Настройка Enterprise CA на Windows Server 2008 R2. Часть 2

Всем привет. Итак, мы имеем уже установленный подчиненный центр сертификации, который уже может выдавать сертификаты.

Снова же таки, с начала нам надо прописать точки распространения для CRL и AIA на нашем Enterprise CA.

Настройка точек распространения для CRL и AIA

certutil -getreg ca\CRLPublicationURLs

CRLPublicationURLs REG_MULTI_SZ =    0: 65:C:\WINDOWS\system32\CertSrv\CertEnroll\%3%8%9.crl    CSURL_SERVERPUBLISH -- 1    CSURL_SERVERPUBLISHDELTA -- 40 (64)     1: 79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10    CSURL_SERVERPUBLISH -- 1    CSURL_ADDTOCERTCDP -- 2    CSURL_ADDTOFRESHESTCRL -- 4    CSURL_ADDTOCRLCDP -- 8    CSURL_SERVERPUBLISHDELTA -- 40 (64)     2: 6:http://%1/CertEnroll/%3%8%9.crl    CSURL_ADDTOCERTCDP -- 2    CSURL_ADDTOFRESHESTCRL -- 4     3: 0:file://\\%1\CertEnroll\%3%8%9.crl

Теперь нам необходимо сконфигурировать правильные пути размещения CRL и AIA. Итак,
1. Нажимаем Start, All Programs, Administrative Tools, и выбираем Certification Authority.
2. Выбираем наш центр сертификации, кликаем по нему правой мышью, и выбираем Properties.

3. Заходим на вкладку Extensions.

Настройка точек распространения для CRL

Для начала, необходимо удалить все точки распространения CRL , кроме локальной.

1. На вкладке Extensions в Select extension выбираем CRL Distribution Point (CDP).

2. В Specify location from which users can obtain a certificate revocation list (CRL) выбираем LDAP, и кликаем по Remove.
3. Удаляем все, кроме локальной CRL.

Так, поудаляли все ненужное, теперь пришла пора создать новые точки распространения. Заполняем все, согласно таблице ниже, единственное что, в протоколе HTTP заменяем на имя своего внешнего домена. Также желательно www заменять на crl, чтобы не делать алиас www на контроллере домена. Итак, таблица:
List of CRL Distribution Points for CorporateRootCA

Access protocol	CRL distribution point
[local]	C:\WINDOWS\system32\CertSrv\CertEnroll\%3%8%9.crl
HTTP	http://www.contoso.com/pki/%3%8%9.crl
LDAP	Ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10

Путь [local] должен указывать текущий каталог Windows

Чтобы добавить точки распространения, необходимо нажать кнопку Add, и скопировать пути из таблицы.
После того, как пути введены, надо расставить птички из таблицы ниже:

Table 15 CRL Distribution Point Properties

CRL distribution point property	File	HTTP	LDAP
Publish CRLs to this location check box	Select	N/A	Clear
Include in all CRLs check box	N/A	N/A	Select
Include in CRLs check box	N/A	Clear	Select
Include in the CDP extension of issued certificates check box	N/A	Select	Select
Publish delta CRLs to this location check box	Clear	N/A	Clear

Настройка точек распространения для AIA
1. Заходим туда, куда и в предыдущем пункте, только выбираем Authority Information Access (AIA).
2. В Specify locations from which users can obtain the certificate for this CA выбрать LDAP и нажать кнопку Remove.
3. Удалить все, кроме локального пути.
4. Далее, создаем новые пути, согласно таблице, но заменяя на свои реальные имена.

List of AIA CRL Distribution Points for Contoso

Access protocol	AIA Distribution Point
[local]	D:\WINDOWS\system32\CertSrv\CertEnroll\%1_%3%4.crt
HTTP	http://www.contoso.com/pki/%1_%3%4.crt
LDAP	ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11

5. Далее, ставим птички в созданных точках распространения, согласно таблице:

AIA Properties

AIA property	FILE	HTTP	LDAP
Include in the AIA extension of issued certificates check box	N/A	Select	Select
Include in the online certificate status protocol (OCSP) extension check box	N/A	Clear	Clear

Проверка правильности настройки CorporateRootCA CRL и AIA
Поскольку конфигурация точек распространения CRL и AIA очень важна, проверьте свою конфигурацию, сделав одно из следующие действия:

certutil –getreg ca\CRLPublicationURLs
certutil –getreg ca\CACertPublicationURLs

Проверяем, что вывод схож с тем, как на примере:

CACertPublicationURLs REG_MULTI_SZ =    0: 1:D:\WINDOWS\system32\CertSrv\CertEnroll\%1_%3%4.crt    CSURL_SERVERPUBLISH -- 1    1: 2:ldap:///CN=%7,CN=AIA,CN=Public KeyServices,CN=Services,%6%11    CSURL_ADDTOCERTCDP -- 2    2: 2:http://www.contoso.com/pki/%1_%3%4.crt    CSURL_ADDTOCERTCDP -- 2

Настройка интервала рубликации CRL
После настройки точки распространения CRL, мы должны сконфигурировать интервал публикации CRL. Чтобы это сделать, надо:
1. Нажать Start, Programs, Administrative Tools, и выбрать Certification Authority.
2. В дереве консоли слева, делаем правый клик по Revoked Certificates, и выбираем Properties.
3. В секции CRL publication interval, необходимо интервал, и выбрать единицу измерения времени. В моем случае это 2 недели.
4. В пункте Publish Delta CRLs установить значение. Я для себя выбрал 5 дней.

Переиздание CorporateRootCA CRL
В консоли Certification Authority делаем правый клик по Revoked Certificates и в меню All Tasks нажимаем Publish. В открывшемся окне выбираем New CRL. Новый CRL опубликован.
Также можно опубликовать CRL с командной строки, надо ввести

certutil -CRL

Вот. Теперь наш Enterprise CA базово настроен и готов для работы. Дальше я опишу настройку прав пользователей, бэкап и восстановление, а также групповые политики для автоэнролмента сертификатов.

Установка Enterprise CA на Windows Server 2008 R2

Итак, мы имеем установленный и настроенный корневой центр сертификации. Теперь надо настроить подчиненный центр сертификации. Делать мы это будем не на контроллере домена, а на другой машине с установленной Windows Server 2008 R2 Enterprise и введенной в домен. Для этого в настройках корневого центра сертификации мы ставили crl вместо www, чтобы когда в сети появится веб-сервер, запросы шли на центр сертификации.

Перед тем, как что-то делать, надо сохранить сертификаты корневого СА на нашем будущем Enterprise CA. Заходим на сервер администратором, добавляем группу Enterprise Admins в локальные админы сервера, после чего заходим как Enterprise Admin. Итак, копируем с папки C:\WINDOWS\system32\certsrv\CertEnroll файлы с расширениями *.crl *.crt на наш центр сертификации, к примеру, в d:\certs. Далее, заходим на наш центр сертификации, открываем командную строку от администратора, и пришем:
cd d:\certs
certutil -addstore -f Root RootCACertificateFile.crt
certutil -addstore -f Root RootCACRLFile.crl
где RootCACertificateFile и RootCACRLFileимя файла сертификата и crl.
Теперь необходимо опубликовать сертификаты в AD:
certutil -dspublish -f RootCACertificateFile.crt RootCA
certutil -dspublish -f rootca.crl
(Если при выполнении последней команды Вам выдаст ошибку о том, что CRL невозможно опубликовать из-за того, что Вы не правильно ввели имя домена, то надо будет ввести на корневом центре сертификации такую команду:
certutil.exe –setreg ca\DSConfigDN CN=Configuration,DC=concorp,DC=contoso,DC=com
и перевыдать CRL. Проверено, так как сам наступил на эти грабли :))

Вот теперь точно приступаем к установке.
Для начала необходимо сделать файл c:\windows\CAPolicy.inf:

[Version]
Signature="$Windows NT$"

[PolicyStatementExtension]
Policies=BubnilaCPS

[BubnilaCPS ]
NOTICE=Horns And Hooves Team CPS
URL=http://crl.bubnila.org/CPS/CPStatement.asp

renewalkeylength=2048
RenewalValidityPeriodUnits=5
RenewalValidityPeriod=years

CRLPeriod=7
CRLPeriodUnits=days
CRLOverlapPeriod=4
CRLOverlapUnits=hours
CRLDeltaPeriod=24
CRLDeltaPeriodUnits=hours

