Как недавно выяснилось, процесс миграции домена с Windows Server 2003 на Windows Server 2008/R2 (либо просто на другой сервер) для начинающих системных администраторов представляет сложности и даже вызывает некоторую боязнь, хотя на самом деле он настолько прост, что о написании такой статьи я даже и не задумывался никогда, тем более что в интернете их полно.

Тем не менее, целью данной статьи было объединить типовые действия, возникающие при миграции, поэтому приступим. Статья будет представлять собой пошаговый мануал, с наиболее распространенным случаем миграции с 2003 на 2008 R2 и с необходимыми отступлениями для других вариантов. Собственно шаги:

• Исходные данные и техзадание.
• Подготовительные работы.
• Обновление схемы леса и домена.
• Передача ролей FSMO.
• Перенос глобального каталога.
• Перенастройка интерфейсов, DNS и другие послеустановочные задачи.

Исходные данные и техзадание

Иходная ситуация – существует домен, testcompany.local. Для упрощения в нем будет один контроллер домена под Windows Server 2003, с именем dc01. DNS-сервер также на нем, основная зона интегрирована в Active Directory.

Сетевые настройки контроллера:

IP-адрес – 192.168.1.11
Маска – 255.255.255.0
Шлюз – 192.168.1.1
DNS-сервер – 192.168.1.11

Задача – установить контроллер домена на другом сервере, причем работающем под Windows Server 2008 R2, старый контроллер понизить до рядового сервера (а затем возможно, удалить вообще), а все функции старого контроллера передать новому.

Подготовительные работы

В качестве подготовительных работ следует запустить команды netdiag (эта команда существует только в 2003 Server, Support Tools) и dcdiag, убедиться в отсутствии ошибок, а при их наличии исправить эти ошибки.

В первую очередь определяем держателя FSMO-ролей в домене, командой:

netdom query fsmo

Утилита netdom.exe в состав Windows Server 2003 по умолчанию не входит, поэтому нужно установить Support Tools (http://support.microsoft.com/kb/926027). В рассматриваемом случае от нее смысла никакого нет, так как контроллер домена всего один и роли FSMO все равно все на нем. Тем же, у кого контроллеров домена больше одного, это будет полезно, чтобы знать, какие именно роли и откуда переносить. Результат команды будет примерно таким:

Далее, устанавливаем операционную систему Windows Server 2008 R2 на новый  сервер, даем имя скажем dc02, задаем сетевые настройки:

IP-адрес – 192.168.1.12
Маска – 255.255.255.0
Шлюз – 192.168.1.1
DNS-сервер – 192.168.1.11

и вводим его в существующий  домен, testcompany.local в нашем случае.

Обновление схемы леса и домена

Следующий этап – обновление схемы леса и домена до Windows Server 2008 R2, что мы будем делать с помощью утилиты adprep. Вставляем установочный диск с Windows Server 2008 R2 в сервер dc01. На диске нас интересует папка X:\support\adprep (X: – буква диска DVD-ROM). Если windows Server 2003 у вас 32-х битная, следует запускать запускать adprep32.exe, в случае 64-х битной – adprep.exe.

Для выполнения команды adprep /forestprep никаких требований к функциональному режиму леса нет. Для выполнения команды adprep /domainprep требуется, чтобы в домене использовался функциональный уровень домена не ниже Windows 2000 native.

Вводим команду:

X:\support\adprep>adprep32.exe /forestprep

После предупреждения о том, что все контроллеры домена Windows 2000 должны быть минимум с SP4 вводим С и нажимаем Enter:

Команда отрабатывает довольно долго, несколько минут и должна завершиться следующей фразой:

Adprep successfully updated the forest-wide information.

После этого вводим команду:

X:\support\adprep>adprep32.exe /domainprep /gpprep

Которая отработает не в пример быстрее:

Также стоит выполнить команду adprep /rodcprep. Даже если вы и не собираетесь использовать в вашей сети контроллеры домена только для чтения (Read Only Domain Controller – RODC), эта команда как минимум уберет ненужные сообщения об ошибках в журнале событий.

После завершения действия команд по обновлению схемы можно приступать к повышению роли нового сервера до контроллера домена.
На сервере dc02 заходим в Server Manager, добавляем роль Active Directory Domain Services. После установки роли, зайдя в Server Manager > Roles > Active Directory Domain Services, мы увидим желтую подсказку «Run the Active Directory Domain Services Installation Wizard (dcpromo.exe)». Ее и запускаем. Либо можно в командной строке набрать dcpromo, что будет равноценно вышеприведенному действию.

Так как освещение процесса установки контроллера домена в эту статью не входит, остановлюсь лишь на некоторых ключевых моментах. На шаге Additional Domain Controller Options поставьте обе галки, DNS Server и Global catalog.

Если галку Global Catalog и DNS Server не поставить, придется их переносить отдельно. А при миграции с 2003 на 2003 это придется делать в любом случае, так как в Windows 2003 такой возможности нет. О переносе глобального каталога и DNS-сервера будет немного ниже.

Завершаем установку контроллера домена, перезагружаем сервер. Теперь у нас есть два контроллера домена, работающих одновременно.

Передача ролей FSMO

Передачу ролей FSMO можно производить как через графический интерфейс, так и с помощью утилиты ntdsutil.exe. В этой статье будет описан способ с использованием графического интерфейса, как более наглядный, кого интересует другой способ, он по этой ссылке: http://support.microsoft.com/kb/255504. Передача ролей FSMO будет состоять из следующих шагов:

• Передача роли Schema Master.
• Передача роли Domain Naming Master.
• Передача ролей RID Master, PDC Emulator и Infrastructure Master.

Передача роли Schema Master

Заходим на сервер dc02, на тот, на который будем передавать роли. Для того, чтобы получить доступ к оснастке Active Directory Schema, сначала необходимо зарегистрировать библиотеку schmmgmt.dll. Это делается с помощью команды:

regsvr32 schmmgmt.dll

Далее, Start > Run > вводим mmc > Enter. В окне оснастки находим и добавляем компонент Active Directory Schema.

