• Не работает сканирование через HP JetDirect после установки IE9

    16.08.2011 Автор:Алексей Максимов
    3 661 Просмотров 5 комментариев

    После развертывания IE9 через WSUS от администратора одного из отделений поступило обращение о том, что перестал работать режим сетевого сканирования для МФУ HP подключенного к сети через принт-сервер HP JetDirect 175x. В новом браузере попытка соединения с принт-сервером приводила к таймауту ожидания.

    image

    После недолгого изучения вопроса стало очевидно, что при обращении к принт-серверу по IP адресу браузер воспринимал его веб-интерфейс как узел недоверенной зоны и применял к нему усиленные настройки безопасности, которые в свою очередь блокировали часть веб-функционала. Подтверждением тому стало восстановление работоспособности функции сетевого сканирования после временного отключения режима усиленной безопасности Inetrnet Explorer. 

    Соответственно для решения проблемы в данном случае достаточно использовать при обращении к веб-интерфейсу принт-сервера вместо его IP адреса полное доменное имя (FQDN) – типа http://print-server.domain.com с учетом того, что в настройках IE9 в зону узлов местной интрасети внесено имя локального домена в формате *.domain.com

  • Forefront TMG 2010 - Отказ работы консоли после установки IE9

    04.08.2011 Автор:Алексей Максимов
    3 626 Просмотров 6 комментариев

    После установки рекомендуемых обновлений с WSUS, которые включают в себя новую версию браузера IE9 может перестать корректно работать консоль управления Forefront TMG 2010 на базе MMC - Forefront TMG Management. При попытке перехода к любому разделу управления TMG консоль будет порождать ошибку типа:

    image

    Есть жёсткий метод решения проблемы – редактирование файла C:Program FilesMicrosoft Forefront Threat Management GatewayUI_HTMLsTabsHandlerTabsHandler.htc как это описано например здесь: Технический блог Евгения Протопопова - TMG 2010 Console Error

    Но можно избавиться от этой ошибки и более простым способом – изменением региональных настроек ОС. Открываем апплет изменения региональных настроек intl.cpl и на вкладке Formats сменить Format на English (United States)

    image

    После этого консоль заработает и можно будет спокойно дождаться выхода обновления исправляющего эту проблему и после его установки вернуть региональные настройки назад.

  • SCOM 2007 R2 - Аудит изменений доменных групп безопасности

    03.08.2011 Автор:Алексей Максимов
    5 098 Просмотров 2 комментария

    imageВ больших доменных инфраструктурах имеющих несколько доменных администраторов может быть весьма актуальным вопрос аудита изменений, производимых в членстве предопределённых административных групп.

    Для решения этой задачи воспользуемся возможностями SCOM и на примере доменной группы “Domain Admins” создадим правила, которые будут отслеживать события, регистрируемые в журнале “Security” на контроллерах домена в момент добавления и удаления пользователей в эту доменную группу безопасности.

    Читать далее...

  • SCOM 2007 R2 - Странное поведение мониторов SNMP Probe при операциях сравнения.

    02.08.2011 Автор:Алексей Максимов
    4 772 Просмотров 1 Комментарий

    Если возникает необходимость мониторинга сетевых устройств поддерживающих протокол SNMP, -  в SCOM 2007 R2 мы можем через консоль “Operations Console” на закладке “Authoring” с помощью помощника “Create a unit monitor” создать SNMP Probe Based Monitor, который будет через указанные нами интервалы времени выполнять к сетевому устройству запрос определённых значений OID и на основании полученных данных изменять статус этого сетевого устройства по принципу Healthy/Unhealthy

    image

    Однако на практике вы можете столкнуться с ситуацией когда созданный вами монитор ведёт себя не совсем так как вы этого от него ожидаете. Например вы создали монитор, который раз в несколько минут опрашивает источник бесперебойного питания (ИБП) в серверной на предмет значения конкретного OUD возвращаемого текущее значение входного напряжения. Если этот OID опросить по SNMP с помощью любого стороннего приложения (например MIB Browser) то возможно мы увидим что тип возвращаемого значение – целочисленное значение – “Integer”, в то время как визард SCOM “Create a unit monitor” по умолчанию задает тип значения – строка – “String”.

    Соответственно получаемое от устройства значение будет преобразовываться в строку и уже в дальнейшем подвергаться например некорректным операциям сравнения которые могут присутствовать в нашем мониторе, что само по себе и становится причиной необъяснимых срабатываний алертов.

    Для исправления этой ситуации нам необходимо выгрузить Management Pack в котором сохранён наш SNMP Probe Based Monitor в XML файл и найти в нём секции Expression и в тэгах XPathQuery Type и Value Type в которых задаётся тип значения…

    image

    Нужно выполнить замену типа получаемого значения на тот в котором непосредственно значение отдается самим сетевым устройством, в нашем случае это будет “Integer”…

    image

    После этого сохраняем XML файл и загружаем его обратно в SCOM в качестве Management Pack.

    Решение проблемы найдено здесь: Gefufna - How to create SNMP Probe Based Two-State Monitor in SCOM?

  • Windows Server 2008 R2 RDS & Outlook – ассоциация с файлами *.eml

    01.08.2011 Автор:Алексей Максимов
    3 485 Просмотров Комментариев нет

    imageНа терминальном сервере с Windows Server 2008 R2 с установленным Office 2010 в пользовательских сессиях нет возможности открывать *.eml файлы, так как в системе по умолчанию отсутствует ассоциация этого типа файлов с каким-либо приложением. В Windows Server 2003 такой проблемы не было так как *.eml файлы были ассоциированы с имеющимся по умолчанию в ОС приложением Outlook Express. В новой же системе отсутствие ассоциации приводит к тому, что при попытке открытия такого файла пользователь получает окно выбора приложения с помощью которого ОС может открыть этот файл…и в этом окне как правило бездумно щёлкает по значку IE, так как он самый первый. К чему это всё приводит нетрудно догадаться.

    Чтобы решить эту проблему мы можем сделать ассоциацию *.eml файлов с любым доступным просмотрщиком такого формата, например если в ОС уже имеется установленный Office 2010 то сделать это можно путём добавления соответствующей информации в системный реестр. Вот пример *.reg файла:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINESOFTWAREClassesOutlook.File.eml]
    @="Сообщение электронной почты"
    "EditFlags"=hex:00,00,00,00

    [HKEY_LOCAL_MACHINESOFTWAREClassesOutlook.File.emlshell]
    @="Open"

    [HKEY_LOCAL_MACHINESOFTWAREClassesOutlook.File.emlshellOpen]

    [HKEY_LOCAL_MACHINESOFTWAREClassesOutlook.File.emlshellOpencommand]
    @=""C:\Program Files (x86)\Microsoft Office 2007\Office12\OUTLOOK.EXE" /eml "%1""

    [HKEY_CLASSES_ROOT.eml]
    @="Outlook.File.eml"

    [HKEY_CLASSES_ROOT.emlOpenWithProgids]
    "Outlook.File.eml"=""

    [HKEY_LOCAL_MACHINESOFTWAREClasses.eml]
    @="Outlook.File.eml"

    [HKEY_LOCAL_MACHINESOFTWAREClasses.emlOpenWithProgids]
    "Outlook.File.eml"=""

  • Mozilla Firefox & NTLM/Kerberos Single Sign-on (SSO)

    29.07.2011 Автор:Алексей Максимов
    11 156 Просмотров Комментариев нет

    imageПри попытке открыть в Mozilla Firefox внутренние корпоративные сайты на SharePoint Server с включённой аутентификацией Kerberos получил запрос на ввод имени пользователя и пароля. То есть прозрачная передача учетных данных текущего пользователя, как в Internet Explorer, не произошла. Просмотрел все доступные опции в меню навигации Firefox "Инструменты" > "Настройки", но с к сожалению не нашёл там ничего, касающегося безопасности передачи учетных данных текущего пользователя. После некоторых поисков в Интернете, обнаружил, что способ передачи учётных данных всё-таки имеется. Читать далее...

  • Блокировка установки Internet Explorer 9 c WSUS

    01.07.2011 Автор:Алексей Максимов
    3 870 Просмотров 3 комментария

    imageНе так давно на корпоративный WSUS-сервер прикатился Internet Explorer 9. Не смотря на то что релиз IE9 появился уже достаточно давно, на сегодняшний день в корпоративной среде могут возникнуть проблемы совместимости новой версии этого браузера с работающими с более старыми версиями IE приложениями. Например, на сегодняшний день мне известно, что Сбербанком заявлена несовместимость с IE9 их web-приложения Интернет-Банк, причём даже их тех.поддержка не даёт внятного ответа о планируемых сроках начала поддержки новой версии IE.

    Чтобы не останавливать жизненный цикл ОС на ПК где встречается потребность отмены установки IE9, можно воспользоваться средством предоставляемым самой компанией Microsoft для блокировки установки конкретно только IE9 - Toolkit to Disable Automatic Delivery of Internet Explorer 9

    Фактически это средство представляет из себя самораспаковывающийся архив, содержащий командный файл для правки реестра и шаблон групповой политики для централизованного управления настройками блокировки установки IE9 с WSUS.

    Командный файл фактически занимается правкой ключа реестра DoNotAllowIE90 в ветке HKLMSOFTWAREMicrosoftInternet ExplorerSetup9.0

    Если перед нами стоит задача выполнить блокировку на каком-то конкретном компьютере, - мы вполне можем обойтись и без этого скрипта добавив соответствующий ключ простой командой:

    Reg Add "HKLMSOFTWAREMicrosoftInternet ExplorerSetup9.0" /v DoNotAllowIE90 /t REG_DWORD /d 1 /f

    При этом на такой компьютер IE9 с WSUS установлен не будет, хотя статистика WSUS и будет показывать что для него требуется установка IE9.

    Для отмены блокировки установки достаточно удалить этот ключ реестра.
    Сделать это можно командой:

    Reg Delete "HKLMSOFTWAREMicrosoftInternet ExplorerSetup9.0" /v DoNotAllowIE90 /f

    Надо понимать, что блокировка  это лишь временное решение и в конечном итоге новую версию рекомендуется установить на всех ПК где используется этот браузер.
    Обратите внимание на то, что IE9 будет устанавливаться только на компьютеры выше Windows Vista/Windows Server 2008, то есть всё сказанное выше не относится к компьютерам с Windows XP/Windows Server 2003…что в общем-то само по себе оправданно, так как это уже отмирающие системы, жизненный цикл поддержки которых стремительно движется к своему логическому завершению.

    Дополнительная информация:
    Internet Explorer TechCenter - Internet Explorer 9 Blocker Toolkit: Frequently Asked Questions

  • SCCM 2007 R2 - Создаем коллекции компьютеров 32-bit/64-bit

    10.06.2011 Автор:Алексей Максимов
    5 032 Просмотров 2 комментария

    В процессе развертывания программного обеспечения через SCCM может возникнуть необходимость создания отдельных коллекций компьютеров в зависимости от битности используемой на них ОС, так как сейчас многие приложения имеют отдельные инсталляционные пакеты для разных платформ. Пример запроса на создание коллекции компьютеров по маске имени (например выбираем только ноутбуки и рабочие станции) и битности ОС для 32-битных систем Windows:

    select

    SMS_R_SYSTEM.ResourceID,

    SMS_R_SYSTEM.ResourceType,

    SMS_R_SYSTEM.Name,

    SMS_R_SYSTEM.SMSUniqueIdentifier,

    SMS_R_SYSTEM.ResourceDomainORWorkgroup,

    SMS_R_SYSTEM.Client

    from SMS_R_System   

    inner join SMS_G_System_COMPUTER_SYSTEM

    on SMS_G_System_COMPUTER_SYSTEM.ResourceId = SMS_R_System.ResourceId     

    where (

    SMS_R_System.NetbiosName like "KOM-%-NB%"

    or SMS_R_System.NetbiosName like "KOM-%-WS%"

    ) 

    and SMS_G_System_COMPUTER_SYSTEM.SystemType = "x86-based PC"

