במאמר הבא אדגים כיצד להגדיר outlook anywhere הכולל הנפקת תעודה עבור שרת דואר 2010, ע"י CA מקומי.
(כאשר ה CA הינו של מיקרוסופט), במאמר זה גם אראה כיצד לחדש את התעודה לאחר פג תוקפה.
אגדיר את התעודה גם לחיבורים של ActiveSync ,OWA.
החיבור מצפין את הנתונים בין תוכנת הקליינט (אוטלוק לצורך העניין) לבין שרת הדואר, התחנות עובדות מול שרת הדואר בפרוטוקול https.
המאמר יחולק לשלושה חלקים:
1. הגדרת Outlook Anywhere והנפקת תעודה.
2. חידוש תעודה כאשר פג תוקפה.
3. הגדרות מתקדמות מצד הקליינט הכוללים קיסטום באמצעות GPO (לא חובה).
במאמר זה אחשוף פרטים לגבי תעודה ונתונים של תעודה פרטית (private key) במחשבי הפרטי – התעודה נוצרה לצורך מעבדה בלבד ואין לי כל בעיה לחשוף נתונים אלו במחשבי הפרטי, איני ממליץ לחשוף פרטי תעודות ארגוניות הכוללים מידע של מפתחות פרטיות וקובץ REQ שנוצר ע"י מחשב זה או אחר, אלא אך ורק למנפיק התעודה / לגורם המוסמך שבו אנו מאמינים וסומכים שינפיק לנו קובץ תעודה.
במאמר הבא, שרת התעודות (CA) וה CRL מותקן על שרת DC, זאת לצורך המעבדה בלבד, איני ממליץ כלל להתקין את הרכיבים הללו על שרת DCאלא על שרת ייעודי אחר בארגון ומומלץ להפריד את שירות ה CRL משרת ה CA לצרכי אבטחה.
הגדרת OUTLOOK ANYWHRE והנפקדת תעודה:
ראשית יש להתקין את ה Feature שנקרא: RPC Over HTTP Proxy על שרת ה CAS:
באמצעות ה Server Manager יש לגשת ל Features ולסמן את האופציה RPC Over HTTP Proxy
להלן רכיבי ה- IIS שיותקנו כתנאי מוקדם להתקנת ה HTTP Proxy, יש ללחוץ על Add Required Role Services:
תהליך ההתקנה:
סיום ההתקנה, יש ללחוץ על Close.
הפעלת האופציה של Outlook Anywhere בשרת ה EXCHANGE תחת השרת שמחזיק את ה ROLE של ה CAS,
יש לגשת ל Server Configuration –> Clent Access, קליק ימני על שרת הדואר ולאחר מכן Enable Outlook Anywhere…
יש לכתוב את השם (המלא) שאליו יגשו מחוץ לארגון אם באמצעות VPN או בכל דרך שהיא, מומלץ ורצוי לתת את שם ה FQDN הכולל את שם השרת ואת שם ה DNS NAME, כדוגמא שם שרת haim-exch2010 שם ה DNS NAME הינו haim.home כלומר haim-exch2010.haim.home.
נשתמש באימות בסיסי basic authentication, ללחוץ על Enable:
ללחוץ על Finish, יש לשים לב שניתן לבצע את הפעולות גם באמצעות ה EMS, בחלון הבא מופיע הפקודה כפי שהוא ב EMS:
כעת ניצור את התעודה עבור החיבורים.
ניגש ל Server Configuration ולאחר מכן קליק ימני New Exchage Certificate:
נגדיר שם לתעודה, מומלץ ורצוי לתת את שם ה FQDN של השרת:
איני משתמש ב wildcard (כוכביות) על מנת לא לפתוח סקופ רחב יותר.
להלן האופציות להגדרה, אנו נגדיר Outlook Web App, ActiveSync, Outlook Anywhere.
נגדיר את התעודה לשירותי Outlook Anywhere:
ניתן לעבוד עם פרוקסי שהוא haim-exch2010, haim-exch2010.haim.home – שימו לב תעודה שמקבלת כמה שמות (SAN).
הגדרתי את התעודה גם לשירותי AutoDiscover לכניסה מבחוץ (בחרתי Long URL)
נגדיר את התעודה עבור Outlook Web App מבפנים ומבחוץ, כתבתי את שם ה FQDN של השרת ל 2 האופציות.
אותה הגדרה בחרתי גם לחיבור באמצעות ACtiveSync (עבור סינכרון מכשירי סלולר התומכים בתצורה זו)
בחרתי את ה FQDN כ Common Name:
ניתן למלא שדות התעודה, שדות אלו ממן ת"ז שמוטבעים על התעודה.
יש לייצא את פרטי התעודה לקובץ Req עבור הנפקת הקובץ בשרת ה CA וקבלת מפתח ציבורי ופרטי:
ניתן לראות את מסלול קובץ ה Req מטה, ניתן לייצא לכל נתיב שהוא, לאחר מכן ללחוץ על Next
לחיצה על New להשלמת תהליך יצירת התעודה.
פעולת יצוא הקובץ הושלמה.
כעת נשארו 3 שלבים לסיום ההנפקה ויצירת השירותים עבור התעודה
* שליחת קובץ ה Req שיצרנו ל CA שעליו אנו סומכים ומאמינים על מנת שינפיק תעודה.
* המשך תהליך הנפקת התעודה ע"י ייבוא קובץ ה CER.
* הוספת שירותים לתעודה
במידה ובארגון שלנו קיים שירות CA אנו ננפיק בעצמנו את התעודה בעזרת קובץ ה Req שנוצר בשלב הקודם:
ניתן להיכנס לשרת ה CA באמצעות הכתובת: http://CA-SERVER/CERTSRV כאשר ה CA-SERVER הינו שרת התעודות (CA):
יש להקיש משתמש אשר מורשה לגשת ל TEMPLATES של שרת ה CA (הרשאת NTFS על אותו TEMPLATE) , אנו נשתמש
ב TEMPLATE של Web Server .
שלב 1 – יצירת קובץ ה CER ע"י שרת CA.
ללחוץ על Requset Certificate
ללחוץ על advanced certificate request
נבחר באופציה השניה
Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file
נפתח את קובץ ה-Req שיצרנו קודם
נבחר לפתוח באמצעות Notepad
יש להעתיק את כל תוכן קובץ ה-Req
יש להדביק את תוכן הקובץ לתוך ה Saved Request :
כעת ניתן להוריד את התעודה, אנו נבחר ב Base 64 Encoded:
כעת נשמור את התעודה בנתיב כלשהו
בחרתי לשמור באותו נתיב שבו יצרנו את הבקשה (לא חייב) – למען הסדר הטוב.
שלב 2 – ייבוא תעודת ה CER בממשק ה EXCHANGE.
בשרת הדואר נייבא את התעודה תחת Exchange Certificates ב Server Configuration.
אנו נלחץ קליק ימני על הבקשה שנוצרה בשלבים שבו יצרנו את קובץ ה Req ולאחר מכן Complete Pending Request:
יש לנתב לקובץ ה CER שנוצר ע"י שרת ה CA:
להלן הנתיב:
בחירת הקובץ
לחיצה על Finish לסיום הפעולה.
שלב 3 – הוספת שירותים לתעודה
בחלון ה Server Configuration בשרת הדואר, קליק ימני על התעודה שנוצרה ולאחר מכן Assign Services to Certificate.
להלן שרת ה CAS, יש ללחוץ על Next:
נבחר את האופציה של Internet Information Services (IIS) ונלחץ על NEXT.
בחלון הבא מוצג ה Thumbprint של התעודה, מיד נוודא שאכן מדובר על התעודה שיצרנו לפי Thumbprint. ׁ
בתעודה הספציפית הזאת, המספר מתחיל ב FF50 ומסתיים ב D19F, כמובן שהמספר שונה מתעודה לתעודה.
ללחוץ על Assign.
לחיצה על Finish
נלחץ פעמיים על התעודה שנוצרה – חשוב מאוד לוודא שנוצר PRIVATE KEY – ניתן לבדוק מטה היכן שיש אייקון של מפתח !!
במידה ואין מפתח פרטי, יש לחזור על הפעולות או לעבוד עם הפקודה certutil -repairstore my "SerialNumber לשחזור המפתח פרטי כאשר ה SerialNumber הינו המס' הסידורי של התעודה.
נוצרה תעודת SAN הכוללת בתוכה כמה שמות (כפי שראינו בזמן יצירת התעודה נוצרו 3 שמות) - Subject Alternative name
ה Thumbprint מורכב מהמפתח מטה שמתחיל ב FF50 ומסתיים ב D19F
כאן הסתיים השלב השלישי והסופי של הנפקת התעודה והוספת שירותים לתעודה.
חידוש תעודה כאשר פג תוקפה
קליק ימני על התעודה שיש להאריך את תוקפה ולאחר מכן Renew Exchange Certificate
יש ליצור קובץ Req להנפקה.
יצירת קובץ ה Req – ללחוץ על Finish
בעת פתיחת קובץ ה Req נוצרה בעיה בפתיחת הקובץ, התוכן הוצג כג'יבריש.
עלינו לקודד זאת ל base 64 ע"י הפקודה certutil –encode old.req new64.req
כאשר ה old.req הינו הקובץ שנוצר קודם, כאשר new64.req הינו הקובץ החדש שקודדנו בפורמט 64:
להלן קובץ ה Req לאחר שעבר קידוד ל 64.
לאחר מכן ניכנס לשרת ה CA ונדביק לתוך ה Saved Request את תוכן הקובץ שנוצר:
כניסה לשרת ה CA:
ללחוץ על Requset Certificate
![clip_image002[4]](http://blogs.microsoft.co.il/blogs/haiml/clip_image0024_5FAE5A52.jpg "clip_image002[4]")
ללחוץ על advanced certificate request
נבחר באופציה השניה
Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file
![clip_image004[5]](http://blogs.microsoft.co.il/blogs/haiml/clip_image0045_0983CA1D.jpg "clip_image004[5]")
נפתח את הקובץ ה-Req שיצרנו קודם
נבחר לפתוח באמצעות Notepad
![clip_image006[4]](http://blogs.microsoft.co.il/blogs/haiml/clip_image0064_04C85267.jpg "clip_image006[4]")
יש להעתיק את כל תוכן הקובץ ה-Req
יש להדביק את תוכן הקובץ לתוך ה Saved Request :
כעת ניתן להוריד את התעודה, אנו נבחר ב Base 64 Encoded:
כעת נשמור את התעודה בנתיב כלשהו
כעת נשמור את הקובץ שיצרנו בנתיב כלשהו
בשרת הדואר נייבא את התעודה תחת Exchange Certificates ב Server Configuration.
אנו נלחץ קליק ימני על הבקשה שנוצרה בשלבים שבו יצרנו את קובץ ה Req ולאחר מכן Complete Pending Request:
יש לנתב לקובץ ה CER שנוצר ע"י שרת ה CA:
לחיצה על Finish לסיום הפעולה.
בחלון ה Server Configuration בשרת הדואר, ללחוץ קליק ימני על התעודה שנוצרה ולאחר מכן Assign Services to Certificate.
להלן שרת ה CAS, יש ללחוץ על Next:
![clip_image001[4]](http://blogs.microsoft.co.il/blogs/haiml/clip_image0014_19A8777B.jpg "clip_image001[4]")
נבחר את האופציה של Internet Information Services (IIS) ונלחץ על NEXT.
בחלון הבא מוצג ה Thumbprint של התעודה, מיד נוודא שאכן מדובר על התעודה שיצרנו לפי Thumbprint. ׁ
בתעודה הספציפית הזאת, המספר מתחיל ב A42A ומסתיים ב 9F4D, כמובן שהמספר שונה מתעודה לתעודה.
ללחוץ על Assign.
נלחץ על Finish
ככה המסך נראה (שימו לב יש את התעודה הישנה והחדשה)
נלחץ פעמיים על התעודה שנוצרה – חשוב מאוד לוודא שנוצר PRIVATE KEY – ניתן לבדוק מטה היכן שיש אייקון של מפתח !!
במידה ואין מפתח פרטי, יש לחזור על הפעולות או לעבוד עם הפקודה certutil -repairstore my "SerialNumber לשחזור המפתח פרטי כאשר ה SerialNumber הינו המס' הסידורי של התעודה.
