Skip to Content

IT nieuczesane.
category

Category: windows

Microsoft Security Essentials PL

W tzw. międzyczasie pojawił się Microsoft Security Essentials PL. Niby nie ma się co ekscytować bo wersja angielskojęzyczna jest już jakiś czas dostępna, ale mimo wszystko jest przyjemnie, że ktoś pomyślał w końcu o nasz, bo do tej pory żeby ściągnąć ów produkt trzeba było końbinować [od kombinowania jak koń pod górę ;)] z ustawieniami regionalnymi przeglądarki zmieniając je na en-[cośtam] bo inaczej serwer małego i miękkiego stwierdzał, ze to nie jest produkt na nasz rynek… No cóż, lepiej późno niż wcale, samo oprogramowanie ma z grubsza ten sam silnik co FCS co jak moje doświadczenia pokazują gwarantuje małe zużycie zasobów i niewidoczną [aczkolwiek skuteczną wedle testów] z punktu widzenia użytkownika pracę.

W tym momencie kompletnie nie widzę celu w kupowaniu abonamentów na produkty konkurencji. I co ciekawe uaktualnia sie sam, korzystając z API dodanego do WU/MSU całkiem niedawno. Czyli ściąganie poprawek do systemu i aplikacji MS może być opcjonalne a definicje AV będą aktualne. Czyż nie o to prosił kiedyś nasz szanowny Nexorrrrrr? ;) Mówisz – masz ;d

Windows logon: kolejna tajemnica.

Sytuacja:
Serwer: W2K8 (Standard)
Klient: W7 / VISTA
Z klienta, łączymy się po rdp do serwera. Wyskakuje od razu okno do podania użytkownika i hasła.
Trik: jeśli hasło wkleimy za pomocą CRTL+V, wszystko ok, jeśli za pomocą SHIFT+INS: nie działa, system informuje o nieprawidłowym haśle.
Jest to tym bardziej, dziwne, że w całym systemie skrót SHIFT+INS funkcjonuje prawidłowo, nawet w polu nazwy użytkownika.
Owszem problem, nie wymaga krytycznej poprawki i natrafi na niego jedynie znikomy odsetek korzystających ze starego jak świat, jeszcze dosowego skrótu SHIFT+INS…. ale bug znaleziony :-)

Windows 7 pass crack

Mniejsza o powód, każdy prędzej czy później będzie musiał dostać się do systemu windowsowego.
Nie wiem na czym polega magia windows 7, którą podobno przepisano od podstaw, nie obchodzi mnie to, a nawet lepiej że tak jest.
Fakt, faktem, iż na stronie http://pogostick.net/~pnh/ntpasswd/
znajdujecie 3MB obraz ISO, który po wypaleniu na płytę i zbootowaniu dowolnej maszyny resetuje hasło.
Działa na (za autorem): NT 3.51, NT 4 (all versions and SPs), Windows 2000 (all versions & SPs), Windows XP (all versions, also SP2 and SP3), Windows Server 2003 (all SPs), Vindows Vista 32 and 64 bit (SP1 also), Window 7 (all variants). Some say also Windows Server 2008 is OK.
Ja testowałem na: 2000, XP, SRV2003, Vista, 7. Nie muszę dodawać, że z sukcesem.
Czas ściągnięcia: 15 sekund, bootowanie systemu: 15 sekund, restet hasła: 15 sekund. Wrażenia: bezcenne.
System to oczywiście jakiś linuks, ale na tyle prosto to wszystko jest przygotowane, że osoba mająca minimum pojęcia ogarnie to w parę chwil. Spece tacy jak my :-) z zamkniętymi oczami. Narzędzie, jako jedyne, ANI RAZU mnie nie zawiodło, nie zależnie czy to dysk IDE, SATA, czy stary złom, czy nowiutki Dell. Całkowicie za darmola. Szacunek dla autora.
Bezpośredni link do ISO: http://pogostick.net/~pnh/ntpasswd/cd080802.zip

Windows 7 logon screen – WTF?

Czy ja jestem pierwszy, który dodaje W7 do domeny?
Co oni zrobili z tym ekranem logowania? Wiem że tak podobnie było w Viście (udało się nie dodawać u żadnego klienta do domeny), ale to jakaś masakra jest:
1 mogę wpisać tylko usera i hasło, domene/lokalny komputer podpowiada sam – najczęściej nie tak jakbym chciał
2 muszę wpisać za każdym razem od początku nazwę domeny, jeśli poprzednio logowałem się lokalnie
3 muszę pamiętać jaka jest nazwa komputera, jeśli chce się do niego zalogować lokalnie, problem często jest nie tyle z wpisanie, co z pamiętaniem. Teoretycznie, jak siadam do komputera, to nie wiem jaką ma nazwę (mam z akruszem inwentaryzacyjnym chodzić?), jeśli nie jest opisany (laptopy standardowo opisane są od spodu).
4 udało mi sie dotrzeć do ustawienia, gdy były „aktywne” dwa obrazki z kontami (admin i administrator) i nie mogłem zrobić „zaloguj innego użytkownika), a przed chwilą sam wylogowałem się z jednego z kont…
5 może komuś pomaga – ale są dostępne opcje zmiany języka i układu klawiatury podczas logowania – nim dotarłem, do „globalnych ustawień klawiatury i języka dla ekranu logowania” zablokowałem sam sobie kilka razy konto domenowe, bo układ klawiatury akurat nie był taki jak myślałem.

Sprawy może dość banalne, ale ilość tego zaskoczyła mnie, bo nie wpadłem, na ile różnych problemów można się natknąć już przy ekranie logowania… Poza tym, ciśnie się jedno: DLACZEGO? Dlaczego poprawione zostało coś, co naprawdę działało sprawnie, wygodnie i dobrze?
O ile pkt 1, 2, 5 po prostu są upierdliwe i wydłużają czas pracy, zamiast go skracać, to pkt 3 jest zwyczajnym rozwaleniem roboty – jak mam pamiętać, albo skąd mam wziąć nazwę niezalogowanego komputera (help?), a pkt 4 wygląda na zwyczajnego buga.

Jeśli miało być lepiej, to dlaczego nikt nie pomyślał ostrzeżeniu że „masz wciśnięty NumLock”? Co drugi user, który dostaje nowy laptop ginie przy pierwszym zetknięciu z tym problemem. ..

Bardzo wolno działające RDP

Ostatnio przyjechał do nas projektor Dell 4610X – małe czarne pudełko z antenką wifi.

Działa to w ten sposób, że użytkownik łączy się za pomocą przeglądarki z urządzeniem, ściąga aplikacje, uruchamia … i już można prowadzić prezentacje wyświetlając jednocześnie obraz z 4 komputerów – fajnie….. fajnie by było… gdyby  nie to, że wpadliśmy z kumplem na pomysł  aby przetestować czy ta aplikacja będzie działać z maszyn w oddziale z innego miasta (oddziały połączone dedykowanym łączem, na brzegach ISA 2006) i czy nie trzeba będzie rzeźbić czegoś na firewallach.

Tak więc, za wiele nie myśląc, otworzyliśmy pierwszą lepszą aktywną sesję RDP z maszyną z innego miasta, uruchomiliśmy przeglądarkę, ściągnęliśmy soft, odpaliliśmy i …. świat zwolnił – praca po RDP przypominała pracę na modemie 56K z włączonymi wszystkimi wodotryskami.  Ekran odświeżany co kilkanaście sekund, reakcja myszki nie wiele szybsza. Mówiąc krótko – nie da się pracować.

Eeee – pomyśleliśmy – pewnie trafiliśmy akurat na jakiś pik, albo chłopaki po drugiej stronie akurat coś robią na serwerze. Spróbujmy na innym… a więc szybkie logowanie, przeglądarka, uruchomienie softu …. I kurde znowu to samo – wszystko zwalnia niemiłosiernie …  :/

 

Podsumowując: rozwalone dwa serwery produkcyjne w niewiele ponad 2 minuty – myślę, że to całkiem niezły wynik ;-)

 

No ale koniec śmiechów – trzeba to przecież jakoś naprawić.

 

Oczywiście próba odinstalowania aplikacji nic nie pomogła, wyczekiwane okienko czasowe  na  restart serwerów również. Fiaskiem skończyły się też telefony do supportu Dell’a i zaklinanie laleczki voodoo.

 

Dwa dni później, po postawieniu testowej wirtualki i prześledzeniu zmian jakie wprowadziła ta aplikacja do systemu doszedłem co jest grane. Przyczyną okazało się zmienienie poziomu akceleracji dla RDP Display Driver (RDPDD.DLL)  przez aplikacje z projektora Della, a dokładniej nie przywracanie jej wcześniejszego stanu po odinstalowaniu aplikacji .

 

Wartość tą ustawia się w rejestrze, w gałęzi:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRDPDDDevice0

 

Wystarczy zmienić wartość Acceleration.Level (DWORD) na 0

0 – Pełna akceleracja

5 – Brak akceleracji

 

To tyle, jedna mała aplikacja wycięła mi dwa dni życia.

 

Swoją drogą, to nie udało nam się podłączyć projektora między miastami, ale to wbrew pozorom temat na zupełnie inną opowieść.

 

Mały quiz na koniec: która z sytuacji, z opisanych w tej historyjce, nie powinna się nigdy wydarzyć i świadczy o niekompetencji adminów? ;-)

Sharepoint i nie otwierający się site

Po ostatnich aktualizacjach przestał działać jeden site na Sharepoint, klient dostawał:
Internet Explorer cannot display the webpage
i na tym się kończyło, żadnego wpisu do logów, HTTPERR puste, słowem nic.
Jedyny niepokojący wpis to event 36870
A fatal error occurred when attempting to access the SSL server credential private key. The error code returned from the cryptographic module is 0x8009030d. The internal error state is 10001.

