SpayniX Web Portal

  • Увеличить размер шрифта
  • Размер шрифта по умолчанию
  • Уменьшить размер шрифта
Новости, статьи из мира IT

Планирование расширений CDP и AIA

E-mail Печать PDF

Примечание: данный пост чуть более чем полностью состоит из моих собственных рекомендаций. Никаких пруфлинков на авторитетные источники, подтверждающие правильность этих рекомендаций не будет.

Примечание: перед проведением любых изменений, описываемых в этом посте, обязательно выполните бэкап.

Большинство администраторов при установки роли Active Directory Certificate Services (AD CS) делают очень просто Next –> Next –> ????? –> PROFIT. С одной стороны это и хорошо, но часто это не очень хорошо. Чем это хорошо — оно будет работать. Чем это плохо — при появлении каких-то специфических условий (например, внешние по отношению к текущему лесу клиенты) оно начинает работать хуже и даже перестаёт быть работоспособным. Сегодня я планирую рассмотреть эти вопросы, как нестанадартные клиенты (не поддерживающие LDAP) и внешние клиенты, тем более это достаточно распространённый сценарий.

 

Развертывание OCSP

E-mail Печать PDF

Сегодня хочу поговорить про OCSPOnline Certificate Status Protocol, который служит для проверки статуса сертификата на предмет отозванности. Как известно, стандартным механизмом проверки статуса сертификата является публикация CRL (Certificate Revocation List). В жизни существует 2 вида CRL:

  • Base CRL – полный список CRL, в котором указываются серийные номера всех отозванных в CA сертификатов и причина отзыва. Поддерживается всеми современными системами Windows. Характеризуется большим объёмом и не очень частой публикацией для уменьшения трафика.
  • Delta CRL – инкрементальный (хотя по факту это скорее дифференциальный) список CRL, в который включаются только сертификаты, которые были отозваны с момента последней публикации полного Base CRL. Характеризуется небольшим объёмом и относительно частой публикацией. Нативно поддерживается только системами не ниже Windows XP. Windows 2000 нативно не умеет его читать, но это становится возможным после применения патча MS04-011.
Обновлено 07.09.2014 12:16
 

CRL Distribution Points и Authority Information Access

E-mail Печать PDF

Примечание: данный материал публикуется как обязательный для знания IT-специалистами, которые занимаются или только собираются заниматься темой PKI (Public Key Infrastructure).

Большинство системных администраторов считают, что планирование списков отзыва сертификатов (Certificate Revocation List — CRL) и файлов сертификатов самих серверов CA — это элементарная вещь. Но практика показывает, что очень многие из них сильно заблуждаются. Поэтому предлагаю немного повременить с CryptoAPI и поговорить о немного более насущных вещах — рекомендации по планированию публикации списков CRL и сертификатов CA (Certification Authority), которые используются certificate chaining engine для построения и проверок цепочек сертификатов. О том, как работает этот движок можете почитать пост: Certificate Chaining Engine — как это работает.

Обновлено 07.09.2014 11:38
 

Синий экран Windows Server 2008 r2 с кодом ошибки 0x0000007B после Bare Metal Recovery

E-mail Печать PDF

Лично я частенько сталкиваюсь с Blue Screen Error на Windows Server 2008 R2 и Windows Server 2012, код которого подобен:

STOP: 0x0000007B (0xFFFFF880009A9928, 0xFFFFFFFFC0000034, 0x0000000000000000, 0x0000000000000000)

Если посмотреть в таблицу стоп-кодов, то можно увидеть более понятное объяснение что же все таки случилось:

INACCESSABLE_BOOT_DEVICE

На моей практике это происходило в основном после выкатки из бэкапов и причиной были:

  • Неверно определен активный раздел на запоминающем устройстве (чаще всего возникало после выкатки из Acronis'a, в котором был неверно указан активный раздел)
  • Целевой сервер имел различное оборудование с исходным, в частности - контроллер накопителя (тут как раз Acronis Universal Restore мог помочь разрешить подобную проблему и гораздо чаще проблемы были с восстановлением из Bare Metal Recovery от Microsoft Windows Backup Feature)

В первом случае поправить ситуацию было довольно просто - загружаешься с диска восстановления, запускаешь diskpart и указываешь верный раздел активным.

Второй же случай я подробно опишу далее...

Обновлено 06.01.2014 21:19
 

Event ID: 2537, Source: ADAM General

E-mail Печать PDF

Когда Active Directory облегченного доступа к каталогам (AD LDS) работает на компьютере, подключенном к домену, то экземпляр AD LDS пытается создать serviceConnectionPoint (SCP) объекта в области так, чтобы другие компьютеры в домене могли определить местонахождение LDS AD экземпляра. В качестве опции, администратор может указать контейнер для создания этого объекта. Контейнер должен существовать в домене прежде чем он cможет быть использован в качестве SCP.

 


Страница 3 из 42.
network monitoring tool

Погода

Яндекс.Погода

Статистика

Пользователи : 705
Статьи : 246
Просмотры материалов : 1469692
mod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_counter
mod_vvisit_counterСегодня109
mod_vvisit_counterВчера136
mod_vvisit_counterЗа неделю245
mod_vvisit_counterЗа месяц1777
mod_vvisit_counterВсего837023

Кто на сайте

Сейчас 56 гостей онлайн

Поиск

Информация о профиле

Application afterLoad: 0.003 seconds, 0.52 MB
Application afterInitialise: 0.116 seconds, 3.13 MB
Application afterRoute: 0.131 seconds, 3.68 MB
Application afterDispatch: 0.641 seconds, 8.37 MB
Application afterRender: 1.168 seconds, 11.20 MB