ה Thumbprint מורכב מהמפתח מטה שמתחיל ב A42A ומסתיים ב 9F4D
נוצרה תעודת SAN הכוללת בתוכה כמה שמות (כפי שראינו בזמן יצירת התעודה נוצרו 3 שמות) - Subject Alternative name
בדיקת חיבור האוטלוק:
כעת נפתח את האוטלוק 2010 ונבדוק שאנו אכן מתחברים בפרוטוקול https:
אם אנו מעוניינים להגדיר תצורה זאת בתוך ה LAN , נצטרך להוסיף V בהגדרות החיבור באוטלוק:
לאחר פתיחת האוטלוק , הקליינט מזהה את השרת באמצעות ה AutoDiscover
אנו נלחץ על קבע באופן ידני כדי לקסטם את ההגדרה של ה rpc over https – בשלב הבא נבצע באצעות GPO. (הפעולה אינה חובה, אלא רק ברשתות LAN שבו אנו רוצים להטמיע את החיבור)
ללחוץ על הגדרות נוספות
כאן אנו רואים שה Autodiscover עשה לנו את מרבית העבודה בכך שהגדיר תצורה באמצעות http, הוא אינו מסמן את האופציה של להתחבר תחילה ב HTTP ברשתות מהירות, שימו לב שב LAN אתם עדיין עובדים שתצורה רגילה מול שרת הדואר/
ה Auto Discover לא מסמן את האופציה הבאה: "ברשתות מהירות, התחבר באמצעות HTTP תחילה ולאחר מכן באמצעות TCP/IP":
אנו נסמן אותה ב V ולאחר מכן נלחץ על אישור:
נסגור את החלון תוך לחיצה על OK ואישור.
לחיצה על סיום לסיום פעולת אשף הגדרת האוטלוק:
פתיחת האוטלוק
לחיצה על ctrl + על האייקון של האוטלוק שבשורתהמשימות, לאחר מכן נלחץ על "מצב חיבור"
פה אנו רואים שהחיבור הינו באמצעות HTTPS
הגדרות מתקדמות מצד הקליינט הכוללים קיסטום הגדרות באמצעות GPO (לא חובה).
חשוב להכיר 2 מאמרים שמדברים על הוספת ערכים חשובים ל ADM שמטפלים בהגדרות בתוך לשונית ה over https באוטלוק,
במאמר זה אתייחס רק למאמר עבור Outlook 2010, התצורה דומה לזה של 2007 מלבד העובדה שהערכים ב ADM ב 2007 מופיעים מתחת ל Administrative Template תחת Article 961112 Policy Settings.
להלן המאמרים:
Outlook Anywhere (RPC/HTTP) settings are unavailable in the Outlook 2010 Group Policy template
http://support.microsoft.com/kb/2426686
You cannot use Group Policy settings to configure Outlook Anywhere (RPC/HTTP) settings
http://support.microsoft.com/kb/961112
נייבא את ה ADM מהמאמר 2426686 לתוך ה Administrative Templates:
במסך הבא נוסיף את ה ADM כולל את ה ADM של האוטלוק עצמו:
ננווט ל:
User Cofiguration -> Policies -> Administravie Templates -> Classic Administravie Templates -> Microsoft Outlook 2010 -> Account Settings –> Exchange
נלחץ על RPC/HTTP Connection Flags:
להלן האופציות כולל ה FLAGS להגדרות בתוך הטאב של ה RPC / HTTP :
אנו נגדיר את כל ה FLAGS כלומר נסמן ב V את כל האופציות:
להלן הגדרת ה Authentication – אנו נגדיר Basic Authentication
להלן ההגדרות באוטלוק, יש לשים לב שהאופציה של "התחבר אל Microsoft Exchange באמצעות HTTP מאופשרת ואינה זמינה להגדרה.
נלחץ על הגדות Proxy עבור Exchage…
יש לשים לב שכל האופציות אינן מאופשרות כולל אימות בסיסי שאותו גם הגדרנו.
אם ברצוננו לבטל את האופציה של Over Https יש להגדיר No Flags:
בהגדרות האוטלוק ניתן לבדוק שהאופציה בוטלה ולא ניתנת לעריכה.
לעיתים אנו נאלצים להשתמש ב TASK שמבצע פעולה שבד"כ יומיומית על השרת, אם זה ניקוי של קבצים ישנים, גיבוי כזה או אחר, פקודות שרצות על השרת שמוגדרות כהכרחיות, פקודה שרצה ע"י יישום כלשהו וכדומה.
בהרבה מאוד ארגונים מנהל הרשת מריץ את המשימות עם ההרשאות שלו שזה הרבה יותר פשוט משום שלאותו משתמש ישנן הרשאות מלאות על השרת – פעולה לא תקינה לכשעצמה וכמובן לא לפי ה Best Practice.
במקרה זה, יש לשקול מה יקרה ל JOB-ים שירוצו בזמן שהחשבון של אותו משתמש לא יהיה פעיל ? מה יקרה אם אותו משתמש ישנה את סיסמתו ?
אחד הדגשים להרצה של תוכנית כלשהי, הוא לעבוד עם משתמש נייטרלי, אפליקטיבי שמוגדר לצורת ביצוע הפעולה,
את אותו משתמש יש להגדיר כ:
* בעל הרשאות ניווט לקובץ עם יכולת להפעילו. (הרשאות NTFS על התקייה ועל הקובץ שיש להפעיל)
* הגדרה באמצעות ה GPO של אותו שרת או על שרתים כ Log on as a batch job.
* יש להגדיר אצל אותו משתמש ב AD את האופציה של Password Never Expires. (מומלץ סיסמא מוקשחת שתוחלף אחת בכמה חודשים).
דגשים:
* במידה ויהיה צורך לשנות את סיסמתו של המשתמש, יש לעבור אחר כל ה JOB-ים שרצים עם אותו חשבון משתמש ולשנות בהתאם את הסיסמא.
* יש לתעד את אותם JOB-ים ועל אילו שרתים חשבון משתמש זה פעיל על מנת שאם נצטרך לעבור על אותם JOB-ים הפעולה תהיה פשוטה יותר,
פעולת התיעוד הכרחית גם כדי להעביר את המידע לכל אחד מאנשי הצוות.
פעולות מקדימות להכנת ה JOB עבור המשתמש הספציפי
אסביר כעת כיצד ליצור JOB, להריצו עם אותו משתמש שיוגדר ב AD (במאמר הבא הגדרתי משתמש מקומי אבל למען הסדר הטוב חובה להגדירו ב AD)
להלן המשתמש שיריץ את קובץ ה JOB- שם חשבון המשתמש יקרא BackupSRV
יש לבדוק במאפייני המשתמש שמסומן Password Never Expires.
המשתמש אינו בעל הרשאות על השרת, אלא חבר בקבוצת USERS, משתמש שיוקם ב AD יהיה חבר בקבוצת Domain Users.
ניתן להיכנס ל GPO של אותו שרת ולהגדיר עבור אותו משתמש Log on As a Batch Job.
ניתן להיכנס ל GPO באמצעות הפקודה gpedit.msc יש לנווט ל:
computer configuration –> windows settings -> security settings –> User rights Assignment
ללחוץ פעמיים על Log on As a Batch Job
ללחוץ על Add User Or Group
כעת ניתן להוסיף את המשתמש כמורשה להפעיל קבצי JOB.
כך החלון נראה לאחד שהמשתמש מתווסף להרשאה.
מסלול הקובץ: C:\BackupScript
קובץ ההפעלה של ה JOB נקרא BACKUP.BAT.
כעת ניתן לתת לאותו משתמש הרשאה על אותה התקייה שבה נמצא קובץ ההפעלה שאותו משתמש יפעיל ב JOB
בחרתי לתת הרשאת MODIFY למשתמש, למקרה שאם ה JOB שירוץ יאלץ ליצור לוגים באותה התקייה, או לכתוב מידע בתקייה.
ניתן לבדוק אם ההרשאות חלחלו לקובץ הסקריפט שירוץ ב JOB.
להלן חלון ההרשאות על קובץ הסקריפט שירוץ ב JOB.
הגדרת ה JOB ב Task Scheduler:
כעת ניכנס ל Task Scheduler על מנת להגדיר את ה JOB.
ניצור Basic Task
נקרא שם ל Task
נבחר להריץ אותו כל יום
בחרתי להריצו בשעה 10:00 בערב.
לבחור Start a program
ניתן לנווט לקובץ שמפעיל את הסקריפט.
יש להגדיר ב Start In את תקיית המסלול, מבחינתי פעולה זו הכרחית בסקריפטים שמייצאים לוג או כותבים לתקייה, באם לא נוסיף את המסלול , ה JOB עלול לא לרוץ כראוי, לא ליצור LOG-ים לא לכתוב לתקייה משום שינסה לכתוב לתקייה הראשית אך לשם אין לאותו משתמש הרשאות, כהמלצה שלי חובה תמיד למלא את שדה ה Start In.
בחלון הסיום ניתן לסמן את Open the Properties Dialog for this task when i click finish לפתיחת חלון האפשרויות.
בחלון General יש לסמן Run whether user is logged on or not ואת Run with highest privileges.
יש לשים לב שברגע שמגדירים את האופציה של Run whether user is logged on or not לא ניתן יהיה לראות ברקע את הפקודה רצה, לרבות תוכנות GUI כמו למשל תוכנת AV לסריקת וירוסים.
יש ללחוץ על Change User Or Group…
ניתן לבחור את המשתש שיצרנו בשלב הראשון שיפעיל את ה JOB.
יש לוודא שאותו משתמש כתוב ב: When running the task, use the following user account
במסך Triggers ניתן לראות את זמן ההפעלה הקובץ (ניתן לערוך באמצעות EDIT).
במסך Actions רואים את קובץ הסקריפט שיופעל ואת מסלולו.
בחלון ה Condition – התנאים להרצת ה JOB כלומר להריץ את ה JOB במקרה של …או לא להריץ את ה JOB במקרה של ..
אנו נשאיר את הברירות מחדל.
חלון ה Settings אלו ההגדרות עבור הרצת ה JOB ,כלומר אם ה JOB מתארך להפסיקו אחרי YY דקות, אם ה TASK לא מיועד לרוץ עוד, הוא ימחק אחרי YY ימים.
בלשונית History רואים את הלוגים לאחר שפעולת ה JOB הסתיימה בכל אותן שעות וימים.
ניתן ללחוץ על OK לאחר סיום ההגדרות , יש לכתוב את סיסמת המשתמש שיפעיל את ה JOB.
ניתן להריץ את ה JOB ידנית ולראות אם הוא אכן רץ. (קליק ימני על ה JOB שנוצר ולאחר מכן Run)
בחלון הבא קיבלנו תוצאה (0X0) The Operation Completed Succesfully
במאמר הבא, אדגים צעד אחר צעד כיצד להסיר DC מסביבת דומיין, אם ה DC אינו מחזיק את תפקידי ה FSMO ניתן לדלג לשלב ב' הסרת השרת התקול באמצעות NTDSUTIL – להסרת ה DC, מאמר זה מתייחס ל DC אשר לא גובה כלל.
למאמר 4 שלבים:
שלב א' – העברת ה FSMO ROLES לשרת DC יציב אחר בארגון.
שלב ב' – מחיקת השרת DC התקול באמצעות ntdsutil.
שלב ג' – מחיקת השרת מערכי ה DNS
שלב ד' – מחיקת השרת באמצעות ADSIEDIT.
לפני ביצוע המאמר, יש לוודא שסביבת שרתי ה DC הקיימים מכילים גירסת SP2 ומעלה.
במידה והשרת הושבת ואין דרך לשחזור באף צורה אחרת, יש צורך להתחשב בתפקידים שהוא מחזיק, כגון WINS, DNS, DHCP, שרת קבצים ועוד.
תמיד מומלץ לגבות את ה SYSTEM STATE על כל שרת ושרת DC בסביבה, פעולה זו תגבה גם את תקיית ה NTDS ויהיה גיבוי לשרת DC, להלן מאמרים עבור גיבוי ושחזור:
http://technet.microsoft.com/he-il/library/bb727048(en-us).aspx
כל עוד קיים DC אחד ומעלה שמתפקד כ GC ו DNS, אין כל חשש במידה והשרת התקול מחזיק תפקידים כגון WINS ו DNS במידה וה DNS הינו INTEGRATED AD , במקרה כזה, גם ללא גיבוי של ה DNS, ניתן לשחזר נתונים אלו (מתוך DC-ים אשר קיימים בארגון).
במקרה והשרת מחזיק DHCP, יש צורך לשחזר מגיבוי את ה DB .
