Windows LiveWindows Live
 
 
Leonid's profileBlog Pro Windows / Блог ...Blog Tools Help

Blog Pro Windows / Блог про Windows

Administering Windows Server 2008, etc... (my copy-paste drafts)

Blog
7/1/2009

Максим Кононенко: Кто убил Майкла Джексона


26 июня 2009, 12::43

Конечно, эту мысль выскажу не один я. И эта мысль лежит на поверхности. И ее наверняка будут проверять американские следственные органы. И все-таки я должен ее сформулировать.

Величайший поп-артист в истории человечества Майкл Джексон умер в четверг, 25 июня 2009 года, в клинике Лос-Анджелеса в возрасте 50 лет. Официально причина смерти на момент написания этого текста не названа, но известно, что дыхание Джексона остановилось после введения ему некоего обезболивающего препарата. В больницу он был доставлен уже в состоянии комы, и реанимировать артиста не удалось.

Что делал Майкл Джексон в Лос-Анджелесе (он давно живет в Арабских Эмиратах) и почему ему вводили обезболивающие препараты? Потому что он готовился к концертам в Лондоне.

О том, что Джексон даст в Лондоне 10 концертов, он объявил несколько месяцев назад. Вернее, не он сам заявил, а некие его «представители». Джексона даже вывели в парадном облачении на какую-то пресс-конференцию в Лондоне, где он сказал одно или два слова. Все остальное время артист молчал, а говорили организаторы.

Потом попробовали продавать билеты. Билеты были распроданы за несколько минут. Организаторы приободрились. Они назначили еще 11 концертов и повысили цену на билеты. В 10 раз. В конце концов общее количество концертов достигло 50 (!!!). Было продано 750 тысяч билетов по невероятной средней цене около 600 долларов. Знаете, сколько это денег? 450 миллионов долларов США. Полмиллиарда баксов, черт возьми. Это большой куш.

Любому человеку, знакомому с шоу-бизнесом, было очевидно, что Майкл Джексон не может дать 50 концертов. Ему 50 лет, он тяжело болен и давно не давал никаких концертов. Вся история с этими концертами выглядела как авантюра с самого начала. Было очевидно, что никаких концертов не будет (я самолично делал об этом комментарий на радио, как только стало известно, что концертов будет именно 50).

Концерт Майкла Джексона – это не концерт Филиппа Киркорова. И если Филипп Киркоров и может дать 30 концертов подряд под фанеру и с подтанцовками, то даже ему это тяжело. А концерт Майкла Джексона – это концерт Майкла Джексона. Со всеми его танцами, прыжками и полетами над стадионом с микрофоном в одной руке и трапецией в другой. Я был на двух концертах Джексона в Москве и уверяю вас – в мире вряд ли найдется еще десяток артистов, которые могут выделывать на сцене такое. И люди, которые купили билеты, ожидали увидеть именно такое. Они не хотели увидеть Джексона в образе постаревшего и потолстевшего Элвиса, которому достаточно было просто стоять перед микрофонной стойкой.

Варианты у устроителей были следующие. Первый – отменить концерты. Но тогда надо было бы возвращать деньги за билеты. А это полмиллиарда долларов США. Не подходит.

Вариант второй – «возвращение Элвиса». Тогда состоялась бы пара концертов, после чего люди стали бы массово сдавать назад билеты. А это полмиллиарда долларов США. Не подходит.

Между тем назначенная дата концертов была все ближе и ближе. Они должны были начаться уже через пару недель. Попробовали «сыграть в дурака» – 10 июня в нью-йоркский суд был подан иск, где говорилось о невозможности выступления Джексона в Лондоне. Иск был подан от имени некоей компании AllGood Entertainment, которая утверждала, что заключила с менеджером Джексона Франком ДиЛео контракт на выступление воссоединенной группы Jackson Five летом 2009 года. И что согласно этому контракту Майкл Джексон не мог давать других концертов до совместного выступления с братьями и в течение трех месяцев после него. Надо ли говорить, что с Франком ДиЛео Майкл Джексон не работает с 1989 года. То есть налицо была очевидная попытка сорвать концерты.

Одновременно с этим первые концерты были перенесены. Первый концерт был перенесен с 8 июля на 13-е. А второй концерт – с 10 июля на 1 марта 2010 года!

Но все это не решало проблемы. Что 8 июля, что 13-е – до них оставалось очень мало времени. А Майкл Джексон оставался Майклом Джексоном – глубоко больным 50-летним человеком, который вряд ли выдержал бы и пять тех номеров, которых ждала он него публика всего мира.

Полмиллиарда долларов США. Большой куш. На что можно пойти ради таких денег?

На третий вариант.

Майкл Джексон давно уже был не у дел. Он был оклеветан и опозорен в США, он был банкрот и жил по приглашению какого-то арабского то ли принца, то ли шейха в его, принца или шейха, арабской стране. И вроде бы обещал этому шейху или принцу записать три новых альбома, но ничего не записал, и принц или шейх тоже был им недоволен. Вокруг таких вот тонущих «Титаников» всегда крутятся разнообразные жулики и шарлатаны. «Возвращение Майкла Джексона» – чем не проект в стиле Остапа Бендера?

Правда, Остап Бендер никогда никого не убивал. Его убивали, было дело. Но благородные времена прошли.

Майкл Джексон умер после введения ему обезболивающего препарата. Его дыхание замедлилось, а потом и вовсе остановилось. Весь мир в шоке. Потрясенные поклонники, купившие билетов на полмиллиарда долларов США, вряд ли станут возвращать эти билеты. Ведь это билеты на те самые концерты Джексона, перед которыми он умер!

И вот уже я слышу по радио: «Менеджер Джексона обвинил врачей и назвал их «шарлатанами и преступниками». На воре, как говорится, и шапка горит.

Можете считать меня параноиком, вшивым конспирологом и дураком, но лично я не верю в подобные совпадения.

Лично я думаю, что Майкл Джексон умер не своей смертью.

Его просто убили.

http://www.vz.ru/columns/2009/6/26/301380.html
4:27 PM | Permalink | Blog it
6/30/2009

Тонкая настройка Internet Explorer 8

Исключение IE8 из службы Windows Update. Совсем скоро начнется масштабное распространение интернет-обозревателя через систему автоматических обновлений. Это значит, что с окошком инсталлятора браузера придется столкнуться чуть ли не каждому пользователю операционных систем Windows XP/Vista/Server 2003/Server 2008. Если же с установкой Internet Explorer 8 необходимо повременить, то заблокировать автоматическое развертывание программы поможет майкрософтовская утилита IE8BlockerToolkit.exe (115 Кб), добавляющая в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Setup\8.0 параметр DoNotAllowIE80 со значением, равным единице.

  Настройка служб поиска. Пользователи IE8 наверняка обратили внимание на обновленную панель мгновенного поиска, возможности которой можно расширять путем подключения к браузеру дополнительных сетевых сервисов. В окне менеджера надстроек программы можно изменять порядок отображения служб поиска и отключать их, но нельзя изменять закрепленные за ними URL-адреса. Для корректировки последних нужно открыть редактор реестра и проследовать в ветку HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes. Таким образом, к примеру, можно научить надстройку Wikipedia осуществлять поиск по русскоязычному разделу "Википедии" (по умолчанию она ищет энциклопедические материалы на английском языке).

  Установка дополнительных надстроек для Internet Explorer 8. На сайте ieaddons.com можно обнаружить внушительную коллекцию различных ускорителей, веб-фрагментов и служб поиска, используя которые, не составит особого труда настроить функционал браузера в соответствии со своими потребностями и интересами. В галерее дополнений представлены всевозможные переводчики, надстройки для работы с картографическими сервисами, видеохостингами, социальными сетями и прочими онлайновыми службами.

  Запуск IE8 без надстроек. Если обозреватель после инсталляции второсортного расширения пал смертью храбрых, то вернуть к жизни рухнувшую программу поможет запуск браузера без установленных плагинов. Выполнить данную операцию можно двумя способами: щелкнув по ярлыку Internet Explorer (No Add-ons) в меню "Start -> Programs -> Accessories -> System Tools" или набрав в консоли команду iexplore.exe -extoff.

  Возврат параметров Internet Explorer 8 к значениям по умолчанию. Данная операция также может пригодиться для восстановления работоспособности приложения и устранения неполадок, возникших в результате некорректных настроек браузера. Для сброса параметров программы необходимо в окне свойств обозревателя переключиться на вкладку "Дополнительно" и нажать кнопку "Сброс". При восстановлении параметров IE не удаляется содержимое папки "Избранное" плюс остаются в сохранности RSS-каналы, веб-фрагменты и некоторые другие личные настройки.

  Изменение расположения строки меню IE8. В восьмой версии программы строка меню, если её включить в настройках панели инструментов, располагается между полем для ввода адресов и линейкой табов. Кому-то подобная схема расположения элементов может показаться неудобной, и захочется передвинуть строку меню на привычную позицию, то есть поместить её аккурат под заголовком окна браузера. Стандартными средствами переместить строку меню не удастся, а вот нестандартными - вполне. Для этого нужно вновь открыть редактор системного реестра, добавить в ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser новый DWORD-параметр ITBar7Position, задать ему единичное значение и перезапустить программу.

  Быстрое включение режима InPrivate. В восьмой редакции браузера компании Microsoft реализована функция InPrivate, предотвращающая получение посторонними пользователями компьютера информации о посещенных страницах и просмотренном содержимом. Переключить программу в режим InPrivate можно со страницы новой вкладки или нажав кнопку "Безопасность", однако намного эффективнее для активации функции использовать комбинацию клавиш "Ctrl+Shift+P".

  Отключение строки мгновенного поиска. Если поле быстрого поиска простаивает без дела и не используется по прямому назначению, его можно ликвидировать с глаз долой и освободить место на панели инструментов браузера. Для удаления поисковой строки необходимо закрыть все окна майкрософтовского браузера и затем в меню "Пуск -> Выполнить" ввести инструкцию REG ADD "HKCU\Software\Policies\Microsoft\Internet Explorer\InfoDelivery\Restrictions" /V NoSearchBox /T REG_DWORD /F /D 1 и нажать Enter. После выполнения команды можно будет повторно запускать Internet Explorer 8 и любоваться полученным результатом.

Источник: Компьютерра

IE8's new session feature allows multiple logins to web apps

Internet Explorer has certainly come a long way since version 6. While I'm not running it as my primary browser, IE8 is a big improvement and sport a number of very useful features.

One that was touted yesterday on the IEBlog was the ability to access more than one webmail account (or any other account that utilizes sessions). Head to the file menu and click New Session and IE8 will spawn a new window that doesn't share session information with the original window.

To launch a new window from a shortcut, just add the -nomerge parameter to the end of the target on its properties page. Double click it, and the new window will open free of any baggage from previously launched instances of IE.

10:14 AM | Permalink | Blog it
6/24/2009

Обслуживание баз данных Exchange

Брайен Поуси

Вручную корректируем автоматизированный процесс

Без регулярного планового обслуживания невозможно добиться максимальной производительности баз данных Exchange Server. В обслуживание входят такие задачи, как уничтожение удаленных почтовых ящиков, чистка общих папок и дефрагментация базы данных. Эти и другие задачи выполняются в Exchange Server 2003 автоматически. Но даже в этом случае важно ясно представлять себе механизм автоматизированных процессов обслуживания, чтобы удачно выбрать время и методы выполнения задач на сервере и оптимизировать процесс для конкретных условий.

Задачи обслуживания Exchange Server

В ходе планового автоматизированного обслуживания базы данных Exchange 2003 выполняется 11 задач:

  1. Очистка индексов в хранилищах почтовых ящиков и общих папок.
  2. Обслуживание помеченных на удаление почтовых ящиков и общих папок
  3. Удаление просроченных сообщений из мусорной корзины для хранилищ почтовых ящиков и общих папок.
  4. Удаление просроченных сообщений из общих папок.
  5. Уничтожение удаленных общих папок, срок хранения которых превышает 180 дней.
  6. Устранение конфликтов сообщений внутри общих папок.
  7. Обновление информации о версии сервера в общих папках.
  8. Проверка и удаление дублированных папок сайта в хранилищах общих папок.
  9. Уничтожение удаленных почтовых ящиков в хранилищах почтовых ящиков.
  10. Проверка таблицы сообщений для сообщений-«сирот» (сообщений с нулевым значением счетчика ссылок).
  11. Оперативная дефрагментация Exchange Information Store (IS).

Очевидно, что для выполнения задачи 11 в хранилище Exchange может потребоваться немало времени, в зависимости от размера базы данных и ее состояния на момент начала цикла обслуживания. Проблема в том, что задачи обслуживания должны выполняться с минимальными неудобствами для пользователей. В большинстве случаев для этого требуется проводить обслуживание ночью, но без помех для еженощного резервного копирования. Таким образом, для обслуживания IS обычно не остается свободного времени.
Из-за временных ограничений не всегда удается проводить все операции обслуживания каждую ночь, поэтому Exchange назначает задачам приоритет. Установить приоритеты несложно. Первые 10 задач в списке имеют равные приоритеты. Но задача 11 (оперативная дефрагментация IS) считается более важной, чем остальные десять.
При первом запуске цикла обслуживания Exchange исполняется первая задача в списке, а затем столько других задач по списку, сколько удается выполнить за отведенное время. Если до окончания периода обслуживания остается только 15 минут и не все задачи завершены, Exchange должен принять решение. Если весь период обслуживания уходит на выполнение одной задачи и она еще не завершена, то остаток периода обслуживания будет отведен на нее. Но если хотя бы одна задача завершена, Exchange отмечает последнюю завершенную задачу, отменяет текущую задачу и начинает оперативную дефрагментацию. Оперативная дефрагментация считается более важной, чем прочие задачи обслуживания, и может продолжаться в течение часа после окончания срока обслуживания.
В следующем запланированном периоде обслуживания Exchange проверяет, какая задача успешно завершена последней (не считая оперативной дефрагментации), и запускает следующую задачу в списке. Благодаря тому что обработка списка задач не повторяется каждую ночь с самого начала, время от времени наступает очередь каждой из задач.

Изменение периода обслуживания

Прежде чем рассказать об изменении периода обслуживания хранилищ, необходимо отметить два обстоятельства. Во-первых, обслуживание выполняется на уровне IS. Поэтому, если в экземпляре Exchange содержится несколько хранилищ, необходимо запланировать задачи обслуживания для каждого хранилища отдельно. Во-вторых, для обслуживания IS требуется много ресурсов, в частности места на диске и времени процессора. Это необходимо учитывать при планировании. Если цикл обслуживания запускается каждую ночь во время резервного копирования, то эти два процесса будут соперничать за ресурсы диска, и оба существенно замедлятся.
Администратору хорошо известны периоды максимальной нагрузки на сервер и время начала и завершения сеанса резервного копирования. Расписание обслуживания желательно составлять с учетом этих сведений. Например, если пользователи начинают работать около 7:30 утра, а к 18:00 почти все расходятся по домам и сеанс копирования начинается в 23:00, можно запланировать обслуживание на время с 18:30 до 10:30 каждый вечер.
При подготовке расписания следует помнить, что обслуживание требует большого количества ресурсов и выполняется на уровне IS. Если в Exchange Server несколько хранилищ, рекомендуется назначить обслуживание каждого хранилища на разное время, хотя при большом числе хранилищ это не всегда выполнимо.

Экран 1 

Стандартное расписание обслуживания Exchange позволяет обрабатывать все хранилища каждую ночь с полуночи до 4 часов  утра. Чтобы изменить расписание обслуживания, следует открыть диспетчер Exchange System Manager (ESM) и перейти по дереву консоли к Administrative Groups, определенной административной группе, Servers, нужному серверу, группе хранения и конкретному хранилищу. Щелкнув правой кнопкой мыши на хранилище, для которого требуется внести изменения, следует выбрать пункт Properties из контекстного меню и вкладку Database (экран 1). Из раскрывающегося списка Maintenance interval на вкладке Database можно выбрать четырехчасовые блоки времени в качестве ежедневного (или еженощного) периода обслуживания IS.

Экран 2 

С помощью раскрывающегося списка Maintenance interval можно указать период обслуживания хранилища, но выбор администратора не ограничивается только возможностями, представленными в меню. Можно нажать кнопку Customize и создать для хранилища специальное расписание обслуживания. При этом на экране появляется окно подготовки расписания (экран 2). Настоятельно рекомендуется составить расписание, в котором на обслуживание выделяется по крайней мере 4 часа в сутки, но администратор может пропускать дни, увеличивать или сокращать сроки. Пропуская сеансы, следует помнить, что цель обслуживания — обеспечить максимальную эффективность IS и предотвратить порчу данных. В результате пропуска сеансов увеличивается вероятность снижения производительности и ошибок в IS.

Настройка оперативной дефрагментации

Управлять временем обслуживания хранилищ Exchange довольно просто. Изменив несколько параметров реестра, можно задать способ и время оперативной дефрагментации.
Как отмечалось выше, если завершена по крайней мере одна задача, оперативная дефрагментация начинается за 15 минут до окончания периода обслуживания и может продолжаться до одного часа после окончания этого периода. Однако, изменив реестр, можно продлить время дефрагментации или настроить расписание таким образом, чтобы обслуживание не мешало резервному копированию.
Местоположение параметров реестра, обеспечивающих автоматическую оперативную дефрагментацию, слегка различается для частного хранилища (хранилища почтовых ящиков) и общего хранилища (хранилища общих папок). Если нужно изменить способ дефрагментации частного хранилища, используется раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\servername\Private-GUID, где servername — имя сервера, а GUID — глобально уникальный идентификатор (GUID). Если требуется изменить параметры оперативной дефрагментации общего хранилища, то используется раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\servername\Public-GUID. На экране 3 показано местоположение параметров реестра, определяющих способ оперативной дефрагментации.

Экран 3 

Первый прием, о котором пойдет речь, — настройка времени, отведенного для оперативной дефрагментации в конце периода обслуживания. Чтобы изменить это время, следует создать параметр типа REG_DWORD с именем OLD Minimum RunTime в одном из перечисленных выше разделов, в зависимости от хранилища. Следует задать значение параметра, которое отражает число минут, выделенное для оперативной дефрагментации в конце периода обслуживания.
Второй прием настройки реестра для управления дефрагментацией заключается в создании параметра типа REG_DWORD с именем OLD Completion Time. Этот параметр задает время, в течение которого процесс дефрагментации продолжается после окончания периода обслуживания (по умолчанию — один час). Значение параметра показывает число секунд, дополнительно выделяемых для процесса дефрагментации (3600 секунд = один час). Если изменить эти значения, анализатор Exchange Server Best Practices Analyzer (ExBPA) отметит данную конфигурацию и выдаст сообщение о нестандартных настройках. Дополнительные сведения можно найти в статье Microsoft «OLD Minimum RunTime for a public folder store is non-default» по адресу http://www.microsoft.com/technet/prodtechnol/exchange/analyzer/5ba05346-788c-4d16-8f0f-d6631e418a83.mspx?mfr=true.

Чистка удаленных почтовых ящиков

После настройки графика обслуживания и процесса оперативной дефрагментации рассмотрим изменения в некоторых других задачах обслуживания (не все задачи можно настроить).
Первая задача — уничтожить помеченные для удаления почтовые ящики. По умолчанию почтовый ящик, удаленный администратором, сохраняется в базе данных Exchange в течение 30 дней. После окончания периода хранения задача Clean Up Deleted Mailboxes уничтожает помеченные к удалению почтовые ящики в IS. Этот процесс отличается от хранения обычного удаленного элемента тем, что в данном случае речь идет о целых удаленных ящиках, а не просто удаленных сообщениях. Просроченные сообщения уничтожаются отдельной задачей обслуживания.
Период хранения помеченных к удалению почтовых ящиков назначается в Active Directory (AD). Для этого нужно открыть утилиту ADSI Edit, в которой есть инструментарий Windows Server 2003 Support Tools. По дереву консоли следует перейти к Configuration, конфигурации домена, содержащего Exchange Server, Services, Microsoft Exchange, организации Exchange, Administrative Groups, соответствующей административной группе, Servers, нужному Exchange Server, Information Store.
Затем требуется выбрать группу хранения (SG), где содержится хранилище, с которым предстоит работать.

