Встала задача - обновить наш антивирус. С версии 10.6 на версию 10.6 Service Pack 1. В принципе, это достигается при помощи внутренних средств обновления, но мне захотелось поднять полностью новый сервер и перевести клиентов на него. Потому как работа старого меня не устраивала, даже бекапы базы данных не делались, валились с ошибкой. Впрочем, это не удивительно, сервер этот был последовательно обновлен с 10 до 10.6. Наверняка уже столько хвостов осталось, что ужас. В общем - чистая установка - как всегда, лучший выход.
С самой установкой и настройкой проблем вообще никаких. С переносом клиентов, которые на текущий момент активны - тоже. А вот что делать с теми машинами, которые могут месяцами не включаться? Их ведь просто так не перетащишь, команду не дашь с административной консоли. Что ж, такую задачу решать уже доводилось - придется воспользоваться сценариями запуска компьютеров. В итоге клиент сам после запуска переползет, куда надо.
Основа сценария - маленькая утилитка IpXFer, которая и пинает клиента в нужную сторону. Выполняется на целевом клиенте с соотвествующими ключами от имени администратора или самой машины (если речь о сценарии запуска). Одновременно с этим не мешало бы проверять - а не переехал ли клиент уже на новый сервер. Ведь если он там - повторно перекидывать его туда не надо.
Начнем с проверки. Кучу своих настроек клиент Trend Micro Office Scan хранит вот тут:
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion
Нас очень сильно интересует параметр Server, в котором и прописывается "место жительства" клиента. Выполнив команду
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion" /v Server
получаем требуемое.
Теперь полученное нужно проверить - что же там лежит. Ради интереса воспользовался вот таким методом:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion" /v Server | findstr "%ServerName%"
Сначала мы получаем значение параметра Server, затем в полученном пытаемся найти имя нашего сервера. Если найдем, все в порядке. Если не найдем - получим ошибку в системной переменной %ErrorLevel%. Следующий шаг - проверка этой переменной. Если она равна нулю - не делать ничего, клиент уже на "месте прописки". Если же не равно нулю - значит клиент у нас бродяжничает, и его пора пришпилить на место.
Отдельный вопрос - x64 системы. У них расположение нужного нам ключа реестра немного отличается:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion
Следовательно, нам нужно будет еще проверять, на каком типе систем исполняется скрипт. Ну а потом, после всех проверок, запустить нужную утилитку с кучей параметров.
Целиком весь сценарий будет выглядеть вот так:

echo off
if exist "%systemdrive%\program Files (x86)" (goto x64) else (goto x86)
:x86
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion" /v Server | findstr "%ServerName%"
if NOT %errorlevel% == 0 call \\server\share\ipxfer.exe -s %ServerName% -p %HTTP_Port_Number% -m 1 -c %Client_Port_Number%
goto rest

:x64
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion" /v Server | findstr "%ServerName%"
if NOT %errorlevel% == 0 call \\server\share\ipxfer_x64.exe -s %ServerName% -p %HTTP_Port_Number% -m 1 -c %Client_Port_Number%

:rest

Обработка напильником - стандартная. Вместо %ServerName%, %HTTP_Port_Number%, %Client_Port_Number% подставить нужные значения и положить обе утилитки ipxfer и ipxfer_x64 в какую-либо общую папку, куда могут обратиться компьютеры домена.

P.S> После обновления клиента у него меняется значок. Кто-то из "бдительных" пользователей это заметил и тут же начал трезвонить в IT отдел - "Помогите, у меня на компьютере вирус под названием Trend Micro Office Scan!". Ирония в том, что сотрудник сам не знает, на сколько же он прав...