פעולת הגיבוי אמורה להיות פשוטה ובאמצעות פקודת NETSH:
netsh dhcp server export c:\dhcpDB.txt all
פעולת הייבוא אף היא פשוטה: netsh dhcp server import c:\dhcpDB.txt all
במידה ואין גיבוי ל DHCP אין לנו ברירה ונצטרך לבנות SCOPE חדש, על מנת למנוע התנגשויות של כתובות אייפי ברשת (כל עוד ה LEASE לא השתחרר) יש צורך להגדיר במאפייני ה DHCP ערך עבור Conflict Detection Attemps.
באם ה DC התקול החזיק את שעון הזמן, יש להגדיר את שרת ה DC החדש כשעון זמן:
http://support.microsoft.com/kb/816042
הסביבה שאתאר כאן, כוללת 2 שרתי DC:
* שרת ששמו SERVER-HOME – שרת תקין ויציב בדומיין.
* שרת ששמו SRV-HAIML שמחזיק את תפקידי ה FSMO – זהו השרת התקול בדומיין.
תמונת מאפייני שרת SERVER-HOME:
תמונת מאפייני שרת SRV-HAIML:
תמונת מבנה ה SITE הכולל בתוכו את 2 השרתים:
שלב א' - העברת תפקידים מהשרת התקול לשרת ההחדש באמצעות SEIZE:
ראשית, יש לוודא ששרתי ה DC הקיימים מעודכנים ל SP האחרון, במקרה של 2003 יש לעדכן לגירסת SP2 ומעלה.
לזיהוי השרת המחזיק את ה FSMO יש להקליד netdom query fsmo, במידה והשרת הינו שרת 2003 יש צורך להתקין את חבילת ה SUPPORT TOOLS הכוללת בתוכה את פקודת ה NETDOM:
ביצוע פעולת העברת ה FSMO לשרת אחר במידה והשרת התקול מושבת ואינו עולה, פעולת SEIZE אינה מומלצת כאשר ניתן להעביר את הכללים בצורה מסודרת, אם באמצעות ה GUI או אם באמצעות ה NTDSUTIL:
באמצעות NTDSUTIL.EXE:
http://support.microsoft.com/kb/255504
בתצוגת GUI:
http://support.microsoft.com/default.aspx?kbid=324801&product=winsvr2003
יש לוודא שאת הפעולות מבצעים עם ההרשאות הרצויות :
יש להיכנס ל CMD ולהקליד ntdsutil:
יש להקליד roles:
יש להקליד connections:
יש להקליד connect to server your server name, כאשר your server name הינו השרת DC התקין שאליו מתחברים ומבצעים את הפעולות הרצויות:
יש להקליד q כדי לצאת ולחזור לתפריט ה fsmo maintenance:
ניתן ללחוץ על ? כדי לראות את מסך העזרה:
להעברת ה role של ה schema master יש להקליד seize schema master ולאשר:
להלן מסך האישור להעברת ה schema master לשרת היציב:
להעברת ה naming master יש להקליד : seize naming master ולאשר:
להלן מסך האישור להעברת ה naming masterלשרת היציב:
להעברת ה rid master יש להקליד seize rid master ולאשר
להלן מסך האישור להעברת ה rid master לשרת היציב:
להעברת ה infrastructure role יש להקליד seize infrastructure master :
להלן מסך האישור להעברת ה infrastructure master לשרת היציב:
להעברת ה pdc יש להקליד seize pdc:
להלן מסך האישור להעברת ה pdc לשרת היציב:
ניתן לצאת מאשף ה ntdsutil ע"י לחיצות על q :
כעת נקליד את הפקודה netdom query fsmo על מנת לוודא שה roles אכן עברו לשרת ה DC התקין:
שלב ב' - הסרת השרת התקול באמצעות NTDSUTIL:
יש לוודא שאנו עם הרשאות מתאימות לצורך ביצוע הפעולה:
יש להיכנס ל cmd ולהקליד ntdsutil:
יש להקליד metadata cleanup:
יש להקליד connections:
יש להקליד connect to server your server name, כאשר your server name הינו השרת DC התקין שאליו אני מתחבר ומבצע את הפעולות הרצויות:
יש להקליד quit על מנת לחזור למסך ה cleanup:
יש להקליד select operation target
יש להקליד list domains על מנת לראות את מס' הדומיינים, להלן הדומיין: server.home
יש לבחור את הדומיין (את מספרו 0): select domain 0
לרשימת ה sites יש להקליד list sites, אנו רואים שקיים site אחד:
יש לבחור את ה site (את מספרו – 0) select site 0:
יש להקליד list servers in site על מנת להציג את מס' השרתים באותו site:
יש לבחור את השרת שאותו אנו מעוניינים להסיר, אנו מעוניינים להסיר את שרת SRV-HAIML שרת 1 ברשימה,
לצורך כך יש להקליד select server 1:
יש ללחוץ על quit על מנת לחזור לתפריט ה cleanup ולאחר מכן לכתוב:
Remove selected server , פה נקבל חלון אישור (GUI) באם אנו מעוניינים להסיר את השרת:
לאחר שנאשר, נוכל לראות את ביצוע ההסרה, ניתן לשים לב שהאשף מסיר את ה FRS , SYSVOL טיפול בתפקידי ה FSMO, אנו ביצענו את הפעולה ידנית מקודם על מנת לוודא העברת ה FSMO:
שלב ג'- הסרת השרת מערכי ה SRV RECORDS ב DNS:
מחיקת ה CNAME של השרת במאפייני ה _msdcs
מחיקת ערך NS (הפניה כשרת DNS) במאפייני ה _msdcs:
להלן אישור לביצוע פעולת מחיקת רשומת ה NS של השרת התקול:
מחיקת ערך ה _kerberos של השרת התקול מתחת ל _tcp:
מחיקת ערך ה _ldap של השרת התקול מתחת ל _tcp:
מחיקת ערך ה _kerberos של השרת התקול מתחת ל dc\_tcp:
מחיקת ערך ה _ldap של השרת התקול מתחת ל dc\_tcp:
מחיקת הערך של השרת הישן מתחת ל _tcp תחת domains:
יש למחוק את כתובת האייפי של השרת התקול תחת תקיית ה GC:
מחיקת ערך ה _ldap תחת gc\_sites\default-first-site-name, כאשר default-first-site-name מתייחס לשם ה site של הארגון:
מחיקת ערך ה _ldap תחת gc:
יש לשים לב שב pdc מופיע השרת שמתפקד כ pdc emulator, לא אמור להיות שם שרתים אחרים:
יש לחזור על הפעולות הללו גם עבור ה A record ב ZONE של הדומיין ובאותם ערכים המופיעים ב zone של הדומיין.
שלב ד' - מחיקת ערכים מה ADSIEDIT:
ניתן לפתוח את ה ADSIEDIT לגשת ל domain ל OU של ה domain controllers ולמחוק את ה DC התקול, פעולה זו מוחקת את חשבון המחשב מה AD:
יש לאשר את מחיקת המחשב:
יש לגשת ל DOMAIN לאחר מכן לכתובת ה LDAP של הדומיין, לפתוח את CN=System , לאחר מכן את
CN=File Replication Service ואז ל CN=Domain System Volume (SYSVOL Share) ולמחוק את השרת התקול (יתכן והוא לא יופיע במיקום הנוכחי, משום שהוסר באמצעות ה ntdsutil):
יש לגשת ל configuration לאחר מכן ל CN=Sites, CN=Default-First-Site-Name (במידה וזה שם הsite), CN=Servers ולמחוק את השרת התקול, פעולה זו תגרום למחיקתו מאשף ה AD Sites and Service:
יש לאשר את מחיקתו:
בסיום הפעולה ניתן לפתוח את Active Directory Sites and Services ולוודא את מחיקת השרת התקול:
לאחר פעולות אלו, יש לבדוק את תקינות ה Active Directory ולעבוד עם פקודות כגון:
REPADMIN /SHOWREPS
DCDIAG
NETDIAG
לאחרונה נשאלתי מספר פעמים, באם ניתן להציג את שמות התצוגה של הקבוצות + משתמשים בפונטים בעברית בתוכנת הניהול של ה SCCM.
(לאחר תהליך הגילוי מול ה AD, ייתכנו גם שמות משתמש של קבוצות בעברית – נפוץ ברוב הארגונים שעובדים בעברית).
נכון לעכשיו הפונטים מוצגים בג'יבריש בחלון הניהול.
הבעיה מופיעה בעיקר ב Collections + Queries הבאים:
All User Groups
All Users
ישנו פתרון לנושא, יש להפעיל את ה console עם הארגיומנט הבא: /SMS:providerlocale=040d
להלן דוגמא לשורת ההפעלה של תוכנת הניהול עם הארגיומנט העברי (במידה וקובץ ה MSC מותקן במסלול הבא):
"C:\Program Files (x86)\Microsoft Configuration Manager\AdminUI\bin\adminconsole.msc" /SMS:providerlocale=040d
כאשר 040d הינו קוד השפה העברי ב Hexadecimal (הקוד העברי המוכר 1037 Decimal)
להלן טבלת השפות שהוקצתה ע"י מיקרוסופט:
http://msdn.microsoft.com/en-us/goglobal/bb964664
עד עתה השתמשנו בפקודת export-mailbox על מנת לייצא תיבה לקובץ PST.
החל מגירסת SP1 של exchange 2010 הפקודה הוחלפה בפקודה הבאה: New-MailboxExportRequest.
ניתן להשתמש בפקודות הבאות (סה"כ 2 פקודות) על מנת לייצא את התיבה ל PST:
פקודה למתן הרשאה למשתמש, כך שאותו משתמש יוכל לייבא / לייצא את התיבות וכמו כן על מנת לאפשר את הפקודה New-MailboxExportRequest , שימו לב באם לא נקליד את הפקודה הבאה, לא נוכל להשתמש בפקודה New-MailboxExportRequest משום שאינה תהיה זמינה:
כאשר yourusername – שם המשתמש שמקבל את הרשאת הייבוא / ייצוא
New-ManagementRoleAssignment -Role "Mailbox Import Export" -User yourusername
אם נדביק ל notepad את הכיתוב מתחת ל RoleAssigneeName נראה את שם התצוגה של אותו משתמש:
יש לייצא ל UNC את קובץ ה PST (ישנה תמיכה ב UNICODE ואנו אמורים לראות את הפונטים בעברית):
כאשר: Haiml – שם המשתמש
\\servername – נתיב הרשת שמצביע על אותו שרת שאנו מעוניינים לייצא את הקובץ.
sharename – תקיית השיתוף ע"ג השרת
filename.pst – שמו של הקובץ המיוצא
New-MailboxExportRequest -mailbox haiml -FilePath \\servername\sharename\filename.pst
בפקודה השלישית ניתן לראות את הסטטוס של הייצוא:
Get-MailboxExportRequest | Get-MailboxExportRequestStatistics | ft Sourcealias,per*,BytesTransferredPerminute
השתמשתי 3 פעמים בפעולת הייצוא, לכן רואים 3 שורות ואת סטטוס הייצוא שהושלם (100%):
במאמר הבא אסביר כיצד ליצור אנשי קשר ומשתמשים עם תיבה מקובץ CSV, המשתמשים הבאים כוללים:
שם תצוגה בעברית.
ערכים בשדות ה Custom Attributes.
אחלק את המאמר לשני חלקים, החלק הראשון יתייחס ליצירת שם משתמש עם תיבה והחלק השני יתייחס ליצירת אנשי קשר.
בניית משתמשים + תיבה , כאשר שם התצוגה של אותו משתמש בעברית:
בניתי קובץ CSV עם אותם ערכים שאנו מעוניינים להזין עבור אותם משתמשים, שמו של הקובץ newusers.csv .
בניתי קובץ סקריפט (ps1) לייבוא בחלון ה Management Shell, שמו של הקובץ users.ps1
כמובן שניתן להוסיף משתמשים נוספים לקובץ ה CSV וליצור כמות גדולה של משתמשים (BULK)
להלן פירוט השדות שהזנתי לקובץ CSV, ניתן לפתוח באמצעות תוכנת Microsoft Excel:
תא A2 שם המשתנה הינו Test11 זהו ה FirstName של אותו משתמש שיווצר ע"י הסקריפט.
תא B2 שם המשתנה הינו Test12 זהו ה LastName של אותו משתמש שיווצר ע"י הסקריפט.
תא C2 שם התצוגה Name הינו ה DisplayName שבו יופיע המשתמש בספר הכתובות באוטלוק.
תא D2 שם המשתנה הינו SamAccountName זהו שם המשתמש. (pre-windows 2000).
תא E2 שם המשתנה הינו Alias, זהו כינוי המשתמש.
תא F2 שם המשתנה UPN הינו השם משתמש (userlogonname)- userprincipalname.
