Archive

Archive for Maj 2008

BlackBerry

29 Maj, 2008 Dodaj komentarz

Dziś będzie mała porada odnośnie serwera BlackBerry Enterprise Server. Zupełnie przypadkiem badając dziwne zachowanie komórek Blackberry odkryłem, że serwer BlackBerry domyślnie pcha pakiety UDP na port 514 na domyślną bramke jaka została zdefiniowana na BB w moim przypadku na ISA.

 

Owy traffic to poszukiwania przez BB serwera syslog. (przynajmniej taką informacje udało mi się znalesć w internecie, bo próżno szukać tego na stronach producenta BB – RIM…) Pojęcia nie mam jak to sie zachowuje jak serwer syslog znajdzie, jednak jesli takowego serwera w sieci firmowej nie ma to BB w nieskończoność bombarduje bramke.

 

Jak to wyłączyć – regedit i szukamy: HKEY_LOCAL_MACHINE\SOFTWARE\Research In Motion\BlackBerry Enterprise Server\Logging Info\ Następnie w każdym podkluczu (z wyjątkiem Mailbox Agent I Handheld Config – bo pononć to moze rozwalic konfiguracje komórek czego nie zdecydowałem się sprawdzić) dodajemy SysLogEnabled = 0 (DWORD) restartujemy BB, albo cały serwer, jak kto woli i załatwione.

 

Kategorie:IT, Praca Tagi: ,

Poprawka co nic nie poprawia.

20 Maj, 2008 Dodaj komentarz

Ostatnio zmagałem się z poprawieniem/usprawnieniem/ułatwieniem dostępu poprzez VPN pracowników z domowych komputerów. Przepastną instrukcje w stylu ‘Od zera do mastera z VPN’ przerobiłem przy pomocy CMAK-a na 2 stronnicową broszukrę, która skupiała się w sumie tylko na generowaniu sobie poprzez https://ca/certsrv certyfiaktu komputera. (CA na w2k3 STD)

 

Teoria jest prosta, user wtyka płytkę CD do napędu, kolejno instaluje mu sie gdzie trzeba cert usera, cert CA, potem connectoid połączenia PPTP, user się łączy klika swoje by wygenerować sobie cert komputera. Rozłącza, instaluje mu sie connectoid połączenia L2TP, PPTP sie usuwa. Klasa, jeśli się ma XP.

 

Praktyka. Jak wiadomo CA w2k3 (STD lub EE) słabo obsługuje Visty. W sumie wcale. Jednak pojawił się ratunek – poprawka o numerze KB922706, która modyfikuje strony certsrv by Vista działała. Nawet działa (IE w Viscie musi mieć CA w Trusted Sites , i certsrv musi chodzić po HTTPS) ale.. z CA znika magiczna opcja ‘Store certificate in the local computer store’ tym samym certyfikatu komputera wygenerować się nie da. I to nie tylko w Viscie bo w XP też. (Odświeżone certsrv z CA w2k8 wogóle tej opcji nie ma)

 

I teraz zachodzi pytanie. Jak rozwiązać taki problem bez migracji do CA na w2k3 EE ? No bo dołączanie kompa usera do domeny nie wchodzi w gre. Wciskanie mu firmowego laptopa – może, z tym, że wtedy powstanie masa dodatkowej roboty przy przygotowaniu i  supportowaniu tych laptopow i problemow z nimi zwiazanych.

Certyfikaty

8 Maj, 2008 Dodaj komentarz

Długo nic nie pisałem, ale to dlatego, że mi sie nie chciało ;)  Tak czy owak ostatnio, siedziałem trochę nad zagadnieniem bezbolesnego zainstalowania VPN-a (L2TP)  po stronie usera w domu dzięki czemu udało mi się natrafić na dwa fajne narzędzia.

 

Certmgr.exe – pozwala nam bezproblemowo zainstalowac w odpowiednim miejscu certyfikat .cer czyli np root certyfikat naszego fimowego CA.  Szybki przykład:

 

certmgr /add jakis_root.cer /s /r localmachine root  

Umieści certyfikat w lokalnym repozytorium usera do tego w sekcji zaufanych certyfikatów.

 

Winhttpcertcfg.exe – importuje, wraz z kluczem prywatnym certyfikaty .pfx plus pare bajerów, np rozszerzenie uprawnien klucza prywatnego na inne konto np:

 

winhttpcertcfg -i user.pfx -c CURRENT_USER\My -a administrator -p haslo_certa

Zainstaluje, a własciwie zaimportuje do lokalnego repozytorium certyfikatów certyfikat z pliku pfx opatrzonego hasłem dodatkowo rozszerzając uprawnienia klucza prywatnego na konto administratora.

Kategorie:Certyfikaty, IT, Praca Tagi: , , , ,