Главная Windows, Без рубрики, Новое Windows Server 2008
  • 64 бита в малом бизнесе

    64logo

       Основным отличием Windows Small Business Server 2008 от своих предшественников является переход на 64-битную платформу. Довольно смелый и, я бы сказал, даже радикальный шаг со стороны компании Microsoft. Но с таким переходом ушли и ограничения 32-битной платформы. В этой статье мы поговорим о причинах смены платформы и о том, как это затронет вашу компанию, обсудим, что вы сможете (и чего нет) сделать в Windows Small Business Server 2008.

  • Главная Networks, Windows, Новое Windows 2008 R2, Windows 7
    • 6to4: Будущее проще, чем кажется

      logo Переход с IPv4 на IPv6 также неотвратим как смерть и налоги. Если учесть, что с такой миграцией по масштабам Интернет еще не сталкивался, то можно сделать вывод о необходимости технологий сосуществования IPv4 и IPv6. Такие технологии действительно есть и об одной из них пойдет речь в данной статье. Почему именно 6to4? Я учел пожелания читателей и постараюсь показать, как данную технологию можно проверить в действии без серьезных усилий с вашей стороны.

    • Главная Windows, Новое Active Directory, Hyper-V
      • Новые записи на Techdays

        • Рубрика: Windows,Новое
        • Автор: Илья Рудь
        • Дата: Thursday 10 Dec 2009

        logo   На этой неделе коллекция семинаров на сайте проекта TechDays пополнилась несколькими записями, сделанными постоянными авторами itband.ru. Не скажу, что читатели старожилы найдут там много нового, ибо записи делались на базе статей, которые уже были выложены на нашем сайте. Но все же подозреваю, что не все успевают читают появляющиеся на сайте материалы. Поэтому позвольте сделать небольшую рекламу.

      • Главная Security, Windows, Новое Active Directory, ILM 2007, Security
        • Синхронизация учетных записей средствами ILM 2007 между каталогом Active Directory и каталогом Novell eDirectory.

          image

          И так задача состоит в том, чтобы синхронизировать учетные записи между Active Directory и Novell eDirectory средствами ILM 2007 вернее его частью Microsoft Identity Integration Server:

          Фактически процесс выглядит следующим образом – при создании учетной записи в Active Directory она должна автоматически создаваться в Novell eDirectory, если учетную запись удалить из Active Directory то она автоматически удаляется из Novell eDirectory.

        • Главная Windows, Новое Windows 2008 R2
          • Усовершенствования Windows Server 2008 R2: сервер DHCP

            • Рубрика: Windows,Новое
            • Автор: Дмитрий Пономарев
            • Дата: Monday 30 Nov 2009

            king_hub_service_toolkit

               Сервер DHCP (Dynamic Host Configuration Protocol) предоставляет одну из наиболее востребованных функций в IP-сетях любого масштаба и развитости – функцию предоставления клиентам параметров конфигурации протокола IP и других параметров, необходимых клиентам для обнаружения и взаимодействия с сетевыми службами. Новая версия операционной системы Windows Server 2008 R2 привносит в свою реализацию сервера DHCP не только некоторые улучшения функционала ранних версий, но, что удивительно, и новый функционал.

          • Главная Windows, Новое Active Directory
            • Решаем проблему внезапной блокировки учетной записи

              • Рубрика: Windows,Новое
              • Автор: Михаил Даньшин
              • Дата: Thursday 19 Nov 2009

              Впервые статья была опубликована в ноябрьском номере журнала "Системный администратор".

              Доводилось ли вам сталкиваться с тем, что пользователи не могут войти в компьютер? Что же делать в случае, если учетная запись существует, она не отключена да еще и пароль правильный?

              Иногда возникают ситуации когда, при попытке входа в компьютер, пользователь получает сообщение Unable to log you on because your account has been locked out, please contact your administrator.

              Это уведомление, говорит о том, что акаунт заблокирован (locked). Это не тоже самое, что «отключен» (disabled). В первом случае учетная запись нейтрализуется на некоторое время, и это происходит автоматически, без участия администратора. А во втором отключается системным администратором вручную.

              Оказалось, что данная тема актуальна до сих пор. И мне постоянно приходиться отвечать на вопросы, не только начинающих, но и опытных администраторов.

              Сообщение о блокировке учетной записи выглядит как показано на рисунке (см. рисунок 1).

              image1

              Рисунок 1 – Сообщение об ошибке, которое получает пользователь с заблокированной учетной записью

              Природа этого явления заключается в том, что было предпринято несколько попыток ввода неверного пароля. В домене вы можете настроить групповую политику, которая будет регламентировать количество попыток ввода паролей и время, на которое акаунт будет заблокирован. В случае если правильный пароль не будет введен, то акаунт будет заблокирован, а пользователь получит уведомление, как показано выше, на рисунке 1.

              Для того, чтобы определить политику запустите Group Policy Management Consoleю.

              По умолчанию политика выглядит так, как показано на рисунке (см. Рисунок 2):

              image2 РиРисунок 2 – Политика Account Lockut Policy по умолчания

              Предположим, что вы хотите, ограничить количество неправильных вводов пароля пятью попытками, а потом блокировать акаунт на 30 минут. Для этого вам нужно отредактировать Default Domain Policy (помним, что политики паролей в доменах Win 2003 применяются к уровню ДОМЕНА)- Выберите Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Account Lockout Policy. Затем отредактируйте параметры групповой политики. Значение параметрп Account lockout duration – определяет время, на которое акаунт будет заблокирован. Account lockout threshold – определяет количество попыток ввода, после которого акаунт будет заблокирован. И наконец последний параметр – Reset account lockout counter after – определяет время, по истечению которого будет сброшен счетчик попыток. Например, если вы определили, что после пяти попыток акаунт будет заблокирован, а сделали только две попытки входа, а потом, например ушли пить чай, то по истечении этого установленного времени счетчик обнулиться и у вас опять будет пять попыток.

              Попробуйте изменить любой из параметров и система предложит вам оптимальные, с ее точки зрения, значения остальных параметров (см. Рисунок 3).

              image3 

              Рисунок 3 – Значения, которые предлагает система

              Вы можете согласиться, а потом, при необходимости, изменить их по совему усморению. Например, если вы установите значение параметра Account lockout threshold соответствющее 5, а затем нажмете OK, то система предложит вам 30 минутное значение для остальных параметров. Как показано на рисунке 3.

              После того, как политика будет определена Вы можете известить ваших пользователей о том, что после того как они введут неверный пароль несколько раз его учетная запись будет «заблокирована» (locked). Что бы снять блокировку нужно снять галочку «Account is locked out» в свойствах пользователя, как показано на рисунке 4.

              image4

              Рисунок 4 – «Account is locked out» в свойствах пользователя

              Иногда блокировка акаунта происходит без видимых причин. И не смотря на то, что блокир
              овка так просто снимается, в некоторых случаях, это не решает проблему. Через некоторое время пользователь может обнаружить, что его учетная запись опять заблокирована. Причин тому может быть несколько и я опишу их далее. Иногда определить причины бывает довольно сложно. Основная сложность в определении компьютера, с которого происходят попытки ввода неверных паролей.

              В журнале безопасности, для отслеживания подобных событий, существует запись с кодом 680, от источника Security, категории Account Logon.

              image5

              Рисунок 5 – Вид сообщения из Журнала Событий

              В  этой записи (см. рисунок 5) показана информация о том в какое время и с какого компьютера была предпринята попытка ввода неверного пароля. Конечно есть способ реагировать на событие немедленно. Я писал о нем в статье «Как отреагировать на событие». Если вы отслеживаете появления подобных записей и своевременно реагируете на них, то определить источник проблемы будет просто. Но, как правило, таких записей может быть ОГРОМНОЕ множество. И никто не реагирует на них немедленно, а расследует инцеденты потом. Пользователи часто ошибаются с вводом пароля. И не существует простого способа определить точное время того, когда акаунт был заблокирован. Как правило мы узнаем об этом через некоторое время, от самого пользователя.

              В решении проблемы нам может помочь утилита Microsoft Account Lockout Status, которая входит в пакет утилит Account Lockout and Management Tools. Получить этот пакет можно на сайте Microsoft. Утилита была выпущена еще в 2003 году. Удивительно, что спустя много лет она все еще востребована.

              Принцип работы утилиты заключается в том, что она анализирует журналы событий на всех контроллерах домена в сети и определяет на каком контроллере произошла блокировка, в какое время, а так же предоставляет дополнительную информацию, которая может помочь нам в расследовании. Так же утилита может помочь снять блокировку с учетной записи и многое другое.

              Чтобы приступить к работе с утилитой вам нужно запустиь файл LockoutStatus.exe. Когда программа запуститься выберите меню File, а затем Select Target. В появившемся диалоговом окне,

              image6

              Рисунок 6 – Окно ввода данных о пользователе, учетная запись которого блокируется>

              в поле Target User Name, введите имя пользователя, у которого возникает проблема с учетной записью, а в поле Target Domain Name, введите имя домена в котором находиться учетная запись пользователя.

              Обратите внимание на галочку – «Use Alternate Credentials». В случае если программа запущена с правами обычного пользователя то установив эту галочку вы можете запустить проверку от имени другого пользователя, входящего в группу Администраторы домена. Если же вы запустили программу от имени пользователя с правами доменного администратора, то устанавливать галку не нужно.

              После не продолжительного процесса сбора информации вы увидите результаты работ, в котором будет отражено на каком контроллере домена была заблокирована запись, в какое время, сколько попыток ввода неверного пароля было предпринято и т.д. Все это показано на рисунке (см. Рисунок 7).

              Рисунок 7 – результат работы программы

              Из меню этой же программы вы можете снять блокировку с учетной записи. Для этого выберите контроллер домена, нажмите правой кнопкой, и в контекстном меню нажмите Unlock Account (см. Рисунок 8).

              image8

              Рисунок 8 – Снимаем блокировку с учетной записи>

              Это изменение моментально будет реплицировано на все контроллеры домена, и пользователь может тут же повторить попытку входа. Если пользователь забыл пароль, то выбрав Reset User’s Password вы можете его сменить.

              Иногда, возникают ситуации, когда после удачного входа в систему проблема возвращается. Пользователь не может
              получить доступ к сетевому ресурсу, не может повтороно войти в систему и т.д. Причин такому поведению может быть несколько. Я приведу лишь несколько самых популярных из них. Но помните, что универсального решения нет и каждый случай нужно расследовать индивидуально.

              Например в сети может действовать злоумышленник, который пытается подобрать пароль от учетной записи пользователя. Второй распространённый вариант это использование одной учетной записи несколькими пользователями одновременно. В этом случае кто-то может постоянно вводить неверный пароль, тем самым мешать работе остальных пользователей. Начиная расследование, первое, что мы должны установить – это точное время происшествия. Установив время, мы легко сможем найти запись в журнале безопасности и понять с какого компьютера в сети производились попытки ввода неверного пароля. Как видно на рисунке 7 программа сообщает нам эти сведения. Щелкнув правой кнопки мыши по контроллеру домена и выбрав в контекстном меню Open Event Viewer (Открыть Журнал Событий). Так как мы теперь знаем точное время, когда была попытка входа, которая привела к блокировку учетной записи, мы без труда сможем найти событие и определить с какого компьютера было произведено действие повлекшее блокировку. Проблема решена – виновные наказаны!

              Но кроме человеческого фактора есть еще и другие причины. Пожалуй самая распространенная причина в том, что когда вы настраиваете Назначенное Задание, которое выполняется от имени пользователя, а затем меняете пароль этого пользовател. Ваше задание все еще пытается выполнить вход со старым паролем. Естественно у него это не получается и акаунт блокируется.

              Надеюсь, что после прочтения этой статьи у вас появилась ясность чем может быть вызвана проблема и как ее решить.

              Михаил Даньшин

            • Главная Windows, Без рубрики, Новое PowerShell, remote execution
              • 7 способов выполнить команду на удалённом компьютере

                Одна из самых популярных задач у системных администраторов это запуск, какой либо команды на удалённом компьютере, не вставая со своего места. Это может быть необходимо для установки программы или утилиты, изменения каких либо настроек, или для чего угодно ещё. И конечно, редко речь идёт лишь об одном компьютере, чаще команду нужно выполнить на множестве рабочих станций или серверов.

                Так как задача эта популярная, то и способов её решения существует множество. Начиная от групповых политик (в которых можно применять для этой цели сценарии входа в систему или автозагрузки), и заканчивая мощными системами управления, вроде System Center Essentials или System Center Configuration Manager. Но я в этой статье хочу рассмотреть методы, которые доступны сразу из командной строки или файлов сценариев, а так же не требуют предварительной установки агентов и прочей суматохи. Впрочем, какие-то предварительные требования конечно есть. Например, у вас должны быть административные полномочия на том компьютере, на котором вы хотите выполнить команду (за исключением сценария с «проксированием», но об этом позже).

                PsExec.exe

                Один из моих любимых способов для решения этой задачи это утилита командной строки PsExec.exe написанная Марком Руссиновичем, которую вы можете свободно скачать с сайта Windows SysInternals. Ссылку на неё вы можете найти в конце статьи. Она не требует установки в систему, вы можете просто скопировать её в одну из папок, содержащихся в переменной окружения %path% и вызывать из любой оболочки командной строки: Cmd или PowerShell.

