Category Archives: IT Stuff

Manage auditing and security logs (SeSecurityPrivilege) chybí/mizí

Zanechat odpověď

Pokud skupině Exchange Enterprise Servers chybí právo „Manage auditing and security logs“ (SeSecurityPrivilege), což lze snadno ověřit utilitou \SUPPORT\EXDEPLOY\policytest.exe z Exchange CD, pak nám nastávají závažné potíže. Obyčejně nám začne failovat spouštění Exchange služeb, především Information Store.

Do logu můžem dostávat:

Event ID 7024, Service Control Manager:
   „The Microsoft Exchange Information Store service terminated with service-specific error 0 (0x0).“

Event ID 1121, MSExchangeIS:
   „Error 0x80004005 connecting to the Microsoft Active Directory.“

Event ID 5000, MSExchangeIS:
   „Unable to initialize the Microsoft Exchange Information Store service. – Error 0x80004005.“

Event ID 2103, MSExchangeDSAccess:
   „Process MAD.EXE (PID=2356). All Global Catalog Servers in use are not responding:“

…a podobné

Můžeme to snadno napravit setup.exe /domainprep, nicméně někdy ani to trvale nepomůže a dost krušné chvíle nám mohou nastat, pokud toto právo po čase mizí (policytest.exe nejdřív OK, později failuje).

Naštěstí už je člověk naučený, že pokud nějaké právo samovolně mizí, jsou prvním podezřelýmzásady zabezpečení (lokální, doménové, …). Je tedy potřeba ohlídat, aby nám zásady zabezpečení právo „Manage auditing and security logs“ pro doménovou skupinu „Exchange Enterprise Servers“ nelikvidovaly (je to v User Rights Assignments).

IIS: Vytvoření žádosti o certifikát na website s existujícím certifikátem

Zanechat odpověď

Pokud je potřeba vytvořit žádost, která obsahuje stejná data jako aktuální certifikát, není problém – na IIS se proces prokliká.

Ovšem pokud je v žádosti třeba něco modifikovat (např. se změnil vlastník domény nebo jeho název), je potřeba vygenerovat žádost s novými údaji a to IIS neumí – nabízí pouze certifikát odebrat a to nechceme. Řešení spočívá ve vytvoření dočasné website, ke které žádost vytvoříme, návod je uveden na serveru Thawte pod kódem vs32621.

Zde je kopie textu:

To work around this problem without having to ‚remove‘ the existing certificate from your web site, do the following:

1. In IIS right click the ‚Default Web Site‘ and click on ‚New–>Site‘

2. Create a new site. You can give it a temporary name.

3. Right click on this new site and go to ‚Properties–>Directory Security–>Server certificate‘

4. Select ‚Create a new certificate‘ and follow the wizard to create a new CSR, please refer to the following solution: vs27731

5. Backup the Private Key file – very important, if no backup is made and the Private Key is lost, the certificate issued will not work. The Private Key backup instructions can be found in the following solution vs22515

6. When you receive the certificate back, right click on this temporary site and go to ‚Properties–>Directory
Security–>Server certificate‘ and follow the wizard to ‚process the pending request‘

7. Once the certificate has been installed, right click on the site where the certificate should go and click ‚Properties–>Directory Security–>Server certificate‘

8. Select the option, ‚Replace the current certificate‘

9. You will then be able to select the certificate that you have just installed

10. Once installed we strongly advise you to make a backup of your certificate with its corresponding private key. View Solution vs22528

For more information please see Microsoft’s article at the following link: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q295281

GoogleToolbarNotifier.exe – součást Google Toolbar 4

Zanechat odpověď

Zaktualizoval se mi Google Toolbar, nu což, dobrá. Do programů spouštěných při startu Windows mi však přibyl GoogleToolbarNotifier.exe. A nejenom, že tam přibyl, i si chtěl hned komunikovat ven kamsi na port 80 (HTTP, možná CLR). O to se Tě Google opravdu nikdo neprosí!!!

