View Łukasz Herman's LinkedIn profileView my profile

statystyki www stat.pl

Windows Server

środa, 21 września 2011

Rozpoczęcie pracy z PowerShellem nie jest moim zdaniem proste. Przynajmniej ja miałem duży problem zanim zrozumiałem jak to mniej więcej działa.

Najważniejszą informacją jest to, że w Windows 7 i Windows Server 2008 R2 znajduje się domyślnie zainstalowany PowerShell 2. Ponadto mamy również dostęp do przydatnego edytora skryptów - Windows PowerShell ISE. Warto o tym wiedzieć, bo ja dotąd ręcznie szlifowałem skrypty w Notepad++ nie zdając sobie sprawy, że mam lepsze narzędzie pod nosem ;)

Druga sprawa to uruchamianie skryptów. Domyślnie, jeżeli mam skrypt w pliku tekstowym, nie możemy go uruchomić w najprostszy sposób. Jest to zabezpieczone w odpowiedni sposób, żeby przypadkiem nieświadomie nie uruchomić jakiegoś skryptu. Dlatego często tworzę sobie specjalny skrót uruchamiający skrypt:

%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy bypass -noexit -File script.ps1

PowerShell posiada wiele modułów, w tym do zarządzania Active Directory lub Exchange. Jeżeli znajdziemy w internecie skrypt korzystający z tych modułów, może się okazać że u nas to nie chce działać.

Wynika to z braku zaimportowanych modułów. Możemy zaimportować je ręcznie, bądź skorzystać z specjalnej, predefiniowanej konsoli PowerShella, która automatycznie ładuje potrzebne moduły. Po instalacji AD lub Exchange, pojawiają się w systemie odpowiednie skróty do tych predefiniowanych konsol (najlepiej szukać ich w narzędziach administracyjnych). 

sobota, 09 lipca 2011

Jakiś czas temu wymyśliłem sobie, ża fajnie by było, gdyby wszystkie zaplanowane zadania, takie jak na przykład backup, konfigurowane były z jednego centralnego miejsca. Oczywiście najlepszym na to rozwiązaniem było skorzystanie z GPO, a zaplanowane zadanie uruchamiać w kontekście dedykowanego użytkownika (z rolą Backup Operator, bo chce tylko backupy robić).

Wielkie było jednak moje zdziwienie, gdy okazało się że nie mogę ręcznie uruchamiać zadań z Task Schedulera, mimo że ustawiłem możliwość uruchamiania On Demand.

Po wielu mozolnych testach, rekonfiguracji, itd. zauważyłem że tylko konto Administrator może uruchamiać ręcznie to zadanie. Inny użytkownik, nawet jeżeli byłby w grupie Enterprise Admin, za każdy razem dostaje komunikat:

"The user account does not have permission to run this task"

Trochę googlowania przyniosło efekt odnalezienie wątku na technecie z podobnym problemem. Padło tam przypuszczenie, że jest to bug w Group Policy Preferences. Faktycznie, tworząc to zadanie ręcznie z dokładnie taką samą konfiguracją (porównywałem XMLe po wyeksportowaniu zadania), zadanie utworzone lokalnie działa jak powinno, zadanie utworzone przez GPO wywala błąd o braku uprawnień.

Po dalszych wnikliwych poszukiwaniach w końcu odnalazłem rozwiązanie problemu. Zadania tworzone przez GPO różnią się jednym małym szczegółem od tych utworzonych lokalnie.

Otóż aby zaczęło to działać, ręcznie musimy dodać uprawnienie Full Control dla grupy BUILTIN\Administrators do utworzonego zadania. Zadanie tworzone lokalnie ma to domyślnie, zadanie utworzone z poziomu GPO daje uprawnienia grupie NT AUTHORITY\SYSTEM zamiast administratorom. Czy jest to bug, czy może zamierzone działania, nie mam pojęcia. Ale chyba  nie powinno to tak wyglądać.

Teraz wystarczy ręcznie nadać odpowiednie uprawnienia wykonując polecenie:

cacls %systemroot%\system32\Tasks\[NAZWA ZADANIA] /e /g BUILTIN\Administrators:F

Oczywiście skoro chce scentralizować zadanie, nie będę biegał po wszystkich serwerach, tylko skorzystam ponownie z GPO i ustawie zabezpieczenia na katalog z wszystkimi zadaniami. Wadą nadawania uprawnień przez GPO jest brak możliwości dodania uprawnienia, zawsze nadpisywane są aktualne listy ACL.

 

 

poniedziałek, 03 marca 2008

Nie, nie napiszę jak uruchomić Aero (a da się), ale coś, co bardziej może zainteresować administratorów od strony technicznej Windows Server 2008. Czyli co jeszcze zmienić by było trochę/dużo szybciej.

A w zasadzie tylko link to pliku:

Performance Tuning Guidelines for Windows Server 2008

A tam już przeczytać możemy o:

  • Performance Tuning for Server Hardware
  • Performance Tuning for Networking Subsystem
  • Performance Tuning for Storage Subsystem
  • Performance Tuning for Web Servers
  • Performance Tuning for File Servers
  • Performance Tuning for Active Directory Servers
  • Performance Tuning for Terminal Server
  • Performance Tuning for Terminal Server Gateway
  • Performance Tuning for File Server Workload (NetBench)
  • Performance Tuning for Network Workload (NTttcp)
  • Performance Tuning for Terminal Server Knowledge Worker Workload
  • Performance Tuning for SAP Sales and Distribution Two-Tier Workload
Miłego czytania i zabawy z win2k8.
niedziela, 24 lutego 2008

Bardzo fajny filmik wisi sobie na youtube, dotyczący możliwości przyspieszenia działania PHP na nowym IISie. 

http://youtube.com/watch?v=ZOfPo4gD2K4

Czyli jak przyspieszyć PHP 10 razy! 

sobota, 23 lutego 2008

Bardzo ciekawą rzecz znalazłem w Windows Server 2008. Miałem resztki starego systemu w katalogu Windows.old (jeżeli wcześniej był na dysku system, to przy instalacji wszystko jest przenoszone do tego katalogu). Więc chcąc je usunąć zaznaczam katalog, shift del, i oczywiście potwierdzam, że chcę to wywalić, po czym widzę coś takiego:

Usuwanie danych 

Spokojnie, jeszcze tylko 44908 dni do końca. To jest ok. 120 lat :)

Ciekawe czy ktoś będzie jeszcze pamiętał o takim systemie. Tak dla formalności to ten czas sobie skakał tak, czasem pokazywał chwilę w minutach, itp.

