пятница, 28 декабря 2012 г.

#RuTeched: Отвечаю на вопросы. Будет ли работать Dynamic Access Control при использовании репликации?

imageКак я уже сказал, мои лабы на TechEd вполне удались, но все же я не смог ответить на ряд вопросов и пообещал сделать это позже, когда разберусь. Что ж, время пришло. Один из посетителей сказал мне, что в его опыте был случай, когда какое-то свойство файла не было отреплицировано через DFSR и поинтересовался, не поломается ли от репликации DAC. Я, разумеется мог поставить эксперимент (и сделаю это, на самом деле), но он только ответил бы на вопрос: “да” или “нет”. Ну или “возможно”. Но вряд ли бы он дал мне ответ на вопрос “почему?”. Так как я вовсе не на короткой ноге с репликацией файлов, мне пришлось просить помощи и я знал точное место, где ее можно было найти: блог AskDS.

Ответ пришел весьма быстро. Вкратце: “все будет супер”. Длинный ответ (в моем переводе) идет дальше:

“Позвольте мне уточнить некоторые аспекты вашего вопроса и ответить на каждую часть

При включении Dynamic Access Control для папок и файлов, следует рассматривать несколько аспектов.

Resource Properties

- Resource Properties определены в AD и используются в качестве шаблонов, чтобы проставить на файлы и папки дополнительные метаданные, которые могут использоваться в принятии решений об авторизации доступа. Эта информация хранится в дополнительных потоках данных (alternate data stream) папки или файла. И эта информация будет отреплицирована так же, как и дескриптор безопасности.

Security Descriptor

Как уже было сказано, они реплицируются вместе с файлом, так что все условия будут отреплицированы вместе с ними.

Все это никак не привязано к Dynamic Access Control—это просто результат репликации, к примеру, в случае репликации DFSR DAC не имеет никакого отношения к этим результатам.

Central Access Policy

Central Access Policy это способ распространить разрешения без внедрения их нпрямую в DACL дескриптора безопасности. Так что, когда Central Access Policy развернута на сервере, администратор должен прилинковать политику к папке на файловой системе. Это линкование осуществляется вставлением специального ACE в часть дескриптора безопасности, отвечающую за аудит и говорит Windows, что этот файл или папка защищены с помощью Central Access Policy.  Вследствии этого разрешения в Central Access Policy комбинируются с разрешениями Share и NTFS, чтобы получить итоговые разрешения.

Если файл или папка реплицируются на файловый сервер, который не имеет развернутой Central Access Policy, то DAC, очевидно, не применяется и разрешения так же не будут применяться.

Спасибо ребятам из этого блога: они лучшие Winking smile

четверг, 20 декабря 2012 г.

#RutechEd: Результаты лабораторных работ.

techEdHeaderLogo

Я только что получил результаты опроса по своим лабораторным работам с TechEd Russia. И результаты меня даже не удивили, они меня шокировали! Обе мои лабы в Топ5, а одна просто первая!

«Очуметь!!!» (с) =)

Так что огромное спасибо за такие высокие оценки посетителям. Вы мне задали такую высокую планку на следующий год, что я уже начинаю готовиться =)

Не меньшее спасибо организаторам и людям, которые создавали сами лабораторные работы: одна из двух оценок, формирующих мою итоговую – ваша. Мои оценки за мастерство:

DirectAccess: 9 из 9

Dynamic Access Control: 8.55 из 9

понедельник, 17 декабря 2012 г.

MCPClub: послевстречие

MCP Club moscow

13 декабря мы завершили сезон года в Московском MCP-Клубе моим выступлением. Передо мной Олег Ржевский рассказал о том, почему прекращается производство TMG, а находившийся там же Алексей Голбергс о том, “как это было”.

Потом уже настала моя пора, и я на почти два часа увел аудиторию в обуждение DirectAccess 2012, и почему стоит теперь задуматься о внедрении, даже если предыдущая версия Вас не заинтересовала.

