poniedziałek, 8 marca, 2010 - 18:54
Niedawno (1. marca) miała premierę finalna wersja MDT Web Frontend – interfejsu do zarządzania Microsoft Deployment Toolkit 2010 za pośrednictwem protokołu HTTP. Wersję ostateczną (w tej chwili 1.0.1) można pobrać ze stron Codeplex: http://mdtwebfrontend.codeplex.com/. Do produktu dołączona jest także ciągle rozwijana obszerna dokumentacja. Ale oprócz tego autorzy produktu przygotowali także garść porad dotyczących korzystania z Frontendu:
Ogólnie fajny kawałek softu – wprowadza parę funkcjonalności do MDT jak na przykład role based security do obrazów. Polecam :)
Brak komentarzy
Dodaj komentarz
poniedziałek, 22 lutego, 2010 - 13:42
podczas połączenia ftp z IE wyskaqje piękna ramka z pytaniem o user/pass ale…
- jesli IE ma skonfigurowane Proxy, to ISA automatycznie przyjmuje standard CERN logując się bez pytania jako anonymous. ramka nie wyskaqje ale…
- można nauczyć userów standardu zapisu ścieżki w postaci ftp://user:pass@server.com ale…
- jeśli hasło posiada znaki specjalne trzeba zastosować URL encode. jest nawet art na supporcie. ale…
- ISA nie potrafi tego najwyraźniej zinterpretować wyrzucając “Error Code: 502 Proxy Error. The password was not allowed.”
efekt taki, że jak w haśle znajdzie się znak specjalny [a przynajmniej % – ten testowałem na wszystkie sposoby] i połączenie jest przez proxy – nie da się skorzystać z FTP.
czasem się zastanawiam czym kierują się developerzy robiąc takie dziwne założenia [ISA].
***UPDATED
znalazłem dla czego i rozwiązanie dla IE7…. a co z ósemką?
eN.
Brak komentarzy
Dodaj komentarz
środa, 3 lutego, 2010 - 11:14
W pewnym momencie na wszystkich W2k8R2 przestało działać podłączanie się do shareów na jednym z węzłów DFS. W dodatku nie działało tylko po nazwie DNS/NetBios. Chwila konsternacji i patrzymy do logów: w security pojawiają się wpisy Authentication Failed EventId 537:
Logon Failure:
Reason: An error occurred during logon
User Name:
Domain:
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name: -
Status code: 0xC000006D
Substatus code: 0×8009030E
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.2.2.27
Source Port: 0
Dziwne.. ogólnie wygląda jakby serwer nie rozumiał biletu, który dostaje. Szybkie zrobienie klist na R2 i widać, że próbuję dostać się do serwera z access ticketem zaszyfrowanym AES-256 (kontroler domeny, to 2k8R2). Zaraz zaraz… Przecież 2003 nie obsługuje szyfrowania AES. Szybkie przejrzenie KB i wygrzebanie czegoś takiego: http://support.microsoft.com/default.aspx/kb/961302 niby dotyczy klastrów, ale rozwiązanie się sprawdza. na klientów (2008+ i Vista+) nakładamy odpowiednie GPO i śmiga :)
Jeszcze jedna niepokojąca rzecz – drugim węzłem DFS jest 2k8R2, więc replikacja się wywala, bo partner nie może się uwierzytelnić do 2k3. po restarcie powinno zacząć śmigać, jak komputery dostaną nowe bilety.
