Nije lako biti administrator mreže zasnovane na Windows NT serverima i radnim stanicama - taman pomislite da će novi Service Pack rešiti probleme, kad se pojavi neka nova nevolja... | |
Slobodan R. Ljubišić |
Slatko sam se nasmejao kada sam, kao wallpaper na jednom NT serveru, video natpis "Administratorska je muka pregolema". Ipak, onaj ko je zadužen za administriranje računarske mreže zna da u šali ima dosta istine: nije lako boriti se sa neveštim i "zanovetajućim" korisnicima, a istovremeno krotiti ne baš kompatibilan mrežni hardver. Kada se dodaju tradicionalni problemi sa neodgovarajućim drajverima i poslovično šturim uputstvima, svi uslovi za glavobolju su tu... Spasonosni Service Pack-ovi?Ako je administrator nekako i uspeo da se izbori sa korisnicima i hardverom, ovo je tačka kada se suočava sa realnošću: Microsoft se potrudio da održavanje NT-a pojednostavi upotrebom kumulativnih Service Pack-ova, što znači da svaki naredni mora sadržati i sve "zakrpe" prethodnog. Bilo bi to lepo kada i programeri koji pišu Service Pack-ove ne bi bili živi ljudi, koji nisu bezgrešni. Oko aktuelnog Service Pack-a 4 se zato digla velika prašina: nekoliko puta Microsoft ga je stavljao na svoj sajt, uvek u izmenjenom obliku, da bi na kraju ostala verzija od 32 MB koju možete preuzeti i sa SezamaPro. Postoji i verzija od 70 MB pod nazivom Y2K Fixes, koja predstavlja poseban Service Pack usmeren na rešavanje problema 2000. godine na NT-u, ali sadrži kompletan SP4. Sedamdeset (pa i 32) megabajta zvuči impresivno - radi se gotovo o polovini operativnog sistema, što možda i nije neobično, kada se uzme u obzir da SP4 ispravlja oko 1200 bagova i instalira novi NTFS drajver, "pripremajući teren" za NTFS5 fajl sistem koji će koristiti Windows 2000. Tu je i niz (vidljivih i nevidljivih) poboljšanja, koja se često odnose na bezbedonosne mehanizme: ima indicija da će se Microsoft odlučiti da NT 4.0 i SP4 (ili eventualno SP5) podvrgne procesu C2 sertifikacije i to u mrežnom okruženju, čime bi se konačno upisao u listu proizvođača C2 compliant mrežnih operativnih sistema. SP4 je doneo i neke probleme, koji su se pojavili već pri instalacionoj proceduri (problem sa setupdd.sys fajlom), što je bio prvi signal za paniku, pre svega kod administratora. SP4 je trebalo da reši problem korišćenja IoMega ATAPI (dakle internih) Zip drajvova na NT računarima, što je i učinjeno, ali je veliki broj korisnika eksternih Zip drajvova ugledao "plavi ekran" sa porukom IRQL_ NOT_LESS_OR_EQUAL. Problem je u drajveru SCSIPORT.SYS (\winnt\system32\drivers\scsiport.sys) - ako sistem ne funkcioniše, probajte da ovaj fajl zamenite fajlom koji se isporučuje uz instalacionu verziju NT-a. Srećni vlasnici Sound Blaster Live! kartice po instalaciji SP4 mogu posumnjati u svoju sreću: dešava se da se NT jednostavno ne može startovati nakon instalacije ovih drajvera, pa je jedini izlaz reinstalacija. Problem je u neodgovarajućem fajlu CTL3D32.DLL koji se dobija sa najnovijim drajverima, a rešenje (opet) u korišćenju "starih" drajvera koji se isporučuju na CD-u zajedno sa karticom ili instalacija ispravnih novih drajvera sa www.soundblaster.com/wwwnew/tech/ftp/ftpnew.html. Primećeno je da mnogi korisnici koji su se, nakon instalacije SP4, suočili sa nizom "plavih ekrana", poseduju Norton Utilities za NT, za koga je potvrđeno da je nekompatibilan sa SP4. To možda donekle i nije neočekivano s obzirom na obim izmena i poboljšanja koje je Service Pack doneo - ako je sistem nestabilan, pokušajte da deinstalirate Norton Utilities.
