windows-notes-20050429
[openafs.git] / doc / txt / winnotes / afs-install-notes.txt
1 OpenAFS for Windows 1.3.8201 Installation Notes
2 ---------------------------------------------
3
4 The OpenAFS for Windows product was very poorly maintained throughout the 
5 1.2.x release cycle.  While the Unix version was being enhanced and its 
6 quality was improving the Windows version stagnated.  The IBM AFS 3.6 product 
7 was not designed for the Windows 2000/XP/2003 operating system nor was it 
8 architected with highly disconnected environments in mind.
9
10 The 1.3.x series of releases not only fixes a large number of bugs in the 1.2 
11 series but also attempts to enhance the functionality of the product to better 
12 fit the usage model of today's users.  Several items standout.  
13
14 0. The default AFSCache file is approximately 100MB.  This space is required 
15 in addition to the space allocated to OpenAFS binaries.
16
17 1. The Kerberos 4 infrastructure on which the 1.2 series is reliant is no 
18 longer secure.  Cross-realm Kerberos is very important in the AFS context and 
19 most sites have or are migrating to Kerberos 5 environments.  The 1.3 series 
20 integrates with the MIT Kerberos for Windows 2.6.x product to provide Kerberos 
21 5 functionality including the ability to auto-renew credentials and obtain 
22 single sign-on capabilities with the Microsoft Windows Kerberos Logon Service.
23
24 As of 1.3.65, the OpenAFS client will directly use Kerberos 5 tickets as tokens if 
25 KFW is installed.  The client requires that all of the AFS Servers with which it 
26 communicates support the use of Kerberos 5 tickets as tokens (aka 2b tokens).
27 This means that all of the AFS servers must be running OpenAFS release 1.2.8 or 
28 higher.  Transarc servers do not support Kerberos 5 tickets as tokens.
29
30 When using a Microsoft Windows Active Directory as the KDC which issues the 
31 service ticket for the AFS cell there are two things to consider.  First, the 
32 Kerberos 5 tickets issued by Active Directory can be quite large when compared 
33 to tickets issued by a traditional KDC due to the incorporation of 
34 authorization data in the PAC.  If this is your situation you either must 
35 modify your 1.2.x servers to support tokens larger than a few hundred bytes; 
36 or install the 1.3.64 or higher release on your servers.  Second, Windows 2003 
37 Active Directory will issue service tickets utilizing the DES-CBC-MD5 enctype. 
38 OpenAFS releases older than 1.3.64 will not properly support this enctype.
39
40
41 2. The AFS Client Service does not provide robust behavior in an environment 
42 with a plug-n-play network environment.  Changes to the number of network 
43 adapters or the assigned IP addresses will cause the service to panic.  The 
44 recommended work around for this problem is to install the Microsoft Loopback 
45 Adapter on the machine.  When the MLA is installed with a static IP address 
46 the AFS Client Service will bind only to the loopback and not be affected by 
47 changes to state of other network adapters installed on the system.  
48
49 Starting in the 1.3.65 release the installers provided by OpenAFS.org will 
50 install the Microsoft Loopback Adapter for you with a name of "AFS" and a 
51 pre-assigned IP address in the 10.x.x.x range.
52
53 One of the benefits of using the MLA is that the NETBIOS names used for the 
54 AFS Client's SMB server do not have to be published on any adapter other than 
55 the MLA.  This means that the names no longer need to be unique.  When the MLA 
56 is in use, the NETBIOS name associated with the AFS Client Service is simply 
57 "AFS".  When the MLA is not in use the NETBIOS name is "MACHINE-AFS".
