Kamil Skalski – Blog Techniczny

Jak pewnie wiecie w kwietniu odbędzie się konferencja Communities 2 Communities 2010, już teraz chciałbym zaprosić Was na sesję którą będę miał przyjemność poprowadzić:

Wirtualizacja nie tylko dla serwerów

“Wirtualizacja jest kluczową technologią pozwalającą ewoluować infrastrukturze informatycznej przedsiębiorstw w kierunku większej dynamiki i dojrzałości. Wykorzystując konsolidację serwerów często zapominamy o stacjach roboczych, które posiadają liczne mechanizmy wspierające administratorów i użytkowników w ich pracy. Przedstawione zostaną technologie pozwalające centralizować zarządzanie przy jednoczesnym uproszczeniu wdrażania nowych technologii w aspekcie środowiska pracy użytkownika końcowego.”

Więcej informacji można znaleźć na stronie konferencji.

W poprzednich wpisach pokazałem kilka nowości wprowadzonych w Windows Server 2008 R2, dzisiaj przyszła kolej na Best Practices Analyzer (BPA). Jak sama nazwa wskazuje dzięki temu narzędziu można sprawdzić czy konfiguracja serwera jest zgodna z najlepszymi praktykami. Narzędzie to jest instalowane razem z każdą obsługiwaną rolą (warunkiem jest posiadanie odpowiedniego modelu roli dla BPA), a jego uruchomienie odbywa się poprzez wybór opcji w sekcji podsumowania roli (konsola Server Manager). Wcześniejsze wersje tego narzędzia były oddzielnymi aplikacjami, a pierwsza wersja została udostępniona w roku 2006.

Uruchomienie analizy odbywa się poprzez wybór polecenia “Scan This Role”, która po kilku sekundach jest gotowa do weryfikacji. Dla każdej rekomendacji tworzony jest dokładny raport przyczyny nie spełnienia wymogów, ewentualne konsekwencje awarii oraz  zalecane rozwiązanie problemu. Warto zwrócić uwagę, że obecnie obsługiwane są następujące role:

1. Active Directory Certificate Services
2. Active Directory Domain Services
3. Domain Name System (DNS)
4. Dynamic Host Configuration Protocol (DHCP)
5. Internet Information Services (IIS)
6. Remote Desktop Services (RDS)
7. Network Policy and Access Services

Warto pamiętać, że podobne narzędzia dla różnych aplikacji są dostępne w Centrum Pobierania na stronach Microsoft.

Kontynuując cykl przedstawiający nowe rozwiązania Windows Server 2008 R2 dzisiaj przyszła kolej na bezpołączeniowe przyłączenie komputera do domeny (offline domain joining). Jest to nowe rozwiązanie pozwalające na utworzenie konta komputera w Active Directory i przeniesienie informacji o domenie do komputera, który ma stać się członkiem domeny.

Pierwszym etapem jest zarejestrowanie konta w domenie i jednocześnie utworzenie pliku odpowiedzi, za pomocą którego zostaną przekazane informacje do nie podłączonego do sieci komputera (z systemem operacyjnym Windows 7 lub Windows Server 2008 R2). Wykonuje się to poleceniem: DJOIN /PROVISION /DOMAIN skalski.info /MACHINEOU “OU=Test Lab,DC=skalski,DC=info” /MACHINE off-client1 /SAVEFILE c:\off-client1.djoin

Polecenie djoin pozwala zarówno na utworzenie pliku odpowiedzi jak i jego wykorzystanie do bezpołączeniowego przyłączenia stacji do domeny. Najważniejszymi parametrami są:

• PROVISION - określa rezerwacje dla konta komputera w domenie według podanych dalej parametrów
• DOMAIN – wskazuje na domenę do jakiej zostanie przyłączony komputer
• MACHINEOU – definiuje położenie konta komputera w strukturze jednostek organizacyjnych
• MACHINE – nadaje nazwę komputerowi, który zostanie podłączony. Uwaga: przyłączany komputer zmieni swoją nazwę na podaną w tym parametrze
• SAVEFILE – określa ścieżkę w jakiej zostanie utworzony plik odpowiedzi służący dalej do podłączenia komputera docelowego

Kolejnym krokiem jest przeniesienie utworzonego wcześniej pliku odpowiedzi (w tym przypadku off-client1.djoin) do komputera docelowego oraz jego użycie. Wykonuje się to poleceniem: DJOIN /REQUESTODJ /LOADFILE c:\off-client1.djoin /LOCALOS /WINDOWSPATH C:\Windows

Wynikiem wykonania ww. polecenia jest przekazanie stacji informacji o jej członkostwie w domenie. By zakończyć ten proces należy ponownie uruchomić komputer. Parametry zastosowane w poleceniu oznaczają:

• REQUESTODJ – wykonuje żądanie bezpołączeniowego przyłączenia do domeny
• LOADFILE – wskazuje ścieżkę do pliku odpowiedzi
• LOCALOS - pozwala na wskazanie jako cel obecnie uruchomiony system operacyjny
• WINDOWSPATH – wskazuje ścieżkę do folderu systemowego podłączanej stacji

Warto zwrócić uwagę na scenariusz przygotowania maszyn wirtualnych z wykorzystaniem tej metody:

1. Przygotowujemy plik odpowiedzi
2. Podłączamy dysk wirtualny maszyny, która ma zostać członkiem domeny
3. Wykonujemy przyłączenie podając jako WINDOWSPATH ścieżkę do folderu systemu zainstalowanego na wirtualnym dysku

Ostatnią kwestią jaką należy poruszyć jest bezpieczeństwo tego rozwiązania. Plik odpowiedzi zwiera w sobie liczne informacje, które powinny być odpowiednio chronione. Matthieu Suiche stworzył narzędzie (dinfo.exe), które dekoduje plik odpowiedzi i ujawnia informacje zawarte w DATA_BLOB.

Warto zwrócić szczególną uwagę na hasło w polu lpMachinePassword, nazwy domeny i lasu oraz liczne informacje o polisach i identyfikatorach.

Na prośbę słuchaczy warsztatów Windows Server 2008 R2, które prowadziłem w ABC Data Centrum Edukacyjne w Katowicach umieszczam do pobrania swoją prezentację. Zapraszam, również do monitorowania mojego bloga, na którym w najbliższych dniach będa pojawiać się opisy technologii i ich przykładowe zastosowania.

Przyszedł czas na opisanie kilku nowych funkcjonalności Windows Server 2008 R2. Dzisiaj pierwsza z nich czyli kosz w usłudze katalogowej AD czyli Active Directory Recycled Bin. Jego zadaniem jest uproszczenie przywracania skasowanych obiektów, które dotychczas wykonywało się poprzez modyfikację atrybutu isDeleted lub z kopi zapasowej.

Pierwszym krokiem jest włączenie funkcji AD Recycled Bin poprzez wykonanie polecenia (dla przykładowej domeny skalski.info):

Enable-ADOptionalFeature -Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=skalski,DC=info’ -Scope ForestOrConfigurationSet -Target ‘skalski.info’

Dalsza praca z koszem to wyszukanie usuniętego obiektu i wydanie polecenia jego przywrócenia:

Get-ADObject -Filter {displayName -eq „Kamil Skalski”}   -IncludeDeletedObjects | Restore-ADObject

Zakończyła się 24h przerwa techniczna związana z migracją Bloga do nowej firmy hostingowej, jednocześnie jest to przejście z rozwiązania Apache na IIS 7.5. Za utrudnienia przepraszam.

Praca w trybie XP Mode domyślnie odbywa się w 16bitowej głębi kolorów, co może powodować problemy  z niektórymi aplikacjami. Jest to związane z domyślnym limitem liczby kolorów podczas połączenia zdalnego pulpitu (remote desktop). Zwiększenie liczby kolorów możliwe jest poprzez wyłączenie komponentów integracyjnych, co skutkuje brakiem dostępu np. do współdzielonego schowka i przekazywania dysków – jednak pozwala na pracę w 32bitowej głębi kolorów. Druga metoda polega na modyfikacji parametrów sesji terminalowej, dzięki czemu komponenty integracyjne pozostają włączone i liczba kolorów zwiększa się do 24bit.

Zmian można dokonać w dowolnym z dwóch kluczy:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services

lub

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

należy dodać lub jeśli istnieje zmodyfikować wpis ColorDepth (dword) o wartości: 4, co pozwala na pracę w trybie High (24bit).

Niestety na chwilę obecną nie jest możliwe włączenie 32bitowej głębi kolorów podczas działania komponentów integracyjnych.

Ostatnio dość często mówi się o bezpieczeństwie zaszyfrowanych danych, jednym z ciekawych wątków jest aspekty automatycznego udostępniania zaszyfrowanych dysków przez udziały administracyjne. Przykładowo przenośny dysk został zaszyfrowany za pomocą Bitlocker to Go, po przyłączeniu do komputera zostaje on automatycznie udostępniony jako np. x$. Po odszyfrowaniu każda osoba posiadające uprawnienia może  przeglądać jego zawartość poprzez \\nazwa_serwera\x$. By wyłączyć takie zdarzenia (np. Windows 7) wymagane jest dodanie nowego klucza DWORD (32-bit) o nazwie AutoShareWks z wartością 0 w ścieżce Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters.Powyższa operacja na stałe wyłącza udziały administracyjne.

Dzisiaj na portalu WSS ukazał się kolejny mój artykuł o wirtualizacji aplikacji (APP-V) – w drugiej części został opisany poroces tworzenia wirtualnych paczek.

“W poprzednim artykule o wirtualizacji aplikacji omówione zostały zagadnienia związane z budową i architekturą środowiska działającego w APP-V (Application Virtualization). Kolejnym zagadnieniem, jakie powinien znać każdy administrator wirtualnych środowisk, jest sekwencjonowanie, czyli tworzenie paczek z wirtualnymi aplikacjami. Poniższy artykuł przedstawia proces przygotowania aplikacji APP-V do dalszej dystrybucji, na przykładzie Microsoft Office 2007.”

Zapraszam do lektury: APP-V czyli wirtualizacja aplikacji. Część 2 – Tworzenie wirtualnych aplikacji.