Бюллетень безопасности MS16-072 "ломает" GPO

«Виновником» такого поведения стало обновление безопасности из статьи KB3163622 (бюллетень безопасности MS16-072, номер KB для различных ОС: KB3159398, KB3163017, KB3163018, KB3163016)

Cистемные администраторы ограничивают распространение многих политик с применением простого и наглядного механизма фильтров безопасности (security filtering), а также непосредственной модификации настроек доступа к некоторым политикам. Именно после установки этого обновления не применяются  политики с фильтрацией безопасности.

Решение данной проблемы, добавить Authenticated Users или Domain Computers с доступом только для чтения во все политики.
1 вариант. Вручную добавить данные группы в каждую политику.
2 вариант. использовать скрипт Powershell.
3 вариант. Запустить PowerShell с правами доменного администратора.

Get-GPO -All | Set-GPPermissions -TargetType Group -TargetName "Domain Computers" -PermissionLevel GpoRead

 

Настройки Microsoft SQL Server для работы с 1С:Предприятием

В данной статье приводится описание действий по настройке Microsoft SQL Server. Можно использовать как check-list для контроля.

Дополнительные материалы для настройки vmware

Sql server on vmware best practices guide

Vmware sql server vsphere6 performance white paper

Решение проблем с производительностью VMware vSphere

Дополнительные настройки ESXi

Independent Persistent Mode vmdk-диска — наиболее производительный, поскольку изменения вносятся сразу на диск, не журналируясь. Но такой диск не подвержен снапшотам, его нельзя откатить.
Отключить дедупликацию памяти для EXSi Mem.ShareScanGHz =0

Для виртуальных серверов  ESXi 6.0  с 1с сервером НЕ используйте сетевые интерфейсы типа WMXNET3, использовать только типа e1000

Отключите опцию NUMA Node Interleaving или включите опция Enable NUMA. Данный пункт часто вводит в заблуждение. ESXi — NUMA-awared ОС, более того, она умеет транслировать NUMA-архитектуру в виртуальные машины, так что включение возможности распознавать NUMA-ноды сказывается положительно на общей производительности в большинстве случаев. Однако опция «NUMA Node Interleaving», будучи в состоянии «Enable» на деле объединяет ноды в единое пространство, то есть отключает распознавание NUMA-нод.

 

Общие

Проверить, что установлен последний Service Pack и последний cumulative update.

Последние версии: https://support.microsoft.com/en-us/kb/2936603 

Выровнять сектора дисков по границе 1024Кб и отформатировать с размером блока 64Кб (если нет иных рекомендаций от производителя).

Подробности: https://technet.microsoft.com/en-us/library/dd758814.aspx  

Операционная система

Включить возможность «Database instant file initialization» для пользователя, от которого запущена служба Microsoft SQL Server

https://msdn.microsoft.com/en-us/library/ms175935.aspx 
 

Проверить работу «Database instant file initialization».

Создать новую базу с размером файла данных 5 Гб, журнал транзакций - 1 Мб. Если база создалась моментально, то все работает корректно. Созданную базу - удалить. 

Установить разрешение на «Lock pages in memory» (блокировку страниц в памяти) для пользователя, от которого запущена служба Microsoft SQL Server

https://msdn.microsoft.com/ru-ru/library/ms190730(v=sql.120).aspx 
  Если сервер 1С:Предприятия установлен вместе с Microsoft SQL Server, то данную настройку производить не нужно.

Схема управления питанием – «Высокая производительность»

 

Проверить отсутствие сжатия файлов данных и файлов журналов.

  

Добавить файлы данных и журнала транзакций в исключения системы автоматического резервного копирования

Системы автоматического резервного копирования (например Symantec Backup Exec) не должны копировать файлы базы данных и журнала транзакций.  

Настройки сервера (Server Properties)

Использование памяти.

  Если сервер 1С:Предприятия установлен вместе с Microsoft SQL Server, то верхний порог памяти необходимо уменьшить на величину, достаточную для работы сервера 1С.
 

Установить флаг «Boost SQL Server priority»

  Если сервер 1С:Предприятия установлен вместе с Microsoft SQL Server, то данную настройку производить не нужно.
 

Задать расположение файлов базы данных по умолчанию.

  Файлы данных и файлы журналов транзакций желательно размещать на разных дисковых массивах. При этом, требование к скорости дисковой подсистемы файла журнала транзакций, выше чем у файла данных. Cогласно рекомендации от Microsoft время отклика «диска» с файлами базы данных должно составлять 10-20 миллисекунд, а «диска» с файлами журнала транзакций 1-5 мс.
 

Установить параметр «Max degree of parallelism» = 1

 

Включить аутентификацию SQL Server.

Создать логины для каждой рабочей базы

 

Назначить логинам роли: public, dbcreator

 

Включить возможность административного подключения

https://msdn.microsoft.com/ru-ru/library/ms189595(v=sql.120).aspx 

EXEC sp_configure 'remote admin connections', 1

GO 

RECONFIGURE

GO   

Параметры базы данных

model

Новая база данных создается из копии базы model. Все настройки, указанные в model, будут в новой базе данных. 
  Начальный размер файла данных - от 1Гб до 10Гб.
Начальный размер журнала транзакций - от 1Гб до 2Гб. Прирост файлов – 512Мб.
 