                Использовать PsExec очень просто. Например, чтобы выполнить ipconfig /flushdns на компьютере main, достаточно запустить следующую команду:

                psexec \\main ipconfig /flushdns

                Команда ipconfig будет запущена на компьютере main под вашими учетными данными. После завершения работы ipconfig весь текстовый вывод будет передан на ваш компьютер, а кроме того будет возвращён код выхода команды (error code). В случае если команда выполнилась успешно, он будет равен 0.

                Разумеется, на этом возможности PsExec не заканчиваются. Вызвав утилиту без параметров, можно посмотреть другие доступные опции. Я обращу внимание лишь на некоторые из них.

                Ключ -d говорит PsExec что ненужно дожидаться выполнения команды, а достаточно лишь запустить её, и забыть. В этом случае мы не получим выходных данных от консольной утилиты, но зато сможем не дожидаясь завершения предыдущей команды запускать другие. Это очень полезно, если вам необходимо запустить, например установщик программы на нескольких компьютерах.

                По умолчанию PsExec выполняет команды в скрытом режиме, то есть на системе где выполняется команда, не будут выводиться никакие окна или диалоги. Однако есть возможность изменить это поведение, с помощью ключа -i . После него можно указать номер сессии, в которой выводить окна, а можно и не указывать, тогда интерфейс будет отображен в консольной сессии.

                Таким образом, чтобы вывести окно с информацией о версии операционной системы на компьютере main, следует запустить PsExec таким образом:

                psexec -i \\main winver.exe

                Если вы хотите выполнить команду сразу на нескольких компьютерах, вам пригодится возможность прочитать их имена из текстового файла списка.

                psexec @c:\comps.txt systeminfo.exe

                Ну и одной из самых полезных способностей PsExec является возможность интерактивного перенаправления ввода/вывода между компьютерами, что позволяет нам запустить, например cmd.exe на удалённом сервере, а давать ему команды и получать результаты на локальном компьютере.

                Каким образом работает PsExec?

                Всё гениальное просто. В ресурсах исполняемого файла PsExec.exe находится другой исполняемый файл – PSEXESVC, который является службой Windows. Перед выполнением команды, PsExec распаковывает этот ресурс на скрытую административную общую папку удалённого компьютера, в файл: \\ИмяКомпьютера\Admin$\system32\psexesvc.exe. Если вы с помощью ключа -c указали что необходимо скопировать исполняемые файлы на эту систему, они тоже скопируются в эту папку.

                По завершению подготовительных действий, PsExec устанавливает и запускает службу, используя API функции Windows для управления службами. После того как PSEXESVC запустится, между ним и PsExec создаётся несколько каналов для передачи данных (вводимых команд, результатов, и т.д.). Завершив работу, PsExec останавливает службу, и удаляет её с целевого компьютера.

                Windows Management Instrumentation (WMI)

                Следующий способ реализации этой популярной задачи, о котором я хочу поведать – использование Windows Management Instrumentation. WMI присутствует во всех операционных системах Microsoft, начиная с Windows 2000, и даже на Windows 9x его можно установить из отдельного пакета. WMI включён по умолчанию, и не требует дополнительной настройки. Для его использования достаточно административных прав, и разрешенного на брандмауэре протокола DCOM. WMI предоставляет огромные возможности для управления системами, но нас сейчас интересует лишь одна из них.

                Для запуска процессов нам потребуется метод Create класса Win32_Process. Использовать его достаточно несложно. В PowerShell это делается следующим образом:

                $Computer = "main"
                $Command = "cmd.exe /c systeminfo.exe > \\server\share\%computername%.txt"
                ([wmiclass]"\\$Computer\root\cimv2:Win32_Process").create($Command)

                Здесь в качестве запускаемого процесса я указал cmd.exe, а уже ему, в качестве аргументов передал нужную команду. Это необходимо в случае если вам нужно использовать переменные окружения удалённого компьютера или встроенные операторы cmd.exe, такие как «>» для перенаправления вывода в файл. Метод Create не дожидается завершения процесса, и не возвращает результатов, но зато сообщает нам его идентификатор – ProcessID.

                Если вы используете компьютер, на котором пока не установлен PowerShell, вы можете вызвать этот метод WMI и из сценария на VBScript. Например вот так:

                Листинг №1 – Запуск процесса используя WMI (VBScript)

                Computer = "PC3"
                Command = "cmd.exe /c systeminfo.exe > \\server\share\%computername%.txt"
                Set objWMIService = GetObject("winmgmts:\\" & Computer & "\root\cimv2:Win32_Process")
                Result = objWMIService.Create("calc.exe", Null, Null, intProcessID)

                Но гораздо проще воспользоваться утилитой командной строки wmic.exe которая предоставляет достаточно удобный интерфейс для работы с WMI и входит в состав операционных систем, начиная с Windows XP. В ней чтобы запустить, например калькулятор на компьютере main достаточно выполнить следующую команду:

                wmic /node:main process call create calc.exe

                Разумеется, возможности WMI не ограничиваются только запуском процессов. Если вам интересно дальнейшее изучение этой технологии, я рекомендую ознакомиться со статьями Константина Леонтьева, посвященными WMI, ссылки на которые вы можете найти в конце статьи.

                WSH Remote Scripting

                Да, как ни странно у Windows Script Host тоже есть возможность запуска сценариев на других компьютерах. Правда эта функция не получила большой популярности, и скорее всего из-за того что требует слишком много подготовительных мероприятий, а взамен предоставляет совсем немного возможностей. Но я все равно расскажу об этом методе, так как и он может пригодиться.

                Итак, для запуска сценария на другом компьютере с помощью WSH нам понадобится сделать следующее:

                1. Права администратора на удалённом компьютере. Это само собой разумеется, и требуется почти для всех остальных методов запуска перечисленных в этой статье.
                2. Разрешить WSH Remote Scripting создав в системном реестре строковой параметр Remote равный "1" в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
                3. Из за ошибки описанной в статье базы знаний Microsoft с номером 311269, на системах с Windows XP может понадобиться выполнить команду wscript –regserver
                4. Если на компьютерах используется брандмауэр, то в нём необходимо разрешить обращения к DCOM. Причем сделать это надо не только на управляемом компьютере, но и на том с которого вы хотите запускать сценарий.
                5. В системах Windows XP с пакетом обновлений 2 и выше, необходимо изменить параметры безопасности DCOM. Это можно сделать с помощью групповой политики. В узле Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options следует установить разрешения следующим образом:
                  1. DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
                    Выдать группам Anonymous Logon и Everyone разрешения Allow Local и Allow Remote Access
                  2. DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
                    Выдать группе Administrators разрешения Allow Local Launch, Allow Remote Launch, Allow Local Activation, Allow Remote Activation
                    Группе Everyone – Allow Local Launch, Allow Local Activation

                Ну и после всех этих процедур, можно попробовать запустить свой сценарий на другом компьютере.