Экран 4 

После того как выбран подходящий SG, хранилища внутри SG отображаются в столбце справа. Щелкнув правой кнопкой мыши на хранилище, свойства которого требуется изменить, следует выбрать пункт Properties, чтобы просмотреть атрибуты объекта хранилища. Затем нужно выбрать атрибут msExchMailboxRetentionPeriod (экран 4) и с помощью кнопки Edit задать новый период хранения (в секундах) для хранилища. Это значение по умолчанию составляет 2 592 000 секунд, или 30 дней.

Удаление просроченных сообщений из корзины

Когда пользователь удаляет сообщение, на самом деле оно не уничтожается. Клиент устанавливает флажок ptaMsgDeleted, отмечая сообщение как удаленное, и больше не показывает его.
Следующие события зависят от того, активна ли в клиентском компьютере функция Deleted Items Retention (мусорная корзина). Если корзина отключена, то удаленные сообщения окончательно уничтожаются при следующем запуске задачи удаления просроченных сообщений из мусорной корзины. Если корзина активна, то каждому удаленному сообщению назначается период хранения, и задача удаления просроченных сообщений из мусорной корзины окончательно уничтожает сообщения только после завершения периода хранения.
Чтобы задать период хранения удаленных сообщений, следует открыть редактор реестра, перейти в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\servername\Private-GUID или HKEY_LOCAL| MACHI- NE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\servername\Public-GUID и создать параметр типа REG_DWORD с именем Deletion Thread Period. Ему следует присвоить значение, соответствующее нужному периоду хранения (в секундах).

Чистка индексов

Каждый раз при сортировке информации в базе данных Exchange Server механизм Extensible Storage Engine (ESE) динамически выполняет индексацию для сортированного представления. Если эти индексы со временем не уничтожаются, в конечном итоге у каждого хранилища могут образоваться тысячи индексов. Чтобы предотвратить подобную ситуацию, каждому индексу Exchange назначается срок действия. В Exchange 2003 этот срок истекает спустя 40 дней после создания индекса (восемь дней в Exchange Server 5.5).
После того как построен индекс, Exchange добавляет ссылку на индекс и срок действия во внутреннюю таблицу, именуемую таблицей старения индекса (index aging table). Когда Exchange выполняет задачу очистки индекса, эту таблицу используют для того, чтобы выяснить, срок каких индексов (если они есть) истек, и удалить их.
AD управляет временем хранения индексов. Чтобы изменить данный параметр, можно запустить утилиту ADSI Edit и перейти к Configuration, конфигурации домена, содержащего сервер Exchange, Services, Microsoft Exchange, организации Exchange, Administrative Groups, соответствующей административной группе, Servers, нужному Exchange Server, Information Store. Следует выбрать SG, в котором содержится хранилище. Обычно этот параметр изменяют, только если не хватает ресурсов сервера.
Время хранения индекса управляется атрибутом msExchAgingKeepTime. По умолчанию это значение не установлено, но администратор может задать число секунд для хранения индексов. Атрибуту не присваивается значение по умолчанию, так как изначально для управления временем хранения индекса использовался реестр. Управлять временем хранения можно по-прежнему через реестр, но атрибут AD весомее параметров, установленных в реестре.
Чтобы изменить время хранения индекса через реестр, можно создать необходимый параметр в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem. Существует два параметра, изменяя которые можно управлять хранением индекса. Первый — Aging Keep Time (типа REG_DWORD). Функция этого параметра — такая же, как у объекта AD. С его помощью можно задать число секунд, в течение которых сохраняются индексы. По умолчанию индексы в Exchange 2003 хранятся 40 дней.
Второй параметр, который можно создать, — Aging Clean Interval (типа REG_DWORD). Этот параметр управляет интервалом (в секундах) между попытками Exchange очистить просроченные индексы. По умолчанию Exchange 2003 пытается очистить просроченные индексы через каждые 24 часа.
Как правило, оба параметра реестра лучше оставить без изменений. Иногда целесообразно уменьшить значение Aging Keep Time относительно стандартного значения 40 дней. Если в папке слишком много кэшированных операций поиска, обратных ссылок, ограничений и других элементов, время отклика клиента сильно замедляется.
Если время отклика клиента становится чрезвычайно медленным и появляются сообщения об ошибках Messaging API (MAPI), содержащие фразу Client Operation Failed, можно решить проблему, уменьшив значение Aging Keep Time. Еще один симптом, указывающий на целесообразность сокращения периода Aging Keep Time, — увеличение времени отклика при доступе к некоторым папкам в хранилище при нормальной скорости обращения к другим папкам в том же хранилище.
Можно уменьшить интервал Aging Clean Interval, чтобы чаще удалять просроченные индексы, но делать это рекомендуется только по совету специалистов службы Microsoft Product Support Services (PSS), так как чистка просроченных индексов может потребовать много ресурсов.

Разрешение конфликтов сообщений внутри общих папок

Одна из малоизвестных задач обслуживания Exchange — разрешение конфликтов сообщений в общих папках. Суть проблемы заключается в том, что общие папки можно реплицировать между несколькими серверами. Если в общей папке одновременно изменяются две или несколько реплицированных копий сообщения, то для данного сообщения возникает конфликт.
Exchange предоставляет владельцу общей папки определенное время, чтобы устранить конфликт вручную. Этот период времени называется предельным возрастом конфликта. Если владелец общей папки не устраняет конфликт в установленное время, то задача разрешения конфликтов сообщений автоматически устраняет конфликт в соответствии с внутренним набором правил.
Предельный возраст конфликта можно установить или изменить, настраивая параметры реестра. Для этого необходимо перейти в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\servername\Public-GUID и создать параметр типа REG_DWORD с именем Replication Folder Conflict Age Limit. Ему следует присвоить значение, которое показывает допустимый срок существования конфликта сообщений (в днях).

Уничтожение просроченных сообщений из общих папок

Последняя задача обслуживания, о которой будет рассказано в данной статье, — удаление просроченных сообщений из общих папок. Срок хранения сообщений назначается для каждой папки, поэтому не существует такого параметра реестра, чтобы глобально настроить этот период. Однако можно создать параметр реестра, чтобы управлять частотой удаления просроченных сообщений из общих папок. Применять этот параметр следует с осторожностью, так как он может нарушить другие задачи обслуживания. Чтобы задать частоту удаления сообщений, нужно перейти к разделу HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\MSExchangeIS\servername\Public-GUID и создать параметр типа REG_DWORD с именем Replication Expiry. Ему необходимо задать значение, которое показывает число миллисекунд между операциями удаления сообщений.

Автоматически — не значит «руки прочь»

Плановое обслуживание — обязательный элемент для поддержания целостного и эффективного хранилища IS. Понимание принципов автоматизированного обслуживания и приемов, описанных в данной статье, позволит более тщательно контролировать выполнение задач на сервере и оптимизировать процесс для конкретных условий.

Брайен Поуси (http://www.brienposey.com) — вице-президент по исследованиям компании Relevant Technologies. Автор статей на технические темы для различных изданий и Web-узлов
 

Постоянный URL статьи: http://www.osp.ru/win2000/2007/03/4246371/

6:17 PM | Permalink | Blog it

Перенос общих папок из Exchange в SharePoint

Джеффри Розен

Не просто перемещение данных!

Каждый раз, когда компания Microsoft выпускает новую версию Exchange Server, мы гадаем, сохранится ли в ней поддержка общих папок. С течением времени интенсивность использования общих папок на предприятиях растет. Общие папки (предназначенные для архивов данных) используются по-разному, в том числе для хранения резервных копий настольных компьютеров и даже для запуска важнейших бизнес-программ. Но недавно компания Microsoft объявила об Exchange Server 2007, очередной существенно обновленной версии продукта, в которой заложены основы для «снятия акцента» с общих папок.

Терри Маерсон, генеральный менеджер Microsoft Exchange Server Group, изложил стратегию компании в отношении общих папок для Exchange 2007 в своем Web-дневнике (http://blogs.technet.com/ exchange/archive/2006/02/20/419994.aspx). Отвечая на вопросы о будущем общих папок, он сделал несколько важных замечаний. Во вновь развернутых экземплярах Exchange общие папки станут необязательным компонентом при использовании Microsoft Office Outlook 2007 и не будут устанавливаться по умолчанию. После миграции существующих систем Exchange функционирование общих папок будет мало отличаться от Exchange Server 2003. Переход к Exchange 2007 не будет зависеть от переноса или ликвидации общих папок.

В результате у администраторов компаний возникает вопрос: «Если не использовать общие папки, то что придет им на смену и каким будет переход к этому новшеству?» В своем Web-дневнике Терри предлагает компаниям, желающим заменить общие папки Exchange, обратиться к Windows SharePoint Services (SharePoint). Данный вариант SharePoint поставляется вместе с Windows Server 2003. Это Web-служба, предназначенная для совместной работы пользователей и обмена документами. Каким будет процесс перехода от общей папки к SharePoint? В данной статье рассматриваются стратегические аспекты взаимодействия SharePoint и общих папок, а затем процедура переноса данных.

SharePoint и общие папки

В своем Web-дневнике Терри отмечает, что Microsoft будет полностью поддерживать Exchange 2007 в течение 10 лет. Что в связи с этим будет происходить с SharePoint?

SharePoint — мощное решение для коллективной работы, которое обеспечивает ряд преимуществ по сравнению с общими папками. Общие папки прекрасно подходят для архивирования данных, но в них нет таких возможностей, как управление документами, автоматическое оповещение об изменениях содержимого, интеграция с Microsoft Office Live Communications Server и InfoPath и интегрированный поиск информации.

В сущности, SharePoint представляет собой Web-приложение .NET, в котором Microsoft SQL Server используется как хранилище данных. В SharePoint применяются концепции списков и библиотек, каждая с уникальными свойствами и возможностями. Примеры списков — дискуссии, контакты, задания и события. Списки не основываются на документах. Существует три типа библиотек: библиотеки документов, форм и изображений. В библиотеках документов можно хранить наборы документов или других файлов, предназначенных для совместного использования. Среди компонентов и возможностей библиотек: вложенные папки, отслеживание версий файлов, регистрация и контроль использования файлов. Достаточно понять основные принципы хранения объектов в SharePoint, чтобы увидеть, каким образом наличие отдельных типов списков и библиотек может вызвать проблемы при миграции данных.

В общих папках функции, соответствующие дискуссионным спискам и библиотекам документов SharePoint, объединены в одном типе хранения. Прежде чем начать миграцию, необходимо решить, куда перемещать общие папки, и от этого выбора зависят доступные возможности. Например, в одной общей папке могут находиться документы Office (SmartDocs) и потоковые дискуссии. Если переместить все содержимое в библиотеку документов SharePoint, то будет потеряна связность дискуссии (или потоки). Переместить все элементы в дискуссионный список — значит лишиться возможности управления документами. Вероятно, лучше сделать выбор и содержать папку в списке определенного типа. Разделение списка может вызвать путаницу, и пользователи не будут знать, где найти информацию, которая когда-то находилась в известном пользователю месте.

Еще одно существенное различие между двумя продуктами — модели безопасности. Exchange располагает многочисленными детализированными ролями, и пользователи могут настроить разрешения в папке, чтобы удалять только собственные материалы. В SharePoint нет защиты на уровне элементов; безопасность обеспечивается только на уровне списка и библиотеки. Поэтому можно создать единичные библиотеки со специальными разрешениями или примириться с новой моделью безопасности, в соответствии с которой каждый может удалить любой чужой документ. Если к общей папке применено много элементов управления доступом, то миграция этой папки приведет к возникновению нескольких библиотек SharePoint или незащищенности папки. Эти различия между продуктами показывают, что миграция сложнее, чем может показаться на первый взгляд.

Процесс миграции

В процессе миграции, описанном в данной статье, использованы два инструмента с Web-узла GotDotNet.com компании Microsoft. На этом узле находятся программы извлечения, которые получают данные из какого-нибудь источника, такого как общие папки Exchange или файловая система Windows, и преобразуют их в промежуточный формат, пригодный для программы импорта в SharePoint.

Установочные пакеты и исходный текст Exchange Public Folder Extractor и SharePoint Products and Technologies Import Wizard опубликованы по адресуhttp://www.gotdotnet.com/workspaces/workspace.aspx?id=6996fb17-2a54-4607-983b-35c7697baa53. Исходный текст предоставляется бесплатно, поэтому инструменты постоянно развиваются и совершенствуются благодаря поддержке и взаимодействию сообщества. Могут быть полезны и несколько коммерческих продуктов, такие как Tzunami Deployer и решение для миграции фирмы CASAHL, среди достоинств которых — полная поддержка потребителей.

Экран 1. Пример дерева общих папок

Процесс миграции состоит из трех этапов - очистки общих папок, извлечения содержимого из общих папок Exchange и импорта этого содержимого в SharePoint - с использованием трех отдельных инструментов: программы очистки PFDAVAdmin (можно загрузить из Web-узла Microsoft по адресуhttp://www.microsoft.com/ downloads/details.aspx?familyid=635be792-d8ad-49e3-ada4-e2422c0ab424&displaylang=en) и упомянутых выше инструментов извлечения и импорта. После очистки содержимое общей папки Exchange пересылается по пути, указанному для совместно используемого файла, в типовом экспортном формате. Затем информация импортируется SharePoint из пути, указанного для совместно используемого файла. Каждый этап будет рассмотрен подробно. На экране 1 показано дерево общих папок, которое поможет разобраться в процессе миграции.

Очистка

Чтобы повысить шансы на успех, необходимо очистить общие папки перед перемещением данных. Очистить и уменьшить объем информации — например, консолидировать папки и удалить устаревшую информацию — важно по нескольким причинам: во-первых, эти данные вряд ли будут удалены после того, как попадут в новую систему; во-вторых, чем меньше информации, тем меньше байт пересылается по сети в ходе миграции; в-третьих, существует немного инструментов для очистки данных, уже попавших в SharePoint. Одна из особенностей PFDAVAdmin — возможность генерировать отчет о содержимом, в котором показано число элементов, размер и последние изменения любой папки. С помощью этих сведений можно отыскать старое содержимое и часто изменяемые папки.

Папка, в которой содержится много элементов, вряд ли используется для коллективной работы. Следует подумать о перемещении данных в общий каталог или архивное хранилище с быстрым физическим доступом. Один из доводов против использования библиотеки документов для хранения данных заключается в том, что библиотеки документов SharePoint не обеспечивают эффективного перечисления в папках, содержащих более тысячи элементов. Поэтому, если перенести общую папку, содержащую более тысячи элементов, в один список SharePoint, то при навигации по списку SharePoint пользователям придется мириться с задержками.

Затем следует идентифицировать папки, используемые приложениями как хранилища данных для рабочих потоков или специализированных форм. Такие папки нельзя идентифицировать с помощью инструментов, но администраторы систем обработки сообщений, как правило, знают о них. Идентифицировав папку приложения, можно использовать альтернативное хранилище данных, например базу данных, или не трогать существующее приложение до тех пор, пока не будет построена однородная среда Exchange 2007 и Office 2007. В SharePoint применяются совершенно другие API доступа и объектные модели, поэтому нет простого метода переноса существующего программного кода и форм. Эти папки — не лучшие кандидаты для миграции в SharePoint, и, как правило, в долгосрочной перспективе они вряд ли будут удачным местоположением для общих папок.

Наконец, чтобы сократить старое содержимое, полезно установить пределы хранения и включить механизм старения, если это уже не сделано. См. статью Microsoft «HOW TO: Configure Storage Limits on Public Folders in Exchange 2003» по адресу http://support.microsoft.com/?kbid=823144. Пределы хранения можно установить по умолчанию для всех папок и отменять их для отдельных папок. После очистки и идентификации важнейших папок можно приступать к миграции.

Извлечение содержимого общих папок Exchange

Теперь все готово для извлечения данных из общих папок Exchange. Программу Exchange Public Folder Extractor можно установить на любой клиентской машине с .NET Framework 1.1 и Outlook, настроенным для работы с объектами Collaboration Data Objects (CDO) 1.2.1. Учетная запись для запуска Extractor должна иметь разрешение Read в общих папках Exchange и разрешение Write в выходном каталоге. В данном примере используется интерактивный интерфейс, но Extractor можно запустить и из командной строки. После запуска Extractor необходимо заполнить все поля на вкладке Exchange Settings мастера Exchange Public Folder Export Wizard (экран 2). Администратор выбирает папку, с которой следует начать экспорт; можно обработать все дочерние папки или установить флажок Export only this folder, чтобы обработать только данную папку. Флажок Add Webpart указывает, будет ли целевой список содержать Web-модули, созданные на домашней странице SharePoint. Если этот флажок не установлен, то список SharePoint будет доступен только из панели Quick Launch Web-узла SharePoint.

Экран 2. Вкладка Exchange Settings

После ввода всей необходимой информации следует перейти к вкладке Message Settings мастера, на которой можно фильтровать исходные материалы по расширению вложенного файла или по дате. У общих папок, содержащих элементы Mail and Post Items, нет точного эквивалента в SharePoint (в отличие от других типов общих папок, в которых календарь соответствует событиям, а контакты — контактам), поэтому необходимо выбрать тип дискуссии. В инструмент требуется ввести данные о типе списка или библиотеки SharePoint, в которую следует преобразовать папки. Как отмечалось ранее, SharePoint располагает библиотеками документов и дискуссионными списками и каждому типу хранилищ свойственны уникальные характеристики. Дискуссионные списки содержат последовательности сообщений, а текст сообщений переносится как текст публикаций. Любые вложенные файлы привязаны к публикации. Вложенные папки в родительской папке становятся новыми списками дискуссионной панели. Если выбрать почтовый тип вместо дискуссионного, то будет потеряна последовательность сообщений (способность группировать сообщения, относящиеся к одному разговору). Вложенные папки переносятся как вложенные папки списка документов (похоже на вид файловой системы, как в Windows Explorer). В примере на экране 3 можно увидеть, как выглядит панель Quick Launch в SharePoint в зависимости от типа целевой библиотеки. Почта выбирается слева, а дискуссии справа. При преобразовании почты сохраняются родительские/дочерние взаимосвязи между папками, которые существуют в Exchange, но если выбран дискуссионный тип, то список дискуссий не поддерживает вложенные списки, и папки переносятся в отдельные списки одного уровня.

Экран 3. Панель Quick Launch программы SharePoint

Третья вкладка мастера — SharePoint Settings. На ней вводится имя целевого узла SharePoint, который может быть существующим или новым узлом. На этой же вкладке задается учетная запись контакта и адрес электронной почты, который устанавливается мастером как свойство владельца узла на целевом узле SharePoint. На последней вкладке, Export, можно инициировать миграцию и увидеть, как проходит экспорт.

Импортер SharePoint

После окончания экспорта все готово к завершению миграции с помощью мастера SharePoint Products and Technologies Import Wizard. В отличие от Extractor, мастер Import Wizard должен быть установлен на Web-сервере SharePoint. Учетная запись, из которой запускается Import Wizard, должна иметь разрешение для обновления реестра этого сервера. Учетная запись также должна иметь разрешение для создания узлов и областей на узле SharePoint. Для мастера SharePoint Products and Technologies Import Wizard необходима инфраструктура .NET Framework 1.1.

Экран 4. Вкладка Settings

В поле Source directory на вкладке Settings мастера Import Wizard (экран 4) следует указать местоположение экспортируемых файлов, а в поле Target — ввести URL для сервера SharePoint. В URL не нужно включать имя узла, так как оно уже было указано в процессе извлечения и хранится в файле struct.xml в папке, заданной в процессе извлечения общей папки. Существуют и другие возможности изменить способ импорта — например, можно разрешить импорт в существующие узлы и библиотеки. На вкладке Import можно инициировать процесс импорта и следить за его выполнением.

Ограниченная интеграция

Перемещение контента с одной платформы на другую не сводится к простому переносу данных. Необходимо учитывать различия между платформами, такие как базовые механизмы хранения данных и модели безопасности, из-за которых бывает трудно или невозможно перенести некоторые элементы.

Главное различие между SharePoint и Outlook заключается в том, что SharePoint — Web-приложение; пользователи обращаются к информации через браузер. Предполагается, что Outlook 2007 будет теснее интегрирован с SharePoint и пользователи смогут обращаться к более обширной информации через Outlook. В настоящее время интеграция между двумя продуктами ограничена. Например, можно обращаться к спискам событий SharePoint (календарь) в Microsoft Office Outlook 2003, но информация доступна только для чтения. Дополнительные сведения об Office 2007 можно получить на сайте Office 2007 компании Microsoft (http://www.microsoft.com/office).

SharePoint, как инструмент коллективной работы, представляет собой отличную альтернативу общим папкам, но вряд ли этот продукт полностью готов для размещения всех данных, существующих в настоящее время в системе общих папок предприятия. Пользователям наверняка понравятся многочисленные преимущества SharePoint. Это настоящее коллективное решение, значительное капиталовложение Microsoft в будущее.

Джеффри Розен (jrosen@microsoft.com) — старший консультант службы Microsoft Consulting Services. Специализируется на Exchange Server и инструментах коллективной работы. Имеет сертификаты CISSP и Microsoft Certified Systems Engineer in Security and Messaging.

Постоянный URL статьи: http://www.osp.ru/win2000/2007/01/4037617/
6:17 PM | Permalink | Blog it
6/19/2009

VMware vSphere + VMware Converter 4 + HP Proliant Support Pack Cleaner

Классная вещь для перевода реальных серваков на виртуальные машины VMware Infrastructure

image

As mentioned in coverage of the vSphere 4.0 release, the only product of the VMware portfolio that currently supports the new platform is Converter.

VMware upgraded it to version 4.0.1 (build 161434) last month exactly for this purpose.

In details the new product provides support for:

  • vSphere 4.0 as source and destination targets:
    • Support for configuring target disks as thin provisioned disks
    • Support creation of IDE disks on vSphere 4.0
    • Support for backup products to restore vSphere 4.0 virtual machines backed up using VCB
    • Support for creation of virtual hardware version 7.0 virtual machines on vSphere 4.0. targets as well as migration of hardware version 7.0 virtual machines from Workstation and Server platforms to vSphere 4.0
  • importing OVF 1.0 single virtual machine images
  • customization of Windows Server 2008 guests

The product is of course still completely free. It can be downloaded here.

----------------------------------------------------------------------------------------------------------------

После переноса системы с реального сервера HP на виртуальное “железо” не лишним будет вычистить хьюлетовский Support Pack:

HP Proliant Support Pack Cleaner v1.1

Release Date: March 12, 2009

This FREE tool remove the HP Proliant Support Pack from Virtualized Servers

HPPSPCleaner11A

Read the End-User License Agreement

 Download

Price: Free

6:03 PM | Permalink | Blog it
6/11/2009

Восстановление системы с помощью Windows Server 2008 Backup

1. В работающей операционной системе можно восстановить либо отдельные файлы и папки, либо System State с использованием команды WBADMIN.

clip_image002[3]

2. Чтобы восстановить целиком раздел, необходимо загрузиться с установочного диска Windows 2008 DVD.

clip_image004[3]

Выбираем язык установки, нажимаем кнопку Next.

clip_image006[3]

Нажать ссылку Repair your computer.

Если используется оборудование, не перечисленное в HCL , загружаем необходимые драйверы устройств. Это могут быть контроллеры дисковой подсистемы, сетевые карты.

clip_image008[3]

Нажимаем кнопку Next.

Для успешного восстановления в сети должен функционировать DHCP-сервер.

Проверить это можно запустив Command Promt (см.рис. ниже), командой

netsh int ip show con

Если нет DHCP, то сконфигурируем сетевой интерфейс позже в пункте 3.а, для этого пока не закрываем окно Command Promt и переходим к следующему пункту (переключаемся с помощью Alt-Tab)

3. Переходим к Windows Complete PC Restore

clip_image010[3]

clip_image012[3]

Читаем предупреждение, нажимаем кнопку Cancel

clip_image014[3]

Нажимаем кнопку Next для использования других опций восстановления.

clip_image016[3]

Нажимаем кнопку Advanced

clip_image018[3]

Выбираем опцию Search for a backup on the network

clip_image020[3]

Читаем предупреждение, нажимаем Yes.

3.а Если нет сервера DHCP, то конфигурируем сетевой интерфейс, переключившись в окно Command Promt:

netsh in ip s a n="Local area connection" s 172.16.1.x 255.255.255.0 172.16.1.1 1

Проверяем, что получилось

netsh in ip sh con

4. Указываем путь к серверу, на котором лежат резервные копии.

clip_image022[3]

На картинке путь указан неверно, в конце не должно быть символа «\».

Вводим параметры учетной записи.

clip_image024[3]

Выбираем интересующую нас резервную копию,

clip_image026[3]

нажимаем кнопку Next.

clip_image028[3]

Выбираем раздел для восстановления. Нажимаем кнопку Next.

Выбираем опции,

clip_image030[3]

нажимаем кнопку Next.

clip_image032[3]

Нажимаем кнопку Finish.

Внимательно читаем и соглашаемся с предупреждением, поставив галочку.

clip_image034[3]

Нажимаем кнопку OK

5. Дожидаемся окончания процесса восстановления.

clip_image036[3]

3:13 PM | Permalink | Blog it

Введение в Windows Server 2008: 10 главных причин для апгрейда

Прошло довольно много времени с момента последнего появления новой версии Windows Server. Трудно поверить, что уже прошло пять лет с момента выпуска Windows Server 2003. В этом году наши ожидания закончатся. Windows Server 2008 вышел в RTM версии в этом месяце, и теперь у нас всех есть доступ к конечным частям. Прошло уже много времени, и компания Microsoft вложила массу усилий и работы в создание Windows Server 2008, чтобы сделать его лучшим среди своего семейства.

Тысячи изменений были внесены в Windows Server 2008 по сравнению с Windows Server 2003. Некоторые из них незначительны, а некоторые очень даже значительны. Но вопрос, который не дает покоя всем, звучит так: чем обладает Windows Server 2008, что делает его стоящим апгрейдом? Ответ на этот вопрос и будет целью данной статьи.

В этой версии слишком много изменений, чтобы я смог охватить их все в одной статье, поэтому я выбрал те параметры и возможности, которые, на мой взгляд, делают Windows Server 2008 стоящим апгрейдом. Другие люди со своей точки зрения посчитают, что мне следовало рассказать о других изменениях в Windows Server 2008. Это довольно справедливо, но я собираюсь рассказать о больших изменениях, о тех изменениях, которые сделают вашу жизнь лучше, и, надеюсь, сделают пользователей счастливее.

Вот список того, что, на мой взгляд, делает Windows Server 2008 отличным и стоящим апгрейдом по сравнению с Windows Server 2003:

  • Server Manager и расширенный Event Viewer
  • Server Core (ядро сервера)
  • Terminal Services Gateway (Шлюз служб терминала)
  • Terminal Services RemoteApps
  • Поддержка IPv6
  • Read Only Domain [1] Controllers (контроллер домена с доступом «только чтение»)
  • Hyper-V
  • Network Access Protection (NAP)
  • Secure Sockets Tunneling Protocol (SSTP)
  • Расширенный брандмауэр Windows Advanced Firewall и QoS [2] на базе политики

Server Manager и расширенный Event Viewer

Windows Server 2008 включает абсолютно новый интерфейс управления, известный как Server Manager. Server Manager является одним инструментом для настройки, управления и мониторинга сервера. Он не похож на Server Manager, которые вы использовали в прошлом; этот на самом деле работает, и вы будете использовать его каждый день при работе с машинами Windows Server 2008.

1749

Рисунок 1

В Server Manager вы можете устанавливать роли сервера (такие как DNS [3], DHCP, Active Directory) и сервисы ролей (такие как Terminal Services Gateway и RRAS). Когда роли сервера и сервисы ролей установлены, консоли MMC для этих сервисов также установлены в Server Manager. Вам больше не понадобится создавать свои собственные консоли MMC!

Server Manager также имеет новый и улучшенный Event Viewer (программа для просмотра событий). Это не старый вьювер вашего отца, в котором есть лишь вкладки «Система, Безопасность и Приложения». Windows Server 2008 Event Viewer предоставляет вам журналы событий (Event Logs), которые вы можете использовать. Есть обычные журналы событий Windows Event Logs: Приложения, Безопасность и Система. Но теперь у вас есть возможность просматривать события всех приложений и служб, установленных на компьютере. Вдобавок, вы можете создавать пользовательский вид (Custom Views) журналов событий, поэтому вы можете создавать свои собственные хранилища для событий на основе фильтров, которые вы выберите.

1847

Рисунок 2

Одним из параметров журнала событий, который понравился мне больше всего, является возможность подписываться на события (Subscribe to Events) на других машинах сети. Это позволяет вам собирать данные журналов событий с других машин на основе используемых вами фильтров. Таким образом, вы можете настраивать фильтры критических событий для самых важных серверов в вашей сети. Хотя этой программе и недостает того изобилия функций, которые есть у таких решений мониторинга, как System Center Operations Manager, она все же является отличным встроенным решением мониторинга для тех компаний, которые не хотят выходить за пределы SCOM.

Server Core

Windows Server 2008 может быть установлен одним из двух способов: полная установка или установка ядра сервера (server core). Установка Server Core устанавливает подмножество исполняемых файлов, необходимых для работы ядра ОС. Никакие дополнительные службы не устанавливаются и не активируются. При такой установке используется только один пользовательский интерфейс — командная строка. Здесь нет оболочки Windows Explorer, и все настройки производятся только локально из командной строки, удаленно из консоли MMC или новой оболочки Windows Remote Shell (WinRS), приложение удаленного управления (подобное SSH).

Целью ядра сервера не является усложнение процесса управления (хотя это в определенной степени и так, поскольку многие задания выполняются из командной строки, и их невозможно выполнить удаленно из консоли MMC). Действительной целью Server Core является снижение общего риска атак и количества необходимых для сервера обновлений. Поскольку многие обновления безопасности Windows часто включают сервисы и приложения, которые вы даже не используете на сервере (например, Windows Media Player или Internet Explorer), вам не нужно обновлять эти компоненты. А в результате сниженного количества приложений и сервисов, запущенных на сервере, снижается потенциал атак.

Server core использует ограниченное количество ролей сервера, поэтому нужно убедиться, что те роли, которые вам нужны, поддерживаются установкой ядра сервера. Некоторые роли также поддерживаются не полностью, например Web Server роль. Server Core не поддерживает .NET управляемый код, поэтому вы не сможете запустить IIS консоль, как удаленную MMC. Это создает серьезную головную боль при управлении, так как все настройки IIS на машине ядра сервера должны выполняться из командной строки с помощью appcmd.exe. Если вы администратор Apache [4], вы будете вполне довольны. Если вы к тому же и IIS администратор, вы, возможно, повремените с использованием ядра сервера.

Server core — это определенно шаг в правильном направлении. Однако в данном конкретном случае я бы счел эту версию выпуском 1.0. Я уверен, что целью создания ядра сервера было снижение потенциального риска атак и требований по обновлениям, а не усложнению процесса управления. Полагаю, что будущие обновления Windows Server 2008 упростят процесс управления и позволят ему соответствовать всем ожиданиям.

Шлюз служб терминала (Terminal Services Gateway)

Одним из препятствий для полноценного использования служб терминала (Terminal Services) для пользователей удаленного доступа был тот факт, что многие администраторы не доверяли последовательности аутентификации и уровню шифрования туннелей RDP. Еще одной проблемой, с которой сталкивались администраторы, было то, что многие брандмауэры в удаленных расположениях не позволяли использование исходящего протокола TCP 3389. Компания Microsoft решила эту проблему с помощью шлюза служб терминала (Terminal Services Gateway) в Windows Server 2008.

Шлюз служб терминала — это тип SSL VPN [5], также как и RPC/HTTP для доступа Outlook к Exchange [6] Server через SSL VPN [5]. Тип SSL VPN [5] — это модуль доступа протокола приложения. Шлюз служб терминала работает с RDP 6.0+ клиентом для разрешения инкапсулированных RDP соединений к компьютеру шлюза TS.

Клиент RDP, по сути, инкапсулирует протокол RDP в два других протокола. Сначала RDP протокол инкапсулируется в RPC заголовок, а затем он инкапсулируется во второй раз с помощью зашифрованного HTTP заголовка (SSL). Протокол, используемый для подключения к шлюзу TS, по сути, является RDP/RPC/HTTP. Скорее всего, компания Microsoft сделала это с тем, чтобы использовать уже существующий RPC/HTTP код, который у них уже был для модулей доступа RPC/HTTP. Когда соединение достигает машины шлюза TS, TS шлюз удаляет RPC и HTTP заголовки и направляет RDP соединение на соответственный сервер терминала или удаленный рабочий стол компьютера.

На рисунке ниже показан интерфейс создания политики авторизации соединений (Connection Authorization Policy или CAP). CAP используются для определения того, какие пользователи могут получать доступ к ресурсам через этот компьютер TS шлюза. В диалоговом окне на рисунке ниже показан интерфейс конфигурации для привязки сертификатов этому сайту шлюза TS, чтобы разрешить надежные соединения SSL.

1951

Рисунок 3

Шлюз служб терминала также поддерживает аутентификацию с помощью смарт-карт, и у вас также есть возможность установить контроль клиентского доступа NAP. Шлюз служб терминала, несомненно, является основной причиной перехода на Windows Server 2008.

Terminal Services RemoteApps

Целью каждого администратора безопасности является достижение минимально возможной привилегии для каждого пользователя. Это особенно актуально для соединений удаленного доступа. Администраторы безопасности, как и я сам, не спят по ночам, думая о предоставлении полного подключения к удаленным компьютерам не административным пользователям. Все, что нужно — это взлом мандатов одного пользователя заядлым хакером, и этот хакер будет контролировать полное окружение рабочего стола, чтобы навредить вашей сети. Эта довольно пугающая мысль.

Но нужен ли вашим пользователям полный доступ на самом деле? Или им нужен доступ лишь к приложениям на компьютере? Скорее всего, им нужен доступ лишь к приложениям и данным. В этом случае, Windows Server 2008 обеспечивает для вас решение под названием Terminal Services RemoteApp. Terminal Services RemoteApp позволяет вам обеспечивать доступ только к определенным приложениям через канал RDP. Таким образом, пользователи не смогут попасть в неприятности с полным доступом, и если хакеру удается взломать мандаты пользователя, все что будет ему доступно — это лишь приложения, а это значительно снижает потенциальный риск в отличие от полного доступа.

TS RemoteApps очень гибкая. Вы можете контролировать, к каким приложениям у пользователя будет доступ, и как он сможет получить доступ к приложениям на своем компьютере. TS Remote Apps наряду с TS Gateway делает Windows Server 2008 Terminal Server необходимым условием для компаний, которые заинтересованы в безопасном решении удаленного доступа на основе RDP.

На рисунке ниже показана главная страница консоли TS RemoteApp Manager. Настройка TS RemoteApps довольно проста, и вы сможете настроить и использовать ее в очень короткие сроки.

2045

Рисунок 4

На рисунке ниже показана иконка пользовательского компьютера, который будет запускать RemoteApp. В диалоговом окне Свойства видно, что ссылка настроена на запуск файла .rdp, который разрешает определенный доступ к приложениям.

2178

Рисунок 5

Поддержка IPv6

Windows Server 2008 — это первая версия семейства Windows Server, которая имеет родную поддержку IPv6 (native support) как часть одного IP стека. В предыдущих версиях Windows, до выпуска Vista, поддержка IPv6 выполнялась параллельно с IPv4, и не существовало интегрированной поддержки для IPv6, включенного в службу инфраструктуры сети, такой как DNS [3] или DHCP. Теперь все поменялось, и IPv6 жестко вплетен в сетевой стек и сервисы инфраструктуры Windows Server 2008.

На рисунке ниже видно, что Windows Server 2008 DNS [3] теперь поддерживает IPv6. Вы можете создавать Quad A (AAAA) записи, а также зоны обратимого поиска IPv6 (reverse lookup zones).

2252

Рисунок 6

Служба DHCP была также обновлена для поддержки IPv6. На рисунке ниже видно, что я создал DHCP область определения для Unique Local адресов.

2352

Рисунок 7

На рисунке ниже показано, что вы можете настраивать сетевые интерфейсы для использования статичных IPv6 адресов, или настраивать их на использование DHCP для получения информации о IP адресах.

2452

Рисунок 8

Windows Server 2008 RRAS серверы, работающие в качестве маршрутизаторов, можно настраивать в качестве IPv6 маршрутизаторов и предоставлять информацию маршрутизации сообщений с учетом того, какой префикс информации клиент может использовать, и должны ли они использовать адресную информацию состояния с DHCP серверов.

Windows Server 2008 также поддерживает технологии перехода IPv6, такие как ISATAP, 6to4 и Teredo. Любой компьютер Windows Server 2008 можно настроить в качестве маршрутизатора ISATAP, используя Netsh интерфейс командной строки.

Read Only Domain [1] Controllers (контроллеры домена с доступом «только чтение»)

С распространением офисов филиалов в организациях, многие осознали проблему, касающуюся аутентификации. Во многих офисах филиалов использовался контроллер доменов, в котором пользователи могли аутентифицироваться в локальном DC, вместо того, чтобы входить через медленные, а иногда даже не работающие WAN соединения, которые могли вызвать сбой аутентификации и невозможность получения доступа даже к локальным ресурсам.

Решением этой проблемы стало расположение контроллеров доменов непосредственно в офисах филиалов. Хотя это и решило начальную проблему аутентификации, появилась проблема с безопасностью. Поскольку в большинстве офисов филиалов нет того же уровня IT компетенции, как в головных офисах, и определенно нет того же уровня физической безопасности, контроллеры доменов офисов филиалов стали слабым звеном всей инфраструктуры Active Directory. Изменения, которые проделывались некомпетентными пользователями, могли иметь последствия для всей организации, а если контроллер домена был украден из офиса филиала, это подвергало риску все учетные записи организации.

Windows Server 2008 решение — это контроллер домена с доступом только чтения Read Only Domain [1] Controller (RODC). RODC содержит доступную только для чтения копию базы данных Active Directory, а единственными данными учетных записей, хранящихся на этом контроллере, являются учетные записи сотрудников офиса филиала. Поскольку невозможно проделать никаких изменений в Active Directory с контроллера RODC, нет риска того, что некомпетентный пользовать причинит вред Active Directory. А так как в офисах филиалов, как правило, нет пользователей с правами администраторов, значительно снижается риск того, что RODC в таких офисах будут содержать учетные записи администраторов, которые могут быть подвергнуты опасности в случае кражи RODC.

RODC можно настроить на кэширование только определенных учетных записей. И в случае кражи RODC, список хранящихся в КЭШе RODC учетных записей доступен администратору Active Directory головного офиса. Это позволяет администратору отзывать или переустанавливать мандаты этих учетных записей из головного офиса.

Hyper-V

Hyper-V — это гипервизор Windows Server 2008, позволяющий вам запускать виртуальные машины на Windows Server 2008 компьютере. Hyper-V заменяет Virtual Server 2005 и является интегрированной частью операционной системы, которая предоставляется вам абсолютно бесплатно. Окончательные обновления для Hyper-V еще не доступны, поэтому я придержу свое мнение о Hyper-V в этот раз. Но из того, что мне уже удалось увидеть, я поражен тем, что им удалось сделать с Windows Server Virtualization. Если вы ищите бесплатное решение для создания виртуальных серверов, тогда переход на Windows Server 2008 будет для вас отличным выбором.

Network Access Protection (NAP — защита доступа к сети)

NAP позволяет вам контролировать доступ всех компьютеров, которые подключены к вашей сети. Как заявляет компания Microsoft, Network Access Protection (NAP), скорее, является механизмом здоровых клиентов, а не методикой безопасности. NAP позволяет вам создавать политики, которые определяют минимальный уровень надежности клиента, прежде чем компьютеру будет разрешен доступ подключения к сети.

NAP зависит от инфраструктуры Windows Server 2008. Вам понадобится Windows Server 2008 Network Policy Server для хранения политик безопасности. Существует несколько способов контроля доступа к сети: IPsec ограничения, DHCP ограничения, 801.x ограничения и VPN [5] ограничения. Хостам, которые не отвечают требованиям конфигурации безопасности, запрещается доступ к сети с помощью одного из вышеупомянутых методов. Однако NAP позволяет вам создавать карантинную сеть, к которой не соответствующие хосты могут подключаться, чтобы исправлять свои недостатки. Как только клиентское ПО NAP обнаруживает, что машина соответствует, оно отправляет информацию компонентам стороны NAP сервера, который затем информирует NAP клиента, что ему разрешен доступ подключения к сети.

