VMworld 2010 – Walka światów

Porcja aktualności z VMworld. Jak donosi heise-online.pl jest goroąco – wybuchła mała wojna miedzy Microsoft a Vmware. Postaram się streścić poniżej, a po szczegóły zapraszam na heise-online.pl.

Wszystko zaczęło się od zaprezentowania przez VMware nowej platformy chmurowej vFabric. Jest to połączenie hypervisora oraz napisanego w Javie frameworka Spring, który jest oparty na Tomkacie i serwerze aplikacyjnym tc Server, usłudze komunikatorowej RabbitMQ oraz oprogramowaniu monitorującym Hyperic. VMware zapewnił że aplikacje stworzone na platformie vFabric będą kompatybilne z różnymi środowiskami przetwarzania w chmurze.

Od tego czasu Microsoft korzysta z każdej sytuacji aby przysrać VMware. Ostatni trick to zamieszczenie całostronicowej reklamy w USA Today  rzucającą wyzwanie VMware. Microsoft krzyczy przez wszystkie media – “Jesteśmy lepsi i tańsi niż VMware. Jesteśmy największym na świecie dostawcą usług chmurowych”. Microsoft w walce o rynek chmur i wirtualizacji próbuje zastosować taktykę taką jak niegdyś zastosował w wojnie przeglądarkowej z Netscape… Microsoft zapomniał tylko ze głównym taktykiem tamtej wojny był Paul Maritz, aktualny szef VMware. Zobaczymy, robi się ciekawie. Na tej konfrontacji na pewno nic nie stracimy, wręcz przeciwnie, zacznie się wyścig zbrojeń. Nowe funkcjonalności, promocje, imprezy, a wszystko dla nas – konsumentów

Dziś natomiast VMware dolał znowu oliwy do ognia. Oświadczył bowiem, że do każdej licencji vSphere dorzucą gratis subskrybcję na SUSE Linux Enterprise Server. Szatańsko, drżę z ciekawości co teraz zrobi MS.

Artykuł na podstawie:

• http://www.heise-online.pl/newsticker/news/item/Platforma-chmurowa-VMware-a-1070389.html
• http://www.heise-online.pl/newsticker/news/item/VMwar-pomiedzy-Microsoftem-i-VMware-em-1071334.html
• http://www.heise-online.pl/newsticker/news/item/VMware-daje-w-prezencie-SUSE-Linuksa-1071556.html

Brak komentarzy »

Forefront Client Security. Szatan zstąpił.

Forefront Client Security jest centralnie zarządzanym antywirusem dla stacji roboczych od naszej ulubionej firmy – Microsoftu. Aktualnie dostępna jest jedna wersja stabilna, została ona wydana w 2007 roku i jest przeznaczona na platformy 32 bitowe. Instalacja tego potworka… jakby to ująć… hymmm… przypomina sen o Angelinie Jolie (nie tej z „Salt”, bardziej tej z „Hakerów”) – Wieczór, zachód słońca wlewa się przez delikatnie poruszające się firanki. W rogu ogromnego salonu, z vinyla ćmi się „All along the watchtower” Hendrixa. Idziesz niepewnie po miękkim dywanie wielkim ja lotnisko. Za plecami słyszysz kroki, postać znika w korytarzu. Biegniesz w jej stronę, wchodzisz do ciemnego pokoju. Na łóżku leży Ona. Bogini. Mimo iż dzieli was kilka metrów, możesz przyrzec że czujesz ciepło jej skóry, jej miękkość. Przesuwasz łapczywie wzrokiem wzdłuż linii jej ciała. Pożerasz centymetr po centymetrze… odwraca się, w kącikach ust pojawia się delikatny uśmiech. Zaprasza cię. I nagle wszystko pęka jak lustro, a ty wpadasz w wielki gotujący się kocioł gówna. Taka właśnie jest instalacja ForeFront. Już myślisz że wszystko masz, a to tylko złuda, przed Tobą jeszcze morze gówna do przepłynięcia.

Dobra dość tych epickich porównań. Wybór Forefronta jako głównego programu antywirusowego może być tylko i wyłącznie podyktowany tym, że firma będąc partnerem MS dostaje go za darmo. Żaden inny powód nie przychodzi mi do głowy, bo po prostu go niema. Ten soft to placebo antywirusowe, ale za darmo, to trzeba brać

Tak więc żeby zainstalować Forefronta tak jak się chce, czyli nie tak jak jest w poradnikach MS. Trzeba się nieźle napocić i przede wszystkim mieć bardzo dużo czasu. Zastanawiacie się pewnie skąd te buntownicze zapędy, dlaczego nie zainstalować go zgodnie z instrukcją. Odpowiedz jest dosyć prosta – moja maszyna do podróży w czasie ma uszkodzony tłumik i strasznie hałasuje. A bez cofnięcia się do 2003 roku nie jestem w stanie sobie przypomnieć gdzie posiałem płytki z instalkami Windows Server 2K3. Dodatkowo mam już WSUS’a w swojej infrastrukturze i niecche drugiego tylko dla wygody Forefronta.

Dodatkowo FF ma taki motyw że nie działa na środowiskach 64bit, nie działa z SQL Server’em innym niż 2005 i… albo to w trakcie, bo takich smaczków jest dosyć sporo.

