Wuauclt.exe – Ключи (Параметры командной строки) и секреты использования (Windows, О работе)  20.10.2011

Часто, бывает необходимо, подтолкнуть агента WSUS для проверки имеющихся обновлений и немедленной установки. Я для того использую простую команду wuauclt /detecnow

Но помимо этого, эта утилита имеет множество других применений и соответствующих параметров командной строки. Рассмотрим их:

/DetectNow - Запустить немедленный опрос сервера WSUS на наличие обновлений

/resetAuthorization - Сбросить авторизацию на сервере и клиенте. Фактически это новая регистрация на сервере WSUS. Полезна когда клиент подглюкивает, удаляем его на сервере и командой wuauclt /detectnow /resetAuthorization заново регистрируем на сервере с одновременным запросом списка обновлений

/reportnow Сбросить статистику на сервер

Остальные параметры не столь очевидны и самое главное их применение непонято и обычно не вызывает никаких изменений

/RunHandlerComServer - неизвестно
/RunStoreAsComServer - неизвестно
/ShowSettingsDialog - Показывает диалог настройки расписания установки обновлений
/ResetEulas - сбросить соглашение EULA для обновлений
/ShowWU - переход на сайт обновлений MS
/ShowWindowsUpdate - переход на сайт обновлений MS
/SelfUpdateManaged - неизвестно
/SelfUpdateUnmanaged - неизвестно
/UpdateNow - Немедленно запускает процесс обновления, аналогичен клику кнопки в окне уведомлений о наличии обновлений
/ShowWUAutoScan - неизвестно
/ShowFeaturedUpdates - неизвестно
/ShowOptions - неизвестно
/ShowFeaturedOptInDialog - неизвестно
/DemoUI - Показывает значок в трее - диалог настройки расписания установки обновлений или установки в зависимости от статуса

Сертификация Microsoft для системного администратора: MCP, MCTS, MCSA, MCSE, MCITP (Windows, О работе, О разном)  26.11.2009

У меня есть небольшая практика, я стараюсь писать ответы на вопросы, которые мне задали больше 2 человек. Вопрос о сертификации системного администратора мне задавали значительно больше двух человек. Попробую ответить просто и понятно.

Прежде всего давайте конкретизируем тему: ниже я постараюсь описать путь сертификации для системного администратора Windows Server 2003/2008, схему по которой сертифицировался сам.

Если вы решили получить сертификат Microsoft подтверждающий ваши навык администрирования Windows Server 2003, вам лучше знать о причинах своего решения. Хочу только напомнить, что после выхода Windows Server 2003 вышла версия Windows Server 2003 R2, Windows Server 2008 и наконец Windows Server 2008 R2. Может стоит сразу получать знания и сертифицироваться по более новым технологиям? 😉

Какие существуют сертификаты Microsoft для технического специалиста? Давайте рассмотрим их все по порядку... (далее…)

Восстанавливаем загрузчик GRUB с помощью Ubuntu (Linux)  24.06.2009

Допустим вы установили Windows на свою любимый ноутбук работающий всю сознательную жизнь под каким нибудь Linux дистрибутивом. Самая популярная операционная система подошла к вопросу загрузки ОС как первокурсник к женщине (ни ума, ни опыта :) ) и исключила возможность использования какой либо ОС, кроме себя любимой. Рассказываю как вернуть все на свои места...

Качаем (или достаем с полки) популярный Linux-дистрибутив Ubuntu и загружаемся в режим LiveCD. Открываем консоль (приложение "Терминал") и командуем следующее для входа в интерактивный режим управления загрузчиком: sudo grub

Теперь нам надо найти загрузочный раздел Linux, чтобы сделать это с помощью grub в появившейся строке командуем: find /boot/grub/stage2

В ответ появится строка похожая на эту (цифры в скобках будут ваши): (hd0,4)

Остается показать загрузчику где находится root-раздел с помощью команды root (hd0,4) и установить загрузчик на диск командой setup (hd0)

Готово! Командуем quit и перезагружаемся...

P.S. Если вам всё таки нужно иногда пользоваться Windows (не зря же вы её устанавливали), придется добавить в файл /boot/grub/menu.lst следующие строки (предварительно заменив число в скобках на номер вашего Windows-раздела):
# Windows XP
title Windows XP
rootnoverify (hd0,0)
chainloader +1

Обновление сертификата Exchange Server 2007 (Windows, О работе)  20.05.2009

"У нас с мужиками есть традиция, раз в год мы"...обновляем сертификаты на всех вверенных нам сервисах. В их число входит и Microsoft Exchange Server 2007. В этой заметке я кратко опишу этот процесс.

