Рубрика - 'Windows'

Wuauclt.exe – Ключи (Параметры командной строки) и секреты использования (Windows, О работе)  20.10.2011

Часто, бывает необходимо, подтолкнуть агента WSUS для проверки имеющихся обновлений и немедленной установки. Я для того использую простую команду wuauclt /detecnow

Но помимо этого, эта утилита имеет множество других применений и соответствующих параметров командной строки. Рассмотрим их:

/DetectNow - Запустить немедленный опрос сервера WSUS на наличие обновлений

/resetAuthorization - Сбросить авторизацию на сервере и клиенте. Фактически это новая регистрация на сервере WSUS. Полезна когда клиент подглюкивает, удаляем его на сервере и командой wuauclt /detectnow /resetAuthorization заново регистрируем на сервере с одновременным запросом списка обновлений

/reportnow Сбросить статистику на сервер

Остальные параметры не столь очевидны и самое главное их применение непонято и обычно не вызывает никаких изменений

/RunHandlerComServer - неизвестно
/RunStoreAsComServer - неизвестно
/ShowSettingsDialog - Показывает диалог настройки расписания установки обновлений
/ResetEulas - сбросить соглашение EULA для обновлений
/ShowWU - переход на сайт обновлений MS
/ShowWindowsUpdate - переход на сайт обновлений MS
/SelfUpdateManaged - неизвестно
/SelfUpdateUnmanaged - неизвестно
/UpdateNow - Немедленно запускает процесс обновления, аналогичен клику кнопки в окне уведомлений о наличии обновлений
/ShowWUAutoScan - неизвестно
/ShowFeaturedUpdates - неизвестно
/ShowOptions - неизвестно
/ShowFeaturedOptInDialog - неизвестно
/DemoUI - Показывает значок в трее - диалог настройки расписания установки обновлений или установки в зависимости от статуса

Получение полномочий администратора на Microsoft SQL Server (Windows, О работе)  17.07.2011

Преамбула:
Недавно столкнулся с довольно странной проблемой и спешу поделиться с вами её решением. Но сначала о проблеме. Кто-то (не вы) установил Microsoft SQL Server и не оставив никакой документации благополучно покинул компанию. Вам необходимо убедиться, что резервные копии баз данных делаются исправно и доступ есть только у тех пользователей и приложений, которым он необходим. Но...

Симптоматика:
Приложения (в моем случае это был Sharepoint Server 2010 и Dynamics CRM 4.0) нормально работают с установленным SQL Server. Вы можете подключиться к нему с помощью SQL Server Management Studio, но ваш доступ ограничен только чтением (Read Only). Попытки обращаться к серверу от учетной записи с правами доменного администратора (Domain Admin) или локального администратора (Local Admin), так же не дают желаемого результата. Остается вопрос: как в этой ситуации получить доступ к SQL Server? Читаем далее... (далее…)

Введение в Windows Server 2008 R2, электронная книга (Windows)  14.08.2010

Когда вы последний раз читали бумажную книгу о новом программном обеспечении или какой либо технологии? Вот и я уже не помню когда это было. Все чаще я предпочитаю хранить и изучать техническую литературу в электронном виде. В таких книгах как минимум есть ссылки и поиск, что определенно добавляет удобства в изучении материала. Вот и компания Microsoft решила порадовать нас новой книгой о Windows Server 2008 R2.
Среди прочий спец.предложений стала доступна к скачиванию электронная книга "Introducing Windows Server 2008 R2".

Затронуто большинство нововведений по основным направлениям:

  • Виртуализация
  • Active Directory
  • Remote Desktop Services и VDI
  • Роль файлового сервера
  • Новая версия веб-сервера IIS 7.5
  • DirectAccess и новые возможности Network Policy Server
  • Обновленный Windows Server Backup и BitLocker ToGo

Бесплатно скачать эту книгу можно зарегистрировавшись по ссылке.

В книге полезное для себя найдет не только профессионал в Windows Server, но и администратор с меньшим опытом. Рекомендую к прочтению вне зависимости от активности вашего использования какой либо версии Windows Server.
На моей виртуальной "полке" эта книга заняла свое место.
Надеюсь компания Microsoft и дальше будет радовать полезными книгами в свободном доступе.

