• Вебинар: Организация современной совместной работы при помощи Microsoft Office 365

    image5311[1]

    Если перед Вами стоит задача организации удобной совместной работы для сотрудников компании, то предлагаю посетить вебинар (онлайн трансляция) на тему “Использование групп Office 365 для организации совместной работы”.

    Будьте в курсе актуальных новостей в мире ИТ: https://t.me/ITKBnews. Также будем рады видеть Вас участниками групп https://vk.com/blogitkb и https://www.fb.com/blog.it.kb

    Читать далее...

  • SCOM 2007 R2 - Мониторинг серверов вне домена

    Для мониторинга серверов вне домена (рабочие группы или недоверенный домен) архитектура SCOM, в качестве использования основного метода, предполагает использование дополнительной роли - Gateway Server. Подход с развертыванием дополнительного сервера SCOM с ролью Gateway Server имеет смысл в том случае, если количество подключаемых к системе мониторинга объектов велико, и Gateway Server выполняет в таком случае роль доверенного посредника между агентами вне домена и доменным сервером управления. В случае же если количество серверов в рабочей группе (или же в недоверенном домене) невелико – можно использовать другой метод – взаимная аутентификация клиента вне домена (агента мониторинга) и сервера управления в домене на основе цифровых сертификатов.

    Описание процедуры подключения сервера в составе рабочей группы к серверу управления SCOM в составе домена.

    Основные этапы:

    1. Импортирование корневого сертификата доверенного центра сертификации.
    2. Создание и установка сертификата на сервер управления.
    3. Создание и установка сертификата на сервер в составе рабочей группы
    4. Экспорт сертификата для дальнейшего использования в SCOM
    5. Включение разрешения ручной установки агентов мониторинга на сервере управления
    6. Установка агента мониторинга на сервер в составе рабочей группы
    7. Импорт сертификата в агент мониторинга с помощью утилиты MOMcertimport
    8. Одобрение агента на сервере управления

    1. Импортирование корневого сертификата доверенного центра сертификации.

    В рамках доменной инфраструктуры распространение корневых сертификатов доверенных центров сертификации может быть реализовано с помощью механизмов доменных групповых политик (GPO) . Таким образом, мы предполагаем, что на доменном сервере управления SCOM уже установлен корневой сертификат доверенного центра сертификации. Это можно проверить на сервере SCOM открыв оснастку mmc.exe и добавив в неё Snap-In – Certificates для Computer account как это отображено на скриншотах.

    clip_image001

    clip_image002

    clip_image003

    clip_image004

    clip_image005

    После того как мы подключимся к консоли управления сертификатами, переходим в область Trusted Root Certification Authorities и убеждаемся в том, что там присутствует сертификат нашего локального доверенного центра сертификации, от имени которого мы в дальнейшем будем выдавать сертификаты для наших не доменных клиентов и самого SCOM сервера.

    clip_image006

    Подобным образом проверяем наличие корневого сертификата и на не доменном сервере, на который мы в дальнейшем будем устанавливать агента SCOM. Если корневой сертификат не установлен то можно, например, открыв вэб-узел службы сертификации получить корневой сертификат для его последующего импорта в хранилище корневых сертификатов компьютера. Например, в нашем случае, это будет https://kom-ad01-app23.MyDom.com/certsrv/

    clip_image007

    clip_image008

    После того как мы сохранили предложенный корневой сертификат на локальный диск, можно импортировать его используя уже знакомую консоль управления сертификатами.

    clip_image009

    В открывшемся мастере импорта сертификатов указываем расположение полученного файла корневого сертификата

    clip_image010

    Затем выбрать хранилище сертификатов - Trusted Root Certification Authorities - Local Computer (будет отображаться, только если включена опция Show physical stores)

    clip_image011

    После успешного импорта сертификата снова проверим его наличие в указанном нами хранилище сертификатов

    clip_image012

    На этом этап установки корневого сертификата доверенного центра сертификации можно считать законченным.

    2. Создание и установка сертификата на сервер управления.

    Эта процедура выполняется один раз (на период действия сертификата) на сервере управления, к которому необходимо подключить агентов вне домена.

    • Логинимся на сервер управления с правами администратора и в вэб-браузере открываем URL доверенного центра сертификации (например https://kom-ad01-app23.MyDom.com/certsrv/ )
    • Выбираем пункт “Request a certificate
    • Выбираем пункт “advanced certificate request
    • Выбираем пункт “Create and submit a request to this CA
    • Для формирования запроса заполняем необходимые реквизиты:

    Name: Managementserver.domain.com (например KOM-AD01-MON01.MyDom.com)
    Type: Other
    OID: 1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.7.3.2
    Отмечаем атрибут - Mark key as exportable
    Friendly name: Managementserver.domain.com (например KOM-AD01-MON01.MyDom.com)

    clip_image013

    clip_image014

    · Затем выбираем пункт “Submit” и закрываем веб-браузер.

    clip_image015

    · Отправленный запрос должен быть обработан администратором центра сертификации, то есть оправленный запрос должен быть одобрен и на его основе центром сертификации будет сгенерирован сертификат.

    clip_image016

    После того как это выполнено, переходим к следующему шагу.

    · С сервера управления с правами администратора и в вэб-броузере открываем URL доверенного центра сертификации (например https://kom-ad01-app23.MyDom.com/certsrv/ )
    Выбираем пункт “View status of a pending certificate request

    clip_image017

    · Если администратор центра сертификации выдал на ранее сформированный запрос сертификат, то мы увидим наименование этого сертификата, и выбрав его сможем выполнить его установку.

    clip_image018

    Необходимо учитывать тот факт, что процедура установки сертификата через веб-браузер по умолчанию поместит этот сертификат в хранилище текущего пользователя и при необходимости можно переместить этот сертификат в раздел Личное (Personal) хранилища Локальный компьютер с помощью mmc оснастки управления сертификатами. Для этого вышеописанным методом подключим в оснастку оба этих хранилища сертификатов и обычным перетаскиванием переместим полученный сертификат в хранилище Локальный компьютер.

    clip_image019

    3. Создание и установка сертификата на сервер в составе рабочей группы

    Процедура создания и установки сертификата для сервера в составе рабочей группы идентична вышеописанной процедуре для сервера управления с одним только отличием – при формировании запроса в атрибутах Name и Friendly name необходимо указать NetBIOS имя сервера для серверов находящихся в составе рабочих групп и FQDN имя для серверов находящихся в составе недоверенных доменов.

    4. Экспорт сертификата для дальнейшего использования в SCOM

    Эта процедура проделывается один раз (на период действия сертификатов) на сервере управления и на сервере в составе рабочей группы или не доверенного домена.

    • Логинимся на сервер с правами администратора
    • Запускаем приложение MMC.EXE
    • По описанной ранее процедуре добавляем в открытую консоль оснастку Сертификаты (Certificates) с помощью команды меню консоли «Add/remove Snap-in». В процессе добавления оснастки выбираем «Computer account» и «local computer»
    • Переходим в раздел “Certificates (Local Computer)personalCertificates
    • Устанавливаем курсор на ранее созданном сертификате и в контекстном меню выбираем пункт Экспорта сертификата (“All tasks > Export”)

    clip_image020

    • В открывшемся Помощнике экспорта сертификатов выбираем следующие параметры экспорта : “Yes , Export the private key

    clip_image021

    Personal Information Exchange – PKCS #12 Certificates (PFX)
    Enable Strong protection” (если присутствует)

    clip_image022

    • Набираем произвольный пароль для экспорта

    clip_image023

    • Сохраняем экспортированный сертификат на диск (Например С:ServerName.pfx)

    clip_image024

    • Закрываем консоль MMC

    В дальнейшем выгруженный сертификат в формате *.pfx мы будем использовать на шаге 7.

    5. Включение разрешения ручной установки агентов мониторинга на сервере управления

    Прежде чем начать ручную установку агентов мониторинга на сервера в составе рабочих групп или недоверенных доменов, требуется на сервере управления SCOM включить опцию принятия на одобрение таких агентов. Путь к данной опции в консоли SCOM: «Administration -> Settings -> Security»

    clip_image025

    В свойствах «Security» сервера управления на закладке «General» необходимо включить опцию «Review new manual agent installation in pending management view»

    clip_image026

    6. Установка агента мониторинга на сервер в составе рабочей группы.

    Установка агентского ПО на сервер вне доверенного домена или рабочей группы может быть выполнена как вручную, так и с использованием дополнительных сторонних средств автоматизации.
    Для начала с сервера управления скопируем на клиентский сервер папку с файлами, необходимыми для установки агентского ПО. По умолчанию эта папка расположен а каталоге C:Program FilesSystem Center Operations Manager 2007AgentManagement и зависит от используемой архитектуры ОС клиентского сервера. В нашем случае это будет содержимое папки x86

    clip_image027

    Перед установкой самого агента SCOM необходимо установить пакет MSXML6.msi (в случае если этот компонент не был установлен в систему ранее). После этого запускаем программу установки самого агента SCOM 2007 R2 из пакета MOMAgent.msi

    clip_image028

    Процесс установки не представляет собой ничего сложного и требует только указания имени группы управления, сервера управления и TCP порта (по умолчанию 5273).

    clip_image029

    В процессе установки также запрашивается значение учетной записи «Agent Action Account» - рекомендуется использовать выбранную по умолчанию учетную запись «Local System».

    clip_image030

    Сразу после установки агента мы можем применить последнее обновление к нему. На момент написания этой заметки это CU#2 для SCOM 2007 R2 (в нашем случае это пакет - KB979257-x86-Agent.msp). Его установка проходит без каких либо запросов.

    clip_image031

    На этом ручную установку агента SCOM можно считать законченной.

    7. Импорт сертификата в агент мониторинга с помощью утилиты MOMcertimport.

    Эта процедура проделывается один раз (на период действия сертификатов) на сервере управления и сервере в составе рабочей группы или недоверенного домена.

    • Скопируйте файл MOMcertimport.exe из каталога SupportToolsi386 или SupportToolsAMD64 в составе дистрибутива SCOM 2007 R2 на целевой сервер. Запустите командную строку cmd.exe и поменяйте текущий каталог на тот в который скопировали MOMcertimport.exe
    • Выполните команду импорта экспортированного ранее сертификата:
      MOMcertimport.exe «С:Server.pfx»

    При запросе пароля введите пароль указанный в процессе экспорта сертификата

    clip_image032

    По сути утилита momcertimport.exe делает только одну вещь — прописывает серийный номер сертификата, который должен использовать SCOM, в ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftMicrosoft Operations Manager3.0Machine Settings (параметр ChannelCertificateSerialNumber).

    clip_image033

    Данный ключ с правильным серийным номером сертификата должен быть прописан на каждом компьютере, который будет аутентифицироваться с помощью сертификатов.

    • Перезапустите службу «System Center Management»

    clip_image034

    8. Одобрение агента на сервере управления

    В консоли администрирования SCOM (Operations Manager Console) перейдите на закладку «Administration» и выберете пункт «Pending Management». Выберете появившийся сервер в составе рабочей группы и выполните для него одобрение (“Approve”). После одобрения клиент будет перемещён в группу «Agent Managed»

    clip_image035

    На этом процедуру установки и привязки внедоменного агента можно считать оконченной. Состояние работы агента можно в дальнейшем можно отслеживать по созданному после установки агента журналу событий

    clip_image036

    Если между сервером управления и агентом SCOM имеются брандмауэры, то возможно потребуется дополнительная их настройка. Информацию о портах, необходимых для штатной работы агента SCOM можно найти здесь:

    Дополнительная информация по теме:

  • PowerShell: Управление членством групп AD

    community-logo

    Ситуация:
    Есть некоторое количество доменных групп безопасности с большим количеством пользователей в каждой их них.
    Возникает необходимость копирования членства в существующих группах в другие вновь созданные группы.

    Решение:

    Используем Quest Management Shell (PowerShell командлеты ActiveRoles Management Shell for Active Directory от Quest Software) и командой фактически в одну строку выполняем поставленную задачу:

    Get-QADGroupMember Group1  | Add-QADGroupMember Group2

    где Group1 – имя группы безопасности из которой получаем пользователей, Group2 – имя группы безопасности в которую копируем полученных пользователей.
    После того как копирование произведено, можно выполнить сравнение состава групп таким образом:

    Compare-Object ( Get-QADGroupMember Group1 ) ( Get-QADGroupMember Group2 ) -IncludeEqual

  • System Center DPM 2007 QFE Rollup KB979970 (2.0.8864.0)

    В конце марта появился пакет исправлений для DPM 2007 SP1 - System Center DPM 2007 QFE Rollup (KB979970) который изменяет версию DPM до 2.0.8864.0
    Данный пакет по сути является кумулятивным и включает все ранее выпущенные роллапы на DPM 2007 SP1.

    Описание: Description of the latest hotfix rollup package for System Center Data Protection Manager 2007: March 29, 2010
    URL для скачивания: System Center Data Protection Manager 2007 QFE Rollup

    Требования для установки

    - Windows Server 2003; Windows Server 2008; Windows Server 2008 R2
    - System Center Data Protection Manager 2007 Service Pack 1.
    - Сritical update KB962975 (если DPM установлен на Windows Server 2008).

    После установки требуется перезагрузка DPM сервера и обновление всех клиентов DPM.
    Сделать обновление клиентов DPM можно как с консоли DPM так и вручную (обе процедуры описаны в вышеперечисленных ссылках)
    После обновления клиентов DPM также потребуется перезагрузка.

    Вообще, после выхода SP1, список внесённых исправлений в DPM 2007 достаточно внушителен, так что наверняка в любом окружении есть смысл произвести обновление.

  • Microsoft Terminal Services - Практика использования Easy Print

    Минимальные требования для клиентских ПК для использования универсального драйвера печати Easy Print таковы:

    • Microsoft Windows XP SP3, Microsoft Windows Vista SP1, Microsoft Windows 7
    • Средство подключения к удаленному рабочему столу (RDP Client) версии не ниже 6.1 (6.0.6001)
      Этот компонент распространяется в составе SP3 для Windows XP и SP1 для Windows Vista
    • Microsoft .NET Framework 3.0 с пакетом обновления 1 (SP1) (можно использовать Microsoft .NET Framework 3.5)
      Распространяется через WSUS, хотя может быть установлен и вручную.

    Далее...при подключении клиента к серверу в свойствах RDP клиента на закладке "Локальные ресурсы" должно быть включено перенаправление принтеров.

    image

    Обратите также внимание на то, что в свойствах учётной записи пользователя в домене (Закладка "Среда") должны быть включены опции "Подключение принтеров при входе" и "По умолчанию выбрать основной принтер клиента". Это грабли на которые я сам однажды наступил )))

    image

    Поведение системы печати служб терминалов Windows Server 2008 по умолчанию предполагает использование драйвера Easy Print для всех клиентских принтеров.

    Практика показала что не во всех случаях драйвер Easy Print работает корректно (например при некоторых сценариях съезжают поля при печати документов или вовсе не печатаются некоторые печатные формы из 1С). Для решения этой проблемы на наших терминальных серверах мы изменили настройки системы печати по умолчанию на следующий режим работы: при подключении клиента к серверу служба печати сначала пытается найти родной драйвер для каждого принтера клиента, если находит - использует его, если не находит использует для этого принтера драйвер Easy Print.

    На сервер установлены последние версии драйверов основных используемых моделей принтеров. Для более корректного взаимодействия служб печати клиента и сервера рекомендуется использовать одинаковые версии драйверов на сервере и на клиенте.

    Разрешение проблем в работе Easy Print на Windows Server 2008 / 2008 R2

    В случае проблем с перенаправлением принтеров клиента в терминальную сессию с помощью Easy Print необходимо выполнить нижеописанный ряд проверок:

    • Проверяем есть ли на клиентском компьютере требуемая для работы Easy Print версия .NET framework.
    • Проверяем на клиенте то, что в свойствах запускаемого RDC клиента (mstsc.exe) включена опция перенаправления принтеров клиента на закладке "Локальные ресурсы". Если вместо клиента мы запускаем настроенный RDP ярлык то открываем его в текстовом редакторе и убеждаемся в том что присутствует опция перенаправления принтеров клиента в виде строки: redirectprinters:i:1
    • Проверяем свойства доменной учетной записи пользователя. Как было отмечено ранее, в свойствах учётной записи пользователя в домене (Закладка "Среда") должны быть включены опции "Подключение принтеров при входе" и "По умолчанию выбрать основной принтер клиента".
    • Проверяем как сконфигурированы групповые политики влияющие на Easy Print на терминальном сервере. Соответствующий раздел GPO можно найти по пути: Computer Configuration -> Administrative templates -Windows Components -> Remote Desktop Services > Remote Desktop Session Host -> Printer Redirection.
      Опция "Use Remote Desktop Easy Print printer driver first" должна быть включена для работы редиректа принтеров с приоритетным использованием драйвера Easy Print или выключена в том случае если вы хотите использовать специально установленные драйвера принтеров на сервере.

      image

    • Проверяем конфигурацию терминального сервера (оснастка "Remote Desktop Configuration Tool" или  tsconfig.msc) на предмет того, что опция редиректа “Windows Printer” не отмечена как отключенная.
    • Проверяем что и на клиенте и на сервера запущена служба очереди печати (spooler service). Если служба запущена то проверяем корректность установленных прав на данную службу. Ниже приведен пример того как должны выглядеть правильные настройки безопасности службы очереди печати:

      C:>sc sdshow spooler
      D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)

      Если вывод команды отображения настроек безопасности отличен от указанного, например отсутствуют разрешения в дескрипторе безопасности для “AU” (Authenticated User), то устанавливаем необходимые для корректной работы службы права следующей командой

      C:> sc sdset spooler D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)
      [SC] SetServiceObjectSecurity SUCCESS

      После установки разрешений необходимо перезагрузить компьютер.

    • Если подключение клиента производится через RD Gateway проверяем что на сервере RD Gateway выключена опция запрета перенаправления клиентских принтеров.
    • Если у клиента большое количество принтеров и они перенаправляются в ограниченном количестве, то стоит обратить внимание на значение ключа реестра  MaxPrintersPerSession (REG_DWORD) в ветке  HKLMSoftwarePoliciesMicrosoftWindows NTTerminal Services. По умолчанию это значение равно 20 (т.е. не больше 20 принтеров на одну сессию).

    Дополнительные ссылки:

    • Некорректная печать документов содержащих страницы со смешанной ориентацией.
      Article ID: 954744 - Last Review: November 11, 2008 - Revision: 1.0
      FIX: Some pages are printed in the incorrect orientation when you use Terminal Services Easy Print to print a document that contains both portrait-oriented pages and landscape-oriented pages
      http://support.microsoft.com/kb/954744
    • Некорректная печать документов в формате PDF.
      Article ID: 970603 - Last Review: June 22, 2009 - Revision: 1.0
      The content of a printout is different when you print a PDF document by using Terminal Services Easy Print in a Terminal Services (TS) session in Windows Vista or Windows Server 2008
      http://support.microsoft.com/kb/970603
    • Некорректная печать полей страниц документов.
      Article ID: 959442 - Last Review: December 23, 2008 - Revision: 1.0
      The edges of a document are truncated when you try to print the document by using Terminal Services Easy Print from a client computer that is running Windows XP SP3, Windows Vista SP1, or Windows Server 2008
      http://support.microsoft.com/kb/959442
    • Не работает печать на перенаправленных принтерах если роль терминального сервера установлена на контроллере домена.
      Article ID: 968605 - Last Review: March 4, 2009 - Revision: 1.0
      Terminal Server Easy Print not printing
      http://support.microsoft.com/kb/968605/EN-US

    Использованный материал:
    Remote Desktop Services (Terminal Services) Team Blog : Using Remote Desktop Easy Print in Windows 7 and Windows Server 2008 R2

  • Hyper-V Best Practies

    Настраиваем антивирусное ПО

    Могу предположить что на физическом хосте Hyper-V имеется антивирус... Если это действительно так, то учитывая рекомендации Microsoft Best Practices и рекомендации бывалых …рекомендую расширить ранее используемый список исключений для реал-тайм сканирования файловой системы и процессов, а именно:
    Добавляем исключения по именам процессов:
    VMMS.EXE
    VMWP.EXE
    VMSWP.EXE
    Добавляем исключения по типам файлов:
    VHD, XML, VSV, ISO, AVHD, VFD
    Дополнительную информацию об исключениях можно найти в посте - Настройка исключений для антивирусного ПО

    Выбираем тип VHD

    Для повышения скорости работы дисковой подсистемы в гостевых ОС (внутри VHD) рекомендуется использовать фиксированный а не динамический объём VHD при настройке VM. В сравнительных тестах публикуемых MS, скорость работы дисковой подсистемы VM на фиксированных дисках в некоторых случаях (например при операциях записи) может увеличиваться на 10 - 15%. Данное утверждение справедливо для первой версии Hyper-V. Во второй версии Hyper-V показатели производительности динамических VHD улучшены, но по моему субъективному мнению, лучше для продуктивных систем всё таки придерживаться использования конфигураций с фиксированными VHD. 

    Даже не смотря на то что динамический диск всегда можно встроенными средствами Hyper-V преобразовать в фиксированный (а при желании и обратно), при создании новой VM ёмкость диска лучше планировать заранее и сразу создавать диск фиксированного размера.

    В случае если VM планируется использовать под ресурсы требовательные к дисковой подсистеме, например файловый сервер, сервер БД SQL и т.п. на этапе создания VM можно аттачить к VM Passthrough диск, т.е. предоставлять виртуальной машине полностью неразмеченный физический HDD хостового сервера Hyper-V. В таком случае VM забирает под себя этот диск полностью и общается с ним непосредственно напрямую на физическом уровне из гостевой системы,
    что в свою очередь позволяет достигнуть максимального использования имеющейся производительности физических дисков. Но при этом надо учитывать ряд недостатков такой организации:
    - теряется возможность создания мгновенных снимков виртуальной машины (shupshots);
    - теряется возможность миграции VM между хостами Hyper-V с использованием технологии Quick-Migratiin;
    - последней ложкой дёгтя можно считать то, что как выяснилось - теряется возможность делать горячее резервное копирование всей виртуальной машины в средствами DPM...Выводы делайте сами.

    Выбираем виртуальный контроллер для VHD

    Продолжая тему дискового вопроса важно сделать правильный выбор виртуального контроллера жёстких дисков в создаваемой VM.
    Есть 2 типа IDE и SCSI.
    IDE - полностью эмулируемый контроллер и работает с VM через вызовы процесса vmwp.exe, в то время как SCSI контроллер использует для своей работы VMBUS (Virtual Machine BUS) и предоставляет VM более тесную интеграцию с аппаратной частью хоста, т.к. VMBUS работает быстрее и меньше потребляет процессорных мощностей Hyper-V сервера. Вот дополнительная информация к размышлению на эту тему:
    Hyper-V: How to get the most from your virtualized disk performance
    Hyper-V: SCSI vs IDE - Do you really need an IDE and SCSI drive for best performance?
    Hyper-V IDE or SCSI? What’s Performing Better, Faster?
    Hyper-V Controllers: IDE or SCSI?
    Ограничение вносимое текущей версией Hyper-V заключается в том, что для загрузочного системного диска нельзя использовать SCSI контроллер, - только IDE. Поэтому исходя из представленных реалий предлагается для загрузочного системного диска VM использовать виртуальный HDD созданный на контроллере IDE, а для рабочих данных - HDD на контроллере SCSI.

    Настраиваем виртуальные сети

    Практически любой сервер на сегодняшний день имеет два и более сетевых контроллеров. Соответственно, по возможности, настоятельно рекомендуется отделять трафик управления хостовой ОС от трафика виртуальных сетей Hyper-V. Для этого мы настраиваем на сервере первый сетевой интерфейс со статическим IP адресом по которому будет доступен сам Hyper-V сервер, назовем в системе этот интерфейс например NIC1. Соответственно второй интерфейс назовем - NIC2 и при развертывании роли Hyper-V именно этот сетевой интерфейс укажем для использования создаваемого виртуального свитча Hyper-V.
    После установки роли Hyper-V в хостовой системе появится дополнительный сетевой интерфейс (его имя будет соответствовать имени виртуальной сети в Hyper-V) и этот интерфейс можно отключить. Также необходимо убедится в том что на интерфейсе NIC2 отключены все протоколы, кроме Microsoft Virtual Network Switch Protocol.

    Hyper-V и его Time Synchronization Provider

    Если вы натолкнулись на проблему рассинхронизации времени на виртуальных машинах работающих под управлением Hyper-V то самое время задуматься о том как устроена служба синхронизации времени физического хоста Hyper-V с его виртуальными машинами.

    Давайте себе представим следующую ситуацию:
    Есть физический хост с Hyper-V и он является членом домена.
    Внутри этого хоста поднят виртуальный сервер который несёт в этом домене роль Контроллера домена (DC).

    По дефолтной схеме синхронизации времени в домене физический хост Hyper-V должен будет синхронизировать время с эти виртуальным DC внутри него.
    В составе служб интеграции Hyper-V которые прикручиваются к виртуальной машине есть такой компонент, отвечающий за синхронизацию времени между физическим хостом Hyper-V и его виртуальными машинами и он включен “по умолчанию”.

    Собственно говоря, проблема может наблюдаться в случаях когда виртуальный DC проводит синхронизацию с внешними источниками а затем Hyper-V насильно заменяет это время на то значение которое в момент синхронизации гипервизор имеет на физическом хосте... по факту в таких случаях рассинхронизация времени на DC может получить хронический характер и привести к сбоям в работе служб AD.
    В данном случае решением проблемы рассинхронизации времени может быть остановка службы синхронизации времени Hyper-V установленной на виртуальном DC в составе служб интеграции.
    Именно поэтому в процессе развёртывания виртуальных машин и компонент интеграции Hyper-V важно уделить этому нюансу должное внимание.
    В одном блоге как раз нашёл такую вот занятную историю из жизни - Hyper-V и синхронизация времени

  • Active Directory Certificate Services - Увеличение срока действия выдаваемых сертификатов

    По умолчанию Центр сертификации служб Active Directory Certificate Services (AD CS) при создании новых сертификатов ограничивает срок действия этих сертификатов одним годом. Чтобы увеличить срок действия вновь выдаваемых CA сертификатов необходимо изменить настройки службы сертификации в системном реестре:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

    Значение параметра ValidityPeriod (по умолчанию Years) определяет единицы измерения времени, а значение параметра ValidityPeriodUnits (по умолчанию 1) определяет количество единиц времени для вновь выдаваемых сертификатов. Если изменить значение параметра ValidityPeriodUnits например на 10, то соответственно все вновь выдаваемые сертификаты будут действовать 10 лет.

    После внесения изменений в реестр следует перезапустить службу сертификации командами:

    net stop certsvc
    net start certsvc

    Данное справедливо для версий служб сертификации ОС Windows Server 2000 - 2022

    Источник: Microsoft KB254632: How to change the expiration date of certificates that are issued by a Windows Server 2003 or a Windows 2000 Server Certificate Authority

  • Microsoft Data Protection Manager 2007 – Работа с ленточными накопителями

    Включение функции оптимизации (Colocation) при записи на ленту

    По умолчанию DPM при работе с ленточными накопителями использует один носитель для каждой отдельной Protection Group, что не всегда оправдано, особенно если групп много и они имеют небольшой размер. В таких случаях на сервере DPM можно включить механизм Colocation с помощью команды Powershell:

    Set-DPMGlobalProperty -DPMServerName DPMSERVER.Domain.com -OptimizeTapeUsage $True

    Источник: System Center Data Protection Manager TechCenter - Setting Up Data Colocation

    Шторм сообщений Free tape threshold reached (3305)

    При использовании DPM 2007 в связке ленточными библиотеками может возникнуть ситуация когда в процессе выполнения задания резервного копирования движок DPM определяет то, что количество носителей, доступных для записи (имеющих статус Free) стало 20% и меньше. В такой ситуации DPM начинает с жуткой силой штормить алертами (на моей практике это было более 5000 сообщений за ночь). Корень этой проблемы кроется в том, что на ленточной библиотеке носители (кассеты с плёнкой) со статусом Expired автоматически не помечаются как Free...что рано или поздно приводит к исчерпанию доступных для записи накопителей. Поэтому задачу перевода накопителей из статуса Expired в статус Free мы автоматизируем средствами PowerShell.
    Создадим на нашем DPM сервере имеющем подключение к проблемной ленточной библиотеке каталог C:Tools. В каталоге разместим три текстовых файла:

    DPM_MarkExpiredTapesAsFree.ps1 -
    PowerShell скрипт выполняющий поставленную перед нами задачу
    DPM_MarkExpiredTapesAsFree.cmd - Командный файл для запуска скрипта средствами Windows Task Scheduler
    DPM_MarkExpiredTapesAsFree.log - Файл для записи вывода результата работы скрипта

    Ссылка на скрипт: DPM_MarkExpiredTapesAsFree.zip

    Командный файл DPM_MarkExpiredTapesAsFree.cmd представляет собой обычный текстовый файл с вызовом нашего скрипта:

    powershell -command "& 'C:ToolsDPM_MarkExpiredTapesAsFree.ps1' DPM-SERVER" > C:ToolsDPM_MarkExpiredTapesAsFree.log

    В качестве параметра DPM-SERVER используется имя DPM сервера, а также указывается вывод результата работы в текстовый лог.

    После того как мы создадим задание в планировщике задач Windows Task Scheduler с исполнением командного файла DPM_MarkExpiredTapesAsFree.cmd к примеру раз в сутки - мы избавимся от вышеописанной проблемы.

    Источник: Matthijs Blog: Script to resolve: Free tape threshold reached

  • Microsoft Data Protection Manager 2007 – Работа с Агентом

    Установка агента DPM 2007 SP1 на сервер с включенной службой Windows Firewall

    Последовательность действий:

    1) На клиенте подключаем диск с сервера DPM и ставим с него клиента вручную:

    net use X: \DPMSERVERC$
    cd /d X:DPM2007_BinDPMAgentsRA2.0.8793.0amd641033
    DPMAgentInstaller_KB959605_AMD64.exe DPMSERVER.Domain.com

    При запуске инсталлятора, как видите, в качестве параметра передаем имя DPM сервера. После установки клиента перегружаем клиентский сервер.

    2) После того как клиент поднялся из перезагрузки на DPM сервере открываем DPM Management Shell и выполняем команду присоединения клиента:

    PS E:DPM2007_BinDPMbin> Attach-ProductionServer.ps1 DPMSERVER.Domain.com DPMCLIENT.Domain.com AdminUserName
    Password:: **********
    Domain:: Domain.com
    Attached ProductionServer successfully

    На клиенте проверяем чтобы в процессе установки инсталлятором в правила Windows Firewall было вписано правило dpmra, которое разрешает любую сетевую активность клиентскому приложению. Если правило по какой-то причине не создано, можем добавить его руками примерно так:

    > Netsh firewall add allowedprogram "C:Program FilesMicrosoft Data Protection ManagerDPMbinDPMRA.exe" DPMRA

    3) Заходим на консоль DPM сервера и проверяем то что клиент доступен.

    Первоисточник: http://technet.microsoft.com/en-us/library/bb870937.aspx

    Перенацеливание агента DPM на другой сервер без переустановки агентского ПО

    Операция перенацеливания состоит из трёх действий:

    1. На сервере DPM с которого нужно отключить агента - исключаем нашего клиента из всех Protection Group.
    2. На клиенте из каталога установки клиентского ПО (%ProgramFiles%Microsoft Data Protection ManagerDPMbin) выполняем команду:

    SetDpmServer.exe -dpmServerName NEWDPMSERVER.Domain.com
    Configuring dpm server settings and firewall settings for dpm server =[NEWDPMSERVER.Domain.com]
    Configuring dpm server settings and firewall settings for dpm server =[Domain.comNEWDPMSERVER]
    Configuration completed successfully!!!

    3. На сервере NEWDPMSERVER открываем DPM Management Shell (Powershell) и выполняем команду:

    PS E:DPM2007_BinDPMbin> Attach-ProductionServer.ps1 NEWDPMSERVER.Domain.com DPMCLIENT.Domain.com AdminUserName
    Password:: ********************
    Domain:: Domain.com
    Attached ProductionServer successfully

  • Microsoft Data Protection Manager 2007 – Установка на Windows Server 2008

    Перед развертыванием сервера DPM 2007 SP1 на ОС Windows Server 2008 необходимо выполнить определенные шаги:

    1) Установить в ОС фичу Single Instance Store (SIS).
    Запускаем командную строку с правами администратора сервера и выполняем команду:

    start /wait ocsetup.exe SIS-Limited /quiet /norestart

    После того как команда отработала необходимо выполнить перезагрузку сервера.

    2)
    Включить фичу Windows PowerShell 1.0
    Это можно сделать через оснастку "Диспетчер сервера" или командой:

    ServerManagerCmd -i PowerShell

    3) Включить роль сервера "Вэб-сервер" с обязательным наличием следующих компонент:

    Web Server

    Common HTTP Features
    - Static Content
    - Default Document
    - Directory Browsing
    - HTTP Errors
    - HTTP Redirection

    Application Development
    - ASP.NET
    - .NET Extensibility
    - ISAPI Extensions
    - ISAPI Filters
    - Server Side Includes

    Health and Diagnostics
    - HTTP Logging
    - Request Monitor

    Security
    - Windows Authentication
    - Request Filtering

    Performance
    - Static Content Compression

    Management Tools
    IIS Management Console
    IIS Management Scripts and Tools
    IIS 6 Management Compatibility

    - IIS 6 Metabase Compatibility
    - IIS 6 WMI Compatibility

    В случае недоустановки какой-то из указанных компонент IIS в процессе установки сервера DPM могут возникнуть ошибки приводящие к неудачному завершению установки.

    В том случае если процесс установки сервера DPM 2007 SP1 затягивается на очень долгое время на этапе установки SQL Server 2005, возможное решение описано в посте:
    Разрешение проблем возникающих при установке и настройке Microsoft SQL Server 2005 на Windows Server 2008
    Там же описана проблема когда после установки SP3 на SQL Server может потеряться доступность вэбузла SQL 2005 Reporting Service и как следствие в консоли сервера DPM перестает работать закладка Reporting

    Дополнительная информация:
    System Center Data Protection Manager TechCenter: DPM Server Software Prerequisites