K-NET s.c.

Dlaczego musiałem zdegradować kontroler domeny Windows 2008 R2

Przez wiele lat byłem użytkownikiem Windowsów. Pamiętam takie czasy gdy Windows NT w wersji 4.0 był dla mnie podstawowym narzędziem pracy. Udało mi się nawet bezawaryjnie obsługiwać jedną z domen NT przez 10lat  (taki osobisty rekord w kategorii najdłużej działających serwerów bez zwisów, serwer dostarczał DHCP, DNS, WWW i pocztę elektroniczą). Potem nastał czas Unixa, Linuxa i tak aż do tego roku. Historia lubi zataczać koło i zostałem zmuszony do przypomnienia sobie paru rzeczy, nauczenia się nowych oraz odświeżenia znajomości z domenami Active Directory.

Razem z kolegą zaprojektowaliśmy i wykonaliśmy mała domenę AD na zlecenie. Głównymi jej elementami były dwu węzłowy klaster MS SQL, dwu węzłowy klaster HyperV przeznaczony na wirtualną maszynę z MS Exchange. Żeby całość funkcjonowała prawidłowo potrzebny był oczywiście jeszcze kontroler domeny. I tutaj zaczeły się schody. W opisanym wcześniej przypadku pojedynczy kontroler stanowi najsłabszy element sieci. Praktycznie wszystkie usługi domenowe korzystają z baz utrzymywanych przez kontroler. Nie musi to być najbardziej wydajna maszyna, powinna być jednak dobrze zabezpieczona. Ponieważ w międzyczasie zleceniodawca zdecydował się na dodanie do domeny jeszcze jednego serwera, potrzebnego do implementacji CRM, wpadłem na pomysł, że nadarza się okazja zaimplementowania na nim dodatkowego kontrolera domeny. Nic bardziej błędnego! Główne powody, dla których nie należy tak robić to:

• Komputer, który jest kontrolerem domeny nie ma możliwości dodawania użytkowników lokalnie
• Jeśli oprogramowanie instalowane na kontrolerze domeny dodaje nowe konta to stają się one kontami domenowymi
• Nie możemy ograniczyć uprawnień dla np. operatora serwera (odpowiedzialnego za lokalną usuługę np. wspomniany CRM) na tyle aby nie był on w  stanie zaszkodzić domenie

Wniosek jaki stąd płynie brzmi – jeśli myślisz o dodatkowych usługach w swojej domenie np. IIS, CRM itd. to instaluj je na serwerach będących wyłącznie członkami domeny (domain members). Pomio różnych opinii spotykanych w Internecie na ten temat skłaniam się ku kategorycznemu stwierdzeniu, że kontroler domeny powinien pozostać wyłącznie kontrolerem domeny. Jeśli sieć ma być w miarę bezpieczna rzecz jasna. A to z kolei prowadzi do wniosku, że projektując domene trzeba przyjąć, że co najmniej 2 serwery musimy przeznaczyć do tej roli. A więc płacz i płać:(

Nawiązując do tematu wpisu dałem złapać się w pułapkę i dlatego musiałem zdegradować (w dokumentacji technicznej Microsftu ta czynność nazywa się depromoting) całkiem zgrabny kontroler domeny. Poradnik jak to zrobić można znaleźć na stronie Microsoft TechNet w artykule „Removing a Domain Controller from a Domain„. Zanim jednak zaczniemy działać należy się upewnić, że:

1. Nie usuwamy ostatniego kontrolera w domenie (praktycznie oznacza to, że w sieci musi być jeszcze co najmniej jeden serwer przechowywujący Katalog Globalny GC) co nieodwracalnie ją zniszczy
2. Nie usuwamy podstawowego serwera DNS dla domeny Active Directory (jeśli tak to trzeba wcześniej przenieść tą rolę na inny serwer zawierający Katalog Globalny GC)

