Firefox ile vCenter erişim problemi: “Your connection is not secure”

Diğer browser’lar ile sorunsuz erişebilmeme rağmen Firefox (version 100.0) ile denediğimde vCenter ara yüzüne erişemediğimi gördüm.

vCenter GUI’ye erişmek istediğimde aşağıdaki hata mesajını aldım:

Problemin çözümü:

1- Firefox’u açın ve adres barına about:config yazın.

2- Arama kutusunda security.enterprise_roots.enabledaratın ve değerini True olarak değiştirin.

Bu işlemden sonra Firefox beklendiği şekilde certificate store’da yer alan root sertifikalara güvenmeye başlayacaktır.

vCenter 7 & ESX Syslog Konfigürasyounu ve Firewall Ruleset Tanımı

vCenter 7 ve ESX’lerde Syslog tanımı yapmak için aşağıdaki adımlar izlenir:

vCenter

VAMI ara yüzünden yapılır. Standart olarak erişim https://<vCenter IP>:5480

Sol menüde Syslog seçeneğine tıklayarak Syslog sunucunun IP’si ve haberleşme portu tanımlanır.

ESXi

ESXi Syslog konfigürasyonu vCenter veya ESX üzerinden yapılabilir. vCenter üzerinden konfigürasyonu yapmak için:

İlgili ESX host’ta Configure –> Advanced System Settings –> Syslog.global.logHost parametresi uygun şekilde düzenlenir. Örn:

tcp://10.0.0.120:514

Eğer standart bir Syslog port tanımı (UDP 514) mevcutsa ESX logları Syslog sunucusuna akmaya başlayacaktır. Ancak güvenlik nedeniyle syslog iletişim portu network katmanında değiştirilmişse, ESX firewall ayarlarında yeni bir kural setiyle konfigürasyon yapmak gerekir:

Standart olan UDP 514 portunu TCP 6530 olarak değiştirildiğini varsayalım. ESX’lere bu firewall kural setini eklemek için aşağıdaki adımlar izlenir:

1- SyslogFirewallConfig.xml isminde bir dosya oluşturulup dosya bir editörle aşağıdaki şekilde düzenlenir:

<ConfigRoot>
<service>
<id>ServiceName</id>
<rule id=’0000′>outbound</direction>
<protocol>tcp</protocol>
<porttype>dst</porttype>
<port>6530</port>
</rule>
<enabled>true</enabled>
<required>false</required>
</service>
</ConfigRoot>

2- SyslogFirewallConfig.xml dosyası WinSCP gibi bir uygulama yardımıyla her bir ESX hosttaki aşağıdaki alana kopyalanır:

/etc/vmware/firewall/

3- Yeni kural setinin aktif olması için ESX hostlarda aşağıdaki komut çalıştırılır:

#esxcli network firewall refresh

4- Yeni kural seti aktif olduğunda loglar Syslog sunucusuna akmaya başlayacaktır. Yeni kural seti -eğer doğru şekilde tanımlandıysa- aşağıdaki ekrandan görüntülenebilir:

ESX –> Configure –> Firewall –> Outgoing

Eklediğiniz kural halen görüntülenemiyorsa aşağıdaki komutları çalıştırabilirsiniz:

esxcli network firewall set –enabled false
esxcli network firewall unload
esxcli network firewall load
esxcli network firewall set –enabled true
esxcli network firewall refresh

Referanslar

https://kb.vmware.com/s/article/2005304
https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.monitoring.doc/GUID-9633A961-A5C3-4658-B099-B81E0512DC21.html

WinSCP hatası: Received too large SFTP packet (2115983)

vCenter 7 Update 2 güncellemesi sonrası vCenter’a WinSCP ile bağlantı yapmak istediğimde aşağıdaki hatayı aldım:

Hatanın çözümü için VMware aşağıdaki workaround‘u öneriyor:

Öncelikle vCenter’a root kullanıcısıyla SSH bağlantısı yapın.

chsh -s /bin/bash root

Üstteki komut varsayılan shell path’ini /bin/bash olarak ayarlar. Bu komutu girdikten sonra WinSCP başarılı şekilde bağlantı yapabilecektir.

