Записная книжка

Времени нет, поэтому кратко :)

Вселенная возникла когда в хаосе появилась информация определившая первую материю.

Основной закон вселенной это развитие и постоянное усложнение информации определяющей материю вселенной.

Сначала появилась электромагнитная материя, пространство — материя.
Первый большой взрыв — распространение пространства во вселенной.
Второй большой взрыв — распространении обычной материи во вселенной.
Третий большой взрыв — распространение живой материи во вселенной.
Четвертый большой взрыв — распространение разумной материи во вселенной.
Пятый большой взрыв — распространение тонких материй, порожденное влиянием разумной материи.

Разумная материя влияет на информацию из которой состоит материя и может её корректировать. Но сама материя имеет и собственный закон усложнения, который и привел к возникновению разумной материи. Это можно также назвать эволюцией материи.

На землю жизнь скорее всего была занесена из космоса. Некоторые виды бактерий способны выживать в космосе и попав в благоприятные условия планеты породить жизнь.
Люди — либо пришельцы, либо вид обезьян усовершенствованный пришельцами. Т.к. скачок от неондертальца к homo sapiens слишком кратковременный и не найдено переходных форм.

У меня давно уже сложилось мнение, что материя это информация.
Все физические законы — это информация. И материя определяется этими законами, т.е. в сущности информацией. Отсюда гипотеза, что материя и есть информация. Какую информацию задашь, такие и будут физические законы и такова будет материя.
Все эти измышления вызваны попыткой объяснить существование магии и её природу.
Маг это тот кто может влиять на информацию и изменять или воздействовать на материю.
Экстрасенс это тот кто способен чувствовать информацию из которой состоит материя.

Я сам не верующий, но недвано пришла в голову такая странная мысль.
Что вера или мысли человека материальны. Если человек очень сильно во что-то верит, то это может материализоваться. Все чудеса всех пророков основаны на вере в чудо которое они сотворяют. Не знаю, были ли эти чудеса в реальности, но возможно что-то в этом есть.

Мысли человечества, это совокупность мыслей каждого человека. И если их вектора направлены в одну сторону, то суммарный вектор веры или мысли многократно усиливается. Человечество в своей сумме является магом способным материализовывать то во что верит или то о чем мыслит.

Если человечество верит в существование гиперпространства, то рано или поздно будет доказано его существование и возможность путешествовать к другим звездам станет реальностью.

Если человечество не верит в возможность существования вечного двигателя, то его не существует. Но если поверит, то кто-нибудь когда-нибудь откроет, что текущие предствления о физических законах не верны и существуют условия в которых вечный двигатель возможен.

Здоровье человека во многом определяется его верой в свое здоровье. Если человек постоянно подозревает, что у него что-то болит, то это обязательно у него заболит. Если человек уже болен, но по настоящему верит в то что он здоров, то болезнь может отступить. Но это зависит еще и от способности человека влиять на информацию из которой он состоит. Думаю, что не традиционные целители также воздействуют на эту информацию. Отсюда и факты невероятных исцелений.

Душа, призраки, духи — это тонкие материи, материализованные верой в них. Они менее устойчивы к воздействию и маги работают в основном с ними. Обычная материя состоит из информации гораздо более устойчивой к воздействию и на неё могут влиять только очень сильные маги.

Боги, это существа постигшие сущьность материи и научившиеся более менее свободно управлять информацией из которой она состоит. Человечество, в некотором смысле, суммарно является таким маленьким богом :)

Во вселенной существует множество мыслящих форм жизни и все они в разной степени влияют на материю вселенной определяя её физические законы. Поэтому физические законы вселенной могут подвергаться деформации. Не исключаю, что в разных частях вселенной они могут немного различаться пока новые деформации не стабилизируются и не сольются со всей вселенной или не исчезнут.

Кому-то это может показаться бредом, но таковы мои представления об этом мире на текущий момент.
Каждый сходит с ума по своему :)

Недавно обнаружил, что база поиска Crawl выросла до 14Гб и продолжает расти дикими темпами.
Вывел статистику по размеру таблиц базы
(На базе Crawl правой кнопкой, Reports \ Disk usage top tables)
Таблица MSSCrawlURLLog занимает 13Гб

Возникло две задачи:
1. Как почистить
2. Выяснить в чём проблема

1. Почистить можно просто, в администрировании службы поиска есть ссылка «Сбросить индексы», эта опирация полностью обнуляет базы поиска. Обрезание файлов БД естественно нужно делать руками средствами SQL.

2. После чистки, 10 раз запускал и полный и инкрементный проход руками.
Размер таблицы MSSCrawlURLLog мизерный 8кб данные 24кб индексы.
При каждом проходе, кол-во записей в этой таблице увеличивалось ровно на 1.
Похоже это журнал обходов, который также можно посмотреть в ЦА в администрировании службы поиска.