תא G2 שם המשתנה DataBase – שם ה DB שאליו ישוייך המשתמש עם התיבה.
תא H2 שם המשתנה OrganizationalUnit – שיוך המשתמש ל OU המתאים ב AD.
תא I2 סיסמתו של המשתמש ניתן ורצוי לקבוע סיסמא אחרת מהסיסמא בתוך הקובץ. (הסקריפט יכפה על המשתמש לשנות את הסיסמא בכניסה)
תא J2 שדה המשתנה בערך CustomAttribute5 קבעתי שהערך בשדה יהיה המספר 4.
כל משתנה מיוצג בסקריפט עם תחילית $_.
המרת קובץ ה CSV ל UNICODE או ל UTF-8:
על מנת להמיר את קובץ ה CSV ל UNICODE כדי שהמשתמש יופיע בעברית (ב EMC והספר כתובות באוטלוק), יש צורך לפתוח את קובץ ה CSV באמצעות ה NOTEPAD ולשמור אותו כפורמט UNICODE או בפורמט UTF-8, להלן 3 תמונות המתארות את תהליך שמירת הקובץ כ UNICODE.
להלן הסקריפט:
יש ליצור קובץ TXT לשמור אותו עם סיומת PS1 ולהזין לתוכו את הערכים הבאים:
Import-csv "C:\script\newusers.csv"| foreach {new-mailbox -FirstName $_.FirstName -LastName $_.LastName -name $_.name -SamAccountName $_.SamAccountName -alias $_.alias -userPrincipalName $_.UPN -Database "$_.DataBase -OrganizationalUnit $_.OrganizationalUnit -Password (ConvertTo-SecureString $_.password -AsPlainText -Force) -ResetPasswordOnNextLogon $true | set-mailbox -CustomAttribute5 $_.CustomAttribute5 -CustomAttribute6 $_.CustomAttribute6}
הסבר (הפקודות מופיעות בצבע אדום):
Import-csv "C:\script\newusers.csv" - ייבוא קובץ CSV שנקרא newusers.csv:
| - סימן פקודת הרחבה לסקריפט (מופיע לאחר ציון קובץ ה CSV)
foreach- עבור כל שדה בקובץ CSV
new-mailbox – יצירת משתמש + תיבה
-FirstName $_.FirstName - השדה firstname ישתמש במשנה $_.Firstname – תא A2 בקובץ EXCEL.
-LastName $_.LastName - השדה Lastname ישתמש במשנה $_.LastName – תא B2 בקובץ EXCEL.
-name $_.name - השדה name ישתמש במשנה $_.name – תא C2 בקובץ EXCEL.
-SamAccountName $_.SamAccountName - השדה SamAccountName ישתמש במשנה $_.SamAccountName – תא D2 בקובץ EXCEL.
-alias $_.alias - השדה alias ישתמש במשנה $_.alias– תא E2 בקובץ EXCEL.
-userPrincipalName $_.UPN - השדה userprincipalname ישתמש במשנה $_.userprincipalname– תא F2 בקובץ EXCEL.
-Database "$_.DataBase - השדה Database ישתמש במשנה $_.Database – תא G2 בקובץ EXCEL ופה אנו ממקמים את המשתמש ב DB שאליו אמור להיות משוייך.
-OrganizationalUnit $_.OrganizationalUnit - השדה OrganizationalUnit ישתמש במשנה $_.OrganizationalUnit – תא H2 בקובץ EXCEL ופה אנו מגדירים את מיקום המשתמש ב OU המתאים.
-Password (ConvertTo-SecureString $_.password -AsPlainText -Force) – כדי לטעון את הסיסמא מתוך הסקריפט באופן אוטומטי, אנו נאלצים להשתמש בתחביר הבא. ישתמש במשתנה $_password תא I2 בקובץ EXCEL.
ResetPasswordOnNextLogon $true – המשתמש יאלץ לשנות את הסיסמא בכניסה הראשונית.
set-mailbox - באותה שורת פקודה לאחר שהמשתמש נוצר אנו מקסטמים אותו ע"י הפקודה SET כדי להוסיף ערכים נוספים למשתמשים שנוצרו.
-CustomAttribute5 $_.CustomAttribute5 - השדה CustomAttribute5 ישתמש במשתנה $_.CustomAttribute5 - תא J2 בקובץ EXCEL.
יש לגשת ל management shell לנתב למסלול שבו נמצא הקובץ ולכתוב את שם הקובץ בתחביר הבא: (./users.ps1) כפי שבתמונה:
להלן התוצאות לאחר ייבוא קובץ הסקריפט: (firsname, lastname, displayname,alias,customattribute)
בניית אנשי קשר (Contacts) כאשר שם התצוגה של אותו משתמש בעברית:
אבנה קובץ CSV עם אותם ערכים שאנו מעוניינים להזין עבור אותם אנשי קשר, שמו של הקובץ newcontacts.csv .
בניתי קובץ סקריפט (ps1) לייבוא בחלון ה Management Shell, שמו של הקובץ contacts.ps1
כמובן שניתן להוסיף כתובות נוספות לקובץ ה CSV וליצור כמות גדולה של אנשי קשר (BULK)
להלן פירוט השדות שהזנתי לקובץ CSV, ניתן לפתוח באמצעות תוכנת Microsoft Excel:
תא A2 שם המשתנה הינו Test11 זהו ה FirstName של אותו איש קשר שיווצר ע"י הסקריפט.
תא B2 שם המשתנה הינו Test12 זהו ה LastName של אותו איש קשר שיווצר ע"י הסקריפט.
תא C2 שם התצוגה Name הינו ה DisplayName שבו יופיע האיש קשר בספר הכתובות.
תא D2 שם המשתנה הינו כתובת המייל של איש הקשר.
תא E2 שם המשתנה הינו Alias שזהו הכינוי איש הקשר.
תא F2 שם המשתנה OrganizationalUnit – שיוך האיש קשר ל OU המתאים ב AD.
תא G2 שדה המשתנה בערך CustomAttribute5 קבעתי שהערך יהיה המספר 4.
תא H2 שדה המשתנה בערך CustomAttribute6 קבעתי שהערך יהיה
00@test.
כל משתנה מיוצג בסקריפט עם תחילית $_.
המרת קובץ ה CSV ל UNICODE או ל UTF-8: על מנת להמיר את קובץ ה CSV ל UNICODE כדי שאיש הקשר יופיע בעברית (ב EMC והספר כתובות באוטלוק), יש צורך לפתוח את קובץ ה CSV באמצעות ה NOTEPAD ולשמור אותו כפורמט UNICODE או בפורמט UTF-8, להלן 3 תמונות המתארות את תהליך שמירת הקובץ כ UNICODE.
להלן הסקריפט:
יש ליצור קובץ TXT לשמור אותו עם סיומת PS1 ולהזין לתוכו את הערכים הבאים:
Import-csv "C:\script\newcontacts.csv"| foreach {New-MailContact -FirstName $_.FirstName -LastName $_.LastName -name $_.name -ExternalEmailAddress $_.Email -alias $_.alias -OrganizationalUnit $_.OrganizationalUnit | set-MAilContact -CustomAttribute5 $_.CustomAttribute5 -CustomAttribute6 $_.CustomAttribute6}
הסבר (הפקודות מופיעות בצבע אדום):
Import-csv "C:\script\newcontacts.csv" - ייבוא קובץ CSV שנקרא newcontact.csv:
| - סימן פקודת הרחבה לסקריפט (מופיע לאחר ציון קובץ ה CSV)
foreach- עבור כל שדה בקובץ CSV
New-MailContact – יצירת איש הקשר.
-FirstName $_.FirstName - השדה firstname ישתמש במשנה $_.Firstname – תא A2 בקובץ EXCEL.
-LastName $_.LastName - השדה Lastname ישתמש במשנה $_.LastName – תא B2 בקובץ EXCEL.
-name $_.name - השדה name ישתמש במשנה $_.name – תא C2 בקובץ EXCEL.
-ExternalEmailAddress $_.ExternalEmailAddress - שם המשתנה הינו כתובת המייל של איש הקשר – תא D2 בקובץ EXCEL.
-alias $_.alias - השדה alias ישתמש במשנה $_.alias– תא E2 בקובץ EXCEL.
-OrganizationalUnit $_.OrganizationalUnit - השדה OrganizationalUnit ישתמש במשנה $_.OrganizationalUnit – תא F2 בקובץ EXCEL ופה אנו מגדירים את מיקום האיש קשר ב OU המתאים.
set-mailbox - באותה שורת פקודה לאחר שהאשיק קשר נוצר אנו מקסטמים אותו ע"י הפקודה SET כדי להוסיף ערכים נוספים לאנשי הקשר שנוצרו.
-CustomAttribute5 $_.CustomAttribute5 - השדה CustomAttribute5 ישתמש במשתנה $_.CustomAttribute5 - תא G2 בקובץ EXCEL.
-CustomAttribute6 $_.CustomAttribute6} – השדה CustomAttribute6 ישתמש במשתנה $_.CustomAttribute6 - תא H2 בקובץ EXCEL.
יש לגשת ל management shell לנתב למסלול שבו נמצא הקובץ ולכתוב את שם הקובץ בתחביר הבא: (./contacts.ps1) כפי שבתמונה:
להלן התוצאות לאחר ייבוא קובץ הסקריפט: (firsname, lastname, displayname,alias,customattribute)
ניתן לעיין בעזרה בנושא פקודת ה import-csv, לשם כך יש להקליד את הפקודה הבאה באמצעות ה management shell :
get-help import-csv
להלן מאמר שימושי ליצירת משתמשים באמצעות management shell:
http://technet.microsoft.com/en-us/library/aa997663.aspx
בעת התקנות Rollup ו SP עבור שרת Exchange 2010 , ייתכן וניתקל בבעיות כגון:
* הפעלה מחדש של השרת באופן בלתי צפוי במהלך ההתקנה.
* במהלך ההתקנה מתבצע RollBack .
* לאחר מכן ניתן לראות שרשימת הסרביסים של ה Exchange הופכים למצב של Disabled (ההתקנה לא הספיקה להחזיר אותם למצב אוטומטי
ולהפעיל אותם מחדש).
באם מפעילים את תוכנית ההתקנה שוב, כאשר השירותים (Services) ב Disabled, ההתקנה מבצעת Rollback מכיוון שלא מצליחה להפעיל את השירותים (Services), משום שהם במצב של Disable.
הבעיה כנראה
הפתרון במקרה הבא הינו – המלצות להתקנה:
להפוך את השירות הבא (שרתי IBM) למצב DISABLED ולעצור אותו : IBM Automatic Server Restart Service for IPMI
היות והשירותים של שרת ה Exchange הפכו להיות DISABLED, נאלץ להחזירם למצב של Automatic ע"י הפקודות מטה, באם יש חשש שהשרת יבצע ריסט פעם נוספת, ניתן לבצע התקנה שהסרביסים אינם במצב STARTED (אך ב AUTOMATIC)
התקנת קובץ ה RollUp או ה SP באמצעות Command Prompt יש להפעיל את קובץ ה CMD עם הרשאות ! (באמצעות "Run as Administrator").
יש לוודא שתוכנות אנטי וירוס למיניהן לא מופעלות על השרת.