В дереве оснастки нужно щелкнуть правой кнопкой мыши элемент Active Directory Schema и выбрать пункт Change Domain Controller. Там меняем контроллер на dc02.
Далее опять нажимаем правой кнопкой мыши элемент Active Directory Schema и выбираем пункт Operations Master. Появляется вот такое окно:

Нажимаем Change > Yes > OK и закрываем все эти окна.

Передача роли Domain Naming Master

Открываем оснастку Active Directory Domains and Trusts, щелкаем правой кнопкой мыши элемент Active Directory Domains and Trusts и выбираем команду Change Active Directory Domain Controller. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02 в нашем случае), в списке и нажимаем кнопку ОК.
В оснастке щелкаем правой кнопкой мыши элемент Active Directory Domains and Trusts и выбираем пункт Operations Master. В появившемся окне нажимаем кнопку Change.

Чтобы подтвердить передачу роли, нажимаем кнопку ОК, а затем — Close.

Передача ролей RID Master, PDC Emulator и Infrastructure Master

Открываем оснастку Active Directory Users and Computers. Щелкаем правой кнопкой мыши элемент Active Directory Users and Computers и выбираем команду Change Domain Controller. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02 в нашем случае), в списке и нажимаем кнопку ОК.

В оснастке щелкаем правой кнопкой мыши элемент Active Directory Users and Computers, выбираем пункт All Tasks, а затем Operations Master.

Выбираем вкладку, соответствующую передаваемой роли (RID, PDC или Infrastructure Master), и нажимаем кнопку Change.
Чтобы подтвердить передачу роли, нажимаем кнопку ОК, а затем — Close.

Перенос глобального каталога

Если мы делаем миграцию не на 2008, а на 2003, в котором при добавлении добавочного контроллера домена глобальный каталог не ставиться, либо вы не поставили галку Global Catalog в шаге 2, тогда нужно назначить роль глобального каталога новому контроллеру домена вручную. Для этого, заходим в оснастку Active Directory Sites and Services, ракрываем Sites > сайт Default-First-Site-Name > Servers > DC02 > щелкаем правой кнопкой мыши по NTDS Settings > Properties. В открывшемся окне ставим галку Global Catalog > OK.

После этого, в логах Directory Service появится сообщение, что повышение роли контроллера до глобального каталога будет отложено на 5 минут.

Event Type: Information
Event Source: NTDS General
Event Category: (18)
Event ID: 1110
Date: 12.07.2011
Time: 22:49:31
User: TESTCOMPANY\Administrator
Computer: dc02.testcompany.local
Description:
Promotion of this domain controller to a global catalog will be delayed for the following interval.

Interval (minutes):
5

This delay is necessary so that the required directory partitions can be prepared before the global catalog is advertised. In the registry, you can specify the number of seconds that the directory system agent will wait before promoting the local domain controller to a global catalog. For more information about the Global Catalog Delay Advertisement registry value, see the Resource Kit Distributed Systems Guide.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Ждем пять минут и дожидаемся события 1119 о том, что этот контроллер стал глобальным каталогом.

Event Type: Information
Event Source: NTDS General
Event Category: (18)
Event ID: 1119
Date: 12.07.2011
Time: 22:54:31
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: dc02.testcompany.local
Description:
This domain controller is now a global catalog.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Перенастройка интерфейсов, DNS и другие послеустановочные задачи

Далее, так как DNS-сервер на dc02 мы установили, теперь нужно в свойствах сетевого интерфейса первичным DNS-сервером указать самого себя, т.е. адрес 192.168.1.12. И на dc01 соответственно поменять на 192.168.1.12.

В свойствах DNS-сервера на dc02 проверьте вкладку Forwarders, на 2003, в отличие от 2008, она не реплицируется. После этого можно понижать контроллер домена dc01 до рядового сервера.

Если вам необходимо у нового контроллера оставить старое имя и IP-адрес, то это также делается без проблем. Имя меняется как для обычного компьютера, либо подобной командой netdom renamecomputer.

После смены IP-адреса выполните команды ipconfig /registerdns и dcdiag /fix.

Использованные источники:

http://support.microsoft.com/kb/324801/
http://technet.microsoft.com/en-us/library/cc731728(WS.10).aspx
http://technet.microsoft.com/ru-ru/library/upgrade-domain-controllers-to-windows-server-2008-r2(WS.10).aspx#BKMK_FL

Итак, для чего мне может пригодится планшет?

Как читалка, букридер в первую очередь. У меня давно была мысль купить себе нормальную читалку на E-Ink, но останавливали два момента:

1. Чтение в темноте. Для них невозможно в принципе из-за принципа самой технологии E-Ink. Либо с дурацким фонариком, который освещает полкомнаты и мешает спать вашей половине. А читать в темноте я люблю, перед тем как уснуть.
2. Чтение PDF-документов. Их отображение на экране бумагоподобных читалок мягко говоря неудовлетворительное, особенно при использовании масштабирования.

Есть и другие не очень приятные моменты, но эти основные.

Второе применение – автомобильный GPS-навигатор. У меня сейчас навигатор на Windows CE, с тактовой частотой 400 Мгц, маршруты он пересчитывает… можно пару перекрестков пролететь, пока это случится.

Третье, не очень существенное. Периодически я бываю на семинарах или курсах, там частенько бывает нужен выход в интернет, с мобильника он сами понимаете не очень комфортен. Ну и в поезде кино посмотреть опять же (не конвертированное). Хотя нетбук тут будет предпочтительней, но и планшет думаю подойдет вполне.

Вот в принципе и все, это два важных (и одно неважное ) применения, которые я смог придумать для себя. В игры я не играю, в интернет выхожу на компьютере, тут он мне не нужен практически.

С целями определились, вопрос, какой именно планшет нужен? Планшеты бывают с диагональю от 4-х до 10-и дюймов и это самый главный критерий. Соответственно моему выбранному применению, мне идеально подходит планшет с диагональю в 7 дюймов. Больше уже он становится громоздким и его неудобно будет носить, держать одной рукой при чтении, да и в машине в качестве навигатора он будет занимать слишком много обзорного пространства. Меньше… в принципе 6 дюймов еще терпимо, ведь большинство E-Ink читалок имеют именно такую диагональ экрана, с которой читать вполне комфортно, еще меньше будет уже в ущерб комфортности чтения. Хотя у планшетов диагональ 6 дюймов не популярна.