58
59 When the MLA is installed, UNC paths of the form \\AFS\cellname\path may be used.
60
61 The MLA is installed with a binding to "Client for Microsoft Networks" but not 
62 to "File and Printer Sharing for Microsoft Networks".  If you fail to bind 
63 "Client Microsoft Networks" you will not be able to access the AFS Client 
64 Service when the machine is disconnect from the network.  If you bind "File 
65 and Printer Sharing ..." there will be a conflict between the name "AFS" and 
66 the name of the machine on the published IP Address.  This will result in a 
67 failure to be able to access files in AFS.  The "NET VIEW" command will return 
68 a "System Error 52" message when this conflict exists.  To correct the problem:
69
70  * stop the AFS Client Service
71  * bind the "Client for Microsoft Networks" to the MLA
72  * unbind "File and Printer Sharing for Microsoft Networks" from the MLA
73  * Disable and then Enable the MLA
74  * start the AFS Client Service
75
76
77 3. Traditionally, when the AFS Client Service starts it must be able to 
78 access the "root.afs" volume of the default cell.  The "root.afs" volume
79 contains a set of read-only and read-write mount points to the "root.cell"
80 volumes of various cells the administrator of the default cell believes
81 should be accessible.  If the "root.afs" volume is 
82 inaccessible when the client service is started, the service will panic.  
83 Since many users now use laptops or otherwise operate in disconnected 
84 environments in which a VPN may be needed to access the cell's servers, it is 
85 often the case that the "root.afs" volume for the default cell is not 
86 reachable and the AFS Client Service will not successfully start. 
87  
88 The OpenAFS Client Service now supports a fake "root.afs" volume which is 
89 dynamically constructed when the service starts.  This mode is called 
90 Freelance mode.  Freelance mode is turned on by default.
91
92 The contents of the fake "root.afs" volume are constructed dynamically as
93 cells are accessed.  When the fake "root.afs" volume is constructed it will
94 only contain two mount points: a read-only and read-write mount point used
95 to access the "root.cell" volume of the default AFS cell.  Any attempt to
96 access a valid cell name will automatically result in a new mount point 
97 being created in the fake "root.afs" volume.  If the cellname begins with
98 a "." the mount point will be read-write; otherwise the mount point will
99 be read-only.  These mount points are preserved in the registry at key:
100
101   HKLM\SOFTWARE\OpenAFS\Client\Freelance
102
103 Additional mount points may be manually created using the "fs mkmount"
104 command.  Mount points may be removed using the "fs rmmount" command.
105
106     >fs mkmount \\AFS\all\athena.mit.edu root.cell athena.mit.edu
107     >fs mkmount \\AFS\all\.athena.mit.edu root.cell athena.mit.edu -rw
108     >fs rmmount \\AFS\all\athena.mit.edu
109     >fs rmmount \\AFS\all\.athena.mit.edu
110
111 Beginning in 1.3.74, the Freelance fake root.afs volume will support
112 the creation of symlinks.
113
114   >symlink make \\afs\all\link \\afs\all\athena.mit.edu\user\j\a\jaltman
115
116   >symlink list \\afs\all\link
117   '\\afs\all\link' is a symlink to 'athena.mit.edu\user\j\a\jaltman'
118
119   >symlink rm \\afs\all\link
120
121 The symlinks are stored in the registry at:
122
123   HKLM\SOFTWARE\OpenAFS\Client\Freelance\Symlinks 
124      
125
126 4. The OpenAFS for Windows client will use AFSDB DNS records to 
127 discover cell information when it is not located in the local CellServDB file 
128 (\Program Files\OpenAFS\Client\CellServDB).
129
130
131 5. OpenAFS for Windows 1.3.72 only supports Windows 2000, Windows XP, and 
132 Windows 2003.  Windows NT 4.0 and the entire Windows 9x/Me line are no
133 longer supported.  Older releases of OpenAFS are available for download
134 if those operating systems must be supported.  The last version with support
135 for Win9x is 1.2.2b.  The last version with support for Windows NT 4.0 is
136 1.2.10.
