UAC czasami przeszkadza – to fakt. Poprawia bezpieczeństwo – to jeszcze bardziej znany fakt (jak mawia Paula – komputer bez UACa, to jak komputer z pustym hasłem dla admina :) )

W Windows Vista UAC powodował czasmi symptom niemożności zalogowania się – objawy jak i ich wyleczenie są opisane w odpowiednich KB:

• When you try to log on to a Windows Vista-based computer, you briefly receive a "Welcome" message, and then you are logged off
• Blank Desktop on Windows Vista or Windows Server 2008

a co jeśli takie objawy pojawią się na Windows 7? i mamy wyłączonego UACa? i wpisy w rejestrze są ok? i członkowstwo grup się zgadza?

Odpowiedzi szukałem 3 godziny – App Locker – bez włączony podstawowych (Default) reguł explorer nie potrafi uruchomić C:\Windows\system32\userinit.exe ^^

[SOLVED] \(^~^)/

Dzisiaj zwróciłem uwagę, że Google Reader potrafi sortować postu wg magii:

Sort by magic - LOL

Repost z Polskiego Bloga System Center

Po raz kolejny w Las Vegas odbyła się największa, zorientowana na technologie Microsoft, konferencja poświęcona zarządzaniu infrastrukturą. Fani i wielbiciele rodziny System Center zawsze śledzą wydarzenia z MMS-a ze sporą uwagą, ponieważ większość premier System Centrowych ma miejsce właśnie na tej konferencji. Oprócz tego można tam zobaczyć wiele nowości i pokazów przedpremierowych (beta, alpha, Milestone). Oczywiście większość wiadomości można przeczytać w innych miejscach, ale postanowiłem tutaj zebrać wszystkie i postarać się je skomentować.

1. Premiery – MMS to jak wspomniałem, to przede wszystkim premiery. Pod tym względem konferencja zdecydowanie nie zawiodła: zostały ogłoszone dostępności finalnych wersji trzech produktów
   1. Data Protection Manager 2010 – udostępnienie szerokiej publice wersji Trial; pełna instalacja będzie dostępna w ciągu paru tygodni na TechNet/MSDN/MVLS
   2. System Center Essentials 2010 – dostępność jak powyżej, co nie dziwi ponieważ premiera obu produktów była wspólna
   3. System Center Service Manager 2010 – Pełna wersja ma się pojawić najpóźniej 1. czerwca, czyli po dacie ogólnej dostępności (General Availability). Oprócz dostępności samego produktu pojawił się nowy Compliance Pack spełniający normy amerykańskich ustaw o bezpieczeństwie.
2. Plany na 2011 – Pokazano roadmapę produktową na rok 2011. Pojawią się wtedy wersje vNext produktów: Operations Manager, Virtual Machine Manager, Configuration Manager. Pod koniec przyszłego roku można spodziewać się także: Service Manager R2, Windows Intune V1, oraz dużych aktualizacji: Data Protection Manager, Forefront Endpoint Protection, System Center Essentials
3. Bety: udostępniono szerokiej publice także szereg produktów w wersjach beta:
   1. Configuration Manager R3 – w tym roku MMS biegł się w czasie z zielonym tygodniem (kończącym się Dniem Ziemi), więc nie było żadną niespodzianką, że w SCCM R3 położony główny nacisk na oszczędności energii zgodnie z hasłem “Zielone IT”; link do bety na Connect: https://connect.microsoft.com/site16
   2. Windows InTune – nowe rozwiązanie oparte o System Center Online służące do zarządzania środowiskiem w oparciu o chmurę. Z ciekawostek warto zaznaczyć, że kupując InTune dostanie się dostęp do Windows 7 Enterprise (jako upgrade) oraz MDOP (dotychczas dostępny tylko w ramach Software Assurance). Mnie osobiście miło zaskoczył fakt, że w pakiecie InTune jest także zawarty komponent antywirusowy. Poniżej tabelka porównująca funcje produktu:
      
