Określanie i rozwiązywanie problemów związanych z wdrażaniem oraz konfiguracją stacji klienckich Windows 7 PAWEŁ PŁAWIAK Training and Development Manager for Microsoft Technology Compendium - Centrum Edukacyjne pawel.plawiak@compendium.pl
Informacje techniczne Pomocy technicznej online przez cały czas trwania sesji udziela Krzysztof Jóźwiak >>> Krzysiek / Pomoc techniczna
Informacje techniczne W trakcie spotkania dyżur pełni autoryzowany administrator Prometric (Test Center Administrator Prometric) Anna Rubińska >>> Ania / TCAP
Informacje techniczne Jeżeli po podłączeniu do sesji Live Meeting 2007 pojawia się komunikat błędu, proszę go zamknąć i wybrać opcję Join Audio.
Informacje techniczne Plik z prezentacją jest do pobrania z poziomu klienta Live Meeting.
Informacje techniczne Odpowiedzi na najczęściej zadawane pytania znajdziecie na: http://www.wss.pl/forum/watek/srody-z-certyfikatem-70-686-sesja-7-okreslanie-i-rozwiazywanieproblemow-zwiazanych-z--wdrazaniem-oraz-konfiguracja-stacji-klienckich-windows-7,632335
Informacje techniczne Pytania do prowadzącego oraz odpowiedzi na pytania konkursowe przekazujemy wyłącznie poprzez moduł Q&A.
A co w inne dni tygodnia?
Konkurs 1 1 lutego 2 8 lutego 7 szt. 3 15 lutego LOSOWANIE 4 22 lutego 5 29 lutego 7 szt. FINAŁOWE 6 7 marca 7 14 marca 7 szt.
Konkurs W trakcie każdego LM w pewnym momencie zostanie przedstawione na slajdzie pytanie. Trzy pierwsze osoby, które odpowiedzą prawidłowo wygrywają (do wyboru wg kolejności) jedną z nagród: Koszulka polo, Kubek, Akumulator AA ładowany z USB. Liczą się odpowiedzi udzielone wyłącznie przez moduł Q&A. Osoby, które w trakcie spotkania lub najpóźniej do godziny 23.59 tego samego dnia prześlą na adres pawel.plawiak@compendium.pl poprawną odpowiedź oraz poprawne odpowiedzi (minimum z sześciu spotkań) w trakcie pozostałych spotkań (wg tych samych zasad) będą uczestniczyły w finałowym losowaniu nagród.
Nagrody finałowe 1 szt. 3 szt. 1 szt. 1 szt. Vouchery 100% na egzamin 5 szt. 20 szt. 3 szt. 1 szt. 1 szt.
Losowanie nagród finałowych
Statystyki Maksymalna liczba osób na spotkaniu 300 250 200 150 100 50 2 7 2 2 8 4 2 4 6 2 0 6 1 3 8 1 7 4 0
Statystyki 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 6 9 % 6 6 % 6 8 % 6 0 % 6 7 % 7 2 % 3 1 % 3 4 % 3 2 % 4 0 % 3 3 % 2 8 % Poprawne odpowiedzi Błędne odpowiedzi
Tematyka spotkania Procedury i metodyka rozwiązywania problemów Rozwiązywanie problemów z błędami Internet Explorer Rozwiązywanie problemów z dostępem do witryn Rozwiązywanie problemów z wydajnością Rozwiązywanie problemów z błędami Group Policy Określanie błędów związanych z Group Policy Rozwiązywanie błędów Group Policy Rozwiązywanie problemów błędami sieciowymi Rozwiązywanie problemów z sieciami przewodowymi Rozwiązywanie problemów z sieciami bezprzewodowymi Rozwiązywanie problemów z połączeniami zdalnymi Rozwiązywanie problemów z uwierzytelnianiem i autoryzacją Błędy uwierzytelniania Błędy autoryzacji
Procedura ogólna rozwiązywania problemów 1 Określenie symptomów 2 Ocena zakresu 3 Odizolowanie 4 Określenie listy potencjalnych przyczyn 5 Zastosowanie rozwiązania 6 Weryfikacja
Warstwowy model rozwiązywania problemów 1 Help Desk 2 Desktop Administrator 3 Network Administrator 4 Enterprise Administrator
Błędy dostępu do witryn Web Odnalezienie przyczyny błędów do witryn Web wiąże się z koniecznością zebrania różnych informacji. Do jakich witryn użytkownik nie ma dostępu? np. problemy z systemem rozpoznawania nazw Czy użytkownik ma dostęp do innych witryn? np. problemy z infrastrukturą sieciową Czy witryna jest tylko częściowo, czy całkowicie niedostępna? np. baza danych odpowiedzialna za pracę witryny Web Ilu użytkowników nie ma dostępu do witryny Web? np. problem z konfiguracją lokalnych ustawień komputera Jak długo witryna Web nie jest dostępna np. problem wynikający z restartu usług/serwerów
Poszukiwanie przyczyn błędów w dostępie do witryn Web Czy połączenie sieciowe jest aktywne? Statyczna Potwierdzenie błędu w dostępie do witryny Web Kontrola ustawień połączenia sieciowego Konfiguracja adresacji IP Dynamiczna Konfiguracja ustawień systemu rozpoznawania nazw DNS Automatyczna
Rozwiązywanie problemów związanych z systemem rozpoznawania nazw DNS
Rozwiązywanie problemów związanych z zaporą
Błędy w zakresie certyfikatów
IE Compatibility View Widok kompatybilności emuluje działanie przeglądarki w zgodzie z wcześniejszymi standardami programistycznymi.
