26 февруари 2010 г.

Windows не показва картина при DVD и MPEG2 файлове (независимо от вида софтуер за гледане)

Обикновено проблемите при показване на видео (независимо от използваната програма) е в зле (де)инсталирани codec файлове.

Лесен начин за решаване на проблема е да се инсталира някой от готовите пакети (K-lite codec, Vista Codecs и др.), но в някои случаи и това не помага - всички DivX/xVid файлове се гледат без проблем, всички DVD и MPEG2 нямат картина (или показват само първия кадър).

Проблема се решава с помощта на GSpot (може да се изтегли от http://gspot.headbands.com/).

От менюто System се избира List Codecs and Other Filters. В списъка лесно се различават липсващите или повредени кодеци и филтри. Натиска се десен бутон върху тях и се избира Set Filter Merit. Сваля се нивото до MERIT_DO_NOT_USE. Това ще предизвика ползването на алтернативни (работещи) кодеци и файловете отново ще се гледат нормално.

Microsoft пусна обновяване KB971033, с което да проверява на 90 дни дали Windows 7 е легален

На 16.02.2010 г. Microsoft пусна обновяване KB971033. С него се инсталира софтуер за проверка легално ли е инсталираното копие на Windows 7, като проверката ще включва повечето познати начини на прескачане на активацията - BIOS емулатори, OEM лицензи и т.н.

Обновяването може да бъде отказано (ако Windows Updates са конфигурирани на ръчен режим) и това няма да доведе до проблеми с другите обновявания. Обновяването също може да бъде деинсталирано, но това няма да помогне, ако Windows 7 е вече преминал в режим на деактивация.

Източник: http://lauren.vortex.com/archive/000681.html

OpenVPN сървър като заместител на Windows Routing and Remote Access

Има много ползи от използването на OpenVPN вместо стандартно наличните в Windows Server PPTP, IPSec и L2TP. Добра статия за предимствата на OpenVPN е написал Делян Делчев в публикацията си "Защо OpenVPN за мен е най-добрия VPN клиент?".

В тази публикация ще опиша всички стъпки за създаване на работещ VPN сървър за Windows 2003/2008 Server и необходимите настройки за отдалечените клиенти.

Целите, които трябва да бъдат постигнати са:

1. Всички клиенти (лаптопи) трябва да се свързват към офиса (корпоративната мрежа) и да получат IP адреси от адресното пространство на вътрешната мрежа. Не трябва да има разлика между достъпа на физически свързаните работни станции и тези с отдалечен достъп.

2. Всеки отдалечен клиент трябва да използва име и парола от Active Directory, т.е. да ползва обичайните си име и парола, с които се включва в мрежата ежедневно.

3. Администратора на домейна трябва да има възможност да управлява достъпа чрез VPN като включва или изключва потребителите от Active Directory група.

4. Потребителите на VPN не е задължително да бъдат локални администратори, достатъчно е да са членове на група "Users" или "Power Users".

Необходими инструменти:

1. Последното издание на OpenVPN - OpenVPN 2.1.1 или по-нов. В тази версия е избегнато ограничението потребителя да е локален администратор за да има достъп до Tap-Win32 интерфейса и GUI пакета е част от инсталацията.

2. Специален VBS скрипт, който осигурява проверката на име и парола в Active Directory - Active Directory Authentication for OpenVPN. От сайта се сваля Auth4OpenVPNv2.0.zip, който съдържа необходимите файлове.

3. Инсталиран Windows 2003 или 2008 Server (всяко издание) и конфигуриран като Active Directory Domain Controller. Конфигурацията при Windows 2000 Server е подобна, но в този случай не може да се ползва Bridging и настройката на OpenVPN става чрез Tunneling (метода не е описан в тази статия).

4. Работни станции, работещи под Windows XP, Windows Vista или Windows 7.


Подготовка на сървъра

Подробно ръководство може да се прочете от Scott Beatty в неговата публикация "A Simple OpenVPN Version 2 Installation on Windows". Описаната по-долу процедура синтезира стъпките, описани в него с известни промени.

