dolezel.net

Co není v hlavě, je v blogu...

Chyba při spouštění aplikace z UNC nebo \\tsclient

Poté, co jsme v práci upgradovali většinu serverů na W2008 R2, jsem si všiml, že nemohu spustit Total Commander přes \\tsclient\c\program files (x86)\totalcmd\totalcmd.exe. Přitom na všech W2008 v x86 i x64 verzi toto bez problémů funguje. Začal jsem hledat, co se to děje a všiml jsem, si, že obdobné chování se projevuje I při pokusu o spuštění aplikace z UNC cesty, pokud je sdílený adresář umístěný na W2008 R2.

Nejdříve jsem si myslel, že je to problém s nějakým nastavením NTLM v rámci doménové politiky, ale pak jsem objevil toto KB 978869. Hotfix je dostupný na vyžádání, opravuje ntdll.dll. Ještě je důležité zdůraznit, kam a kdy hotfix aplikovat: Více...

Vystavení SSL SAN certifikátu na interní Windows CA

Aby bylo možné na W2008 CA vystavovat certifikáty se SAN (Subject Alternative Names), je potřeba zkontrolovat, zdali je CA nakonfigurována, aby SAN podporovala. Přihlásím se tedy buď přímo RDP na server s CA, případně spustím certsrv.msc na pracovní stanici s nainstalovanými RSAT,  a spustím:

certutil -getreg policy\SubjectAltName
certutil -getreg policy\SubjectAltName2

Pokud povoleno není, tak povolím a následně restartuji službu CA:

certutil -setreg policy\SubjectAltName enabled
certutil -setreg policy\SubjectAltName2 enabled
net stop CertSvc
net start CertSvc

Poté běžným způsobem přes webové rozhraní interní certifikační autority zažádám o certifikát typu Web Server.

Jak uklidit rychle systémový disk?

Na domácím počítači, na němž jsem postupně upgradoval Windows 2008 Server různými beta verzemi R2 až po finální R2, v kořenovém adresáři disku C: vidím adresáře $INPLACE.~TR a $WINDOWS.~Q. To samé na notebooku s Windows 7, kde jsem zase pro změnu upgradoval na RTM z různých bet a RC. Tyto adresáře lze po pár měsících od upgradu prohlásit definitivně za nepotřebné (neboť nějakou kravinu bude člověk potřebovat až teprve poté, co tyto adresáře smaže, přičemž je lhostejné, kdy k tomu dojde).

Zjistil jsem, že nejsnazším způsobem je spuštění nástroje Disk Cleanup, který jsem popravdě dosud nikdy nepoužil. Nachází se v Accessories, System Tools. Ale pozor, na Windows 2008 Serveru R2 pouze v případě, kdy je na něm nainstalována fíčura Desktop Experience. Tohle na produkčních serverech nikdy instalovat nebudu (s výjimkou Terminal serverů samozřejmě), nicméně doma na “W2008 super-workstation” to nainstalované mám. Více...

Chyba v převedeném virtuálu z Virtual Serveru do Hyper-V

Ačkoliv byl k převodu použit VMM 2008 R2, objevuje se při startu W2003 virtuálu chyba nenabíhající služby ovladače.

ParPort_svc

Jediným řešením, jak se toho zbavit, je vlézt přes regedit do HKLM\SYSTEM\CurrentControlSet\Services\Parport a zde změnit REG_DWORD pojmenovaný Start z hodnoty 3 na 4. Reboot a otravná chyba je pryč.

Cluster Windows 2003 a iSCSI úložiště

Jak se postupně vše virtualizuje, vyplouvají na povrch další a další drobnosti, které na které je potřeba při instalaci pamatovat. Provozujeme kupříkladu testovací prostředí dvojuzlového Windows 2003 clusteru pod Hyper-V. Jelikož Hyper-V nepodporuje žádnou variantu sdílené SCSI sběrnice, je potřeba clusterové počítače vytvářet s využitím iSCSI disků.

V případě, kdy jsou coby clusterové disky, použity výhradně iSCSI disky, je třeba zabezpečit, aby cluster služba nabíhala až poté, co naběhne Microsoft iSCSI Initiator. Více...

Souborový antivirus a AD

Pokud je nezbytně nutné mít na AD serveru souborový antivirus, tak je zapotřebí:

  1. na x64 systému používat x64 antivirus
  2. definovat bezpodmínečně výjimky, na které nesmí antivirus sahat. Jelikož nastavování per file nebo dle koncovek je pruda, je nejmenším zlem nastavit adresářové výjimky:
    c:\windows\NTDS\
    c:\windows\SYSVOL\sysvol\
    c:\windows\system32\Dns\

Task Scheduler a Powershell skripty

Téma se týká obecně jakýchkoliv skriptů. Microsoft tak nějak opouští čistě synchronní GUI prostředí (předpokládám, že z důvodu rychlosti a snadnosti programování), takže se může snadno stát, že to, co je zobrazeno, není až tak docela pravda. Spustil jsem Powershell skript jako načasovanou úlohu, jejím cílem mělo být zpracování něčeho a doručení výsledků e-mailem. E-mail došel, nicméně v Task Scheduleru pořád koukám na Result 0x41301. Více...

IIS 7 a nefunkční CA delta CRL

Tohle je blbá chyba. Po instalaci interní certifikační autority, která nevyužívá OCSP (Online Certificate Status Protocol), ale spoléhá na starší CRL a delta CRL (Certificate Revocation List), se dříve či později objeví záludné chyby v SSTP, RDP a možná I další komunikaci, která spoléhá na certifikáty. Problém je ve standardní hodnotě DeltaCRL Location, kterou si při instalaci CA vytvoří, a která je v konfliktu s nastavením IIS 7. IIS totiž nedovolí zobrazit soubor, jenž má v názvu +. Chybové hlášky pak mohou vypadat následovně: Více...

Problém se SSL certifikátem na IIS 7.5

Narazil jsem na záludnou chybu při nastavování SSL bindings webu, který běží na víceuzlovém NLBS web clusteru a využívá SSL certifikát. Samozřejmě netřeba zdůrazňovat, že v IIS6.0 problém nebyl. Nejprve jsem na prvním uzlu clusteru vytvořil certifikát (CSR, potvrzení CA, dokončení vytvoření certifikátu). Poté jsem certifikát vyexportoval do PFX a chtěl jej naimportovat na druhý uzel farmy. “Best practises” říkají, že certifikát by měl být uložen bez možnosti zpětně exportovat privátní klíč, takže jsem příslušný checkbox odškrtnul (jako v dobách W2003 a IIS6.0). Pak jsem vytvořil adresáře na disku, zapnul sdílenou IIS shared konfiguraci a chtěl dokončit konfiguraci webů na druhém uzlu spárováním SSL bindings s příslušným certifikátem. Více...

Windows 2003 a streamované FLV video

Kolega řešil na hostingu, jak kromě SWF, jež se z webu na IIS 6.0 přehrávají v pohodě, streamovat též FLV (Flash video). Podle článku z KB Adobe bylo nutné do IIS 6.0 doplnit další MIME type.

Přípona: .FLV
MIME type: flv-application/octet-stream

Po restartu w3svc bylo vše hotovo.