Oглавление



Установка Windows Server 2008

 

Установка – Q1: Когда Вы совершаете установку Windows Server 2008 в формате « unattended», Вы получаете сообщение об ошибке: " Windows could not parse or process unattended answer file [ drive:\ Windows\ Panther\ unattend. xml] for pass [ oobeSystem]"

Причина

========

Данная ошибка возникает потому что в файле Unattend . xml установлена опция ShowMediaCenter .

• Опция ShowMediaCenter в разделе " Microsoft - Windows - Shell - Setup " файла Unattend . xml . Раздел " Microsoft - Windows - Shell - Setup " расположен в секции " Windows Features " section .

• Также подобная ошибка может возникать если Вы пытаетесь установить следующие операционные системы с такими же параметрами:

• Windows Vista Enterprise

• Windows Vista Business

• Windows Vista Home Basic

• Windows Vista Starter

Решение

========

Просто не указывайте какое-либо значение для параметра ShowMediaCenter

Установка – Q2: Unattended установка Windows Server 2008 происходит с ошибкой при наличии параметра ShowWindowsMail = False

Симптомы

==========

Если параметр ShowWindowsMail имеет значение False в файле автоматической установки unattend.xml, то Вы можете получить ошибку : Error [Shell Unattend] WindowsFeatures:

Failed to read show/hide command value 'SOFTWARE\Clients\Mail\Windows

Mail\InstallInfo' 'HideIconsCommand' (0x80070002) [gle=0x00000002] , записанную в файл <systemroot>\panther\unattendgc\setupact.log

Причина

========

Параметр ShowWindowsMail в файле unattend.xml определяет будет ли создан ярлык для Windows Mail. Windows Mail не является компонентом Windows Server 2008, поэтому наличие данного параметра приведет к ошибке.

Решение

=========

Не указывайте параметр ShowWindowsMail в файле автоматической установки.

Установка – Q3: Вы скачали Windows Server 2008 с веб-сайта MSDN . При попытке активации Вы получаете следующее сообщение об ошибке “0x8007232b DNS name does not exist”.

Симптомы

==========

Вы скачали Windows Server 2008 с веб-сайта MSDN. При попытке активации Вы получаете следующее сообщение об ошибке:

“0x8007232b DNS name does not exist”.

или

"0xC004F041 The software Licensing Service determined that the Key Management Server (KMS) is not activated. KMS needs to be activated".

Причина

=======

Данные, взятые с MSDN , изначально подготовлены к активации KMS . Если ключ, который Вы используете, представляет собой MAK ключ, то необходимо проделать следующие шаги:

Решение

========

После установки пожалуйста проделайте следующие шаги для изменения ключа продукта:

1. Нажмите правой кнопкой мыши на иконку «Мой компьютер»

2. На вкладке Общие выберите « Изменить ключ продукта » и введите Ваш ключ

3. Произведите Online активацию на сервере

Установка – Q4: Как мне включить компоненты Windows Vista Desktop Experience и Windows Aero в ОС Windows Server 2008?

A : Для использования Windows Aero в Windows Server 2008, Вы можете предпринять следующи�� шаги:

Шаг 1: Установка компонента Install the Desktop Experience

----------------------------------------- ----------------------- -------------------

1. Запустите Service Manager

2. В поле details перейдите к Features Summary и нажмите Add Features

3. В окне Features Wizard , отметьте Desktop Experience и нажмите Next

4. Нажмите Install

5. После установки перезапустите компьютер

Шаг 2: Установка драйверов, совместимых с Windows Aero

----------------------------------------------------------------------------------

Windows Server 2008 поддерживает пользовательский интерфейс Windows Aero , однако по умолчанию он отключен. Также Windows Server 2008 не имеет встроенных драйверов для видеокарты, чтобы поддерживать этот интерфейс. Скачайте и установите драйвера к видеокарте в первую очередь .

Шаг 3: Включение Windows Aero

---------------------------------------------

1. Запустите службу Themes . Для этого проделайте следущее:

a . Нажмите Start -> Run , введите services . msc , и нажмите O K

b. В списке найдите службу Themes , щелкните правой кнопкой и выберите Properties

c. В списке параметров запуска выберите Automatic , нажмите Apply , затем Start , и затем OK

2. Включите Windows Aero . Для этого сделайте следующее:

a. Нажмите правой кнопкой мыши в любую пустую часть рабочего стола и выберите Personalize из контекстного меню

b. В диалоговом окне Personalization нажмите Window Color and Appearance

c. В списке тем Color scheme выберите Windows Aero и нажмите OK



Принтеры и факсы

Принтеры и факсы - Q1: Ошибка Event ID 6161 (Error Code: 5) возникает, когда Вы пытаетесь печатать используя Easy Print в терминальной сессии Windows Server 2008



Симптом

=========

У Вас есть сервер терминалов на базе Windows Server 2008 и компьютер-клиент с подключенным принтером. Вы устанавливаете соединение с удаленным рабочим столом с компьютера-клиента, используя Easy Print .

При попытке печати Вы обнаруживаете, что печать не запускается, вместе с этим на сервере можно зарегистрировать следующее событие:

Log Name: System

Source: Microsoft-Windows-PrintSpooler

Date:< Дата
>

Event ID: 6161

Task Category: None

Level: Error

Keywords: Classic

User: < Пользователь
>

Computer: < Компьютер
>

Description:

The document Test Page, owned by < Пользователь >, failed to print on printer < Название принтера
> (redirected N). Try to print the document again, or restart the print spooler.

Data type: RAW. Size of the spool file in bytes: <nnnnnn>. Number of bytes printed: 0. Total number of pages in the document: 1. Number of pages printed: 0. Client computer: \\< Компьютер >. Win32 error code returned by the print processor: 5. Access is denied

Возможная причина

===================

Подобная проблема может возникать в случае, когда группа Пользователи не имеет разрешений на каталог Spooler

Примечание: По-умолчанию каталог spooler располагается по адресу %systemroot%\system32\spool\Printers

Решение

========

1. В Панели управления переключите представление элементов на Классический вид и откройте Принтеры

2. Выберите Настройки сервера

3. На вкладке Дополнительно Вы можете посмотреть путь к каталогу Spooler. По-умолчанию это C:\Windows\system32\spool\PRINTERS

Установите разрешения:

1. Перейдите к папке spool. В контекстном меню выберите Свойства

2. Выберите вкладку Безопасность и нажмите кнопку Изменить

3. Если группа Пользователи не перечислена в списке, то нажмите кнопку Добавить и добавьте данную группу

4. Выберите группу Пользователи и убедитесь, что отметки в поле «Запретить» отсутствуют

6. Отметьте поле «Изменение»

7. Нажмите OK

Принтеры и факсы - Q2: Ошибка печати при использовании Print.exe для печати с клиентов на базе Windows Vista/Server 2008 на сервер печати под управлением Windows Vista/Server 2008

Симптом

========

На компьютере с установленной ОС Windows Vista или Windows Server 2008 не происходит печать при использовании print.exe При этом Вы можете получать следующие сообщения об ошибке:

"Unable to connect to the device"

"Unable to initialize device prn"

"Unable to initialize device"

Причина

========

Подобная проблема возникает по причине несовместимости Print.exe с SMB 2.0

Решение

========

Чтобы обойти проблему, используйте следующую команду:

type filename.ext > \\printserver\printer

Принтеры и факсы - Q3: TCP / IP принтеры некорректно размещаются через политику Group Policy Preference, возникает ошибка Event 4098 “ The print processor is unknown

Симптом

=========

Вы используете политику Group Policy Preference для размещения TCP / IP принтера на компьютеры-клиенты. Однако возникает следующая ошибка:

Source: Group Policy Printers

Catagory: disk

Event: 4098

User: system

The computer 'xx.xx.xx.xx' preference item in the 'USScienceComputers {202CC7A1-D524-4B3A-91F2-F388D62F13C8}' Group Policy object did not apply because it failed with error code '0x80070706 The print processor is unknown.' This error was suppressed.