История, развернувшаяся буквально на моих глазах сегодня с утра.
Итак, дано - Android Galaxy Tab. Человек, обладающим им, купил(!) в Google Play(!!!) фильм и вздумал его на своем устройстве посмотреть. Я вообще впервые в жизни увидел человека, который в GPlay что-то приобрел, учитывая, что в России этот сервис запустился на полную катушку совсем недавно. Ну ладно, купил и купил. А что с ним дальше делать-то? Известно, что, качать. 1.2 Гб учебного пособия по суициду под названием Анна Каренина. Одна беда - это 1.2 Гб трафика, который на SIM далеко не бесплатен, потому-то человек в наш отдел и пришел, присосаться к местному запароленному Wifi. Ну да ладно, выпустили. Фильм стащился, все замечательно. Нажимаем на нем в списке загрузок, планшет думает секунд 10, после чего с критом вышибает процесс, отвечающий за обработку видеофайлов.
Почесали тыковки, перезагрузили аппарат, мало ли... После перезагрузки ничего не изменилось. Ладно, ок, нельзя вызвать из окна загрузок как в приличном виндовом DDE, не вопрос, откроем в приложении. В качестве этого самого приложения выступает Play: Фильмы. Запускаем его, заходим в учетную запись, вызываем там список уже купленного добра. Добро показано, что только и ждет, когда его просмотрят, и будет ждать еще 1 день и 1 час. Да, да, та самая аренда контента во всем своем великолепии. То есть мы уже на часах, а добраться до контента не можем.
Запускаем фильм оттуда - получаем прекрасное - 521 - Ошибка воспроизведения. И контакты для обращения в службу поддержки Yotaplay. Ну хорошо, напарник расчехляет телефон (я не особо люблю болтать, мне переписка ближе) и начинается цирк.
До поддержки дозвонились быстро. Мальчик бодро отвечает, мол, обновите, пожалуйста, наше ПО до последней версии. Проверяем, действительно, на планшете версия древнее. Обновили. ОК, запускайте. Запускаем, ошибка осталась, но на этот раз тысача-какая-то. Ладно, почистите кэш приложения. ОК, заходим в менеджер приложений планшета, выбираем там нужное нам ПО, открываем его свойства, сносим кэш. Результат - тот же.
Владелец планшета уже нервно хихикает. Я откровенно стебусь над всем этим, как обладатель телефона на андроиде. Коллега на телефоне просто в шоке. Продолжаем диалог с поддержкой, в течение которого проходит рекомендация: снесите все данные этого приложения. Да-да, это означает снести фильм в том числе. Ок, кнопочка Remove Data отрабатывает на ура. Заходим в учетную запись приложения уже с нуля, видим, что ни одного фильма нет, но нам предлагают "Анночку" либо посмотреть в он-лайн режиме, либо скачать заново. Ради интереса по подсказке мальчика из техподдержки включаем он-лайн просмотр и, о, чудо, видим нужное. После чего мальчик радостно заявляет, что поскольку у нас фильм был скачан в предыдущей версии ПО, то после обновления нужно все закачанное снести и перекачать заново уже в новой версии.
Дальше трубку берет владелец планшета и оформляет заявку на возврат средств за непросмотренный фильм, а сам фильм удаляет из учетной записи, благополучно выключая планшет.
Ну и как полагается по законам жанра - вопросы по истории и мораль оной.
Вопросы довольно просты. "Почему?" и "Кто виноват?". Почему при обновлении версии страдает возможность воспроизведения контента, хотя сохранение такой возможности - базовый принцип работы. И кто виноват, что в "production" вылезло такое? Тем более, что за это взимается вполне себе определенная плата во вполне реальной валюте.
А что до морали... думаю, каждый сфомирует ее для себя сам.

В продолжение предыдущего разбора полетов с Небесным Диском.
Причину рухнувшей синхронизации найти все же удалось. Оказалось, что синхронизация отказывает тогда, когда SkyDrive пытается закачать файл, созданный прямо в веб-интерфейсе, или залитый в облако через него же. И валится синхронизация, когда клиент находится за файрволлом. Поскольку используется TMG, пришлось, вооружившись гуглом, копаться в нем. Ответ найден - всему виной Malware Inspection, если быть совсем точным - параметр "Force content requests (remove HTTP Range header)". Подробно - здесь: Клац!
Отключение этого параметра восстанавливает синхронизацию тут же.

После развертывания MDT, которым сейчас вовсю пользуются ребята из службы поддержки, возникла одна проблема. Большая она или нет - это с какой стороны взглянуть. Суть в следующем - когда рабочая станция получает образ ОС и вводится в домен при помощи MDT, она попадает в базовую OU Computers. В то же время у нас AD разбита по отделениями и филиалам, на каждый филиал своя OU. И теперь нужно вручную все эти компьютеры раскидать по различным OU. Лениво. Впрочем, так скажет любой администратор. Что же делать?
У каждого отделения свой диапазон IP адресов. Все IP адреса есть в DNS. Стало быть, можно определить, какой компьютер из базовой OU куда должен улететь. Остается лишь получить IP адрес компьютера и сказать скрипту, чтобы он принял решение о переносе компьютера в нужную OU именно на основании полученного адреса. Но как это сделать? Стандартная команда nslookup выдаст нам море лишней информации - имя контроллера домена, его адрес, имя интересующего нас хоста... Более того, все это будет в нескольких строках. Значит, придется парсить эти строки, ничего не поделать. Снова и снова берем в руки Powershell и начинаем размышлять.
Утрамбовать вывод стандартного nslookup в какую-либо переменную труда не составляет:
$var = nslookup hostname
Дальше пропишем небольшую модель нашей сети. Итак, пусть диапазоны адресов, которые будут использоваться, выглядят так:
Главный офис - 10.10.1.1 - 10.10.6.255
Филиал 1 - 10.20.1.0/24
Филиал 2 - 10.20.2.0/24
Филиал 3 - 10.20.3.0/24
...

