RDP6

Hm.. Miesiac prawie minal odkad cos tu napisalem, no ale lepiej póżno niż wcale. Przez owy miesiac zmienil sie layout na worldpressie i nie dosc ze sie gubie to durny system nonstop przelacza mi jezyk klawiatury z PL na EN-GB i skutecznie uniemozliwia mi pisanie takich znaków jak  a i e z haczykami wiec bedzie bez. Rozwikłam ten problem może póżniej. A nóż ktoś trafnie skomentuje moja zapewne karygodna wiedze w kwesti ustawien regionalnych workstacji.. ;) Domyślna czcionka też widze sie zmieniła. Zobaczymy co to będzie jak będę chciał te wypociny opublikować…

Cała ta historia dotyczy tylko sytuacji, w której kogoś obchodzą certyfikaty w RDP, wiec jesli ktos sie tym nie interesuje to nie ma nic do czytania ;) Dziś na szybko troche o RDP6 i certyfikatach w srodowiskach NLB oraz o  takim małym narzdzedziu o nazwie RDPsign dostepnym natywnie pod W2k8 i co ciekawe wogóle nie działajacym pod Vista po próbie skopiowania samego tylko rdpsign.exe. Ale do rzeczy, jakis prawie miesiac robie sobie przedbiegi z wdrozeniem w firmie środowiska terminalowego opartego w całości na W2k8, a które działa obecznie pod uwaga NT4 i Citrixem chyba 3.coś.  Przy okazji może kogoś zainteresuje ten dokument całkiem krótko i treściwie (z wykresami które powinny przemówić do zarzadu) omawiajacy wydajność RDP6.  Czytaj dalej…

Multiple IE

#Jak komuś nie chce się czytać gadki o niczym spowodowanej najprawdopodobniej nadmiarem czasu w robocie niech odrazu przejdzie do ostatniego akapitu.

Po dłuższej przerwie spowodowanej relaksacyjnym wyjazdem do PL, jak i brakiem chęci do pisania czegokolwiek spowodowanej marazmem w pracy (nic nie robienie kosmicznie jednak męczy)  coś sie ruszyło więc i coś skrobne. Przy okazji pewnego problemuy ze stronami /certsrv (znowu) wpadło mi w oko, albo raczej na dysk ciekawe narzędzie owy problem rozwiązujący. W zasadzie nie jestem pewien istoty samego probemu, bo objawia się on tak, że nie da się zainstalować Certyfikatu poprzez /certsrv bo wyskakuje info, że strona nie zakończyła się ładować i tyle – nie kończy się ładować nigdy. Tak czy owak, po paru chwilach walki doszedłem, że to chyba nie wina /certsrv a XP i SP3 i jakieś tam poprawki (nie wiem jakiej nie chciało mi się dochodzić) sprawdziłem na paru kompach – to samo.

Rzecz jasna /certsrv to ActiveXy, przeróżne więc działają tylko pod IE, o FF czy czymkolwiek można zapomnieć, chodż ku mojemu zdziwieniu FF3 powoli zaczyna sobie z /certsrv radzić ale nie do końca.

Do rzeczy. Znalazłem w necie fajne narzędzie, które umożliwia nam instalacje wszystkich IE jakie były na jednej maszynie i to nawet działa. Można sobie wybrac w jakim IE się chce daną stornę odpalić – lux. Certsrv ożyło pod IE 5.5

Certyfikaty, Certsrv, Store Certificate..

Co jakiś czas na WSS przewija się wątek w stylu ‚Nie mam opcji Store certificate in local computer store’ lub ‚Na Viscie nie działa Certsrv z W2K3’ Spróbuje to troche ugruntować by rozwiać wszelkie wątpliwości, może nawet ktoś to przeczyta ;) W sumie pisałem juz troche o tym wcześniej ale nie bezpośrednio, albo nikt tego nie czytał co bardziej prawdopodobne.

Jak powszechnie wiadomo certsrv z W2K3 na Viscie nie działa. Przynajmniej nie odrazu. Aby to zaczeło działać jak trzeba niezbędna jest poprawka KB922706. Poprawke można instalować w locie, nie wymaga restartów systemu itp. Jedyne co ma moment przestanie działać to certsrv. Pechowo po instalacji zawartośc certsrv w skrócie jest podmieniana na tą z W2K8. Pech znów chciał, że w W2K8 opcji ‚Store Certificate in Local Computer Store’ nie ma. Szukałem dość sporo czemu jej tam nie ma i w sumie to jedyny powód jaki przychodzi mi do głowy jest taki:  W Viscie IE nie korzysta z konta administratora, a opcja, o którą się rozchodzi takowych wymaga, wiec ludzie z MS postanowili ją chyba w ogóle usunąc z certsrv pod W2K8.

Jaki jest tego efekt: Nie da się już wygenerować certyfikatu komputera korzystajac z certsrv. Jak obejśc ten problem, no cóż sa dwa rozwiązania oba w polskich realiach cięzkie do zaakceptowania, pechowo przyjmie się pewnie to drugie:

1. Porządnie. Zapomnieć o certsrv i korzystać z AD do dystrybucji certyfikatów, tylko wtedy trzeba mieć całkiem niezłą infrastrukturę no i firmowe laptopy dla użytkowników, którzy np chcieli by się łączyć do firmy po sensownie zabezpieczonym VPN-ie. W małych firmach to nie przejdzie i tu trzeba sie troche zastanowić czy nie lepiej (taniej) będzie zestawić PPTP, kwestia oceny ryzyka itp.

2. Byle osiągnąć cel. Generować certyfikaty samemu poprzez schemat offline router. I dystrybuować je w jakiś bezpieczny sposób (żaden nie przychodzi mi do głowy) użytkownikom. Bo w końcu kto zabroni userowi zainstalować sobie ten certyfikat gdziekolwiek albo go zgubić/wyexportować itp.

Warto jeszcze dodać ze do obu tych manewrów trzeba W2K3/W2K8 w wersjach Enterprise.

Windows 2008 PKI

Miały być zdjęcia, ale coś nadal nie zebrałem sie w sobie, żeby wrzucić je na jakiś serwer (mój w PL) i podlinkować tu. Może uda sie to wykonać w trakcie nadchodzącego weekendu, w co jednak wątpie bo zabrałem sie za granie w rewelacyjny Mass Effect :)  Tak czy owak przy okazji studiowania różnych materiałów odnośnie PKI w pracy natknąłem się na ciekawy dokument opisujący wdożenie PKI opartego o CA  pod Win2008 w PKO BP. Gdyby ktoś zastanawiał się nad wdrożeniem bądż migracją obecnej struktury PKI do nowego środowiska to napewno znajdzie w tym dokumencie coś, co pomoże przekonać zarząd/managera. W sumie nie piszą tam nic o jak dla mnie najwiekszej zalecie nowego CA, – OCSP, a szkoda bo napewno i ten mechanizm wdrożyli.. ale i tak do managera taki doc moze trafić :) Cóż było by miło uczestniczyć kiedyś w takim projekcie i wdrożeniu ale to chyba za pare lat..

Poprawka co nic nie poprawia.

Ostatnio zmagałem się z poprawieniem/usprawnieniem/ułatwieniem dostępu poprzez VPN pracowników z domowych komputerów. Przepastną instrukcje w stylu ‘Od zera do mastera z VPN’ przerobiłem przy pomocy CMAK-a na 2 stronnicową broszukrę, która skupiała się w sumie tylko na generowaniu sobie poprzez https://ca/certsrv certyfiaktu komputera. (CA na w2k3 STD)

 

Teoria jest prosta, user wtyka płytkę CD do napędu, kolejno instaluje mu sie gdzie trzeba cert usera, cert CA, potem connectoid połączenia PPTP, user się łączy klika swoje by wygenerować sobie cert komputera. Rozłącza, instaluje mu sie connectoid połączenia L2TP, PPTP sie usuwa. Klasa, jeśli się ma XP.

 

Praktyka. Jak wiadomo CA w2k3 (STD lub EE) słabo obsługuje Visty. W sumie wcale. Jednak pojawił się ratunek – poprawka o numerze KB922706, która modyfikuje strony certsrv by Vista działała. Nawet działa (IE w Viscie musi mieć CA w Trusted Sites , i certsrv musi chodzić po HTTPS) ale.. z CA znika magiczna opcja ‘Store certificate in the local computer store’ tym samym certyfikatu komputera wygenerować się nie da. I to nie tylko w Viscie bo w XP też. (Odświeżone certsrv z CA w2k8 wogóle tej opcji nie ma)

 

I teraz zachodzi pytanie. Jak rozwiązać taki problem bez migracji do CA na w2k3 EE ? No bo dołączanie kompa usera do domeny nie wchodzi w gre. Wciskanie mu firmowego laptopa – może, z tym, że wtedy powstanie masa dodatkowej roboty przy przygotowaniu i  supportowaniu tych laptopow i problemow z nimi zwiazanych.