Jordan_Tsafaridis

Members

View Profile See their activity

Posts
106
Joined
January 28, 2009
Last visited
November 1, 2012

Content Type

All Activity

Profiles

Articles

Forums

Topics
Posts

Blogs

Blog Entries posted by Jordan_Tsafaridis

Sort By

Προηγμένη αποσφαλμάτωση – (Advanced debugging ) - στον Forefront TMG 2010

By Jordan_Tsafaridis, January 4, 2012
Αγαπητοί συνάδελφοι της κοινότητας σκοπός του συγκεκριμένου άρθρου είναι
να καταδείξω τον τρόπο με τον οποίο είναι δυνατόν να συλλέξουμε προηγμένες (advanced) πληροφορίες από
τον Forefront TMG 2010 οι
οποίες πρόκειται να χρησιμοποιηθούν για τεκμηρίωση και εντοπισμό σφαλμάτων (documentation and debugging purposes).

Εισαγωγή

Εξ ορισμού, ο Microsoft Forefront TMG δημιουργεί μια σημαντικά μεγάλη ποσότητα δεδομένων logging από τα Web proxy και Firewall services και τα αποθηκεύει σε μια τοπική Microsoft SQL 2008 SP1
Server Express βάση δεδομένων. Αυτά τα αρχεία log έχουν σαν αποστολή
να βοηθούν τους Firewall Administrators ώστε να δημιουργούν αποτελεσματικούς Firewall policy rules καθώς επίσης να διερευνήσουν γιατί κάποια νόμιμη κίνηση
δεν επιτρέπεται ή και το αντίστροφο.
Για γενική πληροφόρηση όσον αφορά την κατάσταση (health)
του Forefront TMG Server μπορούμε να
χρησιμοποιήσουμε το Forefront TMG dashboard σε συνδυασμό
με τα Windows event logs. Παρόλα αυτά, όταν επιζητούμε κάποια πιο εξεζητημένη πληροφορία (advanced logging) μπορούμε να χρησιμοποιήσουμε το built in Diagnostic logging του Forefront TMG το οποίο συλλέγει
περισσότερες χρήσιμες
πληροφορίες. Εάν και πάλι αυτή η πληροφορία δεν είναι αρκετή τότε μπορούμε να
χρησιμοποιήσουμε κάποια πιο προηγμένα εργαλεία (more advanced tools)
τα οποία αποτελούν μέρος του γνωστού σε όλους μας Microsoft Forefront Best Practices Analyser tool.

Το TMG BPA έρχεται μετα παρακάτω
εργαλεία (περιλαμβάνει και κάποια επιπλέον εργαλεία):

TMG Data packager
Isainfo
ISAtrace
TMGBPApack

Σε αυτό το άρθρο θα παρουσιάσω μια υψηλού
επιπέδου επισκόπηση –(high level
overview)- αυτών των εργαλείων και πως να τα
χρησιμοποιείτε, αλλά επιτρέψτε μου να ξεκινήσω πρωτίστως με το built in
Diagnostic Logging
του Forefront TMG.

Το διαγνωστικό logging

Μπορούμε να ξεκινήσουμε
με το Forefront TMG Diagnostic logging χαρακτηριστικό από το Troubleshooting node μέσα από την Forefront TMG Management console όπως αυτό παρουσιάζεται στην εικόνα 1.

Εικόνα 1: Το Forefront TMG Diagnostic Logging

Κάνουμε κλικ στο
Enable Diagnostic Logging για να ξεκινήσει
η διαδικασία συλλογής πληροφοριών.

Ο Forefront TMG αμέσως ξεκινά να συλλέγει πληροφορίες
από τον ΤMG Server.
Θα πρέπει να αδρανοποιήσουμε (disable) το Diagnostic Logging από το να εμφανίζει
την πληροφορία, αφότου έχουμε αποφασίσει ότι η διαδικασία συλλογής πληροφοριών
έχει συγκεντρώσει αρκετά δεδομένα.

Όπως παρουσιάζεται
στην εικόνα 2, η διαδικασία Diagnostic logging έχει ήδη συλλέξει περισσότερη πληροφορία απ’ότι χρειάζεται για να
μας βοηθήσει να καθορίσουμε την αιτία ενός προβλήματος το οποίο έχει εμφανιστεί
στον Forefront TMG.

Εικόνα 2: Ανάλυση του Forefront TMG Diagnostic Logging

Ο Forefront TMG Data Packager

Εφόσον οι πληροφορίες οι οποίες παρέχονται από τον built in Diagnostic logging του Forefront TMG δεν είναι αρκετές, μπορούμε να χρησιμοποιήσουμε τον Forefront TMG Data
Packager ο οποίος αποτελεί μέρος του Forefront TMG Best
Practices Analyzer. Θα βρείτε τον TMG Data Packager μέσα στο installation directory του TMG BPA. Εν συνεχεία επιλέγουμε την πληροφρία την οποία θέλουμε να
συλλέξουμε. Ξεκινώντας θα συλλέξουμε στατική πληροφορία (static information). Βεβαίως θα σας
παρουσιάσω ένα μέρος της πληροφορίας από το repro mode αργότερα σε
αυτό το άρθρο διαμέσου του TMGBPAPack.

Εικόνα 3: Ο Forefront TMG Data
Packager

Επίσης καθίσταται
δυνατό να παραμετροποιήσουμε τι είδους πληροφορία θα πρέπει να συλλέξει ο TMG Data Packager.

Εικόνα
4: Forefront TMG Data Packager – Καθορισμός πληροφορίας προς συλλογή

Για να ξεκινήσει
η διαδικασία Data collection απαιτείται κάποιο χρονικό διάστημα μέχρι ο TMG Data Packager να ολοκληρώσει την συλλογή του συνόλου των πληροφοριών.

Εικόνα
5: Forefront TMG Data Packager – Συλλογή δεδομένων

Οταν η διαδικασία
συλλογής (collection process) ολοκληρωθεί θα βρούμε ένα αρχείο .cab με το σύνολο της πληροφορίας η οποία συλλέχθηκε στην διαδρομή
δίσκου (directory) την οποία ορίσαμε προηγουμένως. Το
συγκεκριμένο αρχείο .cab βρίσκεται στην
διάθεσή μας για την αποθήκευση της εμπεριεχόμενης πληροφορίας (archive the information) ή για να το αποστείλουμε στο Microsoft Product Support. Επιπροσθέτως, εάν θέλουμε να αναλύσουμε περαιτέρω την πληροφορία
η οποία έχει συλλεχθεί θα πρέπει να χρησιμοποιήσουμε ένα εργαλείο το οποίο
αποσυμπιέζει την πληροφορία η οποία βρίσκεται συμπιεσμένη εντός του αρχείου .cab.

Εικόνα 6: Forefront TMG Data package

Όπως παρουσιάζεται
και στην εικόνα 7, μπορείτε να λάβετε γνώση για το αποσυμπιεσμένο περιεχόμενο
του αρχείου cab. Για τον λόγο αυτό θα σας παραθέσω ορισμένα παραδείγματα σχετικά με
το περιεχόμενο του αρχείου cab στις εικόνες
οι οποίες ακολουθούν.

Εικόνα
7: Περιεχόμενο
του Forefront TMG Data Packager

Ο TMG Data Packager συλλέγει πληροφορίες σχετικές με Forefront TMG Change tracking feature το οποίο περιλαμβάνει όλη εκείνη την πληροφορία η οποία σχετίζεται
με τις αλλαγές οι οποίες έχουν πραγματοποιηθεί στο Forefront TMG configuration.

Εικόνα
8: Το
Forefront TMG Change tracking αποσυμπιεσμένο από τον TMG Data Packager

Ο TMG Data Packager επίσης συλλέγει πληροφορίες log από το Webproxy και το Firewall Service αντίστοιχα
του Forefront TMG.

Εικόνα 9: Ο Forefront TMG Data
Packager και το Firewall and Webproxy log

Ο ISAInfo

Το επόμενο εργαλείο είναι ο ISAInfo. Ενδεχομένως ορισμένοι από εσάς να μην έχετε υπόψην σας το συγκεκριμένο
εργαλείο και για τον λόγο αυτό μπορείτε να το καυεβάσετε από την ιστοσελίδα www.isatools.org. Η συγκεκριμένη ιστοσελίδα ανήκει (hosted) στον Jim Harrison. Το εργαλείο ISAInfo μέσα από τα ISA Server times ήταν ένα ιδιαίτερα χρήσιμο εργαλείο για την συλλογή πληροφοριών σχετικά με συστήματα ISA Server. Ως άμεσο αποτέλεσμα η Microsoft το συμπεριέλαβε στο Forefront TMG Best
Practices Analyzer tool.

Εικόνα
10: Forefront TMG
– Ο ISAInfo συλλέγει
δεδομένα

Σε αυτό το σημείο
θα πρέπει να γνωρίζετε ότι το συγκεκριμένο εργαλείο δεν αναπτύχθηκε εξ αρχής (not to be completely redesigned) για να συνεργάζεται σωστά με τον Forefront TMG με αποτέλεσμα
να λαμβάνετε ορισμένα αναδυόμενα μηνύματα λάθους (error message popups)
καθόσον η διαδικασία συλλογής πληροφοριών του ISAInfo βρίσκεται εν λειτουργία (running) τα οποία
όμως σε κάθε περίπτωση μπορείτε να τα αγνοήσετε.

Εικόνα
11: Forefront TMG ISAInfo. Αγνοείστε τα μηνύματα λάθους

Ο ISAInfo δημιουργεί δύο αρχεία. Ένα αρχείο log με πληροφορίες σχετικές με τα εργαλεία του ISAInfo και ένα αρχείο XML το οποίο
περιλαμβάνει το σύνολο των πληροφοριών οι οποίες είναι σχετικές με τον
συγκεκριμένο Forefront TMG Server στον οποίο τρέχει.

Εικόνα 12: Forefront TMG – ISAInfo log αρχείο

Ο ISATRACE

Το επόμενο
εργαλείο είναι ο ISATRACE. Ξεκινώντας με τον ISA Server 2004 SP2
(Εάν δεν με απατά η μνήμη μου), η Microsoft ξεκίνησε να συλλέγει
προηγμένες πληροφορίες του ISA σε ένα αρχείο
.bin αποθηκευμένο στο τοπικό σύστημα αρχείων (local file system)
- (ISALOG.BIN).
Ο Forefront TMG Best Practices Analyzer περιμβάνει ένα
γραφικό εργαλείο (GUI tool)
το οποίο μπορούμε να το χρησιμοποιήσουμε για να παραμετροποιήσουμε το μέγεθος
αλλά και το είδος της πληροφορίας η οποία θα συλλέγετε. Μπορείτε να βρείτε το συγκεκριμένο
εργαλείο σην διαδρομή δίσκου (directory) η οποία ονομάζεταιTracing μέσα στην διαδρομή εγκατάστασης (installation directory) του TMG BPA.

Το εργαλείο αυτό μας επιτρέπει να επιλέξουμε διαφορετικά Forefront TMG components όπως π.χ. το Firewall service, το Webproxy service, το Firewall Control Channel (client), το User Interface και πολλά άλλα. Επίσης
είναι δυνατόν να αλλάξουμε την εξ ορισμού διαδρομή δίσκου (default directory) του αρχείου log αλλά και το μέγεθος του αρχείου ISATRACE.

Figure 13: Forefront TMG – “ISA” Release Bits tracking

Ο TMGBPAPack

Ο TMGBPAPack επίσης αποτελεί αναπόσπαστο μέλος του Forefront TMG Best
Practices Analyzer. Αποτελεί ένα command line tool το οποίο είναι
παρόμοιο με το TMG Data Packager αλλά με κάποιες
εξαιρέσεις (η μοναδική διαφορά απ’ότι είμαι σε θέση ναγνωρίζω είναι ότι συλλέγει
πληροφορίς σχετικά με το network traffic με την βοήθεια του Microsoft Netmon
3.3). εάν δε ενεργοποιήσουμε το Repro Mode όλο το network traffic θα συλλέγετε εντός των αρχείων trace του Netmon.

Εικόνα
14: Ο
Forefront TMG BPA Pack συλλέγει πληροφορίες

Εάν το Microsoft Network Monitor δεν είναι εγκατεστημένο, τότε το TMGBPAPack εγκαθιστά το Microsoft Netmon
3.3 (Η τελευταία διαθέσιμη έκδοση του Netmon είναι η 3.4).

Μόλις σταματήσουμε
το Netmon trace,
ο TMGDATAPack δημιουργεί ένα και μόνο αρχείο .cab στην επιφάνεια γραφείου (Desktop) όπου μπορούμε
να το αποσυμπιέσουμε επιτόπου και να μελετήσουμε τις πληροφορίες οι οποίες
έχουν συλλεγεί εντός του επιπροσθέτου directory το οποίο δημιουργείτε
για τον σκοπό font size=αυτό και ονομάζεται NetworkCaptures και το οποίο
περιλαμβάνει όλα τα Netmon Capture αρχεία.

Εικόνα 15: Ο Forefront TMG BPA Pack –
Συνέλεξε τα Netmon traces

Ε’ιμαστε πλέον
σε θέση να χρησιμοποιήσουμε την εγκατεστημένη έκδοση του Microsoft Network Monitor για την ανάλυση των Netmon capture αρχείων όπως αυτό εμφανίζεται στην εικόνα 16.

