Příspěvky

1

Server / Re:Mailserver do Dockeru na Raspberry Pi

« kdy: 23. 08. 2025, 18:07:41 »

Mailcow. Je to komplet v dockeru. Na tyhle účely možná trochu overkill, ale nasazuje se to přes už připravený docker compose a je to prakticky bez práce. Má to i dobrou dokumentaci.

Provozujeme 3 servery a funguje to dobře.

https://docs.mailcow.email/getstarted/install/

2

Server / Migrace Samba AD na Windows server

« kdy: 09. 06. 2025, 11:19:15 »

Zdravím,

na vituálním serveru v Proxmox je provozovaný jako doménový řadič Nethserver 7, který využívá Samba AD 4.10.16. Zároveň jsou zde, kromě uživatelů i síťové disky a OpenVPN server.

Nyní je požadavek udělat migraci na Windows server 2022. V doméně je cca 30 uživatelů. S tímhle nemám tolik zkušeností, proto bych si rád nechal poradit.

Provést replikaci přidáním Win serveru do domény a povýšením na DC lze jen na verzi Win 2008, s novějšími Samba odmítá komunikovat.

Myšlenka č. 1, možná nejčistší řešení(?), vytvořit novou doménu na Windows serveru 2022 se všemi uživateli a postupně přepojit koncové stanice do nové domény. Následně provést migraci síťových disků, vytvořit nový VPN server a původní DC vypnout.

Varianta dvě, provést replikaci povýšením Win 2008 na DC a následně na Win 2022.
Toto jsem zkoušel na testovacím serveru, kde jsem si vytvořil kopii sítě, provedl replikaci na Win 2008 a původní Samba AD odpojil. Změnil jsem IP nového serveru na tu, co měl starý server, ping z koncové stanice na domena.cz.local odpovídal. DNS zóny se přenesly replikací. Doménový uživatel se ale pak odmítal přihlásit, protože DC nebyl dostupný.
V postupu je tedy pravděpodobně chyba.

Obnova původního řadiče ze zálohy na testovacím serveru trvá cca 8 hodin, proto bych před dalším pokusem byl rád za rady od zkušených.

3

Sítě / Re:IPsec a problém s SMB

« kdy: 26. 05. 2025, 13:39:18 »

Problém vyřešen.

Mají na routeru nastavený jiný NTP server a pravděpodobně se vytvořila odchylka v časech.

Pro přihlášení používají FQDN pefix uživatele (DOMENA.cz.local\user) a je možné, že Kerberos to zahodil, protože neseděl timestamp. Při NetBIOS (DOMENA\user) nebo vytočení VPN z Windows vše funguje.

Vzhledem k tomu, že z jejich ajťáka jsem nedostal žádný užitečný informace, došlo mi to až po několika testovacích simulací. Ponaučení pro příště.

4

Sítě / Re:IPsec a problém s SMB

« kdy: 22. 05. 2025, 20:31:52 »

Je naozaj problem sietovy a nie na urovni OS ? Taky win11 vie carodejne veci po updatoch bez vystrahy. (Len vystrel naslepo).

Taky mě to napadlo, ale že by se to stalo na všech PC současně. Zkusím vyzjistit, jestli nemají aktualizace řízené přes GPO, pak by to možná dávalo smysl.

PS: cca dva měsíce zpátky v jedné síti začaly Win 11 po aktualizaci ztrácet důvěryhodnost u domény. Bylo potřeba je odhlásit z domény a zase přihlásit.

5

Sítě / IPsec a problém s SMB

« kdy: 22. 05. 2025, 15:55:46 »

Zdravím, jdu si pro radu zkušených síťařů.

Jsou dvě sítě, jedna v ČR, jedna v Itálii. Mezi sebou jsou propojené pomocí IPsec. V ČR je Samba server, k jehož síťovým složkám se připojují z Itálie přes IPsec.

K mapování disků používají bat skript s net use. Včera jim to přestalo fungovat, script vždy vrací chybu

Kód: [Vybrat]

System error 8 has occured. Not enought storage is available to process this command.
Tato chyba je na všech jejich počítačích. Z OpenVPN vše funguje jak má, takže problém je pouze v IPsec.

Pomocí tcpdump jsem na samba serveru skenoval provoz z jedné jejich IP adresy na port 445 (viz níže) a při pokusu klienta o autentizaci server vrátí NT Status: STATUS_NO_MEMORY.

Zkoušel jsem ve firewallu nastavit tyto pravidla a restartovat IPsec spojení, zda problém není ve velikosti packetu. Podle chatGPT by tak mohl IPsec poškodit packet s tokenem. Problém ale přetrvává. V routeru je vidět, že provoz prochází těmito pravidly.

Kód: [Vybrat]

chain=forward action=change-mss new-mss=1200 passthrough=yes tcp-flags=syn protocol=tcp log=no log-prefix="mss-in_" ipsec-policy=in,ipsec
chain=forward action=change-mss new-mss=1200 passthrough=yes tcp-flags=syn protocol=tcp log=no log-prefix="mss-out_" ipsec-policy=out,ipsec
Pokud disky namapují přes OpenVPN, následně tuto VPN vypnou a provoz dál běží jen přes IPsec, disky zůstanou namapované a v tcpdump vidím navázané spojení. Problém je tedy pravděpodobně jen v autentizaci.

S jejich ajťákem moc řeč není, tekže mám jen informace z naší strany.

Zde je zmiňovaný provoz v pcap souboru, pokud by byl někdo ochotný se na to ve Wiresharku podívat.
https://www.uschovna.cz/zasilka/STNBN62I7WVUTMYS-CZ9

Za jakýkoliv tip budu vděčný.

6

Server / Re:Nastavení DNS na hosting web a email server

« kdy: 11. 01. 2025, 13:14:09 »

Pro emailový server je třeba u forpsi přidat nový A záznam s názvem "box" s IP adresou VPS s mail-in-a-box. Díky tomu už budete moc všude místo IP adresy používat box.onkoněco.cz.

Další v pořadí bude nastavení MX záznamu, jako hodnota už může být použitá box.onkoněco.cz. Pokud tam už nějaké jsou, bude potřeba je smazat.
Bude potřeba nastavit TXT záznamy pro SPF, DKIM, DMARC. Budou napsaný u domény někde v GUI mail-in-a-box.

SSL certifikát je potřeba vygenerovat na každým serveru. Jeden certifikát pro onkoněco.cz a druhý pro box.onkoněco.cz. Co jsem tak zběžně koukal mail-in-a-box nastavuje certifikát už při instalaci. Na VPS s webem bude potřeba vygenerovat ručně pomocí let's encrypt, resp. certbot.

7

Server / Re:Jak zálohovat mailboxy, ale zachovat přístup přes klienty?

« kdy: 19. 12. 2024, 13:53:15 »

Mame par 10tok mailboxov na beznom zdielanom hostingu, ktoreho kapacita uz nestaci.

Znamená to, že vám dochází místo a potřebujete ho uvolnit? Dala by se v Outlooku nastavit automatická archivace a archiv uložit na nějaké úložiště, např. OneDrive. Ten by ale nebyl přístupný např. z mobilu.

Hladame teda dlhodobo funkcny a efektivny sposob zalohovania tak, aby zalohovane emaily boli viac menej vzdy jednoducho pristupne zo vsetkych emailovych klientov (prevazne MS Outlook), s tym, ze pokial mozno, nebude potrebna nejaka pravidelna manualna aktivita na strane klientov.

Je varianta na jednom z těch serverů vytvořit emailový server, dobrý zkušenosti mám s Mailcow (open-source, instalace je celkem jednoduchá, pokud umíte s Linuxem a Dockerem, postup je v dokumentaci). Pak vytvořit novou emailovou doménu, např. @domena-zaloha.cz a na každou emailovou schránku vytvořit synchronizační úlohu. Bude si to neustále stahovat obsah z oficiální emailové schránky do zálohové. Vše se dělá v grafickém rozhraní a je to celkem jednoduché.
Pokud by ale emaily měly být dostupný i veřejně (v Outlooku), bude potřeba doménu zaregistrovat a nastavit DNS záznamy.

Ideálně na fyzický server nainstalovat Proxmox (nebo cokoliv) a udělat to ve virtuálním serveru. Podstatně lépe se to bude celé zálohovat, případně přenášet na jiný server. Další varianta je si pronajmout VPS, tím opadne starost o železo.