1. Диагональ экрана – 7 дюймов, уже определились почему.
2. Разрешение 1024×600. Мне кажется, это будет оптимальное разрешение, сейчас правда бюджетные планшеты в основном выпускаются с «телефонным» разрешением 800×480, но для чтения и масштабирования PDF-документов оно будет маловато, по-моему.
3. Тип экрана емкостной, это уже стандарт для современных устройств, резистивные экраны уходят на покой.
4. Операционная система – конечно Android 3.0 Honeycomb. Почему не 2.2 Froyo? Обычный расчет, из-за того, что Google выпускает новые операционки слишком часто (раз в полгода), хотелось бы иметь хотя бы одно обновление после выпуска планшета. Зачем обновление? Затем, что операционка все же еще сыровата, наверняка потребует доработок. Ну и естественно более приспособленный для планшета интерфейс, очень симпатичный, судя по обзорам.
5. Как можно более тонкий аппарат. В отличие от телефонов, в которых слишком малая толщина мне совсем не нравится, неудобно держать в руке и т.п., с планшетом, выступающим в роли читалки все наоборот, чем он тоньше и легче, тем удобней будет им пользоваться для чтения.
6. Приличное время работы, часа 4-5 минимум, чтобы посмотреть фильм в поезде, например.
7. Поддержка 3G обязательно, 4G у нас еще будет не скоро, а интернет нужен. Ну а Wi-Fi там по умолчанию естественно должен быть. Версии планшетов без 3G и только с Wi-Fi… даже не знаю, смысла в них вообще не вижу, сразу отпадают пробки в навигаторе и мобильный интернет и оставшаяся читалка становится слишком дорогим удовольствием.
8. Разъемы хотелось бы microUSB, SDHC (причем не micro, ведь размеры позволяют, но очень вряд ли это будет), USB полноразмерный (тоже скорее всего нет), флешку например подключить.
9. Цена. Сказать честно, платить больше 10-15 тысяч за планшет мне совсем неохота. Почему? Потому что за эти деньги можно взять неплохой нетбук. Пока производители планшетов этого не понимают, к сожалению.

Сейчас из анонсированных новинок на CES 2011 и MWC 2011 под эти требования более-менее подходят только Acer Iconia Tab A100, и Asus Eee Pad MeMO и ZTE Light 2. Из продающихся сейчас – только Samsung Galaxy Tab. Найдете другие – пишите в комментариях.

Acer Iconia Tab A100

Технические характеристики:

• Экран – TFT, 7 дюймов, разрешение – 1024×600 пикс.
• Процессор – NVIDIA Tegra 2, тактовая частота 1 ГГц
• Оперативная память – 512 Мб
• Flash-память – 8 Гб
• Камера – 2 штуки, 2 млн пикс. на передней и 5 млн пикс. на задней панели планшета
• Wi-Fi IEEE 802.11b/g/n, Bluetooth 2.1+EDR
• Внешние выходы – наушники 3.5 мм, microHDMI, MicroUSB
• Операционная система – Android 3.0 Honecomb
• Емкость аккумулятора – 1530 мАч, проигрывание видео в течение 5 часов (720P H.264)
• Габариты – 195 x 117 x 13 мм
• Вес – 450 гр.

Лучшая по дизайну модель среди этих трех, но… нет GPS и это сразу перечеркивает все достоинства. Еще из явных недостатков очень маленький аккумулятор – всего 1530 mAh, что сейчас для телефона-то не так много и дизайн с непонятным образом скошенными краями, явно слизанный с флагманов Nokia. Цена в России ожидается 13990 рублей, старт продаж запланирован на июнь 2011 года.

Asus Eee Pad MeMO

Технические характеристики:

• Экран – 7 дюймов, разрешение 1024×600 пикс.
• Процессор – двухъядерный Qualcomm 8260, 1,2 ГГц
• Оперативная память – 512 Мб или 1,0 Гб
• Камера – 2 штуки, 1,2 млн пикс. на передней и 5 млн пикс. на задней панели планшета
• Коммуникации – HSPA+ (I, II, V, VIII), GPS, 802.11 b/g/n, Bluetooth 2.1 + EDR
• Внешние выходы – microHDMI (HDMI D), наушники, микрофон, microUSB 2.0, microSD c поддержкой SDHC
• Операционная система – Android Honeycomb 3.0
• Емкость аккумулятора – 4400 мАч, воспроизведение видео в течение 8 часов
• Габаритные размеры – 198,5 х 116,8 х 11,5 мм
• Вес – 390 гр.

В дизайне не нравится этот ложный шарнир (в котором судя по всему находится стилус), мне кажется, он будет отвлекать внимание при чтении, хоть и придает аппарату оригинальность, надо признать. Плюс три стандартные кнопки андроида – Меню, Домой и Назад наводят на мысль, что там может оказаться Android не 3.0 Honeycomb, а что-то из 2-й ветки. По данным ASUS Germany, стоимость MeMO составит от 499€ (690$) за модель с 8-16Гб памяти и от 699€ за версию с 32-64Гб. Начало продаж июнь 2011. Цена конечно… не совсем адекватна, одна надежда, что постепенно снизится.

ZTE Light 2

Технические характеристики:

• Экран – Pixel Qi, 7 дюймов, разрешение 1024×600 пикс.
• Процессор – 1 ГГц
• Flash-память – 4 Гб
• Коммуникации – 802.11 b/g/n, DLNA
• Внешние выходы – наушники 3.5 мм
• Операционная система – Android 2.2 Froyo
• Особенности – Dolby Surround 3.0

Дизайн довольно стандартный, скучноватый даже, и Android 2.2 конечно, а не 3.0.