Εικόνα 16: Το Microsoft Netmon 3.3
trace με Forefront TMG traffic από το internal network interface

Συμπέρασμα

Σε αυτό το άρθρο προσπάθησα να σας παρουσιάσω μια σειρά από χρηστικά εργαλεία για τον Forefront TMG και τον TMG Best Practice Analyser για την συλλογή πληροφοριών σχετικά με το Forefront TMG configuration. Επίσης ασχολήθηκα με τα αρχεία log τα οποία δημιουργούνται από τον Forefront TMG ή από το λειτουργικό σύστημα των Windows στο οποίο είναι εγκατεστημένος. Ολοκληρώνονταςμπορείτε να χρησιμοποιήσετε την πληροφορία αυτή για τεκμηρίωση ή για την ανάλυση
προβλημάτων τα οποία προκύπτουν στο
TMG configuration. Τα συγκεκριμέναδεδομένα είναι επίσης εξαιρετικά χρήσιμα για την
Microsoft εάνανοίξετε ένα
case στο Microsoft product support.
- Read more...
- 0 comments
- 905 views
Το Hotfix Rollup 1 για τον Forefront TMG 2010 SP2 είναι πλεον διαθέσιμο

By Jordan_Tsafaridis, January 17, 2012
Αγαπητοί συνάδελφοι της κοινότητας
ένα πολύ σημαντικό hotfix rollup για τον Forefront TMG 2010 SP2 είναι πλεόν διαθέσιμο. Το συγκεκριμένο
hotfix rollup επιλύει μια σειρά σημαντικών προβλημάτων
τα οποία έχουν επισημανθεί στον TMG 2010 SP2, στα οποία περιλαμβάνονται τα παρακάτω:

KB2654016 – A client may be unsuccessful in accessing a Java
SSO application published to the web by Forefront TMG 2010

KB2653703 – “Error: Subreport could not be shown” error message
in the User Activity or Site Activity report in Forefront TMG 2010

KB2654585 – UDP packets may become backlogged when you increase
the “maximum concurrent UDP sessions per IP address” setting in Forefront TMG
2010

KB2624178 – Forefront TMG 2010 administrators may be unable to
generate reports

KB2636183 – Both sides of a TCP connection are closed when the
client or remote application half-closes the TCP connection in Forefront TMG
2010

KB2653669 – Summary information for the Top Overridden URLs
table and for the Top Rule Override Users table display incorrect information
in Forefront TMG 2010

KB2617060 – Forefront TMG 2010 enables L2TP site-to-site
connections in RRAS

KB2655951 – Japanese characters in the subject line of an Alert
email message are not readable in the Japanese version of Forefront TMG 2010

KB2654068 – “The Web Listener is not configured to use SSL”
warning message may occur when you configure a Web Listener to use a valid SSL
certificate in Forefront TMG 2010

KB2654193 – You receive a “Bad Request” error message when you
try to access Outlook Web App published by Forefront TMG 2010

KB2654074 – String comparison may become case-sensitive when
you published a website using Forefront TMG 2010

KB2658903 – Forefront TMG 2010 firewall service (wspsrv.exe)
may crash frequently for a published website secured by SSL after you install
Service Pack 2.

Το Hotfix rollup 1 για τον Forefront TMG 2010 SP2 μπορείτε να το κατεβάσετε από αυτόν
τον σύνδεσμο. Μετά την εφαρμογή
του συγκεκριμένου update,
το καινούριο Forefront TMG
2010 build
number θα είναι το 7.0.9193.515.
- Read more...
- 0 comments
- 628 views
Τι είναι πραγματικά το Cloud Computing? – Μία διαφορετική προσέγγιση

By Jordan_Tsafaridis, February 21, 2012
Τι είναι το cloud computing? Εάν ρωτήσετε έναν καταναλωτή, έναν
CIO, ή έναν
πωλητή είναι σίγουρο ότι θα λάβετε απαντήσεις οι οποίες διαφέρουν ριζικά μεταξύ
τους.

Ένας καταναλωτής
(consumer) τυπικά
σκεπτόμενος θα απαντήσει ότι το cloud αποτελεί μια φιλοξενούμενη υπηρεσία (hosted service), όπως για παράδειγμα το Microsoft Office 365, και το Apple iCloud, ή η μεταφόρτωση (uploading) εικόνων στο Photobucket, καθώς επίσης και άλλες υπηρεσίες
τέτοιου είδους (Θα πρέπει βέβαια να λάβετε υπόψην σας ότι τέτοιες υπηρεσίες
υπήρχαν εδώ και αρκετό καιρό διαθέσιμες πριν γίνει της μόδας η επικόλληση της
ετικέττας “cloud” σε αυτές
τις υπηρεσίες).

Ορισμένα ενημερωτικά άρθρα για επιχειρήσεις
περιγράφουν το cloud computing ως μια μεταστροφή εξόδων κεφαλαίου (Capital
Expense) σε λειτουργικά
έξοδα (Operating Expense),
ενώ άλλοι μιλούν για τη μετάβαση από ένα προϊόν σε μια υπηρεσία. Αλλά για
έναν διευθυντή CIO ή IT, τι
ακριβώς σημαίνουν όλα αυτά και
πώς μπορεί κανείς να φτάσει εκεί;

Πού είναι αυτό το παροιμιώδες «σύννεφο» (“Cloud”)
και πώς μπορώ να
φτάσω εκεί;

Μερικοί CIO τείνουν
να αντιλαμβάνονται το σύννεφο
σαν την εξωτερική ανάθεση μεγάλων
τμημάτων των υποδομών πληροφορικής ενός
οργανισμού σαν υπηρεσία/εξωτερικό εργαλείο (μετά
από όλα αυτά τελικά τι σημαίνει ο όρος CIO? Μήπως την παρακάτω
σατυρική ερμηνεία? Δηλαδή “Can I Outsource?”, Συμφωνείτε?). Αλλά
το ερώτημα είναι εάν ένας οργανισμός θα πρέπει να επαφύεται/αναθέτει στην ικανότητα ενός τρίτου και
των υποδομών του για να εφαρμόσει και να παρέχει
υπηρεσίες/έννοιες του cloud computing,
ή τελικώς αυτό μπορεί να επιδιωχθεί
στο πλαίσιο των υφιστάμενων υποδομών?
Από την άλλη πλευρά, εάν ένας οργανισμός
έχει ήδη εφαρμώσει το virtualization
(σε κάποιο βαθμό), μερικοί αναρωτιούνται
γιατί θα πρέπει να
εξετάσουμε το cloud computing?

Πολλοί από τους ορισμούς του
cloud computing που έχω ακούσει έχουν
ένα και μόνον στοιχείο της αλήθειας
σε αυτούς, με αποτέλεσμα η αποδιδόμενη ορολογία να είναι
ελλειπής και συχνά αφήνουν τους ανθρώπους που θέλουν να μάθουν
περισσότερα να έχουν αποτύχει να
συλλάβουν ποια είναι πραγματικά η ουσία
του cloud computing. Στο κομβικό αυτό σημείο η
προσπάθειά μου είναι να απλοποιήσω τον ορισμό του τι είναι το cloud
computing έτσι ώστε να καταστεί ευκολονόητος, ορίζοντας τους τρεις του βασικούς πυλώνες;

Το Cloud Computing είναι.....

Συνεπώς ποια
είναι τα τρία κύρια συστατικα/χαρακτηριστικά του cloud computing? Abstraction (Αφαίρεση), Automation
(Αυτοματισμός)
και Agility (Ευκινησία).

