Skip to content
9.11.2017 / kaldy123

Docker

Došlo i na mne… Zde jsou první informace:

Jaxe navrhovalo logo pro Docker…

Jak Moby Dock ke jménu přišel…

Výborný tutorial – i pro widláky!

Get started with Docker for Windows

Reklamy
5.10.2017 / kaldy123

GDPR ?

Setkali jste se?
Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation), které je v EU obecně povinné a nahrazuje dosud platné právní normy.

Má výrazně zvýšit ochranu osobních dat občanů.

Záměrně píši má zvýšit ochranu. Nemohu se zbavit pocitu, že největší problém bude na úrovni řízení. Ono totiž jde opravdu o právní normu a nikoliv zavádění nějaké bezpečnostní technologie. Ono např. nestačí mít data spolehlivě zašifrovaná, ale při auditu to musíte doložit: kdo má k dispozici šifrovací klíče, jak je zajištěno aby se k datům dostali pouze pověření zaměstnanci, jak zajistíte práva subjektů informací atd… (Nepřipomíná vám to ISO normy? Myslím tím ISO 9001 a násl.)

GDPR ≠ IT

Tuto formulku jsem převzal z http://www.gdpr.cz/blog/jednoduchy-test-jak-jste-na-tom-s-pripravou-na-gdpr/

Jak celou věc uchopit? Začal bych asi zde: http://www.gdpr.cz

Mezi jinými postiženými budou též obce. Pro ně je zde alespoň nějaká rukojeť :

Metodické doporučení k činnosti obcí

k organizačně-technickému zabezpečení funkce
pověřence pro ochranu osobních údajů podle
obecného nařízení o ochraně osobních údajů
v podmínkách obcí

To je panečku název: však to vymyslelo přímo ministerstvo vnitra!  Na 24 stranách hustě psaného textu se dozvíte, že máte vybrat někoho, kdo o GDPR něco ví. (Ale jak to poznat ?!) Totiž: objektivní odpovědnosti se vedení organizace nemůže vyhnout (pouze případné důsledky sdílet s PDO – to je onen pověřenec).

Tresty za nedodržení GDPR jsou drakonické. Kšefty při zavádění GDPR obrovské. Bude to sranda.

Mnoho zdaru!

21.9.2017 / kaldy123

Kuchařka: Point to Site in Azure

Jenom záznam:

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-point-to-site-resource-manager-portal

Kuchařka na self-signed certifikáty (sejde se, když se spěchá…):

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-certificates-point-to-site

Já narazil na 3 zádrhely:
1. gateway subnet – v rámci vašeho address space potřebuje GW asi pět adres… aby se to nepřekrývalo s ničím jiným, vyhradí se celý subnet. Takže klidně subnety  /26 nebo /27. Vyhrazuje se v rámci vašeho address space v azuru.

2. Adresy, které VPN přidělí vašemu klientu musí být mimo váš address space v azuru…

3. Pokud certifikát otevřete v Notepad, skutečně jej musíte upravit do jedné řádky…. protože jej pastujete do texboxu na webové stránce… Kdyby se MS poučil a laskavě použil control „text box“! (Jako má např. startssl.com).

 

14.7.2017 / kaldy123

Nastavení ACL na souboru nebo adresáři v Powershell-u

Přiznávám bez mučení. Čerpal jsem z příspěvku:
https://chrisfederico.wordpress.com/2008/02/01/setting-acl-on-a-file-or-directory-in-powershell/
ale:

  1. Chci mít pojistku, že mi článek nezmizí (rády to dělají)
  2. Zkrátil jsem jej patřičně – jde mi o kuchařku
  3. Tady to celkem snadno najdu

Bez velkých řečí, zde je kód:

$acl = Get-Acl c:\temp
$permission = "domain\user","FullControl","Allow"
$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule $permission
$acl.SetAccessRule($accessRule)
$acl | Set-Acl c:\temp

To je hezký, FullControl, ale co jiné permissions?
Prosím, zde jsou, jaxem je vypreparoval z chybových hlášek:

ListDirectory
ReadData
WriteData
CreateFiles
CreateDirectories
AppendData
ReadExtendedAttributes
WriteExtendedAttributes´
Traverse
ExecuteFile
DeleteSubdirectoriesAndFiles
ReadAttributes
WriteAttributes
Write
Delete
ReadPermissions
Read
ReadAndExecute´
Modify
ChangePermissions
TakeOwnership
Synchronize
FullControl

Složitý?
Prostě, jak řekla dáma (Grace Murray Hopper):
Je to dobrý nápad – prostě jděte a udělejte to. Je snažší prosit o odpuštění, než žádat o dovolení.

