欢迎光临,这里是 gOxiA=苏繁=SuFan 独立的个人博客。
本站域名:http://goxia.maytide.net or http://sufan.maytide.net
移动设备请访问:http://goxia.maytide.net/m
转载文章,请务必保留出处与作者信息,未经许可严禁用于商业用途!

Honolulu_logo

Project Honolulu Technical Preview 部署

        上一篇日志“Project Honolulu Tecnical Preview 概览”向大家介绍了 Project Honolulu 的用途和主要的功能,而今天开始 gOxiA 将分享 Project Honolulu 的部署和安装。整体来说 Honolulu 的部署和安装非常的简单,没有复杂的限制和繁琐的需求,显得非常灵活和开放。所以无需有太多的顾虑,也不用特意搭建环境。

        在官方文档中 Project Honolulu  目前推荐了三种部署模式:

  • 本地模式,安装在 Windows 10 系统上,可满足快速开始、测试、临时或小规模的环境。
  • 网关模式,部署独立的 Honolulu 服务器,用于管理托管的服务器。
  • 混合模式,适用于群集,可部署在群集中的某个节点上,管理托管的服务器

deployment

        Project Honolulu 目前支持管理最新的 Windows Server v1709,Windows Server 2016,Windows Server 2012 及其 R2 版服务器,但是仅支持部署在 Windows 10、Windows Server v1709 和 2016 系统上,其中 Windows 10 仅支持本地模式,即安装后 Project Honolulu 不会以服务形式驻留,在使用前需要启动 Project Honolulu,会在系统栏保留程序图标。

        下面的截图是在 Windows Server 2016 上安装 Project Honolulu 的步骤,需要注意的是在授权协议界面中需要复选“Allow Project Honolulu to modify this machine's trusted hosts settings.”以允许安装程序修改信赖主机设置,根据需要复选“Create a desktop shortcut to launch Project Honolulu”。另外在服务器系统上安装时会提示指定一个用于 Project Honolulu 的 Web 服务端口,为了保护 Web 登录过程的安全,还可利用安装程序生成一个自签名证书,需要注意的是该证书有效期只有60天;当然也可以指定已经安装证书的指纹,分配其使用。

1

2

3

4

        安装完毕后便可通过 “现代” 浏览器访问 Project Honolulu 的管理站点,去添加要管理的服务器。

5

        如果当前下的设备未加入到域(AD - 活动目录),需要在 PowerShell 下使用 Set-Item 指令手动配置 TrustedHosts,才能完成账户验证以管理远程服务器,命令行参考如下:

Set-Item WSMan:\localhost\Client\TrustedHosts -Value '*'

Set_WSMan_TrustedHosts

        最后确保 Windows 防火墙已放行 Windows 远程管理(WinRM)以允许通过端口 5985 进站访问。

WinRM_5985

        对于受管理的 Windows Server 2012 服务器,可能需要额外安装 Windows 管理服务框架,请移步微软下载中心获取“Windows Management Framework 5.1”。

HOWTO: 修复 WINS 解析信息没有更新 记录格式已损坏 问题

        前段时间为一个 AD 做了个 FSMO 的转移,之后对新 DNS 服务器进行了记录的手工清理工作,在对 DNS 中原有的 WINS 信息进行更新时发现报错,也无法执行删除操作,具体错误提示为 “WINS 解析信息没有更新。记录格式已损坏。

WINS_Error

        使用 DNS 管理器已是无济于事,只能借助强大的 PowerShell 命令。咨询微软技术支持了解到可以使用 Remove-DNSServerResourceRecord 命令清理域相关的记录,具体的指令如下:

Remove-DNSServerResourceRecord -ZoneName contoso.com -Force -RRType "WINS" -Name "@"

Honolulu_logo

Project Honolulu Technical Preview 概览

        九月中旬微软 Windows Server Blog 宣布了全新的 Windows Server Management Experience,并为其开通了专属 Blog。该项目的名称目前叫 Microsoft Project Honolulu