Проблему точно идентифицировать не удалось, но подозреваю, что все дело в интервале инкрементального прохода. У меня стояло 5 минут. Обычно эта процедура завершается за 2 минуты, но возможно в периоды нагрузки на сервер 5 минут не хватало и у службы поиска сносило крышу, когда запускалось 2 параллельных инкрементальных прохода.

Вывод: если база поиска вдруг начала дико расти, то возможно происходит пересечение заданий прохода.

Еще вот такой трабл вылез при создании фермы

http://blogs.technet.com/b/wbaer/archive/2009/12/11/common-microsoft-sharepoint-server-2010-installation-issues-and-resolutions.aspx

ISSUE #5:  when running the SharePoint 2010 Products Configuration Wizard you may experience the error:

Error: Cannot add the specified assembly to the global assembly cache: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\policy\Policy.11.0.Microsoft.SharePoint.dll.

To resolve this issue you can perform the following steps:

Delete the contents of %commonprogramfiles%\Microsoft Shared\Web Server Extensions\14\policy\ and run the SharePoint 2010 Products Configuration Wizard.

После установки SharePoint 2010 заметил в логе вот такую ошибку

Log Name:      Application
Source:        SharePoint 2010 Products Configuration Wizard
Date:          30.08.2010 14:06:33
Event ID:      107
Task Category: None
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      sptest1.****.ru
Description:
Не удалось создать точку подключения к службе в текущем домене Active Directory. Проверьте, что контейнер SharePoint существует в текущем домене и у вас есть права на запись в него.
Microsoft.SharePoint.SPException: Объект LDAP://CN=Microsoft SharePoint Products,CN=System,DC=****,DC=ru отсутствует в данном каталоге.
   at Microsoft.SharePoint.Administration.SPServiceConnectionPoint.Ensure(String serviceBindingInformation)
   at Microsoft.SharePoint.PostSetupConfiguration.CentralAdministrationSiteTask.ProvisionAdminVs()

Оказалось, что необходимо вручную создавать контейнер в АД и двавать права
http://blogs.msdn.com/b/opal/archive/2010/04/18/track-sharepoint-2010-installations-by-service-connection-point-ad-marker.aspx

1. Откройте adsiedit.msc
2. Создайте контейнер
   домен\System\Microsoft SharePoint Products
3. Добавьте на этом контейнере права для учетной записи фермы
   Create serviceConnectionPoint Objects
   Delete serviceConnectionPoint Objects (отсебятина)

Возможно из-за этого мой SharePoint 2010 отображает  пользователя как логин, а не как ФИО.
SharePoint v3 хватал ФИО без дополнительных действий.

Источники:
   http://support.microsoft.com/kb/832769
   http://blogs.msdn.com/b/russmax/archive/2009/10/20/configuring-kerberos-authentication-in-sharepoint-2010-part-1.aspx

 

Настройка IIS описана для IIS 7,5 (Windows Server 2008 R2)

Если для веб-приложения была выбрана система проверки подлинности Kerberos, то необходимо выполнить дополнительные настройки

 

1. Включите Kernel mode
   IIS Manager, выберете сайт, Authentication, Windows Authentication
   На панели Actions, Advanced Settings
   [v] Enable Kernel mode authentication
   
   
2. Перезапустите IIS
   iisreset
   
   
3. Включите использование учетной записи пула приложений
   
   cd C:\Windows\System32\inetsrv
   Appcmd set CONFIG «SharePoint — 443» /section:windowsauthentication /useAppPoolCredentials:true /commit:MACHINE/WEBROOT/APPHOST
   
   
4. Убедитесь, что конфигурация корректно изменена
   notepad C:\windows\system32\inetsrv\config\applicationHost.config
   
   < location path=»SharePoint — 443» >
           < system.webServer >
               < handlers accessPolicy=»Read, Execute, Script» / >
               < security >
                   < authentication >
                       < windowsAuthentication enabled=»true» useKernelMode=»true» useAppPoolCredentials=»true» >
                           < providers >
                               < clear / >
                               < add value=»Negotiate» / >
                               < add value=»NTLM» / >
                           < /providers >
                           < extendedProtection tokenChecking=»None» / >
                       < /windowsAuthentication >
   
   
5. Если веб-приложение выполняется под доменной пользовательской учетной записью, то дбавьте к этой учетной записи соответствующий SPN
   
   setspn -a http/имя_сервера домен\учетная_запись
   
   (эта утилита входит в состав ОС win2003 и выше, для Win2000 можно скачать отдельно)
   После этого, в свойствах учетной записи появится закладка «Delegation» на которой необходмо выбрать
   (*) Trust this user to delegation to any service (kerberos only)
   
   Если используются веб-части требующие доступ к удаленным ресурсам, то учетной записи компьютера необходимо разрешить делегирование
   (*) Trust this computer to delegation to any service (kerberos only)
   
   Более поднобно о настройке SPN и делегирования смотрите здесь (http://support.microsoft.com/kb/832769)
   
   
6. Чтобы проверить, что аутентификация работает через kerberos, откройте лог безопасности и отфильтруйте по EventID 4624

 

Если вас вводит в ступор надпись «Your don't currently have permission to acces this folder», то вам сюда :)

Описанное ниже относится к Windows Server 2008 R2 и вероятно к Windows 7

Если вы включены в группу Administrators и эта группа имеет Full Access на какой-либо каталог, то это еще не повод считать что вы имеете туда доступ :)

При поптыке просто открыть каталог винда сообщит вам что у вас нет доступа и предложит назначить его явно вашей учетной записи. После чего вы сможете войти в каталог, но в каждом таком каталоге будет торчать в доступах ваша учетка. Думаю, что наличие учеток в списках доступа мягко говоря напрягает любого админа.

