Loading...

Пусть тут повисит

aaa authentication dot1x default group radius none
dot1x system-auth-control
!
interface FastEthernet0/X
switchport mode access
dot1x port-control auto
dot1x guest-vlan XXX
spanning-tree portfast
!
radius-server host XXX.XXX.XXX.XXX auth-port 1812 acct-port 1813 key KEY

On the RADIUS-server (aka NAP) it is necessary to define following attributes for users:

Tunnel-Type [64] = VLAN
Tunnel-Medium-Type [65] = 802
Tunnel-Private-Group-Id [81] = NAME_OF_VLAN

When you configure Microsoft NAP, there is a problem with the client part of the product. In general, Microsoft NAP works on operating systems starting with Microsoft Windows XP SP3 and higher. In Windows XP SP3 has everything you need to work with NAP, except the graphical console to configure NAP functions. This console, by and large, is not necessary in a corporate network -- as all settings for the client computers are distributed centrally through Group Policy.

So, for the correct operation of NAP requires that client computers will automatically run NAP Agent service -- by default this service is disabled. Turn it on and others necessary for the NAP services through group policy is not difficult. However, if suddenly at customisation of a group policy, you accidentally or intentionally clicked on the Edit Security button, on Windows XP SP3 this operation will call failure at automatic start of NAP Agent service.

Le battement d'ailes du papillon

В жизни я ненавижу три вещи -– прищепки, киви и водопроводчиков. Лет тридцать назад я жил в одном местечке на четвертом этаже. Однажды я постирал вещи и повесил их за окном. Одна прищепка сломалась, и мои подштанники полетели вниз. Чтобы их поднять надо было поскорее спуститься, как собственно я и сделал -– там я и встретил свою жену. Мы поженились и у нас родился малыш.

Пятнадцать лет спустя мой сын увлекся мотокроссом. Он начал участвовать в соревнованиях, так вот за день до одних соревнований моя жена купила киви. Тогда еще не было моды на них –- я съел парочку. Мне стало плохо -– вызвали врача, врач сказал, что у меня аллергия на киви. На следующий день я не мог поехать с сыном –- поехала моя жена. Они попали в аварию -– сын скончался на месте, а жена выжила… Потом она всегда обвиняла меня в смерти сына. Она бросила меня, у меня началась депрессия, я потерял свою работу…

Вобщем я решил покончить со всем сразу. Десять пакетов аспирина и два антидепрессанта и со всем будет покончено. Я их все засунул в рот, пошел налить стакан воды. Я только потом узнал, что в тот день не было воды, потому что водопроводчики ремонтировали линию. И вот я, стою с полным ртом таблеток, и нет ни капли воды. Я нашел бутылку с маслом, выпил –- меня вырвало… Вобщем мне не повезло…

Le battement d'ailes du papillon -- 2000

KMS Windows 2008 R2 - problems and solutions

В далеком 2009 написал заметку по KMS, правда на английском -- бывает сам перечитываю, т.к. есть в ней нечто полезное. Посему дубль на русском:

25 августа 2009 года компания Microsoft опубликовала обновление для операционных систем Windows Server 2008 -- KB968912. Данное обновление позволяет использовать существующие KMS-хосты для активации операционных систем семейства Windows 7 и Windows 2008 R2 (предварительно, разумеется, зарегистрировав на KMS-хостах соответствующие ключи). Аналогичное обновление, под номером KB968915, было также опубликовано 11 августа для операционных систем семейства Windows Server 2003. Данный факт нам нисколько не интересен -- т.к. подходит к концу год 2009;)

Немного теории не вдаваясь в детали лицензирования. Начиная с операционных систем Windows 2008 / Vista компания Microsoft предложила два новых способа активации своих продуктов -- либо используя MAK-ключ, либо посредством KMS-серверов.
MAK-ключ это ключ который вы получаете например при покупке операционной системы в магазине -- он напечатан у вас на наклейке. Данный сценарий активации предназначен, в основном, для простых пользователей или небольших организаций.

KMS-сервер -- это компьютер под управлением операционной системы Windows 2003 / 2008 / Vista / 7 / 2008 R2, который был активирован с использованием KMS-ключа предназначенного для активации KMS-хостов. Данный сценарий предназначен для организаций -- его мы и рассмотрим. KMS-хост активирует, как не трудно догадаться, KMS-клиентов. KMS-клиенты -- это компьютеры под управлением операционной системы Windows Vista / 2008 / 7 / 2008 R2. Данные компьютеры (KMS-клиенты) не активированны и в них не введен никакой ключ -- ни MAK, ни KMS. Т.е. по умолчанию любой компьютер с только что установленной операционной системой Windows Vista / 2008 / 7 / 2008 R2 является KMS-клиентом.

Тем не менее существует деление среди KMS-ключей. Помимо KMS-ключей предназначенных для активации KMS-хостов существуют KMS-ключи для KMS-клиентов. Соответственно возникает вопрос -- для чего нужны клиентские KMS-ключи, если по умолчанию любой не активированный компьютер уже является KMS-клиентом. Данные ключи в основном используются для перевода KMS-хостов в режим KMS-клиентов. Стоит также отметить что данные ключи не активируют вашу систему. Кроме того для каждого выпуска операционных систем существуют свои ключи -- они распространяются свободно -- на всякий случай я их приведу ниже:

Windows Vista Business - YFKBB-PQJJV-G996G-VWGXY-2V3X8
Windows Vista Business N - HMBQG-8H2RH-C77VX-27R82-VMQBT
Windows Vista Enterprise - VKK3X-68KWM-X2YGT-QR4M6-4BWMV
Windows Vista Enterprise N - VTC42-BM838-43QHV-84HX6-XJXKV

