server – Strona 4

Group Policy – fajny tool

kwi 19, 2010d0m3l3 komentarzefreeware, server, tools

Niemiecki zespół odpowiedzialny za GPO wypuścił RC drugiej wersji narzędzi do wyszukiwania konkretnych ustawień GPO. Dostępne jest ono pod adresem http://gps.cloudapp.net/. Zdecydowanie POLECAM zapoznanie się:)

MDT, WDS, PXE i inne dziwne skróty

mar 31, 2010d0m3l2 komentarzearticle, HOWTO, server, windows

Jakiś czas temu (tak na prawdę dawno – pół dekady) Peki oswajał linuksy na RISie http://www.umniedziala.pl/RISaInstalacjiCzescVOswajaniePingwina.aspx. Powoli zbliża się czas aktualizacji komputerów do W7, więc trzeba było pomyśleć nad wdrożeniem Widnows Deployment Services. Żeby było łatwiej – zainstalowałem i skonfigurowałem Microsoft Deployment Toolkit 2010 (posiłkując się między innymi artykułem nexora – http://www.microsoft.com/poland/technet/article/art0173.mspx). Wszytko pięknie. Przygotowałem boot images z zestawem sterowników. Zmodyfikowany customsettings.ini:

[Settings]
Priority=Default
Properties=MyCustomProperty

[Default]
OSInstall=Y
SkipBDDWelcome=NO
SkipProductKey=YES
SkipComputerName=NO
SkipDomainMembership=NO
JoinDomain=pjwstk.edu.pl
DomainAdminDomain=PJWSTK
MachineObjectOU=OU=newstud,OU=TESTOWA,DC=pjwstk,DC=edu,DC=pl
SkipUserData=YES
SkipLocaleSelection=YES
InputLocale=0415:00000415; 0409:00000409; 0411:00000411
KeyboardLocale=pl-PL
UserLocale=pl-PL
SkipTimeZone=YES
TimeZoneName=Central European Standard Time
SkipAdminPassword=YES
SkipBitLocker=YES
DoNotCreateExtraPartition=YES
SkipComputerBackup=YES
SkipFinalSummary=YES
SkipAppsOnUpgrade=YES
SkipCapture=NO
SkipApplications=NO
SkipPackageDisplay=NO
SkipDeploymentType=NO
SkipWizard=NO
SkipSummary=YES
_SMSTSOrgName=PJWSTK
UserDomain=pjwstk

Plik C:Program FilesMicrosoft Deployment ToolkitTemplateswinpeshl.ini zmieniony, żeby wyłączyć F8 (odizolowanie CMD):

[LaunchApps]
%SYSTEMROOT%System32bddrun.exe,/bootstrapNoSF8

Obrazy lite touch dodane do WDS. wszytko się bootuje. instaluje i ogólnie jak w podręczniku :) I tu pierwszy problem – jak zabezpieczyć hasłem serwer WDS? No bo fajnie by było wrzucić na niego DaRT (Software Assurance rządzi ;) ) Z pomocą przyszło forum Social@TechNet :) Johan Arwidmark napisał fajny sposób na podmianę boot loadera na WDS na R2 – http://deployvista.com/Home/tabid/36/EntryID/126/language/en-US/Default.aspx

Z pxelinux dzięki Pekiemu jestem zaznajomiony, więc niewiele myśląc przygotowałem konfigi i działa :D

Jeszcze dwie ciekawostki:

pxeboot haszuje hasła z solą, więc do przygotowywania haseł sugeruję korzystać z dołączonego generatora haszy napisanego w perlu (wymaga libcrypto*)

Serwer WDS standardowo zawiera część funkcjonalności serwera DHCP – odpowiada DHCP Offer z opcją Next server IP address:

Jak widać na obrazku poszły dwie DHCP Offer – pierwsza z WDS, druga z rzeczywistego DHCP-a. Aby temu zapobiec i pozostawić opcje DHCP na jednym pudełku należy na serwerze WDS zaznaczyć opcję “Do not listen on port 67”

To by było na tyle – teraz zostało tylko przygotowanie źródłowego, wielojęzycznego obrazu W7, ale to temat na inny wpis :)

BOOTMGR is missing: smutny żart microsoftu

mar 28, 2010nExoRserver, tips'n'tricks, windows

podczas przenoszenie konfiguracji z pojedynczego dysq na RAID przywitał mnie taki śliczny komunikat: “BOOTMGR is missing”. z podobnymi problemami borykałem się wiele razy, więc pomyślałem sobie “jakiś to problem”… szybko okazało się, że problem jest całkiem niebłahy, a inżynierowie eMeSa zrobili chyba wszystko, żeby to utrudnić.