В главном офисе стоят все серверы, их подсеть - 10.10.1.1-10.10.1.254. Среди них и сидит наш DNS сервер, который будет отдавать информацию по nslookup. Диапазон адресов рабочих станций в центральном офисе - 10.10.3.1 - 10.10.6.255.
Стало быть, когда будем парсить вывод nslookup, нам нужно будет игнорировать в выводе адрес вида 10.10.1.x - адрес нашего DNS - он бесполезен.
Стандартный вывод nslookup будет выглядеть следующим образом:
c:\> nslookup hostname

server: DNS-fqdn
Address: DNS-ip

name: hostname
Address: hostname-ip
Последняя строка может приять вид Addresses: hostname-ip1, hostname-ip2 если адресов больше одного.
Итак, нас будет интересовать последняя строка. Для построчного анализа можно использовать следующую конструкицю
foreach ($line in $var) { sсript-block }
В переменную $line будут поочередно заноситься все строки, хранящиеся в многострочной переменной $var, и уже переменная $line будет подвергаться анализу, что нам и нужно. Основной вопрос - как проверять? Тут на помощь придет трава (иначе и не скажешь) под названием регулярные выражения. Выглядеть в реализации Powershell это будет следующим образом:
foreach ($line in $Var) { #CO found if ([regex]::ismatch($line,"10\.10\.(3|4|5|6)")) {move to CO} #Filial 1 found if ([regex]::ismatch($line,"10\.20\.1")) {move to filial 1} #Filial 2 found if ([regex]::ismatch($line,"10\.20\.2")) {move to filial 2} #Filial 3 found if ([regex]::ismatch($line,"10\.20\.3")) {move to filial 3} }
Под CO тут понимается центральный офис (он же главный офис).
На этом самая заковыристая часть скрипта написана. Остается только сделать выборку компьютеров из базовой OU Computers, прописать механизм переноса записи компьютера между OU, да перечислить все возможные блоки в цикле foreach ($line in $var) { }. Все это уже тривиально.
Ну и попутно придется курить руководства по MDT в плане возможности выбора OU, куда компьютер будет сразу прописываться.