Сертификация Microsoft для системного администратора: MCP, MCTS, MCSA, MCSE, MCITP (Windows, О работе, О разном)  26.11.2009

У меня есть небольшая практика, я стараюсь писать ответы на вопросы, которые мне задали больше 2 человек. Вопрос о сертификации системного администратора мне задавали значительно больше двух человек. Попробую ответить просто и понятно.

Прежде всего давайте конкретизируем тему: ниже я постараюсь описать путь сертификации для системного администратора Windows Server 2003/2008, схему по которой сертифицировался сам.

Если вы решили получить сертификат Microsoft подтверждающий ваши навык администрирования Windows Server 2003, вам лучше знать о причинах своего решения. Хочу только напомнить, что после выхода Windows Server 2003 вышла версия Windows Server 2003 R2, Windows Server 2008 и наконец Windows Server 2008 R2. Может стоит сразу получать знания и сертифицироваться по более новым технологиям? 😉

Какие существуют сертификаты Microsoft для технического специалиста? Давайте рассмотрим их все по порядку... (далее…)

Обновление сертификата Exchange Server 2007 (Windows, О работе)  20.05.2009

"У нас с мужиками есть традиция, раз в год мы"...обновляем сертификаты на всех вверенных нам сервисах. В их число входит и Microsoft Exchange Server 2007. В этой заметке я кратко опишу этот процесс.

Прежде всего необходимо определиться с типом сертификата:

тип №1. Self-signed SSL-certificate. Если вас устраивает самоподписанный (self-signed) SSL-сертификат, то вам достаточно запустить "Командную консоль Exchange" и скомандовать New-ExchangeCertificate без каких либо дополнительных параметров. При этом будет выпущен и активирован самоподписанный сертификат сроком на год. Сразу хочу вас предупредить, что при использовании самоподписанных сертификатов со службами Exchange ActiveSync, Outlook Web Access или приложением Outlook на мобильном устройстве вы оберечены получать ошибки при проверке сертификата, а иногда и вообще не иметь возможности получить доступ к серверу. Поэтому переходим к следующему пункту...

тип №2. Сертификат выданный сторонним доверенным центром сертификации (ЦС). Этот вариант является наиболее рекомендуемым, если вам необходимо иметь удаленный доступ к ресурсам почтового сервера сохраняя при этом увереность в защищенности вашего соединения. В этом случае за сравнительно небольшие деньги вы получите сертификат подписанный доверенным ЦС (например, VeriSign), который будет легко проходить проверку во всех распространенных браузерах и на большинстве мобильных устройств.

тип №3. Сертификат выданный корпоративным ЦС. Этот тип полностью повторяет предыдущий, но только в роли доверенного ЦС выступает сервер размещенный в вашей организации с установленной службой "Центр сертификации". Для многих организаций этот вариант является вполне приемлимым, т.к. при подключении клиентского компьютера к домену Windows этот центр сертификации все равно будет добавлен в список доверенных. К тому же стоимость такого решения равна нулю (при условии наличия у вас лицензии на операционную систему). Об этом варианте использования сегодня и пойдет речь.

Применяемые обозначения:
Домен: antonborisov.ru
Контроллер домена с функциями корпоративного ЦС: main.antonborisov.ru
Сервер Microsoft Exchange Server 2007: mail.antonborisov.ru
Операционная система установленная на серверах: Microsoft Windows Server 2003

Ситуация: на почтовом сервере истек срок действия сертификата, пользователи при подключении видят предупреждение.

Действия...

  1. Прежде всего мы должны сформировать запрос на получение сертификата. Заходим в "командную консоль Exchange" на сервере mail и командуем:
    New-ExchangeCertificate -GenerateRequest -SubjectName "DC=antonborisov, DC=ru, CN=mail" -IncludeAcceptedDomains -DomainName mail,mail.antonborisov.ru,mail2.antonborisov.ru -Path c:\mail.req
    Теперь с корне диска C лежит файл запроса сертификата, который необходимо скопировать на корпоративный ЦС.
  2. Когда файл скопирован (например, в корень диска С) на нашем ЦС необходимо выполнить команду: CERTREQ -attrib "CertificateTemplate:WebServer" c:\mail.req
  3. Выбрав в появившемся окне ЦС (или просто нажав ОК если в организации один ЦС) в консоли появится примерно такое сообщение:
    Код запроса (RequestId): 2
    Получен сертификат(Выдан) Выдан