Skrećemo pažnju na čudan propust Microsoft-ovih programera, koji možete lako sami ispraviti. Naime, iako se nova verzija biblioteke WINPRINT.DLL nalazi u sklopu SP4, ona se prilikom instalacije često ne iskopira u WINNT\System32\Spool\Prtprocs\ W32x86\Winprint.dll, već tamo ostane stara verzija ovog fajla. To je šteta, jer upravo novi WINPRINT.DLL otklanja veliki broj problema sa štampanjem. Zato pronađite ovaj fajl na SP4 CD-ROM-u ili u direktorijumu gde ste raspakovali SP4 (SP4I386 /x), zaustavite Spooler servis komandom NET STOP SPOOLER ili iz Control Panel / Services, prekopirajte WINPRINT.DLL iz Service Pack-a u WINNT\System32\Spool\Prtprocs \W32x86\Winprint.dlli startujte Spooler servis (komandom NET START SPOOLER ili iz ControlPanel-a). Drugi način je da WINNT\System32\ Spool\Prtprocs\W32x86\Winprint.dll preimenujete u Winprint.old i da Winprint.dll iz SP4 prekopirate u WINNT\System32\Spool\Prtprocs\W32x86 \Winprint.dll - nema potrebe da zaustavljate spooler servis, ali treba da restartujete sistem. I pored svih neugodnosti, vredi instalirati SP4, jer on donosi više poboljšanja nego potencijalnih problema. Naravno, preporučujem da prethodno napravite backup svih podataka i registry baze i da, ako imate dovoljno prostora na disku, ostavite uninstall mogućnost. Štampanje... iz ugla administratora
Podešavanje štampača i print servera je bolna tačka svih mrežnih okruženja, pa prelazimo na savete koji se odnose na podešavanje parametara štampača i print servera. Počnimo od ideje da spooler (po default-u u WINNT40\System32\spool\Printers) premestite na brži, nesistemski disk - samo otvorite Printers folder, kliknite desnim tasterom na prazan prostor, izaberite Server Properties i podesite parametre koji vam najviše odgovaraju. Interesantno je da Microsoft tvrdi da je jedini način za "izmeštanje" spooler-a editovanje registry-ja. Evo, dokazali smo da nije. Daleko veći problem, pogotovo u razuđenijim mrežama, jeste kako urediti da se dokument uvek štampa na printeru koji je najbliži korisniku. Ako se mreža proteže na dva ili više spratova, ili možda kroz dve ili više zgrada, a korisnici koriste računare po principu gde ko kako stigne (roaming profili za to i služe), pitanje default printera postaje ozbiljno. Korisnicima često nije lako objasniti da promenom računara za kojim rade treba da promene i štampač na kome štampaju, jer tako štede i svoje noge i vreme. Iako možda ima i boljih načina da se problem reši, evo jednog trika sa login script-ovima: default štampač ulogovanog korisnika se nalazi u registry bazi, pod HCU\ Software\Microsoft\Windows NT\CurrentVersion\Windows\Device. Ova REG_SZ vrednost je oblika ImePrintera, winspool, LPT1: u slučaju da se radi o lokalnom štampaču, odnosno \\ImeServera\PrinterShare, Opis, LPTn: ako je štampač mrežni. Pošto opis obično nije bitan, vrednost možemo svesti na \\ImeServera\PrinterShare,,LPTn:. Za svaku NT stanicu treba kreirati odgovarajući fajl (.REG) u kome se nalazi informacija o default štampaču: za radne stanice PRODAJA1, NABAVKA4 i MAGACIN2 kreirate PRODAJA1.REG, NABAVKA4. REG, MAGACIN2.REG i slično, i smestite ih u NetLogon direktorijum na serveru gde se nalaze korisnički roaming profili. Uzmimo da radna stanica PRODAJA1 treba da štampa na obližnjem štampaču koji se u mreži vidi kao HP1100, a povezan je na server pod nazivom SERVER3. U tom slučaju, fajl PRODAJA1.REG izgleda ovako: REGEDIT4 [HKEY_CURRENT_USER\ Software\Microsoft\Windows NT\ CurrentVersion\Windows] "Device"= "\\\\SERVER3\\HP1100,,LPT1:" Pošto su fajlovi pripremljeni, u korisničke login script-ove treba dodati: If exist "%LogonServer%\Netlogon \%ComputerName%.REG" regedit /S "%LogonServer%\Netlogon\ %ComputerName%.REG"
