dolezel.net

Co není v hlavě, je v blogu...

SBS 2011 a EAS Mailbox policy

Testuji od včerejška iPhone s iOS 4 a s úžasem dlouholetého uživatele systémů Windows Mobile mám v iPhone nakonfigurovány 2 (slovy DVA) Exchange účty! Trochu mne zarazil požadavek na PIN, který se na telefonu objevil před pokusem o prvotní synchronizaci druhého Exchange účtu. Až po chvíli mi docvaklo, že je to Exchange ActiveSync Mailbox Policy, která je standardně aktivována po instalaci SBS 2011 Standard. Více...

IIS SSL hardening

Člověk by čekal, že když má server udržovaný, s aktuálními servisními balíčky a hotfixy, tak je v pohodě. Opak je však pravdou – je více než záhodno utahovat vše, co jde. A jednou z oblastí, které je dobré kontrolovat na všech verzích Windows Serveru, je SSL.

IIS od verze 5 volil protokoly v tomto sestupném pořadí – PCT 1.0, SSL 3.0, SSL 2.0. PCT 1.0 a SSL 2.0 jsou již obecně považovány za slabé, od Windows 7 a Windows Serveru 2008 R2 již nejsou ze strany klienta používané. Bohužel je však i ve Windows 2008 SSL 2.0 standardně zapnuté, takže si jej může případný útočník vynutit (řekne serveru, že nepodporuje SSL 2.0).

Platí, že TLSv1 = SSLv3. U starších OS je ještě doporučeno zakázat slabé šifry DES 56/56, NULL, RC2 40/128, RC4 40/128, RC4 56/128. Ty jsou opět u Windows Serveru 2008 R2 standardně vypnuté.

Nejsnazší cestou, jak zjistit aktuální stav, je spustit některý z online testů: Více...

PHP DoS, platí i pro určitou kombinaci s Windows

Tento týden kolegové linuxáři v práci rychle ověřovali verze a kombinace OS a hotfixovali denial of service na PHP. Dávám si zde poznámku kvůli tomu, že určité kombinace se týkají i Windows, IIS/Apache a PHP. Z toho, co jsem četl, tak by se problém mohl týkat x86 systémů a PHP verzí 5.2.x a 5.3.x. Údajně by měly být v pohodě x64 edice.

Ověřit konkrétní instalaci lze jednoduše – tenhle řádek pošle PHP do nekonečné smyčky:

<?php $d = 2.2250738585072011e-308; ?>

IIS 7.5 a Apache/Subversion na jednom stroji

Před rokem a půl jsem si v tomto článku poznamenal konfiguraci souběžného fungování IIS 7 a Apache na jednom serveru. Ne že by to v IIS 7.5 bylo jinak, začíná se však kromě IPv4 používat i IPv6, tak si neuškodí poznamenat ještě pár drobností.

Příkaz netsh s níže uvedenými parametry upravuje tento záznam v registrech -  HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters, ListenOnlyList. Více...

Zachytávání síťové komunikace bez Netmonu

Wow, tohle jsem nevěděl. Ve Windows 7 a Windows Serveru 2008 R2 je rozšířena funkcionalita Netsh.exe o příkaz trace. Lze tak zachytávat síťový provoz i bez nainstalovaného Netmonu. Navíc nedochází k žádnému přerušení síťových spojení, paráda.

netsh trace start capture=yes CaptureMultiLayer=yes CaptureInterface=”NIC4virtuals” tracefile=c:\temp\mujcap.etl

Odklepnu a okamžitě se začne zachytávat provoz. Stopnutí se provede takto:

netsh trace stop

Aby toho v logu nebylo moc, mohu do spouštěcího příkazu doplnit ještě filtry typu Ethernet.Address= nebo IPv4.Address=. To je hodně dobrý.

Podrobné zdroje:

Using Netsh to Manage Traces

Netsh Commands to Network Trace in Windows Server 2008 R2 and Windows 7

DPM 2010 a problém při zálohování Hyper-V virtuálu na CSV clusteru

V novém roce plný elánu po prodělané nemoci jsem se pustil do dlouhodobých restů. Jedním z nich byly chyby v DPM 2010 serveru. Těch se objevilo hned několik, jednou z nich bylo opětovná deserializace záloh virtuálních mašin na CSV clusteru, předpokládám, že to způsobila instalace posledního DPM rollup hotfixu. Takže si holt do dokumentace píšeme poznámku, že po každém patchování DPM serveru je potřeba pro jistotu kontrolovat nastavení klíče HKLM\SOFTWARE\Microsoft\Microsoft Data Protection Manager\2.0\Configuration\MaxAllowedParallelBackups\Microsoft Hyper-V, které musí obsahovat číslo 1 a nikoliv standardní 3. Další typ chyby, který se projevoval pouze u dvou virtuálních serverů, byl ještě záludnější. Ukázalo se nakonec, že problém je v kolizi Master Boot Record signatur disků. Více...

SSD a Windows 7

Až jednou …. budu mít zbytečné peníze, tak do notebooku šoupnu SSD disk. Jelikož se v poslední době prosazují výhradně disky založené na levnější technologii MLC, je zatraceně důležité poštelovat operační systém, aby nedošlo k předčasnému vyčerpání životnosti určitých buněk disku.

Hodně detailní návod je tady. Popis rozdílů mezi MLC a SLC SSD jsem našel zde, včetně velmi hodnotné (jak je v Čehách zvykem) čtenářské diskuze pod článkem. Ještě lepší článek (I když staršího data) je tady.

Zálohování Hyper-V stroje včetně všech virtuálů

Při přípravě na virtualizační zkoušku jsem narazil na zvláštní věc. Pokud by někdo chtěl zazálohovat Hyper-V mašinu včetně na ní běžících virtuálů, s největší pravděpodobností (pokud nebudou všechny virtuály stopnuty nebo uložen jejich stav) se mu to nepovede. Windows Server Backup je totiž “VSS aware”, ale Hyper-V není nemá standardně zaregistrován svůj VSS writer s Windows Server Backupem. Registraci lze učinit buď přidáním dvou příšerných klíčů do registrů anebo jednodušeji pomocí KB 958662 a funkce FIx it for me.

Výše uvedené platí jak pro W2008, tak pro W2008 R2.

Doplnění 6.1.

Jak zkontrolovat výčet a stav všech VSS writers na nějakém serveru? Stačí v cmd (spuštěném jako admin) napsat “VSSADMIN.exe List Writers”.

SBS 2011 a ApplicationPoolIdentity

Je téměř pravidlem, že v každé nové verzi IIS se mění uživatel, pod kterým jsou spouštěny weby a/nebo aplikační pooly (jak se tohle proboha nazývá správně česky?). V IIS 7 a 7.5 tak nastupuje speciální dynamicky vytvářená identita ApplicationPoolIdentity. Pro korektní běh aplikací v daném poolu je potřeba přidat správná oprávnění k adresářům a souborům na disku. V IIS 7 to šlo pouze přes icacls.exe, v IIS 7.5 to však již jde normálně v GUI. Jak je to v SBS 2011? Více...