Category Archives: Bez kategorii

GPO – rozwiązywanie problemów ( troubleshooting )

W przypadku problemów ze źle działającymi polisami dobrze sprawdzić:

  1. Czy polisa jest w ogóle podpięta do konkretnego OU;
  2. Czy link jest włączony / aktywny (Policy properties -> Scope -> Enabled: Yes). Symbolizuje to również niebieska strzałeczka przy podpiętym linku. Jeśli link nie jest aktywny – strzałeczka jest szara.
  3. Czy nie ma zaznaczonego Security Filtering (Policy properties -> Scope -> Security Filtering);
  4. Czy nie ma zaznaczonego WMI Filtering (Policy properties -> Scope -> WMI Filtering);
  5. Czy polisa jest włączona (lub dla jakiej sekcji jest wyłączona) (Policy properties -> Details -> GPO Status);
  6. Kolejności ładowania polis i dziedziczenia – czy nie jest przypadkiem zablokowane aplikowanie polisy, która jest podpięta do kontenera nadrzędnego.
    Enforce Policy jest regułą nadrzędną i wymusza aplikowanie polisy do podrzędnych OU, nawet gdy mają one zaznaczoną regułę blokującą dziedziczenie – Block Inheritance. Polisa wymuszająca dziedziczenie zostanie zaaplikowana jako ostatnia. Kolejności ładowania polis wyświetla zakładka Group Policy Inheritance po kliknięciu na OU);
    Zmianę kolejności ładowania polis podpiętych tylko do konkretnego OU można dokonać po kliknięciu na OU a następnie na zakładkę Linked Group Policy Objects (strzałki po lewej stronie).
  7. Czy polisa jest obsługiwana przez dany system operacyjny (zazwyczaj notka Supported on: pod radio buttonami Not Configured, Enabled, Disabled) lub okienko pomocy.
  8. Czy polisa nie wymaga restartu komputera lub przelogowania użytkownika (polecenie gpupdate /force wyświetli odpowiedni komunikat jeśli tak będzie).
  9. Group Policy Result – można uruchomić z poziomu GPMC lub na systemie klienckim, wydając polecenie gpresult /H:gpresult.html
  10. Czy kontroler domenty, do którego jest aktualnie podłączony komputer jest faktycznie tym, który przetwarza polisy (podłączenie można sprawdzić poprzez wydanie polecenia: start -> cmd -> komenda set -> wyświetlona zmienna LOGONSERVER=). Może się okazać, że w dużym środowisku komputer / użytkownik może być podłączony do jednego DC, a mieć przetwarzane polisy (tzw. secure channel) przez inny DC. Wyświetlenie kontrolera domeny, który przetwarza polisy można wykonać poprzez wydanie na końcówce komendy: nltest /sc_query:nazwadomeny.local
  11. Czy wersja polisy dla użytkownika różni się od wersji polisy dla komputera (w zakładce Details: User Version, Computer Version);
  12. Czy kontrolery są poprawnie replikowane: http://obsluga-it.pl/sprawdzanie-poprawnej-replikacji-miedzy-kontrolerami-domeny/

Active Directory i PowerShell – tworzenie kopii zapasowej 

#zdefiniowanie źródła
Get-WBVolume -AllVolumes
$vol = Get-WBVolume -VolumePath c:

#zdefiniowanie miejsca docelowego
$networkBackupLocation = New-WBBackupTarget -NetworkPath \\DC2\backups

#Włączenie polisy - ustawienie atrybutu SystemState na True
Add-WBSystemState -Policy backupPolicy 

#zdefiniowanie i konfiguracja polisy
$backupPolicy = New-WBPolicy
Add-WBVolume -Policy -$backupPolicy -Volume $vol
Add-WBBackupTarget -Policy $backupPolicy -Target $networkBackupLocation

#uruchomienie polisy
Start-WBBackup -Policy $backupPolicy

CISCO – konfiguracja VLAN

Do pierwszych 4 portów przełącznika wpięte są 4 komputery.
Na przełączniku należy stworzyć 2 VLANy:
VLAN 10 – dla nauczycieli, do którego będą należeć dwa pierwsze komputery, podpięte do switcha do portów FastEthernt 0/1 i FastEthernet 0/2
VLAN 20 – dla uczniów, do których będą należeć dwa kolejne komputery, podpięte do switcha do portów FastEthernt 0/3 i FastEthernet 0/4

Switch>
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 10
Switch(config-vlan)#name uczniowie
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name nauczyciele
Switch(config-vlan)#end
Switch#
%SYS-5-CONFIG_I: Configured from console by console
Switch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gig0/1, Gig0/2
10 uczniowie active
20 nauczyciele active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
Remote SPAN VLANs
------------------------------------------------------------------------------
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
Switch#

Komenda show vlan wyświetla wszystkie skonfigurowane na przełączniku VLANy. Widać że do domyślnego VLANu 1 przypisane są wszystkie poty Ethernet.
Port 1 i 2 należy przypisać do VLANu 10, a port 3 i 4 do VLANu 20.

