Category Archives: Windows Server

Windows 10 connected to VPN: DNS issue and solution

We use OpenVPN to connect to some resources in AWS private subnets.
It works as expected on macOS, iOS, and even on old Windows 7, but not on Windows 10.
In case of Windows 10 when you’re connected to VPN (doesn’t matter OpenVPN, L2TP or even PPTP) you will still get responses from DNS server which is set on your Ethernet (or WiFi) adapter.

block-outside-dns option for OpenVPN didn’t fix this problem and I decided to provide solution for all VPN types, so here it is:

Continue reading

Windows Defender disable with PowerShell

Windows Defender is a feature which you likely want to remove, and you can do this with PowerShell:

Write-Host "Uninstalling Windows Defender if any..."
$OSVersion = (([environment]::OSVersion.Version).Major)
$DefenderStatus = ((Get-WindowsFeature -Name "Windows-Defender-Features").Installed)

if (($OSVersion -eq '10') -and ($DefenderStatus -eq 'True')) {
    Dism.exe /online /Disable-Feature /FeatureName:Windows-Defender /Remove /NoRestart /quiet
}

I hope this info will be useful for you, and if you need any help feel free to use contact form on the main page.

Windows Server 2016 sysprep failed

Sysprep for Windows Server 2016 sysprep failed for me few times, so I want to share solution with you:

Get-AppxPackage -AllUser | Remove-AppxPackage
Stop-Service -Name "tiledatamodelsvc"
Set-Service -Name "tiledatamodelsvc" -StartupType Disabled
Set-ItemProperty -Path "registry::HKLM\SYSTEM\Setup\Status\SysprepStatus" -Name "GeneralizationState" -Value 7

I hope this info will be useful for you, and if you need any help feel free to use contact form on the main page.

Download and restore MS SQL database backup

databaseSchedulingIconIn this post I’ll show an example of simple automation task – we need to download 7z archive from SFTP, unzip it and restore the newest database automatically on a daily basics.

If we go bit deeper we’ll see a few more requirements:

  1. SFTP requires auth;
  2. 7z file is protected with password;
  3. We need to test every important step;
  4. We need to add permissions to a database;
  5. We can shrink transaction log to save some space;
  6. We we need to log every important step to EventLog;
  7. We want to get a nice report with time measures;

It’s clear now, so let’s get down to prerequisites.

Continue reading

Windows Server Core: Remote management

management128-brightВ предыдущей статье я рассказал про установку Windows Server Core, теперь о том, как управлять серверами развернутыми в core. Сервера, с которых будет выполнятся администрирование будем называть source, а сервера которые будем администрировать – target.

Target и source могут входить как в домен, так и в рабочую группу. Source может быть рабочим ПК администратора и работать под управлением Windows 7/8/8.1/10 с установленным пакетом RSAT соответствующей версии.

Continue reading

Hyper-V backups with PowerShell

backup_iconНередко встречаются случаи, когда в организации используется один или несколько хостов под управлением Hyper-V, на которых расположены виртуальные машины с “инфраструктурой” и “бизнес-приложениями” (в кавычках, потому что граница между ними достаточно размыта).
В таком случае разумно выполнять резервное копирование виртуальных машин (расписание для “инфраструктурных” и “бизнесовых” обычно разное), резервное копирование конфигурации хостов и резервное копирования баз SQL сервера.
Резервное копирование в таких случаях чаще всего выполняется на USB диск или сетевую шару. Неплохо держать на UBS или локальном диске резервную копию “на подхвате”, а на сетевой шаре хранить бэкап на случай если что-то случится с основной площадкой.
Для таких задач использование “тяжелых” систем резервного копирования вроде SC DPM, Symantec, Acronis очевидно излишне.
Поэтому я решил написать несколько скриптов, которые будут создавать резервные копии, удалять старые и отправлять отчеты на электронную почту с шифрованием.
Continue reading

Настройка AppLocker

unnamedКогда в очередной раз, начинаются разговоры про информационную безопасность, начинаться они могу с host hardening.

Microsoft достаточно активно рекламировала AppLocker как простую и эффективную технологию.

С одной стороны это так, работа с AppLocker достаточно проста, но с другой стороны, организационная подготовка и оперативное обслуживание могут быть фактически невыполнимыми для многих компаний.

Думаю вы уже догадались что после согласования списка ПО (с руководителями отделов и т.п.) разумно будет сделать эталонные машины, создать политики на них и применить к рабочим станциям.

Подробнее о подготовке  можете почитать в моей статье “Информационная безопасность“. В этой статье остановимся на технической стороне вопроса.

Continue reading

Group Managed Service Accounts в Windows Server

ManagedServicesСитуации, когда службы и приложения во всей компании работают от имени одной учётной записи с паролём Qwerty123, который, к тому же, знают все эникейщики “на всякий случай”, к сожалению, встречаются до сих пор.

А ведь Managed Service Accounts (MSA) впервые были представлены в Windows Server 2008R2, а в 2012 получили логическое развитие “превратившись” в Group Managed Service Accounts (gMSA) и стали уже в действительно годными для применения.

MSA, кстати, были переименованы в sMSA – Standalone Manager Service Accounts.

MSA/gMSA нужны для технической реализации принципа использования минимально необходимых прав, формально говоря.

Преимущества MSA/gMSA :

  • Надёжный пароль из 120 знаков;
  • Пароль не известен никому;
  • Пароль автоматически меняется по расписанию (по-умолчанию раз в 30 дней);
  • Смена пароля “подхватывается” приложениями которые используют gMSA автоматически;

Continue reading