137
138
139 6. OpenAFS for Windows installs a WinLogon Network Provider to provide
140 Integrated Logon (Single Sign-on) functionality. Integrated Logon can be used 
141 when the Windows username and password match the username and password 
142 associated with the default cell's Kerberos realm.  For example, if the 
143 windows username is "jaltman" and the default cell is "athena.mit.edu", then 
144 Integrated Logon can be successfully used if the windows password matches the 
145 password used for the Kerberos principal "jaltman@ATHENA.MIT.EDU".
146
147 Integrated Logon is required if you desire the ability to store roaming user 
148 profiles within the AFS file system.  OpenAFS does not provide tools for 
149 synchronizing the Windows and Kerberos user accounts and passwords.
150
151 If KFW is installed, the Integrated Logon will use Kerberos 5 to obtain 
152 tokens.  Otherwise, Kerberos 4 is used.
153
154 There is a High Security mode for use with Integrated Logon when multiple 
155 users will share a single machine.  There are known problems with this mode.  
156 In particular, if you are using this mode it is crucial that new AFS tokens 
157 not be obtained after the logon session starts except via the AFS Systray tool 
158 as started by the AFS Network Provider.  If the AFS Systray tool is stopped 
159 you must log off to obtain new tokens.  Do not use external tools such as 
160 "aklog.exe" if High Security mode is turned on. As of 1.3.70, OpenAFS supports 
161 Authenticated SMB connections which removes the need for High Security mode. 
162 DO NOT USE IT!!!!! 
163
164 What Integrated Logon does not do:
165  (a) Integrated Logon does not have the ability to obtain Kerberos 5
166      tickets for use during the Windows Session.  At the current time there
167      is no mechanism by which a Kerberos 5 CCAPI credentials cache can
168      be constructed during the logon process such that it will exist in 
169      the user's logon session.
170  (b) Integrated Logon does not have the ability to cache the user's 
171      username and password for the purpose of obtaining tokens if the
172      Kerberos KDC is inaccessible at logon time.
173
174
175 7. The AFS Systray tool (afscreds.exe) supports several command line 
176 options: 
177
178     -A = autoinit 
179     -E = force existing afscreds to exit
180     -I = install startup shortcut
181     -M = renew drive maps 
182     -N = ip address change detection 
183     -Q = quiet mode.  do not display start service dialog
184              if afsd_service is not already running
185     -S = show tokens dialog on startup
186     -U = uninstall startup shortcut
187     -X = test and do map share
188     -Z = unmap drives
189     -: = magic parameter for high security mode 
190
191 autoinit will result in automated attempts to acquire AFS tokens when 
192 afscreds.exe is started.  afscreds.exe will attempt to utilize tickets stored
193 in the MSLSA credentials cache; any existing CCAPI credentials cache; and
194 finally display an Obtain Tokens dialog to the user.  When used in combination 
195 with ip address change detection, afscreds.exe will attempt to acquire AFS 
196 tokens whenever the IP address list changes and the Kerberos KDC is 
197 accessible.
198
199 The renew drive maps option is used to ensure that the user drive maps 
200 constructed via the AFS tools (not NET USE) are re-constructed each time
201 afscreds.exe is started.
202
203 By default afscreds.exe is configured by the OpenAFS.org installers to use -A 
204 -N -M -Q as startup options.  Currently, there is no UI to change this selection 
205 after install time although these options may be altered via the registry either 
206 per machine or per user.  See AfscredsShortcutParams in registry.txt.
207
208
209 8. As of 1.3.71, the OpenAFS for Windows client supports a local Windows
210 authorization group called "AFS Client Admins".  This group is used in
211 place of the "Administrators" group to determine which users are allowed
212 to modify the AFS Client Service configuration via either afs_config.exe
213 or fs.exe.  For example, the following fs.exe commands are now restricted 
214 to members of the "AFS Client Admin" group:
215
216     - checkservers with a non-zero timer value
217     - setcachesize
218     - newcell
219     - sysname with a new sysname list
220     - exportafs
221     - setcell
222     - setserverprefs
223     - storebehind
224     - setcrypt
225     - cscpolicy
226     - trace
227
228 Setting the default sysname for a machine should be done via the registry and 
229 not via "fs sysname".