Ας ρίξουμε μια πιο προσεκτική ματιά σε κάθε ένα από αυτά τα τρία συστατικά του cloud computing. Μετά από μια ενδελεχή συζήτηση αυτών των τριών
(3) στοιχείων είμαι σίγουρος ότι θα
μας δώσει τις απαντήσεις τις οποίες ζητούμε σε ορισμένες από
τις αρχικές ερωτήσεις σχετικά με τα
διάφορα μοντέλα στα οποία θα
βρείτε το cloud computing να χρησιμοποιείται.

Abstraction (Αφαίρεση)

Με τον όρο Αφαίρεση ουσιαστικά
αναφαιρόμαστε στην απελευθέρωση του φόρτου
εργασίας και των εφαρμογών (liberating workloads and applications ) από τα
φυσικά όρια του υλικού του διακομιστή (server hardware). Στο παρελθόν είχαμε server που φιλοξενούσε
μια και μόνο μία
εφαρμογή (εξ ου και η εστίασή μας
μερικές φορές σε διακομιστές και όχι εφαρμογές). Το Virtualization
παρέχει αυτήν την αφαίρεση διαχωρίζοντας
τον φόρτο εργασίας (workload) από το υλικό του
διακομιστή (server hardware), εξαλείφοντας τα όρια του υλικού (eliminating hardware boundaries), και τις εξαρτήσεις παρέχοντας την κινητικότητα του φόρτου εργασίας (workload mobility). Αυτή η κινητικότητα μπορεί να επεκταθεί μετακινώντας φόρτο
εργασίας από τα εσωτερικά κέντρα
διαχείρσης δεδομένων (Internal Data Centers) σε παρόχους υπηρεσιών (Service
Providers) και αντίστροφα. Σήμερα, η εικονική μηχανή καθορίζει το όριο, αλλά
στο μέλλον, όσο το λειτουργικό σύστημα
γίνεται λιγότερο σημαντικό, θα μπορούσαμε να δούμε "virtual
containers" τα οποία καθορίζουν τον
φόρτο εργασίας μας σε PaaS (Platform as a Service) υποδομές.

Το αρχικό
κίνητρο για virtualization ήταν οι μικρότερες επενδύσεις σε κεφάλαιο CAPEX (capital expense) γεγονός το οποίο εστιάζεται σε
λιγότερους διακομιστές, πόρτες (ports), λιγότερος χώρος (Space), καθώς επίσης η λιγότερη κατανάλωση
ηλεκτρικής ενέργειας κτλ. Όπως πολλοί αντιλήφθηκαν από την συνεχή εξέλιξη και
βελτίωση του virtualization, η διαχείριση των εικονικών μηχανών ήταν σημαντικά
ευκολότερη, καθώς επίσης διαπίστωσαν ότι υπήρχε ένας νέος τρόπος για να γίνουν
πολλές εργασίες, οι οποίες θα μπορούσαν να μειώσουν δραστικά τα λειτουργικά
έξοδα OPEX (operating expenses). Για να φτάσουμε ως εδώ, θα πρέπει
να εργαστούμε προς την κατεύθυνση του virtualization 100% διότι πολύ απλά οι τεχνικοί φραγμοί έχουν συνθλιβεί,
χάρις στην σημερινή τεχνολογία (περισσότερα για αυτό αργότερα).

Με απλά λόγια, η αφαίρεση επιτρέπει την αύξηση της χρησιμοποίησης
των πόρων και μπορεί να χρησιμοποιηθεί
με έννοιες όπως η
πολυ-μίσθωσης (multi-tenancy) οι
οποίες παρέχουν
μεγαλύτερες οικονομίες κλίμακας από ό,
τι ήταν μέχρι πρότινος εφικτό.

Υπάρχει επίσης ένα άλλο είδος αφαίρεσης που λαμβάνει χώρα προκαλώντας ένα κύμα διακοπής (wave of disruption) - η
αφαίρεση της εφαρμογής (abstraction of the application) μακριά από
τον παραδοσιακό υπολογιστή. Ο συνδυασμός του SaaS, του application virtualization, του VDI και της διάδοσης των
κινητών συσκευών (tablets
και
smartphones)
οδηγούν όλα σε αυτή
την τάση. Οι εφαρμογές (applications) δεν χρειάζεται πλέον να ενταχθούν σε φυσικούς
υπολογιστές καθώς οι χρήστες θέλουν να έχουν πρόσβαση στις εφαρμογές τους και
τα δεδομένα τους από οποιαδήποτε συσκευή και σε οποιοδήποτε μέρος.

Και οι δύο από
αυτούς τους τύπους της αφαίρεσης οδηγούν στην άρση των παραδοσιακών ορίων και κατά
συνέπεια οδηγούν επίσης στην αλλαγή των τρόπων με τους οποίους θα διαχειριστούμε
την υποδομή μας (infrastructure) και τις τρέχουσες εφαρμογές (present applications).

Εμβαθύνοντας στο server virtualization, βλέπουμε
ότι το virtualization stack
παρέχει επίσης
ένα ενιαίο στρώμα διαχείρισης (unifying management layer), το οποίο μπορεί να χρησιμεύσει ως βάση για πολύ περισσότερα ...

Automation (Αυτοματισμός)

Στην περίπτωση της αφαίρεσης (abstraction)
αυτή παρέχει τα θεμέλια για το νέο πρότυπο, ο αυτοματισμός
βασίζεται και χτίζεται επάνω σε αυτά τα θεμέλια για να
παράσχει θεαματικές νέες δυνατότητες σε έναν οργανισμό για να
μειώσει το κόστος λειτουργικών
εξόδων (OPEX costs) και
τέλος να προωθήσει την ευελιξία (agility).

Ας ξεκινήσουμε με τα βασικά. Χάρη στην ενθυλάκωση (encapsulation) η οποία παρέχεται από το virtualization, νέες δυνατότητες έχουν προκύψει με την αναπαραγωγή (replication), την αποκατάσταση καταστροφών (disaster recovery), ακόμη και στην διαδικασία δημιουργίας αντιγράφων
ασφαλείας και ανάκτησης την ίδια
(backup and recovery process). Υπάρχει η δυνατότητα
agent-less παρακολούθησης πολλών μετρήσεων
απόδοσης του πυρήνα (core performance metrics), scripting διαμέσου των VMs και των hosts, virtual network switches και ffont face=irewahpslls, και
φυσικά, σχεδόν άμεσο provisioning από πρότυπα
(templates). Τέτοια
επίπεδα αυτοματισμού δεν θα ήταν
εύκολα προσβάσιμα, πριν την
εισαγωγή του στρώματος αφαίρεσης του
virtualization (introduction of abstraction layer of virtualization).

Πόσο αφράτο
θέλουν
το δικό τους σύννεφο;?