Прежде всего необходимо определиться с типом сертификата:

тип №1. Self-signed SSL-certificate. Если вас устраивает самоподписанный (self-signed) SSL-сертификат, то вам достаточно запустить "Командную консоль Exchange" и скомандовать New-ExchangeCertificate без каких либо дополнительных параметров. При этом будет выпущен и активирован самоподписанный сертификат сроком на год. Сразу хочу вас предупредить, что при использовании самоподписанных сертификатов со службами Exchange ActiveSync, Outlook Web Access или приложением Outlook на мобильном устройстве вы оберечены получать ошибки при проверке сертификата, а иногда и вообще не иметь возможности получить доступ к серверу. Поэтому переходим к следующему пункту...

тип №2. Сертификат выданный сторонним доверенным центром сертификации (ЦС). Этот вариант является наиболее рекомендуемым, если вам необходимо иметь удаленный доступ к ресурсам почтового сервера сохраняя при этом увереность в защищенности вашего соединения. В этом случае за сравнительно небольшие деньги вы получите сертификат подписанный доверенным ЦС (например, VeriSign), который будет легко проходить проверку во всех распространенных браузерах и на большинстве мобильных устройств.

тип №3. Сертификат выданный корпоративным ЦС. Этот тип полностью повторяет предыдущий, но только в роли доверенного ЦС выступает сервер размещенный в вашей организации с установленной службой "Центр сертификации". Для многих организаций этот вариант является вполне приемлимым, т.к. при подключении клиентского компьютера к домену Windows этот центр сертификации все равно будет добавлен в список доверенных. К тому же стоимость такого решения равна нулю (при условии наличия у вас лицензии на операционную систему). Об этом варианте использования сегодня и пойдет речь.

Применяемые обозначения:
Домен: antonborisov.ru
Контроллер домена с функциями корпоративного ЦС: main.antonborisov.ru
Сервер Microsoft Exchange Server 2007: mail.antonborisov.ru
Операционная система установленная на серверах: Microsoft Windows Server 2003

Ситуация: на почтовом сервере истек срок действия сертификата, пользователи при подключении видят предупреждение.

Действия...

  1. Прежде всего мы должны сформировать запрос на получение сертификата. Заходим в "командную консоль Exchange" на сервере mail и командуем:
    New-ExchangeCertificate -GenerateRequest -SubjectName "DC=antonborisov, DC=ru, CN=mail" -IncludeAcceptedDomains -DomainName mail,mail.antonborisov.ru,mail2.antonborisov.ru -Path c:\mail.req
    Теперь с корне диска C лежит файл запроса сертификата, который необходимо скопировать на корпоративный ЦС.
  2. Когда файл скопирован (например, в корень диска С) на нашем ЦС необходимо выполнить команду: CERTREQ -attrib "CertificateTemplate:WebServer" c:\mail.req
  3. Выбрав в появившемся окне ЦС (или просто нажав ОК если в организации один ЦС) в консоли появится примерно такое сообщение:
    Код запроса (RequestId): 2
    Получен сертификат(Выдан) Выдан

    и предложение сохранить выданный сертификат. Сохраняем и возвращаемся в "командную консоль Exchange"...
  4. Теперь нам необходимо импортировать полученный сертификат в Exchange. Делаем это командой: Import-ExchangeCertificate -Path "C:\mail.cer" , если мы сохранили полученный сертифитак в корне диска с именем mail.cer , конечно. В ответ мы получим "Thumbprint" из 40-ка символов (например, 808567131D859AE5144E23450970A093105E757B), который нам потребуется в дальнейшем.
  5. Exchange уже знает о существовании нового сертификата, но использует все равно старый. Необходимо "включить" новый сертификат. Делается это следующими командами:
    Enable-ExchangeCertificate -Thumbprint 808567131D859AE5144E23450970A093105E757B -Service SMTP
    для начала использования нового сертификата SMTP-сервисом
    Enable-ExchangeCertificate -Thumbprint 808567131D859AE5144E23450970A093105E757B -Service IIS
    и для службы IIS, соответственно.
  6. Если все прошло успешно, то на команду Get-ExchangeCertificate будет примерно вот такой ответ:
    Thumbprint                               Services Subject
    ----------                               -------- -------
    808567131D859AE5144E23450970A093105E757B  IP.WS   CN=mail, DC=ru, DC=antonborisov

Готово! Можно забыть об этой проблеме еще на один год... :)

Samba 3 — клиент в домене Windows (Linux, Windows, О работе)  13.12.2008

Давно собирался написать небольшой manual на эту тему, но каждый раз меня что нибудь останавливало. Сегодня же передо мной в очередной раз встала такая задача, поэтому писать я буду прямо по ходу действия.