Daha sonra shell path’ini tekrar eski haline getirmek için aşağıdaki komut girilmelidir:

chsh -s /bin/appliancesh root

ADFS ve ADFS Proxy (WAP) Üzerinde SSL Sertifikasını Güncelleme

ADFS SUNUCU ÜZERİNDE YAPILAN İŞLEMLER

1- Yeni SSL sertifikası Certificates MMC üzerinden sunucuya import edilir.

2- Yeni eklenen SSL sertifikasının “Thumbprint” bilgisi not edilir.

3- GUI üzerinde yeni sertifika seçilir (Set Service Communications Certificate)

adfsreplacessl09

4- ADFS sunucu üzerinde aşağıdaki PowerShell komutu çalıştırılır:

Set-AdfsSslCertificate -Thumbprint 07B3DFE31E020BFC3F3BDF1A0F61807223DBF125

ADFS PROXY (WAP) SUNUCU ÜZERİNDE YAPILAN İŞLEMLER

1- Yeni SSL sertifikası sunucuya PFX formatında import edilir.

2- PowerShell’de aşağıdaki komut çalıştırılır:

Set-AdfsSslCertificate -Thumbprint 07B3DFE31E020BFC3F3BDF1A0F61807223DBF125

3- Son olarak aşağıdaki PowerShell komutu çalıştırılır:

Install-WebApplicationProxy -CertificateThumbprint 07B3DFE31E020BFC3F3BDF1A0F61807223DBF125 -FederationServiceName sso.domain.com

PowerShell Gallery bağlantı problemi: WARNING: Unable to resolve package resource: https://PowerShellgallery.com/api/v2

PowerShell üzerinden Azure AD’ye bağlanmak için install-module azuread komutunu girdiğimde

“WARNING: Unable to resolve package resource: https://PowerShellgallery.com/api/v2”

hatasını aldım.

İlk olarak internet çıkışında problem olabileceğini düşündüm ancak sunucunun internet çıkışında problem yoktu.

Sonrasında TLS1.2’yi sunucu üzerinde aşağıdaki komutla aktif ettim ve ilgili modülü kurabildim:

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Sorunun sebebi ise 1 Nisan 2020’den itibaren PowerShellGallery.com’un SSL3 ve TLS1 desteğini kaldırması.

Resource Mailbox Üzerindeki Kullanıcı Yetkisini Kaldırmak

Bir resource mailbox üzerinde kullanıcı yetkisini kaldırmak istedim. Aşağıdaki hata mesajıyla karşılaştım:

Bu hatayı gidermek için ADSIedit’te ilgili user için inheritance ile gelen ACL yetkilerini kaldırmak gerekiyor.

Bunun için aşağıdaki işlemler yapılır:

  1. ADSIEdit’i açın ve Connect to seçeneğine tıklayın.
  2. Configuration Naming Context seçin ve OK’e tıklayın.
  3. Configuration/Services/Microsoft Exchange/Administrative Groups/Exchange Administrative Group klasörüne gidin.
  4.  Databases klasörüne sağ tıklayın ve  Properties sçeneğini seçin.
  5. Security sekmesine tıklayın ve Advanced’i seçin.
  6. İlgili user’a ait izinleri kaldırın. Inheritance uyarısı alırsanız üst klasöre geçerek yetkileri kaldırın.
  7. MS Exchange servislerini aşağıdaki komut ile yeniden başlatın: Get-Service MSExchange* | Restart-Service

Silme işlemini tekrar denediğimde iki yetki silindi ancak bir yetki silinirken aşağıdaki hatayı aldım:

Bu sorunu gidermek için iki yöntem denenebilir:

1- Birincisi geçersiz SID girdisini tespit ederek silmek.