jak wiadomo od visty/w2k8 zmienił się sposób obsługi startu systemu – zupełnie nowy bootmanager, obsługa GPT itp itd… w moim przypadq był to server w2k8 R2. podstawą jest oczywiście płyta instalacyjna serwera, odpalamy i… upsss…nie ma na płycie serwera opcji reperacji – to pierwsza miła niespodzianka. najwyraźniej ktoś wyszedł z założenia, że serwer się nie psuje albo że admin jako geek poradzi sobie z linii poleceń. no i co ma sobie nie poradzić? przecież wszystkie polecenia znam dobrze:

shift-F10 do konsoli
sprawdziłem katalog boot [nie ma]
skopiowałem pliki z CD do c:boot
bootrec /reinstallbcd

ślicznie. tylko nie działa. no to następnym razem jeszcze /fixmgr oraz /fixboot [z bootrec].. nie działa… google, fora no i w sumie wszyscy podają takie same rozwiązania, i co by nie zrobić nic nie działa – wciąż wita mnie ten sam milusi komunikat. była nawet taka jedna podpowiedź “weź płytę z klientem, odpal, użyj opcji ‘repair startup problems’” – co za lamerka, no ale dobra. spróbowałem… i nadal nie działa.

aż nie trafiłem na tą instrukcję:

1. Boot from your Windows Server 2008 R2 x64 DVD.
2. Repair
3. Command Prompt
Note: I only had one drive and that drive was set for C: as the boot so the setup was fairly basic… if your setup is more complex you may want to consider this a bit more… but it should still work.
4. rename c:bootBCD bcd.old : this will backup your bcd file just in case you want it.
5. Delete c:bootbcd
6. Restart your computer
7. Remove your WS2008R2 DVD and insert the W7x64 DVD.
8. Boot from the DVD and do a repair.
9. It will offer to repair automatically accept.
10. Reboot and this is the "trick" boot the DVD again and do a repair. Keep doing this process until it does not find anything wrong.
11. Your server should boot again.

“wykonuj ten proces póty, póki nie wykryje więcej błędów” – WTF? to jakiś smutny dowcip? no ale kiedy nie ma się nic do stracenia [czasu i tak już straciłem ZA DUŻO] – porestartowałem sobie troszq…

…no i zadziałało! w sumie 4 restarty, 3 reperacje. O CO C’MON?

szukałem dobrego artu na temat reperacji BCD i tego, co się w zasadzie dzieje podczas owej reperacji z płyty – czemu wszystkie opisy pokazują narzędzie bootsect, bootrec, bcdedit, ale żaden nie wskazuje narzędzi wykorzystywanych podczas reperacji tak, jak się dzieje z GUI i w końcu czemu, do cholery czemu! na płycie serwera nie ma tego toola?

to się nazywa poprawić mechanizm bootowania? idealny materiał na podrążenie tematu i opisanie tego porządnie … tylko czasu brak no i jakiś rozwalony komp by się przydał – bo trzeba na czymś testy porobić [chyba wiem, jak to popsuć, ale na pewno na tym serwerze już nie będę testował (; ]

eN.

co znaczy spieprzony interfejs: odzyskiwanie bazy SQL w Backup Exec 2o1o

mar 17, 2010nExoR9 komentarzyHOWTO, server

słyszałem wiele opinii które sprowadzają się do tego, że odkąd symantec przejął Backup Exec produkt zszedł na psy. nie będę tego komentował, ponieważ nie znam linii veritasa sprzed lat, ale sam również korzystam z Backup Exec – obecnie zupgrade’’owanego do najnowszej wersji – 2o1o. najwięcej zmian – w interfejsie oraz cała masa nowych ficzerów. czy na lepsze? imho nakład pracy poszedł w zaspokojenie marketingowych “NEW GREAT FEATURE” zamiast w dopracowanie produktu. taka anegdotka – 3h walki z trywialnym zadaniem: odzyskanie bazy SQL. może o tyle bardziej skomplikowanym, że chodzi o duplikat bazy aby służyła do testów, a więc trzeba przekierować nazwę bazy i katalogów.

Selection

po kilku nieudanych próbach doszedłem do wniosq, iż wykonuję nieprawidłowy backup, ponieważ w selekcji mam zaznaczony tylko backup bazy przez agenta SQL, a nie mam włączonego backupu na poziomie plików. wydawało mi się to bez sensu [i okazało się, że mam rację] – bo odzyskanie bazy na poziomie plików powinno dać z dużym prawdopodobieństwem niekonsystetną bazę. po to przecież jest ten cholerny agent SQL, nie? finalny wniosek: nie trzeba/nie powinno się zaznaczać plików bazy. tutaj jednak przy okazji ciekawostka: pomimo włączenia korzystania z shadow copy, katalogi bazy w medium backupu i tak pozostały puste. wynika to z tego jak działa provider VSS i jak sobie poczytać dokładnie, jest to logiczne i tak powinno być [chociaż trochę dziwi z ogólnych założeń działania shadow copy].

