Skip to Content

IT nieuczesane.
category

Category: tips’n’tricks

Hyper-v replication–konfiguracja

podczas konfiguracji Hyper-V replication można natrafić na wiele niespodzianek. teoretycznie jest to trywialne w konfiguracji – w praktyce artykuły są niepełne i wprowadzają w błąd. podstawowy jaki można znaleźć już zamieszczałem:

teraz testowałem konfigurację cluster-to-cluster i dwie ciekawostki:

  • teoretycznie usługa broker potrzebna jest na docelowym klastrze. niemniej trzeba ja zainstalować również na źródłowym – ponieważ jest tak dziwnie zaprojektowane, że będzie przedstawiać się FQDN’em CAP zasobu brokera [jego nazwą i IP]. żeby było ciekawiej – sam zasób brokera oraz obiekt CAP w AD można wyłączyć a nadal będzie działać /:
  • podczas generowania certyfikatu na replika-serwerze trzeba dodać SAN dla nazw obu węzłów klastra. czyli certyfikat musi mieć:
  • nazwę z CN dla brokera
  • nazwy wszystkich węzłów jako alternate name
  • takiego certyfikatu nie da się wygenerować makecertem – nie obsługuje alternate names. jedymym obejściem przy self-signed jest wygenerowanie certyfikatu wildcardowego.
  • jeśli na klastrze repliki będzie cert tylko z nazwą brokera, podczas konfiguracji Hyper-V replica pojawi się błąd:

    connection with the server could not be wstablished (0x00002EFD)

    HV connot connect to specified Replica server ‚<NODE-A>’. Error: A connection with the server could not be established (0x00002EFD). Verifiy that the specified server is enabled as a Replica server, allows inbound connection on port 443 and supports the same authentication scheme

    ten błąd jest dość mylący i dopiero rzut okiem do eventlogu wskazuje prawdziwy problem – brak obsługi na drugim węźle ze względu na certyfikat.

    eN.

    Replikacja Hyper-V – url revocation list check failed

    wraz z ws2o12 i nowym Hv v3 jest możliwość replikowania maszyny na zdalnego hosta. najbardziej interesujący scenariusz to replikacja hostingowa – jest sobie firma, która outsource’uje usługi IT i chce, aby ich maszyny były dodatkowo zabezpieczone. do tej pory wymagało to tworzenia całkiem wymyślnych struktur – VPNy, trusty, skomplikowane procedury recovery czy inne wynalazki. teraz scenariusz jest trywialny:

    • no owszem.. jakiś VPN czy inna komunikacja jest niezbędna
    • Hyper-v v3 u klienta i Hyper-v v3 w ośrodku hostującym
    • brak trustów, jakichkolwiek innych związqw między domenami. jedyny mechanizm uwierzytelniający to certyfikaty zdefiniowane po obu stronach. de facto cross-trust między rootCA choć wystarczy na wybranych serwerach

    jakie jest PKI każdy widzi (; CRLe często-gęsto są niedostępne. w labie z kolei łatwiej byłoby zrobić na selfsign’ach a nie bawić się w stawiania CA. a więc kilka tricków z pola walki:

    • do generowania certów można użyć makecert. niestety, pomimo że ma tylko 37kb nie ma go w systemie /: trzeba ściągnąć i zainstalować kilqGB SDK do Windows. LoL. albo sięgnąć po tego linka.
    • łatwo znaleźć art, w którym krok po korq opisana jest cała konfiguracja łącznie z poleceniami dla makecert – które są trudne i łatwo się pomylić. więc to bardzo ładnie, że ktoś to tak zacnie opisał
    • jest nawet polecenie w rejestrze wyłączające weryfikację CRLi. i tu się zaczyna problem, ponieważ on nie działa. ktoś zapomniał dopisać jeszcze jednego wpisu w rejestrze:

      ten wpis jest potrzebny zarówno przy clustrze jak i bez niego. kluczowa informacja
    • zmiany działają natychmiast i nie wymagają restartów – a więc jeśli nadal pojawia się błąd, to należy sprawdzić czy wartości są poprawnie wprowadzone do obu kluczy

    eN.