A pliki usunęły się w normalnym tempie i już ich nie ma. Ale licznik może odstraszyć. A może jakieś zakrzywienie czasoprzestrzeni, a system naprawdę jest taki powolny? :-)

 

piątek, 27 lipca 2007

Kazdy korzysta z wiersza poleceń, częściej bądź rzadziej. Czasami są to tylko wklepane dwa polecenia, ale czase zdarza się, że musimy wklepac troche więcej. A jak wklepujemy trochę więcej poleceń, to z kolei zdarza się, że niektóre z nich się powtarzają.

Wtedy by przejść do jużwcześniej wpisanego polecenia najcześciej korzystamy ze strzalek na klawiaturze. Równie dobrze skorzystać możemy z klawiszy F5 i F8. Ale jest jest jeszcze jedna troche wygodniejsza funkcja. Klawisz F7. Wyświetli sie lista z ponumerowanymi poleceniami jakie wprowadzaliśmy.

piątek, 06 kwietnia 2007

Każdy powinien znać narzędzia Sysinternals, które przydają się w niemal każdych okolicznościach. Od jakiegoś czasu są one dostępne na stronach Microsoftu, jednak pozostaną wciąż darmowe.

Windows Sysinternals

Najpopularniejszymi narzędziami są Process Monitor, BgInfo, PSExec, Filemon i Regmon. Jeżeli jest ktoś kto nie miał z nimi do czynienia, lepiej niech to szybko nadrobi, ponieważ bardzo często są one pomocne w codziennej pracy.

Trzeba jednak pamiętać, że Sysinternals to nie jedyne narzędzia udostępniane za darmo przez Microsoft, ponieważ istnieje jeszcze pakiet Resource Kit Tools

W tym pakiecie narzędzi możemy odnaleźć między innymi Acctinfo.dllinstsrv.exe i srvany.exe, oraz Rcontrolad.exe o których już wcześniej pisałem. 

Ile osób nigdy nie przejrzało nawet listy dostępnych narzędzi? 

środa, 14 marca 2007

Dodatek SP2 dla systemu Windows Server 2003 jest już dostępny: http://www.microsoft.com/technet/windowsserver/sp2.mspx

http://technet2.microsoft.com/WindowsServer/en/library/cda7d603-fdd6-4a48-b045-89adac6e519e1033.mspx?mfr=true 

piątek, 16 lutego 2007

W 1855 roku Anglik Robert Yeates opatentował otwieracz do puszek. Co to ma wspólnego z tematyką tego bloga?

Jakiś czas temu (Windows Server "Longhorn" - prawdziwe oblicze) pisałem o wersji Beta 2 Windows Serverd "Longhorn". W treści tej notki dodałem również link do strony, na której każdy zainteresowany mógł zamówić najnowszą wersję tego systemu (i nie tylko).

Dzisiaj przyszła do mnie upragniona paczka, ale to nie Longhorn był dla mnie najważniejszy, ale to, co znalazło się wraz z nim w... puszce :) Tak, przyszły 3 płytki zapakowane w puszce. Pierwsza myśl: gdzie jest otwieracz :-) Na szczęście odbyło się bez udziału "zaawansowanej" techniki XiX wieku i puszka dała się otworzyć bez problemów.

W puszce znajdują się 3 płyty, odpowiednio z:

  • Windows Server Code Name "Longhorn” Beta 2 (wersja 32-bitowa)
  • Internet Information Server 7.0 Resource Kit
  • dokumenty techniczne poświęcone Windows Server Code Name "Longhorn” Beta 2

Do Longhorna miałem dostęp już dużo wcześniej jako betatester, więc jedyny plus to taki, że nie muszę trzymać obrazu iso na dysku.

Druga płyta prezentuje się naprawdę ciekawie. Jest to zbiór (pokaźny!) artykułów, webcastów i plików video przedstawiających różne aspekty działania nowego IISa. Bardzo fajnie przygotowana prezentacja nowego produktu. Przy czym ważna informacja, na płytce są materiały dotyczące dwóch wersji IIS - 6.0 i 7.0!

sobota, 03 lutego 2007

Windows Home Server to pomysł wypełnienia rynku użytkowników domowych produktem strasznie łatwym w obsłudze i opartym na sprawdzonym rozwiązaniu (jego podstawą jest Windows Server 2003 R2). I nie będzie to odpowiednik SBSa.

Jego funkcjonalność podzielić można na kilka elementów:

1. Prostota konfiguracji i zarządzania.

Według szacunków Microsoftu, na świecie istnieje ok. 40 mln sieci domowych składających się z co najmniej 2 komputerów. Jak wiadomo takie sieci często są zagrożone różnego rodzaju syfem, dlatego WHS ma na celu temu zaradzić. Wszystkie komunikaty zostaną uproszczone do minimum, by nawet osoba bez jakiejkolwiek wiedzy informatycznej poradziła sobie z jego obsługą. Użytkownik nie będzie narażony na nagłe zapytanie systemu, bez wyjaśnienia opcji jakie będzie miał do wyboru.

2. Bezpieczeństwo danych składowanych w sieci.

Przypadkowe skasowanie pliku lub działalność wirusa zdarzają się często w takich małych sieciach, gdzie mało kto ma pojęcie o bezpieczeństwie danych. W WHS zaimplementowano nowy rodzaj archiwizacji danych. Będzie on działał w ten sposób, że na wszystkich komputerach w sieci trzeba będzie najpierw zainstalować agenta backupu. Domowy serwer zarchiwizuje wtedy wszystkie dane na komputerach w sieci u siebie na "dysku". Ciekawym pomysłem jest archiwizacja tylko jednej kopii pliku, jeżeli znajduję się on na kilku komputerach.