Problemy wydajnościowe Computer Configuration Policies Administrative Templates Windows Components Internet Explorer Compatibility View
Problemy wydajnościowe Turnon Internet Explorer 7 Standards Mode Turn off Compatibility View Turnon Internet Explorer Standards Modefor Local Intranet Turn off Compatibility View button Include updated Web site lists from Microsoft zasada umożliwia konfigurację IE do wyświetlania wszystkich stron w zgodzie z wcześniejszymi wersjami przeglądarki zasada wyłącza funkcję Compatibility View w IE zasada umożliwia konfigurację IE do wyświetlania stron intranetowych w zgodzie z wcześniejszymi wersjami przeglądarki zasada umożliwia wyłączenie przycisku Compatibility View zasada umożliwia użycie listy kompatybilności Microsoft przy wyświetlaniu stron internetowych. Computer Configuration Policies Administrative Templates Windows Components Internet Explorer Compatibility View Use Policy list of Internet Explorer 7 sites zasada umożliwia tworzenie listy witryn, które będą wyświetlane w widoku Compatibility View
Zabezpieczenia stref Internet Explorer definiuje cztery strefy zabezpieczeń Internet Local intranet Trusted sites Restricted sites Nieprawidłowo skonfigurowane ustawienia zabezpieczeń stref Błędy w uzyskiwaniu konfiguracji stref przez GPO Modyfikacja przez użytkownika ustawień zabezpieczeń stref Błędnie dodana witryna do strefy
Group Policy Management Console
GPO Link Status Zbiór GPO może być dołączony do wielu obiektów. Utworzenie GPO względem jednego z obiektów powoduje automatyczne utworzenie połączenia. GPO można dołączać do: lokacji domeny jednostki organizacyjnej
GPO lokalizacja obiektów obiekt Computer ustawienia Computer Configuration obiekt User ustawienia User Configuration
Computer <> User Zasady GPO mogą (ale nie muszą) się powtarzać w gałęziach Computer Configuration oraz User Configuration.
Odświeżanie GPO Restart komputera Wylogowanie i powtórne zalogowanie użytkownika
Dziedziczenie ustawień GPO Ustawienia GPO są domyślnie dziedziczone Model ustawień domain-level a OU-level Działanie dziedziczenia może być zmieniane
Włączanie dziedziczenia
Reguły stosowania GPO GPO dołączone do obiektów AD DS ma ją pierwszeństwo przed lokalnym GPO GPO dołączone do jednostek organizacyjnych OU mają pierwszeństwo przed GPO dołączonymi do domeny i/lub lokacji GPO dołączone do domen mają pierwszeństwo przed GPO dołączonymi do lokacji GPO dołączone do niżej położonych jednostek organizacyjnych OU mają pierwszeństwo przed GPO dołączonymi do wyżej położonych jednostek organizacyjnych OU. W sytuacji wielu GPO dołączonych na tym samym poziomie, GPO dołączone jako pierwsze ma ma pierwszeństwo. Ustawienia GPO dla użytkownika mają pierwszeństwo przed ustawieniami GPO dla komputera.
Dziedziczenie GPO Włączone blokowanie dziedziczenia Ustawienia domyślne
Wymuszanie GPO Standardowe ustawienia Włączona opcja Enforce
Security Filtering
Group Policy Results Resultant Set of Policy (RSoP) Rsop.msc konsola MMC Gpresult.exe polecenie Dla komputerów od Windows Vista konsola Rsop.msc nie wyświetla wszystkich ustawień, które systemy otrzymują przez GPO. Tym samym zalecane jest wykorzystywanie gpresult.exe.