Возможная причина

==================

Проблема может возникать когда принтер использу��т не стандартный процессор печати.

Решение

=========

1. Щелкните правой кнопкой мыши на принтере и выберите Properties

2. Выберите вкладку Advanced и нажмите кнопку Print Processor

3. Выберите “ WinPrint ” в поле “ Print Processor ” и нажмите OK

4. Попробуйте печатать снова



Принтеры и факсы - Q4: Как можно разместить соединение пользователей или компьютеров с принтером удаленно и установить соответствующие драйверы?

Метод 1: Использовать оснастку Print Management ( Printmanagement.msc ) совместно с групповой политикой

------------------- ------------------------------------------------------------------------------------------------------

Для размещения соединений с принтером, используя групповую политику, Ваше ПО должно соответствовать следующим требованиям:

1. Active Directory Domain Services (AD DS) должны использовать Windows Server 2003 R2 или Windows Server 2008

2. Компьютеры-клиенты с ОС Windows 2000, Windows XP, или Windows Server 2003 должны использовать инструмент PushPrinterConnections.exe в качестве скрипта при загрузке для каждого соединения

Если Ваше ПО соответствует указанному уровню Вы можете пройти по данной ссылке и прочитать статью об использовании консоли Print Management совместно с групповой политикой:

http :// technet . microsoft . com / en - us / library / cc 754699. aspx



Метод 2: Использование политики Group Policy Preference

----------------------------------------------------------------------------------

Вы также можете использовать политику Group Policy Preference для размещения соединений с принтером.

[Computer Configuration\Preferences\Control Panel Settings\Printers]

[User Configuration\Preferences\Control Panel Settings\Printers]

Вам не нужно обновлять ОС до Windows Server 2008 чтобы использовать политики Group Policy Preference. Вы можете настроить Group Policy preference в Windows Server 2003 как с сервера Windows Server 2008, так и с клиента Windows Vista Service Pack 1 с установленным обновлением RSAT. Если у Вас нет сервера Windows Server 2008, Вы можете скачать и установить на клиент с ОС Windows Vista пакет Remote Server Administration Tools on Windows Vista with SP 1

Чтобы работать с политикой Group Policy preference в ОС Windows XP Service Pack 2 ( SP 2), Windows Server 2003 Service Pack 1 ( SP 1) и в Windows Vista, необходимо скачать и установить пакет CSEs :

http :// support . microsoft . com / kb /943729

Метод 3: Использование скриптов

-------------------------------------------------

Вы можете написать скрипт для установки соединения с принтером, используя функцию AddWindowsPrinterConnection () и настроить его запуск при старте операционной системы.

Информацию об этом читайте здесь:

http :// msdn . microsoft . com / en - us / library / zsdh 7 hkb ( VS .85). aspx



Server Core

Server Core - Q1: Где можно почитать об инсталляции и управлении Windows Server 2008 Server Core?



Пошаговое руководство по установке и конфигурированию
Windows Server 2008 Server Core Вы можете найти здесь:

Server Core Installation Option of Windows Server 2008 Step-By-Step Guide

http://technet.microsoft.com/en-us/library/cc753802.aspx

Server Core - Q2: Каким образом я могу управлять службой Windows updates в среде Windows Server 2008 Server Core?

Установка обновления

В командной строке наберите:

wusa <update>.msu /quiet

Список установленных обновлений

В командной строке наберите:

systeminfo

Удаление обновлений

1. В командной строке наберите:

expand /f:* <update>.msu c:\test

2. Перейти к c:\test\ и открыть <update>.xml в текстовом редакторе

3. В файле <update>.xml, заменить параметр Install на Remove и сохранить файл.

4. В командной строке ввести:

pkgmgr /n:<update>.xml

На��троить автоматические обновления

В командной строке наберите:

  • Для проверки текущих настроек:

    cscript scregedit.wsf /AU /v
  • Для включения автоматических обновлений:

    cscript scregedit.wsf /AU /4
  • Для отключения автоматических обновлений:

    cscript scregedit.wsf /AU /1

Найти, загрузить и установить обновления

Используйте скрипт, расположенный по данной ссылке:

http://msdn.microsoft.com/en-us/library/aa387102(VS.85).aspx

Так же есть информация в блоге Fermin Sanchez:

http://blogs.technet.com/ferminsa/archive/2008/11/26/how-to-patch-windows-server-2008-core-using-wsus.aspx

Найти, загрузить и установить определенное обновление Windows

Используйте скрипт, расположенный по данной ссылке:

http://msdn.microsoft.com/en-us/library/aa387101(VS.85).aspx

Server Core - Q3: Как мне добавить разрешения DEP для программ в среде Windows Server 2008 Server Core?



Для этого Вам необходимо выполнить следующие шаги:

Шаг 1: Проверить текущий уровень DEP

==================================

Выполните следующую команду:

wmic OS Get DataExecutionPrevention_SupportPolicy

Сравните возвращенное значение со значениями из таблицы:

DataExecutionPrevention_SupportPolicy

Уровень политики

Описание

2

OptInпо-умолчанию

DEP включен только для собственных программ и служб Windows

3

OptOut

DEP включен для всех программ и служб, кроме выбранных в списке исключений. Список исключений создается администратором

1

AlwaysOn

DEP включен для всех процессов

0

AlwaysOff

DEP выключен для всех процессов

Шаг 2: Изменение уровня политики

================================

Если Вы хотите добавить Ваше приложение в список исключений DEP, Вам нужно сменить уровень политики на "OptOut"). Это можно сделать, выполнив команду:

bcdedit.exe /set {current} nx OptOut

Не забудьте перезапустить компьютер для того, чтобы изменения вступили в силу.

Шаг 3: Создайте Ваш список исключений

====================================

ПРИМЕЧАНИЕ: Неправильное использование редактора реестра может привести к серьезным проблемам, например к переустановке Windows. Microsoft не ��арантирует, что проблема будет решена подобным вмешательством в реестр.

Информацию о реестре Windows Вы можете прочитать по данной ссылке:

http://support.microsoft.com/?id=256986

Вы можете добавить определенное приложение в список исключений DEP, изменив реестр:

Для каждого приложения, которое требует отключение DEP, создайте String Value, в имени котором укажите путь к исполняемому файлу приложения (например C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriter.exe), а значение "DisableNXShowUI" (без кавычек). Изменения вносите в ветке реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers

Пример изменений реестра Вы можете увидеть в блоге Tim:

http://blogs.technet.com/askperf/archive/2008/06/17/to-dep-or-not-to-dep.aspx

Server Core - Q4: Как получать сертификаты в среде Windows Server 2008 Server Core?

Для установки сертификата (.PFX), Вы можете выполнить следующую команду:

certutil -importpfx <Path to the certificate file>

Server Core - Q5: Как можно настроить локальные политики безопасности в среде Windows Server 2008 Server Core?



Чтобы настроить локальные политики безопасности в среде Windows Server 2008 Server Core, Вы должны создать шаблон безопасности в полноценной ОС Windows Server и затем применить их на сервер с Server Core. Сделать это можно следующим образом:

На полноценном сервере

-------------------------------

1. Щелкнуть Start, ввести secpol.msc в поле Start Search и нажать Enter. Откроется оснастка Local Security Policy.

