Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве



Pdf принтер для windows 10 – как сохранить в pdf

2019-02-05 · Posted in Windows – 10

Давайте же посмотрим, как сохранить любой файл в формате pdf при помощи встроенного принтера в windows 10. Для этого выполним следующие шаги:

  1. В любом редакторе, будь-то блокнот, word, или excel идем в меню распечатки текстов. У меня в примере блокнот.
  2. В окне выбора принтеров, находим принтер – “Microsoft Print to PDF”, и нажимаем печать.Печать в Microsoft Print to PDF
  3. В результате у вас откроется окно “Сохранение результата печати”, в котором необходимо ввести имя файла, и нажать кнопку “Сохранить”.Сохранение результата печати
  4. В результате, по пути указанному в пункте 3, у вас появится pdf файл.

Таким вот простым способом, не прибегая к установке дополнительных программ, можно сохранить любой файл в pdf формате.

Конечно, у данного способа есть и ограничения:

  • Этот принтер есть только в Windows 10;
  • Нет возможности как-то настраивать сохраняемый pdf, то есть вы не сможете установить пароль на pdf, не сможете указать качество сохраняемого pdf и т.д;
  • С помощью данного принтера нельзя сделать pdf путем печати разных файлов одновременно.

Если по какой-то причине у вас принтер “Microsoft Print to PDF” отсутствует в списке устройств, это значит, что он не установлен. Для его установки перейдите по следующему пути: панель управления -> программы и компоненты -> включение или отключение компонентов Windows. В окне “Компоненты Windows”, поставьте галку напротив “Печать в pdf (Майкрософт)”.

Печать в pdf (Майкрософт)

Нажимаем ок, все, теперь у вас установлен pdf принтер от Майкрософт.

Повышаем безопасность доменных служб Active Directory в Windows Server 2008

2019-01-30 · Posted in Active Directory, Windows Server 2008

Безопасность сервера каталогов можно существенно повысить, если настроить его на отклонение привязок SASL (согласование,  Kerberos, NTLM или выборка), которые не запрашивают подписи (проверки целостности) и простых привязок LDAP, которые  выполняются для подключения LDAP с открытым (не зашифрованным SSL/TLS) текстом.  Даже если никто из клиентов такие привязки не использует, настройка сервера на их отклонение улучшает безопасность сервера.

Сразу после установки доменных служб Active Directory некоторые клиенты могут рассчитывать на неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS и могут перестать работать, если будет сделано следующее изменение конфигурации.  Чтобы помочь найти клиентов, у которых появляются такие привязки, сервер каталогов один раз каждые 24 часа регистрирует итоговое событие, указывающее на то, сколько таких привязок  произошло.  Рекомендуется настроить такие клиенты так, чтобы они не использовали эти привязки.  Как только соответствующие события перестанут регистрироваться  в течение достаточно продолжительного периода, рекомендуется настроить сервер на отклонение таких привязок. По умолчанию в журнале событий можно найти ворнинги с событием 2886 “ActiveDirectory_DomainService”.Для решения данной проблемы необходимо включить требования цифровой подписи для LDAP-сервера. Это можно сделать двумя методами: при помощи системного реестра, а также с помощью групповых политик.

Системный реестр:

Групповые политики:

  1. Открываем консоль управления (mmc.exe)
  2. В ней добавляем оснастку “Редактор объектов групповой политики” (Group Policy Management Editor)
  3. В диалоге “Выбор объекта групповой политики” (Select Group Policy Object) выбираем “Данный компьютер” и нажимаем на “Готово”
  4. В редакторе групповых политик открываем Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности (Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options) и ищем политики Сетевая безопасность: требование цифровой подписи для LDAP-клиента (Network security: LDAP client signing requirements) и Контроллер домена: требования цифровой подписи для LDAP-сервера (Domain controller: LDAP server signing requirements).