        Project Honolulu 是一个本地化部署,基于浏览器的 Windows Server 管理工具集,可为管理员提供完全控制服务器基础结构的能力,官方称该管理工具更适用于那些未连接到互联网的专用网络上的服务器管理。Project Honolulu 是管理工具的现代演变,如已知的服务器管理器和MMC,它是对系统中心和业务管理套件的一个补充,并非要取代现有的产品。

        Project Honolulu 是一套 Web 应用程序,基于浏览器运行,但目前只支持“现代”浏览器,如:Microsoft Edge 或 Google Chrome,而 IE 不在它的支持范围内,即使是最新版的 IE11 也未能例外。

doesnt_support_ie

        Project Honolulu 除了能够管理 Windows Server 2016 外,还能够管理 Windows Server 2012 R2 和 Windows Server 2012 服务器,该管理工具并不依赖 Windows Server 系统,除了可以安装在 Windows Server 2016 上,还可以安装在 Windows 10 系统上。通过 WinRM 网关实现远程 Powershell和WMI 操作,从而对服务器执行管理。

architecture

        下图就是 Project Honolulu 的运行界面,gOxiA 小试了一下,功能异常强大,几乎可以在浏览器中执行所有的服务器管理操作,基础的如设备基本信息,硬件资源实时监控,修改计算机名,加入到活动目录。还可以管理系统上的证书、硬件设备、日志,甚至还包含了文件管理和注册表管理。而防火墙、用户和组、网络、服务、存储、更新,以及系统角色和功能,也都面面俱到。更强大之处,还包含了对实时进程的管理,可以直接在浏览器中监控和操作远端服务器正在运行的进程;此外如果服务器安装了Hyper-V,还可以通过 Project Honolulu 直接进行平台的配置和虚拟机的管理。

snipaste20170926_154225

        Project Honolulu 安装包区区30MB 多一点,就实现了如此强大的管理功能,并且部署和安装方式简单、便捷,真是难得之作!后续 gOxiA 将分步与大家分享 Project Honolulu 相关资讯,敬请关注!

HOWTO: 获取 Windows 10 Insider Preview Skip ahead

        Windows 10 RS4 已经发布了 17004.1000,相信有不少朋友都想试试下一个版本的 Windows 10,虽然已经是  Windows 10 Insider Preview 成员,但在 Windows 预览体验计划面板中切换到 “Skip ahead to the next Windows release” 后,系统会自动改回当前预览版本,可以在系统栏看到通知提示 “Your Windows Insider Program content settings have been reverted.” 那么该如何强制切换到 Skip ahead 呢?!

1

2

        微软提供了一个注册表键值 “ContentType”,可强制修改获取的版本分支。该键位于“HKLM\SOFTWARE\MicrosoftWindowsSelfHost\Applicability”,默认为“Current”,如果启用预览体验计划,则为“Active”,如果要获取下一个版本则改为 “Skip”。建议在修改时禁用网卡,在重启系统后再连接网络,之后无需再等待2天,即可立即开始更新。

regedit_contenttype

3

        之前 gOxiA 分享了一篇日志“HOWTO: 基于 Windows Server iSCSI 服务创建 RAM Disk ”,由于该方法会导致服务器管理无法正常访问 iSCSI 目标服务器,可能会影响管理员日常操作。

        如果您体验完毕可以使用以下 PowerShell 步骤去删除 RAM Disk,否则对 iSCSI 目标服务的管理都要基于 PowerShell 进行。删除 iSCSI RAM Disk 的方法很简单,就是倒着执行一遍之前的命令,只不过将新建改为移除。

        首先,移除已经为 iSCSI 目标移除分配的 RAM Disk,为此执行如下命令:

Remove-IscsiVirtualDiskTargetMapping -targetName targetRAMDisk -Path "ramdisk:WIM-RAMDisk.vhdx"

remove-iscsivirtualdisktargetmapping

        然后,移除 iSCSI 目标,为此执行如下命令:

Remove-IscsiServerTarget -TargetName targetRAMDisk

remove-iscsiservertarget

        我们还能使用 Get-IscsiServerTarget 查看当前所有的 iSCSI 目标。

        最后,移除 RAM Disk,为此执行如下命令:

Remove-IscsiVirtualDisk -Path "ramdisk:WIM-RAMDisk.vhdx"

remove-iscsivirtualdisk

        上个月看到 Windows Team 的工程师 Mounia Rachidi 发布的 Blog,提到了在 Windows Server 上利用 iSCSI 创建 RAM Disk 的方法,于是动手实践了一下,感觉还不错!决定分享一下实践经验。

        实践环境是一台运行 Windows Server 2016,且拥有 32GB 内存的工作站。计划在内存中创建 28GB 的 RAM Disk,用于系统映像(WIM)的处理。将 WIM 放在 RAM Disk 里进行读写操作的优势显而易见,降低磁盘IO瓶颈。当然,也许您还能想到更多 RAM Disk 的应用场景,不妨利用 Windows Server  iSCSI 服务来体验一下。

        首先,我们需要为 Windows Server 2016 安装 iSCSI 目标服务器(iSCSI Target Server)角色,可启动服务器管理工具添加角色和功能。iSCSI目标服务器角色位于”文件和存储服务“角色下,具体参考下图:

iscsi_role

        然后,在 Windows 防火墙(Windows Firewall)中允许”iSCSI 服务“例外,即允许通过防火墙。

iscsi_service_mpssvc

        为了确保 iSCSI 目标服务能够为本机提供 iSCSI 服务,需要修改 Windows Server 2016 的注册表以允许回环模式,为此执行 Regedit 定位至如下路径,修改 AllowLoopBack(REG_DWORD) 值为:1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\iSCSI Target

iscsi_reg_allowloopback

        完成上述操作后,便可开始创建 RAM Disk,首先创建容量为 28GB 的 RAM Disk:

New-IscsiVirtualDisk -Path "ramdisk:WIM-RAMDisk.vhdx -Size 28GB

new-iscsivirtualdisk

        之后创建 iSCSI 目标:

New-IscsiServerTarget -TargetName targetRAMDisk -Initiatorlds @("IPAddress:X.X.X.X")

new-iscsiservertarget

        接下来将 RAM Disk 分配给 iSCSI 目标:

Add-IscsiVirtualDiskTargetMapping -TargetName targetRAMDisk -DevicePath "ramdisk:WIM-RAMDisk.vhdx"

add-iscsivirtualdisktargetmapping

        现在启动 Windows Server 2016 上的 iSCSI Initiator(iSCSI 发起程序,该程序位于管理工具组下) 来连接这个 iSCSI 目标。

iscsi_initator

        连接成功后,便可在通过磁盘管理器初始化这个 RAM Disk,默认配置下这个 RAM Disk 是动态扩展类型的 VHDX,所以分配并格式化后,不会马上占用内存容量,会随着 RAM Disk 数据量的增长,而发生变化,但不会因删除数据而逆转。也就是说拷贝了一个10GB的数据,删除后会发现内存占用还是10GB,必须重新启动服务器才会得到空间的释放。

diskview

        最后需要注意的是,在 iSCSI 目标服务上启用 RAM Disk 后,会导致无法正常访问 服务器管理器 下的 iSCSI 目标服务器角色。

win10creatorsupdate1703

HOWTO: 解决 Windows 10 UWP Apps 无法运行

        UWP - Universal Windows  Platform(通用 Windows 平台),自 Windows 10 引入,进一步推动了 WIndows Runtime 模型的发展,一统 Windows 核心。作为核心版的一部分,UWP 现提供了一个可供在每个运行 Windows 10 设备上使用的通用应用平台。

OneWindowsPlatform

        简单理解,就是我们开发一个 UWP 应用即可运行在所有的 Windows 10 设备上,其优势显而易见!有关 UWP 详细的介绍可以移步 https://docs.microsoft.com/zh-cn/windows/uwp/get-started/universal-application-platform-guide 参考。

