Заметки IT Менеджера

26.07.2012

Managed Service Accounts

Т.к. я не знаю, как сделать реблог с мест, отличных от wordpress, то копирую полезную статью. Оригинал – тут.

Введение

Управляемые учётных записи служб – MSA – нововведение в Windows Server 2008 R2, призванное ощутимо улучшить безопасность, упростить управление и принести ряд других, мелких, но хороших моментов в такую достаточно известную издревле штуку как управление учётными записями сервисов. Исторически эта задача решалась путём создания пользовательской учётки и обрезания ей лишнего в плане возможностей, но всё же такой подход изначально не очень корректен – и теперь у нас есть новый тип объектов, благодаря которому данная задача решается лучше.

Оглавление

  • Преимущества MSA
  • Продукты и сервисы, поддерживающие MSA
  • Подготавливаем систему к работе с MSA
  • Создаём MSA
  • Привязываем MSA к серверу
  • Добавляем MSA на сервер
  • Используем MSA
  • Сбрасываем пароль MSA
  • Меняем SPN’ы у MSA
  • Добавляем MSA в группу Active Directory
  • Удаляем MSA

(more…)

Реклама

24.07.2012

Ошибка 0x80070005 при обновлении агента WSUS

После выхода обновления WSUS за номером KB2720211 на некоторых серверах и рабочих станциях обновления прекратились из-за того, что агент WSUS не мог обновить самого себя.

Характеризовалось это следующими характерными ошибками и/ или предупреждениями в логе WSUS:

2012-07-18    18:49:58:770    3304    b24    Setup    Performing SelfUpdate installation
2012-07-18    18:49:58:785    3304    b24    Setup    WARNING: Failed to stop the WU service, error = 0x80070005
2012-07-18    18:49:58:785    3304    b24    Setup    WuSetup has finished.  Exit code is 0x00000005
2012-07-18    18:49:58:785     924    398    Setup    FATAL: WuSetupV.exe process ended prematurely, err = 0x80070005
2012-07-18    18:49:58:785     924    398    Setup    WARNING: SelfUpdate install failed, error = 0x80070005

и странными строками по поводу версии агента

2012-07-18    19:02:12:115     924    c04    Setup    Checking for agent SelfUpdate
2012-07-18    19:02:12:115     924    c04    Setup    Client version: Core: 7.5.7601.17514  Aux: 7.5.7601.17514

(more…)

19.07.2012

Следующая запись

Просто о сложном

pso-01Одна из актуальных тем во многих организациях – это обеспечение своих пользователей безопасными паролями, с чем у большинства пользователей огромные проблемы. Ведь никому не хочется генерировать сложные пароли, несмотря на то, что в компаниях может быть информация, к которой будут пытаться получить доступ злоумышленники, а такого пароля как 111, 123, qwerty и т.п. казалось бы, более чем достаточно. А если пользовательские учетные записи взломают и будут украдены какие-то данные, скорее всего, виноватым окажется ИТ-подразделение, так как не было внедрено должных средств по обеспечению безопасности.

Во избежание таких неприятностей, в операционных системах Windows присутствуют неплохо себя зарекомендовавшие политики паролей, которые отчасти помогают справиться с небезопасными пользовательскими паролями. Однако, у этих политик есть существенное ограничение.

View original post ещё 2 370 слов

22.06.2012

Как починить Windows Update?

Эта статья объединяет известные мне способы починки агента WSUS.

Ранее, я уже писал, как сверить список компьютеров, которые есть в AD с теми, которые есть во WSUS. Если эти списки не совпадают, то у вас проблема и часть компьютеров не обновляется.

В самом простом случае, вы забыли сделать групповую политику, которая настраивает клиентские компьютеры и серверы на обновление со WSUS, или сконфигурировали ее так, что она не применяется. Ручная настройка параметров через gpedit.msc тоже допустима, но только для тех компьютеров, которые не входят в домен.

Итак, политика применяется, но все равно компьютер не обновляется. Что делать и как лечить?

Если у вас Windows Vista, Windows Server 2008, Windows 7 или Windows Server 2008 R2, то самым первым способом будет скачать с сайта Microsoft утилиту System Update Readiness Tool и запустить ее. Если это не поможет, то нижу приведены различные способы, которые могут помочь вам восстановить работоспособность.

(more…)

12.06.2012

Прокси и сервисы Windows 7/Windows Server 2008

Если в вашей сети используется прокси сервер, то ряд сервисов, которым нужен выход в интернет могут перестать работать, т.к. они нечего не знают о настройках прокси. Например, это нужно для корректной работы Windows Update и ряда других сервисов, работающих из-под аккаунта SYSTEM.

Ранее, для Windows XP/Windows Server 2003 использовалась утилита proxycfg.exe. В современных системах она более не поддерживается и для тех же целей используется netsh.