Идея единой точки распространения дистрибутива Windows на работе занимает мой мозг уже давно. В принципе, этот сервис уже поднят, настроен и работает. Связка WDS + MDT 2010 отработала просто прекрасно, стоило потратить пару дней на "вкуривание" процесса настройки MDT. Но остался нерешенным один вопрос - что делать с обновлениями ОС после установки? Да, поднят и работает WSUS, но сам процесс установки, когда машина тащит и натягивает на себя больше сотни обновок, просто очень долог. Остается только один вариант - интеграция обновлений непосредственно в дистрибутив. После установки ОС уже будет пропатчена по самое не могу. Идея хорошая, но где взять эти обновления? Не руками же с сайта Windows Update вытаскивать, хотя и была такая идея.
Сначала попробовал вынуть из из WSUS при помощи новоразвернутой машины. Да, вынуть их удалось, но уже в распакованном виде. Не пойдет, потому что заветный ключ /integrate применяется только к упакованным обновлениям, а как их паковать таким образом, MS, конечно же, не объясняет, ибо зачем?
Гугл, запрос, курение результатов. Результатом стала следующая ссылка:
support.microsoft.com/kb/913086 - Security updates are available on ISO-9660 DVD5 image files from the Microsoft Download Center
Да, вы не ошиблись. Все апдейты доступны в виде ISO образов. Для всех систем. Трафика, конечно, ушло безумно много - 90 Гб, зато теперь есть все необходимое.
Только вот одна проблема. 56 образов, если считать от месяца выпуска SP3 для Windows XP (меня интересует этот дистрибутив). Каждый из них нужно распотрошить, выбрать оттуда каталог с нужной версией, архитектурой, языком, вытащить оттуда файлы и сложить в отдельный каталог. Ужас. Что же делать? Окидываем взглядом систему, понимаем, что в ней есть следующие компоненты: Daemon Tools, Powershell, ISE. Большего и желать нельзя. Ну и справка от Daemon Tools, конечно же.
Итак, идея в том, чтобы заставить Powershell-скрипт извлекать из образов нужные файлы. Структура каталогов внутри каждого образа известна - номер Knowledge Base, версия ОС, архитектура, язык, например, DriveLetter:\2723135\WindowsXP\x86\*.exe
Заставить извлекать файлы по таким путям - дело нехитрое. А вот что делать с процессом монтирования образов? Тут-то на помощь и придет Daemon Tools. Эта широко известная программка способна работать не только в обычном графическом режиме, но и через командную строку. Ее ключи подробнейшим образом расписаны во встроенной справке, хотя и там не обошлось без накладки, ее я выделю позже.
Теперь перечислим, что у нас имеется (применительно к моей системе):
Файлы всех ISO образов лежат в папке D:\Temp\Архивы
Складывать все обновления мы будем на диск E: в соотвествующие папки.
Daemon Tools установлен в стандартный каталог C:\Program Files (x86)\DAEMON Tools Lite.
Виртуальный диск, в который монтируются файлы-образы, имеет букву G:
Поехали:
$colISO = get-childitem D:\temp\архивы\*.iso cd "C:\Program Files (x86)\DAEMON Tools Lite" foreach ($iso in $coliso) { write-host "mounting $iso" $args = "-mount 0,$iso" $cmd = "dtlite.exe" start $cmd -argumentlist $args start-sleep 5 foreach ($dir in (get-childitem g:\)) { #get win7 x86 rus updates if (test-path g:\$dir\Windows7\x86\rus) { copy g:\$dir\Windows7\x86\rus\*.* E:\Win7\x86\rus} #get Win7 x86 neu updates if (test-path g:\$dir\Windows7\x86\neu) { copy g:\$dir\Windows7\x86\neu\*.* E:\Win7\x86\neu} #get Win7 x64 rus updates if (test-path g:\$dir\Windows7\x64\rus) { copy g:\$dir\Windows7\x64\rus\*.* E:\Win7\x64\rus} #get Win7 x64 neu updates if (test-path g:\$dir\Windows7\x64\neu) { copy g:\$dir\Windows7\x64\neu\*.* E:\Win7\x64\neu} #get WinXP x86 rus updates if (test-path g:\$dir\WindowsXP\x86\rus) { copy g:\$dir\WindowsXP\x86\rus\*.* E:\WinXP\x86\rus} } }
В принципе, код не сложен. Отдельно хотелось бы остановиться на паре моментов.
Первый - строка $args = "-mount 0,$iso. Именно здесь задаются ключи запуска Daemon Tools. И именно здесть есть небольшая накладка в справке самой DT. В ней указано, что среди параметров необходимо указывать тип драйва, в который мы стараемся монтировать файл-образ. На практике попытка указать тип приводит к ошибке, поэтому тип драйва просто опущен. А должно было быть вот так: $args = "-mount scsi,0,$iso".
Ну а второй момент - искуственная задержка start-sleep 5 - самой Daemon Tools требуется некоторое время на монтирование образа.
Ради интереса в код ввел вывод времени начала и окончания выполнения. Выяснил, что весь скрипт отрабатывает 5 минут или около того. Представляю, сколько времени я бы все эти действия выполнял руками...
Может возникнуть вопрос - а что за блоки, связанные с обновлениями Win7 и язык такой Neu. Ответ на первую часть вопроса прост - в рамках этого же скрипта еще и для семерки файлы обновлений вытащим. А вот что за локаль такая - я и сам не знаю. Все обновления Win7 идут только в ней. В папках Rus для семерки не оказалось ни одного файла, только в Neu.
... И почему нативная поддержка ISO в Windows появилась только в Win 8...