NAP — это очень мощный метод контролирования доступа к вашей сети, и это то, чего мы ждали с того момента, как о его создании было объявлено в конце 2003, начале 2004. И хотя для того, чтобы предоставить нам решение NAP потребовалось пять лет, ожидание того стоило. Многие сетевые администраторы считают NAP основной причиной для перехода на Windows Server 2008. И я полностью с этим согласен.

Secure Socket Tunneling Protocol (SSTP — протокол туннеля надежных разъемов)

SSTP — это настоящий SSL VPN [5]. Говоря 'настоящий' SSL VPN [5], я имею в виду, что SSTP обеспечивает полный сетевой уровень VPN [5] доступа к корпоративной сети, так же как и протоколы PPTP и L2TP [7]/IPSec. Однако преимуществом SSTP перед PPTP и L2TP [7]/IPSec является то, что вам не нужно беспокоиться о брандмауэрах, блокирующих исходящий доступ к вашему SSTP соединению.

SSTP, по сути, представляет собой PPP [8]/SSL. Благодаря тому, что PPP [8] соединения заключены в защищенный HTTP заголовок (SSL), SSTP может преодолевать любые брандмауэры или модули доступа Web, что позволяет использовать исходящий SSL. Вам больше не придется принимать заявки от пользователей в гостиницах и конференццентрах, которые жалуются на то, что брандмауэры в местах их расположения не позволяют им создавать и использовать VPN [5] соединения для подключения к сети. Еще одним преимуществом SSTP является то, что вам не нужно давать исходящий доступ SSTP соединениям только потому, что вы разрешаете исходящий SSL. В заголовке CONNECT есть значение, которое вы можете настроить на своем ISA брандмауэре или других брандмауэрах слежения прикладного уровня, которое позволит вам блокировать SSTP соединения, в то время как другие SSL соединения разрешены.

SSTP значительно упростит вашу жизнь при использовании VPN [5] подключений удаленного доступа. Я бы перешел на Windows Server 2008 только ради SSTP доступа.

2552

Рисунок 9

Расширенный брандмауэр Windows и QoS [2] на базе политики

Пользователи Windows Vista [9] признали расширенный брандмауэр Windows Advanced Firewall. Теперь и у вас есть такая возможность благодаря Windows Server 2008. Вы даже можете использовать групповую политику (Group Policy) во всеобъемлющем централизованном управлении брандмауэра Windows Advanced Firewall. Если вы еще не имели возможности использовать брандмауэр Vista, то вам предстоит испытать наслаждение. Windows Advanced Firewall включенный в Vista и Windows Server 2008 позволяет вам производить точные настройки контроля входящего и исходящего доступа. Контроль исходящего доступа был недостающим звеном в брандмауэре Windows XP [10]. Теперь у вас есть контроль над исходящими соединениями, поэтому если вы обнаружили на своем брандмауэре, что хосты заражены червем, предназначенным для определенного порта и нескольких портов, вы можете блокировать эти порты на каждом хосте с помощью политики групп.

На рисунке ниже показан мастер New Inbound Rule Wizard. Мастер, которого можно использовать в консоли Group Policy Management, позволяет вам с легкостью настраивать входящие правила. Есть также мастер для настройки исходящих правил, который позволяет вам блокировать исходящие соединения, вы можете контролировать их на основе UDP или TCP портов, ICMP типов сообщений, или вы можете блокировать каждое отдельное приложение.

2649

Рисунок 10

Одной из самых впечатляющих характеристик брандмауэра Windows Firewall является то, как он упростил процесс создания IPsec политик. В прошлом настройка политик IPsec была довольно сложной задачей. Вам нужно было пройти через мастеров и надеяться, что вы все правильно настроили. С новым брандмауэром Windows Advanced Firewall все совсем по-другому. На рисунке ниже показан простой в использовании мастер New Connection Security Rule Wizard, который значительно упрощает создание IPsec политик изолирования доменов, политики запрета аутентификации, IPsec соединения между серверами и IPsec туннелей. Windows Advanced Firewall преобразовал процесс настройки IPsec политики из чего-то ужасного в то, что мне хочется попробовать. Попробуйте, и думаю, вам понравится.

2752

Рисунок 11

Еще одним значительным улучшением в Windows Server 2008 является централизованное управление политикой QoS [2] с помощью политики групп (Group Policy). Предыдущие версии Windows включали характеристику QoS [2], но поскольку она не была основана на стандартах, не многие люди (если вообще таковые были) использовали ее. Windows Server 2008 изменил игру, представив новую функцию QoS [2] на основе политики, которую можно использовать практически сразу.

Есть два способа применения QoS [2] политики — вы можете жестко закодировать значения пропускной способности или воспользоваться Differentiated Services Code Point (DSCP) значениями, которые настроены на маршрутизаторах вашей сети. DSCP — это метод производственных стандартов для применения QoS [2] в корпоративных сетях. Однако даже если у вас нет активированных DSCP маршрутизаторов, или даже если вы не используете DSCP, вы можете настраивать политики так, чтобы локальные хосты контролировали пропускную способность на TCP или UDP портах, или на специальных приложениях.

На рисунке ниже показана политика QoS [2], которая дросселирует SMTP протокол на порте TCP 25 пункта назначения. Вы можете выбирать хосты, для которых будет назначена данная политика. Например, вам не нужно дросселировать ваш SMTP сервер, но для хостов вашей сети вы, возможно, захотите ограничить уровень SMTP трафика. Таким образом, вы можете контролировать то, сколько спама зараженный компьютер может отправить, прежде чем вы обнаружите, что машины подвергались атаке.

2851

Рисунок 12

Заключение

Windows Sever 2008 включает сотни новых возможностей и параметров, каждая из которых может стать причиной того, что данная версия является стоящим апгрейдом для вашей организации. В этой статье я освятил лишь небольшую часть новых и усовершенствованных параметров, которые, на мой взгляд, делают Windows Server 2008 достойным апгрейдом.

www.windowsnetworking.com

12:32 PM | Permalink | Blog it
6/3/2009

Modifies attributes of one or more existing users in the directory.

Dsmod user

Updated: December 1, 2007

Modifies attributes of one or more existing users in the directory.

Dsmod is a command-line tool that is built into Windows Server 2008. It is available if you have the Active Directory Domain Services (AD DS) server role installed. To use dsmod, you must run the dsmod command from an elevated command prompt. To open an elevated command prompt, click Start, right-click Command Prompt, and then click Run as administrator.

For examples of how to use this command, see Examples.

Syntax

dsmod user <UserDN> ... [-upn <UPN>] [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-empid <EmployeeID>] [-pwd (<Password> | *)] [-desc <Description>] [-office <Office>] [-tel <PhoneNumber>] [-email <E-mailAddress>] [-hometel <HomePhoneNumber>] [-pager <PagerNumber>] [-mobile <CellPhoneNumber>] [-fax <FaxNumber>] [-iptel <IPPhoneNumber>] [-webpg <WebPage>] [-title <Title>] [-dept <Department>] [-company <Company>] [-mgr <Manager>] [-hmdir <HomeDirectory>] [-hmdrv <DriveLetter>:] [-profile <ProfilePath>] [-loscr <ScriptPath>] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires <NumberOfDays>] [-disabled {yes | no}] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}][-c] [-q] [{-uc | -uco | -uci}]

Parameters

Parameter

Description

<UserDN>

Required. Specifies the distinguished names of the users that you want to modify. If values are omitted, they are obtained through standard input (stdin) to support piping of output from another command to input of this command.

-upn <UPN>

Specifies the user principal names (UPNs) of the users that you want to modify, for example, Linda@widgets.contoso.com.

-fn <FirstName>

Specifies the first names of the user objects you want to modify.

-mi <Initial>

Specifies the middle initials of the user objects you want to modify.

-ln <LastName>

Specifies the last names of the user objects you want to modify.

-display <DisplayName>

Specifies the display names of the user objects you want to modify.

-empid <EmployeeID>

Specifies the employee IDs of the user objects you want to modify.

-pwd {<Password> | *}

Resets the passwords for the users that you want to modify as Password or an asterisk (*). If you type *, AD DS prompts you for a user password.

-desc <Description>

Specifies the descriptions of the user objects you want to modify.

-office <Office>

Specifies the office locations of the user objects you want to modify.

-tel <PhoneNumber>

Specifies the telephone numbers of the user objects you want to modify.

-email <E-mailAddress>

Specifies the e-mail addresses of the user objects you want to modify.

-hometel <HomePhoneNumber>

Specifies the home telephone numbers of the user objects you want to modify.

-pager <PagerNumber>

Specifies the pager numbers of the user objects you want to modify.

-mobile <CellPhoneNumber>

Specifies the cell numbers of the user objects you want to modify.

-fax <FaxNumber>

Specifies the fax numbers of the user objects you want to modify.

-iptel <IPPhoneNumber>

Specifies the IP phone numbers of the user objects you want to modify.

-webpg <WebPage>

Specifies the Web page URLs of the user objects you want to modify.

-title <Title>

Specifies the titles of the user objects you want to modify.

-dept <Department>

Specifies the departments of the user objects you want to modify.

-company <Company>

Specifies the company information of the user objects you want to modify.

-mgr <Manager>

Specifies the distinguished names of the managers of the user objects you want to modify.

You can only use the distinguished name format to specify the manager.

-hmdir <HomeDirectory>

Specifies the home directory locations of the user objects you want to modify. If HomeDirectory is given as a UNC name, you must specify a mapped drive to this path by using the -hmdrv parameter.

-hmdrv <DriveLetter> :

Specifies the home directory drive letters (for example, E:) of the user objects you want to modify.

-profile <ProfilePath>

Specifies the profile paths of the user objects you want to modify.

-loscr <ScriptPath>

Specifies the logon script paths of the user objects you want to modify.

-mustchpwd{ yes| no}

Specifies whether users must change their passwords when they next log on. The available values are yes and no. Yes indicates that users must change their passwords and no indicates that they do not have to change their passwords.

-canchpwd {yes | no}

Specifies whether users can change their passwords. The available values are yes and no. Yes indicates that users can change their passwords and no indicates that they cannot change their passwords. The value of this parameter must be yes if the value of the -mustchpwdparameter is yes.

-reversiblepwd {yes | no}

Specifies whether AD DS stores user passwords by using reversible encryption. The available values are yes and no. Yes indicates that AD DS stores user passwords by using reversible encryption and no indicates that AD DS does not store user passwords by using reversible encryption.

-pwdneverexpires {yes | no}

Specifies whether user accounts never expire. The available values are yes and no. Yes indicates that user passwords never expire and no indicates that user passwords do expire.

-acctexpires <NumberOfDays>

Specifies the number of days from today that the user accounts expire. A value of 0 sets expiration at the end of today. A positive value sets expiration in the future. A negative value sets expiration in the past. The value of never sets the account to never expire. For example, a value of 0 specifies that the account expires at the end of today. A value of -5 specifies that the account expires 5 days in the past. A value of 5 specifies that the account expires 5 days in the future.

-disabled {yes | no}

Specifies whether AD DS disables user accounts for logon. The available values are yes and no. Yes indicates that AD DS disables user accounts for logon and no indicates that AD DS does not disable user accounts for logon.

{-s <Server> | -d <Domain>}

Connects a computer to a remote server or domain that you specify. By default, dsmod connects the computer to the domain controller in the logon domain.

-u <UserName>

Specifies the user name with which the user logs on to a remote server. By default, -u uses the user name with which the user logged on. You can use any of the following formats to specify a user name:

· user name (for example, Linda)

· domain\user name (for example, widgets\Linda)

· user principal name (UPN) (for example, Linda@widgets.contoso.com)

-p {<Password> | *}

Specifies to use either a password or an asterisk (*) to log on to a remote server. If you type *, dsmod prompts you for a password.

-c

Reports errors, but continues with the next object in the argument list when you specify multiple target objects (continuous operation mode). If you do not supply this parameter, dsmod exits when the first error occurs.

-q

Suppresses all output to standard output (quiet mode).

{-uc | -uco | -uci}

Specifies that output or input data is formatted in Unicode. The following list explains each format.

· -uc: Specifies a Unicode format for input from or output to a pipe (|).

· -uco : Specifies a Unicode format for output to a pipe (|) or a file.

· -uci: Specifies a Unicode format for input from a pipe (|) or a file.

/?

Displays help at the command prompt.

Remarks

  • If a value that you supply contains spaces, use quotation marks around the text, for example, "CN=Mike Danseglio,CN=Users,DC=Contoso,DC=Com".
  • If you supply multiple values for a parameter, use spaces to separate the values, for example, a list of distinguished names.
  • You can use the token $username$ (case insensitive) to replace the Security Accounts Manager (SAM) account name in the value of the -webpg, -profile, -hmdir, and -email parameters. For example, if a SAM account name is Denise, you can use either of the following formats for the -hmdir location parameter:
    -hmdir \users\Denise\home
    -hmdir \users\$username$\home
  • This command supports only a subset of commonly used object class attributes.
  • Dsmod does not support the addition of security principals in one forest to groups that are located in another forest when a forest trust joins both forests. You can use Active Directory Users and Computers to add security principals across a forest trust.

Examples

To reset the password for Don Funk and force him to change his password when he next logs on to the network, type:

dsmod user "CN=Don Funk,CN=Users,DC=Contoso,DC=Com" -pwd A1b2C3d4 -mustchpwd yes

To reset multiple user passwords to a common password and force users to change their passwords when they next log on to the network, type:

dsmod user "CN=Don Funk,CN=Users,DC=Contoso,DC=Com" "CN=Denise Smith,CN=Users,DC=Contoso,DC=Com" -pwd A1b2C3d4 -mustchpwd yes

To disable multiple user accounts at the same time, type:

dsmod user "CN=Don Funk,CN=Users,DC=Contoso,DC=Com" "CN=Denise Smith,CN=Users,DC=Contoso,DC=Com" -disabled yes

To modify the profile path of multiple users to a common path using the $username$ token, type:

dsmod user "CN=Don Funk,CN=Users,DC=Contoso,DC=Com" "CN=Denise Smith,CN=Users,DC=Contoso,DC=Com" -profile \users\$username$\profile

Additional references

Command-Line Syntax Key

Dsmod

Dsmod computer

Dsmod contact

Dsmod group

Dsmod ou

Dsmod server

Dsmod quota

Dsmod partition

-------------------------------------------------------------------------------------------------------------------------

http://technet.microsoft.com/en-us/library/cc732954.aspx

To clear the attribute, simply specify "" as its value. You can loop through the output of ...
www.eggheadcafe.com/software/aspnet/31679569/dsmod-user-loscr.aspx -

http://www.google.com/search?q=dsmod+otherTelephone

I've thought of dsadd, but i need to have attributes like extensionattribute4, otherTelephone, and others that dsadd wont do.

ldifde can change those attributes

maybe a batchfile that uses both dsadd and ldifde

http://www.google.com/search?q=ldifde+otherTelephone

12:41 PM | Permalink | Blog it

How Can I Set an Active Directory Attribute Value to NULL?

Hey, Scripting Guy! Question

Hey, Scripting Guy! How can I set an Active Directory property to NULL? I tried setting the value to an empty string (“”) but it didn’t work.
-- JJ

SpacerHey, Scripting Guy! Answer

Hey, JJ. You know, it’s not like the Scripting Guys to get philosophical; one of the Scripting Guys, for example, bases his entire life on this credo: never answer the phone early on Saturday morning. (His reasoning is fairly straightforward: if it’s important, they’ll call back. And if it’s not important, then why the heck are they calling early on Saturday morning?!?!) That’s about as deep as the Scripting Guys ever get.

For better or worse, though, we have to get a little philosophical - and maybe even a little metaphysical - when trying to answer this question. The problem you are running into is the fact that while you might think an empty string (“”) is nothing, scripting languages tend to see an empty string as something. For example, suppose you set User A’s telephone number to an empty string. You then run a script that retrieves a list of all the users who have telephone numbers. Guess who shows up in that list? That’s right: good old User A. That’s because, in the crazy world of scripting, User A actually has a telephone number; it’s just that his telephone number happens to consist of an empty string. (Yes, sort of a sound-of-one-hand-clapping thing.)

If you want to get rid of an attribute value altogether you have to set the value of that attribute to NULL. And in Active Directory the best way to do that is to use the PutEx method and clear the value. Let’s show you a script that truly does set a user’s telephone number to nothing (NULL) and then we’ll explain how it works:

Const ADS_PROPERTY_CLEAR = 1 

Set objUser = GetObject _
   ("LDAP://cn=ken myer, ou=finance, dc=fabrikam, dc=com") 
 
objUser.PutEx ADS_PROPERTY_CLEAR, "telephoneNumber", 0
objUser.SetInfo

 

We begin by defining a constant named ADS_PROPERTY_CLEAR and setting the value to 1; we’ll use this later in the script to tell the PutEx method the kind of operation we want to carry out. (PutEx has additional uses beyond clearing attribute values; for more information, check out the ADSI Scripting Primer in the Microsoft Windows 2000 Scripting Guide.) We then bind to the desired user account, in this case the Ken Myer account found in the Finance OU of fabrikam.com

Next we use these two lines of code to completely erase Ken Myer’s telephone number:

objUser.PutEx ADS_PROPERTY_CLEAR, "telephoneNumber", 0
objUser.SetInfo

 

As you can see, we call the PutEx method and pass it three parameters: 1) the constant ADS_PROPERTY_CLEAR which, again, indicates the operation we want to perform; 2) telephoneNumber, the attribute we want to clear; and 3) 0, a parameter required any time you clear an attribute. We then call the SetInfo method to write the changes back to Active Directory. If you re-run the script that retrieves a list of users who have phone numbers, Ken Myer will no longer appear in the list. That’s because he no longer has a phone number, not even one consisting of an empty string.

http://www.microsoft.com/technet/scriptcenter/resources/qanda/mar05/hey0323.mspx

12:36 PM | Permalink | Blog it
6/1/2009

Обзор e-Reader'ов от «Wired»

Журнал Wired к выходу очередного e-Reader’a — на этот раз самсунговского, Papyrus (300$, 512 MB памяти, сенсорный монитор) — напечатал мини-гид по основным существующим на весну 2009 электронным устройствам для чтения книг. Полезная штука.

Samsung Papyrus

Amazon Kindle

360 $, беспроводное соединение, 2GB памяти (около 1500 книг), доступ к книгам, блогам, газетам. Жалобы на низкую контрастность, наценка за беспроводную передачу PFD-файлов. 6-дюймовый экран — не сенсорный; кнопки маленькие.

Sony Reader

6-дюймовый сенсорный экран, 350$, привлекательный дизайн, выбор цвета. PDF-файлы загружаются без дополнительной наценки. Партнерство с Google — и доступ к полумиллиону названий из Google Books. Нет беспроводной связи — только через компьютеры.

iRex iLiad

600$, экран 8,1’, тяжелее Сони Ридера и Киндла. 256 MB, wi-fi (то есть легко загружать новые книжки), Linux. Ограничен доступ к бестселлерам и пальп-фикшну.

Fujitsu Flepia

Цветной (!!) 8-дюймовый сенсорный экран, Bluetooth, wi-fi, 4 GB памяти — но цена 1025$

Hanlin eReader

За 300$ — 6-дюймовый экран, 32MB памяти, Linux. Беспроводной связи нет. Выглядит не ахти.

Foxit eSlick Reader

260$, экран 6’, 128 MB, очень легкий. Отлично читает PDF-файлы. Встроенный MP3-плейер. Беспроводной связи нет.

Plastic Logic

Цена пока неизвестна. 8,5’ x 11’. Сверхтонкий. Поддерживает Microsoft Word, Excel, Powerpoint, Adobe PDFs; можно читать газеты, журналы, книги. Сенсорный монитор и беспроводная связь.

http://www.afisha.ru/blogcomments/4480/#comments

2:37 PM | Permalink | Blog it

Как отформатировать флешку в NTFS

Можно ли отформатировать флешку в NTFS

Как известно, надежность и отказоустойчивость файловой системы NTFS – выше всяких похвал (см. Как конвертировать файловую систему в NTFS без потери данных?). То же самое можно сказать и о популярности флешек (см. Как продлить срок службы флешки?). Но речь пойдет не об этом. Проблема в том, что по умолчанию штатными средствами операционной системы отформатировать флешку можно или в файловую систему FAT, или FAT32 (но не в NTFS!). Не могут здесь помочь и такие общепризнанные программы, предназначенные для форматирования/конвертирования дисковых устройств, как PartitionMagic от PowerQuest Corporation.

Есть несколько способов решения этой проблемы.

