dolezel.net

Co není v hlavě, je v blogu...

Korektní ukončení IIS

Mnohokrát se mi stalo, že IISRESET skončil ztrátou konfigurace, kterou jsem těsně předtím upravoval. Dnes mi to už nedalo a tak jsem se, jako poslední možnost, podíval do nápovědy. A ejhle, ono v ní opravdu něco napsaného je Veselý obličej 

V případě, že zadám pouze IISRESET /NOFORCE, dám sice příkaz k nenásilnému ukončení IIS služeb. Jenže to většinou končí těmito chybami:

Attempting stop...
Restart attempt failed.
The requested control is not valid for this service. (2147943452, 8007041c)

Attempting stop...
Stop attempt failed.
The service did not respond to the start or control request in a timely fashion.
(2147943453, 8007041d)

Zajímavým je nicméně parametr /TIMEOUT:x, kde x je počet sekund. V případě pokynu pro restart je to standardně hodnota 20 sekund, pokud má jít o zastavení služby, je standardně nastaveno 60 sekund.

Takže bezpečným  příkazem by měla být tato konstrukce:

IISRESET /STOP /NOFORCE /TIMEOUT:120

Teprve po bezpečném zastavení, kdy mám jistotu, že bylo vše korektně uloženo, zadám

IISRESET /START

WLW a BE.NET

Tohle si sem už musím napsat. Pokaždé, když konfiguruji novou instalaci Windows Live Writeru vůči BlogEngine.NET aplikaci, která mi běží na serveru, nakonfiguruji to napoprvé blbě.

Takže pro příště – URL, které se musí zadat, je http://dolezel.net/metaweblog.axd, nikoliv pouze http://dolezel.net/. Tím dojde k vyžádání potvrzení typu blogovací služby, kde vyberu Metaweblog API. Takto nakonfigurovaný WLW korektně ukládá obrázky ze článků na server.

Exchange NDR a jejich význam

Řešil jsem dnes záhadnou stížnost na nedoručení pošty u Exchange 2003. Dohledal jsem, že mail měl být doručen lokálně na back-end serveru – a vzápětí bylo odesláno NDR. V tu samou dobu bylo do Eventlogu zapsáno ID 3030 od MSExchangeTransport a v Description bylo uvedeno, že se jedná o status code 5.6.3. Poté, co jsem si našel tabulku s kódy, jsem zjistil, že se cílový server bránil příjmu e-mailu s více než 250-ti přílohami. Více...

Nefunkční vzdálené připojení Server Managerem

Nabil jsem si ústa s Windows Server 2008 R2 Core edicí, která byla nakonfigurována pro vzdálenou správu pomocí nástroje CoreConfig2. Při každém pokusu o připojení se objevila tato chyba: Více...

Změna certifikátu na serveru, kde je IIS i SSTP VPN

V případě, že na IIS serveru (pro zjednodušení uvažuji jednu NIC, jednu IP adresu, žádný Apache či jiný non-IIS HTTP server) změním adresu, je potřeba opravit i konfiguraci SSTP. Při prvním kliknutí na záložku Security (Zabezpečení) ve vlastnostech RRAS serveru dostanu toto chybové hlášení: Více...

SBS2011, resp. Exchange 2010 a export mailboxu do PST ze zálohy

Peklo na zemi. Zálohy prováděné Windows Backupem. Víc snad už nemám sílu psát. Více...

SSTP VPN nouzové připojení v SBS 2011

SBS 2011 obsahuje průvodce pro konfiguraci VPN. Nakonfiguruje ale pouze PPTP VPN, tj. variantu, která pracuje s TCP/1723 a GRE protokolem (IP 41). Rozjíždět L2TP/IPSec VPN na SBS 2011 je peklo, protože uživatelé by byli ztraceni kvůli certifikátům. IKEv2 je zase omezené pouze na klienty Windows 7,8. Alternativou tak je SSTP VPN, dostupná od Windows Vista. Tento typ VPN nelze nakonfigurovat přes žádného SBS průvodce, ale hezky klasicky.

Problémem ale je, že standardní instalace SBS 2011 vytvoři certifikační autoritu, jejíž veřejný klíč nikam veřejně nevystaví (takže je nutné jej pro funkčnost SSTP VPN na VPN klientovi naimportovat do Trusted Root CA počítače) a navíc všem vydaným certifikátům dává CRL Distribution Points pouze v AD, tj. LDAP. To je při přístupu na SSTP server z Internetu nanic, VPN klient dostane chybovou hlášku o nemožnosti zkontrolovat revokační list. Dočasným řešením je tak na VPN klientovi dočasně zakázat ověřování revokace certifikátu SSTP serveru. Více...

Windows 8 a zálohování

Ve Windows 8 je zálohování, jaké známe z Windows 7, naprosto ukryto. A zdůvodnění? To je neuvěřitelné: “… this function is being deprecated and will not be updated. It was rarely used and its functionality has been replaced by the new File History feature.” To si v Microsoftu opravdu myslí, že zálohování bylo dobré jen na soubory? Co komplet nastavení systému? Vím, že se dají synchronizovat nastavení pod Microsoft Account, ale pochopitelně jsou aplikace, které nejsou od Microsoftu a takhle nefungují.

V tomto článku, který popisuje File History, jdou ve vysvětlování důvodů ještě kousek dál: “Our telemetry shows that less than 5% of consumer PCs use Windows Backup and even adding up all the third party tools in use, it is clear nowhere near half of consumer PCs are backed up.

Přiznám se, že tomuhle moc nerozumím. Cost-cutting je všudypřítomný, ale takhle extrémně? Těch ubohých 5 procent uživatelů je tak odkázáno na produkty třetích stran, případně na dumání, jak umožnit zálohování a la Windows 7, ovšem za cenu znefunkčnění File History.

Co bude další na řadě? Udělá si Microsoft průzkum, že necelá desetina uživatelů používá ACL a zbytek se spokojí s Everyone Full Control?

ICACLS používání

V poslední době často používám pro nastavování práv ICACLS.EXE. Výhodou je dostupná historie spuštěných příkazů a hlavně snadný přenos do dokumentace. Měl jsem trochu chaos v definici rozsahu dědění mnou definovaných práv, dokud jsem nenašel tuhle stránku. Jelikož mají zrovna stránky, které obsahují velmi užitečné informace, tendenci jako na potvoru zmizet, tak si raději sem část informací přenesu.

Pokud chci přidat práva třeba aplikačnímu poolu, použiji konstrukci icacls c:\inetpub\webs\www.domena.cz /grant "IIS APPPOOL\DefaultAppPool":(OI)(CI)(RX) .  Definici práv (poslední závorka) najdu v icacls /?, ale co znamenají ty zmatky předtím? Více...

Google a monitoring IP provozu

Sedím doma, hledám něco na netu a najednou se mi místo očekávaných výsledků na Google objeví tato stránka. Chvíli jsem nechápal, co se děje, až jsem si v dolní části všiml IPv6 adresy z mně přiděleného subnetu 6to4 tunelu od Hurricane Electrics. Jsem připojený přes pražský uzel, který byl zřízen v lednu 2012, vypadá to, že už nás tam pár visí a tak jsme uvízli v hledáčku Googlu – raději ani nechci vědět, co vše Google sleduje. Více...