Echipa Winadmin intra in vacanta.
Si uite ca se apropie de final si 2009. A fost un an cu miscari spectaculoase in zona comunitatilor impinse de la spate de Microsoft Romania si cu final neasteptat pentru unii. E bine totusi ca ne putem adapta si putem merge inainte.
Am inceput de mai putin de 2 luni si deja pot spune ca am reusit sa ajungem la publicul care il luasem in vizor acum mai bine de 5 ani cand faceam planurile pentru ITBoard. Si asta in conditiile in care traficul l-am format postand vreo 2 anunturi pe ITBoard si ceva reclama via AdWords (slabut ca nu au fost fonduri).
Avem deja peste 2300 de vizitatori unici si dupa cum spuneam mai sus, publicul tinta a fost atins (banci, telco, public sector, it, etc). Cam toate marile companii din Romania ne citesc si sper sa faca asta si in anul ce urmeaza; si spun asta pentru ca o sa avem multe surprize in 2010. Nu-i vom uita nici pe cei mici si vom incerca sa acoperim si din zona de Small Business si Windows User.
Pana pe 5 Ianuarie echipa Winadmin va fi in vacanta asa ca va uram de pe acum Sarbatori Fericite si multe realizari in anul care vine.
SBS 2008 – Instalare pas cu pas – Part 1
Windows Small Business Server 2008 aka SBS 2008 este un produs adresat firmelor mici cu pana in 75 de utilizatori. Mai exact e un pachet de produse, la un pret avantajos. Vine in 2 versiuni; Standard si Premium.
Standard:
– Windows Server 2008
– Exchange 2007
– Forefront Security for Exchange Server
– 5 X SBS 2008 CAL
Premium:
– tot ce contine Standard +
– o licenta aditionala de Windows Server 2008 Standard
– SQL Server Standard (2005 sau 2008)
ISA Server (sau TMG) nu mai face parte din pachetul SBS.
Cerintele hardware au crescut fata de versiunea 2003:
– procesor x64
– minim 4Gb RAM (atentie ca nu se instaleaza cu mai putin)
– minim 40Gb disk space pe partitia pe care instalati (recomandarea MS e 60Gb)
Produsul se adreseaza companiilor mici cu pana in 75 de utilizatori si este limitat dupa cum urmeaza:
– maxim 75 de utilizatori
– serverul SBS trebuie sa fie DC, sa detina toate rolurile FSMO, sa fie GC
– nu se pot face trust-uri cu alte foresturi sau domenii.
– Terminal Services nu poate fi rulat in Application Mode pe serverul SBS
Instalarea produsului este foarte simpla (next, next, next) insa am decis sa incep un astfel de articol pentru ca datorita cerintelor hardware mai ridicate e putin mai dificil sa-l testam inainte de a ajunge la client. Unele screenshot-uri le-am sarit pentru ca sunt identice cu orice instalare de Windows Server.
Testul l-am facut pe o masina virtuala in VMware cu disk de 50Gb si 4Gb Ram. Recomandarea mea e ca pe un server real cu aproximativ 50 de utilizatori sa faceti instalarea pe un volum raid 5 (cel putin 3 discuri).
In cazul in care nu indepliniti cerintele mentionate la inceput va veti lovi de urmatoarea imagine iar instalarea se va opri:
In cazul in care am respectat cerintele hardware mergem mai departe:
Funtioneaza si cu o partitie de numai 50Gb (atentie ca daca partitia e mai mica de 40Gb instalarea se va opri):
Numele domeniul introdus mai jos este numele domeniului Active Directory. La acesta SBS-ul va adauga automat extensia .local.
Acum e momentul sa instalati driverele lipsa. In cazul meu am instalat VMWare tools si am restartat sistemul. Mai jos o sa prezint cateva imagini cu interfata de administrare a SBS 2008:
Dupa cum se poate vedea, majoritatea operatiunilor de administrare pot fi facute din consola SBS. Insa inainte de alte taskuri de administrare va trebui setata conexiunea la internet si rezolutia de nume DNS. Voi continua in partea a doua cu cateva informatii despre Exchange 2007 in Small Business Server.
