понедельник, 28 февраля 2011 г.

Обзор блога за февраль 2011

А вот Вам очередной список статей за этот месяц:

  • Перевели серверы на 2008 R2, а рабочие станции администраторов все еще на XP? В такой ситуации управлять DNS удаленно можно только после определенного шаманства.

  • Что делать, если разрешения на объекте в AD не подчиняются администратору и всегда возвращаются к своему исходному значению.

  • Новость, просто новость. Можно качать и ставить уже давно, кстати.

  • Продолжение серии. На сей раз управляем авторизацией.

  • Пользователи не могут ничего найти в своей почте? Возможно, у вас просто проблемы с индексом базы данных Exchange.

  • Дата проведения определена. Готовы?

  • Я опять пытался нагнать скуку на слушателей. Кажется, без особого успеха Winking smile

  • четверг, 24 февраля 2011 г.

    MCP Club: Послевстречие

    MCP ClubПозавчера я снова имел удовольствие выступать на Московском MCP-Клубе. Темой встречи были Infrastructure Planning Design guides. И знаете что? Мне кажется, что это было весело! По крайней мере мне точно было не скучно, и я надеюсь, что аудитория тоже не скучала. =)

     

    Что, собственно, происходило? Сначала я прочитал маленькую презентацию про IPD и почему это так важно – качественно планировать. Например, было сказано, что качественное планирование помогает избежать борьбы за ресурсы тогда, когда это не нужно:

    129175272583063672

    =)

    А потом мы сделали что-то вроде лабораторной работы:

    image

    Слушатели придумали компанию (немного странную, но нам и такая сошла), потом с небольшой моей помощью спланировала для этой компании инфраструктуру Exchange 2010 (руководство IPD было выбрано случайно: Get-Random), а в конце мы посмотрели, что же было упущено с помощью IPD. Нужно сказать, что мы почти ничего важного при первоначальном планировании не потеряли, так что в аудитории оказались настоящие профи (это же MCP-Клуб, в конце то концов Winking smile ). 

    Спасибо, ребята. Вы в любой презентации самое главное, но этот доклад был такого рода, что без Вашей вовлеченности просто не состоялся бы! =)

    понедельник, 21 февраля 2011 г.

    Scripting Games 2011

    powershellАга, в этом году они снова будут проводиться. Я не уверен, что смогу выполнить прошлогоднее обещание и написать к ним мини-тьюториал, я даже не уверен, что смогу поучавствовать в них сам, а потому и обещать ничего не буду. Однако Вам настоятельно рекомендую принять в них участие: замечательная развлекаловка, и ни одного проигравшего! =)

    В этом году Игры будут проведены с 4 по 15 апреля. Всех деталей пока не сообщали, но уже собраны в одну кучу некоторые учебные ресурсы. А так же можете у себя на блоге/сайте/форуме повесить баннер:

    2011 Scripting Games Grab this badge here!

    P.S. Кстати, я уже скачал и поставил SP1 для Windows 7/Windows 2008 R2. Полет нормальный. Всем, кто не подписчик  MSDN/TechNet сервис пак будет доступен завтра.

    P.P.S. Завтра выступаю на Московском MCP-Клубе. Темой будут Infrastructure Design Planning Guide. Надоюсь, удастся заинтересовать слушателей. Winking smile

    четверг, 17 февраля 2011 г.

    Не можете ничего найти в своей почте? Прибейте индекс.

