如何啟動pppoe?只能用CLI去啟動
1. config vdom
2. edit VDOM
3. config system interface
4. edit Port1
5. set mode pppoe
好了,收工,登入GUI,看一下Port 1有沒有PPPoE的選項出現。
2019年12月26日 星期四
2019年12月18日 星期三
slow ssh login, ubuntu 18.04
甚麼鬼?
登入ssh居然要等~等~等~....
改
/etc/pam.d/common-session
/etc/pam.d/runuser-l
/etc/pam.d/systemd-user
刪(註解掉)
#session optional pam_systemd.so
收工
登入ssh居然要等~等~等~....
改
/etc/pam.d/common-session
/etc/pam.d/runuser-l
/etc/pam.d/systemd-user
刪(註解掉)
#session optional pam_systemd.so
收工
2019年9月10日 星期二
mac os logon to wiondows ad doamin
最近自己發神經來搞mac os 來 join windows ad domain這檔事....
先說啦,這篇與mac有關的沒圖,因為怎麼從mac 抓圖還不會,對,我是mac 白癡不行嗎?
1. mac join ad
齒輪 -> user account -> 登入選項 -> 加入網域 -> 該打的帳密打一打 -> 亮綠燈顯示已加入完畢 -> 點選編輯 -> 打開目錄工具程式 -> 選擇 Active Directory -> 點開顯示選項 -> 把【將本機個人專屬目錄強制於啟動碟上】取消,關門放狗!喔!不!是存檔上鎖啦!
登入時建立移動帳號,別打勾唷!勾了會當機...唬你的!但確實別勾。
2. mac 登出後,用ad user看看能不能登入
3. 運氣好就登入啦,運氣不好,就丟離職單,找JOBS啦!
4. 運氣真的不好的話,到AD編輯使用者,看一下這裡的設定,主資料夾有沒有給。
5. 最後user 登入 mac 後,開個終端機,df看一下,有沒有掛上,有的話,開個資料夾在桌面上,名稱記得必須為WTF_MAC,不然這個實驗會失效!!!!!!!很重要!
6. 你照步驟五,就代表你心智還不太成熟,社會老練度不太夠,易受騙!
7. 找另外一臺已經加入doamin的mac,用剛剛的user logon,看看WTF_MAC目錄在不在桌面上,有的話,好像roaming也搞定了,對吧!
祝你設定出包不斷一切順利!
2019年8月14日 星期三
Windows DNS TTL for individual record
見鬼了!
最近要設定Windows Server DNS,要設定個TXT Record,TTL為1秒,我的媽媽的,竟然沒地方設定?
還好google了一下,竟然好像不是太多人有這樣的問題,還是我關鍵字下得太爛?
最後終於找到啦!
最近要設定Windows Server DNS,要設定個TXT Record,TTL為1秒,我的媽媽的,竟然沒地方設定?
最後終於找到啦!
然後針對同一個record再看內容
還真是浪費我的時間啊!
2019年7月24日 星期三
Fortigate SSLVPN Authentication with Windows AD NPS
今天要來介紹的是Fortigate的SSLVPN怎麼勾搭上NPS伺服器。
首先先看看Fortigate是如何的詭異:
用一個不存在的user f,跟白爛隨便打的密碼。
居然可以驗證成功??
還是command mode比較可靠。
所以GUI上的測試,大概就是簡單的連線測試(都說是 Test Connectivity了,對吧!),也可能是我FORTIGATE OS版本的關係吧!反正記得到Command確認一下比較靠譜啊!
再來看看NPS的部分,如果設好NPS後,發現FortiClient怎麼見鬼的連不上,中文版的網路教學大概就是教你到AD上,把使用者的「撥入」設定為「允許存取」,如下圖:
不知怎麼的,我試一開始不行,後來不知怎麼的居然可以了,就當作可以吧!
另一個方法是設定NPS。
1. 新增連線原則 (這是根據既有設定,跟設定精靈的不一樣)
2. 設定網路原則 (這是根據既有設定,跟設定精靈的不一樣)
再來就用FortiClient連連看囉!
2019年6月11日 星期二
RDP Wrapper on win10
windows rdp 有個蛋疼的點,就是大部分的狀況都是只能有一個連線啦!
這個登入了,那個就被踢掉,很囧對吧!
