K-NET s.c.

Instalacja winapcupsd na systemie serwerowym

Czy wszystkie serwery Windows powinny być zabezpieczone za pomocą zasilaczy awaryjnych? Odpowiedź jest oczywista. Jednak nie zawsze łatwa w realizacji. Co zrobić jeżeli nie mamy akurat pod ręką np. APC Smart-UPS, dedykowanego dla serwerów a pozostały nam niewykorzystane APC Back-UPS dla stacji roboczych? Zazwyczaj ten drugi pozwoli na prawidłowe zamknięcie systemu  w ciągu kilku minut, nadaje się zatem na tymczasowy zasilacz. Problem polega jednak na oprogarmowaniu dostarczanym ze sprzętem:

• APC Smart-UPS jest sprzedawany z aplikacją PowerChute Business Edition, dedykowaną dla serwerów, i nie obsługuje innych modeli zasilaczy APC,
• z kolei APC Back-UPS jest sprzedawany z aplikacją PowerChute Personal Edition, której nie możemy zainstalować na serwerowyn systemie.

Można pomysleć, że to sytuacja bez wyjścia. Tymczasem, ku mojemu zaskoczeniu, można skorzystać z oprogramowania na licencji GPL, którym jest Apcupsd. Na pewno dla każdego, kto instalował zasilacze APC pod Linuxem, ta nazwa nie brzmi obco. Na stronie projektu znajduje się odnośnik do portu dla Windows. Okazuje się, że aplikacja działa bardzo sprawnie a konfiguracja nie różni się niczym od tej z Linuxa. Jedynym, drobnym problemem, jest instalacja sterownika dostarczanego z aplikacją (należy uważnie przeczytać dokumentację i postępować zgodnie z instrukcją krok po kroku). Poza tym winapcupsd pozwala cieszyć się na serwerze pełnymi możliwościami zasilacza awaryjnego dla stacji roboczej.

MG

Polecenie 'forfiles’

Bardzo ciężko jest się przyznać do własnej niewiedzy. Jednak czasami trzeba. Ostatnio musiałem się zmierzyć z problemem usuwania logów aplikacji po 14 dniach na serwerze Windows 2008R2. Zadanie dosyś proste jeśli myślimy o środowisku Linuksa. Czy jest tak samo w przypadku Widnows? Rzecz jasna można skorzystać z bibliotek Cygwin, ale tak czy inaczej będzie to forma protezy. Dlatego zabrałem się za przeglądanie Internetu i po chwili, po raz pierwszy, natknąłem się na program/polecenie forfiles. Uruchamiane klasycznie z linii poleceń pozwala zbudować prosty skrypt, który po dodaniu do harmonogramu zadań systemowych będzie czyścił logi. Poniżej przyklad:

forfiles /S /D -14 /P "Dysk:\Log\" /M *.log /C "cmd /c del @file"

Sprawdziłem i działa całkiem dobrze:) Można powiedzieć, że w pewnym sensie Microsoft dostarczył odpowiednik linuksowego polecenia 'find’. Na zakończenie, skrócona lista opcji programu 'forfiles’:

/P nazwa_ścieżki      Wskazuje ścieżkę do rozpoczęcia wyszukiwania.                       
                      Folderem domyślnym jest bieżący katalog                       
                      roboczy (.).

/M maska_wyszukiwania Wyszukuje pliki według maski wyszukiwania.                       
                      Domyślna maska wyszukiwania to '*' .

/S                    Nakazuje poleceniu forfiles przejście do                       
                      podkatalogów. Na przykład: "DIR /S".

/C polecenie          Wskazuje polecenie, które ma być wykonane dla                       
                      każdego pliku. Ciągi polecenia powinny                       
                      być ujęte w cudzysłów.

