Skip to Content

IT nieuczesane.
archive

> Monthly Archives: Sierpień 2006

mmc – bolesne ograniczenia

jakis czas nie moglem zalogowac sie do blogspota, wiec ostatni tydzien minal bez wpisow. poza tym jestem pochloniety projektem… niestety nie wakacjami q:

a teraz do rzeczy – kiedy duzo sie konfiguruje serwery, snapiny mmc wydaja sie byc bardzo mila zabawka, ktora umozliwia konfiguracje bez potrzeby logowania sie na wiele serwerow. szczegolnie przydatne, kiedy konfiguruje sie cale srodowisko i trzeba cos pozmieniac na np. 6-7 serwerach. niestety ograniczenia mechanizmu snapinow sa bolesne, zmuszajac i tak do logowania zdalnego, lub uruchamiania poprzez mmc a nie bezposrednio.
po pierwsze lubie odpalac snapiny po nazwie, bezposrednio z run’a – dzieki temu nie musze sie przeklikiwac przez jakiej menu. nazwy sa potem zapamietywane w runmru wiec dostep do konsolek mam w 3-4 klawiszach [ctrl-esc, ‚d’,’e’ – i juz pojawia sie ‚devmgmt.msc’]. to najszybszy sposob. nazwy snapinow sa latwe do zapamietania i szczesliwie wg. w miare jednej logiki. niestety niektore snapiny nie maja zdefiniowanych dodatkowych akcji i tak np. [np. certmgr] nie ma opcji ‚connect to’ i zeby sie polaczyc ze zdalnym kompem, trzeba sie przeklikiwac przez mmc. odpalajac manager certyfikatow [certmgr.msc] nie ma z menu opcji wyboru do jakiego stora sie chce polaczyc [user/service/computer] – znow trzeba sie przeklikiwac przez mmc.
konfigurujac IISa nie sa dostepne opcje zwiazane z certyfikatami na zdalnym hoscie – trzeba logowac sie via TS.
no i braqje mozliwosci autentykacji. co z tego ze mam toolsy zainstalowane na xp, jak stacja nie jest w domenie to i tak nic nie zrobie. byc moze da sie odpalic runas – bede musial to sprawdzic. ale opcja w menu by sie przydala.
znow narzekam na szczegoly? lubie…

**************************
ciekawostka dla commandlineowcow:
najszybciej odpala sie przez crtl-esc. to oczywiste – zadne klikanie nie jest w stanie byc tak wydajne. problem tylko jak odpalic niektore rzeczy. po pierwsze snapin IISa – nie ma go w system32. jesli podejrzy sie sciezke, okaze sie, ze jest w system32/intetsvr. trzeba wiec albo go skopiowac, albo dopisac do path’a.
druga rzecza jest dodawanie komponentow windowsa – znow przekliwanie sie przez kilka menu, czekanie az odswierzy sie lista programow, zeby kliknac na kolejna liste… szybciej byloby z commandline’a. a wyglada to tak:
sysocmgr /i:c:windowsinfsysoc.inf
mozna sobie utworzyc jakiegos cmd w system32 i nie trzeba sie przeklikiwac:

kiedy czynnosc powtarza sie kilka razy w ciagu dnia, optymalizacja ruchow oszczedza zdrowie psychiczne (;

******UPDATED****
jest narzadko o tej samej nazwie, ale skompilowane certmgr.exe – i tu da sie dostac do konkretnego stora. szkoda, ze nie defaultowo ):

******UPDATED****
tak mozna zarzadzac z lapa nie logujac sie na serwer:
runas /user:domainuser /netonly „mmc c:windowssystem32dsa.msc”

enableRDP

po raz kolejny zapomnialem odhaczyc checkboxa… czas bylo napisac skrypt, ktory na zdalnej maszynie wlacza polaczenia RDP.
…chyba ze wlaczylo sie przy okazji firewalla…