Údajně to má být utilitka, která si hlídá, aby v IE nedošlo ke změně výchozího vyhledávače na něco jiného.

Každopádně konvenčně lze spouštění tohoto procesu vypnout v Options Google Toolbaru, na záložce More vypnout „Notify me on settings change“ a „Set and keep Seach settings to Google“. Tím dojde k odstranění spouštěcího klíče z registru (HKCU\Software\Microsoft\Windows\CurrentVersion\Run).

NTBACKUP: Scheduled job failuje – médium není prázdné

Zanechat odpověď

Pokud vytvoříme pomocí wizzardu full backup job zálohování na médium – schedulovanej na každý den – a předpokládáme, že budeme prostě jen cyklicky měnit média – tak nám po prvním cyklu zálohy přestanou probíhat, po chvilce pátrání se dostaneme k chybové hlášce „médium není prázdné“.

V základním nastavení ntbackup totiž média nemaže, což lze považovat za rozumné výchozí nastavení, nicméně pro náš případ nevhodné. Pokud bychom to neměli jako scheduled task, aplikace by se nás na smazání zeptala, nicméně takto job sfailuje.

Řešením je přidání parametru /UM do příkazové řádky, kterou příslušný scheduled task provádí. Tím se vynutí smazání média před spuštěním zálohování.

Windows 2000 Server: Event ID 1202, SceCli, 0xd : The data is invalid.

Zanechat odpověď

Tento warning se nám může množit v Application event logu, po aplikaci šablony zabezpečení Basicdc.inf. Potíž je v tom, že se tato šablona odkazuje na proměnné %SYSVOL%, %DSDIT% a %DSLOG“, které však neexistují (existují jen během Dcpromo procesu).

Stačí tedy tyto environment variables vytvořit. Výchozí složky jsou následující

%SYSVOL% = C:\WINNT\SYSVOL
%DSDIT% = C:\WINNT\NTDS
%DSLOG% = C:\WINNT\NTDS

…a warning je pryč.

IIS6: Volba výchozích regionálních nastavení pro ASP stránky

Zanechat odpověď

Můžeme se dočkat nepříjemností, pokud v ASP stránkách spoléháme na konkrétní regional-settings. Přesuneme-li aplikaci na server jiné lokalizace, nepomůže nám totiž ani nastavení Control Panel ~ Regional Settings (Ovládací panely ~ Regionální nastavení).

Je v podstatě několik možností, jak správný region vnutit, nicméně na IIS5.1+ mi jako nejlepší přijdezměna hodnoty AspLCID v IIS metabázi:

\\LM\W3SVC\AspLCID

Pro české regionální nastavení je správná hodnota 1029, hodnoty ostatních uvádí Microsoftí List of Locale ID (LCID).

Související zdroje informací:

msdtc -resetlog řeší 99% problémů s Distributed Transaction Coordinatorem (MS DTC)

Zanechat odpověď

Pokud nejde spustit služba Distributed Transaction Coordinator (MS DTC), bez které ostatně nefunguje skoro nic pořádně, pak mi osobně v 99% případech pomůže jednoduchý fígl z příkazové řádky

msdtc -resetlog

…jak je již zřejmé, vyresetuje se tím log MS DTC (což mj. zlikviduje všechny pending transakce). Problém je obvykle vyřešen.

Ostatně jedna z nepříjemných hlášek IIS „Server Application Error“, kdy je v event logu cosi ve smyslu „The server failed to load application ‚/LM/W3SVC/1/ROOT‘. The error was ‚Class not registered‘.“ se řeší právě takto.

adprep na Windows 2003 Server R2

Zanechat odpověď

Ve všech postupech Microsoftu je krásně popsáno, jak se má použít utilita adprep pro přípravu Active Directory na Windows 2000 Serveru pro použití s Windows 2003 Serverem (ať už před upgrade nebo před prostým přidáním dalšího DC).

