Audit of Death – Active Directory

31 lipca 2015 at 09:16

Ostatnio w produkcyjnym środowisku Active Directory (Windowsy Server 2012 R2, FFL 2012 R2, DFL 2012 R2), które jest mocno audytowane przydarzyła się ciekawa przypadłość. Serwery zaczęły się restartować w bardzo krótkich interwałach czasu – od kilku do maksymalnie kilkunastu minut. Objawy w EventLogu: The process wininit.exe has initiated the restart of computer DC1 on behalf of user  for the following reason: No title for this reason could be found  Reason Code: 0x50006  Shutdown Type: restart  Comment: The system process ‚C:\Windows\system32\lsass.exe’ terminated unexpectedly with status code -1073740286.  The system will now shut down and restart. Natomiast przy sesji interaktywnej zalogowanemu użytkownikowi wyświetlał się komunikat z informacją o błędzie oraz o tym, że system zostanie zrestartowany w ciągu minuty: Jak naprawić ten problem? Należy pobrać i zainstalować hotfix’a rozwiązującego problem ze strony: https://support.microsoft.com/en-us/kb/2914387 W przypadku, gdy pojawi się informacja o tym, że Hotfix nie jest kompatybilny z wersją systemu – należy zastosować Workaround, który opisywałem już wcześniej. Jeśli powyższy hotfix nie zadziała, to jest również dostępna inna poprawka:  http://www.microsoft.com/pl-pl/download/details.aspx?id=42160 która naprawia samoczynne restarty systemu operacyjnego skutkujące tymi samymi błędami. Tak więc nie zawsze bezpieczne i audytowane środowisko idzie w parze z zachowaniem ciągłości działania… Nie mniej jednak z audytu AD nie należy! Są […]

De-duplikacja danych w Windows 2012 R2

20 kwietnia 2015 at 16:41

Jako, że miejsca na serwerach (macierzach, dyskach…) ciągle brakuje, nie ważne ile by go nie było i tak zawsze jest to za mało Z drugiej strony dodatkowa przestrzeń kosztuje i to niemało jeśli mamy na myśli szybkie dyski SSD, czy replikowane macierze. Z drugiej strony nawet jeśli nie borykamy się z brakiem miejsca – dobrze jest móc wykorzystywać zasoby w sposób optymalny, czyli jeśli się da to „zabierać” 10GB miejsca zamiast 100GB, gdy nie ma takiej konieczności. Ale jak tego dokonać? Można kupić sprzętowy de-duplikator, z tym że jego cena często jest wyższa niż cena dodatkowej przestrzeni i zaczyna się spinać biznesowo dopiero po kilku latach. Sory – taki mamy klimat Pozostaje więc rozejrzeć się za de-duplikacją software’ową – najlepiej taką, która nic nie kosztuje i jest dostępna w systemie operacyjnym – Bingo Wykorzystajmy więc de-duplikację z Windows Server 2012R2. Czego nam potrzeba? Serwera, chwili czasu i chęci. Zaczynamy: 1. Instalujemy rolę de-duplikacji plików:

2. Wskazujemy dysk, na którym chcemy wykonywać de-duplikację danych oraz przeznaczenie zasobu (standardowe zasoby plikowe lub Hyper-V):

3. Określamy wiek plików, które mają podlegać de-duplikacji np (1 dzień):

I zasadniczo trzon konfiguracji został wykonany. Pozostaje nam uruchomić de-duplikację i sprawdzić efekty 4. Uruchomienie […]

Nowości Active Directory – Protected Users

17 marca 2015 at 07:36

W części drugiej mini-cyklu o nowościach w Active Directory na poziomie funkcjonalności Windows Server 2012 R2 przedstawiam funkcjonalność użytkowników chronionych (Protected Users). Zacznijmy od wymagań aby móc skorzystać z tego dobrodziejstwa. Konieczne do spełnienia są następujące warunki: Rozszerzony schemat Active Directory do poziomu Windows Server 2012 R2 (wersja schematu – 69) Kontroler domeny pełniący rolę PDC pod kontrolą Windows’a Server 2012 R2 Plus dwa warunki dodatkowe: Poziom funkcjonalności domeny na poziomie Windows Server 2012 R2 – aby zapewnić pełną ochronę kontrolerów domeny Konieczność logowania na Windows 8.1* lub Windows Server 2012 R2 z uwierzytelnieniem na kontrolerze domeny pracującym pod kontrolą Windows Server 2012 R2 – aby móc w pełni wykorzystać oferowane rozwiązanie po stronie klienta oraz kontrolerów domeny. To tyle z wymagań formalnych – trochę dużo… ale można oczywiście nieco pokombinować i zrobić to w sposób wymagający mniejszego zachodu niż upgrade całego lasu Active Directory. Jako minimum – Rozszerzenie schematu AD, upgrade PDC do Windows 2012 R2 (lub wypromowanie na chwilę nowego kontrolera domeny na Windows 2012R2), transfer PDC na ten kontroler – replikacja danych na pozostałe kontrolery domeny i już mamy funkcjonalność Protected Users. Teraz można powrócić z PDC na wcześniejszy kontroler domeny i mieć nową funkcjonalność (co prawda […]

Aktywacja Windows Server 2012 R2

9 stycznia 2015 at 14:59

W przypadku gdy próba aktywacji nowej maszyny pracującej pod kontrolą systemu operacyjnego Windows Server 2012 R2 kończy się błędem już na etapie wprowadzania klucza licencyjnego: A jesteś pewien, że klucz jest prawidłowy należy wykonać 2 proste czynności: 1. Wprowadzenie klucza z poziomu Powershella poleceniem:

, gdzie znaki ‚X’ reprezentują Twój klucz licencyjny. 2. Wybranie aktywacji telefonicznej z poziomu powershella poleceniem:

Po wykonaniu powyższego klucz zostaje przyjęty i System przechodzi do procedury aktywacji telefonicznej: Takie proste – a takie nieoczywiste…

Disable UAC – Windows 2012 R2

8 stycznia 2015 at 15:25

Krótka porada dotycząca tematu wyłączenia UAC’a w Windows 2012 R2. Okazuje się, że w Windows Server 2012 R2 nie wystarczy jedynie wyłączenie go z GUI i zrestartowanie serwera, jak to miało miejsce w poprzednich wersjach systemu operacyjnego Microsoftu: Ta procedura nie do końca działa… Konieczne jest dodatkowo ustawienie odpowiedniej wartości rejestru odpowiadającego za wyłączenie UAC’a. Można tego dokonać poprzez wykonanie skryptu:

Po restarcie systemu UAC jest dezaktywowany na dobre. Jeśli potrzeba przywrócić UAC wystarczy zmienić wartość z ‚0’ na ‚1’

© Marcin Krzanowicz