Поменялась концепция проекта чистого загрузочного диска для ЦОДа

Опубликовал(а): в: 17.04.2012 Нет комментариев

Привет, помните статью о проекте по загрузочному диску для ЦОДа на основе Windows 2003 так вот вчера с начальником устроили мозговой штурм и пересмотрели всю концепцию. Теперь загрузочный диск будет на основе Windows XP, в него будут интегрированы последние обновления драйвера и удалены ненужные компоненты, необходимые сервисные утилиты для Raid массивов дублируются утилитами Bios самих RAID контроллеров, поэтому их включать не будем. Добавим портативный софт необходимый для поднятия критичных сервисов заказчика.

Это пока только наброски, но сейчас уже начал модифицировать стандартный дистрибутив Windows XP SP3 RUS Professional с помощью nLite и сейчас тестирую его установку, чтобы в дальнейшем сделать из этого подготовленного дистрибутива загрузочный диск с помощью BartPE.

Но подробнее на форуме либо в следующих статьях.

И еще, теперь этот проект будет называется «Чистый загрузочный Windows XP 32x для ЦОДа« Читать далее »

Синхронизация времени на виртуальных машинах Hyper-V 2008 R2 SP1 хоста

Опубликовал(а): в: 27.03.2012 Нет комментариев

синхронизация времениПривет, столкнулся на работе с проблемкой. На виртуальных машинах рассинхронизировалось время, могло уехать на несколько часов за сутки. Причем виртуалки находятся на кластере Hyper-V Server, и кластер в собственном домене. Было принято решение настроить синхронизацию времени домена с внешнего источника времени.

В моем случае существует 2 контроллера домена кластера, один из них на самом кластере, другой на отдельной ноде Hyper-V кластера на выделенном сервере. Нам потребуется настроить оба контроллера домена (далее DC). Требуются права администратора домена.

Заходим на первый DC, открываем редактор реестра, заходим в раздел:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Config

Присваиваем AnnounceFlags значение 5 как на скриншоте:

Далее в разделе Parameters меняем значение ключа NtpServer на:

<ip адрес сервера времени>,0х1

И Type на NTP

Далее идем в управление сервером\службы находим там «Служба синхронизации времени Hyper-V» останавливаем ее и ставим тип запуска «Вручную» Читать далее »

Восстановление AD из System State на другом железе

Опубликовал(а): в: 25.03.2012 9 комментариев

Привет, сегодня, с разрешения своего коллеги, Андрея Федюнина, поделюсь его опытом: «Как восстановить AD из System State на другом железе«. Данный эксперимент проводился лично им и включает опыт многих. Было потрачено много времени на чтение технической информации, так что спасибо тебе!

Ниже приведен полный текст автора без изменений, и рассчитан он на опытного системного администратора, картинок не будет, так как и так все достаточно подробно описано. Поехали!

Восстановление Active Directory из System State

Рассматривается случай полного выхода из строя сервера и разворачивание System State на новом железе.

  • Устанавливается Windows той же версии которая стояла на исходной машине;
  • Устанавливаем все необходимые драйвера;
  • Установить тот же SP и версию IE (критична разница между IE6 и IE7);
  • Настраивается IP адрес, меняется название компьютера как на вышедшей из строя;
  • Поднимаются роли, которые были на исходном сервере (для работы AD необходимо поднять AD и DNS, настройки не важны, за исключением названия домена);
  • Перезагружаемся и заходим в режим восстановления AD;
  • Заходим в редактирование реестра (regedit) и экспортируем как кусты (!важно) следующие ветки реестра: 
    HKLM\System\CurrentControlSet\Control\Class; HKLM\System\CurrentControlSet\Control\CriticalDeviceDatabase
  • Запускаем ntbackup и восстанавливаем System State без замены файлов;
  • Загружаемся с LiveCD (лучше использовать WinPE чем ERD Commander в связи с ограниченностью редактора реестра последнего);
  • Подгружаем ветку реестра System и импортируем сохраненные ранее кусты на прежнее место (!важно: при импорте куста необходимо выделить ветку в которую необходимо произвести импорт, при импорте все предыдущее содержимое удаляется);
  • Перезагружаемся и загружаемся в безопасном режиме с поддержкой сети.Устанавливаем необходимые драйвера, удаляем те службы, которые больше никогда использоваться не будут на новом сервере. Запускаем regedit, идем в 
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

    и делаем резервную копию этой ветки реестра на всякий случай.Далее, сопоставляя службы, которые должны запускаться автоматически, но не запускаются, со списком из реестра и удаляем их;

  • Снова настраиваем IP адрес;
  • Скорее всего потребуется активировать windows, поэтому либо активируем повторно или используем killWPA;
  • Загружаемся в обычном режиме. Читать далее »

Настройка sendmail для отправки рутовых уведомлений

Опубликовал(а): в: 19.03.2012 Нет комментариев

В общем мне надоело ходить по сервакам и читать некоторые логи, знаю что можно получать стандартные оповещения отправляемые на локальный адрес хоста руту. Что мы получаем в итоге: Нам на почту будут приходить уведомления о выполняемых Crontab и их статусе, будем получать техническую информацию о состоянии систем, служебные уведомления различных программ.

