Заметки IT Менеджера

06.07.2010

Что нужно не забыть сделать после перехода на домен Windows 2008 R2

обновлено 06.07.2010
Эта запись не претендует на полноту. В общем-то, как и многие другие мои сообщения здесь, она сделана для себя. Просто чтобы при повторе не забыть что делать и куда смотреть :-)
Итак:
  • Настроить синхронизацию времени на DC с ролью PDC эмулятора с внешним источником.
    Я как-то уже делал инструкцию Настройка точного времени в домене Windows 2003 / 2008 / 2008 R2, правда тогда еще для 2003 сервера. Вчера потратил весь день на 2008 R2 сервере в попытках настроить, ничего не получалось. А уже вечером выяснилось, что наш сетевой инженер еще на выходных перепрошил циску, которая у нас служит источником точного времени и на вчера этот сервис просто не работал :-(. Но есть и плюсы, я отшлифовал поиск проблем при настройке этого сервиса и обновил инструкцию :-)

(more…)

Реклама

12.03.2010

Как починить WSUS agent на клиентской машине

21.06.2012 – Пожалуйста, ищите последнюю версию этого документа по ссылке Как починить Windows Update?

Обновлено 12.03.2010 – добавлен скрипт для восстановление доступов к реестру и системным папкам

Ранее, я уже писал, как сверить список компьютеров, которые есть в AD с теми, которые есть во WSUS. Если эти списки не совпадают, то у вас проблема и часть компьютеров не обновляется.

В самом простом случае, вы забыли сделать групповую политику, которая настраивает клиентские компьютеры и серверы на обновление со WSUS, или сконфигурировали ее так, что она не применяется. Ручная настройка параметров через gpedit.msc тоже допустима, но только для тех компьютеров, которые не входят в домен.

Итак, политика применяется, но все равно компьютер не обновляется. Что делать и как лечить?

(more…)

18.12.2009

Windows 2008 R2 DC & network Team

Сегодня получил сюрприз от Microsoft. Оказывается, Domain Controller на Windows 2008 R2 не будет работать, если сетевые карты там объединены в Network Team …

Причем, все это выглядит очень оригинально, повышаю уже существующий сервер до контроллера домена, все проходит нормально. Затем вижу, что есть ошибки и не стартовал Wins, DNS и еще пару служб. Стартую их вручную – они запускаются. Но в event log ошибки.

Запускаю

Answerdcdiag /test:dns

от результата просто офигеваю:

Starting test: Connectivity
      Message 0x621 not found.
      Got error while checking LDAP and RPC connectivity. Please check your
      firewall settings.
      ……………………. dc02 failed test Connectivity

отключаю firewall – не помогает. При этом, те сервисы, которые запускаются вручную – после перезагрузки – снова не работают, ошибки в event log по прежнему идут.

Начинаю искать причины и обнаруживаю, что единственная рекомендация – снести network team! Офигеть, т.е. теперь у меня контроллеры домена будут без горячего резерва по подключению к сети. Т.е. это позиция от Microsoft – Windows Server 2008 R2 – не поддерживает конфигурации с балансировкой сетевой нагрузки или сетевой отказоустойчивостью, если она реализована средствами драйверов сетевой карты!

В общем-то, еще с Windows Server 2003 тоже были свои интересные проблемы, но уже другого характера. Дело в том, что установка network team предполагает, что программа вначале удаляет обе сетевые, а затем добавляет, но уже три, одна из которых виртуальная. Ну а контроллер домена не может ни на секунду оставаться без сетевой :-) Т.о. сделать network team можно только до того, как сервер повышен до контроллера домена.

20.11.2009

Настройка точного времени в домене Windows 2003 / 2008 / 2008 R2

обновлено 26.03.2012
Все хотят видеть на компьютере точное время, кроме того, это очень важно для нормального функционирования домена Windows и AD. Казалось бы, чего проще, настраиваешь PDC эмулятор на синхронизацию с каким-нибудь ntp и все становится на места само собой … Но нет, уже несколько раз, наблюдалась рассинхронизация контроллеров домена между собой и жалобы пользователей на то, что наше время отличается от точного на пару минут.
Казалось бы, смешная проблема – пару минут, но для некоторой работы и пара минут важно. Особенно, если это редактора новостной ленты www.korrespondent.net. Правда были еще и шуточные жалобы, что они из-за этой проблемы целых 2, 3 или 5 минут перерабатывают :-)
Стандартные “танцы с бубнами”, которые делал я, а потом и наш сетевой инженер, по руководству от Microsoft помогали, но не долго. Т.е. время сходится, ошибки из лога исчезают, а через пару часов, или, через сутки все начинается заново. А потом, через пару-тройку недель, или месяц-другой, ошибка снова достигает размера более 2-х минут и все заново.
(more…)

