K-NET s.c.

Błąd 2221 – mapowanie dysku

Chciałem dzisiaj napisać o problemie z jakim spotkałem się przed kilkoma dniami. Problem dotyczył podłączenia (mapowania) zdalnego udziału sieciowego w domenie Active Directory. Proces kończył się zawsze komunikatem – błąd 2221. Było to o tyle dziwne zachowania, że:

1. Problem dotyczył tylko wybranego użytkownika na wybranej stacji (w tym przypadku laptopie). Zalogowanie się na innym komputerze jako ten sam użytkownik umożliwiało podłączenie wspomnianego udziału.
2. Zalogowanie się z uprawnieniami adminstratora na feralnej stacji powodowało, że ten sam udział można było mapować bez żadnego problemu.
3. Najdziwniejsze zaś było to, że udział nie mapował się przy użyciu nazwy domenowej serwera, zaś jeśli użyłem adresu IP to wszystko działało dobrze, nawet na koncie wspomnianego użytkownika.

Jest to dość subtelny błąd i trudno było znaleźć jednoznaczane rozwiązanie. Niemniej po jakimś czasie okazało się, że kłopot sprawia bufor (cache) przechowywujący lokalnie nazwy użytkownika i związane z nimi hasła. Po jego wyczyszczeniu wszystko wróciło do normy. Poniżej krótki przepis co należy zrobić.

Uruchamiamy Panel sterowania, wybieramy Konta użytkowników a następnie opcję Zarządzaj poświadczeniami. Teraz pozostaje nam odnaleźć nazwę użytkownika (konta) i usunąć poświadczenia zapisane przez system.

Roaming Profile – kopia zapasowa

Domena MS Active Directory umozliwia przechowywanie profilu użytkownika w postaci tzw. Roaming Profile. Oznacza to, że przede wszystkim dane użytkowników mogą byc składowane na serwerze i umieszczone w odpowiednim współdzielonym katalogu. Główną zaletą takiego rozwiązania (pominę tym razem wady) jest umożliwienie pracy z każdej końcówki w domenie ponieważ po zalogowaniu profil użytkownika jest przesyłany na stację roboczą. Zaś podczas pracy system dba o synchronizację jego zawartości z serwerem. Brzmi całkiem nieźle i powiedzmy, że generalnie się sprawdza.

W skład profilu użytkownika wchodzą przede wszystkim jego pliki i poczta ale również ustawienia związane z całym spersonalizowanym środowiskiem pracy – czyli profil użytkownika w całości. Są to dane bardzo wrażliwe na zmiany. Powszechnie wiadomo czym może zakończyć się ręczne modyfikowanie profilu Windows. Stąd Roaming Profile przechowywany na serwerze ma odpowiedni poziom zabezpieczeń. Dostęp do swoich plików ma praktycznie tylko ich użytkownik. Nie ma go nawet administrator. Co jednak można zrobić w sytuacji gdy powinniśmy (jako administrator) wykonywać kopie zapasową profilu użytkownika?

Rozwiązaniem tego problemu jest zmodyfikowanie uprawnień dla poszczególnych katalogów wewnątrz profilu użytkownika. Aby chronić środowisko pracy najlepiej jest ograniczyć się np. tylko do katalogów: Pulpit i Moje dokumenty (większość cennych danych znajduje się właśnie tutaj).

Zaczynamy od pobrania narzędzia PSTools ze strony SysInternals. Po rozpakowaniu pliku PSTools.zip, z katalogu PSTools uruchamiamy okienko systemowe poleceniem:

psexec -i -s cmd.exe

Potem korzystając z otworzonego okna systemowego (wywołanego z najwyższymi uprawnieniamy – SYSTEM, należy korzystać bardzo ostrożnie) wydajemy polecenie zmieniające uprawnienia dla wybranego katalogu:

icacls "D:\Profiles\*" /grant "domain admins":(OI)(CI)F /T

Naturalnie przykładowa ścieżkę D:\Profiles\* zmieniamy na docelową dla swoich zastosowań (np. wspomniany Pulpit lub Moje dokumenty).

MG

MS Outlook – odpowiedź z załącznikiem

Czy można odpowiedzieć na e-mail odysłając ten sam załącznik? Pytanie to dla wielu osób wydać może się co najmniej dziwne. Jednak inwencja twórcza użytkowników MS Outlook jest na tyle olbrzymia, że zdarzyło mi się zetknąć z takim problemem. Możliwe są w tym przypadku cztery odpowiedzi:

1. To nie jest możliwe bo kto tak robi? (odpowiedź zła ponieważ jak już wspomniałem jednak ktoś tak robi).
2. Można zrobić to ręcznie. Najpierw zapisujemy załącznik a potem ponownie go załączamy w odpowiedzi. Metoda najprostsza, wręcz oczywista ale czy godna adminstratora – prawdziwego tygrysa? Wątpie.
3. Można kupić program, który to za nas zrobi. Aplikacja nazywa się Kutools for Outlook. Już za 39 USD otrzymamy nową zakładke w MS Outlook:
   

   Jest to rozwiązanie, które nazwałbym hmm… ścieżką korporacyjną 🙂

4. Ostatecznie można być ambitnym i napisać skrypt Visual Basic. Co więcej wcale nie potrzeba do tego specjalnych umięjętności. Trzeba wiedzieć gdzie szukać:http://www.extendoffice.com/documents/outlook/1613-outlook-reply-with-attachments.html#b

I tak zadanie może zostać rozwiązane na szybko, korporacyjnie lub wzbudzając (niezasłużony) podziw u kolegów z działu IT.

MG

Microsoft Exchange – kopia zapasowa skrzynki w formacie MSG

Wykonywanie kopii zapasowych serwera Microsoft Exchange 2010 jest zagadnieniem dobrze znanym, szeroko opisywanym i wydawać by się mogło, że nie można już nic więcej zaproponować w tej dziedzinie. Jeśli jednak nie mamy uprawnień administratora serwera, dysponujemy tylko klientem Outlook a chielibyśmy robić regularnie kopie swojej skrzynki to, jak się okazuje, oferta aplikacji jest dość skromna. Mowa tu, rzecz jasna, o sytuacji gdy nie dysponujemy lokalna kopią PST a korzystamy wyłącznie zdalnie z zasobów sieciowych (de facto oznacza to korzystanie z pliku OST – kopii offline). Można zawsze robić ręcznie kopie korzystając z funkcji eksport do pliku PST lub nieco zautmatyzować proces korzystając np. z AutoIt. Jest to jednak trudne ze względu na niestandardowy interfejs Outlooka.

Stojąc przed opisywanym problemem założyłem, że chciałbym wykorzystać harmonogram zadań systemowych oraz tekstowy skrypt wsadowy BAT lub CMD (do tego niekoniecznie wykorzystujący np. PowerShell). Czyli coś co wydawać by się mogło nierealne. A jednak nie do końca.

Poszukując aplikacji, która spełniałaby założenia trafiłem na ReliefJet Essentials for Outlook. Czemu jest ona wyjątkowa? Ponieważ oprócz interfejsu graficznego posiada tryb pracy wsadowej. Co więcej, najpierw można przygotować np. kopie zapasowe korzystając z okienek konfiguracyjnych a potem skorzystać z ikonki Show command line, żeby zobaczyć jak będzie wyglądać odpowiednia komenda systemowa.

ExecutorCli.exe /u OutlookFolderBackup ↵
Profile=nazwa_konta For="\\nazwa_skrzynki*" ↵ 
IgnoreErrors=True TargetDir=C:\TEMP\ ↵
StartDate="2015-01-01 00:00:00.000" ↵
Report=C:\TEMP\raport.csv

Powyższa komenda umożliwia przygotowanie kopii skrzynki współdzielonej przy użyciu wybranego profilu Outlooka. Możemy ponadto określić od jakiej daty zostanie ona wykonana oraz przygotować raport końcowy.

Możliwości aplikacji są dużo większe i myślę, że naprawde warto zapoznać się z tym produktem.

MG

update.rc-d vs rc.local vs @reboot

Tym razem chciałem przedstawić krótki i treściwy wpis na temat uruchamiana aplikacji w trakcie startu serwerowego systemu operacyjnego. Sprawa dotyczy mojego ulubionego Debiana. Właściwie najabardziej elegancką i zgodną z regułami metodą jest umieszczenie skryptu startowego w katalogu /etc/init.d/, nadanie mu praw wykonywalnych i wywołanie polecenia:

update-rc.d nasz_skrypt defaults 99

Niemniej z różnych przyczyn nie zawsze się to udaje. Trzeba podejść do tematu inaczej. Od razu zaznaczam, że poniższe metody, jakkolwiek spełniające swój cel, są po prostu bardzo nieeleganckie i nie świadczą najlepiej o umiejętnościach administratora. Czasami jednak trzeba się ugiąć – chociażby pod presją czasu.

Druga metoda polega na dopisaniu skryptu do pliku /etc/rc.local. Generalnie tym sposobem można rozwiązać dużo problemów ale osobiście stosuje go tylko doraźnie. Polecam to jako rozwiązanie tymczasowe.

Trzecia metoda, kiedy zawiodą dwie poprzednie, to umieszczenie skryptu startowego w cronie systemowym dla konta root. Wywołujemy go poleceniem:

crontab -e

a następnie na końcu pliku dopisujemy linijkę:

@reboot /ścieżka_dostępu/nasz_skrypt

Od tego momentu, za każdym razem podczas uruchamiania się systemu, automatycznie będzie wykonywał się skrypt. Mało elegancko ale skutecznie.

MG

Jak zmienić UID i GID w Linuxie

Przenoszenie kont użytkowników między serwerami Debian jest czynnością prostą i bezpieczną. W zasadzie wystarczy wykonać 3 podstawowe czynności:

1. Skopiować odpowiednie grupy z pliku /etc/group.
2. Skopiować odpowiednich użytkowników z pliku /etc/passwd.
3. Skopiować hasła powyższych użytkowników z pliku /etc/shadow.

Wymienione pliku są tekstowe zatem sprawdzi się metoda copy-paste. Oczywiście na koniec trzeba skopiować katalogi domowe użytkowników (np. używając tar z opcjami cvzf) a potem rozpakować na serwerze docelowym (tar xvzf). Jeśli ktoś woli można skorzystać z synchronizacji między serwerami za pomocą rsync.

Problem może pojawić się wtedy kiedy na docelowym serwerze istnieją już konta posiadające identyfikatory systemowe UID (user ID) i GID (group ID) i nie możemy wprost kopiować linii plików konfiguracyjnych aby uniknąć sytuacji, w której np. dwa konta posiadają ten sam UID. Wówczas przed kopiowaniem trzeba zmienić UID i GID na serwerze źródłowym. Czy jest to proste? Jak wszystko w Linuxie… Poniżej zamieszczam polecenia pozwalające przygotować się do całego procesu:

usermod -u <NowyUID> <Login> 
groupmod -g <NowyGID> <Grupa>
find / -user <StaryUID> -exec chown -h <NowyUID> {} \;
find / -group <StaryGID> -exec chgrp -h <NowyGID> {} \;
usermod -g <NowyGID> <Login>

MG

ssl error weak server ephemeral dh key

Od miesiąca, po zainstalowaniu najnowszej aktualizacji przeglądarki Firefox można napotkać błąd połączenia z niektórymi szyfrowanymi stronami (chodzi o protokół HTTPS):

ssl error weak server ephemeral dh key

W dużym skrócie wynika to stąd, że pojawiła się nowa metoda ataku o nazwie Logjam, która wymusza zmiane długości klucza szyfrującego do 512 bitów (w miejsce np. 2048). Jak powszechnie wiadomo osłabia to znacząco odporność szyfrowanego kanału transmisji. Autorzy Firefoxa słusznie postanowili wzmocnić swoją przeglądarkę uniemożliwiając połączenie ze serwerami podatnymi na taki mechanizm. Z jednej strony jest to rozsądne działanie ale z drugiej co mają zrobić np. użytkownicy domowych urządzeń sieciowych zarządzanych przez HTTPS. O ile w przypadku serwerów zawsze można liczyć na administratorów o tyle domowy router wcale nie musi dostać wsparcia od producenta w postaci nowego firmware’u. Można wybrać inną przeglądarke ale myślę, że za miesiąc pozostałe również zablokują wspomniane połączenia. Okazuje się jednak, że w Firefoxie można wyłączyć to zabezpieczenie. Nie namawiam nikogo aby robił to na stałe. Poniższe kroki proponuję stosować wyłącznie tymczasowo np. aby skonfigurować swój router domowy:

• Jako adres w Firefoxie podajemy „about:config”
• Wyszukujemy paramter „security.ssl3.dhe_rsa_aes_128_sha” i ustawiamy jego wartość na „false”
• Wyszukujemy parametr „security.ssl3.dhe_rsa_aes_256_sha” i ustawiamy jego wartość na „false”

Pamiętajmy jednak o tym, żeby na koniec przywrócić wartość „true” dla wspomnianych parametrów po zakończeniu konfiguracji przykładowego routera.

MG

Ninite Pro w trybie offline

Administratorzy średnich i dużych domen Windows często muszą radzić sobie z problemem hurtowej instalacji oprogramowania na wielu końcówkach w sieci. Rozwiązania wbudowane w serwer Windows, wykorzystujące mechanizmy GPO oraz instalatory MSI nie są szczególnie wygodne. Zewnętrzne narzędzia, z których mogę polecić PDQ Deploy, są bardzo rozbudowane i nieprzejrzyste dla początkującego. Jednak od kilku lat na popularności zyskuje bardzo prosty program do instalacji o nazwie Ninite. W wersji płatnej (20 USD miesięcznie za sieć do 100 końcówek) oferuje rozbudowaną linię poleceń i dykretną instalacje silent installation, która przebiega w tle. Można zatem, uruchamiając instalator w trybie zdalnym remote install bardzo szybko aktualizować komputery bez niepokojenia użytkowników.

Ważną funkcją, która nie jest widoczna na pierwszy rzut oka jest możliwość przygotowania pliku instalacji offline korzystając z opcji freeze. Możemy przygotować w ten sposób paczkę wykonywalną EXE, którą kopiujemy np. na pendrive. Tak uzbrojony serwisant, technik czy administrator jest w stanie zaktualizować każdy komputer bez dostępu do sieci Internet! Poniżej zamieszczam postać polecenia:

NinitePro.exe /freeze /select "7-Zip" Instalator7zipOffline.exe

W przykładzie użyłem opcji select, która pozwala wybrać programy dla paczki offline. Pełną listę dostępnych aplikacji można znaleźć tutaj.

MG

Pomiar jakości usług – PingPlotter

Jak wspomniałem w poprzednim wpisie, chciałbym napisać krótko jak można ocenić jakość usługi jaką niewątpliwie jest nasz domowy Internet. Oczywiście zawsze możemy skorzystać z szerokiej oferty dostępnych stron internetowych, które pozwolą szybko dowiedzieć się jaka jest na przykład szybkość naszego łącza. Przykładów jest wiele. Sam, żeby na szybko sprawdzić co w trawie piszczy korzystam z serwisu speedof.me. Ważne jest jednak aby technologia wykorzystana do budowy takiej strony sama nie wpływała na pomiar. Poza tym zawsze powinniśmy mieć możliwość zmierzenia:

• opóźnień (najczęściej za pomocą pomiaru RTT – Round Trip Time)
• szybkości wysyłania
• szybkości pobierania danych

Bardzo ważne jest aby serwis testujący wyraźnie określał z jakim serwerem testowym będziemy się łączyć. Inaczej będzie wyglądał pomiar do serwera stojącego, dajmy na to w Krakowie a inaczej do takiego z Nowego Jorku. Można temat analizować bardziej szczegółowo ale moim zamiarem jest przedstawienie narzędzi, które każdy użytkownik może sam zainstalować na swoim komputerze a co ważniejsze, które pozwolą ustalić przyczyny słabej jakości usługi.

Pierwszym w cyklu jest program dla środowiska Windows o nazwie PingPlotter. W wersji demo będzie działał 30 dni a to wystarczająco dużo aby sprawdzić jakość naszego łącza. Tradycyjnie już nie chcę opisywać jak instalować i używać tej aplikacji. To może zrobić każdy sam. Chciałbym natomiast zwrócić uwagę na jej cechy szczególne, które powodują, że jest w pewnym sensie wyjątkowa.