Windows Server 2008 Datacenter - 7M67G-PC374-GR742-YH8V4-TCBY3
Windows Server 2008 Datacenter without Hyper-V - 22XQ2-VRXRG-P8D42-K34TD-G3QQC
Windows Server 2008 for Itanium-Based Systems - 4DWFP-JF3DJ-B7DTH-78FJB-PDRHK
Windows Server 2008 Enterprise - YQGMW-MPWTJ-34KDK-48M3W-X4Q6V
Windows Server 2008 Enterprise without Hyper-V - 39BXF-X8Q23-P2WWT-38T2F-G3FPG
Windows Server 2008 Standard - TM24T-X9RMF-VWXK6-X8JC9-BFGM2
Windows Server 2008 Standard without Hyper-V - W7VD6-7JFBR-RX26B-YKQ3Y-6FFFJ
Windows Web Server 2008 - WYR28-R7TFJ-3X2YQ-YCY4H-M249D

Windows 7 Professional - FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4
Windows 7 Professional N - MRPKT-YTG23-K7D7T-X2JMM-QY7MG
Windows 7 Enterprise - 33PXH-7Y6KF-2VJC9-XBBR8-HVTHH
Windows 7 Enterprise N - YDRBP-3D83W-TY26F-D46B2-XCKRJ
Windows 7 Enterprise E - C29WB-22CC8-VJ326-GHFJW-H9DH4

Windows Server 2008 R2 HPC Edition - FKJQ8-TMCVP-FRMR7-4WR42-3JCD7
Windows Server 2008 R2 Datacenter - 74YFP-3QFB3-KQT8W-PMXWJ-7M648
Windows Server 2008 R2 Enterprise - 489J6-VHDMP-X63PK-3K798-CPX3Y
Windows Server 2008 R2 for Itanium-Based Systems - GT63C-RJFQ3-4GMB6-BRFB9-CB83V
Windows Server 2008 R2 Standard - YC6KT-GKW9T-YTKYR-T4X34-R7VHC
Windows Web Server 2008 R2 - 6TPJF-RBVHG-WBW2R-86QPH-6RTM4

Windows 8 Professional - NG4HW-VH26C-733KW-K6F98-J8CK4
Windows 8 Enterprise - 32JNW-9KQ84-P47T8-D8GGY-CWCK7
Windows Server 2012 Core - BN3D2-R7TKB-3YPBD-8DRP2-27GG4
Windows Server 2012 Server Standard Full\Core - XC9B7-NBPP2-83J2H-RHMBY-92BT4
Windows Server 2012 Datacenter Full\Core - 48HP8-DN98B-MYWDG-T2DCC-8W83P

Windows 8.1 Professional - GCRJD-8NW9H-F2CDX-CCM8D-9D6T9
Windows 8.1 Enterprise - MHF9N-XY6XB-WVXMC-BTDCT-MKKG7
Windows Server 2012 R2 Server Standard - D2N9P-3P6X9-2R39C-7RTCD-MDVJX
Windows Server 2012 R2 Datacenter - W3GGN-FT8W3-Y4M27-J84CP-Q3VJ9

Перевести KMS-хост в режим KMS-клиента и активировать его на определенном KMS-хосте можно следующим образом (запустив cmd от имени администратора):

slmgr /ipk YQGMW-MPWTJ-34KDK-48M3W-X4Q6V
slmgr /skms srv-kms-01.london.local:1688
slmgr /ato

Помимо этого KMS-ключи для хостов делятся на классы A, B и C -- по выпускам операционных систем, которые можно активировать данными ключами.

При регистрации в корпоративной сети KMS-хоста в DNS создается SRV-запись указывающая KMS-клиентам куда обращаться за активацией.

Стоит также отметить, что для начала активации KMS-хостом серверов и рабочих станций необходимо, чтобы было достигнуто определенное пороговое значение обращений к данному KMS-хосту -- для начала активации серверов это 5 обращений, для начала активации клиентских операционных систем (Vista / 7) это 25 обращений.

На этом с теорией можно закончить;) Так вот -- 25 августа 2009 года, сразу же после выхода обновления позволяющего существующим в корпоративной сети KMS-хостам на базе операционной системы Windows 2008 Server активировать сервера Windows 2008 Server R2 было принято решение немедленно внедрить данную функциональность.

В принципе никаких проблем на этапе внедрения возникнуть не должно -- в первую очередь необходимо установить обновление, далее ввести ключ KMS-хоста, активировать его и на этом собственно все.

Однако на практике проявилась следующая проблема -- KMS-хост с новым ключом без проблем активировал операционные системы Windows 2008 / Vista, но выдавал сообщения об ошибке при активации операционных систем Windows 2008 R2 / 7.

0x80070005 Access is denied: the requested action requires elevated privileges

Далее выяснилось, что данный KMS-хост может активировать Windows 2008 R2 клиентов, но только, если данные клиенты не в домене. Поиск в интернете по всевозможным форумам результата не дал -- похожие проблемы есть, а решения нет. На решение проблемы было потрачено порядка двух рабочих дней -- пришлось погрузится в глубокий дебаг ;)

Первым делом было выяснено, что активация KMS-клиентов слетает при вводе их в домен. Далее была установлена групповая политика, применение которой влечет за собой потерю активации. Методом исключения была найдена настройка групповой политики, приводящая к вышеописанному эффекту -- причем данная проблема появилась ТОЛЬКО у операционных систем Windows 2008 R2 / 7. Проблема заключалась в автоматическом запуске службы Plug and Play. Установив данный параметр групповой политики в значении Not Configured KMS-клиенты начинают активироваться без проблем. Вторым способом решения данной проблемы является предоставление права Read службе Network Services.