Samsung Galaxy Tab

Технические характеристики:

• Экран – 7 дюймов, TFT, разрешение 1024×600 пикс.
• Процессор – Samsung S5PC110, 1 ГГц
• Оперативная память – 512 Мб
• Камера – 2 штуки, 1,3 млн пикс. на передней и 3.2 млн пикс. на задней панели планшета
• Коммуникации – 802.11 b/g/n, Bluetooth 3.0, GPRS, EDGE, HSDPA, HSUPA, UMTS/WCDMA, GPS, Функции телефона
• Внешние выходы – microHDMI (HDMI D), наушники, микрофон, microSD c поддержкой SDHC
• Операционная система – Android Honeycomb 3.0
• Емкость аккумулятора – 4000 мАч, время работы – в режиме разговора до 1000 мин, в режиме ожидания – до 500 ч.
• Габаритные размеры – 190.1 x 120.5 x 12 мм
• Вес – 380 гр.

Дизайн неплохой, но операционная система опять же Android 2.2 и неизвестно, будет 3.0 Honeycomb для него выпущена или нет. Нет microUSB (используется свой разъем – довольно существенный недостаток, по-моему) и самый главный недостаток – цена. Стоит он 20 тысяч рублей минимум, что не может не огорчать.

Ждем появления этих устройств в продаже (ну кроме Samsung Galaxy Tab, он уже в ней есть ) и реальных цен, стоимость их может вполне перечеркнуть все достоинства, впрочем как и наоборот, помочь закрыть глаза на недостатки. Ну и конечно ждем других моделей, возможно более интересных, тем более, что, совсем скоро CeBIT 2011.

Я не буду делать полноценный обзор этого аппарата, их полно в интернете, сделаю акцент лишь на тех моментах, которые мне были нужны и про которые я писал в своей заметке Выбор идеального бюджетного смартфона на Android.

Я приобрел его в середине декабря 2010 года, за 10 тысяч рублей, но попал под акцию и 15% (1500 р.) мне перечислили в качестве бонуса на на мой номер телефона, так что получилось совсем бюджетно. Пользуюсь им уже довольно приличное время и могу описать свои впечатления.

Главное, напоминалки, ради чего и задумывалась покупка смартфона на андроиде, реализуются с помощью виджета для календаря Android Agenda Widget. Виджет этот в поставку не входит и скачивался отдельно, из маркета. Кстати советую все программы скачивать именно из маркета, а не с различных сайтов, чтобы как минимум иметь возможность обновления.

Выглядит главный экран с установленным виджетом Android Agenda Widget у меня вот так:

Меня полностью устраивает, очень удобная штука.

Второй момент – батарея. Держит стабильно 5-6 суток, иногда четыре, если много звоню. Пусть вас не удивляют такие большие цифры, так как используется он как телефон, плюс некоторая настройка для экономии батареи.

Настройки такие:

1. Wi-fi, Bluetooth, GPS выключены, включен режим сетей только 2G. 3G было бы экономней, если бы было покрытие везде, а так при перехоже от 3G к 2G и обратно разряд происходит быстрее. Все это включается только при необходимости, для этого есть стандартный замечательный виджет «Управление питанием».
2. Таск киллеров никаких не стоит, и вообще программы стараюсь ставить только необходимые и сначала узнать, как они влияют на энергопотребление.
3. Установленные виджеты и программы: Android Agenda Widget, EStrongs File Explorer, Rings Extended, Root Explorer, Smart Keyboard Pro, Easy Reminder, ButtonRemapper, Opera Mobile, Cool Reader, Screenshot.
4. В игры не играю, интернетом не пользуюсь, музыку не слушаю. Автосинхронизация отключена, фоновый режим включен.
5. Вместо живых обоев статичная картинка, яркость экрана почти на минимуме. Не из-за экономиии правда, а потому, что и этого достаточно.

Куда в основном тратится аккумулятор:

1. Разговоры до получаса в день, вряд ли больше, смски штук 5 в день.
2. Изредка синхронизация с гуглаккаунтом и календарем вручную, для напоминалок в Android Agenda Widget.

Вот к примеру мой рекорд, 7 дней (на самом деле рекорд был 7 дней, 7 часов, но тогда я еще не обзавелся программой Screenshot):

Что радует, то что нет внезапного быстрого падения емкости при достижении определенного процента заряда (что бывало на моей мотороле E398).

Что не нравится. Нет аппаратных кнопок приема и отбоя. Нет звукового оповещения о пропущенных звонках, смс. Добрые люди подсказали, что для этого нужна отдельная программа (как написано выше, ей оказалась Easy Reminder). Это меня очень сильно удивило, по-моему такая ерунда должна быть в базе, это было даже на моей пятилетней мотороле. Неприятный сюприз от андроида, честно сказать.

Присутствует шипение динамика, хорошо слышно, когда тихо вокруг, хотелось бы надеяться, что это софтовый баг и его исправят.

Из режима блокировки выходит плавно, а не мгновенно, как хотелось бы (хотя все эффекты отключил).
При приеме звонка нужно тянуть кнопку, а не нажимать, это медленно, не нравится. Собственно именно по этому я сделал root и поставил программу ButtonRemapper для назначения кнопки поиска на прием вызова.

Вообще, очень сильно удивила убогость настроек андроида, причем на самые элементарные вещи, типа мелодий на контакт или то же звуковое оповещение о пропущенных звонках. Скажем в Windows Mobile много можно было сделать через реестр, а андроид, он же линукс, должны же там быть текстовых файлы настроек? А то получается ради каждой ерундовой мелочи (которая вообще по дефолту должна присутствовать) приходится программу устанавливать.

Вот и все, а в целом впечатления от аппарата положительные и пока конкурентов ему по отношению цена/качество/время работы от батареи я не вижу.

Пока писал это пост, нагуглил статью про него:
http://www.exchangerus.ru/2008/06/23/active-directory-topology-diagrammer-–-pomoshhnik-administratora/

Скачать можно по этой ссылке:  http://www.microsoft.com/downloads/en/details.aspx?FamilyID=cb42fc06-50c7-47ed-a65c-862661742764&displaylang=en

Визуально хотелось бы, чтобы примерно как в Windows Mobile встречи организованы, в моем кпк Acer n311 это выглядело вот так:

Использовать телефон с его 9-и кнопочным набором для этой цели не очень удобно, а вот большая виртуальная клавиатура по-моему как раз подойдет.