1. Нажмите Пуск –> Настройка –> Панель управления –> Система;

– в открывшемся диалоговом окне Свойства системы откройте вкладку Оборудование –> Диспетчер устройств;

– в диалоговом окне Диспетчер устройств раскройте Дисковые устройства, двойным щелчком раскройте окно свойств своей флешки;

– откройте вкладку Политика, установите переключатель Оптимизировать для выполнения –> OK;

– закройте диалоговые окна Диспетчер устройств, Свойства системы;

– откройте Мой компьютер, щелкните правой кнопки мыши значок флешки;

– из открывшегося контекстного меню выберите Форматировать…;

– в диалоговом окне Формат Съемный диск в раскрывающемся списке Файловая система появилась опция NTFS (вместо FAT);

– отформатируйте флешку в NTFS;

– установите переключатель Оптимизировать для быстрого удаления: Мой компьютер –> Свойства –> Свойства системы –> Оборудование –> Диспетчер устройств –> Дисковые устройства –> <Съемный диск> –> Свойства –> Политика.

2. Можно сделать еще проще, используя встроенную утилиту преобразования файловой системы convert.exe (File System Conversion UtilityC:\WINDOWS\system32\convert.exe):

– запустите командный интерпретатор: нажмите Пуск –> Выполнить… –> Запуск программы –> cmd –> OK;

– переключите (при необходимости) раскладку клавиатуры на EN;

– после приглашения системы C:\Documents and Settings\Администратор>введите

convert <буква_флешки>: /fs:ntfs /nosecurity /x

(например, для флешки H: нужно ввести convert h: /fs:ntfs /nosecurity /x);

– нажмите <Enter>;

– после завершения конвертирования введите exit <Enter> (или просто закройте окно интерпретатора команд).

Эта утилита позволяет конвертировать файловую систему флешки без потери данных.

Примечания

1. Хотя утилита convert.exe позволяет конвертировать файловую систему флешки без потери данных, рекомендуется перед выполнением конвертирования скопировать все данные, имеющиеся на флешке, на жесткий диск компьютера!

2. На флешке должно быть свободное место для конвертирования файловой системы. В противном случае вы получите сообщение об ошибке, например:

«…Оценка места на диске, необходимого для преобразования файловой системы…

Всего на диске: 1023712 КБ

Свободно: 14328 КБ

Необходимо для преобразования: 15486 КБ

Недостаточно места на диске для преобразования

Сбой преобразования

H: не был преобразован в NTFS»

В таком случае освободите требуемое место на флешке, удалив ненужные файлы (или скопируйте часть файлов на жесткий диск ПК).

3. Можно воспользоваться бесплатной утилитой HP USB Disk Storage Format Tool.

clip_image001

Скачайте и распакуйте файл HPUSBFW.zip. Подключите флешку в свободный USB-порт.

– Скопируйте все данные, имеющиеся на флешке, на жесткий диск компьютера;

– запустите утилиту HP USB Disk Storage Format Tool (файл HPUSBFW.EXE);

– если подключено несколько USB-устройств, в раскрывающемся списке Device выберите нужное (флешку, которую нужно отформатировать);

– в раскрывающемся списке File system выберите NTFS (или, если нужно, FAT/FAT32);

– если хотите, задайте метку в текстовом поле Volume label (не обязательно);

– для ускорения процесса установите флажок Quick Format;

– нажмите кнопку Start;

– появится диалоговое окно HPUSBFW с предупреждением (на английском языке), что все данные на флешке будут уничтожены. Нажмите кнопку Да;

– дождитесь завершения процесса конвертирования;

– в появившемся диалоговом окне (с результатами конвертирования) нажмите кнопку OK.

Примечания

1. Будьте внимательны, выбирая устройство для форматирования, чтобы случайно не отформатировать не тот съемный диск, который требуется.

2. Перед выполнением форматирования обязательно скопируйте все данные, имеющиеся на флешке, на жесткий диск компьютера!

3. Не рекомендуется форматировать флешку в NTFS, если вы используете ее как загрузочное устройство.

4. Не рекомендуется форматировать флешку в NTFS, если вы пользуетесь – безнадежно устаревшей! – Windows 98.

5. Форматирование флешки в NTFS не только позволяет забыть о такой напасти FAT/FAT32, как потерянные кластеры, но и повышает надежность и долговечность флешек, а также позволяет несколько увеличить скорость чтения/записи данных.

6. Ключи утилиты convert (Преобразование файловой системы тома FAT в NTFS):

CONVERT том: /FS:NTFS [/V] [/CvtArea:имя_файла] [/NoSecurity] [/X]

том – Определяет букву диска (с последующим двоеточием), точку подключения или имя тома.

/FS:NTFS – Конечная файловая система: NTFS.

/V – Включение режима вывода сообщений.

/CVTAREA:имя_файла – Указывает непрерывный файл в корневой папке для резервирования места для системных файлов NTFS.

/NoSecurity – Параметры безопасности для преобразуемых файлов и папок будут доступны для изменения всем.

/X – Принудительное снятие этого тома (если он был подключен). Все открытые дескрипторы этого тома станут недопустимыми.

Валерий Сидоров

http://netler.ru/pc/flash-ntfs.htm

2:14 PM | Permalink | Blog it
5/30/2009

Trying install SP2: ERROR_SERVICE_NOT_ACTIVE(0x80070426)

1. askmeaboutvista: 0x80070426 (ERROR_SERVICE_NOT_ACTIVE) Error
0x80070426 (ERROR_SERVICE_NOT_ACTIVE) Error CauseThe Software Licensing Service is not running.ResolutionTo resolve this issue, perform the following steps:Open the Service Control Manager. Double-click Software Licensing Service. Check the service status to see if it is running. If the service has been disabled, change the start-up type to Automatic.

2. carry out a repair install of your OS using the Vista installation disc; here's an article, included with screenshot, which should guide you through the entire process:
http://www.vistax64.com/tutorials/88236-repair-install-vista.html

 http://www.justanswer.com/questions/1xauy-unable-install-vista-sp2-sp1

4:07 AM | Permalink | Blog it
5/28/2009

Using Web Services Enhancements (WSE) for X.509 Certificate Authentication and Digital Signature

Using Web Services Enhancements (WSE) for X.509 Certificate Authentication and Digital Signature
By Peter A. Bromberg, Ph.D.

clip_image001

In the first article in this series, we covered how to use the Web Services Enhancements Toolkit to perform SHA1 Digest hashed username/password authentication with the IPasswordProvider interface, using a modified version of the Northwind Database Employees table to do our username/password authentication with the UsernameToken element.

Besides UsernameTokens, the WS-Security specification also defines the BinarySecurityToken element for storing X.509 v3 certificates and Kerberos v5 tickets. WSE currently supports the X.509 flavor, and you will see that the implementation is not much more complicated than what we did with the UsernameToken element. If you are not yet familiar with the architecture and use of the new WSE from Microsoft for .NET, I strongly suggest you read my first article linked above first, review and test the code, and then come back. The process of installing, managing and using Certificates with WSE is a little more involved than username / password authentication, but most of this revolves around the actual certificate management process and not the WSE code. The code to use Certificates to sign and encrypt SOAP messages with WSE is fairly straightforward.

Before we start with Certificates, we should probably take a little time to familiarize ourselves with two important tools, Certmgr and Makecert. Certmgr.exe is the Certificate Manager Tool, and performs the following basic functions:

  • Displays certificates, CTLs, and CRLs to the console.
  • Adds certificates, CTLs, and CRLs to a certificate store.
  • Deletes certificates, CTLs, and CRLs from a certificate store.
  • Saves an X.509 certificate, CTL, or CRL from a certificate store to a file

Certmgr has a number of command - line options, and you can find the full documentation here.

Certmgr.exe works with two types of certificate stores: StoreFile and system store. It is not necessary to specify the type of certificate store; Certmgr.exe can identify the store type and perform the appropriate operations. Running Certmgr.exe without specifying any options launches a GUI that helps with the certificate management tasks that are also available from the command line. The GUI provides an import wizard, which copies certificates, CTLs, and CRLs from your disk to a certificate store. To run Certmgr.exe in GUI mode, simply do Start/Run, enter "C:\Program Files\Microsoft Visual Studio .NET\FrameworkSDK\Bin\certmgr.exe", and hit the enter key:

clip_image002

clip_image003

View Certificates

Certificate Details / Edit Properties

Certificate Creation Tool (Makecert.exe):

The Certificate Creation tool generates X.509 certificates for testing purposes only. It creates a public and private key pair for digital signatures and stores it in a certificate file. This tool also associates the key pair with a specified publisher's name and creates an X.509 certificate that binds a user-specified name to the public part of the key pair.

NOTE: Only the Makecert from the .NET Framework 1.1 (Everett) has the capability to create test certificates that can be used successfully with the WSE! Because this can be difficult to find, I have included a copy of the newest Makecert.exe in the downloadable ZIP file for this solution at the bottom of the article.

Makecert.exe includes basic and extended options. Basic options are those most commonly used to create a certificate. Extended options provide more flexibility.

makecert [options] outputCertificateFile

Argument

Description

outputCertificateFile

The name of the .cer file where the test X.509 certificate will be written.

Basic Options

Option

Description

-n x509name

Specifies the subject's certificate name. This name must conform to the X.500 standard. The simplest method is to specify the name in double quotes, preceded by CN=; for example, "CN=myName".

-sk keyname

Specifies the subject's key container location, which contains the private key. If a key container does not exist, it will be created.

-sr location

Specifies the subject's certificate store location. Location can be either currentuser (the default), or localmachine.

-ss store

Specifies the subject's certificate store name that stores the output certificate.

-# number

Specifies a serial Number from 1 to 2^31-1. The default is a unique value generated by Makecert.exe.

-$ authority

Specifies the signing authority of the certificate, which must be set to either commercial (for certificates used by commercial software publishers) or individual (for certificates used by individual software publishers).

-?

Displays command syntax and a list of basic options for the tool.

-!

Displays command syntax and a list of extended options for the tool.

Extended Options

Option

Description

-a algorithm

Specifies the signature algorithm. Must be either md5 (the default) or sha1.

-b mm/dd/yyyy

Specifies the start of the validity period. Defaults to the certificate's creation date.

-cy certType

Specifies the certificate type. Valid values are end for end-entity, authority for certification authority, or both.

-d name

Displays the subject's name.

-e mm/dd/yyyy

Specifies the end of the validity period. Defaults to 12/31/2039 11:59:59 GMT.

-eku oid[,oid]

Inserts a list of comma-separated, enhanced key usage object identifiers (OIDs) into the certificate.

-h number

Specifies the maximum height of the tree below this certificate.

-ic file

Specifies the issuer's certificate file.

-ik keyName

Specifies the issuer's key container name.

-iky keytype

Specifies the issuer's key type, which must be signature, exchange, or an integer (such as 4).

-in name

Specifies the issuer's certificate common name.

-ip provider

Specifies the issuer's CryptoAPI provider name.

-ir location

Specifies the location of the issuer's certificate store. Location can be either currentuser (the default) or localmachine.

-is store

Specifies the issuer's certificate store name.

-iv pvkFile

Specifies the issuer's .pvk private key file.

-iy pvkFile

Specifies the issuer's CryptoAPI provider type.

-l link

Links to policy information (for example, a URL).

-m number

Specifies the duration, in months, of the certificate validity period.

-nscp

Includes the Netscape client-authorization extension.

-r

Creates a self-signed certificate.

-sc file

Specifies the subject's certificate file.

-sky keytype

Specifies the subject's key type, which must be signature, exchange, or an integer (such as 4).

-sp provider

Specifies the subject's CryptoAPI provider name.

-sv pvkFile

Specifies the subject's .pvk private key file. The file is created if none exists.

-sy type

Specifies the subject's CryptoAPI provider type.

Examples

The following command creates a test certificate and writes it to testCert.cer.

makecert testCert.cer

The following command creates a test certificate and writes it to testPAB.cer, using the subject's key container and the certificate subject's X.500 name, and writes it to the root store:

makecert -sk PAB -n "CN=PeterBromberg" -ss root -sr localmachine testPAB.cer

If you do not specify "localmachine" with the "sr" switch, or do not provide this switch, when this is executed from a Visual Studio.NET command prompt you will see the following dialog upon success:

clip_image004

NOTE: to enable a Visual Studio.NET "command prompt here" context menu item, just save the following lines to a text file with a .REG extension and double-click on the saved file:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\Command Prompt\Command]
@="Cmd.exe /k \"C:\\Program Files\\Microsoft Visual Studio .NET\\Common7\\Tools\\vsvars32.bat\" "

Voila! Context menu choice for a Command Prompt with VS.NET environment by simply right-clicking on any folder!

OK, so that was our hot-shot crash course in Certmgr.exe and Makecert.exe! Now we can build a BinarySecurityToken. First thing we need in order to include a certificate with a request is to tell .NET where to find it. Certificates are normally kept in a Certificate Store, and each user has a private store of certificates. The certificate itself is not really "private" since it is only a digitally - signed way to give out a public key. What's important is that it matches the private key in the secure key store of the person who is going to use the certificate. In this manner, you can digitally sign a message with your private key, and the receiver would be able to verify your digital signature using the matching public key that you have included along with the message. If you are somewhat fuzzy on how RSA encryption and public / private keys work, you might find my article "RSA Encryption Demystified" enlightening.

WSE provides classes to open Windows Certificate stores and access the certificates. If you would like to iterate some of your certificates programmatically, here is how to access them:

private X509CertificateStore store;
private void button1_Click(object sender, System.EventArgs e)
{
store = X509CertificateStore.CurrentUserStore(
X509CertificateStore.RootStore.ToString());
store.OpenRead();
foreach(X509Certificate cert in store.Certificates)
{
listBox1.Items.Add(cert.GetName());
}
store =X509CertificateStore.LocalMachineStore(X509CertificateStore.RootStore.ToString());
store.OpenRead();
foreach(X509Certificate cert in store.Certificates)
{
listBox1.Items.Add(cert.GetName());
}
}

You can also retrieve certificates by using one of the search methods, like so:

X509CertificateCollection cc=store.FindCertificateBySubjectString(strName);
foreach(X509Certificate cert3 in cc)
listBox1.Items.Add(cert3.GetName());

The above will match on a substring, which can be very useful.

Now that we have seen how to create certificates, manipulate them and access them programmatically, we can access the certificate on the server side in a manner not too different from the way we got our UsernameToken in the previous article. We are almost ready to start with our code, but before we do, let's make sure that ASP.NET has the required permissions to access the certificate store on the server.

Required Permissions forWSE to Sign or Decrypt with an X.509 Certificate

In order for WSE to obtain the X.509 private key from the local computer certificate store, it must have permission to do so. By default, only the owner and the System account can access the private key of a certificate. Also by default, the ASP.NET service runs under the ASPNET account, and that account does not have access to the private key.

To give the ASPNET account access to the private key, give the account under which ASP.NET is running Full Control access to the files containing the keys the WSE will need to retrieve in the following folder:
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys

The account the ASP.NET worker process runs under is controlled by the <processModel> element in the Machine.config file. Set the userName attribute of the <processModel> element to specify the account ASP.NET runs under. By default, the userName attribute is set to the special machine account, which maps to the low-privileged ASPNET user account created when the .NET Framework SDK is installed.

  • Open Windows Explorer.
  • Navigate to the C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys folder.
  • Select the files containing the keys that the WSE will need to retrieve.
  • From the File menu, select Properties.
  • On the Security tab, add the ASPNET account and select the Full Control option.
    Note: Determining which key file in the MachineKeys folder is associated with a certificate can be difficult. One easy method is to note the creation date and time when creating a new certificate. When you view the files in the MachineKeys directory, check the Date Modified field for the corresponding date and time.

Creating the Web Service Methods

At the server, we need to specify where the WSE searches for X.509 certificates when it attempts to retrieve or verify a certificate. Typically, a client application sets the storeLocation attribute to CurrentUser and an XML Web service sets it to LocalMachine. The default is LocalMachine.
This attribute also specifies the certificate store the CA certificate chain is retrieved from during the signature verification process. The signature verification process occurs when a SOAP message that is signed is received to verify the integrity of the signature. If the SOAP message recipient is an XML Web service, then the WSE always retrieves the CA certificate chain from the LocalMachine, unless the process identity for ASP.NET (ASPNET by default) is changed to an account with log-on permissions. The identity of the ASP.NET account is specified in the <processModel> element. Since in this case we are also using a test certificate created by Makecert.exe, we also need to specify that the AllowTestRoot attribute is set to "true". our <x509 ... element goes in the <configuration> <microsoft.web.services> <security> section of web.config, and should look like the following:

<x509 storeLocation="CurrentUser" verifyTrust="true" allowTestRoot="true" />

We also need to add the X509 class to our Webservice (both on the client and the server) with:

using Microsoft.Web.Services.Security.X509;

So now, on the server, our WebMethod will look like the following:

[WebMethod]
public DataSet CustOrderHist(string CustId)
{
// Only accept SOAP formatted requests
SoapContext requestContext = HttpSoapContext.RequestContext;
if(requestContext==null)
{
throw new ApplicationException("Non-SOAP request!");
}
// check all the tokens in Tokens Collection for a X509SecurityToken
bool valid=false;
try
{
foreach(SecurityToken tkn in requestContext.Security.Tokens)
{
if(tkn is X509SecurityToken)
valid=true;
}
}
catch(Exception ex)
{
throw new Exception( ex.Message + ": " + ex.InnerException.Message);
}

if (valid==false)
throw new ApplicationException("Invalid Credentials.");
SqlConnection cn;
SqlDataAdapter da;
DataSet ds ;
cn = new SqlConnection(System.Configuration.ConfigurationSettings.AppSettings["SqlConn"].ToString());
cn.Open();
da = new SqlDataAdapter("custorderHist '" +CustId + "'", cn);
ds = new DataSet();
da.Fill(ds, "CustOrderHist");
return ds;
}

Not very different at all from how we handled UsernameTokens! Now on the client, our method will look like this:

private void Button1_Click(object sender, System.EventArgs e)
{
store = X509CertificateStore.CurrentUserStore(
X509CertificateStore.RootStore.ToString());
store.OpenRead();
localhost.CertificateServiceWse wse=new localhost.CertificateServiceWse();
X509CertificateCollection col=(X509CertificateCollection)store.FindCertificateBySubjectString(txtCertificate.Text);
X509Certificate cert =null;
try
{
cert = col[0];
}
catch(Exception ex)
{
lblMessages.Text="Certificate not Found!";
return;
}
wse.RequestSoapContext.Security.Tokens.Add (new X509SecurityToken(cert));
try
{
DataSet ds=wse.CustOrderHist(txtCustID.Text);
DataGrid1.DataSource=ds;
DataGrid1.DataBind();
}
catch(Exception ex)
{
DataGrid1.Visible=false;
lblMessages.Text=ex.Message;
}
}

Under the hood, our SOAP Header now sports a nice addition, the BinarySecurityToken element:

<soap:Header>
<wsrp:path soap:actor="http://schemas.xmlsoap.org/soap/actor/next" soap:mustUnderstand="1"
xmlns:wsrp="http://schemas.xmlsoap.org/rp">
<wsrp:action>http://tempuri.org/CustOrderHist</wsrp:action>
<wsrp:to>http://localhost/WSECertificateAuth/CertificateService.asmx</wsrp:to>
<wsrp:id>uuid:e4992608-7930-434c-9a54-0453ac189d0d</wsrp:id>
</wsrp:path>
<wsu:Timestamp xmlns:wsu="http://schemas.xmlsoap.org/ws/2002/07/utility">
<wsu:Created>2002-12-31T15:36:34Z</wsu:Created>
<wsu:Expires>2002-12-31T15:41:34Z</wsu:Expires>
</wsu:Timestamp>
<wsse:Security soap:mustUnderstand="1" xmlns:wsse="http://schemas.xmlsoap.org/ws/2002/07/secext">
<wsse:BinarySecurityToken ValueType="wsse:X509v3" EncodingType="wsse:Base64Binary"
xmlns:wsu="http://schemas.xmlsoap.org/ws/2002/07/utility"
wsu:Id="SecurityToken-595c0db0-7b1c-4038-9005-d0e4566efb1c">
MIIBcTCCARugAwIBAgIQLIB/4r0Rf4RL7upb3E2lAzANBgkqhkiG9w0BAQQFADA
WMRQwEgYDVQQDEwtSb290IEFnZW5jeTAeFw0wMjEyMzAyMDQyMjVaFw0zOTEyMz
EyMzU5NTlaMBAxDjAMBgNVBAMTBVBldGV5MFwwDQYJKoZIhvcNAQEBBQADSwAwS
AJBAMDRte7rxIpqBT0SYSXpw7773Ex0fiUfzFapAxCh4O2PQctO2UiiM4xzA/UZ
qfo08rUZLltT3XPWOEMxwKxrxmsCAwEAAaNLMEkwRwYDVR0BBEAwPoAQEuQJLQY
dHU8AjWEh3BZkY6EYMBYxFDASBgNVBAMTC1Jvb3QgQWdlbmN5ghAGN2wAqgBkih
HPuNSqXDX0MA0GCSqGSIb3DQEBBAUAA0EAEKQ23JTWrFCUdmck/CUkv8ruAgEyU
BOo14RkWRSiLfT17zf4zKDGuO0jJRZHBNsDhfUeWjy/9e4d8G5czgTpgA==
</wsse:BinarySecurityToken>
</wsse:Security>
</soap:Header>

With this, we are 95 percent of the way to "First Base" -- we've learned how to code the Web Service to look for a valid X509 Certificate in the SOAP headers from the Client, and we've learned how to retrieve and send a specific certificate from the local machine store for the client and add it to the SOAP headers according to the WS-Security specifications with WSE. However, the mere act of sending a certificate in our SOAP messages is not much of a way to authenticate anything. The idea is to sign some entity (SOAP Body, whatever) with the private key corresponding to the public key contained in the certificate that is sent. Then, the recipient can use the public key to determine that the message is intact and has not been altered, and that the sender is who they say they are.

