CZ 

www.SAMURAJ-cz.com 

05.11.2024 Miriam VÍTEJTE V MÉM SVĚTĚ

Statistiky

Stránky si od jejich vzniku zobrazilo již 9 784 652 návštěvníků. Během dneška 1,566. Právě tu je 83 hostů.

Veeam Backup & Replication - Managed Hardened Repository

Tento článek se věnuje Veeam Hardened Repository. Tedy úložišti, které podporuje neměnnost (Immutability). Je postavené na serveru s operačním systémem Linux a úložným prostorem. Prakticky popíšeme zprovoznění Managed Hardened Repository a jeho využití pro ukládání záloh. To znamená, že pro instalaci použijeme Veeam Hardened Repository ISO. Pro zjednodušení (jde o testování) využijeme virtuální stroj v prostředí VMware.

Veeam Backup & Replication - Immutable Repository a bezpečné zálohy

Bezpečné uložení záloh je dnes klíčové. Je důležité zajistit, aby naše zálohy nebyly smazány nebo poškozeny. Prozkoumáme možnosti neměnných záloh (Immutable Backups). Potřebujeme systém pro ukládání dat (Storage System), který podporuje Immutability. Může to být cloudová služba, HW zařízení nebo software (třeba Linux server fungující jako Hardened Repository). Ve Veeam z něj vytvoříme úložiště záloh (Backup Repository) s aktivovanou neměnností (Immutability).

Obnovení členství v AD skupinách bez odhlášení či restartu

Když pracujeme na počítači pod doménovým účtem a přistupujeme ke zdrojům v síti, kde jsou oprávnění řízena pomocí bezpečnostních skupin. Pokud je náš účet zařazen do nové skupiny (abychom získali nový přístup), tak se změna projeví až po restartu počítače nebo odhlášení a přihlášení uživatele. V případě Kerberos autentizace (ne NTLM) můžeme vyvolat nové získání ticketů (příkazem klist), které obsahují aktuální členství ve skupinách. Za určitých podmínek tak rovnou získáme přístup daný novou skupinou. Nejprve se v článku podíváme na zobrazení seznamu skupin, kterých je aktuální uživatel členem.

Veeam ONE - upgrade na verzi 12.2

Stručný popis in-place upgradu Veeam ONE 12 na verzi 12.2. Celý proces je jednoduchý a bezproblémový. Podobně by měl probíhat i na jiné verze.

Jak na Group Managed Service Accounts (gMSA)

Jak lépe a bezpečněji řešit servisní účty pro běh služeb nebo naplánovaných úloh v prostředí Microsoft Active Directory domény. Již dlouho máme k dispozici spravované servisní účty. Managed Service Accounts byly přidány s Windows Server 2008 R2. Pomáhají řešit identity služeb s vyšším zabezpečením a snižují režii na správu. Administrátor se nemusí starat o hesla, protože bezpečnou správu hesel k účtům zajišťuje operační systém Windows. Slouží k neinteraktivnímu běhu aplikací, služeb, procesů či úloh, které potřebují bezpečnou identitu (credential).

Veeam Backup & Replication 12 - Backup Copy Job a Seeding

Ve Veeam Backup & Replication 12 došlo k úpravě způsobu ukládání souborů záloh. Primárně se využívá Per-Machine Backup with Separate Metadata Files. Také se dost změnil Backup Copy Job. V článku se podíváme na nové fungování Backup Copy Job. A prakticky popíšeme kopírování záloh do vzdálené lokality, kdy jsou data velká a kompletní přenos po WAN síti by trval příliš dlouho. Využijeme Seeding a data (úvodní Full Backup) přeneseme offline na externím USB disku. Po té kopírovací úlohu namapujeme na přenesená data.

Veeam Backup & Replication - zálohování Oracle Database

Podíváme se na zálohování Oracle databází pomocí Veeam Plug-in for Oracle RMAN. Popíšeme si novější možnost (od VBR verze 12), kdy je zálohování ovládáno z Veeam Backup & Replication Server. Tedy centrálně jako běžné typy záloh. Jde o řízený režim (Managed Mode) Veeam Plug-inu. Pro nasazení a správu plug-inů (stejně jako agentů) se využívají Protection Groups.

ExtremeCloud IQ - konfigurace AP a WLAN

Podíváme se na využití cloudové správy ExtremeCloud IQ pro základní konfiguraci bezdrátového bodu Extreme Networks Access Point. Věnovat se budeme aktualizaci verze operačního systému APčka. Práci s přihlašovacími údaji. Konfiguraci základních vlastností a vytvoření bezdrátové sítě (WLAN) s SSID pomocí síťové politiky (Network Policy). Zmíníme metody pro nasazení politiky na zařízení.

Extreme Networks Access Point AP305 a ExtremeCloud IQ

Malé seznámení s firmou Extreme Networks a jejich přístupovým bodem AP305 pro bezdrátové sítě (Wi-Fi). Popíšeme si vytvoření účtu (registraci) v cloudové správě ExtremeCloud IQ. Do tohoto managementu připojíme nový Access Point AP305c.