Каким мне видится идеальный смартфон на android? Вот несколько ключевых моментов, важных для меня:

1. Разрешение экрана 320×480 и размер 3.2 дюйма. Почему не больше? Не хочу огромный лопух, хочу компактный смартфон. Меньше – 240×320 – что-то как-то маловато уже. Ну и на времени работы меньшее разрешение лучше скажется.
2. Экран емкостной конечно, резистивный отпадает, ибо прошлый век.
3. Моноблок, клавиатура мне не нужна. А вот навигационная пятипозиционная клавиша наоборот, плюс еще клавиши прием-отбой и пара софтовых. Если экран емкостной, то зимой механические клавиши очень пригодятся.
4. Чтобы аккумулятор держал три дня железно, а если говорить не много, то и все 4-5 дней.
5. Операционная система естественно Android, 2.1 как минимум
6. Ну и цена, не более 10-12-и тысяч рублей Больше тратить на него мне не хочется, просто потому, что он не будет испольтзоваться как полноценный смартфон, для игр, выхода в интернет и т.п., основная задачи именно напоминалки.

Вот такое странное желание получить идеальный android-смартфон, из разряда ненаучной фантастики

Пока под эти требования более-менее подходит LG Optimus One, который скоро обещают выпустить, но конечно многие моменты неизвестны, например сколько будет держать и сколько стоить, так что ждемс

Задача: пользователи сети должны выходить в интернет только после авторизации на Kerio Winroute, автоизация должна быть незаметной для пользователей (NTLM), пользователи должны иметь возможность выходить в интернет с любого компьютера локальной сети, т.е. без привязки к IP-адресу своего компьютера.

Исходные данные: настроенная локальная сеть с работающим DNS в первую очередь, настроенный Kerio Winroute для всех пользователей. Кто не читал мои статьи ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!! и Kerio Winroute Firewall: ПРАВИЛЬНЫЕ Traffic Policy!!! сделайте это сейчас. Они немного устарели, в связи с выходом новых версий Kerio Winroute, но принципиально все верно.

Есть домен testcompany.local, есть контроллер домена dc01 с DNS-сервером на нем,  есть рядовой сервер gate (тоже в домене, это необязательное условие автоматической авторизации) с установленным и на нем Kerio Winroute. В этой статье рассматривается версия 6.7.1 Patch 2, самая актуальная на момент написания статьи.

Mapping пользователей из Active Directory

В первую очередь нам нужно настроить подключение Kerio Winroute к Active Directory (так называемый user mapping). Для него нужно настроить автоматический mapping пользователей из AD.

Для этого заходим в KWF > Users and Groups > Users > вкладка Active Directory, ставим галку в Use domain user database и вводим там необходимые нам данные:

где,

Username – имя пользователя домена для подключения к базе AD (достаточно прав обычного пользователя). Я рекомендую создать специльного пользователся для подключения, (например, kwf_service) и поставить ему галки «Password never expires» и «User cannot change password», чтобы в один прекрасный момент у вас не отвалилось подключение к Active Directory.

Password – пароль этого пользователя.

Для проверки открываем вкладку User Accounts, в выпадающем списке Domain меняем Local User Database на нашу testcompany.local и видим пользователей из AD. Если их нет, то либо учетная запись, используемая для подключения, либо пароль неверны.

Далее, заходим на оставшуюся вкладку Authentication Options и ставим там галки таким образом:

Потом заходим в Configuration > Advanced Options > вкладка Web Interface / SSL-VPN и снимаем галку с Enable HTTPS (SSL-secured) Web Interface. Естественно, если вам не требуется доступ к веб-интерфейсу по SSL.

Следующим шагом необходимо настроить Traffic Policy таким образом, чтобы работала наша автоматическая авторизация. Вот скриншот уже готовых правил:

где нас интересуют только два правила, NAT no Auth и NAT Auth Users, остальные правила довольно стандартны и рассмотрены в статье Kerio Winroute Firewall: ПРАВИЛЬНЫЕ Traffic Policy!!!.

Правило NAT no Auth – это правило без аутентификации, которое нужно для того, чтобы разрешить  неаутентифицированному пользователю при попытке открыть любой веб-сайт попасть на страницу аутентификации KWF (куда он перенаправляется вследствие наших предыдущих настроек). Там он аутентифицируется либо вручную, либо автоматически с помощью NTLM и после этого уже отрабатывает правило NAT Auth Users, которое определяет доступные протоколы для аутентифицированных пользователей.

Готово, можно проверять. Однако запустив браузер у клиента, вы с удивлением обнаружите окно авторизации Kerio Winroute. Можно конечно ввести пользователя и пароль и доступ к интернету появится, но нам нужна прозрачная, NTLM-авторизация, чтобы пользователь авторизовывался под той же учетной записью, что  и логинился в систему. Для этого, заходите в свойства Internet Explorer, вкладка Безопасность > выбираете зону Интернет и нажимаете кнопку Другой уровень. В открывшемся окне находите Проверка подлинности пользователя > Вход > ставите селектор на Автоматический вход в сеть с текущим именем пользователя и паролем (User Authentication > Logon > Automatic logon with current user name and password). Все, проверяете, на этот раз при переходе по какому либо интернет-адресу должно только мигнуть окно редиректа на сервер с Kerio Winroute и вы попадете на искомую веб-страницу.

У каждого пользователя так делать ни к чему конечно, потому что есть групповые политики.  Эта политика находится здесь: User Configuration > Windows Settings >Internet Explorer Maintenance > Security > Security Zones and Content Ratings > Security Zones and Privacy > Internet (Security Level: Custom) >User Authentication >Logon  > Automatic logon with current username and password.

