Мой прадедушка – Леонтьев Константин Александрович (1889 – 1932)

Нашел в Интернете статьи о моем прадедушке.

Статьи о прадедушке:
http://phys.sgmu.ru/zaved/leon.html
http://ufn.ru/ufn32/ufn32_8/Russian/r328_h.pdf – Некролог

Статьи о кафедре физики Саратовского Университета, которую он возглавлял с 1922 по 1932 год:
http://phys.sgmu.ru/hystory.html
http://www.sgu.ru/faculties/physical/abitura/docs/Phys_h.doc
http://www.sgu.ru/faculties/physical/departments/general/history.php
http://www.sgu.ru/faculties/physical/history.php
http://www.sgu.ru/faculties/physical/history-1.php

Вышли Windows Server 2008 Language Pack’s

Не прошло и трех недель с момента официального выхода релиза Windows Server 2008, как для него вышел набор Language Pack-ов, среди которых есть и русский язык.

 

Скачать их можно по ссылке: http://www.microsoft.com/downloads/details.aspx?FamilyID=e9f6f200-cfaf-4516-8e96-e4d4750397ff&DisplayLang=en

 

Образы содержащие Руссий язык следующие: 

• Group 3 (Italian, Russian, Portuguese (Portugal), Dutch, Swedish)

o File name: 6001.18000.080118-1840_x86fre_Server_LP_4-KRMSLP4_DVD.img

• Group 3 (Italian, Russian, Portuguese (Portugal), Dutch, Swedish)

o File name: 6001.18000.080118-1840_amd64fre_Server_LP_4-KRMSLPX4_DVD.img

Кроме того, как я и общеал в предыдущем посте, вот ссылка на обновленную версию документа, в котором указаны все функциональные изменения Windows Server 2008 от Windows Server 2003 SP1:

http://www.microsoft.com/downloads/details.aspx?FamilyID=173e6e9b-4d3e-4fd4-a2cf-73684fa46b60&DisplayLang=en

Свершилось! Windows Server 2008 RTM’ed.

Как некоторые и Вас может быть уже слышали, 4-го февраля 2008 года вышел Windows Server 2008 и Windows Vista Service Pack 1. Сейчас Windows Server 2008 уже есть в доступе в подписках MSDN и TechNet. 4-го февраля были выложены x64 версии Windows Server 2008, а вчера 6-го февраля x86 версии. 

 

Осталось дождаться официального выхода Windows XP Service Pack 3… Он выйдет раньше, чем некоторые предполагают.

 

Позже я приведу ссылки на документы откуда можно узнать о новых функциях этих продуктов.

Особенности настройки систем x86 и x64 с большим объемом памяти

В этой записи своего блога я решил собирать ссылки на статьи Knowledge Base и другие материалы касающиеся рекомендаций и особенностей по настройки и работе систем x86 (IA32 или 32-х битных) с большим объемом памяти (приближающимся к 4Гб) и систем x64 (64-х битных, но не Itanium-based) на базе технологий Intel EM64T и AMD64.

Если вы пройдя по этому списку решите, что он неполный, то я буду только рад добавить ваши ссылки на другие полезные по этой теме материалы. Такие ссылки вы можете оставить в комментариях к этой записи.

  Статьи по настройке памяти для архитектуры x86 (IA32):

• A description of the 4 GB RAM Tuning feature and the Physical Address Extension switch
• How to use the /userva switch with the /3GB switch to tune the User-mode space to a value between 2 GB and 3 GB
• You cannot put a computer that has more than 4 GB of memory into hibernation in Windows XP and in Windows Server 2003
• Complete memory dumps are not available on computers that have 2 or more gigabytes of RAM
• Kernel Memory Dump" is displayed in Startup and Recovery, but a complete memory dump is performed in Windows 2000 or in Windows Server 2003
• A computer that is running Windows Server 2003 may use lots of nonpaged pool memory

  Статьи по настройке памяти для архитектуры x86 (IA32) в комбинации с Exchange 2003:

