Pěknou botu jsem dnes vyrobil. Takovou, že si ji raději zapíšu, aby se mi to nepovedlo znovu. Network Load Balancing služba běžící na několika web serverech (a je už jedno, zdali Windows Server 2003 či 2008) dokáže spořádat pěknou porci požadavků od uživatelů. Přesto se však stává, že je občas některý ze serverů velmi zatížen – typicky při “návštěvě” nějakého ne příliš citlivého indexovacího robota. Pokud je afinita NLB pravidla nastavena na Network či Single, směřuje provoz od žádající IP adresy vždy na jeden webový server. Tento server pak může být přetížen. Zkrátka a dobře jsme si řekli, že by bylo dobré nastavit afinitu na None, takže by se load-balancovaly všechny jednotlivé požadavky, tj. i ty, které by pocházely od uživatele se stejnou IP adresou. Více...
Při pokusu o přihlášení se objevuje tato chybová hláška:
530 User domain\user cannot log in, home directory inaccessible.
Login failed.
Problém je v tom, že izolace uživatelů využívá ještě jedné adresářové struktury (na rozdíl od IIS5) ve tvaru:
\\ftproot\LocalUser\%UserName%
\\ftproot\%DomainName%\%UserName%
Takže místo c:\inetpub\ftproot\user1\ je potřeba mít vytvořenou adresářovou strukturu c:\inetpub\ftproot\domain\user1\.
Kolega zápolil se zajímavým problémem. Nainstaloval na anglické Visty Service Pack 2. A od té doby bojoval s funkčností L2TP i SSTP VPN spojení. Hlásilo mu to neuvěřitelné hlášky o chybě hardware. Řešení nakonec našel, i když schované pod jinou chybou. Každopádně postup popsaný v KB953795 zabral a VPN-ky už mu opět šlapou. Více...
Koncem minulého roku proběhla zpráva o úspěšném podvržení certifikátu vystaveného certifikační autoritou, jež používá hash algoritmus typu MD5 (délka otisku 128 bitů). Hackeři (říkejme jim v tomto případě vědci :)) použili “ekonomicky výhodný” superpočítač tvořený gridem 200 Playstation 3. Nedávno jsem zaregistroval zprávu o teoretické nabouratelnosti též hash algoritmu SHA1, který používají všechny komerční certifikační autority, jež se chlubí tím, že jsou “více bezpečné” než ty, které zatím mají hash odvozený z MD5.
Když je jen otázkou času, kdy padne SHA1, nabízí se otázka, co s tím? Certifikační autorita na Windows Serveru 2008 nabízí vyjma MD5 a SHA1 též SHA256, SHA384, SHA512. Poslední tři uvedené spolu s SHA224 jsou nazývané pod souhrnným názvem SHA2. SHA1 vytváří otisk o délce 160 bitů, u ostatních je délka otisku patrná přímo z názvu. Více...
Poslední produkty Microsoftu (k mé nelibosti) zhusta používají WMI, nejlépe oboustranně navazované RPC spojení a podobné špeky. To v momentě, kdy je v cestě firewall, nezřídka znamená konec všech snah o zprovoznění. Výjimkou je MS ISA Server, ale jen v případě, že pravidla na něm nevyráběl jouda.
Testovat dostupnost WMI pomocí těch cílových softů je peklo, v případě problémů je nutné přejít o několik úrovní níž na diagnostické nástroje. Nástroje ping a telnet jsou ale už zase moc nízko :) Více...
Jsou věci, který si prostě nezapamatuju. Takže si pro sebe píšu:
1) stáhnout a nainstalovat Windows6.1-KB958830-x64.msu
2) Control Panel –> Programs –> Turn Windows features on or off
3) rozbalit Remote Server Administration Tools –> Role Administration Tools
4) zaškrtnout Hyper-V Tools
Pokud došlo k nakopnutí služby Windows Time (ať už nešetrným zásahem v registrech či činností viru), je možné provést opravu následovně:
net stop w32time (pokud služba běží)
w32tm /unregister (tento příkaz provést dvakrát, klidně víckrát)
w32tm /register
net start w32time
Pokud je to třeba PDC, tak je dobré zkontrolovat net time /querysntp.
Pokud to síťová pravidla nedovolují, případně je nefunkční Microsoft Update (třeba činností viru), je možné do FFCS nacpat aktuální definice jejich manuálním stažením. Blíže http://support.microsoft.com/?id=938202 (Security State Assessment definition updates) a http://support.microsoft.com/kb/935934/ (latest antimalware definition updates).
Security State Assessment definition updates:
Pro x86 zde, pro x64 tady.
Antimalware definition updates:
Pro x86 zde, pro x64 tady.
A ještě vlastně jedna poznámka – pro “unmanaged” instalaci FFCS si stačí dle TechNetu z instalačního ISO vytáhnout tyto soubory:
CLIENTSETUP.EXE
FCSSSA.MSI
MP_AMBITS.MSI
WINDOWSXP-KB914882-X86-CSY.EXE (pro české WXP)
WINDOWSXP-KB914882-X86-ENU.EXE (pro anglická WXP)
X64\CLIENTSETUP.EXE
X64\FCSSSA.MSI
X64\MP_AMBITS.MSI
Instalace se pak spustí
clientsetup.exe /NOMOM
Doplnění 17.7.2009:
Service Pack 1 pro FFCS lze stáhnout manuálně pomocí Katalogu služby Microsoft Update, do vyhledávacího pole je třeba zadat číslo 951951, mělo by to najít Forefront Client Security Service Pack 1 (KB951951), poklepáním na název produktu a volbou v záložce Výběr jazyka lze omezit pouze Angličtinu, čímž se zmenší stahovaná data z 10,2 MB na 1,2 MB. Následně je nutné aktualizaci Přidat do koše, poté si koš zobrazit a stisknout Stáhnout. Vyberu cílové místo.
Na domácím počítači jsem provedl upgrade z Windows Serveru 2008 x64 SP2 na R2 x64 RC. Po chvíli laděni jsou přístupné všechny grafické vychytávky Windows 7, příjemným bonusem je však funkční Hyper-V. Potřeboval jsem bleskem zazálohovat jedno DVD a ouha – DVD Shrink se prostě nespustí. Laborování s módy kompatibility bohužel nikam nevedly, stejně tak spouštění jako administrátor. Více...
To jsem si zase jednou zkomplikoval život. Potřeboval jsem na velmi, ale velmi pomalém počítači rozjet windows-based účetnictví a základní programy – prohlížeč, poštovního klienta, antivir. Zvolil jsem Windows XP Fundamentals for Legacy PCs. Tento speciální operační systém, představující Microsoftem maximálně ořezaná PC, s oblibou používám ve virtuálním prostředí, kde je to opravdu ďábelsky rychlé.
Při instalaci operačního systému jsem zvolil téměř všechny komponenty, s výjimkou dvou – Windows Messenger a Windows MediaPlayer. S tím druhým jsem si, jak se později ukázalo, pěkně zavařil. Více...