  Установить модель восстановления, в зависимости от политики резервного копирования. Установить параметр «Auto update statistics asynchronously» = True
 

 

tempdb

Разбить базу на 4 файла данных. 
   Начальный размер файла данных:

• если tempdb расположена на отдельном массиве (диске), то начальный размер файла данных (Initial size) установить равным (50% всего объема / Кол-во файлов).
• если tempdb расположен вместе с рабочими базами данных, то начальный размер установить от 1Гб до 10Гб.

  Прирост файлов – 512Мб
 

Рабочая база

Параметры рабочей базы аналогичны параметрам базы model, за исключением начального размера файлов (Initial Size).   Начальный размер файла данных стоит указывать равным ожидаемому размеру базы за длительный период эксплуатации.
  Размер файла журнала транзакций следует указывать таким, чтобы исключить его расширение (auto grow). Т.е. указанного размера файла журнала должно хватать на весь период работы между операциями «BACKUP LOG».
  

Флаги трассировки

  4199 - для Microsoft SQL Server 2014 необходимо включить исправление ошибок оптимизатора (https://support.microsoft.com/en-us/kb/974006)
  1118 – не использовать смешанные экстенты (когда страницы разных объектов располагаются в одном экстенте). Подробнее: https://support.microsoft.com/en-us/kb/2154845 https://msdn.microsoft.com/en-us/library/ms188396.aspx. Для Microsoft SQL Server 2016 данная настройка включена по умолчанию.
 
  

Настройка сетевых протоколов

Включить протокол TCP/IP Если сервер 1С:Предприятия расположен вместе с Microsoft SQL Server - включить протокол Shared Memory.
Протокол "Named pipes" необходимо отключить. 
  

Обслуживание баз

Создать database mail account

https://msdn.microsoft.com/ru-ru/library/hh245116(v=sql.120).aspx 

Настроить операторов для оповещения об ошибках

Указать email адрес оператора. https://msdn.microsoft.com/en-us/library/ms175962.aspx
 
 

В «планах обслуживания» при ошибках отправлять оповещение оператору

  

Настроить резервное копирование

Резервное копирование настраивается в соответствии с утвержденным планом. 

Проверить восстановление базы

После того как был сделан первый автоматический бэкап, необходимо, на резервном сервере, восстановить базу данных и проверить ее работоспособность.

Поиск источника блокировки пользователя в Active Ditectory

В работе администратора домена Active Directory довольно часто возникает необходимость найти причину блокировки пользователя. Иногда причиной блокировки пользователя является заражённый вирусом ПК — в таких случаях особо важна скорость обнаружения источника проблемы.

Необходимые исходные условия.

 Должны быть включены следующие подкатегории аудита на контроллерах домена:

Категория аудита	Подкатегория аудита	Тип аудита	Интересующий нас eventID
Audit Account Logon Events (Вход учётной записи)	Kerberos Authentication Service (Аудит службы проверки подлинности Kerberos)	Отказ	4771 Kerberos pre-authentication failed.
Audit Logon Events (Вход/Выход)	Logon (Аудит входа в систему)	Отказ	4625 An account failed to log on.
Audit Logon Events (Вход/Выход)	Account Lockout (Аудит блокировки учётных записей)	Успех	4740 Account locked

Сеанс повторно подключен к рабочей станции.                                         4778

Алгоритм поиска источника блокировки

1. Определить какой контроллер является владельцем роли PDC-эмулятора
2. Найти в журнале безопасности PDC-эмулятора событие с кодом 4740 в поле «TargetUserName», которого указано имя интересующего нас пользователя
3. В поле «TargetDomainName» того же события найти имя контроллера домена, обслужившего авторизацию
4. Найти в журнале безопасности контроллера, обслужившего авторизацию, событие с кодом 4625 (неуспешная NTLM авторизация) или 4771 (неуспешная kerberos авторизация)
5. Из найденного события получить значения полей «IpAddress» — адрес ПК с которого была попытка авторизации

Этих действий будет достаточно для быстрого поиска ПК с вредоносным ПО, подбирающим пароли пользователей. Алгоритм поиска процесса непосредственно вызывающего блокировку пользователя сильно зависит от ПО, установленного на конечном ПК.

Установка MegaRAID Storage Manager в vmware

Нам необходимо 

1.Скачать Latest SMIS Provider.
2.Скачать Latest MegaRAID Storage Manager(MSM)
3.SCP client – WinSCP for Windows
4.SSH client – Putty for Windows

Включаем  SSH, CIM Server на ESXi Host.
В vSphere клиенте перейдем во вкладку Configuration -> Security Profile, далее Properties для служб. Выбираем SSH, затем Options и запускаем службу SSH.
Здесь же Запускаем CIM Server
Копируем LSI SMIS Provider на ESXi Host с помощью WinSCP. в папку */tmp
Установка SMIS Provider.
Переводим ESXi сервер в режим обслуживания (Maintenance Mode), в vSphere клиенте кликаем правой клавишей мыши на имя сервера и выбираем пункт Enter Maintenance Mode.
Подключаемся к серверу через консоль по SSH и выполняем установку SMIS Provider:

1 2 3 4 5 6 7

~ # esxcli software vib install -v /tmp/vmware-esx-provider-lsiprovider.vib Installation Result Message: The update completed successfully, but the system needs to be rebooted for the changes to be effective. Reboot Required: true VIBs Installed: LSI_bootbank_lsiprovider_500.04.V0.50-0006 VIBs Removed: VIBs Skipped:

После этого перезагружаем сервер.