• Using the /Userva switch on Windows Server 2003-based computers that are running Exchange Server
• Use of the /3GB switch in Exchange Server 2003 on a Windows Server 2003-based system
• How to optimize memory usage in Exchange Server 2003
• How to troubleshoot virtual memory fragmentation in Exchange Server 2003 and Exchange 2000 Server

  Статьи по настройке памяти для архитектуры x64 и ее сравнение с x86 (IA32): 

• Comparison of 32-bit and 64-bit memory architecture for 64-bit editions of Windows XP and Windows Server 2003
• A description of the differences between 32-bit versions of Windows Vista and 64-bit versions of Windows Vista
• Processor and memory capabilities of Windows XP Professional x64 Edition and of the x64-based versions of Windows Server 2003
• Overview of the compatibility considerations for 32-bit programs on 64-bit versions of Windows Server 2003 and Windows XP 
• How to determine the appropriate page file size for 64-bit versions of Windows Server 2003 or Windows XP
• Memory Limitations of 64-bit Versions of Windows XP
• Access Violation Occurs When You Use the /MAXMEM Start Switch on 64-bit Versions of Windows Server 2003 on Computers That Have More Than 4GB of RAM

ISA 2004, 2006 Registry keys – Tips and Tricks

Я решил собрать в этом посте все известные мне ключи реестра для настройки ISA 2004/2006, которые могут оказаться весьма полезными при конфигурировании ISA и решении различных проблем с ней. А так же некоторые рекомендации по взаимодействию с другими firewall-ами, установленными между ISA и сетью Интернет.

Рассмотрим наиболее типичную конфигурацию подключения к сети Интернет, которую я привел ниже на рисунке:

Итак, в такой ситуации следует сразу же сконфигурировать ISA 2004/2006 используя шаблон Back Firewall. Не стоит этим принебрегать. Второе, что я советую сделать – это изменить Network Rule между сетями External и Internal с NAT на Routing. Связано это с тем, что трансляция сетевых адресов (NAT) на ISA имеет определенные ограничения, которые отсутствуют у некоторых других firewall-ов. Например Cisco PIX или Juniper. Сразу замечу, что использование ISA как back firewall имеет свои преимущества, т.к. ISA 2004/2006 обеспечивает гораздо более эффективные средства публикации внутренних сервисов (таких как Exchange, OCS, SharePoint и т.п.), а также средства Windows Integrated Authentication для Web-Proxy Client и Firewall Client, позволяющие настраивать правила фильтрации для конкретных пользователей AD.

Тепрь я постараюсь описать известные мне ключи реестра для настройки ISA 2004/2006, настройка которых выолняется только с использованием редактора реестра regedit и недоступна через GUI интерфейс или конфигурацию XML.

таблица с важными ключами реестра для ISA 2004/2006.

 

Ключ	Описание/ссылка
NonPassiveFTPTransfer	Нельзя установить через COM интерфейс управления ISA. Форсирует использование для ISA Web-Clients пассивного режима FTP вместо используемого по умолчанию активного. Эта опция очень полезна в случае, когда front firewall не пропускает активные FTP соединения. (FTP error 500: Illegal port command). Для Cisco PIX например можно разрешить активные FTP соединения командой "fuxup protocol ftp 21". Подробное описание дано в статье "Troubleshooting Outbound FTP Access in ISA Server".
SkipAuthenticationForRoutingInformation	Позволяет при включенной опции Always Authenticate выполнять анонимные запросы к конфигурации WPAD. Описано в статье MSDN и статье KB885683. Обратите внимание, что для Enterprise Edition версии ISA 2004/2006 требуется настраивать данный параметр скриптом через COM интерфейс. Это описано в статье "Troubleshooting Firewall Clients in ISA Server".
ProxyVmemAlloc1pSize	Влияет на количество одновременных SSL-сессий. Описано в статье KB842438.
ProxyVmemAlloc3pSize	Влияет на количество доступных одновременно запросов на проксирование. Описано в статье KB842438.
AllowAskBasicAuthOverNonSecureConnection	Управляет обязательным требованием использовать или нет SSL при доступе с автроризацией к веб-сайтам. Описано в статье KB912122.