    и предложение сохранить выданный сертификат. Сохраняем и возвращаемся в "командную консоль Exchange"...
  4. Теперь нам необходимо импортировать полученный сертификат в Exchange. Делаем это командой: Import-ExchangeCertificate -Path "C:\mail.cer" , если мы сохранили полученный сертифитак в корне диска с именем mail.cer , конечно. В ответ мы получим "Thumbprint" из 40-ка символов (например, 808567131D859AE5144E23450970A093105E757B), который нам потребуется в дальнейшем.
  5. Exchange уже знает о существовании нового сертификата, но использует все равно старый. Необходимо "включить" новый сертификат. Делается это следующими командами:
    Enable-ExchangeCertificate -Thumbprint 808567131D859AE5144E23450970A093105E757B -Service SMTP
    для начала использования нового сертификата SMTP-сервисом
    Enable-ExchangeCertificate -Thumbprint 808567131D859AE5144E23450970A093105E757B -Service IIS
    и для службы IIS, соответственно.
  6. Если все прошло успешно, то на команду Get-ExchangeCertificate будет примерно вот такой ответ:
    Thumbprint                               Services Subject
    ----------                               -------- -------
    808567131D859AE5144E23450970A093105E757B  IP.WS   CN=mail, DC=ru, DC=antonborisov

Готово! Можно забыть об этой проблеме еще на один год... :)

О начальникам в общем и Microsoft в частности (Windows)  05.03.2009

Пост этот родился из коментария в блог Илье, моему коллеге и просто хорошему человеку.

Отвечу в соответствии с пунктами указанными у него.

Проблема №1 - Лицензирование.

Вот честно скажу лицензирование от Microsoft это монстр, монстр который сидит  на  плечах у великана и не дает ему дальше идти. Да я понимаю, что список выпускаемых  продуктов огромен, что компания интернациональная и в каждой стране свое  законодательство, что компанию нужно кормить и денег на это нужно очень много. Все это  я прекрасно понимаю. Но скажите мне зачем тогда скупать лучшие умы по миру? Чтобы  выпускать правила лицензирования на 100 листах А4 в которых разобраться можно только  если жизнь этому посветить? Чтобы человек, который отвечает за OEM-лицензирование (у MS)  выходил и не мог ответить на элементарные вопросы, только потому, что они не  проработаны? Не должно такого быть, должна быть логика, это логика должна быть понятна  не только избранным. Объясните мне логику CAL-лицензии, неужели сервер покупается для  того чтобы стоять отключенным от сети и тихо работать в одиночестве. Когда обычный  руководитель  компании начинает вникать в то за что он отдал деньги, он этой логики не  видит. На моем опыте реакция у всех одинаковая - “Они кровососы”. Ему проще отдать за  что то 100 тыс. долларов, чем заплатить 50 тыс. рублей и понять, что ему продали некомплект. Который заработает только если он еще доложит столько же. Моё мнение это нужно менять.

Схема лицензирования сложная, потому что клиенты очень разнообразные. "CAL"-лицензии позволяют держать стоимость сервера на доступном для большинства покупателей уровне, превысив который компания лишится клиентов в лице малого бизнеса. Вариант с "100 тыс. долларов" вместо "50 тыс. рублей" возможно является приемлемым для крупных организаций, а вот малый и средний бизнес с удовольствием лицензируется на 20-30 пользователей за относительно небольшие деньги. Как быть с ними? С другой стороны у любой крупной организации есть свой менеджер на стороне поставщиков софта, который не позволит дойти до ситуации "Они кровососы". Предложите мне хотя бы один достойный вариант лицензирования, который устроит все категории покупателей софта? Я таковых не вижу, возможно в силу недостатка знаний в этой области.