Krok pierwszy jest dosyć trywialny. Instalujemy bowiem system operacyjny. Maszyna musi mieć 2GB ram i około 40GB powierzchni dyskowej. Wypadałoby aby miała ona również 2 procki. Jako system wybrałem Windows Server 2008 Standard x86. Najważniejszy w nim jest przyrostek x86, pamiętajmy, że na 64bit nie da się tego syfu odpalić. Dodajemy serwer do domeny, ponieważ wszystkie usługi FF, oraz SQL uruchamiać będziemy na poświadczeniach domenowych. Po instalacji robimy snapshota. Przy instalacji FF warto robić migawki po każdym ważnym kroku, bo instalacja jednego elementu trwa zdecydowanie krócej niż stawianie serwera, i instalowanie wszystkich bajerów od początku.  Mój Spapshot Manager wyglądał pod koniec konfiguracji tak:

Następnym krokiem jest uruchomienie na serwerze IIS7, oraz zainstalowanie konsoli GPO. Sprawa wydaje się trywialna, aby zainstalować IIS7, wchodzimy do Server Manager -> Roles -> Add Roles , z listy wybieramy Web Server (IIS). W wyborze ficzerów serwera zaznaczamy wszystko! Dosłownie wszystko, ASP, Autentykacje, zgodność z IIS6 itd. Wszystko. Inaczej FF na 2008 nam nie zadziała. Po zakończeniu instalacji udajemy się do Server Manager -> Features -> Add Features i wybieramy Group Policy Managment. Po pomyślnej instalacji robimy snapshota  i przechodzimy dalej.

Rozpoczynamy instalacje SQL Server 2005 Standard. Moduły które mają się znaleźć za serwerze to: Analysis services, Reporting services, Notification Services, Integration services, czyli w zasadzie wszystkie. Dodatkowo ustawiamy aby wszystkie usługi uruchamiały się na tym samym koncie domenowym. Podczas konfiguracji program zapyta nas o sposób autentykacji – czy ma to być Windows Mode, czy Mixed. Wybór generalnie należy do was. Jakby coś dalej nie grało to ja w tym kroku wybrałem Windows Mode, ze względu że jest to rzekomo bezpieczniejsza opcja. Po instalacji robimy snapshota i idziemy dalej.

Kolejnym krokiem jest instalacja SP2 do SQL Server 2005. Po restarcie robimy snapshota.

Krok ten zabrał mi parę cennych godzin mojego życia. Aby podczas instalacji Forefornta nie wyskoczył nam następujący błąd: „Forefront Install Collection Server Component  Status: Error  Description:   Installs the components for the collection server. 2008” należy zainstalować ASP.NET 1.1, bo drodzy państow 2008 go nie ma na pokładzie. Taaa… pewnie wszyscy wzruszyliście teraz ramionami i pomyśleliście że to oczywiste. To tak oczywiste jak diagnoza dr. Housa jak już ją nam wyjaśni. Wiec nie panoszyć mi się tu i zabieramy się za instalację. Potrzebne nam będą następujące pliki:

• .NET Framework Version 1.1 Redistributable Package
• .NET Framework Version 1.1 Service Pack 1
• ASP.NET Security Update for .NET Framework 1.1 SP1

Przenosimy je na serwer i zaczynamy po kolei instalować. Może nam się wyłożyć w miedzy czasie IIS ale olewamy to i instalujemy SP1 do .neta który powinien wszystko naprawić. Po pomyślnej instalacji wywołujemy komendę:

%windir%\Microsoft.NET\Framework\v1.1.4322\aspnet_regiis –enable

Sprawia ona że dodajemy do IIS’a rozszerzenie ISAPI. Możemy to również zrobić, przez konsolę. Udajemy się do IIS Manager -> ISAPI and CGI Restrictions -> Add i dodajemy ścieżkę C:\Windows\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll. Robimy snapshot idziemy instalować nareszcie ForeFronta.

Gdy już przeczytamy i zgodzimy się z licencją produktu instalator zaczyna nam zadawać szereg niewygodnych pytań. Pierwszym ekran wygląda tak:

Mamy tu do wyboru role które ma spełniać nasz serwer FF. Jak już wspomniałem WSUS’a już mamy w infrastrukturze, tak wiec rezygnujemy z opcji Distribution Server. Resztę zaznaczamy i przechodzimy dalej,

Podczas tego kroku najważniejsze jest ustawienie nazwy użytkownika domenowego, który ma być odpowiedzialny za uruchamianie naszego ForeFronta. NEXT!

Kolejny krok to ustawianie bazy danych – jedyne co tu zmieniamy to rozmair bazy z 15 na 10, no chyba że macie 3000 komputerów. A jak około 2000 to 10GB powinno wystarczyć NEXT!

W ustawieniach serwera raportów zmieniamy wielkość bazy z 1GB do 5GB. Bo jak wiadomo w dzisiejszych czasach robactwa jest dużo i zapewne dużo będzie tego w raportach.

Walimy do końca NEXT, i po sprawdzeniu przez FF czy nasz system się nadaje klikamy upragnione Install. Robota skończona, warto jednak wstrzymać się z świętowaniem i zrobić snapshota, zaktualizować system, i rozpocząć wstaną konfigurację. Nie martwcie się polega ona nawpisywaniu tego samego co podczas instalacji i czekaniu.

Generalnie nie podoba mi się strasznie te Forefront. Podczas jego instalacji przypomniały mi się najmroczniejsze czasy zeszłego tysiąclecia, gdy używałem Slackware, nosiłem długie hery i słuchałem DIO. Mroczność objawiała się tym, ze jak chciałem zainstalować, co ja mówię (fu!) skompilować, MC to spędzałem cztery doby na ściganiu bibliotek po systemie, podnoszeniu wersji GCC i tym podobnych cudach. Tydzień mijał a ja w blasku chwały i zsymlinkowaniu całego świata mogłem, jak 10 lat wcześniej użytkownicy Dos, mieć ładnie poukładane pliki w dwóch „okienkach”. Czy tracenie tygodni na takie gówna było sensowne? Teraz uważam, że nie, wtedy to była dobra zabawa, bo poza tym co? Słuchałem DIO i miałem długie włosy, wiec ani z nikim o muzie nie mogłem pogadać, a tym bardziej wyrwać jakiejś czystej dupy Wracając jednak do meritum, z każdym moim krokiem w osławiony marketingowym szajsem świat oprogramowania MS mam przerażające wrażenie że się cofam do tych mrocznych lat. Cztery dni szukałem rozwiązania jak zainstalować ForeFronta dostosowując go do swoich wymagań. Spędziłem je na żonglowaniu frameworkami, wersjami systemów operacyjnych, SQL’i, mordowaniu się z kontami domenowymi, WSUS’em itd. Generalnie pływanie w morzu gówna. A Angelina była tak młoda i taka piękna i w śnie leżała tuż obok.

