Archiv podle štítků: Microsoft

Replikace v Active Directory

Vložil v 10.7.2011 Žádné komentáře

Seznam možných typů replikací, které jsou v AD možné:

  • Intrasite Replication
  • Intersite Replication
  • Urgent Replication
  • Intersite Change Notification Replication
  • Reciprocal Replication
  • Immediate Replication
  • Manual Replication
Intrasite Replication

Tento typ replikace se provádí mezi jednotlivými DC umístěné v jedné síti (AD Site). Pokud se na jednom DC změní AD, DC po 15 vteřinách od změny v AD, oznámí informaci o změně svým replikačním partnerům (15 vteřin je tam pro snížení zátěže sítě, aby při každé změně AD DC neoznamovalo změny). Pokud zdrojový DC má více než jednoho replikačního partnera, posílá notifikace na ostatní servery s 3 vteřinovým zpožděním (3 vteřinový internal zabraňuje simultání požadavky na update od replikačních partnerů). Poté co DC dostanou informace o změně, vyžádají si od zdrojového DC změny (Pull replication). Pokud nenastane žádná změna, provede se replikace dle definice v scheduleru.image

Pokud potřebujete změnit 15 vteřinový limit (v 99% případu věřím že se tohle měnit nepotřebuje), lze to nastavit na každém DC zvlášť přes registrový klíč:

Path:  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Key:   Replicator notify pause between DSAs (secs)
Value: REG_DWORD

KB o změně replikačního intervalu: http://support.microsoft.com/kb/214678

Intersite Replication

Tato replikace se provádí mezi jednotlivými sítěmi AD. Replikace změn se řídí pomocí scheduleru. Nejkratší možný interval pro replikaci je 15 minut a nejdelší 1x týdně. Navíc je možné omezit replikaci na určitou denní dobu.

Urgent Replication

Urgetní replikace je replikace, která je vykonána bez čekání 15 vteřin. Replikační partneři jsou okamžitě informování o změně. Tato replikace se defaultně provádí uvnitř jedné AD sítě, jestliže potřebujete zapnout změnu i mezi AD sítěmi je to možné před ADSIEDIT (této replikaci mezi sítěmi se říká Intersite Change Notification Replication)

ADSIEDIT.MSC ?> Configuration ?> Sites ?> Inter-Site Transports ?> vybrat správný siteLink a v něm změnit vlastnost Option na 1

image

http://technet.microsoft.com/en-us/library/bb727062.aspx#E0PC0AA

Využití:

  • Assigning an account lockout, which a domain controller performs to prohibit a user from logging on after a certain number of failed attempts.
  • Changing a Local Security Authority (LSA) secret, which is a secure form in which private data is stored by the LSA (for example, the password for a trust relationship).
  • Changing the password on a domain controller computer account.
  • Changing the relative identifier (known as a ?RID?) master role owner, which is the single domain controller in a domain that assigns relative identifiers to all domain controllers in that domain.
  • Changing the account lockout policy.
  • Changing the domain password policy.

http://technet.microsoft.com/en-us/library/cc772726(WS.10).aspx


Reciprocal Replication

Pokud máte k DC on-demand připojení, které není trvalé, můžete použít tento typ replikace. Tato replikace se snaží maximalizovat efektivitu replikace a snížit čas replikace na minimum. Nastavit se dá opět přes ADSIEDIT.

ADSIEDIT.MSC ?> Configuration ?> Sites ?> Inter-Site Transports ?> vybrat správný siteLink a v něm změnit vlastnost Option na 2

Immediate Replication

Při změně hesla účtu na DC, se DC snaží okamžitě replikovat změnu na PDC. Tato změna je okamžitá bez čekání na replikační interval. Další replikace z PDC na ostatní DC v doméně je prováděna již standardně v replikačních intervalech.

Pokud se uživatel snaží přihlásit a DC nemá ještě se synchronizované nové heslo, DC kontaktuje PDC zda nebylo změněno heslo. Pokud bylo a heslo je správné, uživatel je úspěšně přihlášen.

Manual Replication

Tuto replikaci spouští admin :)

Hyper-V, CSV, DC

Vložil v 14.6.2011 Žádné komentáře

Známý problém s DC a CSV. Vytvořil jsem skript, který pokud máte DC na vlastním LUNU řídí náběh Clusteru a tím umožní mít ostatní servery na CSV.

  1. Nastavte cluster službu na všech nodech na Manual
  2. Nastavte v task scheduleru spuštění skritpu po startu OS
  3. Je to beta verze, ale zatím jsem nenarazil na problém :-) Pokud někdo narazíte tak napište.

PS: ne vše funguje v praxi tak jak si myslime :( 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45

#
#
# DESCRIPTION: SET CLUSTER SERVICES ON MANUAL AND THEN SET SCRIPT TO AUTOMATIC START AFTER BOOT (TASK SCHEDULER)
# Weis Michal 2011(c) v0.2
#
 
# --- NAME DOMAIN CONTROLLER SERVER
$strDCName = "Virtual Machine DC"
 
Import-Module FailoverClusters
 
# --- START CLUSTER SERVICE
Net start clussvc /ips
Start-Cluster
 
# --- GET ALL VM WHERE VM ARE OFFLINE AND AUTOSTART IS SET TO ON
$objVM = get-ClusterResource | where {$_.ResourceType -like "Virtual Machine"} | forEach {get-clustergroup $_.ownergroup.toString() | where {$_.priority -eq 1}}
 
# --- GET ALL ONLINE VM
$objOfflineVM = $objVM | where {$_.state -eq "Online"}
 
# --- IF ALL VM ARE OFFLINE THEN
If (!$objOfflineVM) {
	# --- START DC
	start-clusterResource $strDCName
 
	# --- WAIT TO START DC
	$objPath = "False"
	$strPath = "\\" + $env:USERDNSDOMAIN + "\netlogon"
	While ($objPath.ToString() -eq "False") {
		$objPath = test-path $strPath
		write-host $objpath
		[Threading.Thread]::Sleep(5000)
	}
 
	# --- START CLUSTER AND CSV
	[Threading.Thread]::Sleep(5000)
	Start-ClusterResource "Cluster Name"
	Get-ClusterSharedVolume | Start-ClusterResource
 
	# --- START OTHER VM
	ForEach ($vm in $objVM) {
		Start-ClusterGroup $vm
	}
}

Disable Welcome Screen IE8

Vložil v 1.5.2011 Žádné komentáře

Občas se to hodí třeba na CTX farmě.

HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main

Value Name

Data

Type

IE8RunOnceLastShown

1

REG_DWORD

IE8RunOncePerInstallCompleted

1

REG_DWORD

IE8RunOnceCompletionTime

(empty)

REG_BINARY

IE8TourShown

1

REG_DWORD

IE8TourShownTime

(empty)

REG_BINARY

IE8RunOnceLastShown_TIMESTAMP

(empty)

REG_BINARY

Oblíbil jsem si nastavovat registry přes GPO Preferences :-)

HURAAA Microsoft iSCSI Software Target 3.3 FREE !!!

Vložil v 5.4.2011 Žádné komentáře

http://blogs.technet.com/b/virtualization/archive/2011/04/04/free-microsoft-iscsi-target.aspx

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=45105d7f-8c6c-4666-a305-c8189062a0d0

Nefunkční CHM ze sítového disku

Vložil v 31.1.2011 Žádné komentáře

Je nutné nastavit v registrech následující hodnoty:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
MaxAllowedZone=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
MaxAllowedZone=dword:00000002

NTFRS backup/restore flags

Vložil v 23.12.2010 Žádné komentáře

Pár odkazů na řešení problému s NTFRS:

http://support.microsoft.com/kb/290762
http://support.microsoft.com/kb/315457/

TMG 2010 a VPN uživatelé z trust domény

Vložil v 20.12.2010 Žádné komentáře

Defaultně nefukční :) Je nutné pustit skript z http://support.microsoft.com/kb/955113 a restartovat.

PS: Nakonec jsem musel začít ověřovat pomocí RADIUS serveru, který je mimo TMG 2010. Bohužel v NPS serveru v nastavení potřebuji mít zašktrnuté „Ignore user account dial-in properties“ a TMG si to automaticky vypíná.

RDP SSL Windows 2008 R2 Windows 7

Vložil v 16.12.2010 9 Komentáře

Velký problém, na který jsem zatím nikde nenašel řešení. Vystavíte si na vnitřní CA certifikát pro SSL na RDP. Bohužel pokud se zkusíte připojit s Windows 7, dostane chybu:

A revocation check could not be performed for the certificate

Tak alespoň, jak to lze obejít Mrkající veselý obličej. Na klientech je nutné přidat root certifikát do úložiště lokálního počítače ne do úložiště uživatele, toto je nutné samozřejmě udělat vždy. A pro přeskočení kontroly odvolání certifikátu přidejte na klientech do registrů záznam:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Credssp
REG_DWORD UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
VALUE 1

Pojďme používat Citrix Veselý obličej s otevřenými ústy

RDWeb across domain

Vložil v 15.12.2010 Žádné komentáře

Pokud máte nastavený trust a přihlašují se uživatelé z jedné domény na TS Web do druhé domény, nastane problém se zobrazením aplikací. Respektivě aplikace se nezobrazí Mrkající veselý obličej

Oprava: Přidejte do souboru nastavení IIS c:\windows\web\RDWeb\web.config řádek. Sice nemůžete řídit co se komu zobrazí, ale aspon se to zobrazí.

<add key=“PointsToTSDisableAppFiltering“ value=“true“ />

<appSettings>
   <!-- CPub_RPCPort: RPC port on which RD Connection Broker service is listening. ?>
   <add key="DefaultCentralPublishingPort" value="5504" />
   <!-- Using RDWebAccess config : Removing this setting will not show the configuration tab. ?>
   <add key="RDWebAccessConfigPath" value="%WINDIR%\Web\RDWeb\App_Data\RDWebAccess.Config" />
   <add key="PointsToTSDisableAppFiltering" value="true" />
</appSettings>

Forefront ADM (NOMOM:-)

Vložil v 19.11.2010 Žádné komentáře

Pokud nechcete instalovat celou uzuruchu ohledně Microsoft Forefront Client Security (MOM …) a přesto chcete alespoň nákým způsobem řídit nastavení klientů, lze to udělat přes „nadšenci“ vytvořený ADM. Samozřejmě to nepřináší žádný reporting ani nic podpobného, ale alespon nemusíte s nastavením obcházet všechny stroje.

Download ADM: http://www.sd61.bc.ca/windows2000/downloads/Forefront.adm.doc
Source: http://social.technet.microsoft.com/Forums/en-US/Forefrontclientgeneral/thread/8574ed97-b84d-4b0a-ae9e-d4985ed7217f/

Better Tag Cloud