Διάβαζα σήμερα το περιοδικό IT Security 13ο Τεύχος Νοέμβριος – Δεκέμβριος 2009 και είδα το άρθρο για το IT Pro Connections 2009, το σάρωσα, το μετέτρεψα σε κείμενο και σας το παραθέτω όπως τυπώθηκε, με χαροποίησε ιδιαίτερα το γεγονός που έκανε τόση αίσθηση όλη η διοργάνωση, θα ακολουθήσει όμως άλλο post με τις εντυπώσεις μου.
“Πολύ καλές εντυπώσεις για το IT Pro Connections 2009”
Με μεγάλη επιτυχία πραγματοποιήθηκε στις 21 και 22 Νοεμβρίου το IT Pro Connections 2009, το συνέδριο για επαγγελματίες της πληροφορικής, που διοργάνωσαν τα μέλη της τεχνικής κοινότητας Autoexec.gr στο ξενοδοχείο Athens Imperial.
Τις εργασίες του συνεδρίου παρακολούθησαν πάνω από 150 στελέχη ελληνικών - μικρών και μεγάλων επιχειρήσεων και Οργανισμών, τα οποία είχαν την ευκαιρία να ενημερωθούν σε βάθος για τις εξελίξεις στα εταιρικά συστήματα πληροφορικής που υποστηρίζουν τους στόχους για βελτίωση της απόδοσης και της ανταγωνιστικότητας, ενώ παράλληλα μειώνουν το κόστος υλοποίησης και υποστήριξης. Κατά τη διάρκεια του IT Pro Connections 2009 πραγματοποιήθηκαν παρουσιάσεις με υλοποίηση λύσεων που στηρίζονται σε τεχνολογίες και προϊόντα της Microsoft, σε πραγματικές συνθήκες, με εξοπλισμό που προσέφερε η Dell.
Η επίδειξη των δυνατοτήτων των νέων λύσεων, όπως το deployment over WLAN των νέων Windows 7 που έγινε για πρώτη φορά σε ζωντανή παρουσίαση στην Ευρώπη, έδειξε το δρόμο προς το Dynamic IT που πολλοί ευαγγελίζονται αλλά λίγοι είναι σε θέση να υλοποιήσουν.
Οι ΙT Pros που παρακολούθησαν το συνέδριο είχαν την ευκαιρία να ανταλλάξουν απόψεις με τους ομιλητές αλλά και να έρθουν σε επαφή με τους συναδέλφους τους, συζητώντας προβλήματα που τους απασχολούν στην καθημερινή τους εργασία.
Παράλληλα, λύσεις για πιθανά τους προβλήματα προσέφεραν και οι εταιρίες που παραβρέθηκαν στο χώρο ως χορηγοί του IT Pro Connections.
To IT Pro Connections 2009, τέλεσε υπό την αιγίδα της «Ομάδας Δράσης για την Ψηφιακή Ασφάλεια» (Digital Awareness and Response to Threats - DART) της Ειδικής Γραμματείας Ψηφιακού Σχεδιασμού του Υπουργείου Οικονομίας & Οικονομικών και διοργανώθηκε με την «Τιμητική Υποστήριξη» της "Ένωσής Πληροφορικών Ελλάδας” και του Τμήματος Πληροφορικής και Επικοινωνιών του Τεχνικού Επιμελητηρίου Ελλάδας (e-TEE) Χρυσός Χορηγός του Συνεδρίου ήταν η Microsoft, Αργυρός Χορηγός η Dell και Χορηγοί η iTeam, τα προϊόντα Cyberoam UTM από την Adaox, η IQ Solutions, Υποστηρικτής η ΟΤΕ Academy και Χορηγός Οπτικοακουστικού Εξοπλισμού η εταιρεία Videotooth. Το IT Security Professional υποστήριξε ως χορηγός επικοινωνίας το σημαντικό αυτό Event, ενώ την οργανωτική ευθύνη του είχε η εταιρεία Connective Communications.
Τα σχόλια δικά σας!
Πρόσφατα αντιμετώπισα ένα αρκετά ενοχλητικό και “περίεργο” πρόβλημα σε ένα Windows SBS 2003 Server, κάποια shared folders δεν ήταν διαθέσιμα στους χρήστες, συγκεκριμένα όταν προσπαθούσαν να προσπελάσουν shared folders τα οποία ήταν σε άλλο drive εκτός του SystemDrive λάμβαναν το παρακάτω μήνυμα:
Όλες οι υπόλοιπες υπηρεσίες λειτουργούσαν κανονικά όπως το Sharepoint Services, Exchange Server, ERP, SQL Server, άρχισα λοιπόν από το σημείο του εντοπισμού αλλαγών από την τελευταία μου επέμβαση, κατά την οποία είχα εγκαταστήσει το Symantec Backup Exec Continuous Protection Server (CPS) 11d 7170.
Προσπάθησα να το απεγκαταστήσω και λάμβανα συνεχώς το μήνυμα “Error 1325.Administrator is not a valid short file name.”, αν προσπαθήσετε να ψάξετε γι’ αυτό το συγκεκριμένο μήνυμα λύσεις θα δείτε αναφορές στην εκτέλεση του "Windows Installer CleanUp Utility" έτσι ώστε να κάνετε εξαναγκασμένη απεγκατάσταση, στην περίπτωση μου όμως δεν μπορούσα να το εγκαταστήσω καθώς εμφάνιζε και αυτό το ίδιο πρόβλημα! Προσπάθησα να απεγκαταστήσω και άλλες εφαρμογές που ήταν εγκατεστημένες με το Windows Installer αλλά το σφάλμα παρέμενε.
Μια άλλη αναφορά που εντόπισα για το παραπάνω error ήταν η αλλαγή του registry κλειδιού από 0 σε 1:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\Win31FileSystem
καθώς και του κλειδιού (αν υπήρχε ανάγκη):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation
από 0 σε 1 πάλι.
Δυστυχώς πάλι δεν λειτούργησε κάτι από αυτά, δεν ήταν δυνατή η απεγκατάσταση του CPS και οι χρήστες συνέχιζαν να μην έχουν πρόσβαση, οπότε οι τιμές των κλειδιών επαναφέρθηκαν ως είχαν.
Το επόμενο σημείο ελέγχου ήταν τα Event Logs (βέβαια θα μου πείτε ότι θα έπρεπε να κοιτάξω πρώτα εκεί, αλλά όταν έχω κάποιες σαφείς ενδείξεις προσπερνώ τον έλεγχο τους για λόγους συντομίας), στο System Log λοιπόν εμφανίζονταν πολλά events με EventID: 2011 με source: SRV και μήνυμα:
The server's configuration parameter "irpstacksize" is too small for the server to use a local device. Please increase the value of this parameter.
Η συχνότητα εμφάνισης τους ποίκιλε από 30 δευτερόλεπτα έως 3 λεπτά μεταξύ τους.
Το πρόβλημα αυτό λοιπόν έχει να κάνει με την ύπαρξη πολλών Filter Drivers στο σύστημα, οι drivers αυτοί χρησιμοποιούνται για τον έλεγχο των αρχείων συνήθως σε πραγματικό χρόνο για την εκτέλεση διάφορων εργασιών, συνηθισμένα παραδείγματα είναι τα Antivirus, Quota Management, Shadow Copies, ο CPS τοποθετεί δικό του Driver ο οποίος ονομάζεται “CpsFsJnl” και έπρεπε να απενεργοποιηθεί, επίσης το irpstacksize έπρεπε να αλλαχτεί από την αρχική τιμή (δεκαδικά 15) σε 16 ή 17 έτσι ώστε να είναι δυνατή η πρόσβαση από τους χρήστες καθώς και η απεγκατάσταση του CPS (λόγω του προβλήματος που εμφάνισε).
Για να απενεργοποιηθεί ένας filter driver υπάρχουν δυο τρόποι, μέσω της registry στον κλάδο:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
Και εντοπίζετε τον Driver που σας ενδιαφέρει, έπειτα στο φάκελο του Driver αλλάζεται την τιμή του κλειδιού “Start” απο 2 σε 4 (Disabled), εναλλακτικά ανοίγετε το Computer Management και επιλέγετε το Device Manager, από το μενού “View” επιλέγετε “Show Hidden devices” και εντοπίζεται την κατηγορία “Non plug and play drivers”, εκεί θα βρείτε το Driver που σας ενδιαφέρει και θα τον θέσετε σε Disabled από τις ιδιότητες του. Φυσικά θα πρέπει να γνωρίζετε τι κάνετε καθώς αυτό μπορεί να συμβάλει στην αστάθεια του συστήματος σας.
Για την απενεργοποίηση του CPS Filter Driver συμβουλευτείτε την πηγή 3 και 6 στο τέλος του άρθρου, όσον αφορά το irpstacksize υπάρχει περίπτωση το κλειδί να μην υπάρχει στη Registry, οπότε το δημιουργείτε ως DWord με όνομα (ακριβώς όπως το γράφω) IRPStackSize στον κλάδο:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\
Η εξορισμού τιμή σε δεκαδική μορφή είναι 15 προτείνεται η μεταβολή κατά 1 και επανεκκίνηση του Server (για να ισχύσει η αλλαγή), στην περίπτωση μου η τιμή 17 ήταν αρκετή, στην πηγή (5) η Symantec προτείνει για το Antivirus της να τίθεται σε 25 αλλά καλό είναι να μην υπερβαίνουμε πολύ το κάτω όριο καθώς θέτουμε σε κίνδυνο το σύστημα μας.
Περισσότερα για το IRPStackSize μπορείτε να βρείτε στις πηγές 1, 2, 4, 5.
1) Event ID 2011 Source Srv
http://www.eventid.net/display.asp?eventid=2011&eventno=720&source=Srv&phase=1
2) Description of the IRPStackSize parameter in Windows 2000, in Windows XP, and in Windows Server 2003
http://support.microsoft.com/default.aspx?scid=kb;en-us;285089&Product=win2000
3) How to temporarily deactivate the kernel mode filter driver in Windows
http://support.microsoft.com/kb/816071
4) Changes in IRP Stack Size in Lanman Server
http://support.microsoft.com/kb/198386/EN-US/
5) After installing or upgrading the VERITAS NetBackup (tm) Client on a Windows 2000 Cluster server, the Cluster resources no longer start or do not failover between nodes.
http://seer.support.veritas.com/docs/244156.htm
6) Problem with CPS filter driver
http://www.symantec.com/connect/forums/problem-cps-filter-driver
Τα λέμε στο επόμενο post!