Artykuły które były coś warte w necie na ten temat:

• http://blogs.iis.net/bills/archive/2008/06/02/installing-asp-net-1-1-with-iis7-on-vista-and-windows-2008.aspx
• http://wss.pl/Articles/11464.aspx

Brak komentarzy »

Głuchy telefon czyli Exchange 2010, Exim oraz Massage-ID

Są trzy typy poradników na temat Exchange 2010 które można znaleźć w sieci. Pierwszy z nich, to  gruba marketingowa ściema okraszona jakimś podłej jakości komentarzem technicznym. Nic konkretnego, jedynie roztaczanie narkotycznych wizji o możliwościach Exchange. Kolejny typ to posty na forach z opisami wyuzdanych problemów typu „Mam 75 instancji Exchange i powiadam Wam nie wiem czemu na jednym OWA mam menu w kolorze jasno żółtym a w innym ciemno żółtym”. Następnie wypowiada się jakiś milion onanistów, którzy przez połowę dyskusji rozmawiają o gramatyce wypowiedzi a na końcu mówią dla gostka żeby poszukał na Google. Trzeci typ jest najbardziej denerwujący. Dotyczy on bowiem problemu z którym się próbujemy uporać, lecz niestety znaleziony opis rozwiązania jest oparty na prehistorycznej wersji Exchange od której Microsoft zdążył wszystko przebudować. Najbardziej ironiczne jest to że zawsze w odświeżonym produkcie MS nigdy niema tego pola które najbardziej ułatwiało  nam pracę… Specjaliści wymyślą za to jakąś nową konsolę w której trzeba wpisać półkilometrowe wyrażenie aby osiągnąć jakiś prymitywny cel.  Myślałem że czasy ortodoksyjnego Unixa mijają bezpowrotnie, tymczasem Microsoft który poniekąd rozpropagował idee GUI zaczyna się uwsteczniać. Dosyć jednak tych gorzkich dygresji, czas wrócić do meritum… Otóż jako reformator, człowiek renesansu, buntownik znany z niesamowitej charyzmy, odwagi i światłości umysłu (nadaje się na profil postaci do gry RPG ) powiadam wam że dziś się to zmieni. Miałem sen, sen w którym napisałem małą poradę na temat Exchange 2010 a wszyscy po jej przeczytaniu stwierdzili że jest to coś co zmieniło ich życie.

Po pierwsze, jak już wcześniej pisałem, wystawianie Exchange na świat to jak postrzelenie się w nogę, przez łeb, serce i dupę. Tak wiec sytuacja jest następująca – nasz serwer Exchange jak bozia przykazała stoi sobie w DMZ a my przez małą szparę w drzwiach podajemy mu maile. Sytuacja jest klarowana, wszystko działa, jest bajka. Pytanie tylko, jak to działa? Maile dostaje przez szparę, ale jak je wysyła? Otóż to zależy od ustawień naszego serwera. Przyjmijmy że dobrze by było aby nasz nieporadny Exchange odbierał i wysyłał pocztę przez ten sam serwer. Oczywiście zaraz odezwą się głosy że no tak ale ten sam może się nie obrobić z wysyłaniem i odbieraniem, że jak ma się duże środowisko to bla, bla, bla. Tak macie rację, ale my tu piszemy o małym środowisku gdzie wszystko jest proste i może nie działać miesiącami

Dobra dość gadania, zaczynamy… Ustawienia wysyłania od wersji 2010 jest w nieco innym miejscu niż w wersjach poprzednich. Aby tam dotrzeć uruchamiamy Exchange Management Console (EMC) i udajemy się do Organization Configuration -> Hub Trasport i tam do zakładki Send Connectors. Tu znajdują się nasze reguły co jak ma działać – gdzie się wysłać, jaką drogą ma lecieć. Tak wiec klikamy na guziol New Send Connector.

Pojawiło się nam okienko… wpisujemy tu nazwę naszego konektora. Za namowami MS postanowiłem wybrać najbardziej przyjazną nazwę, wybrałem „Cały lamerski ruch nic nieznaczących użytkowników.”, tak żeby od razu wiedzieć z czym mam do czynienia. Następnie wybrałem opcję Internet z menu poniżej i Next.

W kolejnym kroku kliknąłem Add, i wpisałem w polu Address wartość „*” co ma oznaczać, że wszystko ma iść za pomocą tego konektora. Dodatkowo zaznaczyłem opcję Include All Subdomains… i OK, NEXT!

Krok ten jest najbardziej dla nas interesujący. Ustawiamy tu adres serwera  który ma przekazywać pocztę na świat. Tak wiec na początku przestawiamy na opcję Route mail through the fallowing smart hosts:, klikamy Add i polu adres IP wpisujemy odpowiednie dla naszej sieci wartości.  OK, NEXT.

Karta ta pozwala nam skonfigurować sposób w który serwer Exchange ma się autentykować  z serwerem przekazującym. Nie ma tu dla nas zbyt wiele do ustawiania, gdyż mamy zamiar połączyć Exchange z Eximem… tak więc ustawiamy None.

To już w zasadzie koniec ustawień dla naszego konektora. Resztę zostawiamy domyślnie i kończymy kreatora. Po pomyślnym stworzeniu, aby wszystko zadziałało należy zrestartować jedną z usług Exchange – Microsoft Exchange Transport.