MG

Mozilla Thunderbird – filtry antyspamowe

Pomimo coraz bardziej zaawansowanych algorytmów filtrowania wiadomości zawierających, spam problem zasypywania naszych skrzynek pocztowych niechcianą pocztą jest ciągle aktualny. Ostatnio zetknąłem się z dość szczególnym zachowaniem użytkowników Mozilla Thunderbird. Aplikacja została wyposażona w dosyć dobre filtry antyspamowe. Nie ma sensu opisywanie w tym miejscu jak je włączyć i odpowiednio skonfigurować. Wystarczy skorzystać z Mozilla Zine, gdzie można znaleźć bardzo szczegółowe informacje na ten temat. Wracając do tematu, zauważyłem, że bardzo często użytkownicy z włączonymi filtrami po prostu nie uczą algorytmu co powoduje, że spam nie jest prawidłowo oznaczany i usuwany. W większości przypadków usuwają wiadomości zamiast oznaczyć je jako niechciane. Ponieważ Thunderbird wykorzystuje filtry Bayesa konieczne jest uczenie algorytmu co jest spamem a co nie. Z każdą kolejną iteracją czas poświęcany na naukę filtru skraca się znacząco. W praktyce po kilku dniach nie trzeba już wogóle ingerować w algorytm. Jednak co zrobić gdy mamy do czynienia z wyjątkowo opornym użytkownikiem, który twierdzi, że nie ma na to czasu (wbrew pozorom dosyć częsty przypadek:)? Wystarczy znaleźć użytkownika, który zakończył uczenie filtrów i przegrać od niego plik z danymi treningowymi. Wspomniany plik znajduje się w głównym katalogu profilu Mozlilli Thunderbird  i nosi nazwe training.dat. Teraz wystarczy podmienić wyżej wymieniony plik u użytkownika docelowego. W ten sposób filtr antyspamowy zacznie działać praktycznie od razu. Nie muszę dodawać, że im większy rozmiar  training.dat tym lepiej.

MG

Termometr IP dla ochrony serwerowni

Nadzorowanie parametrów życiowych naszej serwerowni może okazać się bardzo pomocne, szczególnie jeśli administrator budynku postanawia zaoszczędzić na agencji ochrony, zastępując ludzi systemem monitoringu. Zdarza się, że projekt monitoringu nie uwzględnia potrzeb działu IT. Nie rzadko byłem świadkiem awarii systemów chłodzenia co prowadziło do gwałtownego wzrostu temperatury w serwerowniach. Skoro nikt nie chce nam pomóc musimy radzić sobie sami.

Na rynku dostępnych jest wiele rozwiązań dla monitoringu parametrów pracy serwerowni. Mając na względzie zasobność kieszeni przeciętnego działu IT i łatwość oraz szybkość montażu urządzeń postanowiłem znaleźć coś stosunkowo taniego i działającego na zasadzie niezależnego hosta (serwera TCP/IP). Po paru godzinach poszukiwania wybór padł na termometr IP firmy Papouch. Kilka uwag praktycznych. Żeby sprowadzić termometr najlepiej bezpośrednio skontaktować się z polskim dystrtybutorem firmą Chip Electronics. Obsługa jest bezproblemowa i szybka. Cena końcowa wraz z kosztami przesyłki to około 740PLN brutto. Co dostajemy w zamian? Małe srebrne pudełko z interfejem FastEthernet. Podłączenie i konfiguracja przez interfejs www jest banalna. Ale na tym nie koniec. Wbudowany serwer www pozwala wysłać e-mail z komunikatem w przypadku wzrostu (lub spadku) temperatury powyżej (poniżej) wartości progowej. Obecnie możemy odbierać poczte elektroniczną za pomocą telefonu komórkowego. Ja postanowiłem jednak zmienić wiadomość elektroniczną w SMS, który możemy odebrać każdym telefonem. W tym celu zarejestrowałem się na polskiej bramce typu e-mail2sms http://www.gsmservice.pl. Powiązanie pierwszego konta nadawcy e-mail z kontem jest darmowe. Pozostaje tylko zapłacić z góry za pakiet SMSów. Zakładając, że awarie klimatyzacji nie są zbyt częste całe rozwiązanie jest tanie i niezawodne. Zatem do dzieła:)

MG

Ps.
Wiem, że opisane rozwiąznie można zrealizować za pomocą termistora podłączonego do portu USB i serwera z Linuxem ale co robić kiedy zabraknie czasu i zależy nam na szybkim wdrożeniu…

Jak wyłączyć użytkownikowi dostęp do Internetu – MS Windows

Możliwość wprowadzenia ograniczeń w dostępie do Internetu jest bardzo atrakcyjna dla wielu administratorów. Pozwala na kontrolowanie ruchu generowanego przez użytkowników. Zabezpiecza przed przeciążaniem łącza. Na temat architektury i kontroli sesji w Linuxie napisano już tony materiałów. Spotkałem się jednak ostatnio z podobnym problemem dotyczącym komputerów pracujących pod kontrolą Windows. W jaki sposób ograniczyć lub wyłączyć wogóle dostęp do Internetu dla wybranego użytkownika na komputerze z wieloma kontami? Szukałem metody na tyle prostej, że można ją zastosować w biegu bez instalowania i konfigurowania dodatkowego oprogramowania typu kontrola rodzicielska. Okazało się, że istnieje prosty zabieg wyłączający taki dostęp:

1. Dodajemy użytkownika do grupy lokalnej Administratorzy.
2. Logujemy się na jego konto.
3. Wybieramy kolejno „Panel sterowania/Opcje internetowe/Połączenia/Ustawienia sieci LAN”.
4. W sekcji „Serwer proxy” zaznaczamy opcje „Użyj serwera proxy dla sieci…”.
5. Wybieramy „Zaawansowane”
6. W polu opisanym „HTTP:” podajemy dowolny adres np. „10.10.10.1”
7. Zaznaczamy opcje „Użyj tego samego serwera proxy…”
8. Wybieramy 3x „OK”
9. Wylogowywujemy się z konta użytkownika.
10. Usuwamy konto użytkownika z lokalnej grupy „Administratorzy”.

Warto wspomnieć, że użytkownik będzie miał dostęp do lokalnych zasobów sieciowych natomiast skutecznie utrudnimy mu dostęp do Internetu;)

MG

XPUnlimited – czy to jest możliwe?

O tym produkcie chciałem napisać już dawno. Jest bardzo nietypowy bo nielegalny poza granicami UE. Żeby być bardziej precyzyjnym, znosi ograniczenia związane z protokołem RDP wbudowanym w produkty firmy Microsoft. Przypomnę, że bez zakupu serwera terminali dysponujemy dostępem do jednej sesji zadalnej w przypadku stacji roboczych oraz dwóch sesji zdalnych tzw. administracyjnych, w przypadku serwerów. XPUnlimted umożlwia dostęp zdalny bez limitu sesji. Jak twierdzi producent firma IPConsult, ograniczeniem jest tylko wydajność sprzętu, na którym zainstalujemy XPUnlimited. W dobie szumu medialnego związanego z przetwarzaniem w chmurze cloud computing, takie rozwiązanie może wspomóc budowę farmy typu SAAS – Software as a Service.

Typowy prosty scenariusz budowy prywatnej chmury SAAS  z wykorzystaniem XPUnlimited może wyglądać następująco:

• Na wybranych serwerach firmowych instalujemy XPUnlimited – może być ich kilka, bowiem aplikacja potrafi sama balansować obciążeniem
• W ramach utworzonej farmy tworzymy konta użytkowników terminala zdalnego z odpowiednimi uprawnieniami – możemy np. przydzielić zdalny terminal z automatycznie uruchamianą wybraną aplikacją bazodoanową i z ograniczeniem dostępu do pozostałych zasobów
• Korzystając z dostępu przez SSH możemy używać naszej aplikacji z dowolnego miejsca i na dowolnym sprzęcie – jest to możliwe gdyż XPUnlimited posiada wbudowany serwer SSH, zaś aby wykreować szyfrowany tunel można skorzystać np. z bardzo wygodnego klienta Bitvise Tunellier.

Jakie są zalety przedstawionego rozwiązania? Ja widzę trzy najważniejsze:

1. Zapewniamy optymalne środowisko pracy udostępnianej przez terminal aplikacji – wszyscy klienci mają takie samo środowisko i konfigurację
2. Zapewniamy szyfrowany i uwierzytelniony dostęp do zasobów firmy – zatem możemy mówić o sieci VPN
3. Jesteśmy niezależni od systemu operacyjnego czy sprzętu jakiego używa klient, nie musimy ponadto stosować kosztownych bramek VPN

Tak naprawdę wszystko to prowadzi do celu nadrzędnego jakim jest odrobina świętego spokoju dla firmowego działu IT w naszych niepewnych czasach;)

Więcej informacji, w tym opis bogactwa funkcji XPUnlimited znajduje się pod adresem:

http://www.xpunlimited.com/

MG

Kopie zapasowe za pomocą rsync dla Windows

Powszechnie wiadomo, że wykonywanie kopii zapasowych może uratować przed małą zagładą. Sam wielokrotnie się o tym przekonałem więc niezależnie od tego czy opiekuję się komputerem z Windows czy Linuxem zawsze szukam optymalnego rozwiązania dla zabezpieczenia danych.

W przypadku Linuxa sprawa jest prosta a rozwiązania wielokrotnie opisywane. Praktycznie najlepszym znanym mi jest rsync. Działa szybko i niezawodnie. W sieci można znaleźć masę poradników na jego temat. Gorzej jest jeśli chodzi o Windowsy. Po przetestowaniu wielu aplikacji, uwzględniając m.in. problemy z nazwami plików (np. polskie znaki potrafią skutecznie zwiesić najbardziej rozbudowane oprogramowanie) wymyślanymi przez użytkowników, mogę polecić AllwaySync. Jednak nawet ten bardzo dobry program potrafi odmówić posłuszeństwa.

