Ku pamięci: http://www.dataliberation.org/

Na stronie są gromadzone informacje jak zarządzać swoimy danymi w serwisach Google.

Jakiś czas temu zastanawiałem się co siedzi w aktualizacjach bazy wirusów w Forefroncie. i jak się okazuje jest KB na ten temat: http://support.microsoft.com/default.aspx?scid=kb;en-us;977939 :)

Na portalu WSS.pl właśnie opublikowani tryptyk moich artykułów na temat FCS. Chętnych zapraszam do czytania:

Część 1 - Informacje ogólne i przygotowanie środowiska

Część 2 – Instalacja

Część 3 - Konfiguracja i raportowanie

A za chwilę przygotuję screencast ze skonfigurowania SCCM2007R2 do współpracy z FCS.

Teoretycznie uruchomienie konsolki Forefront Client Security na innej maszynie niż na serwerze FCSa jest niewspierane. Jednakże jest na to sposób :) Johan Blom napisał kiedyś jak to zrobić, a ja pozwolę sobie przetłumaczyć :)

• Zainstaluj klienta FCSa na maszynie i upewnij się, że usługi forefrontowe są uruchomione
• Uruchom FCSMS.MSI z płytki instalacyjnej (jest w katalogu “server”), a następnie zignoruj wszystkie ostrzeżenia
• Z serwera FCS wyeksportuj klucz [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\Config], a następnie zaimportuj go na komputer, na którym chcesz uruchamiać konsolkę
• Zatrzymaj usługę “Microsoft Forefront Client Security Management Service”
• potem w menu start Start\Programs\Microsoft ForeFront\Client Security jest działająca konsola :)
• jedna uwaga – działa tylko na systemach x86

Nie wiem jak Wy, ale mi się zdarzało, że chciałem pokazać PDF-a albo prezentacje PowerPoint-a, ale osoba po drugiej stronie nie miała akurat odpowiedniego readera. Jest fajne rozwiązanie udostępnione oczywiście przez Google ;)

Nazywa się “Embeddable Google Document Viewer” i polega na tym, że podajemy komuś stronę WWW, która zawiera kod do wystawionego pliku, plik nie musi być wgrany do Google-a, wystarczy że będzie online.

Ku pamięci: http://googlesystem.blogspot.com/2009/09/embeddable-google-document-viewer.html

Przykładowy kod:

<iframe src=”http://docs.google.com/gview?url=URL_DO_PLIKU&embedded=true” style=”width:600px; height:500px;” frameborder=”0″></iframe>

Przykład działania:

Z cyklu:

Jak zsynchronizować kalendarz Outlooka bez wykorzystywania Exchange.

W związku z tym, że mam problem z dostępem do “pracowego” Outlooka z telefonu prywatnego musiałem poszukać innego rozwiązania które by mi umożliwiało synchronizacje wzmiankowanych kalendarzy bez użycia kabla.

Co potrzeba:

-  konto Gmail

- urządzenie z WM na pokładzie

- program  http://dl.google.com/googlecalendarsync/GoogleCalendarSync_Installer.exe

Jak:

Instalujemy program (nie są potrzebne uprawnienia admina), na smartfonie odpalamy Active Sync’a i wpisujemy:

server adress: m.google.com

username: pełny adres mailowy gmaila

hasło: do powyższego

domena: google

W synchronizacji zaznaczamy kalendarz i voila!. Oczywiście jeszcze trzeba ustawić interwał czasowy synchronizacji tak na urządzeniu jak i na stacjonarnym komputerze.

Wczoraj ściągnąłem sobie wirtualne laby do nowego Forefronta. Dziś je odpaliłem i jakież było moje zaskoczenie jak ujrzałem bardzo ładny setup (do tej pory ściągałem pliki VHD i dodawałem je do Hyper-V)

Zarejestrowało mi wirtualki na Hyper-V, każda ma undo snapshot. Ogólnie najs :)

Ale najlepsze jeszcze przed nami. Pliczek Stirling-lab (Start Page).vbe daje parę fajnych możliwości :)
W widoku ogólnym pokazuje całą infrastrukturę

Dla zainteresowanych tylko Client Security (czyli ja ;P ) jest Widok FCS:

Zabezpieczenie serwerów:

No i Edge Security:

Oczywiści jeszcze możliwość naprawienia jak coś popsuliśmy (nałożenie Snapshotu):

Każda maszyna po najechaniu na nią myszą jest ładnie opisana:

Co więcej – po kliknięciu w taką maszynkę, uruchamia się ona i od razu jesteśmy do niej podłączani :) Podsumowując jestem pod sporym wrażeniem i zachęcam do testowania :)

Wydaje sie być banalnie proste. Dwa rożne porty albo dwa rożne adresy IP, ja wybrałem drugi scenariusz i natknąłem sie na jeden problem. Mianowicie IIS nawet jak ma skonfigurowany site na jeden adres IP (np. 10.10.10.101 : 80 ) to i tak będzie nasłuchiwał na wszystkich adresach i otworzy sobie 0.0.0.0 : 80 czym skutecznie przyblokuje Apacha działającego na innym IP (powiedzmy 10.10.10.201 : 80 ).