RDP WRAPPER可以解決這個問題。
1. 去RDP WRAPPER載新版。
2. https://github.com/stascorp/rdpwrap/issues/795 到這裡載修正設定的程式,因為微軟會更新OS,所以有時會出包不能用。
基本步驟如下
(uninstall) -> install -> rdpwrap_ini_updater
以上都要用administrator。
OK後跑一下RDPConf.exe,若出現fully supported就可以啦!
user a login ok.
user b login ok.
收工。
這個登入了,那個就被踢掉,很囧對吧!
RDP WRAPPER可以解決這個問題。
1. 去RDP WRAPPER載新版。
2. https://github.com/stascorp/rdpwrap/issues/795 到這裡載修正設定的程式,因為微軟會更新OS,所以有時會出包不能用。
基本步驟如下
(uninstall) -> install -> rdpwrap_ini_updater
以上都要用administrator。
OK後跑一下RDPConf.exe,若出現fully supported就可以啦!
user a login ok.
user b login ok.
收工。
2019年6月1日 星期六
vmware converter 加速
之前要幫隔壁的把某些機器P2V上vmware vsphere....
啊,簡單,用converter來,一下就好了!
嘿啊!那就來吧!沒想到,一跑發現速度真是龜啊!
1.xMB,要跑個一天多,媽媽我的天,是哪根筋不對?
上網跪求谷哥大神....終於發現解決發法...
1. 到%ALLUSERSPROFILE%\VMware\VMware vCenter Converter Standalone
2. 找到converter-worker.xml
3. 改內容存檔,重新啟動service或重開機,內容如下:
<nfc>
<readTimeoutMs>120000</readTimeoutMs>
<useSsl>false</useSsl>
把useSsl為True改為False。
再測試就上天堂啦!
2019年5月31日 星期五
Moodle 2.6 LDAP Login 報錯 user_create_user()
環境:Moodle 2.6
認證:Windows AD
主要的錯誤:AD User login,USER帳戶是中文,比方說王小魚之類,會出現 無效的字元 的錯誤。 blah...blah...blah...
為什是中文就別問了!
開啟debug mode會看到以下錯誤,這是擷取部分而已,重點在user_create_user
* line 48 of /user/lib.php: moodle_exception thrown
* line 949 of /auth/ldap/auth.php: call to user_create_user()
進到管理介面,看一下LDAP設定,就是下圖的這個欄位,CN,調整過的AD的CN是中文名字,唉唷,早說嘛,那就用中文給他LOGIN一下有這麼難嗎?
哎呀!露餡了,誰叫你白癡要去動AD呢??
反正現在一登入就出現標題的報錯囉!那麼怎麼辦呢?今天周五,下周請再來看,喂!!!!!!!!!
好啦!
解決方法:
看起來moodle在user_create_user()有做某些過濾或檢查,好吧!問問Google大神,彷彿給了一個可能的解法,把moodle安裝目錄下面的 user/lib.php給這麼一下:
找到 throw new moodle_exception('invalidusername'); 把它註解掉。
Moodle就毀了!!!!!!!!!!!
沒啦!就可以用中文名字登入了!
請參考:https://moodle.org/mod/forum/discuss.php?d=244011
認證:Windows AD
主要的錯誤:AD User login,USER帳戶是中文,比方說王小魚之類,會出現 無效的字元 的錯誤。 blah...blah...blah...
為什是中文就別問了!
開啟debug mode會看到以下錯誤,這是擷取部分而已,重點在user_create_user
* line 48 of /user/lib.php: moodle_exception thrown
* line 949 of /auth/ldap/auth.php: call to user_create_user()
進到管理介面,看一下LDAP設定,就是下圖的這個欄位,CN,調整過的AD的CN是中文名字,唉唷,早說嘛,那就用中文給他LOGIN一下有這麼難嗎?
哎呀!露餡了,誰叫你白癡要去動AD呢??
反正現在一登入就出現標題的報錯囉!那麼怎麼辦呢?今天周五,下周請再來看,喂!!!!!!!!!
好啦!
解決方法:
看起來moodle在user_create_user()有做某些過濾或檢查,好吧!問問Google大神,彷彿給了一個可能的解法,把moodle安裝目錄下面的 user/lib.php給這麼一下:
找到 throw new moodle_exception('invalidusername'); 把它註解掉。
Moodle就毀了!!!!!!!!!!!
沒啦!就可以用中文名字登入了!
