Сертификат Let's Encrypt для TLS+SRTP в FreePBX 12

Статья о том, как настроить TLS+SRTP с сертификатом Let's Encrypt для FreePBX 12
1. Генерируем сертификат для сервера.

Предварительно проверяем доступность сервера из интернета по порту 443 для outbound1.letsencrypt.org, outbound2.letsencrypt.org, mirror1.freepbx.org и mirror2.freepbx.org

SYSVOL and NETLOGON Share не создались в новом Домен Контроллере на базе Windows 2012 R2.

Хочу с вами поделиться очень простым и в тоже время, трудно находимым решением.

Обновление Zimbra

Опишу процесс обновления версии Zimbra.

1. Скачиваем файл для установки cs-8.7.11_GA_1854.RHEL7_64.20170531151956.tgz. Ссылки можно взять здесь.
[root@mail ~]# wget https://files.zimbra.com/downloads/8.7.11_GA/zcs-8.7.11_GA_1854.RHEL7_64.20170531151956.tgz

2. Распаковываем архив
[root@mail ~]# tar -xvf zcs-8.7.11_GA_1854.RHEL7_64.20170531151956.tgz

Техника APPLE не подключается на WiFi Mikrotik

Столкнулся с проблемой на маршрутизаторах Mikrotik - WiFi-клиенты фирмы APPLE - iphone, ipad не могут подключится на WiFi точку на Mikrotik.

Не устанавливается Viber на Windows 10. Ошибка: 'qvxy9ilv.pro.lnk' is not a valid short file name

Столкнулся с проблемой установки  Viber на Windows 10 версии 1709. 

После скачивания с сайта ViberSetup.exe и выполнения установки выбивало ошибку: 'qvxy9ilv.pro.lnk' is not a valid short file name, в логе Error 0x80070643 Failed to install MSI package и приложение не устанавливалось.

Проброс RDP через внешний сервер и свой внешний прокси сервер на базе squid

Дано:
Есть сервер, например на DigitalOcean, который вам нужен, чтобы ходить на свои терминальные сервера через него.
Задача:
1. Подключаться только с нужных подсетей или ip адресов на нужные порты и по ssh:
2. Перенаправление трафика на нужные нам сервера
3. Рабочий проси сервер доступный только с нужных адресов

Обновляем сертификат Letsencrypt для Zimbra

Обновляем сертификат Letsencrypt для Zimbra.
1. Останавливаем почтовый сервер и генерируем новый сертификат.
su - zimbra

zmcontrol stop
exit

Копируем - wget https://github.com/letsencrypt/letsencrypt/archive/master.zip
и распаковываем  - unzip master.zip переходим в этот каталог и выполняем:

./letsencrypt-auto certonly --standalone -d домен_почтового_сервера

Так же необходимо, чтобы был доступ к серверу по 443 порту.

2. Сохраняем на всякий случай данные по старому сертификату от, удаляем все letsencrypt в каталоге, копируем новые сертификат и добавляем данные о корневом сертификате.

Не формируются отчеты XML в 1C v7 c ошибками об v7plus.dll или msxml3.dll

Не формируются отчеты XML в 1C v7 c ошибками компонент v7plus.dll не найден и msxml3.dll ошибочное определение для корневого элемента в схеме.

Столкнулся с проблемами выше, когда перенес 1C v7  на другой сервер.

1-я проблема решается регистрацией v7plus.dll в системе, так как 1C v7 я не устанавливал, а просто переносил каталог с ПО:

Восстановление RAID10 на контроллере LSI SAS MegaRaid MR9240-4i.

После отключения электричества (скорее всего) перестал грузится сервер, не видел RAID 10.

На сервере был контроллер  LSI SAS MegaRaid MR9240-4i. 

Зайдя в меню контроллера по <CTRL+H>  была следующая ошибка: Not importable VD RAID10: -21433. Так же 2 диска были со статусом - Unconfigured(GOOD)  и  2 диска со статусом - Unconfigured(BAD). Что означало, что RAID10 распался. 

При нажатии на Import выбивало ошибку - Failed to inport Foreign Configuration. 

Настройка сервера терминалов и лицензирование в Windows Server 2012 R2

Искал, как активировать RDP сервер и нашел. Весь процесс хорошо описан и проиллюстрирован  по ссылке:

УСТАНОВКА СЕРВЕРА ТЕРМИНАЛОВ В WINDOWS SERVER 2012 R2

P.S.

Соглашение Enterprise agreement для активации. - 6565792, 5296992, 3325596 или любой другой, найденный в сети.

Не запускается Zabbix сервер

Если Вы обнаружили, что  сервер перестал отправлять уведомления, в веб-интерфейсе есть оповещение Zabbix server is not running: the information displayed may not be current, состояние Zabbix server is running  No localhost:10051 или  zabbix-server не запускается и не все данные отображаются корректно, то у вас подобный случай:

Установка Language Package для Windows Server 2012 R2 c помощью обновления

1. Скачиваем  Language Package (LP) для нужно языка - Windows8.1-KB3012997 - тут указаны прямые ссылки на microsoft. Я скачивал RU.

2. Для установки используем DISM:
DISM.exe /Online /Add-Package /PackagePath:c:\updates\windows****.cab

3. После удачного завершения, перегружаемся и меняем язык через панель управления.

4. Делаем Log Off и Log On, и будет уже нужный язык.

5. Чтобы язык был один у всех, то нужно скопировать настройки.

6. Конец.


PS.
https://techjourney.net/how-to-install-cab-hotfix-or-update-with-dism/

Установка незараженной версии M.E.Doc 188 с базами от 189

Аналитики компании «Доктор Веб» исследовали модуль обновления M.E.Doc и обнаружили его причастность к распространению как минимум еще одной вредоносной программы. Напоминаем, что, по сообщениям независимых исследователей, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, также известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал именно модуль обновления популярной на территории Украины программы для ведения налоговой отчетности M.E.Doc. (с) Доктор Веб

И так что бы запустить M.E.Doc с базами от версии 189 на не зараженной 188 версии нам необходим дистрибутив M.E.Doc, скрипт от поддержки для отката версии БД.

1. Скачиваем Дистрибутива "M.E.Doc" - версия: 10.01.188 с сайта:

 https://www.medoc-art.com/me-doc-downloads или с любого другого живого не скомпрометированного зеркала.

2. Сохраняем у себя каталог с данными DB из версии 189 - C:\ProgramData\MedocIS\.....

3. Удаляем MedocIS:

4. Устанавливаем M.E.Doc с дистрибутива версии 188.

5. После установки останавливаем службу ZvitGrp и из сохранного каталога на шаге 2 берем базу zvit.fdb и кладем ее в папку DB свежеустановленной версии M.E.Doc.

6. Для корректной работы с версией 188, нужно выполнить скрипт, который можно взять  - UPD_DB_188_FB.rar и запускаем Scriptrun.exe в каталоге M.E.Doc, указываем путь к скрипту и выполняем его.

7. Запускаем службу ZvitGrp и все готово. 

Настройка Rsync в связке FreeNAS и Windows Server

1. Делаем пароль для пользователя под которым будет подключаемся шифрованным и полученный пароль вводим ниже:
smbutil crypt password_user

2. Делаем файл /root/.nsmbrc:

[default]
workgroup=TEST

#Указываем имя и ip сервер с windows share
[SERVER]
addr=10.0.0.1
#Указываем пользователя. ВАЖНО все БОЛЬШИМИ буквами.
[SERVER:USER]
#Перед паролем указываем $$1 и добавляем полученный ранее.
password=$$14sdf$%Fdg6$SDGs

3. Создаем сам скрипт /opt/backup.sh, который будет подключать windows share и запускать Rsync для синхронизации данных, если были изменения:

mount_smbfs -N //user@SERVER/backup/ /mnt/SERVER/backup/
rsync -arzP --delete --ignore-existing /mnt/SERVER/backup/dayly/
/mnt/HDD1/Backup/Dayly

4. Добавляем скрипт в cron  и все.

Полезные материалы:
Как подключить Share в FreeBSD
https://www.lissyara.su/articles/freebsd/file_system/mount_smbfs/
https://www.cyberciti.biz/faq/mounting-a-nas-with-freebsd-mount_smbfs/
Mount smbfs монтирование из скрипта
https://digitaldark.wordpress.com/tag/syserr-authentication-error/
https://www.freebsd.org/cgi/man.cgi?query=mount_smbfs&apropos=0&sektion=0&manpath=FreeBSD+8.2-RELEASE&arch=default&format=html

Как использовать Rsync
http://optics.ph.unimelb.edu.au/help/rsync/rsync_pc1.html
http://everythinglinux.org/rsync/
https://www.digitalocean.com/community/tutorials/how-to-use-rsync-to-sync-local-and-remote-directories-on-a-vps

MS SQL и отказоустойчивость с Always ON

Интересная технология отказоустойчивости Always ON в  MS SQL с 2012 версии.