Аудитория, как всегда, была великолепна: они прощали мне мои маленькие ошибки, местами знали о предмете больше меня (зачем онии вообще в таком раскладе приходят? Видимо, это все-таки стало Клубом Winking smile ), и все такое. В общем, мне понравилось, надеюсь, что им тоже.

А сейчас я обрабатываю запись (увы, потерялось видео демонстрации, я выбрал неправильный режим записи. Надеюсь, что сможем восстановить). Ждите.

вторник, 11 декабря 2012 г.

MCP-Клуб 13 декабря: DirectAccess 2012

MCP Club moscow

Олег Ржевский уговорил меня на авантюру: выступить на MCP-в Москве практически без подготовки. К счастью, я вел лабораторную работу на TechEd по этой теме, так что хоть что-то рассказать да смогу, ну и блокнот возьму с собой: записывать вопросы, на которые не знаю ответа Winking smile

Координаты и анонс тут и еще в куче мест.

Ну и тут на всякий случай:

Точный адрес: Microsoft Россия, Бизнес-центр Крылатские холмы (Москва, ул. Крылатская, д. 17, корп. 1, ближайшая ст. метро – Крылатское)

13 декабря в 19.00. Я постараюсь не опаздывать 8)

четверг, 29 ноября 2012 г.

#RuTechEd закончился

IMG_6100

TechEd Russia завершил свою работу. На этот раз я был слишком занят, чтобы побыть нормальным посетителем: в первый день мы с Андреем Бешковым готовили свою презентацию и демонстрации, а во второй я значала проверял лабораторный работы, потом проводил их, а потом… Потом TechEd закончился =)

Чем я занимался? А вот чем:

1) Презентация. За кулисами Advanced Persistent Threat. К сожалению я не очень доволен своей частью выступления, Буду исправляться. Хотя я надеюсь, что посетители не заметили, тем более, что демонстрации, в общем-то прошли без проблем.

2) Лабораторная работа по Dynamic Access Control. Достаточно простая, хотя и содержащая множество мелких деталей. Мне кажется все удалось, все проблемы у “студентов” мы решили мгновенно. 

3) Вторая лабораторная работа была по DirectAccess. На этот раз без проблем не обошлось, но в конечном счете почти все справились с ней.

В целом, я собой почти доволен, хотя и сильно завидую тем, кто мог позволить себе просто походить послушать докладчиков =)

Жду оценок посетителей, возможно, там будет о чем еще подумать.

Немного фото:

IMG_0393

Мой первый завтрак на этом TechEd. То ли чем-то недоволен, то ли опечалован… что неудивительно, потому что я его вскоре съел Winking smile

IMG_6136

MS MVPs обсуждают захват мира. Слева направо: Илья Сазонов, Олег Ржевский, Игорь Лейко.

IMG_6123

Докладческая перед началом времен.

суббота, 24 ноября 2012 г.

TechEd. Я иду.

Да, в этот раз я не являюсь активным участником секции “спроси эксперта”, зато читаю доклад про Advanced Persistent Threat с Андреем Бешковым и веду две лабораторные работы: про DirectAccess и Dynamic Access Control.

Приглашаю, должно быть круто Winking smile

четверг, 22 ноября 2012 г.

Халява: Introducing Windows 8: An Overview for IT Professionals

0160.image_5186E8A3Просто еще одна книга для нас, IT Pro.

Развертывание, управление, безопасность, восстановление… Все, что может Вам понадобиться, чтобы Ваши пользователи полюбили новую ОС.

Ссылки на закачку внизу.

PDF Introducing Windows 8- An Overview for IT Professionals - PDF ebook
Mobi Introducing Windows 8-An Overview for IT Professionals – Mobi format for Kindle
ePub Introducing Windows 8-An Overview for IT Professionals – ePub format

понедельник, 17 сентября 2012 г.