請參考:https://moodle.org/mod/forum/discuss.php?d=244011
2019年5月27日 星期一
windows 10 ad user RDP (Remote Desktop)
嗯,今天要解決的問題是如何讓AD User用RDP登入某個已經加入AD的Win10電腦。
還不簡單....
1. Win10 加入 AD
2. User login
不就收工?
代誌若有這麼簡單,那怎麼會叫搞死你的微軟呢?
Google了半天,解答在GPO裡面。
GPO - 電腦設定 - 修改 Default Domain Policy (或是你Apply的其他GPO) - 安全性設定 - 受限群組 - 加入「Remote Desktop Users」,確認裡面的Group成員是對的。
然後 gpupdate /force一下,Win10如果不鳥你,還是報錯,也把他重開一下,應該就可以了!
還不簡單....
1. Win10 加入 AD
2. User login
不就收工?
代誌若有這麼簡單,那怎麼會叫搞死你的微軟呢?
Google了半天,解答在GPO裡面。
GPO - 電腦設定 - 修改 Default Domain Policy (或是你Apply的其他GPO) - 安全性設定 - 受限群組 - 加入「Remote Desktop Users」,確認裡面的Group成員是對的。
然後 gpupdate /force一下,Win10如果不鳥你,還是報錯,也把他重開一下,應該就可以了!
dsadd 新增 ad user 與 memberof 參數
dsadd,其實這蠻簡單的...
dsadd user CN=劉大媽, OU=UserPool, OU=BigUserPool, DC=cloud ,DC=xxx, DC=edu, DC=tw -desc 劉大媽 -fn 大媽 -ln 劉 -email Bigmama@cloud.xxx.edu.tw -upn Bigmama@cloud.xxx.edu.tw -samid Bigmama -pwd iamyourmother -canchpwd yes -pwdneverexpires yes -memberof CN=Group, CN=Users,DC=cloud, DC=xxx, DC=edu, DC=tw
本篇的重點在於memberof參數
先看看指令說明 dsadd user /?
-memberof <Group ...> 讓使用者成為一個或多個群組 <Group ...> 的成員。
答案已經出來了,要Group成員啊!而Group就是Group,OU就是OU,搞混了,就GG了。
GG是不會怎樣,就是會報錯,但User還是可以Created喔!你看,多白癡可愛的微軟!
紀錄一下。
dsadd user CN=劉大媽, OU=UserPool, OU=BigUserPool, DC=cloud ,DC=xxx, DC=edu, DC=tw -desc 劉大媽 -fn 大媽 -ln 劉 -email Bigmama@cloud.xxx.edu.tw -upn Bigmama@cloud.xxx.edu.tw -samid Bigmama -pwd iamyourmother -canchpwd yes -pwdneverexpires yes -memberof CN=Group, CN=Users,DC=cloud, DC=xxx, DC=edu, DC=tw
本篇的重點在於memberof參數
先看看指令說明 dsadd user /?
-memberof <Group ...> 讓使用者成為一個或多個群組 <Group ...> 的成員。
答案已經出來了,要Group成員啊!而Group就是Group,OU就是OU,搞混了,就GG了。
GG是不會怎樣,就是會報錯,但User還是可以Created喔!你看,多
紀錄一下。
2019年5月17日 星期五
Fortigate IPSec VPN Error "ignoring request to establish IPsec SA, no policy configured"
最近瘋狂玩弄被玩弄Azure cloud service....
Hey Dude, To remedy this, ensure that there is at least one security policy where one of the interfaces is a VPN tunnel interface and there is at least one route which uses the tunnel interface as the gateway.
它可以跟內網建立IPSec VPN,增加IT人員負擔強化內網跟Azure之間的overhead安全性。
好啦!問題來啦!拿了一台舊舊的Fortigate來被搞搞它.....出現以下error....
"ignoring request to establish IPsec SA, no policy configured"
這要下command去debug看,那台fortigate舊到連WEB UI上的LOG都沒有,真是法刻由!
一查之下還真是複雜,嚇死我了,其實是週五懶得看了,沒想看到官網的技術文件還真是簡單又明瞭!
意思就是,孩子,把Security Policy設一下,還有Routing搞一搞。(喔....原來no policy configured是說Security Policy)
好孩子我就照辦,就OK了!
收工。
2019年5月16日 星期四
資源回收桶損毀
WTF.............................
昨天發現我的AD伺服器出現這個錯誤訊息,一整個傻眼.....