                      Domyślne polecenie to: "cmd /c echo @file".
                      Następujące zmienne mogą być używane w                        
                      ciągu polecenia:                       
                      @file    - zwraca nazwę pliku.                        
                      @fname   - zwraca nazwę bez                                   
                                 rozszerzenia.                       
                      @ext     - zwraca tylko rozszerzenie                                   
                                 pliku.                       
                      @path    - zwraca pełną ścieżkę pliku.                       
                      @relpath - zwraca ścieżkę względną                                   
                                 pliku.                       
                      @isdir   - zwraca wartość "TRUE" dla katalogu i                                   
                                 "FALSE" dla pliku.                       
                      @fsize   - zwraca rozmiar pliku w bajtach.                       
                      @fdate   - zwraca datę ostatniej modyfikacji                                   
                                 pliku.                       
                      @ftime   - zwraca godzinę ostatniej modyfikacji                                   
                                 pliku.

/D data               Zaznacza pliki z datą ostatniej modyfikacji taką
                      samą lub późniejszą (+) bądź taką samą lub
                      wcześniejszą (-) od określonej daty, korzystając
                      z formatu "yyyy-MM-dd"; zaznacza również pliki 
                      z datą ostatniej modyfikacji taką samą lub
                      późniejszą (+) od bieżącej daty +"dd" dni bądź
                      taką samą lub wcześniejszą (-) od bieżącej daty.
                      Liczba dni "dd" musi być zzakresu 0-32768.
                      Jeżeli nie określono żadnego znaku, domyślnie
                      zostanie użyty znak "+".

MG

Rola rekordu SRV w konfiguracji MS Exchange

Microsoft Exchange Server jest obecnie jednym z popularnych serwerów pracy grupowej w firmach. Nie jest to rozwiązanie tanie. Szczególnie jeśli uwzględnimy koszt budowy infrastruktury zgodnie z zaleceniami Microsfotu, koszt licencji dostępowych CAL itd. Tak czy inaczej jeżeli zdecydowaliśmy się już na zakup oprogramowania i nie mamy kilku serwerów do wykorzystania musimy liczyć się z koniecznością gruntownego zabezpieczenia naszego głównego serwera Exchange. Konfiguracja, o której mówie zakłada zainstalowanie 3 głównych ról serwera (Hub Transport Server, Mailbox Server oraz CAS – Client Access Server) na jednym serwerze. W omawianym przypadku nie zajmujemy się serwerem brzegowym (Edge Transport Server).

Ponieważ na wspomnianym serwerze instalujemy usługi dostępowe CAS (w tym dla klientów mobilnych, z poza sieci firmowej) należy zabezpieczyć go wszelkimi możliwymi środkami. Najprostszym i najtańszym rozwiązaniem jest zorganizowanie komunikacji z wykorzystaniem protokołu HTTPS (port 443). Klient poczty Microsoft Outlook posiada możliwość połączenia się z serwerem Exchange za pomocą tandemu RTP over HTTPS. Można zatem łatwo dodać regułę na firewallu firmowym, umożliwiącą komunikację z zewnątrz z serwerem Exchange na porcie 443.

Niestety Outlook wykorzystuje często funkcje autokonfiguracji działającą w oparciu o usługę Autodiscover. W tym miejscu dochodzimy do sedna problemu opisywanego w tym artykule. Jeżeli domena Active Directory (np. corp.firma.com) różni się od domeny internetowej (np. firma.com) to Outlook będzie zasypywał nas komunikatami o błędach. Istnieje wiele sposobów zapobiegania takim sytuacjom. Jednym z najbardziej skutecznych jest wykorzystanie rekordu SVR na zewnętrznych serwerach nazw. W ten sposób Outlook z każdego miejsca w internecie będzie mógł połączyć się z naszym serwerem Exchange. Rekord SRV dla Exchange będzie miał następującą postać (użyłem przykładu dla popularnego serwera bind):

_autodiscover._tcp.firma.com. IN SRV 0 5 443 server.corp.firma.com.

Musimy jeszcze pamiętać o rekordzie A dla domeny z przykładu – firma.com:

server.corp IN A 1.2.3.4

Takie rozwiązanie pozwoli uniknąć w przyszłości chóru narzekających użytkowników. I o to w zasadzie w tym wszystkim chodzi…

MG

Laptop DELL, MS Windows, Office 2010 64-bit i problemy

Tym razem krótki i raczej humorystyczny wpis. Ta wiedza może uchronić Cię przed godzinami spędzonymi w poszukiwaniu rozwiązania. Rzecz dotyczy laptopów marki Dell z zainstalowanymi Windowsami w wersji 64-bitowej i pakietu MS Office 2010 64-bit. Jak się okazuje MS Word (w takiej konfiguracji) po pewnym czasie odmawia posłuszeństwa. Obajwy są dość nietypowe. Nie może otworzyć dokumentu, zawiesza się a następnie proponuje tryb awaryjny. Po naprawieniu problemu w trybie awaryjnym sytuacja powtarza się od nowa. W tym miejscu chylę czoła przed użytkownikami, którzy wpadli na to, że należy wyłączyć wtyczkę obsługującą połączenie Bluetooth – 'Opcje programu Word/Dodatki’. Krótko i na temat. Do tej pory nie mogę się otrząsnąć.

🙂

MG

Kopie zapasowe za pomocą rsync dla Windows – aktualizacja

Dokładnie 2 lata temu napisałem artykuł na temat kopii zapasowych za pomocą portu rsync dla Windows. 2 miesiące temu temat powrócił, jednak tym razem w roli głównej wystąpił Windows 2008 R2 Server. Co prawda posiada on bardzo rozbudowaną obsługę kopii zapasowych – na prawdę można przekonać się, że wiele poprawiono – aplikacja jest wygodna i niezawodna. Niemniej występują w niej niedogodności we współpracy z dyskami sieciowymi. Dla hostów windowsowych należących do Active Directory wszystko działa prawidłowo. Jednak zrzucenie kopii zapasowej na dysk udostępniony przez komputer z Linuxem (np. via SMB) stwarza problemy (szwankuje autoryzacja).

Nie pozostaje nic innego jak skorzstać ze starego, dobrego rsynca! Znalazłem w sieci bardzo dobry i stabilny port o nazwie DeltaCopy. Instalacja jest przyjemna i dość szczegółowo opisana na stronie autora. Program można uruchomić również w trybie bez instalacji. Posiada tryb usługi windows. W zasadzie jedyna rzecz, o której warto pamiętać to uprawnienia z jakimi uruchamiamy DeltaCopy w trybie usługi systemowej. Gdy zostaniemy zapytani podczas instalacji o konto i hasło dla użytkownika programu należy pozostawić puste pola. Następnie przechodzimy do widoku usług systemowych (przez Mendżer Serwera) i ustawiamy właściwości dla usługi DeltaCopy. W zakładce Logowanie należy wybrać opcję Lokalne konto systemowe.

W ten sposób otrzymujemy gotowy do użytku serwer rsync dla Windows. Należy jeszcze tylko pamiętać o otworzeniu portu 873 w Regułach przychodzących systemowego firewalla.

Ze strony komputera z Linuxem sprawa jest jeszcze prostsza (zakładam, że rsync został już zainstalowany). Przykładowe polecenie wykonujące kopie zapasową będzie miało postać:

rsync -arvz serwer.windows.2008r2::nazwa_udziału_rsync/ →
→ /sciezka_dostepu_do_katalogu_kopii_zapasowych/nazwa_kopii_zapasowej/

Dla wygody umieszczamy powyższą komendę w crontabie i możemy spać spokojnie… dopóki coś zowu się nie popsuje.

