IT - TA

FortiClient VPN Only

https://links.fortinet.com/forticlient/win/vpnagent

# Remove-RDSTimebomb.ps1
# Remove registry value start with "L$RTMTIMEBOMB" in key GracePeriod
# Require: run as Administrator

$ErrorActionPreference = 'SilentlyContinue'
$path = "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\GracePeriod"
if (Test-Path $path) {
$values = (Get-Item $path).GetValueNames() | Where-Object { $_ -like "L$RTMTIMEBOMB*" }
foreach ($v in $values) {
try {
Remove-ItemProperty -Path $path -Name $v -Force
Write-Output ("{0} - Removed: {1} in {2}" -f (Get-Date -Format 'yyyy-MM-dd HH:mm:ss'), $v, $path)
} catch {
Write-Output ("{0} - Error {1}: {2}" -f (Get-Date -Format 'yyyy-MM-dd HH:mm:ss'), $v, ${_}.Exception.Message)
}
}
} else {
Write-Output ("{0} - Not found key GracePeriod." -f (Get-Date -Format 'yyyy-MM-dd HH:mm:ss'))
}
Write-Output "Success."

Cấu hình syslog cho SAN HP MSA 1040

Xem thông số hiện tại:

# show syslog-parameters
Syslog Parameters
-----------------
Syslog Host IP: 0.0.0.0
Syslog Notification Level: none
Syslog Host Port: 0

Cấu hình thông số:

set syslog-parameters [host-ip <IP-address>] [host-port <port-number>] notification-level crit|error|warn|info|none

Để xem hướng dẫn: thêm help ở đầu dòng

Upgrade Microsoft Entra Connect Sync

Bản Entra Connect Sync cũ hơn thông báo dưới đây sẽ bị dừng hoạt động, không sync được nữa, do đó cần lên bản mới nhất có thể.

https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-upgrade-previous-version

Chú ý kiểm tra .NET và TLS như trong thông báo

Tự động gán user mới vào group AD

Tình huống:

User mới, tạo từ app nên đã được cho sẵn vào các OU, cần add group tương ứng OU cho user.

Xử lý:

- Tạo 1 file csv mapping các OU với AD Group cần thiết: "C:\bat\OU_List.csv". Export toàn bộ các OU bằng script:

Import-Module ActiveDirectory

$output = "C:\bat\OU_List.csv"
$ous = Get-ADOrganizationalUnit -Filter * | Select-Object Name, DistinguishedName
$ous | Export-Csv -Path $output -NoTypeInformation -Encoding UTF8
Write-Host "Exported to: $output"

Nâng cấp thêm license cho SAN Switch HPE

SAN Switch HPE khi mua có 24 port FC, nhưng chỉ active sẵn 8 port. Khi cần sử dụng thêm cần mua license mở rộng. Ví dụ mua gói mở rộng thêm 8-port, khi đó sẽ kèm sẵn 8 SFP mới luôn trong gói.

Thực hiện nâng cấp:

- Nhận hàng: gói 8 SFP đi kèm sẽ có hướng dẫn lấy license + tem dán các thông số cần thiết phục vụ cho việc lấy license. Không được vứt đi cho tới khi xong việc. Tốt nhất nên chụp 1 bản và lưu lại.

- Lấy license: cần có tại khoản HPE trước. Sau đó truy cập theo tờ hướng dẫn:

Nhập các thông tin EON (phiếu order): in sẵn trên vỏ pack => bấm Active order
Serial của 1 SFP bất kỳ trong pack: trên vỏ pack đã in sẵn, hoặc có thể tự chọn SFP khác
WWN của SAN switch: lấy trên tag đi kèm switch, hoặc ssh/web vào show
HPE sẽ generate ra file license, có tùy chọn download về hoặc gửi vào email. Nên làm cả 2.

- Cài đặt:

Có tùy chọn vào web và thực hiện qua GUI, kết nối FTP/SCP/SFTP tuy nhiên đã thử và không thành công
Sử dụng USB: gắn dây console vào switch, chạy lệnh để enable usb "usbstorage -enable" Chú ý usb dung lượng nhỏ cỡ 8GB trở xuống, định dạng FAT32, format sạch chỉ để lại file license
Chạy tiếp lệnh: license --install -usb <filename.xml>
Xong kiểm tra lại bằng lệnh license --show

MS 365 chạm giới hạn số lượng xóa user cùng lúc

Để tránh xóa nhầm, trên hệ thống AAD Connect sẽ có giới hạn số lượng user xóa trong cùng 1 lượt:

https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sync-feature-prevent-accidental-deletes

Giới hạn mặc định: 500

Cách check:

Trên server AAD Connect, mở powershell chạy lệnh:

Get-ADSyncExportDeletionThreshold

và nhập tài khoản Admin 365

Để thay đổi hạn mức, ví dụ 980:

Enable-ADSyncExportDeletionThreshold -DeletionThreshold 980

Sau khi xóa xong nên chỉnh lại hạn mức thấp xuống như cũ cho an toàn

Tạo user mới, group mới cho remote qua Guacamole

0. Vào Clients > tìm guacamole > click vào và rạo role mới

1. Vào Keycloak admin để yêu cầu add thêm xác thực OTP

2. Vào Groups => tạo group tương ứng khoa phòng, cho user join group.

2a. Vào Role mapping, để map Group với Role tương ứng => các user sẽ có role theo group này

3. Vào Guacamole > Settings > Groups > Tạo group mới, trùng tên group bên Keycloak

4. Sang tab Connections > tạo Group mới, chỗ này đặt tên tùy ý được, nên đặt trùng nốt cho khỏe

=> Trong group tạo PC mới để remote

Cài app lên TV Samsung Tizen:

Cấp quyền gửi vào group/distribution list

Tình huống:

MS 365 có dynamic distribution list là abc@d.com và chặn gửi vào theo white list, muốn thêm 1 email mới là ef@d.com vào danh sách cho phép gửi đến abc@d.com, sử dụng power shell

Sử dụng powershell 7 trở lên, cụ thể tại thời điểm này là 7.5.3

pwsh

Chạy lệnh: Connect-ExchangeOnline

Nếu bị lỗi, chạy Connect-ExchangeOnline -Device

Ra thông báo: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code IFWTW5N3S to authenticate.

