How to force Winrm to listen interfaces over HTTPS

Windows Remote Management (WinRM) is a protocol for Windows operating systems which is implemented as a web service and is used for secure remote management of systems. Following actions depends on WinRM configuration;

  • Windows Remote Shell command line tool
  • Winrs
  • Event Forwarding
  • Windows PowerShell 2.0 Remoting

WinRM service starts automatically on Windows Server 2008 but by default no listener for WinRM is configured. That means no WS-Management protocol message can be received or sent.

Default ports for WinRM 2.0 are;

HTTP: 5985

HTTPS: 5986

For those who are interested in PowerShell scripting, PowerShell remoting is a great and helpful feature which comes with 2.0 version. PsRemoting provides to execute powershell scripts on remote computers over WinRM protocol. Even you are in your local PowerShell console, you can run any scripts and these will be executed on remote computers. And each remote connection resides in a session that you can manage separately.

But be aware of that if you want to get some actions on a operating system that uses WinRM, you must configure  required prerequirements. In this blog post we’ll cover how to configure WinRM to work over HTTPS. So that for example you can execute your powershell scripts on remote computers over HTTPS with certificate based authentication. This will also help you to configure mutual authentication between untrusted computers that uses WinRM for communication.

For basic configuration, simply run WinRM qc(quickconfig) command.

image

This is a shortcut to configure winrm to work over http. Running this command takes following actions;

  • Creating a WinRM listener on HTTP://* for local networks.
  • Enabling firewall exceptions for WinRM

After you configure with QuickConfig command you can enumerate listener status;

image

As you see above, it listens over HTTP and for all network interfaces. But what we want is to configure HTTPS communication.

HTTPS communication requires certificate based authentication. For Windows Remote Management, each computer that will be managed with WinRM must have a Server Authentication certificate.

Most important point is that certificate must have a subject name same with computer netbios name(workgroup) or FQDN(domain joined). You can use Web Server Template in your certificate templates store. My suggestion is just duplicate your web server certificate and configure it as its private key exportable.

Now let’s request a certificate from local Certification Authority step by step.

image

Type your local CA URL in your browser and click Request a certificate.

image

Click  advanced certificate request.

image

image

Choose your custom Server Authentication template and fill up the fields.

Don’t forget to set Name field same as your computer name. If it’s a domain joined computer, type your fully qualified domain name. Otherwise netbios name will be enough.

image

When you click Install Certificate on your browser, certificate will be sent to Current User account store. We should export it with private key and then import to the computer account store again.

image
professional writing

image

image

image

image

image

image

image

Check your certificate Subject name if it matches with your computer name.

image

To configure WinRM over HTTPS we need Server Authentication certificate thumbprint.

Just open your certificate that you import earlier and note thumbprint details.

image

Now we can run following winrm command to create winrm listener and configure it to work with previously created certificate.

winrm create winrm/config/Listener?Address=*+Transport=HTTPS  @{Hostname=”serverfqdn”;CertificateThumbprint=”1fd53031caf98df226428069ccfdf3152b6ddc2b”}

image

Check for the ResourceCreated output.

Now lets enumerate listener again;

image

As you see above, listener sends and receives messages over HTTPS.

From now on, WinRM connections will be active.

If you try to start Remote PowerShell session between two computer that uses certificate based WinRM, you will notice that it opens and listens connections over port 5986.

image

image

As I mentioned before this method also can be used between a domain joined computer and workgroup computer. And please note that, If you don’t configure required authentication method, WinrM first tries to communicate over Kerberos.

765qwerty765

RDP İstemcilerinin karşılaştırılması

4sysops’dan Michael Pietroforte 6 farklı free RDP istemci yazılımını incelemiş ve arasındaki farklılıkları güzel bir liste şeklinde yayınlamış.
İncelenen istemci yazılımları:

RD Tabs 2.0.8
mRemote 0.0.8.0
RoayalTS 1.3.2
Vissionapp Remote Desktop v1.5 (vRD)
Terminals 1.6
Remote Desktop Manager 3.0.0.1

Bu inceleme sırasında ise genel anlamda aşağıdaki özellikler karşılaştırılmış. (more…)

ClusDiag – Exchange Server 2003 cluster diagnostics

Exchange Server için cluster ,gerçekten emek isteyen bir kurulumdur.Fakat kurulumu yaptıktan sonrada kurulumun ne kadar sağlıklı çalıştığını kontrol etmemiz gerekli.
ClusDiag işte bu amaçla hazırlanmış bir araç.Grafiksel arabirimi ile online cluster ları ve log dosyalarını yönetebiliriz.Toplanan tüm loglar bizim için harmanlanıp clusdiag tarafından sunulur.Aşağıdaki adresten aracı edinebiliriz.
http://download.microsoft.com/download/c/6/9/c694db38-a977-4231-afd8-86f6b931ee4f/clusdiag.msi
ClusDiag’ı yükleyebileceğimiz platformlar:
* Windows 2000 Professional
* Windows 2000 Server
* Windows 2000 Advanced Server
* Windows 2000 Datacenter Server
* Windows XP Professional
* Windows Server 2003, Web Edition
* Windows Server 2003, Standard Edition
* Windows Server 2003, Enterprise Edition
* Windows Server 2003, Datacenter Edition

Cluster’ları izleyebileceğimiz platformlar:

* Windows 2000 Advanced Server
* Windows 2000 Datacenter Server
* Windows Server 2003, Enterprise Edition
* Windows Server 2003, Datacenter Edition

Aşağıda iki ekran görüntüsünü görebiliriz.