3. Nie będzie dysku C :)

Podział dysków na literki (partycje) odchodzi już powoli do lamusa. W Viście zmiany są co prawda niewielkie, ale już w Windows Home Server bardzo zmienił się udział dysków w zarządzaniu ich przestrzenią. Będzie to coś na wzór udostępnionego udziału sieciowego, wszystkie dyski będą widziane jako jedna wspólna pula. W dodatku jeżeli będziemy mieli co najmniej dwa dyski, każdy plik zapisany będzie na obu. Coś a'la macierz RAID, tylko nie wymaga żadnej wiedzy i umiejętności użytkownika. Niestety przestrzeń dyskowa musi być spora, jeżeli mamy dużo danych do przechowywania.

4. Nie podłączymy myszki, klawiatury i monitora

To jest dosyć ciekawy punk i pewnie sporny. W przypadku seryjnie produkowanych komputerów Windows Home Server możemy spotkać się z brakiem możliwości podpięcia chociażby monitora. Cała konfiguracja ma się odbywać zdalnie. Jedyne co podłączymy, to kilka urządzeń USB (drukarka, skaner, aparat) i kabelek sieciowy.

Oznacza to, że domyślnie nie będzie to dobry wybór na router, chyba że go sobie sami poskładamy. Jeżeli będziemy chcieli korzystać z sieci bezprzewodowej, zmuszeni będziemy do postawienia przed nim dodatkowego routera takiej sieci...

Podsumowując ten produkt, trzeba przyznać że jest ciekawy, ale w żadnym wypadku nie przygotowany i nie pasujący do polskich realiów. Kto wyda tyle pieniędzy na skrzynkę, która nie może się dobrze sprawdzić chociażby na router?

Dużo taniej i wygodniej będzie zamówić z allegro skonfigurowany serwerek na linuksie, który przy drobnej dodatkowej konfiguracji będzie miał taką samą funkcjonalność, ale będzie 10 razy tańszy.

piątek, 19 stycznia 2007

Coraz bardziej prawdopodobne staje się, że nazwa kolejnej wersji serwerowej systemu Windows będzie brzmieć Windows Server 2007. Nie ma w tym nic zaskakującego, ponieważ raczej nie zdarza się by system wyszedł korzystając wciąż z nazwy kodowej.

Betatesterzy już od jakiegoś czasu mają dostęp do wersji beta 2 tego systemu. Chciałem go sobie nawet potestować. Niestety okazało się, że gdy uruchomiłem go pod VMware Server, stwierdził on brak sterowników do napędu CD/DVD (tego z VMware - emulowałem obraz iso), pomimo tego, że instalator się uruchomił z płytki bez problemu.

Czyżby złośliwość ze strony MS spowodowała uniemożliwienie instalacji? Poprzednie buildy nie miały problemów. Chyba będzie trzeba zainstalować VPC...

Każdy kto chce zobaczyć nowy serwer w działaniu, może otrzymać za darmo płytki z wersją beta 2. Wystarczy zarejestrować się pod adresem http://www.microsoft.com/poland/windowsserver2003/longhorn/rejestracja/default.mspx

Uczestnicy programu otrzymają zestaw płyt zawierający system Windows Server Code Name „Longhorn” Beta 2, pakiet IIS 7.0 Resource Kit oraz dokumenty techniczne poświęcone drugiej wersji beta „Longhorn”.

czwartek, 28 grudnia 2006

Co kryje się pod nazwą SystemState w programie ntbackup?

Ntbackup jest jednym z najbardziej rozpowszechnionych programów dokonujących archiwizacji danych w systemach Windows. Dostarczony standardowo już w systemie Windows 2000, stał się jednym z podstawowych narzędzi podczas pracy administratora. Jedną z jego funkcjonalności jest backup SystemState, który oznacza wykonanie kopii zapasowej danych dotyczących stanu systemu. Wśród tych danych znajdują się:

  • Rejestr systemowy
  • Baza danych COM+ Class Registration
  • Pliki rozruchowe, w tym pliki systemowe
  • Pliki systemowe objęte ochroną plików systemu Windows (WFP)
  • Baza danych usług certyfikacji
  • Usługa katalogowa Active Directory
  • katalog SYSVOL
  • Informacje o usłudze klastrowania
  • Metabaza IIS

Z wymienionych elementów w backupie zawierającym dane o stanie systemu zawsze występują pierwsze cztery z wymienionych elementów, pozostałe występują zależnie od tego, czy dana usługa została zainstalowana (odpowiednio: usługa certyfikacji, domena, serwer jest kontrolerem domeny, serwer jest w klastrze, zainstalowano IIS).

Wybierając backup/odtwarzanie danych o stanie systemu, nie mamy możliwości wyboru, które dane zostaną zarchiwizowane/odtworzone. Zawsze są brane wszystkie dostępne. Jest to spowodowane zależnościami pomiędzy komponentami backupu SystemState.

Jednakże istnieje możliwość odtworzenia danych o stanie systemu do innego miejsca docelowego, przez co rejestr, informacje o usłudze klastrowania, pliki katalogu SYSVOL i pliki rozruchowe mogą zostać przywrócone oddzielnie. Usługa katalogowa Active Directory, baza danych usług certyfikacji i baza danych COM+ Class Registration nie zostaną wtedy przywrócone.

Jeżeli mamy uruchomiony serwer DNS na kontrolerze domeny zintegrowany z AD, w skład części SystemState odpowiadającej za przywrócenie usługi katalogowej zawierają się dane stref serwera DNS.

Jeżeli serwer DNS nie jest zintegrowany z AD, strefy DNS przechowywane są w plikach *.dns znajdujących się w katalogu \WINDOWS\SYSTEM32\DNS i jako część woluminu rozruchowego zostaną włączone do backupu gdy uruchomimy tworzenie pełnej kopii systemu.

