C.
-
0

GUIDA INSTALLAZIONE – fase 2) IMPOSTAZIONI ACTIVE DIRECTORY :

A questo punto dobbiamo impostare (modificare) AD per la impostazioni di LAPS.
In powershell (sul DC) questi due comandi preparano la struttura AD, aggiungendo alcuni campi nelle proprietà degli oggetti COMPUTER :

Import-Module AdmPwd.PS
Update-AdmPwdADSchema

La risposta deve essere “success”:

Abilitare i computer del dominio per fare in modo che possano gestire la propria password in autonomia.
Per farlo gli diamo una “GRANT” di permessi con questo comando :

Set-AdmPwdComputerSelfPermission -OrgUnit “OU Server Microsoft”
esempio con OU più “annidate”:
Set-AdmPwdComputerSelfPermission -OrgUnit “OU=mia,OU=LAPS Lab,DC=ADShotGyan,DC=com”

è necessaria anche la GRANT per il reset delle password

Set-AdmPwdResetPasswordPermission -OrgUnit “OU=LAPS Lab,DC=ADShotGyan,DC=com”

A questo punto possiamo decider la nostra policy.
ATTENZIONE : se viene specificato un nome nella voce “Name of Administrator account to manage” , Laps cercherà di modificare quello e non Administrator!
Ci vogliono 2 policy diverse in caso di amministratori con nomi diversi. Una policy (per nome) gestisce solo quell’amministratore

Vedere Anche : Comandi e Diagnostica

Laps, Microsoft Laps, gestione password Laps, Deploy Laps, Deploy Microsoft Laps, Install Microsoft Laps

Installazione e Configurazione LAPS per la gestione delle Password – Fase 1

Andrea C.
-
0

LAPS consente di gestire una password randomica per amministratore locale differente su ogni computer gestita localmente senza necessità di un generatore centralizzato di password.
Tramite LAPS è possibile gestire, tramite una GPO client-side extension (CSE),:

  • il nome del local administrator account
  • il periodo di rinnovo e la lunghezza e complessità della password
  • rende disponibile una serie di cmdlet PowerShell per una gestione automatizzata.

Note IMPORTANTI di funzionamento:

    • LAPS gestisce solo le password. Laps non blocca e non “sblocca” utenze (quindi non sblocca l’Administrator “inerte” di Windows 7 o Windows10)
    • LAPS deve essere installato sul Domain Controller.
      Se non viene fatto ci sarà un problema con un file Template delle policy che dovrà essere riportato nelle cartelle SYSVOL per la sincronizzazione e, se non fatto, la policy (da settare) non appare.
    • LAPS deve essere installato con un utente che abbia il ruolo di “Schema Admins” perché deve effettuare delle modifiche nello schema AD (UpdateAdmPwdADSchema)
    • I membri di “Domain Admins” sono abilitati di Default a visionare le password e non gli può essere tolto il privilegio senza togliere il ruolo. Se il ruolo deve essere dato anche ad altri è possibile definire un gruppo di persone o una OU che possa accedere all’attributo password
    • Le password sono IN CHIARO nelle proprietà AD
    •  

Questi sono i CAMPI che verranno aggiunti all’account COMPUTER per la gestione delle password:

GUIDA INSTALLAZIONE – fase 1) DEPLOY:
Scaricare e installare il componente con installazione standard.
Download componente : https://www.microsoft.com/en-us/download/details.aspx?id=46899

Creare, sul server, una cartella condivisa (la chiameremo laps$).
Deve essere accessibile al gruppo “Domain Computer” sia come permessi di condivisione, sia come NTFS.
Mettere in questa cartella gli .Exe scaricati con cui abbiamo installato LAPS.
Questa condivisione deve essere raggiunta dalle macchine che dovranno installare (su se stesse) il componente LAPS che verrà prelevato da questa share.

Creare una policy (a dominio o su una specifica OU) per il DEPLOY del pacchetto.
Possiamo chiamare questa policy “Deploy-LAPS”.
Deve essere impostata sotto : Computer > Policy > Software Settings

New > Package

Indicare il file .exe nella forma seguente: \\condivisione\….
Deve essere un percorso che la vm di destinazione possa raggiungere.

