it-flow.pl

Migracje, migracje i jeszcze raz migracje. Od pewnego czasu siedzę i staram się poprawić i udoskonalić stare usługi, zaktualizować systemy, itd.

Jedną z bardziej interesujących rzeczy jest migracja z Windows XP do Windows 7. Jak to zwykle bywa jednym z częstszych problemów jest odpowiednia konfiguracja systemów do współpracy z trustem między REALM-em MIT Kerberos a Active Directory.

W Windows 7 Microsoft wprowadził sporo zmian część z nich dotyczy konfiguracji samego logowania do REALMu.

Główne zmiany to:

• Uproszczenie konfiguracji samego REALMu na stacjach klienckich
• Wyłączenie przestarzałych mechanizmów szyfrowania (DES-CBC-{CRC,MD5})- źródło
• Wprowadzenie odpowiedniego szablonu polis do konfiguracji REALMu

Po instalacji Windows 7 i wpięciu systemu do domeny rozpocząłem konfigurację REALMu. Po małym przeglądnięciu kilku stron amerykańskich uniwersytetów okazało się, że konfiguracji realmu w Windows 7 nie przeprowadza się już za pomocą ksetup.exe:

ksetup.exe /addkdc nazwa_realmu nazwa_serwera_kdc_dla_podanego_realmu

ksetup.exe /domain nazwa_domyslnej _domeny

Dla ułatwienia Microsoft utworzył odpowiedni szablon polis:

Na początku zainteresowałem się tylko dwiema opcjami:

• Define interoperable Kerberos V5 realm settings – opcja odpowiada za odpowiednią konfigurację realmu oraz serwerów KDC, które ma wykorzystać klient. W Windows XP konfiguracja tych ustawień dobywała się za pomocą ksetup.exe
• Require strict KDC validation – sprawdza pewne obostrzenia dotyczące certyfikatu serwera KDC.

Dodatkowo skusiłem się na ustawienie DefaultLogonDomain na nazwę mojego Realmu. Jak większość pamięta od Visty z ekranu logowania zniknęła możliwość wyboru domeny/realmu logowania. Aktualnie użytkownik ma się logować za pomocą User Principal Name (login@nazwadomeny). Ustawnie DefaultLogonDomain pozwala logować się do domyślnej domeny/realmu za pomocą samego loginu

Jeśli, ktoś nie chce konfigurować tych ustawień za pomocą GPO to może wykorzystać odpowiedni wpisy w rejestrze

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
“DefaultLogonDomain”=”Nazwa_Realmu”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos]
“MitRealms_Enabled”=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\MitRealms]
“Nazwa_Realmu”=”<f>0×00000008</f><k>serwer_kdc_1;serwer_kdc_2</k>”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters]
“KdcValidation”=dword:00000002

W przypadku trzeciego ustawienia (Define interoperable Kerberos V5 realm settings) między <f></f> podajemy w postaci hex-a listę opcji, które mają być wykorzystane podczas odpytywania serwerów KDC w danym realmie:

• 0×00 None – brak flag
• 0×01 SendAddress – pozwalaj na adresy IP w generowanych ticketach
• 0×02 TcpSupported – serwery kluczy akceptują ruch TCP, wymagany przy dużych pakietach
• 0×04 Delegate – każdy w realmie jest zaufany do delegacji
• 0×08 NcSupported – podany realm wspiera Name Canonicalization

Przepraszam za trochę lakoniczne tłumaczenie, więcej informacji o opcjach w technecie.

Jeśli po konfiguracji nie udaje się zalogować do systemu. Występuje komunikat błędny login lub hasło, to najprawdopodobniej serwery kluczy wykorzystują mechanizmy DES-CBC-CRC lub DES-CBC-MD5, które w Windows 7 i Windows Server 2008 R2 zostały domyślnie wyłączone. Włącznie mechanizmów najlepiej wykonać za pomocą GPO:

Tutaj taka drobna uwaga, którą podał Tomek Onyszko na wss.pl. W niektórych przypadkach warto wyłączyć AES128 i AES256 jeśli nie jest on wykorzystywany.

Po zmianie tych ustawień można się poprawnie zalogować używając MITowskiego realmu. Niestety po zalogowaniu na użytkownika nie zostały nadrzucone polisy oraz sam użytkownik nie miał dostępu do serwerów będących w domenie Windows. Co prawda w logach DC widać, że zaszło mapowanie użytkownika z realmu na użytkownika w AD jednak polecenie klist nie wyświetla wymaganych ticketów.

Po trzech dniach spędzonych przy Wiresharku postanowiłem zapytać na wss i jak zwykle w sprawach związanych z Kerberosem Tomek Onyszko okazał się być bardzo pomocny. Nie wiem jak mu podziękować bo gdyby nie jego pomoc to nadal ślęczałbym nad ekranem z dumpem wiresharka.

Poniżej postaram się krótko opisać gdzie tkwił problem.

W przypadku zaufania między domenami czy realmami, komputer odpytuje odpowiednie serwery kluczy w celu pozyskania odpowiednich ticketów, które później będzie wykorzystywał do uzyskania dostępu do konkretnych serwerów. W tym poście nie będę tego jakoś szczególnie opisywał (dobry materiał na kolejny post). W skrócie jeśli klient nie dostanie ticketu z serwera kluczy z jednej domeny to prosi o odpowiedni ticket Granting Services, który pozwala mu odpytać kolejny serwer kluczy odpowiedniej domeny.

Tak robił XP, który jest aktualnie na stanowiskach:

Powyższy zrzut ekranu obrazuje prośbę klienta o odpowiedni ticket na potrzeby dostępu do miejsca gdzie leża polisy:

1. Klient prosi o TGS serwera KDC w realmie, w którym uwierzytelnił się użytkownik
2. Serwer kluczy dla danego realmu zwraca informacje PRINCIPAL_UNKNOWN – informacja o określonym SPN znajduje się w innym serwerze kluczy ( w moim przypadku kontrolerze domeny z którą zestawiony był trust realm )
3. Klient prosi o TGS (krbtgt/nazwa_realmu) ticket jest wymagany by klient mógł rozmawiać z zaufaną domeną
4. Serwer kluczy w naszym realmie odsyła odpowiedni ticket
5. Klient prosi kontroler domeny o określony ticket dla cifs/nazwa_kontrolera (strzałka 3 na zdjęciu), wykorzystując ticket, który otrzymał w kroku czwartym.
6. Serwer zwraca odpowiedni ticket.
7. Klient przystępuje do komunikacji z serwerem plików.

W przypadku Windows 7 spraw wyglądała trochę gorzej ponieważ, system pomijał prośbę o TGS (krbtgt, oraz o odpowiedni ticket w zaufanej domenie i przeskakiwał na NTLM):

Jak widać na powyższym zrzucie ekranu klient:

1. Pyta serwer kluczy dla wykorzystywanego realmu
2. Serwer zwraca odpowiedź o braku Principala o określonej nazwie (2)
3. Klient próbuje wykorzystać NTLM by dostać się do zasobów.
4. Próba w dalszej części kończy się fiaskiem.

Po pomocy Tomka okazało się że problem ten można rozwiązać poprzez wskazanie systemowi klienckiemu jakie nazwy realmow/lasow ma przeszukiwać. Można to skonfigurować w GPO ( pierwsze zdjęcie w wpisie) Use forest search order. Po dopisaniu tam nazwa_realmu, nazwa_domeny_ad, klient zaczyna odpytywać kontroler. Jedynym minusem który tutaj występuje jest brak zapytania ok określony  TGS (krbt/…) jednak ticket ten zostaje pobrany na samym początku podczas logowania do domeny. Po ostatniej zmianie klient zaczyna poprawnie funkcjonować:

• pobierane są polisy dla użytkownika
• można uzyskać dostęp do określonych zasobów dyskowych w zaufanej domenie.

Przyznam się, że problem jest dość ciekawy i w wolnej chwili trzeba się będzie trochę bardziej w niego zagłębić. Ale wcześniej muszę sobie skonfigurować wirtualnej środowisko by nie bawić się w zamazywanie zrzutów z Wiresharka. Przy okazji może uda mi się opisać proces konfiguracji Cross Realm Trusta.

Jeśli ktoś planuje instalacje Office 2007 z SP2 dla pełnego wsparcia ODF to polecam dodatkowo zainstalować dodatek Sun’a. Jak na razie Office 2007 jak i 2010 nie wspiera standardu ODF 1.2. Standard ten aktualnie jest w końcowej fazie zatwierdzania przez OASIS.

Z tego co udało mi się wyczytać na blogu Doug’a Mahugh’a Microsoft nie ma planów wprowadzenia obsługi nowej wersji otwartego formatu przed jego ostatecznym zatwierdzeniem. Jest to trochę irytujące dlatego, że ODF 1.0 czy 1.1 nie zawiera wzmianki o tym jak mają wyglądać formuły matematyczne. Czyli tak na chłopski rozum: Jeśli ktoś stworzy sobie jakąś funkcje np. SUM w OpenOffice i będzie próbował ja odczytać w Office 2007/2010 to próba ta zakończy się niepowodzeniem. Btw. żeby nie było podobne problemy są między innymi pakietami biurowymi.

Pozostaje mieć tylko nadzieję, że zatwierdzenie ODF 1.2 nie zostanie przesunięte a Microsoft w miarę szybko wdroży pełne wsparcie dla nowej wersji standardu.

Swoją drogą taka ciekawostka: Jedne firmy wdrażają do swoich produktów standardy, które są jeszcze w tak zwanej formie “draft” (Cisco i draft 802.11n) a inne czekają do finalnej publikacji standardu. Nie wiem jak wy ale ja osobiście wolałbym mieć wsparcie niegotowego standardu niż wykorzystywać wtyczki firm trzecich.

PS. Oczywiście Office nie psuje plików w formacie ODF. Po prostu nie jest dostosowany do odczytywania informacji dorzuconych przez inne programy biurowe.

Nie, tym razem nie będzie o porządkach na moim dysku, tylko o pewnej opcji w Thunderbird. Jakoś ostatnio z znajomym w pracy zastanawialiśmy się jak to jest z tym porządkowaniem katalogów w skrzynce. Padło kilka tez z mojej strony:

• Kompresja folderów,
• Czyszczenie jakiś pozostałości i układanie w uporządkowaną całość.

Nie będąc pewnym sposobu działania tej opcji, popatrzyłem sobie na bazę wiedzy mozilli i już wiem jak to działa. Kompaktowanie to nic innego jak usuwanie starych wiadomości, które zostały już usunięte wcześniej przez użytkownika.

Ktoś może zapytać skoro użytkownik usunął te wiadomości dlaczego je jeszcze raz usuwać?

Jak się okazuje programy pocztowe aby zwiększyć wydajność nie usuwają natychmiast wszystkich wiadomości. Raczej starają się dopisać do wiadomości pewną flagę, która świadczy o tym, że wiadomość została usunięta i nie ma być widoczna.Gdy jednak zabraknie nam miejsca lub trafimy na czas kiedy harmonogram zadań powie programowi czyść foldery, to wtedy zaczyna się zabawa na bazie danych lub plikach na dysku. Jest to zrozumiałe, po co za każdym razem przeorganizowywać strukturę, przebudowywać indeksy, zmieniać dodatkowe flagi skoro można to zrobić raz na jakiś czas a porządnie. To tak jak z wybieraniem pieniędzy z bankomatu:) Można co dziennie chodzić i wybierać po 20zł z prowizją 5zł albo iść raz na tydzień, wybrać 140zł i zapłacić też tylko 5zł prowizji. Prowizje w przypadku naszych maili gra czas dostępu do programu podczas porządkowania folderów.

Jeśli komuś częstotliwość kompaktowania  nie odpowiada i wolałby sobie to zmienić to:

1. Otwieramy sobie TB
2. Wybieramy Narzędzia-> Opcje
3. W nowym oknie wybieramy zakładkę Za awansowane
4. Potem wchodzimy w Sieć i miejsce na dysku
5. W sekcji Miejsce na dysku zaznaczamy “Automatycznie porządkuj foldery, gdy zaoszczędzi to więcej niż” i tutaj podajemy wielkość w kilobajtach.

   

6. Po naciśnięciu OK, program zabierze się za porządki:)

Poza tym, można to robic ręcznie:

1. Klikamy na folder, który chcemy uporządkować i potem klikamy prawym klawiszem myszy i wybieramy Porządkuj Folder

Jeśli ktoś korzysta z IMAP to może sobie włączyć opcje oszczędzająca ilość wysyłanych informacji do skrzynki:

1. Wchodzimy w właściwości kont ( Narzedzia -> Konfiguracja kont)
2. Wybieramy ustawienia serwera na wskazanej skrzynce
3. Zaznaczamy opcje “Wyczyść folder Inbox przy wyjściu”

Czasami kompaktowanie folderów może trwać długo, szczególnie jak ktoś sobie właczył tą opcje na słabym kompie zaraz po porządkowaniu skrzynki większej niż 2GB

Jeśli ktos miałby jakieś uwagi to będę wdzięczny, bo mogłem cos pominąć:)

Ktoś kojarzy Windows Media Center?? Taki Ciekawszy odtwarzacz dodawany do Vista Home Premium lub Ultimate. Posiada on odtwarzacz filmów, muzyki i galerie obrazów. Wszystko jest ujęte w ładne tło.

Ostatnio przeglądając strony trafiłem na XBMC – darmowy odpowiednik WMC na różne platformy.

Aktualnie wyszła Beta 1 tego cuda, która oferuje nam:

• odtwarzacz muzyki
• odtwarzacz filmów
• katalogowanie zdjęć
• informacje o pogodzie
• menadżera plików

Trochę screenów z tego programiku:

Menu konfiguracyjne

 Menu główne

Odtwarzacz muzyki

Wszystko to można będzie za niedługo podziwiać w wersji finalnej za free. Co prawda programik po odpaleniu zabiera zasoby procesora i carbonowy wygląd może odstraszyć, jednak uważam, że może być dość ciekawą konkurencją dla WMC czy odpowiednika z Mac’a.

Parę miesięcy temu pojawiły się spekulacje, że Google pracują nad nową przeglądarką. Podczas rozmowy z znajomymi często twierdziłem, że jest to możliwe i tak samo często byłem przez nich zbywany “Google i browser lol”.

A dziś nastąpił ten dzień

No i mamy betę przeglądarki Googla.

Po pobraniu uruchomiłem instalator. Trzeba przyznać, iż Google lubi podejście Apple. Czysta, bezobsługowa instalacja przeglądarki. W sam raz do dystrybucji via Group Policy, jednak jest jeden problem:  Chrome podczas instalacji dociąga niezbędne pliki z netu.

1:0 Dla Chrome

A mogę ci zapchać folder w profilu??

Niestety przeglądarka Googla instaluje się w dość dziwnym miejscu:

C:\Users\nazwa_użytkownika\AppData\Local\Google\Chrome\Application\chrome.exe

Jak mam rozumieć, Panowie z Googla, nie chcą by ich przeglądarka była używana w korporacjach. Jak można pchać pliki programu do profilu SICk!

1:1 Dla mnie

Prawdziwe pudło dla mnie:(

Znowu import ustawień:) Fajna sprawa dla wygodnickich, jednak ja jakoś nie lubię być wyprzedzany przez oprogramowanie. Dzięki uruchomionemu FF, Chrome miało problem z importem danych i sypnęło komunikatem:)

1:2 Punkt dla mnie

Przepraszam, że co Kolejny szok; punkt dla Chrome. Przeglądarka Googla upewnia się czy aby nie chce zmienić wyszukiwarki na coś innego niż google FF czegoś takiego nie robił, jedynie IE 7.0 pozwala podczas pierwszego startu na takie operacje:)

2:2 Chrome

Prostota przede wszystkim:

Chrome po starcie:

Firefox

IE

3:2 Chrome

Prostota jeszcze raz:

Sorry ale tak małego menu to nawet Internet Explorer nie ma

4:2 Chrome

A jak tu zerknąć w źródło elementu:

Oto efekt kliknięcia  “zbadaj element”:

5:2 Chrome.

Jak myślicie ile waży Chrome po instalacji 46,5 MB jak na tak małą ilość opcji Chrome jest duże. Po przeglądnięciu 4 stron w tym jeden teledysk na Youtube:) Nagle mój profil w Chrome wystrzelił do 33 MB. Nie no fajnie 78MB w profilu mobilnym:/

5:3 Dla mnie

Wreszcie jest przeglądarka, która jasno i wyraźnie pokazuje błędny certyfikat.  Użytkownik wreszcie szybko widzi w czym jest problem i jasno ma pokazane co może zrobić. W IE większość userów klika w zielone i zamyka stronę, w FF ludzie odświeżają bo myślą, że serwer jest niedostępny:)

6:3 Chrome

Panowie i Panie Chrome by default blokuje flashowe pop-up’y, które lubią jeździć po stronie z góry na dół. Po prostu szaleństwo.

7:3 Chrome

Podsumowanie:
Podejrzewam, że główny użytkownikiem, w którego wycelowało Google jest przeciętny Kowalski. Chce on szybko zainstalować bezpiecznego i szybkiego browsera, jednak nie interesuje go to, że przeglądarka:

• ładuje się w profil użytkownika
• nie ma tylu opcji co konkurencja
• generuje trzy procesy przy starcie – drobna poprawka, trzy procesy są jak najbardziej na plus <opis en>
• profil użytkownik, generowany przez Chrome, do lekkich nie należy

Ja  fanem tej przeglądarki nie zostałem:(

Update 2:

Tryb incognito. Przeglądarka Google udostępnia podobny tryb jak nowe IE 8.0, przez wielu zwanych “trybem porno”. Ciekawe kto od kogo pociągnął ten pomysł:)