Эти параметры безопасности отвечают за уровень подписи данных, который запрашивается от имени клиентов, отправляющих запросы LDAP BIND, следующим образом и определяют, будет ли LDAP-сервер требовать согласовывать подписывание с LDAP-клиентами следующим образом.Необходимые значения:

“Согласование цифровой подписи”: если службы TLS и SSL не запущены, запрос LDAP BIND создается с набором параметров подписи данных LDAP в добавление к параметрам, указанным вызывающей стороной.  Если службы TLS и SSL запущены, запрос LDAP BIND создается с параметрами, указанными вызывающей стороной.

«Требовать подпись»: то же, что и «Согласование цифровой подписи». Однако если промежуточный ответ saslBindInProgress LDAP-сервера не показывает, что требуется подпись трафика LDAP, вызывающая сторона получает сообщение о том, что запрос команды LDAP BIND завершился с ошибкой.

Необходимо выбрать опцию “Требовать подпись”.

К сожалению, эти параметры не оказывает влияния на простое связывание LDAP через SSL. Клиенты Microsoft LDAP в составе Windows XP Professional для взаимодействия с контроллером домена не используют простое связывание LDAP или простое связывание LDAP через SSL. Если подписывание необходимо, то запросы с простым связыванием LDAP или простым связыванием LDAP через SSL отвергаются. Клиенты Microsoft LDAP под управлением Windows XP Professional или систем семейства Windows Server 2003 не используют простое связывание LDAP или простое связывание LDAP через SSL для привязки к службе каталогов.

AD Sync Replication best practice

2019-01-29 · Posted in Active Directory

First – these are VMs. DISABLE the Time Sync Hyper-V integration services with the host system. Time Sync should never be enabled in the VM for DCs.

Second,

Proper domain controller DNS setup is vital for Active Directory to work properly. Best practice dictates that each domain controller should be setup with a different DNS server as it’s preferred DNS server, and and the loopback address (127.0.0.1) as it’s alternate DNS server. If you have more than 2 DNS servers in your domain or forest, you should setup a pattern whereby they all have different primary DNS partners, so that each server is used as someone else’s primary.

If you have just 2 DC’s

DC1: 192.168.1.11
DC2: 192.168.1.12

Then

DC 1 Static DNS should be: Preferred: 192.168.1.2 Alternate: 127.0.0.1
DC 2 Static DNS should be: Preferred: 192.168.1.1. Alternate: 127.0.0.1

If you have 3 or more DC’s

DC1: 192.168.1.11
DC2: 192.168.1.12
DC3: 192.168.1.13

Then

DC 1 Static DNS should be: Preferred: 192.168.1.12 Alternate: 127.0.0.1
DC 2 Static DNS should be: Preferred: 192.168.1.13. Alternate: 127.0.0.1
DC 3 Static DNS should be: Preferred: 192.168.1.11. Alternate: 127.0.0.1

If you have more than one site, rely on AD Sites and Services to ensure replication occurs between the sites. If possible, do not point one site’s DC’s DNS to the other site’s DNS. Each site should have two DC’s, each having the other DC’s IP as the preferred DNS all within the same site.

This is done to ensure that each DC can find its replication partners. Also, a server will reboot faster if an already up and running DC is providing DNS.

Why should you use 127.0.0.1 vs. the IP of the server?

127.0.0.1 is not just a different ip address to the machine ip address, it’s a different interface as well. 127.0.0.1 should not be seen on the local network. It’s a special internal IP address for the loopback adapter. The IP of the server on the other hand is assigned to the network adapter.

Either/or will work, however best practice is to use the local loopback 127.0.0.1 as the IP will never change. Another reason is that using the local loopback does not initiate the network adapter drivers as it is a different interface adapter card

Think of it as a different interface. A different network card.

https://technet.microsoft.com/en-us/library/ff807362(v=ws.10).aspx

http://serverfault.com/questions/394804/what-should-the-order-of-dns-servers-be-for-an-ad-domain-con…

Script to shrink temp database

2019-01-27 · Posted in SQL

In general shrinking a database is easy. This operation is done when an administrator wants to make database files smaller. It can be even done with SQL Server Management Studio. It becomes a little more complex when the database is tempdb. It is a system database that stores different types of temporary objects. As a consequence, it cannot be easily shrinked to reduce occupied disk space. This post contains a script that allows for that.