  • Varsa orphaned SID bilgisini bulmak için:
GET-MAILBOXPERMISSION -IDENTITY USERBETA@CLOUDMATRIX.CU.CC | SELECT USER | FL
  • Orphaned SID’in mailbox üzerindeki yetkisini kaldırmak için:
REMOVE-MAILBOXPERMISSION -IDENTITY USERBETA@CLOUDMATRIX.CU.CC -USER "SID WHICH WE GOT" -ACCESSRIGHTS FULLACCESS

2- İkinci yöntem “remove-mailboxpermission” komutunun en sonuna “-Deny:$True” eklemek. 

remove-mailboxpermission -identity “RESOURCE GROUP ADI” -user “DOMAIN/USERNAME” -AccessRights FullAccess -InteritanceType All -Deny:$True

İki seçenekten sonra da MS Exchange servislerini yeniden başlatmak gerekiyor.

MS Teams – Meeting Attendance Report Ayarını Aktif Etme

MS Teams üzerindeki bazı ayarları aktif edebilmek için PowerShell kullanmak gerekiyor.

Meeting Attendance Report ayarını aktif etmek için;

1- Skype for Business Online Connector Module‘ü yüklemek gerekiyor.

2- Skype for Business Online Connector Module’ü yükleyebilmek için PowerShell versiyonunun minimum 5.1 olması gerekli. Bu versiyonu şuradan indirebilirsiniz.

3- PowerShell’i açtıktan sonra aşağıdaki komutları giriyoruz:

Import-Module "C:\Program Files\Common Files\Skype for Business Online\Modules\SkypeOnlineConnector\SkypeOnlineConnector.psd1"
$userCredential = Get-Credential
$sfbSession = New-CsOnlineSession -Credential $userCredential
Import-PSSession $sfbSession

4- Son olarak aşağıdaki komutla ilgili ayarı Enabled olarak ayarlıyoruz:

Set-CSTeamsMeetingPolicy -Identity Global -AllowEngagementReport "Enabled"

 

Onprem – Azure VM Migration – Bandwidth problemi

On-prem’deki bir sunucunun Azure’a migrate işlemi sırasında on-prem ortamda konumlandırılan Configuration sunucusu mevcut internet bant genişliğinin tümünü kullanarak çalışacaktır. Bu durum mevcut hattı sature edeceğinden on-prem ortamdaki kaynaklara erişimde probleme neden olabilir.

Bunu engellemek için Configuration sunucusunda Microsoft Azure Backup uygulamasında “Work hours” & “Non-work hours” için bandwidth değerlerini manuel olarak ayarlayın:

Set up network throttling for backup operations

 

Ek olarak aşağıdaki kaynakta gösterilen ayarlar, bandwidth’i kontrol etmenize yardımcı olabilir:

https://support.microsoft.com/hr-ba/help/3056159/how-to-manage-on-premises-to-azure-protection-network-bandwidth-usage

PowerCli vCenter Bağlantı Hatası – The underlying connection was closed: An unexpected error occurred on a send

vCenter 6.7 versiyonuna PowerCLI ile bağlanmak istediğimde aşağıdaki hatayı aldım:

Hatanın sebebi vCenter 6.7’den itibaren TLS 1.0 ve TLS 1.1’in disable olarak gelmesi. Çözüm olarak iki yol mevcut:

1- vCenter üzerinde TLS 1.0 ve TLS 1.1’i enable etmek.

2- vCenter’a bağlantı yapılan sunucuda komut satırından TLS 1.2 üzerinden bağlantı sağlamak.

İkinci yöntemi tercih ettim. Aşağıdaki kodu çalıştırarak TLS 1.2 üzerinden vCenter bağlantısı yapmak mümkün:

[Net.ServicePointManager]::SecurityProtocol=[Net.SecurityProtocolType]::Tls12