4. SCOM vNext – nowa wersja oprogramowania monitorującego skupiać się będzie przede wszystkim na wdrożeniach w chmurze.
   • Ujednolicone monitorowanie wnętrza organizacji oraz elementów hostowanych w infrastrukturze rozproszonej, co zapewni możliwość hybrydowych wdrożeń “chmurowych”
   • Zorientowane na usługi monitorowanie macierzy i zasobów sieciowych
   • Monitorowanie usług chmurowych oparte o syntetyczne transakcje
   • Integracja przepływów pracy opartych o Opalis (pierwsze przykłady zastosowania Opalis w SCOM już można zobaczyć na wersji 2007 R2)
   • Usunięcie sekcji Authoring (zostanie przeniesiona do osobnej Authoring Console) a dodanie Modeling Configuration.
   • Interfejs oparty na wstążce (Ribbon)
5. SCVMM vNext – tutaj postawiono także na cloud computing:
   • Polepszone wsparcie wirtualizacji aplikacji
   • Przystosowanie do budowy prywatnych chmur
   • Serwisowanie wyłączonych maszyn wirtualnych – aktualizacje, oprogramowanie, dostosowywanie obrazów, ulepszone wdrażanie, komunikacja ze WSUS, a co za tym idzie “łatanie” maszyn na bieżąco
   • Zastosowanie techniki Drag&Drop do budowy wielopoziomowej infrastuktury
   • Interfejs oparty na wstążce (Ribbon)
6. SCCM vNext – małe odchylenie – nie będzie o chmurze :) W kolejnej wersji SCCM-a zobaczymy jak ładnie Opalis zintegrował się z nowym softem, czyli User Centric, and System Center Configuration Manager vNext. Oprócz tego SCCM da możliwość wdrażania wirtualnych aplikacji z Citrix XenApp, a jego interfejs będzie oparty o… TAK! Ribbon-a! :)
7. Wydanie finalnej wersji SCCM Dashboard – zdecydowanie fajne narzędzie, które za darmo niesamowicie rozszerza możliwości raportowania w SCCM
8. Hyper-V – na MMS oficjalnie pokazano jak SP1 do Windows Server 2008R2 doda funkcjonalność Dynamic memory (ustawienie maszynie wirtualnej więcej RAM-u niż jest dostępne na hyperwizorze)
9. Forefront – trochę nie na miejscu, bo nie ta rodzina produktów, ale na tegorocznym MMS wyszły dwie bardzo przykre rzeczy dotyczące Forefront Protection Manager i Forefront Endpoint Protection:
   1. Forefront Protection Manager, dawniej “Stirling” został całkowicie SKASOWANY. Do zintegrowanego zarządzania Forefront Protection for Exchange i Forefront Protection for Sarepoint będzie służyć stara konsolka Forefront Server Security, do której zostanie wydany Service Pack, aby uwzględnić obsługę nowych produktów – co ciekawe, bo konsolka ta występuje tylko w wersji x86… Zobaczymy co z tego będzie
   2. Forefront Endpoint Protection został przesunięty na Q3/Q4 2010 i będzie wydany TYLKO jako dodatek do SCCM. I o ile skasowanie FPM jestem w stanie zrozumieć (kolosalny produkt, który można zastąpić wydaniem Management Packów do SCOM), to okrojenie (bo to jest okrojenie – sprowadzenie całego produktu do rangi Feature Packa) następcy Forefront Client Security jest IMHO strzałem w kolano.

I to by było na tyle podsumowania. w Las Vegas działo się zdecydowanie więcej, ale powyższy tekst będąc tylko krótkim podsumowaniem nie próbuje nawet pokryć całości zagadnienia.

Źródła:

• System Center Service Manager 2010: An Integrated Platform for IT Service Management
• Configuration Manager vNext: User Centric Client Management
• Mobile Device Management with Configuration Manager vNext
• Configuration Manager 2007 R3 Beta released
• What’s coming up with the next versions of SCOM and VMM!
• User Centric, and System Center Configuration Manager vNext
• MMS 2010 Kicks Off in Las Vegas

Filmiki z Keynotami z obu dni konferencji:

częściowe podsumowanie konferencji:

Niemiecki zespół odpowiedzialny za GPO wypuścił RC drugiej wersji narzędzi do wyszukiwania konkretnych ustawień GPO. Dostępne jest ono pod adresem http://gps.cloudapp.net/. Zdecydowanie POLECAM zapoznanie się:)

Polska Grupa System Center i Łódzka Grupa Profesjonalistów IT i .NET mają przyjemność zaprosić wszystkich chętnych na majowe spotkanie dla pasjonatów technologii Microsoft.

