Category Archives: Админство

Почему не удается запустить SapRouter как службу на Windows 2003

Posted on by

Ага, вот причина http://support.microsoft.com/kb/886695/ru
Это не баг, а фича безопасности, нельзя запустить приложение как службу НЕ от имени системы, но с поддержкой интерактивного входа.

 

Сообщение об ошибке «Ошибка 1053: Служба не ответила на запрос своевременно» при запуске службы, использующей локальную системную учетную запись, на компьютере под управлением Windows Server 2003

Проблема:
Службы, использующие локальную системную учетную запись для входа в компьютер под управлением Windows Server 2003, не запускаются. По умолчанию следующие службы используют локальную системную учетную запись для входа в систему:

  • Служба веб-публикации
  • Программа установки Microsoft Windows
  • Инструментарий управления Windows

При попытке запуска подобной службы появляется следующее сообщение об ошибке:

Ошибка 1053: Служба не ответила на запрос своевременно.

Примечание. Как правило, это сообщение об ошибке возникает после интервала ожидания 30 секунд.

В какой-то момент после перезагрузки компьютера службы, для запуска которых используется локальная системная учетная запись, не запускаются. Например, по истечении периода времени от 12 часов до 5 дней не запускается программа установки Windows. В этом случае вместо обычного интервала ожидания в 30 секунд сразу же появляется сообщение об ошибке.

Кроме того, может появиться следующее сообщение об ошибке:

Сбой инициализации DLL (0xc0000142)
Причина:
Причина данной проблемы заключается в том, что файл Iisutil.dll библиотеки DLL добавляет запись управления доступом (ACE) в дескриптор безопасности рабочего стола для служб, которые выполняются в контексте системы. Запись ACE позволяет учетной записи группы рабочего процесса служб Microsoft Internet Information Services (IIS_WPG) войти на рабочий стол системной службы. Однако если другой процесс устанавливает значение ноль для дескриптора безопасности рабочего стола для служб, запускаемых в контексте системы, Iisutil.dll вносит изменения в список разграничительного контроля доступа (DACL). Файл Iisutil.dll изменяет список DACL таким образом, что любая служба, использующая неинтерактивную локальную системную учетную запись, не может войти в систему.Примечание. Неинтерактивная локальная системная учетная запись — это учетная запись, для которой не задан параметр Разрешить взаимодействие с рабочим столом. Дополнительные сведения о данном параметре см. в разделе «Дополнительные сведения».

Примечание. Дескриптор безопасности с нулевым значением предоставляет неограниченный доступ.

 

Если Oracle не стартует из-за не верного параметра

Posted on by

Если Oracle не стартует из-за не верного параметра:

коннектимся к базе как умеем, например

sqlplus / as sysdba (если настроен NTS)

Выполняем:

     create pfile='d:\tmp\pfile.ora' from spfile;

Правим ошибочный параметр в pfile;

Запускаем базу с pfile

     startup pfile='d:\tmp\pfile.ora';

Создаем spfile из pfile обратно:

     create spfile from pfile='d:\tmp\pfile.ora';

Скрипт для резервного копирования файлов и базы данных MySQL сразу нескольких сайтов

Posted on by

Скрипт для резервного копирования файлов и базы данных MySQL сразу нескольких сайтов

#!/bin/bash

NOW=$(date +"%Y-%m-%d")

doc_root='/var/www/'

bak_fold='/var/backups'

domains=('site1.ru','site2.ru','site3.ru')

bases=('db_site1', 'db_site2', 'db_site3')

count=${#domains[@]}

index=0

while [ "$index" -lt "$count" ]

do

  if [ -n "${bases[$index]}" ]

  then

    mysqldump -uroot -pqwe123 ${bases[$index]} > $doc_root${domains[$index]}/$NOW.${domains[$index]}.sql && cd $doc_root${domains[$index]}/ && tar -czf $bak_fold/$NOW.${domains[$index]}.tar.gz ./ && rm ./$NOW.${domains[$index]}.sql

  else

    cd $doc_root${domains[$index]}/ && tar -czf $bak_fold/$NOW.${domains[$index]}.tar.gz ./

  fi

  let "index = $index + 1"

done

Примечание: Если базы данных нет, а только файлы, в скрипте необдохимо оставить пустые кавычки в месте отсутствующей базы

Почему не зайти удаленно пользователю на сервер терминалов (контроллер домена по совместительству)

Posted on by

В случае активации ролей терминал-сервера и контроллера Active Directory на одном и том же сервере, доступ по RDP для обычных пользователей будет закрыт.