Описание технологии:

1. https://vbponomarev.wordpress.com/2013/07/29/%D0%BE%D1%82%D0%BA%D0%B0%D0%B7%D0%BE%D1%83%D1%81%D1%82%D0%BE%D0%B9%D1%87%D0%B8%D0%B2%D0%BE%D1%81%D1%82%D1%8C-%D0%B2-microsoft-sql-server-2012-alwayson/

Лабы по теме:

1. https://blogs.msdn.microsoft.com/sqlalwayson/2013/01/23/test-lab-create-an-alwayson-availability-group-in-windows-azure-end-to-end/#Create_and_Prepare_WSFC_Nodes

2. http://www.smattie.com/2014/05/05/configuring-sql-server-2012-always-on-lab-part-1/ и там еще 3 части.

PS
Сравнение других технологий резервирования:
https://nilebride.wordpress.com/2011/07/24/log-shipping-vs-mirroring-vs-replication/

Обновление IOS cat3k_caa-universalk9.SPA.xxx.bin на Cisco 3650 (WS-C3650-24PS)

Хочу описать по шагам, как обновлял Cisco 3650.
Сейчас прошивка версии - 03.06.04.E, а буду ставить 03.07.05E.

Настройка backup в zabbix.

Описывать нечего и так уже много написано. Приведу полезные ссылки:

https://habrahabr.ru/post/198276/
http://zabbixzone.com/zabbix/backuping-full-database/
http://zabbixzone.com/zabbix/backuping-only-the-zabbix-configuration/
https://github.com/maxhq/zabbix-backup/releases/tag/v0.8.2

Выбирайте, что душе угодно.

Вот еще бонус, коротко backup - restore:

backup:

mysqldump -uusernamehere --ppasswordhere zabbix | gzip > /etc/zabbix/backup/zabbix.sql.gz

restore:

tar -zxvf /etc/zabbix/backup/zabbix.sql.gz mysql -h localhost -u usernamehere -p passwordhere < /etc/zabbix/backup/zabbix.sql

Интересные дополнения в Zabbix на картах (Maps)

1. Можно добавить на связях межу устройствами скорость на интерфейсе для входящего трафика и исходящего.
 - Нужно выбрать нужно устройство в меню и Items:
Configuration - Hosts - "устройство"-  Items
 - Тут нам необходимо посмотреть правильное имя Key для входящего и исходящего трафика. На скрине показан, нужный нам Key для исходящего, для входящего по аналогии только будет In. Для других устройств этот ключи может отличаться.

- Далее идет на карту и вносим изменения в нужное нам устройство.

&#8593; {Server010}; 

{****00:IF-MIB_IfOutOctets.["10109"].last(0)};

{****00 Gi9} ;

{****00:IF-MIB_IfInOctets.["10109"].last(0)};&#8595;

****00 - это коммутатор, с которого мы берем данные.
&#8595;  - это стрелочки

 - Получаем следующее:

2. Можно настроить подключение с карт по telnet, по http(s) или если сisco без возможности подключения через telnet, ssh.
- Идем в нужно устройство карте и добавляем:

 - Сохраняем изменения в карте и при нажатии правой кнопкой по устройству покажет:

- Выбираете нужны способ подключения и открывается или страница в браузере, или telnet консоль.

P.S.
Использовал
http://blog.dest-unreach.be/2009/07/11/putty-as-ssh-url-handler - тут еще описано, как подключить ssh
https://habrahabr.ru/post/154723/

Как настроить время на свичах Cisco C3560

Задача:

1) Выяснить, кто в сети является NTP сервером.

2) На свичах настроить синхронизацию с данным сервером, выставить временную зону и учесть переходи на летнее и зимнее время.

1. Для того, чтобы узнать, кто в сети c Active Directory NTP сервер, а обычно это PDC, то нужно выполнить команду:

w32tm /monitor

2. Подключаемся на cisco и вводим команды 

configure terminal

ntp server IP_Server_NTP

clock timezone EET 2

clock summer-time EET recurring last Sun Mar 2:00 last Sun Oct 2:00 

exit

После настройки проверяем, что время, сервер и зона, как нам нужно:

show clock

show ntp status

show ntp associations

P.S. 