Brak komentarzy
Dodaj komentarz
środa, 27 stycznia, 2010 - 16:37
Po świeżej instalacji DPM 2010 beta wszystko działało dobrze tylko raportowanie się wywalało. Przy próbie uruchomienia jakiekolwiek raportu dostawałem śliczny błąd:
An error has occurred during report processing. (rsProcessingAborted)
Cannot impersonate user for data source ‘DLS’. (rsErrorImpersonatingUser)
Log on failed. (rsLogonFailed)
Logon failure: the user has not been granted the requested logon type at this computer. (Exception from HRESULT: 0×80070569)
Chwila grzebania i wymyśliłem, że źródło danych dla raportów jest źle skonfigurowane. Niestety URL do Report Managera nie jest standardowy w DPM2010, więc znalazłem go w konfiguracji Reporting Services:
I rzeczywiście nie było źródła DLS, ale za to było jakieś inne. sprawdziłem konfigurację DPMReporterDataSource i wyciągnąłem z niego connection string:

Wyglądał on tak: data source="DPM\MSDPMV3Beta1EVAL";persist security info=False;initial catalog=DPMDB
Więc stworzyłem nowe źródło i nazwałem je DLS
Zwróćcie uwagę, że raporty uruchamiają się w kontekście osoby, która go generuje (opcja Windows Integrated Security)
Z tak skonfigurowanym źródłem:
Teraz trzeba zmodyfikować każdy raport ustawiając nowo stworzony obiekt jako źródło danych (we właściwościach każdego raportu wybieramy Data Source i klikamy Browse):
I po takich paru prostych zabiegach raportowanie śmiga aż miło :)

Brak komentarzy
Dodaj komentarz
wtorek, 26 stycznia, 2010 - 17:35
16. lutego odbędzie się konferencja System Center Technology Review 2010 i będziemy z Pekim na niej prelegentami :). Agenda:
- Rejestracja i powitanie 9:00-9:30
- Techniczne spojrzenie na Service Manager 2010 Jacek Doktór 9:30-10:30
- Przerwa 10:30-10:45
- Świeże spojrzenie na System Center Data Protection Manager 2010 Daniel Stefaniak 10:45-11:45
- Przerwa 11:45-12:00
- Niższe koszty utrzymania PC dzięki technologii Intel® vPro™ i MS SCCM SP2 Dariusz Wittek 12:00-13:00
- Przerwa obiadowa 13:00-13:45
- System Center Operations Manager 2007 R2 - Podstawy tworzenia skryptów, wykrywanie i monitorowanie środowiska Łukasz Rutkowski 13:45-14:45
- Przerwa PLGSC 14:45-15:00
- Quest Software a System Center Krzysztof Pietrzak 15:00-16:00
Więcej szczegółów tutaj: http://ms-groups.pl/plgsc/SCTR2010/default.aspx
Brak komentarzy
Dodaj komentarz
wtorek, 26 stycznia, 2010 - 16:32
jakiś czas temu pisałem o fajnych narzędziach do Hyper-V. Ostatnio znalazłem następne: Hyper-V Tray Manager. Więcej szczegółów i pobieranie tutaj: http://blogs.msdn.com/jorman/archive/2010/01/24/hyper-v-manager.aspx
Brak komentarzy
Dodaj komentarz
czwartek, 21 stycznia, 2010 - 16:28
Mały tip ku pamięci – jeśli dodajesz agentów DPM-a do serwera i mimo komunikatu, że dołączenie (attatch) udał się a potem dostajesz error 270:
To upewnij się, że:
- masz dodane wyjątki do Firewalla (polecenie SetDPMServer.exe to robi na końcówce)
- Konto komputera na którym stoi serwer DPM-a ma prawo do dostępu do końcówek z sieci (Prawo “Computer Configuration\Security Settings\Local Policies\User Rights Assignment\Access this computer from the network”)
Brak komentarzy
Dodaj komentarz
wtorek, 12 stycznia, 2010 - 13:57
Jakiś czas temu zastanawiałem się co siedzi w aktualizacjach bazy wirusów w Forefroncie. i jak się okazuje jest KB na ten temat: http://support.microsoft.com/default.aspx?scid=kb;en-us;977939 :)
Komentarze (1)
Dodaj komentarz
sobota, 9 stycznia, 2010 - 10:22
W najbliższy worek będę się produkować w M$ na temat FCS.
