W tzw. międzyczasie pojawił się Microsoft Security Essentials PL. Niby nie ma się co ekscytować bo wersja angielskojęzyczna jest już jakiś czas dostępna, ale mimo wszystko jest przyjemnie, że ktoś pomyślał w końcu o nasz, bo do tej pory żeby ściągnąć ów produkt trzeba było końbinować [od kombinowania jak koń pod górę ;)] z ustawieniami regionalnymi przeglądarki zmieniając je na en-[cośtam] bo inaczej serwer małego i miękkiego stwierdzał, ze to nie jest produkt na nasz rynek… No cóż, lepiej późno niż wcale, samo oprogramowanie ma z grubsza ten sam silnik co FCS co jak moje doświadczenia pokazują gwarantuje małe zużycie zasobów i niewidoczną [aczkolwiek skuteczną wedle testów] z punktu widzenia użytkownika pracę.

W tym momencie kompletnie nie widzę celu w kupowaniu abonamentów na produkty konkurencji. I co ciekawe uaktualnia sie sam, korzystając z API dodanego do WU/MSU całkiem niedawno. Czyli ściąganie poprawek do systemu i aplikacji MS może być opcjonalne a definicje AV będą aktualne. Czyż nie o to prosił kiedyś nasz szanowny Nexorrrrrr? ;) Mówisz - masz ;d

Sytuacja:
Serwer: W2K8 (Standard)
Klient: W7 / VISTA
Z klienta, łączymy się po rdp do serwera. Wyskakuje od razu okno do podania użytkownika i hasła.
Trik: jeśli hasło wkleimy za pomocą CRTL+V, wszystko ok, jeśli za pomocą SHIFT+INS: nie działa, system informuje o nieprawidłowym haśle.
Jest to tym bardziej, dziwne, że w całym systemie skrót SHIFT+INS funkcjonuje prawidłowo, nawet w polu nazwy użytkownika.
Owszem problem, nie wymaga krytycznej poprawki i natrafi na niego jedynie znikomy odsetek korzystających ze starego jak świat, jeszcze dosowego skrótu SHIFT+INS…. ale bug znaleziony :-)

Mniejsza o powód, każdy prędzej czy później będzie musiał dostać się do systemu windowsowego.
Nie wiem na czym polega magia windows 7, którą podobno przepisano od podstaw, nie obchodzi mnie to, a nawet lepiej że tak jest.
Fakt, faktem, iż na stronie http://pogostick.net/~pnh/ntpasswd/
znajdujecie 3MB obraz ISO, który po wypaleniu na płytę i zbootowaniu dowolnej maszyny resetuje hasło.
Działa na (za autorem): NT 3.51, NT 4 (all versions and SPs), Windows 2000 (all versions & SPs), Windows XP (all versions, also SP2 and SP3), Windows Server 2003 (all SPs), Vindows Vista 32 and 64 bit (SP1 also), Window 7 (all variants). Some say also Windows Server 2008 is OK.
Ja testowałem na: 2000, XP, SRV2003, Vista, 7. Nie muszę dodawać, że z sukcesem.
Czas ściągnięcia: 15 sekund, bootowanie systemu: 15 sekund, restet hasła: 15 sekund. Wrażenia: bezcenne.
System to oczywiście jakiś linuks, ale na tyle prosto to wszystko jest przygotowane, że osoba mająca minimum pojęcia ogarnie to w parę chwil. Spece tacy jak my :-) z zamkniętymi oczami. Narzędzie, jako jedyne, ANI RAZU mnie nie zawiodło, nie zależnie czy to dysk IDE, SATA, czy stary złom, czy nowiutki Dell. Całkowicie za darmola. Szacunek dla autora.
Bezpośredni link do ISO: http://pogostick.net/~pnh/ntpasswd/cd080802.zip

