Hao Hu

SCCM的OSD常见场景

2008-10-20T21:55:14Z

SCCM发布已有一段时间了，相较SMS 2003的ODFP（Operating System Deployment Feature Pack），OSD不但完全集成到SCCM当中去了，而且还开始支持Vista和Windows Server 2008。由于内建WAIK（Windows Automated Installation）和WIM GAPI，对WIM的支持也达到一个非常的高度。加之可以使用更高版本的WinPE（Windows Pre-installation Environment），使得操作系统的部署前所未有的简单和方便。仔细看看SCCM的控制台树，再看看ITIL或者MOF的资料，你就可以发现，太多的地方都是参考了这些方法论来设计的。资产管理（SMS开始它的主要功能就是这个）、生命周期管理（OSD应该算在内吧）、配置管理（在DCM中）、SLM（借助自定义集合很容易做到）……还有很多，可能需要用专门的文章介绍了。这里我们就只简单讨论一下OSD在IT常见场景中的一些应用吧~ 有没有曾经想过，分支办公室的同事，采购了一批配置相同的新机器，然后需要按照公司策略安装诸如Office之类的商业应用程序和自己的LOB应用程序。这些机器将由使用中文和使用英文的同事使用，它们需要加入到公司的域，用户希望保留原来在旧机器上的文档和邮件……请不要告诉我您准备使用番茄花园……您会发现机器不能使用某些程序和不能正常加入到域。...(read more)

CSP-SCCM管理Mobile Device

2008-09-12T16:05:47Z

前面简单介绍了何谓CSP，务虚的东西总是很难给人留下印象的。如果要找一个平台来了解CSP如何工作，我想没有比SCCM更适合了。我们一起来看看吧~ 从SMS 2003开始，可以通过Device Management Feature Pack来实现对Mobile Device的管理。而到了SCCM（SMSv4），这些功能更是直接内嵌到系统成为系统的一部分。如图，系统提供了常见的移动设备配置选项。在系统里被称为Configuration Management Item（后面简称CMI）。基于这些Item，就可以设定一个配置集，然后将其打包成一个Package，使用SCCM的分发功能，将其分发到通过ActiveSync或者Mobile Device Management Center连接的移动设备上，或者通过直接连接进行部署。这里就以一个示例的Package来说明。为了设置一个配置选项，必须首先新建一个CMI，将对应的配置设置好。这里首先用一个收藏夹配置来做示例。创建CMI的好处在于，可以为不同的用户集合使用不同的配置。就像SMS/SCCM可以根据计算机OS不同、配置不同甚至OU不同使用不同的配置一样，也可以为不同的移动设备使用不同的自动配置。例如，给不同国家的分支机构，使用不同语言版本的站点链接。这里是一个最简单的例子。...(read more)

CSP-开篇简介

2008-09-09T09:09:27Z

在很久很久以前，在我的Webcast中介绍过CSP这个用于配置Mobile Device的好东西。一直都很想把这些东西理一理，可是一直都忙于各种乱七八糟的事情。现下遇到了这辈子目前为止最大的一次考验，我想也许做点事情心情会好一些，所以真的坐下来写一写了。说到CSP之前，首先要提到DM，Device Management。而说到DM，就没有办法回避一个词，OMA。OMA DM全称Open Mobile Alliance Device Mangement，是几大移动软硬件厂商共同建立的标准指定组织OMA确定的设备管理规范。 CSP的全称叫Confiuration Service Provider，以一个xml文件的形式表现。这个xml文件实际上是一个有着许多属性的树形结构。从某种意义上来说，可以认为它类似注册表，为不同的设定项指定了参数。而实际上，在Windows Mobile平台上，这些CSP所表达的配置，最终大部分也是通过注册表在系统中实现。微软提出的CSP已经作为OMA DM的一个重要分支。作为一直关注Mobile领域的巨头，微软也是其中重要的Sponsor之一。使用CSP管理机制的最大好处，莫过于实现配置的自动化。如果有几十台PPC放在你的面前，一台一台去进行配置，枯燥的点击会让人崩溃~如果这几十台PPC分布在不同的城市，不同的国家……...(read more)

