Flickr Photo
Active Directory Recycle Bin
Pubblicato 2 maggio 2012 | 
Windows 2008 R2 porta con se un’interessante novità per gli amministratori di rete, il Recycle Bin di Active Directory.
Questa funzionalità permette di ripristinare oggetti di AD cancellati evitando però di dover eseguire il ripristino del system state di un DC da un precedente backup.
Questo significa quindi che possiamo eseguire un restore più rapido e più trasparente agli utenti
L’attivazione del Recycle Bin di Active Directory richiede che il functions level di AD sia 2008 R2, quindi non possiamo avere DC vecchi in linea.
Ultima cosa IMPORTANTE da sapere è che una volta attivata la funzionalità la modifica è IRREVERSIBILE.
Detto questo, possiamo iniziare ad attivarla.
Aprite quindi la powershell e importate il modulo activedirectory con il seguente comando
import-module activedirectory
Quindi digitate il seguente comando:
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=WindowsNT,CN=Services,CN=Configuration,DC=dominio,DC=loc’ –Scope ForestOrConfigurationSet –Target ‘dominio.loc’
WARNING: Enabling 'Recycle Bin Feature' on 'CN=Partitions,CN=Configuration,DC=dominio,DC=loc' is an irreversible action! You will not be able to disable 'Recycle Bin Feature' on 'CN=Partitions,CN=Configuration,DC=dominio,DC=loc' if you proceed. Confirm Are you sure you want to perform this action? Performing operation "Enable" on Target "Recycle Bin Feature". [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"):
Confermate ed il gioco è fatto!
Nel caso vi apparisse il seguente messaggio d’errore verificate di eseguire il comando sul server che detiene il ruolo FSMO Domain naming master
WARNING: Enabling 'Recycle Bin Feature' on 'CN=Partitions,CN=Configuration,DC=dominio,DC=loc' is an irreversible action! You will not be able to disable 'Recycle Bin Feature' on 'CN=Partitions,CN=Configuration,DC=dominio,DC=loc' if you proceed. Enable-ADOptionalFeature : A referral was returned from the server At line:1 char:25 + Enable-ADOptionalFeature <<<< -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=dominio,DC=loc' -Scope ForestOrConfigurationSet -Target 'dominio.loc' + CategoryInfo : NotSpecified: (CN=Recycle Bin ...DC=dominio,DC=loc:ADOptionalFeature) [Enable-ADOptionalFeature], ADException + FullyQualifiedErrorId : A referral was returned from the server,Microsoft.ActiveDirectory.Management.Commands.EnableADOptionalFeature
Per recuperare un oggetto cancellato potete usare il seguente comando
Get-ADObject -Filter {displayName -eq "test_user"} -IncludeDeletedObjects | Restore-ADObject
Squid3: autenticazione su active directory con security group
Pubblicato 23 aprile 2012 | Squid3: active directory authentication with security group
Oggi mi è stato chiesto di implementare un proxy squid che permettersse di abilitare la navigazione solo agli utenti appartenenti ad un gruppo AD definito, rendendo quindi molto dinamica e semplice la gestione della navigazione anche a chi non è pratico di linux.
Questa volta ho deciso di utilizzare Squid3 e di conseguenza la configurazione è leggermente diversa da quella che uso di solito.
Per prima cosa andiamo a definire l’autenticazione degli utenti su AD.
Per questo abbiamo bisogno di un utente AD con il quale eseguire la query.
Nel mio caso ho deciso di create un utente ad hoc in modo da essere svicolato da futuri cambi password dell’administrator, inoltre non rischio compromissioni di password sensibili.
In /etc/squid/squid.conf inseriamo le seguenti voci:
auth_param basic program /usr/sbin/squid_ldap_auth -v 3 -P -R -u cn -s sub -b "dc=domain,dc=loc" -D "cn=squid auth,cn=Users,dc=domain,dc=loc" -w password -f "(&(sAMAccountName=%s))" -h SRVDC01
auth_param basic children 5 auth_param basic realm Autenticazione Proxy Internet auth_param basic credentialsttl 2 hours
acl localnet proxy_auth REQUIRED src 10.0.0.0/16 http_access allow localnet
Così facendo quando un utente imposta il proxy e prova a collegarsi si vedrà apparire una finestra per l’inserimento delle credenziali.
Siamo quindi arrivati a metà del lavoro, perché così facendo tutti gli utenti di dominio possono navigare.
Dobbiamo quindi definire una ACL “dinamica” che contenga solo gli utenti di un gruppo AD che andremo a gestire direttamente dai nostri DC.
In /etc/squid/squid.conf inseriamo le seguenti voci:
external_acl_type InetGroup %LOGIN /usr/sbin/squid_ldap_group -R -b "dc=domain,dc=loc" -D "cn=squid auth,cn=Users,dc=domain,dc=loc" -w password -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,cn=Users,dc=domain,dc=loc))" -h SRVDC01
acl InetAccess external InetGroup UtentiInternet
http_access deny !InetAccess
Gli utenti del gruppo UtentiInternet saranno quindi gli unici a poter navigare dopo aver immesso le loro credenziali.