Τώρα έχουμε προϊόντα όπως το Microsoft System Center 2012 και το VMware vCloud Director τα οποία
μπορούν να λάβουν
όλα τα στοιχεία μιας n-tier εφαρμογής, και
να εξασφαλίζουν την γρήγορη παροχή τους - συμπεριλαμβανομένων
των κανόνων του τείχους προστασίας, ακόμη και της
πολυ-μίσθωσης (Microsoft’s
System Center 2012 and
VMware’s vCloud Director can take all of the elements of an n-tier application, and quickly provision them — including firewall rules and even with multi-tenancy). Φανταστείτε
την ανάπτυξη μιας ολόκληρης n-tier εφαρμογής συμπεριλαμβανομένων
πολλαπλών εικονικών μηχανών, σε συνδυασμό με την ολοκλήρωση
ρύθμισης του δικτύου και των firewalls
με μερικά μόνο κλικ. Τώρα προσθέστε στα προηγούμενα την έννοια
ενός καταλόγου self-service, όπου επιχειρηματικές μονάδες μπορούν να αιτούνται πόρους για την εφαρμογή
πάνω από μια ηλεκτρονική φόρμα (web form), και
μετά από την έγκριση της αίτησης να τροφοδοτείται αυτόματα σύμφωνα
με τις προδιαγραφές που
προβλέπονται, ενώ ταυτόχρονα να βρίσκεται σε
συμφωνία με τα υπάρχοντα πρότυπα πληροφορικής και με τους ελέγχους συμμόρφωσης (conforming to existing IT standards and compliance audits) .

Τα παραπάνω αποτελούν μερικές μόνον από τις πολλές
οπτικές γωνίες
του αυτοματισμού (automation). Ένας
άλλος λόγος είναι ενορχήστρωση των
συγκλινουσών υποδομών (orchestration of converged infrastructure) - (των
οποίων to Vblock είναι
ένα παράδειγμα). Αντί να προσπαθεί να κανείς να διαχειριστεί τα βασικά στοιχεία της
υποδομής του υπολογιστή (core infrastructure elements of compute), και την αποθήκευση με την δικτύωση ως
ένα ανεξάρτητο σιλό (storage and networking as independent silos) όπως
πολλοί κάνουν σήμερα, αντ’αυτού μπορούμε
να αναπτύξουμε μια συγκλίνουσα υποδομή με εργαλεία
ενορχήστρωσης (deploy converged infrastructure with orchestration tools) στοιχεία τα οποία μπορούν να ενωθούν και να διαχυθούν σε όλα τα σιλό
(can unify and transcend across the silos), επιτρέποντας
στην υποδομή να είναι διαχειριζόμενη
και να τροφοδοτήται σαν μια συγκροτημένη μονάδα (singularity). Είναι
δυνατόν δε, πολλά από αυτά τα εργαλεία ενορχήστρωσης (orchestration tools) μπορούν
να συνδεθούν απευθείας στο
virtualization
stuck
(π.χ. System
Center 2012, vCloud Director) για ακόμα
μεγαλύτερη ολοκλήρωση (integration);arialnt>.

Δεν μπορεί βεβαίως κανείς να παραβλέψει ότι υπάρχουν εμπόδια
σε αυτή την δομή αυτοματισμού τα
οποία μπορεί να περιλαμβάνουν το «σύνδρομο
PSP" (συντόμευση του Physical Server Processes), την “βαριά”
και περιχαρακωμένη οργανωτική δομή (heavily siloed organizational structure), καθώς ακόμη και την ένταξη πολλαπλών hypervisors.

Υπάρχουν δε πολλές περισσότερες γωνίες του αυτοματισμού
τις οποίες δεν έχουμε αγγίξει σε ακόμα, αλλά το
κλειδί είναι ότι η αφαίρεση (abstraction) επιτρέπει
νέες ευκαιρίες για την αυτοματοποίηση
- και ότι η
αυτοματοποίηση μπορεί στη συνέχεια
να χρησιμοποιηθεί ως άξονας για την συνέχεια.

Agility (Ευκινησία)

Γιατί η Microsoft και η VMware λένε ότι θέλουν υποδομή
να είναι διαφανής? Ας απαντήσουμε στο ερώτημα αυτό με ένα άλλο
ερώτημα: Οι επιχειρήσεις ενδιαφέρονται
για την αποθήκευση, το δίκτυο ή τις τεχνολογίες των διακομιστών? Στο τέλος
της ημέρας η επιχείρηση ενδιαφέρεται κυρίως για
δύο κύρια παραδοτέα από το ΙΤ - την υγεία
των εφαρμογών της
(όπως μετράται από το χρόνο λειτουργίας και άλλες μετρήσεις απόδοσης) και ο χρόνος που χρειάζεται για την ανάπτυξη /πρόβλεψή
τους (deploy/provision).

Η επιτυχία είναι η ταχεία και επιτυχής εκτέλεση της
επιχειρησιακής στρατηγικής και ο χρόνος
είναι ένα τεράστιο συστατικό της δράσης
αυτής. Υπάρχει ανταγωνισμός,
ευκαιρίες στην αγορά, τα διπλώματα ευρεσιτεχνίας και νομικά ζητήματα, το πλεονέκτημα του πρωτοπόρου και τόσοι πολλοί άλλοι λόγοι για τους οποίους
ο χρόνος είναι χρήμα.

Ευκινησία στο
σύννεφο

Η εξοικονόμηση κεφαλαίων λόγω CAPEX
και OPEX
μπορεί
να έχει
θετικό αντίκτυπο στους προϋπολογισμούς,
αλλά όταν φτάσετε σε μια θέση όπου
θα πρέπει να υλοποιήσετε μεγάλα έργα μέσα
σε εβδομάδες και όχι σε μήνες, αυτό
το παράδειγμα αποτελεί από μόνο του μια ριζική αλλαγή, στοιχείο το οποίο
μπορεί συχνά να είναι πιο χρήσιμο για
έναν οργανισμό σε σχέση με τις CAPEX και OPEX μειώσεις.

Φανταστείτε ότι η
επιχείρηση σας θέλει να χτίσει μια
υποδομή η οποία θα περιλαμβάνει 200 διακομιστές για μια n-tier
εφαρμογή (200 server n-tier application) με σκοπό να να προωθήσει μια νέα πρωτοβουλία (new initiative ) και ότι η όλα αυτή υποδομή θα πρέπει να είναι
σύμφωνη με το κανονιστικό πλαίσιο PCI (PCI compliant). Πρώτα
απ’όλα θα πρέπει να είναι διαθέσιμη η όλη υποδομή
(υπολογιστική ισχύς, αποθήκευση, δικτύωση/ compute, storage, networking) για
την ταχεία παροχή πόρων και
εν συνεχεία θα πρέπει να υπάρξει συνεργασία με τις ομάδες οι οποίες είναι
υπεύθυνες για την εφαρμογή (application), τη δικτύωση (networking) και την
ασφάλεια (security) για να καταστεί
δυνατή η ενεργοποίηση των απαραίτητων VLANs και των αντιστοίχων κανόνων στα firewall. Εάν
δε έχετε εργαστεί ποτέ σε ένα κατάστημα πληροφορικής
(IT Shop) το οποίο είναι
δομημένο σε μεγάλο βαθμό (silοed) και
χρησιμοποιεί διεργασίες σε φυσικούς διακομιστές (physical server processes), η
τεχνολογία η οποία θα εφαρμοστεί μπορεί να είναι ξεπερασμένη από τη
στιγμή που θα έχει ολοκληρωθεί η ανάπτυξη της συγκεκριμένης λύσης. Το εμπρός και
πίσω μεταξύ των υπηρεσιών και των
διαδικασιών μεταξύ των τμημάτων μόνο και μόνο για να
διευκρινηστούν τα VLANs ή οι κανόνες του firewall έτσι ώστε να
ρυθμιστούν σωστά για την εφαρμογή ή το να εφαρμόσετε οποιεσδήποτε τελικές
ρυθμίσεις (fine tuning), αποτελεί ανασταλτικό παράγοντα ο οποίος
μπορεί να επιβραδύνει ένα τέτοιο έργο
δραματικά.

