Ostatnio, przy zabawię z ISA 2006 (Windows 2003 R2 SP2) pojawił mi się dziwny problem – zniknęły pola w konsolce mmc. Drzewko było widoczne, ale nie można było zobaczyć jakiegokolwiek ustawienia konfiguracji:

Podobny problem spotkał konsolkę mmc services.msc:

Google radzi w takich wypadkach uruchomić, vbscript.dll, oraz mshtml.dll

regsvr32 jscript.dll & regsvr32 vbscript.dll & regsvr32 mshtml.dll

Niestety nie pomogło.

Moją uwagę jednak zwróciło to, że powinniśmy przerejestrować komponenty odpowiedzialne za wyświetlanie html-a w systemie, razem ze skryptami. Chwilka zastanowienia, szybki rzut oka na logi systemowe – i tak, ostatnio z aktualizacji spłynął IE 8. Po odinstalowaniu, sytuacja wróciła do normy – konsolki zaczęły się wyświetlać normalnie.

jedne z najdziwniejszych wymagań na hasło – strona zgłaszania problemów ze sprzętem HP:

eN.

od kilku dni prześladuje mnie technologiczny diabeł. nie wnikając w szczegóły takie jak ciągłe zrywanie nowego łącza (tepsa …) przez kilka dni,  padnięta żarówka w projektorze, przegryziony kabel audio przez kota, laptop, który przestaje działać, samochód , który mi robotnicy zepchnęli na trawnik, przyjechała straż miejska i wlepiła mandat za parkowanie na trawie… to tylko niektóre z przyjemności, które mnie testują. bardziej mistyczne skojarzenie może dotyczyć Hioba, bardziej naukowe – teoria chaosu wprowadza pojęcie “dziwnego atraktora” który w tym momencie idealnie do mnie pasuje – jestem gdzieś na rozwidleniu fraktala złych przypadków i z niecierpliwością czekam na zmianę dynamiki, bo moje umiejętności życia w stresie i pracy po kilkanaście.. dziesiąt (; godzin dziennie są u skraju wyczerpania…

zacznę od  przypadku serwera terminalowego, stojącego na w2k8 R2. jest tu dużo ciekawostek, które warto sobie poczytać – bo jest kilka ciekawostek i przynajmniej część jest wyjaśnialnych… serwer był niedawno migrowany. nie sposób opisać wszystkie problemy jakie miały miejsce przez ostatnie dni – ale niektóre wnioski mogą się przydać innym.

błąd 1 – replikacja i UIDy?

ponieważ serwer terminalowy należał do grupy “Terminal Server License Servers” oraz miał atrybut “trust for delegation” zostałem poproszony o dodanie nowego serwera nie usuwając obiektu w AD. komputer dodał się bez problemów i wszystko niby działało…. po jakimś czasie serwer odrzucał połączenia z komunikatem ‘Access Denied’ podczas, gdy w logach można było sprawdzić, że użytkownik uwierzytelnił się prawidłowo. jedyny sygnał jaki wskazywał na nieprawidłowości były ostrzeżenia, że komputer nie należy do grupy TSLS. ponieważ widzę w AD, że należy postanowiłem sprawdzić co o tym sądzi sam serwer.

jak sprawdzić przynależność komputera do grup?

dla usera prosta: ‘whoami /all’. uruchomienie konsoli w kontexcie konta systemowego i zrobienie tego samego, nie daje niestety odpowiednich rezultatów. najprostszym sposobem jest wykorzystanie ‘gpresult /scope computer /r’, który okazał się przy całym debugowaniu bardzo przydatnym narzędziem. próbowałem wyciągnąć bardziej dokładne informacje – ale nawet wszystkie toole do kerberosa – jak np. klist – są zrobione wyłącznie z myślą o kontach użytkownika. to imho duże niedociągnięcie [po cichu liczę, że te wypociny przeczyta Gibon i wyciągnie jakiegoś królika z kapelusza mocno mnie zawstydzając, ale z pożytkiem dla przyszłych tego rodzaju problemów (; ].

jak nie trudno się domyśleć komputer nie był tak na prawdę w grupie TSLS. poprosiłem admina z centrali [o ileż łatwiej jest kiedy ma się domain admina… chyba muszę w końcu zesniffować hasełko… ] żeby konto kompa re-dodał do tej grupy. nie pomogło. finalnie usunięty został z AD i dodany ponownie [ergo utworzenie nowego obiektu]. też nie pomogło.

samo dodanie do domeny to też oddzielna historia. po usunięciu i dodaniu serwer zrestartował się wstał poprawnie i nawet pozwolił się zalogować… ale coś było nie tak – search po AD i okazuje się, że konto w domenie nie istnieje. tutaj znów przydał się gpresult – ponieważ oprócz przynależności do grup, wyświetla distinguished name, czyli położenie w strukturze OU. wbrew oczekiwaniu iż trafi do defaultowego kontenera gdzie są nowe konta – wykrywał się na nieistniejącym koncie w starym OU. przy kolejnej próbie było podobnie, tylko nie pozwolił się już zalogować. w końcu grzecznie odczekałem 1o minut aż się wszystko zsynchronizuje [zrepliqje ładnie] i poszło.

błąd 2 – event 41o5 i grupa Terminal Server License Servers

problemy z terminalami niemniej nie ustały – z dokładnie takim samym efektem – czysto w logach, Access Denied przy próbie logowania. jedyny wpis to Event 41o5:

Log Name:      System
Source:        Microsoft-Windows-TerminalServices-Licensing
Date:          2010-06-16 15:41:55
Event ID:      4105
Task Category: None
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      RDS.my.domain
Description:
The Remote Desktop license server cannot update the license attributes for user "username" in the Active Directory Domain "my.domain". Ensure that the computer account for the license server is a member of Terminal Server License Servers group in Active Directory domain "my.domain".
If the license server is installed on a domain controller, the Network Service account also needs to be a member of the Terminal Server License Servers group.
If the license server is installed on a domain controller, after you have added the appropriate accounts to the Terminal Server License Servers group, you must restart the Remote Desktop Licensing service to track or report the usage of RDS Per User CALs.
Win32 error code: 0×80070005
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-TerminalServices-Licensing" Guid="{4D99F017-0EB1-4B52-8419-14AEBD13D770}" EventSourceName="TermServLicensing" />
    <EventID Qualifiers="51456">4105</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0×80000000000000</Keywords>
    <TimeCreated SystemTime="2010-06-16T13:41:55.000000000Z" />
    <EventRecordID>5442</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>System</Channel>
    <Computer>RDS.my.domain</Computer>
    <Security />
  </System>
  <UserData>
    <EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS">
      <param1>username</param1>
      <param2>my.domain</param2>
      <param3>0×80070005</param3>
    </EventXML>
  </UserData>
</Event>

błąd się zgadza: ox8oo7ooo5 to acc denied. kolejna ciekawostka to fakt, że część połączeń przyjmuje a odrzuca dopiero po jakimś czasie. do debugowania problemów z licencjami terminalowymi jest tool “RD Licensing Manager” więc zacząłem sprawdzać. pierwszy błąd wykryłem szybko – zamiast licencji “PER USER” zainstalowane były licencje “PER DEVICE” czego nie zweryfikowałem pierwotnie. telefon do centrali, dodane. tutaj przydatna informacja:

“Per User CALs are not monitored by Terminal Server. This means that even though there is a Per User CAL in the license server database, the Per User CAL is not decremented when it is used. Additionally, if you use the Per User licensing mode, when a client logs on to a terminal server for the second time, the temporary license is not upgraded to a permanent CAL.”

co oznacza nie mniej ni więcej – że User CAL nie są weryfikowane a więc nawet jeśli przekroczy się liczbę licencji – powinien normalnie wpuszczać. informacja jest dla wersji w2k3 i nie znalazłem póki co ani potwierdzenia ani zaprzeczenia tej informacji dla w2k8.

ponieważ to nie poskutkowało oczekiwanym rezultatem zacząłem szukać dalej i znalazłem drugi błąd. po włączeniu ‘review config’ okazało się, że tutaj w końcu serwer normalnie pokazuje, że nie należy do TSLS [niby zgodnie z tym, co wie o sobie komp].

kolejny telefon do centrali ‘please clik it!’ i już. restart, zaglądam do AD i okazuje się, że wbrew komunikatowi, serwer nie musi należeć tylko do TSLS ale również do “Terminal Server Computers”. dopiero wtedy RD License Manager przestał pokazywać ostrzeżenia… co nie zmieniło faktu, że nadal pojawiają się Event 41o5 w logu systemowym a gpresult nadal nie widzi grupy TSLS [SIC!] przy czym póki co userzy się mogą logować. niemniej obawiam się, przy ostatniej fali ciekawostek to nie jest niestety jeszcze koniec historii ): żeby było zabawniej poprzedni serwer różnił się w konfiguracji wyłącznie tym, że był na innym sprzęcie i w wersji enterprise – co zaczyna coraz bardziej skłaniać do wniosq, że problem leży w pierwszej warstwie [oj, jak ja tego nie lubię].

czas zbudować LABa – może on nie ma widzieć tej grupy? ROTFL

błąd 3 – w-files

prawdziwe w-files. ni-stąd-ni-z-owąd katalogi poprzemieszczały się na file serwerze. uruchomione zostały wszystkie procedury bezpieczeństwa i testy spójności – generalnie *coś* się stało z system plików. imho to wina McAfee AV – bo generalnie ten produkt doprowadza mnie do furii a po odinstalowaniu serwer zaczął działać lepiej (subiektywne wrażenie). tak czy inaczej muszę cały serwer stawiać od nowa. procedury odzyskiwania i reperacji potrwają w sumie około 48 godzin. no to jedna nocka w firmie, teraz będzie druga. a zaczął się WEF qrde! ):

przy okazji odkryłem jeszcze jedną ciekawostkę – plik, którego nie da się skasować. wygląda jakiś tymczasowy od office bo ma taką samą nazwę jak dwa inne, z innymi rozszerzeniami. ten plik kończy się kropką – “.”. znalazłem co prawda opis jak obejść głupie API, które po kropce czeka na rozszerzenie:

del “\\?\d:\directory\annoyingfilewithdotontheend.”

ale niestety w tym przypadq i tak dostaję ‘file not found.’. próbowałem już różnych sztuczek – np. powershell zachowuje się tak samo. póki co zostaje taki śmieć.

błąd 4 – DHCP

podręcznikowo jeśli na chwilę wyłączy się serwer DHCP – nie powinno być problemów – nowe stacje co prawda nie dostaną numerka, ale te co już mają, powinny sobie działać, aż do restartu. w rzeczywistości z jakiegoś niewyjaśnionego powodu nie dość, że duża część Windowsów (nawet w7) po wyłączeniu serwera DHCP zrzuca numer i bierze z APIPA [SIC!!!] – co już jest porażką, to nawet jeśli włączony jest zastępczy z identycznymi pulami [ale oczywiście ma inny IP] – nie potrafi sobie tego numerka pobrać! dopiero wykonanie ipconfig /renew odświeża adres ale do tego trzeba mieć uprawnienia administratora na stacji! to zachowanie jest potwornym zagrożeniem i w zasadzie uniemożliwia zapewnienie ciągłości pracy w przypadq prac na serwerze z rolą DHCP.

niestety – to be continued…

dziwny atraktor eN.

każdy wyraz oddzielnie rozumiem – a razem jakoś nie działa…

eN.

ostatnio testowane:

• NetSurveyor – darmowy skaner WiFi, trochę bardziej rozbudowany niż NetStumbler
• WinImage – shareware [3o uruchomień], pozwalający na obsługę różnych formatów obrazu dysq – m.in. vhd. co fajniejsze, ma wbudowaną opcję D2I [disk-to-image]. w przeciwieństwie do disk2vhd nie korzysta z bibliotek systemu stanowiąc pełne rozwiązanie. dzięki temu możliwe było przerobienie w98 na maszynę wirtualną [disk2vhd wymaga min. wXP SP2]. dodatkowo do mountowania dysków *nie jest* wymagany żaden sterownik, dzięki czemu nie trzeba restartować systemu po instalacji i generalnie jest mniej ‘inwazyjny’ dla systemu. poza tym, że to shareware najpoważniejszą wadą było to, że podczas extrakcji plików z vhd, po natrafieniu na błąd aplikacja się wywaliła ): w kwestii wydobywania danych lepiej sprawdził się inny program..
• gizmo drive – fajny, darmowy tool do mountowania różnych formatów jako dyski wirtualne [aka DeamonTools]. obsługuje m.in. vhd. wymaga restartu przy instalacji [sterownik dla dysq wirtualnego]. ponieważ jest to na poziomie sterownika, gdy wystąpił błąd podczas kopiowania, po prostu pominąłem plik i można było kontynuować operację.

i taka ciekawostka – teoretycznie vhd jest *standardem*. problem jednak polega na tym, że wersje vhd się różnią – vhdmount z virtual servera nie otworzy vhd z w2k8. obraz zrobiony na w2k8 R2 różni się od tego z w2k8. nie miałem czasu na testy ale mapując vhd utworzone w2k8 R2 pod w7 diskpart napisał, żebym spadał na szczaw, bo on takiej wersji nie obsługuje. problemem jednak mógł być fakt, że jako ścieżkę podałem UNC – do przetestowania.

niemniej po otwarciu vhd z w2k8 R2 za pomocą gizmo [plik backupu], 2 plików nie udało się skopiować z dziwnym komunikatem ‘błąd dostępu podczas próby zapisu’. nie wiem czy wynika to z faktu, że to vhd z R2 czy z jakiegoś wewnętrznego uszkodzenia vhd [he?]… ale po co w ogóle taka zabawa?

o nowym winbackupie pisałem już kilka razy i nie mam o nim dobrego zdania. kolejny argument przeciw to niekompatybilność wersji – winbackup z w2k8 nie umie sobie poradzić z plikami z w2k8 R2 – w ogóle nie rozpoznaje tego jako backup. i tutaj kolejny problem – jak sobie radzić w takiej sytuacji? vhd są różne i różnie się zachowują [jak np. te dwa pliki, które nie chciały się skopiować]. w starych wersjach nie ma standardowego narzędzia do obsługi vhd no i w ogóle… nie istnieją scenariusze – nie tylko odzyskania systemu [ustawienia, rejestr, usługi] ale nawet głupich plików. w zasadzie cały winbackup sprowadza się do jednego scenariusza: *ten server*, *ta wersja*, *na tym sprzęcie*, *na tym dysq* – jakakolwiek zmiana i można zapomnieć o backupie. jego przydatność jest co najmniej niszowa. do przetestowania mam jeszcze czy gizmo widzi poprzednie wersje plików – bo przecież backup był robiony przyrostowo więc powinno być kilka wersji [vhd obsługuje shodow copy – tak jak zwykły dysk].

reasumując: windows backup – 3xNIE. qpując serwer warto zaopatrzyć się w jakiś soft do backupu a windowsowy używać tylko jako uzupełnienie – scenariusz “baremetal recovery” z obrazu.

ma ktoś warty polecenia, *darmowy*, soft do backupu, działający na w2k8 R2?

eN.

Dzisiaj zwróciłem uwagę, że Google Reader potrafi sortować postu wg magii:

Sort by magic - LOL

nie tak dawno krzyczałem ‘ntbackupie wróć’…

eMeS wydał ntbackup dla w7, w2k8 i w2k8 R2 w postaci poprawki:

• w7,w2k8 x32
• w7 x64, w2k8 R2

i już zaczynałem się cieszyć kiedy doczytałem fragment “restore only”…

cóż za niewybredne poczucie humoru…

eN.

uważam, że jedną z najbardziej kontrowersyjnych zmian… tfu. bez wygłupów – jednym z największych błędów w Vista/w7 jest windows backup. bardzo fajnie, że jest robiony obrazowo, w w7 jest teoretycznie możliwość backupowania z wykluczeniem katalogów [woa…]… ale cały ten system po prostu się nie sprawdza. wymieniać można by długo a podstawowymi zarzutami są:

• olbrzymi czas wykonywania backupu
• brak odporności na zdarzenia – backup baaaardzo często nie kończy się sukcesem. co więcej prawie zawsze wywala się pod sam koniec. backup powinien się zrobić [w przybliżeniu] zawsze – najwyżej podać informacje że tego-a-tego pliq nie udało się zbackupować
• tragiczna obsługa błędów – kiedy już się nie uda to najczęściej z błędem typu ‘błąd’ – już kilka razy szukając odpowiedzi po numerze błędu znajdowałem kilkanaście-kilkadziesiąt możliwych przyczyn opisanych na forach
• brak rzetelnych informacji. w sumie poniższy rysunek prezentuje działanie całej tej usługi – gdzie sprawdzenie ‘detali’ jest równoznaczne z wartością liczbową ile procent backupu się wykonało – i to wszystko. ani które pliki, ani stopień kompresji, ani aprox. czas … nic! :

• kłopoty z odzyskaniem – brak możliwości modyfikacji wielkości partycji. przy odzyskiwaniu na inny dysk niby-prosta procedura odzyskania systemu staje się upierdliwym haczeniem i szukaniem obejść. no i po raz kolejny siada obsługa błędów – komunikat, jaki dostaje się przy takiej okazji sugeruje brak dysq lub nieprawidłowy dysk:
  co więcej zdarza się tak nawet, kiedy dysk jest dokładnie taki sam [SIC!]. ostatnio padł mi dysk i dostałem z gwarancji nowy, taki sam model i żeby przenieść system z tymczasowego musiałem najpierw zmniejszyć partycję, zrobić backup, dopiero ten zmniejszony bez problemu się odzyskał, po czym znów zwiększyć partycję. to boli.

imho jest to jeden z ważniejszych tooli w systemie a w obecnej postaci jest po prostu nie do użytku ):

eN.

najprostsze rzeczy wcale nie są takie proste. ostatnio ciągle walczę z ustawieniami proxy i potwornie mnie wqrza to, jak to jest obsługiwane przez aplikacje:

• duża cześć aplikacji korzysta z ustawień systemowych/IE – już to samo w sobie jest denerwujące zwłaszcza, że część z aplikacji nie ma możliwości konfiguracji ręcznej.
• po włączeniu w opcjach flagi “automatically configure” powoduje, że niektóre aplikacje pobierają ustawienia skonfigurowane na zakładce, ale niektóre je olewają i odpytują DNS o wpis WPAD – co w przypadq korpo sqtqje tym, że aplikacja zamiast przez lokalny proxy próbuje łączyć się przez zagraniczny. opisywałem to tutaj.
• aplikacje napisane w java to kolejny wspaniały temat
• duża część aplikacji nie obsługuje SSO. najśmieszniejsze są te, które korzystają z ustawień systemowych – czyli nie mają ręcznej konfiguracji, a mimo to nie radzą sobie z uwierzytelnieniem.
• nie wiedzieć czemu [nie chciało mi się badać netmonem], niektóre aplikacje nie potrafią się uwierzytelnić na ISA – czy to wpisując usera w postaci “domain\user” czy “user” - po prostu zwracają acc denied i tyle. trafiłem już na dwie takie
• większość aplikacji próbuje logować się do proxy wiele razy na raz. co sqtqje tym, że po zmianie hasła co chwile jakaś aplikacja bloqje konto. czy to jakiś standard qrde, żeby próbować wiele razy?? tak trudno po pierwszym komunikacie ‘acc denied’ zwrócić jakieś info?

podstawowa rzecz… a tyle problemów. pfffff…

eN.

Sytuacja:
Serwer: W2K8 (Standard)
Klient: W7 / VISTA
Z klienta, łączymy się po rdp do serwera. Wyskakuje od razu okno do podania użytkownika i hasła.
Trik: jeśli hasło wkleimy za pomocą CRTL+V, wszystko ok, jeśli za pomocą SHIFT+INS: nie działa, system informuje o nieprawidłowym haśle.
Jest to tym bardziej, dziwne, że w całym systemie skrót SHIFT+INS funkcjonuje prawidłowo, nawet w polu nazwy użytkownika.
Owszem problem, nie wymaga krytycznej poprawki i natrafi na niego jedynie znikomy odsetek korzystających ze starego jak świat, jeszcze dosowego skrótu SHIFT+INS…. ale bug znaleziony :-)

Mniejsza o powód, każdy prędzej czy później będzie musiał dostać się do systemu windowsowego.
Nie wiem na czym polega magia windows 7, którą podobno przepisano od podstaw, nie obchodzi mnie to, a nawet lepiej że tak jest.
Fakt, faktem, iż na stronie http://pogostick.net/~pnh/ntpasswd/
znajdujecie 3MB obraz ISO, który po wypaleniu na płytę i zbootowaniu dowolnej maszyny resetuje hasło.
Działa na (za autorem): NT 3.51, NT 4 (all versions and SPs), Windows 2000 (all versions & SPs), Windows XP (all versions, also SP2 and SP3), Windows Server 2003 (all SPs), Vindows Vista 32 and 64 bit (SP1 also), Window 7 (all variants). Some say also Windows Server 2008 is OK.
Ja testowałem na: 2000, XP, SRV2003, Vista, 7. Nie muszę dodawać, że z sukcesem.
Czas ściągnięcia: 15 sekund, bootowanie systemu: 15 sekund, restet hasła: 15 sekund. Wrażenia: bezcenne.
System to oczywiście jakiś linuks, ale na tyle prosto to wszystko jest przygotowane, że osoba mająca minimum pojęcia ogarnie to w parę chwil. Spece tacy jak my :-) z zamkniętymi oczami. Narzędzie, jako jedyne, ANI RAZU mnie nie zawiodło, nie zależnie czy to dysk IDE, SATA, czy stary złom, czy nowiutki Dell. Całkowicie za darmola. Szacunek dla autora.
Bezpośredni link do ISO: http://pogostick.net/~pnh/ntpasswd/cd080802.zip

podczas połączenia ftp z IE wyskaqje piękna ramka z pytaniem o user/pass ale…

• jesli IE ma skonfigurowane Proxy, to ISA automatycznie przyjmuje standard CERN logując się bez pytania jako anonymous. ramka nie wyskaqje ale…
• można nauczyć userów standardu zapisu ścieżki w postaci ftp://user:pass@server.com ale…
• jeśli hasło posiada znaki specjalne trzeba zastosować URL encode. jest nawet art na supporcie. ale…
• ISA nie potrafi tego najwyraźniej zinterpretować wyrzucając “Error Code: 502 Proxy Error. The password was not allowed.”

efekt taki, że jak w haśle znajdzie się znak specjalny [a przynajmniej % – ten testowałem na wszystkie sposoby] i połączenie jest przez proxy – nie da się skorzystać z FTP.

czasem się zastanawiam czym kierują się developerzy robiąc takie dziwne założenia [ISA].

***UPDATED

znalazłem dla czego i rozwiązanie dla IE7…. a co z ósemką?

eN.

kiedy sprawdzi się GPResult’em maszynę XP Mode dodaną do domeny okazuje się, że polisy użytkownika są propagowane, jednak w części komputera … pustka – nawet nie ma listingu polis! zupełnie jakby ich w ogóle nie było [w-files O_o].

dziwne.. nie wiem czemu nie potrafi ich nawet odczytać, ale powodem jest to, że maszyna jest za NATem – standardowe ustawienie trybu sieci dla XP Mode. po zmianie działania sieciówki na bezpośrednie – wszystko hula jak powinno.

…czyli jeśli postawię maszyny na NATem – np. w branch office, to nie będą pobierały polis?

eN.

Właśnie ogłoszono, że na tegorocznym C2C, który odbędzie się 17. kwietnia, zostanie przeprowadzony konkurs Speaker Idol. Przedruk z oficjalnej strony konferencji:

Mamy przyjemność już po raz trzeci zapowiedzieć konferencję C2C (Communities to Communities ), tym razem będzie to edycja 2010, która odbędzie się 17 kwietnia 2010 r. w Warszawie. Ruszamy z trzema ścieżkami (.NET, Bazy danych, IT PRO) - czyli każdy znajdzie coś dla siebie :)
Podobnie jak przy konferencjach C2C 2008 i 2009, tak i teraz zapraszamy do uczestnictwa w konkursie Speaker Idol. Wszyscy zainteresowani proszeni są o przesłanie 5-10 minutowego nagrania z propozycją sesji, którą chcieliby poprowadzić w czasie konferencji. Warunkiem uczestnictwa w konkursie jest nadesłanie swojego zgłoszenia do dnia 28.02.2010r. na adres si@c2c.org.pl. Spośród nadesłanych nagrań, komisja wybierze 3 najlepszą propozycje, po jednej z każdej ze ścieżek, a zwycięzcy poszczególnych ścieżek zostaną prelegentami na konferencji C2C’10.