Πριν από μερικές ημέρες ετοίμαζα το Lab μηχάνημα για τα Demos της ομιλίας μας με το Νάσο Κλαδάκη στο IT Pro Connections, σκέφτηκα λοιπόν ότι θα ήταν προτιμότερο να έχω όλο το Server με τους ρόλους που χρειαζόμαστε σε ένα μηχάνημα, ήθελα όμως να είναι μεταφέρσιμο σε άλλους Servers αλλά να μην είναι Virtual.
Η λύση ήταν να χρησιμοποιήσω το VHD Boot χαρακτηριστικό των Windows 7/2008 R2 και όπερ έπραξα, στο Test Lab μου έχω δυο σκληρούς δίσκους, ο πρώτος είναι 150 GB και ο δεύτερος 250 GB.
Στον πρώτο έχω δυο partitions ένα για τον κυρίως Server για το Domain “Galactica.local” με τον Hyper-V για τις δοκιμές μου σε καθημερινή βάση, το δεύτερο έχει κάποια backup data τα οποία κάποια στιγμή θα εκκαθαριστούν και ίσως να ενωθεί με το πρώτο partition.
Στο δεύτερο δίσκο δεν έχω partitions αλλά τα Hyper-V machines και τις βάσεις του SQL 2008 από τον παραπάνω Server.
Ξεκίνησα λοιπόν να δημιουργήσω ένα fixed size VHD με το εργαλείο που μας σύστησε ο Hyper-Vangelis στο εξαιρετικό του post σε χρόνο DT, αφού έγινε αυτό προχώρησα στην εφαρμογή του wim image file για το Server 2008 R2 Enterprise Edition μέσω του ImageX, έγινε και αυτό (μην ανησυχείτε θα τα δείτε όλα στα events του Autoexec.gr και στο IT Pro Connections), πλέον ήμουν έτοιμος για τη διαδικασία ανάρτησης του VHD Bootable αρχείου Boot Configuration του κυρίως Server ο οποίος παρεμπιπτόντως ονομάζεται “Caprica”, οδηγίες γι’ αυτή τη διαδικασία έχει γράψει στο blog post του ο Νάσος.
Δυστυχώς για μένα όμως όσες φορές έφτανα στο σημείο να αναρτήσω το αρχείο με τις εντολές οι οποίες είναι γενικές για να τις χρησιμοποιήσετε κατά βούληση:
bcdedit /set <guid> device vhd=[driveletter:]\<directory>\<vhd filename>
&
bcdedit /set <guid> osdevice vhd=[driveletter:]\<directory>\<vhd filename>
και πριν προλάβω να φτάσω στην τελευταία εντολή έπαιρνα το ωραιότατο μήνυμα “cannot find the file specified”, δοκίμασα τα πάντα στο συγκεκριμένο drive [μέχρι και ultrex :)] δεν γινότανε αποδεκτή η εντολή, οπότε αποφάσισα να φτιάξω ένα κενό vhd αρχείο dynamic όμως αυτή τη φορά και να προσπαθήσω να το αναρτήσω (στον ίδιο δίσκο που ήταν και τα υπόλοιπα), δυστυχώς όμως το μόνο που είχα καταφέρει ήταν να αναπαράγω το πρόβλημα.
Σκέφτηκα να μετακινήσω το δεύτερο Vhd Bootable αρχείο στο C: Drive για να δω αν θα λειτουργήσει από εκεί, προς μεγάλη μου έκπληξη δούλεψε! Αυτό που έμενε ήταν να βρω το λόγο όμως, πήγα στο Storage Management και παρατήρησα τους δίσκους μου, υπήρχε μια σημαντική διαφορά….. Ο δεύτερος δίσκος ήταν Dynamic! δυστυχώς δεν υποστηρίζεται το VHD Boot όταν το αρχείο βρίσκεται σε δυναμικό δίσκο. Ο λόγος που ο δίσκος ήταν dynamic ήταν επειδή είχε χρησιμοποιηθεί σε παλιότερο Lab ως αποθηκευτικός χώρος για το Data Protection Manager 2007 (κάποιοι θα θυμούνται την παρουσίαση μου στο Event του Autoexec στις αρχές του 2009).
Ένας δυναμικός δίσκος δεν μπορεί να μετατραπεί σε βασικό (τον κοινό τύπο που χρησιμοποιούμε σε καθημερινή βάση) χωρίς να χαθούν τα αρχεία και παρόλο που κάπου εκεί έξω υπάρχει ένα πρόγραμμα που κάνει αυτό το πράγμα αναίμακτα (έτσι υποστηρίζει ο κατασκευαστής τουλάχιστον) εγώ δεν το είχα και έπρεπε να πάρω τη δύσκολη οδό η οποία ήταν:
1) Backup του δίσκου με το Backup των Windows σε άλλο δίσκο
2) Διαγραφή του Volume και του Dynamic Disk
3) Δημιουργία Basic Disk και ενός Partition για τα δεδομένα.
4) Επαναφορά των δεδομένων από το Windows Backup.
Όλη η διαδικασία αυτή κράτησε 2 ώρες για 100GB δεδομένων λόγω του backup σε εξωτερικό δίσκο. Το VHD Boot λειτούργησε κανονικά μετά από όλη αυτή την περιπέτεια.
Να σας πω και το καλύτερο; Στο volume αυτό εκτός από τα Virtual Machines του Hyper-V αποθηκεύονταν οι βάσεις του SQL 2008 και το περιεχόμενο του WSUS για το Server “Caprica”, όταν διέγραψα το volume και το dynamic disc, τα Windows δεν με σταμάτησαν, ο SQL γκρίνιαξε λίγο αλλά ο Windows Server συνέχισε να λειτουργεί!
Ελπίζω να σας βοηθήσει από τις κακοτοπιές το post αυτό και να ευχαριστηθείτε με την ψυχή σας το εκπληκτικό χαρακτηριστικό του Native VHD Boot!
Αναφορικά δείτε και αυτό το link απο το Technet: Understanding Virtual Hard Disks with Native Boot.
Όπως έχω αναφέρει στα προηγούμενα posts μου (δείτε εδώ) ο Configuration Manager 2007 υποστηρίζει αρκετούς ρόλους όσον αφορά τις λειτουργίες που χρειάζονται σε κάθε περιβάλλον. Συγκεκριμένα οι Site System ρόλοι είναι 15 για τον Configuration Manager 2007, όσοι από αυτούς είναι πρωτοεμφανιζόμενοι σε σχέση με τον SMS σημειώνονται με [ΝΕΟΣ], ας τους δούμε:
- Site Server – Ο server στον οποίο εγκαθίσταται το λογισμικό του SCCM, έχουμε τρία είδη Servers, τους “Primary”, “Central” και “Secondary”, το ιεραρχικό μοντέλο όμως θα το αναλύσω σε επόμενο post (θα γίνει Hotlink σ’ αυτό το post όταν αναρτηθεί στο blog μου), μη σας μπερδεύει το Primary με το Central, στις περισσότερες περιπτώσεις είναι ο ίδιος server!
- Site Database Server – Ο Server στον οποίο εκτελείται ο SQL Server και φιλοξενεί την SCCM Site Database (χρειάζεται μόνο για τα Primary Sites), είναι απαραίτητος για remote SQL Servers ειδάλλως αν είναι στον ίδιο Server εγκαθίσταται με τη διαδικασία εγκατάστασης του Primary Site Server.
- Configuration Manager Console – Το περιβάλλον διαχείρισης του SCCM. Εγκαθίσταται εξ ορισμού στους Primary Site Servers, ο ρόλος αυτός όμως μπορεί να εγκατασταθεί και σε σταθμούς εργασίας (workstations) για την απομακρυσμένη διαχείριση του Configuration Manager.
- SMS Provider – Πολύ σημαντικός ρόλος, είναι το ενδιάμεσο WMI (Windows Management Instrumentation) στρώμα επίπεδο μεταξύ της Κονσόλας του Configuration Manager και του Site Database ρόλου, (η Configuration Manager Κονσόλα προσπελαύνει τη Site Database μέσω του SMS Provider). Χρειάζεται μόνο σε Primary Sites.
- Component Server – Όλοι οι SCCM Site System ρόλοι (εκτός αυτού του Distribution Point (DP)), απαιτούν SCCM-specific λογισμικό να εγκατασταθεί για να λειτουργήσει ο Site System ρόλος. Όταν αυτό το λογισμικό εγκατασταθεί σε ένα υπολογιστή τότε αυτός γίνεται ένας Component Server.
- Distribution Point (DP) – Ο ρόλος του Distribution Point είναι η αποθήκευση των SCCM πακέτων λογισμικού απ’ όπου οι Clients μπορούν να έχουν πρόσβαση και να τα εγκαθιστούν. Χρειάζεται μόνο για τις λειτουργίες:
- Software Distribution,
- Software Updates και
- Advertised Task Sequences του SCCM.
- [ΝΕΟΣ] Asset Intelligence Synchronization Point (AISP) - Είναι ο ρόλος με τον οποίο οι Software Assurance πελάτες της Microsoft έχουν πρόσβαση στην ενημερωμένη βάση του Asset Intelligence, συγκεκριμένα χρειάζεται να εγκατασταθεί στον Primary Site Server και να τοποθετηθεί το certificate που παρέχει η Microsoft στους SA συνδρομητές. Μετά από αυτό το Asset Inventory ενημερώνεται με νέες κατηγοριοποιήσεις software καθώς και hardware που απαιτείται απ’ αυτές [Σημείωση: στην έκδοση R2 έχει καταργηθεί το certificate όχι όμως ο ρόλος].
- [ΝΕΟΣ] Fallback Status Point – Είναι το "catch all" Site σύστημα για τους Clients που δεν μπορούν να εγκατασταθούν λόγω διαφόρων θεμάτων –προβλημάτων- όπως η ανάθεση (assignment) σε ένα Site, ή η ανικανότητα τους να επικοινωνήσουν με το Management Point (MP) στο οποίο ανήκουν. Εξ ορισμού δεν είναι απαιτούμενο αλλά είναι προτεινόμενο λόγω της διευκόλυνσης που παρέχει σε θέματα εγκατάστασης των Clients.
- Management Point (MP) – Οι SCCM Clients δεν επικοινωνούν άμεσα με τον Site Server και το αντίστροφο. Αντιθέτως λοιπόν, όλη η επικοινωνία διενεργείται μέσω του Management Point. Είναι απαραίτητο να υπάρχει ένα προκαθορισμένο (Default) Management Point σε κάθε Site που έχει Intranet Clients (προσέξτε, μιλάμε για τοπικούς LAN χρήστες).