ONLINE OFFLINE MODE EKRANI
cluster1.gif

LOG DOSYALARININ YÜKLENMESİ
cluster2.gif

Group Policy ile Internet Explorer Home Page ayarı

Daha önce kullanmadım ama kullanılabilinir bir özellik.
Organizasyonumuzdaki kullanıcıların IE açılış sayfalarını Group Policy aracılığı ile değiştirebiliriz Bunun için inmemiz gerekn dizin:

User Configuration -> Windows Settings -> Internet Explorer Maintenance -> URLS

Burada Important URL’s e tıkladığımızda açılan pencerede giriş sayfası,arama sayfası ve online destek sayfasını ayarlayabiliriz.
Aşağıdaki resimdede Türkçe bir windows server 2003 üzerindeki yeri görünüyor.

gp-homepage.PNG

Event ID 2042 Replikasyon hatasi

İki dc arasında replikasyonun kesildiğini farkettiğinizde hata kodlarını incelerken aşağıdaki hatayla karşılaşabilirsiniz.

Hatanın tam metni:
It has been too long since this machine last replicated with the
named source machine. The time between replications with this source
has exceeded the tombstone lifetime. Replication has been stopped
with this source.
The reason that replication is not allowed to continue is that
the two machine’s views of deleted objects may now be different.
The source machine may still have copies of objects that have
been deleted (and garbage collected) on this machine. If they
were allowed to replicate, the source machine might return
objects which have already been deleted.
Time of last successful replication:
2005-01-21 07:16:03
Invocation ID of source:
0397f6c8-f6b8-0397-0100-000000000000
Name of source:
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Tombstone lifetime (days):
60

The replication operation has failed.

Bunun genel anlamda sebebi kaynak domain ile hedef domain arasındaki silinmiş öğelerin farklı olması nedeniyle replikasyonun kesilmesidir.
Bu durumda bu silinmiş öğeleri kaldırarak replikasyonu yeniden başlatırız.İlk önce repadmin /showrepl ile repliksyonun hangi DC ile kesildiğinden emin oluruz.Ardından yine repadmin aracını aşağıdaki parametrelerle kullanırız:

repadmin /removelingeringobjects domain_controller.example.com A0AE6093-15F5-4DB8-836B-4495E3A15396 dc=example,dc=com /advisory_mode

Buradaki domain_controller.example.com silinmiş öğeleri barındıran domain’dir.
A0AE6093-15F5-4DB8-836B-4495E3A15396 ise kaynak domaindir.Bu GUİD numarasına ulaşmak için repadmin /showrepl /v name of the authoritative server komutunu kullanırız.DC object GUID değeri bizim aradığımız değerdir.Silinmiş öğeleri kaldırmayı başardıysak aşağıdaki uyarı gelir.

RemoveLingeringObjects successful on domain_controller_name.domain_name.com

Eğer acil olarak replikasyona başlamamız gerekli ise registry üzerindeki birkaç değişiklikle bunu sağlayabiliriz.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters
dizini altına Allow Replication With Divergent and Corrupt Partner DWORD anahtarını oluşturup değerini 1 verdikten sonra Active Directory Sites and Services ‘den replikasyonu yenidan başlattığımızda sorunun çözüldüğünü görebiliriz.

Active Directory Explorer v1.0

http://www.microsoft.com/technet/sysinternals/utilities/adexplorer.mspx adresinden indirebileceğimiz AD aracı ile active directory veritabanında gezinebilir,objeleri kolaylıkla görüntüleyebilir,belirli aramaları kaydedip sonradan tekrar kullanabiliriz.
Ayrıca bu araçla ad veritabanının bir fotoğrafını çekip sonrasında offline olarak görüntüleyebiliriz.

Daha fazla bilgi ve yükleme için yukarıdaki adres işimizi görecektir.

SBS(Small Business Server) ile neler yapa-ma-yiz?

SBS ile neler yapa-ma-yız?

75 kullanıcıdan fazla kullanıcıya hizmet veremeyiz.
Root Dc dışındaki bir rol ile çalıştıramayız.
Diğer domainlerle Trust işlemine sokamayız.
Birlikte gelen ürünleri(exchange,isa vb.) farklı donanımlara kuramayız.
Active Directory kurmadan çalışamayız.
SBS’yi additional dc olarak kuramayız.
Terminal Serverları Aplication mode’da çalıştıramayız.
Standart editionda Sql çalıştıramayız.(Tümleşik gelmez)
Standart editionda Isa çalıştıramayız.(Tümleşik gelmez)
Standart editionda Front Page çalıştıramayız.(Tümleşik gelmez)

Unutulan Administrator Sifresinin resetlenmesi

Adminisrator şifresini unuttuğumuz takdirde bilgisayarımızın lokal hesabına hiçbir şekilde giriş yapamayız.Bunun önüne en kolay şekilde geçmek için işletim sistemini yeniden kurabiliriz.Fakat bu mantıklı bir çözüm gibi gözükmüyor.İkinci bir çözüm ise system state yedeğinden geri dönmemiz olabilir.Fakat bu durumdada Active directory’de yedeklemeden sonra oluşturulan tüm objeler yokolucaktır.O zaman karşımıza üçüncü bir yöntem olarak unutulan administrator şifresini recovery etmek için kullanabileceğimiz araçlar çıkar.

Bu yolu seçtiysek birden fazla alternatifimiz olduğunu söyleyebiliriz.Bu tip araçlar genellikle boot işlemi gerçekleştikten sonra registry üzerinde ilgili değerleri değiştirerek administrator şifresini resetlememizi sağlarlar.Bu araçlara (more…)