MG

Błąd MS SQL – Performance counter registry hive consistency check

Świat byłby zbyt piękny gdyby wszystko działało od razu bez problemu. Ostatnio, przy okazji instalacji SQL Server 2008 R2 Standard Edition na dziewiczym systemie operacyjnym Microsoft Windows Server 2008 R2 Standard, spotkałem się z problemem, którego rozwiązanie zajeło sporo czasu. Okazało się, że instalator zatrzymuje się na komunikacie o niespełnionej zależności – Performance counter registry hive consistency check. Nie będę się rozpisywał na temat tego błędu, który związany jest z nieprawidłowymi wpisami do rejestrów. Zresztą na internetowych forach pełno jest poradników na ten temat. Niestety większość metod nie pomaga. Na szczęście znalazłem skuteczną łatkę systemową SQL2008R2patch.exe, którą mogę szczerze polecić jako przetestowaną i działająca. Pozwala zaoszczędzić dużo czasu i bezproblemowo przygotować system do pracy 🙂

MG

Dlaczego musiałem zdegradować kontroler domeny Windows 2008 R2

Przez wiele lat byłem użytkownikiem Windowsów. Pamiętam takie czasy gdy Windows NT w wersji 4.0 był dla mnie podstawowym narzędziem pracy. Udało mi się nawet bezawaryjnie obsługiwać jedną z domen NT przez 10lat  (taki osobisty rekord w kategorii najdłużej działających serwerów bez zwisów, serwer dostarczał DHCP, DNS, WWW i pocztę elektroniczą). Potem nastał czas Unixa, Linuxa i tak aż do tego roku. Historia lubi zataczać koło i zostałem zmuszony do przypomnienia sobie paru rzeczy, nauczenia się nowych oraz odświeżenia znajomości z domenami Active Directory.

Razem z kolegą zaprojektowaliśmy i wykonaliśmy mała domenę AD na zlecenie. Głównymi jej elementami były dwu węzłowy klaster MS SQL, dwu węzłowy klaster HyperV przeznaczony na wirtualną maszynę z MS Exchange. Żeby całość funkcjonowała prawidłowo potrzebny był oczywiście jeszcze kontroler domeny. I tutaj zaczeły się schody. W opisanym wcześniej przypadku pojedynczy kontroler stanowi najsłabszy element sieci. Praktycznie wszystkie usługi domenowe korzystają z baz utrzymywanych przez kontroler. Nie musi to być najbardziej wydajna maszyna, powinna być jednak dobrze zabezpieczona. Ponieważ w międzyczasie zleceniodawca zdecydował się na dodanie do domeny jeszcze jednego serwera, potrzebnego do implementacji CRM, wpadłem na pomysł, że nadarza się okazja zaimplementowania na nim dodatkowego kontrolera domeny. Nic bardziej błędnego! Główne powody, dla których nie należy tak robić to:

• Komputer, który jest kontrolerem domeny nie ma możliwości dodawania użytkowników lokalnie
• Jeśli oprogramowanie instalowane na kontrolerze domeny dodaje nowe konta to stają się one kontami domenowymi
• Nie możemy ograniczyć uprawnień dla np. operatora serwera (odpowiedzialnego za lokalną usuługę np. wspomniany CRM) na tyle aby nie był on w  stanie zaszkodzić domenie

Wniosek jaki stąd płynie brzmi – jeśli myślisz o dodatkowych usługach w swojej domenie np. IIS, CRM itd. to instaluj je na serwerach będących wyłącznie członkami domeny (domain members). Pomio różnych opinii spotykanych w Internecie na ten temat skłaniam się ku kategorycznemu stwierdzeniu, że kontroler domeny powinien pozostać wyłącznie kontrolerem domeny. Jeśli sieć ma być w miarę bezpieczna rzecz jasna. A to z kolei prowadzi do wniosku, że projektując domene trzeba przyjąć, że co najmniej 2 serwery musimy przeznaczyć do tej roli. A więc płacz i płać:(

Nawiązując do tematu wpisu dałem złapać się w pułapkę i dlatego musiałem zdegradować (w dokumentacji technicznej Microsftu ta czynność nazywa się depromoting) całkiem zgrabny kontroler domeny. Poradnik jak to zrobić można znaleźć na stronie Microsoft TechNet w artykule „Removing a Domain Controller from a Domain„. Zanim jednak zaczniemy działać należy się upewnić, że:

1. Nie usuwamy ostatniego kontrolera w domenie (praktycznie oznacza to, że w sieci musi być jeszcze co najmniej jeden serwer przechowywujący Katalog Globalny GC) co nieodwracalnie ją zniszczy
2. Nie usuwamy podstawowego serwera DNS dla domeny Active Directory (jeśli tak to trzeba wcześniej przenieść tą rolę na inny serwer zawierający Katalog Globalny GC)

MG

Jak wyłączyć użytkownikowi dostęp do Internetu – MS Windows

Możliwość wprowadzenia ograniczeń w dostępie do Internetu jest bardzo atrakcyjna dla wielu administratorów. Pozwala na kontrolowanie ruchu generowanego przez użytkowników. Zabezpiecza przed przeciążaniem łącza. Na temat architektury i kontroli sesji w Linuxie napisano już tony materiałów. Spotkałem się jednak ostatnio z podobnym problemem dotyczącym komputerów pracujących pod kontrolą Windows. W jaki sposób ograniczyć lub wyłączyć wogóle dostęp do Internetu dla wybranego użytkownika na komputerze z wieloma kontami? Szukałem metody na tyle prostej, że można ją zastosować w biegu bez instalowania i konfigurowania dodatkowego oprogramowania typu kontrola rodzicielska. Okazało się, że istnieje prosty zabieg wyłączający taki dostęp:

1. Dodajemy użytkownika do grupy lokalnej Administratorzy.
2. Logujemy się na jego konto.
3. Wybieramy kolejno „Panel sterowania/Opcje internetowe/Połączenia/Ustawienia sieci LAN”.
4. W sekcji „Serwer proxy” zaznaczamy opcje „Użyj serwera proxy dla sieci…”.
5. Wybieramy „Zaawansowane”
6. W polu opisanym „HTTP:” podajemy dowolny adres np. „10.10.10.1”
7. Zaznaczamy opcje „Użyj tego samego serwera proxy…”
8. Wybieramy 3x „OK”
9. Wylogowywujemy się z konta użytkownika.
10. Usuwamy konto użytkownika z lokalnej grupy „Administratorzy”.

Warto wspomnieć, że użytkownik będzie miał dostęp do lokalnych zasobów sieciowych natomiast skutecznie utrudnimy mu dostęp do Internetu;)

MG

XPUnlimited – czy to jest możliwe?

O tym produkcie chciałem napisać już dawno. Jest bardzo nietypowy bo nielegalny poza granicami UE. Żeby być bardziej precyzyjnym, znosi ograniczenia związane z protokołem RDP wbudowanym w produkty firmy Microsoft. Przypomnę, że bez zakupu serwera terminali dysponujemy dostępem do jednej sesji zadalnej w przypadku stacji roboczych oraz dwóch sesji zdalnych tzw. administracyjnych, w przypadku serwerów. XPUnlimted umożlwia dostęp zdalny bez limitu sesji. Jak twierdzi producent firma IPConsult, ograniczeniem jest tylko wydajność sprzętu, na którym zainstalujemy XPUnlimited. W dobie szumu medialnego związanego z przetwarzaniem w chmurze cloud computing, takie rozwiązanie może wspomóc budowę farmy typu SAAS – Software as a Service.

Typowy prosty scenariusz budowy prywatnej chmury SAAS  z wykorzystaniem XPUnlimited może wyglądać następująco:

• Na wybranych serwerach firmowych instalujemy XPUnlimited – może być ich kilka, bowiem aplikacja potrafi sama balansować obciążeniem
• W ramach utworzonej farmy tworzymy konta użytkowników terminala zdalnego z odpowiednimi uprawnieniami – możemy np. przydzielić zdalny terminal z automatycznie uruchamianą wybraną aplikacją bazodoanową i z ograniczeniem dostępu do pozostałych zasobów
• Korzystając z dostępu przez SSH możemy używać naszej aplikacji z dowolnego miejsca i na dowolnym sprzęcie – jest to możliwe gdyż XPUnlimited posiada wbudowany serwer SSH, zaś aby wykreować szyfrowany tunel można skorzystać np. z bardzo wygodnego klienta Bitvise Tunellier.

Jakie są zalety przedstawionego rozwiązania? Ja widzę trzy najważniejsze:

1. Zapewniamy optymalne środowisko pracy udostępnianej przez terminal aplikacji – wszyscy klienci mają takie samo środowisko i konfigurację
2. Zapewniamy szyfrowany i uwierzytelniony dostęp do zasobów firmy – zatem możemy mówić o sieci VPN
3. Jesteśmy niezależni od systemu operacyjnego czy sprzętu jakiego używa klient, nie musimy ponadto stosować kosztownych bramek VPN

Tak naprawdę wszystko to prowadzi do celu nadrzędnego jakim jest odrobina świętego spokoju dla firmowego działu IT w naszych niepewnych czasach;)

Więcej informacji, w tym opis bogactwa funkcji XPUnlimited znajduje się pod adresem:

http://www.xpunlimited.com/

MG

Kopie zapasowe za pomocą rsync dla Windows

Powszechnie wiadomo, że wykonywanie kopii zapasowych może uratować przed małą zagładą. Sam wielokrotnie się o tym przekonałem więc niezależnie od tego czy opiekuję się komputerem z Windows czy Linuxem zawsze szukam optymalnego rozwiązania dla zabezpieczenia danych.

W przypadku Linuxa sprawa jest prosta a rozwiązania wielokrotnie opisywane. Praktycznie najlepszym znanym mi jest rsync. Działa szybko i niezawodnie. W sieci można znaleźć masę poradników na jego temat. Gorzej jest jeśli chodzi o Windowsy. Po przetestowaniu wielu aplikacji, uwzględniając m.in. problemy z nazwami plików (np. polskie znaki potrafią skutecznie zwiesić najbardziej rozbudowane oprogramowanie) wymyślanymi przez użytkowników, mogę polecić AllwaySync. Jednak nawet ten bardzo dobry program potrafi odmówić posłuszeństwa.

Czy w związku z powyższym istnieje alternatywa? Wydaje się, że całkiem sprawnie działa rsync dla Windows – cwrsync. Jego najważniejsze zalety to:

• darmowa wersja, zarówno klienta jak i serwera
• brak koniecznośći instalacji pełnej wersji środowiska Cygwin
• możliwość synchronizacji danych między Linuxem a Windows

Ostatnia zaleta umożliwa integrację rozwiązań dla tworzenia kopii zapasowych niezależnie od systemu opercyjnego. Krótko mówiąc aby wdrożyć takie rozwiąznie należy:

1. Pobrać oprogramowanie ze strony domowej projektu (polecam wersje serwer, która zawiera również oprogramowanie klienta)
2. Zainstalować w wybranym katalogu
3. Zanim uruchomimy serwer trzeba wyedytować plik konfiguracyjny rsyncd.conf. Przykładową zawartość zamieszczam poniżej:

   use chroot = false
   strict modes = false
   hosts allow = *
   log file = rsyncd.log
   
   [TEST]
   path = /cygdrive/c/TEST
   read only = false
   transfer logging = yes

   Zwracam uwagą na linię zawierającą zmienną „path”. Ponieważ cwrsync korzysta z bibliotek Cygwin, została zachowana konwencja nakazująca rozpoczęcie defincji ścieżki od prefiksu „/cygdrive”. Zmienna „read only” o wartości „false” umożliwa zapis danych do wybranego katalogu.

4. Teraz można uruchomić serwer cwrsync jako usługę systemową startując ją z poziomu panelu zarządzania usługami systemowymi Windows. Ponieważ domyślnie usługa ta uruchamiana jest ręcznie warto zmienić metodę na automatyczną.
5. To wszystko. Teraz wystarczy na komputerze z Linuxem i zainstalowanym pakietem rsync uruchomić np. polecenie:

   rsync -arvzPO --delete /var/archive/ rsync://serwer_cwrsync/TEST/

   aby wykonać dokładną kopię danych z katalogu /var/archive (Linux) do katalogu C:\TEST (Windows)

MaG