dolezel.net

Co není v hlavě, je v blogu...

W2012–snadná změna edice, aspoň nahoru

W2008 R2 a W2012 přináší zajímavou fíčuru – možnost změnit snadno edici. Bohužel to funguje jen směrem nahoru. V dřívějších verzích Windows bych to chápal, různé edice obsahovaly různé funkce a změna edice např. z Enterprise na Standard by byla docela problematická. Nicméně u Windows 2012 se říká, že vše je stejné, liší se jen práva virtualizace. Asi to bude problém v rozdílných možnostech určitých rolí, bůh ví.

Zjištění aktuální edice W2012:

DISM /Online /Get-CurrentEdition

Essentials vrátí Current Edition : ServerSolution

Standard vrátí Current Edition : ServerStandard

Datacenter vrátí Current Edition : ServerDatacenter

Zjištění možné cílové edice W2012: Více...

Zapomenuté heslo doménového admina

Říkal jsem si, že to není možné. Poté, co mne kontaktovali kolegové ze Střední Ameriky, jsem zjistil, že to je možné. Jeden DC je hardwarově mrtev a na druhý se nedokáže nikdo z lokálních IT připojit, protože to vypadá, že zapomněli heslo.

Jelikož jedou na W2008R2, poslal jsem jim tento návod - http://www.howtogeek.com/106333/how-to-reset-your-forgotten-domain-admin-password-on-server-2008-r2/.

Napadlo mne se preventivně podívat, jak tuto situaci řešit v případě, kdy by byl na DC nasazen W2012 nebo W2012 R2. No, kupodivu naprosto stejně. Výborný step-by-step návod, dokumentující odlišnosti obrazovek mezi W2008R2 a W2012, je tady - http://vthoughtsofit.blogspot.cz/2013/03/reset-your-domain-administrator.html.

Selhávající zálohování virtuálního stroje

Na jednom serveru jsme se potkali s opakovaným selháváním zálohy virtuálního stroje. Hlášky, které se objevovaly v EventLogu, byly velmi podivné. Zkoušeli jsme zálohovat pomocí Symantec BackupExec, Windows Server Backup, Altaro Hyper-V Backup. Chyba vypadala všude stejně: Více...

IE, IIS, Windows autentizace lokálně na serveru

Narazil jsem dnes na problém Windows Serveru 2008 R2, na kterém byl nainstalovaný IE 11. V IIS byl nakonfigurovaný intranetový web, který vyžadoval Windows ověření (Kerberosem nebo NTLM). Zatímco vzdálený přístup na web z jiného počítače šel bez problémů, z lokálně puštěného prohlížeče ani omylem.

Dohledal jsem, že je to zabezpečení “by design” už od doby WXP SP2 a Windows Serveru 2003 SP1. Jde o to, že systém kontroluje, zdali autentizace pomocí FQDN DNS jména obsahuje název serveru. A pokud ne, zobrazí se HTTP 401.1 – Unauthorized: Logon Failed. Více...

Task Scheduler–kódy posledního spuštění

Narazil jsem dnes na Scheduled Task, který mi hlásil na W2008R2 kód 0x800704DD. Víceméně jsem si nikdy nepamatoval žádný jiný kód, než 0x0, který značí úspěšné dokončení Smile Takže jsem se podíval po nějaké tabulce, která by přehledně vysvětlovala, co a jak. No a ukázalo se, že jsem měl načasovanou úlohu nastavenou blbě. Více...

Virtualizace a Active Directory

Nedělám to často, ale tentokrát si musím uvést odkaz na aktualizovaný článek z roku 2011. Microsoft opět změnil doporučení pro optimální konfiguraci virtualizovaného DC s Windows Server 2008 (R2) – nyní je doporučováno zcela odškrtnout synchronizaci času s hostitelem – více v původním článku z roku 2011.

Optimálním řešením je ale upgrade DC na Windows Server 2012. U něj se již od začátku počítalo s během pod hypervisorem a problémy s časem, potažmo replikacemi jsou vyřešeny díky atributu VM-GenerationID.

CA Web Enrollment na front-end serveru

V dobách Windows 2003 jsem často zprovozňoval interní certifikační autoritu na back-end serveru a CA Web Enrollment a web s CRL na front-end serveru. U Windows 2008 mi identický postup nefungoval, tak jsem to vždy obešel automatickým zprovozněním aplikace /CertSrv po instalaci v Default Web Site. Dnes jsem však potřeboval tuto aplikaci rozchodit na jiném webovém serveru, protože Default Web Site již byl používaný Exchange Serverem 2010. Je to k neuvěření, ale dnes jsem našel jeden blog post z roku 2009, který vše potřebné naprosto geniálně popisuje. Už jen lahůdkou je fakt, že front-end běžící na Windows Serveru 2008 může bez problémů komunikovat s certifikační autoritou spuštěnou na Windows Serveru 2003. Více...

Windows Server 2012–instalační možnosti

Zatímco ve Windows Serveru 2008 R2 byly k dispozici pouze volby Core a Full GUI, mezi kterými bylo nutné volit jedině a pouze při instalaci OSE, ve Windows Serveru 2012 jsou již volby tři – Core, Minimal Server Interface a Full GUI. Navíc je možné mezi těmito volbami libovolně přecházet  kdykoliv. Oblíbenou možností je tak nejdříve nahodit Full GUI, server kompletně nainstalovat a teprve na závěr přejít na Core edici.

DISM mi nepřirostl k srdci, proto se raději naučím PowerShell, ještě předtím krátké vysvětlení:
Server-Gui-Mgmt-Infra představuje Minimal Server Interface
Server-Gui-Shell je Full Server s GUI Více...

Jak rozšířit velikost disku na iSCSI Target serveru?

Zajímavý problém – jak rozšířit kapacitu iSCSI disku, který je založen na W2008R2 iSCSI Target serveru, když na tomto serveru není nainstalován Hyper-V Server? Nakonec jsem prošel těmito kroky:

  1. zastavit služby na serverech iSCSI iniciátorů, aby něco nelehlo natvrdo
  2. na iSCSI serveru zastavit službu WinTarget, neboli Microsoft iSCSI Software Target. Tento krok je nezbytně nutný, aby byly uvolněny VHD soubory, které představují konkrétní iSCSI disky.
  3. na nějakém Hyper-V Serveru (nejlépe takovém, který je na stejné gigabitové síti) si otevřít CMD jako admin a přimapovat si dočasně vzdálenou lokaci s VHD soubory, které přestavují iSCSI disky. Např. net use k: \\BackupServer\d$ /user:domain\administrator.
  4. Následně spustit  Hyper-V Manager, v pravém sloupci zvolit Edit Disk… a zadat cestu ke vzdálenému VHD souboru, např. k:\BackupDisks\Server1Backup.VHD
  5. v dalších krocích zvolit Extend… a následně zadat cílovou velikost VHD souboru, neboli iSCSI disku. Spustí se proces rozšiřování VHD souboru, trvá to fakt hodně dlouho. Chce to vydržet, v žádném případě nepřerušovat.
  6. ukončit Hyper-V Manager (nutné, jinak je problém s následujícím bodem)
  7. odpojit vzdálený disk příkazem net use k: /del
  8. zopakovat případně kroky 3 až 7 pro další iSCSI disky
  9. na iSCSI serveru nastartovat službu WinTarget
  10. připojit se na servery s iSCSI iniciátory, zkontrolovat dostupnost iSCSI disku
  11. spustit na každém serveru s iSCSI iniciátory Disk Management a na dosud nezvětšeném logickém disku dát pravé tlačítko a Extend Volume…
  12. nastartovat služby zastavené v bodě 1.

Tím je rozšiřování iSCSI disku dokončeno. Jsem docela zvědav, jestli i W2012 iSCSI Target serveru došlo k nějaké změně, aby nebylo nutné tento obludný postup procházet.

Korektní ukončení IIS

Mnohokrát se mi stalo, že IISRESET skončil ztrátou konfigurace, kterou jsem těsně předtím upravoval. Dnes mi to už nedalo a tak jsem se, jako poslední možnost, podíval do nápovědy. A ejhle, ono v ní opravdu něco napsaného je Veselý obličej 

V případě, že zadám pouze IISRESET /NOFORCE, dám sice příkaz k nenásilnému ukončení IIS služeb. Jenže to většinou končí těmito chybami:

Attempting stop...
Restart attempt failed.
The requested control is not valid for this service. (2147943452, 8007041c)

Attempting stop...
Stop attempt failed.
The service did not respond to the start or control request in a timely fashion.
(2147943453, 8007041d)

Zajímavým je nicméně parametr /TIMEOUT:x, kde x je počet sekund. V případě pokynu pro restart je to standardně hodnota 20 sekund, pokud má jít o zastavení služby, je standardně nastaveno 60 sekund.

Takže bezpečným  příkazem by měla být tato konstrukce:

IISRESET /STOP /NOFORCE /TIMEOUT:120

Teprve po bezpečném zastavení, kdy mám jistotu, že bylo vše korektně uloženo, zadám

IISRESET /START