Search

Visitors Counter

TodayToday54
YesterdayYesterday69
This_WeekThis_Week54
This_MonthThis_Month2355
All_DaysAll_Days160981
Your_IP 3.92.28.52

W celu ochrony przez blokadami spamowymi dobrze jest założyć ograniczenie na ilość maili wychodzących od poszczególnych użytkowników. Poniższy opis pokaże jak ograniczyć maksymalną ilość wysyłanych wiadomości przez użytkownika naszego serwera do 100 maili/dobę.

Na początku tworzymy grupę objętą polityką poprzez Polices / Groups http://adres_serwera_zimbra:7780/webui/policy-group-main.php

Wybieramy Action / Add i nazywamy naszą grupę np. lista_kont. Następnie zaznaczamy utworzoną grupę i wybieramy Action / Members oraz Action / Add. W pozycji member wpisujemy @adres_domeny.pl

Od razu zmieniamy opcję Disabled na no.

Kolejnym krokiem jest utworzenie polityki Policies / Main oraz Action / Add z ustawieniami Name Nazwa_polityki; Priority 20; (bez średników)

Po jej utworzeniu ponownie zaznaczamy stworzoną politykę i wybieramy Action / Members

W otwarte okno wpisujemy Source %lista_kont; Destination !%lista_kont; Disabled no; (bez średników) oraz 
Source !%lista_kont; Destination any; Disabled no;

 Z bocznego menu wybieramy Quotas / Configure i Action / Add

Name Limit; Link to Nazwa_polityki; Track Sender:user@domain; Period 86400; Verdict DEFER; Data Wysłano za dużo maili; Stop processing here no; Disabled no;

Zaznaczamy nasz utworzony Limit i wybieramy Action / Limits

W otwartym oknie Add Quota Limit zaznaczamy Type Message Count; Counter Limit 200; 

Na koniec sprawdzamy czy we wszystkich utworzonych grupach znalazło się Disabled ustawione na wartość no.

Od tej chwili zaczyna się odliczanie. Liczone są tylko maile wysłane poza naszą domenę, oraz tylko maile wychodzące. Licznik jest zerowany po 86400 sekundach a więc 24 godzinach. Licznik wiadomości w ostatnim oknie należy ustawić na zadaną wartość razy 2. 

Aktualny stan liczników można zobaczyć listując plik /opt/zimbra/log/cbpolicyd.log.  W pliku po każdym wysłąnym mailu pojawi się zapis informujący o koncie email oraz aktualna quota=2.00/200 (1.0%). 

PolicyD to serwer polityki MTA. Głównym jego celem jest zwalczanie spamu. PolicyD jest wbudowany w ZCS od wersji 7. 

Aby go uruchomić wykonujemy jako user zimbra:

zmprov ms nazwa_hosta +zimbraServiceInstalled cbpolicyd +zimbraServiceEnabled cbpolicyd

Następnie jako user root włączamy WebUI:

cd /opt/zimbra/httpd/htdocs/ && ln -s ../../cbpolicyd/share/webui

i edytujemy plik /opt/zimbra/cbpolicyd/share/webui/includes/config.php aby wyglądał mniej więcej tak:

#$DB_DSN="mysql:host=localhost;dbname=cluebringer";
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="root";

Ostatnią rzeczą jest restart usług Zimbry i serwera Apache (jako user zimbra):

zmcontrol restart
zmapachectl restart

Dostęp do PolicyD jest poprzez adres http://adres_serwera_zimbry:7780/webui/index.php

Po instalacji Zimbra 8.6 może wystąpić problem z wysokim zużyciem procesora oraz dysków. Problemu nie rozwiązuje zwiększenie ilości zasobów serwera. Na szczęście odpowiednia modyfikacja ustawień poprawiła wydajność instalacji. 

Na początku ograniczamy ilość wątków i jednoczesnych połaczeń imap, które bardzo obciążają zasoby serwera. Każdy klient otwiera średnio 3-4 połączenia. Więc ustawienie 400 pozwala na jednoczesną pracę około 40 użytkowników. 

zmprov ms nazwa_hosta zimbraImapNumThreads 400
zmprov ms nazwa_hosta zimbraImapMaxConnections 400

Kolejnym parametrem do ustawienia jest ilość pamięci RAM jaką może zająć proces Java mailboxd. Ustawienie to należy dobrać do ilości pamięci jaką mamy zainstalowaną/przydzieloną dla naszego serwera. I tak:
- dla systemu z RAM<8GB - ustawiamy 20% wielkości pamięci,
- dla systemu z RAM=8GB - ustawiamy 25% wielkości pamięci,
- dla systemu z RAM=16GB - ustawiamy 30% wielkości pamięci,
- dla systemu z RAM=32GB - ustawiamy 35% 
wielkości pamięci.

zmlocalconfig -e mailboxd_java_heap_size=4096 (w przypadku ZCS7 lub nowszego)
zmlocalconfig -e mailboxd_java_heap_memory_percent=30 (w przypadku ZCS6 lub starszego)

Ostatnim elementem jest zwiększenie kolejki MTA czyli usługi Mail Transfer Agent pobierającej wiadomości za pomocą protokołu SMTP i przekazującej je na odpowiednie konto.

zmprov ms nazwa_hosta zimbraMtaMaxUse 150

"nazwa_hosta" w powyższych poleceniach oczywiście zmieniamy na nazwę zgodną z nazwą naszego serwera.

Dość częstym problem jest problem z archiwizacją danych na Rewizorze. Najczęściej jest to spowodowane nieodpowiednimi uprawnieniami do katalogu archiwizacji. Przy złej konfiguracji spotkamy się w logach z informacją

spid56  Error: 18204, Severity: 16, State: 1.
Backup  Error: 3041, Severity: 16, State: 1.

Zakładam, że archiwizację robimy z poziomu klienta a baza danych jest zainstalowana na serwerze.

Aby dokonać archiwizacji należy na serwerze utworzyć i udostępnić katalog np. C:\Backup. Dostęp do zapisu w tym katalogu powinien być przyznany użytkownikowi, na którym jest uruchomiona usługa "SQL Server" odpowiedzialna za utrzymanie bazy Rewizora. Kto jest takim użytkownikiem możemy sprawdzić poprzez przystawkę services (services.msc). Prawym klawiszem wybieramy właściwości i zakładkę logowanie. W moim przypadku jest to NT Service\MSSQL$REWIZOR. W zabezpieczeniach katalogu dodajemy tego użytkownika z prawami zapis. 

W programie archiwizator jako katalog archiwum i roboczy wskazujemy wcześniej udostępniony katalog. W moim przypadku jest to \\svmdb\Backup. 

Po tych operacjach archiwizacja powinna przebiegać poprawnie.

Chcąc zmienić ikonę favicon na stronie Sharepoint, podmieniamy plik favicon.ico znajdujący się w jednej z lokalizacji 

C:\Program Files\Common Files\microsoft shared\Web Server Extensions\14\TEMPLATE\IMAGES (Sharepoint 2010)

C:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\TEMPLATE\IMAGES (Sharepoint 2013)

Chcąc usunąć stare kopie zapasowa z Zimbry, nie robimy tego poprzez polecenie rm. Do tego celu jest stworzone specjalne narzędzie. 

Najpierw sprawdźmy jakie mamy kopie bezpieczeństwa. Zrobimy to poleceniem zmbackupquery

Wyświetli się nam lista wszystkich kopii. Znajdziemy tam zarówno kopie pełne jak i przyrostowe (incremental). Wszystko zostanie posortowane po dacie utworzenia. 

Polecenia kasującego należy używać bardzo rozważnie, ponieważ gdy usuwamy kopię oznaczoną dzisiejszą datą, jednoczenie usuwamy wszystkie wcześniej utworzone. Polecenie za to odpowiedzialne to:

zmbackup -del nazwa_kopi_bezpieczeństwa

 

Mamy do wyboru kilka trybów

http - tylko http

https - tylko https

both - http lub https, przy czym logowanie determinuje całość sesji.

mixed - jeżeli logujemy się przez http, na czas logowania zostaniemy przełączeni na https, ale po zalogowaniu powrócimy do http

redirect - jeżeli logujemy się przez http, po zalogowaniu zostaniemy przełączeni na https i w tym trybie już zostaniemy

 

Żeby zmienić tryb wykonujemy polecenie

zmtlsctl [mode] 

Polecenie wykonujemy będąc zalogowanym jako zimbra user.

Po zmianie trybu potrzebny jest restart serwera

zmcontrol restart

 

Problem dotyczy serwera z zainstalowanym systemem Windows 2012R2. Jeżeli mamy 2 lub więcej interfejsów sieciowych połączonych w jedną grupę i ta grupa zostanie użyta do budowy wirtualnego przełącznika oraz zostanie włączona opcja pozwalająca systemowi operacyjnemu na zarządzaniem współdzielenia tego interfejsu, w dzienniku zdarzeń zacznie pojawiać się błąd o zdublowanych adresach MAC. 

Zdublowane adresy można sprawdzić poprzez polecenie PowerShall-a get-netadapter | ft Name,MacAddress

Aby błąd przestał nas niepokoić zmieniamy MAC adres wirtualnego przełącznika oraz wszystkich interfejsów fizycznych.

Możemy to wykonać za pomocą polecenia:

set-netadapter -name “vEthernet (LAN)” -macaddress xx:xx:xx:xx:xx:xx

Po tej operacji błąd nie powinien się więcej pojawić.

Przystępując do konfiguracji zaczynamy od edycji pliku /etc/sysconfig/network aby wyglądał tak:

NETWORKING="yes"
HOSTNAME=nazwa_hosta
GATEWAY=192.168.0.1

Następnie edytujemy plik ovf.xml. Powinien on wyglądać mniej więcej tak:

<?xml version="1.0" encoding="UTF-8"?>
<Environment
    xmlns="http://schemas.dmtf.org/ovf/environment/1"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:oe="http://schemas.dmtf.org/ovf/environment/1"
    xmlns:ve="http://www.vmware.com/schema/ovfenv"
    oe:id=""
    ve:vCenterId="vm-00000">
  <PropertySection>
   <!-- Configuration for server. Do not change this parameter. -->
   <Property oe:key="vm.product" oe:value="server"/>

    <!-- The fully qualified hostname for this VM (e.g.: era.domain.com). Leave blank to try to reverse lookup the IP address. -->
    <Property oe:key="vm.hostname" oe:value="nazwa_hosta"/>

    <!-- VM, database, server certification authority and server webconsole password. Use ASCII characters except reserved '{' and '}'. -->
    <Property oe:key="vm.password" oe:value=""/>

    <!-- The locale used for pre-defined objects created during installation. -->
    <!-- Supported locales are: ar-EG, cs-CZ, de-DE, en-US, es-CL, es-ES, fr-CA, fr-FR, hr-HR, it-IT, ja-JP, ko-KR, pl-PL, pt-BR, ru-RU, sk-SK, zh-CN, zh-TW -->

    <Property oe:key="vm.locale" oe:value="en-US"/>

    <!-- The workgroup or NetBIOS domain name for this server (e.g.: DOMAIN). Leave blank if workgroup should be extracted as first token from the domain and converted to upper case. -->

    <Property oe:key="vm.workgroup" oe:value=""/>

    <!-- The domain for this server (e.g.: domain.com). Leave blank if no domain synchronization and authorization will be performed. -->

    <Property oe:key="vm.domain" oe:value="domena.com.pl"/>

    <!-- The domain controller for this server (e.g.: dc.domain.com). If domain controller hostname is not recognized by default DNS server, please set this domain controller's IP address as DNS server for this VM. Leave blank if no domain actions will be performed. -->

    <Property oe:key="vm.kdc" oe:value="adres_IP_serwera_AD"/>

    <!-- The administrator account used for joining domain. -->

    <Property oe:key="vm.domain_admin" oe:value="Administrator"/>

    <!-- The administrator password used for joining domain. Leave blank if no domain joining will be performed. -->

    <Property oe:key="vm.domain_password" oe:value=""/>

    <!-- The SNMP manager hostname that will be receiving forwarded SNMP traps. Leave blank if no SNMP traps should be forwarded. -->

    <Property oe:key="vm.snmp_manager" oe:value=""/>

    <!-- Enables HTTP forward proxy for caching updates. -->

    <Property oe:key="vm.enable_forward_proxy" oe:value="True"/>

    <!-- The IP address for this interface. Leave blank if DHCP is desired. -->

    <Property oe:key="vami.ip" oe:value="adres_IP_hosta"/>

    <!-- The netmask for this interface. Leave blank if DHCP is desired. -->

    <Property oe:key="vami.netmask" oe:value="maska_podsieci"/>

    <!-- The default gateway address for this VM. Leave blank if DHCP is desired. -->

    <Property oe:key="vami.gateway" oe:value="adres_IP_bramy"/>

    <!-- The domain name server for this VM (IP address). Domain from FQDN hostname will be used for short DNS names lookup. Optional for DHCP. -->

    <Property oe:key="vami.dns1" oe:value="adres_IP_DNS1"/>

    <!-- The second domain name server for this VM (IP address). Optional field. -->

    <Property oe:key="vami.dns2" oe:value="adres_IP_DNS2"/>

  </PropertySection>

</Environment>

 

Jeżeli coś nie wyjdzie możemy skorzystać z poniżej zamieszczonych podpowiedzi:

 

Domain join operation failed. Exact error is in appliance-configuration-log.txt. This document will provide information how to proceed.

A. Check that parameters put into the appliance wizard are correct:

For example we will be joining domain 'hq.eset.com', so configuration parameters for server appliance would be:
1. Hostname: 'eraserver.hq.eset.com'. It is important that hostname is FQDN.
2. Windows Domain: 'hq.eset.com'. Important is to have at least one '.' character as delimiter in domain name. Automation script will take first token ('hq' in this case) and fill it as workgroup into the /etc/samba/smb.conf as uppercase text. Other option is to fill in Windows Workgroup.
3. Windows Domain Controller: 'Win2008DC.hq.eset.com'. FQDN of a domain controller - not an ip address.
4. Windows Domain Administrator: 'Administrator'. With this login and password below one should be able to login in to the domain controller without problem and do administrator changes.
5. Windows Domain Administrator Password: 'xxxxx'. Password for Administrator account.
6. DNS: IP address of the domain controller. This should be set if default DNS server is not able to resolve hostnames for the specified domain above. This parameter will tie the appliance with DNS server in the domain controller.

If you are sure that all entered parameters are correct, then you should check whether generated configuration by automation script is correct.

 

B. Check generated configuration files (run configure-domain.sh):

1. Hosts file /etc/hosts should correctly map domain controller name and its IP address.
2. Kerberos configuration /etc/krb5.conf should be correctly generated. Check that 'kinit <user-from-domain>' works.
3. Ntp configuration /etc/ntp.conf should contain record for regular time updates against domain controller.
4. Samba configuration /etc/samba/smb.conf should be correctly generated.

If all configuration files are correct, then proceed with manual domain join.

 

C. Manual domain join (run rejoin-domain.sh):

1. Call 'net ads join -U Administrator%<password>' command to join domain. If successful then you should see created computer record in domain controller.
2. Start 'service winbind start'.
3. Start 'service nmb start'.
4. Start 'service smb start'.
5. Verify that you can ping Winbind by 'wbinfo -p'.
6. Verify that 'wbinfo -u' lists domain users and 'wbinfo -g' lists domain groups.

ERA Server uses commands 'kinit' and 'ldapsearch' to browse through active directory and 'wbinfo' and 'ntlm_auth' to perform domain authentication. If these commands work, then you have successfully joined domain.

 

Aby zmienić strefę czasową w systemie CentOS należy wykonać poniższe komendy:

  • cp /etc/localtime /root/old.timezone
  • rm /etc/localtime
  • ln -s /usr/share/zoneinfo/Europe/Warsaw /etc/localtime

Sprawdzić aktualną strefę czasową można poprzez:

  • date
  • ls -l /etc/localtime