Заметки IT Менеджера

29.06.2011

Настройка политик терминальных пользователей или особенность замыкания групповых политик

Обычно, при использовании терминальный решений от Microsoft или на их основе возникает необходимость в использовании из-под терминала групповых политик, отличных от тех, что применяются к пользователям во всех остальных местах. Например, выключить хранитель экрана с парольным выходом, в случае работы из-под терминала. Это раздражает пользователей, т.к. в случае их отсутствия они получают два хранителя экрана вместо одного. Как же это реализовать?

Специально для этого предусмотрен решим замыкания (loopback). В случае его включения, политика применяется на основе членства компьютера, а не пользователя. Для этого нужно включить это свойство в

(more…)

Реклама

23.06.2011

Как увеличить системный раздел на Windows Server?

Все знают, что место на разделах имеет свойство заканчиваться. В случае разделов с данными все намного проще – раздел преобразовывается в динамический и прямо на ходу увеличивается. В случае системного все намного сложнее.

Ну, для начала, можно всячески его чистить. Первые кандидаты – это кэш Windows Update

%windir%\SoftwareDistribution\Download

Затем папки для uninstall обновлений. В случае Windows 7 можно воспользоваться средством очистки после SP1?
Иногда этого недостаточно. Что же делать в таком случае?

Вот тут-то нам на помощь и приходит утилита diskpart. Правда есть несколько ограничений.

(more…)

23.05.2011

Доверительные отношения между доменами и firewall

Я недавно интересовался настройкой доверительных отношений между доменами или лесами. В случае туннеля все несколько проще, в остальных случаях использование файрволла обязательно, а для этого нужно знать что открывать.

Чтобы межсетевой экран не препятствовал установлению безопасных каналов и доверительных отношений между доменами, на нем должны быть открыты перечисленные ниже порты. Поскольку по обе стороны межсетевого экрана могут находиться компьютеры, одновременно являющиеся как клиентом, так и сервером, необходимо, чтобы соответствующие порты были открыты в обе стороны.

Windows NT

Порты клиентов

Порт сервера Служба
1024-65535/TCP 135/TCP RPC *
137/UDP 137/UDP Служба имен NetBIOS
138/UDP 138/UDP Вход в сеть и обзор сети NetBIOS
1024-65535/TCP 139/TCP Сеанс NetBIOS
1024-65535/TCP 42/TCP Репликация WINS

(more…)

27.12.2010

Особенности установки сервис паков на Exchange 2007 кластер

Недавно обнаружил, что, оказывается, Microsoft выпустил Service Pack 3 для MS Exchange 2007 :-) Как ни смешно это звучит, но выпустили его еще летом, а заметил я это только сейчас. Проблема в том, что SP к Exchange во WSUS не прилетают и, при этом, Microsoft продолжает выпускать обновления для версии со вторым сервис паком. Ну, в общем-то, оно и к лучшему. За это время MS выпустил два кумулятивных пакета обновления, и ошибочки там пренеприятные.

Что же там поменялось? Самое главное изменения – поддержка установки сервера на Windows 2008 R2 и установки консоли на Windows 7. Кроме того, добавились полнотекстовые индексы в поиске, и улучшили возможность замены пароля через OWA, ну и другое, по мелочи.

Но писать-то я хотел не об этом, интерес представляет сам процесс установки сервис пака на кластер. Я, в свое время, намучался, когда ставил SP2.

(more…)

06.07.2010

Что нужно не забыть сделать после перехода на домен Windows 2008 R2

обновлено 06.07.2010
Эта запись не претендует на полноту. В общем-то, как и многие другие мои сообщения здесь, она сделана для себя. Просто чтобы при повторе не забыть что делать и куда смотреть :-)
Итак:
  • Настроить синхронизацию времени на DC с ролью PDC эмулятора с внешним источником.
    Я как-то уже делал инструкцию Настройка точного времени в домене Windows 2003 / 2008 / 2008 R2, правда тогда еще для 2003 сервера. Вчера потратил весь день на 2008 R2 сервере в попытках настроить, ничего не получалось. А уже вечером выяснилось, что наш сетевой инженер еще на выходных перепрошил циску, которая у нас служит источником точного времени и на вчера этот сервис просто не работал :-(. Но есть и плюсы, я отшлифовал поиск проблем при настройке этого сервиса и обновил инструкцию :-)

(more…)

05.05.2010

BE2010 заработал с моим кластером

Как я уже писал ранее после перехода на Backup Exec 2010 выяснилось, что родной его агент отказывается видеть Information Store на сервере с Exchange 2007 работающего в режиме SCC.

С тех пор провели несколько сеансов удаленного саппорта с Symantec, написали кучу писем и собрали кучу логов. В конце концов они выпустили новый патч, который таки исправляет проблему!

Так что это уже второй hotfix в создании которого я участвовал :-)

12.04.2010

BE2010 и Microsoft Exchange 2007 SCC кластер

Вчера, наконец-то, перенесли файловый сервер и сервер бэкапирования с Windows Server 2003 R2 на Windows Server 2008 R2. Перенос файлового сервера прошел достаточно гладко – переключили разделы на SAN и перезагрузили сервера. После этого раздал разделам те же буквы и с помощью командных файлов пересоздал share. Как оказалось, пару синтаксических ошибок я таки не заметил, но это, в общем-то, была мелочь. После этого изменил пути в DFS и все заработало. File Screens и Storage Reports еще нужно перенастраивать, но это, в общем-то, не самая большая проблема.

Проблема подкралась при запуске Backup Exec. Как оказалось, Backup Exec 2010, в случае использования родного агента, не видит Exchange Information Store, если пытаться подключиться к Exchange Server 2007, использующий Mailbox Cluster. В общем-то, Symantec утверждает, что это касается только CCR кластера, но у меня-то SCC (Single Copy Cluster) и на нем тот же эффект. Решения пока нету, но есть обходной путь, который заключается в том, чтобы установить на Exchange агента от Backup Exec версии 12.5, причем обязательно с Hotfix 337202.

Я попробовал и таки да, работает. Пишет предупреждение, но работает. Так что теперь нужно ждать от них патча, который устранит эту проблему.

08.02.2010

WMI фильтры в групповой политике

Ни для кого не секрет, что групповые политики являются одной из самых полезных технологий Microsoft Active Directory. Если у вас компьютеров более 10 штук, то Active Directory и групповые политики помогут вам сэкономить массу сил и позволят избежать кучи ошибок.

Но, при все при этом,  параметры этих политик для разных операционных систем у Microsoft  могут сильно отличаться, кроме того, у вас может быть необходимость назначать эти параметры по разному. “На поверхности” лежит способ с отдельными контейнерами. Он прост, но не совсем удобен, кроме того, он слабо подходит для пользовательских политик.

Есть несколько решений этой задачи. Из новых, достаточно удобных решений – это Group Policy Preferences. У item-level targeting есть и такие параметры как операционная система, разрядность и т.д. Но, к сожалению, такой функционал есть только в разделе Preferences, а других разделов групповой политики это не касается.

Кроме того, есть такая чудная вещь, как WMI filtering. Что особенно удобно, фильтры готовятся заранее, а затем только выбираются в свойствах нужной вам политики.

Как именно это делается? Запускаю Group Policy Management, на панели навигации выбираю WMI Filters, там правая кнопка мышки и New. В поле Name набираю Windows 7 и нажимаю Add. В поле Query набираю:

select * from Win32_OperatingSystem where Version like "6.1" and ProductType = "1"

После этого нажимаю Ok, а затем Save.

