Auto base sync: 2026-01-27 14:36:13

2026-01-27 14:36:13 +04:00
parent a55edcfdbf
commit c4b0d5fb7a
4 changed files with 14 additions and 199 deletions
--- a/.obsidian/plugins/eccirian/data.json
+++ b/.obsidian/plugins/eccirian/data.json
@@ -6,7 +6,7 @@
  "showToggleExtensionButton": true,
  "showNotice": false,
  "showHint": true,
-  "fileExtension": "eccirian",
+  "fileExtension": "peccirian",
  "encryptAttachments": true,
  "kdfType": "PBKDF2",
  "pbkdf2Iterations": 600000,
--- a/.obsidian/workspace.json
+++ b/.obsidian/workspace.json
@@ -11,23 +11,12 @@
            "id": "21838e3412a13823",
            "type": "leaf",
            "state": {
-              "type": "markdown",
+              "type": "peccidian-encrypt-view",
              "state": {
-                "file": "2. Проекты/Windows server 2019 + exchange/Инструкция настройки windows.md",
+                "file": "2. Проекты/Windows server 2019 + exchange/Инструкция настройки windows.peccirian",
-                "mode": "source",
+                "type": "peccidian-encrypt-view"
                "source": false,
                "backlinks": true,
                "backlinkOpts": {
                  "collapseAll": false,
                  "extraContext": false,
                  "sortOrder": "alphabetical",
                  "showSearch": false,
                  "searchQuery": "",
                  "backlinkCollapsed": false,
                  "unlinkedCollapsed": true
                }
              },
-              "icon": "lucide-file",
+              "icon": "lock",
              "title": "Инструкция настройки windows"
            }
          }
@@ -192,7 +181,7 @@
  "active": "21838e3412a13823",
  "lastOpenFiles": [
    "2.1 Ссылки на ПО/1. FIclash.md",
-    "2. Проекты/Windows server 2019 + exchange/Инструкция настройки windows.md",
+    "2. Проекты/Windows server 2019 + exchange/Инструкция настройки windows.peccirian",
    "Без названия.md",
    "2. Проекты/VPN_MARZBAN/2. Инструкция Marzban/Создание сертификатов и их внесение в marzban.md",
    "2. Проекты/Windows server 2019 + exchange",
@@ -234,7 +223,6 @@
    "5. Job/1. Отчетности/2025 год/Ноябрь 2025/19.11.2025.md",
    "5. Job/1. Отчетности/2025 год/Ноябрь 2025/13.11.2025.md",
    "5. Job/1. Отчетности/2025 год/Ноябрь 2025/12.11.2025.md",
    "5. Job/1. Отчетности/2025 год/Ноябрь 2025/11.11.2025.md",
    "5. Job/1. Отчетности/2025 год/Ноябрь 2025",
    "5. Job/1. Отчетности/2025 год/1. Декабрь"
  ]
--- a/exchange/Инструкция
+++ b/exchange/Инструкция
@@ -1,181 +0,0 @@
 >[!Danger]- 1. Установка и базовая настройка **Win server**
 >1. Установи Windows Server 2019 **Desktop Experience**, задай сильный пароль локального Administrator и включи RDP (лучше ограничить по IP на фаерволе).
 >2. Поставь статический IP (на DC DNS будет “сам на себя”, на Exchange DNS будет указывать на DC).
 >3. Синхронизация времени: обязательно корректное время/часовой пояс, иначе будут проблемы с Kerberos/SSL.
 >Задайте статический IP, шлюз, DNS.
 >>[!todo]- 1 
 > > Если сервер = DC/DNS: DNS указывайте на себя (127.0.0.1 и/или свой IP).
 > > 
 > > Если сервер = только Exchange: DNS указывайте на DC.
 > > 
 > > Проверьте время/часовой пояс (важно для Kerberos/сертификатов).
 > > 
 > > Timezone, NTP, синхронизация.
 > > 
 > > Включите RDP (если нужно) и проверьте Windows Firewall (пока можно оставить дефолтный, но убедитесь, что 443/25 потом не блокируются).
 > > 
 > > Обновления.
 > > 
 > > Установите все обновления Windows.
 > > 
 > > Перезагрузки до тех пор, пока обновлений не останется.