W systemie Windows XP w danych o stanie systemu zawarte są tylko:

  • Baza danych COM+ Class Registration
  • Pliki systemowe objęte ochroną plików systemu Windows (WFP)
  • Pliki rozruchowe, w tym pliki systemowe
piątek, 22 grudnia 2006

Kilka dni temu Microsoft postanowił wydać świąteczną wersję CTP Longhorn Servera, oznaczoną buildem numer 6001 (Vista RTM miała numer 6000).

Nic by nie było w tym dziwnego, gdyby nie fakt, że dostęp do tej wersji otrzymały tylko osoby mające dostęp do programu beta Longhorna poprzez witrynę connecta.

Co się stało z wersją dla posiadaczy subskrypcji TechNet i MSDN?

Zawiniła burzowa pogoda w rejonie Północnego Pacyfiku, która uszkodziła linie energetyczne i pozbawiła prądu kampus Microsoftu na kilka dni. Z uwagi na wewnętrzne problemy z wyłączeniem systemów, nie udało się udostępnić tej wersja Longhorna jednocześnie dla wszystkich.

Subskrybenci MSDN i TechNetu dostaną dostęp do swojej wersji, najprawdopodobniej, w przeciągu około tygodnia.

Osoby mające dostęp do bety poprzez witrynę connecta będą mogli spędzić święta nad nowym buildem, czego ani sobie, ani innym nie życzę :)

I tym przedświątecznym akcentem życzę wszystkim Wesołych Świąt, spędzonych z dala od komputera, laptopa, pda, komórki,...

sobota, 16 grudnia 2006

Microsoft wziął się wreszcie w garść i robi to, czego chcieli ludzie. Dzięki temu mamy już dostęp do kilku maszyn wirtualnych z różnymi produktami:

Exchane Server 2007 o którym pisałem wcześniej - Exchange Server 2007 - wersja ewaluacyjna.

ISA Server 2006, dostępna do pobrania w wersji trial (do instalacji), oraz obrazu maszyny wirtualnej.

Microsoft Dynamics CRM 3.0 Virtual PC Demonstration [3,2 GB]

Internet Explorer 6 Application Compatibility VPC Image, o którym pisałem już w notce: Obraz Windows XP SP2 dostępny w internecie [495 MB]

Microsoft Pre-release Software Visual Studio Code Name "Orcas" - September Community Technology Preview (CTP) [3,7 GB], czyli następca Visual Studio 2005, oferujący rozszerzone możliwości wykorzystania technologii Atlas (i nie tylko).

Visual Studio 2005 Team System Basics Training [5,2 GB] - Zarówno obraz maszyny wirtualnej, jak i laby, dema i prezentacja PowerPointa.

Microsoft SQL Server 2005 Enterprise Edition VHD 

Microsoft Windows Server 2003 R2 Enterprise Edition VHD [1,4 GB]

Wszystkie maszyny wirtualne są w wersjach 32-bitowych.

Prawdopodobnie niedługo możemy spodziewać się udostępnienia w podobnej formie Windows Server "Longhorn".

piątek, 15 grudnia 2006

Można już pobrać wersję ewaluacyjną (testową) Exchange'a 2007. Dostępny w wersji zarówno 32-bitowej, jak i 64-bitowej.

Download Exchange Server 2007 - Evaluation Software [700 MB]

Do pobrania dostępny jest również obraz maszyny wirtualnej z zainstalowanym Exchange 2007 w wersji 32-bitowej:

Microsoft Exchange Server 2007 VHD - 32-bit version [1,4 GB]

poniedziałek, 16 października 2006

Jakie są ograniczenia Active Directory? Ile możemy utworzyć zasad GPO, użytkowników? Ile możemy mieć kontrolerów domeny?

Na te i inne pytania znamy już odpowiedź:

- maximum number of GPOs that can apply to a user/computer: 999
- maximum number of DNS servers in an AD-integrated zone (without manually adding the details): 850 (Windows 2000), 1300 (Windows 2003)
- maximum number of supported DCs in a given domain: 1200
- maximum number of members of a group: 5000 (Windows 2000), unlimited in Windows 2003
- maximum number of DHCP servers in a forest: 850 (Windows 2000 SP1 or RTM), unlimited (Windows 2000 SP2 or later and Windows 2003)
- maximum number of UPN suffixes that can be set through the UI: 850 (you can set more if you need to via ADSI scripts)
- maximum number of objects that can be created over the lifetime of a given DIT (i.e. the AD database on a given DC): 2 billion

Źródło: mcs.ireland.blog/infrastructure

niedziela, 17 września 2006

Zapewne niejedną osobę interesuje dosyć rewolucyjny, jak na MS, system serwerowy jakim jest edycja Core, zawierająca w zasadzie tylko sam kernel. Na razie jest tam bardzo mało aplikacji, a większość zadań wykonuje się skryptami. Nie ma Explorera, a nawet tak promowanego przez MS rozwiązania jakim jest MMC.

Na samym początku instalacji nowego dziecka Microsoftu, uruchamia się graficzny instalator znany dobrze z Visty. W samym instalatorze w zasadzie nie mamy prawie żadnych możliwości modyfikacji ustawień z jakimi zainstaluje się system. Na pierwszy ogień idzie ustawienie strefy czasowej i układu klawiatury:

Mamy później jeszcze możliwość wybrania partycji na której system zostanie zainstalowany, oraz wpisujemy klucz produktu. W tym miejscu pojawia się nowość wprowadzona w Viście i Longhornie od wersji RC1. Nie musimy podawać klucza przy instalacji. System zostanie zainstalowany, ale będzie działał jak system w wersji ewaluacyjnej. Oczywiście po instalacji możemy wpisać klucz produktu i spokojnie aktywować kopię systemu. Jeżeli nie wpiszemy klucza, instalator nie będzie w stanie stwierdzić jaką licencję posiadamy, więc da nam możliwość wyboru z pośród 6 edycji, o czym pisałem w jednej ze wcześniejszych notek:

Następnie przechodzimy do właściwej instalacji, czyli kopiowanie i rozpakowywanie plików systemu:

Po instalacji możemy się już zalogować. Pojawia się znana prośba o wciśnięcie CTRL+ALT+DELETE:

Po czym możemy zalogować się na... nie możemy się zalogować bo w systemie nie ma ostatnio zapamiętanego loginu użytkownika, przez co jedyną możliwością jest wybranie "other user":

Tu już idzie z górki. Logujemy się na Administratora z pustym hasłem. Gdy już to zrobimy możemy dostać szoku. Cały proces instalowania, uruchamiania i logowania przebiegał na kolorowych ekranach tak jak w Viście. Lecz w edycji Core nie dostajemy cukierkowatego GUI mającego zdobyć przychylność pań i estetów, ale twarde i "nieprzyjemne" okienko wiersza poleceń:

Tak, to jest właśnie dużą cechą edycji Core. Brak GUI, Explorera, IE, MMC, Wordpada ... Tak można wymieniać długo. Wycięta jest ogromna część kodu, nie mająca zastosowania w kluczowym produkcie serwerowym. Łatwo możemy zauważyć zmniejszenie funkcjonalności nawet samego notatnika! Nie ma możliwości otwierania plików korzystając z menu plik -> otwórz, ponieważ nie ma explorera, który umożliwił by przeszukanie i wskazanie konkretnego pliku. Tak samo ma się sprawa z zapisywaniem. Póki co również pomoc systemu nie działa.

Jak się korzysta z tego systemu bez GUI? Można by powiedzieć ciekawie. Każdy kto korzysta również z różnej maści Unixów może czuć się jak w domu bez GUI. Co prawda pewne elementy explorera pozostały (wiersz poleceń jest w okienku), lecz dużo zostało wycięte zmniejszając znacząco możliwą powierzchnię ataku. Z tego względu edycja Core może podnieść poziom bezpieczeństwa, co prawda kosztem używalności.

Na początek dobrze by było aktywować naszą kopię systemu. Nie znajdziemy na to żadnego kreatora, nie znajdziemy na to żadnego okienka. Nie znajdziemy w nim również programu slui.exe który został wprowadzony w Viście w celu m. in. aktywacji systemu z wiersza poleceń. Za to znajdziemy skrypty. Na razie (w wersji RC1) niemalże do wszystkich operacji pozostają nam tylko skrypty, no i mała garstka aplikacji. Przyda się znajomość WMI w codziennej administracji, lub przygotowanie skryptów realizujących najważniejsze zadania.

Do aktywacji systemu korzystamy ze skryptu slmgr.vbs uruchamiając go z przełącznikiem -ato:

Cscript %systemroot%\system32\slmgr.vbs -ato

Aby zapisać klucz produktu w systemie służy przełącznik -ipk:

Cscript %systemroot%\system32\slmgr.vbs -ipk ProductKey

Jak już będziemy korzystali z Longhorna Core, warto by monitorować błędy. W Windows Server 2003 służyła do tego przystawka MMC eventvwr.msc. Lecz w Core nie znajdziemy ani tej przystawki, ani nawet MMC ;) Mamy dwa wyjścia, skorzystanie z WMI, lub z wevtutil.exe -  narzędzia mającego szerokie zastosowanie w zarządzaniu dziennikami zdarzeń.

Po standardowej instalacji może się również okazać, że jakiś sterownik nie został zainstalowany. Możemy do zrobić korzystając z polecenie drvload \.inf

Aby zainstalować aktualizacji skorzystamy z polecenia Wusa.exe .msu /quiet (z opcjonalnym przełącznikiem /norestart jeżeli aktualizacja wymaga restartu, którego my nie chcemy teraz robić).

Wraz z Vistą i Longhornem dochodzi nowy typ uruchamiania usług systemowych: delayed-auto, umożliwiający uruchomienie usług z pewnym opóźnieniem.

środa, 13 września 2006

W końcu znalazłem trochę czasu na to by pobrać i zainstalować Windows Server "Longhorn" w wersji RC1. Jak on teraz wygląda?

Na samym początku gdy wkładamy płytkę do napędu ładowany jest instalator, w którym od razu zobaczymy ładną tapetę i przyjazne dla oka okienka. Instalacja składa się tylko z kilku kroków. Na początek musimy wybrać strefę czasową i klawiaturę. Następnie jesteśmy proszenie o wpisanie klucza produktu. A to ciekawostka. W cale nie musimy go podawać podczas instalacji. Od wersji RC1 możliwa jest instalacja Visty i Longhorna bez podawania klucza, który będziemy musieli uzupełnić po instalacji gdy będziemy chcieli przeprowadzić aktywację. Jeżeli nie wpiszemy klucza, a będziemy chcieli dokonać aktywacji otrzymamy błąd nie wyjaśniający co jest nie tak. Warto zaraz po instalacji ustawić właściwy klucz (jeżeli nie wpisaliśmy go podczas instalacji).

W kluczu zawarta jest również informacja o wersji systemu na jaką mamy licencję. Jeżeli nie wpiszemy klucza będziemy mogli wybrać z pośród 6 edycji:

  1. Server Standard
  2. Server Enterprise
  3. Server Datacenter
  4. Server Standard Core
  5. Server Enterprise Core
  6. Server Datacenter Core

Przy czym wersje oferujące środowisko graficzne wymagają minimum 11GB wolnego miejsca na dysku. Wersje Core nie mają widocznego ograniczenia co do wymaganej wolnej przestrzeni na dysku.

Jak łatwo się pewnie domyśleć wybrał instalację wersji Core, która wydaje się bardzo interesująca ze względu na brak GUI, przez co powinna rownież szybciej i stabilniej działać.

Pierwsza rzecz jaką widzimy po instalacji to standardowe Press CTRL + ALT + DELETE to log on. Po wciśnięciu tej kombinacji naszym oczom ukazuje się brak użytkowników ;) Ale tylko za pierwszym razem. Po pierwszym zalogowaniu się w systemie widnieje tam konto administratora. Cały ten ekran logowania wygląda tak jak w Viście, czyli z ładną tapetą, itd. Ale zaraz, zaraz, przecież Core miał być bez GUI? No i jest, ale nie do końca. Po wybraniu other user i wpisaniu loginu Administrator, bez hasła (sic) następuje pierwsze logowanie do systemu i...