Czas przejść do konfiguracji Exima. Warto by było tu zaznaczyć, że równie dobrze może to być każdy inny linuxowy serwer pocztowy. Jednak ja akurat mam do dyspozycji Exima, wiec będzie na Eximie. Zakładam, że jest on już wstępnie skonfigurowany – nie sypie fatalami i przekazuje maile przychodzące do Exchange itp. Dodatkowo wypadałby, aby był on zainstalowany z paczki a nie jakoś finezyjnie kompilowany. Jeżeli środowisko jest choć trochę podobne do opisanego to zaczynamy. Po pierwsze logujemy się na serwer brzegowy który ma być naszym przekazywaczem i udajemy się do pliku /etc/exim/exim.conf gdzie odnajdujemy linie i dopisujemy nasz serwer Exchange:

host list    relay_from_hosts = 127.0.0.1 : 192.168.1.10/32

Zapisujemy i restartujemy Exima. Powinno wszystko działać… ale! Właśnie nad tym ale spędziłem najwięcej czasu. Ale jest takie, że maile wychodzące z naszego serwera są nieeleganckie, maja źle skrojony garnitur i w ogóle są be… Dobrze już uchylam rąbka tajemnicy. Nasz wewnętrzny serwer nazywa się, przyjmijmy SSIJPAUE.local a serwer zewnętrzny natomiast mail. cmentarnapolka.pl. Wypadałoby aby SSIJPAUE nie cieszył swoją nazwą innych poza nami… jednak przy powyższej konfiguracji mail dochodzący do serwera naszego odbiorcy w nagłówku i logach odkrywa tajemnicę:

Aug 19 09:22:51 serwer amavis[24330]: (24330-15) Passed CLEAN, [666.666.666.666] [666.666.666.666] <panizocha@cmentarnapolka.pl > -> <nudnyodbiorca@szatan.pl>, Message-ID: <C337717429266D4D886E6C851A3C340ABF403F@SSIJPAUE.local>, mail_id: MYK9dSNnvVu3, Hits: 0.026, queued_as: 23D0F911F949, 16914 ms

Jak ukryć nasze co by tu nie mówić mało wyrafinowane poczucie humoru? Jest na to tajemny sposób. Udajmy się do konfiguracji Exima. Tworzymy plik /etc/exim/filter.conf i wklejamy tam

if not first_delivery then
finish
endif

if error_message then
finish
endif

if “${if def:h_Message-Id {yes}}” is yes and
$h_Message-Id matches “@.* SSIJPAUE.local.*” then
headers remove Message-Id
headers add “Message-Id: <${message_id}@ mail. cmentarnapolka.pl>”
endif

Wydaje mi się, że w miarę oczywiste jest co mamy zmienić w tym pliku aby przystosować to do własnych potrzeb. Jednak jeżeli ktoś jest na tyle ułomy to należy wymienić SSIJPAUE.local na nazwę swojego serwera Exchange, natomiast mail. cmentarnapolka.pl na co tam chcemy. Następnie w pliku /etc/exim/exim.conf gdzieś na początku (przed pierwszym begin) dodajemy następującą komendę:

system_filter = /etc/exim/filter.conf

Dodatkowo szukamy linii:

headers_remove = Received : Message-ID

i zmieniamy ją na:

headers_remove = Received

Wszystko zapisujemy i restartujemy Exima. Wysyłamy maila a tam w logach/nagłówku ku naszej uciesze pojawia się:

Aug 19 10:20:51 serwer amavis[24331]: (24331-15) Passed CLEAN, [666.666.666.666] [666.666.666.666] <panizocha@cmentarnapolka.pl > -> <nudnyodbiorca@szatan.pl>, Message-ID: < 1OlzhD-0002cF-IF@mail. cmentarnapolka.pl >, mail_id: Cw3b2G4weVQq, Hits: 0.026, queued_as: Cw3b2G4weVQq, 16914 ms

Koniec. Zapraszam do rozważań w komentarzach.

Brak komentarzy »

Apache2 jako proxy dla OWA

Dlaczego nikt o zdrowych zmysłach nie wystawia serwerów opartych na produktach Microsoftu na świat? Bo są one jak burdele w krajach trzeciego świata – otwarte dla każdego, dużo w nich robactwa i niepołatanych dziur w dachu. Tak wiec wyobraźmy sobie, że jesteśmy PIMP’ami w taki przybytku, to co robimy? Jak w starych westernach stawiamy ładną fasadę dla naszego burdeliku.

Ten artykuł będzie akurat o konfiguracji Proxy dla OWA (Outlook Web App). Będziemy to robić za pomocą serwera z jakimś Linusem. Może być Ubuntu, Red hat, cokolwiek, aby dało się na tym Apache2 zainstalować. Tak więc podczas wstępnej konfiguracji uruchamiamy mod_proxy i tworzymy sobie plik wirtualnego hosta naszego serwera zewnętrznego. Przyjmijmy że nasz serwer zewnętrzny nazywa się „mail.cmentarnapolka.pl”, a wewnętrzny Exchange ma IP – 10.1.1.100. Do pliku który stworzyliśmy wklejamy:

# Poniżej ładujemy moduły SSL’a i ustawiamy go.
LoadModule ssl_module modules/mod_ssl.so
Listen 443

AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
SSLPassPhraseDialog  builtin
SSLMutex default

SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin

<VirtualHost mail.cmentarnapolka.pl:80>
ServerName mail.cmentarnapolka.pl

ProxyPreserveHost On
RewriteEngine on

# Przekierowanie ruchu nie SSL do SSL

RewriteRule ^/(.*)$         https://mail.cmentarnapolka.pl /$1 [L,R]
</VirtualHost>

<VirtualHost mail.cmentarnapolka.pl:443>

ServerName mail.cmentarnapolka.pl:443

ErrorLog logs/mail.cmentarnapolka.pl -ssl_error_log
TransferLog logs/mail.cmentarnapolka.pl -ssl_access_log
LogLevel warn

# Odpalamy nasze proxy

RequestHeader set Front-End-Https On
ProxyRequests On
ProxyPreserveHost On
SSLProxyEngine On
ProxyVia full
CacheDisable *

ProxyPass /owa https://10.1.1.100/owa/
ProxyPassReverse /owa https://10.1.1.100/owa/
ProxyPass /ecp https:// 10.1.1.100/ecp/
ProxyPassReverse /ecp https:// 10.1.1.100/ecp/

SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
SSLCertificateFile /etc/pki/tls/certs/mail.cmentarnapolka.pl.crt
SSLCertificateKeyFile /etc/pki/tls/certs/mail.cmentarnapolka.pl.key.insecure

# Te regułki poniżej przydają się gdy np. wpiszemy błędne hasło. Jak ich niema
# to Exchange coś zwraca a nie dochodzi to do naszego serwera. Te czary poniżej
# sprawiają że wszystko działa. Jak ich nie wpiszecie będziecie mieli błąd:
# The custom error module does not recognize this error.