    И соответственно тот же запрос только для 64-битных систем Windows будет отличаться лишь последней строкой: 

    and SMS_G_System_COMPUTER_SYSTEM.SystemType = "x64-based PC"


    Компьютеры под управлением Windows в среднестатистическом рабочем окружении могу иметь три основных типа существования:

    • 32-битная ОС установлена на x86 процессор
    • 64-битная ОС установлена на x64 процессор
    • 32-битная ОС установлена на x64 процессор

      Мы можем наглядно получить информацию о распределении таких типов существования в нашем окружении сформировав на SCCM отчет с запросом:

    select distinct sys.netbios_name0,

    case when pr.addresswidth0 = 64 then '64bit OS'

    when pr.addresswidth0=32 then '32bit OS'

    end as [Operating System Type],

    case when pr.addresswidth0=32 and pr.DataWidth0=64 then '*'

    end as [32-bit OS on x64 processor]

    from v_r_system sys

    join v_gs_processor pr on sys.resourceid=pr.resourceid


      Результат будет выглядеть примерно так:

    image

      Или например чтобы получить сводную информацию о том как в данный момент распределены версии ОС по компьютерам в зависимости от их аппаратных возможностей можно сделать отчет на базе запроса:

    select

        OS.Caption0,

        case when pr.Is64Bit0=1 then '64-bit'

        when pr.Is64Bit0=0 then '32-bit'

        end as [Processor Type],

        Count(*)

    from

        dbo.v_gs_processor PR Left Outer Join dbo.v_GS_OPERATING_SYSTEM OS on PR.ResourceID = OS.ResourceId

    Group by OS.Caption0, pr.Is64Bit0

    Order by OS.Caption0, pr.Is64Bit0

      Результат:

    image


      Возможно что эта информация будет полезна при планировании перехода с 32-битных систем на 64-битные.
      Источники информации:

  • Развёртывание АСКОН КОМПАС-3D-Viewer v13 (13.0)

    09.06.2011 Автор:Алексей Максимов
    5 739 Просмотров 1 Комментарий

    imageПриложение КОМПАС-3D Viewer V13 от компании Аскон предназначено для просмотра и печати документов и шаблонов документов, разработанных в системах КОМПАС-3D/ КОМПАС-3D LT, также с его помощью возможен просмотр и печать документов форматов DXF и DWG. Лицензионное соглашение поставляемое с дистрибутивом текущей версии (13.0) разрешает использование этого вьюера в корпоративной среде.

    Если в организации возникает потребность в централизованном развёртывании этого пакета на определённое количество рабочих станций то вы можете столкнуться с ситуацией когда устанавливаемая новая версия вьюера не производит при установке удаления старых версий, так как это например реализовано в программе установки Adobe Reader. В итоге это может привести к зоопарку разных версий в рамках одного компьютера, то есть фактически получается что на одном компьютере вы будете использовать 2, 3 и более экземпляров ПО что само себе уже противоречит упомянутому лицензионному соглашению. Чтобы избежать этой ситуации, в процессе развертывания новой версии вам потребуется предварительно выполнить удаление всех установленных экземпляров этого ПО. В независимости от способа реализации этой задачи (GPO/SCCM и т.п.) вам может пригодиться пакетный файл содержащий команды последовательного удаления всех ранее установленных версий (вплоть до текущей):

    rem Kompas-3D-Viewer v13 (13.0)

    MsiExec.exe /x {2110889E-9850-4BD6-A3B6-C031B3F656C3} /qn

    rem Kompas-3D-Viewer v12 (12.0.1)

    MsiExec.exe /x {17D7EA7D-DDFA-44FF-A367-12E3D9D95688} /qn

    rem Kompas-3D-Viewer v11 (11.0.1)

    MsiExec.exe /x {4BBE7146-2DE7-4E0B-B6A7-8FCEC2D7DA79} /qn

    rem Kompas-3D-Viewer v11 (11.0)

    MsiExec.exe /x {4F20BA62-58DB-4B58-941C-BC9362339E00} /qn

    rem Kompas-3D-Viewer v9 (9.0.1)

    MsiExec.exe /x {5EA2B7F0-F558-4FF8-9B51-CA8AAA628E93} /qn

  • Утилита HP Array Configuration Utility (ACU) в режиме удалённой службы

    02.06.2011 Автор:Алексей Максимов
    26 850 Просмотров 4 комментария

    imageHP Array Configuration Utility (ACU) из состава ProLiant Support Pack это браузер-ориентированная утилита позволяющая управлять дисковой подсистемой серверов HP, например дисковыми массивами подключёнными к контроллерам HP Smart Array. Этот инструмент вполне интуитивно понятен и не создаёт никаких проблем при использовании на полной версии Windows Server c GUI и IE на борту. По умолчанию ACU запускается и выполняется на такой системе в режиме локального приложения (Local Application Mode), но есть у этой утилиты ещё и режим службы для возможности удалённых подключений -Remote Service Mode. При переключении ACU в этот режим в ОС регистрируется системная служба, принимающая запросы на подключение к возможностям ACU от удаленных клиентов. Режим Remote Service Mode может оказаться полезен при работе с серверами на базе OC Windows Server 2008/2008 R2 в режиме Core или Hyper-V Server 2008/2008 R2, то есть там, где нет возможности использовать браузер для запуска ACU в режиме Local Application Mode.

    Рассмотрим пример настройки и использования ACU в режиме Remote Service Mode на сервере c OC Hyper-V Server 2008 R2.

    Для начала, для возможности работы режима удалённой службы в целевой системе необходимо разрешить входящие подключения на порты TCP 2301 и 2381. Сделать это можно командами:

    netsh advfirewall firewall add rule name=’HP System Management Homepage (Secure Port)’ protocol=TCP dir=in localport=2381 action=allow

    netsh advfirewall firewall add rule name=’HP System Management Homepage (Insecure Port)’ protocol=TCP dir=in localport=2301 action=allow

    После того как порты открыты из командной строки вызываем программу настройки режима запуска ACU:

    "Program Files (x86)CompaqCpqacuxeBinsetup.exe"

    В открывшейся диалоговой форме выбираем соответствующий режим:

    image

    При этом, как я уже сказал ранее, в системе регистрируется служба с говорящим названием. Для того чтобы посмотреть успешность установки и запуска службы в режиме командной строки можно выполнить команду:

    sc query "Array Configuration Utility"

    Вывод этой команды должен показать нам то, что интересующая нас служба действительно присутствует в системе и находится в запущенном состоянии.

    image

    Обратите внимание на то, что текущая реализация ACU подразумевает то, что совместить режимы Remote Service Mode и Local Application Mode невозможно.

    В целях повышения общего уровня безопасности системы могу порекомендовать включать использование режима Remote Service Mode только в случаях необходимости и только на время конфигурации дисковой подсистемы сервера.

    На практике я столкнулся с интересной ситуацией – если запускать ACU в режиме Remote Service Mode на полной версии Windows Server 2008 R2 (с GIU), то удалённое подключение к ACU через System Management Homepage работает без проблем...

    image

    … а вот если использовать этот режим в Hyper-V Server 2008 R2 то ссылка на ACU в System Management Homepage перенаправляет нас на страницу с предупреждением о том, что на целевом сервере не доступен режим удалённого использования:

    image

    Если посмотреть код ссылки то можно увидеть что посылается запрос на получение страницы типа

    https://kom-ad01-vm03:2381/ACU-XE/ACU-XE.htm

    image

    … Но такая ссылка не работает Печальная рожица

    При этом даже полное отключение брандмауэра не решает этой проблемы…

    Самое интересное в этой ситуации то, что если несколько изменить ссылку до вида

    https://kom-ad01-vm03:2381/ACU-XE/    ACU.htm

    то мы получим таки доступ к ASU…

    image

    Судя по форуму техподдержки HP данная ситуация прослеживается уже давно, но так и не имеет определённого решения, так что ручное указание конкретной ссылки в браузере можно считать некоторого рода обходным решением. Если у кого-то есть соображения по этому поводу или конкретный рецепт лечения было бы интересно услышать Улыбка

Предыдущая страница Следующая страница