原来不是我RP问题

2008-08-05T02:26:29Z

比较亲近的朋友都知道最近我不太顺利。时间大致是今年，有关的痛苦基本上看看MSN的SubTitle就知道了。。。在众多的痛苦中，最大的莫过于本子。。。吃饭的家伙啊，如果手机相当于乞丐的打狗棒，被偷了还能勉强讨碗饭吃，那么本子相当于乞丐的饭碗，全指着他干活了。虽说hp发了本子，可是7100+2G+80G，外加诸多Policies，还让人活嘛。一直以为自己的本子坏的很妖~莫名闪几下，黑掉，再开机，变成中间一条亮线，上下镜像。。。摸爬滚打这么多年，多少知道一点，屏应该没问题，连一个坏点都没有。要不就是排线，要不就是高压条，再不就是显卡芯片和显存。。。首先换了高压条，故障依旧。。。排线看着没啥磨损。。。难道是显卡芯片？难道我RP不好把显卡用坏了？我也没疯狂的游戏啊。。。这个事情昨天终于有了答案。。。万恶的NV，竟然在84、86的芯片上有这么大的问题。。。相关链接如下： http://www.theinquirer.net/gb/inquirer/news/2008/07/09/nvidia-g84-g86-bad 国内的链接只要输入‘dell‘ or ’nv‘ ’显卡问题’就是一堆。。。...(read more)

Dell D630 + ASUS P535 实现的多合一SIM卡

2008-06-18T09:35:12Z

关键字： Dell D630 / ASUS P535 / Smartcard reader / PCSC / SIM card / Windows 之前因为想买一张GPRS包月卡在没有LAN、wifi的地方上网，又因为现在D630能用的WWAN卡（就是可以插在d630等机器里面的，空余的Mini PCIExpress槽位的，用于GRPS、EDGE、HSDPA等等的卡）非常的贵，所以心里还是准备用我的P535来进行GPRS通信，因为可以借助蓝牙拨号。由此想到来回换卡实在是不能忍受。特别是P535的设计，打开背盖就会切断电源，然后板上的电池也没电了，也就意味着必须重新设置RTC，重设设备时间。因此准备搞一张一卡多号的卡，在需要的时候来回切换。这需要有几个条件：可以读sim卡的设备，可以写sim卡的设备，破解Ki的程序，写卡的程序，手机的stk切换程序，以及一张可以写的sim卡。按照我不见兔子不撒鹰的原则，首先准备的是读卡器（实际上和写卡设备是同一个东西），以及破解Ki的程序。我问Simon借来了他的读卡器，然后着手进行Ki的破解。...(read more)

不抛弃，不放弃的MVPs，一个不成熟的倡议

2008-05-18T16:35:00Z

这几天，一直睡得不好，那些消失的生命，那些倒塌的学校。今天一个MVP在MSN上给我看了彩虹行动的页面，于是聊了几句，突然，一个想法冒出来了——中国的MVP一起努力，捐出一所MVP学校？现在中国有现任MVP 217人，当然，还有很多历任的MVP，我想，这是一股不小的力量。我们可能没有什么钱，但是我想如果大家的能力能转换出来，还是很有价值的。我们能做的，一方面是为灾区提供义务的技术支持和辅导，一方面可以捐点血，当然还可以捐些钱。每个MVP的环境都不一样，还有些MVP在上学。这个倡议并不是强制性的说要捐多少钱，哪怕一块钱，也是一块钱的力量。我想说的是，大家如果发动起来，可以作一些类似义演的培训、项目、写书、文章等等。这样，我们的能力就能够转化成力量了。一所MVP学校，并不是为了MVP本身，只是为了体现我们的那个V。我的想法可能很粗浅，所以没有马上和Eddie、Sisley联系。我想先看看大家的意思，不管您是不是赞成，请给我一个回应。想想那些可怜的孩子，想想如果是我们自己遇到了灾难。不管此事是不是能做起来，只要大家给我一个回应，就算是想到了那些苦难的同胞，谢谢了~...(read more)

大拆解——蓝牙立体声耳机 BT55F

2008-03-10T16:44:00Z

BT55F，蓝牙立体声耳机。让我喜欢的是支持蓝牙2.0，可以同时连接本本和手机。只可惜转轴设计的太烂，非常容易折断。这已经是换过的了。听辛浩说他换过的耳机都已经断掉了。。。唉，转轴是败笔。...(read more)

这年头什么都有假的。。。

2008-03-10T16:10:00Z

千万不要被标题骗了，哈哈。这里要介绍给大家的是Side Show的模拟器。Sideshow是Vista支持的一项硬件功能。某些高端的笔记本上外壳也有一个小小的显示屏。通过它可以查看当前的各项情况。而不用打开本本。但是限于硬件，我估计大部分朋友都没有玩过。。。现在好了，给你一个模拟器，所以说什么都有假的。。。也跟基本的真的差不多了。在没装之前，Vista的控制面板里sideshow是这样的：装了以后就有可以配置的设备了：你甚至可以像真的Sideshow设备一样配置显示选项：我已经在Webcast中给大家介绍过Windows Mobile的模拟器（有喜欢的可以约稿，我在Blog上有时间贴一点）。现在又有SideShow的。。。这年头，，什么都有假的。。。...(read more)