RewriteEngine on
RewriteRule ^/$             https://mail.cmentarnapolka.pl /owa/ [R]
RewriteRule ^/(.*)          https://10.1.1.100/$1 [P]

<Files ~ “\.(cgi|shtml|phtml|php3?)$”>
SSLOptions +StdEnvVars
</Files>
<Directory “/var/www/cgi-bin”>
SSLOptions +StdEnvVars
</Directory>

# Tutaj mamy kolejne dosyć ważne zaklęcia które sprawiają, że nasze Proxy
# przekazuje wszystko tak jak chcemy, one są również ważne. Jak ich nie wpiszecie
# będziecie mieli błąd 502 (Bad Gateway)

SetEnvIf User-Agent “.*MSIE.*” \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
SetEnv force-proxy-request-1.0 1
SetEnv proxy-nokeepalive 1

CustomLog logs/ssl_request_log \
“%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \”%r\” %b”

</VirtualHost>

Oczywiście jest to config używający SSL. Zresztą tylko świry nie korzystają z SSL do poczty. Jednak jakbyś się drogi czytelniku poczuł urażony, bo uważasz że SSL jest dla paranoików to mam dla Ciebie cudowną informację – można to dostosować do braku SSL, ale to już zrobisz sobie sam

W komentarzach są krótkie opisy co do czego. Ale generalnie chodzi i jak przeładujecie serwer powinno wszystko śmigać, a wy powinniście czuć się jak prawdziwi administratorzy.

Brak komentarzy »

Materiały Microsoftu na temat wirtualizacji

Firma Microsoft jak powszechnie wiadomo chce wcisnąć każdemu jakąś swoją technologię… czy potrzebujesz jej czy nie, nieważne, będzie Pan zadowolony Tak wiec trzymając się swojej polityki opublikowano ostatnio trochę darmowych materiałów dotyczących Hyper-V. Dostaliśmy do dyspozycji książkę “Understanding Microsoft Virtualization Solutions” która to pomoże nam zrozumieć zawiłości produktów związanych z wirtualizacją począwszy od Microsoft od Virtual PC a skończywszy na Hyper-V.

Microsoft również stworzył cztery bezpłatne kursy tworzące kolekcje – “Collection 6333: Exploring Microsoft Virtualization Technologies“, Omówiono w niej produkty: System Center Virtual Machine Manager 2008, Microsoft Application Virtualization, Terminal Services oraz Hyper-V.

Dodatkowa informacja która pozwoli wam zaoszczędzić pare stówek… Aby zupełnie za darmo skorzystać z kursu “Collection 6319: Configuring Hyper-V in Windows Server 2008” przygotowującego do egzaminu 70-652 należy użyć kod 9350-Y2W6-3676. Dzięki niemu zaoszczędzimy 159,99$

Jeśli zdecydujecie się zdać powyższy egzamin to użycie kodu USHYPERV obniży jego cenę o 25%.

Źródło: WSS.pl

Brak komentarzy »

Vasto tak brzmi imię oprawcy…

Czas urlopów się niestety skoczył. Zjeździłem mazury wzdłuż i wszerz, przeszedłem Starcrafta 2, objadłem się do nieprzytomności i pora wrócić do pracy, jak i również do pisania. Tak wiec jestem i donoszę szybko o fajnym narzędziu, a dokładnie rzecz ujmując dodatku do Metasploita o nazwie Vasto.

Narzędzie to jest oficjalnie stworzone do audytowania i testowania środowiska wirtualnego, a nie oficjalnie może nim ostro zamęczyć źle zabezpieczone vSphere naszych kolegów . Oczywiście skupimy się na nudnych audytach, a te najprzyjemniejsze motywy jakimi są złośliwości zostawimy… taaa, jasne

Tak wiec aby podpalić jakąś infrastrukturę… oj przepraszam, prze audytować, dostajemy do dyspozycji następujące moduły:

• vmware_version – za pomocą tego modułu możemy sprawdzić czy na maszynie obecne jest środowisko wirtualne. Używane do tego celu są standardowe moduły Metasploita takie jak skanowanie IP w celu ustalenia wersji oprogramowania do wirtualizacji. Moduł mało ciekawy, ale wiele nam mówiący.
• vmware_webaccess_portscan – skanowanie portów modułu WebAccess, lub jego proxy
• vmware_vilurker – drugi moduł jest przyjemniejszy – generowana jest sztuczna poprawka bezpieczeństwa z Trojanem na pokładzie, która wysyłana jest do VMM. Atak ten co prawda aby aktywować Trojana wymaga kliknięcia przez Administratora „OK” w komunikacie o błędzie który się pojawi.
• vmware_autopwn – moduł automatycznie przejmujący sesję zarządzania do vCenter. Niezłe, ale niestety 19 lipca poprawione przez VMware. Jednak paczka nie jest dystrybuowana automatycznie, wiec pewnie sporo środowisk jest zagrożonych.
• vmware_login_ bruteforce – moduł ten przechodzi przez zabezpieczenie wbudowane w produkty VMware, które ma blokować wielokrotne próby wpisania hasła, i metodą brute force próbuje odgadnąć hasło.

