Optimalizované IT - portál pro IT pro komunitu

Řešení problémů se skupinovými politikami

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 22. 2. 2013 17:05 Zobrazeno: 3377
Řešení problémů se skupinovými politikami - 5.0 out of 5 based on 1 vote
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

imagePokud používáte Active Directory, pak pravděpodobně také používáte skupinové politiky pro konfiguraci počítačů / server a uživatelů. V některých případech se mohou vyskytnout problémy s aplikací skupinových politik. Tyto problémy mohou být jak na straně serveru, při přenosu na koncový počítač, ale obvykle se jedná o chybu na koncovém zařízení - počítači. Chyby se mohou týkat jak aplikace skupinových politik určených pro počítač, tak i pro uživatele. Častými obtížemi je pak tzv. Policy Loopback Processing (aplikace skupinové politiky, která je určena pro uživatele, ale umístěna v organizační jednotce, kde je objekt počítače).

Nejjednodušším způsobem, jak zjistit problém se skupinovou politikou je použitím Resultant Set of Policy (RSoP) - stačí spustit rsop.exe na koncovém počítači, je pak zobrazeno výsledné nastavení pro počítač a uživatele. Dalším z nástrojů je pak gpresult.exe, který umožňuje vygenerovat html výstup se skupinovými politikami, atd.

V případě, že se na počítači vyskytnou závažnější problémy, je možné zapnout trasování související se skupinovými politikami. Před řešením / analýzou souborů se záznamy stavu skupinových politik je nejprve nutné v některých případech modifikovat registry, které zajistí detailnější záznam informací. Jakmile je problém identifikován / odstraněn, doporučuji navrátit původní hodnoty v registry, aby nebylo zaznamenáváno takové množství informací, které nejsou pro běžný provoz zapotřebí.

Log soubory pro řešení problémů na straně klienta

Výstup Umístění souboru Povolení detailního výstupu… …v registry

Group Policy core (UserEnv) and registry CSE

%windir%\debug\usermode
\UserEnv.log

UserEnvDebugLevel = REG_DWORD 0x30002

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

Security CSE

%windir%\security\logs
\winlogon.log

ExtensionDebugLevel = REG_DWORD 0x2

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
\GpExtensions
\{827d319e-6eac-11d2-a4ea-00c04f79f83a}\

Folder Redirection CSE

windir%\debug\usermode
\fdeploy.log

FdeployDebugLevel = Reg_DWORD 0x0f

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Diagnostics

Software Installation CSE

%windir%\debug\usermode
\appmgmt.log

Appmgmtdebuglevel=dword:0000009b

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Diagnostics

Windows Installer
(deployment-related actions)

%windir%\temp
\MSI*.log

Logging = voicewarmup

Debug = DWORD: 00000003

HKEY_LOCAL_MACHINE
\Software
\Policies
\Microsoft
\Windows
\Installer

Windows Installer
(user-initiated actions)

%temp%
\MSI*.log

Logging = voicewarmup

Debug = DWORD: 00000003

HKEY_LOCAL_MACHINE
\Software
\Policies
\Microsoft
\Windows
\Installer

*CSE - Client Side Extension

Log soubory na straně serveru

Výstup Umístění souboru Povolení detailního výstupu… …v registry

GPMC: 
error logging only

%temp%\gpmgmt.log

gpmgmttracelevel=1

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Diagnostics

GPMC: 
error and verbose logging

%temp%\gpmgmt.log

gpmgmttracelevel=2

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Diagnostics

GPMC: 
Output only to log file (not to debugger)

%temp%\gpmgmt.log

gpmgmtlogfileonly=1

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Diagnostics

Group Policy Object Editor:
Core-specific entries

%windir%\debug\usermode
\gpedit.log

GPEditDebugLevel = REG_DWORD 0x10002

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

Group Policy Object Editor:
CSE-specific entries

%windir%\debug\usermode

\gptext.log

GPTextDebugLevel = REG_DWORD 0x10002

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

 

Analýza výstupů

Nejvíce informací je umístěno v UserEnv log souboru., popis jak interpretovat výstup je uvedený ve článku zde. Informace o interpretaci security logu je uvedena v tomto článku.