Проблема №2 - Сотрудники компании

Не будем кривить душой, работать в Microsoft это престижно, огромная международная корпорация с богатой историей, явно хорошим соц. пакетом и прочими прелестями жизни. На протяжении всей своей истории MS скупала лучшие умы, и я всегда был уверен, что там работают истинные гуру и фанаты своего дела. Но попав как-то в офис данной компании и познакомившись с достаточным количеством сотрудников, я был несколько ошарашен. Ребята и девчата расслаблены до безобразия, инфантильные с поведением в стиле “моя  жизнь удалась я прихожу на работу в центр земли”. Лихорадочно я  начал думать, откуда их набрали, неужели широкая улыбка критерий попадания в штат. И пришел к выводу что нет. Просто есть такой процесс как деградация. Можете закидать меня камнями, но я считаю все, что связано с ИТ это творческая работа. А художник должен быть голодным. Я не предлагаю заставить людей работать за еду, но сотрудник должен быть в тонусе, в состоянии постоянной внутренней конкуренции. Русские люди особенные им нельзя ставить плазму и x-box  в офис. Могу судить только за то что происходит в России, но скорее всего такая ситуация везде, просто здесь это хорошо видно.

За время своей не слишком долгой трудовой деятельности я не раз убеждался, что критиковать решения руководства не самый лучший путь. Мы в силу своей неосведомленности не можем судить о мотивах которые двигают руководителей крупных организаций к тем или иным решениям. С поста начальника всегда открывается вид на намного большее количество информации о процессах происходящих в организации, если он не реагирует (как вам кажется) на какие-то проблемы - это еще не значит, что он не замечает этих проблем. Для примера, я знаю организацию в которой на пост начальника юридической службы приняли абсолютно "зеленого" студента юр.фака. не сдавшего еще ни одной сессии. Все крутили пальцем у виска и шептались о интимной близости руководства и абитуриента, но в дальнейшем я узнал что только этот шаг помог смягчить удар от более высшего руководства. Когда частично раскрылись махинации с денежными потоками, начальник красиво списал это на ошибки впопыхах принятого юриста. Пример, конечно, не лучшим образом подходит для ситуцации в Microsoft, но откуда мы знаем чем эти люди добились права "ходить на работу в центр земли".

Зачем нам MCP/MCSA/MCSE ? (Windows, О разном)  18.01.2009

mcsa_mcse

Во время сдачи первого из трех экзаменов на MCSE я внезапно для себя понял мотив, который толкает людей к получению сертификатов - ЛЕНЬ! :)

Все кого я встречал в центре тестирования как один говорили "Мне это нужно чтобы устроиться на новую работу!" (редким исключением были объяснения "На работе заставляют получать эти корочки.") и я был уверен что мной движет та же идея. Хотя работу я в ближайшее время менять точно не собираюсь, да и мой послужной список с рекомендациями говорит сам за себя. Зачем тогда людям нужны эти корочки? Всё просто... (далее…)

Samba 3 — клиент в домене Windows (Linux, Windows, О работе)  13.12.2008

Давно собирался написать небольшой manual на эту тему, но каждый раз меня что нибудь останавливало. Сегодня же передо мной в очередной раз встала такая задача, поэтому писать я буду прямо по ходу действия.

Имеем:

  1. Будущий прокси-сервер на CentOS 5.2 с установленным samba-client и krb5-workstation
  2. Ныне живущий контроллер домена Active Directory на базе Windows 2003 (для примера буду указывать домен MAIN.LAN с сервером server.main.lan)
  3. Устойчивое желание иметь на линукс-машине авторизацию доменных пользователей
  4. Банку кабачковой икры, батон, кофе (опционально) :)

Шаг первый: "Время Kerberos"

Правим /etc/krb5.conf указывая имя домена и сервера который будет нас авторизовывать.

[realms]
MAIN.LAN = {
kdc = server.main.lan
admin_server = server.main.lan
}

Теперь пробуем авторизоваться под учетной записью администратора домена командой:
# kinit Administrator@MAIN.LAN
если в ответ на эту команду появляются ошибки, типа: kinit(v5): Cannot find KDC for requested realm while getting initial credentials или kinit(v5): KDC reply did not match expectations while getting initial credentials - ищем ошибку в файле /etc/krb5.conf . Если напротив все прошло без ошибок, смотрим что получилось командой:
# klist
Если в результате проверки появляется ошибка kinit(v5): Clock skew too great while getting initial credentials - часы на linux-машине и windows-сервере помнят разное время. Решить это можно установкой ntp-сервера и синхронизацией часов с серверами точного времени в интернете, но мне этот метод кажется не совсем "прямым". Ведь концептуально наша задача не получить точное время, а получить время одинаковое на обоих машинах. Я в качестве решения выполняю команду
# net time set -S server.main.lan
Так же эту команду можно дописать в файл /etc/rc.d/rc.local .

