У системного администратора разные задачи бывают. Одна из такие — когда нужно поменять имя сервера Windows, но при этом обеспечить плавную миграцию клиентов, то есть без массово их отвала и жалоб на недоступность сервера. Как это сделать?! Самый оптимальный вариант — это добавить альтернативное имя. Это позволит временно сохранить старое имя до тех пор, пока все клиентские устройства плавно не перетекут на новое.

В Windows Server для этого используется консольная утилита netdom.

Вот пример её использования:

netdom computername fs01 /ADD new-server.corporate.local

Эта команда автоматически создаст CNAME (алиас) в DNS и обновит SPN в Active Directory.

Если же у Вас сервер живёт не на серверной ОС а на обычно  Windows 10 или Windows  11, то там уже утилиты netdom нет. В этом случае придётся добавить новое имя вручную:

1️⃣ Создать CNAME-запись в DNS;
2️⃣ Добавить имя в реестре (AlternateComputerNames);
3️⃣ Обновить SPN для учётной записи компьютера.

Такой «финт» поможет избежать сбоев при переходе на новое имя сервера.

По умолчанию весь DNS-трафик операционная система передаёт серверу через сеть в открытом виде. То есть, фактически любой,  у кого есть возможность как-то Ваш трафик перехватить, сможет увидеть какие сайты вы посещаете. Чтобы решить эту проблему в ОС Windows, компания Microsoft внедрила поддержку протокола DNS over HTTPS (сокращённо DoH) в Windows 11 и Windows Server 2022. И сейчас я хочу показать как этим пользоваться.

В этой инструкции я покажу как настроить DNS-over-HTTPS через интерфейс операционной системы и с помощью командной оболочки PowerShell. Использовать мы будем сервер Яндекс.DNS 77.88.8.8.

Настройка DNS over HTTPS в Windows 11

Самый простой способ включить шифрование DNS-запросов, с которым справится каждый, предоставляет нам интерфейс операционной системы.

Вам надо открыть параметры системы и открыть настройки сетевого интерфейса.
Ethernet-подключение:

Параметры => Сеть и Интернет => Ethernet => Назначение DNS-сервера => Изменить => Вручную

Беспроводная сеть Wi-Fi:

Параметры => Сеть и Интернет => Wi-Fi => Свойства => Назначение DNS-сервера => Изменить => Вручную

В моём примере я буду включать DoH на Wi-Fi подключении.

После нажатия на кнопку «Изменить» появится окно «Изменение параметров DNS для сети». Здесь обычно стоит значение «Автоматически (DHCP)», а мы меняем его на «Вручную» и включаем протокол IPv4. Если Вы активно используете уже IPv6, то включайте и настаивайте его.

Далее находим параметр «DNS по протоколу HTTPS», и включаем его. Тут есть два варианта. Первый — «Включено (автоматический шаблон)». Он используется для официально поддерживаемых DNS-серверов: Google, Cloudflare и Quad9. Как посмотреть весь этот список я покажу ниже. Мы же с Вами будем использовать второй вариант — «Включено (ручной шаблон)» и пропишем DNS-сервер от Яндекса: 77.88.8.8. Его шаблон протоколу HTTPS такой: https://common.dot.dns.yandex.net/dns-query. Нажимаем кнопку «Сохранить» для применения настроек.

Как включить шифрование DNS запросов через PowelShell

Шаг 1. Выбор DNS-сервера

В Windows уже есть встроенный список публичных DNS-серверов с поддержкой DoH, например:

Quad9 - 9.9.9.9
Google — 8.8.8.8
Cloudflare — 1.1.1.1
и т.д.

Вывести этот список в командной оболочке PowerShell Вам поможет команда Get-DNSClientDohServerAddress.

Вы можете использовать любой DNS из предложенного системой списка или добавить в него DNS-сервер от Яндекса — 77.88.8.8. Кроме его IP адреса, нам нужно указать и его URL-адрес — «https://common.dot.dns.yandex.net/dns-query«. Добавляем сервер в список

$DNSServer="77.88.8.8"
Add-DnsClientDohServerAddress -ServerAddress $DNSServer -DohTemplate "https://dns.yandex.ru/dns-query" -AllowFallbackToUdp $False -AutoUpgrade $True

Шаг 2. Включение DNS over HTTPS на сетевом интерфейсе

Задаём IP Яндекс.DNS как предпочтительный для адаптера Ethernet0:

Set-DnsClientServerAddress Ethernet0 -ServerAddresses ($DNSServer)

Если у Вас имя адаптера отличается от указанного в примере, то в командах надо будет внести соответствующие исправления.

Включаем  DoH для интерфейса Ethernet0:

$i = Get-NetAdapter -Physical -Name Ethernet0
$s1 = "HKLM:System\CurrentControlSet\Services\Dnscache\InterfaceSpecificParameters\" + $i.InterfaceGuid + "\DohInterfaceSettings\Doh\$DNSServer"
New-Item -Path $s1 -Force | New-ItemProperty -Name "DohFlags" -Value 1 -PropertyType QWORD
Clear-DnsClientCache

Теперь можно проверять шифруются ли наши DNS-запросы или нет.

Как проверить работает DNS-over-HTTPS или нет

Проверить работу DNS-over-HTTPS можно несколькими способами. Первый — это разнообразные сервисы в Интернете. Например, DNS leak best. Заходим на сайт, нажимаем кнопку «Extended test» и ждём пока пройдёт тестирование.

В результатах Вы должны будете увидеть указанные DNS в столбце ISP. В моём примере всё верно. Если бы DoH не работала, то вместо Яндекса там «светились» бы серверы провайдера.

Второй способ проверить работу DoH — это использование встроенного в Windows анализатора сетевого трафика Packetmon. Нам нужны всего три команды:

1. Сброс всех фильтров пакетов сетевого трафика:

pktmon filter remove

2. Добавление своего фильтра:

pktmon filter add -p 53

Packetmon будет ловить все пакеты на 53-ем TCP порту

3. Запуск анализа трафика:

pktmon start --etw -m real-time

Теперь надо в браузере открыть несколько разных сайтов, а потом посмотреть в вывод Packetmon’а:

А здесь, как мы видим, ничего нет. Запросы через обычный DNS не бегают.  Чего мы и добивались! Теперь все DNS-запросы ходят только через зашифрованное HTTPS-соединение и отследить их практически невозможно!

Регулярная смена пароля учётной записи через определённые промежуток времени — это стандартная практика по соблюдению информационной безопасности в компаниях. Некоторые нерадивые системные администраторы эти пренебрегают, включая так называемый  «бессрочный пароль». Это в корне неправильно. В крайнем случае, если пользователи очень сильно просят, можно  продлить срок действия пароля в Active Directory. И сейчас я покажу как это сделать!

Как правило, для продления пароля, обновляют дату смены пароля с помощью команды PowerShell за два простых шага. Вот так:

1. Установить значение pwdLastSet на 0:

Эта команда устанавливает атрибут pwdLastSet в значение 0. Для системы это значит, что пользователь должен немедленно сменить пароль.

2. Установить значение pwdLastSet обратно на -1:

Эта команда обновляет атрибут pwdLastSet на текущее время, продлевая таким образом срок действия пароля.

Profit! Для системы эти простые действия выглядит так, как будто пользователь только что изменил пароль и срок его использования будет отсчитываться с момента выполнения этих команд! Быстро и просто!

Недавно прибежал племянник с вопросом: что означает в диспетчере устройств черная стрелка на значке устройства. На самом деле это достаточно распространённое явление. Стрелка на устройстве в диспетчере устройств Windows означает что возникла какая-то проблема с драйвером устройства. А так как они играют очень важную роль в работе компьютера. то операционная система постоянно отслеживает их работу и, если какое-то драйвер устарел или неправильно работает, то  устройство может быть отключено, а в Диспетчере устройств Windows появится черная стрелка.
Вторая причина появления  черной стрелки — это конфликт аппаратного обеспечения. Два или более устройств пытаются использовать одни и те же ресурсы компьютера — прерывания, память и т.п. В результате всего этого происходит конфликт и операционная  система попросту отключает одно или даже нескольких устройств сразу.

Ну и ещё один вариант — это когда сам пользователь вручную отключил какое-то устройство. Случайно или намерено — дело третье. Суть в том, что девайс деактивирован и его тогда надо будет включить обратно. Для этого кликните на нём правой кнопкой мыши и выберите пункт «Включить устройство».

Откат драйвера — это процесс возврата к использованию предыдущей версии драйвера для устранения проблем с работой устройства. Например, после обновления снизилась производительность, начались постоянные ошибки и BSOD, либо вообще у устройства полный отказ от работы. Откатить драйвер в Windows 11, если она конечно нормально загружается, достаточно просто и нужно нажать всего лишь несколько кнопок.

Для отката драйвера в Windows выполните следующие шаги:

1. Кликните правой кнопкой мыши на кнопку «Пуск» и выберите пункт меню «Диспетчер устройств».
2. В открывшемся окне диспетчера найдите то устройство, у которого требуется откатить драйвер.
3. Кликните правой кнопкой мыши по устройству и в контекстном меню выберите пункт «Свойства».
4. Перейдите на вкладку «Драйвер».
5. Нажмите на кнопку «Откатить драйвер». Этим Вы вернёте драйвер устройства к предыдущей версии, которая была ранее установлена и работала без проблем. Компьютер будет перезагружен.

Если кнопка отката драйвера неактивна, значит, операционная система не имеет информации о предыдущей версии драйвера для этого устройства и, соответственно, откатить драйвер не получится.