Nie ma GUI :) Wszystko co otrzymujemy to tylko i wyłącznie wiersz poleceń. Nie ma Explorera! Nie ma.

Co może się wydać dziwne, ale nie ma chyba również Internet Explorera, chociaż widać ślad po nim w postaci foldera z jedną biblioteką. Wydaje się że z systemu wywalono wszystko, bo nawet pomoc systemowa się nie chce włączyć.

Co pod maską? Mimo wybrania polskiego układu klawiatury nie ma polskich znaków, WTF? W oczy rzuca się ułatwienie wdrożenia IPv6. Tunelowanie interfejsów sieciowych, domyślnie skonfigurowany loopback. Lokalny adres IPv6 obok adresu IPv4. Technologia Teredo przechodzenia translacji NAT protokołu IPv6, czyli komunikacji IPv6 w sieciach IPv4.

Z zagadnień sieciowych jest ping, tracert, pathping, ale nie ma domyślnie już teleneta. Nazwa komputera jakaś z kosmosu, więc wygodnie ją byłoby sobie zmienić na coś bardziej ludzkiego: netdom renamecomputer nazwaKomputera /NewName:LonghornCore.

Warto jeszcze ustawić hasło administratora: net user administrator *

Na razie tyle. Jeszcze muszę na nim odpalić jakąś domenę, dns, dhcp. Ciekawe jak się spisze...

niedziela, 10 września 2006

Tak jak można się było spodziewać, kilka dni po udostępnieniu Visty w wersji RC1 przyszedł czas również na Windows Server codename "Longhorn" RC1. Również oznaczony numerem buildu 5600.

Muszę przyznać, że trochę przyspałem, i zauważyłem go dopiero jak na WSS.pl pojawił się news na ten temat.

Dostępny on jest tylko dla testerów i raczej nic nie zapowiada, aby dostęp do niego otrzymało więcej osób. Ja już go pobieram, a jak się trochę z nim zapoznam to na pewno podzielę się jakimiś ciekawymi informacjami na blogu.

piątek, 21 lipca 2006

O tym, czym są usługi w systemie Windows już pisałem wcześniej. Jest to moim zdanie najlepsze rozwiązanie zaimplementowane w systemie. W dodatku usługi często są wręcz niewidoczne dla użytkownika. Jest to plusem z powodu jednej prostej rzeczy: użytkownicy nie grzebią tam, gdzie najczęściej nie ma ładnego GUI, a gdzie jest wiersz poleceń, WMI, itd.

Microsoft postanowił nie robić, na pozór, dużych zmian w modelu usług. W zasadzie to na razie wiadomo o trzech rzeczach, które zostaną wprowadzone. Chociaż tylko dwie z nich będą miały jako tako przełożenie na funkcjonalność. Oczywiście usługi w systemie Windows Vista i Windows Server "Longhorn" będą funkcjonować w ten sam sposób.

Zacznę może od końca. Tą najmniej według mnie ważną zmianą jest usprawnienie zarządzania usługami poprzez nowe API odpowiedzialne za informowanie o zmianie stanu usług. Na razie niewiele więcej wiadomo na ten temat. Wiadomo jednak, że ma to umożliwić również akcje odzyskiwania, oraz łatwiejszą kontrolę nad usługami.

Drugą zmianą, która zostanie wprowadzona w modelu usług jest nowy typ uruchamiania. Po co on? Ludzie odpowiedzialni w Microsofcie za marketing ciągle krzyczą, że system będzie stabilniejszy ("nie będzie się zawieszać"), oraz że będzie szybszy. No ale cóż ci programiści mogą wymyślić, aby przyspieszyć taki parowóz zbędnych funkcji? Ano wymyślili coś całkiem interesującego - opóźniony start (Delayed start). Nowy typ uruchomienia jest w pewnym stopniu antidotum na długie uruchamianie się systemu. Jakiś czas temu obiła mi się o uszy aplikacja, która ma prawdopodobnie podobną funkcjonalność - opóźnia uruchamianie aplikacji przy starci systemu. Zanim się uruchomią te wszystkie programy typu gg, tleny, nietoperze, etc, to użytkownik się niecierpliwi ponieważ chce już korzystać z systemu, a nie czekać na ładowania aplikacji. Rozwiązaniem w Viście będzie właśnie opóźnianie startu usług, które nie wymagają uruchomienia we wczesnych fazach rozruchu. Jest to bardzo dobre rozwiązanie.

Ostatnia znana mi zmiana, jaka ma nastąpić w usługach, będzie z zakresu bezpieczeństwa. W myśl zasady, że system jest bezpieczny tak, jak najsłabszy jego element, każdy element musi być na bieżąco uaktualniany również w kontekście bezpieczeństwa.

W Viście i Longhornie usługi będą oddzielone od procesów/aplikacji użytkownika. Jest to największa zmiana z tych, które zajdą. Będzie również chyba najbardziej kłopotliwa dla programistów wykorzystujących swoje umiejętności przy pisaniu usług. Zmiany będą obejmować sesje w jakich będą uruchamiane sterowniki, usługi i aplikacje użytkowników.

Dotychczas w systemie Windows XP użytkownik loguje się na sesję 0. Jeżeli wykorzystuje on Fast User Switching, to kolejni użytkownicy logują się na sesje 1, 2, 3... W Windows Server 2003 sesja 0 jest sesją konsoli. Dodatkowo dostępne są dwie sesja zdalne do administracji. Łącznie 3 sesje, z których można korzystać. Ze względu na to ograniczenie właśnie nie ma tu funkcji FUS.

W Viście i Longhornie dużo się zmieni na polu sesji. Sesja 0 to już nie będzie sesja konsolowa. Odtąd w tej sesji będą się uruchamiały sterowniki i usługi, oraz procesy systemowe. Aplikacje użytkowników będą otwierane w sesjach konkretnego użytkownika (nie w sesji 0). Użytkownicy będą logowali się kolejno od sesji z numerem 1.