With WSE, creating these digital signatures is easy and fast. We have a SoapContext.Security.Elements collection that allows us to add various WS-Security conformant elements. So by simply adding to the code above where we retrieved and included our certificate, we can now use it to sign the request as well. On the client, this only requires a few additional lines of code:

wse.RequestSoapContext.Security.Tokens.Add (new X509SecurityToken(cert));
X509SecurityToken crtTkn = new X509SecurityToken(cert);
wse.RequestSoapContext.Security.Tokens.Add(crtTkn);
wse.RequestSoapContext.Security.Elements.Add(new Signature(crtTkn));

Now we'll need to verify the digital signature on the server in our Web Service. Our final WebMethod looks like this:

public DataSet CustOrderHist(string CustId)
{
// Only accept SOAP formatted requests
SoapContext requestContext = HttpSoapContext.RequestContext;
if(requestContext==null)
{
throw new ApplicationException("Non-SOAP request!");
}
// check all the tokens in Tokens Collection for a X509SecurityToken
bool valid=false;
try
{
foreach(SecurityToken tkn in requestContext.Security.Tokens)
{
if(tkn is X509SecurityToken)
{
foreach(Object elem in requestContext.Security.Elements)
{
if(elem is Signature)
{
Signature sign=(Signature)elem;
// Verify it signs the body of the request---
if(sign!=null && (sign.SignatureOptions & SignatureOptions.IncludeSoapBody)!=0)
{
if(sign.SecurityToken is X509SecurityToken)
valid=true;
}
}
}
}
}
}
catch(Exception ex)
{
throw new Exception( ex.Message + ": " + ex.InnerException.Message);
}

if (valid==false)
throw new ApplicationException("Invalid Credentials.");
SqlConnection cn;
SqlDataAdapter da;
DataSet ds ;
cn = new SqlConnection(System.Configuration.ConfigurationSettings.AppSettings["SqlConn"].ToString());
cn.Open();
da = new SqlDataAdapter("custorderHist '" +CustId + "'", cn);
ds = new DataSet();
da.Fill(ds, "CustOrderHist");
return ds;
}
}

Voila! We have now retreived an X509 Certificate on the client, included it in the SOAP Headers, and used it to sign the SOAP Body. On the server, we checked to see if a valid X509 Certificate was used and verified that it indeed has been used to sign the message Body using the SignatureOptions property. Since we now know who sent the message and that it arrived at the Web Service unaltered, we send back the requested DataSet. You can download the full solution at the link below. Of course, you will need to either create your own certificate, or use one that is common to both client and server machines, and change the various portions of the code where it is retrieved and referenced. In the next installment of this series, we'll look more deeply at the various SignatureOptions properties, perform partial message signing as well as XML Encryption, and look into the WSE "pipeline", including how to use DIME attachments.

Download the code that accompanies this article

Peter Bromberg is a C# MVP, MCP, and .NET consultant who has worked in the banking and financial industry for 20 years. He has architected and developed web - based corporate distributed application solutions since 1995, and focuses exclusively on the .NET Platform. Pete's samples at GotDotNet.com have been downloaded over 41,000 times. You can read Peter's UnBlog Here.  --> Social Link this page<--NOTE: Post QUESTIONS on FORUMS!

clip_image006

Do you have a question or comment about this article? Have a programming problem you need to solve? Post it at eggheadcafe.com forums and receive immediate email notification of responses.

7:04 PM | Permalink | Blog it

Using makecert to allow re-export to PFX

Question:

How do I create and install a certificate using makecert such that the private key is exportable to a PFX?

Answer:

Older versions of makecert.exe do not support the "-pe" option, which makes the private key exportable. You can get a newer version of makecert here: http://download.microsoft.com/download/platformsdk/Update/5.131.3617.0/NT45XP/EN-US/makecert.exe

The command for creating the cert is:

makecert -sk Mynewkey -n "CN=TestCert" test.cer -ss my –pe

http://msdn.microsoft.com/en-us/library/bfsktky3(VS.80).aspx

http://social.msdn.microsoft.com/forums/en-US/wcf/thread/534fd127-93b5-4f81-b61c-c3f3325d8787/

6.4.9    Some tools are built to run only on Windows Vista

The following tools are built to run only on the Windows Vista operating system. If you attempt to run them on Windows XP SP2 or Windows Server 2003, you will see an error message stating that the executable is not a valid Win32 application.

  • CertMgr.exe

  • Checkv4.exe

  • MakeCat.exe

  • MakeCert.exe

  • MakeCtl.exe

  • SetReg.exe

  • SpOrder.exe

  • Where.exe

u can download the windows platform SDK kit:

http://www.microsoft.com/downloads/details.aspx?FamilyId=A55B6B43-E24F-4EA3-A93E-40C0EC4F68E5&displaylang=en

Or if you can download .net redist and .net sdk, and the tool is included there too.

Thanks,

George

6:48 PM | Permalink | Blog it

How to Export a PFX File from Internet Explorer

Once you have obtained your Digital Certificate it will be stored by your Browser (Internet Explorer, Netscape, Mozilla, Firefox, etc.).

This example relates to use of Internet Explorer. Click here to see how this is done using Firefox.

A PFX file contains all the information that makes up an X.509 Digital Certificate that can be used by PentaPDF-PRO to Digitally sign PDF files.

PKCS stands for Public Key Cryptography Standards that were developed and published by RSA laboratories.

The PKCS #12 Standard defines the Personal Information Exchange Syntax Standard. This defines a file format commonly used to store private keys with accompanying Public key certificates protected with a password-based symmetric key. Such files use the extensions PFX or P12.

Once you have acquired your Personal Information exchange certificate (commonly called "Email certificate") perform the steps outlined below:

1. From the Tools menu of Internet Explorer (or using similar tools with other browsers) select Internet Options.

clip_image001

2. Proceed to the Content tab and press the Certificates button.

clip_image002

3. Select the Certificate you want to use to make a PFX file using your browser's Export feature.

clip_image003

4. You will see a Wizard that will guide you through the following steps.

clip_image004

5. By default the Export process will NOT include the Digital Certificate's Private key.

clip_image005

6. If you leave this option selected you WILL NOT be able to create a PKCS#12 compliant file because the PKCS standard states that "the file format stores private keys with accompanying Public key certificates protected with a password-based symmetric key". Therefore, if you do not export the Certificate's private key you will only be able to export .CER files and .P7B files which refer to previous standards.

clip_image006

7. By selecting to export the private key you enable your browser to create a PFX file which will be compliant with PKCS#12.

clip_image007

8. You can now create a PFX file. We suggest to leave the default settings that present the first and third options as NOT selected (i.e. unchecked).

clip_image008

9. Insert a password that will be requested when you want to use this Digital Certificate file.

clip_image009

10. Now specify a name for the resulting PFX file.

clip_image010

11. You will be presented with a summary of the export process.

clip_image011

12. You will have to insert the proper password to complete the export process.

clip_image012

clip_image013

If the password is wrong you will see the faulting message.

clip_image014

If you insert the correct password you will see the following message.

clip_image015

You can now have PentaPDF import this digital certificate and use it for digitally signing PDF files.

http://www.pentaware.com/pw/How_to_export_a_PFX_file_from_your_browser.htm

6:44 PM | Permalink | Blog it
5/26/2009

Тема разговора Lingvo - все версии :: Программы :: Компьютерный форум Ru.Board

Lingvo - все версии :: Программы :: Компьютерный форум Ru.Board:

Тем, кто купил двенадцатую английскую. Сравнение с x3 (на основании этой таблицы):

Новое:
Современный русско-английский юридический словарь. © «РУССО», 2006, Борисенко И.И., Саенко В.В.
Англо-русский политический словарь
Англо-русский и русско-английский словарь по психологии
Новый англо-русский словарь по радиоэлектронике
Поиск в интернете (умеет бесплатный Пунто)
Поиск в Википедии (аналогично)
Услуги переводчиков (хм...)
Поиск на форуме (опять же, смешно)

Убрано (есть в 12, но почему-то отсутствует в x3):
Толковый словарь английского языка “Collins English Dictionary” (120 000 статей) (в x3 его заменил Толковый словарь английского языка "Oxford Dictionary of English, Revised Edition" (335 000 статей))
PALM Handheld (поддержка убрана окончательно)
Установка на КПК и смартфоны и Lingvo Tutor на Pocket PC (есть, но только в Многоязычной версии за 2890 р.)

Таким образом необходимость покупки новой версии я лично для себя поставил под большое сомнение. В сухом остатке имеем словарь по психологии, словарь по радиоэлектронике, политический словарь, юридический словарь и обновлённый и расширенный словарь на английском языке. И убранную поддержку смартов.

---------------------------------------------------------------------------------------------------------------------------------

... появилось изрядное количество пользовательских толковых словарей и энциклопедий, включающих в себя десятки тысяч звуковых файлов и иллюстраций, встал вопрос: а можно ли всем этим добром пользоваться на WinMobile? Недоработанность мобильных Lingvo 12 и х3 вынуждает не интегрировать всю мультимедию в словарь.lsd, а кидать отдельно звук и изображения в одну папку со словарём, скомпилированным в "голом виде", без м-медиа. Очевидно, что поместив больше одного словаря в стандартную папку Dic, мы рискуем столкнуться с одноименными файлами, которые либо исказят работу словарей, либо просто создадут невообразимый бардак в паке Dic (напомню, файлов этих десятки и больше тысяч). Очевидно, что надо каждый огромный словарь поместить в отдельную персональную папку, но Лингво, на первый взгляд, их не видит и не подхватывает. Только на первый...

Дальнейшие примеры были проверены на Lingvo x3. Понадобится редактор реестра и никакой боязни перед ним.
Условные обозначения: файл нашего словаря - MyDictionary.lsd, его название в Лигво - MyDictionary (En-En), стандартная папка словарей - ...\Program Files\ABBYY Lingvo x3\Dic

1. Условимся, что мы уже скомпилировали из dsl наш MyDictionary.lsd, не включив в него мультимедиа-файлы
2. Создаем в папке \Program Files\ABBYY Lingvo x3\Dic подпапку с названием MyDictionary
3. Терпеливо закачиваем в нее мультимедиа-файлы, но не MyDictionary.lsd
4. Сам MyDictionary.lsd кидаем в стандартную \Program Files\ABBYY Lingvo x3\Dic
5. Запускаем Лингво, она подхватывает этот словарь.
6. Выходим из Лингво
7. Перемещаем наш словарь из папки Dic в папку Dic\MyDictionary
8. Открываем реестр, а именно HKCU\Software\ABBYY\Lingvo\14.0\Dictionaries. Здесь мы видим различные направления перевода: 1033-1033, 1033-1049, 1049-1033 и др. 1033 - английский язык, 1049 - русский, ну это должно быть ясно.
Раз мы ставим англо-английский словарь, значит открываем 1033-1033.
Находим ключ Dict# с параметром, начинающимся с MyDictionary (En-En), открываем его. Строка выглядит примерно так:
MyDictionary (En-En)\\...\\Program Files\\ABBYY Lingvo x3\\Dic\\MyDictionary.lsd,0,1,1. Обращаем особое внимание на двойные слэши! Цифры означают - первая: 0-пользовательский, 1-системный, третья: 0-галка в списке словарей не стоит, 1-галка стоит, вторая: без понятия...
9. Цифры не трогаем, но в путь вписываем папку нашего словаря, вот так:
MyDictionary (En-En)\\...\\Program Files\\ABBYY Lingvo x3\\Dic\\MyDictionary\\MyDictionary.lsd,0,1,1
10. Подтверждаем изменение в реестре и выходим из редактора.

В принципе можно сразу запускать Лингво, но можно (на некотором железе) подождать секунд 15 и сделать софт-ресет, после чего пользоваться.

Если совсем коротко, то просто важен порядок. Сначала стандартно устанавливаем словарь, чтобы Лингво его подхватила, затем перемещаем словарь в нужную нам папку и прописываем в реестре путь к ней. Всё

! Перед любыми изменениями в реестре не забывайте делать бэкап (полный или частичный) !

P.S. Мне бы хотелось, чтобы те, кто попробует, сообщили, открываются ли у них из Лингво файлы озвучки пользовательских словарей. У меня этот вопрос пока не решен, и я не пойму, глобальная эта проблема или локальная, софтово-железная...

5:20 PM | Permalink | Blog it
5/22/2009

Microphone over RDP in Windows Server 2008

“native Windows Terminal Services supports only audio redirection from the server to the client”

Микрофон на Windows Server 2003 работает в Citrix или другом софте, попробуем последние на Server 2008.

1. FabulaTech Sound over RDP

Sound over RDPhttp://www.sound-over-rdp.com/sound-over-rdp.html

$99, скидка на опт

Server trial version limitations: 15-days trial, only 5 simultaneous connections to the Server.

Софт должен ставиться и на клиента и на сервер.

Server 2008 указан только в списке клиентов терминальной сессии, а серверная система XP или 2003

image

и в 2008 сервере на этом приветствии всё заканчивается image

Можно конечно попробовать обмануть инсталятор с помощью какой нибудь windows Application Verifier, но как-то нет сейчас желания.

2. Elusiva Remote Sound

http://www.elusiva.com/products/RemoteSound.aspx

“i originally got it for its microphone capability, i also found that it also works really well for giving multimedia classes online. no lag and very smooth.”

Поддерживаемые Operating System XP и 2003. Надо регистрироваться чтобы скачать.

image

image

Ставим на сервер:

image

Server 2008 не поддерживается, но софт установился однако.

Потребовалась онлайн-активация с помощью полученного по почте ключа.

evaluation license key for Remote Sound. It is valid for 14 days and 5 concurrent connections

Теперь ставим на клиента WinXP SP3:

image

Здесь активация не потребовалась.

Из мануала:

2.3 Unlocking trial installation

If you installed trial software and now have an activation key to convert your exist­ing setup into a full version, please open license viewer application from Start->All Programs->Elusiva Remote Sound->Activation. Click on the Activation key button and paste the key there. It will unlock the trial. Don’t forget to restart Windows after adding additional license keys!

Additional connection license keys are added the same way.

2.4 Server configuration

Elusiva Remote Sound server will work once it is installed, without additional need for configuration.

Advanced administrators can specify audio compression preferences.

To change compression executive the following:

• rdpsndsrv -recformat for recording format

• rdpsndsrv –plbformat for playback format.

image

A format selection dialog will appear and show current compression format:

image

Now format and its attributes can be chosen and saved to the registry. A new for­mat  will be used for all terminal services sessions. Not all compression formats are always supported.

Файлы программы установились в Program Files и в %windir%\system32

image

По-прежнему там где ожидалось увидеть микрофон: No audio devices.

Файл data.lic требует возможности в него писать. Ок, это разрешим.

image

Но всё-равно не айс:

image

И соответственно не работает передача звука с микрофона в терминал. image

Простые пляски с бубном тоже не помогают:

image image

 

3. совсем не по-русски

there is a solution to record sound from terminal server over RDP, the solution is called Galeon, is from colombia so is in spanish ... they have a virtual sound card that export the microhpone interface and connect it to the client, so in the client you talk with your mic and the application in the terminal server receive the buffer as a real microphone ...
The page is: http://www.slmsistemas.com

“…programa que funcione sobre plataforma Windows, (DOS, 98, xp, etc.)” – про Server 2008 ни слова

--------------------

Maxim_MSFT (Expert):
There are no plans to support 'remote microphone' capability in Windows 'Longhorn' Terminal Services. Remote audio is supported. At the same time, TAPI requires both to function, so you could hear (remote audio), as well as speak ('remote microphone'). So the short answer is no: there are no plans to do that.

http://support.microsoft.com/kb/940789

11:19 AM | Permalink | Blog it
5/20/2009

Using Remote Desktop in Server Core

You can use Remote Desktop (also known as Terminal Services for Administration) to administer a Server Core installation remotely in exactly the same way you would administer it from the local console of the server. By default, Remote Desktop is disabled on Server Core, so before you can use Remote Desktop to manage a Server Core installation remotely, you must first enable Remote Desktop on the server. This can be done in several ways, as the next sections illustrate.

Enabling Remote Desktop Using Scregedit.wsf

You can use the Scregedit.wsf script to enable Remote Desktop on your Server Core installation by logging on locally to your server and doing the following:

C:\Users\Administrator> cscript %windir%\system32\scregedit.wsf /ar 0 
Microsoft (R) Windows Script Host Version 5.7 
Copyright (C) Microsoft Corporation. All rights reserved. 
 
Registry has been updated.

To verify that the registry change has been made, do this:

C:\Users\Administrator>cscript %windir%\system32\scregedit.wsf /ar /v 
Microsoft (R) Windows Script Host Version 5.7 
Copyright (C) Microsoft Corporation. All rights reserved. 
 
System\CurrentControlSet\Control\Terminal Server fDenyTSConnections 
View registry setting. 
0

A value of 0 for the fDenyTSConnections registry value means that Remote Desktop is enabled on the system, while a value of 1 means that Remote Desktop is disabled. If you later decide you want to disable Remote Desktop on your Server Core installation, type cscript %windir%\system32\scregedit.wsf /ar 1 at a command prompt.

Tip If your current directory is C:\Windows\System32, you can shorten these commands by omitting the %Windir%\System32\ portion of them.



Enabling Remote Desktop using Scregedit.wsf also automatically enables the Remote Desktop rule group in Windows Firewall.

Enabling Remote Desktop Using an Answer File

You can use an answer file to enable Remote Desktop during an unattended install of Server Core. You do this as follows:

  1. Add the following component to the specialize configuration pass of your answer file:

    Microsoft-Windows-TerminalServices-LocalSessionManager

  2. In the Properties pane, click the box to the right of the fDenyTSConnections setting; a drop-down arrow appears. Click the drop-down arrow and select False, as shown here.

    Dd184089.figure_C06626263_1(en-us,TechNet.10).png

  3. Add the following component to the oobeSystem configuration pass of your answer file:

    Microsoft-Windows-Shell-Setup\FirstLogonCommands\SynchronousCommand

  4. In the Properties pane, type C:\Windows\system32\netsh advfirewall -firewall set rule group="Remote Desktop" new enable=yes in the box beside CommandLine and type 1 (or another number if you are running multiple FirstLogonCommands) in the box beside Order.

Tip You can also use WinRS to enable Remote Desktop remotely on a Server Core installation. See the section "Using WinRS to Administer Server Core in a Domain," later in this chapter, for more information.



Using Scregedit.wsf to Require Network Level Authentication for Remote Desktop

By default, when Remote Desktop is enabled on Server Core, computers running versions of Microsoft Windows earlier than Windows Vista are allowed to connect. You can use the Scregedit.wsf script to prevent computers running versions earlier than Windows Vista from connecting to Server Core using Remote Desktop by logging on locally to your server and doing the following:

C:\Users\Administrator>cscript %windir%\system32\scregedit.wsf /cs 1 Microsoft (R) Windows Script Host Version 5.7 
Copyright (C) Microsoft Corporation. All rights reserved. 
 
