Очередная ситуация с заканчивающимся местом на диске на одном из веб-серверов (по причине расплодившихся логов IIS) заставила задуматься о том, что не лишним будет провести хотя бы поверхностный анализ размера каталога логов IIS на всех серверах. Помимо такого анализа желательно автоматизировать процедуру удаления старых лог-файлов IIS на тех веб-серверах, где это возможно. По ранее используемому примеру, создаём скрипт удаления старых файлов. В качестве основных переменных задаём количество времени (в днях), за которое нужно хранить логи IIS, а также локальный путь на веб-сервере, где эти самые логи хранятся. Param ( #период в днях, старше которого файл считается пригодным к удалению [int]$Period = 10 , #каталог для просмотра [String]$PATH = "C:\inetpub\logs\LogFiles" , #включать ли вложенные каталоги [bool]$recurse = $true ) filter Get-OldFiles { if (($_.Attributes -ne "Directory") ` -and ` (([DateTime]::Now.Subtract($_.CreationTime)).Days -gt $Period)) {return $_ } } if ($recurse) {dir -path $PATH -recurse | Get-OldFiles -Period $Period | Remove-Item -recurse -force} else {dir -path $PATH | Get-OldFiles -Period $Period | Remove-Item -force} Скрипт сохраняем на веб-сервере по полному пути, например C:\Tools\Scripts\Delete-Old-IIS-Log-Files.ps1 В Планировщике заданий Windows (Task Scheduler) создаём задание на периодический запуск данного скрипта командой: powershell.exe -NoProfile -command "C:\Tools\Scripts\Delete-Old-IIS-Log-Files.ps1" В сети может быть большое количество серверов, на которых работают сайты на базе IIS, однако на всех таких серверах интенсивность записи в логи разная. Чтобы понять, на какие веб-серверы имеет смысл “прикручивать” скрипт удаления старых логов IIS, а на какие нет, воспользуемся ещё одним PS-скриптом. С помощью этого скрипта мы получим список серверных системы из каталога Active Directory и проверим на каждом из серверов размер каталога логов IIS (по умолчанию расположен в C:\inetpub\logs) при условии его наличия. Import-Module ActiveDirectory $TestFolder = "\C$\inetpub\logs" $OU = "OU=AllComputers,DC=holding,DC=com" $Filter = "(&(objectClass=computer)(!description=*cluster*)(operatingSystem=*Windows Server*)(!userAccountControl:1.2.840.113556.1.4.803:=2))" $Servers = Get-ADComputer -SearchBase $OU -ResultSetSize $null -LDAPFilter $Filter ForEach ($Server in $Servers){ $ServerName = $Server.DNSHostName ping.exe $ServerName -n 1 | out-null; If
↧
PowerShell —Настраиваем очистку логов IIS
↧
System Center 2012 R2 DPM —Особенности настройки End-User Recovery
Приветствую тебя, дорогой читатель! В очередной раз хочу рассказать о возможностях системы резервного копирования от компании Microsoft — System Center 2012 R2 Data Protection Manager (SCDPM). В данной статье речь пойдет об особенностях настройки и использования функционала End-User Recovery (EUR). EUR – это возможность самостоятельного восстановления файлов пользователями без обращения к ИТ отделу. При этом на файловом сервере НЕ используется дополнительное место под VSS снимки (Snapshot), — все данные берутся из SCDPM. Условия, при которых EUR успешно используется: Наличие установленного и настроенного System Center 2012 R2 DPM. Настроенное резервное копирование файлов и папок файлового сервера (в моем случае файловые серверы на базе Windows Server 2008 R2 и 2012 R2) при помощи SCDPM. Серверы должны быть в домене Active Directory с контроллерами домена версий Windows 2000 Server with Service Pack 4, Windows Server 2003 или выше, с включенной возможностью модификации схемы (schema). Клиентские машины с операционными системами выше Windows XP. Настройка EUR: 1) Расширение схемы AD. Для этого нужно скопировать файл DPMADSchemaExtension.exe с сервера DPM (%Program Files%\Microsoft System Center 2012\DPM\DPM\End User Recovery) на контроллер домена и запустить его с правами учетной записи (Domain Admins, Schema Admins) из под администратора. Нажимаем “Yes” Вводим имя сервера DPM без название домена Вводим только название домена, при этом указываем полное доменное имя (FQDN). Например, не CONTOSO, а contoso.com. Далее ничего не вводим, если оба сервера (DPM и файловый) находятся в одном домене. Получаем сообщение такого вида А далее — ошибку. Problem signature: Problem Event Name: APPCRASH Application Name: dpmdsacl.exe Application Version: 4.2.1092.0 Application Timestamp: 51b1e89d Fault Module Name: KERNELBASE.dll Fault Module Version: 6.3.9600.16384 Fault Module Timestamp: 5215fa76 Exception Code: e0434352 Exception Offset: 0000000000008384 OS Version: 6.3.9600.2.0.0.272.7 Locale ID: 1033 Additional Information 1: 7644 Additional Information 2: 7644cee486badc818e8a96bb7aba3bfd Additional Information 3: 2ddc Additional Information 4: 2ddcde93bf91b9ddbb6e1a89fb9b5892 Переходим ко второй части настройки: Отрываем DPM консоль на
↧
↧
Ошибка при создании Login в SQL Server — Create failed for Login — The server principal already exists — Error 15025 или история одного "тупняка"…
Во время миграции баз данных SQL Server 2012 из ранее используемого кластерного экземпляра SQL Server на физических серверах в новый кластерный экземпляр в виртуальной среде Hyper-V столкнулся с одной интересной проблемой. Сразу скажу, что она никак не связана ни с Hyper-V, ни с виртуализацией в целом, а скорее с простым незнанием некоторых аспектов работы SQL Server. При копировании баз данных была предпринята попытка использования мастера копирования баз (Copy Database Wizard), который доступен нам в составе SQL Server Management Studio по аналогии с ранее описанной процедурой. Процедура копирования контентной базы данных одного из веб-приложений SharePoint и связанных с ней SQL-логинов была прервана с ошибкой, говорящей о том, что один из SQL-логинов невозможно найти в домене. Выяснилось, что этот SQL-логин когда-то ранее было создан на SQL Server с привязкой к существующей на тот момент доменной учетной записи пользователя, однако на текущий момент учётной записи с таким именем в домене действительно нет. Это подтвердил также и вывод хранимой процедуры sp_validatelogins, которая умеет обнаруживать “осиротевшие” SQL-логины: EXEC sp_validatelogins; GO В нашем примере проблемный SQL-логин имел имя KOM\s-KOM-SP-ORD. Соответственно этому SQL-логину ранее и были права необходимые для работы с контентной базой данных веб-приложения SharePoint, но вместе с этим само веб-приложение в SharePoint на текущий момент времени работало от имени совершенно другой учетной записи – KOM\s-KOM-SP-IRS. Это ввело меня в некоторый ступор. Как такое вообще возможно… И пока до меня не “дошло”, в чём же на самом деле заключается проблема, выполнялись разного рода манипуляции. Например, будучи уверенным в том, что учетной записи веб-приложения таки нужен доступ к его контентной базе данных SharePoint, я попытался добавить в SQL Server новый SQL-логин — KOM\s-KOM-SP-IRS. Но в ответ получил странное сообщение о том, что такой логин в SQL Server уже присутствует… Create failed for Login 'XXX\XXX'. (Microsoft.SqlServer.Smo) ... The server principal 'XXX\XXX' already exists. (Microsoft SQL Server, Error: 15025)
↧
Мониторинг FC коммутаторов Brocade с помощью HP B-series SAN Network Advisor 12.4 и Microsoft System Center 2012 R2 Operations Manager
В этой заметке мы рассмотрим пример настройки мониторинга оптических коммутаторов фирмы Brocade с помощью Microsoft System Center 2012 R2 Operations Manager (SCOM). Предлагаемая Brocade архитектура мониторинга коммутаторов такова, что нам потребуется на выделенном сервере установить и настроить ПО Brocade Network Advisor, подключить к этому ПО наши коммутаторы, и затем интегрировать пакет управления (Management Pack), поставляемый в комплекте с этим ПО, c одним из наших сервером управления SCOM. Таким образом, агент SCOM, установленный на этом выделенном сервере будет отчитываться перед сервером управления SCOM исходя из информации, получаемой из Brocade Network Advisor. В моём примере коммутаторы Brocade представлены в виде ребрендинговых моделей Hewlett-Packard StorageWorks, поэтому вместо нативного пакета Brocade Network Advisor я буду использовать предлагаемый компанией Hewlett-Packard пакет HP B-series SAN Network Advisor. Как я понял, эти два пакета с технической точки зрения ничем принципиальным друг от друга не отличаются (HP добавляет в нативный пакет Brocade своё лицензионное соглашение). Сразу хочу отметить тот факт, что HP B-series SAN Network Advisor существует как в виде платной лицензируемой редакции, так и в виде бесплатной редакции, имеющей ряд ограничений. Одним из таких ограничений, весьма существенным в контексте темы этой заметки, является отсутствие возможности использования процедуры интеграции Network Advisor с SCOM. Именно поэтому нам придётся использовать пробную полнофункциональную 120-дневную версию (Trial) HP B-series SAN Network Advisor. Загрузить актуальную версию Network Advisor можно по ссылке HP B-series SAN Network Advisor Software. На момент написания этой заметки текущая версия HP B-series SAN Network Advisor — 12.4.1. В архиве с дистрибутивом мы сможем найти документацию, в частности документ SAN_Manual.pdf, в котором на 467 странице можно найти раздел Microsoft System Center Operations Manager plug-in, где буквально на трёх страницах описаны системные требования и сама процедура интеграции с SCOM. Ответы на некоторые другие вопросы можно получить из документа Brocade Network Advisor Frequently Asked Questions. Для развёртывания Network Advisor я подготовил отдельный
↧
PowerShell —Быстрый способ проверить учётные данные пользователя в Active Directory
Иногда бывает нужно проверить учётные данные какой-либо определённой пользовательской учётной записи в домене Active Directory, да ещё и на определённом контроллере домена. В сети можно найти несколько вариантов PowerShell скриптов, решающих подобную задачу. При этом большинство из них представляют собой некий массив кода. Однако быстро можно выполнить задачу с помощью всего одного PS-командлета Get-ADDomain. Пример с указанием distinguishedName домена, NetBIOS-имени контроллера домена и имени конкретной учётной записи пользователя: Get-ADDomain -Identity "DC=sub,DC=holding,DC=com" -Server "kom-ad01-dc02" -Credential "SUB\petya" При выполнении будет выдан запрос на ввод пароля указанной учётной записи, и если учётные данные указаны верно, то будет выведена информация о домене, в противном случае возникнет ошибка типа: “Get-ADDomain : Неправильное имя места назначения неверно, или сервер отклонил учетные данные клиента.”
