Вчера в центре загрузок Microsoft стал доступен обновленный справочник по групповым политикам в Windows Server 2012 и Windows 8. В нем было добавлено 175 новых административных настроек (27 для пользователей и 138 для компьютеров) и 4 настройки безопасности, введенных специально для Windows Server 2012 и Windows 8.
Читать полностью »
Данные правила, как говорится, «написаны кровью». Возможно, кому-то они помогут сохранить немного (много) жизни и нервов.
Обязательны при проведении работ с физическим сервером, если есть хоть малейшая вероятность того, что он потеряет сетевую доступность (изменение настроек сети, параметров ядра, сетевых сервисов, перезагрузка после года непрерывной работы и т.д.)
(больше желтизны! Ужасная смерть IPv4! Шок! Видео! Скачать без СМС)
Если же серьёзно, то, о чём так долго пугала общественность RIPE NCC (а общественность не воспринимала в серьёз), случилось.
Началась фаза «last /8». У RIPE NCC осталась последняя нераспределённая /8 сеть (16 миллионов адресов).
В чём состоит эта фаза? Каждому LIR (локальному регистратору) будет выдано по /22 (1024) адреса. И всё. Совсем всё. Подробнее тут: www.ripe.net/internet-coordination/ipv4-exhaustion. А PI-адреса (провайдеро-независимые) больше не выдаются. Уже сейчас.
Останутся только резервы самих LIR'ов (понятно, что последние месяцы все хомячили как не в себя, но надолго ли этого хватит?).
Это означает, что в ближайшее время новых IPv4 адресов не будет. Рой не сможет рости дальше. Старые адреса будут работать как работали, а вот новые…
Номер этой сети — 185.0.0.0/8. Так что если увидите IP'шник на 185 — знайте, это проедается последнее.
Думаю никому из нынешних сетевиков не нужно объяснять, что такое MRTG. Этот софт можно встретить практически в любой средней компании, имеющей собственные каналы в Интернет, а всякого рода провайдеры вообще не обходятся без пары-тройки дежурных инженеров, постоянно смотрящих на множество графиков, и поднимающих тревогу в случае отклонения каких-либо показателей.
Для дорогих коллег, работающих в сфере IT, но не знакомых с суровыми буднями сетевиков, поясню. MRTG – Open Source пакет, устанавливаемый на Windows, чаще на Linux-машины, который ходит по вашим коммутаторам/маршрутизаторам/серверам протоколом SNMP, снимает нужную вам информацию (чаще всего – загрузку сетевых интерфейсов), и строит приятные глазу графики из собранной информации. Вот такие:
(Пример графика с официальной странички MRTG http://oss.oetiker.ch/mrtg/)
MRTG весьма полезен, но он сухо рисует свои графики, не анализируя саму информацию, т.е. в случае спада какого-либо важного трафика, он просто будет рисовать свой график, не крича на весь сетевой отдел «Эй! Интернет пропал! Паника! Паника!». Продуктов, которые это умеют, уже написано огромное количество, но многие компании продолжают использовать старый добрый MRTG. Толи потому что лень переносить конфиги, откатанные годами, толи из-за простоты.
Не редко случаются ситуации, когда инженер не замечает вовремя отклонения в графике. У дежурных инженеров, взявших на себя грешок уснуть во время ночного дежурства, это может вызывать особенно неприятные последствия.
Читать полностью »
SMB Multichannel – одна из возможностей протокола SMB 3.0, призванная повысить производительность и отказоустойчивость на уровне сетевого соединения при работе с файловыми серверами. Для использования этой возможности SMB-клиент и SMB-сервер должны поддерживать SMB 3.0, который, в свою очередь, реализован в Windows Server 2012 и Windows 8.Читать полностью »
Данное решение позволяет вычислять любых ботов, за исключением тех, которые полностью имитируют работу браузера.
Бот запрашивает страницу, например habrahabr.ru/search/. Бот не умеет загружать вместе со страницей картинки, скрипты, css и пр. Значит в логе будет отображен запрос к /search/ и всё.
Если на habrahabr.ru/search/ заходит живой человек через браузер, то вместе с /search/ в лог попадет множество картинок, скриптов, css и пр.
Читать полностью »
Всё описанное ниже нельзя рассматривать как руководство к действию и рекламу продукции описанной ниже фирмы. Это лишь результаты тестирования проведённые в один из дней когда нам понадобился очередной сервер в очередном датацентре. Основным критерием при выборе сервера была стрессоустойчивость при SYN/UDP атаках.
Читать полностью »
Дисковая подсистема зачастую является узким местом в производительности серверов, заставляя компании вкладывать значительные средства в быстрые диски и специализированные решения. В настоящее время всё больше набирают популярность твердотельные SSD-накопители, но они всё ещё слишком дороги по сравнению с традиционными жёсткими дисками. Тем не менее, существуют технологии, разработанные для того, чтобы сочетать скорость SSD с объёмом HDD. Это технологии кэширования, когда объём дискового кэша на SSD составляет гигабайты, а не мегабайты кэша HDD или контроллера.
Одна из таких технологий — flashcache, разработанная в Facebook для использования со своими базами данных, и которая теперь распространяется с открытым исходным кодом. Я уже давно присматривался к ней. Наконец, подвернулась возможность протестировать её, когда я решил поставить в домашний компьютер SSD-накопитель в качестве системного диска.
И, прежде чем ставить SSD в домашний комп, я подключил его к серверу, который как раз оказался свободным для тестирования. Далее я опишу процесс установки flashcache на ОС CentOS 6.3 и приведу результаты некоторых тестов.
Читать полностью »
Beta-версия System Center 2012 SP1 стала доступной для загрузки. Beta включает обновления для всех компонентов System Center и с точки зрения функционала представляет собой почти законченный релиз (feature complete). Лишь очень небольшой набор дополнительных функциональных возможностей появится позднее.Читать полностью »
Представьте себе ситуацию, Вы руководите IT-службой крупной компании, у Вас несколько доменов и несколько тысяч пользователей в Active Directory. В подчинении у Вас как минимум несколько системных администраторов, каждый из которых выполняет свои обязанности. Неожиданно сотрудники в одном из подразделений жалуются на то, что они никак не могут придумать себе новые пароли после истечения срока действия старых – система не принимает заново создаваемые пароли. После быстрого просмотра политики паролей соответсвующего подразделения Вы понимаете, что длина и сложность пароля были изменены. Чтобы узнать, что стало причиной, Вы обращаетесь к журналам событий и понимаете, что информации о том, когда и кем была изменена политика паролей, нет – журналы уже перезаписались. Кто изменил политику – останется тайной.
А вот еще один пример: администратор вдруг обнаруживает, что один из пользователей может ставить без каких-либо проблем ПО на свою машину. И это при том, что в групповой политике для OU, в которой состоит пользователь, такая установка была запрещена. Опять-таки информацию о том, кто и когда разрешил такую установку необходимо искать в журналах событий, продираясь сквозь “шум” неинформативных данных.
Все это приводит к однозначному выводу IT-служба компании должна уделять внимание происходящим в групповых политиках изменениях. Делать это необходимо, чтобы не допустить как образования дыр в системе информационной безопасности (“какой там софт поставит нерадивый пользователь?”), так и обеспечения непрерывности деятельности (когда 200 человек одновременно не могут зайти на свои машины, так как не в состоянии придумать подходящий пароль).
Только на практике выходит так, что контроль над изменениями групповых политик редко кто практикует. И лишь при возникновении проблемы или обнаружении подозрительной активности начинается поиск источника проблемы путем анализа журналов событий и опроса коллег.
Читать полностью »
