Active Directory

Прикручиваем аутентификацию OpenVPN через Active Directory

В принципе, инструкции по этому поводу в интернете есть, но для себя еще и здесь запишу заметочку 🙂 Сразу оговорюсь – привожу настройки через веб-морду. Для любителей разгребать руками тонны конфигов вся необходимая информация есть в сети – раз и принципиально оно не отличается от веб-морды – два. Для ленивых вот картинка, подробности далее.

OVPN-LDAP

Читайте далее

Удаление отказавшего контроллера домена из Active Directory

Рецепт честно увел с http://www.sysadminblogger.com/2012/02/active-directory_10.html

В данной заметке будет приведён пример пошагового удаления отказавшего контроллера домена из Active Directory. В данном случае контроллер домена недоступен и не имеет возможности корректно удалиться при помощи dcpromo.

  1. ntdsutil
  2. metadata cleanup
  3. connections
  4. connect to server Name_of_server (где Name_of_server – имя рабочего контроллера домена)
  5. quit
  6. select operation target
  7. list sites
  8. select site Name_of_site (где Name_of_site – имя сайта, гда находится отказавший контроллер домена)
  9. list servers in site
  10. select server Name_of_server (где Name_of_server – имя отказавшего контроллера домена)
  11. list domains
  12. select domain Name_of_domain (где Name_of_domain – имя домена, в котором находился отказавший контроллер домена)
  13. quit
  14. remove selected server
  15. Проверяем, что удаляемый контроллер домена указан правильно, в пояавившемся сообщении нажимаем YES
  16. Открываем Active Directory Sites and Services
  17. Разворачиваем сайт, где находится отказавший контроллер домена
  18. Проверям, что в контроллере домена нет никаких подключений и объектов
  19. Удаляем контроллер домена
  20. Открываем DNS Manager
  21. Разворачиваем зоны, в которых контроллер домена был DNS сервером
  22. Заходим в Properties  
  23. Во вкладке Name Servers удаляем failed или offline контроллеры домена из Name Servers
  24. Нажимаем OK, также удаляем HOST (A) и Pointer (PTR) если потребуется
  25. Проверяем, что в зоне нет записей о старом контроллере домена
  26. Так же необходимо убедиться, что в существующей инфраструктуре нет приложений и клиентов, использующих старый контроллер домена

Использование RADIUS в качестве базы пользователей на роутерах серии DFL

Мои практически любимые роутеры серии DFL умеют авторизовать пользователей с помощью внешнего RADIUS’а. Это может быть удобным, когда есть необходимость впустить сотрудника в локалку при нахождении его где-то далеко-далеко. Особенная радость состоит в том, что при использовании для входа в ПК доменного имени и пароля, можно его еще раз не вводить для VPN-соединения до офиса. Но даже в случае, когда это домашний ПК (например) и пароль на VPN-соединение все же требуется, человек использует свои известные ему данные. И даже при смене доменного пароля, администратору не нужно бегать с большими глазами и переписывать его во всех базах этих самых паролей.

Настройка RADIUS в качестве базы пользователей для DFL до безобразия проста. Картинок будет много, но проблем с настройкой возникнуть не должно. Я исхожу из предположения, что домен у нас уже поднят и VPN-сервер на DFL уже настроен на использование локальной базы данных. Настройка VPN-сервера – это отдельная небольшая тема, поэтому ее я здесь не затрагиваю

Читайте далее

Встреча клуба в ноябре

Итак, близится последний четверг месяца и мы снова ждем вас на очередной встрече клуба. Темы для обсуждения – безопасность и работа с Active Directory. Встреча состоится в учебном центре Макссофт на Урицкого 61. Сбор в 18-30, начало докладов в 19 часов. Бутерброды и прочие вкусности будут.

Кстати, Александр Ефремов грозился поделиться информацией как можно получить бесплатный билет на TechEd Russia. Интересно, какой же новый рецепт он сможет дать…

Для тех, кто следит за моим волшебным календариком, могу сказать, что в группе клуба на groups.live.ru появились доклады с мероприятия, посвященного ЦОДам. Очень занимательно. Обзора мероприятия в этот раз не будет.