GPO to wspaniały mechanizm pozwalający na centralną i automatyczną konfigurację. bez GPO jak bez ręki. okazało się, że braqje trochę innej funkcjonalności i do polis dodano preferencje – GPP. potęga.

Windows Firewall uległ totalnej modernizacji do Windows Firewall with Advanced Security, wraz z implementacją stosu TCP/IP i całym modelem zarządzania od longhorna. kolejny świetny mechanizm – w zasadzie od wersji Vista nie trzeba żadnego dodatkowego softu. ma swoje ograniczenia ale ogólnie sprawuje się świetnie. GPO pozwala na jego konfigurację co umożliwia centralne zarządzanie zabezpieczeniami sieciowymi. no i jest wspaniały mechanizm NLA – Network Location Awarness, który sam wykryje typ sieci i ustawi najbezpieczniejszy profil.

od wersji w7/w2k8R2 NLA zostało jeszcze rozbudowane, pozwalając na używanie kilq profili na raz! czyli przy dwóch+ połączeniach każde może działać z innym profilem.

ilość superlatyw sugeruje gruby sarkazm… a fakt jest taki: przy bardziej zaawansowanych konfiguracjach nie można konfigurować WFwAS za pomocą GPO a NLA – jak większość automatów – potrafi nieźle namieszać.

• na początek proponuję taki oto wątek – jak się NLA uprze, to nie ma … we wsi.
• nie ma możliwości tworzenia własnych typów profili ponad 3 zdefiniowane. zapomniano o tym, że w serwerach jest często, gęsto od połączeń różnych typów – management, iSCSI, direct connections, VLANs itp itd etc i inne trzyliterówki
• jeśli skonfiguruje się WFwAS via GPO nie ma możliwości wyłączenia firewalla dla konkretnej sieciówki. nie ma też możliwości zdefiniowania własnej sieci, dla której profil będzie wyłączony
• na serwerze nie ma możliwości zdefiniowania profilu dla konkretnej sieci – nie do końca rozumiem dla czego. nie ma też możliwości zrobienia tego via netsh
• nie ma mechanizmu pozwalającego określić że sieć np. X.Y.Z.0/24 jest ‘private’ nadpisując mechanizm NLA. to nadal było by za mało ale już coś
• GPP nie oferuje możliwości włączenia FW przez co nie mechanizmu do zrealizowania scenariusza ‘włącz podstawowy firewall by default a potem sobie dodefiniuj’ bo polisy będą nadpisywać. oczywiście jest mechanizm mergowania zasad FW więc można dopisać parę rzeczy ponad te z GPO ale zarządzania profilami, chwilowe wyłączenie FW czy zarządzanie filtrowaniem per interfejs nie jest możliwe.

reasumując – mam dylemat czy to rozwój czy niedorozwój mechanizmu zabezpieczeń. w każdym razie na serwerach – GPO do śmietnika. ręczne włączenie zasad ):

eN.

przypadek z tych niewyjaśnionych – ale przynajmniej z rozwiązaniem (:

otóż już nie pierwszy raz przytrafia mi się takie zjawisko nadprzyrodzone, iż Windows [tutaj jako maszyna wirtualna – poprzednim razem nie pamiętam] zaczyna odrzucać wszelkie pakiety przychodzące. no może nie wszelkie – bo te zainicjowane z systemu spokojnie docierają, co od razu wskazuje na jedyne realne rozwiązania – statefull firewall. problem polega na tym, że firewall jest wyłączony

UWAGA! dla niewtajemniczonych, ponieważ widziałem już takie próby rozwiązania – wyłączenie usługi Windows Firewall powoduje de facto włączenie pełnego filtrowania ruchu przychodzącego! a więc najszybszym sposobem zabezpieczenia komputera jest zabicie procesu systemowego MpsSvc.

restarty, instalacje updateów, przegrzebywanie logu systemowego/aplikacyjnego, zmiana IP – generalnie nic nie działa. testy polis IPSec – brak. o co więc chodzi?

pytanie pozostanie bez odpowiedzi. system działa w zasadzie poprawnie, komuniqje się z DC, z innymi serwerami, Internetem i w ogóle działa świetnie… tylko nie wpuszcza dokładnie żadnego ruchu.

rozwiązanie: usunąć interfejs sieciowy, wyszukać urządzenia żeby się ponownie zainstalował, skonfigurować.

eN.

banalne… a zarazem nietrywialne (; w sumie zgodne z działaniem całego androida ale chwilę mi zajęło zanim się domyśliłem:

Q: po którejś tam kolejnej instalacji ROMa google voice nagle zaczął włączać się wyłącznie po angielsq. system jest PL, żadnych innych ustawień regionalnych ani opcji w panelu aplikacji nie ma… jak toto zmienić?

