podczas połączenia ftp z IE wyskaqje piękna ramka z pytaniem o user/pass ale…

• jesli IE ma skonfigurowane Proxy, to ISA automatycznie przyjmuje standard CERN logując się bez pytania jako anonymous. ramka nie wyskaqje ale…
• można nauczyć userów standardu zapisu ścieżki w postaci ftp://user:pass@server.com ale…
• jeśli hasło posiada znaki specjalne trzeba zastosować URL encode. jest nawet art na supporcie. ale…
• ISA nie potrafi tego najwyraźniej zinterpretować wyrzucając “Error Code: 502 Proxy Error. The password was not allowed.”

efekt taki, że jak w haśle znajdzie się znak specjalny [a przynajmniej % – ten testowałem na wszystkie sposoby] i połączenie jest przez proxy – nie da się skorzystać z FTP.

czasem się zastanawiam czym kierują się developerzy robiąc takie dziwne założenia [ISA].

***UPDATED

znalazłem dla czego i rozwiązanie dla IE7…. a co z ósemką?

eN.

W pewnym momencie na wszystkich W2k8R2 przestało działać podłączanie się do shareów na jednym z węzłów DFS. W dodatku nie działało tylko po nazwie DNS/NetBios. Chwila konsternacji i patrzymy do logów: w security pojawiają się wpisy Authentication Failed EventId 537:

Logon Failure:
     Reason:        An error occurred during logon
     User Name:   
     Domain:       
     Logon Type:    3
     Logon Process:    Kerberos
     Authentication Package:    Kerberos
     Workstation Name:    -
     Status code:    0xC000006D
     Substatus code:    0×8009030E
     Caller User Name:    -
     Caller Domain:    -
     Caller Logon ID:    -
     Caller Process ID:    -
     Transited Services:    -
     Source Network Address:    10.2.2.27
     Source Port:    0

Dziwne.. ogólnie wygląda jakby serwer nie rozumiał biletu, który dostaje. Szybkie zrobienie klist na R2 i widać, że próbuję dostać się do serwera z access ticketem zaszyfrowanym AES-256 (kontroler domeny, to 2k8R2). Zaraz zaraz… Przecież 2003 nie obsługuje szyfrowania AES. Szybkie przejrzenie KB i wygrzebanie czegoś takiego: http://support.microsoft.com/default.aspx/kb/961302 niby dotyczy klastrów, ale rozwiązanie się sprawdza. na klientów (2008+ i Vista+) nakładamy odpowiednie GPO i śmiga :)

Jeszcze jedna niepokojąca rzecz – drugim węzłem DFS jest 2k8R2, więc replikacja się wywala, bo partner nie może się uwierzytelnić do 2k3. po restarcie powinno zacząć śmigać, jak komputery dostaną nowe bilety.

Po świeżej instalacji DPM 2010 beta wszystko działało dobrze tylko raportowanie się wywalało. Przy próbie uruchomienia jakiekolwiek raportu dostawałem śliczny błąd:

An error has occurred during report processing. (rsProcessingAborted)
Cannot impersonate user for data source ‘DLS’. (rsErrorImpersonatingUser)
Log on failed. (rsLogonFailed)
Logon failure: the user has not been granted the requested logon type at this computer. (Exception from HRESULT: 0×80070569)

Chwila grzebania i wymyśliłem, że źródło danych dla raportów jest źle skonfigurowane. Niestety URL do Report Managera nie jest standardowy w DPM2010, więc znalazłem go w konfiguracji Reporting Services:

I rzeczywiście nie było źródła DLS, ale za to było jakieś inne. sprawdziłem konfigurację DPMReporterDataSource i wyciągnąłem z niego connection string:

Wyglądał on tak: data source="DPM\MSDPMV3Beta1EVAL";persist security info=False;initial catalog=DPMDB 

Więc stworzyłem nowe źródło i nazwałem je DLS

Zwróćcie uwagę, że raporty uruchamiają się w kontekście osoby, która go generuje (opcja Windows Integrated Security)

Z tak skonfigurowanym źródłem:

Teraz trzeba zmodyfikować każdy raport ustawiając nowo stworzony obiekt jako źródło danych (we właściwościach każdego raportu wybieramy Data Source i klikamy Browse):

I po takich paru prostych zabiegach raportowanie śmiga aż miło :)

16. lutego odbędzie się konferencja System Center Technology Review 2010 i będziemy z Pekim na niej prelegentami :). Agenda:

• Rejestracja i powitanie 9:00-9:30
• Techniczne spojrzenie na Service Manager 2010 Jacek Doktór 9:30-10:30
• Przerwa 10:30-10:45
• Świeże spojrzenie na System Center Data Protection Manager 2010 Daniel Stefaniak 10:45-11:45
• Przerwa 11:45-12:00
• Niższe koszty utrzymania PC dzięki technologii Intel® vPro™ i MS SCCM SP2 Dariusz Wittek 12:00-13:00
• Przerwa obiadowa 13:00-13:45
• System Center Operations Manager 2007 R2 - Podstawy tworzenia skryptów, wykrywanie i monitorowanie środowiska Łukasz Rutkowski 13:45-14:45
• Przerwa PLGSC 14:45-15:00
• Quest Software a System Center Krzysztof Pietrzak 15:00-16:00

Więcej szczegółów tutaj: http://ms-groups.pl/plgsc/SCTR2010/default.aspx

jakiś czas temu pisałem o fajnych narzędziach do Hyper-V. Ostatnio znalazłem następne: Hyper-V Tray Manager. Więcej szczegółów i pobieranie tutaj: http://blogs.msdn.com/jorman/archive/2010/01/24/hyper-v-manager.aspx

Mały tip ku pamięci – jeśli dodajesz agentów DPM-a do serwera i mimo komunikatu, że dołączenie (attatch) udał się a potem dostajesz error 270:

To upewnij się, że:

• masz dodane wyjątki do Firewalla (polecenie SetDPMServer.exe to robi na końcówce)
• Konto komputera na którym stoi serwer DPM-a ma prawo do dostępu do końcówek z sieci (Prawo “Computer Configuration\Security Settings\Local Policies\User Rights Assignment\Access this computer from the network”)

Jakiś czas temu zastanawiałem się co siedzi w aktualizacjach bazy wirusów w Forefroncie. i jak się okazuje jest KB na ten temat: http://support.microsoft.com/default.aspx?scid=kb;en-us;977939 :)

W najbliższy worek będę się produkować w M$ na temat FCS.

Agenda Spotkania:
18:00 - 18:20 - Powitanie liderzy grupy MSSUG
18:25 - 19:25 - Forefront Client Security: Wstęp - cechy, architektura, ogólne zastosowanie oraz wymagania instalacyjne FCS | Daniel Stefaniak
19:30 - 19:35 - Przerwa
19:35 - 20:35 - Forefront Client Security: Wdrożenie i zarządzanie - krótkie omówienie procesu instalacji, a następnie konfiguracji środowiska i wdrożenia | Daniel Stefaniak

Opis: W dobie Internetu komputery są wystawione na niezliczone niebezpieczeństwa, dlatego jednym z obowiązków każdego administratora jest zabezpieczenie oddanej pod jego opiekę infrastruktury. Producenci oprogramowania, widząc potrzebę rynku, zaczęli wypuszczać całe rodziny produktów mające na celu ochronę użytkowników przed atakami z sieci. Jednym z kluczowych elementów tego procesu jest zapobieganie zainfekowaniu złośliwym oprogramowaniem (malware). Firma Microsoft®, zauważywszy ten trend, wprowadziła produkt Microsoft Forefront Client Security (FCS) chroniący przed: wirusami, trojanami, wszelkiego rodzaju programami szpiegującymi (spyware) oraz rootkitami. Prezentacja dotycząca FCS-a została podzielona na dwie części:
1. Wstęp - cechy, architektura, ogólne zastosowanie oraz wymagania instalacyjne Forefront Client Security
2. Wdrożenie i zarządzanie – krótkie omówienie procesu instalacji, a następnie konfiguracja środowiska i wdrożenie

Link do rejestracji: http://ms-groups.pl/mssug/4.%20Spotkanie%20MSSUG/Lists/Rejestracja%20na%20spotkanie/AllItems.aspx

Opis: http://ms-groups.pl/mssug/Lists/Kalendarz/DispForm.aspx?ID=5

Wszystkich serdecznie zapraszam :)

Fajny wpis na temat dostrajania wydajności FCS-a na nowo wyszperanym blogu: http://blogs.technet.com/kfalde/archive/2009/12/30/determining-the-cause-of-fcs-client-performance-issues.aspx

Ogólnie znów z pomocą przychodzi ProcMon :) Mark Russinovich rządzi ;)

Na portalu WSS.pl właśnie opublikowani tryptyk moich artykułów na temat FCS. Chętnych zapraszam do czytania:

Część 1 - Informacje ogólne i przygotowanie środowiska

Część 2 – Instalacja

Część 3 - Konfiguracja i raportowanie

A za chwilę przygotuję screencast ze skonfigurowania SCCM2007R2 do współpracy z FCS.

na SBS wszystko jest inaczej, przeciwnie do zaleceń. to tak w ramach porannych przemyśleń.
problem: nie działa ActiveSync
opis: no nie działa. niby się łączy, w logach widać, że coś się pojawia, coś niby odpowiada - ale cisza. po zajrzeniu do eventvwr widać wpisy o błędach HTTP 5o1.
rozwiązanie: ActiveSync nie działa przy kombinacji FormBasedAuth+SLL. site musi być bez SSL i FBA. trzeba więc założyć drugą wirtualkę dla ‘/Exchange’ - jak się okazuje w SBS powinno to być zrobione automatycznie - i w rzeczy samej w rejestrze był wpis pokazujący na katalog ‘exchange-oma’. jednakowoż samego katalogu zabrakło. piszę skrótowo ponieważ pełne rozwiązanie jest step-by-step na stronach technetu.

wnioski: podstawowy wniosek to nie używać wizardów w SBS - zwłaszcza przy połączeniu zdalnym. taki wizard powinien teoretycznie założyć owy katalog i wszystko skonfigurować. w rzeczywistości poza przestawieniem bramy na siebie samego nic nie zrobił bo się wywalił. w ogóle używanie wizardów to ryzyko - nigdy nie wiadomo co taki czarodziej sobie wymyśli - istny prestidigitator, który pomacha rękami i gołąb zniknie. nikt nie musi wiedzieć, że zwierzak nie przeżył występu.
wniosek drugi: SBS to wynalazek szatana.

eN.

trudno jest znaleźć fajny darmowy produkt dla ISA do generowania statystyk. GFI wygląda całkiem nieźle - nawet jest darmowy dodatek do tworzenia całkiem sensownych raportów. no i co z tego, skoro sam monitor psuje mi server? ):
po zainstalowaniu WebMonitora dostaje prawie na każdej stronie błędy w skryptach java - a to jakiś braqjący znak, a to jakaś nieobsługiwana zmienna. efekt jest taki, że w logach ISA pojawia się:
Failed Connection Attempt
87 Parameter is incorrect

najwyraźniej tylko ja mam ten błąd bo nawet jeśli coś się na ten temat znajdzie to dotyczy ISA2k4 lub ISA2k6 bez SP. niewątpliwie wszystko wskazuje na błędną obsługę w filtrze HTTP - ale czy po stronie ISA czy GFIWM? to ciężko sprawdzić. w każdym razie straciłem kilka ładnych godzin na znalezienie rozwiązania i powiązanie tego z WebMonitorem, ponieważ po jego odinstalowaniu błąd był nadal. aby się go pozbyć trzeba było:

• odinstalować WebMonitor
• wyłączyć cache
• apply bez restartu
• usunąć plik cache
• włączyć cache z powrotem
• apply z restartem

niemiłe. no i nie mam raportów ): te co są wbudowane w ISA są drętwe i nie za bardzo przydatne. GFI oczywiście nie odpowiada na maile.

eN.

Taki mały startup script do usuwania FCS-a ze stacji:

if not exist C:\UninstallFCS md C:\UninstallFCS 

rem uninstall Microsoft Forefront Client Security Antimalware Service
MsiExec.exe /X {D3E31640-DC20-4722-A1CF-604FF6C540B0} /norestart /qn /l*v C:\UninstallFCS\UninstallFCSAM.LOG 

rem uninstall Microsoft Forefront Client Security State Assessment Service
MsiExec.exe /X {E8B56B38-A826-11DB-8C83-0011430C73A4} /norestart /qn /l*v C:\UninstallFCS\UninstallFCSSSA.LOG 

rem uninstall Microsoft Operations Manager 2005 Agent
MsiExec.exe /X {F692770D-0E27-4D3F-8386-F04C6F434040} /norestart /qn /l*v C:\UninstallFCS\UninstallMOM.LOG

Przy czym trzeba pamiętać, żeby odfiltrować/odpiąć polisę, która go wcześniej zainstalowała.

Ostatnio grzebałem i szukałem czegoś fajnego do Hyper-V.

Pierwszą rzeczą, którą znalazłem był gadżet do sidebar-a, który pozwala monitorować, zarządzać i podłączać się do maszyn i serwerów http://mindre.net/post/Hyper-V-Monitor-Gadget-for-Windows-Sidebar.aspx. Sporym minusem jest niedziałanie dla H-V działającego lokalnie (widzi zużycie RAM, ale już nie maszyny) – pokazane na przykładzie ostatniego serwera na obrazku poniżej:

Drugim fajnym znaleziskiem jest wszystkim pewnie znany HVRemote http://blogs.technet.com/jhoward/archive/2008/11/14/configure-hyper-v-remote-management-in-seconds.aspx przydatny, jak komuś nie chce się grzebać w WMI i Authorization Manager (azman.msc)

na razie to tyle – ktoś ma coś ciekawego…

I stało się – obok WSUSa Print Server stał się moją najmniej ulubioną rolą Windowsową :/

Sytuacja – trzeba przemigrować się z 2003R2×86 na 2008R2×64. poprzednio pisałem o print management. Dobra. Drukarki przeniesione. teraz usunąć serwer i postępować zgodnie z tym artykułem: http://support.microsoft.com/kb/870911. Niestety psikus – na 2008 R2 jest znany bug, który nie pozwala na takie rozwiązanie :/  nie da się podłączyć do drukarki przez CNAME… i co teraz? Na szczęście są Group Policy Preferences – drukareczki ładnie opisane, to userzy wybiorą sobie jedną z kilkunastu, na której drukować, z tym, że te stare będą wsiały z błędami :( nie lubię takich nieeleganckich rozwiązań…

Nexor jakiś czas temu pisał o drukarkach w W7. Ja dziś miałem wątpliwą przyjemność przekopywania się przez ową konsolkę w kontekście migracji serwera wydruku. Oczywiście, żeby być trendy Print Server stoi na 2k8 R2. Wszystko byłoby pięknie, gdyby ustawienia się w całości przeniosły pomiędzy W2k3R2×86 a W2k8R2 (oczywiście x64, bo innego nie ma) za pomocą takowej pozycji w menu:

niestety w większości kupa :/ chyba tylko porty TCP/IP się przeniosły w całości. Jako, że mamy kilkanaście różnych modeli HP, to na samą myśl mi się odechciewało (był nawet przez chwilę pomysł, żeby nie przenosić nic, a doinstalowywać “on-demand” ^^ ) aż eureka – HP wydał universal printer driver w wersjach PLC5, PCL6 i PostScript :) One driver to rule them all :)

i klienci mają jeden driver (wrzucony przez GPO) i różne architektury śmigają :) Przysięgam, że już nie będę narzekać na drukarki HP :D (…) w zastosowaniach biurowych :)

Czasami ze względu na kompatybilność aplikacji standardowe foldery Windows XP muszą nazywać się różnie (na przykład WINNT dla aplikacji pisanych pod w2k). Na szczęście NTFS daje nam parę fajnych funkcji takich jak Hardlinki i junctiony. Hardlinki można tworzyć za pomocą wbudowanego w system fsutil, a junctiony za pomocą sysinternalsowego junction.

http://myitforum.com/cs2/blogs/maikkoster/archive/2009/11/17/deploying-windows-xp-with-mdt-2010.aspx mały link ku pamięci wdrażania starego systemy za pomocą MDT.

Teoretycznie uruchomienie konsolki Forefront Client Security na innej maszynie niż na serwerze FCSa jest niewspierane. Jednakże jest na to sposób :) Johan Blom napisał kiedyś jak to zrobić, a ja pozwolę sobie przetłumaczyć :)

• Zainstaluj klienta FCSa na maszynie i upewnij się, że usługi forefrontowe są uruchomione
• Uruchom FCSMS.MSI z płytki instalacyjnej (jest w katalogu “server”), a następnie zignoruj wszystkie ostrzeżenia
• Z serwera FCS wyeksportuj klucz [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\Config], a następnie zaimportuj go na komputer, na którym chcesz uruchamiać konsolkę
• Zatrzymaj usługę “Microsoft Forefront Client Security Management Service”
• potem w menu start Start\Programs\Microsoft ForeFront\Client Security jest działająca konsola :)
• jedna uwaga – działa tylko na systemach x86