Home - Palvelimet ja infra

30.12.2009

Terminal/ Remote Desktop Service Network Level Authentication XP SP 3:ssa

Olen viimeisen parin vuoden aikana ampunut itseäni jalkaan useamman kerran Windows Server 2008 Terminal Service -asetuksella "Require Network Level Authetication":

Tcp_Properties-Require_Network_Level_Authentication

Kyseisellä NLA-todennustavalla käyttäjä tunnistetaan jo ennen RDP-yhteyden avausta. Ongelma esiintyy otettaessa RDP-yhteys Windows Server 2003 tai XP -koneesta, jossa NLA ei ole tuettu ja virhe on:

RDP_Connection_which_requires_NLA_fails_w_RDC7.0@XPSP3

Remote Desktop Connection -sovelluksen version ja NLA-tuen voi tarkistaa napsauttamalla ko. sovelluksen (mstsc.exe) vasemmassa yläkulmassa ja valitsemalla About:

Oletuksena XP SP3, johon on asennettu RDC 7.0, näyttää:

Kun tekee kb-artikkelin http://support.microsoft.com/kb/951608 mukaiset kaksi rekisterimuutosta, niin NLA tulee tuetuksi:

RDC7.0@XPSP3_with_NLA

mutta ei vielä toimi:

RDP_Connection_with_NLA_fails_after_setting_registry_BUT_wo_restart

vaan kyllähän kb-artikkelikin vaati uudelleen käynnistyksen, jonka jälkeen toimii hyvin:

RDP_Connection_from_XPSP3_to_Server2008R2_with_NLA

Asetuksen voi isommalle konejoukolle saattaa voimaan esimerkiksi käynnistysskriptillä, johon löytyy apua Technet Script Centeristä.

Kun CredSSP (Credential Security Support Provider) on otettu käyttöön XP SP3:ssa, voi Group Policyllä määrittää asetukset siten, että käyttäjän ei tarvitse kirjautua moneen kertaan ja näin SSO (Single Sign On) on taas yhden askeleen lähempänä. Tarvittavat GP-asetukset löytyvät haarasta Computer Configuration/Policies/Administrative Templates/System/Credentials Delegation ja niihin on viittauksia esim. yllä mainitun CredSSP-artikkelin lopussa.

Posted at 8:20 by Mika Seitsonen | Permalink | Email this Post | Comments (0)

3.12.2009

Q: Ai että mitä Windows Server 2008 R2 pitää sisällään?

A: Pari tekniikkaa - yhteen aika isoon sivuun tiivistettynä: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=64a5cc28-f8a1-4b30-a4a2-455c65bda8d7. Kuvat täydennettynä teksteillä kertovat tällä kertaa enemmän kuin... Noista erityisesti VDI (Virtual Desktop Infrastructure) vaatii kaavion, jotta sen eri komponentit voisi hahmottaa, vaikka selityksenkin kera. Eikä nuo muutkaan kaaviot tekniikoiden ymmärtämistä ainakaan vaikeuta :)

Server 2008:lle oli kaksi "lakanaa": http://www.microsoft.com/downloads/details.aspx?FamilyID=c2b9e44e-0bbd-47cb-bc09-b3d48be7f867&displaylang=en. Toisessa AD ja toisessa muut tekniikat.

Näiden kaavioiden perusteella tuntuu ihmeelliseltä, että miten edes yhden käyttöjärjestelmän kaikkien osa-alueiden syvällinen osaaminen voi olla niinkin suuri haaste ;)

Posted at 21:23 by Mika Seitsonen | Permalink | Email this Post | Comments (0)

6.11.2009

Sovellustuki Windows Server 2008 R2:ssa

Usein uuden käyttöjärjestelmäversion julkistuksen myötä tulee kysymyksiä siitä, että mikä on tuettua uudella alustalla ja mikä ei. Tällä kerralla ei tarvitse viitata blogiartikkeleihin ainakaan Microsoftin osalta, koska Microsoft on listannut palvelintuotteidensa nykyisen ja osin myös tulevan tuen sivulla http://www.microsoft.com/windowsserver2008/en/us/supported-applications.aspx. Omalle "tontille" tuolta osuu OCS (Office Communications Server) 2007 R2, jonka saa kyllä (http://shahanbest.blog.com/) asennettua 2008 R2:n päälle, mutta saattaapi olla parasta jättää moiset asennukset testiympäristöihin, jos tukea haluaa/tarvitsee...