Как говориться, это не глюк, это фича :)
Описания данной фичи пока не нашел.
Практически удалось выяснить, следующее:

Похоже, что в новых ОС, у любого интерактивного пользователя из маркера доступа удаляются все локальные и доменные группы. Таким образом, права интерактивного пользователя на машине ограничиваются правами учетки и встроенных принципалов INTERACTIVE, EVERYONE, Authenticated users, …

Если это действительно так, то можно даже не надеятся настроить разграниченный интерактивный доступ на машину, т.к. все юзеры будут иметь одинаковые права, т.к. будут содержать в маркере доступа только себя и встроенных принципалов.
Вероятно при установке роли терминального сервера эта фича отключается, иначе это будет уже полная лажа со стороны MS.

Давать права INTERACTIVE не есть хорошо, т.к. вы тем самым даете права всем пользователям, которые могут войти на вашу машину интерактивно.

Остается только использовать повышение привилегий, для работы с файлами или каталогами, которые должны быть доступны только админам. Наверно на это и расчитывает MS.

Хотя я подозреваю, что многие будут искать способ отключить эту фичу.
Скорее всего она отключается после отключения UAC и перезагрузки.
Может быть в политиках есть параметр отвечающий только за эту фичу.

Это не статья, пока только заметки для себя.

1. Без членства в группе CA\Users, запросить у CA сертификат не получится.
    Есть правда один глюк, если включить пользователся в CA\Users, получить сертификат, удалить пользователя из группы Users и попытаться снова получить сертификат, то вы его получите. При этом выдача сертификата может работать давольно долго, пока не сломается. Чтобы понять это потребовался очень хорошый бубен :)

2. Группа CA\Users имеет неизвестное право на объект DCOM Config \ CertSrv Request
    Парво отображается как Special, но при раскрытии Advanced список прав пуст, т.е. дано право, которое нельзя назначить через стандартный интерфес. Возможно именно этого права не хватает пользователям не включенным в группу CA\Users для получения сертификата.

3. TCP\IP: если отключить привязку «File and Printer Sharing», то CA не сможет нормально работать по RPC. Надо бы рзобраться, можно ли его всетаки как-то отключить, чтобы не поломать CA.

4. Надо бы выявить минимальный необходимый набор сервисов для работы CA.
    Применение визарда политики безопасности на основе ролей, приводит CA в нерабочее состояние.

Если удалить из группы Users встроенный бюджет INTERACTIVE, то для всех пользователей не включенных группу Users (даже для тех кто включен в группу Administrators) вы будете наблюдать красивый и совершенно пустой рабочий стол.

Рабочий стол тупо не откроется.

Вывод: группа Administrators не включает в себя все права группы Users на операционных системах Windows 7 и Windows 2008 R2. Новая фича от MS :)

Похоже, что MS заменил название атрибута DiscreteSignatureAlgorithm на AlternateSignatureAlgorithm в Win2008

Если я конечно правильно понял самого Брайана Комара, написавшего книгу по PKI.

http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/4256a27f-29ee-42a1-b687-ad3c21e04c0c

Вот дословно его слова:
One last thing, change the term DiscreteSignatureAlgorithm to AlternateSignatureAlgorithm.
I recently discovered that this attribute name was changed just before RTM and was not communicated to me for the book.
Brian

Еще одно косвенное подтверждение:
http://blogs.technet.com/b/askds/archive/2009/10/15/windows-server-2008-r2-capolicy-inf-syntax.aspx

Внимание (ATTENTION!):
Если сертификат ЦС был создан при AlternateSignatureAlgorithm=1
То Windows XP,2003 и ниже, не смогут проверить его подпись.
Ранее, многие источники рекомендовали использовать DiscreteSignatureAlgorithm=1
Вероятно это повышало безопасность подписи и отменяло поддержку каких-то очень древних клиентов. ИМХО на Win2008 DiscreteSignatureAlgorithm=1, просто игнорируется и по умолчанию эквивалентно AlternateSignatureAlgorithm=0. Включение современного алгоритма подписи PKCS#1 V2,1 при AlternateSignatureAlgorithm=1, также как и ранее повышает её безопасность относительно прежнего алгоритма и отменяет поддержку устаревших клинетов WinXP,2003.