Enable support for TLS 1.2 for Microsoft Cloud Service (Exchange、AVD、Teams....etc.)

近幾個月微軟更新雲端服務，幾乎各種連線都開始只支援 TLS 1.2
如果還沒更新或開啟的話就會出現各種連不上、帳號驗證失敗等等問題
參考微軟說明開啟即可

Update to enable TLS 1.1 and TLS 1.2 as default secure protocols in WinHTTP in Windows

上述網頁中的 EasyFix 直連按這裡

或是跑 PowerShell

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force

If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319')) {
    New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null;
};

Store Birlocker Recovery Password To AD via GPO and Powershell

Computer Configuration (Enabled)
=> Policies
=> => Windows Settings
=> => => Scripts
=> => => => Startup
=> => => => => StoreBitlockerRecoveryRasswordToAD.ps1  

=======================================================
ACL Add Allow Domain Computers to Read and Execute
=======================================================
$keyID = Get-BitLockerVolume -MountPoint c: | select -ExpandProperty keyprotector |  where {$_.KeyProtectorType -eq 'RecoveryPassword'};

if ($keyID.KeyProtectorId -ne $Null) {
Backup-BitLockerKeyProtector -MountPoint c: -KeyProtectorId $keyID.KeyProtectorId;
};
=======================================================

Deal with Azure Virtual Desktop FSLogix failed to attach user profile disk (Open File)

User 在登入 Azure Virtual Desktop 的時候出現無法掛載 User Profile Disk 的問題
經過檢查該 User 沒有任何殘留的 Session 在同一個 Host Pool 的任何一台 Session Host 上
思考方向是 User Profile Disk 在某個 Sign-out event 沒有被正常 Detached 導致 Open File 的問題

處理方式:

以 PoweShell 先登入 Azure Account

    Connect-AzAccount

選取可管理該 User Profile Disk 所存放 Storage Account 的 Subscription

    Select-AzSubscriptionSelect -subscriptionid 'oooooo-xxxxx-oooo-oooo-xxxxxxx'

Password Recover for Remote Desktop Connection Manager (RDCM 密碼找回)

1. 把 RDCMan.exe Copy 並變更副檔名為 dll => RDCMan.dll
2. PowerShell 指令: Import-module [Path]\RDCMan.dll
3. 用純文字編輯軟體 (ex: Notepad、Notepad++) 開啟儲存的 RDCM.rdg 檔案
4. 找到需要的連線目標項目裡面的 <password> 段並複製該段內容
5. 揮揮魔法棒實現還原魔法

Apache 圖片網址根據解析度 Rewite

Line Bot 發送圖片需要有各種解析度的 URL
但若要產生各種解析度的圖片會耗費太多時間造成 Timeout
所以直接寫 Rewrite 到最高解析度的圖片 URL 就好

寫在 Virtual Host 段
如果有多個不同路徑都會用到相同功能可以寫多個 Directory

 <VirtualHost *:80>

<Directory "${SITEROOT}/www.contoso.com/image">
<IfModule rewrite_module>
RewriteEngine On

用 DNS Record 驗證 Let's Encrypt 後打包丟給 Web Server 提供下載 Part-3

本系列共三篇:

用 DNS Record 驗證 Let's Encrypt 後打包丟給 Web Server 提供下載 Part-1
用 DNS Record 驗證 Let's Encrypt 後打包丟給 Web Server 提供下載 Part-2
用 DNS Record 驗證 Let's Encrypt 後打包丟給 Web Server 提供下載 Part-3

承上一篇 用 DNS Record 驗證 Let's Encrypt 後打包丟給 Web Server 提供下載 Part-2

本篇是以 PowerShell 向 Web Server 自動下載憑證的階段 (雙向加密傳輸)

WebRoot/AAPI/Cert/GetCert.php on Web Server

#--------------------------------------------------------------------------------

<?php
header("HTTP/1.1 200 OK");
$Received_JsonContent = file_get_contents('php://input');

if (!function_exists('CloseConnection')) {
include($_SERVER['DOCUMENT_ROOT'].'/API/Cert/Config.php');
};

if (empty($Received_JsonContent)) {
CloseConnection();
exit;
};

ob_clean();

用 DNS Record 驗證 Let's Encrypt 後打包丟給 Web Server 提供下載 Part-2

本系列共三篇:

用 DNS Record 驗證 Let's Encrypt 後打包丟給 Web Server 提供下載 Part-1
用 DNS Record 驗證 Let's Encrypt 後打包丟給 Web Server 提供下載 Part-2
用 DNS Record 驗證 Let's Encrypt 後打包丟給 Web Server 提供下載 Part-3

承上一篇 用 DNS Record 驗證 Let's Encrypt 後打包丟給 Web Server 提供下載 Part-1

本篇是 Web Server 提供手動下載的階段

WebRoot/Cert/config.php

#--------------------------------------------------------------------------------

<?php
// -----
$Domain = 'contoso.com';
$CertPackagesPath = 'C:/WebSite/z_CertPackage/';
$APIKey = 'lsiMwjc80ptrSoqvBHkTCIYGA6gaxDd7';
#All
$CertManager['UserName1'][]='all';
$CertManager['UserName2'][]='all';
#User
$CertManager['UserName3'][]='www';
$CertManager['UserName4'][]='webmail';
// -----
if (!isset($CertManager)) {
CloseConnection();
exit;
};

用 DNS Record 驗證 Let's Encrypt 後打包丟給 Web Server 提供下載 Part-1

本系列共三篇:

用 DNS Record 驗證 Let's Encrypt 後打包丟給 Web Server 提供下載 Part-1
用 DNS Record 驗證 Let's Encrypt 後打包丟給 Web Server 提供下載 Part-2
用 DNS Record 驗證 Let's Encrypt 後打包丟給 Web Server 提供下載 Part-3

透過 Microsoft DNS Server 上用 DNS Record 來驗證 Let's Encrypt 的 PowerShell Script 之後
需要將取得的憑證丟給目標伺服器使用，但 DNS Server 本身就不太適合再擔任其他服務腳色，容易因為有漏洞而被攻擊，影響 DNS 服務，進而影響整個 Domain 運作。因此在取得更新的憑證後，先以 7-Zip 打包，再透過加密的方式傳輸到 Web Server 上提供給各伺服器負責人下載使用。

需要在 DNS Server 上執行 PackCert.ps1
Web Server 上的 API 接收後存起來 (API Path 建議做好 Source IP Filter)
使用者再從網頁手動下載或透過 GetCert.ps1 下載

相關動作我將拆成三篇來寫
本篇是 DNS Server 打包丟給 Web Server 儲存的階段

PackCert.ps1 on DNS Server

API Key 必須與 Web API 相同
CertPassword 看申請 Let's Encrypt 憑證的時候用什麼密碼就填什麼
#--------------------------------------------------------------------------------

GPO to Control Chrome Extensions

 圖片來源: 土豪哥

Enable TLS 1.2 for Azure Virtual Desktop Client on Windows 7

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force

If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319')) {
    New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null;
};
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null;
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null;

If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319')) {
    New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null;
};
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null;
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null;