8

Server / Re:Po migraci e-mailů nejdou odstranit některé e-maily

« kdy: 12. 12. 2024, 18:19:57 »

Neběží Vám tam náhodou imapsync z původního mailserveru?

Ano. Čekal jsem, že se Mailcow bude chovat stejně jako 365, kdy se po úspěšné migraci job ukončí. Neustále se synchronizoval s původním serverem.

9

Server / Re:Po migraci emailů nejdou odstranit některé emaily

« kdy: 11. 12. 2024, 19:48:42 »

prava, selinux opravneni nebo cokoliv dalsiho. nema to treba log?

Všechno je to v rámci jedné emailové schránky a jde jen o pár emailů, takže by to právy být, myslím si, nemělo. Mám trochu podezření, jako by se to rozhodilo vždy, když se Outlook synchronizuje se serverem. Možná nějaká nekonzistence dat, která nakonec zabrání změně. Ze začátku byl problém, že synchronizaci odpojoval firewall, tak jestli se těch několik emailů tím násilným přerušením "nerozbilo". Vytvořit v Outlooku nový profil a znovu připojit email nepomohlo.

10

Server / Po migraci e-mailů nejdou odstranit některé e-maily

« kdy: 11. 12. 2024, 18:52:24 »

Zdravím,

po migraci emailových schránek přes IMAP na server Mailcow se některé emaily ze dne migrace, po smazání nebo přesunutí, vždy opět objeví v doručené poště jako nepřečtené. I když se smažou přímo na serveru.

Máte někdo zkušenosti nebo tip, co vyzkoušet? Děkuji.

11

Server / Re:Efektivní zálohování v Proxmoxu

« kdy: 22. 08. 2024, 12:37:32 »

Další varianta je jeden PBS lokálně + jeden na VPS s nějakým storagem. V PBS se dá nastavit remote synchronizace, kdy se zálohy v pravidelných intervalech kopírují na další PBS. Pokud by se lokální síť např. zašifrovala ransomwarem, udělá se nová instalace Proxmoxu, připojí remote PBS a obnoví. Vše se nastavuje v prohlížeči, není třeba scriptů.

12

Software / Re:Jak zjistit název MS365 tenanta podle ID?

« kdy: 20. 08. 2024, 12:05:34 »

Žádné přihlášení právě známo není. Povedlo se nakonec najít i číslo faktury, podle kterého mi přihlašovací email sdělili na supportu s USA (v Čechách bez šance to vyřešit).

13

Software / Re:Jak zjistit název MS365 tenanta podle ID?

« kdy: 19. 08. 2024, 12:34:35 »

co tohle?

https://learn.microsoft.com/en-us/entra/fundamentals/how-to-find-tenant#find-tenant-id-with-powershell

Díky. Tenant ID právě znám, ale nikdo nezná účet/email na který se přihlásit.

14

Software / Jak zjistit název MS365 tenanta podle ID?

« kdy: 19. 08. 2024, 10:56:14 »

Zdravím, zákazníkovi se strhává předplatné za 365 účet, ale neví o jaký účet jde. V oznámení o prodloužení předplatného je pouze tenant ID. Lze podle tohoto ID nějak zjistit název, resp. email účtu?

15

Hardware / Průmyslový tablet: odemykání obrazovky RFID čipem

« kdy: 13. 03. 2024, 17:07:53 »

Zdravím, mám požadavek na nákup průmyslových tabletů a zákazník si přeje odemykat obrazovky pomocí RFID chipu zaměstnanců. Řešil jste toto někdo? Nenašel jsem kolem toho nic. Jen chat GPT prozradil, že na to jsou údajně aplikace třetích stran a že je potřeba připojit čtečku přes USB, ale těžko říct, jestli si to nevymyslel. Prozradil mi jednu aplikaci, která neexistuje.

Kvůli ceně by byl ideální android, pokud by to bylo potřeba, zvolil by se Windows.

Pokud by to nešlo, je nějaká alternativa? Biometrika mi nepřijde vhodná kvůli omezenému množství otisků a když tam přijde někdo s prstem od oleje, tak stejně musí zadat pin.

V tabletu se bude v podstatě používat jen RDP klient na server s ERP.