dolezel.net

Co není v hlavě, je v blogu...

Vystavení SSL SAN certifikátu na interní Windows CA

Aby bylo možné na W2008 CA vystavovat certifikáty se SAN (Subject Alternative Names), je potřeba zkontrolovat, zdali je CA nakonfigurována, aby SAN podporovala. Přihlásím se tedy buď přímo RDP na server s CA, případně spustím certsrv.msc na pracovní stanici s nainstalovanými RSAT,  a spustím:

certutil -getreg policy\SubjectAltName
certutil -getreg policy\SubjectAltName2

Pokud povoleno není, tak povolím a následně restartuji službu CA:

certutil -setreg policy\SubjectAltName enabled
certutil -setreg policy\SubjectAltName2 enabled
net stop CertSvc
net start CertSvc

Poté běžným způsobem přes webové rozhraní interní certifikační autority zažádám o certifikát typu Web Server.

Chyba v převedeném virtuálu z Virtual Serveru do Hyper-V

Ačkoliv byl k převodu použit VMM 2008 R2, objevuje se při startu W2003 virtuálu chyba nenabíhající služby ovladače.

ParPort_svc

Jediným řešením, jak se toho zbavit, je vlézt přes regedit do HKLM\SYSTEM\CurrentControlSet\Services\Parport a zde změnit REG_DWORD pojmenovaný Start z hodnoty 3 na 4. Reboot a otravná chyba je pryč.

Cluster Windows 2003 a iSCSI úložiště

Jak se postupně vše virtualizuje, vyplouvají na povrch další a další drobnosti, které na které je potřeba při instalaci pamatovat. Provozujeme kupříkladu testovací prostředí dvojuzlového Windows 2003 clusteru pod Hyper-V. Jelikož Hyper-V nepodporuje žádnou variantu sdílené SCSI sběrnice, je potřeba clusterové počítače vytvářet s využitím iSCSI disků.

V případě, kdy jsou coby clusterové disky, použity výhradně iSCSI disky, je třeba zabezpečit, aby cluster služba nabíhala až poté, co naběhne Microsoft iSCSI Initiator. Více...

Souborový antivirus a AD

Pokud je nezbytně nutné mít na AD serveru souborový antivirus, tak je zapotřebí:

  1. na x64 systému používat x64 antivirus
  2. definovat bezpodmínečně výjimky, na které nesmí antivirus sahat. Jelikož nastavování per file nebo dle koncovek je pruda, je nejmenším zlem nastavit adresářové výjimky:
    c:\windows\NTDS\
    c:\windows\SYSVOL\sysvol\
    c:\windows\system32\Dns\

Problém se SSL certifikátem na IIS 7.5

Narazil jsem na záludnou chybu při nastavování SSL bindings webu, který běží na víceuzlovém NLBS web clusteru a využívá SSL certifikát. Samozřejmě netřeba zdůrazňovat, že v IIS6.0 problém nebyl. Nejprve jsem na prvním uzlu clusteru vytvořil certifikát (CSR, potvrzení CA, dokončení vytvoření certifikátu). Poté jsem certifikát vyexportoval do PFX a chtěl jej naimportovat na druhý uzel farmy. “Best practises” říkají, že certifikát by měl být uložen bez možnosti zpětně exportovat privátní klíč, takže jsem příslušný checkbox odškrtnul (jako v dobách W2003 a IIS6.0). Pak jsem vytvořil adresáře na disku, zapnul sdílenou IIS shared konfiguraci a chtěl dokončit konfiguraci webů na druhém uzlu spárováním SSL bindings s příslušným certifikátem. Více...

Windows 2003 a streamované FLV video

Kolega řešil na hostingu, jak kromě SWF, jež se z webu na IIS 6.0 přehrávají v pohodě, streamovat též FLV (Flash video). Podle článku z KB Adobe bylo nutné do IIS 6.0 doplnit další MIME type.

Přípona: .FLV
MIME type: flv-application/octet-stream

Po restartu w3svc bylo vše hotovo.

Jak donutit Windows Backup ukládat na lokální disk více kopií záloh

Windows Backup ve W2008 je zvláštní věc. Docela s ním bojuji, zaplaťpánbůh, že už aspoň umí zálohovat nativně i Exchange 2007/2010. Takže situace, kdy je požadováno týdně zálohovat disk C:, system state a každý pracovní den pak Exchange data. A to vše na lokální disk, z nějž jsou data pak odlévána dál, nicméně je žádoucí na lokálu ponechávat 2 zálohy systému a 5 záloh Exchange dat.

Standardně to Windows Backup neumí. Takže jsem nakonec musel použít tuto fintu – na lokálním disku určeném k zálohování jsem vyrobil sdílený adresář, v něm vytvořil příslušné podadresáře a poté založil scheduled tasks, které volají: Více...

Zdlouhavá instalace aktualizací, opravných balíčků na serveru, který není připojen k Internetu

V případě, že je aktualizace či opravný balík napsán v .NETu a během instalace kompiluje kód do nativního obrazu, může to trvat příšerně dlouho. “Na vině” je standardně nastavená kontrola revokace certifikátu, jímž je podepsán spouštěný software, v případě, kdy server nemá internetovou konektivitu. Pokud se jedná o zabezpečené prostředí (DMZ), je doporučeno provést tyto kroky: Více...

Selhávající instalace Update Rollup 2 for Exchange Server 2007 SP2

Chci na jednom počítači nainstalovat tento Update Rollup 2 a ono ne a ne a ne. Přitom na všech dosud instalovaných serverech to bylo v pohodě. V Eventlogu se objevuje hláška event id 1013 “The user who's currently logged on doesn't have sufficient permissions to install this package. You need at least Exchange Server Administrator permissions on the current computer to complete this task.” Nakonec jsem přišel na to, že příčinou je nainstalovaný PowerShell 2.0, a to přesto, že SP2 pro Exchange 2007 přináší plnou podporu právě pro PowerShell 2.0. Jak se ale zdá, toto neplatí pro Update Rollup installer. Zajímavé je, že se nyní snažím dohledat tu oznámení, že RU2 přináší podporu PowerShellu 2.0 a nikde to není. To mi krapet zavání dodatečným stažením této informace. Takže jaké je řešení? Více...

Nezbytné nástroje pro správu Core edicí Windows

Před chvílí jsem “objevil” dva výborné, naprosto nezbytné nástroje každého admina pro správu Core edicí Windows. Čert vem všechny Core Configuratory a Visual Core Configuratory, tohle jsou panečku nástroje, ve kterých se skrývá neuvěřitelná síla :) Více...