להלן הפקודות לשינוי מצב ה STARTUP של הסרביסים שהפכו להיות ב DISABLED לאחר ההתקנה הכושלת:
עבור שרתי CAS יש לבצע את הפקודות הבאות באמצעות ה Management Shell, פקודות אלה משנים את סטטוס השירותים הרלוונטיים למצב של Automatic, יש לשים לב לא להפעיל את הסרביס:
Set-Service "IISADMIN" -StartupType Automatic
Set-Service "MSExchangeADTopology" -StartupType Automatic
Set-Service "MSExchangeAB" -StartupType Automatic
Set-Service "MSExchangeFDS" -StartupType Automatic
Set-Service "MSExchangeFBA" -StartupType Automatic
Set-Service "MSExchangeImap4" -StartupType Manual
Set-Service "MSExchangeMailboxReplication" -StartupType Automatic
Set-Service "MSExchangeMonitoring" -StartupType Manual
Set-Service "MSExchangePop3" -StartupType Manual
Set-Service "MSExchangeProtectedServiceHost" -StartupType Automatic
Set-Service "MSExchangeRPC" -StartupType Automatic
Set-Service "MSExchangeServiceHost" -StartupType Automatic
Set-Service "RemoteRegistry" -StartupType Automatic
Set-Service "Winmgmt" -StartupType Automatic
Set-Service "W3SVC" -StartupType Automatic
עבור שרתי HUB יש לבצע את הפקודות הבאות באמצעות ה Management Shell, פקודות אלה משנים את סטטוס השירותים הרלוונטיים למצב של Automatic, יש לשים לב לא להפעיל את הסרביס:
Set-Service "MSExchangeADTopology" -StartupType Automatic
Set-Service "MSExchangeAntispamUpdate" -StartupType Automatic
Set-Service "MSExchangeEdgeSync" -StartupType Automatic
Set-Service "MSExchangeMonitoring" -StartupType Manual
Set-Service "MSExchangeProtectedServiceHost" -StartupType Automatic
Set-Service "MSExchangeServiceHost" -StartupType Automatic
Set-Service "MSExchangeTransport" -StartupType Automatic
Set-Service "MSExchangeTransportLogSearch" -StartupType Automatic
Set-Service "RemoteRegistry" -StartupType Automatic
Set-Service "Winmgmt" -StartupType Automatic
Set-Service "W3SVC" -StartupType Automatic
עבור שרתי MBX יש לבצע את הפקודות הבאות באמצעות ה Management Shell, פקודות אלה משנים את סטטוס השירותים הרלוונטיים למצב של Automatic, יש לשים לב לא להפעיל את הסרביס:
Set-Service "MSExchangeADTopology" -StartupType Automatic
Set-Service "MSExchangeIS" -StartupType Automatic
Set-Service "MSExchangeMailSubmission" -StartupType Automatic
Set-Service "MSExchangeMailboxAssistants" -StartupType Automatic
Set-Service "MSExchangeMonitoring" -StartupType Manual
Set-Service "MSExchangeRepl" -StartupType Automatic
Set-Service "MSExchangeRPC" -StartupType Automatic
Set-Service "MSExchangeSearch" -StartupType Automatic
Set-Service "wsbexchange" -StartupType Manual
Set-Service "MSExchangeServiceHost" -StartupType Automatic
Set-Service "MSExchangeSA" -StartupType Automatic
Set-Service "MSExchangeThrottling" -StartupType Automatic
Set-Service "MSExchangeTransportLogSearch" -StartupType Automatic
Set-Service "RemoteRegistry" -StartupType Automatic
Set-Service "Winmgmt" -StartupType Automatic
Set-Service "W3SVC" -StartupType Automatic
לאחר הפעלת הפקודות, ניתן להפעיל שוב את את העדכון הרצוי.
SCCM 2007 R3 מבוסס ברובו על הגדרות צריכת החשמל בארגון – Power Management ומאפשר לנו ליצור תבניות של הגדרות צריכת חשמל במחשבי הארגון בשעות ומחוץ לשעות השיא.
אנו יכולים באמצעות collections להחריג קבוצות מחשבים מסוימות, כדי שלא יקבלו את הגדרות הצריכת חשמל, כמו למשל חוות השרתים של הארגון.
בנוסף ניתן לראות דו"חות (באמצעות ה console) תחת ה reporting services בנושא כל הגדרות צריכת החשמל במחשבי הארגון.
כברירת מחדל לאחר התקנות המוצר, המערכת אינה מגדירה באופן אוטומטי את ערכת צריכת חשמל על מחשבים.
בפתרון זה, מי כמונו יודעים, ניתן לחסוך בצריכת החשמל הארגונית ולהגיע לחסכון משמעותי בעלויות האנרגיה בארגון, להלן היתרונות
(לקוח מ Wikipedia ערך Power Management):
* מקטין את כלל צריכת האנרגיה בארגון
* מאריך חיי סוללה של מחשבים ניידים
* מקטין את זמן פעולת קירור המעבד
* מפחית את הרעש
* מפחית את עלויות האנרגיה והקירור.
במאמר הבא, אסביר כיצד להטמיע את הפתרון:
את המאמר אחלק לשני חלקים:
חלק ראשון – הטמעת ערכת צריכת החשמל על מחשבים.
חלק שני – בניית דו"חות צריכת חשמל.
דרישות קדם:
התקנת SP2 עבור ה SCCM:
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=3318741a-c038-4ab1-852a-e9c13f8a8140&displaylang=en
התקנת ה hotfix הבא על השרת SCCM:
http://support.microsoft.com/kb/977384
בתהליך ההתקנה, הHOTFIX יוצר קובץ MSP להרחבה של הקליינט לתמיכה ב Power Management, ניתן להטמיע את העדכון ל Collection שבו אנו מעוניינים להגדיר את תוכנית ה Power.
לאחר התקנת המוצרים שלעיל, ניתן להתקין את גירסת ה R3, כרגע (תאריך 14.10.2010) ב Evaluation RTM, מנויים בעלי רישוי VLK ,יכולים להוריד את העדכון החל מתאריך ה 13.10.2010:
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=fc4ed1e9-2782-4321-b119-e53583eaff38
חלק ראשון – הטמעת ערכת צריכת החשמל על מחשבים:
הטמעת ה Power Management על מחשבים:
ניתן לגשת ל Site Database -> Site Management -> Site Name –> Site Settings -> Client Agents:
כאשר ה Site Name = שם ה SITE:
יש ללחוץ פעמיים על Power Management Client Agent ולאפשר Power Management, במצב הזה, האג'נטים בתחנות יתמכו בשינויי ערכת צריכת החשמל שיוגדרו ב SCCM בתנאי שה PACKAGE שנוצר ע"י ה HOTFIX 977384 יותקן בהם:
לאחר התקנת ה HOTIX שמספרו 977384 נוצר ה Package הבא:
יש לשים לב שב Programs, הברירת מחדל של ההתקנה בוחרת להפעיל מחדש את המחשב, במקרה הזה, בחרתי לבחור No Action Required
ניתן לבנות Collection לצורך הבדיקה, לאחר בניית ה Collection, קליק ימני על אותו Collection ובחירה ב Modify Collection Settings מאפשרת לנו לשנות את הגדרות צריכת החשמל, במקרה זה יצרתי COLLECTION שנקרא TEST, כל מחשב שחבר ב Collection יקבל את הגדרות צריכת החשמל:
כברירת מחדל צריכת החשמל אינה מופעלת:
אנו נבחר ב Specify Power Management Settings for this collection.
ניתן לבנות ערכת צריכת חשמל בשעות השיא (שעות העבודה) וכמו כן ניתן לבנות ערכת צריכת חשמל בשעות מחוץ לעבודה.
כברירת מחדל שעות מוגדר ששעות השיא הינן בשעות 09:00 בבוקר עד 17:00.
סימנתי זמן להערת המחשב בשעה 03:00 בבוקר.
ניתן לבחור בערכות צריכת החשמל המתאימות עבורנו ולאופי הארגון:
לחיצה על View מאפשרת לנו להגדיר לפי בחירתנו:
תוצאות ההטמעה תחת Windows 7:
לאחר ארבעת הפעולות הבאות, ניתן לראות ערכת צריכת חשמל שמיובאת ע"י ה SCCM הנקראת (Balances (ConfigMgr
* הטמעת הרחבה לקליינט (ע"י ה Package שנוצר)
* אפשור ה Agent של ה Power Management
* הפצת ה Package על המחשבים.
* קביעת הגדרת תבנית צריכת החשמל
לחיצה על change plan settings, מראה לנו את ההגדרות שהגדרנו ב SCCM:
לחיצה על Change Advaned Power Settings, נותנת לנו את ההגדרות בפירוט עבור כל רכיב:
תוצאות ההטמעה תחת Windows XP:
כך זה נראה על גבי מערכות הפעלה XP (ניתן להטמיע גם במערכות SP2 של XP):
חלק שני – בניית דו"חות צריכת חשמל:
הגדרת Reporting Services Point:
ראשית במידה ולא מוגדר Reporting Services Point, יש להגדיר את ה Role על אחד השרתים,
להלן הפעולות שצריך לבצע על מנת להגדיר את ה Role:
ניתן לגשת ל Site Database -> Site Management -> Site Name –> Site Settings –> Site Systems:
כאשר ה Site Name = שם ה SITE:
ללחוץ על new –> Server
ניתן לכתוב את שם השרת ואת שמו המלא (FQDN) של שרת שמחזיק Reporting Server ואז ללחוץ על Next:
ניתן לסמן Reporting Services Role
לבחור שם לתיקיית ה Report
יש ללחוץ על Next ועל Finish לסיום:
ייבוא דו"חות מקובץ ה CAB:
יש לנווט ל Reporting ולאחר מכן ל Reporting Services שם נלחץ קליק ימני על השרת שמחזיק את ה Role ולאחר מכן נבחר Copy Reports to Reporting Services:
יש לבחור את שם השרת שמחזיק את ה DB של ה SCCM ולציין את שם ה DB:
ניתן לציין שם + סיסמא לכניסה בעל הרשאות לכניסה ל Reporting Server:
יש לבחור Import Report Definition Language Files From Microsoft Signed Cabinet File.
לאחר מכן ניתן ללחוץ על Browse ולנתב לתקייה הבא על מנת לייבוא את קובץ ה CAB:
(במידה ומערכת ההפעלה 64 ביט ומבוססת wow):
C:\Program Files (x86)\Microsoft Configuration Manager\Reports\Power Management
יש לבחור את קובץ ה Cab וללחוץ Open:
להלן כל הדו"חות שאנו נייבא מקובץ ה Cab, יש ללחוץ על Next ועל Finish:
בכניסה ל Repoorting -> Reporting Services ניתן לראות את הדו"חות.
להרצת דו"ח ספציפי יש ללחוץ קליק ימני על אותו דו"ח וללחוץ על Run.
כאמור כמדי חצי שנה אנו נאלצים לשנות את מחוגי השעון בהתאם לפי חוק קביעת הזמן (1992),
תיקון לחוק יצא בשנת 2005, להלן פירוט על מועדי שעון הקיץ והחורף:
http://he.wikipedia.org/wiki/%D7%A9%D7%A2%D7%95%D7%9F_%D7%A7%D7%99%D7%A5
להלן מאמר מקצועי של מיקרוסופט אשר מדבר על השלכות השעון ועל הטמעתו בתחנות העבודה ובשרתים:
https://www.microsoft.com/israel/support/tips/other/DaylightSavingTime.aspx
במאמר אדגים כיצד ליצור שאילתה ובניית Collection באמצעות ה SCCM לצורך גילוי אותם מחשבים / שרתים אשר בהם לא הותקן העדכון.
עריכת קובץ ה MOF ע"ג השרת עבור גילוי של עדכונים אוטומטיים המותקנים על מחשבים / שרתים:
ראשית, לצורך בניית שאילתה לגבי עדכוני DST ועדכונים בכלל, אשר אינם מותקנים במחשב, עלינו לערוך את הקובץ sms_def.mof ע"ג השרת, קובץ זה נמצא במסלול הבא (ע"ג מערכות 64 ביט) :
C:\Program Files (x86)\Microsoft Configuration Manager\inboxes\clifiles.src\hinv
ניתן לגשת ל CLASS של QUICK_FIX_ENGINEERING ולשנות את ה FALSE ל TRUE.
יש לקחת בחשבון את האזהרה בקובץ ולהתייחס למאמר הבא ולעדכון המוצע:
http://support.microsoft.com/kb/279225
ראשית מומלץ לגבות את קובץ ה MOF המקורי.
להלן הערכים לאחר שינוי קובץ ה MOF.
[ SMS_Report (TRUE),
SMS_Group_Name ("Quick Fix Engineering"),
SMS_Class_ID ("MICROSOFT|QUICK_FIX_ENGINEERING|1.0") ]
class Win32_QuickFixEngineering : SMS_Class_Template
{
[SMS_Report (TRUE) ]
string Caption;
[SMS_Report (TRUE) ]
string Description;
[SMS_Report (TRUE) ]
string FixComments;
[SMS_Report (TRUE), key]
string HotFixID;
[SMS_Report (TRUE) ]
datetime InstallDate;
[SMS_Report (TRUE) ]
string InstalledBy;
[SMS_Report (TRUE) ]
string InstalledOn;
[SMS_Report (TRUE) ]
string Name;
[SMS_Report (TRUE), key]
string ServicePackInEffect;
[SMS_Report (TRUE) ]
string Status;
};
יש צורך לבדוק על השרת את נושא גילוי המצאי באם הוא מאופשר
ניתן לגשת ל Site Database-> Site Management -> Site Name -> Site Settings-> Client Agents.
כאשר ה Site Name הינו שם ה Site.
ללחוץ פעמיים על Hardware Inventory Client Agent.
