IIS i kerberos

10 komentarzyHOWTO, security

temat wraca raz na jakiś czas jak boomerang, a ponieważ walczyłem z tym trochę dzisiaj, kilka lików dla potomności, które mogą się przy takich sprawach przydać:

  • na początek link do toola DelegConfig – nie znałem, a bardzo przydatne narzędzie. Proste i sqteczne.
  • jak powinny być skonfigurowane SPNy dla IIS
  • dość fajny zbiór informacji o kerberosie na technecie
  • lista zmian w obsłudze kerberosa
  • ..które to każą pamiętać o jednym z dwóch ostatecznych wniosków z dzisiejszej walki: różnica pomiędzy w2k i w2k3 jest w tej materii dość istotna jeśli chodzi o autentykację cross-forest. Dla 'external trust’ jest ona niemożliwa, pełna obsługa pojawiła się wraz z 'forest trust’ dostępnym od wersji w2k3 [i taki musi być poziom funkcjonalny root domain w obu lasach!]
  • drugi wniosek po walce jest taki: wiele zależy od tych najprostszych mechanizmów jak DHCP czy DNS, ponieważ zła konfiguracja na tym etapie powoduje poważne trudności w bardzo podstawowych czynnościach – jak rozwiązywanie nazw
  • na koniec przestroga z ostatnich kilq doświadczeń: LUDZIE, UŻYWAJCIE NAZW FQDN! (;

filtr WMI dla vista i w2k8

HOWTO, tips'n'tricks, windows

jesli stosuje sie systemy vista i w2k8 moze przydac sie umiejetnosc zdefiniowania filtrow dla tych systemow, zwlaszcza w celu nalozenia GPO:

system VISTA:

SELECT Version, ProductType
FROM Win32_OperatingSystem
WHERE Version >= '6′ AND ProductType = '1′

system w2k8:

SELECT Version, ProductType
FROM Win32_OperatingSystem WHERE
Version >= '6′ AND ProductType = '3′

SMTP isAlive timeout

exchange, HOWTO

„SMTP Virtual Server Instance 1 (EVS1): The IsAlive check for this resource failed.”
o dziwo informacji wygooglac mozna malo, a wszystkie, na ktore trafilem byly nietrafne. nikt, ale to zupelnie nikt nie podal najprostrzego z mozliwych scenariuszy – a jak wiadomo najciemniej jest pod latarnia.
scenariusz:
– rozgrzebany cluster
– czerwony event log
– po 3h walki eventlog zrobil sie bialy poza tym jednym wpisem – SMTP isAlive check failed.

rozwiazanie: okazalo sie, ze ktos w ustawieniach protokolu SMTP ustawil opcje 'deny all except list below’ a lista zostala pusta. no i cluster myslal, ze smtp jest martwe.

DEP/NX/EVP/XD

1 Komentarzarticle, HOWTO, security

krotki art na temat DEP. w zasadzie nie ma zbyt wiele co pisac, ale np. dowiedzialem sie, ze inne nazwy [inne firmy] to NX, EVP czy XD.

z doswiadczenia moge powiedziec, ze niektore programy po prostu 'bez powodu’ sie wywalaja przy wlaczonym DEP. system wcale nie informuje, ze jest to tym spowodowane a potem mozna niezle sie napocic szukajac powodu, dla ktorego aplikacja sie crashuje – wiec jesli zastosuje sie polecona opcje [all apps] proponuje sobie to gdzies zapisac – najlepiej jako tapete pulitu (; zeby poszukiwania prowodu zaczac od tego miejsca

outlook – nienawidze

8 komentarzygeneral, HOWTO

to #1 na liscie najdurniejszych programow jakie wydal na swiat emes. glownie ze wzgledu na dwa fakty – jest to podstawowe narzedzie z jakiego sie korzysta [niemal non-stop], i brak mozliwosci zastapienia go czymkolwiek innym – bo niestety nawet programy obslugujace MAPI nie obsluguja RPCoHTTPs a przewaznie maja rowniez klopoty z kalendarzem [jesli ktos cos zna i mi podpowie – bedzie moim zbawca, a ja jego dluznikiem!]. oto krotka lista:
– najkrotsza lista jaka moglbym podac to: caly program jest do d* – co chwile cos mnie drazni. ale poniewaz to malo profesjonalne postaram sie wymienic chociaz kilka
interface
caly interface wyglada tak, jakby powstal jakis zaczatek wiele, wiele lat [wersji] temu a potem nikt go nie przedefiniowal, tylko jak sie cos komus przypomnialo, to zrobiono nowa zakladke albo guzik otwierajacy kolejne menu do kolejnego podmenu do poprzedniego podmenu – przykladowo caly sposob zarzadzania profilami, opcjami programu itd. opcje to cos do czego nie zaglada sie na codzien, a przebijanie sie przez ten popieprzony i nielogiczny uklad jest potworny.
kolejny element – byc moze dla wiekszosci nie wazny, ale dla mnie ogromny – to sposob wyswietlania informacji na ekranie i to, ile na raz moge zobaczyc, bez zbednego przewijania ekranow. juz dawno zauwazylem, ze uzytkownicy windows musza miec potworne klopoty ze wzrokiem, bo wszyskie paski, ramki, guziki i tym podobne ornamenty, sa rozmiarow kolosalnych. porownajmy standardowy interface aplikacji outlook 2k3 i tb! 3.80


