Remote Desktop: маленькие хитрости

Хитрость №1: избавляемся от полос прокрутки.

with_scrollssmart_sizedНи для кого не секрет, что для сессии RDP можно задать произвольный размер экрана, например больше, чем разрешение монитора, с которого осуществляется соединение. В таком случае окно RDP будет с полосами прокрутки (первый скриншот). Однако клиент RDP имеет скрытый функционал: он умеет аппроксимировать изображение, эта функция называется smart-sizing (второй скриншот). Для того, чтобы включить smart-sizing, необходимо добавить следующую строку в файл подключения (.rdp):

smart sizing:i:1

Информация отсюда.

Хитрость №2: сохраняем статус подключения для администрирования (к консоли) в файле подключения.

Для того, чтобы не запускать каждый раз клиента RDP с параметром /admin (для версии 6.1 и выше) или /console (до версии 6.1) необходимо добавить следующую строку в файл подключения (.rdp):

  • для клиента до версии 6.1: connect to console:i:1
  • для клиента версии 6.1 и выше: administrative session:i:1

Информация отсюда.

Хитрость №3: используем менеджер подключений RDP.

Для многих администраторов, использующих RAdmin, переход на RDP представляет серьезную проблему: клиент RDP не имеет удобной адресной книги (менеджера соединений). Оснастку Remote Desktops многие даже не рассматривают ввиду ее чрезвычайной убогости. Но на самом деле существует превосходный (и что  немаловажно — бесплатный!) менеджер соединений для RDP, он так и называется: Remote Desktop Manager. Программа обладает богатейшим функционалом: помимо RDP поддерживается большое число систем удаленного управления, автоматическое подключение VPN-соединений, создание групп подключений, ping компьютеров в группе, Wake on LAN, настройка параметров каждого соединения (для RDP можно настроить smart-sizing и admin session) и многое другое. Все подробности можно узнать на официальном сайте программы. Если возможностей стандартной версии перестанет хватать, то можно осуществить апгрейд до Enterprise версии по вполне доступной цене.

Ну что, я вас убедил в том, что RDP — это удобно? 😉

Проблема с авторизацией на WSS/MOSS с localhost

Однажды я столкнулся со странной проблемой: при попытке зайти на любой из сайтов Sharepoint, любым браузером с сервера, на котором он установлен, авторизация не проходила, а в Security event log появлялось событие Event ID 537:

Logon Failure:
Reason: An error occurred during logon
Status code: 0xC000006D

Причина оказалась в следующем: в Windows Server 2003 SP1 включена новая функция безопасности «loopback check functionality». В результате включения этой функции обратиться локально к серверу можно по IP-адресу, NetBIOS-имени или имени компьютера. Все попытки обратиться по полному DNS-имени (FQDN), либо по одному из алиасов (CNAME) будут заканчиваться:

  • бесконечным выводом окна входа в систему,
  • ошибкой Access denied,
  • ошибкой No network provider accepted the given network path.

При этом при каждой попытке входа в систему будет записываться событие Event ID 537.

О методах настройки «loopback check functionality» подробно рассказывается в статьях KB887993 и KB926642.

О возможных проблемах после установки обновления KB968912

Microsoft выпустила обновление KB968912 для поддержки корпоративного лицензирования Windows 7 и Windows Server 2008 R2 службой KMS.

После установки этого обновления при попытке добавить новый KMS-ключ от Windows 7 или Windows Server 2008 R2 может возникать следующая ошибка: Error: 0xc004f050 The Software Licensing service reported that the product key is invalid. Решить проблему просто: необходимо перезапустить службу Software Licensing,  либо повторно перезагрузить ОС.

Обо всех возможных проблемах с этим обновлением, а также о методах их устранения можно ознакомиться в блоге Ask the Core Team.

Установка Windows 7 и Windows Server 2008 R2 с USB-накопителя

Об установке Windows Server 2008 R2 и Windows 7 с флешки написано много статей. Не думаю, что стоит рассказывать в подробностях, что установка с USB-накопителей происходит намного быстрее, чем с DVD-диска или о том, что это фактически единственный способ установки ОС на нетбук, в котором нет CD/DVD привода.

О необходимых манипуляциях для подготовки загрузочного накопителя подробно рассказывается здесь или здесь. Эти способы хорошо зарекомендовали себя, но имеют ряд недостатков: требуется вручную выполнить много действий с командной строкой, а сам процесс желательно производить из-под Windows Vista/Windows Server 2008 или выше.

Теперь появился более простой способ создания загрузочного носителя, причем этот способ работает в любых 32-х и 64-ти битных ОС. Скачиваем утилиту Windows 7 USB/DVD Download Tool (зеркало) Windows 7 USB/DVD Download tool, устанавливаем ее и запускаем. Выбираем ISO образ и устройство, куда нужно копировать данные:

USB_boot_0 USB_boot_1 USB_boot_2 USB_boot_3 USB_boot_5 USB_boot_6

Via Андрей Бешков.