 > > 
 > > Переименование сервера (если ещё не делали):
 > > ```
 > > Rename-Computer -NewName "<SERVERNAME>" -Restart
 > > ```
 > > **Изменить WINS5 НА ТРЕБУЕТСЯ ИМЯ**
 > 
 >>[!todo]- 2 Проверка, что **443 порт** вообще живёт на сервере (потом пригодится при диагностике OWA/ECP):
 >>```
 >>`Test-NetConnection 127.0.0.1 -Port 443 netstat -ano | findstr ":443"`
 >>```
 >[!Failure]- 2) AD DS + DNS (и ваш split‑DNS)
 >>[!info] Критично, чтобы внутренние ПК ходили на внутренний IP, а снаружи — на публичный.
 >>Именно из‑за этого у вас “то открывается /owa, то не открывается”: внутри сети обращение к публичному IP не проходило (hairpin NAT), поэтому вы лечили split‑DNS.
 >>
 >
 >>[!Danger]- **2.1** Если Domen Controller не поднят. Настройка DC
 >>На будущем DC:
 >>```
 >>Install-WindowsFeature AD-Domain-Services,DNS -IncludeManagementTools
 >>```
 >>Дальше поднимайте лес (пример):
 >>```
 >>Install-ADDSForest -DomainName "<AD_DOMAIN_LOCAL>" -DomainNetbiosName "<NETBIOS>"
 >>```
 >>>[!ifno] Пример
 >>>```
 >>>Install-ADDSForest -DomainName "s5teams.local" -DomainNetbiosName "S5TEAMS"
 >>>```
 >
 >>[!Tip]- **2.2** Публичный домен внутри сети (split‑DNS) 
 >>>[!info] Смысл:
 >>> внутри сети `mail.stitch505.ru` должен резолвиться в **ip типа** **192.168.....**, чтобы OWA/ECP открывались из LAN стабильно.
 >>
 >>>[!Warning] На каждом внутреннем DNS, который обслуживает клиентов (это важно! у вас были разные DNS на разных подсетях), создайте зону `**YOUR_DOMEN**` и запись:
 >>```
 >>Add-DnsServerPrimaryZone -Name "YOUR_DOMEN" -ReplicationScope "Domain" -DynamicUpdate "None"
 >Add-DnsServerResourceRecordA -ZoneName "YOUR_DOMEN" -Name "mail" -IPv4Address  "192.168.60.212"
 >Add-DnsServerResourceRecordCName -ZoneName "YOUR_DOMEN" -Name "autodiscover" -HostNameAlias "mail.YOUR_DOMEN"
 >>```
 >>
 >>>[!Bug] ЗАМЕНИТЬ ДАННЫЕ IP и указать свой домен вместо YOUR_DOMEN
 >
 >>[!Bug]- Проверка на клиентском ПК после изменений:
 >>```
 >>ipconfig /flushdns nslookup mail.YOUR_DOMEN
 >>``` 
 >[!Bug]- 3. Exchange 2019: установка и базовая оживлялка веба (OWA/ECP)
 >>[!info] 
 >>Эта часть — чтобы после установки сразу работали https://mail.../owa и https://mail.../ecp, и чтобы при сбоях вы быстро отличали “IIS жив” от “DNS/маршрут сломан”. В вашем диалоге веб реально “падал” снаружи/изнутри, но на сервере 443 был жив — это типичный признак не Exchange, а сети/DNS.
 >
 >>[!Warning]- 3.1 До установки Exchange (ЧЕКЛИСТ)
 >>1. Сервер должен быть членом домена (если Exchange не на DC).
 >>2. Установите prerequisites (самый практичный путь — ставить компоненты/зависимости, которые просит установщик CU).
 >>3. Перезагрузите сервер, убедитесь, что IIS/службы не в “полуживом” состоянии.
 >
 >>[!warning]- 3.2 Установка Exchange
 >>Смонтировать ISO Exchange 2019 CU.
 >> Запустить setup, выбрать роль Mailbox (в 2019 фактически одна роль).
 >> После установки открыть:
 >> https://<имя_сервера>/ecp (первичная проверка)
 >> потом уже через https://YOUR_DOMEN/ecp
 >
 >>[!Warning] 3.3 Если /owa или /ecp “вечно грузится/таймаут”
 >>1. Проверка на самом сервере:
 >>```
 >>Test-NetConnection 127.0.0.1 -Port 443
 netstat -ano | findstr ":443"
 >>```
 >>2. Быстрый перезапуск IIS:
 >>```
 >>iisreset
 >>```
 >>3. Если внутри сети с ПК не открывается, а на сервере 127.0.0.1:443 ок — почти всегда это DNS/hairpin, возвращайтесь к разделу split‑DNS.