To tyle z ciekawych modułów dotyczących środowisk VMware, warto jednak zaznaczyć, że Vasto umożliwia skorzystanie z modułu do Xen’a – xen_login.

Funkcje są dodawane na bieżąco, tak wiec niedługo możemy się spodziewać całkiem dopracowanego narzędzia które pomoże nam dokopać kumplom, lub zrobić całkiem przyzwoity audyt naszej infrastruktury… więcej na http://vasto.nibblesec.org/

Brak komentarzy »

vShpere 4 U2 i przyjazne programy

Nie, nie naprawiałem od niedzieli vSphere jak niektórzy sugerowali Po prostu zająłem się prymitywnym zarabianiem pieniędzy. A tak w ogóle to vSphere U2 działa bez zarzutu. Środowisko produkcyjne śmiga bez zająknięcia. Dodatkowo sprawdziłem i potwierdzam działanie Ubuntu 10.4 LTS – vmtools instalują się z kopa. Tak wiec składam sobie  wam gratulacje z pomyślnej aktualizacji

A teraz do sedna, znalazłem bowiem fajną stronę z kilkoma naprawdę przyjemnymi aplikacjami które mogą pomóc Wam w zarządzaniu vSphere. Zestawienie opracowane przez Kedricka Colemana znajdziecie tu -> http://www.kendrickcoleman.com/index.php?/Tech-Blog/top-10-free-vsphere-esx-tools-and-utilities.html.

Brak komentarzy »

VMware ESX(i) 4.0 Update 2

Wakacje się skończyły… po smutnym powrocie do pracy zasiadłem przed komputerem i zalał mnie potok aktualności ze świata IT. Dwa dni się przegryzałem. W sumie dużo, ale nic ciekawego. Jedyna istotna rzecz dla nas administratorów to chyba VMware ESX(i) 4.0 Update 2. Naprawiono sporo błędów odkrytych w Update 1, oraz wprowadzono następujące usprawnienia:

• Wprowadzono możliwość uruchamiania Fault Tolerance na procesorach z rodziny Intel Xeon 56xx. Wcześniej owszem Update 1 wspierał rodzinę procesorów Intel Xeon 56xx, ale bez opcji uruchomienia na niej FT.
• Wsparcie FT dla prosesorów z serii Intel i3/i5 Clarkdale, oraz Intel Xeon 34xx Clarkdale.
• Wsparcie dla technologii IOMMU przy zastosowaniu procesorów AMD Opteron 61xx i 41xx
• Rozszeżenie funkcjonalności esxtop/resxtop – dostajemy możliwość monitorowania utylizacji zasobów NFS (R/W/MBs R/MBs W/CMOS/GAVGs)
• Wsparcie dla nowego systemu operacyjnego jakim jest Ubuntu 10.04 LTS.

Plus tak jak wspomniałem masa poprawek drobnych błędów Update 1. Mam nadzieje że będzie bez wtopy i po aktualizacji wszystko będzie działać. Ale jakby coś nie poszło, to po niedzieli dam znać

2 komentarze »

vSphere vs Hyper-V

Myślę, że to co poczynię za chwilę nie jest ani nowatorskie, ani specjalnie odkrywcze, ale jednak chciałbym się z Wami tym podzielić. Ostatnio przeprowadziłem toaletowe rozważania na temat wyższości jednej technologii wirtualizacji nad drugą. Charakter kiblowy tego rozważania zmusił mnie do zawężenia moich rozmyślań tylko na terytorium naszego kraju gdyż zwyczajnie w świecie zdrętwiałem

No to może rozpocznę od tego, że moje rozmyślania nie dotyczyły technologicznych aspektów wirtualizacji, nie roztrząsałem faktu czy vSpehere jest lepsze od Hyper-V ze wzglądu na stabilność, niezawodność, funkcjonalności itp. Uważam bowiem, że każdy ma swojego faworyta, wybiera go z różnych powodów i takie dyskusje są podobne do zastanawiania się nad wyższością Świąt Bożego Narodzenia nad Świętami Wielkiej Nocy. Skupiłem się na aspekcie handlowo-społecznym… mianowicie chodzi mi o to dlaczego w polskich realiach Hyper-V jest popularniejsze od vSphere?

Podczas posiedzenia doszedłem do wniosku, że dzieje się tak dlatego iż Hyper-V jest praktycznie darmowe. Trzeba co prawda zakupić Windows Server 2008 z Hyper-V wydając ponad 3000 zł na start… jednak z drugiej strony bardzo dużo firm czy instytucji ma zakupione subskrypcje MSDN. Partnerstwo z firmą Microsoft daje do dyspozycji miedzy innymi kilka „darmowych” licencji Windows Server. Tak więc częściej zdarza się, że różnorakie organizacje dysponują na wstępie technologią od Microsoftu, która na początku jest dla nich w zupełności wystarczająca. Mogą uruchamiać maszyny wirtualne, konfigurować wirtualne sieci czy też korzystać z dobrodziejstw klastrowania. Dla małych i średnich przedsiębiorstw, czy instytucji w moim mniemaniu to w zupełności wystarcza. Skąd te zdanie, już tłumaczę. Zazwyczaj MŚP mają dosłownie kilka serwerów – jakiś kontroler domeny, serwer poczty, serwer systemu ERP, WWW … i to w sumie tyle. Polskie realia nie wymagają wiele więcej. Warto też dodać, że MŚP stanowi lwią część rynku. Tak więc kiedy dział IT decyduje się na technologię VMware, z przyczyn różnych – np. rozwój infrastruktury, zatrudnieni specjaliści etc, staje przed naprawdę bardzo trudnym zadaniem, którym jest przekonanie zarządu do wydania naprawdę grubego wora pieniędzy na coś co do niedawna było za pół darmo. W wielu przypadkach jest to niewykonalne, a co za tym idzie technologia Hyper-V staje się coraz bardziej popularna a vSphere dostaje ostre cięgi.