大拆解——微软鼠标 8000

2008-02-24T08:42:00Z

这回是我比较喜欢的鼠标 8000。...(read more)

WM6 刷机

2008-02-24T08:30:00Z

一直喜欢鼓捣。昨天无意看到有Typhoon，也就是5X5的WM6 ROM，于是手痒痒又刷了一次。由于之前从WM 2003刷过WM5的ROM，我的SPL版本已经是109，但是旧的109影响里不支持超过27M的BINFS，因此需要重新刷新的SPL 109。没法子，只能先降到064，然后重新升。这样说可能很含糊，一下子也没法说清楚。我准备有时间把整个ROM架构搞清楚然后完整的写清楚。因为很久没刷，整个过程中Fail了好多次，幸好我神经粗，熬到3点终于完成。这个下载的ROM不是很喜欢，很多不用的垃圾。。等有时间学习一下，自己改一个ROM好了。还有一堆Proposal要写。。。生亦何欢。。。...(read more)

大拆解——Dell D630

2008-02-24T08:26:00Z

我喜欢拆东西，因为好奇。所以决定以后将拆的东西拍照了看。这回惨遭毒手的是我的新本本，Dell D630。...(read more)

何惧"Y照门“--再说几句

2008-02-22T14:56:00Z

急急忙忙的写了两段，感觉还有些遗漏，看了兄弟姐妹们的反馈以后，想再写几句。对于非商业用户，也就是个人用户，估计不会有谁会自行部署活动目录或者CA之类。因此，个人用户基本是使用自注册证书来进行EFS工作的。对于Windows XP，本身对智能卡上的证书没有特殊要求，数据和密钥分离可以借助eToken的客户端来实现。对于Windows Vista，由于对智能卡上的证书有着EKU的要求，因此不借助智能卡而自注册的证书将无法正常在智能卡环境使用。而且，在我测试过程中，Vista并没有给出足够的故障诊断信息。除了EFS，BitLocker也是一个保护数据的好办法。BitLocker有两种方式，一个是使用机器的TPM，一个是使用U盘上的密钥。它是针对分区级别进行的加密，而且对系统安装分区有一定要求。送修的时候，硬盘往往被外挂在其他系统上，因此无法正常访问BitLocker保护的系统分区，这时很难做一些系统修复的事情。例如使用某些工具让崩溃的系统返回到某个还原点。在使用上不一定有EFS方便灵活。如果用户需要加密的数据不在系统盘上，BitLocker就无法进行保护。比较一下两个技术，这两个技术并不矛盾，如果需要，用BitLocker来保护EFS密钥也是很好的选择。...(read more)

何惧"艳照门"--续

2008-02-22T12:03:00Z

书接上回，借助eToken的客户端，我们在Windows XP上实现了双因子的EFS加密，其实也还是单因子，只不过数据和密钥分离了。于是乎我接着在Windows Vista上尝试，希望也有相同的Solution。前文书说过，Vista支持基于SmartCard的证书用于EFS，并且要求密钥为2048-bit的RSA。于是我今天找了一个新的eToken，可以支持2048-bit密钥证书，希望再续在XP上的胜利。但是，开始的尝试可耻D失败鸟~使用用户帐户的EFS向导，始终不能直接在SmartCard上自注册证书。不知道Vista对具体的SmartCard有没有什么特殊要求。这个问题有待于与MS联系了解。知道的朋友也请不吝赐教。做TC的人很重要的工作就是要想法子work around。一计不成，咱又生一计。直接生成一个EFS证书，然后导入到SmartCard上去。这个是模仿XP上的作法啦~ 导证书很顺利，可是，使用有证书的eToken来访问EFS保护的信息时，又可耻D失败鸟~不甘心，马上去MSDN Blog上查产品组的blog，同时查有限的资料。。。终于被我找到原因了：与XP不同，Vista需要EFS的证书同时有关于智能卡登录的EKU。EKU是啥东东？继续查。。。原来叫做Extended...(read more)

有它何惧"艳照门"?

2008-02-21T16:04:00Z

一直浑浑噩噩，也没怎么看新闻，直到那天Alan和Ken告诉我一个天大的八卦，“艳照门”事件。地球人都知道，我也没必要再废话了。就我而言，当事人选择怎么生活是当事人的事情，首要谴责的是泄露照片的人，虽然让娱乐圈大大的“娱乐”了一把，但是毕竟有违职业操守，侵犯了别人隐私。

