S小魚仔S Outlook 郵件標頭分析 (Message Header Analyzer)

微軟提供「Remote Connectivity Analyzer」，分析「郵件標頭」(Message Header Analyzer)。

點選 Outlook「郵件」=>「檔案」

點選「內容」

複製「網際網路標題」

將內容「貼上」Message Analyzer

接著就會自動幫您分析「郵件標頭」

參考資料

「Testconnectivity.microsoft.com」-「Remote Connectivity Analyzer」

S小魚仔S 停止轉送不需要 Windows Event Log 送往 Splunk Log Server

因客戶端「Splunk Log Server」 收集過多「Windows Event Log」造成「Splunk Log Server」流量不足，修改「inputs.conf」檔案，減少不必要「Windows Event ID」送往「Splunk Log Server」。
PS 
「C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\default\inputs.conf」
「C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\local\inputs.conf」

首先我們必須要搞清楚「Splunk for Forwarder Agent」運作機制。

「inputs.conf」在「default」和「local」資料夾都有，執行優先權為「local」>「default」，所以我們只需要編輯「local\inputs.conf」即可，設定前還是需要看一下「default\inputs.conf」。

檢查「default\inputs.conf」不做設定

「WinEventLog://Security」(Windows 安全性 Log)
「disabled=1」表示「LOG不轉送」
「blacklist1 =EventCode="4662".....」表示不轉送「Windows Event ID=4462」，這一行語法就是我們需要的。
「index = wineventlog」，預設安裝「Splunk for warder agent」就會自動帶上「索引值」。

接下來設定「local\inputs.conf」

我們會看到「disabled = 0」表示「LOG 執行轉送」，在「WinEventLog://Security」(Windows 安全性 Log)，下行貼上「blacklist3 =EventCode="4662"」，就可以停止轉送「Windows Event ID=4462」。
PS
「local\inputs.conf」設定檔 與「default\inputs.conf」設定檔「blacklist」編號「不能重複」。

注意「default\inputs.conf」與「local\inputs.conf」會合併處理，優先權是「local\inputs.conf」先執行。

完成上述設定，重新啟動「Splunk for warder Agent」服務。

1.「cd C:\Program Files\SplunkUniversalForwarder\bin」

2.「splunk restart」

S小魚仔S Wireshark 抓網路封包 基本配置(一)

「Wireshark」這一套軟體在業界是非常好用的封包分析軟體，「Wireshark」安裝「下一步」到底，不多介紹。

安裝完成，點選「Wireshark Legacy」圖示

點選「Interface List」

勾選「實體網卡」在「Packets」會發現有「流量數據」表示這張網卡有「封包數據傳輸」。

點選「Options」

1.  選擇「網卡」

2. 使用「混雜模式」(將來自接口的所有數據都捕獲)

3. 數據封包「存放路徑」

4. 以多個檔名來存放「文件」

PS

當您資料量封包需要抓取「1天以上」建議使用此「功能」。

5. 滿足設定「封包數量」 或「時間」 停止抓取

6. 管理網卡

7. 封包窗口「顯示」

Update List Of Packets In Real Time = 抓取封包會「即時顯示」

Automatically Scroll During Live Capture = 抓取封包會「滾動卷軸」

Hide Capture Info Dialog =  不顯示用來抓取封包流量的「網卡」。

8. 名稱解析「選項」 

Resolve Mac Address = 解析 「第二層」MAC 地址 所屬「廠商」

Resolve Network-Layer Names = 解析 「第三層」 IP 對應 「主機名稱」 或 「網域名稱」，透過該主機「DNS」進行解析，會出現大量 DNS 解析，可能會造成封包壅塞，請自行評估。

Resolve Transport-Layer Name = 「TCP/UDP」 端口號對應的「應用程序」名稱

Use External Network Name Resolver = 設定外部操作系統指定的名稱「解析程序」如「DNS」..等

Wireshark 在抓取「封包」分為「三」主視窗

「Packet List」目前抓取所有數據、包含「封包」、「時間」、「來源 IP」、「目的 IP」、「溝通協議」..等

「Packet Details」顯示「封包」內容，展開可以看到「數據」全部

「Packet Bytes」顯示「封包」未經過處理的「格式」

在擷取封包並不會顯示「無線 (Wireless)」封包，必須「啟用」「View」=>「Wireless Toolbar」

設定 完成「Wireless Toolbar」顯示

透過「Filter」可以篩選需要瀏覽封包如「DNS」，輸入完成需要點「Apply」

 點選「資料夾」圖示，進行「存檔」

點選該「圖示」表示不要即時「捲動視窗」

在「Packet Details」視窗，可將需要數據如「Total Length」加入「Packet List」視窗

設定結果如下圖

點選「Total Length」欄位 => 「右鍵」=>「Remove Column」即可進行移除

以前上「網路課程」老師曾經說過，電腦只認識「0101010」二進制，「Wireshark」Packet Bytes 視窗 就可以顯示「二進制」表示法。

點選「右鍵」=>「Bits View」

神奇事情發生..這就是「0」與「1」 完美結合，只要您看得懂就行。

基本配置 和 介紹 就到這邊嚕，之後有時間再繼續寫..

S小魚仔S Outlook 2013 動作無法完成 此名稱與通訊清單中的名稱不符

當使用 Outlook 配置  Exchange 2013 帳號，將「通訊錄隱藏」就會發生此問題。使用者帳戶未與信箱產生關聯，或是已手動設定為對全域通訊清單隱藏時發生。

登入 Exchange「ECP」管理介面，找到「帳戶」取消「在通訊清單中隱藏」。

參考資料

「Technet」-「名稱與通訊清單中的名稱不符」

S小魚仔S Windows Server 2012 R2 配置子網域

如何 配置 子網域(Sun Domain) 請看下面示意圖

Root Domain 如何建置 AD 不在說明，重點放在「子網域 (Sub Domain)」且不配置「DNS」，統一經由「Root Domain」處理 「DNS」解析。

升級完成「AD」角色，配置「功能」。

1. 選擇「新增網域到現有的樹系」

2. 選擇「子系網域」

3. 輸入「父系網域」(Root Dmain)

4. 輸入「taichung」子網域 (Sub Domain)

PS

子網域為「Taichung.Taipei.com」

5. 認證需要選擇「Root Dmain」具有「管理權限」帳號。

「網域控制站選項」不配置「DNS」，但是要輸入「目錄還原模式」密碼。

Windows Server 自動解析「NetBIOS」下一步 即可

預設值「下一步」

 預設值「下一步」

預設值「下一步」完成 配置

建置完成「子網域」(Sun Domain)，簡單看一下 DNS 結構。

DNS 自動加入「子網域」(Sub Domain) 和 主機名稱。

S小魚仔S Windows Server 2012 R2 配置 Active Directory Certificate Services 憑證服務

Server 2012 R2 Active Directory CS 憑證服務

PS. Windows AD CS 可以作為TLS認證服務器，為用戶端提供安全的身份驗證。 TLS認證使用加密來保護用戶端和服務器之間的通信，防止數據被竊聽或篡改。

新增 角色「Acrive Directory 憑證服務」需要勾選項目

啟用「憑證授權單位」、「線上回應」、「憑證授權單位網頁註冊」

接著就「下一步」開始進行安裝

 安裝完畢，點選「伺服器管理員」會有一個「驚嘆號」旗子，繼續配置「AD CS」

 配置「使用者」指定 角色服務

勾選「憑證授權單位」、「憑證授權單位網頁註冊」、「線上回應」

因為是第一臺「AD CS」 在網域底下，選擇「企業 CA」

選擇「Root CA」

選擇「建立新的私密金鑰」，後續接下來，就不多敘述，「下一步」到底。

完成上述「Active Directory Certificate Services」配置，還需要配置「IIS」註冊「SSL」憑證，這樣 網頁憑證註冊 才能使用。

使用「Win+R」，輸入「mmc」

加入「憑證」

選擇「電腦帳戶」


選擇「本機電腦」

在「個人=>憑證」選擇「要求新憑證」

選擇「Active Directory 註冊原則」

勾選「電腦」，點選「註冊」

證書「憑證」註冊 完成

在「個人=>憑證」會有兩組「憑證」
一組為「Lab-CA-CA」(AD CS 根憑證)
一組為「CA.Lab.com」(主機網域憑證)

開啟「IIS」(以系統管理員身分執行)

編輯「Default Web Site」


點選「新增」

1. 配置「Https」
2. 使用「主機網域憑證」

配置完成

使用「Client」端，透過「http://FQDN/CertSrv」或「Http://IP/CertSrv」進行「網頁註冊憑證」 。

若出現下面錯誤，記得配置「AD CS」網頁 SSL 憑證。

參考資料

「www.petri.com」-「Enabling HTTPS on Windows Server 2008/2012 Certificate Authority」
「MIS的背影」-「GPO 佈署憑證」