dolezel.net

Co není v hlavě, je v blogu...

Změna v IIS 7.0 po aplikaci W2008 SP2

Neměl jsem poslední měsíce moc času na nové příspěvky, takže jsem to moc nepozoroval. Posledních pár dní si však říkám, co se to kruci s tím blogem děje? Je to pomalé, nefunguje odmazávání komentářů, nefunguje dobře jejich přidávání. Potřeboval jsem změnit jeden parametr v konfiguraci BlogEngine.NET a opět se objevila ta hláška “500 – Internal Server Error”. To snad není možný. Nové články přidávat jdou, komentáře také. Takže kontrola web.config souboru, kontrola ACL na adresáři App_Data, ne prostě je vše ok.

Jdu do konfigurace IIS, rozklepnu Application Pools, koukám, že Managed Pipeline Mode je nastaven správně na Integrated, pro jistotu znovu kontrola web.configu a správnosti migrace <handlers> a <modules> při zapnutém validateIntegratedModeConfiguration=”true”. Fakt je všechno správně.

Takže ze zoufalství začínám přemýšlet a dohledávat, co jsem kdy na serveru dělal. Nic, po přesunu na W2008 x64 SP2 jsem pouze aplikoval hotfixy a žádný zásadní zásah neprováděl. Zkrátím to – problém je rovnou v tom SP2. Akorát jsem si toho při rozjíždění blogu nevšiml a díky tomu, že se ta chyba neprojevuje vždy (což nechápu), jsem neměl moc šancí na to přijít. Více...

Tak tenhle jsem neznal

Zase další vtip, kterýmu bude rozumět jenom pár vyvolených (a z rodiny nikdo) :)

Admin junior: Je to v pytli, na disku už máme místo jenom vpravo.

Admin senior: Cože?!?

Admin junior: No píše to “No space left on this device!”

Rozdíly mezi MS Forefront Client Security a MS Security Essentials

Dnes jsem dostal zajímavou otázku – jaké jsou rozdíly mezi klientskými antiviry nabízenými Microsoftem. Ten první rozdíl je evidentní – FCS je za peníze, SE zadarmo (no, v ČR oficiálně ne, ale budiž). Jak je to ale s dalšími rozdíly?

Odpověď jsem našel na FAQ- Forefront Client Security and Microsoft Security Essentials Comparison. Jelikož se na webu často odkazy mění, tu nejdůležitější tabulku si s dovolením půjčuji.

Key Features of FCS 2.0 and MSE

Feature

Forefront Client Security

Microsoft Security Essentials

Antivirus/Antispyware

Yes

Yes

Rootkit Protection

Yes

Yes

Win 7 & WS 2008 R2 Support

Yes

Yes

Dynamic Signature Service

Yes

Yes

Group Policy Control

Yes

No

Centralized Management & Reporting

Yes

No

Integrated Host Firewall Management

Yes

No

Security State Assessments & Remediation

Yes

No

NAP Integration

Yes

No

External Device Control

Yes

No

Automatic Endpoint Discovery

Yes

No

Microsoft deklaruje, že MSE je antivirus určený výhradně pro koncové uživatele z řad domácností (Consumers).

Dodatečná změna SATA módu z IDE compatible na AHCI

Nové počítače mají zpravidla v BIOSu nastaven SATA režim na IDE kompatibilní režim. Pokud si toho administrátor nevšiml před započetím instalace Windows XP, čekalo ho pak následně velmi nemilé překvapení – po změně v BIOSu již WXP nenaběhly a ačkoliv existovaly a existují hodně nestandardní postupy, jak AHCI ovladač do WXP dostat po instalaci, v drtivé většině případů to končilo potupnou reinstalací.

Jinak je tomu naštěstí ve Windows Vista a Windows 7 (přičemž předpokládám, že zcela identické je to i ve Windows Serveru 2008 včetně R2). Tyto operační systémy totiž mají AHCI ovladač naštěstí již v sobě. Kvůli optimalizaci rychlosti startu je však ovladač MSAHCI zakázán. Jediné, co je potřeba před přepnutím v BIOSu udělat, je změna následujícího klíče v registru: Více...