UPDATE @ 09.10.2012. Продолжение расследования, принесшее весьма любопытные результаты.
"Профиль - смотри профиль, ответ там." (с) Hikedaya
После очередного возникновения подобного непотребства снова запустил File Monitor и изучил его результаты более вдумчиво. Нашел следующее:
Запрос пути: C:\Documents and Settings\%username%\Local Settings\Temp
Результат: not found.
Что за черт? Раньше это почему-то в глаза не бросилось, а вот теперь... И что примечательно, почти сразу после этого сообщения идет следующее:
Запрос пути c:\Windows
Действие: создание файла
Результат: Access Denied.
Налицо неспособность Excel найти временный каталог для создания tmp-файла. Что за черт... Лезу в C:\Documents and Settings\%username%\Local Settings и вижу, что каталога Temp там действительно нет. Все становится понятно. Excel пытается создать файл по требуемому пути, видит, что этого пути не существует в принципе, после чего ломится, как яркий представитель "дикого" софта, в системный каталог, который уж по всякому будет на месте. И уже там получает отлуп, после чего обиженным тоном сообщает, что файл, который мы хотим открыть, "может быть предназначен только для чтения или быть зашифрован".
Любопытнее всего тот факт, что, как уже и было написано, файлы формата Office 2007 продолжают спокойно открываться. А все потому, что тот же Excel 2007 при открытии таких файлов располагает временные документы вовсе не в C:\Documents and Settings\%username%\Local Settings\Temp, а в C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files\Content.MSO. И самое смешное - даже если этого каталога нет, он будет создан по требованию, в отличие от предыдущего, который автоматически создается только один раз - при создании профиля.
В общем, как только руками в профиле пользователя был воссоздан каталог Temp, функционал работы с файлами legacy-форматов восстановился тут же. Ради интереса уничтожил каталог Temp у себя на машине. Результат предсказуем, я получил ровно то же самое поведение, что и на проблемной машине. Создал каталог заново - проблема исчезла.
Осталось понять, при каких обстоятельствах может исчезать, причем целиком и сразу, прямо во время работы, каталог Temp. Ведь там постоянно есть какой-нибудь файл, занятый каким-либо процессом. Следовательно, сначала надо тушить процесс (и еще узнать, какой именно), а потом уже удалять каталог. Но это уже тема отдельного расследования, с привлечением аудита файловой системы. Есть подозрение, что виной всему некорректная установка какого-либо обновления.
Ох и разрастется лог Security на машине-жертве...
Ну и галочка на будущее - если вы озаботились чисткой пользовательских профилей - удостоверьтесь, что в любой момент времени, когда пользователь работает в системе, каталог, обозначенный в переменной %TEMP%, действительно существует.

UPDATE @ 01.10.2012. Отбой. Все указанное ранее не является гарантированным решением. Сегодняшний день убедил меня в обратном, придется копать дальше...

Какое-то время назад на нашу компанию навалилась странная напасть. То на одном ПК, то на втором, то на третьем офисные приложения версии 2007 и выше начали выдавать странное. Им абсолютно не по нраву были попытки открыть файлы формата Office 2003. И именно 2003, потому что документы формата 2007 и выше продолжали открываться без проблем. И если Word выдавал что-то несуразное насчет повреждения файла, то Excel в таком случае радовал следующей ошибкой:
Excel cannot access %filename%. The document may be read-only or encrypted.
Когда это появилось на одной машине, я склонен был списать все на нестабильно работающий офисный комплект. На двух - заставило призадуматься, на трех - уже пора задуматься очень серьезно.
Первое. На шифрование вирусом это не похоже, потому что файлы все же открываются на других компьютерах.
Второе. Настойчивое гугление показало, что проблема может крыться в том, что у пользователя слетели права на файлы в его же профиле. Решение - переназначить права на каталог %userprofile% и ниже, уровень доступа - полный с заменой и наследованием прав от самого %username%. Этот вариант сразу же был отметен, как неработоспособный, потому что поражались только файлы office 2003. Лежащие буквально рядом office 2007 - открываются без проблем.
Третье - проблема лечится, но способ лечения радикальный: убить пользовательский профиль, создать новый, скопировать документы назад. Какое-то время именно этим способом и решал проблему, по крайней мере сотрудник после этого может работать, у меня появляется больше времени на ковыряние ситуации в целом.
В чем же причина и как бороть, если не перебивкой профиля? Апдейты ОС? Вряд ли, специально затормозил одобрение новых, поднял новую систему, накатил на нее все обновки, что есть, отдал сотруднику. Два дня нормальной работы, после чего бедолага попал под ту же раздачу. Значит, стопроцентно не апдейты.
Профиль... Перебивка спасает, значит само ПО не портится. Файлы тоже не портятся. Что может быть в профиле такого, что блокирует запуск файлов формата Office 2003 на приложениях новых версий?
Запуск SysInternals File Monitor, ковыряение результатов. При открытии файла Excel старается записать временный файл прямо в каталог %systemroot%, где нарывается на законный Access denied? Что это за дрянь? Теста ради запускаю тот же механизм наблюдения на "здоровом" ПК, вижу ТОТ ЖЕ результат. Значит, дело не в этом, но в уме галочку себе поставил. А голове все так же не дает покоя мысль: профиль - смотри профиль, ответ там. Но где?
Что у нас хранится в профиле? Настройки, всякая мелкая шушера из той же оперы да временные файлы. СТОП!
Однажды мне уже довелось раскапывать очень непонятное поведение Outlook: в какой-то момент он просто отказывался открывать любые вложения. Решением стала банальная чистка временного каталога оной программы. А поскольку примерно в то же время я озаботился вычисткой от всякого хлама пользовательских профилей вообще... Вот тут все это расписано подробнее.
Итак, временные файлы. А что если грохнуть все то временное месиво, что скапливается в пользовательских профилях, да посмотреть, откроются ли те злосчастные файлы? Сказано, сделано, тем более что и очередной "клиент" "подоспел".
rem clean office temp dirs
del /f/s/q "C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files\Content.MSO\*.*"
del /f/s/q "C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files\Content.Word\*.*"
Результат не заставил себе ждать - файлы открылись тут же. Можно выдохнуть. А в сценарий выхода пользователя из сеанса добавить вышеприведенные пару строк.
К сожалению, причина, по которой происходит вот такой затык в работе, пока что осталась неизвестной, впрочем, само существование файлов во временной папке после завершения приложения - уже достаточный глюк со стороны оного приложения, который не лечится уже много версий подряд.

