Skip to Content

IT nieuczesane.
category

Category: w-files

migracyjna zagadka z certyfikatami

staram się nie wpisywać tego, co się nie da, a raczej rozwiązania, ale tym razem się poddałem – częściowo z braq czasu, ale generalnie nie zmęczyłem tematu. a ciekawostka jest taka:

po migracji użytkowników i kompów między domenami, zaczęły się pojawiać problemy z dostępem do niektórych stron. IE [mówiłem, że nie lubię tego produktu?] pokazuje standardowy błąd, dokładnie taki, jak przy braq komunikacji sieciowej. otwarcie w niekoszernej przeglądarce pokazało od razu problem z certyfikatem użytkownika.

ciekawostka na boq: otwarcie certmgr.msc wymaga uprawnień admina /: bardziej ogólnie – uruchomienie mmc wymaga uprawnień admina…

kiedy otworzy się widok certyfikatów [Internet Options -> Content -> certificates]… wszystkie certyfikaty są i pokazują, że posiadają prawidłowe klucze prywatne O_o

rozwiązanie jest trywialne – wystarczy wyexportować cert i zaimportować z powrotem. oznacza to, że cert jest ok, klucz prywatny ok… tylko gdzieś gubiony jest jakiś kawałek informacji – ale nie udało mi się odnaleźć o co c’mon…

eN.

jak rozpoznać kartę WiFi?

scenariusz: trzeba napisać skrypt, który będzie wyłączał rejestrację DNS dla interfejsów LANowych. służy do tego metoda SetDynamicDNSRegistration klasy Win32_NetworkAdapterConfiguration. pozostaje problem – jak znaleźć owe interfejsy LANowe, bo zwykłe wylistowanie interfejsów pokaże ich multum… są dwa warunki, które trzeba sprawdzić – odfiltrować te, które nie są IPEnabled oraz te, które nie są Wired. i tu się zaczynają schody – IPEnabled to parametr klasy Win32_NetworkAdapterConfiguration a typ interfejsu pokazuje atrybut AdapterTypeID klasy Win32_NetworkAdapter.

sprawdzenie obu tych warunków byłoby niemożliwe [mega-złożone] gdyby nie klasy asocjacyjne – w tym przypadku Win32_NetworkAdapterSetting, która łączy obie wcześniej wymienione. klasy asocjacyjne pobierają atrybuty dla obu klas dla danego urządzenia i publikują je w dwóch gałęziach – element oraz setting. skrypt finalnie wygląda tak:

proste, nie? a teraz ciekawostka na koniec. na MSDN wyraźnie i jasno opisane są ‚adaptertype’ oraz ‚adaptertypeid’.. a oto jak przedstawia się moja karta WiFi /:

PS C:\_ScriptZ> .\setDynDNSReg.ps1
[debug] adapter type: Ethernet 802.3
[debug] zmieniam parametr dla: [00000000] Karta Intel(R) Centrino(R) Wireless-N 1000

eN.

technet subs wycofywane…

dostałem takiego niefajnego maila, że technet subsciptions są wycofywane. pozostają subskrypcie MSDN oraz Technet Evaluation Center. jako MCT mam właśnie technet subs i jest to jeden z ważniejszych powodów, dla których warto tytuł utrzymywać – możliwość budowania labów na dowolnych wersjach systemów, od NT4.5, z dowolnymi wersjami – czy to exchange 2oo3 czy stary office, wielokrotnie pozwolił mi się dobrze przygotować do wdrożenia czy szkolenia. na TEC jest bardzo ograniczona liczba produktów i nie ma tych starych…

kontaktowałem się w tej sprawie z wsparciem. mój mail przebył długą drogę, jak piłeczka odbijany między działami i krajami, aż w końcu dostałem finalną odpowiedź:

As the TechNet subscription program is being retired this will also be removed from the MCT benefits.

As our colleagues have already confirmed, there will not be an equivalent subscription offering made available within the MCT program or for regular subscribers.

Of course we understand that you as a Trainer require access to equivalent test software. The general aim is to focus on growing free offerings – including evaluation resources through the TechNet Evaluation Center, expert-led learning through the Microsoft Virtual Academy, and community-moderated technical support through the TechNet Forums.

These give you access to a wide range of products for evaluations of up to 180 days. The exact future content of the evaluation center cannot be confirmed at this point.”

): to nie jest dobra wiadomość.

eN.

bezradność

*updated

fajnie jak systemy starają się ułatwić życie i w pełni automatycznie myśleć za usera. muszę skorzystać z przeglądarki ze zdalnego serwera klienta w barbarzyńskim języq, którego nihuhu nie qmaken. i oczywiście zarówno bing jak google są tak super fajne, że wykrywają po IP po ustawieniach regionalnych lokalizację i wyświetlają wszystko – łącznie z opcjami, w ichnim. i jestem zagubiony. nawet wchodząc na ‚google.com’ , pomocny silnik przełącza na ‚lokalną’ wersję.

przynajmniej w google wiem sobie z tym poradzić: wystarczy wejść na http://google.pl albo http://goole.co.uk – zależnie od języka jaki się chce. dopiero wtedy na dole pojawia się sugestia zmiany na czytelny langłydż. albo jeśli dozwolone – można zmienić ustawienia regionalne w systemie q:

… a kiedyś po prostu zawsze w rogu było menu z możliwością wyboru języka.

eN.

w8ing for next release

okrutna pogoda. dopadła mnie choroba. idealne warunki żeby sobie pomarudzić. jakoś jutro ma się pojawić R2 CTP więc w przeddzień zmian – żeby było wiadomo co obaczaić jak się uda zdobyć instalkę, która wedle zapowiedzi – wiele ma zmienić.

podstawowy zarzut jaki mam do obecnego releasu to rozdwojenie jaźni – czasem nawet ‚rozmnożenie’. wdarła się jakaś potworna niespójność. paradoksalnie końcowym efektem ma być jeden system dla wszystkich platform [konsola, PC, mobile, server] ale zdaje się, że ktoś zapomniał, że siedmiomilowe buty nie istnieją i pewne rzeczy robi się krokowo.

backup.

od czasu Vista, jedno z najlepiej wykonanych narzędzi systemowych – backup – zostało rozgrzebane, pogrzebane, odgrzewane i wymemłane. jest świetnym zobrazowaniem powodów, dla których odnosi się wrażenie, że w8 jest bardziej eksperymentem z niewiadomą przyszłością. nie będę w tym wpisie zamieszczał szczegółowych opisów, w zamian polecam tegoż linka oraz krótkie podsumowanie:

„The fact that these sorts of workarounds almost seem like good ideas illustrates the fundamental problem with Windows 8 backup: there are basically three separate backup systems, none of which provide everything you need.”

oczywiście trzeba oddzielić serwer od klienta. dla wersji serwerowej decyzja może być wytłumaczona w stylu „to jest opcja super-basic, chcesz więcej – qp System Center DPM”. ale dla wersji klienckiej takie tłumaczenie jest nieakceptowalne. qpując system, powinno być w nim porządne, łatwe w użyciu narzędzie do kopii zapasowej.

ps. z linii poleceń backup można odpalić: sdclt [ciekawe od czego są literki ‚sd’ /: ]

zarządzanie WiFi

być może coś mylę… ale czy ideą ModernUI nie była prostota użycia? tam gdzie nie potrzeba interfejs jest na siłę upraszczany [ogłupiany] , 0kazuje się jednak, że w miejscach gdzie interfejs by się przydał.. jest wycinany. czy ktoś z was próbował już połączyć się siecią WiFi niebroadcastującej SSID? trzeba ręcznie się połączyć… tylko nie ma interfejsu który na to pozwala. albo zarządzać istniejącymi profilami… szczęśliwie jest linia poleceń – netsh. oto oficjalna instrukcja. spędzam sporo czasu z linią poleceń i netsh, ale qrde… mimo wszystko nie jest to wygodne nie mówiąc o fakcie, jak coś takiego wytłumaczyć end-userowi.

ps. nie działa DHCP Client dla WiFi jeśli interfejs jest przypisany dla Hv /:

last but not least – modern UI

nie przeboleję. nie dla serwera. jeśli choć promil życzeń spełni się dla tych, którzy ten projekt zatwierdzali, to jest im bardzo, ale to bardzo niefajnie… od ostatecznego konania w bólach rodem z Apokalipsy, ratuje ich wyłącznie team od PowerShell. ten produkt w końcu można uznać za dojrzały – choćby działanie tabulatora, które w końcu nie kasuje całej linijki. takie małe pierdoły powodują, że korzystanie z tego narzędzia jest wydajne i przyjemne. niech tylko uzupełnią brakujące opisy – bo help zarówno w systemie jak na stronach technet dla nowych modułów sprowadza się do wylistowania dostępnych parametrów.

o samym UI nie ma sensu więcej pisać. to jest jakaś superwczesna wersja alfa, która nie powinna zobaczyć świata poza labem… powinna być jako zupełnie nieobligatoryjny dodatek.

RT i inne wynalazki

nie mam tableta i nie testowałem wersji RT. ale te tematy również przewijają się na wszystkich ‚top worst things about windows 8’. wymieniać można byłoby sporo więcej… jednak według mnie zawiódł wyłącznie sposób, w jaki zdecydowano się dokonać zmiany. tak jest jak się robi coś, czego się nie umie, dla milionów ludzi na raz. trzeba najpierw dać czas dojrzeć produktowi i dać się powoli przekonać do niego, a nie zrzucić go na wszystkich w tak niedopracowanej wersji. to była bardzo, bardzo zła decyzja. zdaje się, że miała udowodnić, że eMeS ma plan na przyszłość, a jedyne co udowodnił to fakt, że ta przyszłość tak prędko nie nadejdzie i po raz kolejny zraził do siebie masy. kiedyś w końcu nie udźwignie tego ciężaru…

jeśli ktoś mnie chce oskarżyć o to, że jestem hejtersem – mylisz się, jest zupełnie odwrotnie. nie lubię iOS i linuxów … i dla tego nie bolą mnie zmiany jakie w nich zachodzą. a windows… bardzo nie chcę żeby przekształcił się w ‚tiles’. to okrutne tak okaleczać…. jakieś takie.. nieludzkie…

eN.

HA! czyli historia, przyszłość i dużo podziękowań.

mija 8ma rocznica WF. z tej okazji site przestał na chwilę działać (; spostrzegawcze osoby zauważyły za pewne nieznaczną różnicę w wyglądzie – portal zmigrował. a nie działał bo podczas przeprowadzki namieszałem z DNSami. wykorzystując liczne zmiany jakie zachodzą zawieje nudą  – będzie podsumowanie.

HISTORIA

WF działa niemal bez przerwy od 8 lat. przeszło przez blogspota, zmigrowało do WP na portalu Krzysia, a teraz – wbrew oczekiwaniom gawiedzi – nie zamierza umrzeć. jeszcze nie. ideą było ‚pisanie dla siebie’ – czyli bez cenzury, q pamięci, z nadzieją, że kiedyś może ktoś wyszpera wpis i oszczędzi czasu i nerwów. w epoce boomu blogosfery każdy założył swojego bloga i wpisując tam coś co pół roq, blog w zasadzie nieżył. dla tego WF miało być czymś na zasadzie agregatora – i w jakiś sposób to się udało. jest kilq piszących, którzy raz na jakiś czas ujawniają, że żyją. moją ulubioną firmą robiącą ciuchy street clothing jest Minute Mirth [dawniej Shiroi Neko] a ich motto idealnie pasuje do tego miejsca: „No Style Is My Style„. nie jesteśmy komercyjni, nie trzymamy się konkretnych wytycznych dotyczących stylu czy zakresu.

PRZYSZŁOŚĆ

i tak też nowy wygląd odpowiada wytycznym – niby przejrzysty, ale lekko chaotyczny, niby prosty, ale ma pazur, niby brzydki, ale coś w sobie ma…

nie wszystko jeszcze działa – przez najbliższe dni będą porządki i modyfikacje. trzeba trochę dopieścić – poprzedni WF był mocno scustomizowany i nie wszystko udaje się przenieść. a więc nadal zmiany.

będziemy nadal pisać – jedni częściej, inni rzadziej, nie zamierzamy wymuszać żadnego stylu, nie cenzurujemy [chyba, że sami siebie]… czyli tak na prawdę nic się nie zmienia q:

podsumowując: nie jestem wróżką, więc nie powiem jaka będzie przyszłość. ale jestem optymistą więc dodam tylko, że na pewno będzie ciekawa i radosna! =^.^’=

PODZIĘKOWANIA

  • w pierwszej kolejności chciałem podziękować Krzysiowi – którego portfolio, regularni czytelnicy WF, mieli okazję oglądać przez ostatnie dni. hostował WF przez ostatnie kilka lat, pomagał też czasem ogarnąć kwestie administracyjno-serwerowe. CMOK*
  • obecnie WF jest hostowane na Webio.pl – również nieodpłatnie, za co bardzo gorąco dzięqjemy. jesteśmy niewielką społecznością, więc taki gest tym bardziej wiele znaczy.
  • migracją bloga, z olbrzymią dozą cierpliwości, zajął się Darek Porowski za co oczywiście też należy się wielki CMOK* ^^
  • dzięki wszystkim czytelnikom – nie wiem co tu robicie, ale statystyki pokazują, że jednak ktoś czasem WF czyta, co mobilizuje do częstszych wpisów (: statystyki pokazują ok. 1oo regularnych odwiedzających. a więc 1ooxCMOKóW i dla was (;
  • no i oczywiście wszystkim, którzy tu skrobią – po swoje CMOKi możecie zgłosić się osobiście (;

idzie nowe!

z harcerskim pozdrowieniem,redaktor naczelny WF

eN.