↧
↧
Гибридное развёртывание Exchange Server 2013. Часть 2. Развёртывание базовой инфраструктуры в тестовой среде для последующей реализации гибридного развёртывания
Базовое гибридное развертывание Exchange 2013 от вашей IT инфраструктуры требует установки и настройки минимального количества дополнительных программ, но главная загвоздка состоит в том, что нужно строго придерживаться определенной последовательности при установке. Если пренебречь этим, то мы будем получать ошибки, которые будут сбивать нас с верного пути. В этой заметке я постараюсь показать вам путь, который был неоднократно “отработан” мной при реализации базового гибридного развертывания в тестовой и реально работающей IT инфраструктуре. Предварительные требования: Нужно иметь в наличии зарегистрированное доменное имя, которое будет использоваться как SMTP домен. DNS хостинг, который позволит создать требуемые DNS записи для доменного имени. SSL сертификат. Минимальные требования к сертификату можно прочитать по ссылке. В этой серии заметок я использую реальный WildCard сертификат, который в поле Subject Alternative Name содержит: *.DomainName.com – действительный почтовый домен компании, в которой я работаю. *.DomainName.ru — домен используемый в тестовых средах. Первым делом мы запускаем “Помощник по развертыванию Exchange Server”. В помощнике присутствуют пункты, на которые вы сами сможете ответить без особого труда: Гибридное развертывание –> Гибридное развертывание на основе Exchange 2013 –> Exchange Server 2013 –> Далее… В этой заметке мы будем останавливаться только на самых интересных: Единый вход (Single sign-on): Единый вход (Single sign-on) очень удобная возможность, которая облегчает работу пользователям, у которых почтовые ящики будут находиться в облаке, и инженерам технической поддержи. Первым нет надобности помнить несколько паролей, а вторые администрируют пароли для любых почтовых ящиков в локальной Active Directory. В гибридном развертывании есть возможность организовать архив почтовых сообщений, который будет находиться в облаке, а сам почтовый ящик пользователя будет располагаться на локальном Exchange сервере 2013. Single sign-on в гибридной реализации Exchange позволяет упростить доступ к online-архиву для локальных почтовых ящиков. При доступе к online-архиву в облаке пароль нужно будет вводить однократно при условии, что будет поставлена галочка “Сохранить пароль” в окне запроса учетных данных в Outlook. Пароль
↧
Гибридное развёртывание Exchange Server 2013. Часть 3. Запуск мастера гибридного развертывания.
В предыдущей заметке Гибридное развёртывание Exchange Server 2013. Часть 2. Развёртывание базовой инфраструктуры в тестовой среде для последующей реализации гибридного развёртывания мы практически добрались до мастера, который сконфигурирует гибрид из двух независимых организаций Exchange. Но прежде чем запустить долгожданный мастер, нам нужно выполнить еще пару шагов, которые будут является фундаментом обеспечения безопасной коммуникации двух почтовых систем. Первый шаг — это назначение сертификата локальному Exchange серверу. В наличии у нас есть сертификат вида: Сертификат имеет расширение .PFX, а это значит, что он содержит закрытый ключ. Этот сертификат мы без труда сможем импортировать на наш локальный Exchange: На этапе выбора хранилища для сертификата оставляем: Итог импорта сертификата: Теперь сертификат нужно назначить Exchange серверу, открываем Exchange Management Shell и получаем список сертификатов на EXC сервере: Get-ExchangeCertificate Назначаем сертификат: Enable-ExchangeCertificate -Server "exc01" -Services "IIS,SMTP" -Thumbprint E5D79B09E75A41BD8F49C3E57D65DE317095390C Вторым шагом нужно сконфигурировать Internal, External URL-адреса для виртуальных каталогов: EWS: Get-WebServicesVirtualDirectory | Set-WebServicesVirtualDirectory -InternalUrl https://cas-test.DomainName.ru/EWS/Exchange.asmx -ExternalUrl https://cas-test.DomainName.ru/EWS/Exchange.asmx -MRSProxyEnabled $true Цитата TechNet: Прокси-сервер службы репликации почтовых ящиков (прокси-сервер MRS) перемещает почтовые ящики между лесами и выполняет миграции удаленного перемещения между локальной организацией Exchange и Exchange Online. Если не активировать MRSProxy попытка перемещение почтовых ящиков между организациями Exchange будет заканчиваться ошибкой. OAB: Get-OabVirtualDirectory | Set-OabVirtualDirectory -ExternalUrl https://cas-test.DomainName.ru/OAB -InternalUrl https://cas-test.DomainName/OAB OWA: Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -ExternalUrl https://cas-test.DomainName.ru/owa -InternalUrl https://cas-test.DomainName/owa ECP: Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -ExternalUrl https://cas-test.DomainName.ru/ecp -InternalUrl https://cas-test.DomainName.ru/ecp Outlook AnyWhere: Get-OutlookAnywhere | Set-OutlookAnywhere -InternalHostname "cas-test.DomainName.ru" -InternalClientAuthenticationMethod negotiate -InternalClientsRequireSsl $true -ExternalHostname "cas-test.DomainName.ru" -ExternalClientAuthenticationMethod negotiate -ExternalClientsRequireSsl $true AutoDiscover для внутренних клиентов: Set-ClientAccessServer -Identity EXC01 -AutoDiscoverServiceinternalUri https://autodiscover.DomainName.ru/autodiscover/autodiscover.xml MAPI OVER HTTP: Как активировать MAPI OVER HTTP Set-MapiVirtualDirectory -Identity "EXC01\mapi (Default Web Site)" -InternalUrl https://cas-test.DomainName.ru/mapi -ExternalUrl https://cas-test.DomainName.ru/mapi -IISAuthenticationMethods Negotiate После редактирования виртуальных директорий перезагружаем IIS сервер на локальном Exchange: Теперь мы готовы запустить мастер гибридного развертывания. Заходим в “Цент Администрирования Exchange” через Internet Explorer на локальном сервере Exchange: После нажатия на кнопу Enable нас попросят залогиниться в
↧
Сколько нужно живых контроллеров домена для Exchange Server 2013 ?
Не так давно, попросил меня знакомый посмотреть, что не так с его почтовым сервером Exchange Server 2013. Ситуация такая: почта ходит, но EMS не подключается (ссылаясь на то, что нет контроллера домена для обработки запроса) и какие-то странные «варнинги» пишутся в логи приложения. В ходе допроса выяснилось, что Active Directory, столь любимая мной и Exchange сервером, была нещадно изнасилована с удалением 2-х (из 3-х существующих) контроллеров домена (разъехались USN (см. USN Rollback)), а роли FSMO были захвачены варварским образом аж 2 раза. После чего был установлен еще один контроллер домена (далее КД). Итого мы имеем: 2 работающих КД и 2 криво удаленных КД-призрака, распластавших свои метаданные в теле службы каталога. Причина: Почтовый сервер Exchange Server 2013 по умолчанию требует 50%+ живых, работоспособных, контроллеров домена. Т.е. если из 4 КД работают 2, то почтовый сервер нормально функционировать не будет. Данный параметр прописан в файле Microsoft.Exchange.Directory.TopologyService.exe.config, находящемся по умолчанию в каталоге C:\Program Files\Microsoft\Exchange Server\V15\Bin. Если открыть этот файл, то можно найти параметр MinPercentageOfHealthyDC (по умолчанию равен 50). Добавлю, что по этой же причине невозможно будет установить почтовый сервер или CU. Решение проблемы: Необходимо корректно удалить КД и очистить метаданные (См. Removing a Domain Controller from a Domain и Clean Up Server Metadata). В нашей ситуации после выполнения очистки ADDS и Exchange Server стали чувствовать себя намного лучше, ошибки исчезли, а возможность подключения к консоли EMS восстановилась.
↧
Миграция с Exchange Server 2003 на Exchange Server 2013. Часть 3. Обновление до уровня Exchange Server 2013
Как мы помним из прошлой части, в нашей почтовой организации осталось только 2 сервера Exchange Server 2010. Один сервер клиентского доступа — в сети периметра, и один сервер — в локальной сети. Приступим к планированию и установке Exchange Server 2013. У нас будет два сервера объединенные в DAG. Внутри сети подключения будут балансироваться с помощью DNS, вешние подключения будут балансироваться с помощью двух серверов IIS ARR объединенных в NLB кластер, ими же будут публиковаться сервисы Exchange. В самом начале хочется сделать пару важных предупреждений. Никогда не устанавливайте Exchange Server 2013, если вы полностью не удалили Exchange Server 2003. В процессе конфигурирования и установки серверов Exchange Server 2013 возможны перебои в работе почтовой системы. Выполняем следующие шаги для обеспечения соответствия минимальным требованиям к развёртыванию (все описываемые действия выполняются для серверов EX1-CTR и EX2-CTR – Почтовой системы Exchange 2013): Установить Windows Server 2012 R2 Standard на подготовленные виртуальные машины EX1-CTR, EX2-CTR. Убедиться, что серверам присвоены статические IP адреса , сервера настроены на получение обновлений из сети интернет. Установить на серверы c Exchange Server 2010 накопительный пакет обновления Update Rollup 10 для Exchange Server 2010 с пакетом обновления 3 (SP3). Проверка текущей версии осуществляется командой PowerShell: Get-Command ExSetup | ForEach {$_.FileVersionInfo} Накопительный пакет 10 доступен по адресу: Update Rollup 10 For Exchange 2010 SP3 (KB3049853) Хозяин схемы Active Directory должен выполняться на сервере не ниже Windows Server 2003 с пакетом обновления 2 (SP2) или более поздняя версия (32- или 64-разрядная) Для сайта Active Directory, где планируется установить Exchange 2013, должен быть хотя бы один контроллер домена, доступный для записи и работающий под управлением системы не ниже Windows Server 2003 с пакетом обновления 2 (SP2) или более поздняя версия (32- или 64-разрядная). В соответствии с требованиями Microsoft, сервер Службы каталогов Active Directory должен находиться в режиме функциональности леса Windows Server 2003 или более поздней
↧
↧
Установка обновлений на Exchange Server 2013/2016 в DAG
Выпущены долгожданные обновления для почтовых серверов Exchange. Обновления весьма существенные, поэтому настоятельно советую ознакомиться с перечнем изменений. Команда Exchange отказалась от сервис паков и сейчас концепция такова, что накопительные обновления выходят каждый квартал и могут содержать в себе как исправления багов, дыр в безопасности, так и новый функционал продукта. Но сегодня я хотел бы поговорить не об этом, а о процедуре установки обновлений на серверах Exchange Server 2013/2016. К установке обновлений для почтовых серверов нужно подходить максимально ответственно. Бывают случаи, когда почтовый сервер отказывается работать после этой процедуры. Есть ряд важных замечаний, о которых всегда стоит помнить при планировании обновления: Не рекомендуется устанавливать обновления сразу в рабочей среде. Необходимо иметь стенд, для тестирования вашей конфигурации. Не рекомендуется настраивать почтовый сервер на автоматическую установку обновлений получаемых от WSUS или из внешнего источника. Это справедливо как для Exchange Server, так и для Windows Server. Если у вас развёрнут Exchange Server 2013, а его роли CAS и MBX разнесены по разным серверам, то первым должен обновляться CAS сервер. При обновлении CAS сервера советую вывести его из балансировки подключений (если она есть). При обновлении CAS сервера все ваши персональные настройки веб сервера IIS сбросятся на дефолтные, так что нужно сделать бэкап. При обновления почтовых серверов, находящихся в DAG, обновляемый сервер необходимо вывести в режим обслуживания. Если у вас единственный сервер Exchange в организации, то желаю вам удачи и не забудьте сделать бэкап :). При обновлении почтовый сервер будет недоступен для пользователей. Итак, перейдем непосредственно к самой процедуре обновления. Качаем дистрибутив с CU (отмечу, что это полноценный дистрибутив Exchange и если вы устанавливаете новый сервер, сразу качайте CU) и распаковываем его в папку C:\tmp. В случае с Exchange Server 2016 это будет ISO-образ а не архив [ура товарищи!]. ISO-образ нужно подмонтировать, открыть и так же распаковать. Мы рассмотрим установку обновлений на сервере почтовых ящиков, входящим