При этом пользователь получит следующую ошибку:

Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов. По умолчанию, члены группы администраторов имеют такое разрешение. Если Вы не являетесь членом группы администраторов или другой группы, имеющей такое разрешение, или если группа администраторов не имеет такое разрешение, нужно добавить это разрешение в ручную

Для того, чтобы предоставить пользователям доступ по RDP на контроллер домена требуется подправить локальную политику безопасности.
Открываем следующие пункты:
Локальные политики -> Назначение прав пользователя -> Разрешить вход в систему через службу удаленных рабочих столов.
И прописываем нужные группы пользователей.

В этой же оснастке можно открыть и локальный вход на сервер для пользователей.

Я категорически не рекомендую сочетать на одном сервере эти роли, ибо таким образом вы создаёте угрозу стабильности работы домена, от работы которого зависит не только терминальный сервер, но и другие ПК.

АНБ (NIST) сертифицировала Dual EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generation) чтобы взламывать его

Posted on by

На сайте приведен список продуктов, использующих данный алгоритм и, соответственно, уязвимых для АНБ.

OpenSSL, McAffe, продукты Apple и многое другое оказались крипто не защищенным.

http://csrc.nist.gov/groups/STM/cavp/documents/drbg/drbgval.html

Узнать какой процесс занимает порт

Posted on by

Выполнить команду:

netstat -aon | find  "5104" ,

где 5104 - номер порта.

Получим список, найдем в нем нужную запись, а в ней в последней колонке PID процесса

Вставляем этот PID в комаду:

tasklist | find  3104  ,

где 3104 - PID процесса

Получим информацию о приложении, занимающем порт

Настройка FTPS (FTP over SSL) через NAT MS ISA 2006

Posted on by

Предисловие. Отличие активного и пассивного FTP.

 

1. Ставим FTP-сервер (проверено на Gene6 и FileZilla FTP)

2. Настраиваем пользователя, выбираем домашний каталог, назначаем права. В настройках пользователя разрешаем ему как обычное ftp-соединение, так и ssl/tls

3. Заходим по обычному ftp - все работает

4. В настройках пользователя разрешаем ему ftp over ssl/tls

5. Генерируем сертификат (генерация встроена в программу)

6. Привязываем этот сертификат (в случае Gene6 - к созданному в программе домену, в случае FileZilla - в настройках SSL/TLS, ставим галочку allow explict FTP over TLS)

7. Создаем на ISA правило публикации, определяем свой протокол, назовем его FTPS, определяем два диапазона входящих TCP-портов, например 30021-30021 и 30022-30050)

Дополнительных соединений создавать не нужно, только публикация двух диапазонов входящих портов. Второй диапазон нужен потому что клиент находится за NAT, а значит нужно использовать пассивный режим FTP, через эти порты будут проходить данные (data connection), а через 30021 управление. Иначе получите ошибку: Can't open data connection. Так же на ISA можно сделать форвардинг порта, если ваш ftp-сервер слушает 21 порт, или переназначить порт ftp-сервера в его настройках на 30021 как в примере. Фильтр FTP-доступа не работает, ну или не поддерживает ftp over ssl, поэтому не включайте его.

8. В настройках ftp-сервера в PASSIVE MODE иногда бывает нужно прописать IP-адрес куда посылать data connection. Здесь нужно прописать IP внешнего интерфейса ISA (скорее всего это ваш публичный IP). А так же указать диапазон портов для PASSIVE MODE, совпадающий с диапазоном опубликованных портов (в примере это 30022-30050)