Впрочем, даже после того, как мы все это сделаем, возникает еще один такой неприятный момент, до тех пор, пока пользователь не авторизовался на KWF, доступ в интернет он не получит (что логично), также выход в интернет будет закрыт и для всех остальных протоколов, например POP3, ICQ и т.п. Получается, что каждому пользователю, перед тем как воспользоваться аськой или почтой по POP3, придется сначала зайти на какую-либо страничку в Internet Explorer. Чтобы не напрягать этим пользователей, можно написать простейший скрипт, который запускает IE, заходит на какую-либо страничку (например стартовую KWF) и соответственно авторизуется там.

Таких скрипта мы используем два, один для Logon, другой для Logoff.

Set IE = CreateObject("InternetExplorer.Application")
IE.AddressBar = FALSE
IE.MenuBar = FALSE
IE.Toolbar = FALSE
IE.StatusBar = FALSE
IE.Width = 1
IE.Height = 1
IE.Top = 0
IE.Left = 0
IE.Navigate "http://gate:4080/nonauth/login.php?NTLM=1"
IE.Visible = false
WScript.Sleep(500)
IE.Quit

Set IE = CreateObject("InternetExplorer.Application")
IE.AddressBar = FALSE
IE.MenuBar = FALSE
IE.Toolbar = FALSE
IE.StatusBar = FALSE
IE.Width = 1
IE.Height = 1
IE.Top = 0
IE.Left = 0
IE.Navigate "http://gate:4080/logout/"
IE.Visible = false
WScript.Sleep(500)
IE.Quit

'Скрипт очищает папку %Temp% пользователя
On Error Resume Next
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objTMP = objFSO.GetSpecialFolder(2)
Set objFolder = objFSO.GetFolder(""&objTMP&"")
Set colSubfolders = objFolder.SubFolders
Set colSubfiles = objFolder.Files
For Each objSubfolder in colSubfolders
objSubfolder.Delete
Next
For Each objSubfile in colSubfiles
objSubfile.Delete
Next

При выполнении скрипта происходит запись в атрибут Description (объекта – компьютера в Active Directory) имени текущего залогиненного пользователя. Это делается при логоне/логоффе пользователя.

Как все делается. Есть два скрипта, один для Logon, другой для Logoff. Скрипты эти помещаются соответственно в Logon и Logoff скрипты в групповую политику для OU, в котором находятся учетные записи пользователей.
Далее, группе… скажем Domain Users делегируем на OU, содержащий компьютеры, следующие разрешения: Computer Objects > Write Description.

Сами скрипты (логофф отличается от логон только парой слов в предпоследней строке):

writeComputerDescription_Logon.vbs

On Error Resume Next
Dim adsinfo, ThisComp, oUser
Set adsinfo = CreateObject("adsysteminfo")
Set ThisComp = GetObject("LDAP://" & adsinfo.ComputerName)
Set oUser = GetObject("LDAP://" & adsinfo.UserName)
Thiscomp.put "description", "Logged on: " + oUser.cn + " " + CStr(Now)
ThisComp.Setinfo

writeComputerDescription_Logoff.vbs

On Error Resume Next
Dim adsinfo, ThisComp, oUser
Set adsinfo = CreateObject("adsysteminfo")
Set ThisComp = GetObject("LDAP://" & adsinfo.ComputerName)
Set oUser = GetObject("LDAP://" & adsinfo.UserName)
Thiscomp.put "description", ">> Logged off: " + oUser.cn + " " + CStr(Now)
ThisComp.Setinfo

Выглядит это примерно так:

Естественно, для того, чтобы совсем онлайн было, нужно все время жать F5
Сам скрипт отсюда: http://www.dbforums.com/archive/index.php/t-1106587.html

Задача: установить в организации почтовый сервер на базе Kerio MailServer (KMS), обеспечить прием и отправку почты в организации, доступ сотрудников к почте внутри и снаружи организации.

Что необходимо до установки почтового сервера:

1. Наличие зарегистрированного доменного имени второго (ну или третьего хотя бы ) уровня, в нашем случае это testcompany.ru.
2. В случае работы через MX-записи нужен будет собственно доступ к редактированию этих записей. Обычно хостер или регистратор имен предоставляет такую услугу.
3. Собственно сервер, удовлетворяющий требованиям: http://www.kerio.com/mailserver/requirements.

Установка Kerio MailServer

Итак, у нас есть домен Active Directory, скажем testcompany.local, есть контроллер домена dc01, есть отдельный сервер для KMS, с установленной Windows Server 2003 (или 2008), имя сервера mail. Если домена нет, в принципе все будет похоже, только немного проще, так как не нужно будет настраивать подключение к AD.

Запускаем установку Kerio MailServer, на первых шагах везде Next, Next и т.п.  Я обычно выбираю английский язык (потому как перевод хромает, если честно) и тип установки Custom, но это необязательно.

В шаге установки Administrative Account указываем имя учетной записи администратора почтового сервера и, так как она будет создана в локальной базе KMS, советую дать ей имя, отличное от имени администратора домена, например kmsadmin. Это позволит администратору домена иметь нормальную полноценную почту. В случае совпадения имен это не получится.

Следующий шаг, (Email Domain) очень важный, там мы указываем имя нашего почтового домена (testcompany.ru):

На шаге Internet Hostname указываем внешнее имя почтового сервера (то, которое фигурирует в mx-записях, см. ниже), в нашем случае mail.testcompany.ru (под этим именем наш сервер будет идентифицироваться при установлении SMTP-сессий). Можете потом это проверить с помощью команд HELO/EHLO например.

Далее, на шаге установки Store Directory указываем путь к хранилищу почты, есть смысл разместить его на отдельном физическом диске/массиве, для увеличения быстродействия. Если пользователей много и они интенсивно работают с почтой, то очень желательно, чтобы массив этот был на SAS/SCSI дисках.

Далее собственно установка, заканчиваем ее и запускаем KMS, вводим лицензию и активируем его.

