воскресенье, 17 июня 2018 г.

Замена контроллера домена. Перенос контроллера домена на новый сервер

Источник

Если ваш контроллер домена вышел из строя или полностью устарел и требует замены – не спешите планировать провести ближайшие выходные за созданием нового домена на новом сервере и кропотливым переносом в него пользовательских машин. Грамотное управление резервным контроллером домена поможет быстро и безболезненно заменить предыдущий сервер. 

Практически каждый администратор, работающий с серверами на базе Windows, рано или поздно сталкивается с необходимостью замены полностью устаревшего основного контроллера домена, дальнейший апгрейд которого больше не имеет смысла, на новый и более соответствующий современным требованиям. Бывают ситуации и хуже – контроллер домена просто-напросто приходит в негодность из-за поломок на физическом уровне, а резервные копии и образы устарели, или потерялись
В принципе, описание процедуры замены одного контроллера домена на другой можно найти на разных форумах, но информация даётся отрывками и, как правило, применима только к конкретной ситуации, однако фактического решения не даёт. Кроме того, даже вдоволь начитавшись форумов, баз знаний и прочих ресурсов на английском языке – я смог грамотно провести процедуру замены контроллера домена без ошибок только с третьего или четвёртого раза.
Таким образом, я хочу привести поэтапную инструкцию замены контроллера домена вне зависимости от того работоспособен он или нет. Единственная разница заключается в том, что при «упавшем» контроллере эта статья поможет только если вы заранее позаботились и развернули резервный контроллер домена.

Предварительная подготовка

Перед началом каких бы то ни было операций с контроллером домена, строго рекомендуется сделать резервную копию! Лучше всего, если это будет образ системного раздела целиком!

Проверка разрешений для папки SysVol

Следующая процедура рекомендуется для применения на Windows 2003, но для Windows 2008 она тоже пригодна:
  1. Установите надлежащие разрешения на доступ к папке Sysvol. Для этого выполните следующие действия.
a.     В окне проводника Windows щелкните папку %SystemRoot%\Windows\Sysvol правой кнопкой мыши и выберите команду Свойства.
b.     На вкладке Безопасность нажмите кнопку Дополнительно, снимите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и нажмите кнопку ОК. Убедитесь, что для выбранной папки установлены указанные ниже права, доступа и нажмите кнопку ОК.
Администраторы: полный доступ.
Прошедшие проверку: чтение, чтение и выполнение, список содержимого папки.
Создатель-владелец: никакие права не установлены явно.
Операторы сервера: чтение, чтение и выполнение, список содержимого папки.
System: полный доступ.
c.     В окне проводника Windows щелкните папку %SystemRoot%\Windows\Sysvol\Sysvol правой кнопкой мыши и выберите команду Свойства.
d.     На вкладке Безопасность нажмите кнопку Дополнительно, снимите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и два раза нажмите кнопку ОК.
e.     Щелкните правой кнопкой мыши папку %SystemRoot%\Winnt\Sysvol\Sysvol\имя_домена и выберите команду Свойства.
f.      На вкладке Безопасность нажмите кнопку Дополнительно, снимите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и два раза нажмите кнопку ОК.
g.     Щелкните правой кнопкой мыши папку%SystemRoot%\Winnt\Sysvol\Sysvol\имя_домена\Policies и выберите команду Свойства.
h.     На вкладке Безопасность нажмите кнопку Дополнительно, снимите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и нажмите кнопку ОК. Убедитесь, что для выбранной папки установлены указанные ниже права доступа, и нажмите кнопку ОК.
Администраторы: полный доступ.
Прошедшие проверку: чтение, чтение и выполнение, список содержимого папки.
Создатель-владелец: никакие права не установлены явно.
Владельцы-создатели групповой политики: чтение, чтение и выполнение, список содержимого папки, изменение, запись.
Операторы сервера: чтение, чтение и выполнение, список содержимого папки.
System: полный доступ.
i.      Для всех файлов и папок, расположенных в папке %SystemRoot%\Winnt\Sysvol\Sysvol\имя_домена\Policies, выполните следующие действия. Щелкните файл или папку правой кнопкой мыши и выберите пункт Свойства.
j.      На вкладке Безопасность нажмите кнопку Дополнительно, установите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и два раза нажмите кнопку ОК.
                Запустите оснастку «Active Directory - пользователи и компьютеры». Для этого нажмите кнопку Пуск и выберите в меню Все программы пункт Администрирование.
                Запустите оснастку «Active Directory - пользователи и компьютеры», разверните узел с именем домена, щелкните правой кнопкой мыши узел Контроллеры домена и выберите пункт Свойства.
                На вкладке Групповая политика выберите объект Политика контроллеров домена по умолчанию и нажмите кнопку Изменить.