                Пример сценария, который использует эту технологию:

                Листинг №2 – WSH remote scripting (VBScript)

                Set objController = CreateObject("WshController")
                Set objRemoteScript = objController.CreateScript("C:\test.vbs", "PC5")WScript.ConnectObject objRemoteScript, "remote_"
                objRemoteScript.Execute
                Do While objRemoteScript.Status <> 1
                WScript.Sleep 1000
                Loop
                MsgBox "Script complete"
                Sub remote_Error
                Dim objError
                Set objError = objRemoteScript.Error
                WScript.Echo "Error – Line: " & objError.Line & _
                ", Char: " & objError.Character & vbCrLf & _
                "Description: " & objError.Description
                WScript.Quit –1
                End Sub

                На второй его строчке, в качестве параметров для функции CreateScript указывается путь к файлу сценария, который будет выполнен на удаленном компьютере и собственно имя этого компьютера.

                Более подробную статью об этой технологии можно прочитать в статье Advanced VBScript for Microsoft Windows Administrators – Chapter 6: Remote Scripting (см. Ссылки).

                Планировщик заданий (Task Scheduler)

                Планировщиком заданий можно управлять из командной строки используя две утилиты – at.exe и schtasks.exe. Обе эти утилиты позволяют указать имя удалённого компьютера для создания задания, и, следовательно, позволяют решить нашу задачу. Но подробно мы рассмотрим лишь schtasks.exe, так как она предоставляет гораздо больше возможностей.

                Хотя выполнение команд на других компьютерах не является основным предназначением планировщика, тем не менее он позволяет реализовать немало интересных сценариев. Например, с его помощью можно включить установку программного обеспечения в период обеденного перерыва. Или если ваши пользователи обедают в разное время, запуск можно выполнять после определённого периода бездействия компьютера.

                schtasks /create /s server6.td.local /tn install /tr \\main\data\install.cmd /sc once /st 13:00 /ru system

                Важно понимать от имени какой учетной записи будет выполняться задача. В этом примере я указал для параметра /ru значение system, следовательно, для выполнения установки учетной записи компьютера будет необходим доступ на чтение в сетевую папку с дистрибутивом программы.

                Еще полезным решением, мне кажется запланировать какое либо действие, на ежедневное выполнение, и удалять задачу лишь при подтверждении его успеха. То есть вы можете создать простой командный файл, который сначала запускает установщик программы, дожидается его завершения, и проверяет – успешно ли установилась программа. Если это так, то он удаляет задание из планировщика на этом компьютере. Пример такого файла:

                Листинг №3 – Установка программы с последующим удалением задания (Windows Batch)

                msiexec /qn /package \\server\share\subinacl.msi
                if exist "c:\program files\Windows Resource Kits\Tools\subinacl.exe" (
                subinacl /tn Install_Subinacl /f
                )

                WinRM (WS-Management)

                WinRM – это реализация открытого стандарта DMTF (Distributed Management Task Force) от Microsoft, которая позволяет управлять системами с помощью веб-служб. Углубляться в устройство технологии я не буду, а лишь кратко опишу, что необходимо для её использования.

                Версия WinRM 1 и выше входит в состав операционных систем, начиная с Windows Vista и Windows Server 2008. Для Windows XP и Windows Server 2003 можно установить WinRM в виде отдельного пакета (см. ссылки).

                Для того чтобы быстро настроить компьютер для подключений к нему используя стандартные порты и разрешив подключения административным учетным записям, достаточно выполнить команду:

                winrm quickconfig

                Чтобы winrm не спрашивал подтверждения, можно добавить к вызову ключ -quiet. Узнать информацию о более тонкой настройке можно посмотреть встроенную справку winrm:

                winrm help config

                Если на управляемом компьютере работает веб-сервер, WinRM никак ему не помешает, хоть и использует по умолчанию стандартные порты HTTP. Он будет перехватывать лишь подключения предназначенные специально для него.

                Разумеется необязательно выполнять эту команду вручную, на каждом компьютере которым вы хотите управлять. Все необходимые настройки легко сделать с помощью групповых политик. Для этого нужно:

                1. Настроить службу WinRM (Windows Remote Management)на автоматический запуск
                2. Настроить элемент групповой политики Computer Configuration \ Administrative Templates \ Windows Components \ Windows Remote Management (WinRM) \ WinRM Service \ Allow automatic configuration of listeners. Тут нужно указать диапазоны IP-адресов с которых разрешаются подключения.
                3. Разумеется, еще вам будет необходимо разрешить подключения на соответствующие порты (по умолчанию 80) в брандмауэре Windows.

                Независимо от того используется ли порт HTTP (80) или HTTPS (443) трафик передаваемый WinRM шифруется (если конечно вы не отключите эту опцию). Для аутентификации по умолчанию используется протокол Kerberos.

                Но хватит о настройках, лучше перейдем непосредственно к использованию. Хоть утилита winrm позволяет настраивать службу WinRM, а так же выполнять например WMI запросы, нам более интересна другая – winrs. Буквы RS тут означают Remote Shell. WinRS работает очень похоже на PsExec хотя и использует технологию WinRM. Имя компьютера задаётся ключом -r, а после него следует команда которую нужно выполнить. Вот несколько примеров:

                winrs -r:Core ver.exe

                Так как winrs и так использует cmd.exe в качестве удалённой оболчки, в командах можно легко обращаться к удалённым переменным окружения, или использовать другие встроенные команды cmd.exe:

                winrs -r:Core "dir c:\temp > c:\temp\list.txt"

                Как и PsExec, утилита winrs позволяет открыть интерактивный сеанс на удалённом компьютере:

                winrs -r:main cmd.exe

                Эта функция аналогична telnet сессии, но использование winrs однозначно лучше telnet и даже PsExec, с точки зрения безопасности. Независимо от того используется ли порт HTTP (80) или HTTPS (443), трафик передаваемый WinRM шифруется (если конечно вы не отключите эту опцию). Для аутентификации по умолчанию используется протокол Kerberos.

                Windows PowerShell 2.0 Remoting

                Хотя вторая версия Windows PowerShell на момент написания статьи находится еще в состоянии бета тестирования, о её возможностях в области удалённого выполнения команд определённо стоит рассказать уже сейчас. Попробовать его своими руками вы можете либо загрузив предварительную версию (см. ссылки) либо в составе бета-версии Windows 7 или Windows Server 2008 R2.

                Инфраструктура PowerShell Remoting основана на WinRM версии 2.0, и поэтому наследует все преимущества этой технологии, такие как шифрование передаваемых данных, и возможность работать по стандартным портам HTTP/HTTPS. Но благодаря богатым возможностям языка Windows PowerShell, и его способностям работы с объектами, мы получаем еще большие возможности. На данный момент пакет WinRM2.0 тоже находится в состоянии бета-тестирования, и доступен для загрузки только для систем Windows Vista и Windows 2008. В системы Windows 7 и Windows Server 2008R2 он будет встроен изначально, как и PowerShell 2.0.

