Skip to Content

IT nieuczesane.
category

Category: windows

MS Security Essentials już nie takie dobre jak kiedyś

Jako użytkownik MS Security Essentials trochę się „przeraziłem” czytając załączony test – w zasadzie wniosek taki, że prawie żadnej ochrony owy pakiet nie zapewnia- ocenia 1,5 /6 czyli najsłabszy wynik ze wszystkich przetestowanych. No cóż pilnie szukam alternatywy – skłaniam się ku ZoneAlarm Free Antivirus + Firewall.

http://www.av-test.org/en/tests/home-user/windows-7/sepoct-2012/

DFS initial replication usuwa katalogi

zachowanie jest na tyle nieintuicyjne, że po raz drugi się na to naciąłem – tym razem z dodatkową adrenaliną. dwa serwery, które miały być replikowane na trzeci. dwa, bo jeden jest nowy – większy, lepszy i tak dalej. już wcześniej nauczony, zrobiłem preseeding. celem replikacji na ten trzeci – hub, z którego będzie robiony backcup.

włączam replikację jakoś tak w czwartek… dziś dzwoni przerażona laska ‘nie ma moich plików! :/ ‘ … a to było tak…
laska miała mieć migrowany komputer. okazało się, że ma niewiarygodną ilość danych. na starym serwerze nie ma miejsca, ale nowy już jest – “wrzuć swoje dane na serwer. na serwerze jest bezpieczniej”…

okazuje się, że DFS w fazie wstępnej replikacji wybiera mastera – czyli jeśli jest katalog “user” na obu serwerach, pliki nie zostaną zsumowane – wynikiem będzie katalog mastera. w sumie nie wiem i na razie nie chcę sprawdzać co, jeśli jej katalogu by w ogóle nie było, ale wydaje mi się, że to się tyczy całej struktury drzewa nawet, a nie pojedynczych katalogów.

no i tak – backupów jeszcze nie ma, bo przecież po to była robiona replikacja, żeby go zrobić, previous versions nie ma.. bo świeży serwer i jeszcze nie dokonfigurowany… program do odzyskiwania danych nie pokazuje żadnych usuniętych plików – to dziwne. generalnie pupa blada i sprawdzanie cennika w ontracku…

okazało się, że nie pokazuje usuniętych, ponieważ nie zostały usunięte. DFS potraktował katalog jako konflikt i przeniósł go do dfsPrivatepreExisting. katalogi co prawda w sieczce – pododawane jakieś suffixy do nazw, ale DFS jest na tyle miły, że pełne info trzyma w xml’lach – ”preExistingManifest.xml”

$pe=new-object XML
$pe.load(“x:DFSfolderdfsrprivatepreExisitngManifest.xml”)
$pe.PreExistingManifest.Resource |%{ if ($($_.path).indexof("USERNAME") -gt 2) { move $_.newname $(($_.path).substring(4)) } }

..a co stanie się teraz jak włączę replikację? znów to wytnie?

eN.

Zrobimy tableta z Twojego peceta

a ja się nie zgadzam q:

broniłem się jakiś czas przed instalacją classic shell – po pierwsze chciałem się przekonać czy dam się przekonać, po drugie opis mówi o win7, nie ma słowa o win8. efekt jest dokładnie taki, jakiego oczekiwałem. zainstalowałem wyłącznie komponent classic start menu – bloqje ekran ‘start’ na dzień dobry, i dodaje menu start wraz searchem. ctrl-esc znów otwiera podręczne menu nie znikając mi wszystkich okien. oczywiście darmowy.

obowiązkowy tool.

ciekawe jak skoczyła sprzedaż windowsBlinds? (; sam astanawiam się, czy nie wydać tych $2o…

eN.