 

13.7.2017 / kaldy123

Nanoserver v roli File serveru.

Vytvoření nanoserveru je detailněji popsáno v článku Nanoserver v roli DNS. Rozdíl shledávám v použití jiného package:

New-NanoServerImage -MediaPath f:\ -BasePath .\base -TargetPath .\nanoVHD\nanoQuorum.vhd -ComputerName nanoQuorum -Package Microsoft-NanoServer-Storage-Package -DeploymentType Guest -Edition Standard

Nastavení IP adresy a připojení do domény – opět se pouze odvolám na článek o nanoserveru v roli DNS.  Zbývá nastavení DNS (viz Nastavení DNS v network konfiguraci nanoserveru) a nastavení rolí:

Enter-PSSession -ComputerName nanoQuorum -Credential domena\domainadmin
[nanoQuorum]: PS C:\Users\domainadmin\Documents> Get-WindowsOptionalFeature -Online

FeatureName : FileAndStorage-Services
State       : Enabled

FeatureName : Storage-Services
State       : Enabled

FeatureName : File-Services
State       : Disabled

FeatureName : CoreFileServer
State       : Disabled

FeatureName : Dedup-Core
State       : Disabled

FeatureName : Storage-Replica
State       : Disabled

FeatureName : Storage-Replica-AdminPack
State       : Disabled

FeatureName : MultipathIo
State       : Disabled

FeatureName : SmbWitness
State       : Disabled

FeatureName : WindowsStorageManagementService
State       : Disabled

[nanoQuorum]: PS C:\Users\domainadmin\Documents> Enable-WindowsOptionalFeature -FeatureName 'corefileserver' -Online -All

Path          :
Online        : True
RestartNeeded : False

[nanoQuorum]: PS C:\Users\domainadmin\Documents> Enable-WindowsOptionalFeature -FeatureName 'smbwitness' -Online -All

Path          :
Online        : True
RestartNeeded : False

[nanoQuorum]: PS C:\Users\domainadmin\Documents> Enable-WindowsOptionalFeature -FeatureName 'File-Services' -Online -All

Path          :
Online        : True
RestartNeeded : False

Nyní lze celkem v pohodě pracovat s File serverem standardním způsobem (samozřejmě pře PS remoting)

[nanoQuorum]: PS C:\Users\domainadmin\Documents> New-Item -Path c:\ -Name smbshare -Type Directory

    Directory: C:\

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d-----       12.07.2017     23:54                smbshare

[nanoQuorum]: PS C:\Users\domainadmin\Documents> New-SmbShare -Name SmbShare -Path c:\smbshare

Name     ScopeName Path        Description
----     --------- ----        -----------
SmbShare *         c:\smbshare

[nanoQuorum]: PS C:\Users\domainadmin\Documents>

… a je hotovo!

P.S. Server se jmenuje nanoQuorum – a doopravdy, byl použit jako witness server pro Exchange DAG se dvěma servery. Proč jsem použil právě nanoserver? Paměť jsem mu přidělil dynamickou – a užití se drží na minimu 512MB…. a vhd disk má 594MB ! Takže virtuální hostitelé jej skoro necítí a live migration nebo quick migration jsou záležitostí uspokojivě krátkou. Další předností jsou neuvěřitelně rychlé starty a shutdowny – což oceníte při ladění…

15.6.2017 / kaldy123

Nastavení DNS v network konfiguraci nanoserveru.

Příznaky:

  1. nano server nemá konektivitu na DC
  2. nano server nemá konektivitu do internetu
  3. v error recovery konzole není nastavení DNS

Nezbývá tedy, než nastavit DNS přes PS remoting. A protože není spojení na DC (jak by bylo, když nanoserver neví, kde jsou DNS servery!) tak přes local administrátora:

$ip="172.16.38.99"
$user="$ip\administrator"
Enter-PSSession -ComputerName $ip -Credential $user
Get-NetAdapter

Poznamenejte si index vhodného síťového adaptéru, u VM nanoserveru bývá často 2

Set-DnsClientServerAddress -InterfaceIndex 2 -Server "172.38.66.10"
ipconfig /all
exit

Efekt je okamžitý: můžete sputit PS remoting std. způsobem:

Enter-PSSession -ComputerName nanoserver -Credential "adatum\administrator"
13.6.2017 / kaldy123

DHCP server security

Při instalaci DHCP role se na serverech W2008 and later vytvářejí AD DL skupiny DHCP Users a DHCP Administrators.

Aktivovat DHCP server mohou pouze členové Domain Admins.

Aktivovat DHCP pro child doménu mohou pouze členové Enterprise Admins.

Více na: https://technet.microsoft.com/en-us/library/dd759157(v=ws.11).aspx