[CRLDistributionPoint]
Empty=True

[AuthorityInformationAccess]
Empty=True

Теперь можно приступать к установке.
1. Проверяем, что сервер введен в домен.
2. Проверяем корректность даты и времени.
3. Жмем Start, Administrative Tools, и кликаем Server Manager.
4. В секции Roles Summary, жмем Add Roles.
5. На странице Before You Begin, выбираем Skip This Page By Default, и жмем Next.
6. На странице Select Server Roles, выбираем Active Directory Certificate Services, жмем Next.
7. На странице Introduction To Active Directory Certificate Services жмем Next.
8. На странице Role Services, выбиваем Certification Authority, далее выбираем Certification Authority Web Enrollment.
9. В окне Add Roles Wizard, которое предлагает поставить Web Server (IIS) role,
нажимаем Add Required Role Services.
10. На странице Select Role Services жмем Next.
11. В Specify Setup Type выбираем Enterprise, и нажимаем Next.
12. В Specify CA Type выбираем Subordinate CA, нажимаем Next.
13. В окне Private Key нажимаем Create A New Private Key, нажимаем Next.
14. В Configure Cryptography For CA, выбиваем следующее, и жмем Next.
❑ Select a cryptographic service provider (CSP): RSA#Microsoft Software Key
Storage Provider
❑ Key character length: 2048
❑ Select the hash algorithm for signing certificates issued by this CA: sha256 (если корневой центр сертификации настроен под Windows 2003/2000, то надо выбрать sha1)
15. На странице Configure CA Name, вводим следующую информацию и жмем Next.
❑ Common name for this CA: Bubnila Enterprise CA (у каждого свое)
❑ Distinguished name suffix: DC=HornsAndHooves,DC=com
16. На странице Request Certificate From A Parent CA, выбираем Save a Certificate Request To File And Manually Send It Later To A Parent CA, подтверждаем имя по умолчанию, и жмем Next.
17. На странице Configure Certificate Database, вводим следующую информацию, и жмем Next:
❑ Certificate database: D:\CertDB
❑ Certificate database log: D:\CertLog
(Согласно M$ Best Practicies, эти папки должны находиться на разных физических дисках, но так как это все на виртуалке, то особой разницы нет...)
18. На странице Web Server (IIS) жмем Next.
19. В Select Role Services принимаем предложенный вариант установки и жмем Next.
20. После проверки правильности введенной информации на странице Confirm Installation Selections смело жмем Install.
21. На странице Installation Results, мы видим, что установка не завершена, так как сартификат данного сервера еще не подписан. Короче, жмем Close.
22. Открываем диск C:\.
23. Копируем FABINCCA03.fabrikam.com_Fabrikam Corporate Issuing CA.req (на самом деле, у Вас он будет называться по другому) на флешку, или по сети на root CA.

Следующие действия будем делать на RootCA:

1. Вставляем флешку в RootCA, или забираем файл по сети.
2. Из Start menu, Administrative Tools, заходим в Certification Authority.
3. В дереве консоли, right-click по Fabrikam Corporate Policy CA, выбираем All Tasks, после чего выбираем Submit New Request.
4. В диалоговом окне Open Request File, в File Name box, выбираем диск D:\, на котором выбираем файо FABINCCA03.fabrikam.com_Fabrikam Corporate Policy CA.req, и жмем Open.
5. В дереве консоли, разкрываем BubnilaRootCA, и кликаем Pending
Requests.
6. В правой панели, right-click по запросу, выбираем All Tasks, и выбираем
Export Binary Data.
7. В диалоговом окне Export Binary Data, в Columns That Contain Binary Data
необходимо выбрать из выпадающего списка Binary Request, и нажать OK.
8. Проверяем правильность запроса на сертификата:
❑ Verify that the subject name is Fabrikam Corporate Issuing CA.
Subject:
CN=Fabrikam Corporate Issuing CA
O=Fabrikam Inc.
C=US
❑ Ensure that public key length is 2048 bits.
Public Key Length: 2048 bits
❑ Ensure that the basic constraints indicate Subject Type=CA.
Basic Constraints
Subject type=CA
❑ Verify that the Signature Algorithm is SHA256RSA.
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
❑ Verify that the signature matches the public key.
Signature matches Public Key
9. Закрываем окно.
10. В правой части окна, right-click по ожидающему SubCA сертификату, выбираем All Tasks, и кликаем Issue.
11. В дереве консоли, кликаем Issued Certificates.
12. В правой части окна, double-click по выданному сертификату.
13. В диалоговом окне Certificate, выбираем вкладку Details.
14. На вкладке Details, жмем Copy To File.
15. В Certificate Export Wizard, жмем Next.
16. На странице Export File Format, кликаем Cryptographic Message Syntax Standard—
PKCS #7 Certificates (.P7B), выбираем чекбокс Include All Certificates In The Certification Path If Possible, и жмем Next.
17. На странице File To Export, в поле File Name пишем D:\issuingca.p7b, и жмем Next.
18. На странице Completing The Certificate Export Wizard жмем Finish.
19. В Certificate Export Wizard жмем OK.
20. В окне Certificate, жмем OK.
21. Закрываем консоль Certification Authority.
22. Копируем файл для переноса на флешку, или прямо на EnterpriseCA по сети.