А вообще все подробности по администрированию и настройке ISA 2004/2006 в том числе и не доступные из GUI описаны в ISA Server 2004/2006 SDK по ссылке: http://msdn2.microsoft.com/en-us/library/ms828058.aspx

Эта ссылка на условия поиска, с помощью которого можно посмотреть все параметры и настройки ISA 2004/2006, которые нельзя установить из GUI интерфейса.

Полезные утилиты сетевой диагностики для Windows

Бродя по бескрайним просторам раздела downloads на сайте Microsoft собрал интересную коллекцию "свежих" утилит для сетевой диагностики.

Начнем, пожалуй, с простого. Все знают, что в Windows Vista и Windows Server 2008 есть специальный сервис (Link Layer Topology Discovery), который обеспечивает построение стевых диаграмм и первичную диагностику состояния сети. Так вот для Windows XP достаточно давно существует соответствующий сервис, который можно скачать и установить на машину с Windows XP Service Pack 2.

Второе, о чем я хотел бы сообщить "по секрету всему свету", так это о средстве диагностики сетевых проблем для Windows XP (кстати тоже требуется Windows XP SP2).

Наконец совсем недавно вышло средство для расширенной диагностики работы протокола IPSec – Microsoft IPsec Diagnostic Tool, достойно дополняющее предыдущие средства решения сетевых проблем. Хочу отметить то, что эта утилита доступна для всех поддерживаемых версий Windows, начиная с Windows XP и кончая выходящей совсем скоро Windows Server 2008.

Описание ключей реестра по настройке TCP/IP для Windows Server 2008/Vista

Вот собственно ссылка на оригинальный документ:

 

http://www.microsoft.com/downloads/details.aspx?FamilyID=12ac9780-17b5-480c-aef7-5c0bde9060b0&DisplayLang=en

 

Думаю, что он будет весьма полезен всем специалистам по Windows.

Очередной обзор свежих Downloads от Microsoft.

Я буду стараться переодически писать о свежих и интересных на мой взгляд новинках в разделе Downloads на нашем сайте. Какие-то из них мне уже лично удалось попробовать и я готов поделиться своими впечатлениями. Чего вы не найдете в моем обзоре, так это информации про средства разработки.

Итак начнем по-порядку:

Вышел MUI (Multilingual User Interface) для Internet Explorer 7.0. Доступны версии для Windows XP SP2, Windows Server 2003 SP1/SP2, для Windows Server 2003 IA64 SP1/SP2, Windows Server 2003 x64. Дополнительную информацию по MUI/LIP, а так же продуктам Microsoft, для которых выпускаются отдельные локализационные пакеты можно посмотреть здесь.

Вышла обновленная версия клиента SMS 2003 SP3 исправляющий ряд досадных ошибок в работе SMS-клиента. Обновление доступно как в формате MSI, так и MSP.

Вышла CTP-версия (Community Technology Preview) драйвера для работы PHP 5 c Microsoft SQL Server 2005. Поскольку я весьма симпатизирую PHP как языку разработки динамического Web-контента эта новость не может не радовать. Сам правда пока не пользовался этим интерфейсом.

Наконец-то вышел Exchange 2007 Management Pack для System Center Operations Manager 2007. Уж очень долго пришлось ждать. Жаль в нем нет пока диаграмм. Кроме того, пока не очень хорошо с документацией по тонкой настройке этого MP. Я поставил его в Production на следующий день после его выхода – 2е недели, полет нормальный. Только имейте ввиду, что этот MP добаляет много правил мониторинга и что бы у вас не кончилось место в оперативной безе данных мониторинга следует увеличить ее размер на SQL-сервере.

Вышли Virtual Machine Additions for Linux для Virtual Server 2005 R2 SP1. Они обеспечивают следующий функционал: синхронизация времени guest и host машин, драйверы клавиатуры, дисплея и SCSI контроллера. Доступны версии для x32 и x64. Список поддерживаемых guest-операционных систем: Red Hat Enterprise Linux 2.1 (update 7); Red Hat Enterprise Linux 3.0 (update 8); Red Hat Enterprise Linux 4.0 (update 4); Red Hat Enterprise Linux 5.0; SuSE Linux Enterprise Server 9.0; SuSE Linux Enterprise Server 10.0; Red Hat Linux 9.0; SuSE Linux 9.3; SuSE Linux 10.0; SuSE Linux 10.1; SuSE Linux 10.2. Рекомендую ставить их только при подключении виртуальных дисков через виртуальный SCSI адаптер, правда для этого потребуется самая свежая версия Virtual Server 2005 R2 SP1, а на предыдущих версиях сервера эти VM Additions корректно работать не будут.

Microsoft обнародовала предварительную спецификацию на Hypervisor Viridian – главный слой micro-kernalized виртуализации в Windows Server 2008. В основном это документ важен для партнеров, но это означает, что под платформу Windows Virtualization (Viridian) будут активно разрабатываться сторонние решения. Учитывая ее перспективность хочется надеяться что в ближайшем будущем мы увидим целую серию разработок сторонних компаний в этой области. Замечу так же, что Windows Virtualization поддерживается Windows Server 2008 CORE.

Недавно в разное время вышел комплект обновленной MBSA 2.1 beta2 (Microsoft base Line Security Analyzer). Доступны версии под x32 и под x64, а так же MBSA Visio 2007 Connector. Этот комплект утилит позволит довольно просто и удобно просканировать компьютерную сеть на базе ОС Windows на предмет основных известных уязвимостей, даст рекомендации по их устранению, а так же позволит создать наглядный отчет о результатах работы в Visio.

Обновилась версия Virtual Earth 3D Beta . Забавная вещица, правда по России еще векторные карты весьма посредственные. Но прогресс идет давольно быстро.

Технология TCP/IP Dead Gateway Detection – причина “странной” маршрутизации.

Раз уж мы начали обсуждать стек TCP/IP и его реализацию в Microsoft Windows Server 2003, то я хотел бы этот ряд продолжить описанием еще одной очень полезной технологии TCP/IP Dead Gateway Detection. Это технология довольно старая, описанная в RFC 816, и поддерживается Microsoft начиная еще с версии Windows 95. Однако, как показывает практика мало кто понимает как она работает и соответственно мало кто умеет ее корректно применять на практике.

Суть алгоритма очень проста. Известно, что после передачи по протоколу TCP определенной порции данных (или истечения определенного таймаута) хост-получатель отправляет хосту-отправителю подтверждение (ACK) о получении этой порции данных. Хост отправитель ожидает переодического получения таких подтверждений, прежде чем отправить следующую порцию данных. В случае если такое подтверждение не получено, хост-тправитель попопытается отправить эту порцию данных еще раз. И так хост-отправитель будет делать несколько раз, после чего сочтет TCP-соединение разоравнным и закроет соответствующий сокет. Число попыток такой передачи задается в реестре Windows в параметре TcpMaxDataRetransmissions. По умолчанию это значение принимается равным 5-и. Все описанное ранее верно, если настроен всего один шлюз по умолчанию. В том случае если в таблице маршрутизации указано несколько шлюзов по умолчанию (Default Gateways), то передача даных будет работать несколько иначе.

Если при передаче данных нет подтверждения (ACK) от хоста-получателя, то как и раньше выполняется попытка повторной передачи данных. Однако, если по истечении более половины попыток (в нашем случае это 3-и попытки) передача все же оказалась неудачной, то в КЕШ-записи (Route Cached Entry – RCE) маршрута к этому хосту-получателю изменятется адрес шлюза на следующий по списку адрес шлюза по умолчанию и процедура повторяется заново. Если все перечисленные в таблице маршрутизации шюзы по умолчанию опробованы и подтверждения от хоста-получателя все же нет, то TCP-соединение разрывается.

Если более 25% от всех TCP соединений в записях RCE уже использут следующий шлюз по умолчанию, то все остальные TCP-соединений тоже переводятся на новый шлюз по умолчанию, а так же делается отметка в таблице маршрутизации, что основным шлюзом по умолчанию теперь является новый хост.

Следует заметить, что работа данного алгоритма возможна ТОЛЬКО при следующих условиях:

1. В настройках TCP/IP указано более одного шлюза по умолчанию.
2. Через неработающий шлюз по умолчанию уже установлены TCP соединения или устанавливаются TCP-соединения с внешними хостами.
3. Через альтернативные шлюзы по умолчанию возможна маршрутизация до хоста-назначения.

Очевидно, что переключение с одного шлюза по умолчанию на другой не возможно без TCP соединений. Например выполнение команды PING не приведет к переключению шлюзов, т.к. PING использует ICMP протокол.

В Windows Server 2003 и в Windows XP данный алгоритм по умолчанию включен. Есть два параметра реестра в разделе HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 

DWORD DeadGWDetectDefault

DWORD Interfaces\{int-guid}\EnableDeadGWDetect

отвечающие за работу этого алгоритма. Первый из них (DeadGWDetectDefault) позволяет включить или выключить алгоритм на всех интерфейсах сразу, а второй (EnableDeadGWDetect), позволяет контролировать работу алгоритма на уровне каждого интерфейса по отдельности.

Для того, что бы узнать о многих других особенностях работы стека TCP/IP и его скрытых настройках скачайте документ Microsoft Windows Server 2003 TCP/IP Implementation Details.

Что в SID-е тебе моем?!

Тема SID-а разжёвана в сети уже многократно, но почему-то к ней приходится возвращаться с удручающей постоянностью, когда выясняется, что многие инженеры и администраторы ОС Microsoft Windows не понимают некоторых весьма важных вещей в отношении использования SID-ов и то как он применяется в системе Windows.

SID (Security IDentifier) состоит из нескольких частей (он может быть переменной длины). В начале идет "версия" SID-а, потом Генеральная область Authority – т.е. ссылка на ту систему-источник, которая отвечает за его выпуск. Версия сейчас в системах Windows всегда одна: 1, чаще всего Генеральная Authority 5 (Windows System) или 1 или 3. Однако с выходом Microsoft Exchange 2007 появилась новая Генеральная Authority – 9 (Exchange 2007). Потом в SID-е следуют один или несколько идентификаторов Sub Authority. И, в завершении, в конце может идти так называемый RID – Relative IDentificator – т.е. локальный для данного Sub Authority номер субъекта безопасности (например, учетной записи пользователя).

Таким образом, SID учетной записи обычно выглядит так: S-1–5–21-1721254763-462695806-1538882281–2605462.

В данном примере номер версии показан красным цветом, идентификатор Генеральной Области Authority показан желтым цветом, идентификаторы Sub Authority показаны зеленым цветом, а RID показан коричневым цветом.

Это примерно как структура ИНН – сначала код региона, потом код налогового органа выдавшего ИНН, а уже потом относительный номер налогоплательщика в данном налоговом органе.

Дополнительную информацию о SID-ах можно почерпнуть тут http://msdn2.microsoft.com/en-us/library/aa379597.aspx и соседние по содержанию темы. Следует так же отметить, что существует целая серия так называемых Well Known SID-ов (хорошо известных SID-ов). К таким SID-ам относятся SID-ы групп: Everyone, Authenticated Users, SELF, BUILTIN\Administrators, BUILTIN\Guests и другие. Достаточно полный список можно посмотреть тут: http://support.microsoft.com/kb/243330.

Так вот, в отношении SID-компьютера стоит помнить два основных факта:

1.     Компьютерный SID – это внутренний SID системы Windows, который представляет собой идентификатор Sub Autority для ВСЕХ локальных на данном компьютере субъектов безопасности. Он создается при инсталляции операционной системы Windows. На его основе путем добавления RID генерируются ВСЕ SID-ы локальных пользователей и групп для данного компьютера с ОС Windows. Если он поменяется – ВСЕ локальные субъекты безопасности (пользователи и группы) потеряют пава доступа, поскольку в ACL права даются именно по SID-ам. И этот SID никакого отношения к членству в домене не имеет.