Имеем:

  1. Будущий прокси-сервер на CentOS 5.2 с установленным samba-client и krb5-workstation
  2. Ныне живущий контроллер домена Active Directory на базе Windows 2003 (для примера буду указывать домен MAIN.LAN с сервером server.main.lan)
  3. Устойчивое желание иметь на линукс-машине авторизацию доменных пользователей
  4. Банку кабачковой икры, батон, кофе (опционально) :)

Шаг первый: "Время Kerberos"

Правим /etc/krb5.conf указывая имя домена и сервера который будет нас авторизовывать.

[realms]
MAIN.LAN = {
kdc = server.main.lan
admin_server = server.main.lan
}

Теперь пробуем авторизоваться под учетной записью администратора домена командой:
# kinit Administrator@MAIN.LAN
если в ответ на эту команду появляются ошибки, типа: kinit(v5): Cannot find KDC for requested realm while getting initial credentials или kinit(v5): KDC reply did not match expectations while getting initial credentials - ищем ошибку в файле /etc/krb5.conf . Если напротив все прошло без ошибок, смотрим что получилось командой:
# klist
Если в результате проверки появляется ошибка kinit(v5): Clock skew too great while getting initial credentials - часы на linux-машине и windows-сервере помнят разное время. Решить это можно установкой ntp-сервера и синхронизацией часов с серверами точного времени в интернете, но мне этот метод кажется не совсем "прямым". Ведь концептуально наша задача не получить точное время, а получить время одинаковое на обоих машинах. Я в качестве решения выполняю команду
# net time set -S server.main.lan
Так же эту команду можно дописать в файл /etc/rc.d/rc.local .

Шаг второй: "Samba и Winbind"

Если вы в будущем хотите каким либо образом работать с samba в качестве файл-сервера, то файл /etc/samba/smb.conf вам придется изучить в любом случае, но сегодня нас интересует только следующий его блок:
[global]
workgroup = MAIN
realm = MAIN.LAN
security = ads
password server = *
encrypt passwords = yes
netbios name = proxy
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes

Перезапускаем samba и winbind:
# service smb restart
# service winbind restart

Добавляем linux-машину в домен командой
# net ads join -U Administrator@MAIN.LAN

Получаем ошибку Failed to set servicePrincipalNames. Please ensure that the DNS domain of this server matches the AD domain, Or rejoin with using Domain Admin credentials. Deleted account for 'proxy' in realm 'MAIN.LAN'. Failed to join domain: Type or value exists ....и удивляемся. :)
Маленькая хитрость: в момент выполнения команды net ads join домен резолвится исключительно по файлу /etc/hosts , который про этот домент само собой и слухом не слыхивал. Добавляем туда соответствующую запись и заводим наконец в домен наш linux-компьютер указанной выше командой. Если все прошло успешно, то ответ на команду:
# wbinfo -t

должен быть - checking the trust secret via RPC calls succeeded. Теперь можно посмотреть список пользователей и групп домена командами:
# wbinfo -u
# wbinfo -g

На этой радостной ноте я закончу этот рассказ, т.к. его продолжение индивидуально для каждой задачи: NTLM-авторизация в Squid на этом этапе уже работает, нужно только поставить этот самый Squid; PAM-авторизацию нужно немного подкрутить, но в моей практике она не всегда необходима; чтобы использовать нашу linux-машину как файл-сервер нужно только описать доступные папки....дальше выбор за вами....

Windows Update — загружает, но не устанавливает (Windows)  30.05.2008

Вчера столкнулся с проблемой Windows Update. Служба обновлений исправно скачивала апдейты и предлагала начать установку, но через несколько секунд после её начала появлялось сообщение "Следующие обновления не удалось установить" и список всех предложенных обновлений.
ОС Windows XP Prof SP3 (раньше встречал подобные симптомы на SP2), Браузер IE7. В журнале событий никаких ошибок или уведомлений.

Решение нашлось довольно быстро. Цитата с сайта CNews.ru.

Microsoft обнаружила причину ошибки, которая привела к блокировке автоматических обновлений Windows с августа 2007 г. при использовании функции восстановления системы с дистрибутива.

Менеджер Microsoft Windows Update Нэйт Клинтон (Nate Clinton) раскрыл подробности в блоге команды разработчиков программы. При переустановке Windows новый драйвер «Microsoft Update», WUPS2.DLL, остается незарегистрированным в системе. В частности, на него нет ссылок в обновленном реестре. Таким образом, сервис не может найти новую версию драйвера и, следовательно, не может загрузить обновления, сообщает Betanews.com.

Для устранения неполадок необходимо остановить сервис Windows Update (WUAUSERV) и перерегистрировать wups2.dll («regsvr32 wups2.dll» в командной строке), затем запустить сервис снова.

Надеюсь кому нибудь будет полезно.

