dolezel.net

Co není v hlavě, je v blogu...

Korektní ukončení IIS

Mnohokrát se mi stalo, že IISRESET skončil ztrátou konfigurace, kterou jsem těsně předtím upravoval. Dnes mi to už nedalo a tak jsem se, jako poslední možnost, podíval do nápovědy. A ejhle, ono v ní opravdu něco napsaného je Veselý obličej 

V případě, že zadám pouze IISRESET /NOFORCE, dám sice příkaz k nenásilnému ukončení IIS služeb. Jenže to většinou končí těmito chybami:

Attempting stop...
Restart attempt failed.
The requested control is not valid for this service. (2147943452, 8007041c)

Attempting stop...
Stop attempt failed.
The service did not respond to the start or control request in a timely fashion.
(2147943453, 8007041d)

Zajímavým je nicméně parametr /TIMEOUT:x, kde x je počet sekund. V případě pokynu pro restart je to standardně hodnota 20 sekund, pokud má jít o zastavení služby, je standardně nastaveno 60 sekund.

Takže bezpečným  příkazem by měla být tato konstrukce:

IISRESET /STOP /NOFORCE /TIMEOUT:120

Teprve po bezpečném zastavení, kdy mám jistotu, že bylo vše korektně uloženo, zadám

IISRESET /START

Nefunkční vzdálené připojení Server Managerem

Nabil jsem si ústa s Windows Server 2008 R2 Core edicí, která byla nakonfigurována pro vzdálenou správu pomocí nástroje CoreConfig2. Při každém pokusu o připojení se objevila tato chyba: Více...

Změna certifikátu na serveru, kde je IIS i SSTP VPN

V případě, že na IIS serveru (pro zjednodušení uvažuji jednu NIC, jednu IP adresu, žádný Apache či jiný non-IIS HTTP server) změním adresu, je potřeba opravit i konfiguraci SSTP. Při prvním kliknutí na záložku Security (Zabezpečení) ve vlastnostech RRAS serveru dostanu toto chybové hlášení: Více...

ICACLS používání

V poslední době často používám pro nastavování práv ICACLS.EXE. Výhodou je dostupná historie spuštěných příkazů a hlavně snadný přenos do dokumentace. Měl jsem trochu chaos v definici rozsahu dědění mnou definovaných práv, dokud jsem nenašel tuhle stránku. Jelikož mají zrovna stránky, které obsahují velmi užitečné informace, tendenci jako na potvoru zmizet, tak si raději sem část informací přenesu.

Pokud chci přidat práva třeba aplikačnímu poolu, použiji konstrukci icacls c:\inetpub\webs\www.domena.cz /grant "IIS APPPOOL\DefaultAppPool":(OI)(CI)(RX) .  Definici práv (poslední závorka) najdu v icacls /?, ale co znamenají ty zmatky předtím? Více...

Teaming a Intel/Broadcom

Tenhle článek si chci uložit již dlouho – vždy, když to potřebuji, tak to vyhledám a vzápětí zapomenu. Teaming dvou a více síťovek lze nastavit v několika módech. Jednotlivé módy mají vliv na Fault Tolerance (odolnost proti výpadku jedné síťové karty), Link Aggregation (spojení několika síťovek do jedné “velké trubky”) a Load Balancing (rozklad příchozí/odchozí zátěže na několik síťovek). Je pravda, že ve Windows Serveru 2012 už Microsoft začlení teaming zase zpátky do OS, ale Windows 2008 Servery s námi ještě nějakou dobu budou, obdobně jako nyní firmy provozují ještě i Windows Server 2003. Více...

Diagnostika AD

Po delší době jsem se musel vrtat v Active Directory Windows Serveru 2003, kde byly problémy s časem, virtualizací AD, neexistujícími AD řadiči, prázdnými AD sajtami. Tak si sem házím příkazy, které se mi hodily:

netdiag .exe /v >c:\temp\netdiag.log

dcdiag.exe /V /C /D /E >c:\temp\dcdiag.log

repadmin.exe /showrepl nazev_ad_serveru /verbose /all /intersite >c:\temp\repl.txt

dnslint /ad /s ip_adresa_ad_serveru /v

Problémů tam bylo požehnaně, největší špek ale spočíval u klientů – ve WXP s SP3, GPO a WMI filtry. O tom více v dalším příspěvku.

Jak nastavit Password never expires na Core edici

Minulý týden jsem byl konfrontován s vcelku zajímavým problémem – jak na Hyper-V serveru s Core edicí nastavit jednomu uživateli stále platné heslo. Přičemž nebylo možné využít admin tools z počítače s plným GUI rozhraním, protože na server byly otevřené pouze porty pro RDP. Více...

Windows 2008/7/Vista a vícero IP adres na jedné NIC

Teď jsem si tak ukázkově nabil ústa, že si to musím ihned poznamenat. I když na tohle bych asi jen tak nezapomněl. Už od dob NT4 má člověk zafixováno, že pokud zadá na jednu síťovou kartu vícero IP adres, pro odchozí provoz bude použita ta prvně zadaná, tj. ta, která se zobrazí v nastavení TCP/IP, kde volím mezi statickou a dynamickou (DHCP) adresou. Suverénně jsem tak dnes nakonfiguroval Windows 2008 Web Server R2 a zaboha jsem nemohl přijít na to, proč vše nefunguje tak, jak má. Velké překvapení nastalo po několika hodinách bádání – od dob Vist je vše jinak. Více...

Přidání dodatečné síťové karty do Core edice Windows 2008 R2

Je to už rok a půl, co jsem si trhal vlasy nad nemožností přidat do již nainstalovaného a nakonfigurovaného Hyper-V clusteru, založeného na Windows Serveru 2008 R2, dodatečné síťové karty. Jednou nainstalovaná Core edice prostě ani zaboha nechtěla rozpoznat nově přidané síťové karty. Zkoušel jsem tenkrát rušit týmy, reinstalovat BACS (byly to Broadcomy), zkoušel jsem pomocí “pnputil.exe –d oemX.inf” odinstalovat ovladače síťových karet. Všechno marné, nově přidané síťovky jsem v OS nezprovoznil, takže jsem musel přistoupit ke kompletní reinstalaci všech tří serverů.

Od té doby mám docela panickou hrůzu, že se u nějakého Core serveru objeví potřeba přidat další síťovou kartu, případně vyrobit kvůli VLAN, u něhož by nebylo možné použít trunk, nějakou další virtuální síťovou kartu, kterou by Core edice zase nerozpoznala. Dnes jsem objevil KB2460786, který by snad mohl v těchto případech pomoci. Více...

Nemožnost připojení k RDP

Dnes mne zaskočila při připojení k SBS 2011 následující hláška: “The task you are trying to do can't be completed because remote desktop services is currently busy. Please try again in a few minutes. Other
users should still be able to log on.” Standardní přihlášení nešlo, zabrala poté až varianta s /admin přepínačem v názvu volaného serveru.

Začal jsem se pídit po informacích, o co jde. Našel jsem tento záznam na Experts Exchange. Zde byl odkaz na KB2383928. V tomto článku jsou popsány závady v ovladači Win32k.sys, díky němuž může za určitých podmínek dojít k vyčerpání zdrojů, kdy server začne odmítat nové RDP spojení, což by docela odpovídalo chování serveru. Co je ale horší, při pokusu o restart může dle článku dojít k zablokování shutdown procesu. Údajně pak nezbývá nic jiného, že natvrdo server vypnout a zapnout (což může mít teda parádní efekt na konzistenci všech LDAP, DHCP, Exchange, SQL databází, konzistenci HW či SW RAID). Takže před restartem raději preventivně manuálně stopnu všechny podstatné služby, u nichž to lze a u kterých by mohlo dojít k nakopnutí dat, např. DHCP, Exchange, SQL. Více...