Feature

Deduplication!

andresp Feature

image

Windows Server 2012’ga  jõudis ka Microsoft lõpuks ometi integreeritud ja lihtsalt kasutatava duplikaadieemalduseni (deduplication).

Lihtsustatult – on  duplikaadieemaldus tegevus, kus failidest otsitakse korduvaid blokke  ja need eemaldatkse nii, et andmete terviklikus ei kahjustu. Kettamassiivid ja erinev servertarkvara on dedupi ühel või teisel moel juba ammu teinud.

 

Dedup pole siiski automaatselt installeeritud, selles pead lisama serveri rollide alt Data Deduplication’i.

image

Peale seda tuleks Server Manageri kaudu dedup voluumide kaupa sisse lülitada. Mingil määral on seal võimalus välistada faile vanuse, tüübi või kasuta järgi. Dedup ise on suhtelisetl I/O ja CPU intensiivne tegevus. See küll ei sega tööd kuid teatud juhtudel võib tekitada hämmingut.

Allpool näide ühe voluumi kasutusest – tõsiküll, hetkel on seal veel suhteliselt vähe andmeid peal.

Ehk siis andmed mis optimiseerimata olekus võtaksid ~525 GB võtavad hetkel 168 GB !

image

Siinkohal olgu veel toodud võrdlus samad andmetega Windows 2012 (dedup sees) ja Windows 2003  serveri puhul. Ärge laske ennast UI väljanägemisest segada, mõlemad tõmmised on  tehtud W12 peal.

 

image

 

Paraku nagu iga hea asjaga ikka on ka selle omaduse kasutamisel teatud piirangud ja omapärad.

Näiteks  – kui me ikka voluumi otsast lõpuni täis kirjutame, siis tühjendamine võib olla vaevarikas ja võtta natuke aega. Samuti tuleb tähelepanu pöörata dedup toimetamise ajakavale – optimeerimine ei käi päris lennult. Dedupi ei saa kasutada mitte NTFS failisüsteemi puhul ega Cluster Shared Volume peal.

Erinevate failitüüpide puhul prognoositakse 30-95% kokkuhoidu. Selleks, et täpsemat hinnangut  saada kui palju võidaksid migratsioonist W12 peale  kasuta Deduplication Evaluation Tool’i , mis installeeritakse W12 serverisse Dedup’i paigaldamise käigus. Seda võib kopeerida teise serverisse / tööjaama ja analüüsida.

 

Täpsemalt ja pikemalt – http://technet.microsoft.com/en-us/library/hh831602.aspx

Tõeline pärl – kui kasutada ESX 5.0 ja Windows Server 2012 kooslust.

andresp Feature, Troubleshooting ,

Ma ei saa siiani aru, mis on katki Windows Server 2012 ja VMWare ESX 5.0 kombos, aga siiani kummitas mind raskelt probleem, et virtuaalsete Windows Server 2012 sharedele juurdepääs oli katki.

Täiesti kuul pähe. Sa võisid olla serveri admin, domeeni admin, mingeid tulemüüre vahel pole aga ühest serverist teise serveri admin sharedele juurde ei saa. Access denied. No hea küll, isegi user sharedele, ei saa.

Eriti põnevaks tegi asja mingil määral prognoosimatus – mingitel x juhtudel said juurde C$, aga mitte D$, E$ jne ( kuigi vastvad shared olid olemas). Sama masina piirest sai neile aga perfektselt juurde. Ei aidanud UAC/LUA ega tokenpolicyte kruttimine. Kuna toode on värske, siis natuke kurtmist  internetis leidus , kuid mitte 100%’lisi lahendusi.

Kahjuks polnud endal ka aega mälu ega võrgudumpidega tegeleda ja niimoodi saigi probleemi lahendust vaikselt edasi lükatud.

 

Kuni – ametlik soovitus MS PSS’sit – tehke nii nagu ütleb VMware KB artikel. 1012225 – http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1012225. Ja ennäe imet  toimib.

Päris täpset arusaam veel pole kas ja mis katki läheb, kuid tundub et kõik toimib perfektselt.