- [ΝΕΟΣ] Pre-boot Execution Environment (PXE) Service Point – Το Site σύστημα που απαντά σε όλους τους υπολογιστές που ζητούν εγκατάσταση του λειτουργικού τους συστήματος (Operating System Deployment [OSD]) μέσω ενός PXE αιτήματος από την κάρτα δικτύου τους και χωρίς την εκτέλεση κάποιου λειτουργικού συστήματος. Αυτός ο ρόλος χρειάζεται μόνο αν χρησιμοποιηθεί η λειτουργία της εγκατάστασης λειτουργικών συστημάτων (OSD), και γίνεται μέσω PXE boot requests.
- Reporting Point (RP) – Μέσω αυτού του ρόλου φιλοξενείται το Report Viewer component που παρέχει τις web-based λειτουργίες αναφορών του SCCM. Είναι αναγκαίος μόνο εάν χρειάζεται να τρέχουν αναφορές σε συγκεκριμένο Primary Site.
- Server Locator Point (SLP) - Ο ρόλος αυτός έχει την ευθύνη της ενημέρωσης των SCCM Clients σχετικά με το ποιό Management Point πρέπει να προσπελάσουν έτσι ώστε να εγκαταστήσουν το SCCM Client λογισμικό. Χρειάζεται μόνο σε μερικά σενάρια εγκατάστασης Clients και ειδικότερα όταν δεν χρησιμοποιείται το Active Directory για την έκδοση (publishing) των SCCM Sites, Servers, Management Points.
- [ΝΕΟΣ] Software Update Point (SUP) – Εγκαθίσταται στον υπολογιστή στον οποίο τρέχει ο Windows Server Update Services (WSUS). Είναι αναγκαίος αν πρόκειται να χρησιμοποιηθεί η λειτουργία των Software Updates.
- [ΝΕΟΣ] State Migration Point (SMP) – Αποθηκεύει τα δεδομένα “state migration” των χρηστών όταν ένα λειτουργικό σύστημα μεταφέρεται σε άλλο υπολογιστή ή και σε άλλο νεώτερο λειτουργικό σύστημα, πχ από Windows XP σε Windows 7. Είναι αναγκαία η εγκατάσταση του όταν η λειτουργία εγκατάστασης λειτουργικού συστήματος (OSD) πρόκειται να χρησιμοποιηθεί.
- [ΝΕΟΣ] System Health Validator Point (SHVP) –Το ρόλο αυτό τον αναθέτουμε στον υπολογιστή που εκτελεί την υπηρεσία Network Policy. Χρειάζεται μόνο στην περίπτωση χρήσης της λειτουργίας Network Access Protection (NAP).
Σ’ αυτό το σημείο έχουμε μια εικόνα των Site System ρόλων του SCCM 2007, στα επόμενα Posts θα δούμε περισσότερα σχετικά με το ιεραρχικό μοντέλο του SCCM καθώς και κάποια κόλπα για την ανάπτυξη Multi-Sites τοπολογιών.
Την 1η Ιουλίου 2009 δέχτηκα ένα αναπάντεχο και εξαιρετικά ευχάριστο μήνυμα από τη Microsoft και συγκεκριμένα από το support@mvpaward.com , στο μήνυμα μου ανακοινώνανε ότι:
Dear George Simos,
Congratulations! We are pleased to present you with the 2009 Microsoft® MVP Award! This award is given to exceptional technical community leaders who actively share their high quality, real world expertise with others.
Η χρονιά που πέρασε ήταν αρκετά ζόρικη για μένα από την άποψη του πολύ σφιχτού χρονοδιαγράμματος που είχα (και έχω), παρ’ όλα αυτά με την υποστήριξη της συζύγου μου, ο χρόνος που χρειαζόμουν για να μελετάω, προετοιμάζομαι και αφιερώνω χρόνο στα θέματα της κοινότητας μου παρασχέθηκε χωρίς καμία δυσφορία.
Η αναγνώριση της προσφοράς μου στην κοινότητα με τον τίτλο του MVP επιφέρει επιπλέον ευθύνες και δεσμεύσεις τις οποίες είμαι έτοιμος να αντιμετωπίσω και να ανταποκριθώ.
Θέλω να ευχαριστήσω τους ανθρώπους που αποφάσισαν να με προτείνουν ως υποψήφιο MVP, να ευχαριστήσω τους δικούς μας MVPs Ανδρέα Τσούχλαρη, Δημήτρη Παπίτση, Βαγγέλη Καψαλάκη, Χρήστο Σπανουγάκη (που βρισκόμαστε και στην ίδια πόλη τη Θεσσαλονίκη), καθώς και το Autoexec.gr το οποίο ήταν το εφαλτήριο για όλη αυτή την πορεία που ακολούθησα από το καλοκαίρι του 2008 έως σήμερα.
Δε θα ήθελα να μακρηγορήσω καθώς η συγκίνηση από τη βράβευση αυτή είναι μεγάλη και θα ήθελα λίγο χρόνο για να την απολαύσω και να σκεφτώ τις επόμενες κινήσεις μου όπως θέματα που θέλω να παρουσιάσω στα μηνιαία events του autoexec.gr καθώς και νέα blog posts τα οποία λιγάκι άφησα πίσω λόγω υποχρεώσεων, αλλά επανέρχομαι οσονούπω με πολύ καυτά θέματα για τον Configuration Manager και όχι μόνο, στην ατζέντα υπάρχουν θέματα Deployment, Planning (σε συνεργασία με το Γ. Ανδρίτσο) και IT Management.
Να δώσω τα συγχαρητήρια μου στο συν-MVP Μιχάλη Frees76 Windows 7 Αθανασέλη και να ευχηθώ τα καλύτερα για τη συνέχεια.
Θα ήθελα να κάνω ειδική μνεία στον κ. Κλαδάκη Νάσο της Microsoft για την πολύτιμη βοήθεια του σε διάφορα θέματα καθώς και για την τιμή που μου έκανε να με επιλέξει ως ομιλητή για το κορυφαίο γεγονός της χρονιάς στη Β. Ελλάδα την παρουσίαση των Windows 7 του Microsoft Desktop Optimization Pack και των MED-V/APP-V από την οποία αποκόμισα απίστευτη εμπειρία και ουσιαστικά το βάπτισμα του πυρός για παρουσιάσεις σε μεγάλο κοινό.
Επίσης θα ήθελα να ευχαριστήσω ιδιαίτερα το φίλο και καθηγητή μου Χρήστο Σπανουγάκη για όλη την υποστήριξη του στις παρουσιάσεις που έκανα στα Events και για την θετική του αντιμετώπιση στα θέματα οργάνωσης των events.
Στο autoexec.gr είμαστε μια μεγάλη παρέα (που μεγαλώνει συνέχεια) και το μόνο μας μέλημα είναι να αλληλοβοηθούμαστε σε προβλήματα/θέματα τεχνικής, νομικής ακόμη και διοικητικής φύσεως , για μένα είναι εδώ και ένα χρόνο σχεδόν ο καθημερινός μου προορισμός (μετά τις εργάσιμες ώρες) και μέσα από αυτόν έχω γνωρίσει πολλούς και αξιόλογους επαγγελματίες της πληροφορικής.
Και πάλι ευχαριστώ!
Επειδή το blog μου είναι “παιδί” του Xρήστου R2 Σπανουγάκη όσον αφορά το όνομα και τιμής ένεκεν καθώς αυτός με έφερε στην κοινότητα ως blogger και ενεργό μέλος, αποφάσισα να το μετονομάσω σε “Συμβουλές, κόλπα και “συνταγές” για Administrators και IT Pros (Macedonia IT Pros Child”.
Αυτά που γράφει ο Χρήστος εδώ καλύπτουν τις απόψεις μου οπότε δεν τα επαναλαμβάνω.
Δεν νομίζω να γράψω στα αγγλικά, αν κάνω κάτι τέτοιο θα το κάνω στο αγγλικό μου blog στo Live Space μου.
Τελευταία αναφέρθηκε από τους συναδέλφους στο forum ότι το Daemon Tools δε λειτουργεί σε Windows 7 RC, επειδή το εργαλείο το χρησιμοποιώ συνεχώς σκέφτηκα να δοκιμάσω την τύχη μου…
Να ξεκαθαρίσω ότι το Daemon tools αποτελείται από δυο τμήματα:
1) Τον Driver SCSI Pass Through Direct Layer (SPTD) το οποίο είναι υπεύθυνο για την επικοινωνία της εφαρμογής με τις συσκευές και το κατασκευάζει η DuplexSecure.
2) Η εφαρμογή Daemon Tools που κάνει την υπόλοιπο δουλειά, δηλαδή τη δημιουργία και το emulation των drives, το user interfacing και το O/S interfacing με τη χρήση του SPTD.
Η τελευταία έκδοση των Daemon Tools Lite είναι η v4.30.4 και περιλαμβάνει την έκδοση 1.58 του SPTD, υποστηρίζει δε Windows 7 Beta, όμως αν προσπαθήσετε να την εγκαταστήσετε σε Windows 7 RC δεν θα τα καταφέρετε.
Το κόλπο είναι να εγκαταστήσετε ξεχωριστά το SPTD 1.58 από το link της DuplexSecure παραπάνω, να κάνετε επανεκκίνηση και μετά να εγκαταστήσετε τα Daemon Tools Lite από εδώ.
Μετά την εγκατάσταση των Daemon Tools Lite και την επανεκκίνηση (αν σας προτρέψουν τα Windows) θα σας εμφανίζεται σχετικό μήνυμα ασυμβατότητας με αυτή την έκδοση, αγνοήστε το και απενεργοποιήστε το “Secure Mode” απο το Interface όπως στην εικόνα που ακολουθεί
Επίσης το θέμα αναφέρθηκε στα σχόλια του blog post του Μιχάλη Frees76 εδώ
Καλή επιτυχία!
Η Microsoft συνηθίζει πλέον να διευκολύνει κατά πολύ τις εγκαταστάσεις των προϊόντων της προσθέτοντας ένα εργαλείο ελέγχου των προαπαιτούμενων στοιχείων για την ορθή εγκατάσταση των εφαρμογών της, βέβαια πολλές φορές η εκτέλεση αυτών παραλείπεται με αποτέλεσμα να γεμίζουν τα fora με δεκάδες ερωτήσεις του τύπου: δεν προχωρά η εγκατάσταση του Χ Server κτλ κτλ.
Πριν την εγκατάσταση του SCCM 2007 SP1, είναι καλό να εκτελείται ο έλεγχος των προαπαιτούμενων έτσι ώστε να γλυτώσουμε χρόνο σε άσκοπες αναζητήσεις και ελέγχους και να επιταχύνουμε τη διαδικασία της εγκατάστασης. Εκτελώντας λοιπόν τον έλεγχο στο Windows 2008 Enterprise Server x64 (δείτε παρακάτω εικόνες), εμφανίστηκαν αρκετά στοιχεία που έπρεπε να εγκατασταθούν, ας δούμε μερικά από αυτά:
- BITS Server Extensions: Χρειάζεται για τη μεταφορά των Updates σε Clients, όσοι γνωρίζουν το WSUS το χρησιμοποιεί και αυτός για τον ίδιο λόγο. Παρέχει υπηρεσίες μεταφοράς, παύσης και συνέχειας από το σημείο όπου σταμάτησε η μεταφορά, δείτε παρακάτω για την εγκατάσταση του από command prompt.
- WSUS (Windows Software Update Services): Χρειάζεται για τη δημιουργία του καταλόγου των Updates καθώς και το κατέβασμα/αποθήκευση τους στο repository του Server, όπως έχω αναφέρει στα προηγούμενα άρθρα μου (SCCM 2007 - Ξεκινήστε εδώ!) ο SCCM 2007 χρησιμοποιεί για τους παραπάνω λόγους το WSUS αντί να φτιάχνει επιμέρους και πλεονάζοντες καταλόγους (όπως γινότανε στο παρελθόν στον SMS).
- Remote Differential Compression: Χρειάζεται για τη μεταφορά αρχείων μεταξύ δυο σημείων υπολογίζοντας τις διαφορές έτσι ώστε να μεταφέρεται μόνο η πληροφορία που έχει αλλάξει, ο υπολογισμός γίνεται στιγμιαία όταν υπάρξει σχετικό αίτημα (on the fly), δείτε παρακάτω για την εγκατάσταση του από command prompt.
- WebDAV: Είναι extension (feature) του IIS και χρησιμοποιείται στους System Site ρόλους Management Point και Distribution Point τους οποίους θα δούμε σε επόμενο post. Το WebDAV στον IIS 7.0 δεν είναι ενσωματωμένο (όχι τουλάχιστον μέχρι το Service Pack 1), κάτι το οποίο χρειάστηκε να ψάξω για να δω τι ακριβώς συνέβαινε. Δείτε λίγο παρακάτω το σχετικό τμήμα και τις εικόνες για να καταλάβετε.
- Active Directory Schema Extensions: Δεν είναι απαραίτητη η επέκταση του σχήματος του Active Directory για την εγκατάσταση του Site Server αλλά προτείνεται για την πλήρη υποστήριξη της χρήσης όλων των χαρακτηριστικών του Configuration Manager.
WebDAV & IIS 7.0
Ξεκινάμε τον Prerequisite Checker και αφού δούμε ότι λείπει το WebDAV προχωράμε στην προσθήκη Features για τον IIS στην επόμενη εικόνα….
Και εδώ έρχεται η ψυχρολουσία…… Όσο και αν ψάξετε δεν θα βρείτε πουθενά το WebDAV feature, προσέξτε την εικόνα, έχω εγκαταστήσει όλα τα features (γιατί μου είχαν χρειαστεί σε προηγούμενες δοκιμές οπότε η επιλογή “Add Features” είναι μη-ενεργή. Εμπρός λοιπόν να ψάξουμε να βρούμε τι φταίει.
Μετά από ψάξιμο εντοπίστηκε ο λόγος της μη ενσωμάτωσης του WebDAV για το IIS 7.0, ο λόγος είναι ότι η ομάδα που το ανέλαβε το ξαναέγραψε από την αρχή και προφανώς δεν πρόλαβε το χρονοδιάγραμμα των Windows 2008 έτσι ώστε να ενσωματωθεί στο τελικό προϊόν του IIS 7. Η λύση για την εγκατάσταση και ρύθμιση του WebDAV βρίσκεται στο site της ομάδας του IIS και συγκεκριμένα στη διεύθυνση: http://learn.iis.net/page.aspx/350/installing-and-configuring-webdav-on-iis-70/.
Μετά την εγκατάσταση και ενεργοποίηση του WebDAV πρέπει να δημιουργήσετε ένα Authoring Rule για το Website που θα χρησιμοποιήσετε για το SCCM, παραθέτω τις οδηγίες από το Technet Documentation του SCCM:
To install and configure WebDAV for IIS 7.0 to support management point and BITS-enabled distribution point site system computers
-
Depending on your server operating system platform, download either the x86 or x64 version of WebDAV from: http://go.microsoft.com/fwlink/?LinkId=108052.
-
Depending on which version was downloaded, run either the webdav_x86_rtw.msi or the webdav_x64_rtw.msi file to install WebDAV IIS 7.0 extensions.
-
Enable WebDAV and create an Authoring Rule, as follows:
- Navigate to Start / All Programs / Administrative Tools / Internet Information Services (IIS) Manager to start Internet Information Services 7 Application Server Manager.
- In the Connections pane, expand the Sites node in the navigation tree, and then click Default Web Site if you are using the default Web site for the site system or SMSWEB if you are using a custom Web site for the site system.
- In the Features View, double-click WebDAV Authoring Rules.
- When the WebDAV Authoring Rules page is displayed, in the Actions pane, click Enable WebDAV.
- After WebDAV has been enabled, in the Actions pane, click Add Authoring Rule.
- In the Add Authoring Rule dialog box, under Allow access to, click All content.
- Under Allow access to this content to, click All users.
- Under Permissions, click Read, and then click OK.
-
Change the property behavior as follows:
- In the WebDAV Authoring Rules page, in the Actions pane, click WebDAV Settings.
- In the WebDAV Settings page, under Property Behavior, set Allow anonymous property queries to True.
- Set Allow Custom Properties to False.
- Set Allow property queries with infinite depth to True.
- If this is a BITS-enabled distribution point, under WebDAV Behavior, set Allow hidden files to be listed to True.
- In the Action pane, click Apply.
-
Close Internet Information Services (IIS) Manager.
Μεταβολή του requestFiltering για τα BITS-Enabled Distribution Point PCs
Επίσης χρειάζεται να κάνετε μια αλλαγή στο requestfiltering τμήμα του BITS-enabled PC που έχει εγκατεστημένο το ρόλο Distribution Point (εάν έχετε πάνω από ένα τότε πρέπει να γίνει σε κάθε ένα) –μετάφραση από το Technet Documentation του SCCM:
- Ανοίξτε το αρχείο applicationHost.config από το φάκελο %windir%\System32\inetsrv\config\ στο Distribution Point PC
- Ψάξτε το λεκτικό <requestFiltering>
- Επιλέξτε τις επεκτάσεις αρχείων που θα περιλαμβάνονται στα πακέτα του Distribution Point (πακέτα εφαρμογών), για κάθε επέκταση αλλάξτε το λεκτικό allowed σε true. Για παράδειγμα, αν ένα πακέτο περιέχει το αρχείο με επέκταση .mdb, τότε αλλάξτε τη γραμμή <add fileExtension=".mdb" allowed="false" /> σε <add fileExtension=".mdb" allowed="true" />. Επιτρέψτε μόνο τις επεκτάσεις αρχείων που χρειάζονται από τα πακέτα σας, δηλαδή αποφύγετε τους πλεονασμούς για λόγους ασφαλείας.
- Σώστε και κλείστε το αρχείο applicationHost.config.
Έχετε υπόψη σας ότι η παραπάνω αλλαγή εφαρμόζεται καθολικά και όχι για συγκεκριμένο Site οπότε καταλαβαίνετε ότι έτσι “χαλαρώνετε” την ασφάλεια του Server σας και αυξάνετε την επιφάνεια επίθεσης του, συνεπώς θα πρέπει να είστε φειδωλοί στη χρήση του.
Εγκατάσταση Remote Differential Compression από Command Prompt σε Windows 2008
Για να εγκαταστήσετε το RDC μπορείτε να χρησιμοποιήσετε το Server Manager του Server 2008 και να χρησιμοποιήσετε τον Οδηγό Προσθήκης Χαρακτηριστικών (Add Features Wizard), αν θέλετε όμως να εγκαταστήσετε το feature απο το command prompt τότε ανοίξτε ένα command prompt ως Administrator και πληκτρολογήστε την εντολή: Servermanagercmd -Install Rdc.
Θα αναφερθώ στις εντολές του Servermanagercmd σε μελλοντικό post καθώς είναι αρκετές και πολύ βολικές όταν θέλεις να αυτοματοποιήσεις την εγκατάσταση features/ρόλων σε πολλούς servers.
Εγκατάσταση BITS Server Extensions από Command Prompt σε Windows 2008
Όπως και στο RDC ανοιγουμε elevated command prompt ή το τρέχουμε ως Administrator και δίνουμε την εντολή: Servermanagercmd -Install BITS.
Επέκταση του Active Directory σχήματος (Active Directory Schema Extension)
Η επέκταση του AD Schema θέλει προσοχή αποτελεί από μόνη της μια διαδικασία η οποία δεν μπορεί να περιγραφεί μέσα σε μερικές γραμμές, γι’ αυτό θα ακολουθήσει ξεχωριστό post με τις σχετικές οδηγίες και συμβουλές προς αποφυγή προβλημάτων. Αναφέρω μόνο ότι η επέκταση του σχήματος μπορεί να γίνει και σε Windows 2000 DCs και ότι παρόλο που η τεκμηρίωση αναφέρει ότι μπορεί να γίνει πριν ή μετά την εγκατάσταση το σωστό είναι να γίνεται πριν την εγκατάσταση του Configuration Manager.
Σ’ αυτό το σημείο ολοκληρώθηκε η διαδικασία ελέγχου των προαπαιτούμενων για την εγκατάσταση του System Center Configuration Manager, θα ακολουθήσουν posts με όσα έχουν αναφερθεί παραπάνω καθώς και για το σχεδιασμό της εγκατάστασης του SCCM 2007.
Συνεχίζοντας από το προηγούμενο post θα δούμε τα υπόλοιπα εργαλεία διαχείρισης που περιλαμβάνονται στο SCCM 2007 R2.
Διανομή Λογισμικού (Software Distibution)*
Ακόμη ένα κλασσικό πρόβλημα στις καθημερινές εργασίες των IT τμημάτων είναι αυτό της διανομής ή καλύτερα εγκατάστασης λογισμικού (εφαρμογών), ο SCCM υποστηρίζει τη διανομή φυσικών και εικονικών εφαρμογών (Application Virtualization όπως το Softgrid) και αυτό μπορεί να το κάνει σε Mobile συσκευές, Laptops, Servers, Desktops.
