dolezel.net

Co není v hlavě, je v blogu...

Bezbolestné odebrání AD řadiče

Ačkoliv se jedná o vcelku běžnou operaci, stojí za to si srovnat jednotlivé kroky a vyvarovat se případných problémů.

  • zkontrolovat převedení FSMO rolí, pokud nepřevedeny, tak převést
    netdom query fsmo
  • zkontrolovat existenci dalšího GC, pokud odstraňovaný AD byl GC
  • zkontrolovat převod Licensing Computer (pod ADS&S, Sites, jméno sajty, Licensing Site Settings)
  • zkontrolovat TS Licensing server
  • pokud byl odstraňovaný AD PDC, zkontrolovat, že nový PDC má nastaven timeserver a má prostup na externí time server
  • zkontrolovat pořadí DNS serverů nakonfigurovaných na síťovce odstraňovaného serveru (jako první v pořadí nesmí odkazovat sám na sebe, jinak se odebrání AD nepovede)
  • pokud měl odstraňovaný server nakonfigurovány DNS forwarders, zkontrolovat, že jiné AD je mají nakonfigurovány také a že mají povolené prostupy přes firewall
  • roli AD odebírat pomocí Správce serveru/Manage your server
  • po restartu odebrat DNS roli
  • pokud je to žádoucí, vyjmout server z domény
  • zkontrolovat na zbylých AD řadičích stav AD a stav DNS – z něj je zpravidla potřeba odmazat u všech zón odstraněný name server, občas i implicitní A záznam domény, odkazující na IP adresu odstraněného serveru

Symbióza IIS 7 a Apache na jednom serveru

V článku o IIS6 a Apache jsem si poznamenal použití httpcfg.exe z Windows Serveru 2003 Support Tools. IIS se při spuštění natvrdo "zavěsí" na porty 80 a 443 všech IP adres přidělených danému stroji a to i přesto, že třeba žádnou z nich nemá ve Web či FTP bindings a dokonce i v případě kdy žádný web nemá zvoleno (All Unassigned). Výše popsané funguje zcela shodně v IIS 7. Jen nástroj je k tomu potřeba zvolit jiný. Více...

Import Thawte Freemail certifikátu do Vist či Windows Serveru 2008

Nainstaloval jsem si Visty, pak Windows Server 2008. Následně jsem zatoužil o Thawte Freemail certifikátu. Jak již jsem psal zde, na požádání o certifikát z Vist/W2008 můžu rovnou zapomenout. Takže jsem si certifikát vygeneroval na Windows Serveru 2003, uložil do PFX, soubor přenesl do W2008 a naimportoval. K mému překvapení jsem pořád nemohl podepsat e-mail ve Windows Mailu. Více...

Nestartující VMware Host Agent služba

Mám k dispozici pouze x86 server. Na něm běží SBS 2003. A na něm ještě VMware Server 2.0, který používám pro běh i jiných virtuálních mašin, než Windows – proto ten VMware a nikoliv MS Virtual Server 2005. V poslední době jsem se potýkal s tím, že po restartu fyzického stroje mi nenastartují virtuální mašiny – problém je v tom, že nedokáže nastartovat služba VMware Host Agent se zkráceným názvem VMwareHostd. Dnes mne napadlo řešení, které funguje. Více...

Windows Server 2008 Standard s 5-ti CAL zdarma

Ne, tohle není žádná reklama na podvodné weby prodávající hacknutá instalační DVD, ani odkaz na mazané weby, které rozprodávají licenční čísla z Technet/MSDN programů, ale opravdu legální způsob, jak získat x86 či x64 Windows Server 2008 v edici Standard s pěti CAL licencemi.

Jsem ode dneška v GOPASu na týdenním doplnění znalostí z W2003 na W2008 pod oficiálním názvem MOC6416B – Microsoft Windows Server 2008 – doplnění znalostí síťových služeb a Active Directory. Rozbalili jsme ráno studijní příručku a vypadlo na nás DVD s microsoftím licenčním papírem. Poněkud zmateně jsme se na sebe všichni koukali (včetně lektora), co to je – a po chvíli kolega našel tenhle odkaz - http://www.netdesk.com/ws08free.

Pokud v období od června do 31. prosince 2008 absolvujete kurz 6416B nebo 6421 (Configuring and Troubleshooting a  Windows Server 2008 Network Infrastructure), případně 6424 (Fundamentals of Windows Server 2008 Active Directory), dostanete instalační DVD s jedním serverovým CALem a pěti uživatelskými CALy. Na licenci jsou dva aktivační klíče – jeden pro fyzický stroj, druhý pro instanci W2008 ve virtuálním prostředí.

image

DVD podléhá stejným podmínkám a omezením jako krabicové verze – tj. žádné omezení použití, žádné časové omezení, žádná časovaná bomba.

Trik pro MS DNS

Dostal se ke mně požadavek, aby MS DNS resolvovalo všechny dotazy *.test.firma.cz, ale také test.firma.cz. Pro splnění druhého nelze vytvořit běžný A záznam nazvaný test v DNS zóně firma.cz, protože DNS zařve, že daný záznam již existuje.

Takže správný postup je založit novou doménu test v DNS zóně firma.cz, v této doméně založit A záznam s wildcard znakem *, který povede na nějakou IP adresu a na tu samou IP adresu nasměrovat taktéž prázdný (implicitní) A záznam vytvořený v DNS zóně test.firma.cz. V MS DNS se takový záznam zobrazí jako (stejné jako nadřazená složka).

Uvedený příklad lze určitě optimalizovat – např. založit jeden A záznam a vše popsané v předchozím odstavci nevytvářet jako A, ale jako CNAME odkazující na ten jeden A záznam.

Skrytá past v SSL wildcard certifikátu

Použití SSL wildcard certifikátu je vhodné např. do testovacích či vývojových prostředí webových farem, kde je sice žádoucí používat SSL, ale není nutné vytvářet identitu pro každý web. SSL wildcard certifikát se pozná snadno – neobsahuje IP adresu či FQDN název, ale je to třeba *.mujweb.cz. Na Windows Serveru 2003 je k dispozici od SP1 pod názvem SSL Host Headers. Prvně jsem se o nich dočetl zde. Postupem času jsem byl nucen zdokonalit Martinem popsané postupy, ale než se k nim dostanu – v čem je ta skrytá past? Více...

Mime type pro .7z

Potřeboval jsem na web serveru s IIS 6 vystavit archív v 7-Zipu. Zabezpečení IIS však nepovolují stáhnout soubor s koncovkou, jež nebyla asociována v Mime types tabulce. Kde zadat potřebný záznam, je jasné. Otázkou je však co. Proto jsem si dohledal pár webů, které mohou pomoci i do budoucna. Více...

Windows 2008 cluster a chyba při vytvoření virtuálního serveru

S Windows 2008 bude sranda. Léty ověřené postupy nefungují a administrátor je nucen řešit problémy i u jemu dobře známých a otestovaných postupů. Někdy je to novou vlastností produktu, jindy zapeklitým konkrétním nasazením, nejčastěji ale kombinací obojího. Dnes jsem se kupříkladu trápil se zprovozněním souborového cluster serveru. Více...

FTP server na Windows II.

S trochou nadsázky lze říct, že každé malé dítě ví o tom, že standardní FTP protokol je nešifrovaný a v ohrožení jsou tak nejen přenášená data, ale hlavně uživatelské jméno a heslo. Automaticky tak vždy instaluji a konfiguruji zabezpečenou variantu FTP. Jedním z FTP serverů, které jsou pro Windows platformu zdarma, je FileZilla server, který podporuje FTPS. Více...