PingPlotter, jak sama nazwa wskazuje, wykonuje pomiar przy pomocy protokółu ICMP. Innymi słowy pozwala zmierzyć czas podróży pakietu ICMP do wybranego węzła (serwera, komputera, ogólnie – hosta) i z powrotem (wspomniany wcześniej RTT). To trywialne zadanie można również wykonać przy pomocy wbudowanego w system programu o nazwie ping.exe. Niemniej PingPlotter daje nam więcej. Dzięki niemu możemy na bieżąco śledzić stan łącza przez dłuższy czas. W połączeniu z wizualizacją pomiarów (rysunek poniżej)

pozwoli zobaczyć gdzie znajdują się potencjalne wąskie gardła w naszym połączeniu. Analiza staje się tym ciekawsza im dłużej będziemy obserwować stan łącza. Przykładowy pomiar całodobowy pozwoli wychwycić artefakty, które są kompletnie niedostrzegalne przy jednorazowym sprawdzeniu czy wybrany serwer odpowiada. Zachęcam do zabawy z tym narzędziem.

MG

Jakość usług a dostawcy Internetu

Ze względu na swoją podstawową działalność (Politechnika Warszawska) brałem ostatnio udział w kursie dotyczącym m.in. pomiaru jakości usług w transmisji pakietowej. Akurat tak się złożyło, że na sali znaleźli się przedstawiciele operatorów telekomunikacyjnych oraz Urzędu Komunikacji Elektronicznej. Mniej więcej po połowie. Nim rozpoczął się sam wykład nagle wybuchła dyskusja na temat odpowiedzialności za jakość usługi. Z jednej strony operatorzy twierdzili, że mogą odpowiadać tylko za swój odcinek łącza na zasadzie gwarancji pasma od użytkownika do najbliższego routera brzegowego, z drugiej strony UKE, które twierdziło, że to za mało z punktu widzenia użytkownika.

Przyznam, że musiałem dobrze wszystko przemyśleć (dyskusja była dla mnie sporym zaskoczeniem) ale koniec końców doszedłem do generalnych wniosków – tutaj mój kij w mrowisko:

• Dlaczego operator nazywa często usługę np. 'dostępem do Internetu’ skoro faktycznie jest to dostęp do najbliższego routera brzegowego?
• Dlaczego twierdzi, że jakość usługi spada bo użytkowników jest za dużo (czytaj – nie może za to brać odpowiedzialności). Czy to oznacza, że nie ma planowania zasobów? Przecież nawet w dostępie radiowym wiem ile mam maksymalnie dostępnego pasma, mogę zatem oszacować ilu użytkowników i z jaką jakością mogę obsłużyć.
• Dlaczego jest zawsze mowa np. o usłudze do 10Mbps. Przecież każdy administrator, który kiedykolwiek bawił się dzieleniem pasma wie, że gwarantuje się minimalną przepływność a jeśli są wolne zasoby to może ona szybować w górę.
• Dlaczego operatorzy zasłaniają się nieopłacalnością usługi z gwarancją pasma. Z mojego punktu widzenia, jeżeli postawiłem np. maszt z modemem radiowym to już poniosłem większość kosztów. Dołączając kolejnych użytkowników nie ponoszę specjalnie dużych kosztów.

Generalnie trzeba przyznać, że mamy do czynienia z piekłem transmisji z komutacją pakietów. W starej dobrej komutacji kanałów, gdzie użytkownik zajmował cały kanał na określony czas operator musiał planować ile może zestawić kanałów. Obecnie wydaje się, że można podłączyć dużo więcej użytkowników niż wynikałoby to z rozsądnego planowania (wiadomo – pakietówka, nie każdy zajmuje wiekszość nie zajmuje łącza przez 100% czasu).

Drugi wniosek to fakt, że użytkownik końcowy został pozostawiony samemu sobie i wydaje się, że nie ma żadnych narzędzi aby wiarygodnie zmierzyć sobie jakość dostępu do Internetu. O tym, że tak nie jest postaram się napisać w kolejnych wpisach.

MG