:::: MENU ::::

Quick TiP: Zakázání windows firewallu

Jestli provozujete Windows Server v Core edici, tak jste možná narazili na to, jak rychle vypnout Windows Firewall. Jde to jednoduše přes následující příkaz:

netsh firewall set opmode disable

Nebo můžete samozřejmě použít Windows PowerShell:

Get-NetFirewallProfile -Name * | Set-NetFirewallProfile -Enabled false

Ale! Opravdu chcete úplně vypnout Windows Firewall? Zamyslete se 🙂


víkend s: Active directory: PDC emulator

Active Directory od verze 2000 podporuje multi-master replikační model. Tzn., že ve finále jsou si téměř všechny DC rovny a poskytují všechny služby, ale… některé funkce jsou raději poskytovány pouze konkrétním řadičem v doméně či ve forestu. Tyto funkce alias role se nazývají FSMO (Flexible Single Master Operations) a řadiče, které hostují takové role se nazývají Operations Masters.

Existuje pět různých FSMO rolí. Dvě z nich procesují služby na úrovni forestu a zbylé tři na úrovni domény.

Forestové FSMO role jsou

  • Schema Master
  • Domain Naming Master

Doménové FSMO role jsou

  • Infrastructure Master
  • RID Master
  • PDC Emulator

Pojďme se nyní podívat na PDC emulator (PDCe). V první řadě PDCe poskytuje “legacy” specifické funkce pro Primary Domain Controller z důvodů zpětné kompatibility- Můžete se ně blíže mrknout třeba tady. Kromě těchto samozřejmě poskytuje i další. Když si změníte heslo na konkrétním DC, je tahle změna preferovaně replikována na DC, které hostuje PDCe FSMO roli. Takže když vaše přihlašování selže kvůli špatnému heslu, DC přesměruje váš autentizační požadavek na PDCe, kde se zvaliduje vaše nejaktuálnější heslo. Když DC s PDCe zjistí, že opravdu zadáváte špatně heslo, původní DC vás informuje zprávou o použití nesprávného hesla.

Jestilže používáte funkci zamykání účtů (Account Lockout) ke zvýšení bezpečnosti, PDCe je místo, kde jsou počítány neúspěšné pokusy při zadání špatného hesla. Kdyby tomu tak nebylo, tzn. každé DC by počet pokusů udržovalo samostatně a až následně replikovalo, tak by měl útočník více pokusů k brute-force útoku.


Vyšel Update Rollup 1 pro System Center 2012 R2

Konečně tu je UR1 pro SC 2012 R2! Řeší poměrně velké množství problémů (o jednom z nich jsem například psal zde) a týká se těchto komponent: Data Protection Manager, Service Manager, Operations Manager a Virtual Machine Manager.

Dejte si pozor na jednotlivé UR1 balíčky. Například ten pro VMM vyžaduje nejprve spuštěni skriptu na SQL serveru! Proto čtěte pozorně a instalujte nejdřívě samozřejmě do testovacího prostředí 🙂

Více info a odkazy ke stažení zde.


Exchange Server 2013 a poškozený applicationhost.config

V mém labu na System Center a Windows Server dnes přestal fungovat Exchange Server 2013. ECP dělalo, že neexistuje a když jsem se na něj chtěl podívat přes IIS Manager, tak jsem při kliknutí na Application Pools dostal takovouhle krásnou hlášku:

Configuration file is not wellformed XML

To už mě dost vyděšilo, protože mám jen jeden exchange server a proto nemám moc odkud zkopírovat funkční applicationhost.config (a backup nemám, protože je to lab). Napadlo mě zkusit udělat restore z IIS backupu. Takže jsem zkusil ze složky C:\Windows\System32\InetSrv\Backup vykopírovat config soubor do Config adresáře. Bohužel ten backup nebyl úplně aktuální, takže jsem nedostal původní konfiguraci IIS. Napadlo mě si vyrobit ty virtuální adresáře potom ručně přes Exchange Management Shell a příkazy typu New-ECPVirtualDirectory. Problém byl ale v tom, že ta web site byla tak rozhašená, že se mi ani PowerShell Exchange Modul nepřipojil k serveru.

Co teď? Už jsem si představoval, jak deinstaluju Exchange server (natvrdo, přes adsiedit apod., protože neudělám normální uninstall). Napadlo mě ještě ale vzít applicationhost.config z C:\inetpub\history. Tak jsem vzal nějaký z data, kdy vím, že mi Exchange jel, překopíroval do C:\Windows\System32\InetSrv\Config a rozjelo se to. ECP jede, Outlooky se připojí, maily chodí…

Jinak ten Exchange Server byl samozřejmě virtualizovaný, na Hyper-V 2012 R2. Na disku nebylo úplně moc místa (je to lab, tak to moc nehlídám) – asi tak 2GB, takže předpokládám, že se mi to IIS poškodilo kvůli tomu, ale to jsou jen mé domněnky. V této oblasti nejsem moc specialista 🙂



Data Deduplication pro Hyper-V: Kolik ušetřím?

Windows Server 2012 přišel s funkcí Data Deduplication. Ve výchozím stavu není nainstalovaná, ale to je jen otázka minuty, navíc bez restartu.

datadeduplication-roleservice

Data Deduplication funguje stylem post-processing a proto, pokud ji necháte ve výchozím stavu deduplikovat soubory v IDLE stavu serveru, nesnižujete výkon při zápisu. Vzhledem k úspoře místa pomocí deduplikace „kousků“ souborů (z angl. chunks) a tím pádem menšímu množství fyzicky procházených disků/míst na disku (v případě klasických HDD) se dokonce zvyšuje výkon při čtení!

Proč to nevyužít také pro virtuální disky u virtuálek na Hyper-V? Na Windows Server 2012 lehce unsupported záležitost, ale na 2012 R2 už naprosto podporováno. Bohužel v tuto chvíli jen pro virtuální stroje s klientským OS určené pro VDI (Virtual Desktop Infrastructure). Z praxe mohu potvrdit, že to ale funguje i pro klasické virtuálky.

Data Deduplication je podporována na lokálních (ne OS) discích, cluster discích a dokonce i na CSV (Cluster Shared Volumes).

Postupovat ale principem „instalace-test-případná_odinstalace“ se nevyplatí, protože než server zdeduplikuje třeba vašich 5TB virtuálek, bude to nějakou dobu trvat a ve finále zjistíte, že to není úplně výhodné (deduplikace „sežere“ samozřejmě taky nějakou RAMku a CPU čas).

Jak teda zjistit, kolik místa s deduplikací ušetřím, aniž bych ji musel instalovat a čekat? Stačí použít built-in příkazový nástroj DDPeval.

Použití je jednoduché:

DDPeval D:\WBI-VMs

DDPeval D:\

Výsledkem je pak například takovýto report (jedná se o deduplikaci generovaných bin souborů, proto taková úspora :)) :

ddpeval

Jedna důležitá připomínka – použil jsem v příkladu ddpeval na konkrétním adresáři, ale Data Deduplication se zapíná na celé jednotce. Nejde tedy deduplikovat jen jeden adresář. Nástroj pouze dokáže reportovat, kolik toho ušetříte právě v tom jednom adresáři.

Zpráva davům: Nastavit Data Deduplication (tak, aby to jednak fungovalo a jednak bylo efektivní a ohleduplné k virtuálkám) není tak snadné jako to kliknout na disku obyčejného file serveru. A v případě Hyper-V Clusteru a CSV už je to úplně jiné kafe. O tom v nějakém z dalších článků 🙂 Abych Vás od toho ale úplně neodradil, tak tady je screenshot z jednoho z našich produkčních Hyper-V clusterů, kde je CSV jednotka s cca 200 virtuálkami a šetříme díky Data Deduplication takovýto prostor:

datadeduplication-csv

PS. Jestli chcete vědět více, tak přijďte na můj seminář na téma Data Management & Security. Více info zde.


Dynamic Access Control a Device Claims

Dnes jsem se začal trochu více do hloubky šťourat v Dynamic Access Control. Konfigurace Resource Properties a Claims pro uživatele podle atributu v Active Directory fungovala okamžitě a bez problémů. Měl jsem tedy chuť vyzkoušet Device Claim.

Všude v Microsoft prezentacích se popisuje krásný příklad, kdy povolujete přístup pouze z určitého zařízení (příklad obsahuje podmínku Device.Managed = True). Tak jsem se rozhodl si udělat Device Claim s identifikací země stanice (takže atribut Country (c) na Computer objektu).

dac1-computer

dac1-car

Protože tedy kvůli tomu potřebuji řešit i Device Claim, tak jsem přes Group Policy povolil politiku „Computer Polices – Administrative Templates – System – Kerberos – Kerberos Client support for claims, compound authentication and Kerberos Armoring“. GPupdate na stanici a hned se to chytlo. Ze stanice ze země, která neodpovídala pravidlu, jsem přístup nedostal. Takže funkční scénář.

dac1-kerbarmor-enabled

Co takhle to zkusit ale ze stanice, která je na stejné síti, ale není členem domény. Takže Windows 8.1 klient, přihlášení pod Microsoft Accountem a test na UNC cestu toho file sharu. Samozřejmě se to zeptalo na credentials a následně to přístup nedalo. Takže taky super funkční.

Protože jsem ale ještě pak trochu modifikoval tu doménovou politiku, tak se mi podařilo dostat do situace, kdy jsem podporu pro Claims, apod. vypnul.

dac1-kerbarmor-disabled

Zkusil jsem to v tu chvíli ze stroje mimo doménu a na share jsem se dostal! Asi je to tak správně, protože si to v mám politice zapnout, ale pak mi přijde, že je to celé takové pochybné. Dám tu ještě pár hodin a pak to budu akceptovat jako vlastnost 🙂

UPDATE: Po dalších třiceti minutách jsem na to přišel. Není to tou politikou, ale jen pravidlem, což dává samozřejmě smysl. Když udělám Central Access Rule bez Device Claimu, tak se z nedoménové stanice na share dostanu a když s Device Claimem, tak samozřejmě ne. Chovalo se mi to předtím blbě, protože jsem občas zapomněl udělat gpupdate asi 🙂 Tady jsou pro zajímavost ještě screenshoty z Effective Accessu. První bez device claimu a druhý s device claimem.

dac1-effectiveaccess-userclaimdac1-effectiveaccess-userclaim-and-devicelaim


Microsoft MVP: Virtual Machine

mvpDnes mi do emailové schránky přišel mezi mnoha PFky email, který začínal „Dear Jan Marek, Congratulations! We are pleased to present you with the 2014 Microsoft® MVP Award!“. Velmi milé překvapení hned první den v roce.

Chtěl bych tímto poděkovat především své úžasné manželce Martině, která mi byla obrovskou podporou! Dále svému skvělému šéfovi Kamilu Juříkovi, který mne vedl a dal mi příležitost tohoto ocenění vůbec dosáhnout. Samozřejmě také děkuji všem svým přátelům a to hlavně Markovi a Romanovi!

Na závěr samozřejmě děkuji společnosti Microsoft za udělení ocenění a za produkty a přístup, díky kterým se dnes živým prací, která mne kromě jiného především baví!


Přednáška na téma zálohování pomocí System Center 2012 R2

Sice je to až za dva měsíce, ale i tak si vás dovoluji pozvat na mou přednášku zabývající se komponentou Data Protection Manager z balíku System Center 2012 R2.

Přednáška proběhne 25.2.2014 od 17:00 do 20:30 ve Zlíně v prostorách NWT a.s.

Obsahem bude:

– Architektura
– Proces zálohování a obnovy dat
– Ochrana souborů na file serveru (+ Shadow Copy)
– Ochrana dat na SharePoint Server 2013
– Ochrana dat na Exchange 2013
– Ochrana dat na uživatelských stanicích
– Integrace s dalšími System Center 2012 R2 komponentami

Více informací zde. Těším se na vás!


Instalace VMM Agenta – Error 2912

Jeden z dalších důvodů, proč nejde nainstalovat VMM agent na Hyper-V hostitele:

Scénář: Instalace VMM Agenta z VMM konzole s použitím RunAs účtu (domain user) s právy lokálního admina na Hyper-V hostiteli (účet je napevno v lokálních administrátorech).

Chyba:

Error (2912)
An internal error has occurred trying to contact the host.domain.local server: : .

WinRM: URL: [http://host.domain.local:5985], Verb: [ENUMERATE], Resource: [http://schemas.microsoft.com/wbem/wsman/1/wmi/root/cimv2/Win32_PerfFormattedData_Tcpip_NetworkInterface], Filter: []

Unknown error (0xc0000bbb)

Recommended Action
Check that WS-Management service is installed and running on server lsghv10.learning.local. For more information use the command „winrm helpmsg hresult“. If lsghv10.learning.local is a host/library/update server or a PXE server role then ensure that VMM agent is installed and running. Refer to http://support.microsoft.com/kb/2742275 for more details.

Po mnoha různých pokusech o opravu jsem zjistil, že v lokálních adminech na Hyper-V hostiteli je účet služby VMM management serveru (ano, ten tam po instalaci má být), ale zároveň ještě stále RunAs účet použitý pro instalaci (ten tam po instalaci být nemá). Odebral jsem ho tedy a vše nyní funguje. Pravděpodobně se jedná o bug.


Stránky:12345678910...22