26.10.2009

Installation failed with error 1603 или проблемы с агентом BackupExec

И снова проблемы с переустановкой агента BackupExec. В прошлый раз удалось обойти проблему удалением файлов модификации для Microsoft Installer.

Симптомы следующие, при попытке установить агента на сервера x64 получаем ошибку Installation failed with error 1603. При этом при установке с сервера ошибка хоть видна, а при локальной установке с помощью setupaax64.cmd – просто ничего не происходит. Причем в этот раз, я даже сохранил копию инсталляции агента, которую использовал в прошлый раз, но и с ней было то же самое.

И снова я перерыл кучу статей по этому поводу. Ни одна из их рекомендаций не помогла. Тогда я решил попробовать получить нечто более подробное, чем Installation failed with error 1603. Вначале я пытался получить весь список ключей для setup.exe, чтобы включить подробный вывод ошибок. Но это я вно не в духе Symantec, взять и просто все красиво выдать при вводе команды setup.exe /?. При вводе этой команды мы получаем GUI-вое окошко с обрезанными данными. В командном файле была строка

@start /wait setup /RAWSX64: –s

из нее явно подразумевается, что –s – это явно silent режим и я решил отключить хоть его и ввел

setup /RAWSX64:

запустился инсталлятор с вопросами и … о чудо, при прохождении по диалогам агент таки встал куда нужно. Как показали последующие эксперименты на остальных серверах – это таки решение. С ключиком –s не становится, а без него через диалог – все в порядке. Мистика, блин.

Кстати, заодно обнаружилось, что вышла новая версия Microsoft Exchange Server MAPI Client and Collaboration Data Objects 6.5.8131.0 Надеюсь, что ее переустановка на BackupExec Media Server и на Exchange 2007 Mailbox Server таки решит мои проблемы с ошибками при резервном копировании баз.

01.09.2009

Решение проблем с переустановкой агентов Backup Exec 12.5 на x64 серверах

 

На днях получил “подарочек” от компании Symantec. Устанавливал обновления (HOTFIX 327135, HOTFIX 329045, HOTFIX 328459, HOTFIX 328462) на наш Backup Exec 12.5. Часть этих обновлений касалась агентов на серверах, т.е. нужно удалить агент на сервере, а затем его установить заново. На всех Windows 2003 x32 агенты заменил быстро и без проблем, а на системах Windows 2003 x64 все и началось … Удаление старого агента прошло без вопросов, а новый молча не ставился. Запускаешь инсталляцию, она что-то делает, закрывается без сообщений и ничего … Агента нету.

Полез искать причину. На Symantec пишут “ищите подробности в логе”, который лежит в %systemroot% и называется bkupinst.log. Весь вопрос в том, что такого файла вообще в системе нету :-) Как оказалось, лог ведется в \Documents and Settings\All Users\Application Data\Symantec\Backup Exec\Logs и называется bkupinst.htm. В логе долгожданная ошибка, цитирую:

08-15-2009,21:45:03 : ERROR: Installation failed with error 1603.

Очень познавательно и, главное, понятно? В базе знаний тоже ничего интересного: почистить все что относится к Symantec (файлы, папки и ключи), очистить MSI Cleaner & etc. Ничего из рекомендованного не помогло.

Ну раз непонятно что делать, то пришлось искать обходной путь, т.к. бэкапироваться перестали как раз SQL 2005 севрер и Exchange 2007 сервер. А без бэкапа у них логи транзакций не обрезаются, т.е. на разделах с логами, особенно у Exchange просто закончится место. (Понятно, что и это можно обойти, но тем не менее …)

Т.к. Symantec использует для инсталляции msi и по полной программе, т.е. они не переделывают инсталляцию, а делают файлы исправлений msp. В итоге нашел виновников, которых нужно удалять оба — RAWSx642213RHF327135.msp andи RAWSx642213RHF328462.msp. После их удаления агенты снова ставятся. Это, конечно, не решение, а обходной путь, но тем не менее, агенты установлены и бэкап снова работает.