=> làm theo hướng dẫn để connect

Lấy danh sách đang allow hiện tại để test:

Get-DynamicDistributionGroup "all@tamanhhospital.vn" | fl Name,AcceptMessagesOnlyFrom,AcceptMessagesOnlyFromSendersOrMembers

Chạy lệnh add thêm vào allow list:

Set-DynamicDistributionGroup "abc@d.com" -AcceptMessagesOnlyFrom @{Add="ef@d.com"}

Check Performance Reliability - lịch sử crash app trên windows

CMD chạy lệnh Perfmon /rel

Hoặc vào theo menu Reliability Monitor:

VM mới từ Rocky template

Tạo VM mới từ template Rocky đã có

Mở Gitlab > Build > Pipelines > bấm [New Pipeline]

Chọn PLAYBOOK: new_server, LIMIT: VM name > bấm [New Pipeline] > deploy

Sau khi deploy xong, vào console login root

cd /etc/ssh

sudo vi sshd_config

Sửa PasswordAuthentication no thành PasswordAuthentication yes

:wq

Tạo tài khoản riêng:

sudo useradd -m username
sudo passwd username

sudo usermod -aG wheel username

Tạo bot telegram gửi alert

Tìm @BotFather (có dấu tích verified)

/start

/newbot

Đặt tên bot mới, yêu cầu đặt tên có _bot ở cuối, tối đa 32 char, chữ + số + gạch dưới. Ví dụ: Site_Alert_Devices_bot

/mybot chọn bot đã tạo

API Token => lấy key API, dạng 8443315929:AAFw0tzxo8eUScBL5Xw_729_FLv7262OwHn

Back to settings

Bot settings > Group privacy > Turn off (cần check phần này có cần thiết không - chỉ để bot có thể đọc được tin nhắn trong group - và phục vụ check getUpdates)

Chat với bot, START

Tạo Group mới, đặt tên, add bot vào group, chat vài tin, sử dụng URL để check xem đã đọc được tin mới chưa, đọc được là ok

https://api.telegram.org/bot[thay API token vào đây, không bao gồm dấu ngoặc]/getUpdates

Đồng thời khi truy cập URL trên cũng sẽ lấy được chat_id của group, lưu lại

chat_id thường là số âm: -100xxxxxxxxxx

Test cho bot gửi tin nhắn vào group (cmd):

curl -s -X POST "https://api.telegram.org/bot[thay API token vào đây, không bao gồm dấu ngoặc]/sendMessage" -d chat_id=[chat_id của group] -d text="Test từ server alert thành công!"

VeeamOne: edit trên C:\script

Zabbix:

Alerts > Media types > chọn và edit botToken
Users > Admins > Media > chọn và edit chat_id của group

PRTG: vào noti như email thông thường, add thêm thao tác Execute HTTP Action rồi dùng link API sendmessages của telegram

Các loại group, group email trên Microsoft 365

Nơi quản trị:

1. Microsoft 365 admin center:

- Menu: Home > Active teams & groups > Active teams and groups

- Các loại group:

Teams
Microsoft 365 group
Distribution list
Security group

2. Exchange admin center:

- Menu: Home > Recipients > Groups

- Các loại group

Microsoft 365
Distribution list
Dynamic distribution list
Mail-enabled security

Quản lý member:

- Với group Microsoft: https://myaccount.microsoft.com/groups/groups-i-own

Microsoft 365

- Dành cho user có quyền owner: https://admin.exchange.microsoft.com/#/groups

Distribution list
Mail-enabled security

Export danh sách member trong group email 365

Get-DistributionGroupMember -Identity "tên group" | Select Name, PrimarySmtpAddress | Export-Csv -Path "D:\DanhSach.csv" -NoTypeInformation

Self host xibo trên Debian 13

Tải Debian 13: https://www.debian.org/download

Tạo VM, xác định dung lượng VM cần thiết để chứa media trên server

Cài đặt lên VM, khi cài tích chọn thêm SSH Server phục vụ remote sau này, cài GRUB bootloader

Add user hiện tại (xiboadmin) có quyền Administrator (trên GUI - Settings)

Mở terminal: gõ lệnh

su =>chuyển qua root

/usr/sbin/usermod -aG sudo xiboadmin

=> cho xiboadmin quyền sudo

Add/remove license bằng CLI - 2

Thực hiện xóa lic Teams Ent, thay bằng Teams Ess:

#Connect-MgGraph -Scopes User.ReadWrite.All

# User
$userId = "user@domain.com"

# SKU ID
$teamsEss = "3ab6abff-666f-4424-bfb7-f0bc274ec7bc"   # Teams Essentials
$teamsEnt = "7e31c0d9-9551-471d-836f-32ee72be4a01"   # Teams Enterprise

# Remove Teams Ent + Add Teams Ess
Set-MgUserLicense -UserId $userId `
    -AddLicenses @(@{SkuId = $teamsEss}) `
    -RemoveLicenses @($teamsEnt)

Write-Output "Removed Teams Ent, Added Teams Ess"