    instalacja systemu na po-DPMowej maszynie

    System Center Data Protection Manager to eMeSowy backup. mając do czynienia z kilkoma produktami do backupów śmiało mogę powiedzieć – ten jest najinniejszy ze wszystkich q: jedną z ciekawostek jest fakt, że dla każdego backupowanego systemu tworzona jest oddzielna partycja. taka partycja raz na jakiś czas się kończy. wtedy system tworzy kolejną partycję … i spanuje ją z poprzednią. wychodzi z tego straszny potwór. kiedy zajrzy się do diskmanagera na żywym systemie, gdzie backupowanych jest wiele serwerów – ilość ‘kreseczek’ jest nie do ogarnięcia. kreseczek – ponieważ nawet przy rozdzielności full hd ilość partycji jest zbyt duża, żeby starczyło miejsca na ich wyświetlenie (; zresztą – tam się raczej nie zagląda…

    niemniej może to stanowić problem. wedle zasady ‘jedno doświadczenie nie stanowi dowodu’ nie mogę powiedzieć, że to co opiszę poniżej jest zasadą, ale tak się stało ostatnio:

    padł serwer DPM i trzeba było przeinstalować system. po uruchomieniu instalacji windows, ta zawisała na 2o min do 2h zanim pokazał się ekran wyboru dysq dla systemu operacyjnego. instalacja działa jakoś wolno. dochodzi do ostatniego punktu i zawiesza się. czekaliśmy ok. dnia. drugi test – to samo. postanowiliśmy wyłączyć dyski, na których są backupy DPM. cała instalacja śmignęła i po nie całej godzinie system działał.

    być może winą były sterowniki dla RAID… jednak imho powodem było to, że system próbował skanować wszystkie partycje w poszukiwaniu jakiś danych i się gubił w labiryncie spanowanych dysków dynamicznych. jeśli ktoś miał podobne doświadczenie i potwierdzi lub obali będzie miło (:

    btw. jest opcja kolokacji danych na partycji. w nowym DPM 2o12 ponoć mocno poprawiona. póki co dopiero zaczynam swoją przygodę z tym produktem…

    eN.

    brak szablonów certyfikatów v2

    ha! tydzień rozwiązywania problemów (: wakacje to jednak piękna rzecz – to kolejna wyjaśniona tajemnica w krótkim czasie. tym razem trafił się serwer Enterprise RootCA. PKI to od jakiegoś czasu moje hobby [dzięki Pauli *] więc nie odpuściłem:

    • pojedyncze Ent root CA jako issuing. standardowa ‚zwalona’ instalacja u klienta czyli ‚wsadził-wyjął-PKI’. no co zrobić – tak jest i trzeba z tym póki co żyć
    • serwer w wersji w2k8 R2 standard
    • po utworzeniu nowych szablonów, których jakoś nikt do tej pory nie zrobił, nie można ich dodać do publikacji na CA

    podczas próby wyszukania jakiejś pomocy wszystkie linki dotyczyły podstawowego błędu – szablony w wersji v2 i v3 nie są obsługiwane przez wersję standard, wymagany jest enterprise. tyle, że od wersji w2k8 R2 ten limit zniesiono. żeby się upewnić postawiłem sobie wirtualkę w2k8r2std, na niej CA i na szybciorka upewniłem się, że spokojnie obsługuje v2 i v3. po długim debugowaniu w końcu znalazłem:

    • atrybut ‚flags’ dla obiektu ‚CN=MYCANAME,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=AD’ na partycji konfiguracji zawierał wartość ‚2’

    znaczenie tego atrybutu to:

    • 2„: Enterprise CA running on Standard Edition
    • 10„: Enterprise CA running on Enterprise Edition
    • 5„: Standalone CA running on Standard Edition
    • 9„: Standalone CA running on Enterprise Edition

    prawdopodobnie maszyna była upgradowana z wersji Windows 2oo8 std a instalator nie modyfiqje takich rzeczy. pomyślałem, że to on dyktuje dostępność szablonów i trafiłem – na wirtualce, pomimo wersji std, atrybut ustawiony był na ‚1o’. zmiana na produkcji, replikacja, restart usługi – voila! ^^

    refs:

    eN.