 

Keywords: Windows Server 2012, share, access denied, LUA, admin share

Web Console

andresp Feature

SCOM 2012 Web console baseerub täielikult Silverlight’il. Seega saab seda täisfunktsionaalselt vaadata AINULT IE  (7, 8, 9) lehitsejatega. Samas näeb konsool väga-väga MMC rakenduse moodi välja

 

Allpool väike võrdlus, kus välja toodud erinevused MMCga ja mõned pidepunktid mida veebikonsool võimaldab. Üldiselt sõltub muidugi konsoolides nähtav ka rollides/õigustest ja skoopingust. A la kui Sul on operaatori õigused ka siis on MMC rakendus väiksemate võimalustega.

  MMC Web Märkus
Komponendid Monitoring, Authoring, Reporting, Administration,My Workplace Monitoring, My Workplace Seega igapäeva tööks sobiv.
Alerdid Critical, Warning, Informational Critical, Warning Informational tüüpi sündmusi vaikimisi ei näidata, kuid neid saab panna näitama. Vt allpool.
Tasks Kõik erinevad taskid on kasutatavad ja muudetavad. Taskid käivituvad alati defineeritud RunAs konto alt. Puudub võimalus RunAs kontot muuta.
Notification Subscriptions Saab teha uusi ja muut olemasolevaid (otse alerdi kontekstis) Ei saa teha ega muuta.  
Views (My Workplace all) Saab teha ja muuta kõiki erinevat tüüpi vaateid Dashboard view tegemine ja vaatamine, teistel ainult vaatamine  

 

Näita Informational Alerte.

  1. Otsi oma weebikosooli serveerivas serveris välja MonitoringView virtualdirectory füüsilline asukoht.
  2. Muuda seal Web.config failis sekstsiooni  appSettings.
  3. Samas failis on sektsiooni kohta mõned kommentaarid, kuid seal pole dokumenteeritud vastvat parameetrit. Mis on tegelikult sama nagu SCOM 2007’s.Naeratus
    4.   <appSettings>
    <!-- New Settings that were manually added-->
    <add key="AlertSeverity" value="2" />
    <!-- End New Settings that were manually added--> 
  </appSettings>

    .csharpcode, .csharpcode pre
    {
    font-size: small;
    color: black;
    font-family: consolas, “Courier New”, courier, monospace;
    background-color: #ffffff;
    /*white-space: pre;*/
    }
    .csharpcode pre { margin: 0em; }
    .csharpcode .rem { color: #008000; }
    .csharpcode .kwrd { color: #0000ff; }
    .csharpcode .str { color: #006080; }
    .csharpcode .op { color: #0000c0; }
    .csharpcode .preproc { color: #cc6633; }
    .csharpcode .asp { background-color: #ffff00; }
    .csharpcode .html { color: #800000; }
    .csharpcode .attr { color: #ff0000; }
    .csharpcode .alt
    {
    background-color: #f4f4f4;
    width: 100%;
    margin: 0em;
    }
    .csharpcode .lnum { color: #606060; }

  4. iisreset
  5. Dokumenteerimata parameetrite kasutamine on alati 2 otsaga asi, nii et AS-IS.
      Kokkuvõttes võib öelda, et palju MONITOORIMISE tegevusi saab teha tõesti veebikonsooli kaudu ja võimalik, et kehvapoolse lingi otsas on see isegi kiirem täisfunktsionaalsest konsoolist.
      OM enda adminnimiseks peab siiski MMC’d kasutama.
      Raportite vaatamiseks on jällegi soovitav reportserveri veebiotsa kasutada.
        Keywords: SCOM 2012, web console, information event

      Delegeerimine. Osa I

      andresp Everyday, Feature ,

       

      image

      Delgeerimine on lahe!

      Tänapäeval, kui moes on Self-Service kõikvõimalikes eluvaldkondades ja avaldustes – tankimine, pangatehingud, iseteeninduskassad, tarkvarapaigaldus, vabatahtlikud moderaatorid foorumis, firmwareuuendus/-hooldus saab enda adminni elu ka lihtsamaks teha ja osa igapäevaseid tööoperatsioone edasi delgeerida.

      Väiksemas firmas on kõige lihtsam delgeerimine olukord, kus kõik teevad kõiki ja eeldame et kõik on firma heaolu eest väljas. Suuremas firmas seevastu tulevad mängu igasugused poliitilised, regulatoorsed ja korralduslikud takistused. No ja võimalik, et alati  pole täidesaatev isik ka teadmistelt kõige pädevam (või võtab täitmine ülemõistuse palju aega).

      Nii et alustuseks, kui tahad midagi edasi delegeerida, mõtle enda jaoks selgeks:

      1. millist tööülesannet soovid volitada,
      2. kellele tahad volitada,
      3. kas tal on piisavad teadmised selleks täitmiseks,
      4. proovi talle võimaldada võimalikult lollikindel UI selle töö tegemiseks

            5. Süsteemiadministraatorite maailmas (Windowsi mäta otsast) on MS selle nimel nüüd aastaid vaeva näinud ja tasapisi hakkab asi mugavamaks minema. Kuigi palju on veel teha saab teatud tööülesandeid efektiivselt, lihtsalt ja turvaliselt edasi volitada.
              Allpool (ja järgnevalt) natuke näited, kuidas midagi töötab ja kuidas mitte.

              Active Directory ja objektid.

            AD objektide üle õiguste volitamine muutus saadavaks juba Windows 2000 ajal, kus toodi sisse Delegate Control Wizard.

            Delegate Control  viisard on “suhteliselt lollikindel” vahend lihtsamate operatsioonide edasivolitamiseks. Samas on Delegate Wizardil üks suur viga. Tehtud delegatsioone pole lihtne tagasi võtta – ehk – mõtle ennem hoolega kellele ja mida sa volitad.

            Siia näpunäide – loo endale AD’sse rolligrupp ja tee volitus grupile, siis on hiljem lihtne lisada või eemaldada reaalseid kasutaja kontosid, kes seda tegevust tegema peavad ning Sa ei pea uuesti delegeerimist tegema.

            Mida siis delgeerimisviisard teeb? Kogu tegevus seisneb tegelikult objekti (või omaduste) turbeomaduste muutmises. Ehk sedamasa saab teha ka Security saki kaudu, kui Sa tead mida Sa soovid teha. Security saki kaudu saab tegelikult ka vajadusel “unDelegate” teha, mis piiratud konteksti raames on isegi OK, kuid sealt kaudu terve metsa mingite objektide omaduste turbeomadusi näppida on väga kahtlane tegevus.

             

            Siia jutu juurde ka 1 praktiline näide.

            Olgu meil AD’s defineeritud mingi OU kuhu pannakse kõik tööjaamad, mis domeeni ühinevad. Iga harukontori jaoks on omaette OU, kus siis kohalikud administraatorid majandavad – lingivad GPO’sid, kustutavad kontosid jne. Selleks peaksid saidiadminid liigutama arvutid oma OU’sse.

            Delegeerimisviisardiga on lihtne anda saidiadminidele Create/Delete Computer objects õigusi, KUID selleks et tõsta (move) arvuti konto ühest OU’st teise sellest siiski ei piisa. Liigutamisel antakse üldine Access Denied veateade…

            WHAT!!

            Sügavamal uurimisel tuleb välja, et miinimum nõuded MOVE operatsiooniks on:

            1. lähte OU’s(konteineris) objekti kustamisõigus (tehtud);
            2. siht OU’s (konteineris) objekti loomisõigus (tehtud);
            3. WRITE PPROPERTY objekti kohta, mida liigutatakse ( ehk siis näiteks arvuti objekti liigutades, muutub tema  CN ja RDN. Ja seda Delegate Control ei teinud.

            Võimalik, et ühel ilusal päeval on ka move operatsiooni lihtne delgeerimisviisardiga paika sättida.

             

            Keywords: active directory, move object, access denied.

            WP7 klaviatuur

            andresp Feature, Interresting

            Külvates veel segadust oma ajaveebi lisan siia mõnikord ka Windows Phone 7 kohta Tip’se.