Agenda Spotkania:
18:00 - 18:20 - Powitanie liderzy grupy MSSUG
18:25 - 19:25 - Forefront Client Security: Wstęp - cechy, architektura, ogólne zastosowanie oraz wymagania instalacyjne FCS | Daniel Stefaniak
19:30 - 19:35 - Przerwa
19:35 - 20:35 - Forefront Client Security: Wdrożenie i zarządzanie - krótkie omówienie procesu instalacji, a następnie konfiguracji środowiska i wdrożenia | Daniel Stefaniak
Opis: W dobie Internetu komputery są wystawione na niezliczone niebezpieczeństwa, dlatego jednym z obowiązków każdego administratora jest zabezpieczenie oddanej pod jego opiekę infrastruktury. Producenci oprogramowania, widząc potrzebę rynku, zaczęli wypuszczać całe rodziny produktów mające na celu ochronę użytkowników przed atakami z sieci. Jednym z kluczowych elementów tego procesu jest zapobieganie zainfekowaniu złośliwym oprogramowaniem (malware). Firma Microsoft®, zauważywszy ten trend, wprowadziła produkt Microsoft Forefront Client Security (FCS) chroniący przed: wirusami, trojanami, wszelkiego rodzaju programami szpiegującymi (spyware) oraz rootkitami. Prezentacja dotycząca FCS-a została podzielona na dwie części:
1. Wstęp - cechy, architektura, ogólne zastosowanie oraz wymagania instalacyjne Forefront Client Security
2. Wdrożenie i zarządzanie – krótkie omówienie procesu instalacji, a następnie konfiguracja środowiska i wdrożenie
Link do rejestracji: http://ms-groups.pl/mssug/4.%20Spotkanie%20MSSUG/Lists/Rejestracja%20na%20spotkanie/AllItems.aspx
Opis: http://ms-groups.pl/mssug/Lists/Kalendarz/DispForm.aspx?ID=5
Wszystkich serdecznie zapraszam :)
Brak komentarzy
Dodaj komentarz
poniedziałek, 4 stycznia, 2010 - 19:55
Fajny wpis na temat dostrajania wydajności FCS-a na nowo wyszperanym blogu: http://blogs.technet.com/kfalde/archive/2009/12/30/determining-the-cause-of-fcs-client-performance-issues.aspx
Ogólnie znów z pomocą przychodzi ProcMon :) Mark Russinovich rządzi ;)
Komentarze (1)
Dodaj komentarz
środa, 23 grudnia, 2009 - 10:19
Na portalu WSS.pl właśnie opublikowani tryptyk moich artykułów na temat FCS. Chętnych zapraszam do czytania:
Część 1 - Informacje ogólne i przygotowanie środowiska
Część 2 – Instalacja
Część 3 - Konfiguracja i raportowanie
A za chwilę przygotuję screencast ze skonfigurowania SCCM2007R2 do współpracy z FCS.
Brak komentarzy
Dodaj komentarz
piątek, 18 grudnia, 2009 - 10:19
na SBS wszystko jest inaczej, przeciwnie do zaleceń. to tak w ramach porannych przemyśleń.
problem: nie działa ActiveSync
opis: no nie działa. niby się łączy, w logach widać, że coś się pojawia, coś niby odpowiada - ale cisza. po zajrzeniu do eventvwr widać wpisy o błędach HTTP 5o1.
rozwiązanie: ActiveSync nie działa przy kombinacji FormBasedAuth+SLL. site musi być bez SSL i FBA. trzeba więc założyć drugą wirtualkę dla ‘/Exchange’ - jak się okazuje w SBS powinno to być zrobione automatycznie - i w rzeczy samej w rejestrze był wpis pokazujący na katalog ‘exchange-oma’. jednakowoż samego katalogu zabrakło. piszę skrótowo ponieważ pełne rozwiązanie jest step-by-step na stronach technetu.
wnioski: podstawowy wniosek to nie używać wizardów w SBS - zwłaszcza przy połączeniu zdalnym. taki wizard powinien teoretycznie założyć owy katalog i wszystko skonfigurować. w rzeczywistości poza przestawieniem bramy na siebie samego nic nie zrobił bo się wywalił. w ogóle używanie wizardów to ryzyko - nigdy nie wiadomo co taki czarodziej sobie wymyśli - istny prestidigitator, który pomacha rękami i gołąb zniknie. nikt nie musi wiedzieć, że zwierzak nie przeżył występu.
wniosek drugi: SBS to wynalazek szatana.
eN.