Οι δυνατότητες που έχει η λειτουργία αυτή είναι πολλές όπως το πακετάρισμα πολλών εφαρμογών με την κάθε μια να έχει τις δικές της ρυθμίσεις, τη διανομή σε συγκεκριμένους στόχους καθώς και την εκτενή αναφορά για τις εργασίες που εκτελέστηκαν (ή δεν έχουν εκτελεστεί). Υποστηρίζεται η εκτέλεση εντολών για προγράμματα που είναι ήδη εγκατεστημένα στον πελάτη (για την παραμετροποίηση εφαρμογών μαζικά) και ο χρονοπρογραμματισμός των εργασιών.
Έχει δοθεί ιδιαίτερη σημασία στη διαλειτουργικότητα με τις περιφερειακές μονάδες ενός οργανισμού/εταιρίας που βρίσκονται σε απομακρυσμένα σημεία, υπάρχουν ειδικές ρυθμίσεις για την λειτουργία με χαμηλές ταχύτητες (σύνηθες φαινόμενο για την Ελλάδα!) χωρίς τη χρήση του DFS καθώς ένας ρόλος του SCCM είναι η δημιουργία “σημείων διανομής λογισμικού” (distribution points) τα οποία δεν είναι αναγκαίο να είναι Servers (σε επίπεδο μηχανής και λειτουργικού) αλλά ακόμη και Windows XP, οπότε εκεί το DFS δεν είναι διαθέσιμο (η server λειτουργία καθώς ο Client υπάρχει στο λειτουργικό).
Να αναφερθεί ότι οι Clients που δε βρίσκονται συχνά στα γραφεία των εταιριών αλλά έχουν σύνδεση με το Internet μπορούν να εξυπηρετηθούν μέσω του IBCM (Internet Based Client Management) και αυτό με τον απόλυτο έλεγχο των Administrators.
Μέσα στο περιβάλλον IT της εταιρίας είναι δυνατή η ενεργοποίηση των συστημάτων με τη χρήση του Wake On Lan ακόμη και αν αυτά είναι κλειστά (όχι σε κατάσταση νάρκης, ύπνου).
Ο πίνακας ελέγχου (Dashboard) δίνει τις απαραίτητες πληροφορίες σχετικά με την πρόοδο των εγκαταστάσεων είτε σε εταιρικό επίπεδο είτε σε επίπεδο μηχανής (υπολογιστής, φορητή συσκευή).
Διαχείριση Επιθυμητών Ρυθμίσεων/Διαμορφώσεων (Desired Configuration Management)*
Θα ξεκινήσω με ερωτήσεις:
α) Πόσο ομοιόμορφη είναι η υποδομή σας είτε σε Servers είτε σε clients;
β) Οι δικτυακές σας συσκευές με τις πρότυπα εγκαθίστανται;
γ) Πόσο ασφαλή είναι τα συστήματα σας; (Servers, Clients κτλ);
δ) Πότε ελέγξατε τελευταία φορά τα συστήματά σας για αποκλίσεις σε εγκαταστάσεις λογισμικού / προσθήκη χρηστών / αλλαγές σε ρυθμίσεις;
Οι παραπάνω ερωτήσεις μπορούν να συνεχιστούν άνετα και γίνεται αντιληπτό ότι ένας εφιάλτης γεννιέται για τους Admins και τους IT Managers, είναι πολύ δύσκολο το έργο της εγκατάστασης μιας υποδομής και της λειτουργίας της, ακόμα μεγαλύτερη δυσκολία όμως βρίσκεται πίσω από τον έλεγχο της σταθερότητας και συμμόρφωσης της υποδομής σύμφωνα με τα πρότυπα που τέθηκαν αρκετό χρόνο πριν τη θέση της σε παραγωγή.
Πολλές φορές η αποτυχία των IT τμημάτων/διευθύνσεων σε θέματα υποδομής οφείλεται στην ανυπαρξία μηχανισμού ελέγχου της υποδομής σύμφωνα με καλώς ορισμένα πρότυπα πχ το firewall στα windows xp είναι πάντα ενεργοποιημένο και ο χρήστης δεν έχει το δικαίωμα να το απενεργοποιήσει, τα rules που επιτρέπονται είναι τα ακόλουθα….. Συνήθως εκεί που σταματάνε οι υπεύθυνοι της υλοποίησης ενός συστήματος είναι στην εγκατάσταση συστημάτων με τυπικές και ειδικές ρυθμίσεις που “θεωρητικά” εξυπηρετούν τις ανάγκες ασφαλείας των συστημάτων, παρόλα αυτά ο περιοδικός έλεγχος των συστημάτων για τη συμμόρφωση τους με αυτές τις ρυθμίσεις θεωρείται “μπελάς” καθώς απαιτεί χρόνο και ανθρώπινους πόρους κάτι που συνήθως είναι σε έλλειψη.
Με το εργαλείο DCM είναι δυνατή η επισκόπηση των συστημάτων μας μέσω καλώς ορισμένων “baseline” πακέτων διαμορφώσεων και ρυθμίσεων με τα οποία μπορείτε να ελέγξετε την κατάσταση των Servers / Clients καθώς και τις αποκλίσεις τους από αυτά, η Microsoft παρέχει baseline configuration packs για τις συχνότερα χρησιμοποιούμενες enterprise εφαρμογές.
Κάτι που είναι πολύ σημαντικό είναι η δυνατότητα αυτόματης διόρθωσης των συστημάτων που αποκλίνουν μέσω των υπόλοιπων εργαλείων διαχείρισης όπως η εγκατάσταση των updates.
Όπως και στα υπόλοιπα εργαλεία το reporting είναι εύχρηστο και ευανάγνωστο με δυνατότητες για γρήγορα αλλά και εξειδικευμένα αποτελέσματα, έτσι ώστε η εξαγωγή συμπερασμάτων να είναι σύντομη και τεκμηριωμένη.
Υπάρχουν configuration packs από τρίτους κατασκευαστές για μη-Microsoft προϊόντα λογισμικού αλλά και Hardware όπως οι δικτυακές συσκευές οι servers κτλ, κάποια από αυτά διατίθενται δωρεάν από τις κατασκευάστριες εταιρίες όπως η Dell και η HP. Θα δούμε περισσότερα πράγματα στο μέλλον για τις δυνατότητες του DCM.
Διαχείριση Ενημερώσεων Λογισμικού (Software Update Management)*
Φτάσαμε στο πιο παρεξηγημένο και παραμελημένο κομμάτι της υποδομής ΙΤ, αυτό της ενημέρωσης του λογισμικού, παραμελημένο γιατί συνήθως κανείς “δεν” θέλει να ασχοληθεί και παρεξηγημένο γιατί υπάρχει η θεώρηση ότι “οι ενημερωμένες εκδόσεις δεν λύνουν πάντα προβλήματα, τουναντίον δημιουργούν μεγαλύτερα”. Εδώ θα μου επιτρέψετε να διαφωνήσω καθώς μια σωστή υποδομή πρέπει να έχει μηχανισμούς ενημέρωσης των συστημάτων και πολύ περισσότερο να το κάνει αυτό χωρίς να διακόπτει τις καθημερινές λειτουργίες, βλέπετε οι IT Professionals εκτός από υπεράνθρωποι είναι και άνθρωποι της νύχτας :)
Ο SCCM SUM έχει τη δυνατότητα να ενημερώσει Microsoft εφαρμογές και λειτουργικά συστήματα καθώς και εφαρμογές τρίτων ή και κατασκευασμένων in-house για εταιρική χρήση σε custom εφαρμογές, drivers συσκεύων, BIOS συστημάτων σε laptops, servers, workstation και Mobile συσκεύες!
Για τους clients που δεν συνδέονται στα κεντρικά γραφεία της εταιρίας αλλά συνδέονται στο Internet για να εργαστούν υπάρχει η δυνατότητα αναβάθμισης μέσω Internet με τη λειτουργία IBCM που αναφέρθηκε παραπάνω στη Διανομή Λογισμικού.
Ο SCCM χρησιμοποιεί την τεχνολογία του WSUS για τη διανομή των ενημερώσεων αλλά την εμπλουτίζει σε πολύ μεγάλο βαθμό με ειδικά χαρακτηριστικά όπως λεπτομερέστερα χρονοδιαγράμματα εκτέλεσης ακόμα και εκτός ωρών εργασίας με αυτόματο άνοιγμα των μηχανημάτων (Wake On Lan).
Ο SUM συνεργάζεται με το System Center Virtual Machine Manager έτσι ώστε να γίνεται η εγκατάσταση των ενημερώσεων σε ενεργά και μη ενεργά Virtual Machines με τον ίδιο τρόπο που γίνεται στην υπόλοιπη υποδομή.
Σ’ αυτό το σημείο ολοκληρώθηκε ο κύκλος των εισαγωγικών posts, από εδώ και στο εξής θα υπάρξουν παρουσιάσεις των χαρακτηριστικών με μεγαλύτερη λεπτομέρεια και ενδεχομένως και κάποια screencasts, επίσης θα παρέχεται ενημέρωση για τα configuration packs και ότι έχει σχέση με το SCCM (tips and tricks!).
*Ακρωνύμια που θα χρησιμοποιούμε συχνά:
DCM (Desired Configuration Management)
SUM (Software Update Management)
SD (Software Distribution)
OSD (Operating System Deployment)
AI (Asset Intelligence)
Επειδή τα posts για τον SCCM θα είναι αρκετά, θα συγκεντρώνω εδώ τα posts με τα links τους στη σειρά που πρέπει να διαβαστούν.
Στο πρώτο post είδαμε τις δυνατότητες του SCCM σε υψηλό επίπεδο, σ’ αυτό το post θα δούμε τα εργαλεία διαχείρισης που προσφέρει ο SCCM έτσι ώστε να πετύχουμε τους στόχους μας όσον αφορά:
- Την εγκατάσταση λειτουργικών συστημάτων σε Servers και Clients.
- Την ενημέρωση των προαναφερθέντων λειτουργικών συστημάτων με κρίσιμες και τακτικές ενημερώσεις, αναβαθμίσεις ακόμα και από τρίτες εταιρίες ή κατασκευασμένες In-house για τις ανάγκες του περιβάλλοντος μας
- Την επιτήρηση και τον έλεγχο της υποδομής μας σχετικά με το hardware που κατέχουμε και το software που έχει εγκατασταθεί στην εταιρία με σκοπό τον έλεγχο του hardware (αποφυγή του Midnight Shopping*) και τον έλεγχο των αδειών χρήσης και τον έγκαιρο εντοπισμό και αφαίρεση των μη εγκεκριμένων προγραμμάτων που εντοπίστηκαν.
- Εγκατάσταση λογισμικού (software deployment) κατά μήκος της εταιρίας με ελεγχόμενο τρόπο και εκτενή πληροφόρηση μέσω αναφορών.