Registry has been updated.

Doing this increases the security of your Server Core installation by requiring that the client you are using to administer Server Core uses Network Level Authentication. For more information, see the section "Configuring Remote Desktop to Require Network Level Authentication," in Chapter 3, "Initial Configuration."

Using an Answer File to Require Network Level Authentication for Remote Desktop

You can use an answer file to require that Network Level Authentication be used for Remote Desktop connections. You do this as follows:

  1. Add the following component to the specialize configuration pass of your answer file:

    Microsoft-Windows-TerminalServices-RDP-WinStationExtensions

  2. In the Properties pane, click the box to the right of the UserAuthentication setting and type 1 to require Network Level Authentication, as shown here.

    Dd184089.figure_C06626263_2(en-us,TechNet.10).png

You can also configure the SecurityLayer setting to specify how your server and Remote Desktop clients authenticate each other prior to a Remote Desktop connection being established. The possible values for this setting are shown in Table 6-1.

Table 6-1 The SecurityLayer Setting Values

Dd184089.table_C06626263_1(en-us,TechNet.10).png

Using Remote Desktop to Administer Server Core

To use Remote Desktop to administer a Server Core installation, log on to a computer running Windows Vista or Windows Server 2008 and do the following:

  1. Press the Windows key+R to open the Run text box.
  2. Type mstsc and press Enter to open Remote Desktop Connection.
  3. Type the name, either NetBIOS or Fully Qualified Domain Name (FQDN), or the Internet Protocol (IP) address of your Server Core installation in the Computer text box.
  4. Click Options and type the name of a user account that has administrative privileges on the Server Core installation. Be sure to type this user name in the form servername\username (if the server belongs to a workgroup) or domainname\username (if the server belongs to a domain), as shown here.

    Dd184089.figure_C06626263_3(en-us,TechNet.10).png

  5. Click Connect. When the Windows Security dialog box appears, type the password for the user account you are using to administer Server Core, as shown here.

    Dd184089.figure_C06626263_4(en-us,TechNet.10).png

  6. Select Remember My Credentials if you want Credential Manager to save the credentials for this user.
  7. Click OK. After a few moments, Remote Desktop Connection should connect to your remote Server Core installation (as shown here), and you then can administer your server using the same methods described in Chapter 5, "Local Management."

    Dd184089.figure_C06626263_5(en-us,TechNet.10).png

  8. When you are finished administering your server, type logoff to end the Terminal Services session with the remote server.

Note Like the Full installation option of Windows Server 2008, the Server Core installation option supports two simultaneous Terminal Services connections for remote administration.



Using TS Remote App for Publishing Cmd to Administer Server Core

You don't have to use the full version of Remote Desktop to administer Server Core remotely. Instead, you can use Terminal Services RemoteApp to publish the Server Core command interpreter (Cmd) so that it can be started on another computer. That way, the command prompt running on Server Core programs can be accessed remotely using Terminal Services and appear as if it is running on your local administrator workstation. TS RemoteApp programs run side by side with local programs and can be maximized or minimized just as local programs can be.

To use TS Remote App to publish Cmd running on Server Core, do the following:

  1. On the Server Core installation you want to manage, enable Remote Desktop using one of the methods described earlier in this chapter. Then enable the Remote Administration rule group in Windows Firewall by typing the following command:

    netsh advfirewall firewall set rule group="Remote Administration" new enable=yes

  2. Now install the Terminal Server role service of the Terminal Services role on a computer running Windows Server 2008. Alternatively, you can install the Terminal Server Tools component of RSAT on a computer running Windows Server 2008, which you can then use as a Terminal Services management station.
  3. On your terminal server (or on your Terminal Services management station), click Start, Administrative Tools, Terminal Services, and finally TS RemoteApp Manager to open the TS RemoteApp console on your terminal server.
  4. Click Connect To Computer in the right Actions pane to open a Select Computer dialog box. Select the Another Computer option and type or browse to the name of your Server Core computer. Click OK. Your TS RemoteApp Manager console is now connected to the Server Core computer.
  5. In the Actions pane, click Add RemoteApp Programs, Next, and Browse to open the Choose A Program dialog box. Browse the local file system of the Server Core computer using the connection to the C$ administrative share on that computer until you find and select the C$\Windows\System32\Cmd.exe file. Click Open, Next, and finally Finish.
  6. In the RemoteApp Programs list, right-click Cmd.exe and select Create .rdp File from the drop-down menu to start the RemoteApp Wizard. Click Next twice and then click Finish. The folder C:\Program Files\Packaged Programs opens on your Server Core computer, displaying the .rdp file for Cmd.
  7. Double-click the .rdp file and click Connect. The Windows Security dialog box appears. Type credentials that have administrative privileges on the remote Server Core installation and then click OK.
  8. Click Run to run Cmd.exe on the remote Server Core installation and display the remote command interpreter as a command-prompt window on your desktop. You can also copy the .rdp file to any computer using the RDC 6.0 client or later and use it to connect to your Server Core installation and open the command prompt on the Server Core computer.

Managing Terminal Services on Server Core

You can use the following two MMC snap-ins for remotely managing Terminal Services (Remote Desktop for Administration) on Server Core:

  • Terminal Services Manager
  • Terminal Services Configuration

You can use these snap-ins on a Full installation of Windows Server 2008 that has the Terminal Services role installed, or you can use them on a computer running Windows Vista or Windows Server 2008 that has the RSAT installed.

You can also manage Terminal Services (Remote Desktop for Administration) from the command prompt on a Server Core installation. Table 6-2 lists the commands that you can use to manage Terminal Services locally on Server Core.

Table 6-2 Commands Available for Locally Managing Terminal Services on Server Core

Dd184089.table_C06626263_2(en-us,TechNet.10).png

For example, to display all Terminal Services sessions on a Server Core installation named SEA-SC2, do this:

C:\Users\tallen>query session /server:SEA-SC2  SESSIONNAME       USERNAME                 ID  STATE   TYPE       DEVICE  services                                    0  Disc  console           tallen                    1  Active  rdp-tcp#0         Administrator             2  Active  rdpwd  rdp-tcp                                 65536  Listen

The output of the Query Session command shows that administrator Tony Allen (tallen@contoso.com) is logged on locally to the Server Core installation, while the default Administrator account (either a built-in local or a domain account) is logged on remotely using a Remote Desktop session.

To log the remote Administrator off of the Server Core installation forcibly, log off session 2 as follows:

C:\Users\tallen>logoff 2 /server:SEA-SC2

Verify the result:

C:\Users\tallen>query session /server:SEA-SC2  SESSIONNAME       USERNAME                 ID  STATE   TYPE       DEVICE  services                                    0  Disc  console           tallen                    1  Active  rdp-tcp                                 65536  Listen
< Back [ http://technet.microsoft.com/en-us/library/dd184088.aspx ]      Next > [ http://technet.microsoft.com/en-us/library/dd163506.aspx ]
 

 http://technet.microsoft.com/en-us/library/dd184089(printer).aspx

7:03 PM | Permalink | Blog it
5/19/2009

Как умело прикинуться иностранным брендом

С советских времен у нашего покупателя сложилось четкое представление о том, что иностранные бренды могут служить мировым эталоном качества. При этом купить товары этих марок могут далеко не все.

Специально для тех, кто не может, российский предприниматель предлагает «европейское качество по доступным ценам» — продукцию китайского, польского и российского производства с красивыми иностранными названиями. Народ о происхождении товара догадывается, но все равно берет: иностранное-то все покрасивше нашего будет.

Начало иностранному брэндингу было положено после распада СССР, когда народ скупал на рынках все, что имело хотя бы малейший намек на западное происхождение. После кризиса 1998 года мода на «западное» спала — стране и так было тяжко, поэтому вернулись к истокам, к товарам с русскими названиями. А с начала нового тысячелетия опять пошла вверх. Во-первых, потому что бизнес изменился и стали выпускаться товары в более высокой ценовой категории, а во-вторых, бренды людям по прежнему нравятся «иностранные», даже если люди знают, что на самом деле вот эта немецкая бытовая техника делается в Азии по заказу русского бизнесмена, а вот в этом чае английские только буквы на коробочке.


Также читайте: Транснациональные трансвеститы

Техника


Президент компании «Голдер Электроникс» и владелец брэнда Vitek Андрей Деревянченко на старте своей карьеры совмещал торговлю техникой с работой охранником. Пять лет назад он зарегистрировал в Австрии торговую марку Vitek. Название происходит от слов vita (по-латыни — жизнь) и tech (в смысле — техника). Вопреки распространенному мнению никакого Витька в бизнесе одноименной компании нет. Место регистрации позволяет Vitek писать на коробках «Производитель: Австрия». Техника господина Деревянченко изначально позиционировалась как качественный товар по цене на 10—15% дешевле, чем аналогичный, но известных марок. Однако позднее компания смогла себе позволить обзавестись собственным дизайн-бюро для разработки уникальных моделей техники. Сейчас господин Деревянченко гордится разработанным в этом году чайником, мигающим по периметру красными лампочками и светящимся голубым неоновым светом.


Вместе с Деревянченко начинал и Евгений Назаров, основатель менее известной марки бытовой техники Vigor (образовано от английского vigorous — мужественный, сильный), она зарегистрирована в Венгрии. В Москве офис Vigor располагается в арендуемой у завода «Вымпел» комнате, где сидят 20 человек, стоят все модели бытовой техники и приятно пахнет борщом из заводской столовой.
Коммерческий директор Vigor Александр Назаров не скрывает, что вся бытовая техника их, как и любой другой российской, компании покупается в странах Юго-Восточной Азии, собирается на одних и тех же заводах и часто не просто похожа внешне, а одинакова. «Мы приезжаем на фабрики, смотрим, что они нам предлагают, выбираем понравившиеся модели и договариваемся о цене, за которую они поставят на чайник название нашей марки, — говорит он.— Разработкой собственного дизайна заниматься не имеет смысла: дорого, да и все равно украдут».


Торговая марка Scarlett (принадлежит компании Arima Holding Corp., совместному детищу китайцев и россиян), производитель самых покупаемых в России чайников, зарегистрирована в Англии в 1996 году и названа в честь Скарлетт О'Хара Гамильтон Кеннеди Батлер. Потому что целевая аудитория виделась родоначальникам марки преимущественно женской, хозяйственной, но не чуждой классики литературы и романтики.


Если выбор простейшей бытовой техники покупатель делает, ориентируясь лишь на цену, то все, что сложнее утюга, продать под малоизвестными марками уже очень сложно.

Rolsen — марка, придуманная в 1995 году выпускником МФТИ Сергеем Белоусовым — используется для телевизоров, домашних кинотеатров, мониторов, мобильных телефонов и стиральных машин. Но Rolsen никогда не разменивал свое имя на утюги. Начиналась компания со сборки телевизоров LG, а теперь выпускает и собственные на заводе во Фрязино (детали закупают в Юго-Восточной Азии). В последнее время наиболее успешно у Rolsen продаются мониторы и телевизоры, которых она выпускает по 150 тыс. и 240 тыс. штук в год соответственно. На том же заводе в подмосковном Фрязино делаются все продающиеся в России 20-, 21— и 25-дюймовые телевизоры LG.


Мелочью не занимается и торговая марка Kaiser , работающая на рынке как немецкая компания с середины 90-х и придуманная отцом-основателем Павлом Логиновым. Эта торговая марка успешно насыщает рынок крупногабаритной кухонной техникой. Ее господин Логинов делает на том же заводе в Польше, который выпускает и продукцию под маркой Hansa.

Марки Techno , Trony и  Elenberg тоже ни разу не западные. Они принадлежат крупным розничным сетям «Техносила», «Мир» и «Эльдорадо» соответственно. Они и присутствуют только в магазинах этих сетей. Никакого Эленберга, скажем, в Техносиле найти нельзя.


Зато Bork , продвигающий себя как немецкая техника, есть практически во всех магазинах, несмотря на то, что это бренд сети «Электрофлот». Но у Bork есть преимущество — брутальный весьма привлекательный дизайн и средний ценовой сегмент, тогда как продукция под тремя вышеперечисленными марками стоят очень дешево.


А также:







Чай-кофе


Компания Milagro (по-испански — чудо) работает на рынке с 1998 года и специализируется на растворимом кофе. Как рассказывает директор компании по маркетингу Никита Морев, когда они только начинали работать, доверия к западным производителям бодрящего напитка у нашего покупателя было больше, поэтому и пришлось прибегнуть к иностранному имени. Делают Milagro в Европе и России, главный офис компании располагается в Германии.


Еще одна компания — Kaffa Industries, известная в России своим растворимым кофе, работает здесь всего три года. Ее название выдумано, как и название вида кофе Kaffa Elgresso (Kaffa — это название провинции на востоке Африки, где, по легенде, впервые появился напиток кофе, а elgresso — просто красивое придуманное слово, ничего не означающее). Kaffa производит кофе на двух заводах в Подмосковье.

Бренды Greenfield , Tess , Jardin принадлежат питерской компании «Орими Трейд», а  Curtis & Patridge – производителю «Май». «Покупателю хочется верить, что марка, которую он выбирает, изготовлена из уникальной воды единственного в мире затерянного ледника в Тихом океане по случайно обнаруженному рецепту вымершего племени новозеландских аборигенов. И что особенно важно, он готов платить за это дополнительные деньги», – говорит Кирилл Дубинский, директор по стратегическому планированию и развитию бизнеса креативного агентства «Аврора».


Чай Greenfield позиционируется в премиальном ценовом сегменте как произведённая по заказу и под контролем компании Greenfield Tea Ltd., которая была учреждена 10 августа 2003 года в Великобритании санкт-петербургским производителем чая «Орими Трейд». Уже через пару недель его продукция появилась на российском рынке. На упаковке обозначены сайты с британскими доменами и лондонские адреса. Однако информации об истории фирмы на них не указано.


А ТАКЖЕ:

Косметика


Известная марка Faberlic начиналась в 1997 году и называлась «Русская линия». До этого ее основатели выпускники МГУ Алексей Нечаев и Александр Даванков торговали на рынке ценных бумаг. Потом пробовали производить биодобавки и бытовую химию, но в итоге решили заняться косметикой. Поначалу компания даже хотела сыграть на том, что она российская. Но исследования показали парадоксальные вещи. С одной стороны, наши женщины ценят русскую косметику за натуральность. С другой — хотят видеть у себя на туалетном столике стильную упаковку с космополитическим названием.
Новое слово для «Русской линии» придумывали целый год. В результате решили синтезировать слова faber (мастер) и «лик» (lic). И для иностранного, и для русского уха слово новое, и оно по задумке производителя должно вызывать у покупателя ассоциации с известным всему миру Фаберже.

В этом году компания Faberlic специально проводила опрос среди своих покупательниц, с помощью которого выяснила, что 30% принимают ее за российского производителя, 29% — за иностранного, а 24% считают, что это совместное производство. На самом деле делают косметику на двух заводах — в Балашихе и Подмосковье, используя при этом, впрочем, сырье и разработки иностранных фирм.

А ТАКЖЕ:


Одежда и обувь


Сеть магазинов одежды Sela , являясь российским брендом, принципиально не переводит на русский язык свой слоган Feel The Same, которому уже лет 10, почти столько же, сколько и самой сети.


Никакого обувного мастера Carlo Pazolini не существует и никогда не существовало. Звучит, конечно, прекрасно. Ласкает слух всякой женщины, которая живет с твердым и справедливым убеждением, что лучшая в мире обувь — итальянская. Carlo Pazolini Group — это название российской компании, у которой есть собственные обувные фабрики в России и Китае и сеть фирменных магазинов.



TJ Collection, которая, как пишут в пресс-релизах, «была создана в Великобритании в 1992 году», выпускает обувь под тремя торговыми марками: TJ Collection , Chester и  Carnaby . Производятся они все, опять-таки судя по пресс-релизам, на «семейных обувных производствах Италии и Испании с использованием ручного труда». Продумано было все до мелочей. У каждой марки — своя целевая аудитория. TJ Collection покупают следящие за модой представительницы среднего класса; Chester — любители добротной классической обуви; Carnaby — молодежь. Удивляло покупателей только одно — когда они, отправившись по делам или в отпуск в Англию, пытались найти магазин любимой марки, ничего не выходило.


Ростовский бизнесмен Владимир Мельников шьет джинсы, джинсовую одежду, детский и взрослый трикотаж в Ростове и больше нигде. Очень гордится успехом своего предприятия и вообще выступает за отечественного производителя. Но тем не менее две его марки называются Gloria Jeans и  Gee Jey . Хотя здесь стоит сделать акцент, что происхождение компании никогда не скрывалось, а вовсе даже наоборот — всячески подчеркивалось.


Питерская фирма «Август Плюс» производит и продает женскую одежду под торговой маркой Oggi — очень сдержанную и простую, но, с другой стороны, модную и изящную. Поэтому ее любят покупать преподаватели, финансисты и другие строгие женщины, которые не могут очень уж экспериментировать со стилем. Само слово oggi — итальянское («Сегодня»), так что покупательницы в массе своей считают марку итальянской.


Обувь Ralf Ringer традиционно считают то ли немецкой, то ли австрийской. Но, на самом деле она производится на фабриках в Москве, Владимире и Зарайске. Руководители компании при этом охотно дают интервью разным деловым изданиям, увлеченно рассказывая и о нашем происхождении и о том, как они развивают производство и модернизируют фабрики.


Обувная сеть Tervolina тоже не скрывает места производства: обувь они шьют в Тольятти, на фабрике «Лидер». Да и название Tervolina они не специально придумывали, оно осталось еще с тех времен, когда свою обувь фирма не шила, а импортировала ее из Чехии и Венгрии.


Camelot , бренд ультрасовременной молодежной обуви, тоже наш. История компании «Camelot» началась в 1996 году с открытия небольшого магазина, где были представлены коллекции «Grinders», «Dr.Martens», «Shellys» и др. Но не все могли позволить эту обувь из-за высокой цены. С 1999 года появилась почти такая же обувь, но сделанная не в Британии и США, а в Польше и Китае под контролем российской компании. А следовательно, доступная для молодежи.


Сеть магазинов «Спортмастер» обладает целой линейкой самых разнообразных брендов одежды и обуви sport— и casual-стиля. По большей части, продукция под этими брендами продается в самих магазинах, но для O'STIN всегда открывают отдельные магазины.

Другие марки «Спортмастера»: Demix, Outventure, Joss, Exxtasy, Termit, а также спортивное оборудование Torneo.

А также:













Спортивное оборудование




Продукты питания и товары для дома








А также:

канцтовары Erich Krause и оконные технологии Proplex



По материалам mi3ch , Business Magazine , Salespro , Коммерсантъ , rulife

15 мая 2009 08:00

Комментарии (233)

AddThis Social Bookmark Button

http://www.adme.ru/kreativnyj_obzor/2009/05/15/23488/

Carlo Pazolini, BRASKA, TJ Collection и др. придуманы по заказу отечественных обувных магнатов.

Дата: 2009-05-02 01:16:36
Николай Корч

Гениальный разводняк позволил крупнейшим обувным сетям здорово обогатиться за счет наивности потребителя, который наотрез отказывался носить продукцию фабрики «Большевичка», но с радостью «хавал» обувь под мелозвучным иностранным именем. Что ж, да здравствует сила пиара – экономический двигатель гламура и снобизма...