Road Show: Решения Microsoft: преимущества для Вашего бизнеса (Windows, О работе)  16.03.2008

Во вторник (18 марта) в Ростове пройдет семинар "Road Show: Решения Microsoft: преимущества для Вашего бизнеса", который я планирую посетить. Организаторы Softline и Microsoft.

Приглашаются технические директора, руководители IT-департаментов, IT-менеджеры и технические специалисты компаний любого уровня. Cеминар будет интересен юристам компаний, которые заинтересованы в минимизации юридических рисков, предотвращении наступления ответственности за использование нелицензионного ПО, защите интеллектуальных активов компании, обеспечении должной прозрачности в рамках программного обеспечения. (далее…)

Security Service Pack 3 для русской Windows XP SP2 (Windows, О работе)  11.09.2007

Данный архив представляет из себя сборник обновлений, исправлений и дополнений для русской Windows XP SP2 Pro (Home) имеющих статус "критические". То есть после установки Windows XP SP2, обратившись на сайт windowsupdate.com вы получите ниже представленный список фиксов.

Из критических не присутствует KB917734 так как предназначен для Windows Media Player строго для своей версии, дабы сделать пакет более универсальным этот фикс не включен. Фиксы KB894391 и KB902400 заменены фиксом KB912817, так как заменяет с успехом их обоих, к тому же несёт более новые версии файлов.

Список включенных в пакет обновлений:
KB893803 KB909520 KB911564 KB925398 KB873339 KB885836 KB886185 KB887472
KB888302 KB890859 KB891781 KB893756 KB896256 KB896358 KB896423 KB896428
KB898461 KB899591 KB900485 KB900725 KB901017 KB901190 KB901214 KB904706
KB904942 KB905414 KB905749 KB908519 KB908531 KB910437 KB911280 KB911562
KB911927 KB912817 KB913580 KB914388 KB914389 KB916595 KB916846 KB917344
KB917953 KB918118 KB918439 KB919007 KB920213 KB920670 KB920683 KB920685
KB920872 KB921503 KB922582 KB922819 KB923191 KB923414 KB923689 KB923980
KB924270 KB924667 KB924867 KB925720 KB925876 KB926255 KB926436 KB927779
KB927802 KB927891 KB928255 KB929123 KB930178 KB930916 KB931192 KB931261
KB931836 KB932168 KB932716 KB933062 KB935192 KB935448 KB935839 KB935840
KB935989 KB936021 KB936357 KB936455 KB937143 KB938127 KB938375 KB938828
KB938829 KB939373 KB939884 KB940322 KB936181 KB890830-1.32 KB933579
ROOTSUPD KB923789 script 5.7.0.16535 wu6

p.s. Пакет и описание актуальны на 15 августа 2007г.., позднее как мы знаем, майкрософт не даст нам скучать.

Скачать Service Pack 3 pre ; зеркало Размер: 44.6мб

FAQ:
1. Действительно пакет предназначен для установленной системы русской Windows XP SP2.
2. Архив содержит подготовленные фиксы - удалены "лишние папки", одинаковые для всех фиксов файлы установки вынесены в корень. После запуска скрипта внимательно читаем сопроводительную надпись. Скрипт поочередно копирует файлы установщика в нужные папки и запускает "update.exe" с ключами. После установки фикса папка с ним удаляется (во время установки есть комментарий). После окончания установки всего пакета, временная папка с ним удаляется, удаляются log - файлы "KBXXXXXX" из "systemroot". Перезагрузка жесткая.
Внимание:
После установки во всех случаях будет проведена принудительная перезагрузка системы. Перед применением настоятельно рекомендуется сделать резервную копию системы при помощи утилит класса Acronis True Image или Symantec Norton Ghost.

Вся информация в этом посте взята с форума OSZone. Все права на пак и описание принадлежат им. Решил разместить здесь, т.к. сам пользуюсь этим паком дома и на работе. Думаю он пригодится моим читателям.

Windows Server 2003 SP2 (Windows)  20.03.2007

Microsoft выпустила второй пакет исправлений для Windows Server 2003. Этот сервис пак является кумулятивным, т.е. выключает в себя предыдущий. Поддерживаются разные редакции следующих операционных систем: Windows Server 2003; Windows Server 2003 R2 (32-Bit x86); Windows Server 2003 Service Pack 1; Windows Small Business Server 2003.

Ссылка на скачивание x86 версии
Ссылка на скачивание x64 версии

Скачал и поставил себе x86. Работает вроде стабильно. Ближе к концу недели буду разбираться более деталиьно в нововведениях. Результаты "разборок" буду описывать здесь, если времени хватит.

P.S.
На выходных скорее всего буду в Шахтах. Если есть шахтинцы щелающие получить SP2, но не имеющие возможности скачать, пишите, привезу на болванке.