- Βελτιστοποίηση των καθημερινών εργασιών όσον αφορά τα παραπάνω με εύκολο τρόπο έτσι ώστε η διαχείριση τους να γίνεται με όσο το δυνατόν λιγότερο κόπο και επέμβαση.
- Έλεγχος της ασφάλειας των συστημάτων μιας εταιρίας Servers, Clients ακόμη και δικτυακών συσκευών μέσω σχετικών configuration packs σύμφωνα με τα baselines που έχει θέσει.
- Απομακρυσμένη υποστήριξη των χρηστών.
Ας δούμε τα εργαλεία που προσφέρει ο SCCM για τις διάφορες περιοχές κλειδιά του IT.
Έλεγχος των περιουσιακών στοιχείων (Asset Intelligence)
Δεν είναι λίγες οι στιγμές που ένας IT Manager χρειάστηκε να γνωρίζει τι υπάρχει εγκατεστημένο στην υποδομή της εταιρίας του, επίσης με τους ελέγχους που γίνονται για τη χρήση παράνομου λογισμικού, χρειάζεται ένα σύστημα που να προσφέρει πλήρη και αναγνώσιμη την πληροφορία αυτή καθώς και το hardware που υπάρχει εγκατεστημένο και αν συμφωνεί με τα πρότυπα της εταιρίας –αρκετές φορές έχουν βρεθεί υπολογιστές που δεν είναι εταιρικοί και δε συμβαδίζουν με τους υπόλοιπους-.
O SCCM προσφέρει τις πληροφορίες αυτές με τη χρήση της online βάσης της Microsoft στην οποία υπάρχουν περισσότερες απο 400.000 εφαρμογές. Επίσης ο SCCM βρίσκει νέα συστήματα καθώς και αυτά που αλλάζουν και τα καταχωρεί στη βάση του ενημερώνοντας συγχρόνως του Administrators. Οι δυνατότητες reporting είναι πάρα πολλές, υπάρχουν έτοιμες συλλογές (collections), queries του χρήστη, αναφορές από τη σχετική μηχανή αναφορών οι οποίες θα απαντήσουν στα ερωτήματα του τύπου (αναφερόμενοι στο λογισμικό “χ”):
- Πόσα αντίγραφα του έχουν εγκατασταθεί στην υποδομή και πόσοι χρήστες χρησιμοποιούν πραγματικά την εφαρμογή.
- Πόσες άδειες του χρειάζεται να αγοραστούν όταν ανανεωθεί η σύμβαση με τον κατασκευαστή.
- Σε περίπτωση που οι χρήστες δεν το χρησιμοποιούν τότε ίσως χρειάζεται να αποσυρθεί από τα συστήματα της εταιρίας.
- Ποιες ώρες της ημέρας χρησιμοποιείται συχνότερα.
Ο έλεγχος των CALs για Windows Servers & Exchange Server απλοποιείται και η αναφορά χρήσης είναι ευκολότερη από ποτέ καθώς υποστηρίζονται πλήρως από την εφαρμογή.
Εγκατάσταση Λειτουργικών Συστημάτων Servers & Clients (Operating System Deployment)
Η Microsoft έγραψε από την αρχή τον παλιό RIS και τον ονόμασε WDS (Windows Deployment Services), ο SCCM χρησιμοποιεί το WDS αλλά πηγαίνει πολύ παραπέρα δίνοντας μεγαλύτερη ευελιξία στους Admins και διευκολύνοντας τη διαδικασία με εύκολους και κατανοητούς οδηγούς που δεν πάσχουν σε πληρότητα και ευελιξία.
Η εγκατάσταση των Λ/Σ δεν σταματάει στο κομμάτι αυτό μόνο, δίνεται η δυνατότητα να ρυθμιστούν πολλές εφαρμογές και χαρακτηριστικά του Λ/Σ καθώς και να εγκατασταθούν οι Drivers οι ενημερώσεις του καθώς και όποιες εφαρμογές θέλουμε, έτσι ώστε να παραδίδονται στους τελικούς χρήστες σύμφωνα με τις απαιτήσεις τους και βάσει των προδιαγραφών του οργανισμού.
Το καλύτερο απ’ όλα είναι ότι η διαδικασία αυτοματοποιείται πλήρως με το “Task Sequencing” καθιστώντας την περίπλοκη διαδικασία της εγκατάστασης ενός Λ/Σ με επιμέρους εφαρμογές μια επαναλήψιμη και εύκολη διαδικασία με κοινά εργαλεία εγκατάστασης για τους Servers και τους Clients.
Οι τύποι των εγκαταστάσεων που υποστηρίζονται είναι:
- Bare Metal Installation, δηλαδή εγκατάσταση σε hardware που δεν έχει κανένα Λ/Σ εγκατεστημένο
- Upgrade, η αναβάθμιση του Λ/Σ σε νεότερο χωρίς την απώλεια δεδομένων, αυτό ισχύει για Servers και Clients, στους clients ειδικότερα διατηρούνται όλες οι ρυθμίσεις και τα αρχεία έτσι ώστε η εμπειρία τους να μην επηρεάζεται.
- O/S Installation, εκ νέου εγκατάσταση του Λ/Σ διαγράφοντας το παλιό (καθαρή εγκατάσταση ή με διατήρηση των ρυθμίσεων/αρχείων του χρήστη).
- O/S Refreshing, η επανεγκατάσταση του Λ/Σ με την ίδια έκδοση διαγράφοντας το παλιό (καθαρή εγκατάσταση ή με διατήρηση των ρυθμίσεων/αρχείων του χρήστη).
Ο SCCM χρησιμοποιεί μόνο WIM αρχεία για τις εγκαταστάσεις των λειτουργικών, τα οποία είναι πολύ πιο εύχρηστα από τις προηγούμενες μορφές όπως αυτής του RIS, πλέον χρησιμοποιούμε ένα Image για εγκατάσταση Λ/Σ της ίδιας οικογένειας (έτσι είναι τα Vista και οι 2008 servers). Θα εμβαθύνουμε περισσότερο σε επόμενα posts.
Μεγάλη βάση έχει δοθεί στη διευκόλυνση των Admins και των διαδικασιών εγκατάστασης, αναβάθμισης κτλ όπως αναφέρεται παραπάνω, να σημειωθεί ότι ο SCCM είναι Enterprise προσανατολισμού, παρόλα αυτά υπάρχει και έκδοση για Μικρές/Μεσαίες επιχειρήσεις με ενσωματωμένο και το SC Operations Manager η System Center Essentials σουίτα έχει διαφορές με τα δυο προϊόντα (κάποιες λιγότερες λειτουργίες) αλλά κάνει πολύ καλά τη δουλειά της και έτσι.
Συνεχίζουμε στο επόμενο post με τρία ακόμη εργαλεία.
*Midnight Shopping=Η κλοπή hardware ή και software (cd, box κτλ) εκτός ωρών εργασίας είτε από εργαζόμενους είτε από τρίτους που έχουν σχέση με την εταιρία (πχ συνεργείο καθαρισμού), είναι ένας όρος που χρησιμοποιείται συχνά σε εταιρικά περιβάλλοντα καθώς εκεί είναι συχνό το φαινόμενο (δείτε και το άρθρο του Α. Φωτακέλη εδώ).
Η Microsoft έχει αρκετά χρόνια εμπειρίας στον τομέα της Διαχείρισης Συστημάτων, συγκεκριμένα η πρώτη έκδοση του δημοφιλούς System Management Server (SMS Server) βγήκε το 1994 έκτοτε έχουν κυκλοφορήσει άλλες 3 “μεγάλες” εκδόσεις του SMS Server με την τελευταία να είναι η 2003 R2 το 2006.
Από το 2007 μέχρι σήμερα το προϊόν μετονομάστηκε σε System Center Configuration Manager και είναι μέλος της γνωστής και ευγενούς οικογένειας “System Center” κάτω από την οποία στεγάζονται εξαιρετικά προϊόντα που διευκολύνουν τη διαχείριση συστημάτων καθώς και του κύκλου ζωής τους.
Το 2006 παρακολούθησα μια παρουσίαση του Microsoft Operations Manager (MOM) και του SMS Server που θα διαδεχόταν την έκδοση 2003 (μιλάμε για την έκδοση R2), τότε οι ομιλητές ανέφεραν ότι οι αλλαγές που έρχονται στην έκδοση 2003 R2 είναι μεγάλες και ότι θα βελτιωθεί πολύ η διαδικασία της εγκατάστασης, ένα θέμα που ταλάνιζε τους απανταχού χρήστες του SMS Server. Δυστυχώς τότε δεν είχα στη διάθεση μου τη νέα έκδοση και δοκίμαζα ήδη την έκδοση 2003, αυτό που αποκόμισα από την ενασχόληση μου για 2 περίπου μήνες ήταν ότι το προϊόν είχε πολύ δυναμικό αλλά ήθελε και πολύ χρόνο για να το φέρεις στα μέτρα σου. Εκτός αυτού απαιτούσε ένα άτομο να ασχολείται αποκλειστικά με αυτό και όπως γνωρίζετε στην Ελλάδα αυτό είναι πολυτέλεια!
Τελικά η Microsoft άκουσε προσεκτικά τις απαιτήσεις των χρηστών του SMS Server και βελτίωσε εκπληκτικά τον SMS μάλιστα του άλλαξε και το όνομα για να περιγράφει καλύτερα το ρόλο του, πλέον ο System Center Configuration Manager ήταν γεγονός, ένα δυναμικό όπλο στη φαρέτρα των System Administrators.
Στο πρώτο αυτό εισαγωγικό post θα γίνει μια αναφορά στις δυνατότητες του SCCM, θα ακολουθήσουν αρκετά posts με περισσότερες πληροφορίες για κάθε δυνατότητα, τους ρόλους του SCCM καθώς και προτάσεις για την υλοποίηση του σε διάφορα δίκτυα ανάλογα με τις ανάγκες που θα καλυφθούν.
Ο SCCM λοιπόν είναι η λύση Διαχείρισης Συστημάτων της Microsoft για την διεξοδική αποτίμηση, ανάπτυξη (εγκατάσταση λειτουργικών συστημάτων) και ενημέρωση των Servers, Clients και συσκευών (πχ WinMobile τηλέφωνα) σε φυσικά, εικονικά, κατανεμημένα και mobile περιβάλλοντα.
Οι τεχνολογίες στις οποίες βασίζεται ο SCCM είναι θεμελιώδεις (key όπως τις αναφέρει η Microsoft), όπως το Active Directory, Windows Software Update Services (WSUS), Windows Deployment Services (WDS), Windows Imaging Format (WIM) κτλ.
O SCCM βελτιώνει τον έλεγχο και την επιτήρηση των υποδομών IT μιας εταιρίας ως προς:
α) Το hardware & software που υπάρχει εγκατεστημένο καθώς και
β) των ενημερώσεων (patches / updates) των προϊόντων Microsoft αλλά και τρίτων κατασκευαστών ακόμα και δικών μας (σας) εφαρμογών!
Έτσι διασφαλίζεται η συμμόρφωση των επιθυμητών διαμορφώσεων των Servers, Clients, (Desired Configuration –σημειώστε αυτή την έκφραση γιατί θα τη χρησιμοποιήσουμε πολύ-) με σκοπό τη βελτίωση της διαθεσιμότητας των συστημάτων, της ασφάλειας τους, της απόδοσης τους, καθώς και των κανονιστικών/νομικών συμμορφώσεων που αφορούν το περιβάλλον IT μιας εταιρίας/οργανισμού (για παράδειγμα η εφαρμογή της πολιτικής ενημέρωσης των υπολογιστών με τα κρίσιμα updates). Στο κομμάτι της επιτήρησης θα πρέπει να γίνει κατανοητό ότι δεν εκτελεί χρέη παρόμοια με τον System Center Operations Manager του οποίου η δουλειά είναι καθαρά το Monitoring της υποδομής σε επίπεδο λειτουργικού συστήματος, εφαρμογών αλλά και συσκευών όπως routers/switches κτλ ανάλογα με τα management packs που έχουν εγκατασταθεί.
Συνοπτικά λοιπόν ο SCCM περιλαμβάνει:
1) Ολοκληρωμένη και διεξοδική ανάπτυξη/εγκατάσταση και ενημέρωση (patching/updating) συστημάτων Server, Client O/S (Systems Deployment / Updating / Patching)
2) Εργαλεία για τον έλεγχο και επιτήρηση της υποδομής IT (Asset Management/Tracking)
3) Βελτιστοποίηση των λειτουργικών συστημάτων Windows με δυνατότητα για περεταίρω επεκτασιμότητα.
Πριν βιαστείτε να βγάλετε συμπεράσματα σχετικά με τη διαχείριση των ενημερώσεων (patch management) λόγω της χρήσης του WSUS θα αναφέρω ότι τα δυο συστήματα συνεργάζονται αλλά ο SCCM πηγαίνει αρκετά βήματα παραπέρα στη διαχείριση και ανάπτυξη (εγκατάσταση κατά μήκος της υποδομής) σε σχέση με το WSUS.
Στο επόμενο post θα δούμε τα εργαλεία διαχείρισης που προσφέρει ο SCCM για διάφορες περιοχές κλειδιά του IT.
Συνήθως κανείς μας δεν δίνει τη δέουσα σημασία στα αντικείμενα Group Policy (GPO από εδώ και στο εξής), είναι πολύ σημαντικό όμως να έχουμε υπόψη ότι επηρεάζουν σε κάποιο βαθμό την ταχύτητα εισόδου του χρήστη στο σύστημα του ειδικά σε περιπτώσεις που συνδέονται με αργές συνδέσεις σε απομακρυσμένο DC, επίσης όταν ο δεύτερος έχει χαμηλό Uplink οπότε επέρχεται επιπλέον καθυστέρηση.
Τα βήματα για τη δημιουργία των GPO είναι:
1) Φόρτωμα των ADM, ADMX αρχείων στο PC που θα δημιουργήσει τις πολιτικές, από το οποίο θα ενημερωθεί και ο DC στον οποίο γίνονται οι προσθήκες με τα administrative templates που του λείπουν (στη συνέχεια θα γίνουν όλα replicate στους υπόλοιπους).*
2) Δημιουργία της πολιτικής, επεξεργασία για την επιλογή των ρυθμίσεων και έλεγχος της εφαρμογής της με τα σχετικά εργαλεία όπως το Resultant Set Of Policy (Group Policy Results) και το Group Policy Modeling Wizard.
3) Δημιουργία WMI Filters για τον περιορισμό της εφαρμογής της με συνθήκες (δείτε το σχετικό άρθρο μου εδώ)
4) Εναλλακτικά δημιουργία Security Filter για τον περιορισμό της εφαρμογής σε γκρουπ χρηστών (θα ακολουθήσει άρθρο μετά από αυτό!)
5) Σύνδεση (link) της πολιτικής με το/τα OUs που μας ενδιαφέρουν
Τα 3 & 4 είναι εντελώς προαιρετικά.
Τελειώσαμε!…………
Δεν τελειώσαμε όμως :)
Όταν έχουμε φορτώσει administrative templates στο σταθμό εργασίας που φτιάχνουμε τις πολιτικές, σε κάθε νέα πολιτική που δημιουργούμε προσαρτώνται αυτόματα τα παρακάτω administrative templates τα οποία υπάρχουν εξ ‘ορισμού στα λειτουργικά συστήματα Windows XP/2003/2000 SP3 εκτός από τα 64bit λειτουργικά από τα οποία λείπουν όσα έχουν το σταυρό (+):
Όνομα ADM | Περιγραφή | Μέγεθος |
Conf.adm | + NetMeeting Ρυθμίσεις, είδατε πως μπορεί να σας ξεγελάσει το όνομα! | 40 ΚB |
Inetres.adm | Internet Explorer | ~ 1.7 MB |
System.adm | System / Network / Desktop / Control Panel / Start Menu Ρυθμίσεις | > 1.7 MB |
WMPlayer.adm | Windows Media Player | 67 KB |
Wuau.adm | + Windows Update | 43 KB |
Όπως βλέπετε ένα GPO έχει περίπου 3.6 ΜΒ μέγεθος εξ’ ορισμού, φανταστείτε ότι αν έχετε τουλάχιστον δυο GPOs ενεργές σε OU με Clients απομακρυσμένους πχ σε υποκατάστημα, πόσο θα καθυστερήσουν να ξεκινήσουν, οι XP clients όταν συνδέονται με το AD ελέγχουν αν έχουν αλλάξει τα GPOs που τους αφορούν, ακόμη και με μια μικρή αλλαγή αυτό θα εννοηθεί ως πλήρης μεταφορά του GPO στον Client.
Οι XP Clients κάνουν ασύγχρονη επεξεργασία των GPOs αυτό δεν είναι πάντα επιθυμητό καθώς δε γνωρίζουμε πότε εφαρμόστηκαν οι ρυθμίσεις και τι κατάφερε να κάνει ο χρήστης στη διάρκεια της μη εφαρμογής τους περισσότερα μπορείτε να διαβάσετε εδώ πηγαίνοντας στο τέλος στο σημείο “Asynchronous Processing and Logon Optimization in Windows XP”.
Είναι λοιπόν καλή τακτική να αφαιρείτε όσα ADMs δεν χρειάζονται και καλό θα είναι να τα αφαιρείται πριν ξεκινήσετε να αλλάζετε ρυθμίσεις.
Για να αφαιρέσετε λοιπόν όποια templates δεν σας χρειάζονται κάνετε “Edit” στο GPO σας και μετά από τη δεξιά πλευρά είτε στο Computer Configuration είτε στο User Configuration κάντε δεξί κλικ στο “Administrative Templates”, και επιλέξτε “Add/Remove Templates” από τη λίστα αφαιρέστε αυτά που σας ενδιαφέρουν και είστε έτοιμοι!
Κάθε GPO έχει μια μοναδική ταυτότητα (Unique ID) σε δεκαεξαδική μορφή και περικλείεται σε αγκύλες, ένα παράδειγμα είναι αυτό: {16125B1D-4858-4460-AA70-FDA6AECCEF8A} την πληροφορία αυτή μπορείτε να την εντοπίσετε από τη Group Policy Management Console (GPMC) πατώντας πάνω στο GPO και έπειτα από την ετικέτα “Details”.
Όταν θελήσετε να δείτε το τελικό μέγεθος του GPO θα πρέπει να εντοπίσετε το φάκελο DriveLetter:\SYSVOL\sysvol\[domain.name]\Policies\{Unique-ID}\ ελέγξτε τα properties του φακελου με το Unique-ID και θα δείτε το τελικό μέγεθος του GPO, αν θέλετε να δείτε μόνο το μέγεθος των adm templates τότε κάτω από το Unique-ID υπάρχει ο φάκελος ADM δείτε τα properties του, προσέξτε στο path παραπάνω το δεύτερο sysvol φάκελο με μικρά γράμματα, αυτός πρέπει να είναι shared από Server και αυτό γίνεται κατά την εκτέλεση του DCPromo.
* Γενικά δεν είναι καλή ιδέα να φτιάχνετε τις πολιτικές στο Server (για λόγους ασφαλείας), παρόλα αυτά αν δεν υπάρχει επιλογή δεν υπάρχει πρόβλημα, μπορείτε να εγκαταστήσετε την Group Policy Management Console και τα Administrative templates που σας ενδιαφέρουν και να κάνετε όλες τις αλλαγές από εκεί.
Καλή Χρονιά και Χρόνια Πολλά! Εύχομαι τα καλύτερα για το νέο έτος σε όλους/όλες σας!
Ξεκινάω το νέο έτος με ένα ενδιαφέρον χαρακτηριστικό που έχει περάσει απαρατήρητο και θεωρώ ότι πολλοί θα εκτιμήσουν ιδιαίτερα την ύπαρξή του, καθώς προσφέρει τη δυνατότητα να περιορίζεται η εμφάνιση των αρχείων & φακέλων σε όσους δεν έχουν δικαίωμα πρόσβασης.
Ίσως κάποιοι από εσάς να έχουν ασχοληθεί με το Novell Netware στο παρελθόν, ένα λειτουργικό σύστημα που είχε ιδιαίτερες δυνατότητες σε File Sharing, κάποτε το Novell ήταν ένα καθαρόαιμο λειτουργικό σύστημα Server εστιασμένο στις υπηρεσίες διαμοιρασμού αρχείων, πλέον συνδυάζει και άλλες δυνατότητες όπως GroupWare, collaboration κτλ, αλλά έχει χάσει την αίγλη του καθώς και μεγάλο μερίδιο της αγοράς λόγω λανθασμένων στρατηγικών κινήσεων.
Πλέον όμως το Novel βασίζεται σε Unix πυρήνα και "χτίζεται" με παρόμοιο τρόπο όπως το Mac OSX (μην παρεξηγείτε τα γραφόμενα, κάθε λειτουργικό αναπτύσσεται ανεξάρτητα), δεν έχει ξεχάσει όμως την κληρονομιά του, ίσα ίσα εξακολουθεί να αναπτύσσει καινοτόμες ιδέες, γεγονός που δεν αφορά το συγκεκριμένο άρθρο.