Теперь, когда мы получили экспортированный сертификат, надо завершить установку нашего Enterprise CA, внедрив сертификат. Для этого надо:

1. Скопировать на сервер файл PKCS#7.
2. Из меню Start, click Administrative Tools, и click Certification Authority.
3. В дереве консоли, right-click Bubnila Issuing CA, выбрать All Tasks, и click Install CA Certificate.
4. В окне Select File To Complete CA Installation, в строке File Name, вводим
С:\issuingca.p7b, и click Open.
5. В дереве консоли, right-click Fabrikam Corporate Issuing CA, выбираем All Tasks, и click Start Service.

После того, как сервис запустился, установку можно считать законченой. Теперь можно переходить к настройке. Но это уже будет в следующей части.

Изменение имен дисков в Hyper-V или Windows 2008 Core

Всем привет. Как-то у нас на сервере Hyper-V надобыло поменять именование дисков, тоесть, чтобы 2 раздела на физическом диске шли подряд, C: D: E: а не C: E: D:.

Итак, первое, что надо сделать - удалить точку монтирования, то есть букву дисков:
mountvol d: /d
mountvol e: /d

В том, чтобы приаттачить диски обратно нам поможет Diskpart . Итак,
diskpart >
> list disk # -> disk0 465 GB
disk1 465 GB

> select disk0 #
>list partition # partition 1 Primary 100MB
partition 2 Primary 39GB
partition 3 Primary 426GB
>select partition=3
>assign letter=D


> select disk1 #
>select partition=1
>assign letter=E
>exit

Activating Windows Core Server 2008

Для активации Windows Core Server 2008 надо ввести в командной строке

slmgr /ato

Настройка центров сертификации root ca на Windows Server 2003. Part 2

Всем привет. Итак, я продолжаю описывать настройку корневого центра сертификации.У Вас есть установленный корневой центр сертификации, как описано в предыдущей статье.

Проверка Сертификата Root CA

В командной строке вводим:

certutil –ca.cert corporateRootCA.cer

В ответ получаем хеш. Чтобы проверить сертификат в читабельном виде, вводим

certutil.exe corporateRootCA.cer

Здесь надо проверить, что срок жизни сертификата 10 лет (у Вас будет свое содержимое):

Signature Algorithm:Algorithm ObjectId: 1.2.840.113549.1.1.5  sha1RSAIssuer:  CN=CorporateRootCANotBefore: 6/5/2002 7:47 PMNotAfter: 6/5/2012 7:54 PMSubject:  CN=CorporateRootCA

Проверка конфигурационной информации CorporateRootCA
В командной строке вводим:

certutil –cainfo

И проверяем тип СА. Результат должен быть схожим с выводом:

CA type: 3 -- Stand-alone Root CAENUM_STANDALONE_ROOTCA -- 3

Проверяем пути

certutil –getreg

ConfigurationDirectory   REG_SZ =  \\concorp-ca-00\CertConfigDBDirectory              REG_SZ =  C:\WINDOWS\system32\CertLogDBLogDirectory           REG_SZ =  C:\WINDOWS\system32\CertLogDBSystemDirectory        REG_SZ =  C:\WINDOWS\system32\CertLogDBTempDirectory          REG_SZ =  C:\WINDOWS\system32\CertLog

Так, с проверкой закончили, теперь можно приступить к настройке.

Настройка Offline Root CA


Так как данный компьютер не входит в домен и не может автоматически публиковать CRL листы, то для него надо прописать прописать ключ в реестре:

certutil.exe –setreg ca\DSConfigDN CN=Configuration,DC=concorp,DC=contoso,DC=com

где DC=concorp,DC=contoso,DC=com имя вашего корневого домена леса AD. В моем случае это было DC=HornsAndHooves,DC=com. Эти настройки необходимы для CRLs и CA сертификатов (AIA), которые опубликованы в Active Directory.