 Тут можно посмотреть нужную временную зону  https://www.timeanddate.com/time/zones/eu

Полезные статьи по Windows Update и WSUS

1. Как посмотреть установленные обновления через powershall:
https://social.technet.microsoft.com/wiki/contents/articles/4197.how-to-list-all-of-the-windows-and-software-updates-applied-to-a-computer.aspx

2. Команды для Windows Update - wuauclt.exe:
http://www.itworkroom.com/windows-server-update-services-wsus-wuauclt/

3. Инструменты для диагностики на стороне клиента WSUS:
http://downloads.solarwinds.com/solarwinds/Release/FreeTool/SolarWinds-Agent-Diagnostic-Tool-WSUS.zip

http://download.microsoft.com/download/9/7/6/976d1084-d2fd-45a1-8c27-a467c768d8ef/WSUS%20Client%20Diagnostic%20Tool.EXE

4. Решение проблем на стороне  клиента часто решается удалением или переименованием всего из каталога C:\Windows\SoftwareDistribution и запуском wuauclt /detectnow /resetauthorization:

net stop wuauserv
net stop bits
rename c:\windows\SoftwareDistribution SoftwareDistribution.bak
net start wuauserv
net start bits

wuauclt /detectnow /resetauthorization

Так же в IIS должен быть включен:

PS

https://www.catalog.update.microsoft.com/Home.aspx

https://www.ghacks.net/2018/03/16/use-dism-to-fix-issues-sfc-cant/
https://blogs.technet.microsoft.com/wsus/2017/05/05/demystifying-dual-scan/
https://docs.microsoft.com/en-us/windows/deployment/update/waas-manage-updates-wsus
https://itpadla.wordpress.com/2012/06/22/kak-pochinit-windows-update/
https://support.microsoft.com/en-us/help/902093/how-to-read-the-windowsupdate-log-file
https://support.microsoft.com/en-us/help/10164/fix-windows-update-errors
https://gallery.technet.microsoft.com/scriptcenter/Reset-Windows-Update-Agent-d824badc/view/Discussions/7
http://download.microsoft.com/download/6/C/9/6C970550-32AB-4235-9CDD-7FC9DD848BBB/WindowsUpdate.diagcab
https://support.microsoft.com/en-us/help/971058/how-do-i-reset-windows-update-components
https://gallery.technet.microsoft.com/scriptcenter/Reset-Windows-Update-Agent-d824badc
https://gallery.technet.microsoft.com/scriptcenter/Reset-WindowsUpdateps1-e0c5eb78
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc720442(v=ws.10)
https://www.sysnative.com/forums/threads/windows-update-forum-posting-instructions.4736/
https://docs.microsoft.com/en-us/windows/deployment/update/windows-update-error-reference

https://debay.blog/windows-error-list/

Изменение Main Domain Name в Communigate Pro

      Стояла задача изменить Main Domain Name в Communigate Pro, так как при получении другими почтовыми серверами по команде HELO отвечало не то имя домена, которое прописано в адресе, с которого приходило письмо (письмо идет с адресом vasya@ttt.net, а HELO отвечает tutu.com). Из-за этого на некоторых серверах письма не доходили, так как настроена проверка HELO/EHLO в целях защиты от спама.

В интернете очень мало по этому поводу информации, опиши это решение у себя.

1. Нужно удалить Мастер ключ и ключи лицензии, после этого можно будет изменить имя домена:

2. Далее идем и меняем имя домена:

3. После идем обратно в Master - License  и вводим Мастер ключи и ключи лицензии сгенерированный под данное доменное имя.

4. Проверяем например telnet на ip- адрес почтового сервера и порт 25. Он ответит уже с новым доменным именем.

Перенос истории переписки для Skype и Viber.

     Нужно было восстановить данные переписки для Skype и Viber с старого ноутбука. Решение оказалось, не на поверхности, но Google все знает. Теперь это не проблема. Выполнил манипуляции в ссылках ниже и все восстановил.

Интересные материалы для подготовки к собеседованию на английском (Job interview).