Το Novell λοιπόν περιόριζε τα αντικείμενα που ήταν θεάσιμα απο κάθε χρήστη όταν δεν είχε τα σχετικά δικαιώματα, πχ η Αλίκη προσπελαύνει το φάκελο "Users" στον οποίο είχε δικαιώματα χρήσης μόνο στο φάκελο "Αλίκη" και παρόλο που έχει και άλλους φακέλους ο "Users" αυτή βλέπει μόνο το δικό της, σκεφτείτε λίγο πόσο ασφαλές είναι αυτό από τα "περίεργα μάτια", είναι γνωστό ότι οι χρήστες είναι περίεργοι, γιατί να τους δίνετε περισσότερα από όσα πρέπει να γνωρίζουν;
Για πολλά χρόνια η Microsoft δεχόταν αμέτρητες κριτικές και feedback απο χρήστες για τη συγκεκριμένη λειτουργία, τελικά ενσωμάτωσε τη λειτουργία αυτή από το Service Pack 1 για Windows 2003 Server καθώς και στο Windows Server 2003 R2, δεν υπήρχε όμως γραφικό ή Command Line περιβάλλον γι' αυτό και χρειάζεται να εγκατασταθεί το GUI από εδώ, η εγκατάσταση είναι πολύ απλή και δε θα υπεισέλθω περισσότερο απλά πριν ξεκινήσει θα ερωτηθείτε αν θέλετε να ενεργοποιηθεί η λειτουργία σε όλα τα shared folders ή αν θα την ενεργοποιήσετε εσείς σε όποια θέλετε, προτείνεται να επιλέξετε τη δεύτερη επιλογή, αν επιλέξετε την πρώτη επιλογή αυτό δε σημαίνει ότι θα ενεργοποιείται αυτόματα στους νέους διαμοιραζόμενους φακέλους θα ισχύσει μόνο για τους υπάρχοντες τη στιγμή της εγκατάστασης, στο Windows Server 2008 υπάρχει εγγενής υποστήριξή του ABE (Access Based Enumeration).
Το πρόβλημα που αντιμετωπίζει το ABE αφορά το γεγονός της εμφάνισης αρχείων/φακέλων σε χρήστες που δεν έχουν το δικαίωμα να τα προσπελάσουν, αυτό οφείλεται σε μια αδυναμία του συστήματος διαμοιρασμού αρχείων των Windows την οποία θα δούμε ως το παράδειγμα μας:
- Έχουμε δημιουργήσει δυο χρήστες την Alice και το John, είναι μέλη του γκρουπ "Users"
- Έχουμε ένα φάκελο με όνομα "Shared Folder",
- Το διαμοιράζουμε μέσω του "Sharing" με το ίδιο όνομα και το δικαίωμα "Read" στο γκρουπ "Everyone" (υπάρχει λόγος που θέτουμε everyone στο share γιατί θα κόψουμε την πρόσβαση από το Security tab),
- Στο Security tab, αναθέτουμε δικαιώματα (allow) "Read & Execute" στο γκρουπ "Users"
- Δημιουργούμε ένα αρχείο με όνομα Test.txt και ένα φάκελο με όνομα "DoUCMe" και αναθέτουμε και στα δυο δικαιώματα άρνησης "Full Control" αντίστοιχα για την Alice και το John, οπότε η Alice έχει δικαίωμα να βλέπει το Test.txt ενώ όχι το φάκελο "DoUCMe" και ο John το αντίστροφο.
Το περιβάλλον του ABE είναι πολύ λιτό, οι επιλογές του είναι ξεκάθαρες και δε θα σας δυσκολέψουν ιδιαίτερα, βασική όμως προϋπόθεση για ενεργοποιηθεί είναι η ύπαρξη ενός διαμοιρασμένου φάκελου (ελληνιστί: shared folder), σε απλούς φακέλους δεν πρόκειται να δείτε τις επιλογές, ας δούμε όμως τις επιλογές ανά έκδοση:
Windows Server 2003 & R2
Μπαίνουμε στις ιδιότητες του φακέλου "Shared Folder" του παραδείγματος, παρατηρήστε τη νέα ταμπέλα που εμφανίζεται με όνομα "Access Based Enumeration" (Φώτο παρακάτω):
Κάνοντας κλικ βλέπουμε τις παρακάτω επιλογές, επιλέγουμε την "1" και αφήνουμε τη "2" προς το παρόν, οι εξηγήσεις τους είναι αυτονόητες (βλ. Φώτο):
Αφού πατήσουμε Apply & OK θα συνδεθούμε στο Shared Folder απο κάποιον Client για να δούμε τι συμβαίνει με τους δυο χρήστες.
Δείτε λοιπόν τι βλέπει η Alice:
Και τι βλέπει ο John:
Αν απενεργοποιηθεί το ABE τότε και οι δυο χρήστες βλέπουν το φάκελο και το αρχείο, βέβαια δεν έχουν δικαίωμα να μεταβάλλουν/διαγράψουν αλλά η περιέργεια αυξάνεται όταν δεν είναι κρυμμένη η πληροφορία.
Windows Server 2008 & Windows Vista
Στην περίπτωση των λειτουργικών αυτών η υποστήριξη της λειτουργία έχει ενσωματωθεί στο λειτουργικό, για να την ενεργοποιήσουμε υπάρχουν τουλάχιστον τέσσερις (4) τρόποι, θα δειχθούν οι δυο και τους υπόλοιπους μπορείτε να τους ανακαλύψετε εσείς -δεν είναι κάτι ιδιαίτερα δύσκολο!-, απλά να θυμάστε τα δικαιώματα που δίνεται στους διαμοιρασμένους φακέλους και στο Security tab.
1ος Τρόπος:
Ακολουθούμε την κλασική διαδικασία διαμοιρασμού φακέλων, δηλαδή “δεξί” κλικ στο φάκελο που θέλουμε να μοιράσουμε και επιλέγουμε “Share”. Προσθέτουμε το χρήστη “Everyone” και το σύστημα του αποδίδει δικαιώματα “Reader”, το αφήνουμε ως έχει και πατάμε “Share” (βλ. Φώτο).
Εφόσον ολοκληρωθεί η διαδικασία, πατάμε Done και ο διαμοιρασμός έχει ολοκληρωθεί, κατά τη διαδικασία του διαμοιρασμού ενεργοποιήθηκε και το Access Based Enumeration, αυτό μπορείτε να το ελέγξετε με την προσπέλαση των αρχείων/φακέλων όπως περιγράφηκε παραπάνω για τα Windows 2003 από κάποιο Client μηχανήμα, είτε από την κονσόλα “Share and Storage Management”.
Από το Start Menu πληκτρολογείτε στο “Start Search” πεδίο τη λέξη “Share” και θα εμφανιστεί στην κορυφή της λίστας η επιλογή “Share and Storage Management”, επιλέξτε την. Θα εμφανιστεί η παρακάτω κονσόλα, κάντε δεξί κλικ πάνω στο διαμοιρασμένο φάκελο, ο “Shared Folder” στην περίπτωση μας και επιλέξτε “Properties”:
Στη συνέχεια πατήστε το πλήκτρο “Advanced” και θα εμφανιστεί ο ακόλουθος διάλογος:
2ος Τρόπος:
Από την κονσόλα “Share and Storage Management” πατάμε απο τη δεξιά στήλη “Actions” την επιλογή “Provision Share”, στο διάλογο που θα εμφανιστεί πληκτρολογούμε τη θέση του φακέλου που θέλουμε να μοιράσουμε ή εναλλακτικά τον επιλέγουμε μέσω της επιλογής “Browse” και πατάμε “Next”.
Στο επόμενο βήμα απαντάμε “No, do not change NTFS permissions” και πατάμε “Next”.
Στο επόμενο βήμα “Share Protocols” αν δεν έχουμε εγκαταστήσει το NFS, αφήνουμε το SMB ως έχει και συνεχίζουμε.
Στο επόμενο βήμα “SMB Settings”, πατάμε το πλήκτρο “Advanced” και εμφανίζεται διάλογος της φωτογραφίας παραπάνω (τέλος του 1ου τρόπου) χωρίς όμως να έχει επιλεγμένο το ABE, το επιλέγουμε και πατάμε OK και συνεχίζουμε.
Στα “SMB Permissions” επιλέγουμε την επιλογή “Users and groups have custom share permissions”, έπειτα πατάμε το πλήκτρο “Permissions” και επιβεβαιώνουμε ότι το Group “Everyone” έχει μόνο “Read” δικαιώματα στο “Share”, πατάμε OK και συνεχίζουμε.
Στο βήμα “DFS Namespace Publishing” επιλέγουμε αν θέλουμε να δημιουργήσουμε ένα DFS Namespace για το διαμοιραζόμενο φάκελο, προς το παρόν το αγνούμε και συνεχίζουμε με την ολοκλήρωση της διαδικασίας.
Μπορείτε να ελέγξετε τα Share Permissions μετά την ολοκλήρωση της διαδικασίας, Το γκρουπ “Administrators” έχει πλήρη δικαιώματα και το γκρουπ “Everyone” έχει μόνο ανάγνωσης.
Να έχετε υπόψη σας ότι υπάρχει κάποιο performance penalty για πολλά αρχεία/φακέλους και ειδικά όταν γίνεται ταυτόχρονη προσπέλαση, δεν είναι όμως κάτι ανησυχητικό αυτό.
Και πάλι καλή χρονιά, ελπίζω να σας φανεί χρήσιμη η λειτουργία αυτή.
Υ.Γ. Το άρθρο για τα "Μαγειρέματα #1" δουλεύεται, θέλω να σας δείξω κάποια πράγματα που είμαι σίγουρος ότι θα εκτιμήσετε, γι' αυτό και υπάρχει καθυστέρηση.
Υ.Γ.2 Λέω να μη βάλω γνωμικό αυτή τη φορά, την επόμενη όμως σίγουρα!
Σήμερα έστειλα το παρακάτω μήνυμα στην ομάδα του Windows Live Writer:
Hello Windows Live Writer Team,
Your software ROCKS!!
However i'd like to send some features for the next update:
1) Please make it more community server aware, when i go to a new machine and install it, live writer doesn't get the list of posts posted in the blog.
2) Please include the Greek Spelling Dictionaries in the English build or at least let the user select the dictionaries languages and apply them while installing.
3) I think that it is time to move to a ribbon based interface, don't we?
4) Do you have a web based version in your mind? It would be lovely if integrated with windows live generally (profiles, spaces etc)
I haven't found a more complete solution for blog posting/management, thank you for your exceptional product!
Ελπίζω να εισακουστώ.