Параметрите на сървъра са следните:

- Domain: bigbrother.local
- Domain Controller: krava.bigbrother.local
- LAN: 192.168.130.0/24 (Адреси 192.168.130.XXX с маска 255.255.255.0)
- Server IP: 192.168.130.5
- Име на TAP-Win32 адаптера: OVPN
- Gateway (router, firewall): 192.168.130.254
- WAN (Интернет): 11.22.33.44


1. На сървъра се инсталира OpenVPN. Добре е всички настройки по подразбиране да бъдат оставени. След успешна инсталация ще се инсталира нов мрежови адаптер TAP-Win32 Adapter V9.

2. Преименувайте адаптера на OVPN.

3. Ако вече има създаден Bridge е необходимо OVPN да се добави към него. Ако няма Bridge е необходимо да се създаде такъв. Това не може да стане през Remote Desktop, необходимо е да се направи от конзола на сървъра (монитор, мишка и клавиатура, свързани с него физически или KVM интерфейс).

За да създадете Bridge е необходимо първо на всички мрежови адаптери да зададете настройки "Obtain automatically" за TCP/IP. След това маркирайте Local Area Connection и OVPN (и други, ако има такива) и от контекстното меню избирете "Bridge Connections". Това ще създаде нов мрежови адаптер "Network Bridge", на който трябва да зададем TCP/IP настройките на сървъра. В примера това е IP 192.168.130.5 с маска 255.255.255.0 и Default Gateway 192.168.130.254.

4. Отворете Command prompt прозорец и отидете в папка "C:\Program Files\OpenVPN\easy-rsa". Стартирайте init-config.bat (стартира се като напишете името му в Command Prompt прозореца и натиснете ENTER).

Не затваряйте Command Prompt прозореца до края. Всички команди се пишат в него.

5. Отворете за редактиране vars.bat (например с Notepad). В него се променете стойността на KEY_SIZE на 2048. Също променете KEY_XXXXX с подходящи стойности. Ето пример за този файл:


@echo off
rem Edit this variable to point to
rem the openssl.cnf file included
rem with easy-rsa.

set HOME=%ProgramFiles%\OpenVPN\easy-rsa
set KEY_CONFIG=openssl.cnf

rem Edit this variable to point to
rem your soon-to-be-created key
rem directory.
rem
rem WARNING: clean-all will do
rem a rm -rf on this directory
rem so make sure you define
rem it correctly!
set KEY_DIR=keys

rem Increase this to 2048 if you
rem are paranoid. This will slow
rem down TLS negotiation performance
rem as well as the one-time DH parms
rem generation process.
set KEY_SIZE=2048

rem These are the default values for fields
rem which will be placed in the certificate.
rem Change these to reflect your site.
rem Don't leave any of these parms blank.

set KEY_COUNTRY=BG
set KEY_PROVINCE=SF
set KEY_CITY=Sofia
set KEY_ORG=BigBrother
set KEY_EMAIL=info@yourbigbrother.com
Запишете файла.

6. Стартирайте vars.bat от Command Prompt прозореца.

7. Стартирайте clean-all.bat.

8. Стартирайте build-ca.bat. Приемете всички стойности по подразбиране, освен на Common name, за което изберете името на компанията, следвано от "-CA" (например bigbrother-CA).

9. Изберете име за VPN сървъра (в случая bigbrother). Стартирайте файла build-key-server.bat с параметър името на VPN сървъра:

build-key-server.bat bigbrother

Когато ви се поиска "Common name" напишете избраното име на VPN сървъра (bigbrother).
За "challenge pasword" оставете непопълнено. Отговорете с "Y" на въпросите за генериране на сертификатите.

10. Определете имена за всички VPN потребители. Въпреки, че е възможно всички да ползват един и същи сертификат е препоръчително да се генерира отделен за всеки потребител. Стартирайте build-key.bat с параметър името на клиента. Направете го за всеки клиент:

build-key.bat user1
build-key.bat user2
build-key.bat user3
...

Когато ви поиска "Common name" използвайте името, използвано за параметър (user1, user2...).

ВАЖНО!
Когато генерирате ключове по този начин сертификата се разделя на две части - user.key и user.crt. Ползването на тези файлове предполага лесното им копиране на друг компютър и използването им от него. Това може да се избегне, като сертификата се импортира в Windows Certificate Store. За целта е необходимо да се създаде един сертификат от двата ключа и после той да се импортира (инсталира) за конкретния профил в Windows (без възможност за експортиране на частния ключ).