↧
Миграция с Zimbra на Exchange Server 2016, ресурсный лес, PowerShell и все,все,все…
Здравствуйте! Рад приветствовать читателей нашего блога! Как вы уже могли догадаться из заголовка статьи, главной темой будет миграция с почтового сервера Zimbra на Microsoft Exchange 2016. Поводом для написания этой статьи послужили две вещи: только что закончившийся проект по миграции 1500 пользователей с Zimbra на Exchange и полное отсутствие более или менее структурированной информации по этому вопросу (тайные знания никто не разглашает). Все что будет описано далее, это проверенные на практике вещи, которые собирались из разных источников “по частям” или находились методом проб и ошибок. Назвать это пошаговым руководством сложно, а вот инструкцией, вполне. Краткое описание инфраструктуры: Один лес и один домен Contoso. Почтовый сервер Zimbra, поднятый на Ubuntu. 1500 пользователей, которые в основной массе используют web-интерфейс для работы с почтовой системой. Задача: развернуть четыре сервера Microsoft Exchange 2016 и мигрировать всех пользователей на новую почтовую систему. Основная проблема, которая сразу бросается в глаза, это плоский (singl lable) домен Contoso. Если у вас SL домен и вы внедряете современные продукты, то неизбежно столкнетесь с проблемами. В нашем случае, Exchange Server 2016 невозможно установить в плоский домен, но выход есть – это ресурсный лес. Ресурсный лес — это способ развертывания почтовой системы Exchange для централизованного обмена сообщениями внутри организации, при этом сама почтовая система находится в отдельном лесе. В лесе Contoso расположены два контроллера домена и пользовательские учетные записи, этот лес называется accounts forest. В лесе Adatum.com нет учетных записей пользователей, а только сервера почтовой системы и контроллеры домена. Этот лес называется Resource Forest или Exchange Forest. Таким образом, все учетные записи пользователей будут находиться в лесе Contoso, а все почтовые ящики в лесе Adatum.com. Внимательный читатель заметил двустороннюю стрелочку между лесами, что означает two-way-trust (двустороннее доверие между лесами). Все дело в том, что пользователи для авторизации на почтовых серверах будут использовать учетные данные своего домена, а следовательно, сервер будет использовать
↧
Базовые приёмы работы с файловым сервером на базе Windows Server
Файловый сервер – что это? При разговоре многие IT специалисты отвечают очень просто: “шара” она и в Африке “шара”. Задаешь следующий вопрос, как ты считаешь у файлового сервера может быть логика функционирования? И в ответ получаешь, что-то подобное ответу на первый вопрос. Ну и в заключении просишь показать скриншот рабочего файлового сервера компании со стороны обычного пользователя, результат обычно такой… И еще пару-тройку десяток папок своих и не своих, которые видит пользователь. А как ты предоставляешь доступ пользователю? Захожу на файловый сервер, открываю свойства конкретной папки далее вкладка Security и добавляю требуемые разрешения конкретному пользователю. А ты слышал, что в Active Directory есть группы? Да конечно, но я так привык делать. А если тебе придётся администрировать файловый сервер к примеру на одну тыс. человек, как ты считаешь твоя модель будет эффективной? Ответ зависит от креативности конкретной личности))) Недавно мне попался такой файловый сервер который нужно было оптимизировать и продумать новую логику работы с учетом роста компании. Какие проблемы будут решены после оптимизации файлового сервера: 1) Зайдя на файловый сервер человек будет видеть только “свои” папки. 2) Доступ к папкам будет предоставляться через ролевые группы на базе групп Active Directory. При таком подходе предоставление доступа к ресурсу осуществляется лишь добавлением определенного пользователя в требуемую группу через оснастку Active Directory Administrative Center. Цитата из книги “Эффективное Администрирование. Windows Server 2008.” Автор: Холме Дэн.: Ролевая группа определяет набор компьютеров или пользователей, ориентируясь на их общие черты с точки зрения бизнеса. Это помогает установить, кем является данный пользователь или компьютер В книге очень подробно описано как грамотно организовать файловый север. Советую. 3) Файловый сервер будет работать на базе технологии Distributed File System. 4) Будет активирована технология Data Deduplication. К примеру в моем случаи Deduplication rate (при дефолтовых настройках) составляет 43%: Устанавливаем роли: Создаем папку самого верхнего уровня: Когда создаем папку или папки верхнего
↧
ИТ Вестник №05.2016
Представляем вашему вниманию очередной обзорный материал об интересных, на наш взгляд, информационных обновлениях в ИТ-сфере за прошедший месяц. Информационная безопасность Еще раз о том, как не сделать из своей сети «решето». Интересная статья о, казалось бы, очевидных вещах, но тем не менее проблемы безопасности, описанные в ней, на практике можно встретить довольно часто. Администраторам Active Directory, которые активно используют механизмы Group Policy Preferences, рекомендую обратить на статью отдельное внимание. Читаем статью Серьезная уязвимость прокси-сервера Squid позволяет «отравить кэш» и не забываем регулярно обновлять свои прокси-серверы. OC Microsoft Windows Server На сайте учебного центра Advanced Training опубликован цикл статей по Active Directory 2016 Всем, кто интересуется технологией Microsoft Storage Replica будет полезно изучить материал из статьи Тестирование командой StarWind технологии репликации Microsoft Storage Replica Илья Сазонов напоминает о полезности использования механизма виртуальных