Określanie i rozwiązywanie problemów związanych z wdrażaniem oraz konfiguracją stacji klienckich Windows 7

Określanie i rozwiązywanie problemów związanych z wdrażaniem oraz konfiguracją stacji klienckich Windows 7 PAWEŁ PŁAWIAK Training and Development Manager for Microsoft Technology Compendium - Centrum Edukacyjne pawel.plawiak@compendium.pl

Informacje techniczne Pomocy technicznej online przez cały czas trwania sesji udziela Krzysztof Jóźwiak >>> Krzysiek / Pomoc techniczna

Informacje techniczne W trakcie spotkania dyżur pełni autoryzowany administrator Prometric (Test Center Administrator Prometric) Anna Rubińska >>> Ania / TCAP

Informacje techniczne Jeżeli po podłączeniu do sesji Live Meeting 2007 pojawia się komunikat błędu, proszę go zamknąć i wybrać opcję Join Audio.

Informacje techniczne Plik z prezentacją jest do pobrania z poziomu klienta Live Meeting.

Informacje techniczne Odpowiedzi na najczęściej zadawane pytania znajdziecie na: http://www.wss.pl/forum/watek/srody-z-certyfikatem-70-686-sesja-7-okreslanie-i-rozwiazywanieproblemow-zwiazanych-z--wdrazaniem-oraz-konfiguracja-stacji-klienckich-windows-7,632335

Informacje techniczne Pytania do prowadzącego oraz odpowiedzi na pytania konkursowe przekazujemy wyłącznie poprzez moduł Q&A.

A co w inne dni tygodnia?

Konkurs 1 1 lutego 2 8 lutego 7 szt. 3 15 lutego LOSOWANIE 4 22 lutego 5 29 lutego 7 szt. FINAŁOWE 6 7 marca 7 14 marca 7 szt.

Konkurs W trakcie każdego LM w pewnym momencie zostanie przedstawione na slajdzie pytanie. Trzy pierwsze osoby, które odpowiedzą prawidłowo wygrywają (do wyboru wg kolejności) jedną z nagród: Koszulka polo, Kubek, Akumulator AA ładowany z USB. Liczą się odpowiedzi udzielone wyłącznie przez moduł Q&A. Osoby, które w trakcie spotkania lub najpóźniej do godziny 23.59 tego samego dnia prześlą na adres pawel.plawiak@compendium.pl poprawną odpowiedź oraz poprawne odpowiedzi (minimum z sześciu spotkań) w trakcie pozostałych spotkań (wg tych samych zasad) będą uczestniczyły w finałowym losowaniu nagród.

Nagrody finałowe 1 szt. 3 szt. 1 szt. 1 szt. Vouchery 100% na egzamin 5 szt. 20 szt. 3 szt. 1 szt. 1 szt.

Losowanie nagród finałowych

Statystyki Maksymalna liczba osób na spotkaniu 300 250 200 150 100 50 2 7 2 2 8 4 2 4 6 2 0 6 1 3 8 1 7 4 0

Statystyki 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 6 9 % 6 6 % 6 8 % 6 0 % 6 7 % 7 2 % 3 1 % 3 4 % 3 2 % 4 0 % 3 3 % 2 8 % Poprawne odpowiedzi Błędne odpowiedzi

Tematyka spotkania Procedury i metodyka rozwiązywania problemów Rozwiązywanie problemów z błędami Internet Explorer Rozwiązywanie problemów z dostępem do witryn Rozwiązywanie problemów z wydajnością Rozwiązywanie problemów z błędami Group Policy Określanie błędów związanych z Group Policy Rozwiązywanie błędów Group Policy Rozwiązywanie problemów błędami sieciowymi Rozwiązywanie problemów z sieciami przewodowymi Rozwiązywanie problemów z sieciami bezprzewodowymi Rozwiązywanie problemów z połączeniami zdalnymi Rozwiązywanie problemów z uwierzytelnianiem i autoryzacją Błędy uwierzytelniania Błędy autoryzacji

Procedura ogólna rozwiązywania problemów 1 Określenie symptomów 2 Ocena zakresu 3 Odizolowanie 4 Określenie listy potencjalnych przyczyn 5 Zastosowanie rozwiązania 6 Weryfikacja

Warstwowy model rozwiązywania problemów 1 Help Desk 2 Desktop Administrator 3 Network Administrator 4 Enterprise Administrator

Błędy dostępu do witryn Web Odnalezienie przyczyny błędów do witryn Web wiąże się z koniecznością zebrania różnych informacji. Do jakich witryn użytkownik nie ma dostępu? np. problemy z systemem rozpoznawania nazw Czy użytkownik ma dostęp do innych witryn? np. problemy z infrastrukturą sieciową Czy witryna jest tylko częściowo, czy całkowicie niedostępna? np. baza danych odpowiedzialna za pracę witryny Web Ilu użytkowników nie ma dostępu do witryny Web? np. problem z konfiguracją lokalnych ustawień komputera Jak długo witryna Web nie jest dostępna np. problem wynikający z restartu usług/serwerów

Poszukiwanie przyczyn błędów w dostępie do witryn Web Czy połączenie sieciowe jest aktywne? Statyczna Potwierdzenie błędu w dostępie do witryny Web Kontrola ustawień połączenia sieciowego Konfiguracja adresacji IP Dynamiczna Konfiguracja ustawień systemu rozpoznawania nazw DNS Automatyczna

Rozwiązywanie problemów związanych z systemem rozpoznawania nazw DNS

Rozwiązywanie problemów związanych z zaporą

Błędy w zakresie certyfikatów

IE Compatibility View Widok kompatybilności emuluje działanie przeglądarki w zgodzie z wcześniejszymi standardami programistycznymi.

Problemy wydajnościowe Computer Configuration Policies Administrative Templates Windows Components Internet Explorer Compatibility View

Problemy wydajnościowe Turnon Internet Explorer 7 Standards Mode Turn off Compatibility View Turnon Internet Explorer Standards Modefor Local Intranet Turn off Compatibility View button Include updated Web site lists from Microsoft zasada umożliwia konfigurację IE do wyświetlania wszystkich stron w zgodzie z wcześniejszymi wersjami przeglądarki zasada wyłącza funkcję Compatibility View w IE zasada umożliwia konfigurację IE do wyświetlania stron intranetowych w zgodzie z wcześniejszymi wersjami przeglądarki zasada umożliwia wyłączenie przycisku Compatibility View zasada umożliwia użycie listy kompatybilności Microsoft przy wyświetlaniu stron internetowych. Computer Configuration Policies Administrative Templates Windows Components Internet Explorer Compatibility View Use Policy list of Internet Explorer 7 sites zasada umożliwia tworzenie listy witryn, które będą wyświetlane w widoku Compatibility View

Zabezpieczenia stref Internet Explorer definiuje cztery strefy zabezpieczeń Internet Local intranet Trusted sites Restricted sites Nieprawidłowo skonfigurowane ustawienia zabezpieczeń stref Błędy w uzyskiwaniu konfiguracji stref przez GPO Modyfikacja przez użytkownika ustawień zabezpieczeń stref Błędnie dodana witryna do strefy

Group Policy Management Console

GPO Link Status Zbiór GPO może być dołączony do wielu obiektów. Utworzenie GPO względem jednego z obiektów powoduje automatyczne utworzenie połączenia. GPO można dołączać do: lokacji domeny jednostki organizacyjnej

GPO lokalizacja obiektów obiekt Computer ustawienia Computer Configuration obiekt User ustawienia User Configuration

Computer <> User Zasady GPO mogą (ale nie muszą) się powtarzać w gałęziach Computer Configuration oraz User Configuration.

Odświeżanie GPO Restart komputera Wylogowanie i powtórne zalogowanie użytkownika

Dziedziczenie ustawień GPO Ustawienia GPO są domyślnie dziedziczone Model ustawień domain-level a OU-level Działanie dziedziczenia może być zmieniane

Włączanie dziedziczenia

Reguły stosowania GPO GPO dołączone do obiektów AD DS ma ją pierwszeństwo przed lokalnym GPO GPO dołączone do jednostek organizacyjnych OU mają pierwszeństwo przed GPO dołączonymi do domeny i/lub lokacji GPO dołączone do domen mają pierwszeństwo przed GPO dołączonymi do lokacji GPO dołączone do niżej położonych jednostek organizacyjnych OU mają pierwszeństwo przed GPO dołączonymi do wyżej położonych jednostek organizacyjnych OU. W sytuacji wielu GPO dołączonych na tym samym poziomie, GPO dołączone jako pierwsze ma ma pierwszeństwo. Ustawienia GPO dla użytkownika mają pierwszeństwo przed ustawieniami GPO dla komputera.

Dziedziczenie GPO Włączone blokowanie dziedziczenia Ustawienia domyślne

Wymuszanie GPO Standardowe ustawienia Włączona opcja Enforce

Security Filtering

Group Policy Results Resultant Set of Policy (RSoP) Rsop.msc konsola MMC Gpresult.exe polecenie Dla komputerów od Windows Vista konsola Rsop.msc nie wyświetla wszystkich ustawień, które systemy otrzymują przez GPO. Tym samym zalecane jest wykorzystywanie gpresult.exe.