2. Настроить политики безопасности в соответствии с Вашими требованиями, затем нажать правой кнопкой мыши на Security Settings, выбрать Export policy чтобы сохранить их как шаблон безопасности.

На сервере Server Core

------------------------------------

1. Скопируйте шаблон на сервер Server Core.

2. Выполните следующую команду для применения политик безопасности:



secedit /configure /cfg template.inf /db secedit2.sdb





Server Core - Q6: Как я могу настроить инициатор iSCSI используя iscsicli.exe в среде Windows Server 2008 Server Core?



Чтобы использовать инициатор iSCSI для соединения с устройством iSCSI на сервере Windows Server 2008 Server Core, пожалуйста выполните следующие шаги:

1. Запустите службу Microsoft iSCSI Initiator и настройте ее на автоматический старт. Для этого используйте команду sc (service control):

sc \\<server_name> config msiSCSI start= auto

Затем запустите службу: net start msiSCSI

2. Настройте файрволл на работу со службой iSCSI Initiator. Это можно выполнить при помощи инструмента netsh или оснастки Windows Firewall MMC на удаленной машине с Windows Vista или Windows Server 2008 (не-Core).

3. После запуска службы iSCSI добавьте портал, это позволит Вам присвоить LUN для хранилища. Выполните команду:

iSCSIcli QAddTargetPortal <Portal IP Address>

На целевой машине настройте информацию о LUN. Для проверки имени используйте iSCSIcli ListTargets.

Когда имя будет проверено, воспользуйтесь командой iSCSIcli QloginTarget <Targetname> для подключения к целевой машине.

Если Вы хотите, чтобы целевая машина сохранилась после перезагрузки, выполните команду:

iSCSIcli PersistentLoginTarget <target_iqn> T * * * * * * * * * * * * * * * 0

Примечание: В синтаксисе используются 15 символов «*», между которыми стоят пробелы.

После выполнения команды, проверьте список на соответствие: iSCSIcli ListPersistentTargets.

 

Кластеры

Кластеры – Q1: Какие на Ваш взгляд преимущества/недостатки у конфигурации файлового сервера, поднятого в классическом виде на отказоустойчивом в кластере, и поднятого в виде виртуального сервера на том же отказоустойчивом кластере?

А.Шаповал: Основной недостаток в том, что виртуализация все же потребует некоторых накладных расходов. Плюсы будут в том, что кластер будет на порядок доступнее и гибче, особенно с точки зрения быстрой миграции или развертывания новых виртуальных машин.

Кластеры – Q2: Как я понимаю, Access-Based Enumeration теперь встроен в систему?

А.Шаповал: Совершенно верно. Access-Based Enumeration позволяет пользователю видеть только те общие папки, на которые у него есть права. Нет прав на папку – папка не видна. Эта возможность появилась впервые в Windows Server 2003 SP1 в виде специального пакета, который нужно было устанавливать дополнительно. В Windows Server 2008 Access-Based Enumeration встроен изначально и, в том числе, поддерживается на кластерных структурах.

Кластеры – Q3: Что будет при падении наблюдателя (witness)? Всего лишь потеряется один голос?

А.Шаповал: Да, но этот голос влияет на количество узлов, которое может выйти из строя. К примеру, в кластере 4 узла и соответственно 4 голоса, плюс еще один голос у наблюдателя. Итого, 5. Если наблюдатель «жив», мы можем потерять половину узлов (два из четырех), но кластер будет работать, так как из пяти голосов у нас остается три, то есть большинство. Если witness не доступен, из 4 узлов можно потерять только один, если же «упадут» два, «упадет» весь кластер.

Кластеры – Q4: Как сохраняется состояние виртуальной машины (содержимое памяти) при падении узла? Следующий узел запускает виртуальную машину с нуля?

А.Шаповал: Если произошло внезапное "падение" узла, то просто некому сохранить содержимое памяти и состояние виртуальных машин. В такой ситуации работоспособный узел запускает виртуальные машины с нуля. Подробности в веб-трансляции Андрея Бешкова, посвященной Hyper-V.

Кластеры – Q5: Основной фичей Storage Server является iSCSI Target? Или же есть множество улучшений направленных на повышение производительности дисковых операций?



А.Шаповал: Конечно не только iSCSI. Возможности Windows Storage Server можно посмотреть здесь. Отмечу, что данный продукт не доступен (не п��одается) в виде софта как такого. Это «начинка» для хранилищ и поставляется только OEM-партнерами в виде соответствующих «железных» решений.

Кластеры – Q6: Выбор SMB подразумевает поддержку SMB2? Или это зависит от того, на чём крутится хранилище?

А.Шаповал: Способ взаимодействия клиента с кластером в общем случае не зависит от способа взаимодействия кластера с хранилищем. Поэтому выбор скорее зависит от того, какой клиент подключается к серверу, точнее, поддерживает ли клиент SMB2.

Кластеры – Q7: Существует ли вариант с размещением контроллеров домена на тех же серверах, которые являются участниками кластера? Например, есть только 2 сервера в филиале, на которых предполагается поднять кластер.

А.Шаповал: Узлы кластера могут быть контроллерами домена. Это не рекомендуемая конфигурация, но технически реализуемая. Некоторые нюансы можно посмотреть здесь.

Кластеры – Q8: Можно ли увеличивать/уменьшать размер VHD после их создания? И если можно, то все ли типы дисков позволяют это делать?

А.Шаповал: Возможны три основные операции: Compact, Convert, Expand. Compact сокращает размер файла, удаляя не используемое внутри VHD-файла пространство. Применяется к динамическим и дифференциальным дискам. Convert преобразует динамический диск в фиксированный и наоборот. Expand позволяет расширить ёмкость динамического или фиксированного диска.

Кластеры – Q9: Чем выгоднее использование кластера для файлового сервера, нежели DFS? Только тем, что все данные лежат на одном ресурсе?

А.Шаповал: Не только. Но действительно, если данные хранятся на дисковом массиве или SAN, использовать DFS для создания отказоустойчивой структуры вы не сможете. А именно такой вариант обеспечивает высокую скорость доступа к файлам и масштабируемость. Если речь идет о геокластере? Скажем, Fibre Channel позволяет удалять узлы от хранилища на довольно большие расстояния. Если расстояния очень большие? Да, вполне возможно решение на основе DFS. Но надо иметь в виду, что в случае изменения одних и тех же данных на нескольких репликах, возникнут конфликты. Способы их разрешения зависят в том числе и от используемых для работы с файлами приложений. На практике DFS в основном используют для репликации данных по топологии звезда, когда есть одна реплика, допускающая изменения, остальные используются в режиме «только для чтения». Наконец, кроме отказоустойчивости реплик необходимо еще обеспечить отказоустойчивость корня DFS.

Кластеры – Q10: А возможно ли поднять на каждом из узлов свои VM (для баланса нагрузок), которые в случае падения узла мигрируют на работоспособный узел как в случае failover cluster?

А.Шаповал: Можно. После того, как вы развернули на кластере очередную виртуальную машину, в консоли управления кластером вы можете перевести ее на нужный узел и, тем самым, вручную сбалансировать нагрузку. При выходе этого узла из строя данная виртуальная машина будет перезапущена на одном из оставшихся узлов.

Кластеры – Q11: А сами узлы по какому протоколу взаимодействуют с хранилищем (SMB/SMB2)?

А.Шаповал: Это взаимодействие определяется интерфейсом хранилища: Fibre Channel, iSCSI, Serial Attached SCSI (SAS).

Active Directory и групповые политики

 

Active Directory и групповые политики - Q1: Как мне распространить региональные стандарты (числа, валюту, формат времени и даты) используя групповую политику?