            Klavituurist:

            1. Kirjutades ingliskeelset kirja – kirjuta kiiresti ja usalda automaatparandust . Kuigi üks minu ex ülemus kirjutas oma Iphonega nii arusamatuid kirju kui vähe olla sai Silmapilgutusega naeratus.
            2. Tühiku topelt koputamine (? double tap) lisab sõna lõppu punkti ja alustab uut lauset suure tähega.
            3. Koputa ja hoia erinevatel tähtedel, saab lisamärke.
            4. Koputa Shift/Symbol nupule ja lohista näpp märgile mida vajad. Tõsta näpp.
            5. Automaatparanduses koputa “+” märgile. Sõna lisatakse sõnatikku Naeratus .  + Märk tekib pärast soovitud sõna kirjutamist, tühikut ja siis sõna valikul.
            6. Automaatparanduse muutmine – koputa sõnal ja vali soovitusnimekirjast vajalik.
            7. Kui sõna kirjutades automaatparanduse pakutud sõna sobib ja on rasvane, siis tühiku vajutamisel kasutatakse seda sõna.
            8. Mõningate märkide ( a la Õ ) jaoks on hea lisada Hispaani klaviatuur. Settings>Keyboard ja lisa klaviatuur.
            9. Autokorrektsiooni rida saab edasi-tagasi kerida.
            10. Koputa Back nupul klaviatuuri sulgemiseks.

             

            PS – mis võiks olla Tap analoog eesti keeles? KOputus kõlab kuidagi naljakalt siin.

            PowerShell massidesse – kuid kas sest alati kasu on.

            andresp Feature

            Powershell on pagana mõnus, efektiivne ja “cool” vahend  tegemaks enda elu lihtsustavaid skriptikesi. Mõnikord on teatud operatsiooni võimalik teha ainult PS abil. GUI’s lihtsalt pole sellist käsku või valikut. (Siin võib näiteks tuua terve hunniku Exchange ja System Center Virtual Machine Manageri tegevusi).

            PowerShell 1.0 “ilmus” Teie masinatesse Windows Update kaudu. Windows 2008 peal oli ta juba kaasas.

            Powershell 2.0 tuli koos Windows 2008 R2/Windows 7’ga ja on märgatavalt täiustatud. PowerShell 2.0 saab käima ajada ka vanematel platvormidel (XP, 2003, 2008, Vista). Seda uuendusena välja ei pakuta ja sikutama pead Sa ta http://support.microsoft.com/kb/968930 lehelt. Lisatingimustena on vaja .NET 2.0 SP1 (PS jaoks) ja .NET 3.0 kui soovid PowerShell ISE’t kasutada.

            Siinjuures tuleb märkida, et kui varem oli paigaldatud PS 1.0 siis seda justkui ei puututa, kuid tegelikult käivitatakse alati siiski 2.0 versioon. Powersheli versiooni saad kontrollida Get-Host käsuga.

            image

            Lisaks tuleb tähelepanu pöörata asjaolule, et kuigi sellisel moel on võimalik endale uus “mootor” saada, ei pruugi kõiki objekte ja klasse vanemate OS versioonide peal lihtsalt olemas olla. Seega ei pruugi OS spetsiifilisi objekte kasutav skript mõnes teises masinas üldse töötada. Näitena võib tuua Windows managemendi nimeruumid. Rääkimata rakendustest, mis lisavad oma Cmdlets’e, pakkujaid (provider), lisandmooduleid (snap-in).

            Keywords: Powershell, Windows 2003

            RDP Console ja Admin

            andresp Feature ,

            Remote Desktop (aka Terminal Services)  on Microsofti maailmas juba suhteliselt vana teenus – esimesena ilmus ta Windows 2000 Server koosseisus (tollal küll tiba teise nimega). Tööjaamadesse tuli Windows XP saabudes. Edaspidi on teda kõpitsetud siit ja sealt poolt, nii et tänaseks hetkeks on tegemist päris võimsa ja kasutatava omadusega.

            Allpool räägin valdavalt Terminal Service for Administration alamliigist. Ehk siis teenus, mis on mõeldud Windows Serveris peamiselt administreerimistööde tegemiseks. Kliendilitsentsi (TS/RDS CAL)siinjuures vaja ei lähe, kuid sessioonide arv on piiratud 2’ga. Edasi läheb keeruliseks.

            Windows 2000 ‘des – oli võimalik 2 “virtuaalset” (edaspidi lihtsalt RDP) sessiooni. Need mõlemad EI olnud samad, mis füüsiliselt serveri kuvari ja klaviatuuri taha istudes sisselogides avanes. See omakorda tekitas probleeme paljude rakendustega, mis ei osanud virtuaalsete sessioonidega hakkama saada ja väljastasid tulemused ja ootasid sisendit nn konsoolilt. Tööjaamas (Windows 200 Professional) polnud see üldse võimalik.