В результате при входе в консоль KMS > Configuration > Domains мы получаем что-то похожее на вот это:

Все, установка закончена, Kerio MailServer готов к работе. Но есть один важный момент, про который я должен вас предупредить. В Configuration > SMTP Server > вкладка Relay Control по умолчанию выбран селектор Allow Relay only for и  установлена галка Users authenticated through SMTP server for outgoing mail. Также там есть еще пункт Users from IP address group и возникает большое желание его использовать и разрешить релей из вашей локальной сети. Этого делать не стоит, потому что если вы поставите эту галку, то наличие или отсутствие галки во втором пункте, Users authenticated through SMTP server for outgoing mail, уже не будет иметь никакого значения, как ни странно, видимо так задумано разработчиками KMS. И после этого любой неаутентифицированный клиент из вашей сети (в том числе вирусы и сетевые черви) без проблем смогут рассылать спам из вашей сети и ваш сервер очень быстро окажется в блеклистах. Поэтому я очень советую галку в пункте Users from IP address group не ставить и оставить настройки по умолчанию:

Тут стоит упомянуть, что если вы используете в локальной сети клиентов, использующих SMTP-протокол для отправки почты, в них нужно будет обязательно ставить галку «SMTP-серверу требуется проверка подлинности», иначе отправить почту они не смогут.

Все настройки в других пунктах по умолчанию вполне работоспособны и менять их стоит, только отдавая себе отчет в том, что вы делаете.

Создание пользователей

В Kerio MailServer создать пользователей можно тремя способами:

1. В локальной базе Kerio MailServer.
2. Подключить пользователей из Active Directory (так называемый mapping).
3. Импортировать пользователей из Active Directory.

Первый способ обычно используется, если у вас нет домена, в этом случае других вариантов, кроме как использовать локальную (Internal) базу KMS, у вас нет.

Второй способ логично использовать, если у вас существует доменная структура.

При третьем способе, происходит импорт учетных записей из домена Active Directory и создание на их основе пользователей в локальной базе KMS (как в первом варианте).

Создание пользователей в локальной базе Kerio MailServer

Чтобы завести пользователя при использовании локальной базы, нужно просто зайти в консоли KMS в Domain Setting > Users и добавить пользователя, нажав на кнопку Add… > Create local user.

Второй способ сложнее, для него нужно настроить автоматический mapping пользователей из AD.

Mapping пользователей из Active Directory

Чтобы настроить KMS на работу с пользователями Active Directory, нужно сначала на контроллер домена установить Kerio Active Directory Extensions. Eсли контроллеров несколько, то на все устанавливать необязательно, только на те, к которым будет подключаться Kerio MailServer (собственно в KMS возможно только два максимум указать). После их установки заходим на вкладку KMS > Configuration > Domains > Directory Service и вводим там необходимые нам данные:

где,

Hostname – имя контроллера домена (как раз того, на который установили Kerio Active Directory Extensions).

Username – имя пользователя домена для подключения к базе AD (достаточно прав обычного пользователя, но… если вы хотите добавлять пользователей из консоли KMS, придется добавить эту учетную запись в группу Account Operator как минимум). Я рекомендую создать специльного пользователся для подключения, (например, kms_service) и поставить ему галки «Password never expires» и «User cannot change password», чтобы в один прекрасный момент у вас не отвалилось подключение к Active Directory.

Password – пароль этого пользователя.

Secondary (backup) directory server – резервный контроллер домена прописываем здесь, если он есть конечно. Не забудьте на него тоже установить  Kerio Active Directory Extensions.

Active Directory Domain Name – в этом пункте ставим галку и пишем имя локального домена, testcompany.local в нашем случае, так как имя нашего почтового домена отличается от домена Active Directory.

Нажимаем кнопку Test Connection и убеждаемся, что все ОК. Если нет, значит что-то неправильно ввели, проверьте все еще раз.

Чтобы проверить, что все нормально функционирует, на контроллере домена заходим в оснастку Active Directory, выбираем какого-нибудь пользователя (созданного до установки KMS), щелкаем правой кнопкой мыши на нем, выбираем Kerio MailServer Tasks и создаем почтовый ящик:

Заходим обратно в KMS > Domain Setting > Users и убеждаемся, что в консоли присутствует наш вновь созданный пользователь.

Вообще создавать пользователя стоит сразу с почтовым ящиком, если же он не был создан сразу по каким-то причинам, можно его создать как из Active Directory с помощью Kerio MailServer Tasks, или, если учетная запись kms_service включена в группу Account Operators или Domain Admins в AD, то это можно сделать прямо из консоли KMS. KMS > Domain Setting > Users > Add… > Activate Active Directory user. Аналогично можно присвоить email-адрес и группам.

Практический совет, создайте сразу группу рассылки, в которую будут входить все пользователи компании, удобно использовать для рассылки каких-либо объявлений для всех сотрудников компании.

Импорт пользователей

Если вам по каким-то причинам необходимо импортировать пользователей AD в локальную базу KMS, то делается это таким образом – заходите в KMS > Domain Setting > Users > кнопка Import > Import from directore service:

Имя домена, контроллера, пользователя для подключения к AD указываем такие же, как в предыдушем пункте при маппинге пользователей из Active Directory. В результате KMS нам предлагает выбрать  пользователей для импорта, выбираем нужных и нажимаем кнопку ОК:

Все, пользователи созданы. В результате в  KMS > Domain Setting > Users получается примерно такая картина:

где,

e.popova и kmsadmin – пользователи, созданные в локальной базе KMS

i.petrov, p.ivanov и v.pupkin – пользователи, подключенные из Active Directory

n.sidorova – пользователь, импортированный из AD

Обратите внимание, что в свойствах пользователей, импортированных из AD, по умолчанию устанавливается аутентификация через Kerberos 5, т.е. с пользователь при входе в свой почтовый ящик аутентифицируется с помощью AD.  Естественно, можно поменять метод аутентификации на другой – Internal или  Windows NT domain (в связи с тем, что Windows NT сильно устарела, в этой статье этот метод не рассматривается). Для пользователей, подключенных вторым способом, этого сделать нельзя.

Настройка mx-записей

Что это за записи? MX-запись – это особая запись на DNS-серверах, которая для данного домена (testcompany.ru в нашем случае) указывает почтовый сервер, на который нужно отправлять электронную почту, предназначенную для адресов в этом домене.

Доступ к редактированию этих записей находится там, где вы собственно приобрели это имя, у хостера скорее всего или скажем у регистратора имен, например nic.ru.