A: trzeba zacząć coś wyszukiwać – pojawia się ekran ‘speak now’ – nacisnąć ‘guzik opcji’ – zazwyczaj są 3 podstawowe dla urządzeń z droidem, i zazwyczaj to ten po lewej q: pojawi się menu ‘opcje’ gdzie można ustawić język. czyli w pełni kontextowo – brak ustawień globalnych.

przy okazji, po wielu testach, trafiłem w końcu na świetnego ROMa dla swojej xperii X8 gingerDX – nie dość, że 2.3, nie dość, że stabilny, to jeszcze super szybki – jak popierdółkę, jaką jest X8 to na prawdę super zoptymalizowany. na razie korzystam około tygodnia, więc jeszcze dużo do testów, ale póki co – najlepszy jaki testowałem. nawet hacdroid nie jest tak dobrze dopracowany.

i jeszcze taka ciekawostka: jakiś czas temu zacząłem mieć problem z ładowaniem – przy podłączeniu do ładowarki USB nie chciał ładować – jeśli jakimś cudem zaczął, to wystarczyło ruszyć urządzeniem i przestawał. przy podłączeniu do kompa zazwyczaj ładował dobrze chociaż i w tym przypadq czasem to nie działało. spodziewałbym się, że tego rodzaju problem to usterka natury fizycznej. tym bardziej, że pojawiła się ‘nagle’ i miała tendencję narastającą – najpierw ‘czasem niedziałał’, potem ‘czasem działał’ a w końcu ‘praktycznie nie działał’. tymczasem po reinstalacji ROMa zaczęło działać… no powiedzmy z 9o% prawdopodobieństwem q:

czy ktoś jest w stanie wyjaśnić takie zachowanie?

eN.

początkowo założenie było takie:

• na podstawie starych doświadczeń z DFSem i FRSem szybciutko postawię małą infrastrukturę
• szybko przetestuję
• napiszę panegiryk o tym jak wspaniała i wydajna jest to usługa.

miało być tak pięknie, a wyszło jak zwykle. może najpierw słowo wstępu dla tych, którzy z DFSem do czynienia nie mieli:

Distributed File System to [w skrócie] rozproszony system plików z redundancją. idea jest trywialna: definiuje się ‘namespace’ – czyli taki ‘share’, tyle że *nie* wskazuje on na konkretny katalog na konkretnym serwerze. jest wirtualnym tworem, pozwalającym zdefiniować wiele odnośników do kilku prawdziwych udziałów [shares] na serwerach. te kilka udziałów [konkretniej – dane przez nie wskazywane] są automatycznie replikowane/synchronizowane. w rezultacie użytkownik dostaje się pod określną nazwę typu “\\domain.ad\fileserver\ABC” a system decyduje gdzie znajduje się najbliższy serwer i przekierowuje tam usera. jeśli serwer strzeli, to użytkownik zostanie [po jakimś czasie – to nie działa tak szybko jak klaster] przekierowany na inny, działający udział z tymi samymi danymi.

DFS powstał wraz z Windows 2ooo i wykorzystywał do replikacji usługę FRS – File Replication Services. cały system sprawował się świetnie w scenariuszach w sieci lokalnej, jednak ze względu na słabą wydolność FRS nie za dobrze radził sobie z replikacją przez sieć o słabych parametrach. największym problemem była wstępna replikacja – podczas której muszą zostać skopiowane wszystkie dane.

usługa z wersji na wersję była wzbogacana o nowe funkcjonalności. podstawową było zastąpienie FRS usługą DFSR [Distributed File System Replication] w Windows 2oo3 R2. podstawą ‘genialności’ i przewagi DFSR ma być wykorzystanie algorytmu RDC – Remote Differential Compression.

celem tego wpisu nie ma być deep-down DFSa [jeśli jest takie zapotrzebowanie to mogę taki cykl napisać] a raczej wyżycie się i wykrzyczenie na ten produkt. po raz kolejny eMeS pokazuje jak wspaniała idea i z definicji świetne narzędzie, może zostać spier*&ne i doprowadzić do białej gorączki. otóż po 3 tygodniach od utworzenia niemal najprostszej możliwej konfiguracji, nadal nie udało mi się zreplikować wszystkich danych. DFS jest jak księżniczka na ziarnq grochu – wystarczy pierdnąć w pobliżu serwera, żeby coś nie zadziałało prawidłowo.

scenariusz, jaki sobie wymyśliłem jest bardzo nieskomplikowany: chcę mieć HUB Server w centrali, na który replikowane są dane z serwerów branch-office’owych. te dane, będzie można łatwo zbackupować lokalnie. testy backupu przy pomocy Backup Exec Remote Agent były co najmniej niezadawalające – ponieważ kopia niezbyt dużej dawki danych trwała ok. tygodnia. zdalne serwery połączone są stosunkowo słabymi łączami 2/2MBps. DFS ze swoim wspaniałym DFSR korzystającym super-duper-hiper RDC wydawał się być lekiem na całe zło i nadzieją na system backupu. nie wspominając o oszczędności wynikającej z dużo mniejszej ilości licencji na BE Remote Agent.

Pierwszy fackup na jaki się natknąłem to [imho] beznadziejny model bezpieczeństwa. są dwa typy replikacji – ‘multipuprose’ oraz ‘data collection’:

o ile typ multipurpose wymaga zdefiniowania ‘namespace’ w którym będzie tworzyć się udziały, o tyle typ data collection tego nie wymaga – jest prostym wykorzystaniem DFSR do replikacji danych. jakie są limity:

• w przypadku ‘multipurpose’ wymagane są uprawnienia ‘Domain Admin’ – name space rejestrowany jest w AD. nie da się wydelegować tworzenia name space – najpierw trzeba go utworzyć, potem można delegować. to ma jakiś sens, chociaż imho powinno dać się wydelegować możliwość utworzenia namespace. [hint –> być może da się ręcznie poustawiać ACL w AD?]
• te same ograniczenia dotyczą ‘data collection’ z jedną dodatkową poważną głupotą… przy data collection nie jest tworzony name space, a mimo to może założyć go wyłącznie osoba z uprawnieniami Domain Admin!

DFSR, podobnie jak FRS faktycznie robi wpisy w AD i korzysta z niego jako ‘katalogu informacji’ – wystarczy spojrzeć do “CN=DFSR-GlobalSettings,CN=System,DC=domain,DC=ad” żeby zobaczyć, że są tam informacje o grupach replikacji i topologii. zakładając, że nie da się tego zrobić inaczej [dane muszą być w AD i nie można utworzyć DFSa w postaci AD-Free na member serverach] sprawdźmy dalej.

po utworzeniu prościutkiej topologii, synchronizującej pojedynczą strukturę katalogów, okazało się, że nie chce się replikować. w logach sporo błędów. nie trudno było trafić na art ‘top 1o common causes…’, i zlokalizować błąd konfiguracji: za mały rozmiar ‘stage folder’. ‘katalog tymczasowy’ dla DFSR musi mieć rozmiar co najmniej sumy 32 największych plików, które będą replikowane. na tym serwerze był to pewien problem, ale dało radę zrobić. to jednak w pewien sposób determinuje scenariusze wykorzystania DFS – raczej dla małych plików. jeśli na serwerze chcemy przechowywać duże pliki [video, backup, image] to ilość przestrzeni zarezerwowanej dla katalogu tymczasowego musi być olbrzymia. ciekawe, że głupie robocopy czy xcopy nie potrzebuje żadnej przestrzeni i działa prawidłowo – czy nie można wyliczyć hasha [czy co oni tam liczą] korzystając z żywego pliq? na blogu ludziqw tworzących DFS jest wręcz informacja: “idealnym stanem jest przyznanie katalogowi roboczemu wielkości równej sumy wszystkich plików". kiedy zapytałem owe osoby czemu takie wymagania – przecież to rozbój w biały dzień – oficjalne stanowisko jest “dyski są tanie, chcesz mieć DFSa to se qp większe”. hmmm…. chyba nie qpowali ostatnio ultra wide SCSI do trochę starszego serwera ani dysków do macierzy…

co jeszcze zwróciło  moją uwagę to interfejs – pod tym trywialnym GUI, gdzie wszystko robi się kilkoma kliknięciami, oraz wspaniałymi whitepapaerami opisującymi genialność usługi, kryje się całkiem sporo wymagań dla których step-by-step guide jest tylko początkiem drogi, a sama usługa może nie działać prawidłowo… z dość znacznej ilości powodów. owe top 1o prezentuje tylko najczęstsze błędy. prawdziwa jatka zaczyna się przy kłopotach z siecią.

pomimo prawidłowej konfiguracji wielkości katalogu roboczego i zniknięciu błędów 4ooo nadal dane nie repliqją się [po 2tygodniach mam 25GB z 4oGB], a logach pojawiają się błedy z kolejnego tysiąca: 5004 i 5014. pojawiają się w tej samej sekundzie – pierwszy mówi ‘straciłem połączenie’, drugi ‘odzyskałem połączenie’. najwyraźniej chwilowy problem z siecią poniżej 1sec wystarczy, żeby replikacja nigdy się nie wykonała. teraz pozostaje sprawdzenia co to za problem – skoro wykonanie xcopy nie powoduje zerwań sesji i redundancja na poziomie samego TCP wystarczy, żeby transmisji nie zerwać – czemu super-hiper-duper system replikacji stworzony z myślą o słabych łączach w biurach zdalnych, nie potrafi sobie poradzić?

póki co nie mam finalnej odpowiedzi na to pytanie. nie mogę niestety restartować serwera po kilka razy dziennie, żeby sprawdzić czy tuning parametrów TCP coś zmieni. a może trzeba stuningować całego DFSR?

i tak z prostego wizarda o kilq ekranach i trywialnej usługi zaprojektowanej do tego konkretnego zastosowania, okazuje się, że konfiguracja to modyfikacja masy parametrów na poziomie rejestru, które wpływają na wydajność całego systemu, podporządkowanie całego systemu jednej usłudze… kopiującej pliki!! 

a miało być tak pięknie…

eN.