*****UPDATED*****
dodana funkcjonalnosc umozliwiajaca podanie usera i haslo.
skrypcik niezmiernie sie przydal ostatnimi czasy (:

sztuczna hodowla neuronow na prawde mysli

to ciekawy pomysl – wychodowano sztucznie strukture mozgu myszy, podlczaono to do kompa, na ktorym stworzono wirtualny lab. dla tego mozgu to rzeczywisty swiat, w ktorym nauczyl sie zachowywac. no moze zbyt wielkie slowa na dzien dzisiejszy, ale reaguje na pewno i uczy sie.
eh… coraz blizej wirtualizacji i tych wszystkich pomieszanych pomyslow swiata w swiecie, a cogito ergo sum nabiera coraz to nowego znaczenia…

a podczas obiadu [eh, braqje mi tych bssowych pogaduch] wpadlem na taki pomysl ‚etycznej chodowli miesa’. ludziska protestuja, ze sie zabija i wogole… no ale czy mozna zabic cos, co nie zyje? gdyby tak stworzyc genofarmy organow zwierzecych i chodowac je tak jak pietruszke czy owoce? sztuczne drzewa, z ktorych wyrastaja watrobki, żołądki, boczki, nużki… hehehhee ilosc kontrolowana od popytu, nie ma ‚cogito’ nie ma ‚sum’ nie ma problemu z zabijaniem (;

subwoofer w lapie?

zupelnie przeprojektowany, niestandardowy design subwoofera, ktory pozwolil zmniejszyc go do rozmiarow mini, byc moze nawet zmiescic w uzadzeniu przensnym. wyglada na prawde kosmicznie

rada jedi dla microsoftu

co jedi powiedzial billowi na prywatnym spotkaniu?
„use the source, luke”

ps. gates sprzedal akcje firmy … firmie. w sensie odsprzedal swoje akcje microsoftowi. ale nie mam pojecia co to oznacza bo o ekonomii mam zerowe pojecie…

koszulki vista

hehehe jakis czas temu byla prezentacja jak vista rozpoznaje mowe, ktora okazala sie totalna porazka. jedna z tych, w ktorych naprezentacji jest blue screen. tutaj, rozpoznawanie mowy totalnie nic nie potrafilo rozpoznac.
z ‚poezja’ visty mozna juz qpic koszulki

qpujesz komputer – co robisz najpierw?

w kampanii reklamowej mac’a mozna znalezc taki filmik, opowiadajacy o tym co tez robi sie z komputerem out-of-the-box. mac jest od razu gotowy do dzialania, podczas gdy na pececie czeka nas kilka h, podczas ktorych trzeba wywalac programy reklamowe, odinstalowywac zbedny software, ktory zabiera cale zasoby kompa itp itd… na pewnym blogu mozna przeczytac liste co tez trzeba bylo zrobic z nowym dellem. podobne przezycia ma kojn:

podobnie mialem ze swoim fujitsusiemens. tak swoja droga to okazuje sie, ze duzo, duzo szybciej jest po prostu zainstalowac system od nowa. tyle, ze dla zwyklego usera nie jest to ani trywialne a przyjemne nie jest dla nikogo…

do kogo miec pretensje? do producentow sprzetu, ktorym mimo, ze zostawia sie taka ilosc kasy, szpiqja ludzi reklamami gdzie i jak tylko sie da. wiem, ze reklama jest dzwignia rynq, ale powinny byc jakies normy, ustawy, co kolwiek. tak jak urzad antymonopolowy, powinien byc urzad do zwalaczania inwazyjnych reklam i weryfikacji prawdy. BUEEE

vista hacked

obecna wersja visty ma dziure umozliwiajaca uruchominienie kodu w trybie kernela. juz jakis czas temu pojawily sie informacje o mozliwosci wykorzytania techniki wirtualizacji jako swoistego rootkita i tak wlasnie dziala ‚blue pill’