Проверяем установку пакетов

1 2 3 4 5

]~ # esxcli software vib list Name Version Vendor Acceptance Level Install Date ----------------------------- ------------------------------------ ------ ---------------- ------------ lsiprovider 500.04.V0.50-0006 LSI VMwareAccepted 2015-09-08 scsi-megaraid-sas 6.602.54.00-1OEM.550.0.0.1198610 LSI VMwareCertified 2015-09-08

Устанавливаем MegaRAID Storage Manager на клиенте

nextсloud Защита от подбора пароля с помощью FAIL2BAN

Установка

sudo -s apt-get update && apt install fail2ban

Создаём фильтр 

nano /etc/fail2ban/filter.d/nextcloud.conf 

В файле пишем следующее:

[Definition] failregex={"reqId":".*","remoteAddr":".*","app":"core","message":"Login failed: '.*' \(Remote IP: '<HOST>'\)","level":2,"time":".*"} ignoreregex =

Редактируем файл настроек сервисов 

nano /etc/fail2ban/jail.conf

В конце добавляем

[nextcloud] enabled = true port = 443 protocol = tcp filter = nextcloud maxretry = 3 bantime = 180 logpath = /var/users_nextcloud/owncloud.log

Рестарт сервиса

service fail2ban restart 

Собственно проверка и смотрим  

fail2ban-client status nextcloud

Если нужно срочно разбанить

fail2ban-client set nextcloud unbanip <Banned IP>

Failed to start LXD - container startup/shutdown. Ubuntu 16.04

## LXD service needs to be restarted using the root account > then reboot
$ sudo su
$ service lxd restart
$ reboot

## check if service is up
$ systemctl status lxd-containers.service

nextCloud. Интеграция с Microsoft Active Directory

В админке nextCloud нужно включить плагин «LDAP user and group backend».

Сервер
ldap://x.x.x.x:389
Users@domain.local
Password
DC=domain,DC=local

Пользователи

Только эти классы объектов:User

Только из этих групп:CloudGroup

↓ Изменить запрос LDAP

Фильтр LDAP: 

(&(|(objectclass=user))(|(|(memberof=CN=CloudGroup,OU=MyOU,DC=domain,DC=local)(primaryGroupID=ID_GROUP))))

Учётные данные

(&(&(|(objectclass=user))(|(|(memberof=CN=CloudGroup,OU=MyOU,DC=domain,DC=local)(primaryGroupID=ID_GROUP))))(|(samaccountname=%uid)(|(mailPrimaryAddress=%uid)(mail=%uid)))) 

Группы

(&(|(objectclass=group))(|(cn=CloudGroup))) 

Дополнительно

Поле отображаемого имени пользователя: DisplayName

База дерева пользователей: OU=MyOU,DC=domain,DC=local

Атрибуты поиска пользоватетелей: sAMAccountName

Поле отображаемого имени группы: cn

База дерева групп: OU=MyOU,DC=domain,DC=local

Эксперт

Атрибут для внутреннего имени: sAMAccountName 

Установка CentOS Web Panel

       Системные требования:

• 32bit Server - 512MB RAM   
• 64bit Server - 1024MB 
•  RAM HDD - 10 GB

• CentOS 6.x (CentOS7 НУ ПОДДЕРЖИВАЕТСЯ)
• RedHat 6.x
• CloudLinux 6.x

1. Установка CentOS
2. Запуск сетевого соединения выполните данную команду (естественно, заменив ip-адрес и маску подсети вашими настройками) для включения сети, если вы хотите сами задать ip-адрес и маску подсети:
   ifconfig eth0 192.168.0.10 netmask 255.255.255.0
     Если же вы хотите, чтобы настройки были получены автоматически по DHCP, то выполните следующую команду:
   dhclient eth0
3. Подключение EPEL (Extra Packages for Enterprise Linux)репозитария
   

   RHEL/CentOS 7 64 Bit

   ## RHEL/CentOS 7 64-Bit ##
   # wget http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-6.noarch.rpm
   # rpm -ivh epel-release-7-6.noarch.rpm

   RHEL/CentOS 6 32-64 Bit

   ## RHEL/CentOS 6 32-Bit ##
   # wget http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm
   # rpm -ivh epel-release-6-8.noarch.rpm
   
   ## RHEL/CentOS 6 64-Bit ##
   # wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
   # rpm -ivh epel-release-6-8.noarch.rpm

   # yum repolist
   

   Для установки пакетов с EPEL используем 

   # yum --enablerepo=epel info zabbix

   # yum --enablerepo=epel install zabbix  
    

4. Установка  CentOS Web Panel
   

   # yum -y install wget

   # yum -y update

   # reboot

   # cd /usr/local/src
   # wget http://centos-webpanel.com/cwp-latest
   # sh cwp-latest

   Процесс установки занимает 5-10 минут

   На экране отобразит информацию для подключения и с генерированный пароль Mysql

    
5. Добавляем правила для iptables

    # vi /etc/sysconfig/iptables
   -A INPUT -p udp -m state --state NEW --dport 2030 -j ACCEPT  

   -A INPUT -p tcp -m state --state NEW --dport 2030 -j ACCEPT
   # service iptables restart 

1C в режиме отладка, точки останова не срабатывают.