Restore Job

jak powinien wyglądać restore job?

ponieważ ciągle miałem błędy testowałem różne opcje – w tym próbowałem odzyskiwać z wykorzystaniem file redirection, co oczywiście nie miało większego sensu ale ukazało jedną ze wspaniałości interfejsu BE:

cóż to jest za standard zapisu “\Serwer.domena.add:” ? pomieszanie zapisu UNC z lokalnym? no dobra – tutaj nie jest tragicznie ponieważ opcja ‘browse’ wypełnia to sama, i robi to prawidłowo. w tym miejscu okno browse korzysta z predefiniowanej listy selekcji więc można to zrobić szybko. w skrócie: niuans, czepiam się.

w każdym razie file redir nie jest do niczego w tym scenariuszu potrzebny. aby odzyskać bazę należy zaznaczyć samą bazę danych, bez fizycznych plików na dysq:

no i teraz clue całej operacji: jak przekierować prawidłowo bazę?
po pierwsze trzeba wpisać serwer SQL na którym będzie odzyskiwana baza i nazwa samej bazy. początkowo ciągle generował błędy i nie do końca byłem pewien czy ta baza powinna już istnieć czy nie – lepiej nie. ważne jest jednak zaznaczenie opcji nadpisania – pokażę później. jak dotąd wszystko proste i logiczne. to na czym spędziłem dobre 2h to opcja przekierowania plików “destination options” – oczywiste, że nie chcę nadpisać działającej. tylko jak zapisać ścieżkę? pierwsza myśl – UNC. niestety zwracane są błędy. w takim razie guzik browse – skoro ja nie umiem, niech interfejs pomoże. to okienko browse wykorzystuje już wyszukiwanie w sieci – a więc osoby, które mają powyłączane browsery w ogóle nie skorzystają, a dla mnie to było ok. 1o min czekania, aż odpyta się o kompy w domenie. ręcznie wpisać się nie da. po teście cierpliwości wybrałem odpowiedni katalog i q mojemu zaskoczeniu miałem rację – należy wpisać ścieżkę UNC!! mimo wszystko przy próbie odzyskania cały czas generowane są błędy. stąd właśnie pomysł na korzystanie z licznych bezsensownych opcji ‘a nóż tak to wymyślili. po jakimś czasie zdesperowany wpisałem po prostu “D:katalog” – w najgorszym przypadq odzyska mi tą bazę na serwerze backupowym. i okazało się to strzałem w dziesiątkę.

na koniec w części ‘Settings->Microsoft SQL” trzeba zaznaczyć opcję “overwrite existing database” – pomimo, że wcale nieistnieje – w innym wypadq generowany jest błąd, że nazwa bazy ulega zmianie i nie może zapisać… [taka ciekawostka].

pierdoła: niedopracowany interfejs, a kilka godzin straconych nie mówiąc o wzbogaceniu słownika przekleństw. myślę, że wiele firm zrobiłoby dobrze, gdyby kolejna wersja zamiast sqpiać się na nowościach sqpiła się na poprawie spójności interfejsu, kodu, optymalizacji i ergonomii. może trochę kontrowersyjny przykład ale tak, jak to zrobił emes z vistą (;

eN.

MDT Web Frontend – wersja finalna i garść porad

mar 8, 2010d0m3lfreeware, server, tools

Niedawno (1. marca) miała premierę finalna wersja MDT Web Frontend – interfejsu do zarządzania Microsoft Deployment Toolkit 2010 za pośrednictwem protokołu HTTP. Wersję ostateczną (w tej chwili 1.0.1) można pobrać ze stron Codeplex: http://mdtwebfrontend.codeplex.com/. Do produktu dołączona jest także ciągle rozwijana obszerna dokumentacja. Ale oprócz tego autorzy produktu przygotowali także garść porad dotyczących korzystania z Frontendu:

Ogólnie fajny kawałek softu – wprowadza parę funkcjonalności do MDT jak na przykład role based security do obrazów. Polecam :)