Примечание. Если на компьютере установлена консоль управления групповыми политиками, кнопка «Изменить» будет недоступна. В этом случае нажмите кнопкуОткрыть, чтобы запустить консоль управления групповыми политиками, разверните узлы имя_домена и Контроллеры домена, щелкните правой кнопкой мыши элементПолитика контроллеров домена по умолчанию и выберите пункт Изменить.

Дополнительные сведения о консоли управления групповыми политиками см. на веб-узле Майкрософт по адресу:
                Последовательно раскройте следующие папки:
Конфигурация компьютера
Конфигурация Windows
Параметры безопасности
Локальные политики
                Выберите узел Назначение прав пользователя и дважды щелкните элемент Обход перекрестной проверки. По умолчанию данное право должно быть предоставлено следующим группам:
                «Local Service»;
                «Network service»;
«Прошедшие проверку»;
«Все»;
«Администраторы».
Если эти группы отсутствуют в списке, их необходимо добавить. Для этого нажмите кнопку Добавить, а затем — кнопку Обзор.
                Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду gpupdate и нажмите кнопку ОК.
                Убедитесь, что для общей папки sysvol установлены следующие разрешения общего доступа.
Администраторы: полный доступ.
Прошедшие проверку: полный доступ.
Все: чтение.
Примечание. Если после выполнения данных инструкций ошибки не исчезают или же возникают проблемы при доступе к общей политике, проверьте порядок привязки на сервере и убедитесь, что внутренняя сетевая карта указана первой в списке привязки. Для этого выполните следующие действия.
  1. Щелкните правой кнопкой мыши значок Мое сетевое окружение и выберите команду Свойства.
  2. В меню Дополнительно выберите пункт Дополнительные параметры.
  3. Убедитесь, что внутренний сетевой адаптер указан первым в списке Подключения. В противном случае передвиньте его в начало списка, используя кнопки со стрелками.

Проверка работоспособности и корректности работы контроллера домена

Для проверки корректности работы контроллера домена необходимо использовать утилиту dcdiag (для Windows 2003 она находится на установочном диске, для Windows 2008/R2 – она устанавливается вместе с системой):
Dcdiag /v /c /fix
Dcdiag /v /test:dcpromo /dnsdomain:my_domain /replicadc /fix
Dcdiag /v /test:dns /dnsall /fix
Nslookup

Если ранее были неудачные попытки ввода дополнительных контроллеров домена, передачи ролей и т. п., то необходимо выполнить следующую команду:
ntdsutil /metadata cleanup
Результатом работы этой команды будет удаление «мертвых душ» бывших или не получившихся контроллеров домена из Active Directory.

Подготовка леса и домена к появлению нового контроллера домена

Как правило, новый или дополнительный контроллер домена устанавливается на базе более новой, более совершенной версии ОС. Как следствие, для ввода контроллера домена на базе новой версии ОС, необходимо произвести некоторые манипуляции со старым – подготовить лес и домен.
Эти не хитрые операции проводятся с помощью утилиты adprep, которая находится на установочном диске ОС в каталоге Support. Эту утилиту обязательно надо брать с диска самой последней версии ОС из тех, на которых будут базироваться в дальнейшем  контроллеры домена!
Если дело касается Windows 2003 R2, то программу adprep необходимо брать со второго диска, а не с первого!
Операции подготовки необходимо выполнять в такой последовательности:
1.            Adprep /forestprep
2.            Adprep /domainprep
3.            Adprep /domainprep /gpprep

Подготовка серверов к повышению/понижению роли

Сама процедура создания резервного контроллера домена элементарна – мы просто запускаем на любом сервере сети мастер dcpromo. При помощи мастера dcpromo создаём контроллер домена в существующем домене. В результате проделанных манипуляций мы получаем развернутую службу каталогов AD на нашем дополнительном сервере (я буду называть его pserver, а основной контроллер - dcserver).
Дальше, если dcpromo сам не предложил – запускаем установку DNS сервера. Никаких настроек изменять не надо, зону создавать также не надо – она хранится в AD, и все записи автоматически реплицируются на резервный контроллер. Внимание – основная зона в DNS появится только после репликации, для ускорения которой сервер можно перезагрузить. В настройках TCP/IP сетевой карты резервного контроллера домена адресом первичного DNS сервера должен быть указан ip-адрес основного контроллер домена.
Теперь можно легко проверить работоспособность резервного контроллера домена pserver. Мы можем создать пользователя домена как на основном так и на резервном контроллере домена. Сразу после создания он появляется на дублирующем сервере, но примерно в течение минуты (пока происходит репликация) – он показан как отключенный, после чего начинает отображаться одинаково на обоих контроллерах.
На первый взгляд все действия по созданию исправной схемы взаимодействия нескольких контроллеров домена выполнены, и теперь, в случае выхода из строя «основного» контроллера домена, «резервные» контроллеры будут автоматически выполнять его функции. Однако, хотя разница между «основным» и «резервным» контроллерами домена чисто номинальная, «основной» контроллер домена имеет ряд особенностей (роли FSMO), о которых не стоит забывать. Таким образом, вышеприведенных операций для нормального функционирования службы каталогов при отказе «основного» контроллера домена не достаточно, и действия, которые надо произвести для грамотной передачи/захвата роли основного контроллера домена будут описаны ниже.

Немного теории

Нужно знать, что контроллеры домена Active Directory исполняют несколько видов ролей. Эти роли называются FSMO (Flexible single-master operations):
Schema Master (Хозяин схемы) – роль отвечает за возможность изменения схемы – например разворачивания Exchange server или ISA server. Если владелец роли будет недоступен – схему существующего домена вы изменить не сможете;
Domain Naming Master (Хозяин операции именования доменов) – роль необходима в том случае, если в вашем доменном лесу есть несколько доменов или поддоменов. Без неё не получится создавать и удалять домены в едином доменном лесу;
Relative ID Master (Хозяин относительных идентификаторов) – отвечает за создание уникального ID для каждого объекта AD;
Primary Domain Controller Emulator (Эмулятор основного контроллера домена) – именно он отвечает за работу с учётными записями пользователей и политику безопасности. Отсутствие связи с ним позволяет входить на рабочие станции со старым паролем, который нельзя сменить, если контроллер домена «упал»;
Infrastructure Master (Хозяин Инфраструктуры) – роль отвечает за передачу информации об объектах AD прочим контроллерам домена в рамках всего леса.
Об этих ролях достаточно подробно написано во многих базах знаний, но основную роль практически всегда забывают – это роль Global Catalog (Глобального Каталога). По факту этот каталог просто запускает LDAP сервис на порту 3268, но именно его недоступность не позволит доменным пользователям входить в систему. Что примечательно – роль глобального каталога могут иметь все контроллеры домена одновременно.

Фактически можно сделать вывод – если у вас примитивный домен на 30-50 машин, без расширенной инфраструктуры, не включающий в себя поддомены - то отсутствие доступа к владельцу/владельцам первых двух ролей вы можете не заметить. Кроме того, мне несколько раз попадались организации, работающие больше года вообще без контроллера домена, но в доменной инфраструктуре. То есть все права были розданы давно, при работающем контроллере домена, и не нуждались в изменении, пароли пользователи себе не меняли и спокойно работали.

Определение текущих владельцев ролей fsmo

Уточняю - мы грамотно хотим заменить контроллер домена, не потеряв никаких его возможностей. В том случае, если в домене два или более контроллеров, нам необходимо выяснить кто является обладателем каждой из ролей fsmo. Это достаточно просто сделатьиспользовав следующие команды:

dsquery server –forest –hasfsmo schema
dsquery server –forest –hasfsmo name
dsquery server –forest –hasfsmo rid
dsquery server –forest –hasfsmo pdc
dsquery server –forest –hasfsmo infr
dsquery server –forest -isgc 


Каждая из команд выводит нам информацию о том, кто является владельцем запрашиваемой роли (рис.1).

Добровольная передача ролей fsmo при помощи консолей Active Directory

Вся информация, необходимая для передачи роли основного контроллера домена у нас есть. Приступаем: для начала нужно убедиться в том, что наша учётная запись входит в группы «Администраторы домена», «Администраторы схемы» и «Администраторы предприятия», а затем приступить к традиционному методу передачи ролей fsmo – управлением доменом через консоли Active Directory. 
Для передачи роли “хозяина именования домена” выполняем следующие шаги:
- открываем «Active Directory Домены и Доверие» на том контроллере домена, с которого мы хотим передать роль. Если мы работаем с AD на том контроллере домена, которому мы хотим передать роль, то следующий пункт пропускаем;
- щёлкаем правой кнопкой мыши на значке Active Directory — домены и доверие и выбираем команду Подключение к контроллеру домена. Выбираем тот контроллер домена, которому хотим передать роль;
- щелкаем правой кнопкой мыши компонент Active Directory — домены и доверие и выбираем команду Хозяева операций;
- в диалоговом окне Изменение хозяина операций нажимаем кнопку Изменить (рис. 2).
- после утвердительного ответа на всплывающий запрос получаем успешно переданную роль.
Аналогичным образом, при помощи консоли «Active Directory — пользователи и компьютеры» можно передать роли «хозяин RID», «основной контроллер домена» и «хозяин инфраструктуры».
Для передачи роли «хозяина схемы» необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory:
regsvr32 schmmgmt.dll
Далее в консоль mmc необходимо добавить оснастку «Схема Active Directory», в которой, аналогично предыдущим пунктам, можно изменить владельца роли.
После того как все роли переданы остаётся разобраться с оставшейся опцией – хранителем глобального каталога. Заходим в Active Directory: «Сайты и Службы», сайт по умолчанию, сервера, находим контроллер домена, ставший основным, и в свойствах его NTDS settings ставим галочку напротив global catalog. (рис. 3)
Итог – мы поменяли хозяев ролей для нашего домена. Кому нужно окончательно избавиться от старого контроллера домена – понижаем его до рядового сервера. Однако простота проделанных действий окупается тем, что их выполнение в ряде ситуаций невозможно, или оканчивается ошибкой. В этих случаях нам поможет ntdsutil.exe.

Добровольная передача ролей fsmo при помощи консолей ntdsutil.exe

На случай, если передача ролей fsmo при помощи консолей AD не удалась, Microsoft создал очень удобную утилиту – ntdsutil.exe – программа обслуживания каталога Active Directory. Этот инструмент позволяет выполнять чрезвычайно полезные действия – вплоть до восстановления всей базы данных AD из резервной копии, которую эта утилита сама создала во время последнего изменения в AD. Со всеми её возможностями можно ознакомиться в базе знаний Microsoft (Код статьи: 255504). В данном случае мы говорим о том, что утилита ntdsutil.exe позволяет как передавать роли, так и «отбирать» их.
Если мы хотим передать роль от существующего «основного» контроллера домена к «резервному» – мы заходим в систему на «основной» контроллер и начинаем передавать роли (команда transfer).
Если у нас по каким-то причинам отсутствует основной контролер домена, или мы не можем войти под административной учетной записью – мы входим в систему на резервный контроллер домена и начинаем «отбирать» роли (команда seize).
Итак первый случай – основной контроллер домена существует и функционирует нормально. Тогда мы заходим на основной контроллер домена и набираем следующие команды:

ntdsutil.exe
roles
connections
connect to server имя_сервера (того кому хотим отдать роль)

Если выскакивают ошибки – нужно проверить связь с тем контроллером домена, к которому мы пытаемся подключиться. Если ошибок нет – значит мы успешно подключились к указанному контроллеру домена с правами того пользователя, от имени которого вводим команды.
Полный список команд доступен после запроса fsmo maintenance стандартным знаком ? . Пришла пора передавать роли. Я сходу, не задумываясь, решил передавать роли в том порядке, в каком они указаны в инструкции к ntdsutil и пришёл к тому, что не смог передать роль хозяина инфраструктуры. Мне, в ответ на запрос о передаче роли, возвращалась ошибка: «невозможно связаться с текущим владельцем роли fsmo». Я долго искал информацию в сети и обнаружил, что большинство людей дошедших до этапа передачи ролей сталкиваются с этой ошибкой. Часть из них пытается отобрать эту роль принудительно (не выходит), часть оставляет всё как есть – и благополучно живёт без этой роли.
Я же путём проб и ошибок выяснил, что при передаче ролей в данном порядке гарантируется корректное завершение всех шагов:
- хозяин идентификаторов;
- хозяин схемы; 
- хозяин именования;
- хозяин инфраструктуры;
- контроллер домена;
После успешного подключения к серверу мы получаем приглашение к управлению ролями (fsmo maintenance), и можем начать передавать роли:

- transfer domain naming master
- transfer infrastructure master 
- transfer rid master
- transfer schema master 
- transfer pdc master

После выполнения каждой команды должен выходить запрос о том – действительно ли мы хотим передать указанную роль указанному серверу. Результат удачного выполнения команды показан на (рис.4).
Роль хранителя глобального каталога передаётся способом, описанным в предыдущем разделе.

Принудительное присваивание ролей fsmo при помощи ntdsutil.exe

Второй случай – мы хотим присвоить нашему резервному контроллеру домена роль основного. В этом случае ничего не меняется – единственная разница в том, что мы проводим все операции, с использованием команды seize, но уже на том сервере, которому хотим передать роли для присвоения роли.

seize naming master
seize infrastructure master
seize rid master
seize schema master
seize pdc


Обратите внимание – если вы отобрали роль у контроллера домена, отсутствующего в данный момент, то при его появлении в сети контроллеры начнут конфликтовать, и проблем в функционировании домена вам не избежать.

Работа над ошибками

Самое главное, о чём не следует забывать – новый основной контроллер домена сам себе настройки TCP/IP не исправит: ему адресом первичного DNS сервера теперь желательно (а если старый контроллер домена + DNS сервер будут отсутствовать, то обязательно) указать 127.0.0.1 .
При этом если у вас в сети есть DHCP сервер, то нужно заставить его выдавать адресом первичного DNS сервера ip вашего нового сервера, если DHCP нет – пройтись по всем машинам и прописать им этот первичный DNS вручную. Как вариант, можно назначить новому контроллеру домена тот же ip что был у старого.
Теперь необходимо проверить как всё работает и избавиться от основных ошибок. Для этого я предлагаю на обоих контроллерах стереть все события с сохранением журналов в папку с прочими резервными копиями и перезагрузить все сервера.
После их включения внимательно анализируем все журналы событий на факт появления предупреждений и ошибок.
Самым распространённым предупреждением, после передачи ролей fsmo, является сообщение о том, что «msdtc не может корректно обработать произошедшее повышение/понижение роли контроллера домена».
Исправляется просто: в меню «Администрирование» находим «Службы компонентов». Там раскрываем «Службы компонентов», «Компьютеры», открываем свойства раздела "Мой компьютер", ищем там "MS DTC" и жмем там "Настройки безопасности". Там разрешаем "Доступ к сети DTC" и давим ОК. Служба будет перезапущена и предупреждение исчезнет.
Примером ошибки может служить сообщение о том, что основная DNS зона не может быть загружена, либо DNS сервер не видит контроллер домена.
Разобраться в проблемах функционирования домена можно при помощи утилиты dcdiag (рис. 5):
Установить эту утилиту можно с оригинального диска Windows 2003 из папки /support/tools. Утилита позволяет проверить работоспособность всех служб контроллера домена, каждый её этап должен оканчиваться словами successfully passed. Если у вас выходит failed (чаще всего это тесты connection или systemlog) то ошибку можно попробовать вылечить в автоматическом режиме:

dcdiag /v /fix 

Как правило, все ошибки, связанные с DNS должны пропасть. Если нет – пользуемся утилитой проверки состояния всех сетевых служб:

netdiag

И её полезным инструментом устранения ошибок:

netdiag /v /fix 

Если и после этого остаются ошибки связанные с DNS – проще всего удалить из него все зоны и создать вручную. Это довольно просто – главное создать основную зону по имени домена, хранящуюся в Active Directory и реплицируемую на все контроллеры домена в сети.
Более подробную информацию об ошибках DNS даст ещё одна команда:

dcdiag /test:dns 

По окончанию проделанных работ у меня ушло ещё где-то 30 минут на выяснение причины появления ряда предупреждений – я разобрался с синхронизацией времени, архивацией глобального каталога и прочими вещами, до которых раньше не доходили руки. Теперь всё работает как часы – самое главное не забудьте завести резервный контроллер домена, если вы хотите удалить старый контроллер домена из сети.


(Источник: http://zocomp.ru/index.php?option=com_content&view=article&id=53:-fsmo-&catid=34:articles&Itemid=55)
Оригинальная статья дополнена мной для исключения проблем, с которыми столкнулся я лично, когда переносил контроллер домена с Windows Server 2003 на Windows Server 2008R2.

Профили пользователей

Надо перетащить профили пользователей из одного домена в другой
Источник
User Profile Wizard 3.12


среда, 17 мая 2017 г.

Wana decrypt 2 MS17-010

Оригинал
Ещё
Microsoft
Патч, для старых систем (Windows XP, Winows Server 2003R2)

массовая атака криптором Wana decrypt0r 2.0

Вывод nmap на интерфейсе "Общественная сеть" показывает что даже в этом случае некоторые порты открыты наружу по умолчанию:

Host is up (0.017s latency).
Not shown: 997 filtered ports
PORT      STATE SERVICE
135/tcp   open  msrpc
445/tcp   open  microsoft-ds
49154/tcp open  unknown

Уязвимость так-же можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора (работает в Windows 8.1 и более старших версиях):

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:

Перейдите по ссылке выше и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
Откройте cmd.exe (командную строку)
Напишите:
wmic qfe list | findstr 4012212
Нажмите Enter
Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно:
http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка
Если ни один патч не находится, рекомендуется незамедлительно установить обновление по ссылке выше или по прямой ссылке из UPD9


понедельник, 3 апреля 2017 г.

Advanced IP Scanner

Advanced IP Scanner


Сисадмин должен знать все о системах, работающих в сети, и быстро получать к ним доступ. С данной задачей помогает справиться Advanced IP Scanner, предназначенный для быстрого многопоточного сканирования локальной сети. Предоставляется AIPS совершенно бесплатно, без каких-либо оговорок. Программа очень проста и понятна в работе. После запуска AIPS проверяет IP-адреса сетевых интерфейсов хоста, на котором она установлена, и автоматически прописывает диапазон IP в параметры сканирования; если IP менять не нужно, то остается запустить операцию сканирования. В результате получим список всех активных сетевых устройств. Для каждого будет собрана вся возможная информация: MAC-адрес, производитель сетевой карты, сетевое имя, зарегистрированный в системе пользователь, доступные общие ресурсы и сервисы (общие папки, HTTP, HTTPS и FTP). Практически все опции сканирования можно настроить, например изменить скорость или исключить проверку определенного типа сетевых ресурсов (общие папки, HTTP, HTTPS и FTP). К любому ресурсу можно подключиться одним кликом, достаточно лишь отметить его в списке. AIPS интегрирована с программой Radmin и в процессе сканирования находит все машины с работающим Radmin Server. Результат сканирования можно экспортировать в файл (XML, HTML или CSV) или сохранить в «Избранном» (поддерживается drag-and-drop). В дальнейшем, при необходимости обращения к нужному клиентскому компу, сканировать сеть повторно не требуется. Если удаленное устройство поддерживает функцию Wake-on-LAN, его можно включить и выключить, выбрав соответствующий пункт меню.
Сканер Advanced IP Scanner позволяет получить список устройств, работающих в сети
Сканер Advanced IP Scanner позволяет получить список устройств, работающих в сети