![clip_image002[4]](http://blogs.microsoft.co.il/blogs/haiml/clip_image0024_thumb_5A82D412.jpg "clip_image002[4]")
יש לבדוק אם גילוי מצאי החומרה פעיל, יש לשים לב לזמנים (Schedule) ולשנות לפי רצונכם ולא כפי שמוצג בתמונה:
![clip_image003[4]](http://blogs.microsoft.co.il/blogs/haiml/clip_image0034_thumb_5E482AF5.jpg "clip_image003[4]")
ניתן לבצע את הפעולה הבאה על מחשב לצורך הבדיקה:
חשוב לציין שפעולות אלו הינן פעולות ידניות אשר אין אנו חייבים לבצע, ניתן לחכות לעדכון המצאי של התחנות מול השרת ולאחר מכן לבדוק את מצאי החומרה בנושא ה QUICK_FIX_ENGINEERING.
ניתן לייבא את קובץ הMOF מהשרת ע"י הפקודה הבאה (פעולה זו מבוצעת אוטומטית משרת ה SCCM):
MOFCOMP.EXE \\SERVER\sitecode\inboxes\clifiles.src\hinv\SMS_Def.mof
כאשר SERVER – שם שרת ה SCCM
כאשר sitecode הינו שם של התקייה שמציינת את ה Site Code.
(איפוס ה CACHE של מצאי החומרה):
http://msdn.microsoft.com/en-us/library/cc144592.aspx
בנוסף ניתן ע"י פעולה ידנית:
יש לגשת להתחל –> הפעלה ולהקליד WbemTest.
ללחוץ על Connect :
לכתוב ב NameSpace את root\ccm\invagt ושוב ללחוץ על Connect.
ללחוץ על EnumClasses…
ללחוץ על Recursive ולאחר מכן על OK.
ללחוץ פעמיים על InventoryActionStatus :
ללחוץ על Instances בצידו הימני של הדף:
למחוק את Instance:InventoryActionStatus.InventoryActionID = "{00000000-0000-0000-0000-000000000001}"
להיכנס ללוח הבקרה (במחשב הבדיקה) ולאחר מכן על Configuration manager:
בלשונית Actions יש ללחוץ על Hardware Inventory Cycle ואז על Initiate Action
פעולת המערכת לעדכון מצאי החומרה מול השרת:
נחכה כמה דקות ולאחר מכן ניכנס ל resource explorer של אותו מחשב על מנת לזהות את העדכונים המותקנים בו (קליק ימני על המחשב ברשימת ה Collections ולאחר מכן לחיצה על Resource Explorer):
יש לשים לב שטבלת ה HotFixID מציינת את מס' העדכון, אנו נתייחס לכך בשאילתה עצמה:
הכנת QUERY עבור עדכונים אשר אינם מותקנים (ניתן להגדיר Limit to Collection עבור קבוצה של שרתים או מחשבים):
להלן שאילתה עבור הצגת ה CLASSES הבאים:
שם מחשב + כתובת אייפי של מחשב + עדכון הSP המותקן (CSD) עבור מחשבים שבהם לא מותקנים אחד מהעדכונים הבאים:
KB976098
KB979306
KB981793
יש לגשת ל Queries קליק ימני ולאחר מכן New –> Query
ב Name יש לכתוב את שם ה Query, ניתן גם לתחום את קבוצת המחשבים (Limit to Collection):
ניתן כעת ללחוץ על Edit Query Statement:
בחלון שנפתח יש ללחוץ על Show Query Language ורצוי ללחוץ על Omit duplicate rows:
יש למחוק את הכיתוב ולהדביק את התחביר הבא ולאחר מכן ללחוץ על OK:
select distinct SMS_R_System.Name, SMS_R_System.IPAddresses, SMS_G_System_OPERATING_SYSTEM.CSDVersion from SMS_R_System inner join SMS_G_System_COMPUTER_SYSTEM on SMS_G_System_COMPUTER_SYSTEM.ResourceID = SMS_R_System.ResourceId inner join SMS_G_System_OPERATING_SYSTEM on SMS_G_System_OPERATING_SYSTEM.ResourceID = SMS_R_System.ResourceId where SMS_G_System_COMPUTER_SYSTEM.Name not in (select SMS_G_System_COMPUTER_SYSTEM.Name from SMS_R_System inner join SMS_G_System_COMPUTER_SYSTEM on SMS_G_System_COMPUTER_SYSTEM.ResourceID = SMS_R_System.ResourceId inner join SMS_G_System_QUICK_FIX_ENGINEERING on SMS_G_System_QUICK_FIX_ENGINEERING.ResourceID = SMS_R_System.ResourceId where SMS_G_System_QUICK_FIX_ENGINEERING .HotFixID like "%KB976098%") and SMS_G_System_COMPUTER_SYSTEM.Name not in (select SMS_G_System_COMPUTER_SYSTEM.Name from SMS_R_System inner join SMS_G_System_COMPUTER_SYSTEM on SMS_G_System_COMPUTER_SYSTEM.ResourceID = SMS_R_System.ResourceId inner join SMS_G_System_QUICK_FIX_ENGINEERING on SMS_G_System_QUICK_FIX_ENGINEERING.ResourceID = SMS_R_System.ResourceId where SMS_G_System_QUICK_FIX_ENGINEERING .HotFixID like "%KB979306%") and SMS_G_System_COMPUTER_SYSTEM.Name not in (select SMS_G_System_COMPUTER_SYSTEM.Name from SMS_R_System inner join SMS_G_System_COMPUTER_SYSTEM on SMS_G_System_COMPUTER_SYSTEM.ResourceID = SMS_R_System.ResourceId inner join SMS_G_System_QUICK_FIX_ENGINEERING on SMS_G_System_QUICK_FIX_ENGINEERING.ResourceID = SMS_R_System.ResourceId where SMS_G_System_QUICK_FIX_ENGINEERING .HotFixID like "%KB981793%")
ניתן לראות את ה Classes שיופיעו בעת הפעלת ה Query ולאחר מכן ללחוץ על Criteria:
חלון הפילטר (Criteria) שבו אנו מגדירים מה אנו רוצים כמו למשל הצגת המחשבים אשר העדכון לא הותקן בהם:
הסוג של השאילתה הוא מסוג SubSelected והפעולה עבור מחשבים אשר העדכון לא קיים בהם (is not in):
יצירת Collection להפצת העדכון עבור מחשבים / שרתים שבהם לא מותקן עדכון שעון הקיץ:
ניתן ללחוץ קליק ימני על Collections ולאחר מכן New Collection
ניתן למלא ב Name את שם ה Collection וללחוץ על Next:
ניתן ללחוץ על אייקון ה Query (הצהוב) לייבוא ה Query ל Collection:
להלן ה Query, יש ללחוץ על OK.
ניתן להזין שם ל Rule:
ניתן להגדיר זמן ((Schedule לעדכון ה Collection, לאחר מכן ללחוץ על Next:
ושוב על Next:
לחיצה על Close לסגירת האשף.
במידה ואנו מעוניינים להפיץ את העדכון על אותם מחשבים / שרתים ניתן בכמה דרכים
(לא אדגים במאמר זה), להלן 2 דרכים :
1. הטמעה באמצעות ה Software Updates המובנה באמצעות ה SCCM
2. הטמעה באמצעות הכנת Package ו Advertisement עבורו לאותו Collection שיצרנו.
במאמר אדגים כיצד להתקין Configuration Manager v.next Beta 1 וכמו כן ניכנס לתוכנת הניהול של המוצר ונתרשם מהתכונות.
הסבר קצר על המוצר:
המוצר הינו מוצר ניהול מבית מיקרוסופט אשר מנהל מערכות הפעלה ברמת עדכוני תוכנה, הפצות תוכנה, שליטה מרחוק, התקנות מערכות הפעלה באמצעות PXE, מצאי חומרה ותוכנה, כל זאת ניתן לראות ע"י דו"חות WEB-יות וע"י תוכנת הניהול של המוצר.
המוצר הינו מחבילת ה system center והוא יחליף את המוצר הקיים (configuration manager 2007 – code name V4).
מיקרוסופט החלה לשווק את המוצר מגירסא 1.0 בסביבות דומיין NT, שמו של המוצר לשעבר: System Management Server,
לאחר מכן יצאו לשוק גירסאות ה 2.0, 2003 2007.
בשנת 2007 המוצר שינה את שמו ל system center configuration manager והינו כחלק מחבילת ה system center.
בשנת 2011 מיקרוסופט אמורה להוציא לשוק את הגירסה החדשה V.next, הממשק במוצר החדש שונה לחלוטין ממה שהכרנו עד עתה.
ניתן לעיין כאן על התכונות החדשות ועל המוצר בכלל:
http://www.microsoft.com/systemcenter/en/us/configuration-manager/cm-vnext-beta.aspx
התקנת המוצר:
הכנת המערכת הפעלה עבור המוצר:
יש לקרוא בעיון כיצד להכין את המערכת ההפעלה עבור התקנת המוצר ולהתקנת ה Prerequisies עוד לפני התקנה המוצר:
http://technet.microsoft.com/en-us/library/cc431377.aspx#RDC_for_Site_Servers
דגשים:
יש לקחת בחשבון התקנת IIS, BITS, Remote Differencial Compression ולאפשר את ה 8.3 naming convention במידה ואינו מאופשר.
כמו כן להתקין את ה cumulative update האחרון עבור שרת ה SQL וזאת לאחר התקנת SP אחרון:
כאן אנו מאפשרים את ה BITS:
כאן אנו מאפשרים את ה Remote Differencial Compression.
יש לאפשר את ה 8.3 naming convention עבור שמות קבצים ארוכים ולתווים מיוחדים, כלומר לשנות את הערך הבא ל 0
NtfsDisable8dot3NameCreation
ניתן לעיין בלינק הבא ובתמונה:
http://technet.microsoft.com/en-us/library/cc959352.aspx
אנו נדגים התקנה של ה Primary Site.
התקנת ה Central Administration Site (CAS) – לא חובה להתקין !!
במידה והינכם מתקינים CAS, מומלץ להתקין על חומרה אחרת, ואם אפשר גם עלDB אחר, ה CAS נועד בעיקר עבור:
* משמש אך ורק לצרכי ניהול ודו"חות.
* ניהול מרכזי של יותר מ primary site אחד.
* להקל על עבודת ה primary site מבחינת עומסים של דו"חות, ניהול.
* מטרות של מיגרציה בין sites.
התקנת ה CAS דומה מאוד להתקנה שאדגים ואין אופציות מיוחדות בהתקנה.
על מנת לחסוך זמן בהליך ההתקנה, ההמלצה שלי להוריד מראש את ה prerequisites עבור ה SCCM, להלן הפקודה להורדת הקבצים:
C:\v.next\SMSSETUP\BIN\X64\setup.exe /DOWNLOAD C:\v.next\Prerequisites.
* כאשר תקיית ההתקנה הינה C:\v.next\SMSSETUP\BIN\X64\.
* בחרתי להוריד את הקבצים לתקייה הבאה: C:\v.next\Prerequisites
להלן תהליך הורדת קבצי ה prerequisites :
להלן קבצי ה prerequisites, כמובן שבהתאם לסוג המערכת ההפעלה, ייתכנו ויורדו קבצים נוספים:
לחיצה על הקובץ splash לתחילת ההתקנה:
התקנת ה Primary Site.
לחיצה על INSTALL לתחילת ההתקנה:
בתמונה הבאה, חשוב לקרוא את הכיתוב לפני ההתקנה ולוודא את ארבעת הסעיפים הבאים:
* האם קיים שרת SQL?
* האם ידוע שמו של שרת ה SQL?
* לעבור על ה release notes.
* האם מערכת ההפעלה עומדת בדרישות ההתקנה?
במידה וכל הסעיפים בוצעו, ניתן להמשיך בתהליך ההתקנה ע"י לחיצה על Next.
כאן אנו בוחרים Primary Site Server :
להלן תנאי הרישיון, יש לסמן I Accept these license terms וללחוץ על Next.
בחירת קבצי ה Prerequisites, מכיוון שהורדנו אותם בשלב הראשון יש לנתב אליהם ע"י לחיצה על Browse, וללחוץ על The latest updates have already been downloaded to alternate location ולאחר מכן על next.
הליך אימות הקבצים
בחירת Site Code, Site name, Installation Folder, במקרה הזה בחרתי ב A00 כ SITE CODE וה SITE NAME יקרא SCCM-SITE.
מיקום קבצי ההתקנה, השארתי כברירת מחדל.