drobna ciekawostka:
proponuje uruchomienic VPC i jakas virtualke. nastepnie odpalic sobie process explorera i… nie znalezc tam zadnych informacji na temat prcesow maszyn wirtualnych. sa zupelnie niewidzialne dla systemu. a wiec moga nam zezrec 1oo% wszystkich zasobow, a system hostujacy bedzie pokazywal ze wszystko jest wolne. widaj jedynie proces VPC [ok 1oMB pamieci] i nic poza tym.
oto jak mozna samemu wykorzystac virtualki do nielegalnych obliczen, wlaman etc. a moze wirtualny warez? maszyna wirtualna z ftp, niewidzialna z systemu, z fakeowym MACiem, jak cos nie heja wystarczy kliknac zeby szlag ja trafil. plik imageu mozna ukryc, rozproszyc, skasowac orłotewer…
wniosek: to mloda technika, ktora wymaga jeszcze sporej ewolucji, zwlaszcza w kontexcie bezpieczenstwa

exchange i uslugi mo(de)bilne

teoretycznie najbezpieczniejsza i najwydajniesza konfiguracja jest zastosowanie topologii front-end/back-end dla exchange. serwery frontowe pelnia role wylacznie autentykacji i obslugi formularzy, sa mocno zabezpiecznone i stoja sobie w DMZ, na serwerach backendowych sa skrzynki i stoja w LANie. tak w skrocie.
w czym problem? ta cala konfiguracja super-secure ma jeden pewien mankament w postacji uslug mobilnych – OMA/ActiveSync – ktore wymagaja dosc specyficznej konfiguracji serwera backendowego – a mianowicie udostepnienie polaczenia bez ssl, wlaczenia specyficznych metod autentykacji etc. moze i serwer w LANie, wiec marketingowo mozna komus powiedziec, ze to konfiguracja bezpieczena.. ale statystyki wlaman wyraznie pokazuja, ze najwiecej wlamow jest wewnatrz LANu. konfiguracja bezpieczna powinna wiec obejmowac ipsec’a miedzy FE-BE i filtry, zeby no-ssl nie dzialal dla innych kompow…

a teraz ciekawostka:
przy konfiguracji ActiveSync najczestrzym bledem jest HTTP_500, do ktorego mozna zlezc setki rozwiazan i przyczyn. trafilo i na mnie, spedzilem pol dnia nad poszukiwaniem przyczyny, ale w koncu trafilem – po pierwsze rozwiazania nalezalo szukac na serwerze BE a FE ani ISA. w eventlogu pieknie pokazala sie informacja o bledach autentykacji. okazuje sie, ze na BE dla site’u IIS ‚Exchange’ musi byc wlaczona autentykacja ‚integrated’, poniewaz FE-BE nie potrafi obsluzyc autentykacji formbased. jeden checkbox i zahulalo. ale to nie koniec ciekawostki. okazuje sie, ze podobne problemy pojawiaja sie z pewna nieregularnoscia w innych miejscach. same z siebie. najwyrazniej patche systemowe AU, podczas instalacji ustawiaja default, czyli wylaczaja ten rodzaj autentykacji. nice.
zmiana ustawien podczas update’u moze i ma swoje-jakies-tam uzasadnienie [w razie bledow dzialania powinny cos naprawic], ale imho jest to totalne qrestvo. jesli ktos w produkcji ma serwery, skonfigurowane, zabezpieczone i przetestowane, to patch, ktory zmienia te ustawiania jest jak kon trojanski. no bo taki, ktory cos ‚popsuje’ i nie dziala – szybko sie wykrywa. a taki, ktory na ‚pierwszy rzut oka’ nic nie zmienia i wszystko hula, po czym okazuje sie, ze gdzies-cos w rejestrze zostalo przestawione zmieniajac konfiguracje… pewne rzeczy nie maja znaczenia, pewne wyjda od razu, a pewne spadna na glowe jak zapadajacy sie sufit z nienacka, budzadz gdzies w srodq nocy…

scenariusz?

dowiedzialem sie od pekiego, ze jest ksiazka BOFH. tytul mowi sam za siebie, ale zaczalem szukac. znalazlem ksiazki ale znalazlem tez i wersje online. jeszcze nie czytalem, ale trzeba bedzie!
nie wiem czy to to samo, co mozna qpic w wersji drukowanej bo nie ma autora.