Posted at 7:31 by Mika Seitsonen | Permalink | Email this Post | Comments (0)

4.8.2009

Radikaalisti muuttunut Microsoft Product Support (MPS) raportointityökalu

Microsoftin ja miksei myös yritysten/yhteisöjen tuelle on arvokasta saada kattavasti tietoa "ongelmallisesta" koneesta ja sen asetuksista. Microsoft on paketoinut eri diagnostiikkatyökalut skriptattuun työkalupakettiin. Aiemmin eri palveluille oli omat työkalupakettinsa ja paketointi oli kohtuullisen alkeellinen. Tästä hyvä tarina esim. http://msmvps.com/blogs/clustering/archive/2005/05/11/46644.aspx .

Viime viikolla julkaistiin uusi versio ja nimeksi vaihtui Microsoft Product Support Reports. Enää ei ole erillisiä paketteja eri palveluille. Omassa koneessani (WS2008R2 RC) työkalun ajo tuotti 246 tiedostoa sisältävän .cab-tiedoston, joista ensimmäiset 39 XML-muotoisia lokeja eri työkalujen toiminnasta. Muita tiedostoja esim.:

<Koneen_Nimi>_8021x-Netsh-WLAN (langattoman verkon todennus ja valtuutus)
<Koneen_Nimi>_bcdedit-enum.txt (käynnistysasetukset)
<Koneen_Nimi>_DnsClient-DnsCache.TXT (DNS-asiakkaan välimuistin sisältö)
<Koneen_Nimi>_DriverQuery_Verbose.csv (ajurit)
<Koneen_Nimi>_evt_System.evtx (ja .csv sekä .txt; järjestelmäloki eri muodoissa)
<Koneen_Nimi>_Firewall-Netsh-AdvFw-Fw-Rules.TXT (palomuurin asetukset)
<Koneen_Nimi>_Installed_Software.txt (asennetut sovellukset)
<Koneen_Nimi>_HotfixHistory.htm (asennetut päivitykset)
<Koneen_Nimi>_KMSActivation.TXT (Key Management Service -aktivoinnit)
<Koneen_Nimi>_Manage-BDE.TXT (BitLocker-levysalaus)
<Koneen_Nimi>_Netstat_Detailed_Info.txt (verkkoyhteydet)
<Koneen_Nimi>_PrintInfo.txt (mm. asennetut kirjoittimet ja niiden ajurit)
<Koneen_Nimi>_PStat.txt (kattavaa infoa prosesseista ja niiden muistin käytöstä)
<Koneen_Nimi>_StartupProgram.xml (automaattisesti käynnistyvät sovellukset)
<Koneen_Nimi>_TCPIP-Netsh-IPv4.TXT (IPv4-pinon asetukset)

Työkalu toimii XP:ssä ja uudemmissa käyttöjärjestelmissä ja vaatii mm. .NET Frameworkin ja Powershellin 1.0-version sekä pääkäyttäjän oikeudet suorituksen aikana. Parin megatavun 32- ja 64-bittiset paketit löytyvät osoitteesta http://www.microsoft.com/downloads/details.aspx?FamilyId=CEBF3C7C-7CA5-408F-88B7-F9C79B7306C0&displaylang=en.

Posted at 8:42 by Mika Seitsonen | Permalink | Email this Post | Comments (0)

9.3.2009

Näkemiin hankalasti hallittava VPN?

Pidin viime torstaina Microsoftin 2-päiväisessä TechDays-tapahtumassa luennon Windows 7:n ja Windows Server 2008 R2:n mukana tulevasta DirectAccess-toiminnosta. Ko. toiminnolla Access/work from Anywhere muuttuu saumattomaksi ja loppukäyttäjälle helpoksi, sillä IPv6:ta hyödyntyvä tekniikka avaa 2-suuntaisen yhteyden yrityksen sisäverkkoon ilman käyttäjän toimenpiteitä ja haluttaessa jopa jo ennen käyttäjän kirjautumista. 2-suuntaisella tarkoitan sitä, että määritetyistä sisäverkon hallintakoneista voidaan hallita työasemia riippumatta siitä, missä ne ovat. Demosin esityksessä group policyllä käyttäjien työpöydälle luotavaa pikakuvaketta ja hyödynsin samalla Special Operations Softwaren (ILMAISTA!) Gpupdate-työkalua. Kyseisen Active Directory Users and Computers -konsolin laajennuksen avulla normaalisti pull-tyyppinen group policy -prosessoinnin päivityksen käynnistys saadaan tehtyä push-tyyppisesti haluttuna ajankohtana. (Kollegani Sami oli näköjään aiheesta ehtinyt artikkelin kirjoittaakin viime viikolla.) Kohteena olevan demo-työaseman (Windows 7) palomuurista olin avannut (group policyllä) Remote Administration -porttiryhmän.

Toinen tekniikka, jota käytin pikakuvakkeen luomiseen oli Group Policy Preferences. Tästä on jo useampia artikkeleita tällakin sivustolla ja siitä löytyy lisäinfoa myös www.microsoft.com/gp -sivuston etusivulta.

DirectAccess on ensimmäinen käyttöjärjestelmän toiminto, joka aktiivisesti hyödyntää IPv6:ta (ja myös vaatii sen) ja kun sitä ei natiivisti vielä kovin monesta verkosta löydy, niin lähes automaattisesti toimivat siirtymäteknologiat tullevat käyttöön useimmissa käyttöönotoissa lähivuosina. Näistä lisäinfoa esim. www.microsoft.com/ipv6.

DirectAccessistä lisäinfoa vähempi teknisestä enempi tekniseen:

Posted at 9:49 by Mika Seitsonen | Permalink | Email this Post | Comments (0)

19.1.2009

Microsoft uusii Hyper-V:n lisensointia

Microsoft ilmoitti uusivansa Hyper-V:n ja 2008 Serverin lisensointia. Mikäli Hyper-V:tä käytetään Windows Server 2003 tai 2000 virtualisointiin, eli esimerkiksi konsolidoidaan 2003/2000 palvelimet Hyper-V:n päällä ajettaviksi ei käyttäjille uusia käyttöoikeuksia (CAL).

Mikäli käyttäjillle tarjotaan virtualisoinnin päältä tai perinteisesti palvelimiin asennettuna 2008:n palveluita, tulee käyttäjillä olla vastaava käyttäjäoikeus. Kaikilla joilla työasemat ovat ylläpidossa (SA, eli Software Assurance), on tämä käyttöoikeus automaattisesti.

Currently, if your physical server environment is running Windows Server 2003, matching version CALs are required for all users (i.e. Windows Server 2003 CALs). However, if you move your physical Windows Server 2003 Operating System Environments (OSE) to run as virtual machines hosted by Windows Server 2008 Hyper-V, Windows Server 2008 CALs are required. This is per the current use rights. With the change in our licensing policy, Windows Server 2008 CALs are no longer required if you are using Windows Server 2008 solely as a virtualization host. The only exception to this is if you are running Windows Server 2008 virtual machines, which would require Windows Server 2008 CALs.