                Обновление: К моменту публикации статьи на ItBand.ru, финальные версии PowerShell 2.0 и WinRM 2.0 доступны уже для всех поддерживаемых платформ. В состав Windows Server 2008R2 и Windows 7 они уже включены как неотъемлемые компоненты системы, а для Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 все необходимые компоненты можно получить в виде пакета называемого Windows Management Framework.

                Перед тем как воспользоваться всеми этими преимуществами, PowerShell Remoting необходимо активизировать, на управляющем, и управляемых компьютерах. Сделать это просто, запустив командлет (команду Windows PowerShell) Enable-PSRemoting. Причем если добавить ключ -Force то никаких подтверждений запрошено не будет. Этот командлет при необходимости вызовет winrs quickconfig, и создаст исключения в брандмауэре Windows, так что никаких дополнительных действий выполнять не нужно.

                После этого вы сможете легко выполнять команды на других компьютерах используя командлет Invoke-Command (или его псевдоним icm):

                Invoke-Command -ComputerName Main -ScriptBlock {netsh interface dump > c:\ipconfig.txt}

                Разумеется команду можно заранее поместить в переменную, а для параметра -ComputerName указать имена не одного, а сразу нескольких компьютеров. Следующая последовательность позволяет вывести версию файла Explorer.exe сразу с трех компьютеров.

                $Command = {(get-item c:\Windows\explorer.exe).VersionInfo.FileVersion}
                Invoke-Command -ComputerName Main, Server7, Replica -ScriptBlock $Command

                Как видно на, можно передавать сразу несколько команд в одном блоке, помещать их результаты выполнения на нескольких компьютерах в переменную, а затем обрабатывать на рабочей станции используя возможности Windows PowerShell по работе с объектами.

                Впрочем возможности PowerShell Remoting на этом только начинаются. С помощью командлета Enter-PSSession вы можете войти в интерактивную сессию Windows PowerShell на удалённом компьютере. Выйти из такого сеанса можно использовав командлет Exit-PSSession, или просто exit.

                Командлет New-PSSession создает сессии на удалённых компьютерах, указатели на которые можно поместить в переменную, а затем передавая её как аргумент для Invoke-Command выполнять команды сразу на нескольких компьютерах, в постоянном окружении. Пример вы можете увидеть на скриншоте, где я выполняю последовательность команд сразу на нескольких компьютерах из списка c:\computers.txt.

                Проксирование

                Этот метод отличается от всех вышеперечисленных, и служит совсем для других задач, но не менее актуален. Когда делегирование полномочий невозможно, или предоставляет слишком большие возможности, он позволяет разрешить обычному пользователю выполнять некую команду, требующую административных привилегий, никаким образом не выдавая дополнительных полномочий и не подставляя под угрозу пароль администратора.

                Чаще всего такие проблемы люди решают с помощью утилит вроде cpau.exe (см. ссылки) которые создают файл с зашифрованным паролем административной учетной записи, позволяющий запускать определённую программу. Проблема, однако, в том, что хоть пароль и зашифрован, перед запуском программы утилите придётся его расшифровать. А соответственно пользователь может использовать утилиту повторяющую алгоритм расшифровки пароля, и узнать его, чтобы затем использовать для запуска других программ или получения дополнительных привилегий. Практически это конечно достаточно сложно для обычных пользователей, не обладающих специальными знаниями, но, тем не менее, вполне возможно. Еще раз уточню, это не беда конкретной утилиты, а проблема такого подхода вообще.

                Еще может показаться, что для решения задачи подойдет параметр /savecred утилиты runas. Но тут есть даже две проблемы. Во-первых, как и вышеописанном случае, пароль сохраняется на компьютере пользователя, а, следовательно, может быть расшифрован, хотя в случае с runas для этого и понадобятся права локального администратора. Во-вторых, runas сохраняет учетные данные, не связывая их с конкретной командой, а, следовательно, пользователь сможет запустить с завышенными правами не только ту команду, доступ к которой вы хотели ему предоставить, но и любую другую.

                Чтобы избежать этих проблем, но, тем не менее, разрешить выполнение конкретной команды, можно использовать методику, которая называется "проксированием".

                Работает она следующим образом. На компьютере постоянно работает сценарий с высокими привилегиями. Например, в нашем случае он будет запущен из-под учетной записи, обладающей правами администратора на файловом сервере. По сигналу пользователя он будет выполнять одну, заранее определённую команду. В этом примере – закрывать все файлы, открытые по сети.

                Для организации этой системы мы поместим на сервере, например в папке c:\scripts\ командные файлы Server.cmd и Action.cmd .

                Листинг №4 – Server.cmd (Windows Batch)

                set trigger=c:\commandShare\trigger.txt
                set action=c:\scripts\action.cmd
                set log=c:\scripts\log.txt
                :start
                if exist %trigger% start %action% & echo %time% %date%>>%log% & del %trigger%
                sleep.exe 5
                goto start

                Листинг №5 – Action.cmd (Windows Batch)

                for /f "skip=4 tokens=1" %%a in (‘net files’) do net files %%a /close
                exit

                Server.cmd будет ждать знака от пользователя (создание файла в определенном месте), и получив его, запускать файл с командами – Action.cmd. Разумеется, в эту папку пользователи не должны иметь никакого доступа. Автоматический запуск Server.cmd при запуске компьютера можно организовать, просто создав соответствующую задачу в планировщике:

                schtasks /create /ru domain\administrator /rp /sc onstart /tn ProxyScript /tr c:\scripts\server.cmd

                После параметра /ru указывается учетная запись, под которой будет выполняться сценарий (в нашем случае она обладает правами администратора на сервере), так как после параметра /rp пароль не указан – он будет запрошен при создании задачи. Параметр /sc позволяет указать момент запуска сценария, в нашем случае – при включении компьютера. Ну а /tn и /tr позволяют указать имя задачи, и исполняемый файл.

                Теперь, для того чтобы пользователь мог подать сценарию сигнал, мы создадим папку c:\commandShare и сделаем её доступной по сети. Доступ на запись в эту папку должен быть только у тех пользователей, которые будут запускать команду.

                После этого достаточно будет поместить пользователю на рабочий стол файл Run.cmd.

                Листинг №6 – Run.cmd (Windows Batch)

                echo test > \\server\commandShare\trigger.txt

                При его выполнении, от имени пользователя, будет создаваться файл \\server\commandShare\trigger.txt. Сценарий Server.cmd, заметив его, запустит на выполнение со своими привилегиями файл Action.cmd, добавит запись в файл c:\scripts\log.txt о текущем времени, а затем удалит trigger.txt чтобы не выполнять команду снова до следующего сигнала пользователя.

                В сценарии Server.cmd используется утилита Sleep.exe, позволяющая сделать паузу в выполнении сценария на заданный в секундах промежуток времени. Она не входит в состав операционной системы, но её можно взять из набора Resource Kit Tools (см. ссылки) и просто скопировать на любой компьютер.

