• Проблема репликации групповых политик (Event ID 13568 Source NtFrs)

    07.04.2010 Автор:Алексей Максимов
    16 251 Просмотров 7 комментариев

    imageНарвался на ситуацию когда в домене Windows Server 2008 на одном из контроллеров домена перестали обновляться групповые политики после некорректного выключения ОС. При этом с логе File Replication Service периодически фиксировались события с кодом 13568

    image

    Читать далее...

  • Настройка IIS 7.0 на Windows Server 2008 для выполнения кода Silverlight 2.0 в ферме серверов SharePoint 2007

    19.02.2010 Автор:Алексей Максимов
    3 448 Просмотров Комментариев нет
    Прежде всего устанавливаем в систему пакет Microsoft .NET Framework 3.5 Service Pack 1. После установки пакета .NET Framework 3.5 с пакетом обновления 1 необходимо сразу установить обновление KB959209, чтобы устранить ряд известных проблем совместимости приложений
    Если у вас работает WSUS то обновление KB959209 должно само прикатиться на сервер с WSUS сразу после установки .NET Framework 3.5 Service Pack 1.
     
    Далее проверяем настройки MIME типов на IIS 7.0. Для исполнения Silverlight должен быть разрешён тип application/x-silverlight-app с расширением файлов .xap
     
    Следующий шаг - регистрация библиотеки System.Web.Silverlight.dll в кэше глобальных сборок (GAC)
    Во первых для того чтобы получить саму библиотеку нам нужно скачать с MS пакет Microsoft Silverlight 2 Software Development Kit. Проблемы  в этом нет, так как на сайте Microsoft этот пакет находится в свободном для скачивания доступе.
    После скачивания устанавливаем данный пакет на сервере где работает наш IIS. После установки находим нужную нам библиотеку System.Web.Silverlight.dll в каталоге C:Program Files (x86)Microsoft SDKsSilverlightv2.0LibrariesServer
    Зарегистрировать библиотеку в GAC можно несколькими путями. Опишу 2 основных:
    • Первый и самый простой способ - через проводник Windows производим операцию копирования файла из каталога C:Program Files (x86)Microsoft SDKsSilverlightv2.0LibrariesServer в каталог C:Windowsassembly
      Если на сервере включена функция контроля UAC - для выполнения данной операции её придётся на время отключить в противном случае система нам просто не даст скопировать файл в каталог C:Windowsassembly,
      т.е. отключаем UAC > перезагружаем сервер > копируем через Проводник Windows библиотеку в C:Windowsassembly (GAC) >  включаем UAC > перезагружаем сервер.
    • Второй способ более изящный но более сложный, т.к. для его реализации нам понадобится утилита Global Assembly Cache Tool (Gacutil.exe) которую найти можно либо в составе пакета Microsoft Visual Studio либо в составе пакета NET Framework Software Development Kit (SDK)
      после того как мы нашли данную утилиту установка библиотеки System.Web.Silverlight.dll в GAC может быть выполнена без манипуляций с отключенем UAC следующей командой

      Gacutil.exe /i  "C:Program Files (x86)Microsoft SDKsSilverlightv2.0LibrariesServerSystem.Web.Silverlight.dll"

      Разумеется надо понимать, что данная команда должна выполняться с повышенными привилегиями, т.е. cmd должен быть запущен от имени администратора сервера.
      Вот в общем то и все основные действия.

    Теперь мы можем размещать в нашей ферме SharePoint контент Silverlight 2.0, т.е. можем кидать на страницы портала вэб-части с использованием Silverlight. Надо понимать, что если в ферме несколько вэб-серверов, то вышеописанные действия нужно выполнить на всех этих серверах.

  • Интересный параметр GPO: Удалить команду "Выполнить" из меню "Пуск"

    16.02.2010 Автор:Алексей Максимов
    4 322 Просмотров 1 Комментарий

    В процесс настройки ужесточенной групповой политики для применения на терминальных серверах наткнулся на интересное поведение одного из параметров GPO.

    Путь в GPO:
    Конфигурация пользователя/Административные шаблоны/Меню "Пуск" и панель задач

    Параметр:
    Удалить команду "Выполнить" из меню "Пуск"

    image 

    Cуть в том, что при включении данного параметра, как выяснилось, в системе перестает корректно работать переход по UNC пути не только в Explorer и IE но и во всех других приложениях, например в той же 1С…т.е. переход с диска на диск в GUI путём клацанья мышкой как бы работает, но например из командного интерпретатора Cmd.exe при попытке подключения сетевого диска утилитой net – возникают ошибки по типу ограничения доступа…что само по себе не очень логично, и мне пришлось убить почти час времени чтобы среди кучи выставленных параметров GPO на терминальном сервере найти виновника странного поведения системы…
    В описании к данному параметру GPO конечно есть какая-то далеко неоднозначная фраза что-то типа «перестает работать интерфейс»…но что она значит на деле приходиться узнавать путем хождения по граблям …

  • WSUS Troubleshooting: WebException: Базовое соединение закрыто: Не удалось установить доверительные отношения для защищенного канала SSL/TLS. ---> System.Security.Authentication.AuthenticationException

    16.02.2010 Автор:Алексей Максимов
    10 533 Просмотров 3 комментария

    При поднятии роли WSUS на только что установленном сервере Windows Server 2008 столкнулся с проблемой при попытке синхронизации с Microsoft:

    WebException: Базовое соединение закрыто: Не удалось установить доверительные отношения для защищенного канала SSL/TLS. ---> System.Security.Authentication.AuthenticationException: Удаленный сертификат недействителен согласно результатам проверки подлинности.

    Изучил лог клиента который напрямую обращается на MS WSUS (c:WindowsWindowsUpdate.log) и обнаружил что клиент обращается на узел https://update.microsoft.com.

    Решив воспроизвести ситуацию вручную, открыл этот узел в IE - и посмотрел свойства сертификата.
    Цепочка сетификатов ведёт к корневому сертификату ЦС - GTE CyberTrust Global Root
    Открыл на своем WSUS сервере остнастку certmgr.msc и выполнив поиск обнаружил что у меня нет такого корневого сертификата...

    Пришлось скачать отсюда http://support.microsoft.com/default.aspx/kb/931125 файл rootsupd.exe...далее, по причине того, что этот пакет предназанчен только для WinXP (по крайней мере в Win2008 он просто не запускался) - пришлось распаковать и оттуда открыть файл сauthroots.sst
    В нём то и оказался нужный мне сертификат КЦС - GTE CyberTrust Global Root..Импортировал этот сертификат через Мастер импорта сертификатов в хранилище Доверенные корневые центры сертификации (в хранилище Локальный компьютер)
    ...
    Открываю остнастку WSUS, запускаю синхронизацию с MS WSUS... синхронизация заработала

  • Установка сертификата от Windows Server CA на веб-сервер Apache

    15.02.2010 Автор:Алексей Максимов
    11 092 Просмотров 3 комментария

    imageРассмотрим пример установки цифрового сертификата X509 на веб-сервер Apache, выданного локальным корневым Центром сертификации, работающим на Windows Server 2008. Пошагово решение задачи состоит из нескольких последовательных шагов:

    • Генерация запроса на сертификат средствами OpenSSL к ЦС Windows;
    • Получение от ЦС файла сертификата (.cer) в формате DER X509
    • Конвертация полученного сертификата в .pem и прикручивание оного к веб-серверу Apache

    Читать далее...

  • Диспетчер устройств не отображает устройства, не подключенные к компьютеру под управлением Windows

    11.02.2010 Автор:Алексей Максимов
    9 112 Просмотров 4 комментария

    Бывало что меняли сетевую карточку на новую, а ОС Windows помнит старые настройки и мешает использовать их на новом устройстве?
    Или например несколько раз устанавливали какие-либо устройства, которые в дальнейшем использовать не планируется, а система оставляет после их использования в своих недрах "мусор"...

    Решение, которое позволит включить отображение таких устройств в оснастке "Диспетчер устройств" и затем удалить их из системы, выглядит так:

    1. В командной строке введите следующую команду и нажмите клавишу ВВОД:

    set devmgr_show_nonpresent_devices=1

    (Устанавливаем системную переменную для включения отображения устройств-призраков в оснастке "Диспетчер устройств")

    2. В командной строке введите следующую команду и нажмите клавишу ВВОД:

    start devmgmt.msc

    (Запускаем оснастку "Диспетчер устройств")

    Примечание. В открытой оснастке выберите пункт "Показать скрытые устройства" в меню "Вид" для того, чтобы отобразить устройства, которые не подключены к компьютеру.

    Обратите внимание, что после закрытия окна командной строки Windows обнуляет переменную devmgr_show_nonpresent_devices=1, установленную на шаге 2, и устройства-призраки перестают отображаться при выборе пункта Показать скрытые устройства.
    Если вы хотите чтобы неподключенные к компьютеру устройства отображались в диспетчере устройств всегда - задайте это в глобальных переменных системы.

    Описание данного вопроса освещено в статье KB315539 Базы знаний Microsoft

Предыдущая страница