    zmiana membership dla konta komputera bez restartu

    podręcznikowo:
    bilet sesyjny jest tworzony podczas logowania się [user]/startu [komputer]. wtedy też sprawdzane i zapisywane są informacje o przynależności do grup. w efekcie po modyfikacji przynależności do grupy trzeba przelogować [users]/zrestartować system [komp].
    to oczywista oczywistość wykładana na podstawowym kursie. o ile w przypadku usera operacja logon/logoff zazwyczaj nie jest krytyczna o tyle restart serwera zazwyczaj boli. czy zatem da się zmienić przynależność do grupy konta serwera i go nie restartować? owszem.
    wykonuje się to przy pomocy polecenia klist a dokładny opis z testem znalzlem na blogu terriego L@U – tak jakoś podobnie do mojego LU (;

    dodatkowym przydatnym narzędziem w całym zadaniu może być sysinternalsowe logonsessions. klist jest od wersji 7/2k8 standardowo w systemie. operacja sprowadza się do wyczyszczenia listy biletów i zmuszenia przez to serwera to ich odświeżenia:
    klist -li <nrsesji> purge

    eN.

    weak event living on wrong object

    brzmi jak słowa piosenki. develperskiej piosenki (;

    foerr

    problemem jest jak się okazuje KB2750149 zainstalowany na Hyper-V na Failover Cluster. błąd generauje konsola clustra. więcej informacji można znaleźć np. tu.

    poprawkę trzeba póki co odinstalować, zrestartować i zablokować na WSUS.

    eN.

    znikająca drukarka

    drukarka sieciowa HP, podłączona w biurze w oddziale. lokalnie działa normalnie, ale z różnych względów ma być na printserverze w centrali. i zaczynają się dziwne objawy: drukarka działa przez ok 1min po czym zwykły timeout. drukarka znika z sieci. wystarczy wejść w opcje konfiguracji i dokonać jakiejkolwiek zmiany i drukarka znów pojawia się na chwilę. po czym znika.

    zgłoszenie do wsparcia HP – można było przewidzieć odpowiedź. standardowy bełkot bez żadnej wskazówki.

    próbowałem skanować ruch sieciowy, ale bez możliwości zdefiniowania portu monitorowania na switchu nie da rady. router zbyt prymitywny i nie miał tcpdump czy czegoś w podobie. ogólnie wszystko wyglądało prawidłowo.

    problem rozwiązał qmpel… okazało się, że na switchu był ustawiony nieprawidłowy gateway. po ustawieniu prawidłowego, drukarka zaczęła działać jak trzeba.

    to rozwiązanie pozostawia jednak więcej pytań niż odpowiedzi. pewnie nie będzie czasu już nad tym posiedzieć:

    • konfiguracja TCP/IP na switchu nie jest obligatoryjna – jest to [a w każdym razie AFAIK powinno] być wyłącznie jako interfejs zarządzania. poza tym switch powinien być przeźroczysty
    • nawet jeśli ten GW był do czegoś wykorzystywany – skąd to dziwne zachowanie, że przez jakiś czas [1-2 minuty] działało ok i przestawało?
    • drukarka miała prawidłowo ustawiony GW, a skoro komunikacja była zrywana oznacza to, że switch ingeruje w ramki albo ma buga na poziomie obsługi IP! /:

    jedynym sposobem byłoby przywrócenie konfiguracji, ustawienie portu monitorującego i wysniffowanie ruchu. dodam tylko, że to switch Dell. pozostaje w kategorii w-files.

    eN.

    SkyDrive Pro

    wbrew temu co pisałem, SkyDrive Pro działa z SP w wersji 2o1o.
    q przypomnieniu – SkyDrive Pro to nowa nazwa SharePoint Workspaces. SPW z Office 2o1o zainstalowane na w8 nie integruje się explorerem – praca na plikach jest upierdliwa. SD Pro pojawia się w office 2o13. z opisu wynikało że wykorzystuje inny protokół i że nie jest kompatybilny wstecz, ze starymi SP. Jednak bez problemu można dodać bibliotekę do synchronizacji i wpisać adres SP. w katalogu użytkownika pojawia się katalog synchronizowany ‚skydrive pro’ – dokładnie tak, jak w przypadku skydrive czy dropbox jeśli ktoś używa takich appsów.

    eN.