Windows 8 first look

ano – first. nie miałem czasu do tej pory zweryfikować swoich opinii na podstawie tego, co czytałem i co widziałem na prezentacjach. jednak moja opinia nie uległa wielkiej zmianie.

w naszym zawodzie przed ekranem monitora spędza się długie godziny. jakby się tak zastanowić to być może większość życia, z którą konkurować może tylko sen. a więc wygląd *ma znaczenie*. i choć starożytne przysłowie mówi de gustibus non est disputandum – nowy Windows gdzieś skręcił, wyraźnie nie w tym kierunku i zagubił się pomiędzy przyszłymi planami, niedojrzałym pomysłem i modernistycznym minimalizmem na pograniczu z kiczem. jest ohydny, obrzydliwy, fatalny, koszmarny, pasqdny, brzydki… jest pomyłką. przez wszystkie lata był coraz ładniejszy, coraz bardziej kolorowe ikony, coraz śliczniejsze kształty, Aero, bajero, trutajpy, wygładzania… aż tu nagle … prostokąty. modern art qrva. to gorzej niż w trylogii Kieślowskiego – część pierwsza, “trzy kolory – niebieski”. ostre kształty tnące tęczówkę oka jak żyletka… i ja mam przy tym pracować? cholera… zaczynam z prawdziwą zazdrością zaglądać do Maców, z łezką w oku wspominając jaki Windows przez chwilę próbował być śliczny… jak można tak skrzywdzić świat?

generalnie ‘Modern art UI’ jest wersją beta. pomyłką w przypadku laptopów. jestem gotów się założyć, że albo w w9 albo już w SP1 do w8 podczas instalacji będzie opcja “korzystam z laptopa/korzystam z tableta” pozwalająca zmienić styl interfejsu. nie wyobrażam sobie korporacji, gdzie ludzie pracują z ”modern-qrva UI”. zainstalowałem specjalnie wersję enterprise i dodając do domeny, spodziewając się, że jest to wersja dla ‘enterprise’… jakoś nie wyobrażam sobie tego w firmie.

nie przeczę – super pomysł na tablety,telefony czy konsole [choć i tak brzydkie to strasznie], ale dla środowiska “łorkstacjowego” to się po prostu nie nadaje. spodziewałem się łatwej metody wyłączenia tego niedopracowanego czegoś i … znalazłem płatne dodatki, które to robią. czemu niedopracowanego? wprowadza schizofreniczny interfejs – IE uruchomione z modern UI – to taki czarny prostokąt dla niedowidzących, a odpalony z dekstopu – normalne IE. otwarte zakładki w jednym nie są widoczne w drugim. skydrive jest od razu zainstalowany… ale tylko w świecie prostokątów. nie widać nigdzie plików w systemie i nie da się [nie wiem jak] do niech dostać z exploratora. trzeba doinstalować Windows Essentials 2012. są dwa oddzielne światy, między którymi niezbyt wygodnie się przełącza – a o przenikaniu ciężko powiedzieć…

jedną z najmocniejszych stron w w7 był świetny search – jedno okienko, szybko dostępne – i wyszuqje wszystko… a tu proszę – aż trzy oddzielnie wyszukiwania – win-q, win-w i win-f… niezłe ułatwienie… ręce opadają. desktop bez menu start jest jak samolot bez tylnego statecznika – ciężko się steruje, i głupio wygląda. szczęśliwie wszystko i tak robię z klawiatury.. ale to nowe wyszukiwanie… damn. no i nowy sposób wyłączania: win-i a potem myszkowanie, bo z klawiatury to potem sporo strzałek trzeba ponaciskać.

wszystkie zalety nowego Windowsa tracą znaczenie wobec tak druzgoczącego faktu – dosłownie “rzucającej się w oczy” ułomności, jaką jest jego nowy look. to jest straszna krzywda dla ludzkości, porównywalna z wynalazkiem BIOSu czy architektury x86.

ah. no i kolejne pierwsze zderzenie – to wstyd, że system nie radzi sobie z proxy. i to żeby jakieś tam niekoszerne – ale TMG! nie chce mi się nawet pisać.. po prostu spróbujcie zainstalować sobie świeży systemem w sieci z proxy wymagającym uwierzytelnienia…

eN.