Group Policy Results Wykonywanie RSoP dla zdalnych systemów: Gpresult.exe /s
Group Policy Results
Uprawnienia GPO
Loopback processing Computer Configuration Administrative Templates System Group Policy
Rozwiązywanie problemów z połączeniami sieciowymi Sieci przewodowe Połączenia zdalne Sieci bezprzewodowe
Weryfikacja adresu IP C M D GUI
Serwer DHCP a ręczna konfiguracja APIPA 169.254.0.0/16
Testowanie połączenia - PING 1 2 3
Aspekty sprzętowe NIC Fizyczne połączenie Brak sterownika Systemowo wyłączony interfejs sieciowy
Infrastruktura sieciowa Błędy konfiguracji zapory Błędy trasowania Network Monitor Tracert
Błędy połączeń Wifi Słaby sygnał Niedostępne punkty dostępowe Interferencja z innymi urządzeniami
Błędy ustawień szyfrowania Wifi
Połączenia zdalne Remote Desktop Virtual Private Network
Remote Desktop port 3389 Remote Desktop Protocol port 443 Remote Desktop Gateway (SSL)
VPN Connections Rodzaj protokołu VPN Ustawienia uwierzytelniania Ustawienia portów zapory Polityki Network Access Protection (NAP)
Błędy związane z logowaniem Uwierzytelnianie Autoryzacja
Ustawienia konta użytkownika Stan konta Błędne hasło
Prawa użytkownika
Synchronizacja czasu
Ustawienia Kerberos Usługi Kerberos Netlogon LsaSrv Key Distribution Service (KDC)
NLTEST (1) Komputery dołączone do AD DS ustanawiają bezpieczny kanał z kontrolerem domeny. Bezpieczny kanał tworzony jest przez usługę Netlogon i chroniony hasłem przechowywanym w kontrolerze domeny. Jeśli hasło nie zostanie zmienione tracona jest synchronizacja między stacją a kontrolerem domeny. Hasło jest zmieniane domyślnie co 30 dni. Reset bezpiecznego kanału: 1. wyłączenie komputera z domeny oraz powtórne dołączenie komputera do domeny 2. użycie polecenia nltest
NLTEST (2) Sprawdzenie stanu bezpiecznego kanału: Nltest.exe /sc_query:<domainname> Naprawa bezpiecznego kanału: Nltest.exe /sc_reset:<domainname>
Domain Controller Diagnostics (DCDIAG.EXE) DCDIAG umożliwia wykonanie serii testów diagnostycznych kontrolera domeny i wyświetla info. DCDIAG wyświetla również zdarzenia System generowane przez procesy AD DS, błędy rozpoznawania nazw i zależne usługi.
DNSLINT.EXE DNSLINT jest poleceniem, które sprawdza funkcjonowania protokołu Lightweight Directory Access Protocol (LDAP) po stronie kontrolera domeny oraz weryfikuje czy istnieją odpowiednie rekordy na określonych serwerach DNS. DNSLINT nie jest domyślnie dostępny w Windows i należy go pobrać.
KERBTRAY.EXE Uwierzytelnianie i autoryzacja Kerberos oparta jest na pakietach nazywanych biletami. Usługa Kerberos Key Distribution Service (KDS) uruchomiona na kontrolerach domeny przydziela bilety użytkownikom, które przedstawiają przy dostępie do zasobów sieciowych. Bilety ważne są przez określony czas i są bezpieczniejsze niż stosowanie haseł. KERBTRAY wyświetla informacje o wszystkich biletach przypisanych bo użytkownika włącznie z możliwością ich usunięcia.
Kerberos List (KLIST.EXE) KLIST zapewnia te same funkcje co polecenie KERBTRAY. Przykłady klist tickets wyświetla bilety przechowywane przez system klist tgt wyświetla informacje o przydzielonych biletach klist purge umożliwia usunięcie biletu
Autoryzacja a uprawnienia Uprawnienia efektywne są określanie na podstawie : członkostwa w grupach Global członkostwa w grupach Local członkostwa w grupach Universal uprawnieniach Local przywilejach Local Nie jest uwzględniane w wyznaczaniu uprawnień efektywnych członkostwo w tożsamościach specjalnych: Anonymous Logon Batch, Creator Group Dialup Enterprise Domain Controllers Interactive Network Proxy Restricted Remote Service System Terminal Server User Other Organization This Organization
Określanie i rozwiązywanie problemów związanych z wdrażaniem oraz konfiguracją stacji klienckich Windows 7 PYTANIA