Officescan: come rimuove la password di rimozione del client
Pubblicato 5 aprile 2012 | How to remove password from Trend OfficeScan Client Registry
Se avete installato su un PC il client antivirus Officescan di Trend Micro e volete rimuoverlo da pannello di controllo, molto probabilmente l’amministratore di rete potrebbe aver impostato una password per la rimozione.
In tal caso, oppure se avete dimenticato la password in questione, potete risolver il problema cambiano una chiave nel registro di sistema del PC dove volete rimuovere il software.
La chiave in questione è:
Path: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc
Subkey AllowUninstall
Value: 1
Exchange 2007: system attendant non si avvia al boot del server
Pubblicato 5 aprile 2012 | Seguendo le best practies di Microsoft, l’installazione di Exchange 2007 non dovrebbe essere effettuata su un server che svolge anche il ruolo di DC.
In alcune realtà però potrebbe essere l’unica soluzione dettata da vari fattori.
In tal caso potrebbe presentarsi il problema in oggetto ovvero che il servizio System Attendat di Exchange al boot del server non si avvia ed è necessario avviarlo a mano.
Questo è dovuto al fatto che essendo su DC le dipendenze di avvio dei servizi cambiano e creano dei problemi al software di messaggistica.
Per risolvere il problema occorre modificare alcune chiavi di registro come riportato di seguito.
Windows 2003
Path: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\
Subkey: DependOnService
Value: EventLog, RPCSS, LanmanWorkstation, LanmanServer, Netlogon
Path: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeADTopology
Subkey: DependOnService
Value: Netlogon
Path: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS
Subkey: DependOnService
Value: Netlogon
Path: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA
Subkey: DependOnService
Value: EventLog, NtLmSsp, RPCSS, LanmanWorkstation, LanmanServer, Netlogon
Path: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeADTopology
Subkey: DependOnService
Value: Netlogon
Path: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS
Subkey: DependOnService
Value: Netlogon
Exchange 2010: errore durante la creazione di una nuova GAL
Pubblicato 30 marzo 2012 | Durante il processo di creazione di una nuova GAL in Exchange 2010 potrebbe presentarsi il seguente errore:
[PS] C:\>New-GlobalAddressList -Name "dominio.it - GAL" -RecipientContainer dom1.dom2.loc WARNING: One or more global address lists were missing from the Active Directory attribute. This is likely caused by using legacy Exchange management tools to create global address lists. Active Directory operation failed on srvdc.dom1.dom2.loc. This error is not retriable. Additional information: The name reference is invalid. This may be caused by replication latency between Active Directory domain controllers. Active directory response: 000020B5: AtrErr: DSID-03152804, #1: 0: 000020B5: DSID-03152804, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 907ff (globalAddressList2) + CategoryInfo : NotSpecified: (0:Int32) [New-GlobalAddressList], ADConstraintViolationException + FullyQualifiedErrorId : AD0A7836,Microsoft.Exchange.Management.SystemConfigurationTasks.NewGlobalAddressList
Per risolvere il problema si è reso necessario utilizzare il tool ADSI Edit su un domain controller (Start -> esegui -> ADSIedit.msc) scorrere l’albero fino all’oggetto dell’ organizzazione Exchange, visualizzarne le proprietà e verificare che negli attributi globaladdresslist e globaladdresslist2 non ci fossero dei DN non validi.
Una volta rimosse le voci non corrette il comando non ha più dato errori.
Exchange 2010: aggiornare le Distribution List
Pubblicato 30 marzo 2012 | Upgrading Distribution Lists from Exchange 2003 to 2010
Una volta eseguita la migrazione di un ambiente Exchange alla versione 2010, può capitare che visualizzando le distribution list il sistema ci avverta che non è possibile modificare le impostazioni in quanto è necessario un aggiornamento dell’oggetto.
Il tutto si può risolvere con un solo comando grazie alla management shell di exchange:
Get-DistributionGroup | Set-DistributionGroup -ForceUpgrade
Exchange 2010: Outlook Web App didn’t initialize. If the problem continues, please contact your helpdesk. Couldn’t find a base theme (folder name=base)
Pubblicato 30 marzo 2012 | Di recente mi sono scontrato nell’errore in oggetto.
Il tutto è iniziato dopo l’installazione del Service Pack di Exchange 2010.
Dopo qualche verifica ho risolto con la semplice esecuzione del seguente comando lanciato da console powershell di exchange:
C:\Program Files\Microsoft\Exchange Server\V14\Bin\UpdateCas.ps1
Trend Micro IWSVA LDAP user auth
Pubblicato 30 marzo 2012 | L’utilizzo dell’autenticazione LDAP su IWSVA di Trend Micro permette tra la varie cose di creare gruppi AD ed impostare agli utenti membri del gruppo diverse policy di restrizione della navigazione.
In ambienti terminal server o citrix quando sullo stesso server a collegarsi sono diversi utenti può capitare che un utente si vede applicati i permessi e le policy di navigazione di altri utenti.
Questo è dovuto al fatto che IWSVA gestisce una cache LDAP che deve essere rimossa al fine di risolvere il problema.
Per far ciò seguite i seguenti passi:
- collegatevi in SSH oppure direttamente in console
- enable
- configure module ldap ipuser_cache disable
Riavviate il virtual appliance ed il gioco è fatto.
Ultimi commenti