Cum sa bootati de pe VHD cu Windows 7 in 10 pasi
Avertisment 1 : este rezumatul de la http://onegeekwithalife.blogspot.com/2009/11/booting-from-cloned-vhd-in-win7.html – imbunatatit cu inca un tool
Avertisment 2 : nu merge DECIT cu Windows 7. Nu incercati cu Vista …
Pasul 1 : Cititi http://onegeekwithalife.blogspot.com/2009/11/booting-from-cloned-vhd-in-win7.html si confirmati ca aveţi drepturi administrative pentru a executa programe.
Pasul 2 : Asigurati-va instrumentele :
a) Disk2VHD from SysInternals, http://technet.microsoft.com/en-us/sysinternals/ee656415.aspx
b) VHD Resizer, http://vmtoolkit.com/files/folders/converters/entry87.aspx
c) BcdVHD, http://disk2vhd.codeplex.com/ .
d) CD Original Windows 7 cu bootsect.exe
Pasul 3 : Executaţi Disk2VHD şi creaţi un fişier VHD
Pasul 4 : Ataşaţi fişierul VHD în DiskManagement, face-ti-l on-line, ştergeti RAW volume şi faceti shrink la el.Detasati VHD din Disk Management
Pasul 5: Executaţi VHD Resizer cu VHD selectat
Pasul 6: Rulati BcdVHD ca sa il adaugati in boot configuration.
Rulati apoi bootsect on VHD cum e mentionat in http://onegeekwithalife.blogspot.com/2009/11/booting-from-cloned-vhd-in-win7.html
Pasul 7: Restartati si boot pe VHD. Rulati %SystemDrive% pe vhd. Tineti minte litera drive-ului.
Pasul 8: Atasati registry de pe VHD cum scrie in http://onegeekwithalife.blogspot.com/2009/11/booting-from-cloned-vhd-in-win7.html
Pasul 9 : Restart
Pasul 10: Felicitari, aveti un nou sistem de boot de pe VHD!
Andrei Ignat
http://serviciipeweb.ro/iafblog/
WSUS 3.0 SP2 – Cum folosim WSUS fără Internet. Part 4
Să presupunem că avem o rețea de calculatoare izolată, care nu trebuie să aibă legatură la Internet. Calculatoarele din acea rețea trebuie și ele actualizate (se recomandă cel puțin); lucru pe care îl putem face folosind ”facilitatea” Disconnected Network. Practic, asta înseamnă să avem două servere de WSUS: unul conectat la net și altul nu. Pe site-ul Microsoft, Disconnected Network arată cam așa:
În principiu, trebuie făcute 3 lucruri pentru a exporta și importa actualizările de pe un server pe altul:
- Trebuie să ne asigurăm că setările de limbă și metoda de download aleasă sunt la fel pe ambele servere.
- Trebuie să copiem actualizările de pe primul server pe al doilea.
- Trebuie să copiem metadata de pe primul server pe al doilea.
Deci, la pasul 1 verificăm ca setările din Options – Update Files and Languages să fie la fel pe ambele servere.
La pasul 2 copiem actualizările de pe primul server pe al doilea. Putem folosi orice metodă dorim (backup, xcopy etc.) pentru a copia fișierele necesare pe al doilea server.
Trebuie copiat tot conținutul directorului X:\WSUS\WSUSContent unde X: este directorul unde WSUS stochează acualizările. Întreg conținutul directorului trebuie copiat în aceași locație (WSUS\WSUSContent) pe al doilea server.
La pasul 3, copiem fișierul metadata de pe primul server pe al doilea folosind utilitarul wsusutil.exe.
Ca să exportăm metadata, deschidem o fereastră command prompt și navigăm către C:\Program Files\Update Services\Tools (dacă SO este instalat pe discul C:). Folosim comanda wsusutil.exe export NumeleFișieruluiMetadata.cab NumeleFișieruluiLog.log. De exemplu wsusutil.exe export AllUpdates.cab Export.log va avea ca rezultat un fișier AllUpdates.cab și unul Export.log în directorul cu wsusutil.exe.