                Ссылки

                PsExec.exe

                Windows SysInternals

                http://www.script-coding.info/WMI_Processes.html

                BUG: You receive an "ActiveX component can’t create object" error message when you Use Windows Script Host to execute remote script

                Advanced VBScript for Microsoft Windows Administrators – Chapter 6: Remote Scripting

                Вы всё ещё не используете WMI? Часть 1

                Вы всё еще не используете WMI? Часть 2

                Узнай секреты WMI: события и провайдеры

                Узнай секреты WMI: события и провайдеры

                WS-Management v1.1 для Windows XP и Windows Server 2003

                CPAU.exe

                Windows PowerShell 1.0

                Windows PowerShell 2.0 Community Technology Preview 3 –

                WinRM 2.0 Community Technology Preview 3

                Windows Server 2003 Resource Kit Tools

                Ранее статья была опубликована в журнале Windows IT Pro RE в №4 за 2009 год.

                Василий Гусев

                http://xaegr.wordpress.com/

                • IPv6. Гость из недалекого будущего.

                  • Рубрика: Windows,Новое
                  • Автор: Илья Рудь
                  • Дата: Thursday 12 Nov 2009

                  ipv6 С выходом новых версий ОС Windows и соответственно обновленных служб, нередко в списке изменений встречаются такие фразы как «Добавлена поддержка IPv6 или IPv6 совместимо». Большинству администраторов понятно, что речь идет о новой версии протокола   IP, но, как правило, этим познания и заканчиваются. Я предлагаю  немного разобраться с данным вопросом, ибо, если верить прогнозам довольно скоро IPv6  перейдет из статуса «таинственной новинки» в ежедневную обыденность.

                  Но для начала давайте поймем, чего  не хватает IPv4  на современном этапе.

                  Одной из основных проблем называют  истощение адресного пространства, напомню, что размер адресного пространства IPv4 равен 232, а это более чем 4 млрд. узлов. С этим можно поспорить, фактически при использовании  технологии NAT адресное пространство растягивается до бесконечности, но тогда появляется другая проблема, связанная со строго ограниченным количеством портов.  Ясно одно, свободные, не зарегистрированные адреса, в ближайшие 10 лет подойдут к концу, а по некоторым подсчетам «Время Х» наступит  в течение ближайших 2-3 лет.

                  Другим камнем в огород IPv4  считается неэффективная  маршрутизация, которая заложена в самой идеологии протокола, что в свою очередь приводит  к хранению на магистральных маршрутизаторах десятков тысяч маршрутов и как следствие чрезмерную их нагрузку, особенно при перестроении  таблиц маршрутизации. Если в начале 90-х для размещения маршрутной таблицы в маршрутизаторе хватало 4-8 Мбайт, то сейчас требования к памяти превысили отметку в 100 Мбайт.

                  Еще одним неотъемлемым атрибутом корпоративных сетей IPv4, является служба DHCP отвечающая за выдачу IP адресов клиентам. Если не учитывать такую «детскую» технологию как APIPA можно смело сказать, что  встроенное  автоконфигурирование  в IPv4  отсутствует. На мой взгляд, самой серьезной проблемой IPv4 является  безопасность. Несмотря на то, что стек TCP/IP был разработан по инициативе Министерства обороны США, своим появлением он во многом обязан академической, университетской среде, которую в тот момент возможность передачи данных волновала гораздо больше, чем сохранение их конфиденциальности.  Появившееся впоследствии протоколы IPsec, SSL, TLS были призваны решить проблему безопасности и отчасти ее решили, к сожалению усложнив при этом управление передачей данных.

                  После появления протокола IPv4 большую популярность получили потоковые мультимедиа-приложения, VoIP и видеоконференции, которые требуют гарантированной пропускной способности и не превышения максимальной задержки. Т.е обеспечения качества обслуживания. (Quality of Service). В  IPv4 существует специальное поле «Type of service», но механизм интерпретации и резервирования его определен не был, поэтому абсолютное большинство существующих маршрутизаторов попросту игнорируют это поле в заголовке IPv4.

                  Список этот можно продолжить недостаточным размером заголовка IPv4 , но я думаю и этого вполне достаточно, чтобы будущее посмотрело в сторону IPv6.

                  Так что же изменится с переходом на новый протокол?

                  Прежде всего, это размер IP адреса, в IPv6 он составляет 128 бит, что в четыре раза превышает размер адреса в IPv4.  128-битный адрес IPv6 делится на части по 16 бит, которые в свою очередь преобразуются в 4-значные шестнадцатеричные числа и разделяются двоеточиями. Форма такой записи получила название двухточечно-шестнадцатеричной.
                  Пример IPv6 адреса: 21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A

                  Существует несколько способов сокращения записи IPv6 адресов, первый из них заключается в удалении начальных нулей в каждом 16-битном блоке. Поскольку в каждом блоке должен остаться хотя бы один знак, адрес приобретет вид: 21DA:D3:0:2F3B:2AA:FF:FE28:9C5A

                  Второй вариант заключается в замещении одного блока или группы последовательных блоков состоящих из нолей на двойное двоеточие.

                  Например адрес: 21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A

                  Можно превратить в 21DA:D3::2F3B:2AA:FF:FE28:9C5A убрав начальные ноли и заменив нулевой блок на ( :: ).Важно то, что в адресе может быть  только одно двойное двоеточие, поэтому заменять следует либо какой то один разряд либо группу последовательных.

                  Хорошим примером служит сокращение адреса многоадресной рассылки FF02:0000:0000:0000:0000:0000:0000:0002 , который после применения правила принял вид  FF02::2.

                  Следующее изменение связанно  с отсутствием такого понятие как маска подсети. IPv6 адрес делится на три части:  Global Routing Prefix, идентификатор подсети и идентификатор интерфейса.  Global Routing  аналогичен идентификатору сети (Network ID) в IPv4 и присваивается провайдерам.  Определяется он тремя первыми блоками.

                  Идентификатор подсети представлен четвертым блоком и по сути очень похож на  идентификатор подсети (Subnet ID) в IPv4. Последняя часть идентификатор интерфейса (аналог Host ID в IPv4) определяет уникальный адрес хоста вашей сети. Существует несколько способов получения уникального 64-битноко идентификатора интерфейса, он может быть настроен вручную, определен DCHP сервером или получен путем преобразования MAC адреса сетевой карты. Вместо маски в IPv6 указывается префикс это количество бит, которые определяют часть блоков отвечающих за Global Routing.  Пишется префикс через косую черту после самого  адреса.

