Příspěvky

16

Sítě / Re:MikroTik jako samostatný WireGuard server pro dvě LAN

« kdy: 11. 07. 2023, 23:47:19 »

No, pokud jsem to pochopil správně (tj. Mikrotik má LAN interface ve stejné VLAN jako jsou zařízení), tak bych si tipnul, že do jedné "LAN" se z druhé "LAN" přes Mikrotik dostanete, ale problém je v návratovém provozu, který ze zařízení v LAN jde na default gateway, což je router TP-Link.

Řešení vidím několik (v závislosti na možnostech zařízení):

• nastavit na zařízeních v lokalitě (nebo hromadně přes DHCP) route na rozsah "druhé LAN" na Mikrotik - to asi všechna zmíněná zařízení podporovat nebudou,
• "otočit" daný provoz na TP-Linku na Mikrotik - Hairpin NAT,
• provoz z VPN na lokalitě NATovat za IP Mikrotiku - pokud není potřeba, aby spolu zařízení z těch dvou LAN komunikovala pod skutečnými adresami (v tomto případě myšlena src IP), tak nejjednodušší řešení,
• Mikrotik dát do jiné VLAN/segmentu, tak aby provoz z VPN do LAN byl routovaný přes TP-Link.

17

Server / Re:Nginx web manager

« kdy: 09. 07. 2023, 19:28:26 »

Nginx prevadzkujem len ako reverzny proxy...

Nejaky duvod, proc toto nebylo zmineno uz v dotazu?

18

Server / Re:Nginx web manager

« kdy: 08. 07. 2023, 20:07:43 »

Zatial som konfiguraciu riesil cez terminal, ale pri web manazmente to bude asi jednoduchsie a odpadaju aj konfiguracne chyby a pod.

Asi ti nezbyde nic jineho, než se to naučit...

19

Windows a jiné systémy / Re:Vyčistění napadených Windows

« kdy: 19. 06. 2023, 23:08:09 »

Mne sa to pred niekolkymi rokmi podarilo vyriesit tak, ze som sa do PC prihlasil ako admin a synovi som vytvoril uplne novy user profil. Z toho stareho profilu som mu popresuval nejake subory do noveho a potom som stary profil vymazal.

No, zobecnit toto na bezpecne reseni, opravdu nejde...

20

Hardware / Re:Virtuální stroj nebo Linux na iPad A2602

« kdy: 19. 06. 2023, 12:31:46 »

Pokud to ale vypadá spíš na krátkodobější vztah, zabil bych dvě mouchy jednou ranou tím, že bych ho prodal.

 

21

Server / Re:Lokální doména

« kdy: 14. 06. 2023, 18:33:28 »

Jeste:
Pokud by DC a klienti nebyli ve stejne VLAN (idealni stav) a byl mezi nimi nejaky rozumny firewall, tak by se dal provoz na DC a TCP/443 DNATovat na externi web server. Ale je to opicarna.

Tak presne tohle by se nedalo ... dalsi co nikdy windowsi domenu nevidel ze? Mimo jine ti na tom serveru velice pravdepodobne bezi napriklad prave web srv, a to v podobe rozhrani certifikacni autority.

Vasemu konfrontacnimu tonu uprimne nerozumim. Windows domen jsem videl/uvedl v zivot/spravoval dost (co je dost?) a mozna se budete divit, ale naprosta vetsina tech, ktere jsem videl, Windows CA nemela. Automaticky predpokladat CA u AD, jehoz spravci si ani neumi vybrat spravne jmeno domeny a na 99% ji provozuji pouze s jednim DC, je dukazem Vasi arogance.
Pokud jste si nevsiml, tak jsem hlavne navrhoval reseni, za ktere jste pana Koudelku pochvalil.
Mimochodem, i kdyby tam ta CA byla, tak bych to dokazal bez problemu vyresit (narozdil od Vas, zjevne), ale byla by to opicarna, coz jsem napsal uz v tom prispevku.

22

Server / Re:Lokální doména

« kdy: 12. 06. 2023, 16:46:48 »

V MS doméně je to celkem jednoduché a dá se to udělat dvěma způsoby.
1)   Mám veřejné webovky a intranet.
-   Potom se v DNS udělá nová primární zóna s názvem www.firma.cz. V ní se udělá A záznam IPv4 a IPv6 na veřejné webovky.
-   V zóně firma.cz se udělá záznam pro intranet
Uživatel zadá www.firma.cz a dostane se na veřejné webovky. Potom uživatel zadá firma.cz a dostane se intranet.

2)   Jsou pouze veřejné webovky bez intranetu.
-   Potom se v DNS udělá nová primární zóna s názvem www.firma.cz. V ní se udělá A záznam IPv4 a IPv6 na veřejné webovky.
-   Přidá se http Redirection. Je schovaný v IIS.
-   Teď už stačí v IIS v HTTP Redirect nastavit www.firma.cz
Uživatel se potom vždy dostane na webovky.

PS: Microsoft už nějakou dobu doporučuje mít veřejnou a lokální doménu se stejným účtem.

Uprimne tomu moc nerozumim. Problem je v tom, ze A DNS na firma.cz jsou nastaveny na domenove radice (a je silne nedoporuceno to menit).

Jestli jsem to tedy pochopil a navrhem je zprovoznit HTTP redirect na DC. Tak vidim dva problemy:
  * toto rozhodne neni MS uz tak 15 let doporuceno (michani roli na Windows Server),
  * musi se to nainstalovat na vsech DC (pokud nekdo provozuje jen jedno DC tak by se mel nechat vysetrit) a co s tim HTTP trafficem udela round robin DNS nevim.

Ad PS.: MS doporucuje pouzivat pro AD subdomenu verejne domeny, ktera neni nikde jinde pouzita!

23

Server / Re:Lokální doména

« kdy: 10. 06. 2023, 18:57:40 »

Nemyslim si, ze vim vse nejlepe, takze se muzu splest, ale me zadne trivialni reseni nenapada a vzhledem k Vasemu ostychu se o zvoleny postup podelit bych si tipnul, ze to bude nejaka opicarna.

Jeden tip na "trivialni" reseni bych mel (neco, co je doporuceno NIKDY NEDELAT), ale necham si ho take pro sebe... 

24

Server / Re:Lokální doména

« kdy: 09. 06. 2023, 23:42:26 »

Takže zase problém, který po adopci IPv6 nebude existovat?

Uprimne netusim, jak v by mohlo IPv6 pomoci v pripade, kdyz si dve rozdilne (funkcne, logicky, geograficky) veci pojmenujete stejne.

25

Server / Re: Lokální doména

« kdy: 09. 06. 2023, 22:25:06 »

Zdravím, už jsem to asi vyřešil. Necham to zatím nějaký čas běžet v režimu testování abych odchitil kdyby se něco rozbilo.

<sarkasmus>Tak to jsme radi a jeste radsi jsme, ze si reseni nechate jen pro sebe.</sarkasmus>

Je to vcelku triviální když člověk pochopí jak přesně funguje AD a LDAP.

<sarkasmus>Ano, to je takova trivialni uloha. Sednu si nad to a za dve hodinky chapu, jak LDAP a cely MS AD funguje.</sarkasmus>

Za sarkasmus sorry...

26

Server / Re:Lokální doména

« kdy: 08. 06. 2023, 21:54:51 »

Jeste:
Pokud by DC a klienti nebyli ve stejne VLAN (idealni stav) a byl mezi nimi nejaky rozumny firewall, tak by se dal provoz na DC a TCP/443 DNATovat na externi web server. Ale je to opicarna.

27

Server / Re:Lokální doména

« kdy: 08. 06. 2023, 21:50:59 »

Jako ze ten ADckovy srv se jmenuje firma.cz a stejne se jmenuje externi web?

Ne, AD server se tak rozhodne nejmenuje. Server se jmenuje: "hostname_dc.firma.cz", ale netlogon service kazdeho DC vytvori A DNS zaznam pro "firma.cz" a IP adresu serveru. To je vlastnost AD (predpokladam, ze vedle SRV zaznamu je to soucast mechanismu vyhledavani DC). Vedle tohoto zaznamu je v DNS i A zaznam pro "hostname_dc.firma.cz"

Tak ono se to AD mělo jmenovat firma.local
Toť dle MS doporučení.

Jiz dlouhe roky neni.

Proc proboha radis takovyhle voloviny ... tohle nebude fungovat projistotu vubec. Ty zjevne vubec nemas paru o tom, ze .local...

To je sice pekne a muzeme se na tom shodnout, ale nemeni to nic na tom, ze to vice nez 10 let bylo doporuceni MS. Da se to dohledat ve spouste publikaci.

bych přidal do domény novy DC pojmenovany PDC.firma.cz(klidne na virtualu) stary bych demotnul a a pak znej udelal BDC.firma.cz.
zabiješ dve mouchy jednou ranou

Videl bych to takto:

• pridat do domeny PDC.firma.cz
• premigrovat FSMO role!
• stary DC vypnout a vyzkouset, ze vse funguje
• az pote demote puvodniho DC

Alse stejne to nepomuze. Viz prvni odpoved.

Přejmenuj tu doménu!

Tohle bych nechtel delat sam ani na malem AD (kde bych si na to ale asi jeste troufnul), natoz abych to doporucoval nekomu jinemu.

Nejjednodusi se mi zda presvedcit vyvojare webu, aby implementovali relativni odkazy nebo web nepouzivat 

28

Server / Re:Lokální doména

« kdy: 07. 06. 2023, 15:42:36 »

Zdravím, jak řešíte problém s otevíráním firemních webových stránek z lokální sítě když máte název lokální domény shodný s veřejnou ( firma.cz x firma.cz ), ?

Zadani jak stehno. Jedina korektni odpoved je asi "ruzne".

Kdybych mel naladu to resit, tak bych se zeptal:

• Co vubec resite za problem? Mate nejaky nebo Vas to jen zajima?
• Pokud je to realna situace, tak je to spatny design (shodny nazev domeny). Pro lokalniu sit pouzijte subdomenu (pokud uz to nemate zadratovane treba v AD).
• Pouzivate AD? Jaky DNS server je pouzit v LAN (Windows, BIND, Dnsmasq, nějaké veřejné DNS...)?
• Kde je umístěn web server (tj. jestli je nebo není v té LAN)?
• Případně jaký máte firewall (pomoci může třeba Cisco ASA DNS doctoring nebo Hairpin NAT)?

29

Server / Re:Sendmail hlásí Internal server error

« kdy: 04. 06. 2023, 23:39:09 »

Takze se snazite email poslat pres smarthosta pres IMAP port?

30

Server / Re:Sendmail hlásí Internal server error

« kdy: 02. 06. 2023, 14:38:37 »

chyba bude asi u mňa

Ten email zjevne odmita az server mail.hostmaster.sk, ktery mate nakonfigurovany jako smarthosta (a vubec vam neprislo dulezite se o tom zminit).