учётных записей для усиления безопасности исполнения локальных служб в системах Windows в заметке Виртуальные учётные записи в Windows OC Linux Сервер приложений 1С на Linux. Весьма полезная статья для тех, кто хочет иметь выделенный сервер 1С:Предприятие v8.3 и не платить при этом за лицензии серверных продуктов Microsoft. Рассматривается вариант развёртывания сервера на базе ОС Linux и СУБД Postgres SQL. На наш Вики добавлено несколько заметок о Desktop варианте Ubuntu Linux: Отключение гостевого сеанса на экране входа Ubuntu Desktop Linux 16.04 LTS в графической оболочке Unity Улучшение отображения шрифтов в Ubuntu Linux с помощью Infinality Kubuntu 16.04 и клиент обмена мгновенными сообщениями Pidgin Управление IT-инфраструктурой Microsoft System Center Operations Manager Обновлены пакеты Management Pack (MP): System Center Management Pack for SharePoint Server 2016 (May2016) UR9 for SCOM 2012 R2 – Step by Step. Кевин Холман, как всегда подробно, описывает процесс установки Update Rollup 9 Представлена новая утилита System Center 2016 Operations Manager — Network Monitoring Management Pack Generator. На нашем Вики обновлена Вики-страница ссылок по SCOM. Здесь
↧
↧
Установка и базовая настройка системы мониторинга Zabbix 3.0 LTS на Ubuntu Server 14.04 LTS
Мелкие и средние компании зачастую пренебрегают таким компонентом IT инфраструктуры, как мониторинг разных узлов локальной сети. При возникновении проблем в таких компаниях может проходить достаточно много времени, пока инженеры поймут, что происходит в их IT инфраструктуре, что, само по себе, очень критично для бизнеса. Имплементация и правильная настройка системы мониторинга облегчает жизнь IT специалиста на порядок, но стоит заметить, что на начальном этапе сбора и анализа информации в системе мониторинга увеличивается количество рабочих часов. Почему? Всплывают те ошибки, которые вы могли не замечать или просто игнорировали в течении долгого периода времени. Рынок программного обеспечения предлагает целый ряд продуктов, так или иначе связанных с мониторингом. В ряде широко используемых продуктов присутствуют такие, как Microsoft System Center Operations Manager (SCOM), Nagios, Zabbix, Cacti и т.д. Если взять SCOM, то он хорошо “заточен” под программное обеспечение от Microsoft, прекрасно отслеживает требуемое, но очень “толстый”, и чтобы его развернуть в Enterprise режиме, нужно задействовать несколько серверов. Как показывает моя практика, SCOM не могут себе позволить развернуть даже некоторые крупные компании, не говоря уже о мелком и среднем бизнесе. Иначе обстоят дела с Zabbix. Этот продукт позволяет развернуть себя на старом Desktop’e и предоставлять результат. Для мониторинга Windows-систем Zabbix функционально не так богат, как SCOM, но в симбиозе с технологией Windows Event Subscriptions мы можем получить вполне эффективную систему мониторинга. Если говорить про Linux или Unix системы и их сервисы (MySQL, FTP, SMTP, HTTP, SSH, Exim, Squid и т.п.), то Zabbix предоставляет множество уже готовых шаблонов для их мониторинга. В современной гетерогенной IT инфраструктуре для достижения максимальной эффективности и гибкости нужно использовать как коммерческие продукты, такие как SCOM, так и СПО, такое как Zabbix. Применительно к Zabbix, в этой заметке мы рассмотрим пример следующих действий: Установка Zabbix на Ubuntu 14.04 Настройка LDAP аутентификации на базе Active Directory Установка Zabbix агентов на ОС Windows и Linux
↧
Развёртывание и настройка oVirt 4.0. Часть 9. Интеграция oVirt с LDAP-каталогом Microsoft Active Directory
В этой и последующей части серии записей о настройке среды управления виртуализацией oVirt 4.0 будет рассмотрен практический пример интеграции функционала разграничения прав доступа oVirt с внешним LDAP-каталогом на базе домена Microsoft Active Directory. Сначала мы пошагово рассмотрим процедуру настройки профиля интеграции oVirt c LDAP-каталогом, а затем, в отдельной заметке, рассмотрим настройку автоматической аутентификации пользователей на веб-порталах oVirt, настроив Single sign-on (SSO) на базе протокола Kerberos. Подготовительные мероприятия для интеграции с LDAP Active Directory Далее по пунктам мы рассмотрим ряд подготовительных мероприятий, которые необходимо провести для того, чтобы в конечном итоге можно было настроить профиль интеграции oVirt c AD: Установка пакета расширения oVirt Проверка корректности разрешения имён в службе DNS Создание учётной записи для поиска в LDAP-каталоге Создание JKS-хранилища с корневыми сертификатами доменного ЦС Обратите внимание на то, что это необходимый минимум действий лишь в том случае, если вы не планируете использовать Kerberos SSO (для обеспечения возможности прозрачной аутентификации пользователей без явного указания имени пользователя и пароля при входе на веб-порталы oVirt), а хотите ограничиться лишь простой Form-based аутентификацией (явный ввод имени пользователя и пароля на веб-странице входа порталов oVirt) на основе данных LDAP-каталога. Требования специфичные для Kerberos SSO будут рассмотрены отдельно в следующей заметке. Установка пакета расширения oVirt В ранних версиях для интеграции с разными реализациями LDAP-каталогов использовалась утилита engine-manage-domains, пример использования которой можно найти, например, здесь. Теперь эта утилита считается устаревшей и вместо неё нужно использовать ovirt-engine-extension-aaa-ldap-setup. Установим на сервере oVirt Engine соответствующий пакет: # yum install ovirt-engine-extension-aaa-ldap-setup Проверка корректности разрешения имён в службе DNS Убедимся в том, что в конфигурационном файле /etc/resolv.conf на нашем сервере oVirt Engine присутствуют записи о DNS серверах, способных разрешать A и SRV записи, относящиеся к нашему домену Active Directory. Примеры запросов на разрешение SRV-записей, относящихся к LDAP/глобальному каталогу AD в DNS-зоне нашего домена: $ dig +noall +answer _ldap._tcp.{имя домена AD} SRV
