Vadim's KB

Возможные проблемы, возникающие после замены сертификатов в VMware vSphere 6.0

25. октября 2015 koba (0)

After replacing the vCenter Server certificates in VMware vSphere 6.0, the ESX Agent Manager solution user fails to log in
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2112577

After replacing the VMware vCenter Server certificates in VMware vSphere 6.0, the VMware vSphere Auto Deploy solution user fails to log in (2123631)
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2123631

В логе сервиса AutoDeploy после обновления сертификатов может появиться другая ошибка: "No such file or directory: 'C:\\ProgramData\\VMware\\vCenterServer\\data\\autodeploy\\ssl\\crl.pem'". Для ее устранения следует скопировать файл "C:\ProgramData\VMware\vCenterServer\data\vmca\vmca.crl" в каталог "C:\ProgramData\VMware\vCenterServer\data\autodeploy\ssl" и переименовать в "crl.pem".

Встроенная учетная запись администратора в HP MSA P2000 G3

15. октября 2015 koba (0)
В СХД HP MSA P2000 G3 имеется встроенная скрытая учетная запись, обладающая правами доступа наравне с manage. Учетная запись не отображается в веб-интерфейсе.
Учетная запись admin, пароль по умолчанию "!admin".
Сменить пароль можно только через CLI:
set password admin

Перемещение служб Terminal Services (Remote Desktop) Gateway в сайт IIS, отличный от Default Web Site

15. октября 2015 koba (0)
Необходимо произвести следующие действия:
  1. Создать новый сайт, настроить на нем привязку на нужный IP, порт 443 и указать SSL-сертификат.
  2. В сайте создать 2 новых приложения (Application) с именами "Rpc" и "RpcWithCert". При создании приложений указать в качестве каталога размещения каталог "%windir%\System32\RpcProxy".
  3. Отредактировать файл "C:\Windows\System32\inetsrv\config\applicationHost.config". В файле скопировать содержимое разделов "Default Web Site/Rpc" и "Default Web Site/RpcWithCert" в соответствующие разделы нового сайта.
  4. Перезапустить службы IIS.
  5. При необходимости добавить запись в реестр сервера (потребуется перезагрузка):
reg add HKLM\Software\Microsoft\RPC\RpcProxy /v Website /t REG_SZ /d <new-web-site>

Примечание.
Открывать файл "C:\Windows\System32\inetsrv\config\applicationHost.config" в 64-битной системе необходимо также 64-битным текстовым редактором.

Смена алгоритма подписи SSL-сертификатов в Windows Server Certificate Authority

13. октября 2015 koba (0)
Необходимо заменить используемый алгоритм (Hash Algorithm) SHA-1 на SHA-256 и перевыпустить корневой сертификат CA.

1. На сервере CA выполнить команду:
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
2. Перезапустить сервис CA
3. Перевыпустить новый корневой сертификат CA (All Tasks - Renew CA Certificate)

В дальнейшем для выпуска сертификатов использовать шаблоны с минимальным уровнем CA (Minimum Supported CAs) не ниже "Windows Server 2008 Enterprise".

Отключение HSTS (HTTP Strict Transport Security) на KEMP LoadMaster

13. октября 2015 koba (0)
Когда VMware View Connection Server опубликован по протоколу HTTPS на одном доменном имени с публичным сайтом (протокол HTTP) в ряде браузеров (Chrome) происходит автоматическое перенаправление пользователя на сайт View при открытии публичного сайта (HTTP -> HTTPS). Причиной является использование механизма HTTP Strict Transport Security в VMware View Connection Server.

Решается модификацией заголовка, возвращаемого VMware View Connection Server. В KEMP LoadMaster для этого необходимо:
1. Создать правило Header Modification Rule:
Rule Type: Replace Header
Header: Strict-Transport-Security
Pattern: max-age=31536000
Replacement: max-age=0
2. Добавить правило в опубликованный HTTPS-сервис (Advanced Properties - HTTP Header Modification).