Метод 1: Использование Group Policy Preference

===========================================

Если речь идет о компьютере с установленной ОС Windows Server 2008 или Windows Vista SP 1 и наличием пакета RSAT в домене уровня Windows Server 2003/2008, то Вы можете произвести подобное размещение путем настройки политики Regional Options .

[User Configuration\Preferences\Control Panel Settings\Regional Options]

Для большей информации прочитайте статьи TechNet :

Regional Options Extension

http://technet.microsoft.com/en-us/library/cc754496.aspx

Enable and Disable Settings in a Preference Item

http://technet.microsoft.com/en-us/library/cc754299.aspx

Overview of Preferences

http://technet.microsoft.com/en-us/library/cc732027.aspx

Нет необходимости обновлять Вашу ОС до Windows Server 2008, чтобы использовать политики Group Policy Preferences . Вы можете настроить компонент Group Policy Preference и в среде Windows Server 2003, используя для этого сервер Windows Server 2008 или клиент Windows Vista Service Pack 1 с установленным компонентом RSAT .

Для корректной работы Group Policy Preference в окружениях Windows XP Service Pack 2 ( SP 2), Windows Server 2003 Service Pack 1 ( SP 1) и Windows Vista необходимо установить расширение CSE ( client - side extensions ). Чтобы скачать его, пройдите по ссылке:

http :// support . microsoft . com / kb /943729

Метод 2: Использование Logon -скрипта

===================================

Настройки региональных стандартов хранятся в следующем разделе реестра:

HKEY_CURRENT_USER\Control Panel\International

Если у Вас нет возможности следовать первому методу, Вы можете создать Logon-скрипт, либо создать файл .adm для настройки реестра.

Создание скрипта:

1. Войдите в систему, используя учетную запись администратора, и настройте региональные стандарты как Вам необходимо.

2. Экспортируйте ключ реестра [ HKEY _ CURRENT _ USER \ Control Panel \ International ] в файл и разместите его в папке с общим доступом.

3. Создайте пакетный файл, в котором укажите следующее:

regedit / s <Путь к файлу реестра>

Например, если путь к файлу реестра \\ server \ share \ RegionalSetting . reg , команда будет выглядеть так:

regedit /s \\server\share\RegionalSetting.reg

4. Создайте политику для размещения данного скрипта всем пользователям.

Если Вы не хотите использовать скрипт, Вы также можете воспользоваться административным шаблоном для размещения настроек. Как это сделать Вы узнаете, пройдя по ссылке:

Создание административных шаблонов в среде Windows 2000 (применимо и к Windows Server 2003)

http :// support . microsoft . com / kb /323639

Active Directory и групповые политики - Q2: Каким образом можно разместить настройки безопасности Internet Explorer через групповые политики?

Административный шаблон inetesc . adm может использоваться для размещения настроек безопасности Internet Explorer Enhanced Security Configuration в среде Windows Server 2008.

Данный шаблон Вы можете скачать, используя данную ссылку:

http :// www . microsoft . com / downloads / details . aspx ? FamilyID = d 41 b 036 c - e 2 e 1-4960-99 bb -9757 f 7 e 9 e 31 b & DisplayLang = en

Here are the detailed steps:

1. Создайте новую политику (или используйте существующую), чтобы настроить безопасность в Internet Explorer.

2. Нажмите правой кнопкой мыши на политику (GPO) и выберите Edit

3. Разверните Computer Configuration \Policies , щелчок правой кнопкой на Administrative Templates и выберите Add/Remove Templates

4. Нажмите кнопку Add , и выберите файл .adm для импорта

5. Теперь Вы можете увидеть компонент Classic Administrative Templates ( ADM ) в административных шаблонах

6. Разверните ветвь компонента и Вы можете настраивать политики безопасности Internet Explorer Enhanced Security Configuration , как если бы Вы находились в домене уровня Windows Server 2003.

Active Directory и групповые политики - Q3: Как я могу управлять членством в локальных пользовательских группах, используя групповые политики?



Вы можете использовать политику Restricted Groups для управления членством на клиентах домена. Restricted groups позволяет администратору определять такие параметры для групп как:

· Members

· Member Of

Список "Members" определяет, какие пользователи принадлежат данной группе, а какие – нет. Список "Member Of" определяет, к каким группам принадлежит данная группа.

Например, если Вы хотите добавить глобальную группу в административную группу на всех рабочих станциях, Вы можете настроить это, используя политику Restricted Group. Для более полной информации обратитесь к статье в нашей базе знаний:

Как сделать глобальную группу членом группы Администраторы на всех рабочих станциях:

http://support.microsoft.com/kb/320065

Для большей информации о политике Restricted Group прочитайте данную статью:

http://support.microsoft.com/kb/279301

http://support.microsoft.com/kb/810076

Когда Вы используете функциональность "Member of", объекты групповой политики Windows Server 2003 Group Policy могут работать не так, как Вы ожидаете:

http://support.microsoft.com/kb/925443

 

Active Directory и групповые политики - Q4: Как я могу использовать WMI фильтр, чтобы применить групповую политику только к определенной операционной системе?



Если Вы хотите управлять работой приложения только в определенных ОС при помощи групповой политики, Вы можете использовать WMI фильтр. Фильтры Windows Management Instrumentation (WMI) позволяют динамически определять раздел объектов групповых политик (GPOs) на основании атрибутов целевого компьютера. Для бо��ьшей информации по WMI фильтрам пожалуйста пройдите по ссылке:

http://support.microsoft.com/kb/555253

WMI фильтрация:

http://technet.microsoft.com/en-us/library/cc779036.aspx

Для определения типа ОС компьютера Вы можете создать WMI филтры, используя свойства Version и OperatingSystemSKU, входящих в WMI-класс Win32_OperatingSystem. Вот некоторые примеры:

SELECT Version FROM Win32_OperatingSystem WHERE Version < "6"

Версия < "6" <<-- ОС младше, чем Vista/Windows Server 2008, версии которых 6.X.X

SELECT Version FROM Win32_OperatingSystem WHERE Version = "5.1.2600"

Версия = "5.1.2600" <<-- ОС Windows XP SP2

SELECT Version FROM Win32_OperatingSystem WHERE Version LIKE "6.0.%"

Версия "6.0.%" <<-- ОС либо, Vista, либо Windows Server 2008

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE “6.0.%” AND ProductType <> 1”

Версия “6.0.%” и ProductType <> “1” <<-- ОС Windows Server 2008 server/DC

SELECT OperatingSystemSKU FROM Win32_OperatingSystem WHERE OperatingSystemSKU = 12

OR OperatingSystemSKU = 39 OR OperatingSystemSKU = 14 OR OperatingSystemSKU = 41 OR

OperatingSystemSKU = 13 OR OperatingSystemSKU = 40 OR OperatingSystemSKU = 29



Компьютер с ОС
Server Core.

Для большей информации:

http://msdn.microsoft.com/en-us/library/ms724358.aspx

 

Active Directory и групповые политики - Q5: Как правильно настроить разные политики паролей для разных типов пользователей домена?



В доменах уровня
Microsoft Windows 2000 и Windows Server 2003 ко всем пользователям может применяться только одна политика паролей. Windows Server 2008 позволяет назначить несколько политик пароля для разных групп пользователей. Эта политика называется Fine-Grained Password. Например, Вы можете назначить более жесткие ограничения для привилегированных аккаунтов и менее жесткие для остальных пользователей. С другой стороны Вы, возможно, захотите применить специальную политику паролей для аккаунтов, чьи пароли синхронизированы с другими источниками информации.

Для получения большей информации о политике Fine-Grained Password перейдите по ссылке:

http://technet.microsoft.com/en-us/library/cc770394.aspx

 

Active Directory и групповые политики - Q6: Как мне настроить применение политик к пользователям при их подключении к определенным компьютерам (например терминальному серверу)?



Обычно политики применяются к пользователю или компьютеру когда оба эти объекта расположены в службе каталога. Но иногда пользователям может понадобиться применение политики на основе местоположения компьютера. Вы можете использовать возможность
Group Policy Loopback (замыкание) для применения политики только при подключении к определенному компьютеру.

Для настройки проделайте следующие шаги:

1. В консоли управления групповыми политиками выберите Computer Configuration.

2. Перейдите к шаблонам Administrative Templates, нажмите System, Group Policy, и включите опцию Loopback Policy.

Эта политика укажет системе применить набор объектов групповой политики к любому пользователю, регистрирующемуся на данном компьютере. This policy directs the system to apply the set of GPOs for the computer to any user who logs on to a computer affected by this policy. Эта политика предназначена для компьютеров, выполняющих особую работу (лаборатории, учебные классы, общественные компьютеры).

Для большей информации о политике Loopback прочитайте статью в базе знаний Майкрософт:

http://support.microsoft.com/?id=231287

Политика Loopback особенно полезна на сервере терминалов. Обычно администраторы хотят ограничить права пользователей при работе с терминальной сессией, однако эти ограничения не должны распространяться при входе пользователей на другие компьютеры домена.

Больше об ограничении терминальной сессии Вы можете узнать здесь:

278295 How to lock down a Windows Server 2003 or Windows 2000 Terminal Server

http://support.microsoft.com/?id=278295

Locking Down Windows Server 2003 Terminal Server Sessions

http://www.microsoft.com/downloads/details.aspx?FamilyID=7f272fff-9a6e-40c7-b64e-7920e6ae6a0d&DisplayLang=en

 

Active Directory и групповые политики - Q7: Как переместить или реструктурировать домен Windows Server 2008?



Иногда Вы можете принять решение реструктурировать существующее окружение и перенести его в новый домен
Windows Server 2008 для достижения следующих решений:

Оптимизации порядка в логической структуре Active Directory

Помощи в бизнес - слиянии, приобретении, разделении предприятия

Реструктурирование подразумевает перенос ресурсов между доменами внутри одного леса или в другой лес. Вы можете использовать инструмент Active Directory Migration Tool 3.1 (ADMT v3.1) для определения объектов переноса и обеспечения безопасности в ходе процесса, при этом пользователи сохранят возможность доступа к сетевым ресурсам в ходе переноса. Скачать данный продукт Вы можете здесь:

http://www.microsoft.com/downloads/details.aspx?familyid=AE279D01-7DCA-413C-A9D2-B42DFB746059&displaylang=en#Instructions

Поскольку перенос домена является сложным процессом, мы рекомендуем Вам ознакомиться с документацией по этому процес��у:

http://www.microsoft.com/downloads/details.aspx?familyid=6D710919-1BA5-41CA-B2F3-C11BCB4857AF&displaylang=en

 

Active Directory и групповые политики - Q8: Windows Server 2008 не аутентифицирует учетную запись пользователя из доверенного домена. Сообщение об ошибке: "The security database on the server does not have a computer account for this workstation trust relationship."



Симптом

=========

В мульти-доменном окружении Вы можете столкнуться с ситуацией, когда компьютер не аутентифицирует учетную запись пользователя из доверенного домена на основе Windows Server 2008 или Windows Vista Service Pack 1.

Возможная причина

==================

Такая ошибка может возникать, если тип доверительных отношений между доменами - "downlevel".

Примечание: Для проверки типа доверия Вы можете использовать инструмент NLTEST.exe:

nltest /domain_trusts

Возвращенные значения:

0: <Domain 1> (NT 4) (Direct Inbound)

1: <Domain 2> (NT 5) (Direct Inbound)

2: <Domain 3> (NT 5) (Direct Inbound)

Если возвращен тип "NT 4", значит тип доверия домена – «downlevel»

Решение

========

Для решения этой проблемы пересоздайте доверительные отношения между доменами для устранения типа доверия «downlevel».

После этого запустите в командной строке "nltest /domain_trusts", чтобы проверить наличие типа доверия "NT 5".

 

Active Directory и групповые политики - Q9: Служба DHCP-сервер не запускается на Read-Only контроллере домена Windows Server 2008.



Симптом

=========

При попытке запустить службу DHCP-сервер возникает ошибка:

An error occurred while trying to start the DHCP Server service on <computername.domainname.com>. For more information about the error, see Event Viewer.

The request is not supported.

In the system event log, the following events may be logged:

Product: Windows Operating System

ID: 1035

Source: Microsoft-Windows-DHCP-Server

Version: 6.0

Symbolic Name: EVENT_SERVER_READ_ONLY_GROUP_ERROR

Message: The DHCP service was unable to create or lookup the DHCP Users local group on this computer. The error code is in the data.

Product: Windows Operating System

ID: 1036

Source: Microsoft-Windows-DHCP-Server

Version: 6.0

Symbolic Name: EVENT_SERVER_ADMIN_GROUP_ERROR

Message: The DHCP server was unable to create or lookup the DHCP Administrators

local group on this computer. The error code is in the data.

Возможная причина

==================

Подобное поведение вполне ожидаемо. Служба DHCP делает попытку создания и чтения групп “DHCP Users” и “DHCP Administrators” в Active Directory. Однако это невозможно сделать на контроллере домена Read-Only. Эти объекты могут быть реплицированы только с другого контроллера домена с доступной записью.

Решение

========

Метод 1:

Вручную создать данные группы на другом контроллере домена и реплицировать их на Read-Only контроллер.

Метод 2:

1. Установить DHCP на контроллер домена с разрешенной записью, группы будут созданы автоматически, после чего реплицировать их на Read-Only контроллер домена.

2. Удалить службу DHCP.

Больше информации по этой теме Вы можете узнать из этой статьи:

http://technet.microsoft.com/en-us/library/cc732790.aspx

 

Active Directory и групповые политики - Q10: Настройки групповой политики не применяются на клиент-компьютерах с установленной ОС Windows Server 2008 или Windows Vista SP1, на которых включены политики подписи SMB.



Симптом

=========

Представим ситуацию:

• Следующие политики запущены на контроллере домена в среде Windows Server 2003:

[Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: Digitally sign communications (всегда)]

[Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: Digitally sign communications (по выбору клиента)]

Следующие политики запущены на клиент-компьютере в среде Windows Vista Service Pack 1 или Windows Server 2008:

[Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Digitally sign communications (всегда)]

[Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Digitally sign communications (по выбору сервера)]

В данной ситуации настройки групповой политики не будет применена к клиент-компьютеру. Кроме этого в системном журнале будет записано следующее сообщение:

Date: Date

Event ID: 1058

Level: Error

Keywords:

User: UserSID

Computer: CompuerName

Description:

Windows пытается прочитать файл \\<путь> \gpt.ini на контроллере домена, но не может выполнить эту операцию. Данная проблема может возникать по нескольким причинам:

a) Ошибка соединения/Ошибка разрешения имен с контроллером домена

b) Задержка при работе службы File Replication

c) Выключен клиент DFS (Distributed File System)

Примечание: Данная проблема появляется только на клиент-компьютерах с ОС Windows Server 2008 или Windows Vista Service Pack 1 (SP1). Она не будет возникать на компьютерах с ОС Windows Server 2003, Windows XP, или релизе Windows Vista.

Возможная причина

==================

Когда ��лиент Server Message Block (SMB) версии 1 устанавливает не гостевое или не анонимное соединение с сервером, он активирует сигнатуры безопасности для сервера. В дальнейшем сессии будут наследовать созданные сигнатуры.

Решение

========

Для решения данной проблемы, п��жалуйста, загрузите и установите обновление, описанное в статье Базы Знаний:

http://support.microsoft.com/kb/950876

Метод 1

Запретить следующую политику на компьютерах-клиентах, где установлена ОС Windows Server 2008 или Windows Vista SP1:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Digitally sign communications (всегда)

Метод 2

На клиентском компьютере с ОС Windows Server 2008 или Windows Vista SP1, проделайте следующие шаги:

1. В меню Start , введите regedit в поле Start Search

2. Перейдите к ветви HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

и найдите ключ RequireSecuritySignature

3. Нажмите правой кнопкой мыши на ключе RequireSecuritySignature и выберите Modify

4. В поле Value введите 0 и нажмите OK

Метод 3

На клиентском компьютере с ОС Windows Server 2008 или Windows Vista SP1, проделайте следующие шаги:

1. В меню Start , введите regedit в поле Start Search

2. Перейдите к ветви HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

и найдите ключ AllowGuestAuthWhenSigningRequired

3. Нажмите правой кнопкой мыши на ключе AllowGuestAuthWhenSigningRequired и выберите Modify

4. В поле Value введите 1 и нажмите OK

Active Directory & Group Policy – Q11: Не применяются политики, созданные при помощи Group Policy Preferences, хотя RSOP указывает на то, что политики применились успешно.

 

Рекомендуем просмотреть данную статью базы знаний TechNet.

File & Storage

File & Storage - Q1: Как добавить службу "Service for Network File System" в Windows Server 2008?

"Service for Network File System" - это служба роли "File Services" Windows Server 2008. Установить эту службу в Windows Server 2008 можно через средство управления сервером (Server manager):.

1. Запустите Server Manager

2. Щелкните по списку ролей, в правой панели нажмите "Add Roles"

3. Выберите роль "File Services".нажмите Next.

4. При появлении диалога "Select Role Services" отметьте службу "Service for Network File System"

5. Нажмите Next, затем Install.

File & Storage - Q2: Почему при репликации DFS с максимальной пропускной способностью выдерживается пятнадцатиминутный интервал?

Интервал определяется особенностями механизма репликации .This is determined by the way that the operation system stores the information of DFS replication.

Расписание репликации DFS Replication хранится в качестве двоичного атрибута размером 336 байт (2*24*7), представляющего собой расписание на неделю. На представление каждого часа отведено 2 байта. Каждый час делится на 4 части, каждая из которых занимает 4 бита. Т.е. появляется 15-минутный интервал:

[...] [...] [...] [...]

0 14 15 29 30 44 45 59

4 бита четверти могут принимать 16 значений: от 0Х0 (планировщик отключен), до 0XF (планировщик включен с максимальной пропускной способностью). Промежуточные уровни определяют запуск планировщика при различной пропускной способности.

 

File & Storage - Q3: Почему в общей папке отображается только часть файлов?

На это может быть несколько причин:

1. Разрешения на общую папку и разрешения NTFS

Для вашей учетной записи должен быть предоставлен соответствующий доступ на уровне папки и на уровне NTFS.

2. Скрытые общие папки

Проверьте, не включено ли на сервере скрытие некоторых общих папок.

3. Общий доступ DFS с использованием Access - Based Enumeration .

Если клиент использует общие ресурсы DFS и Access-Based Enumeration на этих ресурсах включена, то пользователь без прав доступа не увидит содержимого общих каталогов.

Access-based Enumeration :

http://technet.microsoft.com/en-us/library/cc784710.aspx

 

File & Storage - Q4: Как переносить и объединять общие папки между Windows Server 2008, Windows Server 2003, Windows 2000 server и Windows NT server?

 

При помощи File Server Migration Toolkit (FSMT) v1.1 . Версия 1.0 не поддерживает Windows Server 2008, так что будьте внимательны.

Загрузить FSMT м��жно по следующей ссылке:

Microsoft File Server Migration Toolkit 1.1

http :// www . microsoft . com / downloads / details . aspx ? FamilyID = d 00 e 3 eae -930 a -42 b 0- b 595-66 f 462 f 5 d 87 b & DisplayLang = en

Для получения более детальной информации о FSMT и его использовании прочтите следующее руководство:

http://download.microsoft.com/download/4/e/b/4eb8df62-08cb-420f-a41b-6d10452335cc/FSMT%20Whitepaper.doc

File & Storage - Q5: Как создать резервную копию виртуальных машин Hyper-V из родительского раздела Windows Server 2008 при помощи Windows Server Backup?

Для этого нужно зарегистрировать Microsoft Hyper-V VSS writer в Windows Server Backup. Делается это так:

1. Нажмите Start ,затем Run , наберите regedit и нажмите OK

2. Найдите в реестре ключ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

3. Щелкните правой кнопкой CurrentVersion , выберите New -> Key

4. Наберите WindowsServerBackup и нажмите ENTER

5. Щелкните правой кнопкой WindowsServerBackup , выберите New -> Key

6. Наберите Application Support и нажмите ENTER

7. Щелкните правой кнопкой Application Support , выберите New -> Key

8. Наберите {66841CD4-6DED-4F4B-8F17-FD23F8DDC3DE} и нажмите ENTER

9. Щелкните правой кнопкой { 66841CD4-6DED-4F4B-8F17-FD23F8DDC3DE} , выберите New -> String Value

10. Наберите Application Identifier и нажмите ENTER

11. Щелкните правой кнопкой Application Identifier и нажмите Modify

12. В строке Value data наберите Hyper - V и нажмите OK

13. В меню File нажмите Exit

Для получения дополнительной информации обратитесь к следующей статье базы знаний:

How to back up Hyper-V virtual machines from the parent partition on a Windows Server 2008-based computer by using Windows Server Backup

File & Storage - Q6: Существуют ли документы, в которых можно найти разъяснения по SMB2?

Обратитесь к следующим статьям – в них описаны важные нововведения SMB2



SMB2, a complete redesign of the main remote file protocol for Windows

File Server performance improvements with the SMB2 protocol in Windows Server 2008

File & Storage - Q7: Существуют ли документы, описывающие репликацию DFS (DFSR)?

В библиотеке TechNet можно найти FAQ по данному вопросу:

Distributed File System Replication: Frequently Asked Questions

File & Storage – Q8: Члены группы Администраторы не могут получить доступ к папке, хотя права на доступ для этой группы есть.

Проявления

=========

В Windows Server 2008 вход выполняется под записью, отличной от учетной записи встроенного администратора. Эта учетная запись добавляется в группу Администраторы. При попытке доступа к некоторым папкам выдается сообщение об отказе в доступе. Права на доступ у группы Администраторы имеются.

Возможная причина

============

Такое поведение системы – результат включенного по умолчанию режима одобрения администратором (Admin approval mode (AAM)) в UAC.

Решение

==========

Для обхода этого ограничения можно создать группу безопасности и дать ей права на каталог. Затем добавить желаемую учетную запись в эту группу. Другой способ – явно назначить учетной записи пользователя права на папку.

Дополнительная информация

===============

Для получения дополнительной информации по режиму AAM обратитесь к статье TechNet:

User Account Control

File & Storage – Q9: Компьютеры с Windows XP и Windows Server 2003 не могут получить доступ к общим ресурсам компьютера с Windows Server 2008. С Windows Server 2008 такой проблемы не наблюдается.

Проявление

=========

Компьютеры под управлением Windows XP и Windows Server 2003 servers периодически теряют доступ к общим папкам на компьютере с Windows Server 2008 server. С другого компьютера под управлением Windows Server 2008 проблем не наблюдается. После перезагрузки некоторое время все работает нормально.

В журнал событий может записываться следующая ошибка:

Log Name: Security

Source: Microsoft-Windows-Security-Auditing

Event ID: 5159

Task Category: Filtering Platform Connection

Level: Information

Keywords: Audit Failure

Description: The Windows Filtering Platform has blocked a bind to a local port.

Application Information:

Process ID: 3220

Application

Name: \device\harddiskvolume1\windows\system32\cpqmgmt\cqmghost\cqmghost.exe

Возможная причина

============

Процесс cqmghost.exe используется службой "HP Insight Foundation Agent".

Т.к. по умолчанию в Windows XP и Windows Server 2003 для работы с аутентификацией Kerberos используется UDP-протокол и Windows Filtering Platform блокирует привязку к локальному порту, то при попытке доступа к файлу аутентификация проваливается. Поскольку Windows Server 2008 для этой же аутентификации использует протокол TCP, все работает нормально.

Решение

==========

Отключить службу "HP Insight Foundation Agent Service" на файл-сервере с Windows Server 2008 и перезагрузить сервер.

File & Storage – Q10: При попытке скопировать файл на общий ресурс DFS с компьютера под управлением Vista либо Windows Server 2008 выдается сообщение об ошибке: "The selected files could not be copied There is not enough free space on the device”.

Проявление

=========

Попытка скопировать файл на общий ресурс DFS с компьютера под управлением Windows Vista или Windows Server 2008 заканчивается неудачей даже при наличии достаточного количества свободного места. Также может быть выдано следующее сообщение об ошибке:

“The selected files could not be copied. There is not enough free space on the device.”

При проверке свободного места на общем ресурсе DFS при помощи Windows Explorer отображаемое значение объема меньше реально доступного.

Возможная причина

============

Корень и общий ресурс DFS находятся в разных местах. Проблема возникает, если в месте расположения корня остается мало свободного пространства. Windows Explorer ошибочно берет значение свободного пространства из местоположения корня DFS, а не из местоположения связанного с корнем общего ресурса.

Решение

==========

Скачать и установить исправление, описанное в следующей статье базы знаний:

Error message when you try to copy a file to a DFS shared folder from a Windows Vista-based computer or from a Windows Server 2008-based computer: "The selected files could not be copied There is not enough free space on the device"

 

 

File & Storage – Q11: При использовании в качестве резервного хранилища для Windows Server 2008 тома, объемом более 2 Тб возникает ошибка с кодом 0x8004240f.

Проявление

=========

При попытке создать резервную копию Windows Server 2008 и сохранить ее на томе объемом более 2Тб, Windows Server Backup выдает ошибку со следующим кодом:

0x8004240f

Возможная причина

============

Проблема возникает, т.к. Windows Server Backup инициализирует диски с использованием MBR. Формат GPT на данный момент не поддерживается.

Решение

==========

В SP2 для Windows 2008 и Vista проблема поддержки формата GPT будет решена.

В качестве временного решения пересоздайте том резервного хранилища так, чтобы его объем был менее 2 Тб

File & Storage – Q12: DFSR работает неправильно, если используется совместно со снимками файлов FSRM.

Проявление

=========

При совместном использовании Distributed File System Replication (DFSR) и снимков файлов File Server Resource Manager (FSRM) могут возникать следующие проблемы:

· Контроллеры домена Windows Server 2008 могут не отработать репликацию SYSVOL с использованием пути, отличного от пути по умолчанию.

· Участники DFSR под управлением Windows Server 2003 R2 либо Windows Server 2008 могут отложить репликацию и не синхронизироваться.

· Журналы отладки DFSR могут содержать ошибки 'disk space' либо 'access denied', возникающие при приеме реплицируемых файлов.

Образец журнала 1:



20070605 09:33:36.440 5456 MEET 1243 <Meet::Install> -> WAIT Error processing update. updateName:664225.au uid:{3806F08C-5D57-41E9-85FF-99924DD0438F}-v333459 gvsn:{3806F08C-5D57-41E9-85FF-99924DD0438F}-v333459 connId:{6040D1AC-184D-49DF-8464-35F43218DB78} csName:Users csId:{C86E5BCE-7EBF-4F89-8D1D-387EDAE33002} code:5 Error:+ [Error:5(0x5) <Meet::InstallRename> meet.cpp:2244 5456 W66 Access is denied
.]



Образец журнала 2:




20071228 07:32:38.429 4344 MEET 1243 Meet::Install -> WAIT Error processing update. updateName:MyUser.doc uid:{03AEF357-60A4-4669-B6FE-6504AB90B164}-v711769 gvsn:{03AEF357-60A4-4669-B6FE-6504AB90B164}-v711769 connId:{4A1F7762-04C6-4E24-9DF5-17EDCFADD8ED} csName:UserData csId:{D340C004-EC83-4955-9258-C7B834810035} code:112 Error:



+ [Error:112(0x70) Meet::InstallRename meet.cpp:2244 4344 W832 There is not enough space on the disk.]

+ [Error:112(0x70) NtfsFileSystem::Move ntfsfilesystem.cpp:925 4344 W831 There is not enough space on the disk.]

+ [Error:112(0x70) FileUtil::RenameByHandle fileutil.cpp:257 4344 W830 There is not enough space on the disk.]

Возможная причина

============

FSRM позволяет администраторам создавать снимки для управления типами файлов, которые могут сохраняться в определенном месте. В зависимости от того, какие изменения путей были выполнены, DFSR может перестать нормально работать.

Решение

==========

Для решения проблемы воспользуйтесь одним из следующих методов:

· Не настраивайте FSRM на создание снимков любых путей, реплицируемых DFSR. В частности, это касается Windows Server 2008 SYSVOL, если путь к этому каталогу отличен от %systemroot%\sysvol .

· Если снимки для реплицируемых путей все же настроены (в т.ч. и для SYSVOL), не блокируйте репликацию любых типов файлов. В случае контроллера домена в список этих файлов входят (среди прочих) файлы с расширениями INI, INF, POL, ADML, ADMX и ADM.

· Если снимки настроены, и реплицируемые файлы попада��т в зону действия FSRM, используйте пассивный режим оповещения, а не активный – блокирования файлов.

Дополнительная информация

===============

DFSR may not operate correctly when used in conjunction with FSRM file screens

Does DFS Replication support file screens created by File Server Resource Manager?

File & Storage – Q13: При запуске FSRM возникает ошибка “File Server Resource Manager is not a valid Win32 application”.

Проявление

========

При попытке запуска службы FSRM выдается следующая ошибка:

Could not start the File Server Resource Manager service on Local Computer

В журнале событий появляется следующая запись:

Error 193: 0xc1

At the same time an event is generated on the event log.

Event Type: Error

Event Source: Service Control Manager

Event Category: None

Event ID: 7023

Date: 8/1/2006

Time: 12:27:53 AM

User: N/A

Computer:

Description:

The File Server Resource Manager Service terminated with the following error:

File Server Resource Manager is not a valid Win32 application.

Возможная причина

==============

На проблемном сервере поврежден файл DFSEXT.dll. По умолчанию размер этого файла должен составлять 62 Kб.

Решение

=========

Замените поврежденный DFSEXT.dll рабочим с компакт-диска Windows Server 2003 R2 Disc2

1. Установите "Windows Recovery Console", запустив "Winnt32 /cmdcons" из командной строки.

2. Загрузитесь в консоль восстановления

3. Распакуйте DFSEXT.dll с диска Windows Server 2003 R2 Disc2 в каталог C:\Windows\System32, согласившись на перезапись прежнего файла

File & Storage – Q14: Оснастка FSRM на сервере с Windows Server 2003 R2 не запускается.

Проявление

==========

Оснастка FSRM на сервере с Windows Server 2003 R2 не запускается. В журнале событий регистрируется одна и следующих ошибок:

Type: Error

Date: Date

Time: Time

Event ID: 4

Source: SRMSVC

Description:

File Server Resource Manager Service information: The COM Server with CLSID {efbdb74f-5b0d-4ad8-9aaf-aae0c8840a30} and name 'SrmReportManager' cannot be started.

Error: 0x80045316, The File Server Resource Manager service encountered an unexpected error.

Check the application event log for more information.

Type: Error

Date: Date

Time: Time

Event ID: 4

Source: SRMSVC

Description:

File Server Resource Manager Service information: The COM Server with CLSID {61b2d373-4258-40a2-89ac-2783d8ac0e99} and name 'SrmReportManagerInproc' cannot be started.

Error: 0x80131534.

Возможная причина

==============

Повреждение компонента Microsoft .NET Framework 2.0.

Решение

========

Удалите и переустановите .NET Framework 2.0 Redistributable Package

Дополнительная информация

============

You may be unable to open the FSRM MMC snap-in on a Windows Server 2003 R2-based computer

File & Storage – Q15: Пользователи на компьютерах под управлением Windows Vista и Windows Server 2008 не могут изменить контекст выполнения запускаемого запланированного пользовательского задания на контекст другой доменной учетной записи.

Проявление

========

Согласно следующему сценарию:

1. Есть доменный компьютер под управлением Windows Server 2008 либо Vista.

2. На компьютере запланировано задание.

3. При попытке изменить контекст запуска задания на другую доменную учетную запись, выдается следующее сообщение:

An error has occurred for task <Task_Name>. Error message: The specified account name is not valid

По умолчанию NetBIOS-имя - левая часть полного доменного имени. Однако, администратор может по своему усмотрению выбирать любое подходящее NetBIOS-имя. Проблема возникает, если NetBIOS-имя отличается от принятого по умолчанию.

Возможная причина

==============

Когда планировщик записывает пользовательский контекст запуска, то он использует в качестве NetBIOS-имени левую часть полного доменного имени, вне зависимости от его действительного значения. Таким образом, если администратор использует NetBIOS-имя, отличное от стандартного, будет выдано сообщение об ошибке, указанное выше.

Решение

===========

Установите исправление, описанное в следующей статье базы знаний:

Error message when you change the running user context of a scheduled task to another domain account on a computer that is running Windows Vista or Windows Server 2008: "The specified account name is not valid"

File & Storage – Q16: В Windows Vista и Windows Server 2008 значение поля Next Run Time в планировщике неверно.

Проявление

=========

В Windows Vista или Windows Server 2008 создается повторяющееся задание в планировщике. При просмотре следующего времени запуска может обнаруживаться изменение ожидаемого значения времени.

Пример – создано повторяющееся задание:

Время запуска - 7:00, последующие запуски – с интервалом в час. Количество повторных запусков – 3

В данном случае задание по иде�� должно запускаться в 7:00, 8:00, 9:00 и 10:00.

Однако, после 10:00 вы замечаете, что значение поля Next Run Time в планировщике изменилось. Проблема присутствует, даже если в поле Trigger отображается верная информация. В нашем примере корректное значение поля Next Run Time – 7:00 следующего дня

Проблема также возникает, если экспортировать и затем импортировать запланированное задание на другой компьютер с ОС Windows Vista.

Решение

===========

Примените исправление, описанное в следующей статье базы знаний:

http://support.microsoft.com/kb/950035

Коллекция полезных ссылок:

Руководства, виртуальные лаборатории, вебкасты

Изучение ролей сервера Windows Server 2008

Виртуальные лаборатории Windows Server 2008

Доклады, посвященные Windows Server 2008 на портале Techdays

Руководства по DFS

Step-by-Step Guide to Distributed File System (DFS)

http://technet.microsoft.com/en-us/library/bb727150.aspx

Step-by-Step Guide for the Distributed File System Solution in Windows Server 2003 R2

http://technet.microsoft.com/en-us/library/cc737358.aspx

DFS Step-by-Step Guide for Windows Server 2008

http://technet.microsoft.com/en-us/library/cc732863.aspx

Overview of the Distributed File System Solution in Microsoft Windows Server 2003 R2

http://technet.microsoft.com/en-us/library/cc787066.aspx

Testing Anti-Virus Application Interoperability with DFS Replication

http://blogs.technet.com/filecab/archive/2006/05/01/426926.aspx

Designing Distributed File Systems

http://technet.microsoft.com/en-us/library/cc772778.aspx

DFS Replication scalability guidelines

http://technet.microsoft.com/en-us/library/cc779936.aspx

 

Инструменты и разнообразные ресурсы:

Group Policy Cloud - онлайн-база групповых политик с описаниями

Microsoft Deployment Toolkit 2010 - рекомендуемый инструмент для автоматического развертывания серверов и настольных решений

Пакет анализатора Microsoft Baseline Security Analyzer (MBSA) - Улучшите процесс управления безопасностью, используя MBSA для обнаружения распространенных неверных настроек безопасности и отсутствующих обновлений безопасности в своих компьютерных системах.

Средство удаления вредоносных программ
- Проверьте свой компьютер на предмет заражения конкретными, распространенными вредоносными программами и получите помощь в удалении любых найденных заражений.

Средство оценки безопасности Microsoft Security Assessment Tool - Получите помощь в оценке слабостей текущей среды ИТ-безопасности своей организации. Это средство даст список проблем, выстроенных по степени приоритетности и конкретные рекомендации по уменьшению угроз безопасности.

Microsoft IT Environment Health Scanner - Инструмент для исследования состояния AD и сетевой инфраструктуры на наличие существующих и потенциальных проблем

IPSec Diagnostic Tool - Инструмент выявления проблем с установкой IPSec-соединения

Библиотека скриптов TechNet - коментарии излишни :)

 

Hotfixes

An event may be logged after you restart Windows Server 2008: "Event ID: 5 Message: The Virtual Storage Filter Driver is disabled through the registry. It is inactive for all disk drives"

http://support.microsoft.com/kb/951007

The default group failover threshold value in the Windows Server 2008 Failover Cluster Management snap-in is incorrect

http://support.microsoft.com/kb/950804

A Network Name resource that has the Kerberos protocol enabled does not come online on the first attempt in a Windows Server 2008 failover cluster

http://support.microsoft.com/kb/950806

How to configure DFSR file-type compression in Windows Server 2008

http://support.microsoft.com/kb/951003

A handle leak occurs in a Server Message Block (SMB) session between two Windows Vista-based computers or between two Windows Server 2008-based computers

http://support.microsoft.com/kb/948572

The Cluster service may stop responding on a Windows Server 2008 cluster node when an application performs VSS backup of files from a volume

http://support.microsoft.com/kb/950267

Error message when you use the Wbadmin.exe command-line tool to recover an EFI volume on a Windows Server 2008-based computer: "Online recovery of EFI System Partition is not supported. Please try recovering from Windows Recovery Environment"

http://support.microsoft.com/kb/951038

List of currently available hotfixes for Distributed File System (DFS) technologies in Windows Server 2003 R2

http://support.microsoft.com/kb/958802

Hotfix rollup package for Distributed File System Replication in Windows Server 2003

http://support.microsoft.com/default.aspx?scid=kb;EN-US;917622

FIX: You cannot access performance counters in the Distributed File System (DFS) Replication health report on a computer that is running Windows Server 2003 R2

http://support.microsoft.com/default.aspx?scid=kb;EN-US;912850



Составитель: Никита Панов.

Редактирование и дополнения: Юрий Винокуров