I jeszcze mały “Easter Egg” – oprócz mnie będzie tam można spotkać jeszcze jedną osobę z w-files :) Czy się ujawni, to już zależy od niego ;)

Po ostatnich aktualizacjach przestał działać jeden site na Sharepoint, klient dostawał:
Internet Explorer cannot display the webpage
i na tym się kończyło, żadnego wpisu do logów, HTTPERR puste, słowem nic.
Jedyny niepokojący wpis to event 36870
A fatal error occurred when attempting to access the SSL server credential private key. The error code returned from the cryptographic module is 0×8009030d. The internal error state is 10001.

Po zmianie certyfikatu na inny wszystko działało (oczywiście poza tym, że certyfikat był zły i przeglądarce się to nie podobało) a po wróceniu na właściwy dalej było źle.
Przydatny okazał się artykuł: http://support.microsoft.com/kb/278381 i nadanie uprawnień, które odebrały aktualizacje :)

w ramach zabawy z SharePoint - który mimo deklaracji wszystkich wcale nie zachowuje się deterministycznie i cały czas robi dziwne rzeczy - trafiłem na jeszcze jeden ciekawy mankament:
jeśli w nazwie katalogu będzie znak ‘+’, to można normalnie do niego wejść, widać doqmenty, i w ogóle, w ogóle…ale jeśli próbuje się doqment otworzyć to.. nic się nie dzieje - word się otwiera i koniec. żadnego komunikatu, nic.

a przez “dziwne rzeczy” o których pisze to przede wszystkim fakt [chociaż nie wyłącznie], że czasem zaczyna wybraną osobę prosić o uwierzytelnienie podczas dostępu do doqmentu. wszystkie kompy i IE skonfigurowane tak samo, a mimo to prosi o powtórne uwierzytelnienie. podobnych przypadków można wygooglać dużo ale żaden nie okazał się pasować do mojego scenariusza. żeby było śmieszniej, problem potrafi sam zniknąć i za jakiś czas się pojawić pomimo, że nic nie jest zmieniane w konfiguracji. po prostu WTF?!

eN.

walczę z sharepointem od tygodnia. nie jestem nawet w stanie opisać operacji jakie wykonałem bo było ich zbyt dużo - a pomysł był prosty - przenieść bazy WSS na inny serwer. najpierw mała anegdotka która mnie przed chwilą zabiła:
z niewiadomych powodów niektórzy userzy stracili możliwość otwierania plików excel - doc działa, z FF można zrobić ’save as’ ściągnąć i otworzyć, ale jak się otwiera z IE to pojawia się komunikat ‘can not open… posibble reasons: file already in use, path not exist…’ dokładnie nie pamiętam a już nie zrobię screenshota… w każdym razie zrobiłem wszystko co mi przyszło do głowy:

• restart usług
• modyfikacja/sprawdzenie uprawnień na poziomie site’u
• weryfikacja uprawnień i wyewidencjonowanie pliq
• wypicie mocnej kawy
• rzucanie znanymi przekleństwami i wymyślanie nowych

w eventlogu nic. aż w końcu tak się zdenerwowałem, że postanowiłem przetestować wytrzymałość swojej myszki na gwałtownie przyłożony wektor siły zgodnie z kierunkiem grawitacji. myszka trochę wytrzymała - musiałem wydłubywać qłko bo trochę się schowało. ale działa. najśmieszniejsze właśnie to, że nie tylko myszka bo i arkusze zaczęły się otwierać.
czasem myślę, że powinienem wybrać sobie inny zawód. nie wiem… ogrodnictwo? zawsze lubiłem przesadzać… a może grabarz? … grzebanie też mi dobrze wychodziło… uh. deterministyczny świat wydaje się dużo bezpieczniejszy. a jak mam niby wyjaśnić tą sytuację? oficjalne KB na stronach technet, “solution: knock your mouse down strongly. twice if not working”.