Výměna SAML certifikátu pro Entra ID Enterprise Application

Máme situaci, kdy pro nějakou aplikaci, zde si ukážeme pro SSL VPN na Fortinet FortiGate, využíváme autentizaci uživatelů z Microsoft Entra ID pomocí SAML 2.0. Když jsme nastavovali SAML Single sign-on v rámci Enterprise Application, tak se vygeneroval self-signed certifikát s platností 3 roky. Ten se používá pro komunikaci mezi aplikací a Entra ID. Popíšeme si postup obnovy (výměny) certifikátu, když končí jeho platnost.

Nejčtenější články

TCP/IP - adresy, masky, subnety a výpočty

Sedmá část seriálu o počítačových sítích je již více zajímavá a přináší praktické informace. Na začátku je popis základních termínů pro sítě a podsítě, IP adresy a masky. Dále se probírají různé síťové třídy a způsoby zápisu subnetů. Druhá část se věnuje praktickým výpočtům síťových rozsahů, masek sítí, počtu hostů a subnetů.
11.08.2008 | | - Samuraj | sítě | 2 356 131x | Komentáře [82]

Řádkové příkazy Windows

Měl jsem v plánu sepsat na jedno místo různé užitečné příkazy pro Windows spolu s velmi stručným popisem a příkladem běžného použití. Nějaký základ jsem dal dohromady, ale chtěl jsem to rozšířit a opravit, jenže plynou měsíce a nic, tak to zveřejňuji v nepříliš hotovém stavu. Najdete zde příkazy pro použití v rámci domény, ale i lokální záležitosti. Většinou se jedná o příkazy používané z příkazové řádky, které jsou součástí Windows. Některé jsou však ze Support Tools nebo Windows Resource Kits. Uvítám v komentářích vaše připomínky a doplnění.
05.11.2012 | | - Samuraj | Microsoft admin | 556 776x | Komentáře [98]

VLAN - Virtual Local Area Network

Osmá část seriálu o počítačových sítích. VLAN neboli virtuální lokální síť je v dnešní době běžná technologie, která přináší řadu výhod. Myslím, že všechny střední a větší firmy technologii VLAN používá a i pro malé firmy může být zajímavá. VLANy slouží k logickému členění sítě bez vazby na členění fyzické. V článku se pokouším popsat vše potřebné k pochopení toho, co to VLAN je, jaké jsou výhody a způsoby nasazení.
02.06.2007 | | - Samuraj | sítě | 251 714x | Komentáře [79]

TCP/IP - Routing - směrování

V jedenácté části seriálu o počítačových sítích se věnuji routingu, tedy směrování v sítích. Je zde stručný popis, vysvětlení termínů a pak jsou velmi stručně popsány některé běžnější routovací metody (RIP, IGRP, EIGRP a OSPF) včetně dělení těchto metod. U metod je ukázka základní konfigurace na Ciscu. Článek není zdaleka vyčerpávající a popis je často bodový. V závěru je zmíněno routování na Windows.
| - Samuraj | sítě | 193 017x | Komentáře [23]

Azure AD / Entra ID identity a autentizace

Články související s identitou uživatelů a zařízení (nejen) v Microsoft Entra ID. Různé možnosti přihlašování a ověřování. Oblasti jako moderní autentizace, vícefaktorová autentizace, přihlašování bez hesla, apod. Často jde o využití FIDO Authentication, třeba za pomoci FIDO2 security key nebo Windows Hello for Business.
(článků v sérii: 14)

Cisco IOS

Velký seriál o operačním systému aktivních prvků firmy Cisco. Obsahuje jedny z nejčtenějších článků na tomto webu. Články popisují konfiguraci switchů a routerů, primárně s Cisco IOS. Věci ohledně portů, VLAN, STP, ACL, QoS, apod.
(článků v sérii: 46)

Computer Storage

Ukládání dat je v počítačovém světě rozsáhlá a komplexní problematika. Zde se nachází články, které se věnují sítím Storage Area Network (SAN), technologiím iSCSI, Fibre Channel, diskovým polím (Storage System, Disk Srray) i obecně ukládání dat a úložištím.
(článků v sérii: 22)

Fortinet FortiGate a další

Bezpečnostní řešení firmy Fortinet. Nejvíce zaměřeno na Next Generation Firewall (NGFW) FortiGate. Konfigurace FW, politik, NATu, ale také VPN a možností autentizace. Okrajově práce s logy pomocí FortiAnalyzer a s klienty pomocí FortiClient EMS.
(článků v sérii: 24)

Kerberos protokol se zaměřením na SSO v AD DS

Nový seriál, který se podrobně věnuje protokolu Kerberos V5, hlavně v prostředí Microsoft Active Directory. Popisuje i řadu souvisejících věcí, které jsou potřeba pro pochopení fungování Kerberos Single Sign-On (SSO).
(článků v sérii: 14)

Microsoft Exchange

Skoro od začátku mé praxe se věnuji administraci poštovního serveru od firmy Microsoft, tedy Exchange Serveru. Začínal jsem na verzi 2003 a dostal se až k Exchange Online. Články popisují mnoho oblastí správy. Nejvíce od migrace na Exchange Server 2016 a jeho kompletní konfiguraci. Ale také Exchange Hybrid a bezpečnost elektronické pošty.
(článků v sérii: 53)