Nel Deploy METHODS selezionare “Advanced”

Impostare le proprietà in questo modo:

Nella scheda “security” riportare nuovamente “Domain Computers”

La stessa procedura deve essere fatta anche per il pacchetto a 32bit ma quando viene creato il pacchetto assicurarsi di modificarlo per deselezionare l’opzione” Rendi questa applicazione X86 a 32 bit disponibile per i computer Win64”. (va rimossa).
Troverai questa opzione quando fai clic con il pulsante destro del mouse sul pacchetto x86> Proprietà> Distribuzione. Ciò garantirà che i computer a 64 bit ottengano la DLL a 64 bit e che i computer a 32 bit ottengano la DLL a 32 bit.

Se le impostazioni sono state fatte correttamente, dopo un po’ di tempo, nelle macchine TARGET apparirà LAPS come applicazione installata

Prosegui su : Installazione e Configurazione LAPS per la gestione delle Password – Fase 2

Laps, Microsoft Laps, gestione password Laps, Deploy Laps, Deploy Microsoft Laps, Install Microsoft Laps

Netwrix – File Storage Audit Service – Err. 6107

Andrea C.
-
0

Per l’errore su FIleserver :

The following audit policies are not properly configured for the ‘srvfileserverh’ server:
Category: Object Access. Subcategory: Audit File System. Currently, the value is ‘No Auditing’, but must be set to ‘Success’.
Category: Object Access. Subcategory: Audit Handle Manipulation. Currently, the value is ‘No Auditing’, but must be set to ‘Success’.
Category: Object Access. Subcategory: Audit File Share. Currently, the value is ‘No Auditing’, but must be set to ‘Success’.
Category: Object Access. Subcategory: Audit Removable Storage. Currently, the value is ‘No Auditing’, but must be set to ‘Success’.

la policy locale deve essere attivata in questa sezione:

netwrix policy, File Storage Audit Service , netwrix 6107, netwrix No Auditing

Installazione Language Package on Windows 2016 (dietro WSUS)

Andrea C.
-
0

Se siamo dietro un SCCM o WSUS potrebbe non essere possibile installare il Language Package (italian) su Windows Server 2016.
Per verificare questo possiamo usare questo comando powershell:

$MUSM = New-Object -ComObject “Microsoft.Update.ServiceManager”
$MUSM.Services | select Name, IsDefaultAUService

la risposta potrebbe essere:

Windows Update Standalone Installer – False
Windows Server Update Service – True
Windows Update – False

in questo caso non potremo installare il Language Pack con le normali funzioni da impostazioni o pannello di controllo.
In questo caso dobbiamo procurarci il “mu_windows_server_2016_language_pack_x64_dvd_9327828.iso”, disponibile per il Download di MSDN che contiene 28 lingue.

Può essere scaricato su Microsoft Volume License Site o Microsoft Visual Studio Subscription

Una volta collegato al server il comando di installazione (as Administrator) sarà : 

dism.exe /online /add-package /packagepath:D:\langpacks\de-de\x64fre_Server_de-de_lp.cab

Reboot del Server dopo l’installaazione.
Per controllare le lingue installate.

C:\Windows\system32>dism /online /Get-intl

per avviare la GUI di modifica della lingua : lpksetup.exe

Clients can’t add language packs because of WSUS, how install mu_windows_server_2016_language_pack_x64_dvd_9327828, Cambiare Lingua di sistema Windows Server 2016, A language pack isn’t available, Language Package on Windows 2016, Language Pack Italian on Windows 2016

Configurazione di Autenticazione Kerberos su IIS

Andrea C.
-
0

Ecco una guida dettagliata su come configurare l’autenticazione utente del dominio Kerberos SSO (Single Sign-On) trasparente sul sito Web IIS che esegue Windows Server 2012 R2.
Avviare Gestione IIS sul tuo server Web, selezionare il sito Web e andare alla sezione Autenticazione . Come si vedere, solo l’ autenticazione anonima è abilitata per impostazione predefinita. Disabilitarla e abilitare l’ autenticazione di Windows ( innanzitutto IIS cerca sempre di eseguire l’autenticazione anonima ).