FeedDemon + Windows 8: превозмогая сложности

Кого-нибудь удивит, что я пытаюсь на данный момент обжить W8? Нет? Ну и правильно: пытаюсь. На данный момент есть пара проблем, которые делают мою жизнь в этой ОС затруднительной и один, который делает ее провто невозможной:

  • У меня все еще нет нормального драйвера для eToken или я не умею его готовить.
  • Evernote в новом интерфейсе (мы больше не используем термин “Metro”, да) – отстой. Дело не в интерфейсе, а в изменившейся логике некоторых вещей и в ряде пропавших фишек. Сегодня попробую поставить нормальную версию.
  • И, наконец, FeedDemon продолжает выдавать мне огромные количества сообщений об ошибках.

Ну и, кажется, последняя ошибка, наконец, перестанет меня беспокоить. Перво наперво, сама ошибка:

Untitled picture0

ну или в тексте: “Error saving file: The process cannot access the file because it is being used by another process (32)” и потом указание на какой-то файл в папке Temp.

Я честно не представляю, какова взаимосвязь между такими симптомами и решением проблемы (хотя, это все же обходное решение), но оно работает: 

1. Сначала идем в настройки персонализации

2. И меняем цветовую схему с автоматической (верхний левый вариант) на любую другую:

Untitled picture

Voila! Больше никаких сообщений об ошибке.

понедельник, 27 августа 2012 г.

Очередное выступление

image

Как и было обещано, я и еще двое MVP (Михаил Комаров и Станислав Булдаков) рассказали все, что от нас желал MS и еще больше. Миша жЁг аж два раза, очень продуктивно. Я и Станислав отстрелялись по разу, но тоже, вроде бы, никого не обидели Winking smile Народу было мало (стыд и позор!), но мы все равно старались =)

Я, как всегда, пришел не подготовленным и без бумажки, потому из кучи вопросов, на которые не смог с ходу ответить, помню только один: почему по-умолчанию установленный 2012 ругается на BPA. Отвечу. Если кто помнит остальные вопросы – отпишитесь.

воскресенье, 19 августа 2012 г.

Groundswell, запускаем 2012!

image

22 августа в Московском офисе MS пройдет микромероприятие по запуску Windows Server 2012. Микро – по сравнению с лончем 2008, когда запуск был сродни маленькой Платформе. Всего 4 сессии и все закончится сразу после обеда. Зато рассказывать будут сполшные MVP, которых хоть и попросили выданные презентации не менять, но вы ж нас знаете Winking smile Моё – 4е.

В общем, пропустят туда народу не много, но приглашаем всех. Официальный текст приглашения:

 

Приглашаем вас присоединиться к мероприятию посвященному Windows Server 2012, на котором Вы узнаете об основных изменениях и нововведениях Windows Server 2012, а именно:

1. Вариантах виртуализации, предлагаемых в рамках решений Microsoft, а также их возможности оптимизации производительности, управления, безопасности, эффективности приложений и других нагрузок.

2. Инновационных функциях и возможностях расширения функциональности хранения данных.

3. Сетевой инфраструктуре. Ключевых функциях.

4. Улучшениях в управлении

Мероприятие состоится в головном офисе Microsoft 22го августа 2012г начало в 10:00

Ссылка для регистрации - https://msevents.microsoft.com/CUI/InviteOnly.aspx?EventID=98-3D-7F-3A-CD-75-98-59-FD-5B-2D-E0-85-1C-8D-15&Culture=ru-RU&community=0

четверг, 19 июля 2012 г.

Статьи по решению проблем.

imageКак-то я наткнулся на статью, которая была, на самом деле, всего лишь списком ссылок на другие статьи в Windows IT Pro. Я даже не помню, где я нашел этот список (скорее всего в том же WinITPro), но помню, что наборчик оказался полезным для меня.

В моей свалке информации список называется “troubleshooting learning path” и это похоже на правду. Не расползаясь мыслию по древу, ниже приведен список. Для доступа к статьям нужно всего лишь выполнить поиск по InstantDoc ID на главной странице журнала

Have fun:

 

Name InstantDoc ID
Administrators’ Intro to Debugging 101818
Conquer Desktop Heap Problems 101701
Disk2vhd: The Windows Troubleshooter’s New Best Friend 102980
Examining Xperf 102054
Find the Binary File for Any WMI Class 102615
Further Adventures in Debugging 102867
Get a Handle on Windows Performance Analysis 101162
Got High-CPU Usage Problems? ProcDump ‘Em! 102479
Reap the Power of MPS_Reports Data 101468
Resolve Memory Leaks Faster 99933
Resolve WMI Problems Quickly with WMIDiag 100845
Say ‘Whoa!’ to Runaway Processes 100212
Simplify Process Troubleshooting with DebugDiag 100577
Troubleshooting the Infamous Event ID 333 Errors 101059
Under the Covers with Xperf 102263

понедельник, 16 июля 2012 г.

Лучшие практики для… chkdsk

imageЧем больше я работаю, тем больше мне становится ясным тот простой факт, что даже самая повседневная и простая на первый взгляд вещь, технология или утилита могут скрывать в себе небывалый простор для изучения. Ну, что-то вроде простейшего кекса, который прост пока не попробовать его испечь =)

То же самое оказалось возможным сказать про, например, chkdsk. Как думаете, нужно ли для этой команды знать что-либо помимо параметров командной строки? Ладно, если Вы не из Почемучек, то вряд ли. Или, возможно, мы не подумали о том, какое воздействие на наше окружение может оказать это “ничтожество”. К примеру, возьмем стандартную ситуацию: файлсервер рос и развивался вместе с организацией, пока, наконец, не пришла пора обзаводиться своими SLA и прочими атрибутами сервисного подхода Winking smile Вы, как старый, опытный камикадзе разумный человек, согласовали это самое SLA, учтя все, что можно и нельзя:

- время восстановления из резервных копий каждого набора информации и приоритет этого восстановления (без чего-то компания не может обойтись и пары часов, я что-то может обождать)

- время, необходимое для замены испорченного оборудования

- ну и все такое.

Но одним прекрасным днем том, на котором располагается около 500 миллионов мелких но нужных файлов помечается системой, как “грязный” и уходит после перезагрузки в глубокий chkdsk… Ваш SLA включал возможность этих 99 (!!!) часов простоя? Мой – нет =(

К счасть. и ситуация придуманная (для меня), так что у меня еще есть время на все эти “мелочи”, а теперь, после прочтения документа с названием “NTFS Chkdsk Best Practices and Performance”, еще есть и полезные мысли =)

Кстати, в Server 2012 будут некие крупные изменения во всем этом. Читаем и готовимся.

четверг, 5 июля 2012 г.

Собственный troubleshooting pack

image

Внимание: мой новый RSS-Feed: http://feed.feedcat.net/815939

Измените свою подписку, пожалуйста. 

Как я однажды написал, можно не только сказать пользователю, какой именно ему нужно запустить troubleshooting pack, но и создать собственный. Ну и не прошло пары лет, как я созрел разобраться, как же это делается и рассказать. Я был уверен, что это близко к, как говорят наши иностранные коллеги, “rocket science”, однако я сильно заблуждался: это легко. Мало того, это достаточно интересно, поскольку для его создания нужно применить практически все из арсенала гиков:

1) Использовать GUI

2) Написать скрипты

3) Запустить то, что получилось и увидеть автоматический результат!

Так что, давайте приступим.

К сожалению, эта штука проста, но не настолько, чтобы ее можно было создать в notepad. Ну, может и есть такой метод, но он будет всяко сложнее, чем то, что я сейчас расскажу. Перво-наперво, необходимо скачать Windows 7 SDK. Я, честно говоря, не знаю, какой именно компонент ставит то, что нам нужно, потому поставил все целиком. Если кому-то критично, что ставится, всегда можно выяснить. Ну а после инсталляции, в меню найдется Troubleshooting Pack Designer:

image

Теперь остается определиться, какую проблему нам нужно решить с помощью нашего будущего чудо-инструмента. В моем случае я собираюсь автоматически решать мелкую, но доасдную проблему. Мой ноутбук Dell не всегда корректно определяет скорость сети, после того, как я помещаю его в док-станцию. Обычно помогает выключение и включение сетевого интерфейса, что, в общем-то, не сложно, но всегда же хочется потратить день на то, чтобы потом решить за пять минут задачку, не правда ли? (и да, я знаю, что просто скрипт из двух строчек был бы даже лучше, но… См. вышеWinking smile). Так что запускаем утилиту:

image

и создаем новый проект:

image

image

(обратите внимание на поле “Privacy URL”: оно обязательно к заполнению) Дальше все предельно просто. Добавляем новую корневую причину сбоя (Root cause) (а можно и несколько добавить). В моем случае это “A Network is detected 10Mbps instead of 100”:

image

и жмем “Design Troubleshooter”. Выполняем ряд настроек: Troubleshooter – включать или не включать привилегированный режим, и взаимодейстовать ли с пользователем. В моём случае ни то, ни другое не нужно:

image

Потом конфигурируем resolver, и у меня для него все так же просто:

image

Ну и разумеется, мы желаем, чтобы после исправления проблемы наш инструмент сам проверил, а правда ли проблема устранена:

image

Ну и наконец, нужно создать скрипты для этих задач

Troubleshooter:

# TroubleshooterScript - This script checks for the presence of a root cause

# Key Cmdlets:

# -- update-diagrootcause flags the status of a root cause and can be used to pass parameters

# -- get-diaginput invokes an interactions and returns the response

# -- write-diagprogress displays a progress string to the user

 

$RootCauseID = "NetIs10"

 

# Your detection Logic Here

$speed = (Get-WmiObject -Class Win32_NetworkAdapter | Where-Object { $_.Speed -ne $null -and $_.MACAddress `

-ne $null -and $_.name -like "*82567lm*"}).speed

if ($speed -ne 100000000)

      {

      $RootCauseDetected = $true

      }

      #Replace "$true" with the result of your detection logic

 

#The following line notifies Windows Troubleshooting Platform of the status of this root cause

update-diagrootcause -id $RootCauseId -detected $RootCauseDetected

Чрезвычайно примитивно, всего лишь проверяет, равна ли скорость интерфейса 100Mbps.

Resolver:

# Resolver Script - This script fixes the root cause. It only runs if the Troubleshooter detects the root cause.

# Key cmdlets:

# -- get-diaginput invokes an interactions and returns the response

# -- write-diagprogress displays a progress string to the user

 

# Your logic to fix the root cause here

$network = Get-WMIObject Win32_NetworkAdapter | where {$_.name -like "*82567lm*"}

$network.disable()

Start-Sleep 4

$network.enable()

Этот даже еще проще: просто “перезагружает” интерфейс.

Ну и теперь компилим (попутно решаем вопрос о том, каким сертификатом подписывать: тестовым самоподписанным или нормальным), пакуем и используем.

image

По крайней мере для меня это было забавным приключением с полезным выхлопом. Надеюсь и всем остальным тоже понравится.

понедельник, 2 июля 2012 г.

Обзор блога

imageОбзоров блога не было весьма давно, увы. Аж с июня 2011. Впрочем, даже с учетом того, что я только-только вернулся к нормальному режиму, и обзирать не особо было что. Итак, приступим.

  • LCDS: Создавайте свои собственные онлайн курсы

    Неплохой способ, имея готовый контент, оформить его в настоящий учебный курс, который можно распространять с сайта или на других носителях.

  • Секреты %systemroot%\System32: defrag

    очередная статья серии. Продолжение будет, я надеюсь.

  • “Нюхаем” сеть без сниффера… & “Нюхаем” сеть без сниффера… Часть 2

    Отличный способ собрать информацию о сети с компьютера клиента, не обучая того никаким лишним для него трюкам.

  • Новости и халява

    Чуть-чуть давно устаревших новостей и маленькая россыпь халявы

  • Докладываю…

    Я был докладчиком на первом в России TechEd. Получилось средненько, буду работать над собой.

  • Внимание: очередные проблемы с отменой перехода на зимнее время в России и других странах.

    Ну эта эпопея давно закончилась, но тогда мы знатно поработали Winking smile

  • TechEd – всё

    Мини-отчет о TechEd.

  • Где моя почта, чувак?! (meme edition)

    Как научить отучить пользователя читать почту в папке удаленных писем.

  • Lync and fortunes

    Один из самых полезных моих скриптов. Smile Нет, правда, он у меня запускается каждый день =)

  • #RuTeched: результаты

    Собственно, над чем мне нужно поработать после TechEd.

  • Даже если ты параноик, это не значит, что за тобой не следят.

    Я решил съехать с Гугла. Процесс пока идет и вполне успешно.

  • MS SIR #12

    Немного о Conflicker и прочих чудесах.

  • И снова MVP! + чуть-чуть халявы в качестве извинения.

    Запоздало, но отчитался и снова все пообещал.

  • Trustworthy Computing. SDL освоили, что дальше? & Trustworthy computing: SDL освоили, что дальше. Часть 2: некорпоративненькая.

    Мне нравится, что произошло с продуктами MS после введения инициативы Trustworthy Computing, но мне не нравится, что на этом они и остановились.

  • Легенды и мифы ИТ #2: PKI edition.

    Продолжение серии о легендах и мифах в IT. На сей раз о том, что планировать безопасность, не включая голову – небезопасно Winking smile 

  • Looking for a GP object?

    Еще немного о поиске GPO. На этот раз именно объекты в существующем окружении мы и будем искать.

  • Want to learn about cryptography? I know where.

    Времени стало субъективно больше, потому я записался на курс криптографии и Вам рекомендую Winking smile

  • четверг, 28 июня 2012 г.

    Желаете подучить криптографию? Я знаю где.

    image

    Внимание: мой новый RSS-Feed: http://feed.feedcat.net/815939

    Измените свою подписку, пожалуйста.

    У Вас есть немного свободного времени и Вы желаете знать, как работает шифрование? Какой крипто-алгоритм является самым надежным? И почему λ всегда больше, чем ε… Ну… Последнее, конечно, явные враки. =)
    Как бы то ни было, есть место, где можно бесплатно поучиться этому делу (при наличии знания английского языка, увы). Stanford University предоставляет бесплатно курс по криптографии. Найти его можно тут: https://www.coursera.org/#course/crypto. Я всего на второй неделе и уже подделал одно шифрованное сообщение и почти расшифровал второе (“почти” не потому, что это так сложно, а потому что весьма трудоемко, а я ленив занят).

    В общем, добро пожаловать в мир знаний Winking smile

    понедельник, 25 июня 2012 г.

    Looking for a GP object?

    image

    Внимание: мой новый RSS-Feed: http://feed.feedcat.net/815939

    Измените свою подписку, пожалуйста.

    Какое-то время назад я писал о поиске конкретных настроек в редакторе групповых политик, что, вне всяких сомнений, полезно. Однако это важно, когда Вы пытаетесь создать новую политику или найти нужную настройку в конкретной одной существующей. Что же делать, если нужно найти все политики в Вашем окружении, в которых такие настройки присутствуют? Ответ существует еще со времен 2003го сервера. Отнюдь не идеальный, но все же лучше, чем ничего.

    Итак, нам нужно найти в наших GPO те, которые отвечают за настройки, связанные со, скажем, безопасностью? Поехали:

    1) Запускаем консоль GPMC, щелкаем правой кнопкой по нужному домену:

    image

    После нажатия на пункт “Search…” получаем следующий интерфейс:

    image

    Скажем, нам нужно найти настройки безопасности в компьютерной части GPO. Ок, давайте добавим этот критерий:

    image

    image
    image

    и нажмем кнопку поиска:

    image

    Как несложно увидеть у нас два объекта содержат такие настройки.

    Чудесно! Или нет? Что же, как я и сказал в самом начале, это лучше, чем ничего, однако все еще недостаточно хорошо, чтобы считаться даже близким к идеалу. Что можно было бы улучшить? Ну, например, можно добавить поиск не только объектов, но и линков, чтобы можно было понять, что и на что действует, а так же искать по OU, а не только из корня. Ну или поиск не по разделу, а по имени конкретной политики.

    А у читателей есть какие-нибудь идеи?