Počítačové sítě - Computer networks

Tento seriál se věnuje základům počítačových sítí. Jsou zde stručně popsány důležité praktické aspekty, které by měl znát každý, kdo se o sítě zajímá. Obsahuje jedny z nejčtenějších článků na tomto webu. Je využíváno pro výuku na školách.
(článků v sérii: 28)

Veeam Backup & Replication

Články, které se věnují zálohovacímu řešení společnosti Veeam Software. Jde o platformu pro zálohování (Backup), replikaci (Replication) a obnovu (Restore) dat. Jinak řečeno řešení pro ochranu dat (Data Protection) a obnovu po havárii (Disaster Recovery).
(článků v sérii: 17)

Základy počítačových sítí

Tento seriál jsem napsal pro časopis Connect. Většinu informací obsahuje shodně jako můj starší seriál Počítačové sítě - Computer networks, ale je napsán trochu jiným způsobem. Nejprve jsou stručně shrnuty technologie počítačových sítí a pak se trochu podrobněji probírají od nejnižších vrstev nahoru.
(článků v sérii: 4)
Poslední komentáře
  1. Perfektní článek. Ještě jsem slyšel o možnosti "čištění" SMB session pro uživatele pomocí restartu služby Workstation (v CZ Pracovní stanice). Nicméně funkčnost jsem reálně nezkoušel.

  2. Perfektní článek. Ještě jsem (g)MSA nezačal rutinně používat a už tu máme ve W2025 novinku dMSA (Delegated Managed Service Accounts) :-)

  3. ;-) petre vy jste drak

  4. [8] Toto je zajímavá informace a možná jsem narazil na to samé. Používáme spoustu on-prem skupin a někteří uživatelé jsou členem třeba 80. Řešil jsem již problémy s Kerberos SSO www.samuraj-cz.com/clanek/kerberos-autentizace-a-clenstvi-ve-skupinach/.

    Replikaci do Entra ID jsme dělali postupně. Až jsme si řekli, že tam dáme vše a v tu chvíli přestalo několika lidem fungovat přihlášení do VPN. Napadla mne hned souvislost s počtem skupin, tak jsem nedůležité vyřadil z replikace a přihlášení zase fungovalo.

    Dále jsem nepátral. A řekl bych, že 150 skupin jsme nedosáhli. Ale s počtem skupin to bude souviset.

  5. Super clanek, stale aktualni, diky. Funguje to 99% OK, momentalne resim to 1% :))) jednoho uzivatele (forticlient v.7.4.0.1658), ktery ma problem, v SAML response AD posila misto jednotlivych skupin proste "groups.link" (s odkazem na microsoft graph)...

    Nasel jsem

    Notes:

    If the number of groups the user is in goes over a limit (150 for SAML, 200 for JWT) then an overage claim will be added the claim sources pointing at the Graph endpoint containing the list of groups for the user.

    zdroj: (https://learn.microsoft.com/en-us/entra/identity-platform/reference-saml-tokens)

    ale muj uzivatel zda se nepresahuje 150 skupin... takze resim dal...

  6. Wow! Your Part 1 and Part 2 articles on RC4 are superb! They contain all of the details, information, and reference links that I need in order to eradicate RC4 from my environments.Thank you, thank you, thank you!

  7. Velmi děkuji autorovi tohoto článku za podrobné popsání principů dle mého názoru nejpokročilejší bezpečné autorizace a popisu toho jak se užívá v praxi za použití různých zařízení používaných k autentifikaci a autorizaci. Jsem rád že vývoj těchto technologií podle mého názoru konečně dospěl tak daleko, že lze důvěřovat tvrzení některých institucí užívajících tuto technologii o tom, že je komunikace s nimi zabezpečená na nejvyšší úrovni. Chtěl bych používat externí hardware klíč s passkeys. Bohužel mi není známo které naše banky tuto novou technologii už podporují. Zatím se bohužel většinou užívají jen mobilní bankovní aplikace, které privátní klíče ukládají v zašifrované podobě přímo v mobilu. Už to je veliký pokrok, ale mobily jsou zařízení které jsou nejčastěji ze všech věcí člověku ukradená nebo je někde nejsnáze ztratí protože je stále nosí se sebou. Pokud někdo zná identitu původního vlastníka mobilu a dostane se k jeho otiskům prstů a úspěšně je použije k odemknutí telefonu což není tak těžké tak se dostane ke všemu. Mobil s face id je dobře zabezpečený, takže jej nikdo cizí nemůže snadno zneužít, ale pokud je vlastníku ukraden tak mu to pořádně zkomplikuje život. Všechny banky by proto měly co nejvíce podporovat a propagovat hw keys s touto novou technologii a ne obecně tvrdit že pouze mobily bez externího hw klíče jsou pro pro mobilní bankovnictví to nejlepší. A přitom banky ani pořádně nevysvětlují jak moderní technologie funguje.