Aprire l’elenco dei provider, disponibili per l’autenticazione di Windows ( provider ). Per impostazione predefinita, sono disponibili due provider: Negoziazione e NTLM . La negoziazione è un contenitore che utilizza Kerberos come primo metodo di autenticazione e, se l’autenticazione fallisce, viene utilizzato NTLM. È necessario che Negoziazione venga per prima nell’elenco dei provider.

Il passaggio successivo include la registrazione della voce principale del servizio (SPN) per il nome del sito Web, a cui gli utenti accederanno. 
Creare un account AD separato e associare voci SPN ad esso. Il pool di applicazioni di destinazione del nostro sito Web verrà avviato da questo account.

Creare un account di dominio iis_service con relativa password . Assicurarsi che le voci SPN non siano assegnate per questo oggetto (l’attributo servicePrincipalName è vuoto).

Supponiamo che il sito Web debba rispondere a http: //webportal e http: //webportal.test.loc . Dobbiamo specificare questi indirizzi nell’attributo SPN dell’account del servizio.

Setspn /s HTTP/webportal dominio\iis_service
Setspn /s HTTP/webportal.test.loc dominio\iis_service

è possibile verificare l’assegnazione con questo comando : setspn /l iis_service

A questo punto, tornando sul server WEB, dobbiamo modificare il Pool di Applicazioni

Aprire le Impostazioni avanzate e spostarsi su Identità.> Identità pool di applicazioni
Modificare da ApplicationPoolIdentity in dominio\ iis_service .

Tornare al sito Web in Gestione IIS (non zona Pool)  e selezionare Editor di configurazione .
Nel menu a discesa selezionare system.webServer> sicurezza> autenticazione> windowsAuthentication

Impostare in questo modo :

Concludere la configurazione e resettare con IISreset.
Testiamo l’autenticazione Kerberos. Per farlo, apri http: //webportal.test.loc nel browser del client.
Nota Nel mio caso, non sono riuscito ad autenticarmi immediatamente in IE11. Ho dovuto aggiungere l’indirizzo all’elenco dei siti Web attendibili e specificare Accesso automatico con nome utente e password correnti in Autenticazione utente -> Accesso nelle impostazioni di Siti di zone attendibili.

E’ possibile assicurarsi che l’autenticazione Kerberos sia utilizzata sul tuo sito Web mediante il monitoraggio del traffico HTTP tramite Fiddler. Avviare Fiddler e aprire il sito Web di destinazione nel browser. Nella parte sinistra della finestra, trovare la linea di accesso al sito Web. Andare alla scheda Inspectors nella parte destra della finestra. La linea ” Intestazione autorizzazione (negoziazione) sembra contenere un ticket Kerberos ” indica che Kerberos è stato utilizzato per l’autenticazione sul sito Web IIS.

Configurazione di Autenticazione Kerberos su IIS, Sso Autenticazione IIS, sso iis, implementare sso iis, enable sso iis, sso iis enable

 

Netwrix – Guida di impostazione per SQL Server

Andrea C.
-
0

A questo indirizzo è presnete la guida di base (how-to) per l’impostazione del database Sql Server di Netwrix

https://helpcenter.netwrix.com/Installation/Deployment_Planning/SQL_Server_Database/Deployment_Planning_SQLServer.html

nello specifico dimensionamento del database, installazione reporting server, etc

Fonte : Netwrix WebSite

Netwrix Guida di impostazione per SQL Server, Netwrix Database, Netwrix Sql Server, Guida Netwrix Sql Server, Sql Server per netwrix

Datastore (1) aggiunto a Vmware Esx e non Rinominabile

Andrea C.
-
0

Se abbiamo una situazione (server Esx1) in cui un datastore ha un nome preciso :

se aggiungiamo lo stesso datastore su un altro server e al nome si aggiunge un (1) è perchè abbiamo scritto qualcosa in modo diverso.
Barre aggiunte all’inizio e alla fine, spazi (che capitano nel copia incolla) possono causare questi problemi.
Ecco un esempio di come stavo aggiungendo lo stessoo datastore su un altro server. Si nota la differenza? c’è una “barra” di troppo

Datastore (1),Datastore (1) vmware

Utilizzo di SHREW SOFT VPN CLIENT per connessione IPSEC su PfSense

Andrea C.
-
0

La configurazione riportata in questa pagina è valida solo per la VPN Ipsec erogata da questa configurazione di Pfsense.
Per altre connessioni VPN è necessario impostare i parametri dedicati.