↧
Развёртывание и настройка oVirt 4.0. Часть 10. Настройка Single sign-on (SSO) на базе Kerberos для упрощения аутентификации на веб-порталах oVirt
В этом части описания мы продолжим тему интеграции oVirt 4.0 с внешним LDAP-каталогом на базе домена Microsoft Active Directory (AD) и поговорим о настройке механизма Single sign-on (SSO) средствами протокола Kerberos для веб-сервера Apache с целью облегчения процедуры аутентификации пользователей при входе на веб-порталы oVirt. Опорным документом для наших действий будет: RHEV 3.6 Administration Guide — 14.4. Configuring LDAP and Kerberos for Single Sign-on. Действия, описываемые в данной заметке предполагают, что раннее нами уже создан работоспособный профиль интеграции oVirt c LDAP-каталогом на базе каталога Active Directory. Подготовительные мероприятия Подготовительные мероприятия, которые нам нужно будет выполнить перед настройкой SSO Kerberos на веб-сервере Apache, на базе которого работают веб-порталы oVirt: — Настройка синхронизации времени между oVirt Engine и контроллерами домена AD— Создание в домене AD сервисной учётной записи— Создание keytab-файла для сервисной учётной записи— Установка и настройка Kerberos-клиента на сервере oVirt Engine Рассмотрим эти действия последовательно более подробно. Настройка синхронизации времени между oVirt Engine и контроллерами домена AD Наличие корректно работающей синхронизации времени между всеми участниками сетевого обмена (клиентские компьютеры, контроллеры домена, сервер oVirt Engine) необходимо для правильной работы протокола Kerberos. В инфраструктуре AD это требование реализуется довольно просто, так как контроллеры домена имеют функции NTP—сервера и используются в качестве источника точного времени, то есть предполагается, что как клиентские компьютеры, так и сервер oVirt Engine синхронизирует время с контроллерами домена. Проверим состояние имеющейся по умолчанию в CentOS 7 службы chronyd, которая реализует функции NTP-клиента для синхронизации времени с внешними источниками. # systemctl status chronyd Как правило, эта служба запускается и настраивается ещё в процессе развёртывания ОС. Если по какой-то причине служба не запущена и не настроена, выполним её настройку, указав в файле /etc/chrony.conf в качестве источников синхронизации времени контроллеры домена AD: # cat /etc/chrony.conf | grep ^[^#\;] server 10.1.0.9 iburst server 10.1.6.8 iburst stratumweight 0 driftfile /var/lib/chrony/drift rtcsync makestep 10
↧
Подключение Debian GNU/Linux 8.6 к домену Active Directory с помощью SSSD и realmd
На большом количестве разных интернет-ресурсов можно встретить описание процедуры присоединения серверов на базе ОС Linux к домену Active Directory, и практически везде в таких описаниях в виде неотъемлемой части присутствует установка Samba с последующим использованием Winbind. Мы тоже не стали в этом плане исключением. В этой заметке я хочу рассмотреть пример использования альтернативного средства расширения функционала аутентификации и авторизации в Linux – службы SSSD (System Security Services Daemon), которая будет автоматически настроена с помощью пакета realmd (Realm Discovery). В этом примере нами будет настроена аутентификация и авторизация на сервере Debian GNU/Linux 8.6 (Jessie) с подключением к домену Active Directory (на базе Windows Server 2012 R2). Общую информацию о SSSD можно получить здесь — FedoraProject Wiki – SSSD и здесь — FedoraHosted Wiki – sssd. На русском языке небольшое описание есть в статье Датавед — Настройка SSSD и интересный комментарий есть в ветке форума Pro-LDAP.ru — Сводка систем аутентификации. Меня же SSSD заинтересовала после того, как я наткнулся на пару интересных статей в блоге Red Hat, где SSSD рассматривается как более продвинутая альтернатива Winbind —Overview of Direct Integration Options и SSSD vs Winbind. Даже не взирая на то, что SSSD имеет некоторые ограничения, такие как, например, отсутствие поддержки NTLM (зачем он нужен, если есть Kerberos), эта штука всё равно выглядит интересно. Как сказано в документе Configuring_sssd_with_ad_server поддержка Active Directory (AD) появилась в SSSD начиная с версии 1.9.0. Проверим версию доступную нам в репозиториях только что установленной Debian Jessie: # apt-cache show sssd Package: sssd Version: 1.11.7-3 Installed-Size: 42 Maintainer: Debian SSSD Team Architecture: amd64 Depends: python-sss (= 1.11.7-3), sssd-ad (= 1.11.7-3), sssd-common (= 1.11.7-3), sssd-ipa (= 1.11.7-3), sssd-krb5 (= 1.11.7-3), sssd-ldap (= 1.11.7-3), sssd-proxy (= 1.11.7-3) Description-en: System Security Services Daemon -- metapackage Provides a set of daemons to manage access to remote directories and authentication mechanisms. It provides an NSS
↧
↧
Настройка Kerberos аутентификации с SSO на веб-сервере Apache с помощью SSSD
В прошлой заметке был рассмотрен пример простейшего ограничения доступа к веб-серверу Apache с применением незащищённой Basic-аутентификации и использованием учётных данных из файла. Разумеется такой режим аутентификации нельзя считать безопасным и поэтому в данной заметке мы рассмотрим пример настройки Kerberos-аутентификации и авторизации на веб-сервере Apache c помощью службы SSSD (System Security Services Daemon). Ранее уже рассматривался пример подобной настройки веб-сервера Apache, однако в том случае для поддержки Kerberos-аутентификации в систему устанавливался пакет krb5-workstation, а для авторизации использовался функционал интеграции oVirt с Active Directory. В этой заметке мы пойдём по несколько иному пути, так как для аутентификации пользователей в домене AD будем использовать модуль Apache mod_auth_gssapi, а для авторизации модуль — mod_authnz_pam, который будет использоваться в связке с SSSD. То есть получать доступ к веб-серверу смогут все те доменные