Het komt regelmatig voor dat applicaties, welke hun database op een SQL server hosten, gebruik maken van bepaalde applicatie login accounts via welke de authenticatie verloopt. Dit service account is voorzien van een wachtwoord welke niet altijd gedeeld word. Als je deze toch over wilt zetten, zonder het wachtwoord te weten, is hier de oplossing.
Met regelmaat zijn wij onder andere actief in de bloemenbranche waar veel gebruik word gemaakt van zogeheten “Handscanners”. Dit zijn robuust uitgevoerde scanners met o.a. een barcode reader welke het mogelijk maakt partijen bloemen/planten in te scannen bij binnenkomst, uitlevering, enz. Uiteraard beperkt dit zich niet alleen tot deze branche.
Echter, degelijke oplossingen die cruciaal zijn in het primaire proces pas je liever niet aan. Zeker niet als je nagaat dat de scanners meer kosten dan een zwaar werkstation. Maar wat nu als er een nieuwe Terminal Server / RDP server of Citrix omgeving in gebruik genomen gaat worden, volstaan de scanners nog wel. Deze vraagt blijft via verschillende wegen terugkomen zodoende hier wat meer info.
Hieronder vinden we de OS’en welke nog actief zijn en de clients welke erbij behoren. Ouder dan server 2003 heb ik bewust weggelaten maar kan via onderstaande link nog worden achterhaald.
Server OS:
Windows 2003 is versie RDP 5(.2)
Window Server 2008 is versie RDP 6(.2)
Windows Server 2008R2 is versie RDP7(.1)
Windows Server 20012 is versie RDP 8
Client Windows CE os:
Windows CE 5.0 ondersteund RDP 5(.2)
Windows Embedded CE 6.0 ondersteund RDP 6 (ook al bekend als Windows Embedded Handheld)
Windows Compact 7.0 ondersteund RDP 7
Windows Embedded 8 industry Pro (Retail) ondersteund RDP 8
Er word bij Microsoft vermeld dat 5.0 nog steeds gebruikt kan worden voor alle versies echter is dit geen ondersteunde oplossing. Kortom, het kan zijn dat na een update het niet meer werk.
Mijn advies, hanteer altijd de laatste versie maar bij aanschaf ga momenteel voor niet minder dan Windows CE6.0. Alleen dan ben je gegarandeerd van een werkende scanner.
Er gaan diverse verhalen over het internet over een oudere 4.0CE client werkende te krijgen maar ik kreeg van klanten terug dat dit niet ging werken. Dit zou ik graag zelf nog eens testen dus mocht U die behoefte hebben neem dan contact met ons op.
Voor meer info zie ook:
http://msdn.microsoft.com/en-us/library/ee484376(v=winembedded.60).aspx
Default domain policy’s, waarom zouden ze zo heten? Omdat het Windows standaard policy’s zijn waar je eigenlijk niet aan moet komen. Is het toch nodig dat dit aangepast word (zoals ik weleens heb zien gebeuren in Linux omgevingen met b.v. SAMBA file servers) dan adviseer ik met klem er een kopie naast te zetten en daar de aanpassing in te doen. Het zal niet de eerste keer zijn dat iemand NTLM signing omlaag heeft geschroefd in de default domain policy en een ander uren aan het zoeken is om de oorzaak van een probleem te kunnen vinden
Steeds vaker word er gebruik gemaakt van 802.1x welke bedoeld is om met je domein gegevens (username/password) aan te melden op de Wireless omgeving. Echter is het handig wanneer je met een onbekende NAP client (bijvoorbeeld niet standaard Cisco) aan het werk bent je de logfiles kan bekijken om te zien wat er gebeurt. Dit om uiteindelijk te bepalen of bijvoorbeeld de encrypties wel goed gaan tussen client en NAP server.
Echter blijkt het dat niet altijd events standaard worden gelogd. Wanneer je geen events krijgt als in de afbeelding hierboven kan je dit alsnog activeren door een administrator command prompt te starten en het volgende commando uit te voeren:
auditpol /set /subcategory:”Network Policy Server” /success:enable /failure:enable
Zie voor meer info:
http://technet.microsoft.com/nl-nl/library/dd348484(v=ws.10).aspx
Het is een een schitterende tool, Google Apps Password Sync, maar een draak als deze niet werkt. Kort wil ik toch even de stappen met u doornemen wat u kunt doen wanneer je b.v. de wachtwoorden niet gesynchroniseerd krijgt.
Maar eerst, wat doet het?
Vandaag bezig geweest met een Hyper-V node in een 2008R2 cluster welke niet goed mee wilde lopen (zie screenshot) omdat deze error: 20100 gaf met als omschrijving:
The Virtual Machine Management Service failed to register the configuration for the virtual machine ‘4a331289B-0000-0000-0000-645C6A58B26F’ at ‘C:\ClusterStorage\volume3\V-XENAPP-17’: The security account manager (SAM) or local security authority (LSA) server was in the wrong state to perform the security operation. (0x80070548)
Ondanks dat DFS erg robuust is en wereldwijd veel word ingezet, wil je toch graag de mogelijkheid om DFS te kunnen monitoren/controleren. Dit kan vanuit onze TiC dienst met een compleet DFS script maar niet iedereen maakt (nog) gebruik van deze dienst. Derhalve kwam ik vandaag onderstaand PowerShell script tegen welk erg handig kan zijn wanneer je je eigen monitoring oplossing uit wil breiden met DFS monitoring.
Het komt vaker voor, rechten die niet goed staan. Bijvoorbeeld omdat het vinkje “Add the administrator tot the roaming profile” niet aanstaat in de group policy. Of omdat er iets anders mis is gegaan.
Vandaag weer zo’n geval, derhalve maar een scriptje geschreven:
Vandaag een leuke ervaring rijker met DFS. Ik heb hier in het verleden veel mee gewerkt maar nog niet veel met de 2008R2 variant. De ervaring leert dan ook dat er erg veel over is te vinden op het internet maar wat is nu accuraat, wat is nog relevant. Onderstaand is van toepassing op 2008R2.
In het algemeen over DFS. DFS is een oplossing om data van meerdere servers centraal aan te bieden. Dit maakt 2 dingen mogelijk als speerpunt mogelijk, één er is niet één grote server welke bijvoorbeeld alle data moet aanbieden en dus een single point of failure is. Maar ook dat wanneer de data over meerder servers word verspreid het voor een eindgebruiker wel als één server over kan komen.
Denk aan het voorbeeld dat uw “S” schijf (een simpele data schijf) nu zowel foto’s, autocad tekeningen en de gebruiker data bevat. Dit is niet altijd zomaar uit elkaar te trekken zonder veel overlast voor een eindgebruiker. Met DFS is het mogelijk dit wel te doen, toch alles onder de S schijf te houden maar de data vanaf meerdere servers aan te bieden. Waarbij de ene bron een 2008 server is, de 2e bron een 2012 server en de 3e bron (t.b.v. foto’s) een NASje op het netwerk is welke direct aangesproken word. En dit alles word weergegeven als één schijf / drive-letter.
U heeft Windows 2012 of Windows 8 geëvalueerd, of eerst een trial installatie gebruikt zodat u nog even kan testen en wanneer u besluit te her installeren voor productie niet direct tegen activatie puntjes aanloopt. Daarvoor is immers een “trial-editie”. Maar dan komt het, u heeft uw product sleutel binnen en wil Windows activeren….. Ik begon met de volgende error:
activation error 0xC004F050
Dit blijkt nog niet zo eenvoudig, en de server/windows 8 machine sluit met regelmaat af omdat uw Windows niet geactiveerd is. Op zich terecht, maar dan is het wel fijn als het omzetten makkelijk gaat.
Waar u de product sleutel op kunt vragen in Windows is er tevens geen knop “Change product key”, maar ook de cryptische melding maakt het niet makkelijker om het op te lossen. Wat blijkt:
Een trial edities is ook een soort “installatie”. Dus wanneer u al in staat bent om zelf de sleutel aan te passen (lees hieronder) dan kan het nog zijn dat deze niet geactiveerd kan worden. Derhalve dient u dus eerst de “setup” te draaien, of via DISM de installatie “om te zetten” bv. Windows Server 2012 Standaard. Hieronder een korte uitleg.
Met onze hoge certificering graad op alle belangrijke productlijnen, goed ontwikkelde technische vaardigheden en bereidheid tot samenwerking tot op de allerhoogste niveaus zijn wij al 30 jaar een betrouwbare partner.
