Jakiś czas temu (tak na prawdę dawno – pół dekady) Peki oswajał linuksy na RISie http://www.umniedziala.pl/RISaInstalacjiCzescVOswajaniePingwina.aspx. Powoli zbliża się czas aktualizacji komputerów do W7, więc trzeba było pomyśleć nad wdrożeniem Widnows Deployment Services. Żeby było łatwiej – zainstalowałem i skonfigurowałem Microsoft Deployment Toolkit 2010 (posiłkując się między innymi artykułem nexora - http://www.microsoft.com/poland/technet/article/art0173.mspx). Wszytko pięknie. Przygotowałem boot images z zestawem sterowników. Zmodyfikowany customsettings.ini:

[Settings]
Priority=Default
Properties=MyCustomProperty

[Default]
OSInstall=Y
SkipBDDWelcome=NO
SkipProductKey=YES
SkipComputerName=NO
SkipDomainMembership=NO
JoinDomain=pjwstk.edu.pl
DomainAdminDomain=PJWSTK
MachineObjectOU=OU=newstud,OU=TESTOWA,DC=pjwstk,DC=edu,DC=pl
SkipUserData=YES
SkipLocaleSelection=YES
InputLocale=0415:00000415; 0409:00000409; 0411:00000411
KeyboardLocale=pl-PL
UserLocale=pl-PL
SkipTimeZone=YES
TimeZoneName=Central European Standard Time
SkipAdminPassword=YES
SkipBitLocker=YES
DoNotCreateExtraPartition=YES
SkipComputerBackup=YES
SkipFinalSummary=YES
SkipAppsOnUpgrade=YES
SkipCapture=NO
SkipApplications=NO
SkipPackageDisplay=NO
SkipDeploymentType=NO
SkipWizard=NO
SkipSummary=YES
_SMSTSOrgName=PJWSTK
UserDomain=pjwstk

Plik C:\Program Files\Microsoft Deployment Toolkit\Templates\winpeshl.ini zmieniony, żeby wyłączyć F8 (odizolowanie CMD):

[LaunchApps]
%SYSTEMROOT%\System32\bddrun.exe,/bootstrapNoSF8

Obrazy lite touch dodane do WDS. wszytko się bootuje. instaluje i ogólnie jak w podręczniku :) I tu pierwszy problem – jak zabezpieczyć hasłem serwer WDS? No bo fajnie by było wrzucić na niego DaRT (Software Assurance rządzi ;) ) Z pomocą przyszło forum Social@TechNet :) Johan Arwidmark napisał fajny sposób na podmianę boot loadera na WDS na R2 - http://deployvista.com/Home/tabid/36/EntryID/126/language/en-US/Default.aspx

Z pxelinux dzięki Pekiemu jestem zaznajomiony, więc niewiele myśląc przygotowałem konfigi i działa :D

Jeszcze dwie ciekawostki:

pxeboot haszuje hasła z solą, więc do przygotowywania haseł sugeruję korzystać z dołączonego generatora haszy napisanego w perlu (wymaga libcrypto*)

Serwer WDS standardowo zawiera część funkcjonalności serwera DHCP – odpowiada DHCP Offer z opcją Next server IP address:

Jak widać na obrazku poszły dwie DHCP Offer – pierwsza z WDS, druga z rzeczywistego DHCP-a. Aby temu zapobiec i pozostawić opcje DHCP na jednym pudełku należy na serwerze WDS zaznaczyć opcję “Do not listen on port 67”

To by było na tyle – teraz zostało tylko przygotowanie źródłowego, wielojęzycznego obrazu W7, ale to temat na inny wpis :)

słyszałem wiele opinii które sprowadzają się do tego, że odkąd symantec przejął Backup Exec produkt zszedł na psy. nie będę tego komentował, ponieważ nie znam linii veritasa sprzed lat, ale sam również korzystam z Backup Exec – obecnie zupgrade’’owanego do najnowszej wersji – 2o1o. najwięcej zmian – w interfejsie oraz cała masa nowych ficzerów. czy na lepsze? imho nakład pracy poszedł w zaspokojenie marketingowych “NEW GREAT FEATURE” zamiast w dopracowanie produktu. taka anegdotka – 3h walki z trywialnym zadaniem: odzyskanie bazy SQL. może o tyle bardziej skomplikowanym, że chodzi o duplikat bazy aby służyła do testów, a więc trzeba przekierować nazwę bazy i katalogów.

Selection

po kilku nieudanych próbach doszedłem do wniosq, iż wykonuję nieprawidłowy backup, ponieważ w selekcji mam zaznaczony tylko backup bazy przez agenta SQL, a nie mam włączonego backupu na poziomie plików. wydawało mi się to bez sensu [i okazało się, że mam rację] – bo odzyskanie bazy na poziomie plików powinno dać z dużym prawdopodobieństwem niekonsystetną bazę. po to przecież jest ten cholerny agent SQL, nie? finalny wniosek: nie trzeba/nie powinno się zaznaczać plików bazy. tutaj jednak przy okazji ciekawostka: pomimo włączenia korzystania z shadow copy, katalogi bazy w medium backupu i tak pozostały puste. wynika to z tego jak działa provider VSS i jak sobie poczytać dokładnie, jest to logiczne i tak powinno być [chociaż trochę dziwi z ogólnych założeń działania shadow copy].

Restore Job

jak powinien wyglądać restore job?

ponieważ ciągle miałem błędy testowałem różne opcje – w tym próbowałem odzyskiwać z wykorzystaniem file redirection, co oczywiście nie miało większego sensu ale ukazało jedną ze wspaniałości interfejsu BE:

cóż to jest za standard zapisu “\\Serwer.domena.ad\d:” ? pomieszanie zapisu UNC z lokalnym? no dobra – tutaj nie jest tragicznie ponieważ opcja ‘browse’ wypełnia to sama, i robi to prawidłowo. w tym miejscu okno browse korzysta z predefiniowanej listy selekcji więc można to zrobić szybko. w skrócie: niuans, czepiam się.

w każdym razie file redir nie jest do niczego w tym scenariuszu potrzebny. aby odzyskać bazę należy zaznaczyć samą bazę danych, bez fizycznych plików na dysq:

no i teraz clue całej operacji: jak przekierować prawidłowo bazę?
po pierwsze trzeba wpisać serwer SQL na którym będzie odzyskiwana baza i nazwa samej bazy. początkowo ciągle generował błędy i nie do końca byłem pewien czy ta baza powinna już istnieć czy nie – lepiej nie. ważne jest jednak zaznaczenie opcji nadpisania – pokażę później. jak dotąd wszystko proste i logiczne. to na czym spędziłem dobre 2h to opcja przekierowania plików “destination options” – oczywiste, że nie chcę nadpisać działającej. tylko jak zapisać ścieżkę? pierwsza myśl – UNC. niestety zwracane są błędy. w takim razie guzik browse – skoro ja nie umiem, niech interfejs pomoże. to okienko browse wykorzystuje już wyszukiwanie w sieci – a więc osoby, które mają powyłączane browsery w ogóle nie skorzystają, a dla mnie to było ok. 1o min czekania, aż odpyta się o kompy w domenie. ręcznie wpisać się nie da. po teście cierpliwości wybrałem odpowiedni katalog i q mojemu zaskoczeniu miałem rację – należy wpisać ścieżkę UNC!! mimo wszystko przy próbie odzyskania cały czas generowane są błędy. stąd właśnie pomysł na korzystanie z licznych bezsensownych opcji ‘a nóż tak to wymyślili. po jakimś czasie zdesperowany wpisałem po prostu “D:\katalog” – w najgorszym przypadq odzyska mi tą bazę na serwerze backupowym. i okazało się to strzałem w dziesiątkę.

na koniec w części ‘Settings->Microsoft SQL” trzeba zaznaczyć opcję “overwrite existing database” – pomimo, że wcale nieistnieje – w innym wypadq generowany jest błąd, że nazwa bazy ulega zmianie i nie może zapisać… [taka ciekawostka].

pierdoła: niedopracowany interfejs, a kilka godzin straconych nie mówiąc o wzbogaceniu słownika przekleństw. myślę, że wiele firm zrobiłoby dobrze, gdyby kolejna wersja zamiast sqpiać się na nowościach sqpiła się na poprawie spójności interfejsu, kodu, optymalizacji i ergonomii. może trochę kontrowersyjny przykład ale tak, jak to zrobił emes z vistą (;

eN.

trochę przewrotny tytuł ponieważ de facto nie udało mi się znaleźć rozszerzenia dla ADUaC na w7 x64… jest manager: http://www.microsoft.com/downloads/details.aspx?familyid=3403d74e-8942-421b-8738-b3664559e46f&displaylang=en który można zainstalować wymuszając z linii poleceń ‘msiexec /i ESMVISTA.MSI /qb+’ ale nie instaluje/nie działają [nie dochodziłem] uzupełnienia dla dsa.msc.

poza tym… kiedy próbuje zrobić to z interfejsu i tak dostaje acc denied - w końcu tym zajmują się ludki w centrali a ja powinienem im tylko przesyłac informacje komu mają założyć skrzynkę/zrobić skrzynkę mail-enabled. okazuje się, że te uprawnienia są wyłącznie do interfejsu, bo kiedy się pogrzebie w parametrach obiektu można zrobić większość operacji ręcznie - dodać alias, zmusić skrzynkę do mail-enabled etc. wystarczy ładnie uzupełnić pola obiektu:

• .mail - wypełnia się normalnie z interfejsu dsa.msc
• .mailNickName - właściwa nazwa usera używana przez Exchange. prefix emaila
• .proxyAddresses - tutaj są wszystkie maile usera - a więc i aliasy. podstawowy powinien być zapisany dużymi literami: SMTP:user@email.addr a pozostałe małymi: smtp:user@different.addr

et voila! wcale nie dużo roboty. można sobie oskryptować i zapomnieć o interfejsie. to, czy exchange RUS dotknął obiektu będzie widoczne, ponieważ pojawią się dwa atrybuty - msExchALObjectVersion dbający o numer wersji RUS oraz msExchPoliciesIncluded - wskazujący na obiekt polisy dla obiektu.

eN.

Ku pamięci: http://www.dataliberation.org/

Na stronie są gromadzone informacje jak zarządzać swoimy danymi w serwisach Google.

Jakiś czas temu zastanawiałem się co siedzi w aktualizacjach bazy wirusów w Forefroncie. i jak się okazuje jest KB na ten temat: http://support.microsoft.com/default.aspx?scid=kb;en-us;977939 :)

Na portalu WSS.pl właśnie opublikowani tryptyk moich artykułów na temat FCS. Chętnych zapraszam do czytania:

Część 1 - Informacje ogólne i przygotowanie środowiska

Część 2 – Instalacja

Część 3 - Konfiguracja i raportowanie

A za chwilę przygotuję screencast ze skonfigurowania SCCM2007R2 do współpracy z FCS.

Teoretycznie uruchomienie konsolki Forefront Client Security na innej maszynie niż na serwerze FCSa jest niewspierane. Jednakże jest na to sposób :) Johan Blom napisał kiedyś jak to zrobić, a ja pozwolę sobie przetłumaczyć :)

• Zainstaluj klienta FCSa na maszynie i upewnij się, że usługi forefrontowe są uruchomione
• Uruchom FCSMS.MSI z płytki instalacyjnej (jest w katalogu “server”), a następnie zignoruj wszystkie ostrzeżenia
• Z serwera FCS wyeksportuj klucz [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\Config], a następnie zaimportuj go na komputer, na którym chcesz uruchamiać konsolkę
• Zatrzymaj usługę “Microsoft Forefront Client Security Management Service”
• potem w menu start Start\Programs\Microsoft ForeFront\Client Security jest działająca konsola :)
• jedna uwaga – działa tylko na systemach x86

Nie wiem jak Wy, ale mi się zdarzało, że chciałem pokazać PDF-a albo prezentacje PowerPoint-a, ale osoba po drugiej stronie nie miała akurat odpowiedniego readera. Jest fajne rozwiązanie udostępnione oczywiście przez Google ;)

Nazywa się “Embeddable Google Document Viewer” i polega na tym, że podajemy komuś stronę WWW, która zawiera kod do wystawionego pliku, plik nie musi być wgrany do Google-a, wystarczy że będzie online.

Ku pamięci: http://googlesystem.blogspot.com/2009/09/embeddable-google-document-viewer.html

Przykładowy kod:

<iframe src=”http://docs.google.com/gview?url=URL_DO_PLIKU&embedded=true” style=”width:600px; height:500px;” frameborder=”0″></iframe>

Przykład działania:

Z cyklu:

Jak zsynchronizować kalendarz Outlooka bez wykorzystywania Exchange.

W związku z tym, że mam problem z dostępem do “pracowego” Outlooka z telefonu prywatnego musiałem poszukać innego rozwiązania które by mi umożliwiało synchronizacje wzmiankowanych kalendarzy bez użycia kabla.

Co potrzeba:

-  konto Gmail

- urządzenie z WM na pokładzie

- program  http://dl.google.com/googlecalendarsync/GoogleCalendarSync_Installer.exe

Jak:

Instalujemy program (nie są potrzebne uprawnienia admina), na smartfonie odpalamy Active Sync’a i wpisujemy:

server adress: m.google.com

username: pełny adres mailowy gmaila

hasło: do powyższego

domena: google

W synchronizacji zaznaczamy kalendarz i voila!. Oczywiście jeszcze trzeba ustawić interwał czasowy synchronizacji tak na urządzeniu jak i na stacjonarnym komputerze.

Wczoraj ściągnąłem sobie wirtualne laby do nowego Forefronta. Dziś je odpaliłem i jakież było moje zaskoczenie jak ujrzałem bardzo ładny setup (do tej pory ściągałem pliki VHD i dodawałem je do Hyper-V)

Zarejestrowało mi wirtualki na Hyper-V, każda ma undo snapshot. Ogólnie najs :)

Ale najlepsze jeszcze przed nami. Pliczek Stirling-lab (Start Page).vbe daje parę fajnych możliwości :)
W widoku ogólnym pokazuje całą infrastrukturę

Dla zainteresowanych tylko Client Security (czyli ja ;P ) jest Widok FCS:

Zabezpieczenie serwerów:

No i Edge Security:

Oczywiści jeszcze możliwość naprawienia jak coś popsuliśmy (nałożenie Snapshotu):

Każda maszyna po najechaniu na nią myszą jest ładnie opisana:

Co więcej – po kliknięciu w taką maszynkę, uruchamia się ona i od razu jesteśmy do niej podłączani :) Podsumowując jestem pod sporym wrażeniem i zachęcam do testowania :)

Wydaje sie być banalnie proste. Dwa rożne porty albo dwa rożne adresy IP, ja wybrałem drugi scenariusz i natknąłem sie na jeden problem. Mianowicie IIS nawet jak ma skonfigurowany site na jeden adres IP (np. 10.10.10.101 : 80 ) to i tak będzie nasłuchiwał na wszystkich adresach i otworzy sobie 0.0.0.0 : 80 czym skutecznie przyblokuje Apacha działającego na innym IP (powiedzmy 10.10.10.201 : 80 ).

Aby temu zapobiec trzeba przestawić całego IIS żeby słuchał tylko na konkretnych adresach IP (wtedy zapomnijcie o skonfigurowaniu 10.10.10.201 :8080 obsługiwanego przez IIS ). Potrzebne nam będzie do tego narzędzi httpcfg z Support Tools (jesli jeszcze tego nie masz to zainstaluj natychmiast ). A potem:
httpcfg query iplisten powie nam na jakich adresach nasłuchujemy
httpcfg set iplisten -i 10.10.10.101 ustawi nam jeden adres
restartujemy IIS poprzez net stop http, net start http i mamy pozdrowiony temat.

Więcej na ten temat tutaj

Krok 1. posiadać port RS232 czyli kupić sobie przejściówkę USB to RS232
Krok 2. zainstalować sterowniki i tu pojawia się problem bo chiński producent pewnie nie ma swojej strony z supportem a nawet jak ję ma to nie ma na niej sterowników do Mac OS X. Na szczęście (prawie)wszystkie przejściówki używają jednego scalaka dlatego powinien nam zadziałać sterownik IOGear.
Krok 3. zainstalować terminal. ZTerm wydaje się dawać sobie całkiem nieźle radę
Krok 4.
switch#show version
Cisco IOS Software, C3560 Software (C3560-IPSERVICES-M), Version 12.2(25)SEB4, R
ELEASE SOFTWARE (fc1)
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Tue 30-Aug-05 14:19 by yenanh

ROM: Bootstrap program is C3560 boot loader
BOOTLDR: C3560 Boot Loader (C3560-HBOOT-M) Version 12.2(25r)SEC, RELEASE SOFTWAR
E (fc4)

Switch uptime is 45 minutes
System returned to ROM by power-on
System image file is "flash:c3560-ipservices-mz.122-25.SEB4/c3560-ipservices-mz.
122-25.SEB4.bin"

cisco WS-C3560-24TS (PowerPC405) processor (revision D0) with 118784K/12280K byt
es of memory.
Processor board ID CAT1022N1FU
Last reset from power-on
1 Virtual Ethernet interface
24 FastEthernet interfaces
2 Gigabit Ethernet interfaces
The password-recovery mechanism is enabled.

–More–

Mamy na stacji zainstalowanego Apacha, Network Inspectora czy Flash Server i nie chcemy żeby chodziły one przez cały czas i bezsensownie zżerały nam zasoby. Chcemy pozwolić użytkownikowi na uruchamianie/zatrzymywanie serwisów i nie nadawać mu zbędnych uprawnień. Najprościej jest to zrobić ustawiając z poziomu domeny odpowiednią polisę która ustawi odpowiednie ACL na dany serwis (tak serwisy też mają ACL ).
Co jednak zrobić w momencie gdy komputer nie jest w domenie? Zawsze wydawało mi się, że wszystko da się ustawić w Local Security Policy. Windows + R wpisuję secpol.msc (albo gpedit.msc, jak kto woli ) enter i nie ma serwisów . Wszystko wskazuje na to, że nie da rady tego ustawić lokalnie jednak z pomocą przychodzi Security Configuraration and Analysis (dla nieświadomych start -> run -> mmc -> ctrl+m -> add -> Security Configuraration and Analysis ). Dodaję nową bazę, importuję template (dla bezpieczeństwa polecam setup security.inf), analizuję komputer, po czym kiedy już pokaże mi się drzewko wchodzę w System Services wybieram interesujący mnie serwis i ustawiam mu ACL’ki .
Ciekawe czemu jest to wycięte z interfejsu w secpol.msc? Po co wycieli coś co i tak da się ustawić? bez sensu…

Po tem jeszcze warto dać użytkownikom narzędzie pozwalające na wygodnie uruchamianie/zatrzymywanie serwisów. Może to być prosty batch wyglądający mniej więcej tak:
NET START "Nazwa serwisu"
albo tak:
NET STOP "Nazwa serwisu"

A gdybyśmy chcieli pisać to w Visual Basicu (np. po to żeby sprawdzać coś zanim nasz serwis wstanie, zrobić ładny interface graficzny itp. itd.) to przyda się ten kawałek kodu:

‘ Uruchom zatrzymaj serwis
option explicit
dim queryString
dim Service, ServiceSet

queryString = "select * from Win32_Service where Name=’Nazwa serwisu’ and State=’Stopped’"
Set ServiceSet = GetObject("winmgmts://.").ExecQuery(queryString)

if ServiceSet.Count <> 0 then
WScript.echo “Uruchamiam serwis”
for each Service in ServiceSet
Service.StartService()
next
else
WScript.echo “Jesteś kretynem, serwis już działa”
end if

Nie będę tu pisał ani jak mi się pomysł podoba, ani co mi to daje … a już na pewno ile czasu zamierzam tam spędzić. Powiem jedynie że jestem starym prykiem, i zamiast po prostu podłączyć się kablem do netu bez ograniczeń, zamiast grać, konfigurowałem ISA Server, by można było grać bezpiecznie.

Zebrana konfiguracja, może się wam przyda.

Przede wszystkim każda plansza jest na innym  serwerze, podejrzewam że będzie to na tyle dynamiczne, że ciężko będzie ustalić zakres docelowych IP. Natomiast sytuacja nie jest jednak beznadziejna. Stałe są porty UDP a ich zakres jest niewielki (kolejne plansze, kolejny port) do tego jest jeden port TCP i na szczęście chodzi to w kontekście przeglądarki, więc cały ruch jest ładnie autoryzowany uprawnieniami użytkownika komputera. Bazując na tym …

Do typowej reguły wypuszczającej userów na świat:

From Internal to Exteral for All Authenticated Users

Dodajemy własna konfiguracje protokołu … np. Quake ;)

Parametry:

TCP Outbound  port 5222    (port potrzebny po połączeniu do planszy)

UDP Send Receive porty 27001 - 27099 (otwieramy 99 planszy)

I można grać … prawie… bo jeśli masz Viste, to po kilkunastu sekundach dostaniesz komunikat, że wywala cię z serwera jakiś eliminator panków (na początku brałem to do siebie).

Ciężko szukać  pomocy na forum QuakeLive, bo zarówno pytania jak i odpowiedzi mają taką formą, jakby ludzie pisali to w trakcie przeładowywania gry. I pewno tak jest, bo pokusa powrotu do gry jest ogromna.

Więc jeśli wywala cię z serwera z komunikatem, że cośtam cośtam PnkBStrB.exe to odpal IE jako administrator … pomaga. Nie mam czasu dociekać dlaczego pomaga i co to robi bo tam cały czerwony Team na mnie czeka …

Dodatkowo:

Gra nie działa na prockach typu 1.2 (dwa mam takie laptopiki i po prostu nie dają rady.

Zmuszony więc jestem do przetestowania rozwiązania na Termian Services Aplication Gateway’u … ale najpierw chwile pogram.

Do zobaczenia na polu walki ;)

Poniższe pokazuje listę poleceń wraz z ich ilością wywolanych np. w bash albo ksh.

Jeśli jakieś rozbudowane polecenie wywołujesz często, może warto zrobić aliasa dla niego:

history|awk '{print $2}'|awk 'BEGIN {FS="|"} {print $1}'|sort|uniq -c|sort

Ku pamięci - NIGDY nie używać MMC z Win Server 2008 do edycji Forwardersów na serwerach DNS stojących na 2003. Psuje to Recursive queries (adresy wpisane w przystawkę zmieniają się w 1.0.0.0 - bez sensu :x )

Dziwna rzecz się dzieje. IE7 przy próbie uruchomienia pojawia się tylko na chwilkę i potem znika. Żadnych wpisów w logach. Dziwne… okazuje się, że jedna dll-ka się nie zarejestrowała. wpisanie w cmd RegSVR32 "C:\Program Files\Internet Explorer\ieproxy.dll" i śmiga :D

Świat został uratowany po raz kolejny :)))

od paru tygodni na serwerze aktualizacyjnym co jakiis czas pojawial sie nam blad

Event Type:    Error
Event Source:    Windows Server Update Services
Event Category:    Clients
Event ID:    13042
Date:        2008-02-26
Time:        16:57:22
User:        N/A
Computer:    XXX
Description:
Self-update is not working.

po wygooglowaniu roznego rodzaju rozwiazan i sprawdzeniu ich (doszedlem nawet do uzywania skryptu adsutil.vbs) nic nie znalazlem, az mnei w koncu natchnelo - WSUS stoi na bazie danych, a sam web service korzysta z Anonymus logon na IIS. "sprawdze, czy IUSR_XXX ma uprawnien na baze SUS" TADA! dziala. uruchomienie wsusutil checkhealth i 0 (slownie zero) bledow w eventlogu :)

Żeby nie było łatwo, postanowiłem przemigrować maszynkę testową Hyper-v na produkcyjny Hyper-v Server. Jako, że jestem z natury człowiekiem leniwym i przyzwyczajonym do zabawy VHDekami przegrałem je i chciałem zobaczyć co się stanie. Niestety psikus - maszyna ma snapshoty, które są standardowo przechowywane w C:\ProgramData\Microsoft\Windows\Hyper-V\Snapshots. No to co? Przegrywamy jeszcze cały katalog z profilem Hyper-V. Próbuję podnieść maszynę - niestety wygląda jakby hypervisor nie mógł pisać po swoim katalogu. Nadaje uprawnienia userowi Virtual Machine do modyfikacji folderu z ustawieniami, porawiam ustawienia sieciówki (mimo takiej samej nazwy jej GUID jest inny) i śmiga.

Nie ma to jak leniuchowac ;) A tak już bardziej szczerze - z live migration byłoby to łatwiejsze - niestety nie wchodzę nigdy w bety - testowanie zaczynam dopiero od RC ;)