230
231 The local "SYSTEM" account is always a member of the "AFS Client Admin" group.
232
233 The initial membership of the "AFS Client Admin" group when created by the 
234 installer is equivalent to the local "Administrators" group.
235
236
237 9. The AFS Client should support UNC paths everywhere.  Power users that make
238 extensive use of the command line shell, cmd.exe, might want to consider using 
239 JP Software's 4NT command processor.  Unlike cmd.exe, 4NT does fully support
240 UNC paths and can use a UNC path as the default device.
241
242
243 10. The AFS Client ships with its own version of aklog.exe which should be 
244 used in preference to those obtained by third party sources.  The OpenAFS
245 aklog.exe supports Kerberos 5 as well as the ability to auto-generate
246 pts IDs for user's obtaining tokens to foreign cells.
247
248 Usage: aklog [-d] [[-cell | -c] cell [-k krb_realm]]
249              [[-p | -path] pathname]
250              [-noprdb] [-force]
251              [-5 | -4]
252
253    -d gives debugging information.
254    krb_realm is the kerberos realm of a cell.
255    pathname is the name of a directory to which you wish to authenticate.
256    -noprdb means don't try to determine AFS ID.
257    -5 or -4 selects whether to use Kerberos V or Kerberos IV.
258       (default is Kerberos V)
259    No commandline arguments means authenticate to the local cell.
260
261
262 11. The AFS Server functionality provided with OpenAFS 1.3.72 might work but 
263 should be considered highly experimental.  It has not been thoroughly tested.
264 Any data which would cause pain if lost should not be stored in an OpenAFS 
265 Server on Windows.
266
267 A few notes on the usage of the AFS Client Service if it is going to be 
268 used with the OpenAFS AFS Server:
269
270 (a) When the AFS Server is installed Freelance mode must be turned off.  
271
272 (b) The AFS Server and related tools only support the built in kaserver
273 (Kerberos IV).  If the AFS Server is being used, MIT Kerberos for Windows
274 should not be used.
275
276
277 12. The OpenAFS for Windows installers now include Symbol information which 
278 should be installed if you are experiencing problems and need to send crash 
279 reports.  This is true in both the release and the debug versions of the 
280 installers.  The differences between the release and debug versions are 
281 whether or not the binaries were compiled with optimization; whether the
282 debug symbols are installed by default; and whether additional debug 
283 statements were compiled into the binaries.
284
285
286 13. OpenAFS for Windows does not support files larger than 2GB.  
287
288
289 14. Local RPC is used as the default RPC mechanism for setting 
290 tokens.  TCP RPC is required to be installed and is used for debugging 
291 and other functions.
292
293
294 15. OpenAFS for Windows automatically open ports in the Windows 
295 Internet Connection Firewall.
296
297
298 16. The OpenAFS for Windows installer by default activates a weak form of 
299 encrypted data transfer between the AFS client and the AFS servers.  This
300 is often referred to as "fcrypt" mode.
301
302
303 17. OpenAFS 1.3.71 adds support for authenticated SMB connections using 
304 either NTLM or GSS SPNEGO (NTLM, Kerberos 5, ...).  In previous versions
305 of OpenAFS the SMB connections were unauthenticated which left open the
306 door for several security holes which could be used to obtain access to
307 the use of other user's tokens on shared machines.  With the introduction
308 of authenticated SMB connections the so called High Security mode should
309 no longer be used.  
310
311 When GSS SPNEGO results in a Kerberos 5 authentication, the Windows SMB
312 client will attempt to retrieve service tickets for "cifs/afs@REALM" (if 
313 the loopback adapter is in use) or "cifs/machine-afs@REALM" (if the loopback
314 adapter is not being used).  It is extremely important that this service 
315 principal not exist in the KDC database.   If the request for this ticket
316 fails, a subsequent request for "cifs/HOST$@REALM" will be issued.  This 
317 service principal should exist in the KDC database.  The key associated 
318 with this service principal must match the key assigned to 
319 "host/machine@REALM".  If the local machine is part of a Windows Domain
320 this will all be taken care of for you.  If the local machine is using
321 a non-MS KDC for authentication, then your KDC administrator will have to
322 add these service principals to the list of principals to be maintained
323 for each host.