P.S. Много думаю над тем, чтобы сократить команду очистки до следующей:
del /f/s/q "C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files\*.*"
Но пока еще все же думаю...

запись создана: 30.09.2012 в 22:31

Фаза 2. Тестовая группа расширена до сотни человек. И что, вы думаете, что все прошло гладко? Да как бы не так.
Есть у нас подразделение, работающее с веб-сайтом, попортившим уже немало крови. Знающие да поймут меня: audatex. Вот честно, дай мне волю, искоренял бы ересь под названием Java всеми доступными мне методами. Впрочем, я отвлекся от темы.
Суть в следующем. Конфигурация браузера: использовать скрипт автоматической настройки маршрутизации. Интернет работает, страницы открываются, все авторизуется как надо. А вот как только дело касается запуска Java-апплета, процесс втыкается намертво. Java просто не может пробиться через файрволл. Ради теста переключаем пользователя на предыдущую конфигурацию и на старый прокси. А там настройка такова: прямо в браузере поставлена галка "Использовать прокси-сервер" и прописаны необходимые параметры. Честно, этот метод я не люблю, и в TMG 2010 я от него уйду (отсюда и скрипт автоматической настройки). Через старую прокси все работает. Закономерный вопрос выражается в трех символах: WTF?
Ковыряем интернет, находим вот такую любопытную статью:
support.microsoft.com/kb/925881 - An ISA server or Forefront Threat Management Gateway server requests credentials when client computers in the same domain use Internet Explorer to access Web sites that contain Java programs.
В частности, заинтересовало описание второго метода решения проблемы. О сетевых настройках внутри самой JVM как-то не подумалось, а зря. Что ж, идем на проблемное рабочее место и начинаем играться с параметрами JVM. Результат неутешителен. Попытка использовать ее настройки по-умолчанию (Use browser settings) провалена, как и описано выше. Попытка прописать новый прокси прямо в JVM - снова неудача. Попытка подставить тот же адрес сценария автонастройки - дальше продолжать? Остается последний вариант - Direct connection. Я точно знаю, что он сработает, но в то же время использовать его я не могу. Потому что в этом случае запрос пойдет на старую прокси. Что ж делать?
Остается только одно, установить на машину TMG/ISA client, чтобы он заворачивал, причем гарантировано, все запросы на новую прокси. Сказано - сделано, клиент поставлен, настроен, JVM сказано - ломиться напрямую, мимо прокси. Настройки браузера приведены к виду указанному ранее - через сценарий автонастройки. Все заработало.
Ну а теперь, как говорилось в известной передаче - внимание, вопрос? Нафига козе баян? То есть зачем в JVM такое богатство настроек прокси, если реально работают только два варианта, а один из них еще и с серьезными ограничениями?
Нет, никогда мне не подружиться ни с Java в общем, ни с разработчиками на этой платформе.