        而今天 gOxiA 要与大家分享的肯定是与 ITPro 密切相关的内容,正如本期之题目解决 Windows 10 UWP Apps 无法运行。具体的故障现象是点击 UWP Apps 都会没有响应,UWP Apps 不会按照预期那样启动运行。在有些环境下能看到点击 UWP Apps 图标后会显示正在安装一样的进度条,之后再无反应。具体的故障现象可参考下面的动画截图:

errordemo

        但是切换到 Administrator 账户下却能够运行这个 UWP Apps(PS:已经配置了GPO允许本地管理员运行 UWP Apps),唯独无法运行 Microsoft Edge,会出现闪退。检查日志发现来源 Apps,ID 5973 的错误事件,具体错误是“系统找不到指定文件”。难道是应用相关文件损坏?!

log

        使用 PowerShell 命令行对 Microsoft Edge 进行重装测试,结果发现“部署失败,原因是 HRESULT: 0x80073D0A,无法安装该程序包,因为 Windows 防火墙服务未运行。请启用 Windows 防火墙服务并重置。”错误很明确了因为防火墙服务未启动导致!但是,为什么其他 UWP Apps 却能够运行呢?而且使用其他账号又都无法运行呢?!

ps_reinstall_edge

        带着迷惑执行了 PowerShell 命令行对所有系统 UWP Apps 执行重装任务,命令行参考如下:

Get-AppXPackage -AllUsers |Where-Object {$_.InstallLocation -like "*SystemApps*"} | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"}

        结果一致,同样提示因 Windows Firewall 服务未启动导致 UWP Apps 无法安装。检查 Windows Firewall 服务确实被禁用,重新启动后故障解除。

        其实这个过程还有另外一个版本,在发现故障的时候是在生产环境下,且之前交付的 Surface Pro 4 都是经过测试的,运行也有近一年突然出现这个问题,还是新装系统后,确实十分诡异!参考映像未有更新,故障现象均发生在加域之后,那必然与域环境有关,首先检查的就是 GPO,是否进行了限制,但经过分析发现是 Windows 防火墙服务启动被配置为禁用,恢复后故障消失,之后再禁用 Windows Firewall 服务进行测试,发现除了 Edge 外其他的 UWP Apps 均可正常运行,怀疑是系统 Bug 向微软开了 Case,引出前面提到的重装应用进行测试,确认 Powershell 命令行执行失败时提示的错误信息,因防火墙服务未运行是导致 UWP Apps 无法启动的根因。

        但该问题是否被确认为系统 Bug,还暂无结果。

win10creatorsupdate1703

HOWTO: 解决简体中文版Windows 10 IE主页和搜索被百度锁定的问题

        微软与百度达成合作,在简体中文版的 Windows 10 中内置了百度主页和搜索,当我们拿到一台装有 Windows 10的新电脑时启动浏览器会发现主页被重定向到了百度,而默认的搜索引擎也是百度。如果你不喜欢完全可以手工重新设定一次,便可改回自己喜欢的主页和搜索。

        但是对于企业IT人员在对Windows进行预定制时,可能会触发浏览器的保护策略。例如IT人员在Sysprep 的 Audit 模式下修改了IE的默认主页为企业内部站点,搜索改回Bing,这一切看起来都是很正常的。但此时如果将当前系统实例连接互联网,会发现再次打开浏览器时保护机制被触发了,系统会提示“由于默认搜索提供程序设置已损坏,Internet Explorer重置了你的默认搜索提供程序,要将默认搜索提供程序更改为Bing吗?”

1

        此外,还会提示“由于主页设置已损坏,Internet Explorer重置了你的主页,要将主页改为XXXX吗?