 >[!Danger] DKIM/SPF/DMARC/PTR
 >Прошлая рабочая схема
 >A mail → 188.170.157.193
 >CNAME autodiscover → mail.stitch505.ru
 >MX → mail.stitch505.ru
 >SPF (TXT для корня домена) `v=spf1 ip4:<PUBLIC_IP> -all`
 >DKIM (TXT для селектора) `v=DKIM1; k=rsa; p=<PUBLIC_KEY>`
 >```
 >Что писать: public key, который выдаёт твой DKIM‑агент/провайдер, обычно формата:
 >```
 >DMARC (TXT для _dmarc) v=DMARC1; p=none; rua=mailto:dmarc@<PUBLIC_DOMAIN>
 >PTR (reverse DNS) — **не в Cloudflare а у провайдера**
 >```
 >Обычно нужно: `<PUBLIC_IP>` → `mail.<PUBLIC_DOMAIN>`, и при этом A‑запись `mail.<PUBLIC_DOMAIN>` должна указывать обратно на `<PUBLIC_IP>`.
 >```
 >
 >>[!info] DKIM-агент (Exchange DkimSigner / dkim-exchange) (скачать из интернета или прикрепленного файла)
 >>ПО/что это:
 >>```
 >>это отдельный DKIM‑подписывающий агент для **Exchange on‑prem**, который добавляет заголовок `DKIM-Signature` на исходящую почту.[](https://github.com/Pro/dkim-exchange/issues/78)
 >>```
 >>
 >1. **Установка**
 > - Ставится на Exchange сервер (где работает транспорт).
 > - После установки обычно появляется GUI (настройки доменов) и папка с ключами (часто ...\keys).
 >2. **Создание домена и ключа**
 >- В GUI агента добавь домен: <PUBLIC_DOMAIN>
 >- Selector: например s1 (или любой другой, но одинаковый в агенте и DNS)
 >- Сгенерируй ключ (обычно RSA 2048)
 >- Скопируй public key → вставь в Cloudflare TXT: s1._domainkey.<PUBLIC_DOMAIN>
 >3. **Файлы ключей**. 
 > - Private key обычно лежит в файле типа: `C:\Program Files\<DKIM signer>\keys\<PUBLIC_DOMAIN>.pem`
 >- Именно этот файл должен быть доступен службе транспорта Exchange.
 >
 >>[!Warning] Главная ошибка и исправление (Access denied)
 >>```
 >>Почему ломается: транспорт Exchange обычно работает от `NT AUTHORITY\NETWORK SERVICE`, и если у него нет прав на чтение private key (`.pem`), агент пишет “Access denied”, ключ не грузится и доменов становится 0.
 >>```
 >>>[!todo] **Исправление (универсально, подставь свой путь и домен):**
 >>> ```
 >>> $KeyFile = "C:\Program Files\Exchange DkimSigner\keys\<PUBLIC_DOMAIN>.pem" icacls $KeyFile /inheritance:e icacls $KeyFile /grant "NT AUTHORITY\NETWORK SERVICE:RX" Restart-Service MSExchangeTransport
 >>> ```
 >>> **/inheritance:e** включает наследование ACL, а /grant добавляет права, это штатный синтаксис icacls.
 >
 >>[!Info] Проверка после настройки
 >>1. В логе DKIM‑агента должно быть что-то вроде “settings loaded / Number of domains: 1” (или аналогичная строка, смысл — домен подхватился).
 >>2. Отправь письмо на Gmail → “Показать оригинал”: должно быть `dkim=pass`, а также заголовок `DKIM-Signature`
 >>3. 
 >[!Danger] Проверки
 >Проверка доступности после настройки PTR записей
 >```
 >nslookup 188.170.157.193 8.8.8.8
 nslookup 188.170.157.193 1.1.1.1
 Если есть ошибки:
 1) агент пишет, что не может загрузить private key “Отказано в доступе”, и доменов становится 0, **Измени YOUR_DOMAIN**
 ```
 icacls "C:\Program Files\Exchange DkimSigner\keys\YOUR_DOMAIN.pem" /inheritance:e
 icacls "C:\Program Files\Exchange DkimSigner\keys\YOUR_DOMAIN.pem" /grant "NT AUTHORITY\NETWORK SERVICE:RX"
 Restart-Service MSExchangeTransport
 ```
--- a/exchange/Инструкция
+++ b/exchange/Инструкция