Miejsce: Warszawa, ul. Koszykowa 86; siedziba Polsko-Japońskiej Wyższej Szkoły Technik Komputerowych

Czas: 2. maja 2010r. (niedziela) godzina 11:00

Rejestracja: ze względu na to, że jest to środek długiego weekendu majowego, nie planujemy żadnej rejestracji. Jedynie prosimy o przysłanie wcześniej maila na adres d0m3l@pjwstk.edu.pl z informacją o planach przybycia - to tylko ze względu na to, żeby nie zabrakło jedzenia :)

Agenda: Tutaj zaznaczamy, że agenda jest zaplanowana w sposób mało restrykcyjny i może ulec zmianie pod wpływem Waszych porad i zainteresowań

Podkreślamy, że wydarzenie ma charakter bardzo nieformalny, więc kapelusze z szerokim rondem i szorty będą mile widziane :D

Serdecznie zapraszamy i do zobaczenia w maju!

PS. Dziękujemy Polsko-Japońskiej Wyższej Szkole Technik Komputerowych za udostępnienie miejsca.

Jakiś czas temu (tak na prawdę dawno – pół dekady) Peki oswajał linuksy na RISie http://www.umniedziala.pl/RISaInstalacjiCzescVOswajaniePingwina.aspx. Powoli zbliża się czas aktualizacji komputerów do W7, więc trzeba było pomyśleć nad wdrożeniem Widnows Deployment Services. Żeby było łatwiej – zainstalowałem i skonfigurowałem Microsoft Deployment Toolkit 2010 (posiłkując się między innymi artykułem nexora - http://www.microsoft.com/poland/technet/article/art0173.mspx). Wszytko pięknie. Przygotowałem boot images z zestawem sterowników. Zmodyfikowany customsettings.ini:

[Settings]
Priority=Default
Properties=MyCustomProperty

[Default]
OSInstall=Y
SkipBDDWelcome=NO
SkipProductKey=YES
SkipComputerName=NO
SkipDomainMembership=NO
JoinDomain=pjwstk.edu.pl
DomainAdminDomain=PJWSTK
MachineObjectOU=OU=newstud,OU=TESTOWA,DC=pjwstk,DC=edu,DC=pl
SkipUserData=YES
SkipLocaleSelection=YES
InputLocale=0415:00000415; 0409:00000409; 0411:00000411
KeyboardLocale=pl-PL
UserLocale=pl-PL
SkipTimeZone=YES
TimeZoneName=Central European Standard Time
SkipAdminPassword=YES
SkipBitLocker=YES
DoNotCreateExtraPartition=YES
SkipComputerBackup=YES
SkipFinalSummary=YES
SkipAppsOnUpgrade=YES
SkipCapture=NO
SkipApplications=NO
SkipPackageDisplay=NO
SkipDeploymentType=NO
SkipWizard=NO
SkipSummary=YES
_SMSTSOrgName=PJWSTK
UserDomain=pjwstk

Plik C:\Program Files\Microsoft Deployment Toolkit\Templates\winpeshl.ini zmieniony, żeby wyłączyć F8 (odizolowanie CMD):

[LaunchApps]
%SYSTEMROOT%\System32\bddrun.exe,/bootstrapNoSF8

Obrazy lite touch dodane do WDS. wszytko się bootuje. instaluje i ogólnie jak w podręczniku :) I tu pierwszy problem – jak zabezpieczyć hasłem serwer WDS? No bo fajnie by było wrzucić na niego DaRT (Software Assurance rządzi ;) ) Z pomocą przyszło forum Social@TechNet :) Johan Arwidmark napisał fajny sposób na podmianę boot loadera na WDS na R2 - http://deployvista.com/Home/tabid/36/EntryID/126/language/en-US/Default.aspx