IE + ISA = problemy z FTP

lut 22, 2010nExoRserver, w-files

podczas połączenia ftp z IE wyskaqje piękna ramka z pytaniem o user/pass ale…

jesli IE ma skonfigurowane Proxy, to ISA automatycznie przyjmuje standard CERN logując się bez pytania jako anonymous. ramka nie wyskaqje ale…
można nauczyć userów standardu zapisu ścieżki w postaci ftp://user:pass@server.com ale…
jeśli hasło posiada znaki specjalne trzeba zastosować URL encode. jest nawet art na supporcie. ale…
ISA nie potrafi tego najwyraźniej zinterpretować wyrzucając “Error Code: 502 Proxy Error. The password was not allowed.”

efekt taki, że jak w haśle znajdzie się znak specjalny [a przynajmniej % – ten testowałem na wszystkie sposoby] i połączenie jest przez proxy – nie da się skorzystać z FTP.

czasem się zastanawiam czym kierują się developerzy robiąc takie dziwne założenia [ISA].

***UPDATED

znalazłem dla czego i rozwiązanie dla IE7…. a co z ósemką?

eN.

KRB i AES

lut 3, 2010d0m3lsecurity, server

W pewnym momencie na wszystkich W2k8R2 przestało działać podłączanie się do shareów na jednym z węzłów DFS. W dodatku nie działało tylko po nazwie DNS/NetBios. Chwila konsternacji i patrzymy do logów: w security pojawiają się wpisy Authentication Failed EventId 537:

Logon Failure:
     Reason:        An error occurred during logon
     User Name:
     Domain:
     Logon Type:    3
     Logon Process:    Kerberos
     Authentication Package:    Kerberos
     Workstation Name:    –
     Status code:    0xC000006D
     Substatus code:    0x8009030E
     Caller User Name:    –
     Caller Domain:    –
     Caller Logon ID:    –
     Caller Process ID:    –
     Transited Services:    –
     Source Network Address:    10.2.2.27
     Source Port:    0

Dziwne.. ogólnie wygląda jakby serwer nie rozumiał biletu, który dostaje. Szybkie zrobienie klist na R2 i widać, że próbuję dostać się do serwera z access ticketem zaszyfrowanym AES-256 (kontroler domeny, to 2k8R2). Zaraz zaraz… Przecież 2003 nie obsługuje szyfrowania AES. Szybkie przejrzenie KB i wygrzebanie czegoś takiego: http://support.microsoft.com/default.aspx/kb/961302 niby dotyczy klastrów, ale rozwiązanie się sprawdza. na klientów (2008+ i Vista+) nakładamy odpowiednie GPO i śmiga :)

Jeszcze jedna niepokojąca rzecz – drugim węzłem DFS jest 2k8R2, więc replikacja się wywala, bo partner nie może się uwierzytelnić do 2k3. po restarcie powinno zacząć śmigać, jak komputery dostaną nowe bilety.

DPM 2010 – raportowanie i błędy

sty 27, 2010d0m3larticle, security, server, tips'n'tricks

Po świeżej instalacji DPM 2010 beta wszystko działało dobrze tylko raportowanie się wywalało. Przy próbie uruchomienia jakiekolwiek raportu dostawałem śliczny błąd:

An error has occurred during report processing. (rsProcessingAborted)
Cannot impersonate user for data source 'DLS’. (rsErrorImpersonatingUser)
Log on failed. (rsLogonFailed)
Logon failure: the user has not been granted the requested logon type at this computer. (Exception from HRESULT: 0x80070569)

Chwila grzebania i wymyśliłem, że źródło danych dla raportów jest źle skonfigurowane. Niestety URL do Report Managera nie jest standardowy w DPM2010, więc znalazłem go w konfiguracji Reporting Services:

I rzeczywiście nie było źródła DLS, ale za to było jakieś inne. sprawdziłem konfigurację DPMReporterDataSource i wyciągnąłem z niego connection string:

Wyglądał on tak: data source="DPMMSDPMV3Beta1EVAL";persist security info=False;initial catalog=DPMDB

Więc stworzyłem nowe źródło i nazwałem je DLS

Zwróćcie uwagę, że raporty uruchamiają się w kontekście osoby, która go generuje (opcja Windows Integrated Security)

Z tak skonfigurowanym źródłem:

Teraz trzeba zmodyfikować każdy raport ustawiając nowo stworzony obiekt jako źródło danych (we właściwościach każdego raportu wybieramy Data Source i klikamy Browse):

I po takich paru prostych zabiegach raportowanie śmiga aż miło :)

Hyper-V system tray tool

sty 26, 2010d0m3lfreeware, server, tools

jakiś czas temu pisałem o fajnych narzędziach do Hyper-V. Ostatnio znalazłem następne: Hyper-V Tray Manager. Więcej szczegółów i pobieranie tutaj: http://blogs.msdn.com/jorman/archive/2010/01/24/hyper-v-manager.aspx