 

Wszechwiedzący user

nawiązując do głupich komunikatów w windows – było o IE, a teraz taka ciekawostka przy połączeniu WiFi na w8. łączę się do serwera i dostaję ostrzeżenie:

error1

jest ‘show details’! super. sprawdzę co to za cert żeby zdecydować:

error2

eeee /: no i wszystko jasne. teraz decyzja jest oczywista…

eN.

PKI – a nie mówiłem…?

ROTFLMAO – tak można podsumować wtopę, jaką zaliczył eMeS w ten weekend. a w zasadzie od piątq. cała chmura Azure wyparowała. dosłownie *cała*. od usług komercyjnych, darmowych, xbox… a wszystko przez… nieodświeżony certyfikat!

o tym, że PKI jest sztuką zanikającą i dla większości wdrożeń nazwa “PKI” jest mocno na wyrost, pisałem całkiem niedawno. ale to co się wydarzyło ciężko nawet komentować, więc zamiast się nabijać kilka wniosqw dla nas wszystkich:

  • CERTYFIKATY SĄ WAŻNE. jak widać – jeden zły cert i cała wielka machina może zdechnąć.
  • to, że nie dzieje się tak w innych firmach wynika z faktu, że każdy zna trywialim “bezpieczeństwo jest bardzo ważne/najważniejsze” ale środowisko konfiguruje się przeciwnie. ponieważ niewiele osób certyfikaty rozumie, aby sobie nie utrudniać życia, wszystko konfiguruje się tak, żeby “niewadziły”. czyli używa się self-signów, wyłącza się weryfikację CRL, pozwala się na połączenia pomimo braku poprawnej walidacji itd. czyli jakiś cert jest, jakieś szyfrowanie jest i wszyscy skaczą szczęśliwi że mają PKI i super bezpieczeństwo.
  • w Windows od zawsze brakowało automatu, przypominającego o wygasającym certyfikacie. taka funkcjonalność została dodana – AFAIR w Vista, jednak trzeba się lokalnie zalogować na serwer/stację, aby komunikat zobaczyć. tam, gdzie PKI jest istotne – jak np. główny cert firmy czy jakiejś aplikacji Web – admin powinien od razu wrzucić jakieś przypomnienie do kalendarza…

zamiast ustawiać przypomnienia na konkretne daty, co jest mało elastyczne z 1ooo powodów, warto byłoby zrobić coś bardziej uniwersalnego. na szybko – skrypt, który sprawdza wszystkie certy w computerMY i jeśli data jest powżej 6o% czasu życia, wysyła maila z informacją. skrypt można by wrzucić do do schedulera na serwerach. trzeba będzie nad tym pomyśleć…

eN.

powershell – kiedy będzie standardem?

globalnie – nie prędko. z jednej strony możliwości PS się zwiększają z każdą wersją systemu, z drugiej strony – pozostają bez zmian dla wersji starych. potworny dualizm – jest wiele zapowiedzi, że będzie wycofane wsparcie konfiguracji TCP/IP z netsh, wmic – z drugiej strony po uruchomieniu w12 w wersji core nadal jesteśmy witani CMD – co jest zresztą dla mnie zupełnie niezrozumiałe /: . taki oto scenariusz, na który często trafiam:

trzeba coś zautomatyzować/zmienić u klienta. wersje serwerów – od W2k3R2 po w12. jakie mamy środowisko do tego?:

  • na w2k3R2 powershella nie ma w ogóle
  • na w2k8 jest, ale dla tej wersji była bardzo ograniczona liczna cmdletów
  • na w2k8R2 cmdletów jest więcej ale nadal są ograczniczone
  • na w12 jest ich na prawdę dużo, ale część operacji i tak trzeba wykonywać via stare commandlineowe toole.

i tak wybór jest pomiędzy:

  • zainstalować na wszystkich maszynach powershell. zadanie nietrywialne bo nie wszędzie jest v3, trzeba spełnic szereg wymagań, być może dograć jakieś moduły. sporo zachodu ale jeśli jest się adminem sieci to można się pobawić. jednak dla konsultanta – osoby z zewnątrz – jest to nieopłacalne.
  • być uniwersalnym – korzystać z VBS + CMD

finalnie – jeśli ma być uniwersalnie to trzeba sięgnąć do VBSa, co jest bolesne. po wygodzie i mozliwościach, jakie daje PS, grzebanie się w basicu jest ciężkim doznaniem.

niezrozumiałe dla mnie pozostaje:

  • czemu default shell w core to cmd
  • czemu PS nie jest poprawką obligatoryjną/sugerowaną dodatkową – w końcu to podstawowe środowisko zarządzania! na stronie opisującej WMF 3.o jest informacja iż nie jest kompatybilny z <tu całkiem spora lista>. niewątpliwie odpowiada to bezpośrednio na pytanie ‘czemu nie jest poprawką obligatoryjną’ ale rodzi pytanie – skąd te niekompatybilności?
  • czemu nie ma oficjalnych update’ów modułów do PS?

w efekcie, pomimo ostrego parcia w kierunq PS nie można mu zaufać – skrypty napisane na jeden system mogą nie działać na innym. brak jest spójności i jednego, porządnego środowiska.

Powershell basics mini-FAQ

  • jak sprawdzić wersję powershell:

$host.version

  • czy da się zupgradeować powershell do wersji 3 na wszystkich systemach?

po pierwsze to nie tylko PowerShell ale ‘Windows Management Framework’. na cały framework składa się kilka komponentów, wykorzystywanych na końcu łańcucha przez PS: BITS, WinRM i kilka innych komponentów, +oczywiście .NET framework. na staszych systemach trzeba więc zupdateować i pozostałe komponenty.

dla w2k8, w2k8R2 i w7 da się – można zaciągnąć z download center
dla wersji 2k3/XP SP3 jest tylko v2 i nowszej nie będzie

  • jak sprawdzić dostępne moduły

get-module –listAvailable

użytkownika: userdocumentswindowspowershellmodulesmymodule
systemowe: windowssystem32windowspowershellV1.0modulesmymodule

  • skąd wziąć moduły?

sporo jest na codeplexie. jedno z fajniejszych repozytoriów jest na technetowym wiki.

eN.

instalacja systemu na po-DPMowej maszynie

System Center Data Protection Manager to eMeSowy backup. mając do czynienia z kilkoma produktami do backupów śmiało mogę powiedzieć – ten jest najinniejszy ze wszystkich q: jedną z ciekawostek jest fakt, że dla każdego backupowanego systemu tworzona jest oddzielna partycja. taka partycja raz na jakiś czas się kończy. wtedy system tworzy kolejną partycję … i spanuje ją z poprzednią. wychodzi z tego straszny potwór. kiedy zajrzy się do diskmanagera na żywym systemie, gdzie backupowanych jest wiele serwerów – ilość ‘kreseczek’ jest nie do ogarnięcia. kreseczek – ponieważ nawet przy rozdzielności full hd ilość partycji jest zbyt duża, żeby starczyło miejsca na ich wyświetlenie (; zresztą – tam się raczej nie zagląda…

niemniej może to stanowić problem. wedle zasady ‘jedno doświadczenie nie stanowi dowodu’ nie mogę powiedzieć, że to co opiszę poniżej jest zasadą, ale tak się stało ostatnio:

padł serwer DPM i trzeba było przeinstalować system. po uruchomieniu instalacji windows, ta zawisała na 2o min do 2h zanim pokazał się ekran wyboru dysq dla systemu operacyjnego. instalacja działa jakoś wolno. dochodzi do ostatniego punktu i zawiesza się. czekaliśmy ok. dnia. drugi test – to samo. postanowiliśmy wyłączyć dyski, na których są backupy DPM. cała instalacja śmignęła i po nie całej godzinie system działał.

być może winą były sterowniki dla RAID… jednak imho powodem było to, że system próbował skanować wszystkie partycje w poszukiwaniu jakiś danych i się gubił w labiryncie spanowanych dysków dynamicznych. jeśli ktoś miał podobne doświadczenie i potwierdzi lub obali będzie miło (:

btw. jest opcja kolokacji danych na partycji. w nowym DPM 2o12 ponoć mocno poprawiona. póki co dopiero zaczynam swoją przygodę z tym produktem…

eN.