2

        接下来不论你如何选择,或是修改主页和搜索,都将无济于事,每次打开浏览器都会提示。分析了注册表发现了如下图的注册项”Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy“,确认是定制的主页和搜索触发了保护机制。(PS:百度相当有实力啊,可以让MS这么为他推广)

3

        不管怎样问题还是要解决的,用Procmon进行了抓包,发现了一些线索。当设置主页和搜索时会触发一个名为EUPP的注册表项,看内容其下的 BackupHomePage 和 BackupDefaultSearchScope 十分可疑,由于是16进制的HEX数据,Decode 后发现是加密的,所以无法得到具体的数据。

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\EUPP

        之后也咨询了微软方面,确认了与 EUPP 有关,建议可以修改 DoNotAskAgain 为想要的 URL,并且还需要修改 Hosts 文件添加一条记录 “127.0.0.1 ieonline.microsoft.com”,便可解决 IE 被锁定并重复提示设置主页和搜索的问题。

win10creatorsupdate1703

HOWTO: 为Windows 10开始界面的程序添加 以其他用户身份运行

        Windows 10 Pro v1703 版在未加域前可以在开始界面上鼠标右键点击程序使用更多菜单下的“以其他用户身份运行”(run as a different user)来执行程序。这个功能使在加域的客户端环境下能快速的以不同的域账户身份或本地用户身份去运行一个程序,而无需切换桌面环境。例如安装了 RSAT 当要使用 ADUC 进行管理操作,而当前登录用户又没有对应权限时,就可以利用“以其他用户身份运行”,如下图所示。

RunAsADifferentUserInStart

        令 gOxiA 感到郁闷的是在实际的环境中,一旦客户端加入域后开始界面上的“以其他用户身份运行”就消失了,本以为是域组策略限制了使用,但实际并没有做任何限制。如果要启用这个功能可以通过域组策略进行预配,该选项位于 用户配置/策略/管理模板/“开始”菜单和任务栏/在“开始”中显示“以其他用户身份运行”,启用即可。

GPO-RunAsADifferentUserInStart

        如果无法实施域组策略,那么可以修改本地组策略,或注册表。但实际测试发现,当修改注册表重启计算机后功能虽然生效了,但是第二天貌似又会被覆盖掉。在咨询微软后了解到,虽然该选项属于用户配置,但可以在 HKLM 下创建对应的项和键,除了可以解决所有登录用户都能够在开始界面上显示”以其他用户身份运行“外,也可以避免设置被覆盖。(PS:是不是 Bug 目前不得而知!)

        下面是针对用户配置和计算机配置的对应路径和键值,可参考使用。

  • HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Explorer
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer
  • Name: ShowRunAsDifferentUserInStart
  • Type: REG_DWORD
  • Data: 1

win10creatorsupdate1703

HOWTO: 解决因 ESENT ID49 WebCache 损坏导致的 IE 或 Office 异常故障

        企业环境中通常会使用经过定制的系统作为企业标准化系统映像,用于客户端的操作系统部署和安装。最佳实践中通常会再审计模式下复查或配置用户环境,之后通过启用 CopyProfile 将所有用户桌面统一。但是在审计模式下定制,或之后通过离线模式安装更新补丁,可能会因 WebCache 损坏,导致进程无法正常读写操作 WebCacheV01.dat 文件,从而引发其他用户登录系统后无法正常运行 IE 或 Office Outlook 等异常故障。

        例如在 Administrator 下封装系统打包为 WIM 后进行分发部署,客户端安装后执行后续配置任务,完成后使用域账号或其他本地账号登录,此时会发现点击 IE 图标运行 IE 后其程序界面并未显示,但在任务管理中能看到其进程存在。检查 CPU 和 内存 占用正常,应用和系统事件中没有其他错误或警告记录,唯一可疑的就是来源为ESENT,ID49的错误事件,其内容为 Administrator 对应目录下的 WebCacheV01.dat 损坏,如下图所示。

屏幕截图(1)

        在随后的排错中,在 IE 无运行界面,和 Outlook 挂起的状态下,删除 Administrator 用户配置文件后,所有程序立刻恢复正常,目前分析应与 ESENT 出现的 WebCache 损坏有关。

分页: 1/170 第一页 1 2 3 4 5 6 7 8 9 10 下页 最后页 [ 显示模式: 摘要 | 列表 ]