Ωστόσο, εάν μπορείτε επιτυχώς να εφαρμόσετε την αφαίρεση (abstraction) και τον αυτοματισμό
(automation) στο
τμήμα πληροφορικής του οργανισμού σας (IT Department), τότε καθίσταται δυνατόν να
φτάσετε στο σημείο εκείνο όπου μπορείτε να μειώσετε το χρόνο για για την
υλοποίηση των παρεχόμανων λύσεων στον οργανισμό σας κατά
αρκετούς μήνες σε πολλές περιπτώσεις. Στην ουσία αυτό είναι που γίνεται σήμερα, και
δικαίως του λόγου αποτελεί έναν από τους
μεγαλύτερους λόγους για τους οποίους υπάρχει τόσος μεγάλος ενθουσιασμός όχι μόνο στους κύκλους της πληροφορικής (IT Circles), αλλά και την ηγεσία των επιχειρήσεων, σχετικά με το cloud computing.

Η αξία του cloud computing είναι τόσο βαθιά που από μόνη της υποδεικνύει ότι
όλοι πρέπει να το κάνουμε με αυτόν τον τρόπο και θα
πρέπει να αναφερόμαστε σε αυτό απλά καλώντας ως “Computing". Βεβαίως δεν έχουμε φτάσει ακόμη σε
τέτοιο βαθμό ολοκλήρωσης γι’αυτό και είναι δόκιμος ο όρος
"cloud computing".

Το συμπέρασμα των παραπάνω είναι ότι εάν μπορείτε να εκτελέσετε
έργα με επιτυχία στην βάση της αφαίρεσης
και του αυτοματισμού, τότε μπορείτε να ξεκινήσετε
την ευθυγραμμίση των υπηρεσιών
πληροφορικής σας σύμφωνα με τις
ανάγκες της επιχείρησης και της
εργασίας (align your IT services to the needs of the business and work with the business) με σχέση
τύπου partner-minded, παρέχοντας
την ευελιξία για την ταχύτατη εκτέλεση του
επιχειρηματικού σχεδίου (Business Plan).

Τι σχήμα/μορφή έχει το δικό σας CLOUD?

Τα Cloud μπορούν να έχουν πολλαπλές μορφές και μεγέθη. Κάποια
από αυτά είναι εσωτερικά και κάποια άλλα είναι outsourced. Αμέσως μετά έρχονται τα private/public/hybrid cloud και φυσικά δεν θα πρέπει να
ξεχάσουμε και τα PaaS, IaaS και SaaS. Το ερώτημα το οποίο αυτόματα
τίθεται είναι το παρακάτω : Ποια από τις παραπάνω μορφές/σχήματα θα έχει το
δικό σας Cloud? Ίσως στην
συγκεκριμένη περίπτωση θα πρέπει να βοηθήσουν οι οργανισμοί προτύπων και
κανονιστικών πλαισίων έτσι να δημιουργήσουν ένα σύνολο από ITIL standards τα οποία περιγράφουν όλα εκείνα τα
προαπαιτούμενα για την υλοποίηση ενός ISO 9000 compliant cloud design.

Tο ταξίδι στο CLOUD

Το ταξίδι στο
cloud μοιάζει σαν τον μαραθώνιο και ξεκινά
πάντοτε με το virtualization. Με την έλευση των Microsoft Windows 8 και του HyperV 3 και του VMware vSphere 5, δίνεται το έναυσμα για ένα
συναρπαστικό ταξίδι στο Cloud.

Για τούτο τον λόγο προτείνω να πάμε πίσω από τους όρους private/public
PaaS/IaaS και να εστιάσουμε ξανά στα θεμελειώδη στοιχεία τα οποία είναι η αφαίρεση, ο αυτοματισμός και η ευελιξία (focusing
on the core elements of abstraction, automation, and agility). Συνοψίζοντας τα κύρια σημεία είναι
τα παρακάτω:

Τα Clouds μπορούν να έχουν πολλές μορφές και
σχήματα, αλλά όλα εδράζονται στην αφαίρεση και τον αυτοματισμό έτσι ώστε
να ενεργοποιήσουν την δυναμική της ευελιξίας(rely on abstraction and automation to enable the potential for agility).

Δεν είναι απαραίτητο να κάνετε outsource τα πάντα στο “cloud”. Μπορείτε να ξεκινήσετε το ταξίδι
σας στο δικό σας datacenter(s) πρωτίστως επιδιώκοντας την
αφαίρεση και τον αυτοματισμό (by first pursuing abstraction and then automation).

Το Cloud δεν είναι ή καλύτερα δεν
αναφέρεται μόνον στην τεχνολογία (Cloud isn’t just about technology). Σχετίζεται επίσης με την οργανωτική
δομή και τις διαδικασίες σε μια επιχείρηση (It’s also about organizational structure and processes). Θα πρέπει να θέσετε σε νέες βάσεις
τις διαδικασίες οι οποίες σχετίζονται
με τους φυσικούς διακομιστές, να ανανεώσετε τις ικανότητές σας και να “γκρεμίσετε”
την υπάρχουσα οργανωτική δομή - (Re-engineer your physical server minded processes, refresh your skill sets, and knock down your organizational silos).

Το Virtualization από μόνο του δεν είναι αρκετό. Το Cloud computing απαιτεί την αποτελεσματική χρήση του αυτοματισμού σε πολλαπλά επίπεδα για να είναι αποτελεσματικό (requires the effective use of automation -at
many different levels- to reduce provisioning and service delivery times).

Υλοποιώντας ένα Triple-A Cloud

Ολοκληρώνοντας
θα ήθελα με το συγκεκριμένο άρθρο να θέσω τις θεμελειώδεις βάσεις για μια παραγωγική
συζήτηση σχετικά με την υλοποίηση ενός Triple-A Cloud. Ελπίζω ότι μετά την ανάγνωσή του ότι κατάφερα να σας προβληματίσω.
- Read more...
- 0 comments
- 1063 views
Ανακαλύφθηκε νέο πρόβλημα ασφαλείας στα iPhone!

By Jordan_Tsafaridis, February 25, 2012
Τελευταία ενημέρωση: 23.02.2012 | 15:58
Πρώτη δημοσίευση: 23.02.2012 | 15:49

Χρήστες ανακάλυψαν ακόμα ένα κενό ασφαλείας (bug) στο iOS λειτουργικό που χρησιμοποιούν οι συσκευές τις Apple.

To κενό ασφαλείας αυτό, επιτρέπει σε κάποιον να παρακάμψει την προστασία του κωδικού του χρήστη (passcode) και να
αποκτήσει περιορισμένη πρόσβαση στις επαφές του καθώς και στις πρόσφατες
κλήσεις.