na czerwono zaznaczone sa zbedne/informacyjne elemnty interfejsu. przy outlooku – zajmuja one ok 6o-7o% calego ekranu! – nie wliczajac w to niemozliwie wielkiego naglowka [przeciez ja nie nosze okularow!]. w tb! tak na prawde ciezko co kolwiek zaznaczyc – ot drobne menu, naglowek wcale nie zajmuje tyle miejsca a mimo to moze byc czytelny i wyrozniony!
a wiec w O na ekranie widze 5-10 naglowkow w gornym panelu [zaleznie od tego ile maili aqrat mam w ciagu jednego dnia] a na dole od 3-6 linijek maila bo reszte zabieraja 'extra brakelines’ ktore wychodza po miernej konwersji z html do txt. w tb! przy tej samej konfiguracji mam ok 14 naglowkow [niezaleznie] i widze przewaznie cala tresc – bo wiekszosc maili miesci sie 25 liniach, ktore widac.
do tego dochodzi obsluga wiadomosci HTML – w tb! widac wiadomosc textowa [calkiem fajnie sformatowana], oraz mala zakladke zeby sie latwo przelaczyc do widoku html. w outlooku pojawia sie napis 'wiadomosc skonwertowana do textu’ [mam w opcjach oczywiscie zaznaczone wymuszenie konwersji] – po klikniecie na informacji jest mozliwosc przelaczenia do widoq html. zeby spowrotem obejrzec w txt tzeba…. obejrzec inna wiadomosc i wrocic do poprzedniej. jesli w opcjach nie ma wymuszenia konwersji to zobaczyc wiadomosci w txt sie nie da. fucking nice.
html to wogole dluga historia jesli chodzi o O. jest to podstawowa forma maila dla tego programu – co osoby takie jak ja [ktore tej formy nie lubia] skazane sa albo na ciagle bluznierstwa albo na poddanie sie 'standardowi’. w ciapkach – bo oczywiscie tu dochodzimy do kolejnej kwestii – O jest totalnie niezgodny z RFC 1855 opisujacej netykiete i sposob pisania maili. oczywiscie tu jest kwestia sporna – ze netykieta to czasy modemow i oszczedzania na kazdym bajcie itp itd… co nie ulega watpliwosci – prawidze pazury O pokazuje przy wymianie korespondencji czyli zwyklych odpowiedziach. z maila typu 'od/do/subject: czy chcesz/body: czy chcesz?’ po nacisnieciu reply dostaje sie ok 3o linijek zawierajacych pol headera, setki dodatkowych linii, wszystkie sigi – a wszystko to wsadzone na koniec maila. czasem jak dostaje taka korespondencje, ktora przeszla przez 5-6 osob, i zmuszony jestem czytac czesciowo od dolu do gory czesiowo od gory do dolu, filtrujac wzrokiem stronice naglowkow i sigow zeby wyciagnac pojdyncze zdania typu 'ok’ czy 'niezgadzam sie’ – to krew mnie zalewa.
to tak bardzo oglednie i w skrocie – bo w zasadzie wiekszosc elementow interfejsu O uwazam za fatalna.
ogolne zachowanie programu
kolejna kwestia – wspolna zarowno dla IE jak i O to zachowanie programu podczas laczenia. standardem jest sytuacja, w ktorej program *cos* robi. w zasadzie to nie jest sie tego pewnym, bo wyglada jakby wisial, obciazenie procka i sieci w okolicy 0%, mimo to program na nic nie reaguje. troche pomocny czasem jest connection status [trzeba trzymac ctrl i nacisnac prawy guzik myszy na ikonce w trayu – to tak zeby bylo latwiej], chociaz i on czesto nie zdradza, co program tak w zasadzie robi. uruchamia sie dlugo, zamyka sie jeszcze dluzej [sic!]. czasem po zamknieciu programu, zniecierpliwiony tym, ze nie chce sie wylaczyc, przywoluje okno programu i zamykam go jeszcze raz.
bardziej zaawansowane
bardziej zaawansowane funkcje poukrywane sa gdzies pod setkami przyciskow, w losowych miejscach interfejscu (; – bardziej powaznie – zagmatwane menu powoduje, ze jest to program dla luserow, ktorzy nie robia nic poza 'napisz/wysij/odpowiedz’. jesli tylko chce sie zrobic cos bardziej nietypowego – zaczyna sie wedrowka i poszukiwanie po zagmatwanym interfejsie opiwywanym wczesniej. masakra. ciekawostka moze byc np. wyswietlenie headersow [pol naglowka] – zeby zrobic to w tb! naciska sie ctrl-shit-k [lub z menu widok wyiera sie opcje 'pola naglowka’]. zeby to zrobic w O trzeba – otworzyc dana wiadomosc, z menu view wybrac options i tam, w malym okienq widac naglowek maila. jesli czegos sie szuka po naglowq – powodzenia. dla kazdego maila trzeba to zrobic po kolei. ciekawostka jest jeszcze jeden fakt – przy niektorych mailach naglowka wogole nie pokazuje. nie wiem czemu, bo zeby przenalizowac, musialbym jakims cudem powyciagac te naglowki i sprobowac znalesc jakas zaleznosc.
filtracja
wizard do tworzenia filtrow to bardzo przydatna rzecz, ulatwiajaca zycie… hmmm doprawdy? chcialem zrobic prosty filtr – maile firmowe niech zostana przeniesione do folderu firmowego. i okazalo sie ze:
– zrobic reguly na podstawie przynaleznosci do grupy dystrybucyjnej sie nie da – znaczy da sie, ale mail musialby byc wyslany w imieniu tej grupy [send as] – bo sprawdzany jest naglowek, a nie czlonkowie
– zrobic reguly na podstawie maila '@fromowy.addr’ sie nie da, poniewaz debilny O nie rozwija adresow! jesli ktos przysyla z zewnatrz to widac 'imie nazwisko [email@addr.com]’ ale jesli ktos przysyla maila z wewnatrz organizacji, to widac jedynie 'imie nazwisko’. i zamiast korzystac z naglowkow, najwyrazniej ten kretyn korzysta z jakiejs przetworzonej wartosci. a wiec tak rowniez sie nie da.
– dostepna jest opcja 'dla osob w mojej ksiazce adresowej’, ktora wymaga przetwazania na komputerze lokalnym [normalnie reguly zachowywane sa na serwerze’. ta opcja jest piekielnie powolna – i moze cos zle zrobilem, ale rowniez nie zadzialala.
– no wiec pozostaje jedyna opcja – utworzenie reguly, ktora zawierac bedzie na liscie wszystkie osoby z calej organizacji. to jednak moze sie nie udac, poniewaz ograniczeniem wielkosci regul jest 32KB [w nowym outlooku 64KB konfigurowalne do 256KB].