řešení problémů s jednotlivými komponentami jsou uvedeny v následujících článcích:

Fixing Core Group Policy problems

Fixing Group Policy networking issues

Fixing Group Policy processing issues

Fixing Group Policy scoping issues

Fixing Group Policy structural issues

A pro jednotlivé Client Side Extensions:

Fixing Administrative Template policy setting problems

Fixing Security Settings Problems

Fixing Scripts policy settings problems

Fixing Software Installation policy setting problems

Fixing Folder Redirection policy settings problems

Fixing Disk Quota extension problems

Pro řešení problémů Windows 7 a vyšší a Windows Server 2008 R2 a vyšší je možné využít Eventlog Forwarding, přesměrování událostí na jeden počítač. Tímto způsobem není možné přesměrovat události zaznamená do .log souborů!

Informace uvedené ve výše uvedených článcích je primárně určený pro Windows Server 2003 a Windows XP, nicméně velká část Group Policy processing není zásadně změněna v novějších verzích operačních systému

A co když start počítače trvá dlouho?

pro analýzu chování počítače, kdy při spuštění počítače trvá dlouho naběhnutí přihlašovacího okna, případně přihlášení počítače, je možné použít Windows Performance Analyzer, který je součástí Windows 8 ADK.

Jamile máte zachyceno trasování, otevřete Performance analyzer:

image

Zvolte System activity:

image

Rozbalte system activity:

image

Zobrazte detailní informace:

image

Trasování bude vypadat takto:

image

Zvolte skupinové politiky:

image

Rozklikněte skupinové politiky:

image

Uvidíte dlouhý čas procesování skupinové politiky:

image

Rozbalte Extensions:

image

V tomto případě dlouhé procesování politik způsobili uživatelé s skupiny.

e-Book zdarma - Introducing Windows Server 2008 R2

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 31. 8. 2010 11:00 Zobrazeno: 11499
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

imageMicrosoft uvolnil pro volné stažení knihu v elektronické podobě “Introducing Windows Server 2008 R2” - Úvod do windows server 2008 R2. Kniha pochází z dílny autorů Charlie Russel a Craig Zacker, kteří v Microsoftu pracují přímo ve windows server týmu. Dostanete se tedy k informacím přímo od zdroje. Kniha pokrývá především novinky, které přišly s R2 vydáním Windows Serveru (možná kdyby chvíli počkali, mohla být kniha obohacena o SP1 pro Windows Server 2008 R2, který přijde během několika následujících měsíců). I přes tuto drobnou výtku je kniha kvalitním počtením v oblastech plnohodnotného Windows serveru, Core edic, Hyper-V, které doznalo velkých změn v R2, stejně tak jako práce se vzdálenou plochou a VDI.

Kniha pokrývá dále oblasti správy Windows Serveru a Active Directory pomocí Windows PowerShell, další doménové služby a DNS, souborové služby, IIS 7.5, DirectAccess a Network Policy Server a další.

knihu je možné stahovat zdarma z Microsoft e-Learning po registraci na této adrese https://profile.microsoft.com/RegSysProfileCenter/wizard.aspx?wizid=0a180c17-32d4-4151-93a0-92b384d15ca6&lcid=1033. Tedy více jak 170 stran zajímavého čtení pro pomalu se prodlužující večery.

RemoteFX, Dynamic Memory a nyní ještě Generic USB Redirection - velké plus pro VDI na Microsoft platformě

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 7. 6. 2010 21:46 Zobrazeno: 7612
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Microsoft před časem zveřejnil plánované změny v SP1 pro Windows Server 2008 R2 a Windows 7, kde byly zveřejněny informace o RemoteFX a Dynamic Memory viz. zde http://optimalizovane-it.cz/windows-7/novinky-v-oblasti-virtualizace-desktopu-vdi-licencovani-windows-xp-mod-remotefx.html

Nyní přibyl ještě jeden velký slib, který uživatelé prostředí Citrix znají již delší dobu, ale uživatele prostředí Windows, zvláště pak v případech Virtualized Desktop Infrastructure - VDI. Tento slib se nazývá Generic USB Redirection - přesměrování libovolného USB zařízení do terminálové session / remote desktop session.