Эта инструкция применима как к опубликованным Web серверам так и к внутренним локальным серверам (ниже инструкция для FreeBSD 8.2).

Все по порядку, проверяем установлен ли sendmail (далее SM):

[cc lang=’bash’ ]

service sendmail status
sendmail_submit is running as pid 902.
sendmail_clientmqueue is running as pid 913.

[/cc]

Это означает что сервис SM присутствует и запущен. Если не запущен то делаем start. Если не установлен то скорее всего должен присутствовать другой MTA (Mail Transfer Agent), например Postfix (как в suse enterprise), его мы настроим в другой статье.

Создаем на своем почтовом сервере (например Exchange) почтовый ящик или группу рассылки для того чтобы на нее отправлять почту. Я предпочитаю делать рассылки именно через группы, для того чтобы можно было подписывать и других людей на оповещения.

В Unix системах существуют так называемые алиасы (alisses) — нужны они для сопоставления имен и адресов. Так как система отправляет всю почту через MTA в локальную папку пользователя root, то нам нужно просто перенаправить всю рутовую почту на алиас (другой почтовый адрес). Заходим в папку /etc/mail/ и открываем на редактирование файл alises.

/etc/mail/

Добавляем строчки как в скриншоте (levkin можно заменить на что угодно): Читать далее »

Спящий режим из командной строки

Опубликовал(а): в: 19.03.2012 1 комментарии

Привет, сегодня коротко о том как погрузить ПК в спящий режим из командной строки. Это может понадобиться для того чтобы по расписанию управлять питанием ПК. Не уверен что кто то это использует на практике, обычно все же чаще нужно разбудить, но несмотря на это такая возможность есть.

Все довольно просто и бонально:

Управление параметрами электропитания из командной строки (данную команду можно включить в .bat или .cmd файл):

[cc lang=’dos’ ]rem переход в спящий режим
rundll32.exe powrprof.dll,SetSuspendState[/cc]

Have fun! Читать далее »

Осторожно! Троян социальной сети. Руководство к действию.

Опубликовал(а): в: 21.02.2012 6 комментариев

Добрый вечер, второй день замечаю что при открытии в браузере странички vkontakte открывается главная и предлагает зарегистрироваться или войти, так же и в twitter и думаю в остальных популярных соц сетях. Вчера не понял в чем дело, т.к. при попытке авторизации попытка не удалась, хотя с рабочего ПК зашел, дальше больше. Антивирус ESET Smart Sequrity NOD32 v5 нашел вирус:Троян Win32/Qhost.PES

Троян Win32/Qhost.PES, на  самом деле этот файл располагался в:

C:\Windows\system32\drivers\etc\hosts

но т.к. я его восстанавливал то на скриншоте выше путь другой. И вот как должен выглядеть при открытии в блокноте настоящий файл hosts:

как должен выглядеть файл hosts

Вкратце: файл hosts — текстовый файл, содержащий базу данных доменных имен и используемый при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед обращением к DNS-серверам. В отличие от DNS, содержимое файла контролируется администратором компьютера.

Получается так, что вирус модернизирует файл и Вы вместо реального сервера, например, вконтакте попадаете на сервер злоумышленника и своими же ручками вводите пароль и логин… все… вы отдали свой профиль.

Вот как выглядит зараженный файл hosts: Читать далее »

Делегирование прав в Active Directory

Опубликовал(а): в: 09.02.2012 7 комментариев

Привет, сегодня, с позволения своего коллеги Дружкова Дмитрия (автора данной инструкции), поделюсь с Вами опытом делегирования административных полномочий для работы в Active Directory. Изначально задача заключается в том что бы предоставить ограниченные права рядовому сисадмину для администрирования Organization Unit (OU) отдельного филиала компании. Работать будем в WIndows Server 2008 R2.

Административные полномочия включают в себя полный доступ и распространяются на следующие объекты: Группа , Компьютер , Контакт , Общая папка , Подразделение , Пользователь , Принтер . Данные права доступа не распространяются на объект, на который непосредственно производится делегирование (например, права доступа на удаление контейнера отсутствуют).

Для делегирования полномочий на объект Active Directory необходимо иметь права доступа администратора на него.

1. Выделить требуемый объект и нажатием правой кнопкой мыши вызвать меню свойств (для этого в консоли «Active Directory – Пользователи и компьютеры» в меню «Вид» должен быть выбран пункт «Дополнительные компоненты» ). Выбрать пункт меню «Делегирование управления…»(рисунок 1).

Рисунок 1

2. В появившемся приветственном окне «Мастера делегирования управления» меню нажать кнопку «Далее» (рисунок 2). Читать далее »