wynik – jesli da sie taka regule utworzyc – ja nie umiem. ja sie generalnie na tych komputerach to nie znam
za dobrze, ale w tb! filtry dziaja co najmniej bez zarzutu.
maintenance i administracja
brak dziedziczenia parametrow miedzy katalogami zmusza do konfigurowania opcji na wszystkich katalogach na raz. zeby osiagnac efekt pseudodziedziczenia jest opcja 'wymus na wszystkich kaalogach’. gorzej jak chce sie to zrobic tylko w pewnej hirarchii folderow… no ale to przeciez klient dla luserow, ktorzy nalepiej niech owogle o tym nie wiedza.
mozliwosc konfigurowania tych opcji automatycznie [bo admin sobie to skonfiguje, ale przeciez 9o% pracownikow normalnej firmy nawet nie ma pojecia ze cos takiego mozna chciec skonfigurowac – a potem 2G limit skryznki pocztowej okazuje sie strasznie duzym ograniczeniem] dostepna jest dopiero w exchange 2oo7 za pomoca 'managed folders’. admini starszych exchange moga tylko plakac i pisac userom prosby o kasowanie niepotrzebnej poczty albo reczna konfiguracje tych parametrow z instrukcja jak to zrobic [ROTFL – juz widze jak 'pani z ksiegowosci’ konfiguruje sobie parmatery archiwizacji poczty].
podobnie jest z administracja uprawnieniami np. send on behalf. teoretycznie jest to zabezpiecznie przed adminem i z zalozenia user sam wybiera kto jest jego sekretarka/sekretarzem i ma prowadzic jego kalendarz i korespondencje. ale w praktyce to admin zalatwia takie rzeczy, a niemozliwosc skonfigurowania tego inaczej niz
– zalogowac sie na danego usera
– uruchomic O
– wyklikac
jest bardzo uciazliwa. powinna byc opcja ustawiania takich opcji od strony serwera.

EOF
uffff… wyzygalem. nienawidze, nieznosze, nielubie, nietrawie… a musze. wkrotce bede testowal O2k7. za niedlugo pewnie nawet O2k7 na Ex2k7 – wiec chetnie przyjrze nowym supermozliwosciom, jakie daja.