            Windows 2003 parandas selle vea. RDP rakendust (või analooge) spetsiaalse võtmega  /console käivitades ühenduti konsooli sessioonile. See sessioon oli alati ID’ga 0

            image

            Seega sai Windows 2003/2003 R2 serveris korraga töötada maksimaalselt 3 kasutajat. Terminal Services Configurator abil  oli võimalik muuta maksimum kasutajad 0..2+1 konsooli oma.  Vaikimisi häälestuses pääsesid RDP’le ligi ainult lokaalsesse Administartors gruppi kuluvad kontod. Lokaalse Remote Desktop Users grupi kaudu sai ligi lasta ka mitte administraatoreid, KUID konsooli sessioon jäi kasutatavaks ainult administrator kasutajatele. Mitteadministrators said /console võtmega väga üheselt mõistetava veateate

            image Väga mugav.

            Windows XP –  lubas ainult nn konsoolisessiooni.

            Olukord muutus dramaatiliselt Windows Vista/Windows Server 2008/R2 arenduse edenedes. Esmalt kogesid seda Vista SP1/XP SP3 installijad, kui uuendati RDP klienti. /console ei töötanud ootamatult ja see tuli asendada /admin võtmega. Hea küll, hulk skripte tuli ümber muuta ja ports 3’nda partei tööriistu lakkas korrektselt töötamast, kuid 2003 perekonna funktsionaalsus säilus.

            Windows 2008 serveris  on muudatused suuremad.

            1. Remote Desktop Service häälestamine käib uue väljanägemise saanud konsooli kaudu, kus on ports uusi võimalusi.
            2. Konsoolisessiooni, kui sellist pole enam üldse. Sa võid võtme /admin kaasa anda, kuid konsoolisessiooni (sessiooni 0) ikkagi enam ei saa.
            3. Võti /admin on vajalik ainult juhul, kui soovid administreerida Windows 2008 Serverit, millel on installeeritud Remote Desktops Services roll. Sel juhul keelatakse mõningad ümbersuunamised, töölaua teema lülitatakse Classic peale ja TS CAL’i ei loeta.
            4. Vaikimisi on kehtiv 2 aktiivse kasutaja piirang. Disconnected kasutajaid võib teoreetiliselt olla lõpmatult. Kui serverisse tahab logida uus kasutaja ja eelnevalt on aktiivsed 2 kasutajat palutakse valida, milline kasutaja välja logida. Administratori õigustega uuel logijal on võimalus eelmisi jõuga disconnectida, lihtsalt kasutaja puhul force puudub, kuid valitud aktiivsele kasutajale kuvatakse oma sessiooni disconnectimise teade ja kui ta sellele ei reageerita, siis 30 sekundi pärast tehakse disconnect ikkagi. Isegi siis kui uus login on user ja disconnect tehakse administraatorile…

            image

            4. RDP sessiooni saavad avada jätkuvalt vaikimisi administraatorid või siis Remote Desktop Users gruppi kuuluvad kontod.

            Seda olukorda iseloomustab kenasti ka Task Manager, kus ID 0 sessioone enam tekitada ei õnnestu.

            image

            Täpsemalt saab aimu qwinsta käsuga, kus ID 0 sessioon on reserveeritud süsteemile. >märgiga on tähistatud jooksev kasutaja ja RDP-TCP#0 on lihtsalt identifikaator.

            image

             

            Kogu pika jutu kokkuvõte on see, et KUI Windows 2003’s on võimalik tekitada lihtsalt ja välditavalt olukord, kus serverisse saab RDP’ga logida korraga ainult 1 mitte administraatorist kasutaja ja administrator saab alati konsooli kaudu ligi. Peamiselt vältimaks olukorda, kus parem käsi ei tea mida teeb vasak või mingitel  tegevuste salvestamise kaalutlustel, siis Windows 2008’s pole see nii lihtne, kuna alati saab mitteaktiivse kasutaja disconnectida.

            Ma ei ole leidnud veel võimalust, kuidas blokeerida tavakasutaja võime seesolevaid kasutajaid disconnectida. Logoff ta neile teha ei saa.

            Lisalugemist – “Impact of Session 0 Isolation on Services and Drivers in Windows Vista” (http://go.microsoft.com/fwlink/?LinkId=106201).