Switch>enable
Switch#config t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface range fastEthernet 0/1-2
Switch(config-if-range)#switchport access vlan 10
Switch(config-if-range)#interface range fastethernet 0/3-4
Switch(config-if-range)#switchport access vlan 20
Switch(config-if-range)#

Następnie do przełącznika do portu GigabitEthernet 0/1 zostaje podpięty kolejny switch (również przez port GE 0/1), który będzie skonfigurowany tak jak ten w/w, czyli do portu FE 0/1 oraz FE 0/2 będą podpięte komputery nauczycieli, zaś do portu FE 0/2 i FE 0/3 będą podpięte komputery uczniów.
Aby było to możliwe, porty którymi są połączone jeden przełącznik z drugim muszą zostać skonfigurowane w tryb Trunk, czyli przez jeden łącze muszą zostać przetransportowane (rozpropagowane) VLANy 10 i 20. Łącza Trunk są również nazywane magistralami 802.1Q.

Switch>enable 
Switch#config t
Switch(config)# vlan 99 Switch(config-vlan)# name native
Switch(config-vlan)# exit
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
Switch(config-if)# switchport trunk native vlan 99

Do uniemożliwienia przesyłania łączem Trunk wszystkich VLANów, a tylko wybranych służy polecenie allowed.
Powyższe komendy to utworzenie nowego VLANu o numerze 99 i ze względów bezpieczeństwa zmiana natywnego, z numeru 1 na numer 99 (ponieważ ruch nieoznakowany wpada z definicji protokołu 802.1Q do VLANu nr 1).

 

Active directory – włączenie kosza

enable-adoptionalfeature ‚recycle bin feature’ -scope forestconfigurationset -target nazwa.domeny’

get-adobject -filter {displayname -eq ‚skasowane konto’} -includedeletedobjects
get-adobject -filter {displayname -eq ‚skasowane konto’} -includedeletedobjects | restore-adobject

UWAGA: kosz raz włączony nie może zostać wyłączony. Potrzebuje czasu zanim się rozpropaguje.

ESXi Free kopia backup maszyny wirtualnej za pomocą pakietu GhettoVCB

Ze strony https://github.com/lamw/ghettoVCB/releases/ należy pobrać plik vghetto-ghettoVCB.vib u uploadować na hosta ESXi, np. przy pomocy interfejsu WWW (przy założeniu że nasza przestrzeń dyskowa nosi nazwę datastore1: storage -> datastore1 -> Datastore browser)

Z linii komend ESXi należy zainstalować w/w pobrany pakiet:

esxcli software vib install -v /vmfs/volumes/datastore1/vghetto-ghettoVCB.vib -f

Komendy związane z zarządzaniem pakietami, w tym przypadku ghettoVCB

esxcli software vib -n list ghettoVCB
esxcli software vib list|grep -i ghettovcb
esxcli software vib remove --vibname=ghettoVCB

Pliki konfiguracyjne znajdują się w folderze /etc/ghettovcb.
Skrypty odpowiedzialne za tworzenie kopii i przywracanie maszyny znajdują się w patalogu /opt/ghettovcb/bin.
W pliku ghettoVCB.sh należy edytować poniższe ustawienia:

VM_BACKUP_VOLUME – ścieżka do magazynu gdzie maszyna wirtualna ma być kopiowana;
VM_BACKUP_ROTATION_COUNT – liczba kopii danej maszyny wirtualnej, po przekroczeniu której najstarsza kopioa zostanie automatycznie usunięta;
ENABLE_COMPRESSION – kompresja obrazu maszyny wirtualnej do formatu ZIP.

Tworzenie kopii maszyny wirtualnej np. o nazwie Debian11

 ./opt/ghettovcb/bin/ghettoVCB.sh -m Debian11

Tworzenie kopii wszystkich maszyn wirtualnych znajdujacych się na hoście ESXi

 ./opt/ghettovcb/bin/ghettoVCB.sh -a

Przywracanie kopii zapasowej:

./opt/ghettovcb/bin/ghettoVCB-restore.sh -c /vmfs/volumes/SynologyNFS/Debian11/Debian11-2021-09-07_09-26-48/Debian11-flat.vmdk -d 1 -l /tmp/ghettoVCB-restore.log

Wgrywanie oprogramowania OpenWRT do routera TL-WR740N v4.xx

Aby wgrać oprogramowania OpenWRT do routera TL-WR740N v4.xx należy pobrać ze strony
https://downloads.openwrt.org/releases/17.01.6/targets/ar71xx/generic/ odpowiednią wersję i wgrać ją przez GUI zainstalowanego oprogramowania. Wersja sysupgrade służy do aktualizacji wcześniej wgranej wersji OpenWRT lub Gargoyle. Wersja factory służy do wgrania przez oryginalne oprogramowanie TP-Linka.

Bootowalny pendrive

Świetnym programem pozwalającym wgrać obraz ISO na napęd pendrive, uczynić go napędem startowym i odwrotnie jest program ImageUSB:

https://www.osforensics.com/tools/write-usb-images.html

Program Ventoy ( https://www.ventoy.net ) nie dość że pozwala stworzyć bootowalny pendrive i uczynić go napędem startowym, to pozwala również na wgranie wielu obrazów ISO na pendrive i stworzenie menu startowego.