Author Archives: Иван Иван

По ошибке выполнил chmod -R user:user /* — инструкция как вернуть назад

Когда я это сделал, сидел минут 5 не понимаю что делать и куда бежать, хотелось плакать)))

У меня на сервере — ВМ установлена Debian и панелька ISP Manager Lite, но потребовалось изменить владельца одной директории, захожу в консоль, перехожу в директорию и ввожу бездумно команду:

chmod -R user:user /*

и жму Enter, после того как я увидел сообщения системы, о том что команда не может применить разрешения на файлы proc, я понял что тут что то не так.

Через пару минут легли все сайты.

Помогли друзья, специалисты хостинга itservices.su сделали мне аналогичный моему сервер с Debian той же сборки и максимально похожим набором софта внутри.

Друг написал пару скриптов:

Первый парсит разрешения всех файлов и папок в файл:

find -P / -not -path "/sys/*" -not -path "/proc/*" -printf '%u.%g|%p\n'> /perm.dmp

Дальше полученный файл подсовываем проблемной системе и запускаем скрипт, который применяет разрешения для файлов и папок из файла

for i in $(cat perm.dmp);do chown ${i%|*} "${i#*|}";done

Скрипт написан за 3 минуты и имеет ряд недостатков, но сайты поднять он мне помог)

  • Проблемы с путями где есть пробел в имени файла
  • Судя по всему есть ограничение если очень много строк в файле, мне пришлось разбить полученный файл на блоки по 20 000 строк

формат файла вот такой:

root.root|/
root.root|/perm.dmp
root.root|/var
root.root|/var/spool
root.root|/var/spool/cron
daemon.daemon|/var/spool/cron/atjobs
daemon.daemon|/var/spool/cron/atjobs/.SEQ
daemon.daemon|/var/spool/cron/atspool
root.crontab|/var/spool/cron/crontabs
root.crontab|/var/spool/cron/crontabs/root
root.root|/var/spool/rsyslog
Debian-exim.Debian-exim|/var/spool/exim4
Debian-exim.Debian-exim|/var/spool/exim4/input
Debian-exim.Debian-exim|/var/spool/exim4/msglog
Debian-exim.Debian-exim|/var/spool/exim4/db
root.root|/var/spool/mail
root.root|/var/log

Всем спасибо! Читать далее »

«Удаленный сервер возвратил ошибку: (504) Истекло время ожидания шлюза» при добавлении vCenter 6 в Veeam 9

После обновления Veeam Backup & Replication с 8 до 9 версии, и после этого апгрейдом vMware vSphere 5.5 до 6 версии возник ряд проблем. Одна из самых тяжелых будет описана ниже:

Симптомы:

При обновлении или добавлении vMware vCenter Server 6 в Backup Infrustructure Veeam BR возникает ошибка «Удаленный сервер возвратил ошибку: (504) Истекло время ожидания шлюза»2016-01-26_152913

А при попытке раскрытия списка виртуальных машин другая «Failed to login to «vc.domain.ru» by SOAP, port 443, user «domain\username», proxy srv: port:0 Базовое соединение закрыто: Не удалось установить доверительные отношения для защищенного канала SSL/TLS. Удаленный сертификат недействителен согласно результатам проверки подлинности»

2016-01-26_152945

При этом в логах Veeam BR присутствует следующее Читать далее »

Operations Manager 2012 R2 Import Management Packs

Management Packs нужны для того, что бы Operations Manager понимал язык сервера, который он мониторит. Устанавливая Management Packs мы добавляем на сервер библиотеки и описание событий и сервисов. Там просто в консоли OM переходим в Administration — Management Packs в правом меню выбираем Import Management Pack в мастере жмем +Add — Add From Catalog … и если у Вас есть подключение к Интернету, можно найти любой MP

Самая полная библиотека паков доступна прямо из консоли OM, так же их можно скачать тут — жалко, что их там мало.

Для добавления MP нужно просто инсталлировать скачанную MSI на сервере с OM. Установленные MP хранятся тут:

C:\Program Files\System Center Management Packs 
или
C:\Program Files (x86)\System Center Management Packs

После инсталляции необходимо импортировать MP в OM так же как через онлайн каталог, только в мастере импорта выбрать пункт +Add — Add from disk … тут переходим в C:\Program Files\System Center Management Packs и выбираем необходимый MP

2015-04-20_164101

как то так.

Установка неподписанных драйверов на (Installing Unsigned Drivers) Windows 8, 8.1.2012, server 2012r2

1. Open a Command Prompt (Run as Administrator)
2. Enter the following command and press Enter:

BCDEDIT /Set LoadOptions DDISABLE_INTEGRITY_CHECKS

3. If this completes successfully, enter the next command:

BCDEDIT /Set TESTSIGNING ON

4. Once competed, restart the server

потом делаем это:
http://blogs.msdn.com/b/emberger/archive/2014/04/21/windows-server-2012-r2-install-unsigned-drivers.aspx

Все отлично работает.

Изменение размера шапки сайта при прокрутке (change header size on mouse scroll)

Очень полезный и удобный скрипт анимации шапки или другого элемента при прокрутке сайта.

http://tympanus.net/Blueprints/AnimatedHeader/

Применил его тут:

  • http://new.vss-volga.ru/
  • http://mirgazeley.ru/

«Cannot run upgrade script on host» при обновлении esxi 5.1 до 6.0

Обновление ESXi 5.1 до ESXi 6.0 останавливается со следующей ошибкой: „Cannot execute upgrade script on host“.

cannont

Одна из причин, это старый агент vcenter.

При этом в логах /var/log/vua.log можно наблюдать следующее:

2015-08-17T12:29:16.999Z error vua[FFF940D0] [Originator@6876 sub=Default] Alert:WARNING: This application is not using QuickExit(). The exit code will be set to 0.@ bora/vim/lib/vmacore/main/service.cpp:162
–> Backtrace:
–>
–> [backtrace begin] product: VMware vSphere Update Manager Agent, version: 6.0.0, build: build-2621470, tag: vua
–> backtrace[00] libvmacore.so[0x0033D8E3]: Vmacore::System::Stacktrace::CaptureFullWork(unsigned int)

Решение:

  • Отключаем HA кластера
  • Выводим хост из кластера
  • Лечим хост командами:

Читать далее »

Remote Desktop Services Certification and Publication — Certificate for RDS and RD Gateway

Требования к сертификату RDS:

Запрос сертификата для RDS и остальных ролей

  • Certificate Requirements for Windows 2008 R2 and Windows 2012 Remote Desktop Services
  • Configuring Remote Desktop certificates

Требования к сертификату RD Gateway:

Запрос и требования к сертификату для роли RD Gateway (Выдержка из течнета которую искал пол дня)

Certificates for RD Gateway must meet these requirements:
The name in the Subject line of the server certificate (certificate name, or CN) must match the FQDN, or the DNS name that the client uses to connect to the RD Gateway server, unless you are using wildcard certificates or the SAN attributes of certificates. If your organization issues certificates from an enterprise certification authority (CA), a certificate template must be configured so that the appropriate name is supplied in the certificate request. If your organization issues certificates from a stand-alone CA, you do not need to do this.

If you are using the SAN attributes of certificates, clients that connect to the RD Gateway server must be running Remote Desktop Connection (RDC) 6.1. (RDC 6.1 [6.0.6001] supports Remote Desktop Protocol 6.1.). RDC 6.1 is included with Windows Server 2008 and Windows Vista SP1 and Windows XP SP3.

  • The certificate is a computer certificate.
  • The intended purpose of the certificate is server authentication. The Extended Key Usage (EKU) is Server Authentication (1.3.6.1.5.5.7.3.1).
  • The certificate has a corresponding private key.
  • The certificate has not expired. We recommend that the certificate be valid one year from the date of installation.
  • A certificate object identifier (also known as OID) of 2.5.29.15 is not required. However, if the certificate that you plan to use contains an object identifier of 2.5.29.15, you can only use the certificate if at least one of the following key usage values is also set: CERT_KEY_ENCIPHERMENT_KEY_USAGE, CERT_KEY_AGREEMENT_KEY_USAGE, and CERT_DATA_ENCIPHERMENT_KEY_USAGE.
  • For more information about these values, see Advanced Certificate Enrollment and Management (http://go.microsoft.com/fwlink/?LinkID=74577).
  • The certificate must be trusted on clients. That is, the public certificate of the CA that signed the RD Gateway server certificate must be located in the Trusted Root Certification Authorities store on the client computer.

 

Заметки по теме, до которых допер сам или вычитал в дебрях:

  • В свойствах правила публикации на tmg нужно поставить https to https
  • сервер с установленной ролью RD Gateway нужно настроить на SSL Bridge — это в свойствах самого шлюза (Администрирование — Диспетчер шлюза удаленных рабочих столов)
  • При публикации с использованием kerberos нужно дать tmg право авторизовывать пользователей в опубликованном сервисе, для этого в свойства нужно сделать так: DC — AD Users And Computers — Свойства объекта компьютер TMG — Delegation — Ставим 3-ю галку Trust this computer for delegation to specified services only — Use any Authentication protocol — Находим сервер на котором опубликован сервис и выбираем все сервисы — OK
  • Листенер для публикации должен быть настроен с параметрами аутентификации HTTP Autentication (Integrated Only)
  • В свойствах правила публикации во вкладке делегирование авторизации нужно поставить Kerberos constrained delegation с параметром «HOST/localfqdnservername» (только без кавычек)

 

Еще несколько полезных ссылок которые долго искать:

  • Тема на форуме течнета, где пользователь кратко описывает суть применения сертификатов при публикации RDS через прокси TMG publish rd web access
  • Статья на хабре в которой есть скриншоты с запросами сертификата Создание терминальной фермы RDS с использованием технологии NLB и публикация RD Web Access на ISA Server 2006
  • Event ID 519 — RD Gateway Server Configuration когда сертификат не подошел к шлюзу терминалов, проверяем все из этой статьи
  • Хорошее описание публикации RD Web Access через TMG (Publish Remote Desktop Web Access and Gateway with Forefront TMG 2010)
  • Для любителей оригиналов и Technet — Configuring Forefront Threat Management Gateway Integration with RD Gateway Step-by-Step Guide
  • Microsoft Forefront TMG – Publishing RD Web Access with RD Gateway (Part 1)
  • Microsoft Forefront TMG — Publishing RD Web Access with RD Gateway (Part 2)