» Флейм для сисадминов (часть V)

gab1967 Возможно у вас стоит политика смены пароля в домене ? И юзер вовремя не сменил. Или кто-то сменил ему пароль в домене. Проверьте в св-вах этой учетки в домене в вкладке Объект, дату изменения.
При выдернутом шнуре эзернет пароль доменного юзера берется из кэша, насколько я помню, позволит раз 10 зайти. Смените пароль этого юзера в домене и пробуйте зайти этим доменным юзером с новым паролем, комп предварительно после смены пароля перегрузите.

Цитата:

Оно должно на коммутаторе включаться, если у него достаточно мозгов.

400 компов заявлено, в одном широковещательном домене. не думаю, что на неуправляемых длинках. wireshark поможет найти кто это сделал, но не защитит от дальнеших проблем

gab1967
Была такая проблема. Обычно называется недоверительные отношения с контроллером домена.

Решалась простым выводом и тут же вводом обратно в домен. Ребутаешься все нормально.
Также стоит проверить настройки DNS на компе (ipconfig /all и ipconfig /flushdns), чтоб стоял ваш DNS, а не Google или Yandex.

k3NGuru но там же вроде sid изменится, просто машина главбуха а я юрист "эникейщик" (2 год уже), с группами проблем не будет, с 1с ключи на сервере если что.

d0r0fey
Цитата:

переобжал кабель, поставил микротик временно, насмотрел в микротике, что виноват провайдер. После слов админа провайдера: "а сейчас?" - всё заработало

гы-ы.. я знал!.. =)
все мы, одмины, одинаковы.. в смысле - как кирпичи.. пока не пнёшь - не полетит.. ))

TheBarmaley

Цитата:

все мы, одмины, одинаковы.. в смысле - как кирпичи.. пока не пнёшь - не полетит.. ))

Вы забыли добавить: "А на телефон звонят только имбецилы, не способные самостоятельно решить свои проблемы. А если проблема все-же на нашей стороне, то они все-равно имбецилы, потому что до их звонка проблемы какбы не существовало" ))

Добавлено:
gab1967
Рекомендую синхронизировать время на ПК с PDC.
Если после этой процедуры все будет ОК, то еще и батарейку поменять на мамке.

karavan
"заметьте - не я это сказал!".. (ц))
не, могу добавить только, шо большинство таких проблем тупо неизвестны до их озвучивания.. )
потому как не может одмин одновременно сидеть за компом каждого юзера и в реал-тайме видеть его траблы..
сталыть, логично предположить (проверив пустой рожок), шо "с моей стороны пули вылетели, проблемы у вас".. =)

k3NGuru
Посмотрите на "облачные" хранилки, например, pydio или owncloud. Для быстрой оценки можете развернуть виртуальный appliance.

reff
Облачные хранилки это да, но тот же owncloud нужно доп ПО, чтоб им пользоваться.

Друзья! На актив деректори есть каталог, в нем сто подкаталогов.Доступ ограничен. Некоторым пользователям есть права только на просмотр определенных подкаталогов.
Как можно отфилтровать кому и что можно просматривать?

k3NGuru
Они работают в браузере. А клиенты добавят удобства и автоматизации.

superser
Как вариант, скачать какой-нибудь LDAP Browser и посмотреть, какой пользователь к какой группе относится, или кто состоит в группе

Добрый день всем. Имеется сервер, 2008R2. Стоит Kerio Control. Есть DNS. Нужно чтобы пользователи в сети когда вводили в браузере office.xxxx.xx переводились на ip адрес.

elvin04
сделать доступ к этому ip на клиентах, а в DNS, который прописан основным на клиентах, привязать office.xxxx.xx к этому ip.

d0r0fey
Доступ есть. Http страница открывается, нужно чтобы ДНС сервер переадресовал запросы на ip адрес. (relay)

ваш ДНС должен сказать клиентам: у такого-то сайта такой-то IP. Вот кто это говорит, там и должен этот сайт к ip привязан.

d0r0fey
Ну вот я и прошу мне сказать как это сделать.
Пытался создать А рекорд и послать CNAME к нему не удалось.

elvin04
Цитата:

Пытался создать А рекорд и послать CNAME к нему не удалось

1-е следствие закона Гука:
"Чтобы расслабиться самому, нужно кого-нибудь напрячь".
Вместо того, чтобы найти фильтром тему     Настройка DNS и почитать ее (хотя бы),
решил перетащить тему во флейм?

vlary
Спасибо за направление, как раз таки не расслаблен.