Na ovaj način ćete u HCU\Software\Microsoft\Windows NT\CurrentVersion\Windows na radnoj stanici upisati default printer kad god se neki korisnik uloguje, tj. kada se izvrši logon script. Opcija /S (tzv. silent) služi da izvršenje ovih izmena nad registry-jem teče u pozadini, transparentno po korisnika. Zaboravili ste lozinku?Svima nam se ponekad desi da zaboravimo neku važnu informaciju, ili podatak, ali ako se radi o administratorskom password-u, to može biti neprijatno. (Ne)popularni password cracker-i traže ulaz (SAM) iz registry-ja kome obično mogu da pristupe samo administratori. Doduše, ako se winnt\system32\ config direktorijum (tj. instalacija NT-a) slučajno nalazi na FAT particiji ili imate backup registry baze na Emergency Repair disketi i ako se sećate da lozinka nije bila naročito dugačka, možete probati i sa ovakvim programima. Nemojte očekivati previše, jer ovakvo "razbijanje" lozinke može potrajati više dana i ne mora biti uspešno. Ako imate makar jedan običan korisnički nalog na serveru, zaboravljena lozinka može da se regeneriše. Za početak, pronađite CD sa instalacijom NT-a, tri NT-ove Setup diskete (uvek ih možete napraviti sa WINNT /OX) i proverite da li na disku ima mesta za još jednu instalaciju NT-a. Instalirajte još jednu instancu NT-a, recimo u direktorijum NTALTER i odmah (obavezno!) instalirajte poslednji Service Pack koji je primenjen i na originalnu instalaciju. Pokrenite novi NT, otvorite Command Prompt i otkucajte AT SS:MM /INTERACTIVE CMD /K gde je SS:MM vreme otprilike 10-15 minuta "u budućnosti" - ako je trenutno 15:30, stavite 15:40 ili 15:45. Ako NT javi da Schedule Service nije startovan, otkucajte NET START SCHEDULE i ponovite proceduru.
Startujte Regedt32 i pronađite HLM\ System\CurrentControlSet\Services\Schedule, dva puta kliknite na Schedule, a zatim jedanput na njegov sub-key. Zatim ponovo dvostruko kliknite na vrednost Schedule u desnom delu prozora i iskopirajte (Ctrl+C) taj REG_BINARY string u Clipboard. Vratite se na root, označite HLM i izaberite Load Hive iz Registry menija. Zatim se prebacite na winnt\system32\config prvobitne instalacije NT-a i dvaput kliknite na System. Kada vam zatraži Key Name, unesite ORIGSYS, prebacite se na ORIGSYS\Select i zapišite vrednost koja stoji uz Current (recimo N). Zatim pređite do ORIGSYS\ControlSet00N \Services\Schedule i, ako Start nije postavljen na 0x2, postavite ga na 0x2. Zatim selektujte Schedule, i kliknite na Add Key u Edit meniju. Pod Key Name otkucajte 001, pa onda selektujte novodefinisanu vrednost, dodajte (Add Value) Command (kao REG_SZ tip) i dodelite vrednost CMD /K. Ponovno selektujte key 001, dodajte (Add Value) Schedule kao REG_BINARY tip i dodelite mu vrednost iz clipboard-a (Ctrl+V) koju ste kopirali iz registry baze nove instalacije. Na kraju, selektujte ORIGSYS i Unload Hive opciju iz Registry menija i pređite u Control Panel / System / Startup, da biste originalnu instalaciju NT-a proglasili za default. Možete editovati i BOOT.INI fajl i restartovati sistem. Posle toga biće dostupna samo originalna instalacija NT-a - ulogujte se kao običan korisnik i sačekajte vreme koje ste zadali u polaznoj AT komandi. Kada se u to vreme otvori Command Prompt, to će biti pod okriljem Schedule korisnika, koji ima administratorska prava. Ako računar na kome radite nije Primary Domain Controler, otkucajte MUSRMGR.EXE, a ako jeste, otkucajte USRMGR.EXE. Ako dobijete poruku o grešci, kliknite na Yes i otkucajte ime domena. Ostaje da postavite administratorsku lozinku, odjavite se, prijavite kao administrator i obrišete NTALTER stablo direktorijuma gde se nalazi ona pomoćna instalacija. Ovo je najbolji dokaz da sa bezbednosne tačke gledišta ne postoji siguran, a fizički neobezbeđen računar - "slaba karika u lancu" bio je flopi disk, koji je u saradnji sa instalacionim CD-ROM-om i registry bazom, omogućio da se promeni administratorska lozinka. Zato se preporučuje da podizanje sistema sa sistemske diskete isključite u BIOS setup-u, zatim da stavite lozinku na BIOS i, ako je to moguće, držite svoj server pod ključem... |