Mogę, to się Wam wyrzygam na temat kolejnego banku.
Multibank.
Wzięliśmy go, bo wyglądał sensowniej od Millenium, niestety nie wszystko złoto co się świeci. Interfejs internetowy ma dwa fantastyczne ficzersy:

1. Jeśli nie zautomatyzujesz zleconego przez księgową przelewu w terminie jego wykonania (np podatek 25-go) to przelew automatycznie staje się “przedawniony” czy jakoś tak i NIE MOŻESZ go wykonać ponownie, możesz go skasować i błagać księgową, aby wykonała całą robotę jeszcze raz, dzięki czemu nie spóźnisz się z przelewem dzień, tylko więcej… super.

drugi natomiast to wybitna mega opcja banku internetowego XXI wieku.

2. Księgowa przygotowuje przelewy, jeden, dwa, dwadzieścia. Autoryzujesz te przelewy, fajnie wiedzieć komu płaci się tę kasę. Bank niestety dodaje trochę dreszczyku emocji do Twojego działania i nie umożliwia takiej funkcjonalności, widzisz tylko tytuł przelewu i NIE WIESZ KOMU WYSYŁASZ KASĘ - tak jak to widać poniżej:

Autoryzujemy zatem w ciemno, jak kwota nie jest za duża, inaczej szukamy w fakturach, albo dzwonimy do księgowej.

Wybaczcie prozaiczność i przyczepianie się, ale nie mogę sobie tego darować.
Bank się nie wyrabia z obsługą zleceń… mam wrażenie że chomik.pl lepiej sobie radzi ze wzmożonym ruchem (??? wzmożony ruch w banku???, ale to jak jest kolejka do okienka…)… kolejna ofiara sukcesu… za dużo klientów…

kontynuując piątkowe walenie głową w ścianę muszę się jeszcze wyrzygać na Unizeto. znajomy poprosił mnie o pomoc przy wygenerowaniu i instalacji certyfikatu SSL. pierwszy odruch – chłopaq, bierz w thawte. korzystałem z tego z ich usług kilqkrotnie i nie miałem żadnych problemów. niestety – płatność tylko w peelenach i w ogóle ze względów politycznych firma polska. nie za bardzo wiedząc co robię postanowiłem zaufać Unizeto – Certum. czy to firma państwowa? bo cały ten portal wygląda jak napisany przez syna pana prezesa i ‘dla oszczędności’ postawiony na opensource’owych rozwiązaniach konfigurowanych przez studentów. kilka przykładów:

pierwsze kroki standard: zaqp przez WWW, wysłanie faktury, płatność, weryfikacja doqmentów. so far so good. no ale skoro zostały zaqpione certy to teraz chciałbym się zalogować do jakiegoś panelu zarządzania certyfikatami. po kilqnastu minutach walki postanawiam skorzystać z ‘chat z konsultantem’. dostaję odpowiedź ‘nie ma panelu zarządzania. dostaje pan zdrapkę i to się wpisuje <blablabla>’. jak nie ma panelu zarządzania to jak się nimi zarządza? poza tym wpisywałem jakieś hasło i login… to po co? ach. potem okazuje się, że jednak jest jakiś-tam panel i jest to e-koszyk w sklepie. super. na stronie głównej jest guzik ‘masz już konto w e-sklepie? zaloguj się’. ale logowanie się nie udaje. po jakiś dziwnych manewrach trafiam na inną stroną [potem już wiem, że jest druga strona, bo linka do niej jakoś niełatwo znaleźć] – i tam logowanie o dziwo działa [nie wiem w końcu czy są dwa sklepy…?] następnego dnia nie działa – odkrywam, że nazwa użytkownika, którym jest email, jest case-sensitive. od kiedy maile są case-sensitive nie wiem. śmierdzi linuxem q: dobra. umiem się zalogować – sukces! ale w wyniq tych wszystkich operacji klucz prywatny nie chce się sparować z publicznym [zapytanie pkcs generowałem ich interfejsem]. muszę zrevokować cert. zaczyna się jazda czyli komunikacja z działem reklamacji – ponieważ proces revoke, jak w każdym szanującym się systemie działającym przez WWW jest w pełni automatyczny, czyli wymaga telefonu, pani Kasi po drugiej strony, dwóch adresów mailowych i dużo cierpliwości. i teraz kolejne ułatwienie. w klepie dostaje się cert o numerze seryjnym np. 34590876. kiedy się go dostaje wygenerowanego ma juz numer 0×345678, kiedy się go odwołuje – dostaje się info, że cert o numerze seryjnym 3430008 został odwołany. qrva mać! no szybkie przeliczenie i przynajmniej jeden numer – przy odwołaniu – po przeliczeniu DEC-HEX się zgadza. fajnie się też koresponduje z reklamacjami kiedy pytają o numer seryjny – sami chyba mają problemy ze zorientowaniem się o który chodzi.

wnioski:

• NIDY WIĘCEJ
• używaj openSSL
• polska… polska… to gdzieś w afryce?

jeśli macie doświadczenia z innymi urzędami w polsze to plz o wpis w komentarzu bo następnym razem.. szkoda zdrowia po prostu.

eN.

spodziewałem się, że po pojawieniu się w PE wskaźnika operacji I/O – wykresy sieci i dysq – w końcu będzie można przekonać się co młóci dyskiem. bardzo często podglądając procesy System Idle ma 9o+% a komputer jest totalnie nieresponsywny. a tutaj takie niemiłe zaskoczenie – już kilka razy sprawdzałem i SystemIdle ponad 9o%, obciążenie dysq i sieci minimalne a jedyne co działa to qrsor myszy. przy okazji dioda od dysq praktycznie nie gaśnie.

no i o co cho? czy PE pokazuje błędne odczyty, czy też te operacje dzieją się na tak niskim poziomie, że ich nie jest wstanie odczytać? i jaki to miałby być niby poziom? jedyne co mi przychodzi do głowy to procesy wewnątrz maszyny wirtualnej, ale czy w takim przypadq nie powinien pokazywać obciążenia z procesu vpc? zresztą przy robieniu tego screena [i ledwie dychającym kompie] żadna maszyna uruchomiona nie była.

no i to by było tyle z genialnego zastosowania );

eN.

przeklinam tych, którzy mogli, a nie spowodowali, żeby klawiatura numeryczna i telefoniczna miała układ cyferek taki sam.

GRRR!!!!!

a teorii jest kilka: http://www.vcalc.net/Keyboard.htm 

eN.

pojawiło się takie pytanie: czy da się ograniczyć liczbę kolorów i rozdzielczość przy sesji Remote Assistance?

nie udało mi się znaleźć bezpośredniej odpowiedzi tak/nie ale biorąc pod uwagę ten artykuł:

http://support.microsoft.com/kb/305898
oraz na podstawie tego, jak obsługiwane jest RDP – odpowiedź brzmi: nie, nie da się.

trochę dorabiając teorię do faktów, wynika to z tego, że jeśli sesja RA miałaby łączyć się z limitami – musiałyby one również zostać wprowadzona na stacji klienckiej. w innym przypadq wymagana byłaby ‘przebudowa’ całego mechanizmu, który na chwilę obecną działa [w dużym uproszczeniu] na zasadzie przekierowania strumienia obrazu. żeby możliwe było dwóch połączeń do tej samej sesji na dwóch różnych ustawieniach, wymagany byłby jakiś komponent pośredni, odpowiednio konwertujący w locie. w efekcie RA jest bardzo fajnym mechanizmem – jak się ma w miarę porządne łącza ):

*UPDATED*

jednak da się zmienić ilość kolorów – w każdym razie teoretycznie:

Q. Why does the color depth not match on both users’ computers?

A. Remote Assistance will detect if you have a dialup modem connection and reduce color depth to 8bit (256 colors). The color depth on the requestor’s screen is then sent to the helper to optimize performance.

ze strony wsparcia. pozostaje tylko znaleźć sposób jak zmusić RA żeby sądziło, że połączenie jest modemowe…

eN.

hhgrrr! praca z UAC na fileserverze to masakra jakaś jest! jedyny sensowny sposób – odpalić poweshella ‘run as administrator’ i jechać icalc’iem… ale często z interfejsu jest po prostu nieporównywalnie łatwiej/szybciej.

jeśli zaloguje się jako ‘osoba z uprawnieniami administratora’ a nie ‘administrator’ to przy próbie wejścia do każdego katalogu dostaję komunikat, że nie mam uprawnień, czy mają zostać przydzielone. po kliknięciu ‘tak’ na ACL dopisywane jest ACE z moim loginem! przykład:

• katalog ‘test’; SYSTEM:FC, Administrators:FC –> będzie krzyczał, że nie ma uprawnień pomimo, że konto należy do administratorów. dodane zostanie nowe ACE bezpośrednio nadające uprawnienia kontu osoby zalogowanej.
• katalog ‘test’; SYSTEM:FC, Administrators:FC, Users:R –> nie dosć, że nie krzyczy przy wejściu do katalogu to [co byłoby konsekwentnie logiczne] pozwala założyć wewnątrz katalog nie ostrzegając o elewacji uprawnień.

fuj jakie ohydztwo. nie da się z tym pracować.

eN.

Ta sama strona otwarta w dwóch różnych przeglądarkach. Potęga ciasteczek i ustawień językowych skazuje nas na starszą wersję programu jeśli wejdziemy na stronę złą przeglądarką :-o

taki wesoły komunikat przywitał mnie po zalogowaniu na wXP SP3:

przez chwilę komputer zaczął zachowywać się dziwnie, po dwóch restartach można już było zalogować się normalnie. a w logu jak zwykle cisza i spokój… wtf?

eN.

Ostatnio, przy zabawię z ISA 2006 (Windows 2003 R2 SP2) pojawił mi się dziwny problem – zniknęły pola w konsolce mmc. Drzewko było widoczne, ale nie można było zobaczyć jakiegokolwiek ustawienia konfiguracji:

Podobny problem spotkał konsolkę mmc services.msc:

Google radzi w takich wypadkach uruchomić, vbscript.dll, oraz mshtml.dll

regsvr32 jscript.dll & regsvr32 vbscript.dll & regsvr32 mshtml.dll

Niestety nie pomogło.

Moją uwagę jednak zwróciło to, że powinniśmy przerejestrować komponenty odpowiedzialne za wyświetlanie html-a w systemie, razem ze skryptami. Chwilka zastanowienia, szybki rzut oka na logi systemowe – i tak, ostatnio z aktualizacji spłynął IE 8. Po odinstalowaniu, sytuacja wróciła do normy – konsolki zaczęły się wyświetlać normalnie.

jedne z najdziwniejszych wymagań na hasło – strona zgłaszania problemów ze sprzętem HP:

eN.

od kilku dni prześladuje mnie technologiczny diabeł. nie wnikając w szczegóły takie jak ciągłe zrywanie nowego łącza (tepsa …) przez kilka dni,  padnięta żarówka w projektorze, przegryziony kabel audio przez kota, laptop, który przestaje działać, samochód , który mi robotnicy zepchnęli na trawnik, przyjechała straż miejska i wlepiła mandat za parkowanie na trawie… to tylko niektóre z przyjemności, które mnie testują. bardziej mistyczne skojarzenie może dotyczyć Hioba, bardziej naukowe – teoria chaosu wprowadza pojęcie “dziwnego atraktora” który w tym momencie idealnie do mnie pasuje – jestem gdzieś na rozwidleniu fraktala złych przypadków i z niecierpliwością czekam na zmianę dynamiki, bo moje umiejętności życia w stresie i pracy po kilkanaście.. dziesiąt (; godzin dziennie są u skraju wyczerpania…

zacznę od  przypadku serwera terminalowego, stojącego na w2k8 R2. jest tu dużo ciekawostek, które warto sobie poczytać – bo jest kilka ciekawostek i przynajmniej część jest wyjaśnialnych… serwer był niedawno migrowany. nie sposób opisać wszystkie problemy jakie miały miejsce przez ostatnie dni – ale niektóre wnioski mogą się przydać innym.

błąd 1 – replikacja i UIDy?

ponieważ serwer terminalowy należał do grupy “Terminal Server License Servers” oraz miał atrybut “trust for delegation” zostałem poproszony o dodanie nowego serwera nie usuwając obiektu w AD. komputer dodał się bez problemów i wszystko niby działało…. po jakimś czasie serwer odrzucał połączenia z komunikatem ‘Access Denied’ podczas, gdy w logach można było sprawdzić, że użytkownik uwierzytelnił się prawidłowo. jedyny sygnał jaki wskazywał na nieprawidłowości były ostrzeżenia, że komputer nie należy do grupy TSLS. ponieważ widzę w AD, że należy postanowiłem sprawdzić co o tym sądzi sam serwer.

jak sprawdzić przynależność komputera do grup?

dla usera prosta: ‘whoami /all’. uruchomienie konsoli w kontexcie konta systemowego i zrobienie tego samego, nie daje niestety odpowiednich rezultatów. najprostszym sposobem jest wykorzystanie ‘gpresult /scope computer /r’, który okazał się przy całym debugowaniu bardzo przydatnym narzędziem. próbowałem wyciągnąć bardziej dokładne informacje – ale nawet wszystkie toole do kerberosa – jak np. klist – są zrobione wyłącznie z myślą o kontach użytkownika. to imho duże niedociągnięcie [po cichu liczę, że te wypociny przeczyta Gibon i wyciągnie jakiegoś królika z kapelusza mocno mnie zawstydzając, ale z pożytkiem dla przyszłych tego rodzaju problemów (; ].

jak nie trudno się domyśleć komputer nie był tak na prawdę w grupie TSLS. poprosiłem admina z centrali [o ileż łatwiej jest kiedy ma się domain admina… chyba muszę w końcu zesniffować hasełko… ] żeby konto kompa re-dodał do tej grupy. nie pomogło. finalnie usunięty został z AD i dodany ponownie [ergo utworzenie nowego obiektu]. też nie pomogło.

samo dodanie do domeny to też oddzielna historia. po usunięciu i dodaniu serwer zrestartował się wstał poprawnie i nawet pozwolił się zalogować… ale coś było nie tak – search po AD i okazuje się, że konto w domenie nie istnieje. tutaj znów przydał się gpresult – ponieważ oprócz przynależności do grup, wyświetla distinguished name, czyli położenie w strukturze OU. wbrew oczekiwaniu iż trafi do defaultowego kontenera gdzie są nowe konta – wykrywał się na nieistniejącym koncie w starym OU. przy kolejnej próbie było podobnie, tylko nie pozwolił się już zalogować. w końcu grzecznie odczekałem 1o minut aż się wszystko zsynchronizuje [zrepliqje ładnie] i poszło.

błąd 2 – event 41o5 i grupa Terminal Server License Servers

problemy z terminalami niemniej nie ustały – z dokładnie takim samym efektem – czysto w logach, Access Denied przy próbie logowania. jedyny wpis to Event 41o5:

Log Name:      System
Source:        Microsoft-Windows-TerminalServices-Licensing
Date:          2010-06-16 15:41:55
Event ID:      4105
Task Category: None
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      RDS.my.domain
Description:
The Remote Desktop license server cannot update the license attributes for user "username" in the Active Directory Domain "my.domain". Ensure that the computer account for the license server is a member of Terminal Server License Servers group in Active Directory domain "my.domain".
If the license server is installed on a domain controller, the Network Service account also needs to be a member of the Terminal Server License Servers group.
If the license server is installed on a domain controller, after you have added the appropriate accounts to the Terminal Server License Servers group, you must restart the Remote Desktop Licensing service to track or report the usage of RDS Per User CALs.
Win32 error code: 0×80070005
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-TerminalServices-Licensing" Guid="{4D99F017-0EB1-4B52-8419-14AEBD13D770}" EventSourceName="TermServLicensing" />
    <EventID Qualifiers="51456">4105</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0×80000000000000</Keywords>
    <TimeCreated SystemTime="2010-06-16T13:41:55.000000000Z" />
    <EventRecordID>5442</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>System</Channel>
    <Computer>RDS.my.domain</Computer>
    <Security />
  </System>
  <UserData>
    <EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS">
      <param1>username</param1>
      <param2>my.domain</param2>
      <param3>0×80070005</param3>
    </EventXML>
  </UserData>
</Event>

błąd się zgadza: ox8oo7ooo5 to acc denied. kolejna ciekawostka to fakt, że część połączeń przyjmuje a odrzuca dopiero po jakimś czasie. do debugowania problemów z licencjami terminalowymi jest tool “RD Licensing Manager” więc zacząłem sprawdzać. pierwszy błąd wykryłem szybko – zamiast licencji “PER USER” zainstalowane były licencje “PER DEVICE” czego nie zweryfikowałem pierwotnie. telefon do centrali, dodane. tutaj przydatna informacja:

“Per User CALs are not monitored by Terminal Server. This means that even though there is a Per User CAL in the license server database, the Per User CAL is not decremented when it is used. Additionally, if you use the Per User licensing mode, when a client logs on to a terminal server for the second time, the temporary license is not upgraded to a permanent CAL.”

co oznacza nie mniej ni więcej – że User CAL nie są weryfikowane a więc nawet jeśli przekroczy się liczbę licencji – powinien normalnie wpuszczać. informacja jest dla wersji w2k3 i nie znalazłem póki co ani potwierdzenia ani zaprzeczenia tej informacji dla w2k8.

ponieważ to nie poskutkowało oczekiwanym rezultatem zacząłem szukać dalej i znalazłem drugi błąd. po włączeniu ‘review config’ okazało się, że tutaj w końcu serwer normalnie pokazuje, że nie należy do TSLS [niby zgodnie z tym, co wie o sobie komp].

kolejny telefon do centrali ‘please clik it!’ i już. restart, zaglądam do AD i okazuje się, że wbrew komunikatowi, serwer nie musi należeć tylko do TSLS ale również do “Terminal Server Computers”. dopiero wtedy RD License Manager przestał pokazywać ostrzeżenia… co nie zmieniło faktu, że nadal pojawiają się Event 41o5 w logu systemowym a gpresult nadal nie widzi grupy TSLS [SIC!] przy czym póki co userzy się mogą logować. niemniej obawiam się, przy ostatniej fali ciekawostek to nie jest niestety jeszcze koniec historii ): żeby było zabawniej poprzedni serwer różnił się w konfiguracji wyłącznie tym, że był na innym sprzęcie i w wersji enterprise – co zaczyna coraz bardziej skłaniać do wniosq, że problem leży w pierwszej warstwie [oj, jak ja tego nie lubię].

czas zbudować LABa – może on nie ma widzieć tej grupy? ROTFL

błąd 3 – w-files

prawdziwe w-files. ni-stąd-ni-z-owąd katalogi poprzemieszczały się na file serwerze. uruchomione zostały wszystkie procedury bezpieczeństwa i testy spójności – generalnie *coś* się stało z system plików. imho to wina McAfee AV – bo generalnie ten produkt doprowadza mnie do furii a po odinstalowaniu serwer zaczął działać lepiej (subiektywne wrażenie). tak czy inaczej muszę cały serwer stawiać od nowa. procedury odzyskiwania i reperacji potrwają w sumie około 48 godzin. no to jedna nocka w firmie, teraz będzie druga. a zaczął się WEF qrde! ):

przy okazji odkryłem jeszcze jedną ciekawostkę – plik, którego nie da się skasować. wygląda jakiś tymczasowy od office bo ma taką samą nazwę jak dwa inne, z innymi rozszerzeniami. ten plik kończy się kropką – “.”. znalazłem co prawda opis jak obejść głupie API, które po kropce czeka na rozszerzenie:

del “\\?\d:\directory\annoyingfilewithdotontheend.”

ale niestety w tym przypadq i tak dostaję ‘file not found.’. próbowałem już różnych sztuczek – np. powershell zachowuje się tak samo. póki co zostaje taki śmieć.