Všechny návody však jaksi pomíjí, že na disku 2 Windows 2003 Serveru R2 je nová verze této utility a pokud použijeme tu z disku 1, o které všechny návody píšou, tak DC nepřidáme…

Intel Matrix Storage Manager instalace: File copying was not successful

Zanechat odpověď

Při snaze instalovat Intel Matrix Storage Manager (6.0 i 5.7) anglickou verzi na Windows 2003 Server R2 anglický s českým regionálním nastavením a českým nastavením „Language for non-Unicode programs“ instalátor vždy skončil na hlášce

File copying was not successful.

FileMonem jsem zjistil, že se instalátor pokouší číst soubory, které v instalační složce nejsou, přičemž problém bude zřejmě s jazykovou mutací. Zkusil jsem tedy stáhnout a instalovat z Multi-language instalátoru a vše šlo – až na to, že mi nutil češtinu.

Nakonec jsem český MSM odinstaloval, přepnul volbu „Language for non-Unicode programs“ na English a pak už fungoval i anglický instalátor.

FTP: Nastavení práv na složku pro příchozí soubory – /incoming

Zanechat odpověď

Poměrně často dostávám dotaz, jak nastavit práva na FTP složku pro příchozí soubory – složku /incoming (i když já doporučuji jiný název, viz dále).

V podstatě chceme dosáhnout toho, aby anonymní uživatel:

  • mohl do složky libovolně přidávat soubory,
  • mohl zobrazovat seznam souborů ve složce – chceme mu dát možnost, aby si ověřil, že jeho soubor byl úspěšně nahrán,
  • nemohl ze složky soubory mazat – nechceme přeci, aby nám kdokoli mohl smazat soubory určené pro nás,
  • nemohl ze složky číst – nejenom, že nechceme, aby nám někdo cizí mohl číst soubory určené pro nás, ale navíc bychom si povolením čtení připravili hodně krušné chvíle – roboti totiž pravidelně procházejí FTP servery a přímo vyhledávají takovéto složky, kde je povolen zápis a čtení – v případě úspěchu se velmi rychle stanete uložištěm pro warez, videa a jiné nechtěné soubory.

Právě z posledního uvedeného důvodu, kdy se roboti zaměřují převážně na složku /incoming a ostatní složky pro zrychlení ignorují, doporučuji pojmenovat složku pro příchozí soubory jinak. V českém prostředí například /prichozi.

A teď jak na práva:

  • práva budeme nastavovat účtu anonymního uživatele (obvykle IUSR_SERVER),
  • práva aplikujeme přímo na složku pro příchozí soubory – /incoming, /prichozi,
  • nevystačíme si se standardní záložkou Vlastnosti ~ Zabezpečení, ale musíme dát „Upřesnit“,
  • vytvoříme pro anonymního uživatele pravidlo, kde Použít pro nastavíme na Tato složka a podsložky (standardně je to totiž Tato složka, podsložky a soubory) apovolíme vše mimo
    • Full Control – Úplné řízení,
    • Delete Subfolders and Files – Odstraňovat podsložky a soubory,
    • Delete – Odstraňovat,
    • Change Permissions – Měnit oprávnění
    • a Take Ownership – Přebírat vlastnictví.
  • ještě můžeme zvážit práva Zapisovat atributy, popř. Zapisovat rozšířené atributy, ale to už celkem není nic proti ničemu.
  • musíme si dát také pozor, jestli se nám z nadřazené složky nedědí nějaká další práva, ale nebývá to obvyklé (spíše by se dalo považovat za chybu, kdyby anonymní uživatel měl na kořenovou složku FTP serveru nějaká práva, která by se dědila na podsložky).

Tím, že pravidlo aplikujeme pouze na objekty typu složka, nikoliv na soubory, dosáhneme právě toho, že uživatel sice všechno uvidí, ale nebude moct číst jednotlivé soubory.

Také si dejte pozor, jestli Vám nevznikají práva k souborům nějakým jiným děděním, klasickou chybou jsou třeba práva pro CREATOR OWNER.