錯誤訊息大約是userprofile下的desktop, Downloads, Favorites等等的資源回收桶整組壞了了......
還好記得之前上過課說資源回收桶可以重建,但怎麼重建忘了.....
請教google大神
$RECYCLE.BIN.{645FF040-5081-101B-9F08-00AA002F954E}
1. 到userprofile目錄下,在錯誤提示所顯示的目錄下(可能好多個),新增目錄,目錄名稱就是上面那串。
2. 重開
3. 緊張一下是必須的!
4. 也等太久了吧!
5. crtl+alt+del 登入
6. 看!都回來了!真是挖草啊!
收工!
昨天發現我的AD伺服器出現這個錯誤訊息,一整個傻眼.....
錯誤訊息大約是userprofile下的desktop, Downloads, Favorites等等的資源回收桶整組壞了了......
還好記得之前上過課說資源回收桶可以重建,但怎麼重建忘了.....
請教google大神
$RECYCLE.BIN.{645FF040-5081-101B-9F08-00AA002F954E}
1. 到userprofile目錄下,在錯誤提示所顯示的目錄下(可能好多個),新增目錄,目錄名稱就是上面那串。
2. 重開
3. 緊張一下是必須的!
4. 也等太久了吧!
5. crtl+alt+del 登入
6. 看!都回來了!真是挖草啊!
收工!
2019年5月15日 星期三
Azure Backup Server 安裝需知 vmware 6.7
今天要來講演的題目是如何安裝:Azure Backup Server
請參閱:https://docs.microsoft.com/zh-tw/azure/backup/backup-azure-microsoft-azure-backup
收工!
挖草,搞笑嗎?
你沒注意看標題,上面寫「需知 vmware6.7」嘛!
「需知」備忘如下:
1. SQL Server,請先Azure Backup Server安裝檔裡面的SQL SERVER,先把它裝起來先,都用預設值即可,安裝完再裝Azure Backup Server,不然不知哪出了甚麼鬼,只要安裝到SQL處都會打叉叉叉叉叉叉.....
2. .Net Framework 3.5還有4.6的樣子,給他裝一裝。
4. Powershell要先enable hyper-V的支援,開啟PS,把下面的字打上去,弄完要重開一下。
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All
5. Recovery Services Vaults要載憑證,先把憑證載下來備用,安裝中途會去Azure註冊伺服器,會用到這個憑證,若安裝失敗及其他種種原因,最好先把Azure上註冊的伺服器刪除,重做一次,不然可能會出現錯誤!
a. 要刪除的伺服器位置如下圖。
b. 可能會遭遇錯誤的地方如下下圖中綠色勾勾第一項「Microsoft Azure復原服務代理程式」。
關於安裝機碼這件事,微軟的建議就是上面說的那樣,但一定是我人品不好、複製貼上的技術太差以及都用「中指」按右鍵的緣故,雖然windows server很開心地告訴我安裝完畢,但............WTF,不行啊,搞料半天,到registry裡實際看,上面四隻是空氣嗎?!
所以承標題重點
「vmware 6.7」
把上面WTF的機碼,老老實實手動加入registry...然後重開機...就對啦!
好!放飯!
請參閱:https://docs.microsoft.com/zh-tw/azure/backup/backup-azure-microsoft-azure-backup
收工!
挖草,搞笑嗎?
你沒注意看標題,上面寫「需知 vmware6.7」嘛!
「需知」備忘如下:
1. SQL Server,請先Azure Backup Server安裝檔裡面的SQL SERVER,先把它裝起來先,都用預設值即可,安裝完再裝Azure Backup Server,不然不知哪出了甚麼鬼,只要安裝到SQL處都會打叉叉叉叉叉叉.....
2. .Net Framework 3.5還有4.6的樣子,給他裝一裝。
4. Powershell要先enable hyper-V的支援,開啟PS,把下面的字打上去,弄完要重開一下。
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All
5. Recovery Services Vaults要載憑證,先把憑證載下來備用,安裝中途會去Azure註冊伺服器,會用到這個憑證,若安裝失敗及其他種種原因,最好先把Azure上註冊的伺服器刪除,重做一次,不然可能會出現錯誤!
a. 要刪除的伺服器位置如下圖。
b. 可能會遭遇錯誤的地方如下下圖中綠色勾勾第一項「Microsoft Azure復原服務代理程式」。
6. 如果要備份的標的為vmware 6.7,備份伺服器要開啟TLSv1.2支援以及安裝憑證
a. 到vcenter首頁右下角,下載憑證,並安裝。
b. 安裝機碼,複製下來,貼上記事本,另存成xxx.reg,對此檔案右鍵,選安裝還是合併啥的,OK後,重開機,八成就可以了.......................個你大頭鬼!