    Szyfrowanie poczty certyfikatem x5o9

    *UPDATED…again*

    pamiętam, że na uczelni – czyli ponad dekadę temu – każdy gówniarz, włączając mnie, wiedział co to PGP, miał certyfikat i się tym bawił. oczywiście ponieważ nasze dane były bardziej super fajne niż super tajne, po dwóch-trzech miesiącach każdy się nudził zabawą i certyfikaty poszły w zapomnienie… a było tak:

    Projekt PGP został zapoczątkowany w 1991 przez Philipa Zimmermanna i rozwijany z pomocą społeczności programistów z całego świata[1].

    Wydarzenie to stało się pewnym przełomem – po raz pierwszy zwykły obywatel dostał do ręki narzędzie chroniące prywatność, wobec którego pozostawały bezradne nawet najlepiej wyposażone służby specjalne.

    Wikipedia

    Ponad 2o lat temu powstała idea, aby przeciętny obywatel mógł zabezpieczyć swoją pocztę.wtedy chodziło o zabezpieczenie się przed rządem – to było jeszcze echo po zimnej wojnie. po tylu latach bezpieczeństwo jest niemal wbudowane w każdy produkt i dostępne wszem i wobec, więc można przyjąć, że bułka z masłem coś takiego skonfigurować…

    podstawowym problemem PGP jest zaufanie do certyfikatu, które opiera się na wymianie kluczy – nawzajem lub przez jakieś ‘zaufane miejsca’. mało wygodne przy użyciu ‘publicznym’ – lepiej skorzystać z zaufanych serwerów Root CA, które poświadczają tożsamość. w sumie na oddzielną dywagację, bo standardowy certyfikat można wystawić na “reksia kosmonautę” – i tak nikt nie wyryfiqje tożsamości przy najniższej klasie bezpieczeństwa… ale o nie o taki cel wpisu. chodzi o ideę szyfrowania wiadomości jako-takiego, oraz o weryfikację na ile to jest zadanie proste po 2o latach od rozgłosu, jaki osiągnęło PGP…

    testy dotyczyć będą certów x5o9.

     

    Ceryfikat

    po pierwsze okazuje się, że zniknęły z rynq praktycznie wszystkie portale wydające darmowe certyfikaty do poczty z firm, które są globalnie w Trusted Root CAs. zostało comodo i masa ‘odsprzedawaczy’ którzy kierują na stronę comodo. jak dłużej się poszuka, znajdzie się “coś tam”:

    • CAcert – ale jak można ufać komuś, kto nawet nie potrafi ustawić kodowania znaków na stronie? poza tym RootCA jest dystrybuowany społecznie, a więc trzeba go ręcznie importować
    • startssl – początkowo go nie znalazłem, wymaga podania sporej ilości danych, rejestracja nie jest automatyczna.

    no więc niech będzie comodo – w sumie co za różnica…. potem przetestowałem na certyfikacie startssl – i nawet się udało… ale to za chwilę.

    Klient

    po drugie żadna poczta publiczna webmail nie obsługuje certyfikatów – gmail, live/hotmail czy inne wynalazki. a więc pozostaje to poza zasięgiem większości userów. warto byłoby zerknąć na klienty na urządzenia mobilne, ale to zostawiam innym [będę wdzięczny za informacje – może korzystacie z jakiegoś klienta wspierającego szyfrowanie?]. więc przetestujmy na najpopularniejszych stacjonarnych klientach poczty.

    dla testu stworzyłem dwa konta na jakieś tam skrzynki i wygenerowałem certyfikaty comodo i startssl. dwa konta w windows, oczywiście zaimportowane na krzyż po certyfikacie prywatnym jednego i publicznym drugiego. bułka z masłem…

    [po trzecie] no może nie do końca – nie dla common-usera. ponieważ windows nie pozwala ani przesłać pliku .cer, ani kiedy się go zzipuje, rozpakować. trzeba wejść we właściwości i go odblokować – kolejne utrudnienie, które dla kogoś z IT może być śmieszne, ale dla przeciętnej osoby wymaga sporo wysiłku. pozostaje jeszcze jedna sprawa – skąd taki cer wziąć. i znów – dla mnie oczywiste jak wyeksportować część publiczną – ale nie jest to metoda ‘użytkownikowa’. raczej zaliczyłbym to do ‘zadań administracyjnych’.