Как закалялся (внедрялся) Exchange 2007

 

Мысли о внедрении Exchange в нашей компании были давно. Но все, как обычно, упиралось в деньги. Поэтому, мы до начала 2008 года пользовались Mailsite, начиная еще с его бесплатного предка  и заканчивая версией 7. Продукт, в целом, неплохой, достаточно простой в установке и эксплуатации, но не без проблем. Да и с поддержкой у них слабовато. Мог бы выручать форум, но клиентов не настолько много, как хотелось бы, а уж использующих кириллицу – тем более.

В компании давно назревала необходимость в более серьезной и надежной системе, кроме того, актуальным стал вопрос работы пользователей удаленно, в том числе и с мобильных устройств. Перед принятием окончательного решения, весной 2007 года, в сертифицированном учебном центре Microsoft компании Сетевые технологии, мной и нашим сетевым инженером Андреем были прослушаны курсы:

  1. Введение в установку и управление Microsoft Exchange Server 2007
  2. Управление безопасностью электронной почты при использовании Microsoft Exchange Server 2007
  3. Восстановление почтовых серверов и баз данных при использовании Microsoft Exchange Server 2007
  4. Мониторинг и устранение неисправностей Microsoft Exchange Server 2007

Параллельно, совместно с компанией Квазар-Микро, которая в настоящий момент превратилась в Ситроникс, была разработана спецификация и сделан заказ на оборудование и ПО для резервного копирования. Замечу, что проект включал не только Exchange, но еще и внедрение быстрого,  надежного и масштабируемого хранилища, сервер терминалов (Windows Server 2003 x64), сервер баз данных MS SQL 2005 и др.

Для развертывания Exchange (и не только его) были приобретены:

  1. Шасси IBM BladeCenter H
  2. Несколько лезвий HS21
  3. Дисковый массив IBM TotalStorage DS4700
  4. Корзина расширения IBM TotalStorage DS4000 EXP810 (SATA)
  5. Корзина расширения IBM TotalStorage DS4000 EXP810 (Fiber Channel)
  6. Ленточная библиотека IBM System Storage TS3200 и набор картриджей LTO3
  7. BackupExec 11d, в последствии замененный на версию 12.0, а затем и 12.5

В середине лета этот заказ был размещен. Доставка, настройка и монтаж компонентов производилась в период октябрь-январь

Самую критичную роль, Mailbox, было решено развернуть на SCC кластере из двух лезвий, остальные роли, HUB и CAS – на отдельном лезвии. Еще один сервер был зарезервирован для ISA2006

Наконец, в компании Аспарк был размещен заказ на лицензии Microsoft по программе Open License. Для Exchange было приобретено:

  1. Windows Server 2003 Enterprise Edition – 2 шт.
  2. Windows Server 2003 Standard Edition – 1 шт.
  3. Exchange 2007 Enterprise Edition – 2 шт.
  4. Exchange 2007 Standard Edition – 1 шт.
  5. Exchange Server Standard CAL – 800 шт
  6. Exchange Enterprise CAL – 30 шт.
  7. ISA Server 2006 Standard – 1 шт.

Замечу, что Windows Server CAL, свободные лицензии Windows Server, а так же лицензии на MS Office 2007 у нас уже были.

Процесс внедрения всего проекта в целом, где Exchange был одним из компонентов, занял около года.  Одной из самых трудоемких задач был перевод всех компьютеров в офисе с MS Office XP на MS Office 2007 и перенос почты сотрудников.

Перенести напрямую сообщения, адресную книгу, списки рассылок и другие настройки из MailSite  было невозможно, но к счастью, в Exchange был PowerShell а ребята из Quest Software выпустили свои Free PowerShell Commands for Active Directory! Мной было написано несколько десятков скриптов, которые позволили автоматизировать, а следовательно и существенно уменьшить количество ошибок, процесс создания групп хранения, баз, пользователей, списков рассылок и много другого, что понадобилось на этапе миграции.

