Blank desktop na W7

UAC czasami przeszkadza – to fakt. Poprawia bezpieczeństwo – to jeszcze bardziej znany fakt (jak mawia Paula – komputer bez UACa, to jak komputer z pustym hasłem dla admina :) )

W Windows Vista UAC powodował czasmi symptom niemożności zalogowania się – objawy jak i ich wyleczenie są opisane w odpowiednich KB:

a co jeśli takie objawy pojawią się na Windows 7? i mamy wyłączonego UACa? i wpisy w rejestrze są ok? i członkowstwo grup się zgadza?

Odpowiedzi szukałem 3 godziny – App Locker – bez włączony podstawowych (Default) reguł explorer nie potrafi uruchomić C:Windowssystem32userinit.exe ^^

[SOLVED] (^~^)/

Microsoft Management Summit 2010 – posumowanie konferencji

Repost z Polskiego Bloga System Center

Po raz kolejny w Las Vegas odbyła się największa, zorientowana na technologie Microsoft, konferencja poświęcona zarządzaniu infrastrukturą. Fani i wielbiciele rodziny System Center zawsze śledzą wydarzenia z MMS-a ze sporą uwagą, ponieważ większość premier System Centrowych ma miejsce właśnie na tej konferencji. Oprócz tego można tam zobaczyć wiele nowości i pokazów przedpremierowych (beta, alpha, Milestone). Oczywiście większość wiadomości można przeczytać w innych miejscach, ale postanowiłem tutaj zebrać wszystkie i postarać się je skomentować.

  1. Premiery – MMS to jak wspomniałem, to przede wszystkim premiery. Pod tym względem konferencja zdecydowanie nie zawiodła: zostały ogłoszone dostępności finalnych wersji trzech produktów
    1. Data Protection Manager 2010 – udostępnienie szerokiej publice wersji Trial; pełna instalacja będzie dostępna w ciągu paru tygodni na TechNet/MSDN/MVLS
    2. System Center Essentials 2010 – dostępność jak powyżej, co nie dziwi ponieważ premiera obu produktów była wspólna
    3. System Center Service Manager 2010 – Pełna wersja ma się pojawić najpóźniej 1. czerwca, czyli po dacie ogólnej dostępności (General Availability). Oprócz dostępności samego produktu pojawił się nowy Compliance Pack spełniający normy amerykańskich ustaw o bezpieczeństwie.
  2. Plany na 2011 – Pokazano roadmapę produktową na rok 2011. Pojawią się wtedy wersje vNext produktów: Operations Manager, Virtual Machine Manager, Configuration Manager. Pod koniec przyszłego roku można spodziewać się także: Service Manager R2, Windows Intune V1, oraz dużych aktualizacji: Data Protection Manager, Forefront Endpoint Protection, System Center Essentials
  3. Bety: udostępniono szerokiej publice także szereg produktów w wersjach beta:
    1. Configuration Manager R3 – w tym roku MMS biegł się w czasie z zielonym tygodniem (kończącym się Dniem Ziemi), więc nie było żadną niespodzianką, że w SCCM R3 położony główny nacisk na oszczędności energii zgodnie z hasłem “Zielone IT”; link do bety na Connect: https://connect.microsoft.com/site16
    2. Windows InTune – nowe rozwiązanie oparte o System Center Online służące do zarządzania środowiskiem w oparciu o chmurę. Z ciekawostek warto zaznaczyć, że kupując InTune dostanie się dostęp do Windows 7 Enterprise (jako upgrade) oraz MDOP (dotychczas dostępny tylko w ramach Software Assurance). Mnie osobiście miło zaskoczył fakt, że w pakiecie InTune jest także zawarty komponent antywirusowy. Poniżej tabelka porównująca funcje produktu:
      image
  4. SCOM vNext – nowa wersja oprogramowania monitorującego skupiać się będzie przede wszystkim na wdrożeniach w chmurze.
    • Ujednolicone monitorowanie wnętrza organizacji oraz elementów hostowanych w infrastrukturze rozproszonej, co zapewni możliwość hybrydowych wdrożeń “chmurowych”
    • Zorientowane na usługi monitorowanie macierzy i zasobów sieciowych
    • Monitorowanie usług chmurowych oparte o syntetyczne transakcje
    • Integracja przepływów pracy opartych o Opalis (pierwsze przykłady zastosowania Opalis w SCOM już można zobaczyć na wersji 2007 R2)
    • Usunięcie sekcji Authoring (zostanie przeniesiona do osobnej Authoring Console) a dodanie Modeling Configuration.
    • Interfejs oparty na wstążce (Ribbon)
  5. SCVMM vNext – tutaj postawiono także na cloud computing:
    • Polepszone wsparcie wirtualizacji aplikacji
    • Przystosowanie do budowy prywatnych chmur
    • Serwisowanie wyłączonych maszyn wirtualnych – aktualizacje, oprogramowanie, dostosowywanie obrazów, ulepszone wdrażanie, komunikacja ze WSUS, a co za tym idzie “łatanie” maszyn na bieżąco
    • Zastosowanie techniki Drag&Drop do budowy wielopoziomowej infrastuktury
    • Interfejs oparty na wstążce (Ribbon)
  6. SCCM vNext – małe odchylenie – nie będzie o chmurze :) W kolejnej wersji SCCM-a zobaczymy jak ładnie Opalis zintegrował się z nowym softem, czyli User Centric, and System Center Configuration Manager vNext. Oprócz tego SCCM da możliwość wdrażania wirtualnych aplikacji z Citrix XenApp, a jego interfejs będzie oparty o… TAK! Ribbon-a! :)
  7. Wydanie finalnej wersji SCCM Dashboard – zdecydowanie fajne narzędzie, które za darmo niesamowicie rozszerza możliwości raportowania w SCCM
  8. Hyper-V – na MMS oficjalnie pokazano jak SP1 do Windows Server 2008R2 doda funkcjonalność Dynamic memory (ustawienie maszynie wirtualnej więcej RAM-u niż jest dostępne na hyperwizorze)
  9. Forefront – trochę nie na miejscu, bo nie ta rodzina produktów, ale na tegorocznym MMS wyszły dwie bardzo przykre rzeczy dotyczące Forefront Protection Manager i Forefront Endpoint Protection:
    1. Forefront Protection Manager, dawniej “Stirling” został całkowicie SKASOWANY. Do zintegrowanego zarządzania Forefront Protection for Exchange i Forefront Protection for Sarepoint będzie służyć stara konsolka Forefront Server Security, do której zostanie wydany Service Pack, aby uwzględnić obsługę nowych produktów – co ciekawe, bo konsolka ta występuje tylko w wersji x86… Zobaczymy co z tego będzie
    2. Forefront Endpoint Protection został przesunięty na Q3/Q4 2010 i będzie wydany TYLKO jako dodatek do SCCM. I o ile skasowanie FPM jestem w stanie zrozumieć (kolosalny produkt, który można zastąpić wydaniem Management Packów do SCOM), to okrojenie (bo to jest okrojenie – sprowadzenie całego produktu do rangi Feature Packa) następcy Forefront Client Security jest IMHO strzałem w kolano.

I to by było na tyle podsumowania. w Las Vegas działo się zdecydowanie więcej, ale powyższy tekst będąc tylko krótkim podsumowaniem nie próbuje nawet pokryć całości zagadnienia.

Źródła:

Filmiki z Keynotami z obu dni konferencji:

częściowe podsumowanie konferencji:

Get Microsoft Silverlight

Majówka Technologiczna 2010

Polska Grupa System Center i Łódzka Grupa Profesjonalistów IT i .NET mają przyjemność zaprosić wszystkich chętnych na majowe spotkanie dla pasjonatów technologii Microsoft.