324
325
326 18. As of 1.3.70, INI files are no longer used for the storage of AFS 
327 configuration data.  No longer are there any AFS related files stored in the
328 %WINDIR% directory.  The CellServDB file is no longer called "afsdsbmt.ini"
329 and it is stored in the OpenAFS\Client directory.  The afs_freelance.ini
330 and afsdsbmt.ini file data has been moved to the registry.  
331
332 IMPORTANT: while the CellServDB file location and freelance mountpoint
333 data will be automatically migrated; there is no mechanism for automatic
334 migration of Submounts, Drive Mappings, Active Maps, and CSCPolicy data.
335
336
337 19. As of 1.3.70, the OpenAFS Client is compatible with Windows XP SP2
338 and Windows 2003 SP1.  The Internet Connection Firewall will be 
339 automatically adjusted to allow the receipt of incoming callback messages 
340 from the AFS file server.  In addition, the appropriate Back Connection 
341 entries are added to the registry to allow SMB authentication to be 
342 performed across the loopback connection.
343
344
345 20. As of 1.3.70, the OpenAFS Client Service supports the CIFS Remote
346 Admin Protocol which provides browsing of server and share information.
347 This significantly enhances the interoperability of AFS volumes within the
348 Explorer Shell and Microsoft Office applications.
349
350
351 21. OpenAFS will now automatically forget a user's tokens upon Logoff
352 unless the user's profile was loaded from an AFS volume.  In this situation
353 there is no mechanism to determine when the profile has been successfully
354 written back to the network.  It is therefore unsafe to release the user's
355 tokens.  Whether or not the profile has been loaded from the registry can
356 be determined for Local Accounts, Active Directory accounts and NT4 
357 accounts.
358                                                    
359
360 22. Terminal Server installations.
361 When installing under Terminal Server, you must execute the NSIS installer
362 (.exe) from within the Add/Remove Programs Control Panel.  Failure to do so 
363 will result in AFS not running properly.  The AFS Server should not 
364 be installed on a machine with Terminal Server installed.
365
366
367 23. AFS is a Unix native file system.  As such the OpenAFS client attempts
368 to treat the files stored in AFS as they would be on Unix.  File and directory
369 names beginning with a "." are automatically given the Hidden attribute so
370 they will not normally be displayed.
371
372
373 24. Some organizations which have AFS cell names and Kerberos realm names
374 which differ by more then just lower and upper case rely on a modification
375 to krb524d which maps a Kerberos 5 ticket from realm FOO to a Kerberos 4
376 ticket in realm BAR.  This allows user@FOO to appear to be user@bar for
377 the purposes of accessing the AFS cell.  As of OpenAFS 1.2.8, support was
378 added to allow the immediate use of Kerberos 5 tickets as AFS (2b) tokens.
379 This is the first building block necessary to break away from the 
380 limitations of Kerberos 4 with AFS.  By using Kerberos 5 directly we
381 avoid the security holes inherent in Kerberos 4 cross-realm.  We also
382 gain access to cryptographically stronger algorithms for authentication
383 and encryption. 
384
385 Another reason for using Kerberos 5 directly is because the krb524 service
386 runs on a port (4444) which has become increasingly blocked by ISPs.  The
387 port was used to spread a worm which attacked Microsoft Windows in the 
388 summer of 2003.  When the port is blocked users find that they are unable
389 to authenticate.