Posted at 18:05 by Janne Pohjala | Permalink | Email this Post | Comments (0)

29.10.2008

Windows Server 2008 R2 -tietoa julkiseksi

Useissa yrityksissä ollaan vasta aloittamassa siirtymistä Windows Server 2008:aan. Oman yrityksemme siirtyminen alkoi jo alkuvuodesta, mutta osin siirtymä odottaa tukea palvelinsovelluksilta ja niiden uusilta versioilta. Niinpä aamulla töihin tullessani ajattelin, että kyllä vaan aika menee nopeasti. Vaikka itse olen käyttänyt WS2008:aa jo pitkään, niin eihän sen julkaisusta ole kuin puoli vuotta! Ja nyt tuli sitten uutisia, että PDC:ssä oli eilen kerrottu jo R2-versiosta: http://blogs.technet.com/windowsserver/archive/2008/10/28/announcing-windows-server-2008-r2.aspx.

74-sivuinen pre-beta draft versio Reviewer's Guidesta löytyy osoitteesta http://www.microsoft.com/windowsserver2008/en/us/R2.aspx. Muutamia mielenkiintoisia juttuja poimin ko. dokumentista:

Vain 64-bittiset versiot tulevat saataville
Käyttöjärjestelmän jakelu myös fyysisiin koneisiin vhd-tiedostoina ja käynnistyminen niiltä
Perinteisen etätyöpöytätoiminnon nimeäminen RemoteApp & Desktop (RAD) ja tämän toiminnon parannukset
Virransäästöominaisuuksien parannukset, mm. prosessoriydinten Group Policyllä hallittavat "parkkiruudut"
Server Managerin etäkäyttömahdollisuus
PowerShell 2.0 graafisine käyttöliittymineen ja 240 uutta commandletia
PowerShellin "päälle" rakennettu Active Directory Administrative Center
.NET-sovellusten suoritus mahdollista Server Core -versiossa
iis.net:istä nyt ladattavissa olevia komponentteja tulee vihdoin "suoraan paketissa" IIS 7:n mukana; näitä ovat mm. uusi FTP-palvelu ja laajennettu IIS 7 Adminpak
Parantunut skaalautumistuki sekä "ulos" - Network Load Balancing -parannukset sekä "ylös" - tuki 256 prosessorille
Standard Edition muistituki 16 Gt
Windows 7 -yhteentoimivuus, kuten esim. etäyhteydet ilman VPN-määrityksiä
Hyper-V:n versio 2 ja klusteroinnin Cluster Shared Volumes -toiminnon mahdollistama Live Migration

Eiköhän mahda käydä niin Windows 7:n ja tämän R2:n valmistuessa yhtaikaisesti ensi vuoden lopulla, että Reviewers' Guide paisuu samalla, kun ominaisuudet hiotaan lopulliseen muotoonsa. Todennäköistä on myös, että dokumentista tälläkin kertaa tässä vaiheessa vielä puuttuu kehitteillä olevia toimintoja. Live Migration oli kyllä saanut palstatilaa aika lailla...

Posted at 22:13 by Mika Seitsonen | Permalink | Email this Post | Comments (0)

28.10.2008

2500 serveriä kontissa * n = Microsoftin S+S datakeskus

Nyt alkaa tulla tietoja siitä miten Microsoft on rakentanut uudet Software + Services ja Azur -alustaa verten tehdyt datakeskuksensa.

http://loosebolts.wordpress.com/2008/10/20/out-of-the-box-paradox-manifested-aka-chicago-area-data-center-begins-its-journey/

Tässä yhteenvetoa, mutta vilkaiskaa myös tuo artikkeli, siinä on muutamia, tosin pieniä, kuvia.