Возможные значения для OperatingSystem и ProductType:

  1. Windows Server 2008 R2 или Windows 7 — 6.1%
  2. Windows Server 2008 или Windows Vista — 6.0%
  3. Windows Server 2003 — 5.2%
  4. Windows XP — 5.1%
  5. Windows 2000 — 5.0%
  1. Клиентские версии Windows – 1
  2. Серверные версии Windows, выступающие в роли контроллера домена – 2
  3. Серверные версии Windows, не выступающие в роли контроллера домена (отдельные серверы) — 3

Кстати, если есть желание отобрать Vista и Windows 7, то можно записать правило отбора так:

select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "1"

Есть еще одно свойство, которое может выступать в качестве параметра отбора, это Caption. Ранее я использовал именно его, но, к сожалению, у меня с новыми версиями OS, почему-то, есть проблемы с его считыванием. Но его, по прежнему можно использовать с более ранними версиями:

Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional"

Возможные значения:

  1. Microsoft Windows 2000 Professional
  2. Microsoft Windows 2000 Server
  3. Microsoft(R) Windows(R) Server 2003 Enterprise x64 Edition
  4. Microsoft(R) Windows(R) Server 2003, Standard Edition
  5. Microsoft(R) Windows(R) Server 2003 Standard x64 Edition
  6. Microsoft® Windows Server® 2008 Standard without Hyper-V
  7. Microsoft® Windows Vista™ Business
  8. Microsoft Windows XP Professional

Кстати, из этого списка видно, что при этом способе выборка может быть более подробной, т.к. в этом случае можно отобрать еще и разные редакции и разрядность операционной системы.

20.11.2009

Настройка точного времени в домене Windows 2003 / 2008 / 2008 R2

обновлено 26.03.2012
Все хотят видеть на компьютере точное время, кроме того, это очень важно для нормального функционирования домена Windows и AD. Казалось бы, чего проще, настраиваешь PDC эмулятор на синхронизацию с каким-нибудь ntp и все становится на места само собой … Но нет, уже несколько раз, наблюдалась рассинхронизация контроллеров домена между собой и жалобы пользователей на то, что наше время отличается от точного на пару минут.
Казалось бы, смешная проблема – пару минут, но для некоторой работы и пара минут важно. Особенно, если это редактора новостной ленты www.korrespondent.net. Правда были еще и шуточные жалобы, что они из-за этой проблемы целых 2, 3 или 5 минут перерабатывают :-)
Стандартные “танцы с бубнами”, которые делал я, а потом и наш сетевой инженер, по руководству от Microsoft помогали, но не долго. Т.е. время сходится, ошибки из лога исчезают, а через пару часов, или, через сутки все начинается заново. А потом, через пару-тройку недель, или месяц-другой, ошибка снова достигает размера более 2-х минут и все заново.
(more…)

01.09.2009

AD Mappings for the Active Directory Users and Computers Snap-in

Наткнулся в сети на интересный блог Ильи Сазонова.   А там чудная статья , в которой он описывает соответствия параметров оснастки Active Directory Users and Computers со свойствами AD. Мне много раз приходилось разыскивать соотношение этих параметров а скриншоты, которые он сделал — просто находка

Скриншоты показывают только имена атрибутов. Для некоторых их них есть особенности использования, поэтому всегда сверяйтесь с документацией.

  Полное описание соответствия полей и атрибутов можно найти в документации по ссылке Mappings for the Active Directory Users and Computers Snap-in.

  1.       Описание соответствия атрибутов для объекта Пользователь ( User Object User Interface Mapping):

2222_User-General 02

 

 

 

 

 

 

 

 03 04 05 06  
07

 

 

 

 

 

 

  

2.       Описание соответствия атрибутов для объекта  Компьютер (Computer Object User Interface Mapping):

 

 

 

 

 

  2-01 2-02 2-03 2-04 2-05

  

 

3.       Описание соответствия атрибутов для объекта  Группа (Group Object User Interface Mapping):3-01 3-02 3-03 3-04

 

 

 

 

Блог на WordPress.com.

%d такие блоггеры, как: