Josef Janošec

V poslední době si všímám, že vzrůstá popularita wifi produktů Ubiquiti. A právě majitelům těchto zařízení mohou začít starosti – objevil se virus Skynet. Vše je podrobně vysvětleno v článku na Root.cz, doufám, že provozovatelé nepodlehnou a neodstraní článek a diskuzi stejně, jako tento problém “zprovodili” ze světa na fóru výrobce, i když byli údajně upozornění na nalezenou zranitelnost již před čtrnácti dny, nicméně se rozhodli jít cestou mrtvého brouka.

Předpoklady (zdroj Root.cz):

• Zařízení od Ubiquiti (nanostation, locostation, atd.)
• firmware airosu verze 3.6.1, 4.x a 5.x včetně aktuálních verzí – firmware využívá GNU/Linux
• dalším požadavkem je běh webového rozhraní na portu 80

Rychlá kontrola:

Zkusit zavolat na svém zařízení stránku /admin.cgi. Pokud stránka neexistuje, tak buď nesplňujete výše uvedené předpoklady (zaplaťpánbůh), anebo už tam je virus.

Náprava:

Sestavit si vlastní firmware nebo zabránit spouštění stránky /admin.cgi. A samozřejmě pomůže zabránit neoprávněnému přístupu na konkrétní stránku z neprivilegovaných IP, případně změnit port, na kterém web server sídlí. Postup zablokování na Mikrotiku je popsán zde.

Aktualizace 20.12.2011:

Ubiquiti vydalo nové verze firmware. Údajně se k nim prý varování od autorů působících na root.cz nedostalo, protože jejich e-maily končily ve spamu. No, může to být pravda, ale já bych v tom spíš viděl pěknou výmluvu.

V neděli Microsoft vydal dlouho očekávaný SP2 pro Exchange Server 2010. Důležitý je hlavně pro hostery, kteří si rozbili ústa na rok starém preferovaném instalačním přepínači /hosting, který zavedl SP1. Nyní Microsoft potvrdil to, co si řada malých hosterů myslela již dávno – že to není ten správný směr – a prohlásil, že bude hostery podporovat na instalacích on-premise, pokud tam budou mít SP2, bez /hosting a budou používat řešení, které splní určité požadavky. Tyto požadavky byly vydány v úterý pod názvem Multi-Tenancy and Hosting Guidance for Exchange Server 2010 SP2. Pro hostery tak nyní nastávají krušné časy. Musí se vyrovnat s koncem /hosting režimu, se vzrůstající konkurencí jak ze strany třetích společností, tak od samotného Microsoftu v podobě Office 365. Předpokládám, že všichni, kteří nebyli účastníky TAP programu, nyní usilovně instalují testovací prostředí a identifikují novinky, problémy.

V souvislosti s vlastní instalací SP2 jsem narazil na pár záludností. Nejprve je to ne příliš dobře vysvětlený požadavek na rozšíření AD schématu, pokud chci používat novinky, jež SP2 přináší – hlavně ABP. Takže na AD je potřeba spustit z rozbaleného EXE SP2 instalátoru následující:

setup.exe /PrepareAD

případně, pokud se jedná o Exchange instalaci rozloženou přes vícero domén, přijde vhod příkaz

setup.exe /PrepareAllDomains

Nezbývá než vyčkat na replikaci po všech AD řadičích. Mezitím je možné splnit další novou podmínku pro CAS servery, kterou je povinná instalace IIS6 WMI Compatibility role. Nejsnáze to lze provést pomocí Exchange Management Shellu:

Import-Module ServerManager
Add-WindowsFeature Web-WMI

Není potřeba restartovat, instalace SP2 si přítomnost detekuje a restart bude stejně potřeba na závěr.

Před instalací SP2 doporučuji, obzvláště u těch serverů, jež nemají povolen přístup do Internetu, dočasně vypnout kontrolu revokace certifikátů vydavatele. I tak instalace SP2 strašně trvá a pokud se kontrolují revokační listy, trvá to ještě déle (KB971445). Pod uživatelem, který bude SP2 instalovat, stačí spustit Internet Explorer, ikonka Tools, Internet Options, záložka Advanced a najít “Check for publisher’s certificate revocation”. Pokud je to zaškrtlé, tak odškrtnout a zavřít IE.

Pokud je rozšířené schéma AD zreplikováno na všechny řadiče, je možné přistoupit k vlastní instalaci SP2 – buď přes GUI nebo přes příkazovou řádku.

setup /m:upgrade

U příkazové řádky je možná ještě varianta

setup /m:upgrade /InstallWindowsComponents – v tomto případě se nemusím trápit s chybějícím Web-WMI

Instalaci SP2 je doporučeno provádět v následujícím pořadí serverů: [Edge] – CAS – Hub Transport – [UM] – Mailbox.

V případě, že je někdo takový borec, že používá DAG groups, tak nesmí zapomenout na dočasné zastavení DAG replikací, pozastavení uzlu v clusteru a přesun všech aktivních databází na jiné DAG členy. Nejsnáze toho docílí spuštěním skriptu v .\Program Files\Microsoft\Exchange Server\V14\Scripts\StartDagServerMaintenance.ps1 –ServerName “Nazev_serveru”.

Analogicky po instalaci SP2 na Mailbox serveru je třeba spustit .\Program Files\Microsoft\Exchange Server\V14\Scripts\StopDagServerMaintenance.ps1 –ServerName “Nazev_serveru”. Zde je třeba poznamenat, že tento skript nepřesouvá zpět na znovuzprovozňovaný uzel clusteru žádné aktivní databáze.

V případě, že jste na začátku odškrtávali v IE “Check for publisher’s certificate revocation”, tak je na čase to opět zaškrtnout.

Pokud spravujete SBS2011 non-Essentials, tak vás možná napadne, jak je to s instalací SP2 na Exchange. Kolega si vzpomněl, že u Service Packu pro Exchange 2007 byly u SBS2008 těžké problémy. Informace k SBS2011 jsou bídné. Údajně SP2 podporován je, není ale jasné, zdali se musí nebo nesmí provádět rozšíření AD schématu. Osobně s instalací Exchange 2010 SP2 na SBS2011 vyčkávám.

Aktualizace 12.12.2011:

Na SBS Diva Blog se objevil článek ohledně instalace na SBS2011 – jde to, AD schéma se při instalaci přes GUI dokonce samo rozšíří, nicnémě autor doporučuje zdrženlivost – obecně nespěchat s instalací SP2 na kritické produkční systémy.

Asi ví proč, ozval se mi totiž bývalý kolega, nyní pracující pro jedno celosvětové vydavatelství, který Exchange 2010 SP2 nainstaloval a má těžké problémy s nefunkčností EWS – vypadá to na ASP.NET chybu. Co je horší – není sám. Takže je na místě s instalací SP2 pro Exchange 2010 vydržet, ať si nabijí ústa “early adopters”

Zdroje:

http://blogs.technet.com/b/exchange/archive/2011/05/17/announcing-exchange-2010-service-pack-2.aspx
http://blogs.technet.com/b/exchange/archive/2011/12/05/released-exchange-server-2010-sp2.aspx
http://thoughtsofanidlemind.wordpress.com/2011/12/05/installing-exchange-2010-sp2/
http://exchangeserverpro.com/upgrading-exchange-server-2010-service-pack-2
http://technet.microsoft.com/en-us/library/bb125224.aspx
http://msmvps.com/blogs/bradley/archive/2011/12/06/exchange-2010-sp2.aspx

Zasekl jsem se teď při instalaci nového notebooku na nemožnosti dokončit instalaci Adobe Readeru X a Adobe Flash Playeru přes webové stránky http://get.adobe.com/reader, resp. http://get.adobe.com/flashplayer. Vypadá to, že Adobe něco hapruje s distribucí souborů přes http, protože stáhnu jen ten malý spustitelný soubor, který odklepnu, potvrdím UAC a to je vše – v procesech vidím, že je instalátor spuštěný, ale nic se neděje.

Jelikož to nefunguje ani po několika hodinách a nějak nemám chuť se v tom dále hrabat, vrátil jsem se ke zlatým dřevním dobám Internetu a zjistil, že ani Adobe na ně naštěstí nezapomnělo:

ftp://ftp.adobe.com/pub/adobe/reader/win

Tím si stáhnu komplet instalační balíček a ten již nainstalovat jde.

V českém TechNet blogu se dnes objevil odkaz na velmi zajímavou stránku – seznam nástrojů pro Hyper-V. Před časem jsem si zde uložil rozcestník pro nástroje na konverzi virtuálů, dnes zmiňovaný seznam je neméně důležitý. Obsahuje životně nutné nástroje pro správu Hyper-V clusteru, např. Core Config, nvspbind, nvspcrub, nvspinfo.

Možná bych doplnil ještě dvě utilitky – Far a Putty

Dostal jsem se k materiálu vhodnému při návrhu Hyper-V řešení. Obsahuje spoustu pravidel a doporučení, kterých by se měl člověk při designu řídit, akorát nemá šanci si je pamatovat. Proto alespoň heslovitě.

CPU

• preferovat velikost L2 a L3 cache pamětí před vyšší frekvencí procesoru

RAM

• odvozovat velikost RAM jak podle nároků virtuálů, tak také podle pravidla, které říká, aby každé jádro mělo min. 2GB RAM, doporučeno je pak mít 4GB RAM na jádro
• počítat s min. 1GB rezervou pro OS v “parent” instanci (pokud to není Core edice, ale GUI, tak přidat ještě víc)

chassis a MB

• preferovat provedení s dostatečným množstvím externích PCIe – budou potřeba pro síťové karty

NIC / HBA

• používat 64-bitové ovladače, které podporují DMA větší než 4GB (kde si tohle ověřovat netuším)
• používat single port adaptéry (v praxi dost dobře nemožné kvůli omezení počtu PCIe)
• offload síťovky a iSCSI HBA používat s rozmyslem – konzultovat předem dopady s prodejcem (offload síťovky mohou brzy znamenat úzké hrdlo, které nelze snadno odstranit)
• pro ne-clusterový stroj navrhovat 6-7 fyzických síťovek
• pro clusterový stroj navrhovat 8-9 fyzických síťovek
  1x dedikovaný management fyzického stroje
  2x iSCSI síťovka (žádný teaming!) využívaná výhradně “Parent” instancí Hyper-V
  2x iSCSI síťovka (žádný teaming!) dedikovaná pro iSCSI konektivitu přímo z virtuálních mašin
  2x+ síťovka (možný a doporučený teaming, VLAN atd.) pro aplikační využití serveru (tj. klasický back-end, front-end)
  1x dedikovaná síťovka pro Cluster Heartbeat
  1x dedikovaná síťovka pro Cluster Live Migration (a to již jsem viděl i návrhy, kde se doporučuje nemít 1Gbps, ale raději 10Gbps)
• k výše uvedenému lze přidat ještě další síťovku dedikovanou pro zálohování
• dodatečné přidání síťové karty do Core edice je docela problém
• nesnažit se rozchodit Hyper-V na Marvell síťovkách, používat výhradně Broadcom/Intel

LUN / pole

• oddělit LUNy pro OS, LUNy pro uložení VHD s OS virtuálů, LUNy pro data aplikací virtuálů
• používat vhodný typ RAID
• instalovat MPIO software výrobce HW
• zvolit správný typ disku reprezentovaného virtuálu – může to být VHD, pass-through disk nebo přímo připojený disk, nejčastěji prostřednictvím iSCSI. VHD má limit 2TB, ale výhodu v podpoře Hyper-V VSS Writeru. Pass-through může být větší než 2TB, ale musí se řešit extra podpora VSS, složité nastavení např. v Hyper-V clusteru atd. Přímé připojení iSCSI může být větší než 2TB, ale musí se řešit VSS, třeba pomocí EqualLogic ASM/ME nainstalovaného do virtuálu.
• VHD – vždy volit fixed size disky
• použivat syntetický iSCSI řadič
• pokud je aplikačních dat méně, umístit je přímo do VHD disku
• na LUNech Hyper-V, které bude řízeno VMM, počítat nejen s velikostí vlastního VHD, ale započítat ještě velikost paměti virtuálu a maximální velikost ISO obrazu, který může být k virtuálu namapován ve virtuálním DVD

Hyper-V

• uvnitř virtuálů nainstalovat vždy nejnovější Integration Services (což zpravidla není verze, kterou vám tam nainstaluje VMM)
• volit takové zálohování, které využívá VSS (typicky Microsoft DPM Server), kombinovat s řešením výrobce HW, např. EqualLogic Auto-Snapshot Manager / Microsoft Edition
• pokud to HW umožní, preferovat HW snapshoty proti SW snapshotům – důvod = rychlost zálohy/obnovy. Nutností je samozřejmě dostatečná disková kapacita na poli.
• nezapomenout, že u Hyper-V, které je nutné přenést na jiný HW, je nejprve potřeba provést export virtuální mašiny
• u kritických aplikací replikovat snapshoty do backup lokace (pro účely Disaster recovery)
• u nejkritičtějších aplikací počítat s geo clusterem

A další doporučení

• Hyper-V a AD, KB888794, Running DC in Hyper-V
• na virtuálním AD částečně zakázat synchronizaci času s hostitelem
• nikdy neexportovat virtuál, který je doménovým řadičem
• v Hyper-V serveru, na němž běží virtuální AD, nepoužívat ATA/IDE disky, ale SCSI
• ve virtuálním AD nepoužívat virtuální IDE disk, místo toho použít virtuální SCSI disk
• nepoužívat snapshot na AD, tj. při vypínání Hyper-V se musí virtuální AD korektně kompletně vypnout (Shut down guest OS), tj. nikoliv Save state
• ve virtuálním AD nepoužívat diferenciální disky
• případný restore virtuálního AD provádět výhradně podporovanými zálohovacími nástroji (tj. např. neobnovit bezhlavě snapshot z pole), podporovanou cestou je spustit Windows Server Backup ve virtuálním OS (pak existuje samozřejmě možnost DPM klienta nainstalovaného ve virtuálním OS)
• nepoužívat VHD soubor, jenž pochází z již nainstalovaného doménového řadiče, k vytvoření nového doménového řadiče – vyhneme se tím problému při rollbacku update sequence number (USN)
• spuštění sysprep na doménovém řadiči není podporováno (nikde, tj. ani na fyzickém stroji)

Donedávna jsem problém s časem ve virtuálním AD řešil poměrně jednoduše – vypnul jsem na daném virtuálním stroji možnost synchronizace času s hostitelem. Ono to dokonce bylo i řešení uvedené v technetu (“turn off integration services time synchronization”). Jak se ale ukazuje, tak to není úplně šťastné řešení a též v technetu se objevila formulace “partially disable time synchronization”. Jak je to tedy správně?

1. ve vlastnostech virtuálního stroje ponechat zaškrtnutou volbu “Time synchronization”
2. v běžícím virtuálním AD (ať s PDC rolí či bez ní) spustím následující příkaz
   reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0
3. na AD bez PDC role spustím
   w32tm /config /syncfromflags:DOMHIER /update
4. na AD s PDC rolí (případně na AD s PDC rolí v kořenové doméně lesa, pokud jich máte víc) nastavit externí zdroj času – návod zde Vzhledem k tomu, že virtuální stroje “ztrácejí” pojem o čase častěji než fyzické mašiny, doporučuje se nastavit interval synchronizace na 15 minut.
5. na AD s PDC rolí spustím
   net stop w32time & net start w32time
   w32tm /resync /force

A to by bylo všechno.

Zdroj: Time Synchronization in Hyper-V, Running Domain Controllers in Hyper-V

Pakliže spravujete pomocí GUI (založeného na MMC) produkty typu Exchange 2007, Exchange 2010, DPM, VMM a napadla vás geniální myšlenka, že v rámci pravidelného patchování dáte na počítač, z něhož uvedené produkty spravujete (tedy klidně i z toho samého serveru), novou verzi Internet Exploreru 9, tak jste se možná také potkali s otravnou hláškou “You must close all dialog boxes before you can close…” při pokusu o zavření management konzole.

Dnes vyšel neveřejný hotfix KB2624899, který může být nainstalovaný až poté, co nainstalujete kumulativní IE hotfix z 11. října 2011 (KB2586448). Údajně se plánuje přidání tohoto hotfixu do nějaké budoucí kumulativní aktualizace IE.

Jak získat po telefonu neveřejný MS hotfix jsem si poznamenával zde.