390
391 Replacing the Kerberos 4 ticket with a Kerberos 5 ticket is a win in all
392 situations except when the cell name does not match the realm name and
393 the principal names placed into the ACLs are not the principal names from
394 the Kerberos 5 ticket.  To support this transition, OpenAFS for Windows
395 in 1.3.72 adds a new registry value to force the use of krb524d.  However,
396 the availability of this option should only be used by individuals until
397 such time as their organizations can provide a more permanent solution.
398
399
400 25. The Status Cache (AFS Config Control Panel: Advanced Page) is defined
401 to have a maximum number of entries.  Each entry represents a single file
402 or directory entry accessed within the AFS file system.  When the maximum
403 number of entries are allocated, entries will begin to be reused according
404 to a least recently used (LRU) algorithm.  If the number of files or 
405 directories being accessed repeatedly by your applications is greater then
406 the maximum number of entries, your host will begin to experience thrashing
407 of the Status Cache and all requests will result in network operations.
408
409 If you are experiencing poor performance you might want to increase the 
410 maximum number of Status Cache entries.  Each entry requires approximately
411 1.2K.  Note that the default number of Status Cache entries was increased
412 to 10,000 starting in 1.3.80.
413
414
415 26. "Netbios over TCP/IP" must be active on the machine in order for
416 communication with the AFS Client Service to succeed.  If "Netbios over
417 TCP/IP" is disabled on the machine, then communication with the AFS Client
418 Service will be impossible.
419
420
421 27. The AFS Client Service and related binaries are digitally signed by
422 "Secure Endpoints Inc." beginning with the 1.3.7400 release of OpenAFS
423 for Windows.  Starting in the 1.3.7500 release, the AFS Client Service
424 will perform a run-time verification check to ensure that all AFS related
425 DLLs loaded by the service match the same file version number and were
426 signed by the same entity.  This check has been added to prevent the
427 stability problems caused by more then one version of AFS being installed
428 on a machine at the same time.  Many hours of support time have been wasted
429 tracking down problems caused by the mixture of files from different 
430 releases.  
431
432 The registry.txt file documents the "VerifyServiceSignature" registry
433 value which can be used to disable the signature check.  The file version
434 check cannot be disabled.
435
436
437 28. The maximum cache size is approximately 1.3GB.  This is the largest
438 contiguous block of memory in the 2GB process address space which can be
439 used for the memory mapped file.  Due to fragmentation of the process 
440 spaced caused by the digital signature verification code, any attempt to
441 specify a cache size greater then 700MB will result in the automatic
442 disabling of the signature check.
443
444
445 29. OpenAFS for Windows implements an SMB server which is used as a
446 gateway to the AFS filesystem.  Because of the use of SMB, Windows 
447 stores all files into AFS using the OEM code pages such as CP437 (United 
448 States) or CP850 (Western Europe).  These code pages are incompatible 
449 with the ISO Latin-1 character set typically used as a default on Unix
450 systems in both the United States and Western Europe.  Filenames stored
451 by OpenAFS for Windows are therefore unreadable on Unix systems if they
452 include any of the following characters:
453
454      [Ç]  128  08/00  200  80  C cedilla
455      [ü]  129  08/01  201  81  u diaeresis
456      [é]  130  08/02  202  82  e acute
457      [â]  131  08/03  203  83  a circumflex
458      [ä]  132  08/04  204  84  a diaeresis
459      [à]  133  08/05  205  85  a grave
460      [å]  134  08/06  206  86  a ring
461      [ç]  135  08/07  207  87  c cedilla
462      [ê]  136  08/08  210  88  e circumflex
463      [ë]  137  08/09  211  89  e diaeresis
464      [è]  138  08/10  212  8A  e grave
465      [ï]  139  08/11  213  8B  i diaeresis