Windows 登錄編輯程式 5.00 版
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727] "SystemDefaultTlsVersions"=dword:00000001 "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727] "SystemDefaultTlsVersions"=dword:00000001 "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 s"SchUseStrongCrypto"=dword:00000001
關於安裝機碼這件事,微軟的建議就是上面說的那樣,但一定是我人品不好、複製貼上的技術太差以及都用「中指」按右鍵的緣故,雖然windows server很開心地告訴我安裝完畢,但............WTF,不行啊,搞料半天,到registry裡實際看,上面四隻是空氣嗎?!
所以承標題重點
「vmware 6.7」
把上面WTF的機碼,老老實實手動加入registry...然後重開機...就對啦!
2019年5月13日 星期一
Azure and Fortigate IPSec VPN with Multiple vlans
哈囉!偶又來了!
今天要來記錄一下的是Azure跟我的網路之間建立VPN的方式。按照我的步驟,保證你看的灰傻傻,爛勾勾~
場景:
Azure
Fortigate, Fortigate Internal是一堆Vlan Trunk上來,再做NAT從External出去。
好!
Azure自己找Google怎麼設定,如果你會看的一頭霧水也是正常,因為小弟也是,反正呢...
1. 「虛擬網路」,就是你租用的雲端的整個網路,如10.10.0.0/16,預設network都用16bits。
2. 「虛擬網路」裡面會有一個Gateway Subnet,就是出門用的,這個預設會是上面的再小一
點,如10.10.1.0/24之類。
3. 「區域網路閘道」就是你自己的Site的網路,例如要建IPSec Site to Site,Azure要連到的你自己的某個防火牆或VPN GATEWAY就是,以及你自己網路中的IP Network是甚麼就是囉!
反正呢,不經一事,不長一智,不搞死你,怎麼會叫微軟?
好,就當你Azure搞定了。
其實你Google的步驟做完,連Fortigate相關設定應該也搞定了。
這個紀錄主要是針對後面的Vlan Trunk,看圖就了改啦!
28是Azure Netowork 經由 Azure VPN Interface 到內網 110,沒有NAT。
29是內網110到Azure VPN Interface,沒有NAT。
30是內網110到其他一狗票網路用的,要NAT。
今天要來記錄一下的是Azure跟我的網路之間建立VPN的方式。按照我的步驟,保證你看的灰傻傻,爛勾勾~
場景:
Azure
Fortigate, Fortigate Internal是一堆Vlan Trunk上來,再做NAT從External出去。
好!
Azure自己找Google怎麼設定,如果你會看的一頭霧水也是正常,因為小弟也是,反正呢...
1. 「虛擬網路」,就是你租用的雲端的整個網路,如10.10.0.0/16,預設network都用16bits。
2. 「虛擬網路」裡面會有一個Gateway Subnet,就是出門用的,這個預設會是上面的再小一
點,如10.10.1.0/24之類。
3. 「區域網路閘道」就是你自己的Site的網路,例如要建IPSec Site to Site,Azure要連到的你自己的某個防火牆或VPN GATEWAY就是,以及你自己網路中的IP Network是甚麼就是囉!
反正呢,不經一事,不長一智,不搞死你,怎麼會叫微軟?
好,就當你Azure搞定了。
其實你Google的步驟做完,連Fortigate相關設定應該也搞定了。
這個紀錄主要是針對後面的Vlan Trunk,看圖就了改啦!
28是Azure Netowork 經由 Azure VPN Interface 到內網 110,沒有NAT。
29是內網110到Azure VPN Interface,沒有NAT。
30是內網110到其他一狗票網路用的,要NAT。
嗯,這樣應該就可以通囉!
2019年5月8日 星期三
azure與ad同步 onmicrosoft.com
嗯,又到了廢話的時間。
azure是微軟的該死的、夭壽的網路服務,其複雜度遠超普通笨蛋的想像....對,我就是笨蛋。
如果自己的環境中有自架AD,而且想不開想要同步到Azure,那麼恭喜你,這篇廢話,可能就是你的參考資料之一。
準備事項:
一、Azure AD:比方說弄個 water.xxx.edu.tw,然後做一下DNS驗證,讓它生效!