Performance Analysis of Logs (PAL) Tool

Бесплатная утилита Performance Analysis of Logs (PAL) Tool
В случае проблем с производительностью системы обнаружить узкое место при помощи штатного Windows Performance Monitor, не имея опыта, довольно сложно. Для того чтобы разобраться, какие метрики нужно снимать и как правильно интерпретировать результат, потребуется тщательно прошерстить документацию. Утилита PAL (Performance Analysis of Logs, pal.codeplex.com) заметно упрощает поиск «бутылочного горлышка». После запуска она просматривает журналы и анализирует их при помощи встроенных шаблонов. В настоящее время имеются настройки для большинства популярных продуктов MS — IIS, MOSS, SQL Server, BizTalk, Exchange, Active Directory и других. После запуска администратор в мастере PAL Wizard активирует нужные счетчики, просто выбрав шаблон из списка предложенных, указывает текущие настройки сервера (количество CPU и прочие), интервал анализа и каталог для сохранения результата. Через некоторое время будет выдан подробный отчет в HTML и XML, содержащий описание, имя счетчика и показатели (Min, Avg, Max и Hourly Trend). Отчет затем можно легко скопировать в любой документ. Но разбираться далее в собранных параметрах придется все равно самостоятельно. Хотя если PAL показывает, что характеристика находится в зеленом секторе, волноваться не стоит. Сам запрос сохраняется в скрипте PowerShell PAL.ps1, который можно сохранить для дальнейшего использования. Шаблоны представляют собой XML-файлы; взяв за пример любой из них, можно создать свой вариант. Для редактирования параметров в шаблоне предлагается встроенный редактор PAL Editor.


Отчеты, генерируемые PAL, позволяют получить информацию о производительности системы
Отчеты, генерируемые PAL, позволяют получить информацию о производительности системы

Официально поддерживается Win7, но работает на всех ОС от MS, начиная с WinXP (32/64). Для установки понадобится PowerShell v2.0+, MS .NET Framework 3.5SP1 и MS Chart Controls for Microsoft .NET Framework 3.5.

четверг, 19 января 2017 г.

Управление UPS

Программы для управления бесперебойником APC UPS:
apcfix
http://apc-fix.com/apcfix
http://apc-fix.com/articles/11
http://www.apc.ru/support/forum.html?idq=2831&namet=&idtn=

APC-управление
https://vdsoft.ru/upssoft/
http://www.apc.ru/support/forum.html?idq=2831&namet=&idtn=