W XP proces mógł kontrolować wszystkie swoje podrzędne (child) procesy. Jeżeli zaś proces był uruchomiony przez użytkownika (oczywiście z uprawnieniami administracyjnymi), proces ten miał o dużo za dużą kontrolę nad systemem! Zmiany idą w kierunku uniemożliwienia aplikacjom użytkownika na ingerencję głęboko w system. Każda sesja będzie od siebie odseparowana (ale będzie oczywiście możliwość komunikacji pomiędzy sesjami).

W drugiej becie nowego systemu znajduje się również nowa usługa: Interactive Service Detection Service. Ze względu na ograniczenia w sesji 0, gdzie nie będzie dostępu do sterownika grafiki, można napotkać problem gdy usługa (uruchomiona w sesji 0) będzie chciała wyświetlić okienko z wiadomością wymagające ingerencji użytkownika. Nie będzie ono wtedy widoczne dla użytkownika, ponieważ będzie on zalogowany w innej sesji. Więc aplikacja usługi przestaje wtedy prawidłowo funkcjonować, oczekując na akcje użytkownika. Usługa Interactive Service Detection Service gdy wykryje uruchomienie elementu UI w sesji 0, które nie będzie oknem wiersza poleceń, poinformuje użytkownika poprzez okienko dialogowe, oraz umożliwi przełączenie do sesji 0, aby użytkownik mógł wykonać wymaganą przez usługę akcję.

Ale jest to tylko rozwiązanie tymczasowe, umożliwiające przystosowanie usług do nowego systemu przez programistów! W przyszłości już nie będzie tej usługi, a co za tym idzie funkcjonalności uruchamiania usług, które nie do końca są przystosowane do nowego systemu.

wtorek, 18 lipca 2006

W zasobach Windows Server 2003 Resource Kit Tools często można znaleźć bardzo ciekawe narzędzia. Właśnie jednym z nich jest program permcopy.exe, dzięki któremu możemy przekopiować uprawnienia dla udziałów (ACL) do nowej lokalizacji/udziału.

Jeżeli mamy do migracji kilka sharów, lub więcej, to nierealne staje się ponowne ręczne nadawanie wszystkich uprawnień od początku. Aby zachować uprawnienia NTFS, możemy posłużyć się backupem (Jak zachować uprawnienia przy przenoszeniu danych pomiędzy serwerami?). Po przywróceniu danych w nowe miejsce, wystarczy jedna komenda i uprawnienia do udziałów zostaną przekopiowane.

Również jeżeli mamy kilka udziałów udostępnionych, gdzie każdy musi mieć tak samo (lub bardzo podobnie) ustawione uprawnienia, to możemy łatwo oskryptować kopiowanie uprawnień ze wzorca na inne udziały.

Użycie tego polecenia jest bardzo proste i mieści się w jednej linijce:

PERMCOPY \\SourceServer ShareName \\DestinationServer ShareName

czwartek, 22 czerwca 2006

Pewnie mało kto wie, jaką ciekawą opcję Microsoft "ukrył" w Windows Resource Kit Tools. Zarejestrowanie pliku Acctinfo.dll dodaje do przystawki Active Directory Users and Computers dodatkową zakładkę - Additional User Information, wyświetlającą miedzy innymi SID użytkownika, datę ostatniej zmiany hasła, oraz kiedy użytkownik ostatnio się logował.

Po instalacji RK Tools najlepiej sobie przekopiować plik Acctinfo.dll do folderu %systemroot%\system32 a następnie zarejestrować go w systemie za pomocą polecenia:

regsvr32 %systemroot%\system32\acctinfo.dll

Robimy to na komputerze na którym będziemy otwierali przystawkę Active Directory Users and Computers. Nie musi to być kontroler domeny.

niedziela, 18 czerwca 2006

Szczególnie gdy korzystamy z maszyn wirtualnych, wirtualizując część naszej testowej sieci, w gąszczu otwartych okien fajnie by było od razu widzieć na jaką stację się przełączyliśmy. Oczywiście jest dużo programów umożliwiających wyświetlanie dynamicznie tapety z takimi informacjami jak nazwa stacji, ip, itp. Tylko czy zawsze potrzebujemy tego? Ja obstaję zawsze za tym, że najprostsze rozwiązania są najlepsze.

Wystarczy jeden skrypcik, zmieniający nazwę ikonki Mój komputer na prawdziwą nazwę komputera. Czy to jest wygodne? Myślę że tak, dzięki temu często łatwo mi się połapać na jakiej stacji jestem.

Const MY_COMPUTER = &H11&
Set objNetwork = CreateObject("Wscript.Network")
strComputer = objNetwork.ComputerName
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.Namespace(MY_COMPUTER)
Set objFolderItem = objFolder.Self
objFolderItem.Name = strComputer

Oczywiście nie jest to operacja nieodwracalna. Zawsze gdy będziemy chcieli wrócić do poprzedniej nazwy pod ikonką, będziemy mogli również skorzystać z jednego skryptu, niezależnie od wersji językowej systemu.

Const MY_COMPUTER = &H11&
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.Namespace(MY_COMPUTER)
Set objFolderItem = objFolder.Self
objFolderItem.Name = strComputer

Pliki zapisujemy oczywiście z końcówką .vbs

sobota, 03 czerwca 2006

Kiedy takie postępowanie może mieć sens? Na przykład gdy użytkownicy korzystają z drukarki sieciowej podłączonej na serwerze. Czasem zachodzi potrzeba, aby mogli oni zatrzymać usługę Bufor wydruku (Print Spooler) aby wyczyścić wszystkie zadania drukowania, które gdzieś utknęły. Lokalnie mogą to zrobić bez żadnego problemu. Co jednak gdy mają to wykonać zdalnie? Zamęczenie administrator jest wtedy bardzo silnie uargumentowany aby umożliwić użytkownikom zdalne zarządzanie tą usługą.