Díky této změně bude možné přesměrovat jakékoliv zařízení z klienta, bez nutnosti instalace ovladačů na klientovi, do vzdálené plochy. Tedy práce s videokamerami, skenery, fotoaparáty pomocí remote desktop bude bez problémů a nebude nutné složitě vymýšlet různá jiná řešení.

Generic USB Redirection v bodech:

  • Virtuální přesměrování jakéhokoliv USB zařízení
  • Podpora více zařízení, nežli tomu je nyní
  • Podpora USB zařízení s tenkými klienty (thin clients)
  • Nebude nutné instalovat ovladače
  • Zařízení budou pro aplikace transparentní
  • Možný přístup pouze jedné session k danému USB zařízení

Život se stává krásnějším :)

Správa síťových služeb operačních systémů Windows pomocí netsh

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 27. 5. 2010 10:52 Zobrazeno: 9137
Správa síťových služeb operačních systémů Windows pomocí netsh - 5.0 out of 5 based on 1 vote
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

Je tomu již řadu let, co se stal součástí operačních systémů i nástroj příkazové řádky netsh (net shell), který slouží pro správu síťových služeb na Windows Server a Windows klientech. Tento malý, ale šikovný nástroj pro skriptování je obsažený již ve Windows 2000, nicméně se postupem času vyvíjel a rozšiřoval s tím, jak byly síťové služby přidávány do operačních systémů Windows.

Aktuální verze netsh pro Windows Server 2008 R2 a Windows 7 umožňuje správu a skriptování následujících služeb:

  • BranchCache
  • Dynamic Host Configuration Protocol (DHCP) client
  • Dynamic Host Configuration Protocol (DHCP) server
  • Health Registration Authority
  • Hypertext Transfer Protocol (HTTP)
  • Interface (IPv4 a IPv6)
  • Internet Authentication Service (IAS) / Network Policy server (NPS)
  • Internet Protocol Security (IPsec)
  • Network Access Protection (NAP) Client
  • Network Bridge
  • Network Input Output (NETIO)
  • Network Policy Server in windows server 2008
  • Peer-to-Peer Networking (P2P)
  • Remote Access
  • Remote Procedure Call (RPC)
  • Routing
  • Windows Firewall
  • Windows Firewall with Advanced Security
  • Windows Hypertext Transfer Protocol (WINHTTP)
  • Windows Internet Name Service (WINS)
  • Windows Sockets (WINSOCK)
  • Wired Local Area Network (LAN) in Windows Server 2008 and Windows server 2008 R2
  • Wireless Local Area Network (WLAN) in Windows Server 2008

Na download.microsoft.com je možné stáhnout kompletní referenční nápovědu pro všechny konfigurační kontexty uvedené výše, popisující všechny příkazy, které je možné využít a jejich detailní popis.

Jak nasadit DNSSEC ve Windows Server 2008 R2

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 30. 3. 2010 21:30 Zobrazeno: 8548
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Potichu, ale přeci… tak by se možná dal charakterizovat příchod technologie DNSSEC ve Windows prostředí. S příchodem Windows Server 2008 R2 přišla i možnost nasadit řešení DNSSEC - podle RFC 4033, 4034 a 4035.

Jak název napovídá, jedná se, velice jednoduše řečeno, o zabezpečené DNS. V dnešní době se stále šíří útoky mj. na DNS servery, respektive na podvržení odpovědí na dotazy vůči DNS server - odpovědím ze zabezpečeného DNS lze tedy důvěřovat.

Součástí nasazení DNSSEC je také technologie Network Resolution Policy Table (NRPT), která zajišťuje spolupráci s klienty v zónách zabezpečených pomocí DNSSEC.

Důležité je říci, že informace se týkají pouze Windows Server 2008 R2 jako poskytovatele DNS a Windows 7 coby DNS klienta. Pro starší operační systémy prozatím není podpora. Starší Windows Server 2003 a 2008 podporují DNSSEC na sekundárních DNS zónách.

