dolezel.net

Co není v hlavě, je v blogu...

Windows 2008/7/Vista a vícero IP adres na jedné NIC

Teď jsem si tak ukázkově nabil ústa, že si to musím ihned poznamenat. I když na tohle bych asi jen tak nezapomněl. Už od dob NT4 má člověk zafixováno, že pokud zadá na jednu síťovou kartu vícero IP adres, pro odchozí provoz bude použita ta prvně zadaná, tj. ta, která se zobrazí v nastavení TCP/IP, kde volím mezi statickou a dynamickou (DHCP) adresou. Suverénně jsem tak dnes nakonfiguroval Windows 2008 Web Server R2 a zaboha jsem nemohl přijít na to, proč vše nefunguje tak, jak má. Velké překvapení nastalo po několika hodinách bádání – od dob Vist je vše jinak. Více...

Uvolnění diskového prostoru po instalaci SP na W7/W2008R2

V říjnu minulého roku jsem si psal poznámku, jak uvolnit diskový prostor obsazený reinstalací OS, případně nasazením Service Packu. Šlo o utilitku Disk Cleanup, která je na stroji nainstalována jako součást Desktop Experience. Tenkrát mne to ani nenapadlo, ale nabízí se otázka, jak to řešit na serverech s GUI a serverech s Core edicí? Odpovědí je tento příspěvek. Více...

Přidání dodatečné síťové karty do Core edice Windows 2008 R2

Je to už rok a půl, co jsem si trhal vlasy nad nemožností přidat do již nainstalovaného a nakonfigurovaného Hyper-V clusteru, založeného na Windows Serveru 2008 R2, dodatečné síťové karty. Jednou nainstalovaná Core edice prostě ani zaboha nechtěla rozpoznat nově přidané síťové karty. Zkoušel jsem tenkrát rušit týmy, reinstalovat BACS (byly to Broadcomy), zkoušel jsem pomocí “pnputil.exe –d oemX.inf” odinstalovat ovladače síťových karet. Všechno marné, nově přidané síťovky jsem v OS nezprovoznil, takže jsem musel přistoupit ke kompletní reinstalaci všech tří serverů.

Od té doby mám docela panickou hrůzu, že se u nějakého Core serveru objeví potřeba přidat další síťovou kartu, případně vyrobit kvůli VLAN, u něhož by nebylo možné použít trunk, nějakou další virtuální síťovou kartu, kterou by Core edice zase nerozpoznala. Dnes jsem objevil KB2460786, který by snad mohl v těchto případech pomoci. Více...

Nemožnost připojení k RDP

Dnes mne zaskočila při připojení k SBS 2011 následující hláška: “The task you are trying to do can't be completed because remote desktop services is currently busy. Please try again in a few minutes. Other
users should still be able to log on.” Standardní přihlášení nešlo, zabrala poté až varianta s /admin přepínačem v názvu volaného serveru.

Začal jsem se pídit po informacích, o co jde. Našel jsem tento záznam na Experts Exchange. Zde byl odkaz na KB2383928. V tomto článku jsou popsány závady v ovladači Win32k.sys, díky němuž může za určitých podmínek dojít k vyčerpání zdrojů, kdy server začne odmítat nové RDP spojení, což by docela odpovídalo chování serveru. Co je ale horší, při pokusu o restart může dle článku dojít k zablokování shutdown procesu. Údajně pak nezbývá nic jiného, že natvrdo server vypnout a zapnout (což může mít teda parádní efekt na konzistenci všech LDAP, DHCP, Exchange, SQL databází, konzistenci HW či SW RAID). Takže před restartem raději preventivně manuálně stopnu všechny podstatné služby, u nichž to lze a u kterých by mohlo dojít k nakopnutí dat, např. DHCP, Exchange, SQL. Více...

Pozor na aplikaci SP1 pro W7 a W2008R2!

Aktualizace 21.3.2011: Na blogu Microsoftu se objevila informace, že níže uvedený článek KB975484 byl rozšířen o .VBS skript, který pomůže všem, kteří se dostali k chybě 0xc0000034. Bacha, je nutné přepnout na anglickou verzi článku, v češtině ty informace zatím chybějí. Zároveň článek pomůže pouze těm, kteří aktuálně trpí uvedenou chybou, nepomůže těm, kteří si pomohli úpravou xml nebo odmazali SetupExecute. Takže pro mnoho lidí přichází MS s řešením s křížkem po funuse.

Dnes na nás čekalo nepříjemné překvapení na několika pracovních stanicích a noteboocích, na nichž se večer při vypínání objevila hláška, že se bude instalovat SP1 z WSUS. Předem podotýkám, že jsme aplikaci SP1 testovali a nenarazili na problém – jak se ale dnes ukázalo, testovali jsme nedokonale. Více...

Jednoduchá blokace neaktivních uživatelů

Každé AD by mělo být pravidelně monitorováno, aby neobsahovalo vyhnilé účty, jak počítačů, tak lidí. Ne všude to funguje tak, že člověk odchází ze společnosti a automaticky jsou smazány všechny jeho účty. Je to také oblíbenou otázkou auditorů. Takže přijde vhod jednoduchý baťáček, spouštěný pravidelně v rozumných intervalech (denně/týdně), který projde komplet doménu a vyhledá mrtvoly. Více...

DFS, Netbios a FQDN jména

Tahle věc mě vytáčela řadu měsíců, vlastně roků. Nebyla ale tak důležitá, abych se tomu věnoval až do úspěšného vyřešení. Až teď. Doména, kterou v práci používáme, má prazáklady už z Windows 2000 a je postupně upgradována, schéma rozšiřováno, AD řadiče i jména domén přejmenovávány, nahrazovány atd. Až do doby nasazení Windows Vista (někdy před čtyřmi lety) jsem i z domova přes VPN bez problémů přistupoval k DFS zdrojům. Pak se něco změnilo a přístup přes DFS rozcestník přestal fungovat, takže jsem se smířil s nouzovým přístupem na cílové sdílené adresáře na příslušných serverech. Místo tvaru \\domena.local\dfs\adresar jsem si tak holt mapoval přímo \\server.domena.local\adresar.

V minulých dnech jsem ale musel řešit problém s Windows XP, které nedokázaly korektně komunikovat s AD řadiči W2008R2 (o tom ale až v následujícím článku) a při té příležitosti jsem narazil i na problém DFS přes VPN. A teď už vím, co jsme kdysi hodně dávno udělali špatně. Více...

IIS SSL hardening

Člověk by čekal, že když má server udržovaný, s aktuálními servisními balíčky a hotfixy, tak je v pohodě. Opak je však pravdou – je více než záhodno utahovat vše, co jde. A jednou z oblastí, které je dobré kontrolovat na všech verzích Windows Serveru, je SSL.

IIS od verze 5 volil protokoly v tomto sestupném pořadí – PCT 1.0, SSL 3.0, SSL 2.0. PCT 1.0 a SSL 2.0 jsou již obecně považovány za slabé, od Windows 7 a Windows Serveru 2008 R2 již nejsou ze strany klienta používané. Bohužel je však i ve Windows 2008 SSL 2.0 standardně zapnuté, takže si jej může případný útočník vynutit (řekne serveru, že nepodporuje SSL 2.0).

Platí, že TLSv1 = SSLv3. U starších OS je ještě doporučeno zakázat slabé šifry DES 56/56, NULL, RC2 40/128, RC4 40/128, RC4 56/128. Ty jsou opět u Windows Serveru 2008 R2 standardně vypnuté.

Nejsnazší cestou, jak zjistit aktuální stav, je spustit některý z online testů: Více...

IIS 7.5 a Apache/Subversion na jednom stroji

Před rokem a půl jsem si v tomto článku poznamenal konfiguraci souběžného fungování IIS 7 a Apache na jednom serveru. Ne že by to v IIS 7.5 bylo jinak, začíná se však kromě IPv4 používat i IPv6, tak si neuškodí poznamenat ještě pár drobností.

Příkaz netsh s níže uvedenými parametry upravuje tento záznam v registrech -  HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters, ListenOnlyList. Více...

Zachytávání síťové komunikace bez Netmonu

Wow, tohle jsem nevěděl. Ve Windows 7 a Windows Serveru 2008 R2 je rozšířena funkcionalita Netsh.exe o příkaz trace. Lze tak zachytávat síťový provoz i bez nainstalovaného Netmonu. Navíc nedochází k žádnému přerušení síťových spojení, paráda.

netsh trace start capture=yes CaptureMultiLayer=yes CaptureInterface=”NIC4virtuals” tracefile=c:\temp\mujcap.etl

Odklepnu a okamžitě se začne zachytávat provoz. Stopnutí se provede takto:

netsh trace stop

Aby toho v logu nebylo moc, mohu do spouštěcího příkazu doplnit ještě filtry typu Ethernet.Address= nebo IPv4.Address=. To je hodně dobrý.

Podrobné zdroje:

Using Netsh to Manage Traces

Netsh Commands to Network Trace in Windows Server 2008 R2 and Windows 7