Настройка точек распространения для CRL и AIA

certutil -getreg ca\CRLPublicationURLs

CRLPublicationURLs REG_MULTI_SZ =    0: 65:C:\WINDOWS\system32\CertSrv\CertEnroll\%3%8%9.crl    CSURL_SERVERPUBLISH -- 1    CSURL_SERVERPUBLISHDELTA -- 40 (64)     1: 79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10    CSURL_SERVERPUBLISH -- 1    CSURL_ADDTOCERTCDP -- 2    CSURL_ADDTOFRESHESTCRL -- 4    CSURL_ADDTOCRLCDP -- 8    CSURL_SERVERPUBLISHDELTA -- 40 (64)     2: 6:http://%1/CertEnroll/%3%8%9.crl    CSURL_ADDTOCERTCDP -- 2    CSURL_ADDTOFRESHESTCRL -- 4     3: 0:file://\\%1\CertEnroll\%3%8%9.crl

Теперь нам необходимо сконфигурировать правильные пути размещения CRL и AIA. Итак,
1. Нажимаем Start, All Programs, Administrative Tools, и выбираем Certification Authority.
2. Выбираем наш центр сертификации, кликаем по нему правой мышью, и выбираем Properties.

3. Заходим на вкладку Extensions.

Настройка точек распространения для CRL

Для начала, необходимо удалить все точки распространения CRL , кроме локальной.

1. На вкладке Extensions в Select extension выбираем CRL Distribution Point (CDP).

2. В Specify location from which users can obtain a certificate revocation list (CRL) выбираем LDAP, и кликаем по Remove.
3. Удаляем все, кроме локальной CRL.

Так, поудаляли все ненужное, теперь пришла пора создать новые точки распространения. Заполняем все, согласно таблице ниже, единственное что, в протоколе HTTP заменяем на имя своего внешнего домена. Также желательно www заменять на crl, чтобы не делать алиас www на контроллере домена. Итак, таблица:
List of CRL Distribution Points for CorporateRootCA

Access protocol	CRL distribution point
[local]	C:\WINDOWS\system32\CertSrv\CertEnroll\%3%8%9.crl
HTTP	http://www.contoso.com/pki/%3%8%9.crl
LDAP	Ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10

Путь [local] должен указывать текущий каталог Windows

Чтобы добавить точки распространения, необходимо нажать кнопку Add, и скопировать пути из таблицы.
После того, как пути введены, надо расставить птички из таблицы ниже:

Table 15 CRL Distribution Point Properties

CRL distribution point property	File	HTTP	LDAP
Publish CRLs to this location check box	Select	N/A	Clear
Include in all CRLs check box	N/A	N/A	Select
Include in CRLs check box	N/A	Clear	Select
Include in the CDP extension of issued certificates check box	N/A	Select	Select
Publish delta CRLs to this location check box	Clear	N/A	Clear

Настройка точек распространения для AIA
1. Заходим туда, куда и в предыдущем пункте, только выбираем Authority Information Access (AIA).
2. В Specify locations from which users can obtain the certificate for this CA выбрать LDAP и нажать кнопку Remove.
3. Удалить все, кроме локального пути.
4. Далее, создаем новые пути, согласно таблице, но заменяя на свои реальные имена.

List of AIA CRL Distribution Points for Contoso

Access protocol	AIA Distribution Point
[local]	D:\WINDOWS\system32\CertSrv\CertEnroll\%1_%3%4.crt
HTTP	http://www.contoso.com/pki/%1_%3%4.crt
LDAP	ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11

5. Далее, ставим птички в созданных точках распространения, согласно таблице:

AIA Properties

AIA property	FILE	HTTP	LDAP
Include in the AIA extension of issued certificates check box	N/A	Select	Select
Include in the online certificate status protocol (OCSP) extension check box	N/A	Clear	Clear

Проверка правильности настройки CorporateRootCA CRL и AIA
Поскольку конфигурация точек распространения CRL и AIA очень важна, проверьте свою конфигурацию, сделав одно из следующих действий:

If your CA is running	Do this
A member of the Windows 2000 Server family	At a command prompt, type the following commands, pressing ENTER after each line: certutil –getreg policy\RevocationCRLURL certutil –getreg policy\LDAPRevocationCRLURL certutil –getreg policy\FileRevocationCRLURL
A member of the Windows 2003 Server family	At a command prompt, type the following command, and press ENTER: certutil –getreg ca\CRLPublicationURLs

Далее сверяем вывод с тем, что мы ввели в предыдущем разделе.