Microsoft připravil kvalitní dokument “DNSSEC Deployment Guide” popisující všechny potřebné kroky pro instalaci zabezpečeného DNS. Dokument můžete stahovat na download.microsoft.com.

Jak změnit pořadí volby při bootu z WDS

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 17. 3. 2010 11:47 Zobrazeno: 7652
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Při nasazování Windows operačních systémů je možné s výhodou použít boot počítače za sítě, pokud na počítači není nainstalovaný žádný operační systém. Pro boot ze sítě je nutná podpora PXE protokolu na síťové kartě, přičemž tento protokol podporuje v dnešní době drtivá většina síťových karet. Co ale dělat v případě, kdy ve WDS (Windows Deployment Services) je obsaženo více instalačních nebo boot images a nevyhovuje pořadí, ve kterém jsou tyto volby zobrazovány ?

Pomocí nástroje příkazové řádky BCDedit je možné změnit tzv. boot order, tedy pořadí zobrazování vybraných wim souborů, které mohou být buď instalační nebo bootovací.

  1. spusťte na serveru, kde je nainstalovaný WDS, příkazovou řádku jako administrátor.
  2. zadejte příkaz bcdedit s parametry /store cesta k umístění WDS bcd záznamům a parametr /enum pro výpis informací z úložiště boot informací:
    bcdedit /store d:
    emoteinstall	mpx86x64{GUID}.bcd /enum

    bcdedit_enum
  3. Zvolte pořadí boot images, tak jak vám vyhovuje a nastavte jej pomocí příkazu bcdedit /set displayorder:
    bcdedit /store d:
    emoteinstall	mpx86x64{GUID}.bcd /set {bootmgr} {GUID1} {GUIDn}

    bcdedit_set1

Pokud chcete změnit prodlevu, po kterou je zobrazena nabídka pro výběr boot image, můžete použít /set timeout:

bcdedit /store d:
emoteinstall	mpx86x64{GUID}.bcd /set {bootmgr} timeout 10

bcdedit_set_timeout

Pokud přidáte nebo odeberete z WDS jakýkoliv image, pak WDS vámi upravené pořadí zruší a je nutné nastavit znovu.

V úložišti WDS se vyskytuje několik .bcd souborů - pro platformy pouze x86, pro platformy pouze x64, pro platformy Intel Itanium - ia64 a pro platformy x86/x64, poslední zmiňovaná platforma je v dnešní době nejpoužívanější - tedy počítače, které mohou bootovat a používat obě platformy. Pokud by počítač podporoval pouze x86, je nutné modifikovat soubor pro platformu x86.

bcdfiles

Microsoft MultiPoint Server 2010

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 24. 2. 2010 22:05 Zobrazeno: 8181
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Společnost Microsoft uvolnila nový produkt, který nese název Microsoft MultiPoint Server 2010. Jedná se o specifický serverový produkt postavený na Windows Server 2008 R2 a je určený především pro školní zařízení či knihovny. Pomocí tohoto serveru je možné sdílet jeden počítač více uživateli - také označováno jako “Shared Computing”. Po připojení na stanici je pak sdílena instance operačního systému, obdobně jako to je při přístupu pomocí Remote Desktop Services.

MPMgrDesktops_20E80135

Microsoft Multipoint Server 2010 bude možné zakoupit jako OEM nebo v rámci Microsoft Academic Volume Licensing od 1.března 2010. Ve srovnání s funkcemi dostupných v rámci Windows Server 2008 R2 RDS či Windows 7 uživatel nebude schopen provozovat například Aero Glass, Windows Flip, Task Bar previews, Media center. Toto omezení je především z důvodů maximálního využití dostupného hardware více uživateli. Věřím, že se podobný přístup ke sdílení počítačů bude stále více objevovat právě například při výuce či jiných případech, kde není možné z nějakých důvodů uživateli přidělit vlastní počítač a podobně.