błąd 4 – DHCP

podręcznikowo jeśli na chwilę wyłączy się serwer DHCP – nie powinno być problemów – nowe stacje co prawda nie dostaną numerka, ale te co już mają, powinny sobie działać, aż do restartu. w rzeczywistości z jakiegoś niewyjaśnionego powodu nie dość, że duża część Windowsów (nawet w7) po wyłączeniu serwera DHCP zrzuca numer i bierze z APIPA [SIC!!!] – co już jest porażką, to nawet jeśli włączony jest zastępczy z identycznymi pulami [ale oczywiście ma inny IP] – nie potrafi sobie tego numerka pobrać! dopiero wykonanie ipconfig /renew odświeża adres ale do tego trzeba mieć uprawnienia administratora na stacji! to zachowanie jest potwornym zagrożeniem i w zasadzie uniemożliwia zapewnienie ciągłości pracy w przypadq prac na serwerze z rolą DHCP.

niestety – to be continued…

dziwny atraktor eN.

każdy wyraz oddzielnie rozumiem – a razem jakoś nie działa…

eN.

ostatnio testowane:

• NetSurveyor – darmowy skaner WiFi, trochę bardziej rozbudowany niż NetStumbler
• WinImage – shareware [3o uruchomień], pozwalający na obsługę różnych formatów obrazu dysq – m.in. vhd. co fajniejsze, ma wbudowaną opcję D2I [disk-to-image]. w przeciwieństwie do disk2vhd nie korzysta z bibliotek systemu stanowiąc pełne rozwiązanie. dzięki temu możliwe było przerobienie w98 na maszynę wirtualną [disk2vhd wymaga min. wXP SP2]. dodatkowo do mountowania dysków *nie jest* wymagany żaden sterownik, dzięki czemu nie trzeba restartować systemu po instalacji i generalnie jest mniej ‘inwazyjny’ dla systemu. poza tym, że to shareware najpoważniejszą wadą było to, że podczas extrakcji plików z vhd, po natrafieniu na błąd aplikacja się wywaliła ): w kwestii wydobywania danych lepiej sprawdził się inny program..
• gizmo drive – fajny, darmowy tool do mountowania różnych formatów jako dyski wirtualne [aka DeamonTools]. obsługuje m.in. vhd. wymaga restartu przy instalacji [sterownik dla dysq wirtualnego]. ponieważ jest to na poziomie sterownika, gdy wystąpił błąd podczas kopiowania, po prostu pominąłem plik i można było kontynuować operację.

i taka ciekawostka – teoretycznie vhd jest *standardem*. problem jednak polega na tym, że wersje vhd się różnią – vhdmount z virtual servera nie otworzy vhd z w2k8. obraz zrobiony na w2k8 R2 różni się od tego z w2k8. nie miałem czasu na testy ale mapując vhd utworzone w2k8 R2 pod w7 diskpart napisał, żebym spadał na szczaw, bo on takiej wersji nie obsługuje. problemem jednak mógł być fakt, że jako ścieżkę podałem UNC – do przetestowania.

niemniej po otwarciu vhd z w2k8 R2 za pomocą gizmo [plik backupu], 2 plików nie udało się skopiować z dziwnym komunikatem ‘błąd dostępu podczas próby zapisu’. nie wiem czy wynika to z faktu, że to vhd z R2 czy z jakiegoś wewnętrznego uszkodzenia vhd [he?]… ale po co w ogóle taka zabawa?

o nowym winbackupie pisałem już kilka razy i nie mam o nim dobrego zdania. kolejny argument przeciw to niekompatybilność wersji – winbackup z w2k8 nie umie sobie poradzić z plikami z w2k8 R2 – w ogóle nie rozpoznaje tego jako backup. i tutaj kolejny problem – jak sobie radzić w takiej sytuacji? vhd są różne i różnie się zachowują [jak np. te dwa pliki, które nie chciały się skopiować]. w starych wersjach nie ma standardowego narzędzia do obsługi vhd no i w ogóle… nie istnieją scenariusze – nie tylko odzyskania systemu [ustawienia, rejestr, usługi] ale nawet głupich plików. w zasadzie cały winbackup sprowadza się do jednego scenariusza: *ten server*, *ta wersja*, *na tym sprzęcie*, *na tym dysq* – jakakolwiek zmiana i można zapomnieć o backupie. jego przydatność jest co najmniej niszowa. do przetestowania mam jeszcze czy gizmo widzi poprzednie wersje plików – bo przecież backup był robiony przyrostowo więc powinno być kilka wersji [vhd obsługuje shodow copy – tak jak zwykły dysk].

reasumując: windows backup – 3xNIE. qpując serwer warto zaopatrzyć się w jakiś soft do backupu a windowsowy używać tylko jako uzupełnienie – scenariusz “baremetal recovery” z obrazu.

ma ktoś warty polecenia, *darmowy*, soft do backupu, działający na w2k8 R2?

eN.

Dzisiaj zwróciłem uwagę, że Google Reader potrafi sortować postu wg magii:

Sort by magic - LOL