Do tego dochodzi jeszcze element akademicki. VMware nie daje dla uczelni wersji edukacyjnych swoich produktów, a co za tym idzie studenci, przyszli specjaliści branży IT nie są oswajani z tą technologią i zazwyczaj jej nie znają, albo co gorsza się jej boją. Sprawa ma się zupełnie odwrotnie z produktami Microsoft. Już od gimnazjum młodzież na informatyce ma wszystkie zajęcia prowadzone na platformie Microsoft. Ludzie są do niej przyzwyczajeni, oswojeni, a co za tym idzie chętniej po nią sięgają, nie zastanawiając się nad alternatywami. Ogromna większość uczelni w Polsce jest objęta programem MSDN Academic Alliance, wszyscy studenci jak chcą mogą korzystać  z darmowego oprogramowania Microsoft. Nie zrozumcie mnie opacznie, ta sytuacja nie jest zła, ona jest niepełnosprawna. Program edukacyjny Microsoftu powinien istnieć i wspieram go z całego serca. Jestem jednak typem buntownika który lubi mieć wybór. Niestety w tym momencie jest to niemożliwe, uczelnie uczą tylko jednej monopolistycznej technologii nie zważając na inne istniejące na rynku. Szkoda, bo warto aby młodzi specjaliści IT mogli podejmować świadome decyzje i wybierać produkty które będą dla nich najlepsze, a nie tylko znane. Tak więc i tu vSphere dostaje ostre baty.

Jaki wniosek możemy wyciągnąć z tego posiedzenia my specjaliści od wirtualizacji? Przede wszystkim nie można się ograniczać do jednej technologii. Po drugie, specjaliści od technologii Hyper-V mają obecnie zdecydowanie większe pole do popisu. Po trzecie firmy się rozwijają i możliwe jest, że za kilka lat będą musiały migrować swoje środowiska na oprogramowanie VMware by sprawniej nimi zarządzać. Po czwarte warto by było uczyć na studiach różnych punktów widzenia, różnych technologii (W końcu studia mają poszerzać horyzonty ). Po piąte zdrętwiałem, więc kończymy tą imprezę na dziś.

Brak komentarzy »

vSphere i klastrowanie Windows Server 2003R2/2008R2 – Część 1

Stanąłem przed problemem skalastrowania systemów Windows Server 2003 R2 i Windows Server 2008R2 na vSphere. Problem nie wydaj się specjalnie skomplikowany, niby wszystko jest dobrze opisane w dokumentacji VMware’a oraz na wielu blogach w Internecie. Jednak diabeł tkwi w szczegółach a wszystkie opisy które znalazłem są raczej dosyć ogólne i konfiguracja wymaga sporej inwencji twórczej i poszukiwania co znowu poszło nie tak…

W tej części opiszę jak przygotować sobie środowisko VMware do klastrowania. Ja zdecydowałem się że sklastrowane VM będą na różnych hostach fizycznych, bo wtedy ma to jakiś większy sens . Rozłożenie maszyn wirtualnych na maszynach fizycznych jest bardzo istotne w przypadku klastrowania Windows Server na vSphere. Trzeba odpowiedzieć sobie na początku całego przedsięwzięcia na to właśnie pytanie, bowiem fakt że maszyny będą na tych samych, lub różnych serwerach ESX determinuje dalszą konfigurację.

Tak więc podsumowując, składniki niezbędne do przygotowania naszego dania są następujące:

• Jeden świeży klaster serwerów VMware oparty o vSphere
• Trzy małe maszyny wirtualne oparte o Windows Server 2003 Enterprise (może być 2008)
• Jedna średnio dojrzała macierz dyskowa

Pierwszym krokiem jest stworzenie maszyny wirtualnej. Będę to robić na przykładzie Windows Server 2003 R2, ale w przypadku 2008/2008 R2 jest w sumie podobnie, różnicę zaznaczę w tekście. Warto stworzyć sobie Template takiej maszyny bo tak naprawdę będziemy musieli ją jeszcze klika razy powielić. Przy konfiguracji schematu maszyny należy dograć specjalne pliki do sysprepa na serwerze vCenter. Robimy to zgodnie z instrukcją z jednego z moich poprzednich wpisów. W przypadku gdy tak jak ja pokusiliście się na mały hardcore z systemem Windows Server 2008R2 64bit to miejsce gdzie wrzuca się domyślenie sysprepy znajduje się w „C:\ProgramData\VMware\VMware VirtualCenter\sysprep”.

Podczas tworzenia maszyny wirtualnej naszego systemu bazowego należy wybrać w zakładce „Configuration” opcje „Typical”. Podczas wyboru Datastore należy zwrócić uwagę aby umiejscowić VM tak by była dostępna dla wszystkich serwerów ESX które są w klastrze. Następnie w kroku „Guest Operating System” wybrać Microsoft Windows, oraz w zakładce „Version” opcję „Microsoft Windows Server 2003, Enterprise Edition (32-bit)” (lub 2008). Dosyć istotnym krokiem jest zaznaczenie w kroku „Create a Disk” opcji „Support clustering features such as Fault Tolerance”. Dzięki tej opcji nasza maszyna będzie wspierać klastrowanie.

Następnie konwertujemy VM do Template i odstawiamy do lodówki, żeby się nam nie zepsuła

Teraz należy przygotować macierz. Sprawa dosyć prosta, zakładamy LUN’a, nazywamy go jakoś niewybrednie, np. QUORUM01 , następnie ustawiamy uprawnienia aby wszystkie ESX’y w klastrze były wstanie go dojrzeć. LUN nie musi być jakiś ogromny, myślę, że spokojnie wystarczy 1GB.

Ogarnięcie macierzy to sprawa dosyć prosta i bezproblemowa, tak wiec po pomyślnej konfiguracji należy sprawdzić co zobaczyły nasze ESX’y. Sprawdzamy to w zakładce „Configuration”, „Storage Adapters”. W przypadku gdy nie zobaczyły nic, co zresztą jest normalne, należy użyć opcji „Rescan…”

W przypadku gdy ESX nie wykryje naszego nowego LUN’a to znaczy że gdzieś na macierzy popełniliśmy błąd, np. nie przypisując hosta do LUN’a. Warto sprawdzić. Nie zakładamy partycji VMFS na tym Quorum, gdyż będzie on podawany sote bezpośrednio do maszyn wirtualnych. Operację „Rescan…” będziemy musieli wykonać na wszystkich hostach w klastrze.

Dobrze, tak wiec mamy skonfigurowaną macierz, oraz serwery ESX. Czas na maszyny wirtualne. Posłużymy się w tym kroku przygotowanym wcześniej i już nieco skruszałym szablonem maszyny z Windows Server 2003R2. Wykonujemy Deploy po trzykroć. Maszyny nazywamy Node0, Node1, Node2. Po zakończonym tworzeniu nowych maszyn wyłączamy je i zabieramy się za małą rekonfigurację sprzętu w każdej z VM. Warto w tym miejscu nadmienić, że podczas konfiguracji klastra opartego o mechanizmy Windows należy pilnować by przed finalnym „OK.” nie dopuścić do tego by dwie maszyny działały w tym samym czasie. Generalnie chodzi o dostęp do dysku Quorum, przed finalną konfiguracją klastra po prostu może się coś się z nim popieprzyć… nigdy co prawda nie zdążyło mi się to. Jednak święte „Best Practice” Microsoftu tak każe wiec ja uniżony, szary admin, cóż mogę począć jak tylko się temu ślepo podporządkować.

Dość jednak tych dygresji, czas na konfigurację wirtualnego hardware. Dodamy teraz do VM dysk który ma być Quorum. Będziemy mapować RAW LUN’a, tak aby VM miała wrażenie że sama dobiera się do czystego Storage na macierzy. Zabieramy się więc za maszynę zwaną Node1 (Node0 będzie kontrolerem domeny wiec zostawiamy go jakiś czas w spokoju). Prawy przycisk myszy, „Edit Settings” w zakładce „Hardware”  klikamy w „Add…” i wybieramy Hard Disk.

W następnym kroku kreator prowadzi nas do karty „Select a Disk” tu wybieramy opcję ostatnią, mianowicie „Raw Device Mappings”. Dzięki temu damy naszej maszynie wirtualnej bezpośredni dostęp do sieći SAN i naszego RAW LUN’a.

W kolejnym kroku zobaczymy dostępne RAW LUN’y. W moim przypadku mam tylko jeden więc pozbawiony wyboru decyduje się właśnie na niego.

W kroku „Select Datastore” wybieramy „Store with Virtual Machine”. Można zdecydować się na trzymanie tego dysku na innym Datastore… tylko pytanie po co?

Następnie w „Compatibility Mode” wybieramy „Physical” i przechodzimy dalej.

Czeka nas teraz najważniejszy krok mianowicie „Advanced Options” należy tu wybrać pierwszy wolny Virtual Device Node z innego kontrolera niż zerowy, czyli np. SCSI (1:0). Numer VDN należy zapamiętać, gdyż później w konfiguracji kolejnych nodów klastra będzie on istotny.

Kolejnym krokiem jest podsumowanie, które oczywiście akceptujemy tworząc w ten sposób nowy kontroler SCSI, oraz dysk twardy. Pozostała nam jeszcze jedna rzecz, mianowicie w właściwościach nowopowstałego kontrolera SCSI musimy zmienić typ „SCSI Bus Sharing” z „None” na „Phisical”. Krok ten pozwoli nam na współdzielenie tego zmapowanego RAW LUN’a pomiędzy dwoma, lub więcej maszynami wirtualnymi rozsianymi na różnych hostach fizycznych. W opcjach kontrolera można również zmienić jego typ, ponieważ do konkretnej wersji systemu Windows Server jest odpowiednia wersja kontrolera, poniżej rozpiska:

• LSI Logic Parallel dla Windows 2000 Server
• LSI Logic Parallel dla Windows Server 2003
• LSI Logic SAS dla Windows Server 2008

Przechodzimy teraz do serwera Node2. Procedura dodawania dysku Quorum jest podobna, ale prześledźmy ją od początku. Pierwszym naszym korkiem będzie również udanie się do właściwości maszyny wirtualnej, i dodanie dysku twardego, pierwsza różnica pojawia się w zakładce „Select a Disk”, wybieramy tu bowiem nie tak jak poprzednio „Raw Device Mappings” ale „Use an existing virtual disk”.

W kolejnym kroku musimy podać namiary na dysk który został zmapowany do serwera Node1, tak wiec klikamy „Browse…” i szukamy po naszyn Datasorach gdzie mamy maszynę wirtualną i dysk „Node1_1.vmdk”.

W kolejnej zakładce, wybieramy „Virtual Device Node”. Tak jak wspominałem wcześniej musi być ono identyczne z tym które mamy skonfigurowane dla serwera Node1. W moim przypadku jest to SCSI (1:0).

Po zakończeniu należy tak jak w przypadku serwera Node1 ustwaić w opcjach kontrolera typ „SCSI Bus Sharing” z „None” na „Phisical”.

Dodatkowo można dorzucić do maszyn wirtualnych po karcie sieciowej. Jest to kolejna rada wyjęta z „Best Practices” Microsoftu, tak wiec jak ktoś chce to niech się przejmuje… ja zrobiłem do testów na jednej i śmiga jak burza. Tak wiec do rozważenia.

To na razie tyle, przystawki do głównego dania wykonane w drugiej części będziemy konfigurować same Windows Server’y 2003/2008, gdyż od strony vSphere to już w zasadzie wszystko.

Brak komentarzy »