Z pxelinux dzięki Pekiemu jestem zaznajomiony, więc niewiele myśląc przygotowałem konfigi i działa :D

Jeszcze dwie ciekawostki:

pxeboot haszuje hasła z solą, więc do przygotowywania haseł sugeruję korzystać z dołączonego generatora haszy napisanego w perlu (wymaga libcrypto*)

Serwer WDS standardowo zawiera część funkcjonalności serwera DHCP – odpowiada DHCP Offer z opcją Next server IP address:

Jak widać na obrazku poszły dwie DHCP Offer – pierwsza z WDS, druga z rzeczywistego DHCP-a. Aby temu zapobiec i pozostawić opcje DHCP na jednym pudełku należy na serwerze WDS zaznaczyć opcję “Do not listen on port 67”

To by było na tyle – teraz zostało tylko przygotowanie źródłowego, wielojęzycznego obrazu W7, ale to temat na inny wpis :)

Niedawno (1. marca) miała premierę finalna wersja MDT Web Frontend – interfejsu do zarządzania Microsoft Deployment Toolkit 2010 za pośrednictwem protokołu HTTP. Wersję ostateczną (w tej chwili 1.0.1) można pobrać ze stron Codeplex: http://mdtwebfrontend.codeplex.com/. Do produktu dołączona jest także ciągle rozwijana obszerna dokumentacja. Ale oprócz tego autorzy produktu przygotowali także garść porad dotyczących korzystania z Frontendu:

• How To restrict access to the Deployment Database
• How To configure what a User can see and edit
• How To handle Custom Settings
• How To create custom Lists to select pre-defined values for a setting
• How To handle MDT Applications in the FrontEnd

Ogólnie fajny kawałek softu – wprowadza parę funkcjonalności do MDT jak na przykład role based security do obrazów. Polecam :)

Właśnie ogłoszono, że na tegorocznym C2C, który odbędzie się 17. kwietnia, zostanie przeprowadzony konkurs Speaker Idol. Przedruk z oficjalnej strony konferencji:

Mamy przyjemność już po raz trzeci zapowiedzieć konferencję C2C (Communities to Communities ), tym razem będzie to edycja 2010, która odbędzie się 17 kwietnia 2010 r. w Warszawie. Ruszamy z trzema ścieżkami (.NET, Bazy danych, IT PRO) - czyli każdy znajdzie coś dla siebie :)
Podobnie jak przy konferencjach C2C 2008 i 2009, tak i teraz zapraszamy do uczestnictwa w konkursie Speaker Idol. Wszyscy zainteresowani proszeni są o przesłanie 5-10 minutowego nagrania z propozycją sesji, którą chcieliby poprowadzić w czasie konferencji. Warunkiem uczestnictwa w konkursie jest nadesłanie swojego zgłoszenia do dnia 28.02.2010r. na adres si@c2c.org.pl. Spośród nadesłanych nagrań, komisja wybierze 3 najlepszą propozycje, po jednej z każdej ze ścieżek, a zwycięzcy poszczególnych ścieżek zostaną prelegentami na konferencji C2C’10.

I jeszcze mały “Easter Egg” – oprócz mnie będzie tam można spotkać jeszcze jedną osobę z w-files :) Czy się ujawni, to już zależy od niego ;)

W pewnym momencie na wszystkich W2k8R2 przestało działać podłączanie się do shareów na jednym z węzłów DFS. W dodatku nie działało tylko po nazwie DNS/NetBios. Chwila konsternacji i patrzymy do logów: w security pojawiają się wpisy Authentication Failed EventId 537:

Logon Failure:
     Reason:        An error occurred during logon
     User Name:   
     Domain:       
     Logon Type:    3
     Logon Process:    Kerberos
     Authentication Package:    Kerberos
     Workstation Name:    -
     Status code:    0xC000006D
     Substatus code:    0×8009030E
     Caller User Name:    -
     Caller Domain:    -
     Caller Logon ID:    -
     Caller Process ID:    -
     Transited Services:    -
     Source Network Address:    10.2.2.27
     Source Port:    0