2.     Домен тоже имеет свой Domain SID, который представляет собой область Sub Autority ВСЕГО домена. Когда вы включаете станцию/сервер или даже контроллер домена в базе данных домена (AD NTDS) создается объект типа компьютер. Этот объект выведен из класса Security Principal (субъект безопасности), так же как и класс User или Group. Это значит, что такой объект может быть участником системы безопасности Windows и получать права доступа на другие объекты и ресурсы. Именно поэтому у класса Computer (впрочем, как и у класса User) есть атрибут objectSID. Собственно этот атрибут обязательный для всех Security Principals в домене и без него они не могут существовать. Для генерации SID-ов компьютеров, пользователей и групп берется доменный SID (Domain SID) и к нему пристыковывается первый свободный RID в домене. За выделение всем Security Principals в домене уникальных SID-ов отвечает контроллер, несущий роль FSMO RID Master.

Итак, когда рабочая станция логинется в домен в ее собственном системном Access Token-е будут храниться ДВА SIDа – один SID ее доменной учетной записи компьютера, а другой локальный ее собственный SID. Билет Kerberos TGT, который при логоне получает рабочая станция, будет при этом содержать ТОЛЬКО ее Доменный SID.

Когда вы переносите станцию из домена в домен вы в принципе не можете скопировать SID из старого домена в атрибут objectSID в новом домене – это будет противоречить всей идеологии безопасности. Поэтому для объекта учетной записи компьютера в новом домене будет сгенерирован новый SID, который будет состоять из Domain SID нового домена и какого-то доступного в настоящий момент в новом домене RID-а.

Соответственно если где-то на какие-то ресурсы были даны права с использованием доменной учетной записи компьютера (а не пользователя, но такое бывает довольно часто), то при переносе из домена в домен она (станция) потеряет доступ к таким ресурсам.

В AD есть специальный атрибут sIDHistory – в который администратор домена при миграции может поместить старые SID-ы субъектов безопасности для того, что бы сохранить их доступ к тем ресурсам, где такой доступ им был назначен по их старому SID-у. При входе в систему пользователя у которого заполнен атрибут sIDHistory все SID-ы из этого атрибута так же попадают в Access Token этого пользователя. С применением технологии SID History работают утилиты: movetree и ADMT всех версий.

Утилиты NewSID и Sysprep меняют не только SID компьютера, но и соответственно SID-ы всех локальных компьютерных учетных записей и групп, а также проходят по всем ACL на всех доступных им объектах безопасности для того, что бы обновить информацию о выданных правах с учетом смены SIDов всех локальных учетных записей и групп. Именно поэтому версия sysprep обновляется с выходом каждого Service Pack и на самом деле не подходит от одной версии ОС Windows к другой.

Теперь, когда вы понимаете логику процесса, нужно сказать, что весьма важно, чтобы изменение SID-а компьютера утилитами SysPrep или NewSID происходило как можно ближе к моменту инсталляции системы (пока не сделано много особенных прав доступа, не заведено много пользователей и т.п.). Это связано с тем, что при установке на компьютер какого-то дополнительного ПО могут появиться ресурсы илли другие объекты безопасности, о существовании которых не подозревает ваша версия NewSID или SysPrep. И при смене SIDа ACL на этих объектах безопасности не будут обновлены, как следствие будут нарушены права доступа и работоспособность дополнительного ПО может быть потеряна.

На самом деле при работе в домене ничего страшного в том, что локальные SID-ы компьютеров совпадают, вроде бы нет, однако есть ряд особенностей работы системы аутентификации Windows, при которых даже в доменной среде можно будет получить доступ от одной такой клонированной машины к другой в обход настроенных прав доступа.

Именно поэтому надо при клонировании дисков SID компьютеров МЕНЯТЬ ВСЕГДА. Политика Microsoft в отношении установки систем путем дуплицирования диска.

Что же касается доступа по SID-у компьютера – предоставить доступ по учетной записи компьютера (ее SID-у) можно только в доменной среде на основании аккаунта компьютера в AD и соответственно SID-а из AD, где как я говорил он гарантированно уникальный (при условии что у вас не падал и не восстанавливался из BackUp-а некорректным способом RID Master вместе с AD).

Дырочка в безопасности при совпадении SID-ов компьютеров может быть в доступе предоставленном локальным пользователям на разных компьютерах. Вот об этой "дырочке" и пишет Марк Русинович в своей статье.