Заходим в панель управления зоной testcompany.ru. Если у вас там уже был например веб-сайт компании, то вы увидите, что там уже есть A-записи, который указывают на IP-адрес этого сайта. Нам тоже нужно создать A-запись, которая будет указывать на наш сервер. Собственно нужна будет эта запись для того, чтобы использовать ее в MX-записи и чтобы она указывала на веб-интерфейс нашего сервера.

Поэтому вводим новую запись:

mail.testcompany.ru    тип A    IP-адрес 88.88.yyy.xxx

где 88.88.yyy.xxx – ваш внешний IP-адрес, выданный вам провайдером. Часто полностью mail.testcompany.ru вводить не надо, достаточно просто mail.

Далее MX-запись, аналогично, только дополнительно нужно приоритет указать:

@    тип MX    mail.testcompany.ru.    приоритет 10

@ означает сам домен testcompany.ru. У разных регистраторов имен эти записи вводятся немного по-разному, но смысл такой, для домена testcompany.ru мы создаем mx-запись, указывающую на A-запись mail.testcompany.ru. Всё, записи созданы, через некоторое время (до двух суток, обычно меньше) они реплицируются на все DNS-серверы в интернете и будут доступны. Поэтому этот пункт желательно сделать в первую очередь, хоть он у меня и идет четвертым по счету.

Проверяем с помощью nslookup (как пользоваться этой командой – http://support.microsoft.com/kb/200525/ ), должно быть что-то типа того:

C:\Documents and Settings\Admin>nslookup
Default Server: dc01.testcompany.local
Address: 192.168.1.10

> set q=a
> mail.testcompany.ru
Server: dc01.testcompany.local
Address: 192.168.1.10

Non-authoritative answer:
Name: mail.testcompany.ru
Address: 88.88.yyy.xxx

> set q=mx
> testcompany.ru
Server: dc01.testcompany.local
Address: 192.168.1.10

Non-authoritative answer:
testcompany.ru MX preference = 10, mail exchanger = mail.testcompany.ru

testcompany.ru nameserver = ns2.zzz.ru
testcompany.ru nameserver = ns1.zzz.ru
mail.testcompany.ru internet address = 88.88.yyy.xxx
>

где 192.168.1.10 – адрес контроллера домена dc01.

Также понадобится создать PTR-запись для вашего внешнего IP-адреса. Она нужна для того, чтобы письма с вашего сервера не считались спамом (на многих почтовых серверах есть проверка PTR). PTR-записи обычно создаются у провайдера, который предоставляет вам статический IP-адрес, доступа к редактированию PTR записей обычно нет. Поэтому пишем письмо провайдеру следующего содержания:

Прошу для адреса 88.88.yyy.xxx создать PTR-запись, соответствующую домену mail.testcompany.ru

Проверить, создалась запись или нет, можно опять же через nslookup, примерно таким образом:

C:\Documents and Settings\Admin>nslookup
Default Server: dc01.testcompany.local
Address: 192.168.1.10

> set q=ptr
> 88.88.yyy.xxx
Server: dc01.testcompany.local
Address: 192.168.1.10

Non-authoritative answer:
xxx.yyy.88.88.in-addr.arpa name = mail.testcompany.ru
>

Все, с записями все отлично, теперь нужно сделать маппинг (или публикацию) портов SMTP и HTTP (а так же HTTPS, POP3, IMAP и т.п., если вы собираетесь давать доступ снаружи к этим сервисам) на вашем корпоративном фаерволе. А также с сервера mail нужно открыть порт SMTP наружу. Например, в Kerio Winroute Firewall это будет выглядеть так:

где 192.168.1.12 – IP-адрес почтового сервера.

Для быстрой проверки снаружи используйте telnet:

telnet mail.testcompany.ru 25

который должен выдать:

220 mail.testcompany.ru Kerio MailServer 6.7.3 ESMTP ready

Если выдал, значит на фаерволе порт опубликован нормально, mx-записи введены коррректно и сам KMS тоже функционирует нормально.

Настройка клиентов:

Проверяем веб-интерфейс, на какой-нибудь рабочей станции в локальной сети или на самом сервере в строке браузера набираем имя нашего почтового сервера:

http://mail/ (или http://mail.testcompany.ru/ , если пробуете снаружи)

Мы должны попасть на страницу входа в веб-интерфейс KMS:

Дальше все стандартно, вводим имя и пароль пользователя с существующим ящиком, входим и удивляемся, что все работает Так же можно попробовать зайти по HTTPS, по умолчанию KMS при установке сам создает сертификат, так что и в этом случае все должно работать.

Далее нужно настроить Microsoft Outlook. В этой статье рассматривается настройка MS Outlook 2007, для Outlook 2003 отличия будут минимальны.

Сначала нужно установить на рабочую станцию Kerio Outlook Connector (with offline caching). Можно сделать это вручную, можно установить MSI-пакет через групповые политики.

После установки Kerio Outlook Connector запускаем Outlook, если учетных записей это этого не было, то запустится мастер, если были, то нужно будет запустить его вручную из меню Сервис > Настройка учетных записей > Создать…

На странице Настройка учетной записи нажимаем Да, естественно, далее, на странице Автоматическая настройка учетной записи ставим галку «Настроить вручную параметры сервера или дополнительные типы серверов»  (так как у нас не Exchange ).  Далее на странице Выбор службы электронной почты выбираем Другая и Kerio Mailserver (KOC Offline Edition):

Далее, в окне Конфигурация на вкладке Учетная запись вводим:

Имя  сервера – mail.testcompany.local

Имя учетной записи – p.ivanov

Пароль – пароль этой учетной записи в AD и ставим галку Сохранить пароль.

Нажимаем кнопку Обнаружить, должна отобразиться корректная информация о пользователе. Далее ОК, ОК, Готово и заходим в Outlook. На этом первоначальная настройка Outlook закончена, пользователь может отправлять и принимать почту.

Для проверки отправьте несколько тестовых писем внутри организации и на какие-нибудь внешние адреса, а также обратно Если все сделали правильно, то почта должна функционировать без проблем.

Исправления и дополнения принимаются.