    exchangeЕще один запрос, который пришлось недавно решать: один из сотрудников нашей компании пожаловался, что поиск по его почтовому ящику не выдает результаты из относительно свежих сообщений. То есть, скажем, трехнедельной давности почту в результатах видно, а более свежую – нет. Перестроение индекса на его рабочей станции результатов не принесло, плюс к этому он не использовал кешированный режим в Outlook. Что же, мой поиск вроде был в порядке, и я должен был как-то воспроизвести проблему, так что я отключил кеширование и у себя. Опаньки! Последние три недели из поиска просто сдуло.  Учтя тот факт, что мой ящик был в той же базе данных, что и ящик обратившегося за помощью сотрудника, я решил, что источник этой трагедии крылся в серверном индексе. 
    Как можно проверить, все ли хорошо с поиском на сервере? Ответ было не сложно найти: командлет Test-ExchangeSearch для Exchange 2010 или 2007. Запустив эту команду для моего ящика я получил следующее:
    ResultFound : False
    SearchTime : –1
    Ну тут уже было очевидно, что что-то пошло не так. Как можно восстановить индекс? Это оказалось снова не сложно: нужная статья KB была найдена моментально, так что просто зашел на сервер и запустил скрипт  ResetSearchIndex.ps1 из комплекта установки Exchange для проблемной базы данных. Разумеется, пересоздание индекса для относительно круаной базы данных задает работу серверу как в плане процесорного времени, так и в плане IO, так что я делал это в нерабочие часы. И просто на случай, если Вам, как и мне нужно будет знать, перестраивается ли индекс в данный момент или уже закончил, Вам понадобится наблюдать за некоторыми счетчиками производительности, точнее, за одним счетчиком: MSExchange Search Indices – Full Mode Crawl Status. Можно его наблюдать для конкретной базы или для _Total, что удобнее. В любом случае, для каждой базы он будет равен 0, когда полной индексации не проиисходит и 1, когда, напротив, идет полное пересоздание каталога поиска. После того, как индексирование закончено, Вы можете проверить, решена ли проблема, еще раз:
    [PS] C:\Windows\system32>Test-ExchangeSearch domainname\username
                                ResultFound                              SearchTime
                                    -----------                                   ----------
                                           True                                              5
    Моя-то точно решена =)

    понедельник, 14 февраля 2011 г.

    Секреты %SystemRoot%\System32: AzMan

    Если быть честным, то я очень долго думал, что это какая-то никому не нужная консоль непонятного назначения. Но не так давно я взглянул на нее поближе и понял, что я был абсолютно не прав. Это на самом деле очень мощный инструмент управления разрешениями для приложений, которые его поддерживают. Настолько много возможностей можно открыть с его помощью, что эта статья только затравка: в будущем я планирую сделать еще одну или несколько с описанием конкретных применений. пока же просто представьте, что Ввам нужно предоставить кому-то полный контроль над виртуальной машиной Hyper-V, включая возможность удалить ее, но при этом отобрать возможность создавать снапшоты (вечная головная боль, знаете ли). Можно ли создать такой набор полномочий с помощью AzMan? Легко! Вам нужно создать прямо противоположныю политику? Добро пожаловать. Вы желаете чтобы пользователь был проверен не только на членство в группах, но, скажем, на нахождение Сатурна в созавездии Девы? Создайте для таких нужд скрипт и создайте на его базе правило с помощью AzMan. Еще один факт, который чрезвычайно мне импонирует: этот инструмент очень ориентирован на ролевой доступ. Мышление в терминах ролей просто навязывается им.

    image2

    Хорошо, скажете Вы мне, в чем ловушка? К сожалению, она есть и не одна. Первое: Ваше приложение должно быть спроектировано и написано с учетом возможностей Authorization Manager. Для многих приложений от MS это так, например, для Hyper-V. Однако, если Вы используете SC VMM, то пользоваться AzMan почти невозможно и VMM дает Вам меньше возможностей по сравнению с AzMan. В DPM возможности этой консоли еще не сломаны никаким “управляющим” ПО, однако возможности настройки чрезвычайно скудны. =(

    И все же, если Вам это не мешает, или Вы используете какое-нибудь другое приложение, которое совместимо с AzMan, то я искренне Вам рекомендую посмотреть на него.

    четверг, 10 февраля 2011 г.

    Service Pack 1 for Windows 7 & Windows Server 2008 R2 + MBAM

    Brandon LeBlanc снова меня порадовал! =) SP1 теперь RTM. Для скачивания будет доступен пользователям TechNet & MSDN 16го февраля, всем остальным – 22го.

    Помимо многочисленных заплаток Service Pack содержит новые технологии для Windows Server: RemoteFX  Dynamic Memory.

    И еще одна хорошая новость: Microsoft Desktop Optimization Pack пополнился еще одним продуктом, который может оказаться интересным. И это Microsoft BAM! =) Ну или Microsoft Bitlocker Administration and Monitoring. Развернуть, проследить и помочь восстановить – все это теперь должно быть намного проще. Лично я собираюсь потестировать Winking smile

    понедельник, 7 февраля 2011 г.

    Дело о застрявших разрешениях

    imageОднажды я получил запрос от одного из наших администраторов, которому были делегированы определенные права на AD в его сфере ответственности. Он жаловался мне, что он не имеет необходимых прав на одну из учетных записей. Что ж, нет проблем: небольшое исследование и – бинго! – я выяснил, что по непонятным причинам на этой учетной записи было отключено наследование прав. Починка не отняла у меня много времени: одна галка, кнопка “Ок” – не великая потеря времени. На следующий день я получил повторный запрос по тому же поводу и по той же самой учетной записи. Наследование опять было отключено. Ладно, я не такой уж новичек, я даже знаю кое-что о таких тайнах бытия, как adminCount, adminSDHolder и SDProp. Так что я пошел и удостоверился, что проблемный пользователь не является членом ни одной из защищенных групп – так оно и было. Так что я попробовал еще пару трюков навроде переноса учетки в другое OU и обратно. Безрезультатно. И в этот самый момент я получил еще одни запрос, от другого администратора про другую учетную запись, но с тем же самым эффектом. И эта другая учетная запись тоже когда-то была членом группы Domain Admins. 
    Что ж, теперь было очевидно, что именно SDProp перезаписывает разрешения на объектах. Проверка атрбута adminCount показала, что наконец-то я был прав: он был установлен в 1.Как только я установил его в 0 и восстановил наследование, все пришло в норму. А еще немного поковырявшись, я выяснил, что когда объект покидает защищенную группу, adminCount не возвращается в значение 0. И это сделано специально, by design. Чуть больше деталей можно найти здесь и здесь. А я в следующий раз буду чуть менее ленивым и буду больше доверять своиему внутреннему Админу – глядишь, время сэкономлю Winking smile

    четверг, 3 февраля 2011 г.

    Управление DNS сервером на базе Windows Server 2008 R2 с рабочей станции под управлением Windows XP

    Получение статуса MS MVP автоматически означает получение вопросов от читателей, знакомых и незнакомых. Я их обычно получаю немного, но все-таки получаю. Последний показался мне достаточно интересным. После прочтения моей статьи о делегировании администрирования DNS один из моих читателей обнаружил, что мое решение не работает в его окружении. Видите ли, у него в рабочей сети все еще используются рабочие станции с Windows XP, в то время, как серверы (или их часть) уже переведены на Windows 2008 R2. В такой конфигурации он получает “access denied”, такое вот:

    image[2]

    или другие ошибки при попытках подключиться к 2K8R2 DNS серверу с рабочей станции под управлением Windows XP.

    Я с такой проблемой не сталкивался: видимо сказывается моя привычка использовать клиентские ОС с их ранних бета-тестирований. Так что поначалу я подумал, что, возможно у “пострадавшего” как-то что-то неправильно настроено. Однако, простейший тест подтвердил наличие проблемы: моя свежеустановленная XP наотрез отказалась подключаться к моим R2 серверам, совершенно свободно подключаясь при этом к любым 2003м. Не растекаясь мыслию по древу скажу коротко: в итоге я нашел статью, которая описывает проблему, на support.microsoft.com: Windows Server 2008 R2 DNS Servers can only be managed by computers running Windows Server 2008 or later.

    Причина проблемы кроется, согласно этой статье, в усиленной безопасности для RPC. Решения вполне просты: Вы должны либо

    1) управлять своим DNS сервером локально (с консоли или по RDP)

    2) или уменьшить уровень безопасности до совместимого с помощью ввода команды dnscmd /config /RpcAuthLevel 0 на каждом сервере, которым Вы собираетесь так управлять.

    Первый метод и обсуждать нечего – вполне очевидное решение. Второй существенно менее безобиден. Как минимум, он делает Ваш сервер менее безопасным. Что можно сделать для уменьшения последствий? Ну, например:

    • использовать для такого управления только один сервер. Пусть изменения будут реплицироваться с него с помощью AD или еще каким-нибудь методом
    • изолируйте этот сервер настолько, насколько Вы можете: доступ к нему кроме совсем уж необходимого должны иметь только администраторы, которым Вы делегировали эти права и только с тех компьютеров, с которых Вы это разрешите.

    Ну и последний вариант решения проблемы, который мне все-таки нравится больше других: обновите свои рабочие станции до W7. =)