dolezel.net

Co není v hlavě, je v blogu...

Reset Directory Service Restore Mode hesla administrátora

Toto heslo, jež se nastavuje při instalaci nového AD řadiče, se s oblibou ztrácí, obzvláště pokud instalace provádí větší tým lidí. Kontrola správnosti hesla je možné pouze při restartu serveru, stisknutí F8, zvolení Directory Service Restore Mode. Ne vždy jsou všechny servery vybaveny management kartou pro vzdálený přístup, navíc je krapet problémem ten reboot = přerušení provozu. Snadnějším řešením tak může být řízený reset tohoto hesla, následovaný okamžitým spuštěním zálohy, minimálně zálohy SystemState. Více...

Windows 7 a Kixtart login skripty

To je strašné peklo. Kixtart je používaný už řadu let jako mocný nástroj pro tvorbu login/logoff skriptů snad od dob NT4. Pokud však začnete nasazovat do domény vedle WXP též W7, příp. Visty, nebudete se stačit divit, kolik problémů s Kixtartem se objeví. Více...

W2008R2 PDC AD – jak nastavit NTP

Až do současné verze Windows Serveru 2008 R2 jsem vždy na AD s PDC rolí nastavoval externí zdroj času následovně:

net time /setsntp:ntp.cesnet.cz
net stop w32time
net start w32time
net time /querysntp

Příkazy /setsntp a /querysntp však jsou ve W2008 R2 potlačeny a uživatel je odkázán na w32tm. Jaká je správná syntaxe?

w32tm /config /manualpeerlist:ntp.cesnet.cz,0x1 /syncfromflags:MANUAL
net stop w32time
net start w32time
w32tm /query /peers
w32tm /query /status

Doplnění 18.10.2011:

Vskutku dlouho jsem bádal nad tím, co znamená ten přívěšek ",0x1" k doménovému jménu časového serveru. Až dneska jsem dohledal, že je to nutné v případě, kdy je žádoucí ovlivnit interval dotazů na časový server. Když by tam ",0x1" nebylo, tak se prostě parametr SpecialPollInterval nebude brát v potaz.

Požadovaný interval se nastaví zde - HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval

Standardně je na W2008 R2 nastaven na hodnotu 900, tj. 15 minut. U Windows 2003 to byla hodnota 3600, tj. dotaz každou hodinu.

W2008 AD a politika hesel

Pamatuji si, že jednou z výhod AD nad W2008 je možnost mít pro různé objekty (uživatele) různou politiku hesel. Hodí se to třeba pro privilegované administrátorské účty. Naivně jsem se domníval, že to půjde cestou GPO. Při přípravě na 70-647 jsem začal dohledávat, o co jde. Panejo, tady je step-by-step návod, jak kýženého docílit. Návod strašný, proto se již objevily free nástroje, které s tím pomohou – Password Policy Manager.

ITIL, MOF, Exchange

Při vyřčení libovolné z prvních dvou zkratek mne jímá hrůza, že se v následující sekundě potkám s “proškoleným” konzultantem, který absolvoval řadu školení na uvedené téma, ale vlastní práce ho jaksi minula. Bohužel bez alespoň obecné povědomosti, co tyto termíny znamenají, to v brzké době bude čím dál tím těžší, takže si zde shromáždím pár užitečných linků.

MOF a Exchange 2007
MOF 4.0

ITIL Official Website
Best Management Practice

Pro MS návrháře i konzultanty je pak výborný (i když nepředstavitelně rozsáhlý) Infrastructure Planning and Design.

Spouštění programů pod doménovým účtem z ne-doménového počítače

Nainstaloval jsem si pod VirtualBoxem Windows Server 2008 Standard v Core edici, nainstaloval přes ocsetup roli DNS server, vytvořil si textový soubor s unattended instrukcemi pro dcpromo, rebootoval, vše OK. No jo, jenže jak se teď připojit k DNS serveru a zkontrolovat obsah zóny, když mám notebook zapojený do pracovní domény, která s tou virtuální nemá pranic společného? Stará dobrá finta “net use \\server\ipc$ /user:domain\user” fungovala dobře na WNT4, částečně na W2000/W2003, ale na W2008 se už moc nechytá. RUNAS.EXE či Run as administrator (případně v kombinaci se SHIFT klávesou Run as different user) také nezabíral. Existovala samozřejmě jednoduchá pomoc – ve virtuálu rozjet management stanici, kterou bych zapojil do virtuální domény. Nechci si však užírat výkon notebooku během dalšího virtuálního počítače, takže nedá se přeci jen nějak zařídit připojení z RSAT utilit na fyzickém notebooku? Odpověď zní – jde a to překvapivě jednoduše. Uvedený postup funguje NEJEN z ne-doménového počítače, ale dokonce i z počítače, který je členem jiné, netrustované domény. Více...

Zálohování W2008 ze skriptu pomocí WBADMIN.EXE

Při zálohování pomocí WBADMIN.EXE je třeba dát pozor na ne-přednastavený přepínač –vssFull, obzvláště jedná-li se o server s Exchange 2007. Stejně jako v grafickém rozhraní Windows Server Backup je totiž přednastavena záloha typu kopie, nikoliv plná (full). Bez explicitního uvedení parametru –vssFull (v případě grafického rozhraní je nutné zvolit Custom backup configuration) se totiž u Exchange 2007 neprovede odmazání již zazálohovaných transakčních logů. Více...

Aktivace Windows 2008 Core po telefonu

Právě jsem zjistil, že aktivovat Core edici bez připojení na Internet je docela legrace. Na jednom bohem zapomenutém serveru zaboha nešly nainstalovat aktualizace – až po chvíli jsem si všiml, že v pravém dolním rohu svítí nápis “This copy of Windows is not genuine”. S Core edicí nejsem zatím příliš kamarád, takže jsem na server promptně dotlačil CoreConfigurator,  abych se vzápětí dozvěděl, že se zadáním licenčního čísla se po instalaci serveru již žádný administrátor neobtěžoval.

U běžných GUI Windows vám přímo systém nabídne možnost aktivovat po telefonu a rovnou uvede dostupná čísla pro Českou republiku. To však neplatí pro Core edici. Kde kruci ta čísla hledat? Trvalo mi to docela dlouho, takže po odeslání tohoto článku bude odpověď znít: tady.

Bezplatné číslo: 800 100 074
Placené číslo: +420 221 777 222

Windows 7 a profily Outlooku

Nevím proč, ale tohle pořád hledám. Vždy, když potřebuji testovat připojení Outlooku pomocí Outlook Anywhere (RPC over HTTPS), tak otevřu Ovládací Panel a pak automaticky programy. Jenže ikonka Pošty nikde. Tak si to musím sem napsat, že je to v Uživatelských účtech (User Accounts).

w7_outlook_mapi

Nefunkční klávesa apostrofu na anglické klávesnici

Nainstaloval jsem si před časem Windows 7 na notebook. Při psaní kódu, jedno jakého programovacího jazyka, je sebemrskačstvím používat české rozložení kláves. Takže každý automaticky přepíná na anglickou. Už jsem si začínal myslet, že mi odchází klávesnice na notebooku, protože klávesa apostrofu fungovala blbě – tvářila se jako mrtvá klávesa v českém rozložení, tj. znak se napíše až při volbě následující klávesy. Tohle přeci nechci, to je otravné, zdržuje to, generuje chyby. Více...