Если все правильно, то продолжаем:

If your CA is running	Do this
A member of the Windows 2000 Server family	At a command prompt, type the following commands, pressing ENTER after each line: certutil –getreg policy\IssuerCertURL certutil –getreg policy\LDAPIssuerCertURL certutil –getreg policy\FileIssuerCertURL
A member of the Windows 2003 Server family	At a command prompt, type the following commands, pressing ENTER after each line: certutil –getreg ca\CACertPublicationURLs

Проверяем, что вывод схож с тем, как на примере:

CACertPublicationURLs REG_MULTI_SZ =    0: 1:D:\WINDOWS\system32\CertSrv\CertEnroll\%1_%3%4.crt    CSURL_SERVERPUBLISH -- 1    1: 2:ldap:///CN=%7,CN=AIA,CN=Public KeyServices,CN=Services,%6%11    CSURL_ADDTOCERTCDP -- 2    2: 2:http://www.contoso.com/pki/%1_%3%4.crt    CSURL_ADDTOCERTCDP -- 2

Настройка интервала рубликации CRL
После настройки точки распространения CRL, мы должны сконфигурировать интервал публикации CRL. Чтобы это сделать, надо:
1. Нажать Start, Programs, Administrative Tools, и выбрать Certification Authority.
2. В дереве консоли слева, делаем правый клик по Revoked Certificates, и выбираем Properties.
3. В секции CRL publication interval, необходимо интервал, и выбрать единицу измерения времени. В моем случае это 6 месяцев.
4. Проверить, что напротив пункта Publish Delta CRLs не стоит птичка.

Переиздание CorporateRootCA CRL
В консоли Certification Authority делаем правый клик по Revoked Certificates и в меню All Tasks нажимаем Publish. В открывшемся окне выбираем New CRL. Новый CRL опубликован.
Также можно опубликовать CRL с командной строки, надо ввести

certutil -CRL

Вот

Установка Radius на Windows Server 2003

Всем привет. Итак, мы двигаемся к тому, чтобы всю инфраструктуру безопасно опубликовать в Инете. Для этого, из соображений безопасности, нам необходима система аутентификации, которая не будет напрямую связана с AD. Для этого нам подойдет Radius. Чтобы попусту не тратить и без того ценные ресурсы физического сервера, делаем простую виртуалочку с 512 метрами памяти, туда ставим 2003 Винду, сразу на нее одеваем 2й сервис пак, после чего ставим средства интеграции Hyper-V.
После того как средства интеграции проставлены, вводим машину в домен и приступаем у к установке Radius. Для этого заходим в Control Panel, там заходим в Add\Remove Programs, потом во вкладку Add\Remove Windows Components.
В окне Windows Components Wizard выбираем Networking Service и жмем Details.
В диалоговом окне Network Services выбираем Internet Authentication Services и жмем OK. Далее Next и Finish.
Далее нам необходимо зарегистрировать наш сервер. Для этого в командной строке надо ввести:

netsh ras add registeredserver

Далее неплохо бы настроить правильно логирование. Для этого создаем папку в удобном для Вас месте, например, D:\Radius_Logs.
Заходим в Control Panel, Administrative Tools, Internet Authentication Service.
Там в левой секции находим Remote Access Logging , и в правой секции выбираем Local File. На вкладке Settings проставляем все птички, а на вкладке Log File нажимаем кнопку Browse... и выбираем нашу папку D:\Radius_Logs.

Так, сервер установлен. Всю дальнейшую настройку будем делать потом.

Настройка второго Domain Controller на Windows Core Server 2008 R2

Всем большой привет. Во-первых, хочу всех поздравить с наступившими Новогодними и Рождественскими праздниками. Пускай всегда успех и удача будет с Вами.
Хочу сейчас описать настройку второго контроллера домена на Windows Core Server 2008 R2. Почему я выбрал именно Core? Из-за того, что наша тестовая инфраструктура развернута на Hyper-V, то есть для экономии и без того ценных ресурсов. Тем более, что для реплики контроллера домена много ресурсов и не надо...
Итак. Для начала у нас должна быть уже развернута инфраструктура Active Directory, т.е. должен быть первый Контроллер Домена. Далее, при его установке, желательно, сохранить в файл сведения для установки домена в режиме unattend. Просто этот файл нам понадобится на Core Server. Для того, чтобы мне поднять реплику домена, мне пришлось на тестовой машине делать dcpromo и выгружать данные в файл...
Давайте назовем наш домен, к примеру, HornsAndHooves.com. Именование компьютеров будет ks-* для серверов, и k-* для клиентов. Наш первый домен контроллер называется ks-dc1, второй будет ks-dc2 соответственно.
Итак, приступим.  Для начала надо поставить систему. Для этого вполне подойдет Windows Core Server 2008 R2 Standard Edition. Итак, поставили. Далее в командной строке пишем

sconfig

В открывшемся меню настроиваем Имя компа (меню 2), принадлежность к домену (1), далее настраиваем Remote Management (4), обязательно необходимо включить удаленный рабочий стол (7), установить правильную дату и время (9), ну и, конечно-же, настроить статический сетевой адрес (8).

Теперь необходимо создать текстовый файл примерно следующего содержания:

; DCPROMO unattend file (automatically generated by dcpromo)
; Usage:
;   dcpromo.exe /unattend:C:\ks-dc2.txt
;
; You may need to fill in password fields prior to using the unattend file.
; If you leave the values for "Password" and/or "DNSDelegationPassword"
; as "*", then you will be asked for credentials at runtime.
;
[DCInstall]
; Replica DC promotion
ReplicaOrNewDomain=Replica
ReplicaDomainDNSName=HornsAndHooves.com
SiteName=Default-First-Site-Name
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
UserDomain=HornsAndHooves.com
UserName=hahs\administrator
Password=*
DatabasePath="C:\hahs\NTDS"
LogPath="C:\hahs\NTDS_Logs"
SYSVOLPath="C:\hahs\SYSVOL"
; Set SafeModeAdminPassword to the correct value prior to using the unattend file
SafeModeAdminPassword=password
; Run-time flags (optional)
; CriticalReplicationOnly=Yes
; RebootOnCompletion=Yes

Назовем этот файл ks-dc2.txt и положим его на диск c: будущей реплики контроллера домена.
Что обозначают эти команды можно почитать тут
После того, как файл лежит на серваке, то можно дать следующую команду:

dcpromo.exe /unattend:C:\ks-dc2.txt

Система попросит ввести пароль администратора домена. После того, как все будет установлено, сервер перезагрузиться сам. После перезагрузки сервер будет работать как второй контроллер домена с Global Catalog и DNS сервером.

Установка центров сертификации root ca Windows 2000 Server и Windows Server 2003 Part 1.

Всем большой привет. Пишу сегодня последние сообщение в старом году. Короче, сижу на работе 31.12... А дома - жена и сын. Вот и убиваю предпраздничное время в полупустом офисе.
Хочу описать настройку и установку корневого офлайн центра сертификации. За основание написания данного поста были взять материалы курса М2823, и эта статья на сайте M$.
Сначала я это проставил на 2003 винде, но потом, чисто из любопытства начал делать на 2000. Результат почти тот же.

Для начала будем ставить Stand-alone Offline Root CA.
Так как это счастье будет работать на 2003 сервере, то после установки винды ее не мешало бы обновить до SP2. (Скачать можно тут). Когда будем настраивать на 2000, то она должна быть уже с SP4. Далле, чтобы проставить драйвера на сеть, видео, и автомап мыши, делаем из консоли Hyper-V Action - Insert Integration Services Setup Disk, и в нашей гостевой системе ставятся необходимые дрова. После перезагрузки можно приступать к установке нашего цетра сертификации.
1. Для этого надо создать файл CAPolicy.inf следующего содержания, и положить его в %Systemroot% (Что и как значит в этом файле читаем в статье CAPolicy.inf Syntax):

[Version]
Signature= "$Windows NT$"

[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=10
CRLPeriodUnits=26
CRLPeriod=weeks
CRLDeltaPeriodUnits=0
CRLDeltaPeriod=days

[CRLDistributionPoint]
Empty=True

[AuthorityInformationAccess]
Empty=True

Оговорюсь сразу: у меня не сработал буфер обмена между клиентом и виртуалкой... Выход я нашел следующий - файл, который необходимо пробросить внутрь виртуалки я конвертировал в ISO и подключал как компакт-диск.

2. Для начала установки заходим в Установку и Удаление программ, Компоненты Винды, там выбираем следующие компоненты:

IIS
Certificate Services
Internet Explorer
(Optional) Certificate Services Web enrollment support
(Optional) Internet Information Services for Web enrollment support

Далее просто копирую из статьи из сайта M$

3.In the Windows Components Wizard, select the Certificate Services check box, and then click Next.

4.In CA Type, click Stand-alone root CA, select the Use custom settings to generate the key pair and CA certificate check box, and then click Next.

5. Click Microsoft Strong Cryptographic Provider.

6.In Hash algorithm, click the default hash algorithm, SHA-1.