Панель управления\Система и безопасность\Брандмауэр Windows\Дополнительные параметры\Правила для входящих подключений\Создать правило, для порта, 1540-1600, разрешить подключение, Доменный профиль, всё. Дополнительно прописать в правиле на вкладке "Область" диапазон удаленных ip-адресов

Восстановление системного раздела Windows

Восстановление системного раздела

Если поврежден системный раздел, то с помощью BCDboot вы можете снова создать файлы системного раздела, используя новые копии из раздела Windows.

1. Загрузите компьютер в режиме командной строки. Например, загрузитесь с установочного диска Windows и нажмите клавиши SHIFT+F10 или загрузите среду предустановки Windows (Среда предустановки Windows: создание загрузочного USB-накопителя).
   
2. Определите с помощью программы Diskpart, на каком диске находится раздел Windows и системный раздел (diskpart, list vol, exit).
   
3. Отформатируйте системный раздел (необязательно): format (drive letter of your system partition) /q
   
4. Добавьте загрузочную запись для раздела Windows: bcdboot D:\Windows
   
5. Перезагрузите компьютер. Должна запуститься система Windows.

Создание "COM+ обертки"

Решение проблемы создания COM-соединения на стороне сервера для запуска регламентных заданий.
64 битные приложения не могут запускать 32 битные DLL которые активируются при запуске 32 битного COM объекта 1С. Для решения проблемы нужно воспользоваться оберткой COM+ которая являясь 64 битным приложением может взаимодействовать с 32 битными библиотеками. 
Первым делом необходимо зарегистрировать DLL в системе
 regsvr32 "C:\Program Files\1cv8\8.3.12.1595\bin\comcntr.dll"  
Если это не помогает регистрируем вручную
Для это необходимо выполнить следующие шаги (пошаговая инструкция):

1. Запускаем консоль "Службы компонентов" (например:

   Пуск -> Администрирование -> Службы компонентов)

2. В ветке Приложения COM+ добавляем новое приложение:

   Создать -> Приложение

3. На вопрос "Установка или создание нового приложения" - выбираем "Создать новое приложение".
4. Имя нового приложения лучше написать чтобы было понятно о чем речь: V83ComConnector, способ активации - "серверное приложение".
5. Учетная запись для запуска приложения: выбираем учетку под которой стартует сервер 1С.
6. Заходим в свойства созданного приложения, переходим в вкладку Безопасность СНЯТЬ галку "Принудительная проверка доступа для приложени"Ставим галку "Применить политику программных ограничений". Устанавливаем Уровень ограничений - "Неограниченный".  
7. В ветке созданного приложения переходим на ветку "Роли" открываем роль "CreatorOwner" и далее в разделе "Пользователи" создаем пользователя - учетную запись под которой работает сервер 1С.
8. В ветке созданного приложения переходим на ветку "Компоненты" и создаем компонент:

   Создать -> Компонент

9. Выбираем "Установка новых компонентов", и в диалоге выбираем нужную DLL-ку (в данном примере: comcntr.dll)
10. Открываем свойства только что созданного компонента, идем на вкладку "Безопасность", проверяем в списке "Явно установленные для выделенных объектов роли" стоит ли "птичка" напротив роль CreatorOwner - если нет, тогда устанавливаем эту "птичку". 

Эту процедуру нужно выполнять каждый раз после обновления платформы

Обновление IOS Cisco

Сначала посмотрим что у нас за версия
#show version
Какие файлы на карте памяти
#show flash

#erase flash: c2811xxxxxx.bin

или

#del /force flash: c2811xxxxxx.bin

проверяем что старый IOS удалился 

#sh flash:

Если файл IOS остался но с пометкой "deleted"

#squeeze flash:

(To permanently erase files tagged as "deleted" or "error" on Class A Flash file systems, use the squeeze command in EXEC mode.)

undelete

Recovers a file marked "deleted" on a Class A or Class B Flash file system.

#copy usbflash0: c2800nm.bin flash:

#wr mem

После окончания копирования образа в флеш память устройства, можно перезагружать его, и загрузка будет выполнена с использованием нового образа