Czy ja jestem pierwszy, który dodaje W7 do domeny?
Co oni zrobili z tym ekranem logowania? Wiem że tak podobnie było w Viście (udało się nie dodawać u żadnego klienta do domeny), ale to jakaś masakra jest:
1 mogę wpisać tylko usera i hasło, domene/lokalny komputer podpowiada sam – najczęściej nie tak jakbym chciał
2 muszę wpisać za każdym razem od początku nazwę domeny, jeśli poprzednio logowałem się lokalnie
3 muszę pamiętać jaka jest nazwa komputera, jeśli chce się do niego zalogować lokalnie, problem często jest nie tyle z wpisanie, co z pamiętaniem. Teoretycznie, jak siadam do komputera, to nie wiem jaką ma nazwę (mam z akruszem inwentaryzacyjnym chodzić?), jeśli nie jest opisany (laptopy standardowo opisane są od spodu).
4 udało mi sie dotrzeć do ustawienia, gdy były “aktywne” dwa obrazki z kontami (admin i administrator) i nie mogłem zrobić “zaloguj innego użytkownika), a przed chwilą sam wylogowałem się z jednego z kont…
5 może komuś pomaga – ale są dostępne opcje zmiany języka i układu klawiatury podczas logowania – nim dotarłem, do „globalnych ustawień klawiatury i języka dla ekranu logowania” zablokowałem sam sobie kilka razy konto domenowe, bo układ klawiatury akurat nie był taki jak myślałem.

Sprawy może dość banalne, ale ilość tego zaskoczyła mnie, bo nie wpadłem, na ile różnych problemów można się natknąć już przy ekranie logowania… Poza tym, ciśnie się jedno: DLACZEGO? Dlaczego poprawione zostało coś, co naprawdę działało sprawnie, wygodnie i dobrze?
O ile pkt 1, 2, 5 po prostu są upierdliwe i wydłużają czas pracy, zamiast go skracać, to pkt 3 jest zwyczajnym rozwaleniem roboty - jak mam pamiętać, albo skąd mam wziąć nazwę niezalogowanego komputera (help?), a pkt 4 wygląda na zwyczajnego buga.

Jeśli miało być lepiej, to dlaczego nikt nie pomyślał ostrzeżeniu że „masz wciśnięty NumLock”? Co drugi user, który dostaje nowy laptop ginie przy pierwszym zetknięciu z tym problemem. ..

Ostatnio przyjechał do nas projektor Dell 4610X - małe czarne pudełko z antenką wifi.

Działa to w ten sposób, że użytkownik łączy się za pomocą przeglądarki z urządzeniem, ściąga aplikacje, uruchamia … i już można prowadzić prezentacje wyświetlając jednocześnie obraz z 4 komputerów - fajnie….. fajnie by było… gdyby  nie to, że wpadliśmy z kumplem na pomysł  aby przetestować czy ta aplikacja będzie działać z maszyn w oddziale z innego miasta (oddziały połączone dedykowanym łączem, na brzegach ISA 2006) i czy nie trzeba będzie rzeźbić czegoś na firewallach.

Tak więc, za wiele nie myśląc, otworzyliśmy pierwszą lepszą aktywną sesję RDP z maszyną z innego miasta, uruchomiliśmy przeglądarkę, ściągnęliśmy soft, odpaliliśmy i …. świat zwolnił - praca po RDP przypominała pracę na modemie 56K z włączonymi wszystkimi wodotryskami.  Ekran odświeżany co kilkanaście sekund, reakcja myszki nie wiele szybsza. Mówiąc krótko - nie da się pracować.

Eeee - pomyśleliśmy - pewnie trafiliśmy akurat na jakiś pik, albo chłopaki po drugiej stronie akurat coś robią na serwerze. Spróbujmy na innym… a więc szybkie logowanie, przeglądarka, uruchomienie softu …. I kurde znowu to samo - wszystko zwalnia niemiłosiernie …  :/

Podsumowując: rozwalone dwa serwery produkcyjne w niewiele ponad 2 minuty - myślę, że to całkiem niezły wynik ;-)

No ale koniec śmiechów - trzeba to przecież jakoś naprawić.

Oczywiście próba odinstalowania aplikacji nic nie pomogła, wyczekiwane okienko czasowe  na  restart serwerów również. Fiaskiem skończyły się też telefony do supportu Dell’a i zaklinanie laleczki voodoo.

Dwa dni później, po postawieniu testowej wirtualki i prześledzeniu zmian jakie wprowadziła ta aplikacja do systemu doszedłem co jest grane. Przyczyną okazało się zmienienie poziomu akceleracji dla RDP Display Driver (RDPDD.DLL)  przez aplikacje z projektora Della, a dokładniej nie przywracanie jej wcześniejszego stanu po odinstalowaniu aplikacji .