За създаване на сертификати за всички потребители се ползва командата:

openssl pkcs12 -export -in user1.crt -inkey user1.key -out user1.p12
openssl pkcs12 -export -in user2.crt -inkey user2.key -out user2.p12
openssl pkcs12 -export -in user3.crt -inkey user3.key -out user3.p12
...

Препоръчително е използването на парола за сертификата. Това ще избегне проблема с лесната инсталация за друг профил само като се копира userXXX.p12 в друг профил.

Сертификатите userXXX.p12 се инсталират от профила на съответния потребител (потребителя се включва с името и паролата си на работната станция и администратора инсталира сертификата от негово име с паролата, която е ползвал при създаването му) и са готови за ползване. Файловете userXXX.key и userXXX.crt не се копират на работната станция и трябва да се съхраняват на сигурно място.

11. Стартирайте build-dh.bat. Генерирането може да отнеме доста време (20-30 мин).

12. Изпълнете следната команда в Command Prompt прозореца:

openvpn --genkey --secret ta.key

Файлът ta.key трябва да бъде копиран в config папката на сървъра и на всички клиенти.

13. Време е да копирате необходимите файлове за работа на сървъра и всички клиенти. За сървъра необходимите файлове са:

ca.crt
bigbrother.key
bigbrother.crt
ta.key
dh2048.pem

Копирайте тези файлове от папка "C:\Program Files\OpenVPN\easy-rsa\keys" в папка "C:\Program Files\Program Files\OpenVPN\config".

14. В config папката създайте конфигурационен файл за сървъра с име bigbrother.ovpn. Ето пример за съдържането на този файл:


port 1194
proto tcp

dev tap
dev-node OVPN

ca ca.crt
cert bigbrother.crt
key bigbrother.key
dh dh2048.pem
script-security 3

auth-user-pass-verify "C:/Windows/System32/cscript.exe //H:cscript C:/Progra~1/OpenVPN/config/Auth4OpenVPN.vbs" via-env

tls-auth ta.key 0

ifconfig-pool-persist ipp.txt

server-bridge 192.168.130.5 255.255.255.0 192.168.130.100 192.168.130.110

push "route 192.168.130.0 255.255.255.0 192.168.130.254"
push "dhcp-option WINS 192.168.130.5"
push "dhcp-option DNS 192.168.130.5"
push "dhcp-option DOMAIN bigbrother.local"

client-to-client
keepalive 10 120

comp-lzo
max-clients 3
persist-key
persist-tun
status openvpn-status.log
verb 3
Някои важни параметри:

server-bridge: този параметър определя как ще се раздават IP адресите на VPN клиентите. Параметрите са следните: <маска на сървъра> <начален IP адрес на областта за VPN клиенти> <краен IP адрес на областта за VPN клиенти>

push "route": този параметър задава необходимото рутиране за VPN клиентите. Параметрите са следните: <Адрес на вътрешната мрежа> <Маска на вътрешната мрежа> <Адрес на рутер и/или firewall на вътрешната мрежа>

client-to-client: Този параметър позволява клиентите на VPN да имат видимост помежду си.

15. Следващата стъпка е да се подготви файла за оторизация на VPN клиентите спрямо Active Directory. Копирайте двата файла от Auth4OpenVPNv2.0.zip в папката "C:\Program Files\Program Files\OpenVPN\config". Необходимо е да се редактира файлът Auth4OpenVPN.ini, като се персонализират необходимите променливи:



# Auth4OpenVPN.ini
# Jose Ortega,
# 2007.
# http://amigo4life.googlepages.com/openvpn

# All parameters must be set with quotation marks (" ").

#--------------------------------------------------------------------
# Server: Specifies the host name or IP address for the Active
# Directory server.
Server = "192.168.130.5"

#--------------------------------------------------------------------
# Domain: Specifies the domain to be used when authenticating to
# access the Active Directory server.
Domain = "bigbrother"

#--------------------------------------------------------------------
# DN: Specifies the distinguished name in Active Directory under
# which the user and group objects are located. (LDAP path).
DN = "dc=bigbrother,dc=local"

#--------------------------------------------------------------------
# Group: Sets the security group in Active Directory to which
# users must be members to pass authentication.
Group = "vpnusers"

#--------------------------------------------------------------------
# When set to "ON" this setting will log successful user logins.
# Errors and Warnings are always logged. Use the Even Viewer in
# Windows to see the logs.
Logging = "On"

Тук важен параметър е "DN". За да го попълните правилно е необходимо да проверите пълното име на сървъра от Control Panel/System/Computer name. В този пример името е krava.bigbrother.local и реда става:

DN = "dc=bigbrother,dc=local"
Може да тествате дали всичко работи, като от Command Prompt в папката config стартирате:

auth4openvpn.vbs
Например: auth4openvpn.vbs user1 pass1.