Komentarze (1)
Dodaj komentarz
poniedziałek, 14 grudnia, 2009 - 12:52
trudno jest znaleźć fajny darmowy produkt dla ISA do generowania statystyk. GFI wygląda całkiem nieźle - nawet jest darmowy dodatek do tworzenia całkiem sensownych raportów. no i co z tego, skoro sam monitor psuje mi server? ):
po zainstalowaniu WebMonitora dostaje prawie na każdej stronie błędy w skryptach java - a to jakiś braqjący znak, a to jakaś nieobsługiwana zmienna. efekt jest taki, że w logach ISA pojawia się:
Failed Connection Attempt
87 Parameter is incorrect
najwyraźniej tylko ja mam ten błąd bo nawet jeśli coś się na ten temat znajdzie to dotyczy ISA2k4 lub ISA2k6 bez SP. niewątpliwie wszystko wskazuje na błędną obsługę w filtrze HTTP - ale czy po stronie ISA czy GFIWM? to ciężko sprawdzić. w każdym razie straciłem kilka ładnych godzin na znalezienie rozwiązania i powiązanie tego z WebMonitorem, ponieważ po jego odinstalowaniu błąd był nadal. aby się go pozbyć trzeba było:
- odinstalować WebMonitor
- wyłączyć cache
- apply bez restartu
- usunąć plik cache
- włączyć cache z powrotem
- apply z restartem
niemiłe. no i nie mam raportów ): te co są wbudowane w ISA są drętwe i nie za bardzo przydatne. GFI oczywiście nie odpowiada na maile.
eN.
Brak komentarzy
Dodaj komentarz
poniedziałek, 7 grudnia, 2009 - 9:54
Taki mały startup script do usuwania FCS-a ze stacji:
if not exist C:\UninstallFCS md C:\UninstallFCS
rem uninstall Microsoft Forefront Client Security Antimalware Service
MsiExec.exe /X {D3E31640-DC20-4722-A1CF-604FF6C540B0} /norestart /qn /l*v C:\UninstallFCS\UninstallFCSAM.LOG
rem uninstall Microsoft Forefront Client Security State Assessment Service
MsiExec.exe /X {E8B56B38-A826-11DB-8C83-0011430C73A4} /norestart /qn /l*v C:\UninstallFCS\UninstallFCSSSA.LOG
rem uninstall Microsoft Operations Manager 2005 Agent
MsiExec.exe /X {F692770D-0E27-4D3F-8386-F04C6F434040} /norestart /qn /l*v C:\UninstallFCS\UninstallMOM.LOG
Przy czym trzeba pamiętać, żeby odfiltrować/odpiąć polisę, która go wcześniej zainstalowała.
Brak komentarzy
Dodaj komentarz
środa, 2 grudnia, 2009 - 8:45
Ostatnio grzebałem i szukałem czegoś fajnego do Hyper-V.
