Сброс сертификата Ipsec

Скрипт проверяет доступность внешних интерфейсов удалённой площадки, и если они доступны проверяет внутренние адреса удалённой сети.
При необходимости сбрасывает установленные SA.

##############
# Flush SA script for RouterOS
# Arthur 25.01.2013
##############
 
:local Target Sklad
:local IPWatchServerExt1 8.x.x.8
:local IPWatchServerExt2 8.x.x.4
:local IPWatchServerInt1 10.x.x.1
:local IPWatchServerInt2 10.x.x.2
#######
:local StatusRemote1 [/ping $IPWatchServerExt1 count=3]
:local StatusRemote2 [/ping $IPWatchServerExt2 count=3]
#######
:if (($StatusRemote1=0) && ($StatusRemote1=0)) do={
:log info "Connection to $Target lost!!!"
} else={
:log info "Connection to $Target is OK!!!"
:local StatusIpsecT1 [/ping $IPWatchServerInt1 count=3]
:local StatusIpsecT2 [/ping $IPWatchServerInt2 count=3]
:if (($StatusIpsecT1=0) && ($StatusIpsecT2=0)) do={
:log info "IPSEC tunnel with $Target is down: Flushing Installed SA !!!"
/ip ipsec installed-sa flush sa-type=all
} else={
  :log info "IPSEC tunnel with $Target is OK !"
}}

Замена строки во всех файлах текущей директории

Задача: заменить строку(ip-адрес, например) во всех файлах текущей директории. Полезно при изменении конфигов named, apache и т.п.

192.168.0.50 — что ищем,
8.8.8.8 — на что заменяем.

grep -l 192.168.0.50 * | xargs perl -p -i -e 's/192.168.0.50/8.8.8.8/g'

Ошибка FQDN при установке vCenter 5.1 Single Sign On

При установке vCenter 5.1 Single Sign On появляется ошибка «The Fully Qualified Domain Name could not be resolved...». В первую очередь в соответствии с документацией было проверено наличие корректных прямых и обратных (PTR) DNS записей — но ошибка всё равно возникает.

Читать запись полность. »

Автоматическое переключение IPSEC-VPN туннелей на MikroTik

Оборудование Mikrotik отлично подходит для организации филиальной VPN-сети. В центре ставим что-нибудь мощное из 1000-ой или 1100-ой серии (они, кстати, имеют на борту модуль аппаратного шифрования), а в регионы RB750 и выше.
Настройка IPSEC-VPN не представляет никакой сложности после ознакомления с документацией, при этом следует внимательно отнестись к выбору алгоритмов аутентификации и шифрования исходя из требуемого уровня безопасности и производительности. На мой взгляд, оптимальным является auth: md5 с enc:aes-256. Читать запись полность. »

Уведомление пользователей по email о необходимости сменить доменный пароль

Баян конечно страшный и способов реализации гораздо больше чем «много», но а тут моя компиляция-модификация 🙂

Копирайты и ссылки оставляю, так что всё честно.

Работает элементарно просто: из AD отбираются учётные записи пользователей со сроком окончания действия пароля 1, 3, 5 и 7 дней, после чего им отсылаются письма с напоминанием о необходимости сменить пароль.

Читать запись полность. »

Лимитирование дневного трафика и уведомление на почту о превышении

До перехода на замечательные WiFi точки доступа UniFi с центральным контроллером, имелось некоторое количество условно-открытых отдельных AP предоставляющих доступ исключительно в Интернет через MikroTik. Спустя некоторое время после запуска этих AP было замечено их непрофильное использование некоторыми пользователями, а именно торренты, видео-хостинги и прочий тяжёлый контент, запрещённый в корпоративной сети. Т.к. в данном случае фильтры и жёсткие ограничения устанавливать было нельзя, пришлось удовлетвориться:

— ограничением ширины канала до каждой AP
— установкой дневного лимита входящего трафика, после которого скорость на AP сильно ограничивается (до выяснения обстоятельств) и отсылается уведомление администраторам по email

Читать запись полность. »

Принцип эволюции серверных систем

Все мы любим делать проекты с чёткими условиями и целями, но в реальности хорошо если не в процессе реализации проекта меняются цели и масштабы, то в перспективе такое случается практически всегда. В растущем бизнесе наиболее типичной ситуацией является взрывной рост числа сотрудников в отдельно взятом офисе/предприятии. Как же обеспечить минимальное время недоступности ИТ-сервисов, лёгкость масштабирования и минимальные начальные вложения?

Читать запись полность. »

Автоматическое добавление новых пользователей в MS Lync

Скрипт на PowerShell для автоматического добавления новых пользователей в MS Lync с одновременным подключением RCC.

Выполняется шедулером раз в сутки ночью.

Читать запись полность. »

Обеспечение отказоустойчивости службы DHCP в Windows Server 2008 R2

Как известно, Microsoft так и не включила функции по обеспечению отказоустойчивости службы DHCP в релиз Windows Server 2008 R2, а сделала это только сейчас в Windows Server 2012. Поэтому для Windows Server 2008 R2 были рекомендованы 3 схемы:

1. Разделение областей (split scopes);
2. Развёртывание службы DHCP поверх кластера MS;
3. Резервный сервер (холодный резерв).

В каждой конкретной ситуации может быть оправдан любой из способов, мы же немного дополним третий вариант.

Читать запись полность. »

Интеграция MS Lync 2010 c АТС Panasonic TDE

Не так давно мы начали внедрение MS Lync в качестве корпоративного мессенджера, и конечно сразу захотелось дополнительных фишек Lync вроде интеграции с телефонией в части presence и dial-in конференций. Если с конференциями всё относительно просто реализуется через шлюз (мы использовали Audiocodes MSBG 800), то способ интеграции Lync c Panasonic TDE в части Remote Call Control (через CTI интерфейс) пришлось поискать.

Читать запись полность. »