blog

Serwer WSUS (Windows Server Update Services) to bardzo ciekawe narzędzie, pomagające firmom z większą ilością komputerów w zarządzaniu aktualizacjami różnych produktów firmy Microsoft (Windows, Office, Azure, Exchange itp). Jednak w miarę upływu czasu i pojawiania się nowych aktualizacji, miejsca na serwerze ubywa, baza danych serwera WSUS "puchnie". Do oczyszczania można użyć narzędzia dostępnego z konsoli wsus ale ma ono ograniczone możliwości (brak harmonogramu) i często w przypadku słabszej konfiguracji serwera nie jest w stanie doprowadzić procesu oczyszczania do końca, wcześniej zawieszając konsolę. Na szczęście Microsoft przygotował wraz z serwerem WSUS kilka CMDlet dla Powershell które mogą nam w tym pomóc.

Aby skorzystać z tych narzędzi mamy dwie opcje, na serwerze WSUS uruchamiamy PowerShell jako administrator i wpisujemy:

Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Lub jeżeli serwer jest mocno obciążony lub dawno nie był oczyszczany, konkretne parametry uruchamiamy osobno np:

Invoke-WsusServerCleanup -CleanupObsoleteComputers

później:

Invoke-WsusServerCleanup -CleanupObsoleteUpdates

i następne aż wykonamy wszystkie polecenia. Możemy też zautomatyzować dodając do polecenie do harmonogramu zadań.




Synchronizacja czasu w domenie - jak ustawić i dlaczego to takie ważne?

W Active Directory synchronizacja czasu ma ogromne znaczenie, choćby ze względu na czas ważności biletu Kerberos wykorzystywanego do uwierzytelnienia. Z tego względu czas na wszystkich komputerach i serwera w domenie powinien być jednakowy aby uniknąć różnych problemów z logowaniem lub uruchamianiem programów korzystających z sieci.

Jak ustawić synchronizacje czasu?

 

  1. W Active Directory używamy Usługą Czasu Systemu Windows do synchronizacji zegara: W32Time
  2. Wszystkie maszyny członkowskie synchronizują się z dowolnego kontrolera domeny,
  3. W domenie, wszystkie kontrolery domeny synchronizują się  z PDC Emulator (Primary Domain Controlerr) z tej domeny: używając NT5DS
  4. Podstawowy kontroler domeny (PDC) powinien synchronizować z dowolnym kontrolerem domeny nadrzędnej: za pomocą protokołu NTP,(o ile mamy jakąś domenę nadrzędną w innym przypadku pkt 5)
  5. Emulator Podstawowego Kontrolera Domeny (PDC) domeny głównej w lesie należy zsynchronizować z zewnętrznym serwerem czasu (może być to urządzenie zegar, router, inny serwer autonomiczny, internetowym serwerem czasu ...

Synchronizacja czasu w Active Directory

Ale w jaki sposób skonfigurować czas w moim Active Directory?

Cóż, to proste! Normalnie powinno być ustawione prawidłowo, o ile nie zmodyfikowaliśmy tego wcześniej.

W przeciwnym razie możemy zrobić zapewnić pewne narzędzia, które: w32tm.exe narzędzia wiersza polecenia i GPO

  • Korzystanie w32tm.exe
    • Uruchom następujące polecenie na emulatorze PDC:  

      w32tm / config / manualpeerlist: serwer czasu /syncfromflags:manual /reliable:yes /update

      (gdzie serwer czasu jest -oddzielone spacją lista serwerów czasu.)

      Gdy to zrobisz, uruchom ponownie usługę W32Time.

    • Uruchom następujące polecenie na wszystkich pozostałych DC (które nie są PDC):  

      w32tm /config /syncfromflags:domhier /update

      Gdy to zrobisz, uruchom ponownie usługę W32Time.

 

  • Tworzenie globalnych ustawień GPO w celu wymuszenia synchronizacji czasu 
    • Utwórz GPO i połączyć go z jednostką organizacyjną Kontrolery domeny,
    • Edytuj ustawienia : Konfiguracja komputera \ Szablony administracyjne \ System \ Windows \ czas, to globalne ustawienia konfiguracyjne
    • W zależności od zastosowania, można pozostawić wartości domyślne.
  • Kontrola
    • Można również sprawdzić, czy czas jest należycie ustawiany na PDC poprzez uruchomienie tego poleceniaw32tm.exe /resync /rediscover /no_wait, a następnie sprawdzić identyfikatory zdarzenia ID: 139
    • Aby sprawdzić serwer  źródła czasu: w32tm /query /status

 

Co to jest Magazyn Centralny (Central Store)?