                  Если взять для примера IPv6 адрес: 2001:0f68:0000:0000:0000:0000:1986:69af/48

                  Поскольку префикс (/48) указывает на первые 48 бит, можно сделать вид, что 2001:0f68:0000 будет являться частью  Global Routing. Следующее поле, 0000, указывает на идентификатор подсети. Ну и оставшиеся блоки 0000:0000:1986:69af это идентификатор интерфейса.

                  clip_image002

                  Рис.1 Схема IPv6 Адреса (Global Unicast)

                  В IPv6 существует три различных типа адресов Unicast, Multicast и Anycast. C Unicast все просто, он определяет конкретный уникальный хост в сети. Multicast же идентифицирует группу хостов или интерфейсов, при отправке пакета на этот адрес, он доставляется на каждый хост группы.  Anycast тоже объединяет несколько хостов, но имеет от Multicast существенное отличие, пакет посланный на  Anycast адрес доставляется только ближайшему к отправителю  участнику группы.

                  Еще одно существенное отличие заключается в появлении нового протокола «Neighbor Discovery», который призван заменить  IPv4 широковещательные пакеты типа  Address Resolution Protocol (ARP), ICMPv4 Router Discovery, and ICMPv4 Redirect на более эффективные Unicast и Multicast пакеты. Поскольку функции у «Neighbor Discovery» довольно много, их принято делить на «Host-Router Discovery функции» и «Host-Host Communication».

                  «Host-Router Discovery функции»

                  В первую группу попадает задача  Router Discovery, как понятно по названию, это метод обнаружения хостом маршрутизаторов в своей локальной сети.  Далее на ND весит задача определения префикса сети (Prefix discovery), который дает понять клиенту в какой сети он находится. Кроме этого с помощью ND клиент получает от маршрутизатора информацию о том как производится получения IP адреса (через DHCPv6 или через роутер) и дополнительный параметры такие как максимальный размер пакета (Parameter Discovery)

                  «Host-Host Communication»

                  Задачи второй группы «Host-Host Communication» это разрешение имен, замена тех функции, которые в IPv4 выполнялись протоколом ARP (IP в MAC). А также определение доступности партнера по передачи данных и выявление нарушения уникальности IP адресов, т.е появления одинаковых IP.

                  Плюсов у  ND  довольно много, если резюмировать, то, во-первых,  можно забыть о broadcasts пакетах, ибо разрешение имен идет через Multicast.  Во-вторых,  устройства, использующие  маршрутизатор, в случае если он  перестает быть достижим, обнаруживают  это и автоматически переключается на другой (при наличии). Поскольку ND работает на сетевом уровне,  это дает возможность  аутентифицировать и шифровать средствами IPSec такие задачи, как разрешение  имен или обнаружение адреса маршрутизатора. Ну и конечно автоконфигурация, несмотря на появление DHCPv6 значимость этой службы может оказаться под большим вопросом.

                  Несколькими абзацами выше, мы определились с типами IPv6 адресов, на одном из типов, а именно на Unicast следует остановиться подробней. Он бывает трех видов: global unicast,  link local unicast и Unique Local Unicast. Теперь немного о каждом.

                  Global unicast эквивалентен «белому» IPv4 адресу, он маршрутизируется в интернете  и доступен в IPv6 участке глобальной сети. Первые 48-бит  адреса является уникальными по всему Интернету (Global Routing Prefix), а провайдер, используя следующие 16 бита (Идентификатор подсети) может создать до 65536 подсетей. Пример сокращения нолей был показан на Global unicast адресе.

                  Link local unicast – уникальный IP адрес, автоматически получаемый хостом вне зависимости от наличия в сети маршрутизаторов и DHCPv6 серверов. Генерируется адрес довольно просто. Глобальный префикс (Global Routing Prefix) изначально определен (fe80) и занимает лишь первые 10 битов адреса. Т.к. префикс стал короче (по сравнению с Global unicast адресом), то   пространство, отведенное под идентификатор подсети, увеличилось с 16 битов до 54 битов. А поскольку адрес LLU создан только для локальной сети, то данные биты не используются и выражаются нолями. Оставшиеся 64 бита (идентификатор интерфейса) получаются путем несложного преобразования 48-битного MAC адреса компьютера.

                  clip_image002[5]

                  Рис.2 Схема IPv6 Адреса (Link Local)

                  Пример такого преобразования: Узел A имеет MAC-адрес Ethernet 00-AA-00-3F-2A-1C. Сначала этот адрес преобразуется в формат EUI-64 путем вставки разрядов FF-FE между третьим и четвертым байтами: 00-AA-00-FF-FE-3F-2A-1C. Затем инвертируется бит U/L (седьмой бит в первом байте). Первый байт в двоичной форме имеет вид 00000000. При инвертировании седьмого бита он принимает вид 00000010 (0x02). Конечный результат, 02-AA-00-FF-FE-3F-2A-1C, после преобразования в двоеточечно-шестнадцатеричную нотацию становится идентификатором интерфейса: 2AA:FF:FE3F:2A1C. Таким образом, сетевому адаптеру с MAC-адресом 00-AA-00-3F-2A-1C соответствует адрес локальной связи FE80::2AA:FF:FE3F:2A1C.

                  Одной из главных задач Link local unicast  является поддержка работы протокола «Neighbor Discovery» и именно поэтому адрес конфигурируется в любом случае.  Передача данных внутри локальной сети осуществляется с использованием Link local unicast   даже при наличии сконфигурированного Global unicast адреса.

                  И наконец, Unique Local Unicast адреса  идеологически напоминают  IPv4 адреса из зарезервированных диапазонов (10.0.0.0/8 или 192.168.0.0/24), они также предназначены для работы в сетях, напрямую не связанных с интернетом. Global Routing Prefix определяется первыми  8 битами и уже изначально задан (FD00::/8). Следующие 40-бит формируют Global ID уникальный  идентификатор, который представляет организацию. Он должен быть случайным, чтобы минимизировать возможность совпадения с другими организациями. Такая уникальность позволит осуществить объединение  сетей и настроить  маршрутизацию без их переконфигурирования.  Еще 16-бит дают возможность создать 65,536 подсетей и настроить маршрутизацию для внутреннего использования. Ну и наконец, последние 64 бита отданы под уже знакомый идентификатор интерфейса.

                  clip_image002[7]

                  Рис.3 Схема IPv6 Адреса (Unique Local Unicast)

                  Одна из задач  разработчиков протокола IPv6 состояла в автоконфигурировании интерфейсов.  Важно понимать, что один интерфейс может иметь множество различных адресов IPv6. (В принципе  и при IPv4 интерфейс может иметь несколько адресов) Таким образом, интерфейс может одновременно иметь Link local  и Global IPv6 адреса.
                  Процесс автоконфигурации начинается с  получения Link local адреса, проверки его уникальности и определение того, какая информация должна быть получена автоматически (адреса, дополнительные параметры или и то и другое).  В случае, если надо автоматически получить  адрес, то через какой механизм он должен быть сконфигурирован: stateless или stateful.