二、確認內部AD的東東:
1. 先裝AD,廢話!以我的環境已經有個Win2008 R2的AD,網域名稱為 cloud.xxx.edu.tw。
2. 再搞另一台AD,Win2012,加入網域,好囉!我有兩台了!
3. 太無聊了,再弄另一台,Win2016,加入網域,靠....得住啊!我有三台了!
4.那就拿Win2016來開刀。
5. 載Azure AD Connect
https://docs.microsoft.com/zh-tw/azure/active-directory/hybrid/how-to-connect-install-custom
6. 安裝的過程中,其中有一步,如下圖:
*** 此圖是取用自 http://itbillboard.blogspot.com/2016/07/office-365ad.html
7. 上面應該是最關鍵的一步.....
屬於重點的廢話來了!!!!注意喔!
如果你的內部的ad網域名稱與azure上的不一樣,但若你照上面的圖,繼續安裝,那你同步過去的使用者都會變成:
user1@waterxxxedutw.onmicrosoft.com
user2@waterxxxedutw.onmicrosoft.com
....
water.xxx.edu.tw 變成 waterxxxedu.tw,且還多了 onmicrosoft.com 這個 domain,機不機車?法不法克?
當你登入office365時,帳號就要打上面的這堆「使」....用者名稱。
解法很簡單:在azure上搞得AD名稱跟內部的AD名稱一樣就好了!
看到這裡,又沒有一種............這篇果然是廢文的港覺?
但這個問題在google一下,還不少啊,而我也中了招,內部的叫cloud.xxx.edu.tw,那azure上的叫azure.xxx.edu.tw是安怎,不行膩?
偏偏看到的解法都看不懂,最近重新搞AD,要弄同步,才發現這個地方必須注意。
若你的AD名稱與Azure上的一樣,且Azure上的名稱經過驗證,上圖第一個紅框框裡的Azure AD Domain會出現「已驗證」,就放心同步過去吧!大功告成啦!
azure是微軟的該死的、夭壽的網路服務,其複雜度遠超普通笨蛋的想像....對,我就是笨蛋。
如果自己的環境中有自架AD,而且想不開想要同步到Azure,那麼恭喜你,這篇廢話,可能就是你的參考資料之一。
準備事項:
一、Azure AD:比方說弄個 water.xxx.edu.tw,然後做一下DNS驗證,讓它生效!
二、確認內部AD的東東:
1. 先裝AD,廢話!以我的環境已經有個Win2008 R2的AD,網域名稱為 cloud.xxx.edu.tw。
2. 再搞另一台AD,Win2012,加入網域,好囉!我有兩台了!
3. 太無聊了,再弄另一台,Win2016,加入網域,靠....得住啊!我有三台了!
4.那就拿Win2016來開刀。
5. 載Azure AD Connect
https://docs.microsoft.com/zh-tw/azure/active-directory/hybrid/how-to-connect-install-custom
6. 安裝的過程中,其中有一步,如下圖:
*** 此圖是取用自 http://itbillboard.blogspot.com/2016/07/office-365ad.html
IT BillBoard
7. 上面應該是最關鍵的一步.....
屬於重點的廢話來了!!!!注意喔!
如果你的內部的ad網域名稱與azure上的不一樣,但若你照上面的圖,繼續安裝,那你同步過去的使用者都會變成:
user1@waterxxxedutw.onmicrosoft.com
user2@waterxxxedutw.onmicrosoft.com
....
water.xxx.edu.tw 變成 waterxxxedu.tw,且還多了 onmicrosoft.com 這個 domain,機不機車?法不法克?
當你登入office365時,帳號就要打上面的這堆「使」....用者名稱。
解法很簡單:在azure上搞得AD名稱跟內部的AD名稱一樣就好了!
看到這裡,又沒有一種............這篇果然是廢文的港覺?
但這個問題在google一下,還不少啊,而我也中了招,內部的叫cloud.xxx.edu.tw,那azure上的叫azure.xxx.edu.tw是安怎,不行膩?
偏偏看到的解法都看不懂,最近重新搞AD,要弄同步,才發現這個地方必須注意。
若你的AD名稱與Azure上的一樣,且Azure上的名稱經過驗證,上圖第一個紅框框裡的Azure AD Domain會出現「已驗證」,就放心同步過去吧!大功告成啦!