Μπορεί να μην είναι και πολύ σοβαρό πρόβλημα όμως πολλοί είναι αυτοί που δεν θέλουν τρίτους να έχουν πρόσβαση στα δεδομένα της συσκευής
τους.

Σύμφωνα με το βίντεο που μπορείτε να δείτε παρακάτω, το μόνο που έχει να κάνει κάποιος είναι να βάλει και να βγάλει την κάρτα SIM την ώρα
που το τηλέφωνο είναι σε αναμονή κι έχει κάποια αναπάντητη.

Φυσικά απαραίτητη προϋπόθεση είναι να έχει εγκατεστημένο το iOS 5 όμως το πιο πιθανό είναι η Apple να το διορθώσει στο επόμενο update...

Πηγή : http://www.newsit.gr/default.php?pname=Article&art_id=123899&catid=14
- Read more...
- 0 comments
- 576 views
Πολλαπλά Vulnerabilities στο Apple Mac OS X είναι δυνατόν να επιτρέπουν το Remote Code Execution

By Jordan_Tsafaridis, February 25, 2012
OCS ADVISORY NUMBER:

2012-006

DATE(S) ISSUED:

02/03/2012

SUBJECT:

Multiple Vulnerabilities in Apple Mac OS X Could Allow Remote Code Execution

OVERVIEW:

Multiple vulnerabilities have been discovered in Apple's OS X and
OS X Server that could allow remote code execution. OS X is a desktop
operating system for the Apple Mac. OS X Server is a server operating
system for the Apple Mac.

These vulnerabilities can be exploited if a user visits or is
redirected to a specially crafted webpage or opens a specially crafted
file, including an e-mail attachment, while using a vulnerable version
of OS X. Successful exploitation could result in an attacker gaining
the same privileges as the logged on user. Depending on the privileges
associated with the user, an attacker could then install programs;
view, change, or delete data; or create new accounts with full user
rights.

SYSTEMS AFFECTED:

OS X Lion 10.7 through 10.7.2
OS X Lion Server 10.7 through 10.7.2
Mac OS X 10.6.8
Mac OS X Server 10.6.8

RISK:

Government:

Large and medium government entities: High
Small government entities: High

Businesses:

Large and medium business entities: High
Small business entities: High

Home users: High

DESCRIPTION:

Multiple vulnerabilities have been discovered in Apple's OS X that
could allow both remote and local code execution. These
vulnerabilities can be exploited if a user visits or is redirected to a
specially crafted webpage or opens a specially crafted file, including
an e-mail attachment, while using a vulnerable version of OS X.

Apple has identified the following vulnerabilities:

A vulnerability exists in the Address Book application in OS X
Lion v10.7.2 or earlier. This issue exists because the application will
attempt an unencrypted connection to obtain CardDAV data if an
encrypted connection fails. Attackers can exploit this issue by
performing a man in the middle attack or by intercepting the
unencrypted data at strategic network locations. Successful
exploitation could result in the theft of address book contact
information. This issue affects OS X Lion v10.7 to v10.7.2, OS X Lion
Server v10.7 to v10.7.2 (CVE-2011-3444)

An unspecified memory management issue exists in the Font Book
application due the improper handling of certain data-font files. To
exploit this issue, an attacker creates a specially crafted data-font
file and distributes that file to unsuspecting users. When the user
opens the file with Font Book, the exploit is triggered. Successful
exploitation could result in remote code execution. This issue affects
Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 to v10.7.2,
OS X Lion Server v10.7 to v10.7.2. (CVE-2011-3446)

An issue exists in the CFNetworkâ€™s handling of malformed URLs
which could lead to information disclosure. When accessing a
maliciously crafted URL, CFNetworkcould send the request to an
incorrect origin server. To exploit this issue, an attacker distributes
a specially crafted URL to unsuspecting users. When a user visits the
URL, certain information could be relayed to the attacker. Successful
exploitation could result in information disclosure which could be used
to aid additional attacks. This issue affects OS X Lion v10.7 to
v10.7.2, OS X Lion Server v10.7 to v10.7.2 (CVE-2011-3246)

An integer overflow vulnerability exists due to the way CFNetwork
handles certain images with embedded ColorSynch information. To
exploit this issue, an attacker distributes a specially crafted image
file to unsuspecting users. When the file is executed, the exploit
triggers. Successful exploitation could result in remote code
execution. This issue affects OS X Lion v10.7 to v10.7.2, OS X Lion
Server v10.7 to v10.7.2 (CVE-2011-3447) and Mac OS X v10.6.8, Mac OS X
Server v10.6.8 (CVE-2011-0200)

A buffer overflow vulnerability exists in a CoreAudio component
of Mac OS X v10.6.8 and Mac OS X Server v10.6.8 due to the improper
handling of certain encoded audio streams. The specifics of how this
vulnerability can be exploited are unclear. However, successful
exploitation does in involve the execution of a specially crafted audio
content and could result in remote code execution. (CVE-2011-3252)

A heap buffer overflow exists in a CoreMedia component of OS X due
to the improper handling on H.264 encoded movie files. To exploit this
issue, an attacker distributes a specially crafted movie file to
unsuspecting users. When the file is executed, the exploit is
triggered. Successful exploitation could result in remote code
execution. This issue affects Mac OS X v10.6.8, Mac OS X Serverv10.6.8,
OS X Lion v10.7 to v10.7.2, OS X Lion Server v10.7 to v10.7.2.
(CVE-2011-3448)

An unspecified after free issue exists in the handling of certain
font files. To exploit this issue, an attacker creates and distributes
a specially crafted file that uses the vulnerable fonts. When the file
is execution the exploit occurs. Successful exploitation could result
in remote code execution. This issue affects Mac OS X v10.6.8, Mac OS X
Server v10.6.8, OS X Lion v10.7 tov10.7.2, OS X Lion Server v10.7 to
v10.7.2 (CVE-2011-3449)

An unbounded stack allocation issue exists in CoreUIâ€™s handling
of long URLs. To exploit this issue, an attacker creates and
distributes a specially crafted website designed to leverage the issue.
When a user visits the website the exploit is triggered. Successful
exploitation could result in remote code execution. This issue affects
OS X Lion v10.7 to v10.7.2, OS X Lion Server v10.7 to v10.7.2
(CVE-2011-3450)

An unspecified buffer overflow vulnerability exists in the
â€œuncompressâ€� command line tool. To exploit this issue, an attacker
distributes a specially crafted compressed file. When the file is
uncompressed via command line, the exploit is triggered. Successful
exploitation could result in remote code execution. This issue affects
Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 tov10.7.2,
OS X Lion Server v10.7 to v10.7.2 (CVE-2011-0241)

A buffer overflow exists in libtiff's handling of ThunderScan
encoded TIFF image files and libpng v1.5.4â€™s handling of certain PNG
files. To exploit this issue, an attacker distributes a specially
crafted TIFF file or PNG file. When the file is executed, the exploit
is triggered. Successful exploitation could result in code execution.
This issue affects Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion
v10.7 to v10.7.2, OS X Lion Server v10.7 to v10.7.2 (CVE-2011-1167,
CVE-2011-3328)