пользователи, что уже имеют доступ на подключение к самому серверу. Такая конфигурация может быть проста в настройке и полезна в тех случаях, когда некоторому кругу администраторов Linux-сервера нужно предоставить возможность прозрачного подключения (Single sign-on) к веб-сайту того или иного сервиса, работающего на этом сервере, как в ранее рассмотренном случае с веб-консолью QUADStor. Подключаем к веб-серверу модуль mod_authnz_pam Посмотрим информацию о модуле mod_authnz_pam, который доступен нам в репозиториях CentOS Linux 7.2: # yum info mod_authnz_pam ... Available Packages Name : mod_authnz_pam Arch : x86_64 Version : 0.9.3 Release : 5.el7_2 Size : 14 k Repo : updates/7/x86_64 Summary : PAM authorization checker and PAM Basic Authentication provider URL : http://www.adelton.com/apache/mod_authnz_pam/ License : ASL 2.0 Description : mod_authnz_pam is a PAM authorization module, supplementing : authentication done by other modules, for example mod_auth_kerb; it : can also be used as full Basic Authentication provider which runs the : [login, password] authentication through the PAM stack. Как видим из описания, этот модуль позволит нам использовать PAM-авторизацию и PAM-аутентификацию (только Basic). В рамках нашей задачи интересна возможность
↧
ИТ Вестник №11/12.2016
Представляем вашему вниманию очередной обзорный материал об интересных, на наш взгляд, информационных обновлениях в ИТ-сфере за два прошедших месяца. За помощь в подготовке выпуска благодарю Евгения Лейтана. Информационная безопасность Исследователи создали эксплоит для получения root-доступа к Android-смартфонам с помощью уязвимости Rowhammer Google, как настоящий «закадычный» друг, снова «взяла за кадык» Microsoft и раскрыла непропатченную уязвимость в Windows Я для себя уже сделал выводы о перспективах Skype, и раз от раза убеждаюсь в их правильности. Очередная «грязная» история в статье Как Skype уязвимости чинил Ежегодная пресс-конференция «Лаборатории Касперского»: итоги года и прогнозы на будущее. Сотрудники лаборатории «Касперский» вместе с Владимиром Познером подвели итоги уходящего года в сфере ИТ безопасности и угроз, а также сделали определенные прогнозы и ответили на вопросы зрителей (которые тоже интересно послушать) OC Microsoft Windows / Windows Server Обновлены шаблоны групповых политик Microsoft Desktop Optimization Pack Group Policy Administrative Templates. Реализована поддержка самых актуальных версий App-V, MBAM, UE-V. Обновлён пакет Enhanced Mitigation Experience Toolkit (EMET) 5.52 и документация к нему. Описание корпоративных подписок для Enterprise-пользователей Windows 10: Windows 10 Enterprise E3 OC Linux Добавлена Вики-статья Как расширить существующий программный RAID 6 (добавление дополнительных дисков), созданный с помощью mdadm из дисковых multipath-устройств в CentOS Добавлена Вики-статья Как увеличить размер виртуального диска QUADStor и расширить раздел ext4 Виртуализация Microsoft App-V The MDOP December servicing release is now available. В составе Декабрьского обновления MDOP обновлена версия App-V 5.1 RTM, привносящая исправления ряда ошибок и выравнивание версий между App-V Client, RDS, and Server. Microsoft Azure 2 ноября Microsoft представила корпоративный мессенджер на базе Office 365 — Microsoft Teams, конкурент Slack. Далее ссылки для ознакомления. Microsoft представила сервис Microsoft Teams — конкурента Slack Introducing Microsoft Teams—the chat-based workspace in Office 365 Introducing Microsoft Teams: The new chat-based workspace in Office 365 Новое в Office 365 в декабре. MS старается, чтобы
↧
ABBYY FineReader 9.0 —Решаем проблему высвобождения конкурентных лицензий
Есть у нас в обороте старенькая версия ABBYY FineReader 9.0 с небольшим количеством конкурентных лицензий и сервером лицензирования. Сервер лицензирования выдаёт клиентским компьютерам лицензии при запуске ПО на этих компьютерах, а при исчерпании пула лицензий клиент получает сообщение о невозможности запуска приложения. Распределение лицензий происходит по простому принципу «кто первый встал, того и тапки», и как-то всегда хватало приобретённого количества лицензий на всех. Однако в последнее время специалисты тех.поддержки стали фиксировать жалобы пользователей на участившиеся ситуации с нехваткой лицензий. На сервере лицензирования картина действительно выглядела так, как будь-то нам не хватает лицензий. Однако небольшой социологический опрос с пристрастием выявил тенденцию, в последнее время ставшую модной среди пользователей, более или менее активно пользующихся FineReader. Раз или два столкнувшись с сообщением о нехватке лицензий, некоторые пользователи стали хитрить, запуская приложение в самом начале рабочего дня и держа его открытым весь день. Это привело к тому, что другие пользователи стали получать сообщение о нехватке лицензий ещё чаще, после чего также стали пользоваться тактикой преждевременного запуска, загоняя ситуацию в тупик ещё больше. Стоит отметить то, что суть этой проблемы заключается не в хитрых пользователях, а в том, что ABBYY FineReader 9.0 использует конкурентное распределение лицензий и при этом не имеет встроенных механизмов высвобождения лицензий для простаивающих экземпляров ПО. Не исключено, что в новых более современных версиях ABBYY FineReader эта проблема решена, однако мы имеем то, что имеем, и с этим как-то нужно жить. Итак, мы имеем хитрых пользователей и, как следствие, нехватку конкурентных лицензий. Возникла идея о том, что если мы сможем забороть хитрецов, то вопрос нехватки лицензий самоликвидируется. После некоторых изысканий был выбран простой, но действенный вариант – автоматизация закрытия процессов FineReader на простаивающих компьютерах с помощью PowerShell. Ведь здесь всё логично и по честному – не работаешь за компьютером, значит не используешь ПО, а не используешь ПО, значит верни конкурентную лицензию в
↧