Miejsce: Warszawa, ul. Koszykowa 86; siedziba Polsko-Japońskiej Wyższej Szkoły Technik Komputerowych

Czas: 2. maja 2010r. (niedziela) godzina 11:00

Rejestracja: ze względu na to, że jest to środek długiego weekendu majowego, nie planujemy żadnej rejestracji. Jedynie prosimy o przysłanie wcześniej maila na adres d0m3l@pjwstk.edu.pl z informacją o planach przybycia – to tylko ze względu na to, żeby nie zabrakło jedzenia :)

Agenda: Tutaj zaznaczamy, że agenda jest zaplanowana w sposób mało restrykcyjny i może ulec zmianie pod wpływem Waszych porad i zainteresowań

Godzina

Prezentacja

11:00

Życie między bitami okiem humanistki– Justyna Spychała – opowieść o tym, jak kobieta będąca jednocześnie humanistką, radzi sobie w świecie konsol MMC i ramek Ethernetowych

11:45

Przerwa i networking

12:00

Przegląd sposobów wdrażania systemów Windows – Jacek Doktór [MVP] i Daniel Stefaniak – Liderzy Polskiej Grupy System Center opowiedzą ja szybko i wydajnie wdrażać Windowsy za pomocą darmowych narzędzi takich jak Windows Deployment Services i MDT. Nie będą się ograniczać do najnowszych wersji systemów, ale także opowiedzą jak sobie radzić z wdrażaniem Windows XP, Windows Server 2003 i  Windows 2000

13:00

Przerwa i networking

13:15

Wprowadzenie do System Center Virtual Machine Manager – Dariusz Porowski – Lider grupy łódzkiej opowie jak działa SCVMM i jak wydajnie go wykorzystywać w przedsiębiorstwie

14:15

Przerwa obiadowa – czekamy na sugestie dotyczące menu, bo chyba wszycy mamy dość pizzy z Pizza Hut ;)

15:30

Warsztaty – W tym momencie uczestnicy dzielą się na dwie grupy i przechodzą doi sal laboratoryjnych gdzie będą mogli zobaczyć w działaniu omawiane wcześniej produkty i technologie. Zajęcia będą się obywać na maszynach wirtualnych i mają za zadanie zaznajomić uczestników z działaniem, obsługą i wdrażaniem WDS, MDT i SCVMM

17:30 -18:00

Zakończenie – tutaj godzina nie jest mandatoryjna – mamy uczelnię dla siebie do końca dnia :)

Podkreślamy, że wydarzenie ma charakter bardzo nieformalny, więc kapelusze z szerokim rondem i szorty będą mile widziane :D

Serdecznie zapraszamy i do zobaczenia w maju!

PS. Dziękujemy Polsko-Japońskiej Wyższej Szkole Technik Komputerowych za udostępnienie miejsca.

MDT, WDS, PXE i inne dziwne skróty

Jakiś czas temu (tak na prawdę dawno – pół dekady) Peki oswajał linuksy na RISie http://www.umniedziala.pl/RISaInstalacjiCzescVOswajaniePingwina.aspx. Powoli zbliża się czas aktualizacji komputerów do W7, więc trzeba było pomyśleć nad wdrożeniem Widnows Deployment Services. Żeby było łatwiej – zainstalowałem i skonfigurowałem Microsoft Deployment Toolkit 2010 (posiłkując się między innymi artykułem nexora – http://www.microsoft.com/poland/technet/article/art0173.mspx). Wszytko pięknie. Przygotowałem boot images z zestawem sterowników. Zmodyfikowany customsettings.ini:

[Settings]
Priority=Default
Properties=MyCustomProperty

[Default]
OSInstall=Y
SkipBDDWelcome=NO
SkipProductKey=YES
SkipComputerName=NO
SkipDomainMembership=NO
JoinDomain=pjwstk.edu.pl
DomainAdminDomain=PJWSTK
MachineObjectOU=OU=newstud,OU=TESTOWA,DC=pjwstk,DC=edu,DC=pl
SkipUserData=YES
SkipLocaleSelection=YES
InputLocale=0415:00000415; 0409:00000409; 0411:00000411
KeyboardLocale=pl-PL
UserLocale=pl-PL
SkipTimeZone=YES
TimeZoneName=Central European Standard Time
SkipAdminPassword=YES
SkipBitLocker=YES
DoNotCreateExtraPartition=YES
SkipComputerBackup=YES
SkipFinalSummary=YES
SkipAppsOnUpgrade=YES
SkipCapture=NO
SkipApplications=NO
SkipPackageDisplay=NO
SkipDeploymentType=NO
SkipWizard=NO
SkipSummary=YES
_SMSTSOrgName=PJWSTK
UserDomain=pjwstk

Plik C:Program FilesMicrosoft Deployment ToolkitTemplateswinpeshl.ini zmieniony, żeby wyłączyć F8 (odizolowanie CMD):

[LaunchApps]
%SYSTEMROOT%System32bddrun.exe,/bootstrapNoSF8

Obrazy lite touch dodane do WDS. wszytko się bootuje. instaluje i ogólnie jak w podręczniku :) I tu pierwszy problem – jak zabezpieczyć hasłem serwer WDS? No bo fajnie by było wrzucić na niego DaRT (Software Assurance rządzi ;) ) Z pomocą przyszło forum Social@TechNet :) Johan Arwidmark napisał fajny sposób na podmianę boot loadera na WDS na R2 – http://deployvista.com/Home/tabid/36/EntryID/126/language/en-US/Default.aspx

Z pxelinux dzięki Pekiemu jestem zaznajomiony, więc niewiele myśląc przygotowałem konfigi i działa :D

image

Jeszcze dwie ciekawostki:

pxeboot haszuje hasła z solą, więc do przygotowywania haseł sugeruję korzystać z dołączonego generatora haszy napisanego w perlu (wymaga libcrypto*)

Serwer WDS standardowo zawiera część funkcjonalności serwera DHCP – odpowiada DHCP Offer z opcją Next server IP address:

image 

Jak widać na obrazku poszły dwie DHCP Offer – pierwsza z WDS, druga z rzeczywistego DHCP-a. Aby temu zapobiec i pozostawić opcje DHCP na jednym pudełku należy na serwerze WDS zaznaczyć opcję “Do not listen on port 67”

image

To by było na tyle – teraz zostało tylko przygotowanie źródłowego, wielojęzycznego obrazu W7, ale to temat na inny wpis :)

MDT Web Frontend – wersja finalna i garść porad

Niedawno (1. marca) miała premierę finalna wersja MDT Web Frontend – interfejsu do zarządzania Microsoft Deployment Toolkit 2010 za pośrednictwem protokołu HTTP. Wersję ostateczną (w tej chwili 1.0.1) można pobrać ze stron Codeplex: http://mdtwebfrontend.codeplex.com/. Do produktu dołączona jest także ciągle rozwijana obszerna dokumentacja. Ale oprócz tego autorzy produktu przygotowali także garść porad dotyczących korzystania z Frontendu:

Ogólnie fajny kawałek softu – wprowadza parę funkcjonalności do MDT jak na przykład role based security do obrazów. Polecam :)

Speaker Idol na C2C’2010

Właśnie ogłoszono, że na tegorocznym C2C, który odbędzie się 17. kwietnia, zostanie przeprowadzony konkurs Speaker Idol. Przedruk z oficjalnej strony konferencji:

Mamy przyjemność już po raz trzeci zapowiedzieć konferencję C2C (Communities to Communities ), tym razem będzie to edycja 2010, która odbędzie się 17 kwietnia 2010 r. w Warszawie. Ruszamy z trzema ścieżkami (.NET, Bazy danych, IT PRO) – czyli każdy znajdzie coś dla siebie :)
Podobnie jak przy konferencjach C2C 2008 i 2009, tak i teraz zapraszamy do uczestnictwa w konkursie Speaker Idol. Wszyscy zainteresowani proszeni są o przesłanie 5-10 minutowego nagrania z propozycją sesji, którą chcieliby poprowadzić w czasie konferencji. Warunkiem uczestnictwa w konkursie jest nadesłanie swojego zgłoszenia do dnia 28.02.2010r. na adres si@c2c.org.pl. Spośród nadesłanych nagrań, komisja wybierze 3 najlepszą propozycje, po jednej z każdej ze ścieżek, a zwycięzcy poszczególnych ścieżek zostaną prelegentami na konferencji C2C’10.