Možná si kladete otázku jak připojit až 10 monitorů k jednomu počítači, již v dnešní době existuje několik výrobců hardware - tzv. "zero client", který tyto funkce nabízí. Výčet dostupných zařízení je dostupný u popisu Microsoft MultiPoint Server 2010

Microsoft v rámci uvedení Microsoft MultiPoint Server 2010 vydal tiskovou zprávu, aktualizovány jsou také stránky věnované tomuto produktu a spuštěna stránka s videi prezentující tento produkt. Z této stránky vybíráme několik zajímavých ukázek:

server=vimeo.com&show_title=0&show_byline=0&show_portrait=0&color=ffffff&fullscreen=1" />

Plánování kapacity serverů pro Remote Desktop

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 13. 2. 2010 12:39 Zobrazeno: 7502
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Role serveru Windows Server 2008 R2 Remote Desktop Session Host (dříve označované jako Terminal Services - terminálové služby) umožňuje provozovat aplikace na serveru, kde uživatelé k těmto aplikacím přistupují pomocí Remote Desktop klient. Tento klient může být provozovaný na zařízeních jako jsou mobilní telefony, tencí klienti až po běžné počítače.

Dokument publikovaný Microsoftem zjednodušuje plánování kapacity serverů, na kterých mají být provozovány aplikace. Jsou popisovány nejdůležitější komponenty serveru a jejich vliv na plánování kapacity. Součástí je také metodika jakým způsobem provádět plánování / testování kapacity serverů pro Remote Desktop Session Host

Ke stažení na download.microsoft.com

Změny funkčnosti ve Windows Server 2008 R2

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 6. 1. 2010 23:50 Zobrazeno: 9649
Změny funkčnosti ve Windows Server 2008 R2 - 5.0 out of 5 based on 1 vote
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

Po různých beta verzích dokumentace popisující změny ve Windows Serveru 2008 R2 je k dispozici finální podoba tohoto dokumentu, kterou můžete stahovat na download.microsoft.com.

Dokument v 211 stranách popisuje změny, které jsou rozdílné proti Windows Server 2008. Změny jsou rozděleny do těchto oblastí:

  • Active Directory Certificate Services
  • Active Directory Domain Services
  • AppLocker
  • Biometrics
  • Device Management and Installation
  • Distributed File System
  • DNS
  • Failover Clusters
  • File Server Resource Manager in Windows Server 2008 R2
  • Group Policy
  • Hyper-V in Windows Server 2008 R2
  • Microsoft iSCSI Initiator
  • Microsoft Multipath I/O
  • Network Access Protection
  • Network Policy Server (NPS)
  • Networking
  • Print and Document Services
  • Remote Desktop Services
  • the Server Core Installation Option
  • Server Manager
  • Service Accounts
  • Services for NFS in Windows Server 2008 R2
  • Smart Cards
  • User Account Control
  • the Web Server (IIS) Role (IIS 7)
  • Windows Deployment
  • Windows Deployment Services
  • Windows PowerShell
  • Windows PowerShell Cmdlets for Roles and Features
  • Windows Search, Browse, and Organization
  • Windows Security Auditing
  • Windows Server Backup
  • Other Changes in Windows Server 2008 R2

Jak na konfiguraci Windows server 2008 CORE

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 8. 12. 2009 8:59 Zobrazeno: 9578
Jak na konfiguraci Windows server 2008 CORE - 5.0 out of 5 based on 1 vote
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

Možná jste se zamýšleli, kde dohledat všechny potřebné příkazy, pro konfiguraci “Windows bez Windows” - Windows Server 2008 Core a Hyper-V Server 2008.

Před nedávnem byla vydána nová verze “Core Configurator 2.0.” s plnou podporou Windows Server 2008 R2. Pomocí tohoto nástroje můžete konfigurovat možnosti:
- licencování OS
- možnosti síťování
- povýšení serveru na doménový řadič - DCPROMO
- nastavení ISCSI
- role a vlastnosti serveru
- uživatelé a skupiny, včetně oprávnění
- práce se sdíleními
- nastavení firewall
- Hyper-V (včetně náhledu na VM)
-… spousty dalšího

corecfg2

CoreConfig je defakto sadou PowerShell skriptů, které jsou spouštěny pro vykonání konfigurace/změny. Nástroj můžete stáhnout zde - http://coreconfig.codeplex.com/

Strana 1 z 2

Přihlašovací formulář