Po zmianie certyfikatu na inny wszystko działało (oczywiście poza tym, że certyfikat był zły i przeglądarce się to nie podobało) a po wróceniu na właściwy dalej było źle.
Przydatny okazał się artykuł: http://support.microsoft.com/kb/278381 i nadanie uprawnień, które odebrały aktualizacje :)

VPN is down

Na początku września firmowy VPN (ISA – IAS) przestał działać. W sumie to tak  nagle … to znaczy rozwalił się niby IAS (ale to prosta usługa, to ją podnieśliśmy) no i ciągle coś się robi na GW … ale wyglądało to na niezwiązane. Być może nastąpiło po jakimś restarcie.

Efekt dziwny… User autoryzuje się na ISA, przechodzi przez wszystkie reguły IAS, dostaje dwa 0 (to dobrze) po czym na kliencie, pojawia się komunikat, że hasło jest złe, lub system nie wspiera takiej metody autoryzacji. Żeby było weselej, autoryzacja przebiegała za pomocą EAP i smardcard na tokenach, a dwa miesiące wcześniej zmienialiśmy główny certyfikat. SPRAWDZILIŚMY WSZYSTKO!!!! (jak się później okazało prawie). Gość od ISA, powiedział że pier%^&oli on się już na ISA nie zna, gość od Certów, że wszystko jest dobrze i żeby się od niego odpier&%&^ a gość od radiusa, że to jakiś demon jest, bo na IAS wszystko działa. Przenosiliśmy IAS na dwa różne serwery, kombinowaliśmy z VPNami na 100 różnych sposobów … nic nie znaleźliśmy. W końcu pozostała konfiguracja ISA 2006 i NPS na W2k8 (wiem już o nim chyba wszystko … durne zwierze!!!!!). ISA Autoryzowała w AD, NPS pokazywał dwa 0 (to nadal dobrze) a klient dostawał cały czas ten sam komunikat.

To był miesiąc walki, przerzucania winy, karania niewinnych, motywowanie niezaangażowanych … postanowiliśmy zgłosić task do supportu MS. Bo jedyne co nam przychodziło do głowy, to że penie gdzieś w HKLM trzeba zmienić parametr VPN_TET342342DYEIDi z 77ff389 na 11ffee. Czuliśmy się bezradni. Niby wszystko działa… a nie działa.

Task zgłosiliśmy na początku października. Przez 3 miesiące zmieniano nam kilku konsultantów, eskalowano, do Indii, gdzie oczywiście powiedzieli, że nic nie kumają i w końcu temat trafił z powrotem do Polski. Każdy nowy konsultant zaczynam od tego samego … proszę uruchomić TO i TO i to … to coś wygeneruje 1000MB logu .. I proszę to przesłać TU … (godzinny proces). Nie ukrywam … szlag mnie trafiał … eskalowaliśmy, prosiliśmy, opieprzaliśmy … w końcu odmówiłem kolejnego zbierania logów, dopóki na podstawie poprzednich, nie przejdziemy chociaż krok dalej.

Szału prawie dostałem jak tydzień temu konsultant zadał mi pytanie wskazujące na problem z MTU.

Oczywiście Qrwa że sprawdziłem MTU. Zawsze to robię … współpracujemy z połową świata, mają różne porąbane sieci … wiem co to MTU i Qrwa wszędzie mam  1500. I miałem. Tylko Sprytny pan Rafał z MS, zauważył w ruchu sieciowym, że moja ISA nie fragmentuje pakietów większych niż 1500 bajtów.  Więc jeśli po pingu większym (ping -f -l 1505 host) dostaniecie” Request time out” zamiast „Packet needs to be fragmented but DF set.” wróży to problemy ;)

 

Zmieniłem stery NICa (w razie czego), zmieniłem ustawienie JumboFrames (to raczej bez znaczenia – chyba) i zastosowałem rozwiązanie MSa… czyli takie jakiego się spodziewaliśmy ;p

 

Dodnie wpisu do rejestru

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicestcpipparameters

Value Name: EnablePMTUBHDetect

Data Type: REG_DWORD

Value: 1

 

VPNy ruszyły.

Wniosek … Network Monitor prawdę ci powie. Tylko tam można było wywnioskować, że w trakcie ” „Access-challenge ” jeden z pakietów był dropowany.

FCS – zawartość aktualizacji definicji

Jakiś czas temu zastanawiałem się co siedzi w aktualizacjach bazy wirusów w Forefroncie. i jak się okazuje jest KB na ten temat: http://support.microsoft.com/default.aspx?scid=kb;en-us;977939 :)

Outlook 2007 – PDF Preview

Dostałem kolejny raport z banku i wkurzało mnie, że muszę oglądać PDF-y w zewnętrznym programie. Po chwili grzebania w sieci znalazłem coś takiego: http://timheuer.com/blog/archive/2007/02/27/14001.aspx. Teraz PDF-y i GhostScripty otwierają się wewnątrz Outlooka :)

PS. Działa na 2008R2 i W7 :D

Office 2010 – ceny

M$ wreszcie ujawnił ile będzie kosztować Office 2010:

Office 2010 - ceny

Wreszcie poszli po rozum do głowy i zrobili osobną licencję dla studentów i osobną dla reszty ciała uczącego się. Co nie zmienia faktu, że publisher i access kosztują 150USD…