w każdym razie finalnie bazy kontentu przeniesione. baza konfiguracji poszła z dymem. tutaj też ciekawostka: wielkość logu dla bazy config była >12GB. zrobiłem ’shrink files’. log się zmniejszył… do 5ook. czemu to się nie robi automatycznie? czemu jakiś łoś wymyślił, że sharepoint instaluje się z automatu i nic nie da się skonfigurować - nawet kiedy wybierze się tryb farmy? cholerny silnik Windows Internal Database - obligatoryjnie instalowany i obligatoryjnie konfigurowany podczas instalacji - jest praktycznie niekonfigurowalny. lokalnie podłącza się zupełnie intuicyjnym stringiem:
“\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query”
nie wiem czy do tego da się dostać zdalnie - być może jakiś klucz w rejestrze? a więc trzeba na każdym kompie z WID instalować express studio. zajebiście wygodne, jeśli by się ktoś pytał. i zgodne z dobrym sposobem zarządzania.
ponieważ jednego WSS rozgrzebałem tak, że już przestała działać strona administracyjna [próbowałem przenieść bazy Admin], więc postawiłem nowego - bo i tak miał być docelowo gdzie indziej. co jest zatem w tym całym configu? całość zawarta jest w bazach kontentu - bo utworzyłem nowe site’y i podłączyłem bazy i hula. strona administracyjna też. połowa sukcesu. potem tylko niedziałające arkusze…
cały czas przegrywam z searchem, który mnie informuje o braq dostępu… już nawet wedle pięknej instrukcji założyłem konto domenowe i jakoś nie za bardzo mu to pomaga. komunikaty błędu nie są dla mnie jasne - i tak na dobrą sprawę nie wiem o którą bazę się pyszczy ani czemu. uuhhh… jakie to wszystko jest po…

eN.

ps. korzystałem z wordpressów, dontnetnuke, drupali i innych wynalazków - i żaden, nawet najprymitywniejszy, nie przebija głupotą i brakiem intuicyjności zarządzania sharepointem. obsługa grup, dodawanie/usuwanie userów, menu zarządzania - generalnie interfejs - kieruje się w WSS jakimiś niezrozumiałymi [dla mnie] pomysłami.

dla czego w RSAT nie ma tooli do zarządzania IIS? ):

eN.

***UPDATE
.. bo IIS jest częścią systemu więc narzędzia są dostępne bezpośrednio - a nie w RSAT. grrrr…

trudno jest znaleźć fajny darmowy produkt dla ISA do generowania statystyk. GFI wygląda całkiem nieźle - nawet jest darmowy dodatek do tworzenia całkiem sensownych raportów. no i co z tego, skoro sam monitor psuje mi server? ):
po zainstalowaniu WebMonitora dostaje prawie na każdej stronie błędy w skryptach java - a to jakiś braqjący znak, a to jakaś nieobsługiwana zmienna. efekt jest taki, że w logach ISA pojawia się:
Failed Connection Attempt
87 Parameter is incorrect

najwyraźniej tylko ja mam ten błąd bo nawet jeśli coś się na ten temat znajdzie to dotyczy ISA2k4 lub ISA2k6 bez SP. niewątpliwie wszystko wskazuje na błędną obsługę w filtrze HTTP - ale czy po stronie ISA czy GFIWM? to ciężko sprawdzić. w każdym razie straciłem kilka ładnych godzin na znalezienie rozwiązania i powiązanie tego z WebMonitorem, ponieważ po jego odinstalowaniu błąd był nadal. aby się go pozbyć trzeba było:

• odinstalować WebMonitor
• wyłączyć cache
• apply bez restartu
• usunąć plik cache
• włączyć cache z powrotem
• apply z restartem

niemiłe. no i nie mam raportów ): te co są wbudowane w ISA są drętwe i nie za bardzo przydatne. GFI oczywiście nie odpowiada na maile.

eN.