Update: Microsoft восстановил страницу загрузки утилиты.

Защита от спама встроенными средствами sendmail — 2

Фильтрация по именам хостов является достаточно эффективным способом борьбы со спамом на первом рубеже обороны. Согласитесь, что маловероятно получить легитимную корреспонденцию с хоста в имени которого присутствуют слова вроде adsl, pppoe, dynamic, pool, gprs. Также ни о чем хорошем не скажет несоответствие имени из HELO/EHLO обратной зоне, либо ее полное отсутствие. Разумеется, что существуют почтовые серверы, которые не соблюдают элементарные правила сетевого этикета, но это должно быть проблемой тех администраторов, которые не удосужились выделить время для правильной конфигурации почтовой системы.

В статье «Используем check_relay в Sendmail для борьбы со спамом» достаточно подробно рассматривается процесс конфигурирования фильтрации по DNS в sendmail, а также синтаксис правил проверок в sendmail.cf. Исходные коды статьи можно скачать отсюда.

По статье есть небольшое замечание: синтаксис директивы delay_checks изменился в sendmail 8.12, в базе access необходимо указывать правило в следующем формате: Spam:postmaster@ FRIEND.

Наводим порядок в домене с помощью скриптов

В больших доменах, как правило существует неразбериха с учетными записями пользователей и компьютеров, особенно, если в организации работает несколько администраторов. Проблема несвоевренного удаления учетных записей уволившихся пользователей и несуществующих ныне компьютеров знакома многим аминистраторам. Решение этой непростой проблемы усложняется тем, что атрибут lastlogon не реплицируется между контроллерами доменов. К счастью, IT-сообщество уже написало скрипты, облегчающие администраторам жизнь. Цитировать тексты скриптов не вижу смысла,  приведу лишь ссылки:

  1. Скрипт для поиска и перемещения неактивных компьютеров в организационную единицу.
  2. Скрипты для отключения учетных записей пользователей, удаления отключенных учетных записей и переноса личных каталогов уволенных сотрудников в архив.
  3. Скрипт, выводящий значения параметра lastlogon для всех учетных записей пользователей домена (скрипт обходит все контроллеры в домене).

P.S. Если функциональный режим домена поднят до уровня Windows Server 2003, то для поиска неактивных учетных записей можно использовать атрибут lastLogonTimeStamp, который реплицируется между контроллерами домена каждые 14 дней.

Защита от спама встроенными средствами sendmail

Есть пара хороших заметок, описывающих основные методы защиты от спама встроенными средствами sendmail: Help! My Mail Server Is Being DoSsed! и Mail Filtering — Sendmail Config. Конечно эти способы не панацея, защита от спама должна быть комплексной, но использование даже этих простых средств позволяет снизить поток нежелательной почты.

Доступ ко всем почтовым ящикам и отправка от имени другого пользователя в Exchange 2003

Иногда у администратора возникает необходимость  получить доступ к почтовому ящику Exchange, принадлежащего другому пользователю. Однако если вы вошли в систему с учетной записью администратора или как член групп «Администраторы предприятия» или «Администраторы домена», тогда вам будет отказано в доступе ко всем почтовым ящикам, кроме личного, даже если вы обладаете полными правами администратора в системе Exchange. Как обойти данный запрет рассказывается в статье kb821897.

Также иногда возникает необходимость отправить сообщение от имени другого пользователя, а чаще всего — от имени списка рассылки, т.к. почта, поступающая на отдельные адреса должна пересылаться одновременно нескольким пользователям. Как правило, при попытке отправки от чужого имени возникает ошибка «Отказано в доступе» или «У вас нет прав, необходимых для выполнения этой операции. Обратитесь к ответственному за папку или к администратору сети.» Как предоставить право на отправку от имени другого пользователя или списка рассылки рассказывается в статье kb912918.

Проблема с созданием XmlSerializers в WSS/MOSS

Однажды из-за аппаратного сбоя мне потребовалось восстановить ОС на сервере с установленным MOSS 2007. Я восстановил ОС с загрузочного диска, сделал восстановление для WSS и MOSS, но ни одна веб-часть не отображалась, выдавая ошибку «Невозможно создать XmlSerializers для этой веб-части» (Cannot create XmlSerializers for this Web Part). Решение проблемы отыскалось с большим трудом: после переустановки ОС слетели необходимые права доступа на общесистемную папку %Temp%. Необходимо дать полные права группе WSS_ADMIN_WPG и права на чтение группе WSS_WPG. Подробная информация о необходимых правах здесь и здесь, а о самой ошибке — здесь.