אנו נתקין את ה Primary Site בנפרד:
מצב התקנה- במקרה הזה אני בוחר בהתקנת MIXED לסביבת המעבדה, כמובן שבסביבת פרודקשן יש לשקול היטב באם מתקינים ב Native Mode או ב Mixed Mode, ההמלצה מטעמי אבטחה לעבוד ב Native עם תעודה:
יש לציין שם שרת SQL , שם ה DB המוצע הינו כשם ה SITE CODE, במקרה זה התקנתי SQL EXPRESS ולכן ה INSTANCE הינו SQLEXPRESS:
ניתן לכתוב את שם השרת בהגדרת ה Provider:
הגדרת Management Point ו Distribution Point :
להלן הכלים שינוהלו ע"י ה SCCM.
אני בוחר להשתתף בתוכנית (CEIP):
להלן כל ההגדרות שבחרנו במהלך אשף ההתקנה, יש לאשר ע"י לחיצה על Next:
להלן בדיקת כל התנאים המוקדמים להתקנה (Prerequisites), לאחר הבדיקה יש ללחוץ על Begin Install:
להלן תהליך המשך ההתקנה :
ניתן לראות שכל הרכיבים הותקנו, לאחר מכן יש ללחוץ על Next:
לסיום ההתקנה יש ללחוץ על Finish:
הצצה קטנה ל V.next:
ניתן להיכנס ל CONSOLE:
ה V.next מסודר לפי ארבעה תפריטים, אשר בכל תפריט ניתן לראות את הכלים המשוייכים אליו:
תפריט ADMINISTRATION:
Site Hierarchy – הגדרות Boundaries (סגמנטים), Senders.
Site Operations - שם ניתן להגדיר את ה Sites, Site Roles, בהגדרות ה Sites ישנם טאבים למטה (בתמונה), אשר ניתן להגדיר בין היתר את ה Discovery Methods, את ה Client installation Settings להפצת האג'נט ע"י PUSH:
Security and Permissions - ניתן להוסיף הרשאות למשתמשים על רכיבים מסויימים ב SCCM.
תפריט ה Software Library:
Application Managemet - אחראי על נושא הפצות התוכנה (Applications) ובניית חבילות התקנה להפצה (Packages).
Software Updates – עדכונים עבור מערכות ההפעלה באמצעות שילוב של WSUS בתוכו. (windws updates).
Operating Systems – הפצות / הטמעות מערכות הפעלה באמצעות PXE.
תפריט ה Monitoring:
OverView – בניית שאילתות, דו"חות.
System Status – בדיקת ה Health של השרת.
Deployment – לוג האם ההפצות הצליחו / נכשלו.
Client Status – לוג לגבי מערכות ההפעלה, תקינותם פעילותם.
תפריט ה Assets and Compliance:
OverView – ניתן לראות ברשימה אחת את רשימת המשתמשים + מחשבים + שרתים.
Collection Members – ניתן ליצור Collections פי Query, מיון לפי קבוצות של מערכות הפעלה.
שם ניתן לראות את רשימת ה Collections - קבוצות המערכות הפעלה אשר זוהו מה AD , קבוצות המשתמשים, משתמשים.
Software Inventory – מצאי תוכנה, עוזר בנושא של ניהול הרישוי, כמות התוכנות המותקנות.
Software Metering – ניתן לבצע Audit על תוכנות מסויימות אם וכמה זמן אותן תוכנות בשימוש ע"י תחנות העבודה + שרתים.
יכולות ה REMOTE CONTROL השתכללו, להלן היכולות החדשות:
שליטה באמצעות פרוטוקול RDP.
יכולת שליטה על תחנה כאשר התחנה ב LOG OFF.
ניתן להעתיק ולהדביק (העברת Clipboard) על המחשב שאנו משתלטים.
תודתי נתונה לחברי רן אורן, על הקמת הסביבה הוירטואלית ועל התקנות השרת + מערכות ההפעלה לסביבת המעבדה.
נעזרתי בבלוג של Hey, Scripting Guy:
http://blogs.technet.com/b/heyscriptingguy/archive/2006/03/22/how-can-i-get-a-list-of-all-the-users-who-have-an-alternate-recipient.aspx
בבלוג שלעיל ישנו סקריפט אשר מייצא לנו את אותם משתמשים בעלי Forward לתיבה חיצונית כלשהי.
altrecipient = Alternate Recipient – שדה ה Forward אשר בנוי מכתובת ה CN של אותו Contact שאליו אנו מעבירים את הדואר:
להלן הסקריפט:
On Error Resume Next
Const ADS_SCOPE_SUBTREE = 2
Set objConnection = CreateObject("ADODB.Connection")
Set objCommand = CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection
objCommand.Properties("Page Size") = 1000
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE
objCommand.CommandText = _
"SELECT Name, altRecipient FROM 'LDAP://dc=fabrikam,dc=com' WHERE objectCategory='user' " & _
"AND altRecipient='*'"
Set objRecordSet = objCommand.Execute
objRecordSet.MoveFirst
Do Until objRecordSet.EOF
Wscript.Echo objRecordSet.Fields("Name").Value, objRecordSet.Fields("altRecipient").Value
objRecordSet.MoveNext
Loop
יש לשנות את ה 'LDAP://dc=fabrikam,dc=com' בסקריפט לשם הדומיין שלכם.
לאחר יצירת הסקריפט, ניתן לייצא אותו לקובץ TXT ע"י הפקודה הבאה:
cscript 1.vbs //U > haim.txt
כאשר קובץ haim.txt הינו קובץ ה txt שאליו אנו מייצאים:
הסימון //U מייצא את הפונטים בעברית.
לאחר הייצוא לקובץ TXT יש לפתוח את הקובץ באמצעותה NotePad ולשמור את אותו קובץ כ UTF-8 על מנת שנוכל לפתוח אותו ב EXCEL ולראות פונטים בעברית:
חובה להיכנס ל Excel ולפתוח את קובץ ה CSV באמצעות ה Excel, יש לבחור בסוג קובץ מופרד ולאחר מכן בכותבת מפרידים לבחור בטאב, על מנת להגדיר את העמודות, יש לשים לב שפתיחה באמצעות windows explorer תציג את הקובץ בצורה לא מסודרת:
במאמר הבא אדגים כיצד יוצרים Query עבור שדות נוספים ב AD, במקרה זה אדגים לגבי 3 שדות:
1. שדה ה User Logon Name (ב SCCM השאילתה המובנת היא לגבי שדה הpre-windows 2000)
2. CustomAttribue1
3. CustomAttribute10.
על מנת לזהות את שמות השדות, נוכל לייצא את כל האובייקטים של ה AD ובכך לראות את שמות כל השדות של ה AD, שמהן נבחר את אותם שדות שברצוננו ליצור שאילתה לגביהם ב SCCM, נשתמש לשם כך בפקודת ה csvde לייצוא האובייקטים מה AD:
כאשר ה domain.com הינו שם הדומיין:
csvde -d "DC=domain,DC=com" -f c:\haim.csv
לאחר הייצוא נזהה את שמות השדות:
עבודה מול תוכנת הניהול של ה SCCM:
תחילה יש להגדיר את הסוויצ' עבור שפת ה Locale כך שתהיה עברית,לרשימת ה LocaleID המיוצגת ע"י מיקרוסופט:
http://msdn.microsoft.com/en-us/goglobal/bb964664.aspx
עבור השפה העברית, כך שתצוגת השמות בעברית תופיע בעברית, באמצעות תוכנת ניהול של ה SCCM, יש להשתמש בסוויצ' הבא (ניתן להוסיף את השורה /SMS:providerlocale=040d לקיצור דרך של ממשק הניהול הקיים):
עבור מערכות הפעלה 64 ביט:
"C:\Program Files (x86)\Microsoft Configuration Manager\AdminUI\bin\adminconsole.msc" /SMS:providerlocale=040d
עבור מערכות הפעלה 32 ביט:
C:\Program Files\Microsoft Configuration Manager\AdminUI\bin\adminconsole.msc" /SMS:providerlocale=040d
כעת נפתח את תוכנת הניהול וניגש ל Discovery Methods:
Site Database -> Site Management -> Site Name -> Site Settings -> Discovery Methods
נלחץ פעמיים על Active Directory User Discovery:
ניגש לשדה ה Active Directory attribute
כעת נוסיף את השדות (אחד אחרי השני) ע"י לחיצה על האייקון הצהוב, יש לאשר ע"י לחיצות על OK.
כעת ניגש ללשונית Polling Schedule ונבצע גילוי ידני ע"י לחיצה על Run Discovery as soon as possible:
כעת ניתן ליצור Query.
נקרא ל Query בשם, ב Object Type נבחר User Resource לאחר מכן נלחץ על Edit Query Statement:
יש להוסיף את השדות שברצוננו לבצע שאילתה לגביהם ע"י לחיצה על האייקון הצהוב:
יש ללחוץ על Select
לבחור ב User Resource וכאן ניתן לראות את השדות שהוספנו: (UserPrincipalName, ExtensionAttribute1, ExtensionAttribute10):
לאחר הוספת השדות, נלחץ על OK:
בזמן ביצוע השאילתה, נוכל לראות את השדות ואת תוכנם:
ייצוא ל CSV:
באמצעות קליק ימני על ה Query ולאחר מכן View –> Export list ניתן לייצא לקובץ CSV
יש לשים לב שבוחרים באופציה של Unicode Text (comma delimited) (*.csv).
חובה להיכנס ל Excel ולפתוח את הקובץ באמצעות ה Excel, יש לבחור בסוג קובץ מופרד ולאחר מכן בכותבת מפרידים לבחור בטאב, על מנת להגדיר את העמודות, יש לשים לב שפתיחה באמצעות windows explorer תציג את הקובץ בצורה לא מסודרת.
דרך ראשונה – שימוש באופציה של Software Instllaton :
ב GPO ברמת ה Software Installation לא כל מוצר נועד להפצה בדרך זו, ולכן המוצר לא רושם את הסיומות במאפייני המוצר תחת ה Software Installation, במקרה הזה לא נוכל להשתמש באופציה של ההתקנה אוטומטית בעת לחיצה על סיומת הקובץ.
אציג כאן דרך לרישום המוצר ע"י עריכה באמצעותADSIEDIT .
אתן דוגמא למוצר Acrobat Reader של חברת Adobe.
על מנת להפיץ את המוצר יש צורך להמיר את קובץ ההתקנה של ה Reader לקובץ עם סיומת MSI.
אין צורך בתוכנה צד שלישי לצורך פעולת ההמרה.
במאמר זה, אדגים את הפריסה על מוצר מגירסא 9.33.
נעזרתי במאמר הבא לצורך הפריסה, ניתן לעיין גם כאן:
http://kb2.adobe.com/cps/404/kb404146.html
בגדול כל מה שעלינו לבצע, לאחר הורדת קובץ ההתקנה של ה Reader, זה להעתיק את הקובץ על שולחן העבודה ולהשתמש בארגיומנט –nos_ne, להלן הפקודה:
"%UserProfile%\Desktop\AdbeRdr933_en_US.exe" -nos_ne
להלן תהליך הפריסה:
לאחר הפריסה, יש לנווט לתקייה הבאה ושם ניתן למצוא את קובץ ה MSI.
%UserProfile%\Local Settings\Application Data\Adobe\Reader 9.3\Setup Files
יש לפתוח את ה Group Policy Management Console באמצעות הפקודה Gpmc.msc.
ניתן לנווט ל user configuration -> policies –> software settings
ללחוץ קליק ימני על Software Installation ולאחר מכן ללחוץ על new -> package
יש לבחור באופציה של Publish.ולנווט לקובץ ה MSI שיצרנו:
%UserProfile%\Local Settings\Application Data\Adobe\Reader 9.3\Setup Files
יש ללחוץ קליק ימני על Software Installation ולאחר מכן Properties.
ניגש ל File Exensions, כאן ניתן לראות שאין סיומת כלשהי שמשיוכת תוכנה.
כעת נוסיף את הסיומת עבור קבצי PDF כך שיפתחו ע"י Acrobat Reader.
לצורך כך, נשתמש באמצעות ADSIEDIT.
יש לגשת ל Details של אותו GPO כדי לוודא את ה ID שלו, במקרה הזה ה ID הינו:
{A83F796B-D72A-424C-ABFD-733748A971F4}
כעת ניכנס ל ADSIEDIT.MSC על מנת לזהות את הפוליסי.
יש לנתב ל:Default Naming Context ולהרחיב את הדומיין.
לאחר מכן לנתב ל system -> policies ולבחור את ה GUID של הפוליסי.
ניתן להרחיב את User (הפוליסי שיצרנו הוא ברמת ה User Configuration), ולנווט ל Class Store -> Packages.