1. http://www.indiabix.com/interview/
2. https://collegegrad.com/jobsearch/mastering-the-interview/fifty-standard-interview-questions
3. http://www.talkenglish.com/lessonindex.aspx
4. http://englex.ru/how-to-pass-job-interview-successfully/#top-10-interview-questions

VPN IPsec между Ubuntu 16.04 и Huawal маршрутизатором

Задача:
Сделать VPN IPsec  на Ubuntu 16.04  для соединения с  Huawal маршрутизатором на стороне провайдера услуг.

Дано:
1) Сервер у нас в дата центре и имеет только внешний адрес, например 1.1.1.1/32, а с другой стороны провайдер услуги с ip  2.2.2.2/32
2) Есть настройки для 1 и 2 фазы IPsec и нужные ip адреса туннеля: c нашей стороные - 10.10.10.1/32, а с их  - 10.10.11.1/32

1. Создаем Loopback интерфейс, который будет выступать локальным адресом сервера. Для этого в файле /etc/network/interfaces добавляем:
auto lo0:1
iface lo0:1 inet static 
      address 10.10.10.1
      netmask 255.255.255.255

2. Для  IPsec туннеля будем ставить на Ubuntu 16.04   - Strongswan:
apt-get install strongswan

3. Внести конфигурацию по заранее выданным параметрам для IPsec VPN в ipsec.conf и ipsec_secret.conf:
1)ipsec.conf:
conn vpn
 type = tunnel
 aggressive=no
 authby=secret
 auto=start
 keyexchange=ikev1
 rekey=yes
 pfs=no
 # 1 phase
 ike=3des-sha1-modp1024
 # 2 phase 
 esp=aes128-sha1
 left=1.1.1.1
 leftsubnet=10.10.10.1/32
 right=2.2.2.2
 rightsubnet=10.10.11.1/32
 rightid=%any
 ikelifetime=86400
 keylife=1h

2) ipsec_secret.conf
2.2.2.2  : PSK "password"

4. Перезапускаем с нашей стороны IPsec и все должно работать, если со стороны провайдера уже тоже все настроено:
 ipsec restart

5. Для проверки, чтобы увидеть, что туннель установился:
 ipsec statusall

Настройка мониторинга VPN туннелей для Cisco ASA 5500 на Zabbix версии 3.x

Задача: На cisco ASA 5500 есть настроенные site-to-site IPsec VPN туннели. Нужно настроить мониторинг загрузки и состояния туннелей в Zabbix 3.x.

В данной статье не рассматривается настройка Zabbix сервера c нуля и cisco ASA 5500, а только конкретный случай. SNMP уже должно быть настроено.

Не запускается Zimbra после перезагрузки. Ошибка error:14090086

При проверки cлужб сервера выдает ошибку и службы не запускатся:

[root@mail ~]# su - zimbra

[zimbra@mail ~]$ zmcontrol status

Unable to start TLS: SSL connect attempt failed error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed when connecting to ldap master.

Это связано с сертификатом, который уже истек, но так как организация уже не будет им пользоваться и в скором времени закрывает, а почта должна еще как-то время работать, то проблему нужно решить.

Интересные ресурсы о Zabbix

1. http://rustedowl.livejournal.com/15791.html
2. https://habrahabr.ru/company/oleg-bunin/blog/320678/
3. https://habrahabr.ru/post/309172/
4. http://www.oodlestechnologies.com/blogs/How-to-configure-mail-alerts-on-zabbix-server

Настройка мониторинга CISCO CATALYST 2960 и 3560 через SNMP

      Оказывается, что в zabbix нет MIB для Cisco и их нужно туда добавить, а без них не получится отслеживать температуру, вентиляторы, питание и многое другое. Вот это я тут и опишу.

Отключение пользователей с терминального сервера RDP

     Многие сталкивались с тем, что пользователи не корректно выходят с терминального сервера или же вообще с него не выходят и расходуют ресурсы сервера.  Можно отключать их групповой политикой или настройкой терминального сервера, но это будет регулярно с истечением таймаута, но в течении дня этого делать не желательно. По-этому, нужно сделать задание в Планировщике заданий, например в 21.00 и отключить всех и оставить только тех, кто нужен.

    Для этого сделаем bat-файл с содержимым:

Не работает поиск в MS OUTLOOK на терминальном сервере RDP.

     Столкнулся с проблемой у пользователя, что не работает поиск в MS OUTLOOK.

    Долго не мог найти решение - отключал индексацию, удалял Windows Search, делал сброс индексации, но ничего не помогало.