Ja veel mõned viited veakoodidele

Kergema hilisema ülesleidmise huvides olgu siin veel mõned vanad kohad kus veakoode kirjas:

NT Status Codes – https://msdn.microsoft.com/en-us/library/cc231200.aspx

Üleüldse on https://msdn.microsoft.com/en-us/library/cc231196.aspx päris asjalik.

Samuti võib kiigata Dev Centris olevasse https://msdn.microsoft.com/en-us/library/windows/desktop/ms681381(v=vs.85).aspx

, kuigi see on mõne koha pealt hõredavõitu.

Kuidas kiirelt tõlgendada veakoode.

Vana, aga meenutuseks.

Mõnikord esitatakse veakoodid numbriliselt ja suhteliselt loetamatult. Ok, kogenud admin mäletab peotäit koode peast ja une pealt. Aga mõnikord läheb ikka väikest värskendust vaja. Tehtav lokaalis võrguühenduseta (ei pea guugeldama)

Error 2147943785 – see teisenda Hexi 0x80070569 ( Windowsi kalkulaatoriga või kuidas mugavam on)

0x8007 = win_32

0x 0569 teisenda dec = 1385

Ja nüüd cmd/PS promptist

net helpmsg 1385

mis annab tulemuseks

Logon failure: the user has not been granted the requested logon type at this computer.

Windows Update ja server CORE

Windows Server Core on paljuski kasulik valik – väiksem installatsiooni jälg, vähem komponente, vähem auke, vähem paikasid, vähem muret.

Aga – kui midagi ei toimi just päris nii nagu tahaks, siis on natuke keerukam. Windows GUI peal on võimalik rohkem vähem mugavalt kasutada Control Paneli appi Windows Updates. Corel seda pole.

Alljärgnevalt vaatame, kuidas opereerida Updatedega Core keskkonnas.

 

A – Mul on täiesti iseseisev CORE

( pole domeeni, WSUS’i ega midagi).

Põhimõtteliselt on siin 2 varianti – täiesti automaatne paikamine või korra (või kaks) kuus käsitsi.

Automaatsekscscript scregedit.wsf /AU 4

Sellega häälestatakse server ise kõiki patche MIcrosofti serverites alla tõmbama ja installima ja buutima.

Tagasi manuaalseks cscript scregedit.wsf /AU 1

Natuke paindlikum ( kuid kindlasti ajamahukam) on sconfig abil ise patche scannida, alla laadida ja installida.

Loomulikult ei keela keegi ka mingit iseseisvat scripti ehitada mis patche kuskilt kohalikust failisüsteemist installeerib.

B – Mul on domeeni kuuluv CORE

Võid kasutada kõike eelnevat, kuid mugavam on Group Policyga paika panna millisel serveril kuidas ja millal. Vaikimisi on Update source serveriks jätkuvalt MS serverid. Koheseks patchimiseks ikka ja jälle sconfig.

C – Mul on domeen ja oma WSUS/SCCM

Esimesel juhul tuleks ise GP’ga määrata lisaks käitumisele ka WSUS serveri nimi. SCCM’i korral teeb kogu musta maagia SCCM’i klient ja GPOga midagi üle käia on ebavajalik võib-olla ilmselt isegi ebasoovitav.

Kui Sinu WSUS/SCCM töötab perfektselt siis peaks elu olema “lill”. Mõnikord aga juhtub, et seal või kuskil mujal on väiksed bugid. Siis on vaja uudrida, mis ja kus katki on.

Kui sconfig väidab, et siin ei ole ühtegi pachi installida, kuid me teame ( või keegi teeb pentesti ja ütleb meile, et ikka  on küll) võime eeldada, et midagi on katki meie WSUS/SCCM serveri või ühendusega sinna.

Kuidas teha patch scanni MS serverite vastu (eeldusel, et võrgu tasemel on sinna juurdepääs olemas) ?

  1. Regedit (jah, see on core peal olemas!), otsi üles [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] UseWUServer ja muuda väärtus 0’ks. Sulge regedit.

  2. taaskäivita Windows Update service ( net stop “windows update” ja seejärel  net start “windows update”)

  3. sconfig ja kontrolli updatesid

  4. pärast tagasimuutmiseks muud aregistry väärtus taas 1’ks ja teenusele restart.

SCCM poolelt on CORE’sse installeritud nii SCCM Control Panel aplett (c:\windows\ccm\smscfgrc.cpl) kui ka Software Center (C:\windows\ccm\scclient.exe). Ka nendega saad algatada kliendi poolsed tegevusi.

Keywords: Windows update, Core, Online, check

Jauramine SCCM Compliance Settings’itega

Compliance settings (vana nimetusega Desired Configuration Management ehk DCM selelst ka palju viiteid “DC”le ) on suurepärane vahend auditeerimaks, et igasugused süsteemi häälestused, installatsioonid ja parameetrid on täpselt nii, nagu IT turva-, haldus- või auditi meeskond soovib. Mõningal määral saab seda teha ka Group Policy objektidega, kuid sel juhul jääb puudu võimas raportikeskkond. SCCM reportserverist võid kasvõi iga päev vastvad raportid automaatselt teele panna.

Ehk jah, CS on tööriist, mis on mõttekas endale selgeks teha ja kasutada.

Hiljuti komistasin naljaka kõrvalefekti otsa – mõningad Configuration Item’id annavad teatud juhtudel vigu. Tegemist ei olnud mingi keerulise päringu või skriptiga – lihtsalt võeti registryst teatud võtmeid ja kontrolliti nende olemasolu või vastavust etteantud väärtustele. Hmmm. uurimise käigus selgus, et Complianciga pole valesti midagi, ehk – reaallselt on vastvad registry võtmed täiesti olemas ja päritavad. REG utiliidiga käsurealt käitus päring täpselt nii nagu oodatud, kuid – SCCM klient andis visalt tulemuseks “Non-Compliant”.

Egas midagi – SCCM klient logib ohjeldamatult ( no õnneks siiski mitte ketast täitvalt) ja täpselt. Compliance Setting’u  kontrollimise sammud salvestuvad järgmistes logifaildes:

DcmWmiProvider.log , DCMReporting.log, StateMessageProvider.Log. Tegelikult on CS’iga seotud veel mõned logifailid kuid need ei paku hetkel huvi.

DCMReportingust loeme välja et Registry väärtuste lugemisel kasutatakse WMI instrumentaariumi. OK. WMI on selline asi, mis tikub omama 1001 bugi ja pidevalt katki olema. Samas eventLogis starditakse WMI ja käivitatakse päring probleemideta.

Ehk siis – proovime uuemat WMI – http://www.microsoft.com/en-us/download/details.aspx?id=34595

Selle peale teeb SCCM klient repairi ja SC Baseline muutub hetkeks ( tegelikult siis seniks kuniks pole toimunud uus kontroll)  kompatiibliks. Hmm..

Ehk siis võiks arvata et kliendis on mingi bugi – vahepeal on valja tulnud ka SCCM 2012 R2 Sp1 CU 4 -  mis küll serveritel peal, kuid kliendid pole veel kõikjal uuendatud.

Pane uuema kliendi paiga ka peale ja voilaa – Compliance jääb samuti rahule.

 

CS CI’d  isenesest laetakse  XML failidena C:\Windows\CCM\CIDownloader\DigestStore kausta.  Nende kohalejõudmise kiirendamiseks tee “Machine Policy Rretrieval and evalution” tegevusel käivitus. Sealt saab vaadata kas masinas ikka on sama sisuga CI kui serveris tehtud.

 

 

Keywords: DCM , non-compliant, registry, value.

Deploying .NET 4 = NOT Deploying .NET 4

image

Kurvastusega tuleb mainida, et MS on teinud liiga palju “traagilisi” muudatusi ja hetkel mina ei tea mehhanismi, kuidas levitad .NET 4 frameworki ei AD GPO ega SCCM Application Deploymenti abil.

Tuleb kasutada vanamoodsaid Login Script installe või Pakage Installi.

Võrgus on leitavad küll mõned trikitamised, kuid lõpptulemusena on tegemist väga suure tõenäosusega KATKISE .NET deploymendiga.

Jah, vanemate .NET versioonide deploy saab käima, kui kasutada exe lahtipakkimist ja MSI’dele transformide ettesöötmist (vältimaks hoiatust, et sa ikka setup’I kasutaksid). Versioon 4 on paraku väga pirtsakas.

Tundub, et teatud firmas teatud osakonnad ei räägi omavahel või siis on neil mingi kana (millest allakirjutanu ei tea) kitkuda. Igatahes kaasaegseks seda lähenemist nimetada ei saa.

Ühe variandina võib välja pakkuda levitamist WSUS / SCCM Software Updates kaudu.

image

Keywords: deploy, .NET 4 , MSI, SCCM.

to .MSI or not to .MSI

Usustavasti teavad kõik selle blogi lugejad mis asi on Windows installer ja mis ja kuidas süüa MSI faile.

Nüüd SCCM 2012 abil on tarkvara levitamine mugavam ja paindlikum kui kunagi varem, kuid selle võrra on suurem rõhk MSI kujule pakendatud tarkvaral. Paraku (jah paraku) on omajagu tarkvara maailmas pakitud exe, cab või kes-teab-mis-kujul.

    1. Esimese järjekorras võib tekkida vajadus Windows installeris pakendatud tarkvara automaatseks installiks. “Elementarne Watson!”  Kasuks tuleb MSIEXEC’I käsurea parameetrite uurimine.
      msiexec /I installer.msi /qn

      (see lisab quiet ja no progres oleku)

    2. Mõned installerid võivad vajada EULA’ga nõustumist või siis restardivajaduse mahasurumist. Mõnikord võibolla kasu käsureale parameetrite
      “ACCEPTEULA=YES” või “REBOOT=ReallySupress”.

      lisamisest. Mõnikord – sellepärast, et algupärane pakendaja on sellele mõelnud ja vastvad võimalused sisse kirjutanud.

    3. MSI käitumist on võimalik juhtida veel .mst ( ehk transform) failiga. Vastava utiliidi abiga on võimalik koostada msi’le vastav “vastuste” failiga. Sinna saab salvestada litsentsivõtme, paigalduskausta, teha komponentide valiku ja panna paika mõningane seadistus. Tuntuim selline on eelmiste MS Office versionide Resource kitis olnud Customization Wizard. (MS Office 2010 puhul on vastav võimekus juba setup.exe sees olemas ja tulemuseks genereerib hoopis .msp faili.) Ehk tuleb uurida, kas tootega on kaasas taolune võimalus.
    4. Kui sellised valikud ei tööta või pole piisavad tuleb minna rohkem destruktiivsemks. MSI iseenesest on binaarfail ja niisama lihtsalt seda soovitud suunas ei kruti. Siin tuleb üles otsida mõni vanem MS SDK ja leida sealt sees Orca nimeline tööriist. Orca pole tänasel päeval enam MS poolt toetatud , kuid MSI failide avamiseks, muutmiseks ja taassalvestamiseks siiski veel sobiv. Orca abil on võimalik muuta objekte/väärtusi/dialooge või neid üldse kustutada. Siinjuures peaks olema ettevaalik ja muudetud pakki korduvalt testima. teoorias on Orca abil võimalik ka tühjalt lehelt MSI kokku panna, kuid see nõuab suuremaid teadmisi.
    5. Ports MSI tööriistu läheb juba suuresti programeerijate pärusmaale ja tarkvara ümberpakedamisel meid oluliselt ei aita. Nimetagem siinjuures MS Visual Studio, Wix Toolkit. MSi’de muutmiseks ja ümberpakendamiseks need väga ei sobi. Wix’I eripäraks on baseerumine käsureal, seega suurepärane utiliit automatiseerimiseks.
    6. Õnneks on olemas piisavalt ka sõltumatute tootjate tarkvara, mis on justnimelt mõeldud tarkvara ümberpakendsmiseks või omale sobivaks muutmiseks. Reeglina sisaldavad nii ümberpakendamisvõimalust kui ka MSI redaktorit (ja kasutajasõbralikumat kui Orca). Allpool mõned tuntumad tooted.

      Scriptlogic

      MSI Studio
      Caphyon Ltd. Advanced Installer
      Dell (endine Appdeploy.com) AppDeploy repakager

Kel soovi veel keerukamate ja täiuslikumate lahenduste järgi, siis need saavad juba terve desktopi- ja rakendushalduse frameworgi ja lahenduse. Nimetagem siin juures seesama Dell – KACE, Symantec – Altiris (kunagi ammu tuntud kui Wise) –  Deployment Solutions. Iseküsimus on kas neid SCCM’I kõrvale vaja.

    Millist ümberpakendajat kasutad Sina?
    keywords: msi, repackager, exe to msi, SCCM, application deployment