SSTP czy L2TP?

od wersji w2k8 jest nowy, ‘wbudowany’ typ VPN – Secure Socket Tunneling Protocol, czyli Microsoftowa implementacja SSL VPN dla Windows. ogólnie świetny pomysł – świat sieci generalnie zmierza w kierunku ‘all-over-443’, pojedynczy otwarty port, nie ma konieczności obsługi GRE na brzegu czy innych protokołów wspierających, czyli łatwość działania w fajerłolowanych środowiskach (;

no więc przestawiać się w pełni na SSTP czy pozostać przy starym dobrym L2TP? pomimo, iż od wprowadzenia SSTP minęło już kilka lat, ma niestety zbyt wiele wad beniaminka:

  • natywnie wspierany tylko przez systemy Vista SP1+
    • szczęśliwie są aplikacje firm 3cich, obsługujące SSTP dla Linux i Windows XP.
  • wymaga certyfikatu serwera – nie jest to problem w środowisku domenowym, gdzie cert CA jest dystrybuowany via GPO jednak robiąc VPN dla osób ‘z zewnątrz’ trzeba pamiętać aby przesłać im cały cert chain do zaimportowania, ew. mieć wykupiony cert podpisany przez komercyjny CA
  • dodatkowym warunkiem są dostępne listy CRL. zazwyczaj wewnętrzne CA mają skonfigurowane AIA i CRL wyłącznie z wewnętrznymi adresami. ciężko powiedzieć czy to błąd czy nie – zależnie od założeń, ale dla VPN to krytyczne. VPN zestawia się zazwyczaj z Internetu, a to oznacza, że nie będzie dostępu do CRL i AIA. standardowo SSTP VPN weryfikuje CRL i nie mogąc ich sprawdzić odrzuci połączenie. są opcje:
    • albo poprawi się certyfikaty, umieszczając CRL dostępny z Internetu – co może być dość pracochłonne w ‘żywym’ PKI
    • albo wyłączy się weryfikację CRL dla SSTP VPN. to również może być dość upierdliwe – zarówno dla własnych klientów jak zewnętrznych
    • to, czego nie testowałem, to czy całość zadziała z jakimś certyfikatem self-signed z pustym CRL. to by ułatwiło, ale nie wiem czy jest wykonalne.
  • brak klientów dla urządzeń mobilnych – nawet na Windows Phone. być może będzie klient dla Android – ale to tryb przypuszczający w czasie przyszłym /:

w efekcie: standardowo – jeśli nie wiadomo która opcja, najlepiej użyć obu na raz i włączyć zarówno L2TP jak SSTP. dzięki temu, przy prawidłowej konfiguracji [zwłaszcza w kwestii certyfikatów] klienci firmowi z w7 będą mieli dostęp do sieci LAN nawet będąc gdzieś gdzie są puszczone tylko 80/443, a pracownicy zewnętrzni oraz userzy z XP będą mieli protezę w postaci standardowego L2TP.

eN.

MS Message Analyzer

żeby nie uciekło, taki mały bookmark.

Od lat używam MS Network Monitora, głównie dlatego że potrafię go używać i fajnie grupuje ruch sieciowy. Do tego  jest gotowy do użycia zaraz po instalacji, co nie jest bez znaczenia gdy na obcym środowisku musimy coś szybko sprawdzić.

No i dzisiaj od MSa pojawiła się miła niespodzianka… Microsoft Message Analyzer.

Niby to samo a jednak ładniejsze … co do użyteczności jeszcze daleko mi do ostateczniej opinii .. ale dobrze jest się na co dzień otaczać ładnymi rzeczami ;)

Do ściągnięcia beta oraz, troche dokumentacji oraz prezentacja … zapowiada się dobrze.

https://connect.microsoft.com/site216/Downloads

„…you’ll have to join the Message Analyzer and Network Monitor program to see the downloads and access other parts of or our site…”

jak usunąć nieistniejącą sieciówkę?