Вот честно, когда вышел Office 2007 и его ленточный интерфейс, я ругался как черт. Хоть в Outlook там оставили привычный интерфейс. Когда же вышел Office 2010 - я начал плеваться и на Outlook тоже. Ибо более... ээммм... оригинально работающей программы я в славном племени офисных представителей не видел. Впрочем, речь пойдет не об интерфейсах, а о другом. Начать с уже ставшего головной болью сообщения "Загрузка профиля" (впрочем, тут я все же склонен винить больше серверную часть, нежели клиентскую) и закончить проблемой, которую пришлось решать совсем недавно.
Проблема эта проявилась в двух вещах. Первое - при работе в кэшированном режиме Outlook напрочь отказывается загружать автономную адресную книгу. Если вспомнить, что в кэш-моде идет работа исключительно с автономной книгой - все очень печально. Вторая проблема - автонастройка конфигурации Outlook. В какой-то момент в 100% случаев при ее использовании ответом стало: Unknown Error 0x80070057.
Обе любопытны. Дело в том, что обе они оказались завязаны на автоматическое создание профилей. Потому что:
1. Профиль, созданный руками, не испытывает никаких проблем с загрузкой OAB.
2. Профили, создаваемые руками с указанием адреса сервера и имени клиента, не испытывают никаких проблем с процессом, собственно, создания.
Пришлось отказаться от полностью автоматического создания почтовых конфигураций и заменить полуавтоматическим созданием - клиенту нужно будет три раза нажать кнопку Далее. Вопрос - как это сделать, и как было реализовано полностью автоматическое создание. Ответ рядом - setup.exe /admin, а уже в ней редактировать файл настроек Office 2010, который применяется в процессе установки всего комплекта. Лежит он в папке Updates. Открываем его, смотрим, видим, что помимо всего прочего именно там и задано поведение Outlook - "Определить изменения существующего профиля по умолчанию. Если профиль по умолчанию не существует, в Outlook создается новый профиль по указанным настройкам". Но по каким настройкам - неясно. Ок, сбрасываем этот параметр в дефолт, создаем новый файл настроек, восстанавливаем остальные параметры, сохраняем полученный MSP-файл в том же каталоге Updates, убив исходник. Проблему OAB на этом решили, новосозданные конфигурации принимают адресную книгу без всяких проблем. Осталось починить autodiscover, чтобы конфигурации могли создаваться как положено, а не через ввод параметров подключения. Поиск по гуглу вывел на статью в базе знаний MS, вот она: support.microsoft.com/kb/2028193/en-us?fr=1
Целиком и полностью наш случай. Решается установкой хотфикса. Прекрасно, но ставить руками хотфикс на каждую машину утомительно, а через WSUS данная обновка не распространяется. Что делать? Воспользоваться механизмом установки хотфиксов на стадии начальной установки самого пакета. Как? Очень просто - запрашиваем пакет с сайта, распаковываем его, и полученные msp и xml файлы кладем все в тот же каталог Updates в дистрибутиве Office 2010. С этого момента на всех новых установках офиса проблема будет решена. С уже установленными компьютерами - хуже, их придется обработать руками или через скрипт. Последнее предпочтительнее.

Наверное, тег MS Exchange в этой записи не совсем к месту, но пусть будет. В будущем будет проще самому находить запись, если еще понадобится.
Итак, преамбула. Пользователь работает на компьютере под управлением старушки Windows XP 32 bit и Office 2007 с прямым подключением к серверу Exchange. В Outlook настроено порядка 20(!) конфигураций, и да, они все используются.
Фабула - сотруднику меняют компьютер и ставят ящичек под управлением Windows 7 x64 с Office 2010 на борту. Одновременно с этим включается Outlook Cached Mode.
А теперь разбор прошедшего полета под названием 2007->2010.
Поскольку администраторы - люди достаточно ленивые (множество скриптов тому лучшее подтверждение), и я не исключение, то воссоздавать на новом компьютере все это множество конфигураций руками - выше моих сил. Благо, относительно недавно довелось узнать, где Outlook хранит всю информацию о конфигурациях, место их дислокации - реестр:

И там уже множество кустов, по кусту на конфигурацию. Хватаем корневой Profiles, экспортируем его в reg-файл, который позже применяется на другой машине. Эта операция меня выручала уже неоднократно и сбоев не было.
Далее сотрудник открывает свою рабочую конфигурацию, в ней все хорошо. Открывает любую из побочных и нарывается на прекрасное: Outlook не может открыть файл по следующему пути C:\Program Files(x86)\Microsoft Office\Office14\%ConfigurationName%.ost
Где-то на этом месте должен быть смайлик с кодом *shocked*. Зачем офисному приложению, которое никак язык не повернется назвать "диким" (ибо MS же!!!) лезть в программный каталог для хранения пользовательских файлов.
Первое действие - скорее импульсивное, нежели продиктованное хоть каким-то рассуждением - если мы имеем ошибку записи ost-файла (кэша почтового ящика), то стоит этот кэш порубить, тем более, что конфигурация побочная, ее кэшировать бессмысленно. Однако, к нужному результату это не привело, ошибка как была, так и осталась. Уже ради интереса дал сотруднику временно права на запись в этот каталог (да простят меня коллеги-администраторы за подобный шаг). Логично, что все конфигурации заработали. Да, они посоздавали файлы-болванки для кэшей почтовых ящиков, но полностью их стаскивать на локальный диск не стали. Уже хорошо, уже можно работать.
В ходе увлекательной беседы с  Cybeon (кстати, за определение "недостаточно правоверный виндузятник" спасибо отдельное, добавлю в self-intro ) пришли к выводу, что где-то в недрах конфигурации сохранен путь, по которому таки должен сохраняться ost-файл в случае включения Cached Mode. Но где? Все, что касается описания конфигурации и ее параметров, сосредоточено в том самом кусте реестра, указанном выше. Но ни намека на пути там не видно. Однако, небольшое гугление открыло всю глубину моей неправоты. Эти пути там есть, просто они закодированы: Клац!
Я не знаю, чем руководствовались в Редмонде, когда приняли решение о кодировании практически всех параметров конфигурации (безопасность, что ли), но забот они тем самым добавили изрядно.
Но несмотря на все эти изыскания так и не стало понятно, почему Outlook делает попытку сохранения именно в программный каталог. Пока что единственное предположение - в момент создания конфигурации в ней был сохранен путь вида C:\Documents and Settings\%USERNAME%\Application Data\Microsoft\Outlook, а в ОС Vista и выше этого пути не существует. Бедный почтовик, нарвавшись на подобное, решил сбросить все в место, о котором знает наверняка, именно программную папку, куда доступ обычной учетной записи на запись запрещен. К чему это привело - описано выше.
Ну и самое главное - как теперь побыстрее выправить эту ситуацию. Пуск, Панель управления, сменить представление с "Категории" на "список" (иначе настройку почты днем с огнем не сыскать), Почта (32-бит), Конфигурации. Далее выбрать нужную сбойную, Свойства, Файлы данных, Параметры, Вкладка Дополнительно, кнопка Настройка файлов автономных папок. И да, именно там мы и увидим, что в качестве расположения файла выбрана программная папка. Нажать кнопку Не использовать, после чего закрыть все открытые окна до списка конфигураций. И так - все два десятка. В любом случае быстрее, чем создавать их заново.

Что такое backlog? Это очередь файлов, которые еще не были реплицированы при помощи механизма DFSR. Само по себе наличие этой очереди еще не говорит о проблемах, но вот если при проверке выясняется, что эта очередь постоянно растет, стоит задуматься, а что идет неправильно. Но для того, чтобы иметь представление о динамике очереди, ее нужно наблюдать.
В Windows 2003 R2/2008/2008 R2 есть очень хорошая оснастка, через которую DFSR и управляется. Но есть у нее один недостаток: все операции с отчетами, которые там можно сделать, выполняются однократно. А хотелось бы автоматизации. Что ж, как всегда, консоль наш лучший друг.
Скрипт будет состоять из следующих логических блоков:
1. Сбор информации об интересующей нас группе репликации в специальный файл
2. Отсылка собранной информации (то есть выходного файла) на почтовый ящик администратора файлового сервера.
Основной инструмент, который нам поможет - консольная утилита dfsrdiag.
Сам сценарий выглядит следующим образом:

# get statistics
dfsrdiag backlog /receivingmember:%RECEIVING-SIDE-FQDN% /sendingMember:%SENDING-SIDE-FQDN% /RGName:%REPLICATION-GROUP-NAME% /RFName:%REPLICATED-FOLDER-NAME% /v > c:\DFSR-backlogged.txt

# send report to administrator
$filename = "c:\DFSR-backlogged.txt"
$smtpServer = %SMTP-SERVER-NAME%

$msg = new-object Net.Mail.MailMessage
$att = new-object Net.Mail.Attachment($filename)
$smtp = new-object Net.Mail.SmtpClient($smtpServer)

$msg.From = %SENDER-ADDRESS%
$msg.To.Add(%RECIPIENT-ADDRESS%)
$msg.Subject = "Backlog Report"
$msg.Body = "DFSR Backlogged files"
$msg.Attachments.Add($att)

$smtp.Send($msg)
exit

Масштабирование скрипта очень простое - добавляем столько блоков get statistics, сколько групп репликации нам нужно просмотреть, заканчивая их перенаправлением в файл с дозаписью в конец: >> c:\DFSR-backlogged.txt

Дальнейшее - тривиально: запуск этого powershell-скрипта через Task Scheduler на файловом сервере, и статистика будет приходить автоматом. Что и требовалось.