Czy w związku z powyższym istnieje alternatywa? Wydaje się, że całkiem sprawnie działa rsync dla Windows – cwrsync. Jego najważniejsze zalety to:

• darmowa wersja, zarówno klienta jak i serwera
• brak koniecznośći instalacji pełnej wersji środowiska Cygwin
• możliwość synchronizacji danych między Linuxem a Windows

Ostatnia zaleta umożliwa integrację rozwiązań dla tworzenia kopii zapasowych niezależnie od systemu opercyjnego. Krótko mówiąc aby wdrożyć takie rozwiąznie należy:

1. Pobrać oprogramowanie ze strony domowej projektu (polecam wersje serwer, która zawiera również oprogramowanie klienta)
2. Zainstalować w wybranym katalogu
3. Zanim uruchomimy serwer trzeba wyedytować plik konfiguracyjny rsyncd.conf. Przykładową zawartość zamieszczam poniżej:

   use chroot = false
   strict modes = false
   hosts allow = *
   log file = rsyncd.log
   
   [TEST]
   path = /cygdrive/c/TEST
   read only = false
   transfer logging = yes

   Zwracam uwagą na linię zawierającą zmienną „path”. Ponieważ cwrsync korzysta z bibliotek Cygwin, została zachowana konwencja nakazująca rozpoczęcie defincji ścieżki od prefiksu „/cygdrive”. Zmienna „read only” o wartości „false” umożliwa zapis danych do wybranego katalogu.

4. Teraz można uruchomić serwer cwrsync jako usługę systemową startując ją z poziomu panelu zarządzania usługami systemowymi Windows. Ponieważ domyślnie usługa ta uruchamiana jest ręcznie warto zmienić metodę na automatyczną.
5. To wszystko. Teraz wystarczy na komputerze z Linuxem i zainstalowanym pakietem rsync uruchomić np. polecenie:

   rsync -arvzPO --delete /var/archive/ rsync://serwer_cwrsync/TEST/

   aby wykonać dokładną kopię danych z katalogu /var/archive (Linux) do katalogu C:\TEST (Windows)

MaG

Poprawiamy podpis w Thunderbirdzie

Niezależnie od tego co mówią zwolennicy Outlooka, Thunderbird zdążył zawojować całkiem sporą część naszych komputerów domowych. Stanowiąc otwartą (nie darmową – co zawsze należy podkreślać) alternatywę dla płatnych czytników poczty zaczął być stosowany nawet w środowiskach biznesowych/firmowych. I w takim właśnie zastosowaniu najczęściej musi być wzbogacony o dodatkowe wtyczki, tak aby spełnić wymagania pracy grupowej stając się czymś więcej czyli PIMem.

W takim przypadku myślimy od razu o kalendarzu czy synchronizacji książek adresowych. Ja jednak napotkałem się na zupełnie inny problem. Jest to problem związany z przyzwyczajeniami nabytymi podczas pracy z Outlookiem. Wiele godzin przedyskutowałem z użytkownikami przekonując ich do niewysyłania poczty w formacie HTML czy komentowania wybranych fragmentów wiadomości zamiast przesyłania za każdym razem tasiemca ze wszystkimi zebranymi mailami. Jednak w prawdziwe zdumienie wprawił mnie sposób w jaki użytkownicy stosują podpis.  Otóż będąc przez całe życie przekonany, że podpis zgodnie ze swoim znaczeniem powinien być umieszczony pod pismem, dowiedziałem się, że podpisy umieszcza się na początku, w środku wiadomości – czytaj: jak komu wygodniej. Nie powiem, że wywróciło to mój światopogląd do góry nogami ale skoro klient zgłasza taki problem należy mu pomóc.

Aby poprawić funkcje Thunderbirda i umożliwić wstawianie podpisu w formacie HTML np. na początku wiadomości (i to zarówno w trybie odpowiedz jak i prześlij dalej) trzeba skorzystać z dodatkowej wtyczki o nazwie ExternalTemplateLoader. Umożliwi nam ona zdefiniowanie zestawu gotowych szablonów HTML dla nowych wiadomości. Oznacza to tak naprawdę, że możemy przygotować praktycznie dowolny podpis (korzystając z MS Word i funkcji zapisz jako html) i zapisać go jako szablon a następnie wczytywać do nowej wiadomości za pomocą opisywanej wtyczki. Szczegółowy opis można znaleźć na stronie domowej autora:

https://nic-nac-project.de/~kaosmos/templateloader-en.html

MaG