Aby temu zapobiec trzeba przestawić całego IIS żeby słuchał tylko na konkretnych adresach IP (wtedy zapomnijcie o skonfigurowaniu 10.10.10.201 :8080 obsługiwanego przez IIS ). Potrzebne nam będzie do tego narzędzi httpcfg z Support Tools (jesli jeszcze tego nie masz to zainstaluj natychmiast ). A potem:
httpcfg query iplisten powie nam na jakich adresach nasłuchujemy
httpcfg set iplisten -i 10.10.10.101 ustawi nam jeden adres
restartujemy IIS poprzez net stop http, net start http i mamy pozdrowiony temat.

Więcej na ten temat tutaj

Krok 1. posiadać port RS232 czyli kupić sobie przejściówkę USB to RS232
Krok 2. zainstalować sterowniki i tu pojawia się problem bo chiński producent pewnie nie ma swojej strony z supportem a nawet jak ję ma to nie ma na niej sterowników do Mac OS X. Na szczęście (prawie)wszystkie przejściówki używają jednego scalaka dlatego powinien nam zadziałać sterownik IOGear.
Krok 3. zainstalować terminal. ZTerm wydaje się dawać sobie całkiem nieźle radę
Krok 4.
switch#show version
Cisco IOS Software, C3560 Software (C3560-IPSERVICES-M), Version 12.2(25)SEB4, R
ELEASE SOFTWARE (fc1)
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Tue 30-Aug-05 14:19 by yenanh

ROM: Bootstrap program is C3560 boot loader
BOOTLDR: C3560 Boot Loader (C3560-HBOOT-M) Version 12.2(25r)SEC, RELEASE SOFTWAR
E (fc4)

Switch uptime is 45 minutes
System returned to ROM by power-on
System image file is "flash:c3560-ipservices-mz.122-25.SEB4/c3560-ipservices-mz.
122-25.SEB4.bin"

cisco WS-C3560-24TS (PowerPC405) processor (revision D0) with 118784K/12280K byt
es of memory.
Processor board ID CAT1022N1FU
Last reset from power-on
1 Virtual Ethernet interface
24 FastEthernet interfaces
2 Gigabit Ethernet interfaces
The password-recovery mechanism is enabled.

–More–

Mamy na stacji zainstalowanego Apacha, Network Inspectora czy Flash Server i nie chcemy żeby chodziły one przez cały czas i bezsensownie zżerały nam zasoby. Chcemy pozwolić użytkownikowi na uruchamianie/zatrzymywanie serwisów i nie nadawać mu zbędnych uprawnień. Najprościej jest to zrobić ustawiając z poziomu domeny odpowiednią polisę która ustawi odpowiednie ACL na dany serwis (tak serwisy też mają ACL ).
Co jednak zrobić w momencie gdy komputer nie jest w domenie? Zawsze wydawało mi się, że wszystko da się ustawić w Local Security Policy. Windows + R wpisuję secpol.msc (albo gpedit.msc, jak kto woli ) enter i nie ma serwisów . Wszystko wskazuje na to, że nie da rady tego ustawić lokalnie jednak z pomocą przychodzi Security Configuraration and Analysis (dla nieświadomych start -> run -> mmc -> ctrl+m -> add -> Security Configuraration and Analysis ). Dodaję nową bazę, importuję template (dla bezpieczeństwa polecam setup security.inf), analizuję komputer, po czym kiedy już pokaże mi się drzewko wchodzę w System Services wybieram interesujący mnie serwis i ustawiam mu ACL’ki .
Ciekawe czemu jest to wycięte z interfejsu w secpol.msc? Po co wycieli coś co i tak da się ustawić? bez sensu…

Po tem jeszcze warto dać użytkownikom narzędzie pozwalające na wygodnie uruchamianie/zatrzymywanie serwisów. Może to być prosty batch wyglądający mniej więcej tak:
NET START "Nazwa serwisu"
albo tak:
NET STOP "Nazwa serwisu"

A gdybyśmy chcieli pisać to w Visual Basicu (np. po to żeby sprawdzać coś zanim nasz serwis wstanie, zrobić ładny interface graficzny itp. itd.) to przyda się ten kawałek kodu:

‘ Uruchom zatrzymaj serwis
option explicit
dim queryString
dim Service, ServiceSet

queryString = "select * from Win32_Service where Name=’Nazwa serwisu’ and State=’Stopped’"
Set ServiceSet = GetObject("winmgmts://.").ExecQuery(queryString)

if ServiceSet.Count <> 0 then
WScript.echo “Uruchamiam serwis”
for each Service in ServiceSet
Service.StartService()
next
else
WScript.echo “Jesteś kretynem, serwis już działa”
end if

Nie będę tu pisał ani jak mi się pomysł podoba, ani co mi to daje … a już na pewno ile czasu zamierzam tam spędzić. Powiem jedynie że jestem starym prykiem, i zamiast po prostu podłączyć się kablem do netu bez ograniczeń, zamiast grać, konfigurowałem ISA Server, by można było grać bezpiecznie.

Zebrana konfiguracja, może się wam przyda.

Przede wszystkim każda plansza jest na innym  serwerze, podejrzewam że będzie to na tyle dynamiczne, że ciężko będzie ustalić zakres docelowych IP. Natomiast sytuacja nie jest jednak beznadziejna. Stałe są porty UDP a ich zakres jest niewielki (kolejne plansze, kolejny port) do tego jest jeden port TCP i na szczęście chodzi to w kontekście przeglądarki, więc cały ruch jest ładnie autoryzowany uprawnieniami użytkownika komputera. Bazując na tym …

Do typowej reguły wypuszczającej userów na świat:

From Internal to Exteral for All Authenticated Users

Dodajemy własna konfiguracje protokołu … np. Quake ;)

Parametry:

TCP Outbound  port 5222    (port potrzebny po połączeniu do planszy)

UDP Send Receive porty 27001 - 27099 (otwieramy 99 planszy)

I można grać … prawie… bo jeśli masz Viste, to po kilkunastu sekundach dostaniesz komunikat, że wywala cię z serwera jakiś eliminator panków (na początku brałem to do siebie).

Ciężko szukać  pomocy na forum QuakeLive, bo zarówno pytania jak i odpowiedzi mają taką formą, jakby ludzie pisali to w trakcie przeładowywania gry. I pewno tak jest, bo pokusa powrotu do gry jest ogromna.

Więc jeśli wywala cię z serwera z komunikatem, że cośtam cośtam PnkBStrB.exe to odpal IE jako administrator … pomaga. Nie mam czasu dociekać dlaczego pomaga i co to robi bo tam cały czerwony Team na mnie czeka …

Dodatkowo:

Gra nie działa na prockach typu 1.2 (dwa mam takie laptopiki i po prostu nie dają rady.

Zmuszony więc jestem do przetestowania rozwiązania na Termian Services Aplication Gateway’u … ale najpierw chwile pogram.

Do zobaczenia na polu walki ;)

Poniższe pokazuje listę poleceń wraz z ich ilością wywolanych np. w bash albo ksh.

Jeśli jakieś rozbudowane polecenie wywołujesz często, może warto zrobić aliasa dla niego:

history|awk '{print $2}'|awk 'BEGIN {FS="|"} {print $1}'|sort|uniq -c|sort

Ku pamięci - NIGDY nie używać MMC z Win Server 2008 do edycji Forwardersów na serwerach DNS stojących na 2003. Psuje to Recursive queries (adresy wpisane w przystawkę zmieniają się w 1.0.0.0 - bez sensu :x )

Dziwna rzecz się dzieje. IE7 przy próbie uruchomienia pojawia się tylko na chwilkę i potem znika. Żadnych wpisów w logach. Dziwne… okazuje się, że jedna dll-ka się nie zarejestrowała. wpisanie w cmd RegSVR32 "C:\Program Files\Internet Explorer\ieproxy.dll" i śmiga :D

Świat został uratowany po raz kolejny :)))

od paru tygodni na serwerze aktualizacyjnym co jakiis czas pojawial sie nam blad

Event Type:    Error
Event Source:    Windows Server Update Services
Event Category:    Clients
Event ID:    13042
Date:        2008-02-26
Time:        16:57:22
User:        N/A
Computer:    XXX
Description:
Self-update is not working.

po wygooglowaniu roznego rodzaju rozwiazan i sprawdzeniu ich (doszedlem nawet do uzywania skryptu adsutil.vbs) nic nie znalazlem, az mnei w koncu natchnelo - WSUS stoi na bazie danych, a sam web service korzysta z Anonymus logon na IIS. "sprawdze, czy IUSR_XXX ma uprawnien na baze SUS" TADA! dziala. uruchomienie wsusutil checkhealth i 0 (slownie zero) bledow w eventlogu :)

Żeby nie było łatwo, postanowiłem przemigrować maszynkę testową Hyper-v na produkcyjny Hyper-v Server. Jako, że jestem z natury człowiekiem leniwym i przyzwyczajonym do zabawy VHDekami przegrałem je i chciałem zobaczyć co się stanie. Niestety psikus - maszyna ma snapshoty, które są standardowo przechowywane w C:\ProgramData\Microsoft\Windows\Hyper-V\Snapshots. No to co? Przegrywamy jeszcze cały katalog z profilem Hyper-V. Próbuję podnieść maszynę - niestety wygląda jakby hypervisor nie mógł pisać po swoim katalogu. Nadaje uprawnienia userowi Virtual Machine do modyfikacji folderu z ustawieniami, porawiam ustawienia sieciówki (mimo takiej samej nazwy jej GUID jest inny) i śmiga.

Nie ma to jak leniuchowac ;) A tak już bardziej szczerze - z live migration byłoby to łatwiejsze - niestety nie wchodzę nigdy w bety - testowanie zaczynam dopiero od RC ;)

kiedy nie jest najlepszy czas na testowanie nowych systemów, jak nie wtedy, kiedy nie ma sie własnego kompa? wziąłem stację roboczą i aqrat był na niej w2k8. po skonfigurowaniu - czyli dostosowaniu, włączeniu dzwięku [praca bez muzy? zabójstwo] i instalacji aplikacji - postanowiłem sprawdzić jak działa opcja ‘upgrade’.
przyznać trzeba, że działa. i to całkiem nieźle - niemal jakby to był produkt finalny. ekran instalacji w2k8 pokazuje teraz choć trochę informacji - więc widać, że żyje. trwało to poniżej h, a jedynym bugiem było pojawienie się podczas instalacji ekranu z pytaniem, czy jestem pewien że chcę zmergować plik pbk z pbk_old - co trochę zabuża bezdotykowość instalacji. czemu chciał mergować plik pbk nie wiem - tym bardziej, ze “windows mail” został wycofany jako produkt [o czym instalator zresztą pięknie przed upgradem ostrzega].
serwer działa jakby lżej - pomimo, że wcześniej i tak nieźle śmigał. wady jakie spostrzegłem to ingerencja w spersonalizowane uprzednio ustawienia - np. wyłączył spowrotem widok katalogów systemowych oraz usługę windows audio [bo czym jest praca bez muzy (; ].
postanowiłem sprawdzić nowe ficzery pulpitu z w7 - a ponieważ go jeszcze nie instalowałem, trzeba to jakoś włączyć na w2k8. i tu jest kolejny bug póki co. kroki jakie trzeba wykonać to:

• zainstalować ficzer “desktop experience”
• włączyć usługę “themes”
• włączyć usługę “windows audio”
• no i tu właśnie wspomniany bug. jeśli teraz będzie się chciało włączyć theme z obsługa aero pojawia się komunikat [mniej-wiecej]: “some themes has been disabled by the Remote Desktop Connection Settings” - mimo, że RDS w ogóle nie jest zainstalowane. jedynym sposobem jaki znam jest póki co zainstalować rolę RDS i włączenie podczas instalacji obsługi Windows Aero. wtedy pojawiają się themy z w7 i można się bawić.

na razie nie mam czasu testować więcej - ale od przyszłego tygodnia czas zacząć czytać o nowościach.. no i przetestować live migration w hyper-v (:

scenariusz: maszyna wirtualna z dyskiem 1oG. trzeba zainstalować trochę śmiecia i prędko okazało się, że 1oG to trochę nie na te czasy. jak zmienić wielkość partycji?

w przypadq maszyny wirtualnej dysk można rozszerzyć korzystając z malutkiego toola: vhdresizer. trochę to niestety trwa, ale przynajmniej sqtecznie.
pozostaje wielkość partycji. jeśli to są systemy pre-vista nie da się zwiększyć wielkości partycji. pozostają aplikacje typu partition magic - ale to płatne… a poza tym można bardziej ’standardowo’. w systemie vista i w2k8 można zmienić wielkość dowolnej partycji - a więc wystaczy mieć płyte bootowalną z takim systemem. po uruchomieniu wybiera się opcję ‘repair system’. po kilq ‘next’ jest opcja ‘command prompt’. teraz wystarczy [zakładam, że jest jeden dysk z jedną partycją]:
diskpart
select disk 0
select part 1
extend

można zrestartować i po bólu.

ku pamięci: http://howtoforge.com/reverse-ssh-tunneling