Microsoft käyttää vaikioita 40 jalan mittaisia merikontteja S+S palvelukeskusten rakentamiseen
Yhdessä kontissa voi olla jopa 2500 palvelinta, mikä tarkoittaa kymmenkertaista tiheyttä tavalliseen datakeskukseen verrattuna.
Kontti tulee valmiina valmistajalta valmiiksi rakennettuna - ei pakkausjätettä, osalogistiikkaa, eikä rakentelua datakeskuksessa vaan liittimet kiinni ja käyntiin -> kustannus per palvelin varsin edullinen
Lämpö / jäähdytys käsitellään kunkin kontin sisällä, tiiviimpi kotelointi tehostaa lämmön vaikutusten eristämistä konttien sisäpuolelle - ei koko datakeskukseen
Chigagon datakeskuksen PUE (Power Usage Effectiveness) on 1.22, mikä tarkoittaa että yhtä kilowattia kohden jonka itse palvelimet tarvitsevat, kaikki oheistoiminnot yhteensä kuten jäähdytys, katkoton virransyöttö sekä kaikki muu energiankulutus datakeskuksessa kuten valaistus, vie ainoastaan 220 wattia -> PUE = 1.22 (tämä on hyvä luku)

Ilmeisesti on jopa mahdollista tarvittaessa nopeastikin siirtää merkontit rekoilla paikasta toiseen, mikäli tällainen tarve tulisi, kuten tulvat tai hurrikaani, mutta tätä ei jutussa mainita. Tavallisen datakeskuksen siirtohan ei niin erityisen triviaalia ole.

Hyvin mielenkiintoinen hanke, paljon näytetään panosta laittavan Azurin ja muiden Software + Services alustan palvelukeskuksiin. Chigagossa on talvisin aika viileää, joten siellä voidaan joitain kuukaisia käyttää ylimääräinen lämpö hyväksi, mutta vielä pohjoisempana (myös Euroopassa) alati kasvava osa lämmöstä olisi käytettävissä hyödyksi.

Vihreän datakeskuksen mittareista voi lukea tarkemmin esimeriksi täältä:

http://www.thegreengrid.org/gg_content/TGG_Data_Center_Power_Efficiency_Metrics_PUE_and_DCiE.pdf

Posted at 20:20 by Janne Pohjala | Permalink | Email this Post | Comments (0)

20.10.2008

Tools to Use Microsoft Assesment and Planning Solution Acclerator

Microsoft Assesment and Planning Solution Acclerator on uusi työkalu enemmän järjestelmän hallintaan hallinnollisella ja päätöksiä tukevalla tasolla kuin teknisellä tasolla.

Työkalu on ulkoasultaan tuttu kaikille jotka ovat käyttäneet System Center tai MOM työkaluja ja näyttääpi tuo hiukan joka Exchange Outlook Web Accessiltäkin.

Ohjelman yksi mukava on linkittyminen MS sivustoille. Enään ei tarvitse lähteä "googlettamaan" vaan näytölle aukeaa juuri oikea ikkuna kyseiseen toiminnallisuuteen.

Sovellus jaottelee myös toiminnot viisasti vasemmassa alareunassa: Tietoturva, virtualisointi jne...

Sovelluksella voidaan tehdä siis erilaisia nykyjärjestelmän tarkistuksia ja saada niistä ehdotuksia annettujen määrityksien mukaisesti (mitä tarkistettu).

Ensin luodaan tietokanta

Jonka jälkeen valitaan mitä halutaan tarkistaa tai mitä vastaan tarkitus halutaan tehdä

Käyttäjällä siis mahdollisuus tehdä usemmanlaisia tarkistuksia käyttötarpeesta riippuen.

Seuraavaksi määritellään mistä halutaan raportti ja ehdotus

Skannausvalinnat ja IP-asetukset

Valittu IP-mukaan

Skannaus suoritettu

Paluu pääsivulle

Raporttitiedostot

Sovellus ei missään nimessä ole aukoton mutta itsessään tuo ohjelma on jo tutustumisen arvoinen. Verkkokonfiguroinneista ja palomuuriasetuksista riippuen saattaa skannauksissa olla hiukan ongelmia varsinkin jos käytetään 3osapuolen muureja joita ei voida yhtähelposti Group Policyillä kuin Microsoftin omia.

T. Petri

Posted at 12:47 by Petri Aalto | Permalink | Email this Post | Comments (0)