А не ввел ли elvin04 всех в заблуждение?

Цитата:

Http страница открывается, нужно чтобы ДНС сервер переадресовал запросы на ip адрес. (relay)

Цитата:

Нужно чтобы пользователи в сети когда вводили в браузере office.xxxx.xx переводились на ip адрес.

На такой способ постановки вопроса очень хочется предложить решение http-редирект.
На-пример такой:

Код: server {
listen 80;
server_name office.xxxx.xx;
return 301 http://192.168.1.100$request_uri;
}

karavan
Так я пытался.
ХХХХ.ХХХ перенаправляет успешно, а вот поддомены не хочет.

elvin04
И все-же, мне не понятна суть Ваших вопросов.
ХХХХ.ХХХ - это локальная зона?
Ваш DNS-сервер резолвит эту зону?
Вы сказали, что

Цитата:

Http страница открывается

Расскажите как она открывается, по какому адресу.

karavan Вопрос уже ушел в спецтему.

Почему-то подумалось:
windows 2000 - service pack 4
windows XP - service pack 3
windows vista - service pack 2
windows 7 - service pack 1
windows 8 - service pack не обещали
Что дальше?

Случайно наткнулся на статью на Хабре, обратил внимание на минимальные требования и уже минут десять пытаюсь понять: что же такое старый сервер?..

Skif_off
Пошел по ссылке и был очень удивлен "слетевшим" стилям хабра - страницу разбарабанило на весь монитор.
После того, как осилил статью, дошло, что ссылка для мобильных девайсов. ))

karavan
Вылетело из головы, прошу прощения, исправил

Ну что, нехилая "новая" дырка в glibc (до 2.17) под *nixами..
Проверяйтесь - http://www.openwall.com/lists/oss-security/2015/01/27/9
http://bobcares.com/blog/ghost-hunting-resolving-glibc-remote-code-execution-vulnerability-cve-2015-0235-in-centos-red-hat-ubuntu-debian-and-suse-linux-servers/
https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability

Mavrikii
Для тех, кто по собачьи не разумеет, можно в кратце описать опасность?
Из того, что удалось осилить самостоятельно, я правильно понял, что если я единственный, кто имеет доступ по ssh на сервак, то сам себе я не опасен?

karavan

Цитата:

можно в кратце описать опасность?

уязвимость в функциях резолвинга ip адресов по имени.
идет переполнение буфера и возможность выполнения кода с правами того, под кем запущено приложение.
при этом, если используются различные публичные сервисы (тот же ssh, почтовики, веб сервера), то данную уязвимость можно использовать удаленно.
те, кто открыл уязвимость, показали практический пример получив доступ к шеллу простым письмом почтовому серверу (понятно, что права шелла будут те же, что и права почтовика, но это не облегчает ситуацию).
код эксплойта они пока не публикуют, ждут пока хотя бы 50% серверов избавятся от уязвимости, а затем будет в открытом доступе.

ну и проверить можно либо по версии glibc (2.17 включительно, вроде бы) или скомпилировав и запустив следующий код

Код: #include <netdb.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>

#define CANARY "in_the_coal_mine"

struct {
char buffer[1024];
char canary[sizeof(CANARY)];
} temp = { "buffer", CANARY };

int main(void) {
struct hostent resbuf;
struct hostent *result;
int herrno;
int retval;

/*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/
size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;
char name[sizeof(temp.buffer)];
memset(name, '0', len);
name[len] = '\0';

retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);

if (strcmp(temp.canary, CANARY) != 0) {
puts("vulnerable");
exit(EXIT_SUCCESS);
}
if (retval == ERANGE) {
puts("not vulnerable");
exit(EXIT_SUCCESS);
}
puts("should not happen");
exit(EXIT_FAILURE);
}