466      [î]  140  08/12  214  8C  i circumflex
467      [ì]  141  08/13  215  8D  i grave
468      [Ä]  142  08/14  216  8E  A diaeresis
469      [Å]  143  08/15  217  8F  A ring
470      [É]  144  09/00  220  90  E acute
471      [æ]  145  09/01  221  91  ae diphthong
472      [Æ]  146  09/02  222  92  AE diphthong
473      [ô]  147  09/03  223  93  o circumflex
474      [ö]  148  09/04  224  94  o diaeresis
475      [ò]  149  09/05  225  95  o grave
476      [û]  150  09/06  226  96  u circumflex
477      [ù]  151  09/07  227  97  u grave
478      [ÿ]  152  09/08  230  98  y diaeresis
479      [Ö]  153  09/09  231  99  O diaeresis
480      [Ü]  154  09/10  232  9A  U diaeresis
481      [ø]  155  09/11  233  9B  o slash
482      [£]  156  09/12  234  9C  Pound sterling sign
483      [Ø]  157  09/13  235  9D  O slash
484      [×]  158  09/14  236  9E  Multiplication sign
485      [ƒ]  159  09/15  237  9F  Florin sign
486
487 As of 1.3.75, a new registry value, HKLM\SOFTWARE\OpenAFS\Client 
488 "StoreAnsiFilenames" can be set to instruct OpenAFS for Windows to store 
489 filenames using the ANSI Code Page instead of the OEM Code Page.  The ANSI
490 Code Page is a compatible superset of Latin-1.  This setting is not the 
491 default setting because making this change would prevent OpenAFS for Windows 
492 from being able to access filenames containing the above characters which
493 were created without this setting.
494
495
496 30. There is a known issue with storing Windows Roaming Profiles when
497 the profile contains either directories or files with names which cannot
498 be represented in the local OEM character set.  In this case, attempts
499 to write the profile back to AFS will fail.  OpenAFS for Windows does
500 not currently support UNICODE.  To avoid this problem some sites run
501 logoff scripts (assigned by group policy) which rename all files to use
502 only the supported characters for the locale.
503
504
505 31. As of 1.3.80 the AFS Cache file is stored by default at %TEMP%\AFSCache
506 in a persistent file marked with the Hidden and System attributes.  The 
507 persistent nature of the data stored in the cache file improves the 
508 performance of OpenAFS by reducing the number of times data must be read
509 from the AFS file servers.
510
511
512 32. Integrated Login (as of 1.3.80) supports the ability to obtain tokens
513 for multiple cells.  See the "TheseCells" value in registry.txt.
514
515
516 33. New command line tool:
517
518     afsdacl : Set or reset the DACL to allow starting or stopping
519          the afsd service by any ordinary user.
520
521     Usage : afsdacl [-set | -reset] [-show]
522           -set   : Sets the DACL
523           -reset : Reset the DACL
524           -show  : Show current DACL (SDSF)
525
526 34. As of 1.3.80, the default @sys name list has been changed to 
527 "x86_win32 i386_w2k i386_nt40" for 32-bit x86 systems.  The default 
528 for itanium will be "ia64_win64" and "amd64_win64" for amd 64-bit 
529 processors.
530
531
532 35. As of 1.3.80, symlinks to \\AFS[\all]\... will now be treated
533 the same as symlinks to /afs/...  However, please use /afs/... as
534 the Windows UNC form will not work on Unix.
535
536
537 36. As of 1.3.80, OpenAFS for Windows implements the Cache Manager
538 Debugging RPC Interface.  The CM debugger can be queried with 
539 cmdebug.exe.
540
541 Usage: cmdebug -servers <server machine> [-port <IP port>] [-long]
542                [-addrs] [-cache] [-help]
543 Where: -long   print all info
544        -addrs  print only host interfaces
545        -cache  print only cache configuration
546
547 37.  If you are a site which utilizes MIT/Heimdal Kerberos principals
548 to logon to Windows via a cross-realm relationship with a multi-domain
549 Windows forest, you must enable Windows logon caching unless the 
550 workstation is Longhorn Beta 1 or later.
551
552
553 38. VLDB and File Server Preferences can now be provided initial 
554 values using registry keys.  This is useful for managed machines in a
555 Windows domain which are centrally located (e.g., in a computing
556 lab.)  See registry.txt for details on the "Server Preferences" keys.