                  Механизм stateless требует минимального конфигурирования маршрутизатора, при этом  дополнительные сервера не нужны.

                  При stateless механизме хост генерирует  собственный адрес из локальной информации (MAC-адрес) и информации предоставленной  маршрутизатором. Маршрутизатор объявляет префикс идентифицирующий подсеть, а хост использует уникальный идентификатор интерфейса. Соединив их вместе хост получает адрес IPv6. В отсутствии маршрутизатора хост может сформировать только Link local адрес. Однако даже такой адрес дает ему возможность работать с машинами находящимися в его подсети.
                  Автоконфигурирование по механизму stateful производится с помощью DHCPv6. В случае stateful, хост получает адрес интерфейса и/или другую информацию с сервера ( адреса DNS, как вариант).  Администратор сети может определить какой способ  будет использоваться при помощи специальных ICMPv6 сообщений «Router Advertisement messages». Механизмы Stateless и stateful могут дополнять друг друга и использоваться совместно. Stateless может использоваться когда точные адреса непринципиальны, stateful, наоборот, когда требуется выдача конкретных адресов конкретным хостам.

                  Адрес IPv6 выдаётся на фиксированное (либо бесконечное) время. Каждый адрес привязан к интерфейсу  в течении времени жизни. По истечению времени жизни, адрес теряет связь с интерфейсом и может быть присвоен другому хосту в Интернете. Чтобы избежать возможных проблем, время жизни адреса делится на  две стадии: «preferred» – использование адреса  предпочтительно и «deprecated» — адрес, который вскоре будет утрачен. Новые соединения должны использовать адрес в состоянии «preferred». Адрес «deprecated» могут использоваться только приложениями, которые уже используют его и пока не могут  переключиться на новый адрес. Для решения проблем с уникальностью IPv6 адресов существует специальный механизм Duplicate Address Detection.  Маршрутизаторы также имеют Link Local адрес, полученный аналогичным образом.

                  Поскольку осуществить IPv4 – IPv6 переход в короткий срок задача неосуществимая, было разработано несколько технологий взаимодействия в смешанных средах. На текущий момент это: туннелирование, двойной стек и трансляция протоколов.

                  Суть туннелирования состоит в том, что пакет данных IPv6 инкапсулируется в  данные пакета IPv4. Такой  пакет IPv4 содержит в себе два заголовка IPv6 и IPv4, что в свою очередь позволяет  передаваться его через обычные IPv4-сети. Он доставляется к узлу  декапсуляции, где производится отбрасывание заголовка IPv4 и передача данных к IPv6 устройству. В зависимости от того, где происходит инкапсуляция и декапсуляция, выделяют следующие виды туннелирования. Существует три вида туннелирования: “Маршрутизатор – Маршрутизатор”, “Хост – Маршрутизатор”,”Маршрутизатор – Хост”.

                  Реализация двойного стека подразумевает поддержку устройством одновременно протоколов IPv6 и IPv4. Первая поддержка двойного стека  появилась в Windows XP и Windows Server 2003 где администраторы могли дополнительно установить компонент протокола IPv6.

                  И последний вариант – трансляция протокола. Сама трансляция не что иное, как согласование двух протоколов путем преобразования  сообщений, поступающих от одной сети, в формат другой сети. Один из вариантов заключается в использовании протокол-шлюзов, размещенных  на границах между IPv6-сетями и IPv4-сетями.

                  Итоги:


                  Пару лет назад, после публикации предварительного RFC согласно которому переход на IPv6 должен завершиться  до 2011 года, на одном из форумов был,  проведет опрос. Системным администраторам было задано два вопроса: планируют ли они переход на IPv6 и как они к нему относятся.

                  Самыми популярными ответами стали: «Я еще не размышлял на эту тему» и «IPv6 – это неизбежное зло, с которым придется мириться».

                  Результаты очень хорошо отражали развитие IPv6 в России. Несмотря на то, что с того момента прошло около двух лет ситуация кардинально не изменилась. Если верить сайту ipv6.ru  на сегодняшний день по количеству выделенных блоков IPv6-адресов Россия занимает 19-е место в Европе и 29-е место в мире. Посмотрев за пределы России, можно увидеть отсутствие поддержки IPv6 на большинстве популярных ресурсов, что явно не ускорит переход. Впереди планеты всей находится Япония, где IPv6 действительно развит, во многом  этому развитию способствовало количество устройств и сервисов, используемых в стране. Не обошлось и без государственной поддержки, в виде налоговых льгот для компаний, использующих IPv6. В любом случае набором минимальных IPv6 знаний системный администратор должен обладать, дабы не впадать в ступор при виде результат ipconfig в Windows 7.

                  Илья Рудь

                • Главная Security, Windows, Новое Active Directory, AD RMS
                  • AD RMS: Баг или Фича?

                    fail

                        Постоянные читатели знают, что сейчас я разбираюсь со службой Active Directory Rights Management Service и пишу небольшие STEP-BY-STEP по данной теме. Не далее чем вчера я знакомился с такой функцией как "Исключения Пользователей", позволяющей указать учетные записи которым не доверяет кластер AD RMS и следовательно эти пользователи должны потерять возможность получать доступ к защищенному содержимому. Но это в теории, на практике же я столкнулся с интересным поведение службы. А именно с тем, что исключенный пользователь может продолжить получать доступ к данным несмотря на запреты администратора. Баг это или Фича я пока не знаю, посему и выношу данную проблему на суд посетителей itband.ru. Все манипуляции от и до были записаны на видео с моими комментариями и уместились в 9 минутном ролике (10,5 Мб)

                    • Active Directory : “Активная директориЯ” – от А до Я (Рассказ 1й)

                      audrey4_thumb1 – Эх, Петька, Петька, – сказал Чапаев, – знавал я одного китайского коммуниста по имени Цзе Чжуан. Ему часто снился один сон – что он красная бабочка, летающая среди травы. И когда он просыпался, он часто не мог взять в толк, то ли это бабочке приснилось, что она занимается революционной работой, то ли это подпольщик видел сон, в котором он порхал среди цветов. Так вот, когда этого Цзе Чжуана арестовали в Монголии за саботаж, он на допросе так и сказал, что он на самом деле бабочка, которой все это снится. Поскольку допрашивал его сам барон Юнгерн, а он человек с большим пониманием, следующий вопрос был о том, почему эта бабочка за коммунистов. А он сказал, что она вовсе не за коммунистов. Тогда его спросили, почему в таком случае бабочка занимается подрывной деятельностью. А он ответил, что все, чем занимаются люди, настолько безобразно, что нет никакой разницы, на чьей ты стороне.
                      – И что с ним случилось?
                      – Ничего. Поставили его к стенке и разбудили.
                      – А он?
                      Чапаев пожал плечами.
                      – Дальше полетел, надо полагать

                      (ц) “Чапаев и Пустота”