2019年5月6日 星期一
Windows 2012 ldaps configuration
好啦!有鑑於windows server 2008即將下課,那麼就來研究一下怎麼用server 2012把他換掉。
場景:windows server 2008 ad server,跟新安裝的server 2012。
待辦事項::
1. windows server 加入既有ad domain,並且成為網域控制站
2. 2012 ad server要支援ldaps
待辦事項一:自己google
待辦事項二:自己google
那這篇不就是廢文!?
哎呀!被你發現了!顆顆~
好啦!開玩笑地!
server 2012如何enable ldap over ssl真的請自己google,這邊要解決的是ldapsearch的問題
# ldapsearch -xLLL -H ldaps://x.x.x.x -D "CN=Administrator,CN=Users,DC=xx,DC=xx,DC=edu,DC=tw" -w wtf1234 -b "OU=xx,DC=xx,DC= xx,DC=edu,DC=tw" "samaccountname=username1234" ProfilePath name
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) <<< 就是這個問題
用s_client來瞧瞧...
【2008】
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : ECDHE-RSA-AES256-SHA
Session-ID: D32500004D1BBCEABB8CC65464391D94E283AEB8AE3A70CF8B7E77BD834C2A3C
Session-ID-ctx:
Master-Key: F96689E54A9784028E02F4C801B48407D152D21C6FD5F7702925C5C0B57D691ECD7FCE359C7DBED3F765877AF01574A3
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1557108847
Timeout : 300 (sec)
Verify return code: 10 (certificate has expired)
---
看起來是Protocol的差別?
來google一下
https://ubuntuforums.org/showthread.php?t=2292281
這篇2015的文章提到ldapsearch貌似有TLS v1.2的問題?我的ldapsearch好像也是2015年的版本。
那就來google一下怎麼關掉TLS v1.2
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn786418(v=ws.11)
HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
依照說明把TLS v1.2 disbaled後, reboot server.
來測測看!
# ldapsearch -xLLL -H ldaps://x.x.x.x -D "CN=Administrator,CN=xx,DC=xx,DC=xx,DC=edu,DC=tw" -w password123 -b "OU=xx,DC=xx,DC=hfu,DC=edu,DC=tw" "samaccountname=user123" ProfilePath name
dn: CN=user123,OU=xx,DC=xx,DC=xx,DC=edu,DC=tw
name: user123
profilePath: \\xx\userprofile$\user123
# ./chpass.sh user123 mynewpassword my_ad_ou_
# chpass.sh 是改AD密碼的script
$CHKUSER says user123 is valid.
modifying entry "CN=user123,OU=xx,DC=xx,DC=xx,DC=edu,DC=tw"
Check User credentials via binding AD server and retriving some stuff from AD...
dn: CN=user123,OU=xx,DC=xx,DC=xx,DC=edu,DC=tw
name: user123
homeDirectory: \\xx\userprofile$\user123
profilePath: \\xx\userprofile$\user123
好了!收工!有問題請自己解決!
場景:windows server 2008 ad server,跟新安裝的server 2012。
待辦事項::
1. windows server 加入既有ad domain,並且成為網域控制站
2. 2012 ad server要支援ldaps
待辦事項一:自己google
待辦事項二:自己google
那這篇不就是廢文!?
哎呀!被你發現了!顆顆~
好啦!開玩笑地!
server 2012如何enable ldap over ssl真的請自己google,這邊要解決的是ldapsearch的問題
# ldapsearch -xLLL -H ldaps://x.x.x.x -D "CN=Administrator,CN=Users,DC=xx,DC=xx,DC=edu,DC=tw" -w wtf1234 -b "OU=xx,DC=xx,DC= xx,DC=edu,DC=tw" "samaccountname=username1234" ProfilePath name
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) <<< 就是這個問題
用s_client來瞧瞧...