Смена языка интерфейса на ос с одним языком win 8.1

lpksetup.exe

 

x86 (32 Bit)


ar-sa (Arabic)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_e761356c4e6d5d283e091eab04e69b6dee881058.cab
bg-bg (Bulgarian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_94a9ddf1da45e81fbe20285c2c9fa9a3bbd64073.cab
cs-cz (Czech)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_a0fb72f641958b6cd66e6d7a158023d8eeb17728.cab
da-dk (Danish)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_6a3d5a95346cf22c5c1d2ab6965a917e7c0e0ff1.cab
de-de (German)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_2fe6973480b70f891baf54cfdb08cc0ba86aba59.cab
el-gr (Greek)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_7538e8c96ea74579df6743dcf0e6acfa4ccca8fa.cab
en-gb (English - United Kingdom)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_43e709fc9932e26431ff87e163daaaeae15677eb.cab
en-us (English - United States)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_45b0cfb6b0bfd5984faa3cd64b7b8f2b2a72465e.cab
es-es (Spanish)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_676ad62e977f0e940c4d84499175c0f773277496.cab
et-ee (Estonian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_69b4fc896dc65d2624dc9485af6f7c35d682c84b.cab
fi-fi (Finnish)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_109ddcdc69622ff51c761226c65cf3e987bc0d97.cab
fr-fr (French)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_6588a26cdd1f53395b8f3e6ae0f256fc080df570.cab
he-il (Hebrew)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_86f74045fc553118f94a779854c6a22a5a02840e.cab
hr-hr (Croatian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_86244fc9eedea6d481fe3810f665f4cf872766cb.cab
hu-hu (Hungarian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_7f0359c16b1465d52c3354fb997d19b851803dd9.cab
it-it (Italian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_d42d8df2cfd2cab55d6cc17c5582a79df3366243.cab
ja-jp (Japanese)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_1816a277746d350dea3eaf2d88c2b2786e8aa185.cab
ko-kr (Korean)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_cc5d9260de340263736f1de0b54b38990f2383bd.cab
lt-lt (Lithuanian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_48ca5ac09481b50ff3e481900089796a35742850.cab
lv-lv (Latvian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_e51af7f3ebc66c8f6eb5800ea79b075291fea111.cab
nb-no (Norwegian - Bokmal)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_d62663d1994a307dfc317aca9503d46532e220d6.cab
nl-nl (Dutch)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_8d0e05eabb3c9693c891f2b9aa884d0362a439be.cab
pl-pl (Polish)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_768e177d1e63ba64b52bb38104df3d98fdc91c79.cab
pt-br (Portuguese - Brazil)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_4298fe588435ae43178ed6b286f4a6aafb19ae72.cab
pt-pt (Portuguese - Portugal)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_0bb880c2594c8022b3b4dd0bcaf52deae05a9495.cab
ro-ro (Romanian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_429b16c585a6f76dc0060fd3b7a317df442ab4a0.cab
ru-ru (Russian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_a71c5ab9addddab6d0a2e4cea90626ee2cae5439.cab
sk-sk (Slovak)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_e2a755cdf7be2c51072957bddc2a933f3a5761c2.cab
sl-si (Slovenian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_13abc2f402540524d7fbd1de5c36df40730bbba9.cab
sr-latn-rs (Serbian - Latin)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_93bb359594ab7ed30834bff0aae4c06d1d649621.cab
sv-se (Swedish)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_2bf19fcb885a0b677945a258c967cbe5b928851a.cab
th-th (Thai)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_e2092129743a6d6a3d39427b8e773f7420d32796.cab
tr-tr (Turkish)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_bfe26c9e748b1a2638471a46836e3bba8e39c745.cab
uk-ua (Ukrainian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_49e2dd1554ae4cd0e00097405ec3e14d4ce48f07.cab
zh-cn (Chinese - Simplified)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_69bfd811cc93570647c30dfd0d71575d8a8eec84.cab
zh-hk (Chinese - Traditional, Hong Kong)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_95a28511857d5f0a7891d970285f0218ae65faf1.cab
============================================================



x64 (64 Bit)