Dziwne.. ogólnie wygląda jakby serwer nie rozumiał biletu, który dostaje. Szybkie zrobienie klist na R2 i widać, że próbuję dostać się do serwera z access ticketem zaszyfrowanym AES-256 (kontroler domeny, to 2k8R2). Zaraz zaraz… Przecież 2003 nie obsługuje szyfrowania AES. Szybkie przejrzenie KB i wygrzebanie czegoś takiego: http://support.microsoft.com/default.aspx/kb/961302 niby dotyczy klastrów, ale rozwiązanie się sprawdza. na klientów (2008+ i Vista+) nakładamy odpowiednie GPO i śmiga :)

Jeszcze jedna niepokojąca rzecz – drugim węzłem DFS jest 2k8R2, więc replikacja się wywala, bo partner nie może się uwierzytelnić do 2k3. po restarcie powinno zacząć śmigać, jak komputery dostaną nowe bilety.

Po świeżej instalacji DPM 2010 beta wszystko działało dobrze tylko raportowanie się wywalało. Przy próbie uruchomienia jakiekolwiek raportu dostawałem śliczny błąd:

An error has occurred during report processing. (rsProcessingAborted)
Cannot impersonate user for data source ‘DLS’. (rsErrorImpersonatingUser)
Log on failed. (rsLogonFailed)
Logon failure: the user has not been granted the requested logon type at this computer. (Exception from HRESULT: 0×80070569)

Chwila grzebania i wymyśliłem, że źródło danych dla raportów jest źle skonfigurowane. Niestety URL do Report Managera nie jest standardowy w DPM2010, więc znalazłem go w konfiguracji Reporting Services:

I rzeczywiście nie było źródła DLS, ale za to było jakieś inne. sprawdziłem konfigurację DPMReporterDataSource i wyciągnąłem z niego connection string:

Wyglądał on tak: data source="DPM\MSDPMV3Beta1EVAL";persist security info=False;initial catalog=DPMDB 

Więc stworzyłem nowe źródło i nazwałem je DLS

Zwróćcie uwagę, że raporty uruchamiają się w kontekście osoby, która go generuje (opcja Windows Integrated Security)

Z tak skonfigurowanym źródłem:

Teraz trzeba zmodyfikować każdy raport ustawiając nowo stworzony obiekt jako źródło danych (we właściwościach każdego raportu wybieramy Data Source i klikamy Browse):

I po takich paru prostych zabiegach raportowanie śmiga aż miło :)

16. lutego odbędzie się konferencja System Center Technology Review 2010 i będziemy z Pekim na niej prelegentami :). Agenda:

• Rejestracja i powitanie 9:00-9:30
• Techniczne spojrzenie na Service Manager 2010 Jacek Doktór 9:30-10:30
• Przerwa 10:30-10:45
• Świeże spojrzenie na System Center Data Protection Manager 2010 Daniel Stefaniak 10:45-11:45
• Przerwa 11:45-12:00
• Niższe koszty utrzymania PC dzięki technologii Intel® vPro™ i MS SCCM SP2 Dariusz Wittek 12:00-13:00
• Przerwa obiadowa 13:00-13:45
• System Center Operations Manager 2007 R2 - Podstawy tworzenia skryptów, wykrywanie i monitorowanie środowiska Łukasz Rutkowski 13:45-14:45
• Przerwa PLGSC 14:45-15:00
• Quest Software a System Center Krzysztof Pietrzak 15:00-16:00

Więcej szczegółów tutaj: http://ms-groups.pl/plgsc/SCTR2010/default.aspx

jakiś czas temu pisałem o fajnych narzędziach do Hyper-V. Ostatnio znalazłem następne: Hyper-V Tray Manager. Więcej szczegółów i pobieranie tutaj: http://blogs.msdn.com/jorman/archive/2010/01/24/hyper-v-manager.aspx

Mały tip ku pamięci – jeśli dodajesz agentów DPM-a do serwera i mimo komunikatu, że dołączenie (attatch) udał się a potem dostajesz error 270:

To upewnij się, że:

• masz dodane wyjątki do Firewalla (polecenie SetDPMServer.exe to robi na końcówce)
• Konto komputera na którym stoi serwer DPM-a ma prawo do dostępu do końcówek z sieci (Prawo “Computer Configuration\Security Settings\Local Policies\User Rights Assignment\Access this computer from the network”)

Jakiś czas temu zastanawiałem się co siedzi w aktualizacjach bazy wirusów w Forefroncie. i jak się okazuje jest KB na ten temat: http://support.microsoft.com/default.aspx?scid=kb;en-us;977939 :)

W najbliższy worek będę się produkować w M$ na temat FCS.

Agenda Spotkania:
18:00 - 18:20 - Powitanie liderzy grupy MSSUG
18:25 - 19:25 - Forefront Client Security: Wstęp - cechy, architektura, ogólne zastosowanie oraz wymagania instalacyjne FCS | Daniel Stefaniak
19:30 - 19:35 - Przerwa
19:35 - 20:35 - Forefront Client Security: Wdrożenie i zarządzanie - krótkie omówienie procesu instalacji, a następnie konfiguracji środowiska i wdrożenia | Daniel Stefaniak

Opis: W dobie Internetu komputery są wystawione na niezliczone niebezpieczeństwa, dlatego jednym z obowiązków każdego administratora jest zabezpieczenie oddanej pod jego opiekę infrastruktury. Producenci oprogramowania, widząc potrzebę rynku, zaczęli wypuszczać całe rodziny produktów mające na celu ochronę użytkowników przed atakami z sieci. Jednym z kluczowych elementów tego procesu jest zapobieganie zainfekowaniu złośliwym oprogramowaniem (malware). Firma Microsoft®, zauważywszy ten trend, wprowadziła produkt Microsoft Forefront Client Security (FCS) chroniący przed: wirusami, trojanami, wszelkiego rodzaju programami szpiegującymi (spyware) oraz rootkitami. Prezentacja dotycząca FCS-a została podzielona na dwie części:
1. Wstęp - cechy, architektura, ogólne zastosowanie oraz wymagania instalacyjne Forefront Client Security
2. Wdrożenie i zarządzanie – krótkie omówienie procesu instalacji, a następnie konfiguracja środowiska i wdrożenie

Link do rejestracji: http://ms-groups.pl/mssug/4.%20Spotkanie%20MSSUG/Lists/Rejestracja%20na%20spotkanie/AllItems.aspx

Opis: http://ms-groups.pl/mssug/Lists/Kalendarz/DispForm.aspx?ID=5

Wszystkich serdecznie zapraszam :)

Dostałem kolejny raport z banku i wkurzało mnie, że muszę oglądać PDF-y w zewnętrznym programie. Po chwili grzebania w sieci znalazłem coś takiego: http://timheuer.com/blog/archive/2007/02/27/14001.aspx. Teraz PDF-y i GhostScripty otwierają się wewnątrz Outlooka :)

PS. Działa na 2008R2 i W7 :D

M$ wreszcie ujawnił ile będzie kosztować Office 2010:

Wreszcie poszli po rozum do głowy i zrobili osobną licencję dla studentów i osobną dla reszty ciała uczącego się. Co nie zmienia faktu, że publisher i access kosztują 150USD…

Fajny wpis na temat dostrajania wydajności FCS-a na nowo wyszperanym blogu: http://blogs.technet.com/kfalde/archive/2009/12/30/determining-the-cause-of-fcs-client-performance-issues.aspx

Ogólnie znów z pomocą przychodzi ProcMon :) Mark Russinovich rządzi ;)

Na portalu WSS.pl właśnie opublikowani tryptyk moich artykułów na temat FCS. Chętnych zapraszam do czytania:

Część 1 - Informacje ogólne i przygotowanie środowiska

Część 2 – Instalacja

Część 3 - Konfiguracja i raportowanie

A za chwilę przygotuję screencast ze skonfigurowania SCCM2007R2 do współpracy z FCS.