7.In Key length, click 4096.

8.Confirm that both the Allow this CSP to interact with the desktop check box and the Use an existing key check boxes are cleared, and then click Next.

9.On CA Identifying Information, in Common name for this CA, type a name that will identify the CA to you. In this example, use CorporateRootCA.

10.(Optional) In Distinguished name suffix, type DC=concorp,DC=contoso,DC=com.

В этом месте нужно указать реальный адрес, доступный из интернета
(Для Windows 2000 поле CA Name, оно идет первым в списке)

11.In Validity period, select 10 years.

12.In Certificate database and Certificate database log, enter the locations of the certificate database and the log files for the certificate database.
The certificate database and the certificate database log must be saved to a local NTFS hard disk.
Впринципе, можно оставить по умолчанию, так как предлагает система.

13.(Optional) To install a CA in the same location as a previously installed CA, select the Preserve existing certificate database check box.
Мы этого не делаем, так как у нас нет ни подписанного сертификата какой-либо другой конторой, и не было другого центра сертификации. Потому пропускаем.

14.Select the Store configuration information in a shared folder check box and, in Shared folder, enter a local pathname as the name for the shared folder, such as C:\CAConfig, and then click Next.

Теперь, мы имеем установленный корневой центр сертификации. Чтобы проверить, правильно ли мы все сделали, надо зайти в консоль Certification Authority раздела Administration Панели Управления. В открывшейся консоли кликаем правой машью по нашему центру сертификации и выбираем Properties. На вкладке General написано имя центра сертификации и его описание, а нажав по кнопку View Certificate можно просмотреть сертификат самого центра сертификации.
Вот. Центр сертификации установлен и в следующий раз я постараюсь написать, как проверить правильность настройки нашего корневого Центра Сертификации и поднять Enterprise CA на Windows Server 2008 R2 Enterprise.

Пользуясь случаем, хочу искренне поздравить всех с Новым 2010 годом и наступающим Рождеством Христовым. Удачи всем в новом году.

Настройка RSAT на Windows 7 для подключения к Windows Server 2008 R2 Hyper-V

Всем привет. У нас для тестовых и учебных нужд развернули Hyper-V. Благо железяка позволяет.
Так вот. Для поднятия корневого центра сертификации (и утилизации старой лицензии 2000 Сервера) надо поставить 2000 Сервер. Проблема в том, что при подключению к Hyper-V по RDP я не могу подключить мышь внутрь виртуалки с 2000. Тут-то на выручку и пришел RSAT для Windows 7. Но не без проблем.
Я не претендую на то, что мои действия это истинна в последней инстанции. Просто я описываю свои действия.
0. Идем на эту страницу и скачиваем RSAT, после чего его ставим, следуя инструкциям на сайте M$.
1. На своей локальной машине создаю пользователя с таким же именем и паролем, как и на серваке Hyper-V.
2. (Временное решение). Отключаю на серваке файервол для внутренней сети.
3. На локальной машине в консоли пишу:
а. DCOMCNFG
б. Прохожу к: “Component Services > Computers > My Computer”.
в. Открываю свойства “My Computer” в выбираю вкладку COM Security.
г. В секции “Access Permissions” нажимаю кнопку “Edit Limits”.
д. Выбираю группу “Anonymous Logon” и ставлю птичку напротив“Remote Access” в поле Allowed.
4. Далее чтобы не заходить под другим пользователем, в командной строке пишем:
runas /user:root mmc, где root - имя пользователя, от которого Вы будете загружать mmc консоль и подключаться к серваку.
5. В пустой консоли делаем File - Add\Remove Snap-in, из списка слева выбирам Hyper-V Manager, нажимаем кнопку Add и Ok.
6. В открывшейся консоли делаем Action - Connect to Server, и в открывшемся окне пишем адрес или имя сервера.
7. Работаем...

Вот такой небольшой рецепт.
Буду рад любым отзывам и комментам

Небольшое изменение приоритетов

Всем большой привет. За последнее время у меня произошло много разных изменений, одна из них - катастрофическая нехватка времени... Думаю, что знакомо всем... В последнее время у меня почти нет времени заниматься Линухами, а на работе требуют Винды... Вот, сижу на курсах по безопасности Виндов, и пишу эти строки.
Короче, в связи с очень ограниченным временем и задачами руководства, буду много времени приделять Виндам. Но, также, буду публиковать то, что у меня будет получаться. Вот такие дела.

До скорого...