【2008】
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : ECDHE-RSA-AES256-SHA
Session-ID: D32500004D1BBCEABB8CC65464391D94E283AEB8AE3A70CF8B7E77BD834C2A3C
Session-ID-ctx:
Master-Key: F96689E54A9784028E02F4C801B48407D152D21C6FD5F7702925C5C0B57D691ECD7FCE359C7DBED3F765877AF01574A3
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1557108847
Timeout : 300 (sec)
Verify return code: 10 (certificate has expired)
---
好啦!我知道SSLv3要關掉好嘛!但我要先讓這些鬼東西work。
【2012】
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-SHA384
Session-ID: B7230000C3DFC61E4C762CE28B1F5532D02406B4FE946316A915062C4A4E81EC
Session-ID-ctx:
Master-Key: A7786FFD87EA89D3A6D5DED482DD63C9AA8CC1BF72DFEE9ED4551742597FB19C9B066FB06BD54D7EABD8C121FF6729BE
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1557106803
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
來google一下
https://ubuntuforums.org/showthread.php?t=2292281
這篇2015的文章提到ldapsearch貌似有TLS v1.2的問題?我的ldapsearch好像也是2015年的版本。
那就來google一下怎麼關掉TLS v1.2
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn786418(v=ws.11)
HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
依照說明把TLS v1.2 disbaled後, reboot server.
來測測看!
# ldapsearch -xLLL -H ldaps://x.x.x.x -D "CN=Administrator,CN=xx,DC=xx,DC=xx,DC=edu,DC=tw" -w password123 -b "OU=xx,DC=xx,DC=hfu,DC=edu,DC=tw" "samaccountname=user123" ProfilePath name
dn: CN=user123,OU=xx,DC=xx,DC=xx,DC=edu,DC=tw
name: user123
profilePath: \\xx\userprofile$\user123
# ./chpass.sh user123 mynewpassword my_ad_ou_
# chpass.sh 是改AD密碼的script
$CHKUSER says user123 is valid.
modifying entry "CN=user123,OU=xx,DC=xx,DC=xx,DC=edu,DC=tw"
Check User credentials via binding AD server and retriving some stuff from AD...
dn: CN=user123,OU=xx,DC=xx,DC=xx,DC=edu,DC=tw
name: user123
homeDirectory: \\xx\userprofile$\user123
profilePath: \\xx\userprofile$\user123
好了!收工!有問題請自己解決!
2019年4月15日 星期一
windows 2003 c000021a {Fatal System Error} 排解
最近淌渾水,不干我的事要雞婆,解決了,還要被嫌,踢公伯啊,安捏乾丟?
好,抱怨完畢,進入技術正題....
這個系統是台老IBM伺服器,跑Windows 2003 Ent,開機時出現這個狀況.....
STOP: c000021a {Fatal System Errot}的BSOD。
安全模式還是可以用的。
那怎麼辦?趕快看微軟說法:
好了,看完了相信你還是一頭霧水,那麼就說我的解決步驟吧!
1. vmware converter cd 伺候,Cold Clone. 這裡要靠北一下vmware,好像沒新版的converter Cd可以用齁?
只好挖了一個舊版,直接轉移到vsphere 6.7,好棒棒,對不對?別傻了!當然不可能啊,先轉到一個NAS,再用workstation升級vm版本,開起來後,再來解決後續BSOD問題。光弄這個半天就去掉了。
2. 開始解決藍屏問題。把虛機開機,發現狀況是一樣的,那麼就先暫時排除是硬體問題。
3. 省略一堆查LOG、測試及除錯過程,只講最後。根據說明,很有可能是某個程式衝突所致,但見鬼了,這機器平常沒人用啊,被駭?有可能,但沒證據;更新?別鬧了,這系統早就沒更新了,新增移除程式裡也沒有最近日期的更新,那不就是進到死胡同?苦惱啊!
啊!反正不是我的機器,管這麼多幹嘛?下班囉!........喂!別鬧了!
4. 就在下班前一刻,靈光乍現,那個賽X鐵克會更新病毒碼甚麼OOXX的啊!莫非... ?
5. 安全模式下要移除某些程式,如果出現錯誤,或是不給移除,那就
- 開始 > 執行 > 輸入「CMD」,開啟命令提示字元 。
- 鍵入「REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer” /VE /T REG_SZ /F /D “Service”
- 接著輸入「net start msiserver」來啟動Windows Installer服務。
- 這時程式應該是可以去移除了!!
- 開始 > 執行 > 輸入「CMD」,開啟命令提示字元 。
- 鍵入「REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSIServer” /VE /T REG_SZ /F /D “Service”
- 接著輸入「net start msiserver」來啟動Windows Installer服務。
- 時程式應該是可以去移除了!!
6. 把賽X鐵克移除後,重新開機,..........竟然就開起來了! 挖草啊!好你的賽X鐵克!
訂閱:
文章 (Atom)