Wartość tą ustawia się w rejestrze, w gałęzi:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RDPDD\Device0

Wystarczy zmienić wartość Acceleration.Level (DWORD) na 0

0 - Pełna akceleracja

5 - Brak akceleracji

To tyle, jedna mała aplikacja wycięła mi dwa dni życia.

Swoją drogą, to nie udało nam się podłączyć projektora między miastami, ale to wbrew pozorom temat na zupełnie inną opowieść.

Mały quiz na koniec: która z sytuacji, z opisanych w tej historyjce, nie powinna się nigdy wydarzyć i świadczy o niekompetencji adminów? ;-)

Po ostatnich aktualizacjach przestał działać jeden site na Sharepoint, klient dostawał:
Internet Explorer cannot display the webpage
i na tym się kończyło, żadnego wpisu do logów, HTTPERR puste, słowem nic.
Jedyny niepokojący wpis to event 36870
A fatal error occurred when attempting to access the SSL server credential private key. The error code returned from the cryptographic module is 0×8009030d. The internal error state is 10001.

Po zmianie certyfikatu na inny wszystko działało (oczywiście poza tym, że certyfikat był zły i przeglądarce się to nie podobało) a po wróceniu na właściwy dalej było źle.
Przydatny okazał się artykuł: http://support.microsoft.com/kb/278381 i nadanie uprawnień, które odebrały aktualizacje :)

Na początku września firmowy VPN (ISA - IAS) przestał działać. W sumie to tak  nagle … to znaczy rozwalił się niby IAS (ale to prosta usługa, to ją podnieśliśmy) no i ciągle coś się robi na GW … ale wyglądało to na niezwiązane. Być może nastąpiło po jakimś restarcie.

Efekt dziwny… User autoryzuje się na ISA, przechodzi przez wszystkie reguły IAS, dostaje dwa 0 (to dobrze) po czym na kliencie, pojawia się komunikat, że hasło jest złe, lub system nie wspiera takiej metody autoryzacji. Żeby było weselej, autoryzacja przebiegała za pomocą EAP i smardcard na tokenach, a dwa miesiące wcześniej zmienialiśmy główny certyfikat. SPRAWDZILIŚMY WSZYSTKO!!!! (jak się później okazało prawie). Gość od ISA, powiedział że pier%^&oli on się już na ISA nie zna, gość od Certów, że wszystko jest dobrze i żeby się od niego odpier&%&^ a gość od radiusa, że to jakiś demon jest, bo na IAS wszystko działa. Przenosiliśmy IAS na dwa różne serwery, kombinowaliśmy z VPNami na 100 różnych sposobów … nic nie znaleźliśmy. W końcu pozostała konfiguracja ISA 2006 i NPS na W2k8 (wiem już o nim chyba wszystko … durne zwierze!!!!!). ISA Autoryzowała w AD, NPS pokazywał dwa 0 (to nadal dobrze) a klient dostawał cały czas ten sam komunikat.

To był miesiąc walki, przerzucania winy, karania niewinnych, motywowanie niezaangażowanych … postanowiliśmy zgłosić task do supportu MS. Bo jedyne co nam przychodziło do głowy, to że penie gdzieś w HKLM trzeba zmienić parametr VPN_TET342342DYEIDi z 77ff389 na 11ffee. Czuliśmy się bezradni. Niby wszystko działa… a nie działa.

Task zgłosiliśmy na początku października. Przez 3 miesiące zmieniano nam kilku konsultantów, eskalowano, do Indii, gdzie oczywiście powiedzieli, że nic nie kumają i w końcu temat trafił z powrotem do Polski. Każdy nowy konsultant zaczynam od tego samego … proszę uruchomić TO i TO i to … to coś wygeneruje 1000MB logu .. I proszę to przesłać TU … (godzinny proces). Nie ukrywam … szlag mnie trafiał … eskalowaliśmy, prosiliśmy, opieprzaliśmy … w końcu odmówiłem kolejnego zbierania logów, dopóki na podstawie poprzednich, nie przejdziemy chociaż krok dalej.

Szału prawie dostałem jak tydzień temu konsultant zadał mi pytanie wskazujące na problem z MTU.