ar-sa (Arabic)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_245dc9426d4367a0530772f895fafca096eaa114.cab
bg-bg (Bulgarian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_3e4ed0536c56c486985d7ee728611eab7aea56b5.cab
cs-cz (Czech)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_6a22345f1f0b4b604d06de373432c1a2e9098745.cab
da-dk (Danish)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_90e2877d46a338c8865f3281e07a031fba4d16e9.cab
de-de (German)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_552a782c0628bc393ca2eaa6510561a390ab3bb8.cab
el-gr (Greek)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_0b2d690e1a9a4b4dce173b8ce73fd35bc34f91a4.cab
en-gb (English - United Kingdom)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_55c5ff4da1d83ae6f4ebd1f8c020cb80ceda7da8.cab
en-us (English - United States)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_8fa033dd9ab61a528192eaa696088d582f112e68.cab
es-es (Spanish)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_8bfb4f60803481f9a25a7740ce306fbad45408a8.cab
et-ee (Estonian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_fba45e3a552db3b5ef08194a609aaed6249657ed.cab
fi-fi (Finnish)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_e8e1f24cb17f98ae9d9a7b386be052efa7f712b9.cab
fr-fr (French)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_57ba398b9875a01656ae6bd9fee53b4717f7612e.cab
he-il (Hebrew)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_c06e792bdf64255af698e558249dddbff164969d.cab
hr-hr (Croatian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_48415f4c0392c21705c70c3ea2258eb2c10e99be.cab
hu-hu (Hungarian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_9c5c4bde620a4541ead2d797a5f2195adac5223c.cab
it-it (Italian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_43e31d0dce2ed26bc3d52713f154a1acf92c0365.cab
ja-jp (Japanese)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_da2ecd336d37c67ffaf9158a8ba4d10c15b00abe.cab
ko-kr (Korean)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_dcfcc005120d35f97ad179d3d748b6df6605d448.cab
lt-lt (Lithuanian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_7e5d2cb48b37ef76a034503ee11a51a88dda9e98.cab
lv-lv (Latvian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_0c5681349cd5f361ed995a941d3f7c3887633c0f.cab
nb-no (Norwegian - Bokmal)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_f51bfbc94960eba5d1621dd77ffdc0222257c4d3.cab
nl-nl (Dutch)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_5593930aa453139484f6a5b2214669d7225ff81f.cab
pl-pl (Polish)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_4da671077a32d022bc449aaf84ce5eccaceb8b28.cab
pt-br (Portuguese - Brazil)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_c1584a113e985cdf557bba78fe3a8d23f0c3fe8d.cab
pt-pt (Portuguese - Portugal)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_f91504b9bb08af601b0acb33c1088c6ab3ca9202.cab
ro-ro (Romanian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_06c4f3bc6d3733e9fb8f327e82587be814d1610c.cab
ru-ru (Russian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_da274f576f778d986bc0a7ff14ef0af357b59274.cab
sk-sk (Slovak)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_407ffe64bc8e9b61c1fcdaddaf199001452b5068.cab
sl-si (Slovenian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_dd64d4905f4ba5166f6fc86d49ea2e7186a60970.cab
sr-latn-rs (Serbian - Latin)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_3116c97d620dc732f75f67d0ac30f27078d5ff2a.cab
sv-se (Swedish)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_461bfbe130f47d7cfc2e67b3b888d5364ecdc062.cab
th-th (Thai)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_9e2467ca9fcec4ad63715d58a6f022f153332393.cab
tr-tr (Turkish)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_0d45ec56c1ab4c85c450b56b040bd886eaba78b1.cab
uk-ua (Ukrainian)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_78029b73c07ed66b7df0f6182af61d7ed4cb9e03.cab
zh-cn (Chinese - Simplified)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_839bf07c4bfb849c8de488007a283a427aa5a2db.cab
zh-hk (Chinese - Traditional, Hong Kong)
http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/updt/2013/09/lp_dca32648111293955a9051f5f3f731f7a9897244.cab

Публикация баз данных «1С:Предприятия» 8.3 на веб-сервере IIS в Microsoft Windows Server 2012

1) Установка IIS выполняется стандартными средствами. Набор достаточных компонент приведен на скриншоте.

• В Microsoft Windows Server 2012 (R2). IIS версии 8, после установки должны увидеть страницу Default Web Site

Установка компонент «1С:Предприятие» запускать от имени Администратора

На этот же сервер, где развернут веб-сервер IIS, устанавливаем «1С:Предприятие» (32-разрядные компоненты) обязательно выбрав при установке компоненты:

• 1С:Предприятие
• Модули расширения веб-сервера

Если планируется настроить 64-разрядный модуль расширения веб-сервера, то необходимо дополнительно запустить программу установки 64-разрядного сервера из соответствующей поставки «1С:Предприятие» и установить компоненту:

• Модуль расширения веб-сервера

Публикация базы данных на веб-сервере c использованием 32-разрядных компонентов

Переходим к непосредственной публикации базы данных на веб-сервере. Для этого запускаем «1С:Предприятие» в режиме Конфигуратор для той базы, которую требуется опубликовать.  Затем в меню выбираем «Администрирование» — «Публикация на веб-сервере…»

Откроется окно настройки свойств публикации на веб-сервере. Основные поля необходимые для публикации уже заполнены по умолчанию:

• Имя виртуального каталога — имя по которому будет происходить обращение к база данных на веб-сервере. Может состоять только из символов латинского алфавита.
• Веб сервер — выбирается из списка найденных на текущем компьютере веб-серверов. В нашем случае это Internet Information Services.
• Каталог — физическое расположение каталога, в котором будут располагаться файлы виртуального приложения.
• Соответствующими флагами можно указать типы клиентов для публикации, а также указать возможность публикации Web-сервисов. В расположенной ниже таблице можно отредактировать список Web-сервисов которые будут опубликованы, а также в столбце «Адрес» изменить синоним, по которому будет происходить обращение к данному Web-сервису.
• Также для веб-сервера IIS есть возможность указать необходимость выполнения аутентификации на веб-сервере средствами ОС, установив соответствующий флаг.

Выбрав необходимые настройки публикации нажимаем «Опубликовать».

Если публикация прошла без ошибок, увидим соответствующее сообщение.



Если установка идёт   в 64 разрядном окружении, то для обработчика нужно включить режим Пулы приложений -> DefaultAppPool -> Дополнительные параметры -> Разрешены 32-разрядные приложения ->True.
 

Публикация базы данных на веб-сервере c использованием 64-разрядных компонентов

Публикация отличается только тем что после выбора настроек нажимаем кнопку «Сохранить»

Запускаем командную строку под правами Администратора. Затем переходим в папку, где находится компонента webinst.

cd c:\Program Files\1cv8\8.3.х.х.х\bin\

webinst.exe -descriptor «путь сохраненного файл-дескриптора».vrd -iis -dir C:\inetpub\wwwroot\doc 

Изменять режим Пула приложений(DefaultAppPool)  

 Менять (Разрешены 32-разрядные приложения) НЕ нужно

Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы RegOpenKeyExW(-2147483646,SYSTEM\CurrentControlSet\Services\VSS\Diag,...

Если вдаваться в подробности, то с установкой роли DHCP-сервера в системе появляется новый модуль VSS - Dhcp Jet Writer , отвечающий за перечисление файлов, необходимых для работы DHCP-сервера, и соответственно, за создание их теневых копий. Данный модуль функционирует в составе службы DHCP-сервер , которая в среде Server 2008 R2 по соображениям безопасности по умолчанию работает с правами учетной записи Network Service , хотя в среде Server 2003 она обладала правами Local System . Учетная запись Network Service не обладает правами чтения и записи на ветку реестра SYSTEM\CurrentControlSet\Services\VSS\Diag, что вы и исправили. Аналогичная ситуация проявляется для роли WINS-сервер.

 Решение:

на ветке Diag, правой, разрешения, дополнительно, снимаем наследование, отвечаем скопировать разрешения, и добавляем с полными разрешениями локал систем и нетворк систем, и соглашаемся с изменениями разрешений, перезагружаемся и нет трабла...

Параметры разрешений для конкретного приложения не дают разрешения Локальный Запуск для приложения COM-сервера с CLSID…

Log Name: Система
Source: DistributedCOM
Event ID: 10016
Level: Ошибка
User: SYSTEM
Описание: Параметры разрешений для конкретного приложения не дают разрешения Локальный Запуск для приложения COM-сервера с CLSID {1CCB96F4-B8AD-4B43-9688-B273F58E0910} и APPID {AD65A69D-3831-40D7-9629-9B0B50A93843}пользователю NT AUTHORITY\система с SID (S-1-5-18) и адресом LocalHost (с использованием LRPC). Это разрешение безопасности можно изменить с помощью служебной программы управления службами компонентов.

На англоязычных версиях Windows описание ошибки такое:

The application-specific permission settings do not grant Local Launch permission for the COM Server application with CLSID {1CCB96F4-B8AD-4B43-9688-B273F58E0910} and APPID {AD65A69D-3831-40D7-9629-9B0B50A93843} to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (Using LRPC). This security permission can be modified using the Component Services administrative tool.

Судя по описанию ошибки: система (NT AUTHORITY\система) пытается запустить некий компонент COM с помощью инфраструктуры DCOM и не может этого сделать из-за отсутствия права «Локальный Запуск». В коде ошибки содержатся только коды классов COM компонента и приложения. Попробуем определить, какому именно приложению принадлежит идентификатор и предоставить системе права, необходимые для его запуска.
Соответствие между именем компонента и его кодом можно установить через реестр. Эта информация хранится в ветке HKEY_CLASSES_ROOT\AppID\.

1. Запускаем редактор реестра  под администратором компьютера и выполняем поиск (CTRL-F) по идентификатору APPID из описания ошибки. В нашем случае это {AD65A69D-3831-40D7-9629-9B0B50A93843}.
2. Искомый ключ должен быть найден в разделе HKEY_CLASSES_ROOT\AppID\ (при удаленном подключении к реестру он будет находиться в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID ).
3. В первую очередь нам понадобится изменить владельца этой ветки реестра. Щелкаем по найденной ветке ПКМ и отрываем окно разрешений (Permissions), а затем кнопку Advanced (Дополнительно) ->Owner (Владелец).
4. В верхней части окна указан текущий владелец TrustedInstaller.
5. В списке возможных владельцев выбираем Администраторы и ставим галку Replace owner on subcontainers and objects (Заменить владельца подконтейнеров и объектов) и жмем “ОК” .
6. Теперь, когда владельцем ключа стала группа локальных администраторов, еще раз открываем окно настроек безопасности и предоставляем группе Администраторы и System полный доступ (Full Control).
7. Далее запоминаем значение параметра (Default) нашего ключа {AD65A69D-3831-40D7-9629-9B0B50A93843} . В нашем примере это SMS Agent Host (агент SCCM).
8. Далее открываем консоль управления службами компонентов Start –> Administrative Tools –> Component Services (comexp.msc или dcomcnfg). Разворачиваем Computers –> My Computer–> DCOM Config (Настройка DCOM) и находим в списке SMS Agent Host.
9. В контекстном меню открываем свойства этого элемента. На вкладке Безопасность в разделе Разрешения на запуск и активацию нажимаем кнопку Изменить. Выбираем Система и разрешаем Локальный запуск (Local Launch) и Локальную активацию (Local Activation). Сохраняем изменения, нажав ОК.
   Совет. Если в начальном логе ошибки вместо NT AUTHORITY\система была указана NT AUTHORITY\NETWORK SERVICE, необходимо дать права на локальный запуск и активацию для учетной записи NetworkService.
10. Перезагружаем компьютер и проверяем логи.

Полезные комманды cisco

show control-plane host open-ports - открытые порты и сервисы


show tcp brief

Настройка каталога обслуживания образов ОС в System Center 2012 R2 Configuration Manager

1. Откроем утилиту WBEMTEST на сервере сайта и выполним подключение к WMI пространству: root\sms\site_XXX. Где XXX – код Вашего сайта
2. Выполним запрос:

SELECT * FROM SMS_SCI_Component WHERE SiteCode='XXX' AND ItemName LIKE 'SMS_OFFLINE_SERVICING_MANAGER%'

3. Выполним двойной клик на свойстве “Props”

4. В открывшемся окне нажимаем на View Embedded.