I jeszcze mały “Easter Egg” – oprócz mnie będzie tam można spotkać jeszcze jedną osobę z w-files :) Czy się ujawni, to już zależy od niego ;)

KRB i AES

W pewnym momencie na wszystkich W2k8R2 przestało działać podłączanie się do shareów na jednym z węzłów DFS. W dodatku nie działało tylko po nazwie DNS/NetBios. Chwila konsternacji i patrzymy do logów: w security pojawiają się wpisy Authentication Failed EventId 537:

Logon Failure:
     Reason:        An error occurred during logon
     User Name:   
     Domain:       
     Logon Type:    3
     Logon Process:    Kerberos
     Authentication Package:    Kerberos
     Workstation Name:    –
     Status code:    0xC000006D
     Substatus code:    0x8009030E
     Caller User Name:    –
     Caller Domain:    –
     Caller Logon ID:    –
     Caller Process ID:    –
     Transited Services:    –
     Source Network Address:    10.2.2.27
     Source Port:    0

Dziwne.. ogólnie wygląda jakby serwer nie rozumiał biletu, który dostaje. Szybkie zrobienie klist na R2 i widać, że próbuję dostać się do serwera z access ticketem zaszyfrowanym AES-256 (kontroler domeny, to 2k8R2). Zaraz zaraz… Przecież 2003 nie obsługuje szyfrowania AES. Szybkie przejrzenie KB i wygrzebanie czegoś takiego: http://support.microsoft.com/default.aspx/kb/961302 niby dotyczy klastrów, ale rozwiązanie się sprawdza. na klientów (2008+ i Vista+) nakładamy odpowiednie GPO i śmiga :)

Jeszcze jedna niepokojąca rzecz – drugim węzłem DFS jest 2k8R2, więc replikacja się wywala, bo partner nie może się uwierzytelnić do 2k3. po restarcie powinno zacząć śmigać, jak komputery dostaną nowe bilety.

DPM 2010 – raportowanie i błędy

Po świeżej instalacji DPM 2010 beta wszystko działało dobrze tylko raportowanie się wywalało. Przy próbie uruchomienia jakiekolwiek raportu dostawałem śliczny błąd:

An error has occurred during report processing. (rsProcessingAborted)
Cannot impersonate user for data source 'DLS’. (rsErrorImpersonatingUser)
Log on failed. (rsLogonFailed)
Logon failure: the user has not been granted the requested logon type at this computer. (Exception from HRESULT: 0x80070569)

Chwila grzebania i wymyśliłem, że źródło danych dla raportów jest źle skonfigurowane. Niestety URL do Report Managera nie jest standardowy w DPM2010, więc znalazłem go w konfiguracji Reporting Services:

image

I rzeczywiście nie było źródła DLS, ale za to było jakieś inne. sprawdziłem konfigurację DPMReporterDataSource i wyciągnąłem z niego connection string:

image

Wyglądał on tak: data source="DPMMSDPMV3Beta1EVAL";persist security info=False;initial catalog=DPMDB 

Więc stworzyłem nowe źródło i nazwałem je DLS

image

Zwróćcie uwagę, że raporty uruchamiają się w kontekście osoby, która go generuje (opcja Windows Integrated Security)

Z tak skonfigurowanym źródłem:

image

Teraz trzeba zmodyfikować każdy raport ustawiając nowo stworzony obiekt jako źródło danych (we właściwościach każdego raportu wybieramy Data Source i klikamy Browse):

image

I po takich paru prostych zabiegach raportowanie śmiga aż miło :)

image