转到正文

天亮了说晚安's Blog

欢迎您的光临! http://www.tllswa.com

本文转自:https://blog.51cto.com/91xueit/1750008 我学生的客户域控制器管理员密码给忘记了,需要他帮忙重设。使用windowsPE这种工具只能回复不是域控制器的计算机的密码。 下面给大家在虚拟机中演示如何重新设置域控制管理员密码。 进入BIOS,设置成从光驱启动。 进入命令提示符执行以下命令 ren osk.exe osk02.exe ren cmd.exe osk.exe  退出安装程序从硬盘重新引导 可以看到打开就是命令提示符,就可以直接更改管理员密码了就这么简单 充设了密码 别忘了了将以上重命名的文件改回来,否则就给别人留下了后门。 Read More

本文转自:https://www.cnblogs.com/waw/p/9673474.html 下面我们来讲解一下如何将中文系统转化成日文、韩文、英文等其它语言界面的系统。 以windows server 2008 R2系统中文变英文为例: 1、到微软官方下载:Windows Server 2008 R2 Service Pack 1 多語言使用者介面語言套件,选择所需语言,等待切换界面后,点击“download”下载 2、将语言安装包下载到服务器本地,如下图 3、双击exe运行文件,开始语言的安装,安装好后界面会自动关闭,如下图 4、打开控制面板,并点击区域和语言 5、切换到键盘和语言选项卡会有如下界面,在选择显示语言项选择一下,并点击确定(注意,如果语言包没有安装或没有安装成功会没有语言选择项) 6、点击确定后,会提示你注销,点注销就可以了。之后再登录进去就是其它语言了。 Read More

本文转自:https://www.cisco.com/c/en/us/support/docs/security-vpn/webvpn-ssl-vpn/119417-config-asa-00.html Contents IntroductionPrerequisitesRequirementsComponents UsedConfigureNetwork DiagramBackground InformationConfigurationVerifyTroubleshootProcedures Used to TroubleshootCommands Used to TroubleshootCommon ProblemsUser Cannot Log InUnable to Connect More Than Three WebVPN Users to the  ASAWebVPN Clients Cannot Hit Bookmarks and is Grayed OutCitrix Connection Through WebVPNHow to Avoid the Need for a Second Authentication for the UsersRelated Information Introduction This document provides a straightforward configuration for the Cisco Adaptive Security Appliance (ASA) 5500 Series in order to allow Clientless Secure Sockets Layer (SSL) VPN access to internal network resources. Clientless SSL Virtual Private Network (WebVPN) allows for limited, but valuable, secure access to the corporate network from any location. Users can achieve secure brow......Read More

本文转自:http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=991966&extra=page%3D2 *******************************************1、清空所有密钥对及PKI TRUSTPOINT(config)#crypto key zeroize rsa(config)#no crypto pki trustpoint XXX*******************************************2、外部链接在花生壳官网申请顶级域名,包含txt记录,同时对顶级域名打开DDNS服务设备配置:!ip ddns update method orayHTTP  add http://xxx:xxx@ddns.oray.com/ph/update?hostname=www.kagamigawa.tech&&myip=interval maximum 0 0 1 0interval minimum 0 0 1 0!interface GigabitEthernet1description WANno ip addresspppoe enable group globalcdp enablepppoe-client dial-pool-number 1!interface Dialer1description WANip ddns update hostname www.kagamigawa.techip ddns update oray host ddns.oray.comip address negotiatedip nat outsideencapsulation pppip tcp adjust-mss 1452dialer pool 1ppp pap sent-username xxx password 7 xxxppp ipcp dns requestppp ipcp route default!测试下连通性:C:\Users\Lenovo>......Read More

本文转自:http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=990787&extra=page%3D10 需求:1.Inside访问国外路由优先走HK路由器(假定61.128.0.0/8为国内路由,其他都为国外路由)2.Inside访问国内路由优先走ADSL路由器3.DXoutside接口对外提供L2L和anyconnect VPN,允许访问Inside 备注:测试用的ASAv9.91,如果用ASAv9.71相同的路由配置,SSL VPN和L2L VPN会无法连通。二.基本配置1.ASAv防火墙hostname ASAvinterface GigabitEthernet0/0    nameif HKoutside    security-level 0    ip address 202.100.1.10 255.255.255.0    no shutdowninterface GigabitEthernet0/1    nameif DXoutside    security-level 0    ip address 202.100.2.10 255.255.255.0    no shutdowninterface GigabitEthernet0/2    nameif ADSLoutside    security-level 0    ip address 202.100.3.10 255.255.255.0    no shutdowninterface GigabitEthernet0/3    nameif Inside    security-level 100  ......Read More

原文作者: Mansur 原文链接: http://nbma.info/asa-vpn-policy-proc/ ASA收到VPN请求,由tunnel-group来识别VPN类型(L2L or 远程拨号 or SSLVPN),然后使用tunnel-group中的认证方法(LOCAL or Radius)进行认证,认证通过后经过以下5个关联属性叠加,得到用户的最终的策略 1.用户属性2.用户属性中关联的group-policy3.tunnel-group中关联的group-policy4.系统默认的group-policy:DfltGrpPolicy5.tunnel-group的属性 这5个策略优先级从高到低,存在重复项时,优先使用最先匹配到的策略。 tunnel-group tunnel-group用于终结VPN连接。一个VPN请求到达VPN,ASA找到一个与之关联的tunnel-group,tunnel-group为每一个成员定义了VPN连接的脚本。 – L2L VPN 当一个L2L VPN抵达ASA,ASA通过这次请求源IP(对端加密点)来查询本地的tunnel-group,如果有一个有一个tunnel-group的名字等于该IP,那么就使用tunnel-group内的pre-shared-key对这次VPN进行认证。 12tunnel-group 61.128.1.1 type ipsec-l2lpre-shared-key IPSECKEY – EZVPN EZVPN的第一阶段认证group的名字必须能和tunnel-group名字一致 12345678tunnel-group ......Read More

原文作者: Mansur 原文链接: http://nbma.info/ezvpn-base/ 协商过程 第1阶段 AM模式,不预选协商DH Group强度,所以必须强制指定group2三个包,因为省略了第一阶段前四个包。第1个包client先发自己支持的策略,组名和预共享密钥第2个包server使用PSK认证client第3个包完成协商 1.5阶段 XAUTH:认证用户(用户名密码/AAA)MODE-CFG:推送策略 第2阶段 快速模式,三个包 配置 第1阶段 1234567crypto isakmp policy 20encr 3desauthentication pre-sharegroup 2crypto isakmp client configuration group GROUPkey NBMAKEY 1.5阶段 123456789101112#配置xauthaaa new-modelaaa authentication login EZ-XAUTH localaaa authorization network EZ-MODE-CFG localusername cisco password 0 cisco#配置策略ip local pool POOL 11.11.11.10 11.11.11.110crypto isakmp client configuration group EZ-GROUPpool POOL 启用aaa之后建议在设备上开启线下保障策略,确保任何时候都可以使用console口 123456aaa newaaa authentication login noacs line noneline con 0login authen noacsline aux 0login authen noacs 第......Read More

原文作者: Mansur 原文链接: http://nbma.info/getvpn/ Group Encrypted Transport VPN,思科私有技术用于内网(全局可路由)加密的VPN,不是互联网VPN(peer无法直接路由)目前的场景是用于加密MPLS VPN,因为MPLS本身只是加标签,并没有加密 封装格式 copy原始IP头部,然后内部用ESP加密IP数据报文,不影响QoS 123+———-—+———-+————–+| 原始IP头部 | esp头部 | 加密原始IP报文 |+———–+——–+————–+ 原理 组成员Group Member向密钥服务器Key Server注册,KS上配置策略,产生一个ipsec sa,向同一组的GM推送sa和感兴趣流。组内成员可以实现any-to-any通讯,支持单播和组播 KS:验证组成员,管理安全策略,产生组密钥,分发策略和密钥,并不能加解密数据GM:加密设备,组播参与者,在安全和不安全区域执行路由。GETVPN最好有组播环境,这样KS只向一个组播地址分发即可。GDOI: Group Domain of Interpretation 公有协议,用于KS和GM之间通讯,和其他厂商兼容,UDP848 KSCP: Cooperative Protocol 协......Read More

原文作者: Mansur 原文链接: http://nbma.info/ipsec-pptp-l2tp/ 写的有点乱 动态map和静态map 使用场景:hub固定IP,另一端没有固定IP。适用于思科和其他厂商对接。两端都是思科可以使用EZVPNpeer端直接普通的静态map配置hub端使用动态map 123crypto dynamic-map DY-MAP 10set transform-set TRANScrypto map STATIC-MAP 10000 ipsec-isakmp dynamic DY-MAP ikev2的SVTI 待补充 NAT穿越问题 ike 1-2包同时判断对方是否支持NAT-T3-4包发送NAT-D 第三个包hash自己的源目IP将值发送给B,然后对端收到后用收到的源目IP进行hash,如果不一致则后续5-6等包全都启用udp4500封装。 远程拨号VPN 1,vpdn:pptp, l2tp over ipsec2,EzVPN3,SSL VPN pptp 协商过程:TCP 1723PPP封装内层,外层是GRE,本身并不加密IPSEC只能用来加密IP流量,而PPTP还支持非IP,如IPX等在ASA上需要inspect pptp解决穿越问题 l2tp over ipsec L2TP:UDP1701PPP封装内层,外层是UDP,本身并不加密配合ipsec之后在PPP之外加上esp,对esp内部加密 平常不需要使用以下技术,直接使用GRE over IPSec或者SVTI直接跑动态即可 RRI反向路由注入 多个......Read More