Oczywiście Qrwa że sprawdziłem MTU. Zawsze to robię … współpracujemy z połową świata, mają różne porąbane sieci … wiem co to MTU i Qrwa wszędzie mam  1500. I miałem. Tylko Sprytny pan Rafał z MS, zauważył w ruchu sieciowym, że moja ISA nie fragmentuje pakietów większych niż 1500 bajtów.  Więc jeśli po pingu większym (ping -f -l 1505 host) dostaniecie” Request time out” zamiast “Packet needs to be fragmented but DF set.” wróży to problemy ;)

Zmieniłem stery NICa (w razie czego), zmieniłem ustawienie JumboFrames (to raczej bez znaczenia - chyba) i zastosowałem rozwiązanie MSa… czyli takie jakiego się spodziewaliśmy ;p

Dodnie wpisu do rejestru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\parameters

Value Name: EnablePMTUBHDetect

Data Type: REG_DWORD

Value: 1

VPNy ruszyły.

Wniosek … Network Monitor prawdę ci powie. Tylko tam można było wywnioskować, że w trakcie ” “Access-challenge ” jeden z pakietów był dropowany.

Jakiś czas temu zastanawiałem się co siedzi w aktualizacjach bazy wirusów w Forefroncie. i jak się okazuje jest KB na ten temat: http://support.microsoft.com/default.aspx?scid=kb;en-us;977939 :)

Dostałem kolejny raport z banku i wkurzało mnie, że muszę oglądać PDF-y w zewnętrznym programie. Po chwili grzebania w sieci znalazłem coś takiego: http://timheuer.com/blog/archive/2007/02/27/14001.aspx. Teraz PDF-y i GhostScripty otwierają się wewnątrz Outlooka :)

PS. Działa na 2008R2 i W7 :D

M$ wreszcie ujawnił ile będzie kosztować Office 2010:

Wreszcie poszli po rozum do głowy i zrobili osobną licencję dla studentów i osobną dla reszty ciała uczącego się. Co nie zmienia faktu, że publisher i access kosztują 150USD…

Może się przyda (głównie na roboczym gwizdku). 

Masz Windows 7 na kompie?
stwórz sobie folder o nazwie:
GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

a potem go otwórz…

i nie kasuj ;)

Wiki raportuje:

Bawiłem się ostatnio EFS. Zachowanie pod Vista czy XP jest takie
samo. Pojawia się różnica w momencie kiedy przenosimy/kopiujemy pliki
zaszyfrowane poprzez TotalCommandera a normalnie przez Windows
Explorer. Jeżeli katalog docelowy ma ustawioną flagę szyfruj to
przenoszenie zaszyfrowanego pliku jest OK dla obu programów. Natomiast jeżeli docelowy
katalog nie posiada atrybuty szyfruj to TotalCommander rozszyfrowuje
plik i go tak pozostawia (rozszyfrowanego)w docelowym katalogu,
podczas gdy Windows Explorer przenosi plik
i pozostawia go zaszyfrowanym. Ciekawe nie? Nie ma znaczenia czy
Totalcommander pracuje z prawami administratora czy nie.

Chciałem to dokładnie zgłębić, odniosłem to do książki Training Kit
70-642, gdzie w ogóle autorzy twierdzą iż udostępnienie w sieci
katalogu który zawiera pliki zaszyfrowane powoduje ich automatyczne
odszyfrowanie i swobodny dostęp. Ja przynajmniej tak to rozumiem.

Dla w/w przypadku plik szyfrowałem lokalnym certyfikatem który
wygenerował się automatycznie.

geee… chwilę mi to zajęło - nie działała mi java - konkretnie JRE. instalacja/deinstalacja, sprawdzenie zmiennych środowiskowych [swoją drogą już ich nie ma - java paqje się do system32 i nie robi już wpisów w %PATH%] - qrde nic!

błąd polega na tym że… programy x32 korzystają z JRE x32. a więc w systemie x64 muszą być dwa JRE - x32 i x64. po zainstalowaniu wersji 32 bit programy znów zaczęły działać.

…to tak trochę nawiązując do wątq o x64 q:

eN.

Nexor jakiś czas temu pisał o drukarkach w W7. Ja dziś miałem wątpliwą przyjemność przekopywania się przez ową konsolkę w kontekście migracji serwera wydruku. Oczywiście, żeby być trendy Print Server stoi na 2k8 R2. Wszystko byłoby pięknie, gdyby ustawienia się w całości przeniosły pomiędzy W2k3R2×86 a W2k8R2 (oczywiście x64, bo innego nie ma) za pomocą takowej pozycji w menu:

niestety w większości kupa :/ chyba tylko porty TCP/IP się przeniosły w całości. Jako, że mamy kilkanaście różnych modeli HP, to na samą myśl mi się odechciewało (był nawet przez chwilę pomysł, żeby nie przenosić nic, a doinstalowywać “on-demand” ^^ ) aż eureka – HP wydał universal printer driver w wersjach PLC5, PCL6 i PostScript :) One driver to rule them all :)

i klienci mają jeden driver (wrzucony przez GPO) i różne architektury śmigają :) Przysięgam, że już nie będę narzekać na drukarki HP :D (…) w zastosowaniach biurowych :)

Czasami ze względu na kompatybilność aplikacji standardowe foldery Windows XP muszą nazywać się różnie (na przykład WINNT dla aplikacji pisanych pod w2k). Na szczęście NTFS daje nam parę fajnych funkcji takich jak Hardlinki i junctiony. Hardlinki można tworzyć za pomocą wbudowanego w system fsutil, a junctiony za pomocą sysinternalsowego junction.

http://myitforum.com/cs2/blogs/maikkoster/archive/2009/11/17/deploying-windows-xp-with-mdt-2010.aspx mały link ku pamięci wdrażania starego systemy za pomocą MDT.

Dziś przez przypadek odkryłem jak zmaksymalizować okno tylko w jednym wymiarze… Mianowicie w pionie (od góry pulpitu do paska start). Wystarczy najechać na górę, lub dół okna, aż kursor zmieni się w tą podwójną strzałkę i kliknąć dwa razy :) działa niestety tylko na w7/ws2k8r2 :/

Klonując dyski z systemami Windows, Microsoft od zawsze ostrzegał nas o konieczności używania narzędzia systemowego Sysprep. Narzędzie to, oprócz sprzątania zależności sprzętowych w systemie, miało też generować nowy SID.

Oczywiście nie wszyscy admiistratorzy używali sysprep. Niektórzy, wliczając w tym mnie, woleli używać narzedzia firmy Symantec - ghostwalk. Prostsze i przyjemniejsze - zamiast sprzątać w całym systemie, po prostu zmieniało SID komputera w trybie offline.

Później przyszła era internetu i prostych narzędzi z Sysinternals - w tym graficznego narzędzia NewSID. Proste, okienkowe, i działało. SID komputera był bez problemu zmieniany, podobnie jak nazwa komputera.

Aż pewnego pięknego dnia Mark Russinovitch zadał sobie pytanie - do czego jest wogóle komputerowi zmiana SID-a? Przecież konta systemowe, czy konta specjalne mają taki sam sid na każdym komputerze. A jednak się wszystko działa. Wykorzystując to że Microsoft kiedyś przejął Sysinternals, Mark postanowił zapytać się grupy produktoweco daje zmiana SID-u, i dlaczego jest wymagana. Nikt mu nie odpoiwedział. Po kilku testach które wykonał, okazało się że zmiana SID-u na komputerze nie jest wykorzystywana. Przez sieć przy uwierzytelnianiu nigdy nie są przekazywane SID-y w czystej formie. Jedyny wyjątek stanowią urządzenia przenośne, ale kto jeszcze wierzy że uprawnienia na pendrivie przy zapisie NTFS będą respektowane przez system operacyjny, a użytkownik nie nadpiszę ich po prostu korzystając z uprawnień administracyjnych na innej stacji?

W związku z tym NewSid został wycofany, nie przez to że nadszedł jego kres, a po prostu dla tego że wymiana SID-u na komputerze była jedną wielką mystifikacją microsoftu mającą na celu zmuszenie administratorów do używania sysprepa - chociażby po to aby wymusić aktywacje systemu.

Zachęcam też do orginalnego artykuły Marka Russinovicha  - The Machine SID Duplication Myth

• darmowy
• da się oskryptować
• prosty
• całkiem sporo informacji
• generuje html

WinAudit - programik do przeglądu hardware/software komputera

n.