557
558
559 39. As of 1.3.81, timestamps on file stored in AFS are reported to 
560 Windows in UTC all year round.  Previously, in locales with daylight
561 savings time, the time reported by AFS to Windows when DST is active
562 was UTC+1.  This was done to preserve the relative local time for the
563 user.  A file stored at 11:00am EST in January would be reported as
564 having been stored at 11:00am EDT in June.  Unfortunately, this has
565 the negative side effect of changing the reported timestamp from 16:00UTC
566 to 15:00UTC.  Since Windows treats all file times in UTC, data 
567 synchronization applications which rely on the timestamp would believe
568 that all files stored in AFS had changed.  This will no longer be the
569 case. 
570
571 It should be noted that Unix based operating systems (such as Solaris)
572 do not appear to report file times to applications in UTC.  They do 
573 preserve the relative local time.  This may confuse some users who are
574 used to being able to compare the timestamp in an Unix shell with the
575 timestamp from the Windows explorer.  During DST, these two times will
576 no longer agree even though they are in fact describing the same time.
577
578
579 40. If the installer refuses to install and complains about an RPC
580 configuration error, check to ensure that the following registry
581 entries are present and that they refer to the dll "rpcrt4.dll":
582
583    HKLM "SOFTWARE\Microsoft\RPC\ClientProtocols" "ncacn_np"
584    HKLM "SOFTWARE\Microsoft\RPC\ClientProtocols" "ncacn_ip_tcp"
585    HKLM "SOFTWARE\Microsoft\RPC\ClientProtocols" "ncadg_ip_udp"
586
587 ------------------------------------------------------------------------
588
589 Reporting Bugs:
590
591 Bug reports should be sent to openafs-bugs@openafs.org.  Please include as 
592 much information as possible about the issue.  If you are reporting a crash, 
593 please install the debugging symbols by re-running the installer.  If a dump 
594 file is available for the problem include it along with the AFS Client Trace 
595 file  %WINDIR%\TEMP\afsd.log.  The AFS Client startup log is 
596 %WINDIR%\TEMP\afsd_init.log.  Send the last continuous block of log 
597 information from this file.
598
599 Configuring DrWatson to generate dump files for crashes:
600
601  * Run drwtsn32.exe to configure or to identify where the log and the crash dump 
602    files are created: 
603    - click Start > Run...  
604    - type drwtsn32 <enter>. 
605    - Select either a Crash Dump Type: Mini or Full. 
606    - Clear Dump Symbol Table
607    - Clear Append to Existing Log file. 
608    - Check Dump All Thread Contexts.
609    - Check Create Crash Dump File
610  * Next run the monitoring module of Dr. Watson: 
611    - click Start > Run...
612    - type drwatson <enter>. 
613    - Once a crash happens, Dr. Watson generates a dump file and a report in the 
614      log file, including the address of the crash and the stack dump.
615
616 Once you have the Dr. Watson's logfile and minidump, zip them and send them as
617 attachments with your e-mail to openafs-bugs@openafs.org.
618
619 When reporting a error, please be sure to include the version of OpenAFS.
620
621
622 ------------------------------------------------------------------------
623
624 How to Contribute to the Development of OpenAFS for Windows:
625
626 Contributions to the development of OpenAFS for Windows are needed. 
627 Contributions may take many forms including cash donations, support contracts, 
628 donated developer time, and even donated tech writer time.
629
630 If you wish to be involved in OpenAFS for Windows development please join the 
631 openafs-win32-devel@openafs.org mailing list.
632
633   https://lists.openafs.org/mailman/listinfo/openafs-win32-devel
634
635 User questions should be sent to the openafs-info@openafs.org mailing list.  
636
637   https://lists.openafs.org/mailman/listinfo/openafs-info
638
639 You must join mailing lists if you wish to post to the list without incurring 
640 a moderation delay.
641