Creare un nuovo profilo specificando l’indirizzo ip :

Client TAB:

Sulla scheda “Name Resolution” disattivare DNS e WINS.
Tab Authentication

Nella Pre Shared Key utilizzare quella impostata in Pfsense..

Impostazioni Phase1

Nessuna Modifica a Phase2 o Policy

 

Configurazione di una VPN IPSEC su PFSENSE per Client

Andrea C.
-
0

Guida per la Configurazione di una VPN IPSEC su PFSENSE per Client (Windows o Altro).
La versione PfSense utilizzata è la : 2.4.2

Nella sezione VPN > IPSEC dobbiamo creare le due fasi del Tunnel.

Iniziamo con la Phase1 (come da immagine allegata)
il gruppo utilizzato nel Peer Identifier … per ora prendiamo per buono. Lo creeremo dopo

Configuriamo la PHASE2
Non so se questa sia la configurazione migliore ma, nel mio caso, funziona.

Configuriamo la sezione MOBILE CLIENTS.
Le voci più importanti in questa sezione sono : Virtual Address Pool e “Provide a list of accessible networks to clients”
Senza la seconda non sarà possibile interazione tra il client e la rete LAN (anche se il Tunnel va su correttamente, non ci saranno risposte ai PING)

E’ importante creare una regola di Firewall per permettere il Traffico:

Sotto System > User Manager > Groups creiamo il gruppo che abbiamo utilizzato prima nella Phase1 come Peer Identifier

A questo punto creiamo un utente di Autenticazione in System > User Manager > Users
Il nostro utente deve essere membro del gruppo creato prima ed avere anche dei ruoli assegnati. I ruoli “non si vedranno in fase di creazione”. Dovremo ri-editare l’utente successivamente.
Il risultato finale sarà : 

Questa è la configurazione corretta per PfSense.
Per l’impostazione del client vedere la guida dedicata.

Configurazione di una VPN IPSEC su PFSENSE per Client, pfsense, pfsense ipsec, setup pfsense ipsec vpn 

Zabbix – Alert in caso di Files più vecchi di un Giorno

Andrea C.
-
0

Tramite Zabbix (agent) è possibile interrogare una specifica directory per capire se vi sono, all’interno, files più vecchi di uno o più giorni.

Item.
Per costruire l’item , utilizzeremo il controllo : vfs.dir.count
Esempio: vfs.dir.count[“cartella”,,,file,,0,,,1d,]

Per il Trigger possiamo utilizzare :

{server:vfs.dir.count[“cartella”,,,file,,0,,,1d,].last()}<>0

Esempio :

{srvfileserver:vfs.dir.count[“D:\Dati\Intesa\FEXML\TX\”,,,file,,0,,,1d,].last()}<>0

Zabbix, Zabbix Agent file Vecchi, old file Zabbix, Files più vecchi di un Giorno Zabbix, Zabbix monitor, Zabbix old files monitor

1...4.1644.1654.166...4.273Page 4.165 of 4.273

Ultime dal Nostro BLog

Il presente sito non è collegato in alcun modo, direttamente o indirettamente, alle Fonti delle notizie segnalate né può essere ritenuto responsabile ad alcun titolo dei loro contenuti. Si precisa altresì che le notizie segnalate dall’aggregatore NON sono da intendersi in alcun modo di proprietà del sito GenSys.it, ad eccezione degli articoli e dei documenti pubblicati nel blog.

Contact us: andrea.c@serverbay.it

© Copyright 2022 - Serverbay.it - Eteon.it