בצד ימין אנו רואים את ה PackageRegistration, יש ללחוץ עליו קליק ימני ולאחר מכן Properties.
ניתן לוודא דרך Display Name אם מדובר על ה Package המתאים:
יש לנווט ל fileExtPriority:
ולהוסיף את הסיומת בצורה הבאה:
.pdf: 0
כפי שבתמונה:
ניכנס לפוליס מחדש, נלחץ קליק ימני על Software Installation, נלחץ על Properties ונראה את התוצאה הבאה:
יש לוודא שבמאפיינים של ה Package בלשונית Deployment מסומן ב V:
Auto-install this application by file extension activation
דרך שניה - התקנה באמצעות Group Policy Preferences :
יש לוודא שהסכמה מורחבת ל 2008 ומעלה ושמותקן לפחות DC אחד 2008 בארגון.
במערכות הפעלה של windows xp יש להתקין את העדכונים הבאים עבור ה Client Side Extensions:
http://support.microsoft.com/kb/915865 – עדכון מקדים לחבילת ה Client Side Extansions
http://support.microsoft.com/kb/943729 – עדכון ה Client Side Extansions
ניתן לנווט ל: User Configuration -> Preferences -> Control Panel Settings.
לחיצה ימנית על Folder Options -> new ולאחר מכן Open With:
יש להזין את ה File Extensions ואת את Associated Program.
חובה לגשת לטאב של ה Common ולסמן Apply Once and do not reapply
חשוב לי לציין שהמאמר שאני מציג לא נתמך ע"י מיקרוסופט, המאמר מתאר הוספה של GUID נוסף על מנת לשחזר את האייקון המקורי על גבי שולחן העבודה.
ניתן להוסיף את האייקון באחת משתי השיטות הבאות:
1. פעולה ידנית של הוספת מפתחות וערכים לרג'יסטרי
2. פעולה אוטומטית ע"י לחיצה על קובץ REG שמבצעת את הפעולה, בהמשך המאמר.
בגירסאות קודמות של ווינדוס יכולנו לשחזר את האייקון ע"י המאמר הבא, אך הוא אינו עובד תחת ווינדוס 7 ומיקרוסופט אף מציינת זאת:
http://support.microsoft.com/kb/945402
"Important Windows 7 no longer supports the ability to modify the registry to get the special Internet Explorer icon to appear on your desktop. This change was made to ensure Internet Explorer could be removed easily for compliance reasons. The only way to add the Internet Explorer icon to the desktop in Windows 7 is to create a shortcut"
לאחר נסיונות של הוספת ה GUID הבא והוספת הרשאות OWNER למפתחות ברג'יסטרי לא ניתן עדיין לראותו על גבי שולחן העבודה, להלן ה GUID שמציין את המוצר של ה Internet Explorer:
{871C5380-42A0-1069-A2EA-08002B30309D}
הפתרון שלי הוא שכפול ה GUID ל GUID אחר והוספתו של ה GUID האחר על גבי שולחן העבודה לאחר הוספת המפתח שלו לערך הבא:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace
נתחיל בפעולת הייצוא של ה GUID המקורי, יש לנווט את המפתח הבא ולשמור את הקובץ:
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
יש לערוך באמצעות NOTEPAD את הקובץ שיצרנו ולשנות את שם ה GUID הקיים ל GUID החדש, ל GUID החדש אני קורא:
871C5380-42A0-1069-A2EA-08002B30308D
יש לפתוח את הקובץ ה REG באמצעות NOTEPAD ולגשת ל Edit –> Replace ולהחליף את כל הערכים והמפתחותהבאים:
871C5380-42A0-1069-A2EA-08002B30309D
לערכים ולמפתחות הבאים:
871C5380-42A0-1069-A2EA-08002B30308D
לאחר ההחלפה יש לנווט לשורה הבאה
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\Shellex\ContextMenuHandlers\ieframe]
@="{871C5380-42A0-1069-A2EA-08002B30308D}"
ולשנות את הערך בשורה השניה (מודגש) : @="{871C5380-42A0-1069-A2EA-08002B30308D}"
לערך הבא: @="{871C5380-42A0-1069-A2EA-08002B30309D}"
על מנת לראות במאפיינים של האייקון את האופציה start Home Page , יש למחוק את השורה של Legacy Disable (מודגש): [HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\shell\OpenHomePage]
@="Open &Home Page"
"LegacyDisable"=""
לשינוי שם האייקון על גבי שולחן העבודה יש לגשת למסלול הבא:
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}]
"InfoTip"="@C:\\Windows\\System32\\ieframe.dll,-881"
"LocalizedString"="@C:\\Windows\\System32\\ieframe.dll,-5723"
ולשנות את הכיתוב הבא (מודגש): @C:\\Windows\\System32\\ieframe.dll,-5723 ל Internet Explorer או לכל שם אחר שתרצו.
להוספת הכיתוב properties באמצעות קליק שמאלי על האייקון שנמצא על גבי שולחן העבודה:
יש לגשת למסלול הבא:
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\shell
לחיצה ימנית על Shell ויצירת מפתח (KEY) הנקרא Properties
מיקום הכיתוב Properties בתחתית ה Context Menu:
יש ליצור String Value עבור Properties כך שהאופציה תופיע בתחתית התפריט (context menu) בעת קליק ימני.
יש ללחוץ על properties –> new –> String Value:
יש ללחוץ על New Value #1 ולשנות את הערכים בהתאם לתמונה הבאה, כאשר ה Value Name הינו Position וה Data הינו Bottom:
כך זה אמור להיראות לאחר הוספת המפתח והערכים:
להוספת פקודה (Command) עבור אופציית ה Properties (פקודה לפתיחת מאפייני האינטרנט המוכרים – קובץ inetcpl.cpl) יש לחזור על הפעולה הקודמת בעת יצירת המפתח Command, יש ללחוץ קליק ימני על Properties ולהוסיף מפתח (KEY) הנקרא Command.
יש ללחוץ על Default ולהזין את הפקודה הבאה: control inetcpl.cpl.
יש לשים לב שהמפתח Command נמצא מתחת ל Properties.
כעת יש להוסיף את האייקון על גבי שולחן העבודה, להלן מיקום המפתח הראשי שבתוכו נוסיף את ה GUID החדש:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace
יש ללחוץ על NameSpace וליצור מפתח (KEY) שם המפתח יהיה ה GUID החדש: 871C5380-42A0-1069-A2EA-08002B30308D}
כך זה אמור להיראות לאחר הוספת המפתח :
ולהלן התוצאה על גבי שולחן העבודה.
להלן קובץ רג'יסטרי שבניתי המבצע את כל הפעולות הידניות שתוארו לעיל:
יש ליצור קובץ עם סיומת REG ולהדביק לתוכו את התוכן הבא ולאחר מכן ללחוץ עליו פעמיים:
-------------------------------------------------------------------------------------------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}]
"InfoTip"="@C:\\Windows\\System32\\ieframe.dll,-881"
"LocalizedString"="Internet Explorer"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\DefaultIcon]
@="C:\\Windows\\System32\\ieframe.dll,-190"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\InProcServer32]
@="C:\\Windows\\System32\\ieframe.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\shell]
@="OpenHomePage"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\shell\NoAddOns]
@="Start Without Add-ons"
"LegacyDisable"=""
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\shell\NoAddOns\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -extoff"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\shell\OpenHomePage]
@="Open &Home Page"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\shell\Properties]
@=""
"Position"="Bottom"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\shell\Properties\Command]
@="control.exe inetcpl.cpl"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\Shellex]
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\Shellex\ContextMenuHandlers]
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\Shellex\ContextMenuHandlers\ieframe]
@="{871C5380-42A0-1069-A2EA-08002B30309D}"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\Shellex\MayChangeDefaultMenu]
@=""
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30308D}\ShellFolder]
@="C:\\Windows\\System32\\ieframe.dll,-190"
"HideAsDeletePerUser"=""
"Attributes"=dword:00000024
"HideFolderVerbs"=""
"WantsParseDisplayName"=""
"HideOnDesktopPerUser"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{871C5380-42A0-1069-A2EA-08002B30308D}]
---------------------------------------------------------------------------------------------------------------------------------------------------------
כפי שהינכם יודעים, אחד היתרונות של Outlook 2010 הינן תמונות התצוגה של המשתמשים.
התמונה עצמה מקושרת לשדה ב AD הנקרא ThumbnailPhoto, האוטלוק שואב את המידע לגבי התמונה מהשדה הנ"ל.
חשוב לזכור שחובה לשדרג את ה schema לגירסא מתקדמת, נכון להיום ההמלצה שלי לשדרג את ה schema ל Windows 2008 r2.
וכמו כן להתקין שרת DC 2008 R2 , ניתן לעבוד ב Forest Function Level של דומיין 2003
במידה והדומיין הינו 2003 , והסכמה לא מורחבת, לא ניתן יהיה לראות את התמונות.
להלן השדה כפי שניתן לראות באמצעות ACTIVE DIRECTORY USERS AND COMPUTERS בטאב Attribute Editor (שדה זה ניתן לראות באמצעות Winows 2008 ומעלה ע"י הצגת Advanced Features):
שימו לב שהערך של ה ThumbnailPhoto מוגדר <not set> :
ניתן גם להיכנס באמצעות ה ADSIEDIT:
פעולות מקדימות לפני הוספת הערך בשדה. (רפליקציה של השדה ל Global Catalog) :
יש להוסיף את ה schme snap-in לחלון הניהול MMC , כדי לראות את האופציה של ה schema יש לרשום את ה schmmgmt.dll ע"י הפקודה הבאה: Regsvr32 schmmgmt.dll
אנו גוללים ובוחרים ThumbnailPhoto:
יש לסמן ב V את האופציה Replicate This attribute to the Global Catalog:
לאחר הפעולות מקדימות, יש להיכנס למודול הניהול של ה AD באמצעות ה PowerShell (מומלץ באמצעות קליינט של ווינדוס 7 עם התקנת RSAT והתקנה הרכיב Active Directory Module for Windows PowerShell).
במידה ולא ניתן להתקין מחשב עם ווינדוס 7 כולל RSAT , יש להתקין Active Directory Management Gateway Service על שרת ה DC ולשים לב ל prerequisites הכוללים:
dotnet 3.5 sp1
עדכון עבורו: http://support.microsoft.com/kb/969166/en-us
עדכון עבור 2003 http://support.microsoft.com/kb/969429
עדכון עבור 2008 http://support.microsoft.com/kb/967574/
לאחר מכן ניתן יהיה להתקין את ה Active Directory Management Gateway Service :
http://www.microsoft.com/downloads/details.aspx?FamilyID=008940c6-0296-4597-be3e-1d24c1cf0dda&displayLang=en
לאחר כניסה ל PowerShell יש הקליד את הפקודות הבאות (אחת אחרי השניה), כאשר קובץ 1.jpg הינו קובץ התמונה וכאשר haimtest הינו שם המשתמש, התמונה חייבת להיות ברזולוציה 96X96 וגודלה לא יעלה על 10K:
הפקודה הראשונה ממירה את קובץ ה jpg ל bytes.
הפקודה השניה מעדכנת את שדה ה attribute למשתמש.
$photo = [byte[]](Get-Content d:\1.jpg -Encoding byte)
Set-ADUser haimtest -Replace @{thumbnailPhoto=$photo}
לאחר הזנת הפקודה ניתן להיכנס ל attribute שנקרא ThumbnailPhoto ולראות שאכן נוסף ערך.
כמו כן ניתן ללחוץ פעמיים על ה attribure להעתיק את הערך ולהדביק למשתמש אחר:
כעת נוכל לראות את התמונה תחת אוטלוק 2010:
שימו לב שכאשר לוחצים פעמיים על הערך בשרתי DC 2003 מקבלים את השגיאה הבאה ולכן ההמלצה לבצע את הפעולה מול שרת DC 2008 ומעלה:
עבור EXCHANGE 2010 הפעולה פשוטה יחסית, ניתן לשלב את הפקודה הבאה תחת ה Management Shell וכך אנו מוסיפים את הערך ל Attribute:
Import-RecipientDataProperty -Identity "Haim Test" -Picture -FileData ([Byte[]]$(Get-Content -Path "d:\1.jpg" -Encoding Byte -ReadCount 0))
מאמרים שימושיים:
http://msexchangeteam.com/archive/2010/03/10/454223.aspx
http://blogs.technet.com/b/ilvancri/archive/2009/11/17/upload-picture-in-outlook-2010-using-the-exchange-management-shell-exchange-2010.aspx
More Posts
Next page »