można grzebać się po rejestrach – i być może czasem jest to niezbędne:

ale można prościej i bez ryzyka. w starych windows wystarczyło uruchomić managera urządzeń i włączyć widok ukrytych urządzeń. w w7/w2k8 trzeba dodatkowo zastosować drobny trick:

  • uruchom cmd [jako admin]
  • ustaw zmienną środowiskową: set devmgr_show_nonpresent_devices=1
  • odpal managera urządzeń: devmgmt.msc
  • włącz widok ukrytych urządzeń: view-> show hiden devices

i teraz ślicznie widać usunięte siecióki – wystarczy usunąć i ładnie wywalą wszystko co trzeba z rejestru (:

eN

Certificate request processor: object already exists. 0×8009000f (-2146893809)

podczas generowania certyfikatu przy pomocy certreq można natknąć się na taki ciekawy błąd. ciekawy – ponieważ nie mogłem go nigdzie wygooglać a natrafiałem na niego dość często.

błąd pojawia się w momencie, jeśli rozpocznie się generowanie certyfikatu ale z jakiś-tam powodów nie uda się zakończyć. certyfikaty to dziwne zwierzęta i mają legowiska w różnych miejscach systemu. w tym konkretnym przypadku za pierwszym razem wpisałem złą nawę szablony w pliq ini. za drugim wyglądało to tak:

>certreq –new certreq.inf user.req
Active Directory Enrollment Policy
   {GUID}
   ldap:
DumpVarianStringWorker: 0: “…” Certificate request processor: object already exists. 0x8009000f (-2146893809).

i nigdzie odpowiedzi. okazało się, że te konkretne requesty nie są przechowywane jak pan gejst przykazał w rejestrze tylko w %userprofile%AppDataRoamingMicrosoftCryptoRSA{UserSID} – usunięcie tego katalogu wywaliło tymczasowe informacje o starym requescie i całość zahulała

gdzie jeszcze indziej są fragmenty związane z certyfikatami:

  • cache CRL można usunąć ręcznie nie czekają na automatyczne przedawnienie przy pomocy certutil –crlcache * delete
  • klucze prywatne i certy trzymane są w %userprofile%AppDataRoamingMicrosoftSystemCertificates
  • są tam też przechowywane erquesty wygenerowane za pomocą MMC – czyli m.in. klucz prywatny. requesty zresztą widać w MMC ‘certmgr.mmc’ w gałęzi ‘Certificates Enrollment Requests’
  • no i teraz okazuje się że jest jeszcze ten CryptoRSA… o kórym nigdzie się nie doczytałem wcześniej.

eN.

GPP, RDS i zawieszające się sesje

ciekawy przypadek – użytkownicy nie mogą zalogować się do serwera terminalowego, ponieważ sesja zawiesza się na przetwarzaniu polis grupowych. serwer w2k8R2.

kilka ciekawostek:

  • w eventlogu cisza. żadnych błędów
  • nawet część dot. group policy eventvwrapplications and servicesmicrosoftwindowsgrouppolicy nie zawiera żadnych błędów – biało.
  • spodziewałem się, że będzie widoczna sesja usera, jakieś dowiązanie do plików cokolwiek – nihuhu
  • w process explorer nie widać żadnych procesów użytkownika, który się loguje – to dość zrozumiałe i do przełknięcia
  • w RD Managerze widać tą sesję w dość specyficzny sposób – jako ‘disconnected’ i z nieokreślonym statusem, bez nazwy użytkownika. jedyna dostępna opcja to ‘reset’ i jak się można domyślać – nie działa. czyli jedna próba logowania i żeby user mógł się zalogować – restart serwera
  • RSoP nie działa – zwraca timeout
  • jak widać debugowanie jest dość upierdliwe. szczęśliwie szybko wpadłem na pomysł jak sobie z tym poradzić [w dużym środowisq by to nie wyszło q: ] i zlokalizowałem polisę, która powodowała zawieszanie – chodziło o polisę mapująca drukarki mechanizmem Group Policy Preferences.

    biorąc pod uwagę, że użytkownicy normalnie pracują a problem jest tylko na serwerze RDS, udało mi się dojść o co chodzi:

    • drukarka A została dodana via GPP na stacji lokalnej użytkownika
    • ta sama drukarka zawieszała przetwarzanie polis, ponieważ na serwerze terminalowym była równocześnie przemapowywana mechanizmem RDP oraz dodawana dokładnie tą samą polisą.

    robiło się jakieś sprzężenie zwrotne, serwer reagował w głupi sposób, zawieszając cały proces przetwarzania polis.

    rozwiązanie:

    • w GPP do mapowania drukarek został dodany warunek ‘nie uruchamiaj jeśli nazwa netbios komputer = <nazwa RDS>’

    pacjent uratowany.

    eN.

    desktop windows 8

    zacznę od linka do bloga, który powinien być znany każdemu, kto oczekuje [w8] na w8 (; building windows 8 kontynuuje tradycję kontaktu z enduserem podczas fazy beta udostępniając wiele informacji – m.in. telemetrycznych danych dzięki którym mam okazję się przekonać jak nietypowo korzystam z kompa O_o.

    eniłejz, rozgorzała niedawno dysqsja na temat nowego ‘Zenowego’ interfejsu, oficjalnie zwanym ‘Metro’. i tak oto pytanie – jak to będzie z klasycznym desktopem? w zasadzie to, czego można było się spodziewać – będzie i Metro i Classic Desktop. w tym wpisie niezbyt odkrywczo, w potoq zawikłanych zdań autor odkrywa oczywiste, żeby podać nieliczne ciekawe fakty, np:

    “[…] You get a beautiful, fast and fluid, Metro style interface and a huge variety of new apps to use. These applications have new attributes (a platform) that go well beyond the graphical styling (much to come on this at Build).  As we showed, you get an amazing touch experience, and also one that works with mouse, trackpad, and keyboard. And if you want to stay permanently immersed in that Metro world, you will never see the desktop—we won’t even load it (literally the code will not be loaded) unless you explicitly choose to go there!  This is Windows reimagined.”[..]

    szkoda, że nie ma więcej szczegółów, a ja nie mam dostępu do wersji beta tym razem ): czy proces ten to ‘explorer.exe’? bo jeśli tak, to mam nadzieję, że popracowano nad nim mocno – nie tylko dodając nowe funkcje, ale również nad lepszym zachowaniem godnym środowiska wielo-użytkowego: ot, choćby jak odpalić managera plików ‘jako inny user’? o ile ‘dodaj/usuń prg’ w XP dawały możliwość łatwego ‘uruchom jako’ o tyle w w7 już tak łatwo nie jest. jak teraz otworzyć control panel jako inny user? stara sztuczka z XP nie działa – generalnie poza jakimiś zabawami z commandline nie znam możliwości zrobienia tego przy zalogowanym innym userze – proces, nawet jeśli odpalony w kontexcie admina, jest potomnym dla explorer.exe użytkownika zalogowanego – tak zostało przekonstruowane GUI.

    ***UPDATEDo7.o9***

    z całego, imho mocno przydługiego i dość nudnego textu wynika, że Metro będzie podstawowym interfejsem i kierunkiem rozwoju przyszłych interfejsów. nie tylko dla tabletów tak, jak spodziewano się początkowo. explorer jest poprawiony i rozwijany oraz ma ładnie współistnieć z Metro – jak to zresztą widać na dostępnych demówkach – jednak wyraźnie jest spychany, jako dodatek ‘do zachowania kompatybilności’’.

    ja do metra prędko raczej nie wsiądę – nie wyobrażam sobie pracy z takim interfejsem… liczę na to, że nie będzie to specjalnie forsowane rozwiązanie – dużo jednak zależy od telemetrii a więc WYSYŁACIE DANE! NIECH NAS POLICZĄ! (;

    ps. to, co explorerze wiadomo, to:

    • będzie miał wstążkę aka ribbon
    • trochę bardziej zoptymalizowany widok
    • oprócz ‘back’ w końcu pojawi się ‘up’ (:

    eN.