ручная калибровка UPS
1. Осуществляем подключение нашего ИБП с помощью кабеля к порту COM.
2. Включаем компьютер.
3. Подсоединяем наше устройство к электросети и включаем его.
4. Запускаем программу ХиперТерминал ( HyperTerminal, скачать отсюда ).
5. В появившемся окне необходимо ввести название данного сеанса (произвольное название).
6. Необходимо в этом же окне выбрать порт, через который UPS подключен к ПК.
7. Установите следующие настройки com-порта: 2400 Baud, 8 data bits, 1 Stop bit, no parity, protocol Xon/Xoff
8. Кликайте кнопку “ОК”.
9. Далее, в следующем окне необходимо нажать следующее сочетание кнопок на клавиатуре: “Shift Y”. Вылезет сообщение “SM”.
И помните: Не стоит нажимать лишние кнопки клавиатуры, так как этим можно вызвать не ту команду, которая выведет из строя ваш аппарат.
10. Нажмите кнопку “0”. Вы увидите значение батарейной константы. Например, это число “12”.
Теперь нам необходимо выяснить это значение и подставить его вручную. Это первый путь развития дальнейших событий. Второй – выяснить, какую переменную предлагает сам ИБП.
Рассмотрим первый способ (долговатый) завершить калибровку ИБП (UPS) фирмы APC:
  • Нам потребуется загрузить на компьютер программу производства APC под названием PowerChute Business Edition
  • Запускаем установку утилиты. В процессе установки, подключенное устройство само определиться в системе.
  • Запускаем установленную программу. Откроется web - браузер.
  • Далее необходимо выбрать вкладку с нашим ИБП.
  • Выбираем “Статус”.
  • Теперь нам необходимо дождаться 100% заряда установленных аккумуляторов.
  • Следуем в раздел программы “Диагностика”.
  • Кликаем на кнопку “Запустить калибровку аккумуляторов”.
  • Долго ждем. Сам процесс занимает порядка 10-16 часов.
  • После этого необходимо нагрузить наш ИБП какой-нибудь нагрузкой. Для примера 43% от максимальной нагрузки.
  • Теперь мы опять нажимаем “Запустить калибровку аккумуляторов” но уже с нашей подключенной нагрузкой.
  • В данном примере источник бесперебойного питания смог проработать от подключенных и заряженных на 100% аккумуляторов целых 27 минут, а после переключился на питание от сети.
  • Смотрим искомую величину батарейной константы.
  • Выходим из программы PowerChute Business Edition.
  • Чтобы мы смогли далее воспользоваться, скачанной нами программой HyperTerminal. Нажимаем “Пуск”, наводим стрелку мышки на “Мой компьютер (У пользователей Win 7 или Vista – Компьютер)”, нажимаем правую кнопку мышки. Далее выбираем и переходим в “Управление”.
  • Выбираем в самом левом столбце “Сервисы и Программы (У пользователей Win 7 или Vista – Службы и приложения)”.
  • Далее переходим в “Сервисы (У пользователей Win 7 или Vista – Службы)”.
  • Ищем работающую службу “APC” и, нажав правую кнопку мышке на ней выбираем “Stop”.
  • Проделываем выше описанные пункты с 4 по 10.
  • Получаем число “82”. Оно близко к найденному в интернете числу “8C”.
Рассмотрим второй способ (быстрый) завершить калибровку ИБП (UPS) фирмы APC. Этот способ является отличным вариантом для тех, кто не хочет тратить много времени на первый способ или же, если в момент калибровки батарей без подключенной нагрузки ups начал заряжать уже заряженные батареи.
  1. Выполняем выше описанные пункты с 4 по 9.
  2. Жмем на клавиатуре кнопку “1” два раза с периодичностью две-три секунды. Видим появившуюся надпись “Prog”.
  3. Далее жмем кнопку “0” и видим значение нашей константы.
  4. Далее начинаем жать “+” на клавиатуре до тех пор, пока не появится значение “8С”, найденное в интернете. Если вдруг вы перестарались с нажатием, то можете подрегулировать кнопкой “-”.
  5. Теперь необходимо нажать одновременно две кнопки “Shift” и “R”. Мы увидим надпись “BYE”.
  6. Далее две кнопки “Shift” и “Y”. И мы снова увидим сообщение “SM”.
  7. Жмем “0” и смотрим, запомнилось ли наше .
  8. Выходим из программы.
  9. Загружаем на компьютер софт PowerChute Business Edition
  10. Инсталлируем программу. Во время установки UPS определится в системе сам.
  11. Запускаем. После запуска откроется браузер. Выбираем закладку с нашим ИБП.
  12. Жмем “Статус”.
  13. И ждем 100% заряда установленных батарей.
  14. Далее нагружаем наш ИБП какой-нибудь нагрузкой. Для примера 44%.
  15. Теперь мы нажимаем “Запустить калибровку аккумуляторов”.
  16. В данном примере ИБП проработал от подключенных и заряженных на 100% аккумуляторных батарей целых 26 минут, а после переключился на питание от сети.

суббота, 3 сентября 2016 г.

Даступ к C$ административным шарам

оригинал

1) При работе Windows 7 в домене достаточно включить пользователя в локальную группу Администраторы и тогда этот пользователь без проблем подключается к с другого компа по сети к ресурсам типа d$ e$ и т.д . На всех компах совершенно все выставлено по умолчанию (в т.ч. и UAC)

2) Если два компа Windows 7 находятся не в домене, а в группе (также все по умолчанию) то ситуация иная. 
Если UАC установлен по умолчанию, то подключиться к таким ресурсам может только "Администратор" (не пользователь входящий в группу "Администраторы", а именно "Администратор". 

3) При попытке подключиться по сети другим пользователем (входящим у группу "Администраторы") выдается сообщение, что пароль или логин неправильный (ну или если пытаемся использовать net use... то "Системная ошибка 5 отказано в доступе..."). 

4)Если же попытаться на этом же компьютере подключиться к этим ресурсам (т.е. на компьютере подкулючаемся к его же сетевым ресурсам) через сеть то все нормально.

5) Если понизить UAC до нуля (или задать политику "Контроль учетных записей: Все администраторы работают в режиме одобрения" в положение "Отключен" ) то тогда вполне можно с другого компа подключиться по сети к этим ресурсам пользователем не "Администратор" но входящим в группу "Администраторы".

Собственно говоря может в этом и есть логика но более логично тогда в случае 3 выдать некое сообщение подобное запросу на повышение прав а не просто бортануть. Возможно менее логично, но тоже логично было бы и в случае 4 также выдать этот запрос, а не просто пустить.