Създайте нова група в Active Directory (в примера "vpnusers") и включете като членове в нея всички потребители, които трябва да имат достъп до сървъра чрез VPN.

16. Може да стартирате сървъра, като стартирате от Control Panel/Administrative Tools/Services - OpenVPN Service. Преди това е добре да промените Startup type от Manual на Automatic, за да може сървъра да се стартира автоматично след рестартиране на компютъра.

След стартирането на OpenVPN Service проверете C:\Program Files\OpenVPN\log\bigbrother.log за евентуални грешки и проблеми.

17. Настройте на Firewall-а пренасочнване на порта (в случая 1194) към сървъра.

Подготовка на клиентите (лаптопите)

1. Инсталирайте openvpn-2.1_rc15-install.exe на всички клиенти (лаптопи). Копирайте необходимите файлове за работа на всички клиенти:

ca.crt
user1.key
user1.crt
ta.key


ВНИМАНИЕ!
Ако ползвате сертификат в Windows Certificate Store файловете user1.key и user1.crt не са нужни. Вместо тях генерираният сертификат user1.p12 се инсталира от профила на потребителя, който ще го ползва.

Копирайте тези файлове от папка "C:\Program Files\OpenVPN\easy-rsa\keys" на сървъра в папка "C:\Program Files\Program Files\OpenVPN\config" на всеки клиент.

2. В config папката създайте конфигурационен файл за клиента с име user1.ovpn. Ето пример за съдържането на този файл:

client

dev tap
proto tcp
remote 11.22.33.44 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert user1.crt
key user1.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
verb 3

auth-user-pass
auth-retry interact


ВНИМАНИЕ!
Ако ползвате сертификат в Windows Certificate Store вместо
cert user1.crt
key user1.key

трябва да използвате:
cryptoapicert "THUMB:01 A2...."

Цифрите за THUMB се взимат от импортираният сертификат user.p12 (от Control Panel/Internet Options/Content/Certificates/View).

3. За да стартирате VPN връзка от потребител, който не е администратор е необходимо да промените правата върху папка "C:\Program Files\OpenVPN\log". От контекстнот меню на папката изберете Properties/Security. Там добавете потребителя или група, на която е член от Active Directory и маркирайте "Full Control".

Остава само да стартирате OpenVPN GUI, и от контекстното меню да изберете Connect. Разбира се тестовете трябва да се правят, когато клиента (лаптопа) е извън офисната мрежа. Софтуерът ще поиска име и парола и ще се включи в мрежата. Ако всичко е наред клиента ще получи IP адрес от вътрешната мрежа и ще има достъп до всички ресурси.

25 февруари 2010 г.

Пет съвета за сигурен и лесен архив на данните

  • Архивирайте редовно и достатъчно често. Записвайте архив на данните си поне веднъж месечно, а на информацията от критично значение ежеседмично или ежедневно.
  • Съхранявайте по няколко копия на архива. Никога не записвайте нов архив върху предишния - пазете няколко копия, така че да бъдете в състояние да възстановите информация от повече от една дата, ако е необходимо.
  • Архивирайте избирателно. Не е необходимо да правите пълен архив на цялата система. Защо да губите времето си да архивирате изпълними програмни файлове, когато лесно можете да ги преинсталирате от оригиналния диск в случай на проблем. Просто архивирайте работните си документи, електронна поща и други важни файлове. Архивирането на целия твърд диск отнема време и не е необходимо да се извършва всеки път.
  • Организирайте добре данните си. Архивирането е лесно, ако е налице правилна структура на папките с информация. По-бързо и лесно е да архивирате всичките си документи, ако са в една папка, отколкото ако са разхвърляни по целия диск. Когато всичките ви лични файлове са на едно място, е по-малко вероятно да пропуснете нещо, когато правите архива.
  • Обърнете се към нас за автоматизиране на вашия архив. Не е необходимо да копирате всички файлове ръчно. Случайно можете да пропуснете нещо или просто да направите грешка. Освен че отнема по-малко време, автоматизираният архив е по-надежден.