Dobrý přehled nástrojů pro konverzi virtuáních diskových formátů od Ondřeje Výška (toho času Dell) se objevil na Technet blogu. Některé jsem znal a používal, jiné jsou novinkou. Jak bylo uvedeno na konci článku, chtěl jsem se podělit ještě o další nástroj, komentář jsem odeslal, ale kde nic, tu nic, možná čeká na schválení.

Každopádně jsem chtěl dodat do seznamu ještě VirtualBox a jeho VBoxManage clonehd, který umožňuje převod mezi VDI (nativní formát VirtualBoxu), VMDK (VmWare virtualizační nástroje) a VHD (Microsoft VirtualServer, VirtualPC a Hyper-V).

C:\Program Files\Oracle\VirtualBox>vboxmanage clonehd
Usage:

VBoxManage clonehd          <uuid>|<filename> <uuid>|<outputfile>
                            [--format VDI|VMDK|VHD|RAW|<other>]
                            [--variant Standard,Fixed,Split2G,Stream,ESX]
                            [—existing]

A když už jsem v tom vypisování, existuje ještě CloneVDI, nástroj z fóra VirtualBoxu, který umí načíst VDI, VHD, VMDK, Parallels HDD, RAW soubory a fyzické disky (tj. obdoba disk2vhd nebo vCenter Converter), přičemž zapisuje do VDI.

Minulý týden jsem byl konfrontován s vcelku zajímavým problémem – jak na Hyper-V serveru s Core edicí nastavit jednomu uživateli stále platné heslo. Přičemž nebylo možné využít admin tools z počítače s plným GUI rozhraním, protože na server byly otevřené pouze porty pro RDP.

Odpovědí je PowerShell, spuštěný jako admin, a zadání těchto příkazů:

$user = [adsi]"WinNT://./username"
$user.UserFlags.value = $user.UserFlags.value -bor 0x10000
$user.CommitChanges()

Pochválen buď velký Google. Zdroj zde.

Potřeboval jsem zjistit sériové číslo pevného disku notebooku. Nejrychlejší a nejsnazší cestou je patrně WMI.

As we have announced in the Server News, BrainKing is currently under a process of optimization and tuning, in order to improve the overall performance and response time, mostly by rewriting certain functions that cause too much CPU load. There is nothing to worry about - everything is working OK and many players will probably notice no important changes. Anyway, I would like to clarify what exactly has been modified and why:

• Maximum number of games shown in one list has been reduced to 100. The reason is obvious - some people, who are quite reckless in joining more tournaments than they can handle, end up with thousands of started games and it is neither logical nor wise to display all of them at once. 10 years ago, when BrainKing had been launched, we didn't expect that someone would start more than a couple of hundreds games, but since the reality is far too different, time has come to do something about it.
  It means that if a player has more than 100 games to play, only the first 100 would be displayed, along with links to other pages containing the rest.


• Game lists are sorted by time left and it is no longer possible to change the column to sort by. After doing a lot of tests and optimizations, it turned out to be the most effective solution, regarding the site speed and fair user policy. I know that some people will probably miss the feature to sort games by, for instance, opponent names, but a similar result can be easily achieved by using the opponent and game type filter above the game list. The same filter has been added to user profiles where all started games of the particular player can be found.

After implementing the mentioned changes, a couple of small bugs appeared, as usual:

• Move and stay here function does not work and simply redirects to the next game. This is a known issue caused by overlooking one detail in the code.


• Play later feature does not work as expected. Actually, it was never totally bug-free and I planned to rewrite it a long time ago. Right now it is deactivated and its new version will appear soon.


• Some other Move and go to ... functions do nothing at the moment. According to the database, most of them are quite rarely used, so should not do too much harm if they are not active for a while. I want to observe how the implemented changes are performing and will finish the rest in a couple of days.


• Red numbers next to player names at the Friends online column don't appear unless you are viewing the main page (and sometimes not even there). This feature was dependent on another one that has been removed as an ineffective one, so it needs to be redesigned first.


• Number of games shown on the main page option from Settings / General page is ignored. It will be reactivated after removing 200, 500 and all values.

I hope I listed all important things here. If not, please leave a comment.