Jest to nic innego jak wspólny zasób sieciowy na serwerze (kontrolerze domeny) umieszczony w odpowiednim miejscu. Zawiera on pliki ADMX (szablony administracyjne GPO) wspólne dla całej domeny. W tym miejscu widać duży plus tego rozwiązania, bo nie musimy się już martwić o to, czy na wszystkich systemach mamy najnowszy zestaw szablonów, zrobi to za nas system. Począwszy od systemu Windows Vista, gdy zechcemy edytować  GPO system sam domyślnie sprawdzi czy dla naszej domeny istnieje Magazyn Centralny i jeżeli go odnajdzie skorzysta z jego zawartości. W przeciwnym razie użyje swoich lokalnych szablonów.

Gdzie więc znajduje się ten Magazyn Centralny?

Na kontrolerze domeny w ścieżce C:\Windows\SYSVOL\domain\Policies

lub poprzez zasób sieciowy \\twoj_nazwa_domeny\SYSVOL\twoja_nazwa_domeny\policies

Jak uaktualnić pliki w magazynie centralnym?

Najprościej będzie odnaleźć najnowszy system jaki posiadamy w swoich zasobach (Windows 7,8,10 lub Windows Server 2008 R2) i skopiować katalog PolicyDefinitions znajdujący się w katalogu systemowym c:\Windows. Następnie skopiowane elementy wraz z katalogiem umieszczamy we wspomnianych wcześniej ścieżkach (oczywiście wybieramy jedną z opcji).

Jednym z najczęściej zadawanych pytań odnośnie GPO jest to w jaki sposób wyłączyć stosowanie jakiejś polisy dla jakiejś grupy lub użytkownika. Jest na to kilka sposobów jak Filtry WMI, blocked GPO czy LOOPBACK (sprzężęnie zwrotne). Każda z tych technik ma swoje zalety i wady, ja opiszę tą najczęściej wykorzystywaną bo najłatwiejszą a więc uprawnienia do stosowania obiektu. Otwieramy konsolę Group Policy Management (Zarządzanie zasadami grupy), zakładka delegowanie:

Konsola GPO

Następnie przycisk dodaj, wybieramy grupę dla której nie chcemy stosować tego obiektu (pojedynczego użytkownika też lepiej dodać do grupy), później klikamy zaawansowane i odszukujemy uprawnienia STOSOWANIE ZASAD GRUP i dajemy ODMÓW.

Uprawnienia w GPO

To wszystko, od tej pory nie będzie już te obiekt stosowany dla tej grupy.

Jeśli kiedykolwiek zastanawiało Was jak Hyper-v zarządza procesorami, jaki jest zalecany współczynnik ilości CPU wirtualnych w stosunku do logicznych to polecam Wam ten artykuł. Aidan w dość czytelny sposób wyjaśnia jak kolejkowane są zadania dla procesorów, jakie są ograniczenia architektury Hyper-V i daje porady

 

 http://www.petri.com/about-hyper-v-virtual-processor-limitations.htm


Warning: count(): Parameter must be an array or an object that implements Countable in /home/quantumsoft/ftp/quantumsoft/templates/jm_consilium/html/com_k2/templates/default/category.php on line 246

Kompleksowe usługi informatyczne

Jeżeli poszukujesz wsparcia w jakiejkolwiek dziedzinie informatyki, to jesteś w dobrym miejscu. Dzięki ciągłemu poszerzaniu wiedzy i zdobywanemu doświadczeniu, jesteśmy w stanie zaoferować naszym klientom kompleksowe rozwiązania informatyczne. Każdy projekt to dla nas nowa fascynująca przygoda w świecie technologii informatycznych.

Blog

Dane kontaktowe

Quantumsoft
Park Naukowo Technologiczny
ul. Technologiczna 2
45-839 Opole

+48 77 4432 546

info@quantumsoft.pl