Tohle jsem už několikrát našel, pak zase zapomněl, tak si to tentokrát raději hned napíšu. Standardně jsou Windows 7 zabezpečeny tak, aby práce se SPTI (SCSI Pass Through Interface) byla umožněna pouze administrátorům. Některé softy umožňuji toto nastavení změnit rovnou během instalace, některé ne a pak je pouze na adminovi, aby to nastavil v lokální bezpečnostní politice. Takže pokud nechci být pruzen UAC při spouštění třeba ImgBurn či InfraRecorder, postačí v Local Security Policy ve větvi Security Options nastavit na Enabled položku Devices: Restrict CD-ROM access to locally logged-on user only.
Před dlouhou dobou jsem sesmolil článek, který se, mimo jiné, zaobíral nastavením relay na Exchange Serveru 2003. Doba pokročila, mezistupeň v podobě Exchange 2007 jsem si užil jen asi 3 měsíce a rovnou skočil do verze 2010. Mnohé se zjednodušilo, ale úskalí SMTP protokolu zůstávají stejná. Změnil se jen ksicht (v případě GUI), resp. vznikla konzole (PowerShell). A jak jsme na tom s relayingem? Více...
Aby bylo možné na W2008 CA vystavovat certifikáty se SAN (Subject Alternative Names), je potřeba zkontrolovat, zdali je CA nakonfigurována, aby SAN podporovala. Přihlásím se tedy buď přímo RDP na server s CA, případně spustím certsrv.msc na pracovní stanici s nainstalovanými RSAT, a spustím:
certutil -getreg policy\SubjectAltName
certutil -getreg policy\SubjectAltName2
Pokud povoleno není, tak povolím a následně restartuji službu CA:
certutil -setreg policy\SubjectAltName enabled
certutil -setreg policy\SubjectAltName2 enabled
net stop CertSvc
net start CertSvc
Poté běžným způsobem přes webové rozhraní interní certifikační autority zažádám o certifikát typu Web Server.
Na domácím počítači, na němž jsem postupně upgradoval Windows 2008 Server různými beta verzemi R2 až po finální R2, v kořenovém adresáři disku C: vidím adresáře $INPLACE.~TR a $WINDOWS.~Q. To samé na notebooku s Windows 7, kde jsem zase pro změnu upgradoval na RTM z různých bet a RC. Tyto adresáře lze po pár měsících od upgradu prohlásit definitivně za nepotřebné (neboť nějakou kravinu bude člověk potřebovat až teprve poté, co tyto adresáře smaže, přičemž je lhostejné, kdy k tomu dojde).
Zjistil jsem, že nejsnazším způsobem je spuštění nástroje Disk Cleanup, který jsem popravdě dosud nikdy nepoužil. Nachází se v Accessories, System Tools. Ale pozor, na Windows 2008 Serveru R2 pouze v případě, kdy je na něm nainstalována fíčura Desktop Experience. Tohle na produkčních serverech nikdy instalovat nebudu (s výjimkou Terminal serverů samozřejmě), nicméně doma na “W2008 super-workstation” to nainstalované mám. Více...
Ačkoliv byl k převodu použit VMM 2008 R2, objevuje se při startu W2003 virtuálu chyba nenabíhající služby ovladače.
Jediným řešením, jak se toho zbavit, je vlézt přes regedit do HKLM\SYSTEM\CurrentControlSet\Services\Parport a zde změnit REG_DWORD pojmenovaný Start z hodnoty 3 na 4. Reboot a otravná chyba je pryč.
Jak se postupně vše virtualizuje, vyplouvají na povrch další a další drobnosti, které na které je potřeba při instalaci pamatovat. Provozujeme kupříkladu testovací prostředí dvojuzlového Windows 2003 clusteru pod Hyper-V. Jelikož Hyper-V nepodporuje žádnou variantu sdílené SCSI sběrnice, je potřeba clusterové počítače vytvářet s využitím iSCSI disků.
V případě, kdy jsou coby clusterové disky, použity výhradně iSCSI disky, je třeba zabezpečit, aby cluster služba nabíhala až poté, co naběhne Microsoft iSCSI Initiator. Více...
Před pár hodinami vydal Microsoft finální verzi balíku bezplatných aplikací Windows Live Essentials. Potěší, že dostupné jsou i verze v řadě jazyků, češtinu nevyjímaje. Z kompletního balíku používám zejména Windows Live Mail a vynikající Windows Live Writer, ve kterém už výhradně píšu všechny příspěvky na tento blog. Pro synchronizaci Oblíbených (Favorites) z IE na různých počítačích jsem používal Windows Live Sync, nyní změna, došlo ke sloučení s obdobným produktem Live Mesh. V beta verzi se to jmenovalo Windows Live Sync, v dnešní finální verzi je to pro změnu Windows Live Mesh. Asi aby se to nepletlo :) Tak a konec psaní, jde se stahovat.
A jelikož je již standardem, že webová instalace nějak zlobí, tak je vhodný odkaz na offline installeralespoň v anglické verzi. Více...
Pokud je nezbytně nutné mít na AD serveru souborový antivirus, tak je zapotřebí:
- na x64 systému používat x64 antivirus
- definovat bezpodmínečně výjimky, na které nesmí antivirus sahat. Jelikož nastavování per file nebo dle koncovek je pruda, je nejmenším zlem nastavit adresářové výjimky:
c:\windows\NTDS\
c:\windows\SYSVOL\sysvol\
c:\windows\system32\Dns\
Doplnění 1.10.: Teprve před půlnocí z 30.9. na 1.10. Microsoft zveřejnil patche na Windows Update, resp. Microsoft Update, resp. WSUS. Ruční instalace byla pěkná pruda, protože bylo nutné stáhnout hotfixy pro všechny .NET Framework instalace, které se na konkrétním serveru nacházely. Nyní je to tedy daleko jednodušší.
Microsoft včera večer vydal hotfix pro závažnou ASP.NET zranitelnost. Security Bulletin MS10-070 je zde. Článek v MSKB 2418042 pak tady. Tento dokument pak popisuje bohužel též “Known issues”, takže doporučuji před instalací pročíst (a samozřejmě zálohovat). O problému podrobně informoval Scott Guthrie, jeho článek o vydání hotfixu je zde. Jeho článek obsahuje přímé odkazy na patch soubory pro jednotlivé OS a .NET FW verze (i když je doporučeno aktualizovat přes Microsoft Update/WSUS).
Týmy zodpovědné za Sharepoint i Exchange potvrdily “nezávadnost” tohoto patche. No uvidíme.
Po provedení patche je možné odstranit všechny obezličky, které se provizorně nasazovaly (úpravy ve web.config souborech, modul Michala Valáška, nasazení URLScan nebo IIS 7.5 Request Filtering).
Také máte zažito, že MSDN a Technet předplatné obsahují 10 klíčů k téměř každému produktu? Tak s tím je nyní konec. Microsoft potichu snížil počty u Technet Professional na 5 a u Technet Standard dokonce na 2 klíče. Důvodem je boj proti pirátům. Technet klíče prý byly zneužívány a šířeny s padělanými SW instalacemi.
U MSDN předplatného k žádné změně nedochází.