Si iar despre Run as

Instalam azi un Configuration Manager 2007 R3 și înainte de instalarea produsului trebuie instalate 2 hotfixuri. Problema este că aceste hotfixuri sunt în format .msi și când ești logat cu un alt user decât Administrator de domeniu și ai UAC activat, primești următoarea eroare: ”Please run the installer with elevated privileges”.

Cum .msi-urile nici nu au opțiunea de Run As la click dreapta, putem instala hotfixurile prin două metode (dacă mai știți și altele, lăsați un comentariu):

1. SHIFT+click dreapta, alegeți Run as different user și introduceți userul și parola contului Administrator
    
2. (Dacă contul Administrator este disabled/șters/nu-i știți parola) Deschideți un Command Prompt cu Run as administrator și rulați fișierul .msi de acolo.
    

Unknown Device

Via Florin Radu.

Cum sa faci un router NAT cu Windows Server 2008

Nu e cea mai eficienta solutie sa folosesti un server 2008 doar pentru NAT, dar daca tot il ai poate il poti folosi si pentru asa ceva. Argumente pro/contra sunt o gramada.

In primul rand iti trebuie doua placi de retea. Una conectata la Internet (direct sau indirect printr-un alt router, NAT, conexiune PPPoE) si una conectata in reteaua locala, unde ai sistemele care tipa dupa acces la net.

Tip: redenumiti conexiunile de retea cu nume sugestive (Internet, Local) nu cum am facut eu mai sus.

Adaptorul conectat la internet trebuie sa fie configurat (IP, Gateway, DNS – poate fi si prin DHCP) si net-ul trebuie sa mearga de pe server inainte de a trece mai departe. Pe placa interna se seteaza doar adresa IP locala si subnet mask-ul.

Pasul urmator e de a adauga rolul de Routing and Remote Access.

Dupa instalare, deschidem consola Routing and Remote Access din Administrative Tools.

Click pe Configure …

Aici e o bifurcatie in toata procedura. Daca avem o conexiune directa la Internet mergem pe prima varianta. Daca folosim PPPoE (gen conexiunile la RDS pe care le aveam acasa) atunci o sa fie nevoie sa selectam a doua optiune. Varianta cu PPPoE o sa o descriu intr-un alt articol si o sa prezint acum doar prima varianta.

In caz ca nu avem un server de DNS si DHCP functional in reteaua interna, atunci putem folosi server-ul care va face NAT pe post de DNS/DHCP. Activand optiunea, serverul o sa distribuie adrese IP pe placa interna si o sa forwardeze cererile de DNS catre serverul pe care il are setat pe adaptorul conectat la internet.

Nota: scopul DHCP se poate modifica si mai tarziu din consola RRAS si set pot seta si excluziuni.

Si ne apropiem de final.

Facem un renew de IP pe un sistem intern …

Si uite ca ne putem conecta la Internet.

Nota importanta: Windows Firewall incurca teribil acest setup. By Default Windows Firewall e activat pe toate profilele de retea. Pentru a face serverul de NAT functional e nevoie sa dezactivam Windows Firewall pe profilul la care e conectat adaptorul intern. Si uite asa imi gasesc subiecte pentru un alt articol.

Windows Home Server “Vail” Update

Am mai scris despre noul Home Server insa produsul a suferit ceva schimbari in ultimul timp, cea mai importanta fiind ca MS s-a decis sa renunte la Drive Extender. Ma gandesc ca tehnologia nu era suficient de matura si nu isi mai permiteau sa tina produsul foarte mult timp in Beta. Mai exact codul lor nu era suficient de matur. Motivele date de ei sunt “de marketing”.

De fapt poti sa-ti dai seama singur ca e ceva tehnic in spate pentru ca tehnologia asta a fost scoasa si din alte produse ce erau la “copt”. Comentarii legate de aceasta decizie gasiti pe pagina anuntului:

http://windowsteamblog.com/windows/b/windowshomeserver/archive/2010/11/23/windows-home-server-code-name-vail-update.aspx

Dupa cum observati, toata lumea tipa ca sunt incompetenti si ca asta era feature-ul dorit de public, iar ei ne aburesc ca nu exista cerere pe piata pentru asa ceva.

Oricum nu cred ca prinde sezonul de shopping din perioada sarbatorilor – auzisem ca inca un beta o sa mai apara la anul, plus ca HP-ul renunta sa mai faca appliance-uri cu Home Server.

Asta cu HP-ul cred ca i-a durut rau pe cei de la MS, insa locul HP-ului o sa fie ocupat rapid de producatorii taiwanezi.

Deci Drive Extender a disparut, insa a aparut in schema ceva foarte interesant. Client pentru Mac. (MS se pare ca a realizat ca nu mai sunt singuri pe piata)

Prin acest client, Home Server-ul devine un device destul de util pentru cei ce au acasa si PC-uri si Mac-uri, ajutand la partajarea informatiilor intre platforme si oferind si ceva beneficii pentru utilizatorii Apple (salvarea backup-urilor pe Home Server, accesul la media playerul web based direct din Safari, etc).

PS: auzisem ca merge sa pui si iTunes pe Home Server si sa-l “transformi” in serviciu.

Registry redirection & reflection

In caz ca va intrebati ce inseamna termenii din titlu ii gasiti explicati aici:

http://msdn.microsoft.com/en-us/library/aa384232(VS.85).aspx

http://msdn.microsoft.com/en-us/library/aa384235(VS.85).aspx

http://msdn.microsoft.com/en-us/library/aa384253(VS.85).aspx

http://msdn.microsoft.com/en-us/library/aa384253(VS.85).aspx#redirected__shared__and_reflected_keys_under_wow64

http://msdn.microsoft.com/en-us/library/aa384129(v=VS.85).aspx

De fapt eu ma pornisem sa scriu de la faptul ca in Windows 7 si 2008 R2 nu mai exista zone de registry reflectate ci numai shared si redirectate. Macar au documentat chestia asta.

Daca nu esti dezvoltator, putin probabil sa iti foloseasca informatia de mai sus, insa e bine de stiut ce se afla “under the hood”.

Cum sa customizezi New E-mail Message in Outlook 2010

 

Citeam in comentariile de la unul din articole si am observat ca se cere si asa ceva. Am vazut si solutia descrisa aici si personal mi se pare cea mai eleganta. Singurul dezavantaj e ca nu poti pune continut HTML.

Dar cum customizezi New Mail? Chiar nu s-a gandit MS la asa ceva? De fapt il folosim customizat tot timpul si nu ne dam seama. Semnatura din email, reprezinta customizare pentru toate mailurile noi, nu? Si cum era de asteptat tot pe langa optiunile de semnatura mai gasim cate ceva:

Ok, si cum fac o noua tema? Cam la fel cum a procedat si Vitalie, dar trebuie salvata in %appdata%\Microsoft\Stationery si trebuie salvata ca HTML. Imediat dupa, o sa apara in lista de teme.

Iata si un exemplu:

Nu am imaginatie sa fac ceva mai complicat decat un simplu hello. Prefer mailurile plain text :).

Forefront Endpoint Protection 2010 RC

M-am jucat in weekend cu noua versiunea a antivirusului “corporate” de la Microsoft – Forefront Endpoint Protection 2010 aflat in RC public acum.

Produsul are 3 mari diferente fata de Forefront Client Security:

1. Nu are consola lui proprie
2. Are ca cerinta obligatorie existenta unei infrastructuri de Configuration Manager 2007 SP2 R2 sau R3.
3. Nu mai foloseste MOMul, cel putin eu nu am vazut…

De ce are nevoie de ConfigMgr? Pentru ca au bagat consola antivirusului in el. Crearea si asignarea politicilor se face din consola ConfigMgr-ului.

 

Ca si Forefront Client Security, FEP-ul nu e rocket science de instalat. Cateva next-uri si introducerea unor detalii si atat. Nu am facut capturi de ecran ca sa le pot publica aici dar am documentat pasii in mare parte, vedeti mai jos. Cum am avut nevoie sa testez antivirusul intr-o infrastructura bazata pe Windows Server 2003, pasii de mai jos pot fi putin diferiti pe servere cu Windows Server 2008.\

 

Server1: DC (Windows Server 2003 R2 SP2 x86)

Server2: SQL (Windows Server 2003 R2 SP2 x64)

Server3: ConfigMgr (Windows Server 2003 R2 SP2 x86)

_______________________________________________

1. DC

• Install AD, DNS, DHCP

2. SQL

• Install IIS, sqlncli_x64.msi (http://www.microsoft.com/downloads/en/details.aspx?FamilyID=d09c1d60-a13c-4479-9b91-9e8b9d835cdc) then SQL Server 2005 SP3 x64 with all components (default instance) using SQL service account (SQLSvc)
• Add ConfigMgr service account (ConfigMgrSvc) to local SQL groups and ConfigMgr computer account (CONFIGMGR$) to local Administrators group
• Use sqlprov.exe (c:\Program Files (x86)\Microsoft SQL Server\90\Shared\) to provision SQL and Configmgr service accounts

3. DC

• Extend AD Schema
• Add permissions to ConfigMgr computer account on System container in AD

4. ConfigMgr

• Install IIS, BITS, WebDAV, Report Viewer Redistributable 2008 SP1, WSUS 3.0 SP2, WDS, using ConfigMgr service account.
• Create group policy settings for Windows Updates (use FQDN for server name)
• Install hotfix http://support.microsoft.com/kb/942841
• Install hotfix http://support.microsoft.com/kb/940848
• Install ConfigMgr 2007 SP2 (default roles) using ConfigMgr service account
• Install hotfix http://support.microsoft.com/kb/977384 and create the hotfix package
• Install hotfix http://support.microsoft.com/kb/2271736
• Install ConfigMgr 2007 R3
• Install sqlncli.msi or sqlncli_x64.msi and SQLServer2005_XMO.msi or SQLServer2005_XMO_x64.msi
• Install FEP 2010
• Create desktop and server policy
• Assign policy to collection

Apropo, daca nu puteti sa treceti de pasul cu restartul de la prerechizite, dati un ochi aici.

Cum sa modifici LastLoggedOnUser

Exista cazuri (nu spun care) cand ne logam pe un sistem si vrem sa nu se afle ca am trecut pe acolo. Pentru un profesionist, e greu de ascuns asa ceva, insa un user normal o sa observe doar cea mai vizibila amprenta: fereastra de logon, unde ramane afisat ultimul user care s-a logat.

Solutia intalinita foarte des pe net e cea in care activezi din localpolicy, gpo sau registry optiunea Do not display last user name in logon screen. Mai multe detalii despre cum se activeaza gasiti aici http://support.microsoft.com/kb/310125.

Dar cand userul vede ca trebuie sa introduca din nou username-ul pentru a se loga, nu o sa i se pare dubios? Mie sigur mi s-ar parea.

Solutia testata de mine pe Windows 7 este de a modifica cheia HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastLoggedOnUser cu userul dorit. Puteti pune aici absolut ORICE doriti.

Puteti modifica valoarea chiar si remote, atata timp cat serviciul remoteregistry e pornit.

GINA citeste valoarea direct din registry fara nici un cache, deci se aplica instant. Pe XP e posbil sa fie putin diferit (macar alta cheie de registry), insa nu am avut la indemana azi si nici nu era o prioritate; poate cu alta ocazie.

O noua “provocare” pentru Microsoft – zero-day exploit

Microsoft-ul a primit un “cadou” mai putin dorit inainte de finalul acestui an. Acest nou bug a fost facut public pe data de 24, poate fi exploatat doar local si permite escaladarea de privilegii.

In primul articol publicat s-a presupus ca afecteaza doar Windows 7 (mai multe detalii aici).

Astazi au revenit cu un FAQ (mai multe detalii aici), in care se precizeaza ca afecteaza toate sistemele de operare (incepand cu Windows XP si terminand cu Windows 2008 R2) atat pe 32 biti cat si pe 64 de biti.

Nu vreau sa va rapesc placerea de a citi un articol detaliat care contine un posibil workaround dar si o demonstratie video. Linkul poate fi accesat aici.

Happy reading!

Performance tuning in Vmware Workstation–Memory reservation

Pai se poate face un fel de memory reservation si pe VmWare Workstation, nu numai pe ESX sau ESXi. Ideea mi-a venit sa scriu acest post cand un prieten mi-a povestit ca avea ceva probleme de performanta cu o masina virtuala cu 1.5Gb RAM ruland pe un Ubuntu in Vmware Workstation. Hmm.

Problema la Vmware Workstation e ca ruleaza deasupra unui sistem de operare, care are si el nevoile lui de RAM si procesor. Iar cand OS-ul host nu mai are suficient RAM pentru el sau pentru aplicatiile care ruleaza pe el (poate fi chiar si un web browser) o sa inceapa sa mute pagini din RAM in swap file pentru a face loc proceselor pe care le considera prioritare. E posibil sa mute pagini asociate masinilor mele virtuale din Vmware? Normal.

Va dati seama ce se intampla cand OS-ul host face swap, dupa care mai face swap si OS-ul din interiorul masinii virtuale. O sa mearga prost, foarte prost.

Setarile referitoare la memorie le gasiti in Edit – Preferences:

Ce vedeti mai sus sunt setarile default. Ca sfat v-as sugera sa schimbati pe Fit all virtual machine memory into reserved host RAM.

 

Si sa acordati atentie si valorii Reserved memory. Incercarea de a rezerva foarte mult RAM pentru masinile virtuale poate duce la performante slabe ale OS-ului host, care va trage dupa el si masinile virtuale.

Totusi setarea de mai sus nu e chiar o garantare, pentru ca prioritate va avea intotdeauna OS-ul host, dar poate aduce imbunatatiri de performanta semnificative. Primul efect al setarii ar fi ca nu vei mai putea sa pornesti mai multe masini virtuale decat RAM ai rezervat, ceea ce mi se pare de bun simt.

Celalalt efect si atentie ca asta face diferenta, se refera la memory trimming. La fel ca in ESX si ESXi si Workstation foloseste o serie de “trucuri” pentru a face memory overcommit. Prin memory trimming, Vmware dealoca pagini de memorie nefolosite asociate cu procesele masinilor virtuale si le da inapoi spre folosire OS-ului host. Alocarea si dealocarea asta a memoriei poate face ca performanta masinilor virtuale sa scada considerabil. Setand “Fit all virtual machine memory into reserved host RAM”, memory trimming se dezactiveaza.

Memory trimming mai poate fi dezactivat si setand “MemTrimRate=0” in fisierul de configurare vmx al masinii virtuale sau din GUI:

 

Alte tehnici de memory overcommit ar fi Ballooning si Page Sharing. Sper sa ca in curand sa-mi fac timp sa scrie si despre ele.

PS: sunt sigur ca voi intalni pareri si pro si contra. Feel free to comment.