Oczywiście jest to możliwe. Tylko podstawowe pytanie: Czy jesteś świadomy tego co chcesz zrobić? dawanie użytkownikom jakichkolwiek uprawnień na serwerze nie jest najlepszym pomysłem. Oczywiście zabezpieczać się da, ale żadne zabezpieczenie nie daje 100% pewności, że jutro nie zostanie ujawniona jakaś luka w tym co zrobisz.

Lista ACL

Przechodząc do rzeczy, usługi obowiązują takie same prawa jak inne obiekty w systemie. Dlatego też można decydować o ich uprawnieniach dzięki listom kontroli dostępu (ACL). Są one w formacie SDDL, którego znajomość może być przydatna przy konfigurowaniu usługi.

ACL dla usług, razem z całą ich konfiguracja znajdziesz zawsze w rejestrze. Edytując tam poszczególne wpisy możesz kontrolować wszystkie usługi, oraz sterowniki w systemie.

Konfigurację usług znajdziesz w gałęzi HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services (znajdziesz tam również usługę Spooler o która nam chodzi). W kluczy Security masz zapisaną listę kontroli dostępu.

I teraz, aby ją edytować masz dwie drogi, zależnie od tego czy masz domenę, czy jej nie masz.

Rzecz jasna jeżeli masz domenę to się nie napracujesz :) 

Konfiguracja listy ACL w sieci bez katalogu AD

Jak jej nie masz, to ręcznie musisz przeprowadzić edycję listy ACL usługi Spooler, dodając uprawnienia Start, Stop and Restart grupie, która będzie zarządzała restartowaniem tej usługi. Aby wyświetlić aktualną ACLkę możesz skorzystać z narzędzia sc.exe wywołując go w postaci:

sc sdshow spooler

Otrzymasz w ten sposób listę ACL w formacie SDDL (czyli tym który odczytuje Service Control Manager).
Jak już utworzysz listę kontroli dostępu, dodać ją możesz korzystając z polecenia:

sc sdset spooler D:(A;;CCLCSWLOCRRC;;;AU) (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) (A; ;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO) (A;;CCLCSWRPWPDTLOCRRC;;;SY) S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO; ;;WD)

(to tylko przykład, twoja lista ACL będzie wygląda inaczej)

Trochę o SDDL możesz przeczytać pod adresem http://www.washington.edu/computing/support/windows/UWdomains/SDDL.html

Konfiguracja listy ACL w sieci z katalogiem AD

W wariancie optymistycznym, gdy masz domenę, możesz skorzystać z GPO. Wystarczy utworzyć nowa zasadę grupy, która będzie przypisana do SERWERA na którym będzie zatrzymywana i uruchamiana usługa.

Przechodzisz do Computer Configuration -> Windows Settings -> Security Settings -> System Services, otwierasz właściwości usługi Print Spooler, zaznaczasz Define this policy setting i ustawiasz jej stan na Manual/Automatic (jak potrzebujesz). Następnie, nadal we właściwościach tej usługi, klikasz na przycisk Edit Security. Tam dodajesz użytkownika, albo lepiej grupę, która ma mieć dostęp do tej usługi nadając jej uprawnienia Start, stop and pause. Nie zapomnij o gpupdate /force aby odświeżyć zasady. I dobrze było by się upewnić poprzez gpresult czy to GPO rzeczywiście zastosowało się do serwera.

Zdalny dostęp do Service Control Manager'a

To już prawie koniec. W tej chwili użytkownik, logując się lokalnie na serwerze może zarządzać usługą Spooler. Problem może się pojawić, jeżeli na serwerze Windows Server 2003 masz dodatek SP1. Gdy jest on zainstalowany użytkownik bez uprawnień administratora nie może zdalnie zarządzać usługą.

Ale i na to jest sposób  Wystarczy zmiana listy ACL dla usługi Service Control Managera (SCMANAGER). Również można to zrobić wykorzystując narzędzie SCM, tym razem jednak podając mu konkretną listę ACL (jej nie musisz sam tworzyć, wykonujesz tylko to polecenie na serwerze):

sc sdset SCMANAGER D:(A;;CCLCRPRC;;
;AU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

Uważaj ustawiając/wpisując listę ACL. Jeżeli zrobisz jakąś pomyłkę, możesz sobie zablokować jakikolwiek dostęp do usługi. Dodatkowo zmieniając listę ACL dla SCM'a zachowaj szczególną ostrożność, aby całe polecenie było w jednej linii. Jeżeli przez przypadek wykona się tylko fragment tej listy kontroli dostępu (poprzez przełamanie linie) możesz sobie bardzo naruszyć sprawność systemu. Dokładnie to polecenie masz również w KB907460

Zdalne zarządzanie

No i w zasadzie koniec. Teraz użytkownik może zdalnie zarządzać usługą Spooler serwera. Najlepszym i najwygodniejszym zarządzaniem usługą będzie polecenie sc, ponieważ ma ono naprawdę dużą funkcjonalność.
Wystarczy polecenie wykonywane na stacji roboczej:

sc \\NAZWA_SERWERA start spooler
sc \\NAZWA_SERWERA stop spooler

Na koniec wystarczy jeszcze udostępnić katalog PRINTERS znajdujący się na serwerze, nadając grupie zarządzającej usługą bufor wydruku uprawnienia usuwania.

Już tylko mały batch, który połączy wszystko w jednym miejscy, aby użytkownik mógł go uruchomić przeprowadzając tym samym cała operację zatrzymania usługi, wyczyszczenia bufora wydruku i ponowne uruchomienie usługi.

czwartek, 01 czerwca 2006

Tak sobie właśnie przeglądałem co tam jeszcze ciekawego jest w Windows Server 2003 Resource Kit, gdy natrafiłem na ten dodatek.

Dodaje on w przystawce Active Directory Users and Computers łatwą drogę do połączenia się z danym komputerem poprzez usługi terminalowe lub Remote Desktop. Wystarczy tylko wskazać konto komputera, kliknąć prawym klawiszem myszki i wybrać Remote Control.

Download Remote Control Add-on

 
1 , 2