5. Вновь, в открывшемся окне открываем свойства.

Нам необходимо выбрать то свойство, у которого значение PropertyName будет “StagingDrive” (в моём случае, это было третье по счёту свойство).

6. После того как мы добрались до нужного места, редактируем значение Value1.

Сохраняем изменения.

7. Осталось сохранить введённые изменения, но главное не допустить ошибки, в противном случае, что-то может сломаться. В открывшихся окнах последовательно нажимаем: “Save Object” , “Close”, “Save Property”, “Save Object”, “Close”.

Проверим результат. Запланируем обновления и откроем лог OfflineServicingMgr.log на сервере сайта.

Настройка почты gmail.com

Включить обычную проверку подлинности для своей учетной записи Gmail.

Мой аккаунт.

Безопасность и вход.

Проверка безопасности---Приступить

В параметре --Заблокируйте ненадежные приложения--Включить

или пройти по ссылке 

Включение IMAP в настройках Gmail.

Войдите в Gmail.

Нажмите на значок шестеренки справа вверху и выберите Настройки.

Откройте в настройках вкладку Пересылка и POP/IMAP.
Установите переключатель Включить IMAP.
Нажмите Сохранить изменения.

Настройка клиента.

• Сервер входящей почты (IMAP) – требуется SSL
  • imap.gmail.com
  • Порт: 993
  • Требуется SSL: да
• Сервер исходящей почты (SMTP) – требуется TLS
  • smtp.gmail.com
  • Порт: 465 или 587
  • Требуется SSL: да
  • Требуется аутентификация: да
  • Используются параметры сервера входящей почты
• Полное или отображаемое имя: [ваше имя]
• Название учетной записи или имя пользователя: полный адрес Gmail (имя_пользователя@gmail.com) (пользователи Google Apps должны ввести имя_пользователя@vash_domen.ru)
• Адрес электронной почты: полный адрес Gmail имя_пользователя@gmail.com (пользователи Служб Google должны вводить имя_пользователя@vash_domen.ru)
• Пароль: ваш пароль Gmail

Cisco ipflow

1. Включаем cef (Cisco Express Forwarding)
configure terminal
ip cef
2. описываем кол-во записей
ip flow-cache entries 40960
3. выставляем тайм ауты
ip flow-cache timeout inactive 130
ip flow-cache timeout active 20
4. указываем интерфейс
ip flow-export source INTERFACE
где INTERFACE это интерфейс с которого будет отправляться flow
5. версия
ip flow-export version 5
6. куда отправляем
ip flow-export destination IP-адрес Порт

собственно на этом «описательная» часть закончилась …
теперь настраиваем сами интерфейсы …
на физических интерфейсах обязательно включаем (fa 0/1 например):
configure terminal
interface fa 0/1
ip route-cache flow
и все больше на них ничего быть не должно (если на них нет ip-адресов)
все остальный телодвижения проделываем только на subinterfaces
включаем на сабах (fa 0/1.1 например):
configure terminal
interface fa 0/1.1
ip flow ingress
ip flow egress
ingress — для входящего трафика
egress — для исходящего трафика
Собственно все. Только заработает все выше описанное после ребута cisco.
Что можно посмотреть:
show ip cache flow — показывает записи флоу на cisco
show ip cache ver flow — тоже самое расширено
show ip flow int — показывает интерфейсы, на которых настроено флоу
show ip flow export — показывает, откуда и куда настроен экспорт флоу, сколько отправлено датаграмм и сколько ошибок

Настройка Cisco ip flow-top-talkers, для просмотра основных источников и потребителей трафика на роутере.
1. В режиме глобальной конфигурации пишем:

Router(config)#ip flow-top-talkers

2. В ip flow-top-talkers прописываем следующее:

Router(config-flow-top-talkers)#top 50
Router(config-flow-top-talkers)#cache-timeout 60000
Router(config-flow-top-talkers)#sort-by bytes

Где top 50 - будет выдаваться список топ-50
Где cache-timeout 60000 - статистика будет браться по 60 секунд
Где sort-by bytes - сортировка по байтах
3. Далее нужно разрешить ip flow на интерфейсах которые нас интересуют. Например так:

Router#configure terminal
Router(config)#interface vlan 1
Router(config-if)#ip flow ingress
Router(config-if)#ip flow egress

4. После того как ip flow-top-talkers настроен, чтобы просмотреть статистику набираем на роутере:

Router#show ip flow top-talkers

Решение проблемы высокой загрузки ЦП на маршрутизаторах Cisco

Команды для получения дополнительной информации

Эти команды позволяют получить дополнительные сведения о проблеме:

• show processes cpu (sh proc cpu sort 1 | exc 0.00)
• show interfaces
• show interfaces switching
• show interfaces stat
• show ip nat translations
• show align
• show version
• show log 
•  clear ip traffic и через некоторое время опять sh ip traffic | i fra(сборка фрагментированных пакетов)