其次要谴责的是保存照片的人，既然知道事关重大，就该好好重视信息安全。看来很有必要给大家普及计算机安全知识啊，哈哈。这就扯到今天的主题了，EFS的应用。

别忙关闭窗口。我知道你可能在Windows 2000的时代就用过EFS了，甚至还因为EFS丢过重要的文件。全都因为开始大家不了解EFS的工作方式，没有备份至关重要的证书私钥。经过我和好多MVP持之以恒的产品反馈，微软终于在Vista的时候改进了产品体验，有了备份证书的提示。更在Ultimate版本中通过Windows Vista Extra提供了在线的证书备份。并且，Vista和Windows Server 2008都采用了2048-bit的RSA私钥，有别于之前的2000和XP。更重要的一点，Vista可以使用SmartCard存储加密文件证书了。

为什么说这些呢。是酱紫，EFS需要证书的公私钥来进行文件的加密，而通常情况下，由于使用习惯，证书和相应的密钥往往和数据同时存在于一个磁盘上。如果像***一样拿本本去送修，我保证有2种以上的办法可以访问EFS加密的信息。所以，需要想别的办法。

有一样东西可以帮忙。eToken Pro是Aladdin公司的产品，外形像一个小U盘，实质上一个USB接口的SmartCard。估计和银行的U盾阿什么的是一样的。它的作用很多很多，例如实现多因子智能卡登录、应用程序的SSO、访问网站的WSO等等。如果有人有兴趣，我今后可以给大家介绍。在这里可以将这个小玩意和EFS结合起来，让你再也不怕身陷“XX门”。

它的机理是这样的，eToken的客户端能够监控PKI，监测有关CAPI的活动。当你第一次使用EFS的时候，系统会根据用户的SID自动产生一个加密文件证书。这个技术细节可以在很多介绍EFS的文章里找到详细描述。在这里要强调的是，由于eToken的客户端监视，将会自动把这个证书保存到eToken的SmartCard上。这时，你使用证书的管理控制台能够在“个人”分支下看到这个证书，也能够使用证书正常进行文件加密。可是，当你拔出eToken的时候，刷新一下管理控制台，证书不见了。

因为系统缓存了证书私钥，你仍然可以继续访问EFS加密内容。（系统在登录时会从证书文件读取有关内容到注册表）等你注销或者重启了，如果没有插上eToken，你会发现，EFS加密的文件无法访问了。

我们再设想一下，这时假如你的机器在修理人员那里修理，因为维修的原因可能他们还有你的用户和口令，但是，他们没有你的eToken上的证书，因此，他们无法访问EFS加密的内容。至于在本地没有证书的情况下能否借助工具访问EFS加密信息的问题，还需要等我有时间的时候进一步验证。印象里有关工具好像也是扫描磁盘上保存的证书来进行破解的。

以上内容适用于Windows XP环境，因为手头的eToken Pro firmware较早，只支持1024-bit的RSA密钥。害得我找了半天原因为啥Vista不能用。Vista环境的等我拿到新的eToken测试了再和大家聊。

当你看到不到日志描述，除了KB31226，还有更好的办法

2007-10-25T02:39:00Z

（本文已提交社区KB，谢绝转载，谢谢）

因为你的机器上没有安装对应的产品，所以经常会发现打开Event Viewer的时候，看到的日志类似于：

Event Type: Warning
Event Source: Virtual Server
Event Category: (5)
Event ID: 1032
Date:  2007-10-23
Time:  19:18:10
User:  NT AUTHORITY\NETWORK SERVICE
Computer: XXX
Description:
The description for Event ID ( 1032 ) in Source ( Virtual Server ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description; see Help and Support for details. The following information is part of the event: The event log file is corrupt..

到底发生了什么自然我们也就搞不清楚了。按照KB31226的方法，我们可以连接到装有产品的机器上去打开日志详情，可是如果这个日志是别人邮件给你的，难道你必须去连结可能在防火墙之后的服务器？

当然，你也可以安装一个相同产品的虚机，然后导入日志查看。不要笑，我以前就是这么干的。可是如果一台机器上装了Exchange\SQL等等，难道你也准备在一个虚机上装N个产品？或者装N个虚机？

有一种办法可以让你大大的避免这个情况。

实际上Event Viewer之所以知道在哪里找到事件消息描述，是因为EventLog服务里面有对应日志项目的注册表。只要我们拥有这些注册表键和值，以及对应的位置上有用于事件消息解释的文件，就可以在这台机器上看到详细的时间消息了。

以上面的Virtual Server的事件为例，可以先在源机器（即安装了产品，产生日志的机器）上查找到如下注册表键，导出注册表键。然后将显示的相应消息文件复制到目标机器（即用来查看导出日志的机器），并导入注册表，即可在Event Viewer里面查看有关日志了。

您再也不用连接物理服务器或者必须安装虚机了。

等我有空的时候，慢慢制作一些安装包，直接能安装相应的文件和注册表键，到时候再和大家分享。