Еще через некоторое время был запущен защищенный доступ для удаленных (OWA) и мобильных (ActiveSync) пользователей организованный посредством публикации на сервере ISA 2006, развертыванием которого занимался наш сетевой инженер Андрей.

В настоящий момент мы имеем надежное, масштабируемое решение для коллективной работы нашей компании.

К сожалению, кризис спутал наши планы, иначе было бы что рассказать еще и о внедрении системы виртуализации :-)

AD Mappings for the Active Directory Users and Computers Snap-in

Наткнулся в сети на интересный блог Ильи Сазонова.   А там чудная статья , в которой он описывает соответствия параметров оснастки Active Directory Users and Computers со свойствами AD. Мне много раз приходилось разыскивать соотношение этих параметров а скриншоты, которые он сделал — просто находка

Скриншоты показывают только имена атрибутов. Для некоторых их них есть особенности использования, поэтому всегда сверяйтесь с документацией.

  Полное описание соответствия полей и атрибутов можно найти в документации по ссылке Mappings for the Active Directory Users and Computers Snap-in.

  1.       Описание соответствия атрибутов для объекта Пользователь ( User Object User Interface Mapping):

2222_User-General 02

 

 

 

 

 

 

 

 03 04 05 06  
07

 

 

 

 

 

 

  

2.       Описание соответствия атрибутов для объекта  Компьютер (Computer Object User Interface Mapping):

 

 

 

 

 

  2-01 2-02 2-03 2-04 2-05

  

 

3.       Описание соответствия атрибутов для объекта  Группа (Group Object User Interface Mapping):3-01 3-02 3-03 3-04

 

 

 

 

Тормоза под Windows Server 2003 Terminal

Интересная штука, пользователи жаловались на то, что сильно тормозится их работа в терминале.У нас стоит Windows Server 2003 x64 на лезвии IBM Blade H, 16 Mb RAM, все это крутится на fiber channel SAN, т.е. тормозить не должно.

Начал разбирательство. В процессах постоянно висел msiexec и интенсивно кушал процессорное время, кроме него, тем же занимался spoolsv. Сразу возникло подозрение на драйвера принтеров.

Исследование и поиск в интернете показало, что подозрения не беспочвенны :-) Какой-то, уже который год не исправленный баг в драйверах HP приводит к тому, что "The HP MSI installer creates ~1.6 MILLION registry API calls as a result of over 4000 subkeys created in the registry for every printer mapped", т.е. msi инсталлер драйверов генерирует 1,6 миллиона запросов API и как результат более 4000 ключей в реестре на каждый подключенный к пользователю принтер!

Алгоритм починки следующий:

  1. Останавливаем сервис Print Spooler (spoolsv)
  2. На x32 системах идем в папку c:\windows\system32\spool\drivers\w32x86\ на x64 системах идем в папку C:\WINDOWS\system32\spool\drivers\x64\ и там во всех папках переименовываем все встреченные нам файлы cioum32.msi, HPZBDI32.msi, HPZBDI64.msi в cioum32.msi.old, HPZBDI32.msi.old, HPZBDI64.msi.old. Если в папках с драйверами HP вы нашли другие .msi файлы, то с ними тоже стоит попробовать сделать ту же операцию.
  3. Создаем в тех же папках пустые файлы с именами cioum32.msi, HPZBDI32.msi, HPZBDI64.msi
  4. Затем следует удалить ключи в реестре, это будут HKU\ .DEFAULT\Software\Hewlett-Packard и HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Hewlett-Packard. Лучше всего это сделать политикой GPO Client Side preferences и настроить ее так, чтобы она удаляла эти ключи непрерывно.
  5. Потом нужно поудалять профили пользователей на сервере, т.к. там у каждого лежит кусок реестра размером в 9 Mb и более.

Сервер моментально попустило :-)

Но на этом все не закончилось. Время от времени сервер "замирал", секунд на 5-10, причем наглухо. При этом было видно, что он очень и очень занят процессом winlogon.

Покопавшись, я нашел интересную статью в Microsoft When a user logs off a Windows Server 2003 Service Pack 1 or Service Pack 2-based terminal server, the terminal server may stop responding for several seconds

Сделал заказ на этот фикс, получил его по почте, причем письмо, почему-то, было на польском, установил и все стало ок!

Создайте бесплатный сайт или блог на WordPress.com.

%d такие блоггеры, как: