Januárban nagyszabású IT hadműveleteket ütemeztünk be, az elmúlt egy évben felgyűlt vagy egy hónapnyi munkát kéne másfél hétbe belezsúfolni:-) Egyelőre elég jól haladunk, pár nagyobb falaton már túlvagyunk (BladeCenter beüzemelés, szerverszoba újrakábelezés és dokumentálás, ESXi 4.0 frissítések, diszk cserék). Most a Windows szervereknek is nekiálltam, remélhetőleg végre megszabadulunk a Windows Server 2003-aktól:-).
Pár apróság, ami közben előjött:
WSUS migrálás: másik szerverre került át a WSUS, de az eddig letöltött frissítéseket és azok elfogadását jó lett volna megtartani. Itt van egy jó leírás, hogy hogyan lehet nekiállni: How to move WSUS 3.0 to a new server. A WsusMigrateImport eszköz a következőket mondta pár frissítésre, de egyébként jól lefutott: “Update ‘2ee4cbc6-236a-4750-a902-04b07727415b’ with revision 102 does not exist. Server is out-of-sync with the parent.” (a hibaüzenet jogos volt, közben még tényleg változtattam kicsit az eredeti szerveren, úgyhogy pár felesleges frissítés már nem került át). Utána már csak át kellett állítani a wsus DNS aliast, és várni, hogy a gépek már az új szerverhez csatlakozzanak és jelentsék az állapotukat.
Domain Admins vs. UAC vs. NTFS jogok: feltelepült szépen az egyik Windows Server 2008 R2, de rögtön előjött az UAC egy kellemetlen hatása. Az Administrator felhasználót nem használjuk, mindenkinek van egy saját admin felhasználója (Domain Admins csoport tagja). Viszont ha azzal lépek be, és meg akarok nézni egy olyan könyvtárat, aminél az ACL jogok direkt le vannak korlátozva az Administrators csoportra, akkor előjön az UAC prompt. Ez még nem is lenne rossz, de mivel az explorer.exe-t nem tudja teljes rendszergazda jogokkal futtatni, ezért helyette azt csinálná, hogy az adott felhasználót hozzáadja az ACL-ekhez. Ezzel a szép szerep alapú hozzáférési listákat el is rondítja:) Leírás a jelenségről részletesen pl. itt: NTFS Rights Issue with UAC, logged on with Domain Admin Account. Mivel erre a szerverre alapvetően nem jelentkezünk be, hanem távolról menedzseljük (Powershell 2, WinRM, Server Manager:), ezért fogtam, és az Admin Approval-t kikapcsoltam az összes admin felhasználóra. A megfelelő beállítást itt találjuk:
Local Security Policy / Local Policies / Security Options / User Account Control: Run all administrators in Admin Approval Mode kikapcsolása
Profil létrehozási hiba: az admin felhasználómnak nem gyártott új helyi profilt, hanem mindig ideiglenes profilt használt (a vándorló profilt kikapcsoltam, hisz mindegyik szerveren más és más alkalmazás volt fent, így más és más linkek kellettek a Taskbarra). Az eseménynaplóban a következő hibaüzenet volt gyanús: “Windows has backed up this user profile. Windows will automatically try to use the backup profile the next time this user logs on.”. Rákeresbe ez a KB cikk segít a megoldásban: “Error message when you log on to a Windows Vista-based or Windows 7-based computer by using a temporary profile: “The User Profile Service failed the logon. User profile cannot be loaded”. Hát, lebuktam:-) Igen, kézzel letöröltem a régi vándorló profilom helyi változatát, Vista óta ezt viszont megjegyzi. A következő kulcs alól kell kitörölni: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Remote Desktop kliens alap beállításai: ezt mindig elfelejtem, úgyhogy ide is felírom:) Az adott felhasználó dokumentumok mappájában van egy default.rdp, abból szedi az mstsc.exe az aktuális beállításait. Én a disable wallpaper:i:0 és redirectprinters:i:0 értékeket állítottam át, a részletes lista megtalálható pl. itt: Remote Desktop Protocol settings in Windows Server 2003 and in Windows XP.
Most már “csak” az új tartományvezérlő beállítása, tárhelyek migrálása, egy switch csere, új komponensek mentésének megvalósítása, valamint az új hallgatók és tantárgyi weboldalak létrehozása van hátra. Úgy látszik, folytatódik az “Infrastruktúra hete” rendezvénysorozatunk:-)