Group Policy Results Wykonywanie RSoP dla zdalnych systemów: Gpresult.exe /s

Group Policy Results

Uprawnienia GPO

Loopback processing Computer Configuration Administrative Templates System Group Policy

Rozwiązywanie problemów z połączeniami sieciowymi Sieci przewodowe Połączenia zdalne Sieci bezprzewodowe

Weryfikacja adresu IP C M D GUI

Serwer DHCP a ręczna konfiguracja APIPA 169.254.0.0/16

Testowanie połączenia - PING 1 2 3

Aspekty sprzętowe NIC Fizyczne połączenie Brak sterownika Systemowo wyłączony interfejs sieciowy

Infrastruktura sieciowa Błędy konfiguracji zapory Błędy trasowania Network Monitor Tracert

Błędy połączeń Wifi Słaby sygnał Niedostępne punkty dostępowe Interferencja z innymi urządzeniami

Błędy ustawień szyfrowania Wifi

Połączenia zdalne Remote Desktop Virtual Private Network

Remote Desktop port 3389 Remote Desktop Protocol port 443 Remote Desktop Gateway (SSL)

VPN Connections Rodzaj protokołu VPN Ustawienia uwierzytelniania Ustawienia portów zapory Polityki Network Access Protection (NAP)

Błędy związane z logowaniem Uwierzytelnianie Autoryzacja

Ustawienia konta użytkownika Stan konta Błędne hasło

Prawa użytkownika

Synchronizacja czasu

Ustawienia Kerberos Usługi Kerberos Netlogon LsaSrv Key Distribution Service (KDC)

NLTEST (1) Komputery dołączone do AD DS ustanawiają bezpieczny kanał z kontrolerem domeny. Bezpieczny kanał tworzony jest przez usługę Netlogon i chroniony hasłem przechowywanym w kontrolerze domeny. Jeśli hasło nie zostanie zmienione tracona jest synchronizacja między stacją a kontrolerem domeny. Hasło jest zmieniane domyślnie co 30 dni. Reset bezpiecznego kanału: 1. wyłączenie komputera z domeny oraz powtórne dołączenie komputera do domeny 2. użycie polecenia nltest

NLTEST (2) Sprawdzenie stanu bezpiecznego kanału: Nltest.exe /sc_query:<domainname> Naprawa bezpiecznego kanału: Nltest.exe /sc_reset:<domainname>

Domain Controller Diagnostics (DCDIAG.EXE) DCDIAG umożliwia wykonanie serii testów diagnostycznych kontrolera domeny i wyświetla info. DCDIAG wyświetla również zdarzenia System generowane przez procesy AD DS, błędy rozpoznawania nazw i zależne usługi.

DNSLINT.EXE DNSLINT jest poleceniem, które sprawdza funkcjonowania protokołu Lightweight Directory Access Protocol (LDAP) po stronie kontrolera domeny oraz weryfikuje czy istnieją odpowiednie rekordy na określonych serwerach DNS. DNSLINT nie jest domyślnie dostępny w Windows i należy go pobrać.

KERBTRAY.EXE Uwierzytelnianie i autoryzacja Kerberos oparta jest na pakietach nazywanych biletami. Usługa Kerberos Key Distribution Service (KDS) uruchomiona na kontrolerach domeny przydziela bilety użytkownikom, które przedstawiają przy dostępie do zasobów sieciowych. Bilety ważne są przez określony czas i są bezpieczniejsze niż stosowanie haseł. KERBTRAY wyświetla informacje o wszystkich biletach przypisanych bo użytkownika włącznie z możliwością ich usunięcia.

Kerberos List (KLIST.EXE) KLIST zapewnia te same funkcje co polecenie KERBTRAY. Przykłady klist tickets wyświetla bilety przechowywane przez system klist tgt wyświetla informacje o przydzielonych biletach klist purge umożliwia usunięcie biletu

Autoryzacja a uprawnienia Uprawnienia efektywne są określanie na podstawie : członkostwa w grupach Global członkostwa w grupach Local członkostwa w grupach Universal uprawnieniach Local przywilejach Local Nie jest uwzględniane w wyznaczaniu uprawnień efektywnych członkostwo w tożsamościach specjalnych: Anonymous Logon Batch, Creator Group Dialup Enterprise Domain Controllers Interactive Network Proxy Restricted Remote Service System Terminal Server User Other Organization This Organization

Określanie i rozwiązywanie problemów związanych z wdrażaniem oraz konfiguracją stacji klienckich Windows 7 PYTANIA