Посмотреть текущие настройки:

netsh winhttp show proxy

Сбросить настройки в значение по умолчанию, т.е. Direct

netsh winhttp reset proxy

Установить настройки такими же, как это настроено в IE

netsh winhttp import proxy source=ie

Ну и настроить все вручную:

netsh winhttp set proxy proxy-server="http=myproxy:port;https=mysproxy:port" bypass-list="mylocalserver1;mylocalserver2"

Ссылки по теме: Netsh Commands for Windows Hypertext Transfer Protocol (WINHTTP), Настройка параметров прокси-сервера для служб WinHTTP и Как настроить работу Windows Update через прокси-сервер

22.05.2012

Получение ключа установки Windows с помощью PowerShell

Обновлено 22.05.2012 – спасибо pan_2@LJ за наводку на более совершенную версию скрипта
powershell_21 Эта функция может пригодиться для инвентаризации или других подобных случаев.

(more…)

07.05.2012

Три варианта активации корпоративных лицензий

Если вы решите приобретать корпоративную лицензию, придется определиться, какой из трех вариантов активации вам больше всего подходит. Именно этот момент в корпоративном лицензировании многим непонятен. Три варианта лицензирования предназначены для различных вариантов сетевой среды. Но бывает и так, что наиболее удобный вариант — использовать в организации все три варианта. Обычно вариант выбирается на основе двух обстоятельств: наличия подключения к сети и числу запрашивающих узлов.

В первом варианте запрашивающие узлы перенаправляются на Windows-сервер со службой управления ключами (KMS). Серверы KMS предназначены для сред, в которых больше 25 Windows-клиентов или пяти Windows-серверов, которые постоянно подключены к серверу KMS.

Это неизменяемое число узлов называется порогом активации. Сервер KMS не начнет активировать узлы, пока этот порог не достигнут. Поэтому если в вашей среде нет минимального количества узлов, вы не сможете использовать KMS. То же самое верно, если у запрашивающих узлов нет сетевого подключения к серверу KMS.

(more…)

01.02.2012

Вызов апплетов панели управления из командной строки

Пусть и не очень часто, но возникает необходимость запустить апплет панели управления из командной строки. Ниже представлена таблица, в которой собраны такие команды. Для некоторых апплетов есть несколько вариантов вызова, в этом случае они расположены в несколько строк

Апплеты в панели управления представляют собой обычные DLL-ки, имеющие расширение .cpl (Control Panel Library) и содержащие в себе функцию CPlApplet.

Обычно располагаются в системной директории Windows. В свою очередь, в каждом файле cpl может храниться несколько апплетов.

(more…)

01.12.2011

Сервер для филиала, RODC, NAS и другое

Недавно возникла необходимость одно из наших подразделений вывести в отдельный офис. Речь шла где-то о 25-30 людях с компьютерами + необходимая техника. Особенность в том, что это редакции журналов, соответственно они работают с большими объемами данных, т.о. работа с нашей сетью хранения данных через WAN подключение, мягко говоря, не подходит.

Итак, нужно было решить ряд задач, а именно, удобную аутентификацию в нашем домене, групповые политики, DNS, DHCP, сервисы печати и хранения данных.

В конечном итоге решено было выделить старенький стоечный сервер, который с успехом потянет Windows 2008 R2 на котором и будут установлены все службы. Проблема оставалась только в том, что в нем стояли диски не очень большого размера (ранее на нем был развернут временный терминальный сервер), да и не было в то время дисков, объем которых измерялся в терабайтах :-)

Самым удобным решением в этом случае оказалось применение готового NAS. Вначале выбор был остановлен на Synology DS712+, но на складе их не оказалось, а поставки ожидались, как обычно, через несколько месяцев. Зато доступен был QNAP 239 Pro II+. Это двухдисковая модель NAS, с поддержкой iSCSI. Для нее были куплены два диска Western Digital 2Tb Raid Edition4 7200RPM 64MB (WD2003FYYS SATAII). К счастью, мы успели их купить еще до того, как цены окончательно взмыли ввысь, хотя и дешевыми их назвать сложно.

(more…)

23.11.2011

Особенности использования RemoteAPP и сертификатов

Немного предыстории. В этом году делали решение по удаленному доступу к приложениям. Основа сделана на базе двух лезвий IBM HS22 для Blade Center H, куда были установлены Microsoft Hyper-V Server с высокой доступностью. Само же решение, базируется на Microsoft Remote Desktop Services (Windows Server 2008 R2). Для развертывания последнего использовались несколько серверов, на одном был установлен Remote Desktop Connection Brocker, Remote Desktop Licensing и Web Access, еще на одном был установлен Remote Desktop Gateway, еще один был задействован как член фермы Remote Desktop Session Host. Подразумевается, что в будущем в ферме будет несколько серверов. Плюс ко всему, все это публикуется наружу с помощью существующего сервера с установленной ISA 2006

Т.к. подразумевалось, что к некоторым приложениям доступ будет и “снаружи” , причем не только с доменных компьютеров, то захотелось все это сделать с “правильными” сертификатами. Тем более, что сертификат у нас уже был куплен.

(more…)

Следующая страница →

Создайте бесплатный сайт или блог на WordPress.com.

%d такие блоггеры, как: