Hyper-V Authentication Certificate issue

Hyper-V foloseste un certificat auto generat pentru conexiunile la consola masinii virtuale. Dar acel certificat expira dupa un an si exista cazuri in care acel certificat nu se reinnoieste automat.

Log Name:      Microsoft-Windows-Hyper-V-VMMS-Admin
Source:        Microsoft-Windows-Hyper-V-VMMS
Event ID:      12510
Task Category: None
Level:         Warning
User:          SYSTEM
Description:  The certificate used for server authentication will expire within 30 days. Remote access to virtual machines will not be possible after the certificate expires. Please renew or recreate the certificate.

Exista si un hotfix descris aici:

http://support.microsoft.com/kb/967902

Si mai exista si cazul in care chiar daca ati facut renew la certificat tot nu va puteti conecta la consola masinilor virtuale:

http://support.microsoft.com/kb/2413735

Pentru a face renew urmati urmatoarea procedura:

1. Click Start, Run, mmc

2. Add/Remove Snap-in

3. Click Certificates, click Add

4. Click Service Account, Next

5. Click Local Computer, Next

6. Click Hyper-V Virtual Machine Management, Finish, Ok.

7. Go to Certificates – Service\Vmms\Personal – Certificates

8. Delete the expired certificate or the one that is about to expire.

9. Restart the Hyper-V Virtual Machine Management service.

10. Check if a new certificate was created and if the console connections to the VMs works.

 

Modul de functionare este descris in articolul Configuring Certificates for Virtual Machine Connection

When VMMS starts, Hyper-V searches for an existing, valid certificate to prepare for future communication requests. If one is not found, Hyper-V generates a self-signed certificate in the VMMS certificate store. The search for a certificate occurs as follows:

1. First, Hyper-V checks the registry for the thumbprint value of a certificate, under \HKLM\Software\Microsoft\Windows NT\CurrentVersion\Virtualization\AuthCertificateHash. Hyper-V uses this value to try to locate a matching certificate.
2. If no matching, valid certificate is found, Hyper-V checks the certificate store of the computer.
3. If no valid certificate is found in the certificate store of the computer, Hyper-V checks the VMMS certificate store, under Hyper-V Virtual Machine Management Service (VMMS).
4. If the VMMS certificate store does not contain a certificate that is valid for use with Hyper-V, VMMS generates a self-signed certificate in its service certificate store.

The new swap file in Windows 8

Cam in toate versiunile de Windows am fost obisnuiti cu fisierul de paging (pagefile.sys) si stim care este rolul lui. Si bineinteles ca foloseam si termenul swap cu acelasi scop. Dar mai nou in Windows 8 a mai aparut un fisier numit swapfile.sys, deci acum se face o distinctie clara intre fisierul de paging si cel de swaping.

Noul fisier are o dimensiune de 256Mb si este folosit pentru a face swap din RAM pe disk la aplicatiile Metro. Noul fisier este optimizat pentru a muta rapid din RAM pe disk intreg working setul unei aplicatii si invers, iar asta e probabil motivul pentru care au ales sa foloseasca un alt fisier. Un exemplu ar fi cand faci switch la alta aplicatie in Metro si sistemul trebuie sa faca “loc” pentru alte aplicatii, iar mai tarziu vrei sa revii la aplicatia initiala. Un fel de hibernate pentru aplicatii …

More details here: http://blogs.technet.com/b/askperf/archive/2012/10/28/windows-8-windows-server-2012-the-new-swap-file.aspx

Exchange 2013 Setup–First Look

Manat de curiozitate m-am apucat sa instalez Exchange 2013. Cum inca nu poate fi integrat in infrastructurile ce au deja alta versiune de Exchange, locul lui deocamdata este in laborator si ca scenariu am ales sa instalez toate rolurile pe acelasi sistem ce este si domain controller.

Am folosit un VM cu 4 vCPU si 4Gb de RAM. In specificatii minimul este de 8Gb insa pentru laborator merge si cu 4.

Daca instalati pe Windows Server 2012 o sa aveti nevoie sa instalati urmatoarele:

Microsoft Unified Communications Managed API 4.0, Core Runtime 64-bit

Microsoft Office 2010 Filter Pack 64 bit
Microsoft Office 2010 Filter Pack SP1 64 bit

Celelalte prerechizite necesare sunt instalate automat de setup.

Dupa cum se vede si mai jos in Exchange 2013 nu mai sunt decat 2 roluri – Mailbox si CAS.

 

Si cum Forefront Protection pentru Exchange nu o sa mai existe, anumite functionalitati basic de malware scan au fost introduse in Exchange.

Acum sa nu cautati Exchange Management Console, pentru ca nu mai exista. Noua interfata de administrare este web based si se numeste Exchange Admin Center aka ECP.

Nu incercati sa accesati noul ECP folosind adresa IP sau localhost. Folositi numele serverului sau FQDN, altfel nu veti reusi sa il deschideti.

Si cam atat de la prima intalnire cu Exchange 2013. Alte detalii later.

Exchange 2013 si coexistenta cu Exchange 2007 & 2010

Unii dintre noi deja s-au apucat sa studieze Exchange 2013 si deja se gandesc la scenarii de migrare/upgrade de la versiunile 2007 si 2010.

Ei bine, trebuie sa luati o pauza. Macar pana cand apar urmatoarele service packuri pentru Exchange 2007 (SP4) si 2010 (SP3). Si asta pentru ca in momentul de fata, coexistenta cu Exchange 2007 si 2010 nu este posibila. Nu merge sa instalati Exchange 2013 in acelasi forest in care sunt instalate celelalte versiuni.

Coexistence with Exchange 2007 and Exchange 2010

——————————————————————————–

Coexistence with Exchange 2007 and Exchange 2010   Exchange 2013 can’t be installed in the same Active Directory forest as Exchange 2007 or Exchange 2010. Use an Active Directory forest with no prior installations of Exchange 2007 or Exchange 2010. Coexistence with Exchange 2007 and Exchange 2010 will be available at a later date.

CautionCaution:

You can’t install Exchange 2007 or Exchange 2010 in a forest that’s been prepared for Exchange 2013 but hasn’t been prepared for Exchange 2007 or Exchange 2010. If you want to install Exchange 2007 or Exchange 2010 in a forest, do not prepare that forest for Exchange 2013. 

http://technet.microsoft.com/en-us/library/jj150489(v=exchg.150).aspx

Deci singura varianta este sa asteptam sa apara acele service packuri ce vor permite coexistenta acestor produse.

Debugging: The 9 Indispensable Rules for Finding Even the Most Elusive Software and Hardware Problems

Asta este o carte pe care o recomand pentru oricine lucreaza in IT. Fie ca esti programator, sysadmin sau net admin, informatiile de aici iti vor fi de folos.

Si chiar daca esti la un nivel de senior si multe din regulile prezentate le-ai invatat din experienta, tot o sa mai gasesti cateva hint-uri utile si informatie structurata in asa fel incat sa o poti transfera celor care sunt noi in acest domeniu.

Iar pentru rolurile de “support” as spune ca cititul acestei carti e obligatoriu.

PS: Imi pare rau ca am descoperit cartea asta atat de tarziu.

User Account Control (UAC) and the Built-in Administrator account

UAC si contul de Administrator built-in e o chestie ce mi-a scapat si e momentul sa o postez si aici.

De multe ori perceptia despre UAC e diferita atunci cand lucram intr-un mediu de test (laborator virtual de exemplu) si un mediu productiv. De ce? Pentru ca in mediul de test folosim de cele mai multe ori contul Administrator built-in.

Iar acest cont e putin diferit atunci cand vine vorba de UAC. Mai bine zis nu e efectat de UAC.

Dupa cum se poate vedea din GPO sau Local Security Policy, exista setarea Admin Approval Mode for the Built-In Administrator account care by default este disabled.

Daca am pune setarea pe Enabled atunci si contul Administrator ar fi afectat de UAC si am primi prompturi de aproval pentru majoritatea operatiunilor ce implica modificarea configuratie systemului sau accesul la zone/tool-uri mai “sensibile”.

Deci cand sariti dintr-un laborator virtual intr-un mediu productiv si brusc va treziti cu ferestre de approval, atunci asta e motivul.

Sleep shortcut in Windows 8

Meniul de shutdown in Windows 8 e un adevarat chin. Pentru shutdown bineinteles ca se poate folosi comanda shutdown, insa ce facem daca vrem sa punem computerul in sleep.

Ne folosim tot de un shortcut, folosind urmatoarea comanda:

Rundll32.exe Powrprof.dll,SetSuspendState Sleep

Nota: Am mai vazut derivatii ale acestei comenzi folosind exact sintaxa functiei SetSuspendState – http://msdn.microsoft.com/en-us/library/windows/desktop/aa373201(v=vs.85).aspx insa cu acelasi rezultat.

Partea tricky este ca daca hybernate e activat atunci systemul o sa treaca in modul Hybernate si nu in sleep. Daca vreti ca efectul comenzii sa fie modul sleep atunci e nevoie sa dezactivati hybernate folosind comanda powercfg /h off.

Cum afli cand a fost facut ultima oara backup la Active Directory?

Intrebarea din titlu probabil ca si-a pus-o multa lume, iar un raspuns simplu ar fi sa verifici backup-urile.

Dar pentru scenarii in care vrei sa faci un quick healthcheck mai exista si varianta folosirii comenzii repadmin /showbackup

Nota: Daca doriti sa aflati status-ul de pe fiecare DC din forest sau mai bine zis din toate domeniile din forest puteti rula repadmin /showbackup *.

Comanda verifica atributul dSASignature si afiseaza Invocation ID-ul ultimului domain controller ce a backup-at naming contextul afisat. Din exemplul de mai sus se poate vedea ca ultimul backup a fost facut de la domain controllerul cu Invocation ID-ul f3957a42-0f49-4228-a1bf-f5aba80d8faf.

Nota: Atributul este scris in momentul in care incepe system state backup. El nu garanteaza ca backup-ul a fost facut cu succes.

Ar fi fist parca mai util sa aflam direct numele domain controllerului decat acest invocation id. Oricum il putem afla via repadmin /showsig *

Iar in output cautam campul DSA invocationID.

Sau cu repadmin /showrepl * insa e mai dificil de citit.

Si ca un hint suplimentar, mai exista si Event ID-ul 2089 from NTDS Replication ce avertizeaza daca o partitie nu a fost backup-ata intr-un anumit interval de timp (interval ce merge modificat). Detalii gasiti in link-ul de mai jos:

http://support.microsoft.com/?kbid=914034

Exchange 2010 Update Rollup Install Issues

Incercand sa instalez Exchange 2010 SP2 Update Rollup 4 pe cateva servere am dat de mesajul de mai jos (Setup Wizard for Update Rollup 4 for Exchange Server 2010 (KB982639) ended prematurely):

Nu disperati, se rezolva foarte simplu. E de la UAC, deci ori il dezactivati pe server, ori porniti setup-ul dintr-un command prompt elevat.

Forefront Product Roadmaps

Ca sa clarific o intrebare venita pe forum, pun mai jos lista produselor ce nu vor mai fi continuate de Microsoft:

Forefront Protection 2010 for Exchange Server (FPE)
Forefront Protection 2010 for SharePoint (FPSP)
Forefront Security for Office Communications Server (FSOCS)
Forefront Threat Management Gateway 2010 (TMG)
Forefront Threat Management Gateway Web Protection Services (TMG WPS)

Deci nu va mai exista alta versiune de TMG. Acum nu stiu daca produsul nu a avut succes sau care este motivul, insa dupa mai bine de 10 ani de existanta aveam impresia este un produs foarte raspandit, cu functionalitati unice si cu un ecosistem de parteneri destul de dezvoltat. Poate si feedback-ul prost cules de MS in ultimii ani isi pune amprenta pe deciziile facute de companie.

In schimba UAG va fi continuat, ceea ce mi se pare putin ciudat pentru ca UAG este bazat pe TMG. Dar cel putin pentru scenarii de publishing vom avea in continuare ceva.

Iar decizia legata de Forefront for Exchange a fost bazata pe faptul ca in Exchange 2013 vor fi incluse automat functionalitati antimalware.

PS: Ramane sa vedem cum va evolua UAG-ul.