Acum nu ne rămânde decât să copiem conținutul directorului WsusContent pe al doilea server și să importăm fișierul cu metadata, AllUpdates.cab pe al doilea server de WSUS. Ca și la export, folosim același utilitar, wsusutil.exe, din linie de domandă dar cu switch-ul import în loc de export. De exemplu: wsusutil.exe import AllUpdates.cab Import.log, evident dacă fișierul AllUpdates.cab se află în același director cu wsusutil.exe; dacă nu, atunci specificăm calea către fișier.
Reference Tables on Active Directory
Intamplator am gasit aceste tabele din cartea Inside Active Directory ISBN 0-201-61621-1
http://www.kouti.com/tables.htm
Foarte utile atunci cand de exemplu vrei sa faci legatura intre un camp afisat in AD Users & Computers si atributul din AD (fara sa mai cauti cu ADSI Edit) Sau cand vrei sa refaci permisiunile default pe un anumit obiect. Cartea se refera la Windows 2000 insa multe de acolo sunt valabile in continuare.
Merg downloadate si ca fisiere Excel.
VMware ESXi 4 – Instalare pas cu pas
Am intalnit destul de des servere ale caror resurse erau sub-utilizate : servere cu cate 2 procesoare, 4 GB sau mai mult RAM, 4-6 HDD-uri tineau cate un IIS server, sau nu stiu ce aplicatie, sau aveau rolul de Print Server, s.a.m.d. Intrebandu-i pe cei care le administrau daca s-au gandit la virtualizare, de obicei primeam cam doua tipuri de raspunsuri :
– un NU hotarat, izvorat din neincrederea in virtualizare, din partea unora;
– un “DA, dar costa mult si e prea complicat”, din partea unora, doritori, dar insuficient informati.
Intr-adevar, o solutie completa presupune investitii destul de mari in hardware, software, training. Dar exista si solutii pentru folosirea mai eficienta a hardware-lui pe care il avem deja : un hypervisor nativ(bare-metal) free, cum ar fi Microsoft Hyper-V Server sau VMWare ESXi, ambele destul de usor de instalat, configurat si administrat.
La mine la serviciu avem o solutie de virtualizare pe bani, bazata pe blade-uri HP si VMWare Infrastructure, dar am pus la treaba si cateva servere DELL Poweredge 2800 si 2950 cu VMWare ESXi 3.5 si 4, care functioneaza chiar foarte bine , gazduind, printre altele : un DC, un WSS, un FCS Server, diverse servere de aplicatii, servere de test, etc.
Cunoscand mai bine ESXi, prin prisma faptului ca am lucrat cu el si in productie, spre deosebire de Hyper-V Server, cu care am facut doar cateva teste (care nu m-au determinat sa schimb ESXi cu Hyper-V ), m-am gandit sa public acest ghid de instalare al produsului VMWare.
De fapt, instalarea e atat de simpla, incat nu prea e nevoie de ghid, dar m-am gandit ca, aratand cat de simplu e, ii voi ajuta pe unii ( doritorii insuficient informati, de care ziceam mai sus) sa se hotarasca sa faca primul pas catre virtualizare.
Si nu numai simplitatea procesului de instalare ar trebui sa-i convinga, mai sunt si alti factori, cum ar fi economia de spatiu ( poti tine 3-4 servere intr-o singura carcasa,nu in mai multe), de energie electrica, reducerea costurilor cu licentierea sistemelor de operare ( din cate stiu, daca nu s-a schimbat intre timp, o licenta Windows Server Enterprise iti da dreptul sa rulezi 4 servere virtuale, iar o licenta Datacenter = numar nelimitat de servere virtuale), administrare mai usoara, etc.
Dar destul cu vorba, sa vedem cum facem ?
Intram pe site-ul VMWare , in sectiunea de “Suport&Downloads” . Aici gasim kit-ul de instalare VMWare ESXi , documentatii si Hardware Compatibility Guide. Acesta din urma trebuie consultat pentru a vedea daca hardware-ul de care dispuneti e suportat de ESXi. Daca n-aveti vreun brand mai exotic, nu sunt probleme, baza de hardware suportat e destul de mare.
Pentru a descarca fisierul .iso ce contine kitul de instalare si o cheie de activare nu trebuie decat sa va creati un cont si sa completati un chestionar.
Iso-ul il puneti pe un CD, il introduceti in CD/DVD drive-ul serverului. Porniti serverul si alegeti sa boot-eze de pe CD.
Nota : Pentru acest ghid, am folosit VMWare Workstation 7, in care am instalat un guest cu ESXi versiunea 4.0 update 1. Stati linistiti, instalarea decurge la fel si pe un server real.
In continuare, urmati pasii de instalare :
Sunt incarcate componentele necesare :
Aici vi se aduce aminte sa consultati Hardware Compatibility Guide
Simplu, nu-i asa?
In VMWare Workstation , instalarea a durat numai cateva minute . Pe un server adevarat dureaza un pic mai mult, dureaza mai mult boot-ul si reboot-ul.
Dupa reboot, sunteti informati ca , de la adresa http://ip-server puteti descarca utilitare de management, ca puteti customiza sistemul – F2 sau il puteti inchide/restarta – F12.
Puteti seta parola pentru userul implicit – root, puteti configura setarile TCP/IP ( asta trebuie sa o faceti neaparat daca serverul nu are o adresa IP, din lipsa de DHCP server), si altele.
Customizarea sistemului se poate face si mai tarziu , cu ajutorul VI-Client-ului.
Dar despre customizare, indiferent de metoda, vom vorbi in episodul viitor.
WSUS 3.0 SP2 – Update views și computer groups. Part 3
După ce am instalat și configurat WSUSul, să facem ce știe el cel mai bine și fără să ne murdărim pe mâini… să grupăm update-urile și calculatoarele după placul nostru nu cum ni le dă el ”default”.
Să vorbim despre Update views.
Consola WSUS implicit grupează update-urile în 4 grupuri: All, Critical, Security și WSUS Updates. Pentru început, este suficient. Dar dacă vrem să creăm reguli automate de aprobare și instalare a unor anumite actualizări și să facem managementul lor mai ușor, ne-ar prinde căteva categorii în plus pentru sortarea sau filtrarea actualizărilor.
Pentru aceasta, din consola WSUS, selectăm Updates, facem click dreapta și selectăm New Update View…
Pentru a crea un grup (view) care să ne arate doar actualizările de Forefront Client Security de exemplu (am ales acest produs pentru că sunt mai puține actualizări pentru el), în fereastra Add Update View la pasul 1 selectăm Updates are for a specific product. La pasul 2 facem click pe any product și selectăm doar produsul care ne interesează. La pasul 3 introducem numele grupului, eu i-am spus Forefront updates.
Acum dacă selectăm Forefront Updates view o să vedem toate actualizările pentru produsul Forefront Client Security în funcție de tipul selectat în timpul configurării (Definition updates, Security, Critical etc.). Dacă nu apare nimic în listă, verificați dacă aveți selectat produsul respectiv pentru sincronizare (Options – Products and Classifications).
Să trecem la Computer groups.
La ce ne folosește? Păi, ca să avem un control mai bun al actualizărilor: ce actualizări la ce calculatoare se duc, când și cum. De reținut că un calculator întotdeauna va face parte din grupul All Computers indiferent de grupul în care este mutat.
WSUSul ține toate calculatoarele într-un grup, în Computers – All Computers. Un calculator este atribuit grupului Unassigned Computers până în momentul în care este mutat în alt grup.
Dacă vrem să grupăm calculatoarele în mai multe grupuri, după departament, rol, BU, SO orice vrem noi, facem click dreapta pe All Computers și selectăm Add Computer Group.
Introducem numele grupului și… Add.
În acest moment am un grup dar nu am nici un calculator în el. Există două posibilități de a adăuga calculatoare în grup: Group Policy sau manual. Acest lucru îl setăm în Options – Computers.
Prima opțiune e foarte simplă: mutăm calculatoarele manual cu click dreapta pe computer și alegem Change Membership.
Selectăm grupul dorit și OK.
A doua opțiune e un pic mai complicată. Doar un pic 🙂 Și asta depinde de Active Directory…
Folosim Group Policy Management pentru a crea o politică nouă de distribuție a actualizărilor. Dacă tot am creat grupul Domain Controllers, am să creez o politică pentru Domain Controllers.
Edităm politica. Navigăm către Computer Configuration – Policies – Administrative Templates – Windows Components – Windows Update. Selectăm Enable client-side targeting.
Selectăm Enabled și introducem numele grupului dorit.
În acest moment, fie manual fie prin Group Policy, calculatorul va fi sau urmează a fi în grupul specificat.
Disk2VHD 1.4
Versiunea initiala a lui Disk2VHD nu mi s-a parut deloc deosebita. Era doar un tool de clonat discuri; asta si pentru ca in majoritatea cazurilor importul in Virtual PC/Server sau Hyper-V nu functiona doar prin importul discului.
Dar iata ca cineva a sesizat reactia publicului si imbunatatit tool-ul. Versiunea 1.4 are o optiune care modifica OS-ul clonat pentru a putea boota in Virtual PC/Server sau Hyper-V. Mai exista schimbari si din versiunea 1.3 care includ driverul intelide si il activeaza.
Am fost curios sa vad daca merge si am facut un test. Am facut o masina virtuala in VMWare Workstation cu disk SCSI si OS Windows 2003 SP2. Nu am instalat VMWare Tools. Imediat dupa instalare am clonat discul cu Disk2VHD dar fara optiunea Fix up HAL for Virtual PC. Am scos VHD-ul din masina virtuala si am incercat sa il atasez ca disk de boot la o masina proaspat creata in Virtual PC. Dupa cum banuiam, fara success. Procesul de boot ramane agatat intr-un blank screen.
Am repetat operatiunea dar de data asta cu bifa Fix up HAL for Virtual PC activata. De data asta am reusit sa bootez in Virtual PC.
Tot ce a mai ramas de facut e sa instalez si Integration Components, insa asta e floare la ureche. Problema la migrarea serverelor in mediu virtual era la boot. Ma bucur ca in sfarsit MS a scos un tool pentru asa ceva (chiar daca e rudimentar) si nu mai trebuie sa cumparam SCVMM.
Activare Wireless LAN în Windows Server 2008 și 2008 R2
Problemă: Driver wireless instalat și chiar pare ok în Device manager dar conexiune zero – placa de rețea e pusă pe Disabled și nu poate fi activată. Diagnose nu ne ajută cu nimic.
Cauza: Din motive de securitate s-a decis dezactivarea plăcii wireless.
Soluție: Pentru activarea acesteia, mergem în Server Manager – Features – și adăugăm componenta Wireless LAN Service.
December Security Updates – Microsoft and Adobe
Si a venit “Patch Tuesday” pentru luna Decembrie: Microsoft a publicat un numar de 6 buletine de securitate in care sunt detaliate metodele de rezolvare pentru 12 vulnerabilitati. Una dintre vulnerabilitati a fost deja exploatata pentru a compromite sistemele, folosind un atac de tip “zero-day” indreptat impotriva Internet Explorer-ului.
| Bulletin No. | Description | Impact | Client Severity Rating | Server Severity Rating |
| MS09-071 | Vulnerabilities in Internet Authentication Service Could Allow Remote Code Execution (974318) | Remote Code Execution | Moderate Important |
Important Critical |
| MS09-074 | Vulnerability in Microsoft Office Project Could Allow Remote Code Execution (967183) | Remote Code Execution | Important Critical |
N/A |
| MS09-072 | Cumulative Security Update for Internet Explorer (976325) | Remote Code Execution | Critical | Moderate |
| MS09-069 | Vulnerability in Local Security Authority Subsystem Service Could Allow Denial of Service (974392) | Denial of Service | Important | Important N/A |
| MS09-070 | Vulnerabilities in Active Directory Federation Services Could Allow Remote Code Execution (971726) | Remote Code Execution | N/A | Important |
| MS09-073 | Vulnerability in WordPad and Office Text Converters Could Allow Remote Code Execution (975539) | Remote Code Execution | Important | Important (cu mentiunea ca pe servere in general nu se folosesc extensiv aceste aplicatii) |
In ordinea criticalitatii:
Acest update de securitate rezolva cinci vulnerabilitati din Internet Explorer; aceste vulnerabilitati pot fi exploatate de la distanta daca utilizatorul acceseaza folosind Internet Explorer o pagina web special conceputa. Un atacator poate exploata aceste vulnerabilitati si poate obtine aceleasi drepturi pe sistem cu cele ale utilizatorului local; este evident ca daca utilizatorul local nu are drepturi de administrator impactul poate fi mult mai redus.
Update-ul este considerat critic pentru toate versiunile de Internet Explorer: IE 5.01, 6, 6 SP1, IE 7 (cu exceptia situatiei in care ruleaza pe Windows Server 2003 si 2008) si IE 8 (de asemeni cu exceptia situatiei in care ruleaza pe Windows Server 2003, 2008 si 2008 R2). Pentru IE 7 si IE 8 care ruleaza pe Windows Server 2003, 2008, 2008 R2, update-ul este considerat important dar nu critic.
Sunt afectate toate versiunile de Windows pe care este instalat Internet Explorer, bineinteles cu exceptia Server Core.
Doua vulnerabilitati in serviciul IAS (Internet Authentication Service – MS RADIUS) pot fi exploatate de la distanta. Vulnerabilitatile afecteaza serviciul IAS numai daca se folosesc protocoalele de autentificare PEAP si MS-CHAP v2.
Acest update este critic pentru Windows Server 2008 32 bit si x64 SP2, pentru Windows 2000 SP4, Windows Server 2003 toate versiunile si SP-urile este important, iar pentru Windows XP si Windows Vista este moderat, cu exceptia Vista SP2 in care caz este important.
Nu sunt afectate Windows 7 si Windows Server 2008 R2.
Aceasta vulnerabilitate poate fi exploatata de la distanta daca un utilizator primeste si deschide un fisier tip Project (.mpp) special modificat.
Update-ul este considerat critic pentru Microsoft Project 2000 SR1, important pentru Microsoft Project 2002 SP1 si Microsoft Office Project 2003 SP3.
Acest update rezolva doua vulnerabilitati ce pot fi explotatate de un atacator de la distanta prin intermediul unei cereri special construita catre in server web ce are activat serviciul ADFS. Atacatorul trebuie sa fie user autentificat pentru a exploata oricare dintre vulnerabilitati.
Update-ul este important pentru Windows Server 2003, Windows Server 2003 x64 Edition, Windows Server 2008 si Windows Server 2008 x64 Edition.
Vulnerabiltatea rezolvata de acest update poate produce DOS (denial of service) daca un atacator autentificat trimite prin intermediul IPsec un pachet alterat de tip ISAKMP catre serviciul LSASS (Local Security Authority Subsystem Service) de pe sistemul afectat.
Update-ul este considerat important pentru Windows 2000, XP si Server 2003.
Aceasta vulnerabilitate poate fi exploatata de la distanta daca un fisier special alterat, de tip Word 97, este deschis cu WordPad sau Microsoft Office Word. Atacatorul poate obtine aceleasi drepturi pe sistem cu cele ale utilizatorului local; este evident ca daca utilizatorul local nu are drepturi de administrator impactul poate fi mult mai redus.
Vulnerabilitatea este considerata importanta pentru WordPad pe Windows 2000, Windows XP si Windows Server 2003; de asemeni pentru Microsoft Office Word 2002 si Microsoft Office Word 2003, Microsoft Office Converter Pack si Microsoft Works 8.5.
Adobe a publicat un buletin de securitate referitor la un numar de vulnerabilitati considerate critice in Adobe Flash Player si Adobe Air. Se recomanda upgrade-ul la Adobe Flash Player 10.0.42.34 si Adobe Air 1.5.3. Toate vulnerabilitatile pot fi exploatate de la distanta si sunt considerate critice. Sunt afectate toate platformele – Windows, Linux si Mac.