it-flow.pl

Podczas ostatnich potyczek z Windows 7 i Cross realm zauważyłem ciekawą rzecz. W przypadku wykorzystania interfejsu hosta poprzez maszyny wirtualne (Bridged connection) z stacji hosta na którym jest zainstalowany VMware można uruchomić Wiresharka i śledzić ruch przesyłany z maszyn wirtualnych w świta. Jedynie w celu wyczyszczenia zbędnego ruchu warto użyć filtru ip.addr=Adres_IP. Jest to o tyle przydatne, że nie trzeba się bawić w zdalne łapanie ruchu. Niby oczywista rzecz a przez kilka dni męczyłem się w zdalne łapanie ruchu czy przełączanie między kontami na jednej stacji.

Jak zwiększyć dostępność usługi DHCP w naszej sieci? Z pomocą przychodzą nam dwa rozwiązania:

- reguła 80/20

- klastrowanie usługi DHCP

W przypadku klastra sprawa jest prosta:

• instalujemy kilka węzłów przyszłego klastra
• tworzymy wspólny zasób na potrzeby klastra.
• tworzymy klaster dla usługi DHCP

W przypadku reguły 80/20 konfiguracja jest trochę bardziej skomplikowana. Poniżej postaram się w kilku zdaniach opisać działanie i konfigurację tej reguły.

80/20 w założeniu ma zwiększyć dostępność usługi DHCP w przypadku awarii jednego z serwerów. Ogólnie rzecz ujmując 80% niezarezerwowanych adresów jest przydzielana przez jeden serwer a reszta poprzez drugi.

Jakie korzyści niesie konfiguracja reguły 80/20?

Jak można szybko zauważyć w przypadku naszej konfiguracji cała reguła wymaga od nas poprawnej konfiguracji wykluczeń. Podczas działania obu serwerów reguła nie wnosi nic poza drobnym odciążeniem Serwera 1. Sytuacja zaczyna robić się ciekawa gdy awarii ulegnie serwer 1. Wtedy tylko 20% niezarezerwowane adresów może zostać przydzielonych z drugiego DHCP. Jeśli nasza sieć jest duża to 20% adresów bardzo często może pokryć tylko cześć pomieszczeń lub kilka pięter dużego budynku. Na szczęście po awarii lub celowym wyłączeniu serwera administrator może usunąć wykluczenie z drugiego serwera i tym samym udostępnić do dystrybucji wszystkie wolne adresy, które przynależą do skonfigurowanego zakresu. Jeśli serwer 1 zacznie znowu funkcjonować to administrator musi ponownie nałożyć nowe wykluczenie na drugim serwerze.

Dlaczego cały czas mówisz o niezarezerwowany adresach, co z rezerwacjami?

W przypadku rezerwacji administrator jest zmuszony do utrzymania identycznych rezerwacji na obu serwerach. Tak jak pisałem w poprzednim wpisie o wykluczeniach, serwer DHCP na systemie Windows może rozdawać zarezerwowane adresy, które leżą w wykluczonej części. Tak więc administrator jest zmuszony to utrzymania spójnej listy rezerwacji. Dobrze jest napisać odpowiedni skrypt do tworzenia rezerwacji na obu serwerach.

Kiedy nie trzeba usuwać wykluczenia?

Jeśli w naszym zakresie mamy 200 adresów a mniej niż czterdzieści jest przydzielanych bez rezerwacji to wtedy nie ma potrzeby usuwania wykluczenia.

Czy muszę ręcznie usuwać wykluczenia?

Nie. Jeśli potrafisz napisać proste skrypty to np. za pomocą batch-a, vbscript-a, powershell-a da się napisać proste skrypty uruchamiane w harmonogramie zadań. Działanie skryptu ogranicza się do:

• Sprawdzenia czy serwer jest dostępny:
• Jeśli dodatkowy serwer jest niedostępny to usuwamy wykluczenie.
• Jeśli serwer jest dostępny to nakładamy wykluczenie na nadmiarowe adresy.

Jak skonfigurować serwery?

1. Instalujemy na dwóch serwerach usługę DHCP
2. Konfigurujemy na obu serwerach ten sam zakres adresów oraz niezbędne opcje
3. Na pierwszym serwerze wykluczamy 20% końcowych adresów
4. Na drugim serwerze wykluczamy 80% początkowych adresów.
5. W razie potrzeby na obu serwerach wpisujemy te same rezerwacje.

Skonfigurować klaster usługi DHCP czy wykorzystać regułę 80/20?

To zależy:>

Jeśli masz już w sieci zainstalowany klaster typu Failover i nie jest on zbyt mocno obciążony to można na nim skonfigurować usługę DHCP, która domyślnie będzie przetwarzana przez aktualnie niewykorzystywany węzeł.  Jeśli nie posiadasz w sieci serwerów działających w klastrze FO to bardziej opłacalna będzie konfiguracja reguły 80/20. Usługa DHCP nie obciąża zbyt mocno systemu więc można ją uruchomić nawet na małej maszynie wirtualnej. Dodatkowo reguła 80/20 nie wymaga posiadania dostawowej przestrzeni dyskowej na kolejnym serwerze.

Piątego maja na serwerach root zostanie dokonana zmiana protokołu DNS na DNSSec [Źródło]. Jeśli ktoś posiada w swojej infrastrukturze Windows Server 2003, to rezultat testów obsługi pakietów większych niż 512 bajtów (nslookup -q=txt rs.dns-oarc.net.) może wyglądać  tak:

Włączenie wsparcia większych pakietów jest dość proste i odbywa się za pomocą komendy:

dnscmd NazwaServera /config /EnableEdnsProbes 1

Po odświeżeniu konfiguracji serwera DNS, około 30-40 sec, powinniśmy dostać lepsze wyniki:

Jeśli mimo zmian w konfiguracji usługi DNS nadal otrzymujemy pakiety nie większe niż 512 bajtów, to należy sprawdzić czy nasza zapora nie odcina większych pakietów.

Sytuacja dość prosta i czasem spotykana w różnych organizacjach.

• Mamy sobie sieć:10.10.0.0/16.
• Tworzymy na serwerze DHCP zakres dystrybucji adresów (Scope) 10.10.1.0-10.10.3.254.
• Na ten zakres narzucamy wykluczenie 10.10.1.0-10.10.3.254.
• Do bazy DHCP dodajemy kolejne rezerwacje dla odpowiednich hostów.
• I mamy usługę, która rozdaje adresy tylko dla osób z odpowiednim adresem MAC.

Aby rozwiać wątpliwości niektórych osób, rezerwacje są ważniejsze od wykluczeń. Informacje o tym fakcie można znaleźć w KB196066. Tak, wiem parę osób zaraz zarzuci mi informacją, że przecież w Windows Server 2008 R2 nie można dodawać rezerwacji spoza zakresu KB2005980. Na szczęście dodawanie rezerwacji z poza zakresu nie oznacza dodawania rezerwacji z przestrzeni, która została wycięta poprzez wykluczenie.

W skrócie, od Windows Server 2008 R2 nie można dodać rezerwacji adresu 10.10.0.10 do bazy serwera DHCP, jednak dodanie rezerwacji dla 10.10.2.100 jest możliwe.

Nie lubię diagnozować problemów z replikacją. Zazwyczaj problemy te są proste do zidentyfikowania i poprawienia, jednak czasem człowiek wyrywa sobie włosy z głowy.

W jednej z domen, którą zarządzam mam mieszane środowisko Wind2k3 i Win 2k. Zazwyczaj wszystko pięknie chodzi, co często usypia moją czujność i pozwala mi zapomnieć o niektórych maszynach na długi czas ( czasem w końcu trzeba wgrać poprawki). Po ostatnich przenosinach, podmiankach, wymianach, readresacjach…, które odbyły się o dziwo bez problemu od pewnego czasu w logach pojawiały się Eventy 1311, 1566. Osoby zajmujące się Active Directory stwierdź – haha standardowe problemy How to troubleshoot intra-site replication failures. No i wszystko fajnie przeszedłem całą standardową procedurę omijając kroki, które mnie nie dotyczą, czyli ogólnie: repadmin …, net stop lsass …, netdom resetpwd …, net start lsass. Po restarcie wszystko działa jak poprzednio , replikacja nadal Access Denied. Wireshark mówi, że kontrolery się komunikują jednak DC wyraźnie stwierdza ze KCC nie może zbudować topologii replikacji.  Repadmin stwierdza, że wszystko spięte, połączenia istnieją, itd.  Jak się okazało rozwiązaniem problemu była aplikacja łatki Q819249.

In Windows 2000, the Knowledge Consistency Checker (KCC) uses the Intersite Messaging service to help it build the spanning tree topology for Microsoft Active Directory directory service replication. In a very small percentage of cases, Intersite Messaging may not complete building the hash table that it passes to the KCC. When the KCC uses this hash table in its calculations, this may generate the KCC logging event ID 1311 in the Directory Services event log.
This problem typically occurs in environments with large numbers of sites, domain controllers, and domains.

W sumie niewiele brakło a zadałbym pytanie na WSS. Jednak stwierdziłem, że skoro od pewnego czasu interesuję się AD to trzeba sobie z problemami radzić samemu <taniec szczęścia>.

Cztery lata używania systemów innych niż Windows odbijają dość mocne znamię Szczególnie gdy ktoś przez spory okres czasu bardziej zaprzyjaźniał się z konsolą niż z X-ami. Mimo iż od około trzech lat cały czas zaprzyjaźniam się z “oknami” to nadal zdarza mi się korzystać z wiersza poleceń.

Tak, w systemach Windows jest coś takiego jak wiersz poleceń. Microsoft wypuszczał i wypuszcza masę narzędzi ułatwiających pracę w konsoli. Cześć z tych narzędzi nie jest domyślnie instalowana w systemie dlatego wiele osób nie wie o ich istnieniu.

Ostatnimi czasy spotkałem się z kilkoma pytaniami od studentów i znajomych, które dotyczyły  odpowiednika unixowej komendy tail. W przypadku systemów Windows Server do 2003 i systemów klienckich do Windows XP sprawa była dość prosta. Wystarczyło pobrać  Windows Resource Kit Tools. Po zainstalowaniu i uaktualnieniu ścieżki Path o odpowiednie wpisy można było korzystać z komendy tail.

Jedynym minusem tej komendy jest brak możliwości definiowania ilości wierszy, które mają zostać wyświetlone.  Opcja –f działa bardzo dobrze i poprawnie wyświetla informacje dopisywane do pliku.

A co z Windows Server 2008, Vista i 7?

W tych systemach te same czynności możemy wykonać za pomocą powłoki Powershell.

Odpowiednikiem komendy tail –f nazwa_pliku jest Get-Content nazwa_pliku –wait.

Co ciekawe da się też wyświetlać określoną ilość linii: Get-Content nazwa_pliku | select -last 2.

Jak widać osoby które lubią konsole wcale nie mogą narzekać na brak poleceń i możliwości jej wykorzystania. Owszem bazowy asortyment poleceń nie jest duży jednak można go rozszerzyć za pomocą dodatkowych paczek, powłok i programików z rożnych stron.

Czasem zdarza się, że podczas próby usunięcia lub skopiowania pliku, katalogu  pojawia się komunikat:

W Internecie jest dostępna masa programów, które potrafią usunąć taki problem w przeciągu kilku minut. Niestety większość z nich musi zostać zainstalowana na naszym komputerze i czasem wymaga restartu systemu:( Tymczasem z strony Sysinterlnals możemy pobrać sobie darmowe narzędzie Process Explorer, które ma masę ciekawych funkcji (taki zaawansowany menadżer zadań).  Jedną z ciekawszych funkcji jest wyszukiwanie procesów, które wykorzystują nasz plik lub katalog:) Pod spodem prosty sposób odblokowania pliku, który jest aktualnie zablokowany przed usunięciem lub kopiowaniem.

Małe HowTo:

1. Z komunikatu, który został pokazany wyżej zapisujemy sobie nazwę pliku lub katalogu, którego nie możemy zmienić. W naszym przypadku jest to folder Plik.
2. Uruchamiamy Process Explorer.
3. Przed rozpoczęciem pracy warto sobie włączyć dolny panel (Ctrl+L lub View->Show Lower Panel).
4. Z górnego menu wybieramy Find –> Find Handle or DLL… (lub szybciej Ctrl+F).

   
    

5. W nowo otwartym oknie wpisujemy nazwę szukanego pliku (1) lub katalogu, klikamy Search (2) i w liście wyszukujemy proces, który wykorzystuje nasz plik lub jeden z plików w naszym folderze (3).

   

6. Następnie klikamy dwukrotnie na dany proces i wracamy do okna Process Explorera. W tym momencie możemy albo zamknąć nasz wskaźnik do katalogu czy pliku (1) albo po prostu zamknąć odpowiedni program ( w naszym przypadku notepad).

   

7. Po odblokowaniu naszego pliku lub folderu możemy go spokojnie usunąć.

Z tego co mi wiadomo to Processor \%Processor Time przyjmuje wartości dodatnie. Jednak dziś podczas aktualizacji serwerów system monitorujący pokazał ciekawy wykres:

W sumie nie wiem czy był to błąd sieciowy czy może dziwne przekłamanie programu monitorującego lub systemu.

O tym, że w systemach Windows istnieje Pomoc Zdalna wie chyba każdy. W większości przypadków mylnie zakłada się, że pomoc zdalna musi być zainicjowana przez użytkownika poprzez wysłanie zaproszenia. Przez to błędne stwierdzenie część Administratorów po prostu rezygnuje z funkcji Pomocy zdalnej. Twierdzą oni, że wytłumaczenie użytkownikowi gdzie klikać jest zbyt czasochłonną i zbyt częstą czynnością. Jeśli w organizacji zdarzy ci się mieć niereformowalne jednostki możesz wykorzystać mechanizm “Oferty pomocy zdalnej”.

Klasyczny przypadek rozwiązywania problemu:

1. Użytkownik dzwoni do administratora lub HelpDesku z problemem
2. Jeśli problemu nie udaje się rozwiązać za pomocą zwykłej rozmowy administrator prosi użytkownika o wygenerowanie pliku pomocy zdalnej.
3. Użytkownik generuje i wysyła plik pomocy
4. Administrator odbiera zaproszenie
5. Wspólnie naprawiają problem
6. Jeśli problem uda się rozwiązać administrator rozłącza się i wraca do swoich obowiązków

Przypadek rozwiązywania problemu poprzez oferowanie pomocy zdalnej:

1. Użytkownik dzwoni do administratora lub HelpDesku z problemem
2. Jeśli problemu nie udaje się rozwiązać za pomocą zwykłej rozmowy administrator wysyła ofert pomocy do użytkownika ( wymagana nazwa komputer i login użytkownika)
3. Użytkownik przyjmuje ofertę pomocy
4. Wspólnie naprawiają problem
5. Jeśli problem uda się rozwiązać administrator rozłącza się i wraca do swoich obowiązków

Niby druga metoda jest krótsza o jedne podpunkt, jednak kto korzystał z pomocy zdalnej ten wie, że punkt trzeci  z pierwszej sytuacji wcale nie jest taki prosty w realizacji:)

Konfiguracja.

Jeśli chodzi o stacje klienckie to konfiguracja odbywa się poprzez utworzenie odpowiedniej polityki, która zostanie na nie nadana. W skrócie:

• Włączamy pomoc zdalną
• Deklarujemy użytkowników, którzy takiej pomocy mogą udzielić

Na sam koniec na pulpicie swojego komputera tworzymy sobie skrót, który odwołuje się do linku podanego poniżej. Za pomocą tego skrótu będziemy oferowali pomoc zdalną.

%windir%\explorer.exe "hcp://CN=Microsoft%20Corporation,L=Redmond,S=Washington,C=US/Remote%20Assistance/Escalation/Unsolicited/Unsolicitedrcui.htm"

Edit: Link przydatny w systemach Windows XP i 2003

Wywołanie

Po odświeżeniu zasad na stacjach końcowych możemy zapomnieć o problemie generowania zaproszeń pomocy zdalnej. Podczas rozwiązywania kolejnego problemu po prostu:

1. Klikamy w skrót, który sobie utworzyliśmy na pulpicie
2. Następnie w nowym oknie wpisujemy adres lub nazwę komputera z którym chcemy się połączyć. Jeśli korzystamy z programu BGinfo to użytkownik ma nazwę swojego komputera wypisaną na pulpicie.
3. Po wpisaniu nazwy klikamy połącz
4. Jeśli połączenie się udało wybieramy użytkownika, który ma problem. i klikamy dołącz
5. Telefonicznie prosimy o zatwierdzenie naszej oferty
6. Pomagamy rozwiązać problem

Oj spędziłem trochę czasu nad rozwiązaniem dość ciekawego problemu:)

Bawię się właśnie usługami klastrowymi na Win2k8:) Postanowiłem do konfiguracji klastrowanego serwera plików użyć konsoli FCM, którą mam na kontrolerze domeny (graficzny inteface). Wszystko szło pięknie do czasu udostępnienia udziału sieciowego:( Okazuje się, że Konfiguracja udziału za pomocą klastra wymaga uruchomienia na węźle usługi VDS (Virtual Disk Service). Jak napisali tak zrobiłem:

sc config vds start= auto
net start vds

Ponowna próba konfiguracji udziału, zakończyła się fiaskiem Tak, wiem domyślnie zapora broni przed dostępem zdalny:) Szybkie dodanie reguły na węzłach:

netsh advfirewall firewall set rule group="Remote Volume Management" new enable=yes

Ponowna próba zakończyła się fiaskiem Szybkie sprawdzenie czy aby przez przypadek wyjątek nie jest ustawiony tylko dla profilu domenowego:

netsh advfirewall firewall show rule name=all

Wynik:

Jak widać wszystko jest w najlepszym porządku:) A połączenia jak nie było tak nie ma. Po kilku minutach czy może godzinach spędzonych na stronie Microsoftu udało mi się rozwiązać problem

Aby skorzystać z zdalnego dostępu do zasobów na obu systemach (źródło, cel) musi być dodana do zapory grupa reguł “Remote Volume Managment”.

Drobna poprawka na kontrolerze i mamy połączenie.

Jak można zobaczyć na jedynym zrzucie ekranu:) Komunikacja odbywa się poprzez TCP a mimo to wymagane jest obustronne otwarcie, o czym ja zapomniałem