Před několika dny spatřila světlo světa tato česká verze knihy Windows Server 2008 Inside Out. Je mi potěšením se s vámi o tuto novinku podělit a to nejen proto, že jsem se na vzniku této publikace podílel. V posledních měsících jsem pilně pracoval na odborné korektuře této knihy se vším, co k ní patří. Tímto děkuji mé rodině a všem kamarádům, kteří po čas přípravy knížky tolerovali mé momentální vytížení a neustálé podtrhávání zvýrazňovačem:)
Windows Server 2008 přináší řadu nových vlastností a funkcí a věřím, že tato knížka vám bude dobrým rádcem při seznamování s nimi.
Všichni, kdož na knize pracovali, se pro vás snažili připravit co možná nejkvalitnější publikaci. Pokud by se vám i přesto povedlo najít nějakou chybičku, budu velmi rád, když dáte vědět mě nebo kontaktujete přímo Computer Press.
Tento typ portu se odstraňuje výhradně automaticky. Při pokusu o jeho ruční odebrání se zobrazí chybová hláška. WSD Port Monitor je novinka ve Windows Vista a Windows Serveru 2008.
Pokud vám zůstal viset v seznamu portů neaktivní WSD port, nainstalujte si fiktivní tiskárnu a připojte ji ručně k tomuto portu. Tiskárnu pak odeberte. Automaticky bude odebrán i port.
Na vlastní kůži jsem si minulý týden vyzkoušel, že nainstalovat Office na terminálový server opravdu nejde. Potřeboval jsem otevřít několik dokumentů přímo na serveru, ale ouha. Neuvědomil jsem si, že na stroji běží role terminálového serveru. Microsoft totiž tento scénář úmyslně blokuje. Asi by se mu nelíbilo, kdyby firma některého ze zákazníků nasadila tímto způsobem jednu licenci Office pro hromadné použití všem svým zaměstnancům. A tak jsem byl usměrněn hláškou vyobrazenou níže. Pro příště si to budu pamatovat:)
Pokud se budete v budoucnu pokoušet o něco podobného, pak vězte, že jediná verze Office provozovatelná na terminálovém serveru je Enterprise nebo Volume License. Pro ně existují i celkem zajímavé návody obsahující doporučená nastavení a postupy pro správné nasazení do terminálového prostředí.
Vzdálenou plochu využívá snad každý správce Windows a rozhodně nejen on. Jak ale servery přibývají, může se stát, že potřebujete spravovat více strojů vzdáleně najednou. Máte dva monitory a jednoduše chcete mít na levém monitoru otevřenu plochu jendnoho serveru a na pravém plochu druhého.
Klient Vzdálené plochy ale není tak admin-friendly, jak by mohl být. Otevřete jednu RDP session, následně druhou a zjistíte, že okna se překrývají. Přetáhnete tedy jedno na druhý monitor. Zjistíte, že okna nejsou maximalizovaná, a jsou zobrazeny scrollovací panely. Musíte tedy obě okna maximalozovat. Uf a teď se konečně můžete věnovat tomu, co je opravdu důležité – vašim serverům. Trošku zdlouhavý postup, nemyslíte? Obzvláště pokud ho absolvujete několikrát denně.
Pojďme si ukázat, jak nastavit, aby se na levém monitoru spustila plocha prvního serveru v rozlišení 1024×768 a na pravém plocha druhého ve stejném rozlišení. Předpokládejme, že máte na stole dva 24″ monitory, každý s rozlišením 1920×1200 bodů. Pro každou session uložte nastavení z klienta vzdálené plochy do .RDP souboru.
Otevřete textovým editorem .RDP soubory. Najděte sekci nesoucí údaj o rozlišení (desktopwidth a desktopheight), se kterým se budete na servery připojovat. Nastavení upravte pro oba na:
desktopwidth:i:1024
desktopheight:i:768
Nastavení RDP souboru pro okno otevírané na levém monitoru
Nejpodstatnější je sekce winposstr. Na první pohled je celkem záludná, ale nemějte obavy nás budou zajímat jen poslední čtyři číselné údaje. Ty nesou pozici okna vzdálené plochy na vaší stanici, ze které RDP sessionu otevíráte. Hodnota 2400 znamená, kolik pixelů od levého okraje levého monitoru bude umístěn levý okraj okna. Následující číslo 193 udává kolik pixelů je vzdálen horní okraj okna od horního okraje obrazovky. Třetí a čtvrtý údaj odpovídají vzdálenosti v pixelech pravého a spodního okraje okna vzhledem k levému hornímu rohu levého monitoru. Vztažný bod je tedy vždy levý horní roh levého monitoru.
winposstr:s:0,1,400,193,1440,997
Mezi těmito čtyřmi hodnotami platí následující pravidla.
997 – 193 – 36 = 768
spodní okraj okna – horní okraj okna – rezerva 36 pixelů = vertikální rozlišení vzd. plochy 768 pixelů
Pokud jste se v tom všem ještě nezamotali, máte vyhráno. Podle výše uvedených vztahů můžete přepočítat hodnoty tak, aby odpovídali vašim požadavkům na rozlišení a umístění. Velikost rezerv je stále stejná. Budete tedy měnit jen požadované rozlišení okna vzdálené plochy a ona 4 čísla, udávající pozici okna klienta Vzdálené plochy.
Sharepoint má pro psaní nových Oznámení jednoduchý webový editor, který mimo jiného automaticky rozpoznává, zda to, co píšete není hypertextový odkaz. Pakliže ano, zařídí jeho vytvoření, podtrhne text a změní jeho barvu na modrou. Problém nastane, pokud je ve vašem odkazu obsažena mezera. Pak editor vytvoří odkaz jen po první mezeru. Zbylé znaky za mezerou do něj už nezahrne.
Vytvoření odkazu na soubor, v jehož cestě je obsažena mezera lze vytvořit pomocí následujícího příkladu.
Cesta ksouboru:
\\server\disk d\seznam.xls
Sharepoint automaticky vytvoří odkaz jen zčásti:
\\server\disk
Řešení:
Do editoru vložte odkaz v následující podobě. Mezeru nahraďte řetězcem %20 a na začátek vložte file:.
Jak už název Sender Policy Framework napovídá, jedná se o technologii, která na základě adresy odesílatele e-mailu ověřuje, zda je poštovní server, ze kterého zpráva přisla, autorizován odesílat e-maily pro danou doménu.
Jinak řečeno. Za pomoci SPF jsem schopen definovat, kterým poštovním serverům dám možnost odesílat poštu za mou organizaci. Všechny ostatní zakáži.
Tak například – z ryze administrátorského hlediska. Mám ve firmě dva poštovní servery. Chci, aby oba mohli nadále odesílat a přijímat poštu pro firemní domény, ale chci zabránit, aby někdo cizí odesílal podvržené zprávy, tvářící se, že pocházejí z naší firmy. Nastavím tedy SPF. Oba naše poštovní servery jsou vedeny v MX záznamu na našem DNS serveru. Vyhovuje nám tedy následující podoba záznamu: “v=spf1 mx -all”. Problém vyřešen.
Co mi SPF přinese?
V prvé řadě bude moci každý cílový poštovní server, kam posíláte e-mail, ověřit, že zpráva pochází z vašeho poštovního serveru a nejedná se o podvržený e-mail, tvářící se, že přichází z vaší organizace. Funguje to i naopak. Pokud váš mail server podporuje SPF technologii, každý příchozí e-mail do vaší firmy, bude prověřen, zda pochází z autorizovaného zdroje.
Jaké jsou nevýhody této technologie?
Asi nejpodstatnější nevýhodou se zdá být zvýšený počet DNS dotazů, což vede k vyššímu vytížení DNS serverů. Pokud se ve vašem záznamu použijete příkaz include, pak se cílový server dotazuje vaší domény a k tomu ještě includované domény. Jestli vám include nic neříká, pro tuto chvíli na něj klidně zapoměňte. Dočtete se o něm dále.
Pro koho je SPF vhodné?
SPF by mělo zajímat každého správce poštovního serveru a každou organizaci, která si alespoň trošku základá na důvěryhodnosti své elektronické poštovní komunikace.
Pro koho SPF není vhodné?
Obecně se uvádí, že se Sender Policy Framework mohou mít problém mobilní uživatelé, kteří za den vystřídají několik různých připojení, poskytovatelů a hlavně poštovních serverů. Ale v dnešní době jsou pěkná řešení i na tuto problematiku. Možností je opravdu hodně, zmiňme například možnost VPN připojení do firemní sítě, Outlook Anywhere (RPC over HTTPS) či Outlook Web Access.
Je potřeba záznam nějak průběžně měnit nebo ho stačí nastavit jednorázově?
Odpověď je v zásadě jednoduchá. Záznam jednou vytvoříte a nemusíte se o něj nikterak starat. Rozumné je ale vše zkomunetovat a především mít na paměti, že nějaký takovýto záznam pro vaší doménu používáte. Úpravu SPF je třeba provést zpravidla v případě změny vašeho ISP, hostingu a změny vašeho poštovního řešení.
Co pro oživení SPF musím udělat?
Na vašem DNS serveru je potřeba přidat SPF záznam ve formátu TXT. Tím je vše hotové. Některé firmy používají DNS servery svých wehosterů či providerů. Změnu DNS záznamů je pak potřeba provést přes webové rozhraní či písemným požadavkem.
Chcete-li kontrolovat příchozí poštu pomocí SPF, zapněte tuto funkci na vašem poštovním serveru. Zprávy přijaté od neautorizovaných serverů, pak budou zahazovány a bezpečnou cestou tak snížíte množství příchozího spamu a podvržených e-mailů.
Jak to funguje?
1. Jirka z firmy1 odesílá e-mail kolegovi Petrovi z firmy2.
2. Poštovní server firmy1 zprávu zpracovává a odesílá pomocí SMTP na server firmy2, kde pracuje Petr.
3. Firma2 používá na svém poštovním serveru antispamové řešení, které mimo jiné umí vyhodnocovat SPF. Zpráva od Jirky je přijata a podléhá spamové kontrole a ověření pomocí SPF. Server se dotazuje DNS serveru, který drží SPF záznam pro firmu1.
4. Ten pak odpovídá a vrací výsledek dotazu.
5. Server firmy2 zjistí ze SPF záznamu, zda je server firmy1 oprávněn odesílat poštu za doménu firma1.cz. Pakliže ano, je zpráva doručena Petrovi. V opačném případě je e-mail označen jako spam.
Správná syntaxe záznamu a příklady
Nyní už víme, že SPF je TXT záznamem v DNS a jak přibližně vypadá komunikace mezi servery. Pojďme přejít k samotné podobě záznamu.
Nejjednodušší záznam vypadá takto: “v=spf1 -all”
Co to znamená? Vaše doména nepoužívá e-mail. Máte na ní například jen webové stránky a poštu odesíláte z jiné domény k tomu určené. Jakýkoliv e-mail pocházející z domény s tímto záznamem bude po vyhodnocení SPF zahozen, případně označen jako spam. “-all” na konci znamená, že žádný autorizovaný server neexistuje.
O poznání zajímavější je: “v=spf1 mx -all”
Výraz se vyhodnocuje zleva doprava. MX znamená, že všechny servery, které jsou uvedeny ve vašich MX záznamech budou považovány za důvěryhodné a SPF je vyhodnotí jako autorizované. Všechny ostatní budou díky “-all” označeny jako neautorizované.
“v=spf1 mx mx:mail.firma1.cz -all”
Má stejný výsledek jako předchozí výraz s tím rozdílem, že mezi oprávněné servery získáné z MX záznamů přidáváme mail.firma1.cz.
“v=spf1 include:mujisp.cz -all”
Dejme tomu, že jsme malá firma a chceme ušetřit za investice do vlastního serveru. Náš ISP bude firma mujisp.cz. Domluva zní tak, že poštu budeme posílat přes jeho server. Náš SPF záznam tedy může vypadat právě takto. Include zajistí, že se přečte SPF záznam z domény providera mujisp.cz a jeho obsah bude považován za náš. Provider musí mít SPF nastaven.
“v=spf1 ip4:192.168.0.1/16 -all”
Poslední ukázka demonstruje přidání poštovních serverů z IP rozsahu 192.168.0.1 – 192.168.255.255 mezi důvěryhodné. Všechny ostatní vyhodnotí jako zakázáné.
Závěr
SPF není všelék na spam, ale rozhodně stojí za to, ho zavést. Vytvoření zabere jen několik desítek minut a pak již vše pracuje za vás. K dispozici jsou také velmi povedené nástroje pro vytvoření a případně i ověření správnosti vašeho SPF záznamu.
Koncem minulého týdne přinesl server Technet.cz velmi žhavou zprávu týkající se technologií šifrování pevného disku BitLocker, která je novou ve Windows Vista a v novém Windows Serveru 2008.
Skupinka studentů z Princetonu publikovala postup, jak získat data ze zašifrovaných disků. Využili k tomu málo známé vlastnosti operačních pamětí. Paměť totiž za určitých podmínek drží data nějaký čas i po vypnutí počítače. Klíče potřebné pro dešifrování disků se dočasně ukládají právě do operační paměti. Těchto dvou vlastností využili a jsou tak údajně schopni prolomit technologie BitLocker, FileVault, TrueCrypt či dm-crypt. Celý postup zachycuje zveřejněný videozáznam a na stránkách tohoto projektu nazvaného “Lest We Remember” najdete detailní materiály.
Abych se přiznal, možná mě více než samotný fakt prolomení mrzí ta věc, jak to chodí na univerzitách u nás a ve světě. Zatímco v Princetonu mohou studenti pracovat na takto zásadních projektech, stav na našich technických vysokých školách je o něco smutnější. Přejme si tedy, ať se našem univerzitám daří co nejlépe a ať jsme schopni konkurovat kolegům studentům ve světě.
Utilitka BgInfo od Sysinternals patrně není pro většinu správců novinkou, ale velmi se mi zalíbila možnost nastavit si také pozadí přihlašovací obrazovky. Na první pohled tak vidíte, kam se přihlašujete, že na vzdáleném stroji dochází místo na disku, jaká je aktuální IP adresa či jakou velikost operační paměti jste přidělili virtuálnímu stroji. Customizaci zobrazovaných položek se meze nekladou, a tak máte k dispozici šikovného pomocníka.