    idziemy dalej. odpalam Windows Live Mail 2o12 – bez trudu konfiguruje się własny certyfikat. drugi – publiczny, już zaimportowany i sprawdzony – siedzi w other users i wszystko się zgadza, cały łańcuch weryfikowalny, email ok. szyfruję wiadomość, wysyłam… i dupa “Digital ID is missing”. godzina ślęczenia, sprawdzania, bez szans. po prostu się nie da. wszędzie opisy jak wyłączyć szyfrowanie, nigdzie jak je skonfigurować – owszem, gdzieniegdzie opisy jak skonfigurować swój, ale nigdzie jak prawidłowo zaimportować czyjś. brak instrukcji. mam wrażenie, że robię coś źle – więc weryfiqję dalej.

    testuje outlooka 2o1o. qrva – to samo! nie do wiary. nie mówiąc o tym, że sama konfiguracja czy szyfrowanie wymaga trochę umiejętności, ze względu na to przez ile okien trzeba się przeklikać w outlooku żeby to skonfigurować – przeciętny user się obsra a tego nie znajdzie. no ale to raczej korpo-aplikacja.
    może głupi jestem – nie wykluczam, poza tym jest późno, a ja pracuje 17tą godzinę [ale update piszę następnego dnia i nadal nie jestem pewien – co robię źle?]… jeszcze jeden test:

    ‘by the book’, czyli tak, jak w zamyśle powinna wyglądać wymiana kluczy… najpierw z certami comodo.
    wysyłam z jednego konta podpisaną wiadomość. dochodzi do nadawcy i .. jest prawidłowo zweryfikowana. dodaję kontakt do książki adresowej przez opcje tegoż zweryfikowanego kontaktu… – już trochę mniej oczywiste i trzeba się nieźle przeklikiwać ale w końcu działa! nic dodać nic ująć – super intuicyjny system, security w każdym domu! no to teraz to samo w drugą stronę – dla Live Mail… podpisuje wiadomość, wysyłam, przychodzi, zweryfikowana, przekilqje się przez info o certach i znajduję opcję “dodaj do książki”… i dupa. kontakt jest ale certu nie ma. następnego dnia zrobiłem ten sam test ale z certami startssl: ZADZIAŁAŁO! i to z Live Maile po obu stronach. nie będę już testował czy wczoraj coś namodziłem, czy certy comodo są do d. ale jest jedna rzecz, która mnie bardzo zastanawia: czemu zaimportowany cer nie jest rozpoznawany??

    postanowiłem wyciągnąć ciężką artylerię. stawiam własny CA i tworzę template dla szyfrowania poczty. generuję cert z tym samym mailem, exportuję część publiczną instaluję… nie ma żadnych problemów z importem – zarówno outlook jak live mail łykają taki cert bez mrugnięcia ekranem. porównuję certy żeby zobaczyć różnicę:

    • key usage: dla comodo digital signature i key encipherment; dla mojego – tylko key encipherment.
    • enhanced key usage: w obu Secure Email. comodo ma jeszcze własny OID do logowania na swoich stronach. nieważne.
    • CN – ten sam, czyli E=email
    • Application policies: brak w certach z zewnętrznych CA. MCA dodaje ‘Secure Email’

    o co c’mon? certutil weryfikuje bez zajęknięcia. jedyna różnica jaką znalazłem to to, że w wygenerowanym przez MCA jest Application Policy, którego nie ma w certach zewnętrznych – ale to nie powinno mieć znaczenia. tej części nie udało mi się rozwiązać.

    na koniec biorę pod młotek thunderbirda…

    nie lubię tego produktu – jest toporny, brzydki i nie korzysta z systemowego cert stora. o ile kojarzę to dodatkowo TB i FF mają oddzielne cert story! ale pal to licho – nie o to chodzi. próbuję dodać publiczny email cert – dupa. niezaufany. okazuje się, że brakuje ostatniego ogniwa zaufania – dla COMODO email. exportuję ze stora systemowego, dodaję do TB. działa.

    Konkluzja

    na jakim poziomie trzeba być userem, żeby zacząć korzystać z szyfrowania poczty? można x5o9 zastąpić openpgp czy GNUPG i szyfrowanie wiadomości z linii poleceń. tak, wiem, jest jakiś dodatek do systraya, który jakoś to automatyzuje – ale co z tego? target użycia pozostaje ten sam. zresztą opinię czy jest łatwiejsze czy trudniejsze pozostawię – może będę miał siłę to przetestować?

    pomimo dwóch dekad – szyfrowanie poczty pozostaje instytucjom i zdesperowanym. zwykłym, ani nawet trochę mniej zwykłym userom, po prostu się to nie uda. być może drążyłbym jakąś teorię spisq – ale raczej projektu opensource typu mozilla nie podejrzewałbym o przyłączenie się do niego. żaden klient nie ułatwia wymiany kluczy, o ile w ogóle je obsługuje… a może nie ma się co dziwić? ostatnio częściej się słyszy o uzależnieniu od porali społecznościach – ludzi, którzy mają na bieżąco publikowane swoje położenie odczytane z GPS, każda myśl przelana od razu pro publico… ale czy bono to już wątpię. ‘jestem na wakacjach’, ‘właśnie wylało mi się mleko, cholera ale się pobrudziłem’, ‘ale walnąłem kloca! [+zdjęcie]’ … minęło 2o lat i ze skrajnej paranoi i strachu przez rządem, ludzie przenieśli się w epokę totalnej publikacji siebie.

    tego nie rozumiałem wczoraj, będąc zmęczony, a dziś wydaje mi się oczywiste – nie ma popytu – nie ma podaży. kto potrzebuje – kupi, albo się nauczy.

    eN.

    DFS initial replication usuwa katalogi

    zachowanie jest na tyle nieintuicyjne, że po raz drugi się na to naciąłem – tym razem z dodatkową adrenaliną. dwa serwery, które miały być replikowane na trzeci. dwa, bo jeden jest nowy – większy, lepszy i tak dalej. już wcześniej nauczony, zrobiłem preseeding. celem replikacji na ten trzeci – hub, z którego będzie robiony backcup.

    włączam replikację jakoś tak w czwartek… dziś dzwoni przerażona laska ‘nie ma moich plików! :/ ‘ … a to było tak…
    laska miała mieć migrowany komputer. okazało się, że ma niewiarygodną ilość danych. na starym serwerze nie ma miejsca, ale nowy już jest – “wrzuć swoje dane na serwer. na serwerze jest bezpieczniej”…

    okazuje się, że DFS w fazie wstępnej replikacji wybiera mastera – czyli jeśli jest katalog “user” na obu serwerach, pliki nie zostaną zsumowane – wynikiem będzie katalog mastera. w sumie nie wiem i na razie nie chcę sprawdzać co, jeśli jej katalogu by w ogóle nie było, ale wydaje mi się, że to się tyczy całej struktury drzewa nawet, a nie pojedynczych katalogów.

    no i tak – backupów jeszcze nie ma, bo przecież po to była robiona replikacja, żeby go zrobić, previous versions nie ma.. bo świeży serwer i jeszcze nie dokonfigurowany… program do odzyskiwania danych nie pokazuje żadnych usuniętych plików – to dziwne. generalnie pupa blada i sprawdzanie cennika w ontracku…

    okazało się, że nie pokazuje usuniętych, ponieważ nie zostały usunięte. DFS potraktował katalog jako konflikt i przeniósł go do dfsPrivatepreExisting. katalogi co prawda w sieczce – pododawane jakieś suffixy do nazw, ale DFS jest na tyle miły, że pełne info trzyma w xml’lach – ”preExistingManifest.xml”

    $pe=new-object XML
    $pe.load(“x:DFSfolderdfsrprivatepreExisitngManifest.xml”)
    $pe.PreExistingManifest.Resource |%{ if ($($_.path).indexof("USERNAME") -gt 2) { move $_.newname $(($_.path).substring(4)) } }

    ..a co stanie się teraz jak włączę replikację? znów to wytnie?

    eN.