Шаг второй: "Samba и Winbind"

Если вы в будущем хотите каким либо образом работать с samba в качестве файл-сервера, то файл /etc/samba/smb.conf вам придется изучить в любом случае, но сегодня нас интересует только следующий его блок:
[global]
workgroup = MAIN
realm = MAIN.LAN
security = ads
password server = *
encrypt passwords = yes
netbios name = proxy
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes

Перезапускаем samba и winbind:
# service smb restart
# service winbind restart

Добавляем linux-машину в домен командой
# net ads join -U Administrator@MAIN.LAN

Получаем ошибку Failed to set servicePrincipalNames. Please ensure that the DNS domain of this server matches the AD domain, Or rejoin with using Domain Admin credentials. Deleted account for 'proxy' in realm 'MAIN.LAN'. Failed to join domain: Type or value exists ....и удивляемся. :)
Маленькая хитрость: в момент выполнения команды net ads join домен резолвится исключительно по файлу /etc/hosts , который про этот домент само собой и слухом не слыхивал. Добавляем туда соответствующую запись и заводим наконец в домен наш linux-компьютер указанной выше командой. Если все прошло успешно, то ответ на команду:
# wbinfo -t

должен быть - checking the trust secret via RPC calls succeeded. Теперь можно посмотреть список пользователей и групп домена командами:
# wbinfo -u
# wbinfo -g

На этой радостной ноте я закончу этот рассказ, т.к. его продолжение индивидуально для каждой задачи: NTLM-авторизация в Squid на этом этапе уже работает, нужно только поставить этот самый Squid; PAM-авторизацию нужно немного подкрутить, но в моей практике она не всегда необходима; чтобы использовать нашу linux-машину как файл-сервер нужно только описать доступные папки....дальше выбор за вами....

Firefox 3, впечатления консерватора (Linux, Windows, О разном)  28.06.2008

Многие думают что я консерватор, и многие правы. :) Но я участвовал в установке рекорда скачав Firefox3 в день его выхода и сразу обновился, хотя бету качал всего один раз и пользовался ей не больше получаса.

Firefox3 стал на порядок быстрее! Теперь браузер не настолько прожорлив в плане оперативки. На текущий момент у меня открыто 12 вкладок (из которых 4 с флэш-анимацией и 2 просто с очень объемными страницами документации), браузер занимает 83,6 мегабайта оперативки.

Firefox3 стал удобнее! Это исключительно моё субъективное мнение (равно как и все остальное в этом блоге). Новая адресная строка поначалу казалась непривычной, но сейчас я оценил её по достоинству. Звездочка добавления в избранное на своем месте и позволяет отвыкнуть от сочетания Ctrl-D. Признаюсь раньше я никогда не заходил в меню "Закладки" для добавления страницы, а пользовался только сочетанием клавиш. Теперь тоже самое можно делать мышкой.

Не все дополнения совместимы с новой версией! В частности мне очень не хватает ImgLikeOpera и RightEncoding. Конечно, можно перепаковать xpi исправив строку с версией, но я надеюсь в ближайшее время этим займутся разработчики дополнений. Кстати, дополнений для счастья мне надо совсем чуть-чуть: NoScript, Flashblock, Download Statusbar, Tab Catalog (ну очень удобно, если вкладок больше 15 открыто) и конечно же Foxmarks Bookmark Synchronizer, о котором я подробнее расскажу в следующей записи... :)

Всем удачных выходных, хорошего настроения и удачи в обновлении браузера!

Postfix как frontend для Exchange 2007 (Linux, Windows, О работе)  02.06.2008

Некоторое время назад перевел корпоративную почту на Exchange 2007, но пускать Exchange напрямую в интернет у меня нет ни малейшего желания. Сугубо моё ИМХО, но Linux в плане безопасности намного надежнее (спорить по этому поводу не хочу). В связи с этим было принято решение оставить Linux (а соответственно и Postfix) в качестве шлюза и фаервола. Плюсы (помимо безопасности) в дополнительной фильтрации на спам (и вирусы) на уровне Postfix и отсутствием дополнительных затрат на ПО (если в качестве альтернативы рассматривать дополнительный пограничный сервер на Win2k3+ADAM и Exchange в роли Edge Transport). Опишу только необходимые изменения исходя из того, что Postfix и Exchange 2007 уже установлены и работают. (далее…)