FreePBX - настраиваем в fail2ban локальные ip и адреса провайдеров SIP

Очень опасная ошибка при настройке freepbx заключается в том, что зачастую никто не добавляет в игнор-лист доверенные хосты. И при совершенно безобидных попытках зарегистрироваться с неправильным паролем, fail2ban заносит sip-аппарат в блок-лист. Или того хуже - SIP оператора.

Для включения доверенных узлов в игнор-лист необходимо:

• В файле /etc/fail2ban/jail.conf добавить запись типа: 

ignoreip = 127.0.0.1/8 192.168.0.0/24

• Ребутнуть службу fail2ban: 

service fail2ban restart

Powershell: Отправка email сообщения об ошибке

Необходимо вставить код в самое начало скрипта и отредактировать переменные

function Send-Mail ($Body) {
    $emailSmtpServer = "server"  
    $emailFrom = "robot@server"
    $emailTo = "you@server"
    $emailSubject = "Ошибка при выполнении скрипта _Имя_Скрипта на сервере _Имя_Сервера"


    Send-MailMessage -To $emailTo -From $emailFrom -Subject $emailSubject -Body $Body -BodyAsHTML -SmtpServer $emailSmtpServer -Encoding UTF8

}

$ErrorActionPreference = 'stop'
trap { 
    $ErrorMessage = $_.Exception.Message
    #this will run if terminating error occurs
    $ErrorActionPreference = 'Continue'
    Send-Mail -Body "Во время выполнения скрипта _Имя_Скрипта, произошла неисправимая ошибка: -'$ErrorMessage'"
    break
}

TMG HTTPS inspection - ошибка при открытии сайтов с новыми типами сертификатов

С некоторого времени, многие сайты стали переходить на более защищенные типы сертификатов, но к большому сожалению это пошло в разрез с возможностями https ispection в TMG. И если у вас обычный сертификат для выдачи, то вы получаете следующую ошибку:

Для того, чтобы TMG нормально открывала сайты с CNG  сертификатами, необходимо:

Выполнить скрипт от администратора в powershell для создания self signed сертификата, и задействовать данный сертификат для TMG и клиентов.
Скрипт - ссылка

Источник:
http://blogs.technet.com/b/isablog/archive/2014/05/28/tmg-https-inspection-is-failing-if-the-target-web-site-is-using-a-cng-certificate.aspx

Уменьшаем размер tempdb в MS SQL 2008+

Периодически сталкиваюсь с проблемой нехватки места на SQL сервере. И как правило причиной этому служит база tempdb. Для её очистки, можно сделать задание для агента со следующим запросом:

use tempdb
GO

DBCC FREEPROCCACHE -- clean cache
DBCC DROPCLEANBUFFERS -- clean buffers
DBCC FREESYSTEMCACHE ('ALL') -- clean system cache
DBCC FREESESSIONCACHE -- clean session cache
DBCC SHRINKDATABASE(tempdb, 10); -- shrink tempdb
dbcc shrinkfile ('tempdev') -- shrink db file
dbcc shrinkfile ('templog') -- shrink log file
GO

-- report the new file sizes
SELECT name, size
FROM sys.master_files
WHERE database_id = DB_ID(N'tempdb');
GO

Открываем доступ отделу HelpDesk на импорт списка терминальных хостов с RDS Broker, и возможностью подключения к удаленным сеансам

 Для организации удаленной поддержки клиентов терминальной фермы состоящей из нескольких хостов - необходимо:

1. 1) Если еще нет, то создать в AD группу безопасности. Например - RDS-Support
2. 2) На каждом терминальном сервере:

• - назначить группе RDS-Support полные права для RDP-Tcp соединения:

 

• - назначить группе RDS-Support, WMI права (Read Security) для TerminalServices\

• В mmc консоли добавить оснастку WMI Control (local)
• В закладке Security раскрыть путь- ROOT\CIMV2\TerminalServices\ms_409

                              

• Назначить права Read Security для нашей группы

                                          

Openfire 3.8 и NTLM аутентификация

Стоял успешно Openfire 3.7. Недавно вышла версия 3.8, и я подзабыл уже как и что делать надо. Поэтому эта запись больше для себя, если вам поможет – буду рад.

Ставим Openfire как обычно, проходим настройку. В версии 3.8.0 были проблемы с ростерами, поэтому обновляем night сборкой до 3.8.1 alfa, просто копируя все поверх. Затем патчим для прозрачной авторизации. Берем его отсюда. Делаем все по инструкции внутри:

1. копируем файлы в каталог с установкой.

2. в файле \jre\lib\security\java.security после строк

security.provider.8=sun.security.smartcardio.SunPCSC
security.provider.9=sun.security.mscapi.SunMSCAPI

вставляем строку

security.provider.10=net.za.darkskies.security.sasl.SSPIProvider

3. в файл \conf\openfire.xml после тега <jive> добавляем

<sasl>
<mechs>ANONYMOUS,PLAIN,DIGEST-MD5,CRAM-MD5,NTLM</mechs>
<realm>[openfire_server]</realm>
</sasl>

4. Заходим на страницу администрирования Server Manger > System Property и создаем параметр sasl.realm
Значением параметра устанавливаем NETBIOS-NAME ДОМЕНА!!!
5. Там же находим параметр sasl.approvedRealms и УДАЛЯЕМ его если у вас ОДИН домен.
Создаем параметр sasl.mechs – ANONYMOUS,PLAIN,NTLM
Создаем параметр provider.authorization.classList со значением (одной строкой!) -
org.jivesoftware.openfire.sasl.StrictAuthorizationPolicy org.jivesoftware.openfire.sasl.DefaultAuthorizationPolicy

Вроде все, перезапускаем, пробуем авторизоваться мирандой.

Тонкости System Properties:

ldap.adminDN domen\admin

ldap.baseDN dc=”example”,dc=”com”

ldap.host example.com

sasl.realm EXAMPLE //Обязательно заглавными

xmpp.domain openfire //Имя хоста с openfire

Источник: http://sergzay.wordpress.com/tag/openfire/

Выключаем автономные файлы (Offline Files, Sync Center...) централизованно

Для выключения этого безобразия, создаем новую групповую политику и выполняем следующие изменения:

Local Computer Policy\Computer Configuration\Administrative Templates\Network\Offline Files

Change the following:

Allow or disallow use of offline files feature: Disabled
Prohibit user config: Enabled
Sync all offline files when logging on: Disabled
Sync all offline files when logging off: Disabled
Sync offline files before suspend: Disabled
Remove ‘Make offline’: Enabled
Prevent use of Offline Files folder: Enabled