Finální PowerShell v2

Připravuji upgrade AD schématu pro Exchange 2007 SP2, čtu si v readme a najednou mne zarazí formulace, že SP2 přináší plnou podporu pro PowerShell 2.0. Tak si říkám, no jo vlastně, ve Windows Serveru 2008 R2 i Windows 7 by měl PowerShell 2.0 být, ale jak je to s dostupností třeba pro Windows Server 2003? Hledám na netu a ke svému překvapení jsem zjistil, že vypuštění finálního PowerShellu v2 tak trochu zaniklo v marketingové masáži spuštěné u příchodu Windows 7 – ona totiž i PowerShell v2 Virtual Launch Party byla naplánována na 22. října, tedy v den, kdy se začaly oficiálně prodávat Windows 7.

Samotný balíček Windows Management Framework, který obsahuje Windows PowerShell 2.0, WinRM 2.0 a BITS 4.0 byl oficiálně uvolněn 27. října 2009, tedy přesně před týdnem (v době psaní tohoto článku).

Instalační balíček Windows Management Framework pro Windows XP, Windows Server 2003, Windows Vista a Windows Server 2008 (tj. ne-R2) je k dispozici na http://support.microsoft.com/kb/968929.

Obnova certifikační autority ze zálohy systemstate

Byl jednou jeden AD řadič W2003 Server Standard R2 CZ x86. Ten sloužil jako AD, GC, DNS, DHCP, DFRS, TS licensing server a enterprise CA. Základní deska tohoto řadiče se odebrala do věčných lovišť a teprve poté se ukázalo, že jediným dědictvím je 5 dní starý systemstate backup.

V síti byl naštěstí ještě druhý AD řadič, který byl taktéž GC, DNS a DFRS. Vcelku snadno se tak rozjelo nové DHCP a vytvořil nový TS licensing server. Horší to však bylo s enterprise CA, která vydávala certifikáty nejen interním uživatelům, ale též interním zařízením (web serverům) v několika zemích. A tím začala mission imposible. Více...

Odstranění webu využívajícího SSL wildcard certifikát v IIS7

Potřeboval jsem odstranit web, který využívá SSL wildcard certifikát tvaru *.domena.cz. Při pokusu o smazání webu se objeví chybová hláška. Identická chybová hláška se objeví též při pokusu o odstranění https bindings.

iis7_remove_https_binding

Obdobný scénář použití jsem nalezl zde. Důležitější je však odpověď přímo od jednoho z tvůrců IIS7. S dovolením se pokusím o překlad. Více...

Windows 7 RSAT RTM

Na Windows 7 Enterprise RTM jsem přešel minulé pondělí (10. srpna), k úplnému štěstí mi chyběla správná verze Remote Server Administration Tools. Je to obdoba adminpak.msi známého z Windows Serveru 2003, případně RSAT z Vista SP1.

Dnes jsem si všiml, že W7 RSAT RTM vyšly den poté, 11. srpna. Ke stažení na webu Microsoftu. Pěkný bumbrlíček, jen co je pravda, x86 i x64 edice každá přes 215 MB.

NLB a afinita nastavena na None

Pěknou botu jsem dnes vyrobil. Takovou, že si ji raději zapíšu, aby se mi to nepovedlo znovu. Network Load Balancing služba běžící na několika web serverech (a je už jedno, zdali Windows Server 2003 či 2008) dokáže spořádat pěknou porci požadavků od uživatelů. Přesto se však stává, že je občas některý ze serverů velmi zatížen – typicky při “návštěvě” nějakého ne příliš citlivého indexovacího robota. Pokud je afinita NLB pravidla nastavena na Network či Single, směřuje provoz od žádající IP adresy vždy na jeden webový server. Tento server pak může být přetížen. Zkrátka a dobře jsme si řekli, že by bylo dobré nastavit afinitu na None, takže by se load-balancovaly všechny jednotlivé požadavky, tj. i ty, které by pocházely od uživatele se stejnou IP adresou. Více...

IIS6 FTP Isolate Users

Při pokusu o přihlášení se objevuje tato chybová hláška:

530 User domain\user cannot log in, home directory inaccessible.
Login failed.

Problém je v tom, že izolace uživatelů využívá ještě jedné adresářové struktury (na rozdíl od IIS5) ve tvaru:

\\ftproot\LocalUser\%UserName%
\\ftproot\%DomainName%\%UserName%

Takže místo c:\inetpub\ftproot\user1\ je potřeba mít vytvořenou adresářovou strukturu c:\inetpub\ftproot\domain\user1\.