Pierwszą rzeczą, którą znalazłem był gadżet do sidebar-a, który pozwala monitorować, zarządzać i podłączać się do maszyn i serwerów http://mindre.net/post/Hyper-V-Monitor-Gadget-for-Windows-Sidebar.aspx. Sporym minusem jest niedziałanie dla H-V działającego lokalnie (widzi zużycie RAM, ale już nie maszyny) – pokazane na przykładzie ostatniego serwera na obrazku poniżej:
Drugim fajnym znaleziskiem jest wszystkim pewnie znany HVRemote http://blogs.technet.com/jhoward/archive/2008/11/14/configure-hyper-v-remote-management-in-seconds.aspx przydatny, jak komuś nie chce się grzebać w WMI i Authorization Manager (azman.msc)
na razie to tyle – ktoś ma coś ciekawego…
Komentarze (1)
Dodaj komentarz
wtorek, 24 listopada, 2009 - 23:39
I stało się – obok WSUSa Print Server stał się moją najmniej ulubioną rolą Windowsową :/
Sytuacja – trzeba przemigrować się z 2003R2×86 na 2008R2×64. poprzednio pisałem o print management. Dobra. Drukarki przeniesione. teraz usunąć serwer i postępować zgodnie z tym artykułem: http://support.microsoft.com/kb/870911. Niestety psikus – na 2008 R2 jest znany bug, który nie pozwala na takie rozwiązanie :/ nie da się podłączyć do drukarki przez CNAME… i co teraz? Na szczęście są Group Policy Preferences – drukareczki ładnie opisane, to userzy wybiorą sobie jedną z kilkunastu, na której drukować, z tym, że te stare będą wsiały z błędami :( nie lubię takich nieeleganckich rozwiązań…
Komentarze (2)
Dodaj komentarz
poniedziałek, 23 listopada, 2009 - 22:59
Nexor jakiś czas temu pisał o drukarkach w W7. Ja dziś miałem wątpliwą przyjemność przekopywania się przez ową konsolkę w kontekście migracji serwera wydruku. Oczywiście, żeby być trendy Print Server stoi na 2k8 R2. Wszystko byłoby pięknie, gdyby ustawienia się w całości przeniosły pomiędzy W2k3R2×86 a W2k8R2 (oczywiście x64, bo innego nie ma) za pomocą takowej pozycji w menu:
niestety w większości kupa :/ chyba tylko porty TCP/IP się przeniosły w całości. Jako, że mamy kilkanaście różnych modeli HP, to na samą myśl mi się odechciewało (był nawet przez chwilę pomysł, żeby nie przenosić nic, a doinstalowywać “on-demand” ^^ ) aż eureka – HP wydał universal printer driver w wersjach PLC5, PCL6 i PostScript :) One driver to rule them all :)
i klienci mają jeden driver (wrzucony przez GPO) i różne architektury śmigają :) Przysięgam, że już nie będę narzekać na drukarki HP :D (…) w zastosowaniach biurowych :)
Komentarze (4)
Dodaj komentarz
czwartek, 19 listopada, 2009 - 18:02
Czasami ze względu na kompatybilność aplikacji standardowe foldery Windows XP muszą nazywać się różnie (na przykład WINNT dla aplikacji pisanych pod w2k). Na szczęście NTFS daje nam parę fajnych funkcji takich jak Hardlinki i junctiony. Hardlinki można tworzyć za pomocą wbudowanego w system fsutil, a junctiony za pomocą sysinternalsowego junction.
Komentarze (3)
Dodaj komentarz
środa, 18 listopada, 2009 - 0:49
Brak komentarzy
Dodaj komentarz
piątek, 13 listopada, 2009 - 14:26
Teoretycznie uruchomienie konsolki Forefront Client Security na innej maszynie niż na serwerze FCSa jest niewspierane. Jednakże jest na to sposób :) Johan Blom napisał kiedyś jak to zrobić, a ja pozwolę sobie przetłumaczyć :)
- Zainstaluj klienta FCSa na maszynie i upewnij się, że usługi forefrontowe są uruchomione
- Uruchom FCSMS.MSI z płytki instalacyjnej (jest w katalogu “server”), a następnie zignoruj wszystkie ostrzeżenia
- Z serwera FCS wyeksportuj klucz [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\Config], a następnie zaimportuj go na komputer, na którym chcesz uruchamiać konsolkę
- Zatrzymaj usługę “Microsoft Forefront Client Security Management Service”
- potem w menu start Start\Programs\Microsoft ForeFront\Client Security jest działająca konsola :)
- jedna uwaga – działa tylko na systemach x86
Brak komentarzy
Dodaj komentarz
pięknie płonie:)