MCSE

С 25 декабря еще одним инженером стало больше ;-)

Смена адреса сетевого интерфейса при помощи команды NETSH

Небольшая памятка по изменению адреса интерфейса при помощи команды netsh.

• Для Windows 2000/2003/XP -
  
  netsh interface ip set address "Local Area Connection" static 192.168.201.1 255.255.255.0 192.168.201.254 1 - назначение статического адреса;
  netsh interface ip set address "Local Area Connection" dynamic - получение динамического адреса;
  netsh interface ipv4 show interface - вывод имен сетевых интерфейсов, нужно для указания в приведенных выше командах.
  
  
• Для Windows Vista -
  
  netsh interface ipv4 set address "Подключение по локальной сети" static 192.168.1.200 255.255.255.0 192.168.1.1 - назначение статического адреса;
  netsh interface ipv4 set address "Подключение по локальной сети" dhcp - получение динамического адреса;
  netsh interface ipv4 show interface - вывод имен сетевых интерфейсов, нужно для указания в приведенных выше командах.

Настройка клиентов сервера WSUS

Краткая памятка, как настраивать клиент на использование сервера WSUS.

1. Как самостоятельно настроить рабочую станцию на использование сервера WSUS?
   Запустите gpedit.msc. Перейдите в узел Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Windows Update. Задайте два параметра: "Указать размещение службы обновлений Microsoft в интрасети" и "Настройка автоматического обновления". Для вступления в силу измененной групповой политики следует перезагрузиться или в командной строке выполнить команду gpupdate /force.
   
2. Как немедленно начать обновление?
   В консоли наберите и выполните wuauclt /detectnow.
3. Как проверить, работает ли клиент обновлений?
   См. содержимое файла %WINDIR%\WindowsUpdate.log (не перепутайте с Windows Update.log). Также можно заглянуть в системный журнал. В качестве источника событий будет указан Windows Update Agent.
4. Куда качаются обновления?
   Обновления качаются в папку %WINDIR%\SoftwareDistribution\Download\. В принципе, можете их скопировать и установить на другие рабочие станции с такой же ОС, только имена при этом будут в виде значений хэш-функции

Запланированные задания (Scheduled Tasks) в Windows 2003.

В планировщике было размещено задание на запуск скрипта. Скрипт соединялся с FTP-сервером и копировал туда файл. Задание запускалось от имени локальной учетной записи, входившей в локальную группу "Users" этого сервера. Сервер входил в домен Windows 2003. Для этой учетной записи присутствовали права на чтение и исполнение копируемого файла и файла скрипта. При этом задание не выполнялось, в логе задания появлялась ошибка "0x80070005: Access is denied". Лог запланированных заданий находится в папке "С:\WINDOWS\Tasks\" и называется "SchedLgU.Txt". Доступен, помимо проводника, из меню "Start -> Control Panel -> Scheduled Tasks (надо открыть папку чтобы появлась окно с заданиями) -> Advanced -> View Log".
Выполнение задания было возможно только в том случае, если учетную запись добавляли в локальную группу "Administrators" этого сервера, что было неприемлемо.

Оказалось, что причиной сбоя являлось отсутствие прав у используемой учетной записи на запуск командного процессора cmd.exe.

In Windows Server 2003, the Users group does not have Read and Execute permissions to the command processor (сmd.exe). By default, the Cmd.exe program has the following permissions settings:

• The Interactive implicit group and the Service implicit group have Read and Execute permissions.
  
  Note: оn a member server, the Telnet Clients group also has Read and Execute permissions. On a domain controller, the Batch implicit group also has Read and Execute permissions.
  
  
• The Administrators group and the System implicit group have Full Control permissions.

Проблема была решена включением учетной записи задания в группу "Telnet Clients".

Проблему помог решить форум - http://support.microsoft.com/kb/867466

Microsoft 70-293 - Planning and Maintaining a Windows Server 2003 Network Infrastructure. Заметки.

• Для отключения разрешения имени с помощью NetBIOS на рабочих станциях можно использовать функцию DHCP "001 Microsoft Disable Netbios Option". Это позволит увеличить безопасность сети.
• Если на сервере DHCP сконфигурирована привязка IP-адресов к mac-адресам клиентских машин вручную, но при этом эти IP-адреса находятся в диапазоне исключений, то адреса серверам выдаваться не будут.
• Если в филиале есть потребность в файловых ресурсах, расположенных в главном офисе и канал между ними загружен, следует создать доменную структуру DFS с корнем в главном офисе и настроить репликацию в филиал в незагруженные часы.
• При настройке кластера NLB в закладке Port Rule можно назначать порты, которые будут обслуживаться этим кластером.
• В кластере высокой доступности для исключения участника группы из подменных серверов надо удалить его запись из группы "Possible owner list".
• При активированной настройке "Microsoft Network server: Digitally sign communication - Always" для корректного обращение к нему клиента надо на клиенте активировать одну из настроек "Microsoft Network client: Digitally sign communication".
• Чтобы узнать IP-адреса клиентов, осуществляющих попытки аутентификации, надо собирать сетевой трафик с помощью Network Monitor - только этот инструмент (из стандартных инструментов MS) позволяет определить IP адреса запрашивающей стороны.
• Для успешной публикации сертификатов в AD надо включать центр сертификации (учетную запись компьютера) в группу AD "Cert Publishers".