Month: September 2008

Agyonütni… de csak az egyiket

Régi probléma. Van egy DNS szerverként is működő tartományvezérlő számítógépünk, melyben két hálókártya is van. Az egyik a külvilág felé néz, a másik a belső háló felé. (Csak a pontosság kedvéért: a külvilág azért nem a vad internet, hanem VPN-en keresztül egy másik kontinensen lévő társ vállalat.) Mindkét kártya felé adunk névfeloldási szolgáltatást.

Mi a gond?

Hát az, hogy a belső zónába simán beregisztrálódik a DC mindkét hálózati kártyájának a címe, sőt, az összes két hálókártyás gép címe is – emiatt néhányan panaszkodnak, hogy rossz IP címeket kapnak vissza.

Jó, mik a lehetőségeink?

A leginkább logikus természetesen az, hogy bemegyünk a hálózati kártyák beállításai közé, aztán a külsőn kikattintjuk, hogy automatikusan beregisztrálja magát. Logikus… de nem működik. Mégpedig azért nem, mert van ennél erősebb beállítás is. A DNS konzolban a konkrét szerver tulajdonságainál lehet beállítani, hogy mely hálózati kártyáin ad névfeloldási szolgáltatást a szerver. Márpedig ha mindkettőn, akkor mindkettő be is regisztrálódik. Ha a gép nem DNS szerver, akkor ugyanezt a registry-n keresztül tudjuk szabályozni:
a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters kulcs alatt fel kell venni egy változót PublishAddresses néven (reg_sz), majd pontosvesszővel elválasztva be lehet írni a regisztrálandó IP címeket. (Ha a változó nem létezik, akkor mindkét IP cím regisztrálódik.)

Ez mind szép, persze, de a mi problémánkat nem oldja meg. Ugyanis mi mindkét kártyán szolgáltatunk. Csak éppen nem szeretnénk, ha a külső cím is megjelenne a belső zónánkban.

Váltsunk csapásirányt. Miért is baj, hogy megjelenik a DC külső címe is? Vagy az Exchange szerveré? Egyáltalán, baj? Hiszen akik kintről kiváncsiak a zónára, azoknak szükségük is lehet erre a bejegyzésre. Azt kellene megoldani valahogyan, hogy a DNS kaméleon legyen: ha a külső hálózati kártyájáról jön egy kérdés, akkor a külső IP címeket dobja vissza, ha a belső kártyájáról, akkor a belsőket.

Happy end: van ilyen beállítás. DNS konzol, a szerver tulajdonságainál az advanced fül alatt ott vigyorog egy olyan beállítás, hogy ‘enable netmask ordering’. Ő a barátunk.

Outlook 2007 és a HTML

Az elmúlt hetekben a hírlevél küldés rejtelmeivel foglalkozom céges szinten. Miután saját hírlevélküldő motorom még nincs (a régi félkész levlista motorom, és a házi barkács scriptjeim nem igazán alkalmasak a feladatra) ezt használom erre a célra.

A napokban felmerült, hogy bizonyos saját termékeinket hirdetni kellene a hírleveleinkben. Azt gondoltam, hogy belepakolok a levélbe egy flash bannert. Csináltam is valami tesztet, el is küldtem magamnak. A banner helyett egy kedves piros X jött. Gondoltam biztos én vagyok a béna, mert a flash-t nem sima img-ként kell a html-be illeszteni (html-ből, css-ből eléggé limitált a tudásom). Fel is hívtam az ügyben guru ismerősöm, aki elmondta, hogy valóban nem img ami nekem kell, de:

1. Fejből nem tudja, hogy mi kéne

2. Az Outlook 2007 szerinte nem eszi a flash-t és a neten valahol van egy doksi ami beszél erről

Ok, akkor hagyjuk a flash-t van nekem egy animált gif-em az egyik termékhez, majd használom azt, ha elő tudom bányászni (az IE biztonsági beállításai miatt nem tudtam kimenteni az ADserver-ünkről). Addig is szóltam az online szerkesztőnek, hogy próbálja meg előkaparni.

Malmozás helyett nekiálltam túrni a netet a fenti Outlook doksi után.

Az első amit találtam egy cikk amiben azon pörög a szerző (mint később magam is rájöttem, joggal), hogy az Outlook 2007-ben a HTML rendering engine az IE helyett a Word.

Másodszorra rábukkantam az ismerős által emlegetett két Microsoft cikkre:

Rögtön az első cikkben meg is lett a válasz a flash/animált gif kérdésre:

Other Unsupported Web-Related Features

The following is a list of all other Web-related features that Word 2007 does not support:

  • Animated GIF images. Only a static representation of the GIF image shows.
  • Flash. Only a red “X” shows in the area where the flash would display.

Nem vagyok boldog.

Ráadásul a még csináltak egy külön HTML validatort kifejezetten az Outlook 2007-hez, amikor, ha csak betartották volna a szabványt, akkor nyugodtan lehetne ezt használni.

Elérhetetlen public folderek

Már teljesen beletörődtem.

Közbevetőleges kérdés: mi a különbség egy linux és egy microsoft admin között? Az, hogy az utóbbinak megadatott a hit lehetősége. A linux admin ugyanis _tudja_, mi történik a rendszerében.

No, szóval a magam részéről megszoktam már, hogy amikor feltelepítek egy Exchange 2003 szervert, egy ideig el tudom érni ESM-ből az Administrative Groups / admgroup / Folders alatt a public foldereket. Aztán egy idő után – talán miután beleszokott a szerver az organizációba – az elérés ellehetetlenül. Feljön egy hibaüzenet:

The token supplied to the function is invalid
ID. no: 80090308
Exchange System Manager

És ennyi.
Mondjuk, soha nem zokogtam emiatt tele a kispárnámat, általában mindig volt olyan Exchange szerver, amelyikről ment.

Ma egész véletlenül kiderült, mi is történik ilyenkor.

Ki kellett cserélnünk egy üzemelő Exchange szervert. Beraktuk az újat. A postafiókok elkezdtek vándorolni. A kollégák éppen a public foldereken állítgatták a replikákat, amikor én nekiálltam befaragni az owá-t. Felraktam egy tanusítványt, majd bekattintottam a default web site-on, hogy innentől mindenki szigorúan SSL-t kell használjon. IIS restart.
Abban a pillanatban jött egy ordítás a szomszéd szobából:
– JoeP, nem tudom, mit csináltál, de azonnal csináld vissza!

Természetesen nem csináltam vissza. IIS adminból végigmentem egyenként a virtuális site-okon és próbáltam behatárolni, konkrétan melyik site is az, mely nem lehet SSL elérésű. Nem meglepetés, az Exadmin-nál borult a bili.
A továbbiakban már egyszerű volt, a default web site SSL nélküli lett, integrated autentikációval, az Exadmin szintén, a többi pedig basic, SSL-lel.

ps.
Azt tudtam, hogy Exchange 2007 alatt powershell cmdlet van a website-ok jogosultságának resetelésére. De mi van Exchange 2003 alatt? Utánanéztem. Nem örültem.
A recept a következő:

  • Metabase backup.
  • A default web site alól törölni az összes site-ot. (Szívhez kap, összerogy.)
  • A Metabase-ből törölni az LM/DS2MB kulcsot. (Szigorúan Metabase Explorer.)
  • Újraindítjuk a System Attendant szolgáltatást.

Akit mélyebben is érdekel a dolog, itt talál róla cikket, itt meg screencastot.