Приверженцы шоппинга эконом-класса могут злорадствовать: те, кто выкладывал большие деньги за модные «итальянские»…
и «европейские» брэнды, приговаривая «Я все покупаю только в «Интертопе», я фуфло не ношу», носили «лапти» родных обувных артелей. Оказывается, почти все известные «западные» марки типа Carlo Pazolini, Lobster, BRASKA, TJ Collection и другие придуманы пиарщиками по заказу отечественных обувных магнатов.
Гениальный разводняк позволил крупнейшим обувным сетям здорово обогатиться за счет наивности потребителя, который наотрез отказывался носить продукцию фабрики «Большевичка», но с радостью «хавал» обувь под мелозвучным иностранным именем. Что ж, да здравствует сила пиара – экономический двигатель гламура и снобизма…
Надпись «made in China» перестала быть позорной с тех пор, как тысячи европейских и американских фирм перенесли свое производство в Китай. Они многому научили китайцев. Западные модели и технологии плюс местные материалы и дешевая рабочая сила – по такому рецепту выпускается львиная доля мировых товаров. Прежде всего - одежда, обувь, электроника. Выйдя на общий среднекитайский уровень качества, торговые марки конкурируют теперь в эфемерном брендинге, раздувая видимость своего престижа и репутации.
Самые прогрессивные бизнесмены вышли на новый уровень обмана: от подделки товаров известных марок – до запуска новых брендов, по сути, так же фальшивых. Эта коммерческая практика не наносит материального вреда. Она бьет только по понтам узнавших об обмане покупателей. Но кто дал торгашам право бить по нашим родным понтам?
Хорошим образцом торговой марки, призванной законным путем вводить покупателей в заблуждение, является Carlo Pazolini (11 магазинов в Украине). В 1990-м году для сколотившего деньжат на торговле электроникой предпринимателя Ильи Резника её придумало рекламное агентство «Видео Интернешнл». Carlo Pazolini играет на убеждении советского человека в том, что лучшую обувь шьют в Италии. Надо отдать компании должное - создавая иллюзию, она не опускается до прямого обмана. Хотя можно представить, как много клиенток Carlo Pazolini хвастается подругам «итальянскими сапожками», на самом деле пошитыми в Китае по российскому заказу и дизайну.
Другой пример подает компания MTI, владеющая сетью «Интертоп» (41 магазин в Украине). Своё «уникальное портфолио» она пополнила private labels - собственными торговыми марками, обувь для которых выпускают фабрики-подрядчики. Но причастность к ним «Интертоп» не афиширует, наоборот - пробует надуть покупателей.
«Марка обуви Lobster появилась в 1978 году в Королевстве Нидерланды», - еще недавно врал нам сайт компании (теперь это предложение с сайта убрали, но простейшая проверка по Яндексу показывает, что оно там действительно было). Среди столичных рекламистов не является секретом, что название, логотип и концепцию Lobster осенью 2006 года разработало креативное бюро Sahar. По неподтвержденной информации, одна из арт-директоров агентства лично рисовала эскизы обуви. «Что это за фирма?» - спросил я, держа пару Lobster, в одном из магазинов «Интертоп». «Голландская», - ответил продавец. На этикетке указан адрес в Амстердаме, на который была зарегистрирована торговая марка…
«...Где-то в самом начале 90-х годов ХХ века, в лондонском районе Челси появилась интересная молодая девушка. Ее часто можно увидеть в самых популярных заведениях английской столицы, на художественных выставках, поэтических вечерах и просто на богемных тусовках… Только очень немногие знают, что девушку зовут Хелен Браска. Она - дизайнер и у нее есть мечта – легкая и изящная. Она хочет придумать самую лучшую обувь в мире… Так, или примерно так, зародилась одна из самых прогрессивных торговых марок обуви под названием BRASKA», – продолжал рассказывать нам сказки сайт «Интертопа» (кстати, сейчас ни о какой Хелен Браска на сайте нет ни слова, но Яндекс не даст соврать!). Между тем, BRASKA появилась на свет благодаря агентству, которое называлось тогда Saatchi & Saatchi. Название было придумано копирайтером. Естественно, Google никакой Хелен Браска не знает. Cайт brasca.co.uk зарегистрирован на некоего Евгения Филатова. Адрес регистрации - ул. Каштановая, 12-б. Это на Троещине, а не в лондонском районе Челси. «Английская фирма», - сказал мне интертоповский продавец.
В конце 2005 года стартовала шикарная рекламная кампания Luciano Carvari под слоганом «Відтепер в Україні!» Подразумевалось, что на наш рынок выходит итальянский бренд с историей. Подозрение, вызванное относительно низкими ценами, подтверждалось русским языком официального сайта carvari.com. При простейшей проверке выяснилось, что он зарегистрирован на днепропетровскую компанию, управляющую сетями по продаже обуви «Gianni» и «Shabelski». Ни одного сайта на итальянском, подтверждающего существование дизайнера Luciano Carvari и его «семьи потомственных обувщиков», Google не знает. В представленном на carvari.com досье-легенде полно нестыковок, зато нет фотографии.
Компания TJ Collection утверждает, что «была создана в Великобритании в 1992 году». Очень может быть, ведь регистрация фирмы-владельца марки стоит в Лондоне около $10 тысяч. Сейчас компания продвигает 3 бренда: TJ Collection - для примодненного среднего класса, Chester - для любителей классики, Carnaby - для молодежи. В их рекламе используются обороты «продолжая старинные традиции английских мастеров», «неповторимый английский стиль», «сердце свингующего Лондона 60-х». Да только в самой Англии вы не найдете магазинов этих марок. В 2005 году журнал «Имеешь право» написал о том, что обувь всех этих марок производится под Липецком. Доказательств этому не было найдено, зато в Интернете появились свидетельства людей, будто бы знающих владельцев фирмы - Тимура и Юлию (их инициалы заложены в название TJ Collection). Свой бизнес они начинали в Уфе, сейчас, по слухам, живут в ЮАР.
«Красивая и удобная обувь изготавливается в Италии и Испании, на семейных обувных производствах, секреты мастерства в которых передаются из поколения в поколение», - утверждает TJ Collection. «Дизайнеры у них наши, заказы размещают на разных фабриках - ну, кто самые выгодные условия предложит, тому и достанется. Бывает, в России шьют, бывает - в Китае. В Италии потом фирменные стельки во всю партию вложат, в коробки запакуют - и все, можно писать Made in Italy», - цитирует интернет-анонима журнал «Русская жизнь».

Комментарии к новости / События / Carlo Pazolini, BRASKA, TJ Collection и др. придуманы по заказу отечественных обувных магнатов.

igor-91 | 2009-05-18 20:45:47
На ecco проседает пятка, рвется отделочная нитка и лопается кожа на стыках с подошвой. ЕССО - говно.

Аноним | 2009-05-18 14:55:29
Говно не говно, но в Интертопе обувь, которая нравится и носится не менее 2 лет. А обувь из троещинского рынка - полный отстой.

Mike_V | 2009-05-18 11:52:19
Про Carlo Pazolini из Китая слышал и раньше, а вот про Интертоп... М-да... Хотя ECCO у них вроде как настоящее. Носится очень хорошо и долго.

IGOR-91 | 2009-05-16 22:21:07
Работаю в киоске по ремонту обуви. У некоторых " счастливых обладателей " так называемой итальянской обуви твердое убеждение , что именно ИХ обувь действительно фирменная и отменного качества. И НИКОГО не смущает тот факт, что максимум через 3 месяца их обувь нуждается в ремонте ! Просто таких понтовозов разводят на бабки ,как самых последних лохов ! В конце концов можно поставить любую лейбу на любую вещь. А разводить лохов у нас умеют !!!

Smyak | 2009-05-14 21:08:01
Cтатья и правда оказалась позновательной. не ожидала я такого удара в спину от Carlo Pazolini.и с "Интертопом" интересно вышло.обламали))

аноним | 2009-05-09 12:54:11
100% правда работал в интертопах, гавно эта ваша обувь!!!!!

JeykeY | 2009-05-06 22:26:32
да статейка отличная)) респект автору!) я сам впринципе беру обувь харьковской фабрики но на ней никогда нет логотипа харьков)) зато все модели всегда или NIKE или adidas и носятся если старатся их убить года 3) я думаю их конкуренты из фирменых магазинов тех же брендов наврятли продержатся больше или хотя бы столько) так что мне на понты всервно главное что бы носилось хорошо и удобно) ну и не дорого!)

snake | 2009-05-04 12:40:19
"Эта коммерческая практика не наносит материального вреда. Она бьет только по понтам узнавших об обмане покупателей. Но кто дал торгашам право бить по нашим родным понтам?"
значит очень полезная практика :)
какая разница где и кем что-то сделано, если сделано хорошо?

DEREZZA | 2009-05-03 21:12:46
Блестящая, изящная статья, моё восхищение автору !! Действительно: более сокрушительного удара по Нашим Понтам, замешанным ещё на советском убеждении, что "Наше" - гавно (и это было чистейшей правдой), а "Ихнее" - Дар Божий, я не испытывал давно... Разве что шок от сборочных заводов "DOMOТЕХНИКИ" под Киевом, откуда и поступают в торговую сеть плазменные панели "от Самсунга" и стиралки "от Аристона и Занусси".

http://bigbord.net/news/sobitiya/154739.html

Бренды-оборотни

Лже-иностранные марки

С советских времен у нашего покупателя сложилось четкое представление о том, что иностранные бренды могут служить мировым эталоном качества. При этом купить товары этих марок могут далеко не все.

Специально для тех, кто не может, российский предприниматель предлагает «европейское качество по доступным ценам» — продукцию китайского, польского и российского производства с красивыми иностранными названиями. Народ о происхождении товара догадывается, но все равно берет: иностранное-то все покрасивше нашего будет. Начало иностранному брэндингу было положено после распада СССР, когда народ скупал на рынках все, что имело хотя бы малейший намек на западное происхождение.

После кризиса 1998 года мода на «западное» спала — стране и так было тяжко, поэтому вернулись к истокам, к товарам с русскими названиями. А с начала нового тысячелетия опять пошла вверх. Во-первых, потому что бизнес изменился и стали выпускаться товары в более высокой ценовой категории, а во-вторых, бренды людям по прежнему нравятся «иностранные», даже если люди знают, что на самом деле вот эта немецкая бытовая техника делается в Азии по заказу русского бизнесмена, а вот в этом чае английские только буквы на коробочке.

Техника

Президент компании «Голдер Электроникс» и владелец брэнда Vitek Андрей Деревянченко на старте своей карьеры совмещал торговлю техникой с работой охранником. Пять лет назад он зарегистрировал в Австрии торговую марку Vitek. Название происходит от слов vita (по-латыни — жизнь) и tech (в смысле — техника). Вопреки распространенному мнению никакого Витька в бизнесе одноименной компании нет. Место регистрации позволяет Vitek писать на коробках «Производитель: Австрия». Техника господина Деревянченко изначально позиционировалась как качественный товар по цене на 10—15% дешевле, чем аналогичный, но известных марок. Однако позднее компания смогла себе позволить обзавестись собственным дизайн-бюро для разработки уникальных моделей техники. Сейчас господин Деревянченко гордится разработанным в этом году чайником, мигающим по периметру красными лампочками и светящимся голубым неоновым светом.

Вместе с Деревянченко начинал и Евгений Назаров, основатель менее известной марки бытовой техники Vigor (образовано от английского vigorous — мужественный, сильный), она зарегистрирована в Венгрии. В Москве офис Vigor располагается в арендуемой у завода «Вымпел» комнате, где сидят 20 человек, стоят все модели бытовой техники и приятно пахнет борщом из заводской столовой.
Коммерческий директор Vigor Александр Назаров не скрывает, что вся бытовая техника их, как и любой другой российской, компании покупается в странах Юго-Восточной Азии, собирается на одних и тех же заводах и часто не просто похожа внешне, а одинакова. «Мы приезжаем на фабрики, смотрим, что они нам предлагают, выбираем понравившиеся модели и договариваемся о цене, за которую они поставят на чайник название нашей марки, — говорит он.— Разработкой собственного дизайна заниматься не имеет смысла: дорого, да и все равно украдут».

Торговая марка Scarlett (принадлежит компании Arima Holding Corp., совместному детищу китайцев и россиян), производитель самых покупаемых в России чайников, зарегистрирована в Англии в 1996 году и названа в честь Скарлетт О’Хара Гамильтон Кеннеди Батлер. Потому что целевая аудитория виделась родоначальникам марки преимущественно женской, хозяйственной, но не чуждой классики литературы и романтики.

Если выбор простейшей бытовой техники покупатель делает, ориентируясь лишь на цену, то все, что сложнее утюга, продать под малоизвестными марками уже очень сложно.
Rolsen — марка, придуманная в 1995 году выпускником МФТИ Сергеем Белоусовым — используется для телевизоров, домашних кинотеатров, мониторов, мобильных телефонов и стиральных машин. Но Rolsen никогда не разменивал свое имя на утюги. Начиналась компания со сборки телевизоров LG, а теперь выпускает и собственные на заводе во Фрязино (детали закупают в Юго-Восточной Азии). В последнее время наиболее успешно у Rolsen продаются мониторы и телевизоры, которых она выпускает по 150 тыс. и 240 тыс. штук в год соответственно. На том же заводе в подмосковном Фрязино делаются все продающиеся в России 20-, 21— и 25-дюймовые телевизоры LG.

Мелочью не занимается и торговая марка Kaiser , работающая на рынке как немецкая компания с середины 90-х и придуманная отцом-основателем Павлом Логиновым. Эта торговая марка успешно насыщает рынок крупногабаритной кухонной техникой. Ее господин Логинов делает на том же заводе в Польше, который выпускает и продукцию под маркой Hansa.

Марки Techno , Trony и Elenberg тоже ни разу не западные. Они принадлежат крупным розничным сетям «Техносила», «Мир» и «Эльдорадо» соответственно. Они и присутствуют только в магазинах этих сетей. Никакого Эленберга, скажем, в Техносиле найти нельзя.

Зато Bork , продвигающий себя как немецкая техника, есть практически во всех магазинах, несмотря на то, что это бренд сети «Электрофлот». Но у Bork есть преимущество — брутальный весьма привлекательный дизайн и средний ценовой сегмент, тогда как продукция под тремя вышеперечисленными марками стоят очень дешево.

Чай-кофе

Компания Milagro (по-испански — чудо) работает на рынке с 1998 года и специализируется на растворимом кофе. Как рассказывает директор компании по маркетингу Никита Морев, когда они только начинали работать, доверия к западным производителям бодрящего напитка у нашего покупателя было больше, поэтому и пришлось прибегнуть к иностранному имени. Делают Milagro в Европе и России, главный офис компании располагается в Германии.

Еще одна компания — Kaffa Industries, известная в России своим растворимым кофе, работает здесь всего три года. Ее название выдумано, как и название вида кофе Kaffa Elgresso (Kaffa — это название провинции на востоке Африки, где, по легенде, впервые появился напиток кофе, а elgresso — просто красивое придуманное слово, ничего не означающее). Kaffa производит кофе на двух заводах в Подмосковье.

Бренды Greenfield , Tess , Jardin принадлежат питерской компании «Орими Трейд», а Curtis & Patridge – производителю «Май». «Покупателю хочется верить, что марка, которую он выбирает, изготовлена из уникальной воды единственного в мире затерянного ледника в Тихом океане по случайно обнаруженному рецепту вымершего племени новозеландских аборигенов. И что особенно важно, он готов платить за это дополнительные деньги», – говорит Кирилл Дубинский, директор по стратегическому планированию и развитию бизнеса креативного агентства «Аврора».

Чай Greenfield позиционируется в премиальном ценовом сегменте как произведённая по заказу и под контролем компании Greenfield Tea Ltd., которая была учреждена 10 августа 2003 года в Великобритании санкт-петербургским производителем чая «Орими Трейд». Уже через пару недель его продукция появилась на российском рынке. На упаковке обозначены сайты с британскими доменами и лондонские адреса. Однако информации об истории фирмы на них не указано.

Косметика

Известная марка Faberlic начиналась в 1997 году и называлась «Русская линия». До этого ее основатели выпускники МГУ Алексей Нечаев и Александр Даванков торговали на рынке ценных бумаг. Потом пробовали производить биодобавки и бытовую химию, но в итоге решили заняться косметикой. Поначалу компания даже хотела сыграть на том, что она российская. Но исследования показали парадоксальные вещи. С одной стороны, наши женщины ценят русскую косметику за натуральность. С другой — хотят видеть у себя на туалетном столике стильную упаковку с космополитическим названием.
Новое слово для «Русской линии» придумывали целый год. В результате решили синтезировать слова faber (мастер) и «лик» (lic). И для иностранного, и для русского уха слово новое, и оно по задумке производителя должно вызывать у покупателя ассоциации с известным всему миру Фаберже.

В этом году компания Faberlic специально проводила опрос среди своих покупательниц, с помощью которого выяснила, что 30% принимают ее за российского производителя, 29% — за иностранного, а 24% считают, что это совместное производство. На самом деле делают косметику на двух заводах — в Балашихе и Подмосковье, используя при этом, впрочем, сырье и разработки иностранных фирм.

Fashion

Сеть магазинов одежды Sela , являясь российским брендом, принципиально не переводит на русский язык свой слоган Feel The Same, которому уже лет 10, почти столько же, сколько и самой сети.

Никакого обувного мастера Carlo Pazolini не существует и никогда не существовало. Звучит, конечно, прекрасно. Ласкает слух всякой женщины, которая живет с твердым и справедливым убеждением, что лучшая в мире обувь — итальянская. Carlo Pazolini Group — это название российской компании, у которой есть собственные обувные фабрики в России и Китае и сеть фирменных магазинов.

TJ Collection, которая, как пишут в пресс-релизах, «была создана в Великобритании в 1992 году», выпускает обувь под тремя торговыми марками: TJ Collection , Chester и Carnaby . Производятся они все, опять-таки судя по пресс-релизам, на «семейных обувных производствах Италии и Испании с использованием ручного труда». Продумано было все до мелочей. У каждой марки — своя целевая аудитория. TJ Collection покупают следящие за модой представительницы среднего класса; Chester — любители добротной классической обуви; Carnaby — молодежь. Удивляло покупателей только одно — когда они, отправившись по делам или в отпуск в Англию, пытались найти магазин любимой марки, ничего не выходило.

Ростовский бизнесмен Владимир Мельников шьет джинсы, джинсовую одежду, детский и взрослый трикотаж в Ростове и больше нигде. Очень гордится успехом своего предприятия и вообще выступает за отечественного производителя. Но тем не менее две его марки называются Gloria Jeans и Gee Jey . Хотя здесь стоит сделать акцент, что происхождение компании никогда не скрывалось, а вовсе даже наоборот — всячески подчеркивалось.

Питерская фирма «Август Плюс» производит и продает женскую одежду под торговой маркой Oggi — очень сдержанную и простую, но, с другой стороны, модную и изящную. Поэтому ее любят покупать преподаватели, финансисты и другие строгие женщины, которые не могут очень уж экспериментировать со стилем. Само слово oggi — итальянское («Сегодня»), так что покупательницы в массе своей считают марку итальянской.

Обувь Ralf Ringer традиционно считают то ли немецкой, то ли австрийской. Но, на самом деле она производится на фабриках в Москве, Владимире и Зарайске. Руководители компании при этом охотно дают интервью разным деловым изданиям, увлеченно рассказывая и о нашем происхождении и о том, как они развивают производство и модернизируют фабрики.

Обувная сеть Tervolina тоже не скрывает места производства: обувь они шьют в Тольятти, на фабрике «Лидер». Да и название Tervolina они не специально придумывали, оно осталось еще с тех времен, когда свою обувь фирма не шила, а импортировала ее из Чехии и Венгрии.

Camelot , бренд ультрасовременной молодежной обуви, тоже наш. История компании «Camelot» началась в 1996 году с открытия небольшого магазина, где были представлены коллекции «Grinders», «Dr.Martens», «Shellys» и др. Но не все могли позволить эту обувь из-за высокой цены. С 1999 года появилась почти такая же обувь, но сделанная не в Британии и США, а в Польше и Китае под контролем российской компании. А следовательно, доступная для молодежи.

Также «иностранными» марками являются:
Техника Akira , Binatone , Polar , автомобильное аудио-видео оборудование Prology , канцтовары Erich Krause , бытовая химия Frau Schmidt , джинсы Motor , одежда Baon , BeFree , Incity , кофе Jardin , чай Maître de Thé , майонез Mr.Ricco , пиво Altstein и Bagbier и бессчетное множество других.

Как показывают данные опроса респондентов, такими качествами, как педантичность, пунктуальность и аккуратность, обладают немцы. Поэтому логично делать акцент на немецком качестве, выпуская канцелярские товары, чем в России как раз и занимается российская компания Erich Krauser.

Источник: Adme.ru

Почему компании используют для своих брендов разные названия в странах мира? Все знают Opel, и многие в курсе, что в Великобритании эти автомобили известны под брендом Vauxhall. В Австралии те же автомобили называются Holden . # # # # # # # # # # #

Бренды: TJ Collection, Carlo Pazolini, Faberlic, Greenfield, Milagro, Bork, Trony, Elenberg, Kaiser, Rolsen, Scarlett, Vitek

http://brandz.ru/blog/60/46271

11:39 AM | Permalink | Blog it