An unspecified issue exists in Libinfo's handling of hostname
lookup requests. Libinfo could return incorrect results for a specially
crafted hostname. To exploit this issue, an attacker creates a
specially crafted website and distributes a link to unsuspecting users.
When a user visits the site, the exploit is triggered. Successful
exploitation could result in remote code execution. This issue affects
OS X Lion v10.7 to v10.7.2, OS X Lion Server v10.7 to v10.7.2
(CVE-2011-3441)

An unspecified integer overflow exists in the parsing of certain
DNS resource records. The details of how this vulnerability can be
exploited are unavailable. Successful exploitation could allow remote
code execution. This issue affects Mac OS X v10.6.8, Mac OS X Server
v10.6.8, OS X Lion v10.7 tov10.7.2, OS X Lion Server v10.7 to v10.7.2
(CVE-2011-3453)

Multiple memory corruption issues exist in OpenGL™s handling of
GLSL compilation. The details of how this vulnerability can be
exploited are unclear. However, successful exploitation could result in
arbitrary code execution. This issue affects Mac OS X v10.6.8, Mac OS X
Server v10.6.8, OS X Lion v10.7 to v10.7.2, OS X Lion Server v10.7 to
v10.7.2 (CVE-2011-3457)

Multiple buffer overflow and memory corruption vulnerabilities
exist in QuickTime which could allow remote code execution. To exploit
these vulnerabilities, an attacker distributes a specially crafted
movie or image file to unsuspecting users. When the file is executed
the exploit is triggered. Successful exploitation could result in
arbitrary code execution. This issue affects Mac OS X v10.6.8, Mac OS X
Server v10.6.8, OS X Lion v10.7 to v10.7.2, OS X Lion Server v10.7 to
v10.7.2 (CVE-2011-3458, CVE-2011-3248, CVE-2011-3459, CVE-2011-3250,
CVE-2011-3460,CVE-2011-3249)

An issue exists in the Time Machine application that could allow
attackers to gain unauthorized access to system backups. The user may
designate a remote AFP volume or Time Capsule to be used for Time
Machine backups. Time Machine did not verify that the same device was
being used for subsequent backup operations. An attacker who is able to
spoof the remote volume could gain access to new backups created by
the user's system. This issue affects OS XLion v10.7 to v10.7.2, OS X
Lion Server v10.7 to v10.7.2. (CVE-2011-3462)

An issue exists in WebDAV Sharing's handling of user
authentication. A user with a valid account on the server or one of its
bound directories could cause the execution of arbitrary code with
system privileges. The details of how this vulnerability can be
exploited are unavailable. This issue affects OS X Lion Server v10.7 to
v10.7.2 (CVE-2011-3463)

A memory corruption issue existed in FreeType's handling of Type 1
fonts. To exploit this issue, an attacker distributes a specially
crafted PDF file which utilizes the vulnerable font. When a user opens
the file, the exploit is triggered. Successful exploitation could
result in remote code execution. This issue affects Mac OS X v10.6.8,
Mac OS X Server v10.6.8, OS X Lion v10.7 to v10.7.2, OS X Lion Server
v10.7 to v10.7.2 (CVE-2011-3256)

Successful exploitation of these vulnerabilities could result in
an attacker gaining the same privileges as the logged on user.
Depending on the privileges associated with the user, an attacker could
then install programs; view, change, or delete data; or create new
accounts with full user rights. Failed attempts could result in a
denial-of-service.

RECOMMENDATIONS:

We recommend the following actions be taken:

Apply appropriate patches provided by Apple to affected systems immediately after appropriate testing.
Remind users not to download or open files from un-trusted websites.
Remind users not to open e-mail attachments from unknown users or suspicious e-mails from trusted sources.
Remind users not to visit un-trusted websites or follow links provided by unknown or un-trusted sources.
Run all software as a non-privileged user (one without administrative privileges) to diminish the effects of a
successful attack.

Permit local access for trusted individuals only. Where possible, use restricted environments and restricted shells.

REFERENCES:

Apple:

http://support.apple.com/kb/HT5130

Security Focus:

http://www.securityfocus.com/advisories/23952

http://www.securityfocus.com/bid/51807

http://www.securityfocus.com/bid/51808

http://www.securityfocus.com/bid/51809

http://www.securityfocus.com/bid/51810

http://www.securityfocus.com/bid/51811

http://www.securityfocus.com/bid/51812

http://www.securityfocus.com/bid/51813

http://www.securityfocus.com/bid/51814

http://www.securityfocus.com/bid/51815

http://www.securityfocus.com/bid/51816

http://www.securityfocus.com/bid/51817

http://www.securityfocus.com/bid/51818

CVE:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3444

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3446

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3246

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3447

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0200

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3252

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3448

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3449

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3459

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0241

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3328

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1167

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3441

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3453

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3457

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3249

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3460

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3250

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3459

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3248

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3458

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3462

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3463

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3256

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3450
- Read more...
- 0 comments
- 649 views
Windows Server 8 Hyper-V (Μέρος 1ο) – Μια σε βάθος ανάλυση των Windows Server 8 Hyper-V εικονικών μηχανών

By Jordan_Tsafaridis, March 14, 2012
Αγαπητοί συνάδελφοι
της κοινότητας σκοπός του συγκεκριμένου άρθρου είναι η δημιουργία μιας εικονικής
μηχανής ( virtual machine)
χρησιμοποιώντας τον Windows Server 8 Hyper-V.

Εισαγωγή

Πριν από
μερικούς μήνες η Microsoft έθεσε στην διάθεση
του κοινού την έκδοση preview των επερχομένων Windows
Server 8, στα οποία περιλαβάνεται και η καινούρια έκδοση του Hyper-V. Είναι γεγονός ότι έχουν γραφτεί πολλά σχετικά με το καινούριο Hyper-V αλλά τελικώς ήθελα να διαπιστώσω ιδίοις όμασι τις δυνατότητες της καινούριας αυτής έκδοσης.
Για τον λόγο αυτό χρησιμοποίησα έναν διακομιστή (Server)
Dell PowerEdge R610
στον οποίο εγκατέστησα τον Windows Server
8 Developer Preview.

Ο συγκεκριμένος
διακομιστής έχει τα παρακάτω τεχνικά χαρακτηριστικά:

2 x quad core Inter Xeon Ε5620 processors.
32 GB RAM.
2 x 300 GB 10K RPM SAS disk.
Σύνδεση σε ένα Dell/EMC AX4-5F Fibre Channel storage array.

Η πρώτη μου ενέργεια
ήταν η εγκατάσταση του Hyper-V
role στον διακομιστή (server).
Η διαδικασία αυτή δεν έχει αλλάξει σημαντικά σε σχέση με τον Windows
Server 2008 R2, και γι’αυτόν τον
λόγο δεν θα αναφερθώ σε αυτήν. Αντιθέτως αυτό το οποίο θα προσπαθήσω να καλύψω εκτενώς
είναι η δημιουργία και η παραμετροποίηση μιας εικονικής μηχανής στον Windows Server 8 Hyper-V. Σε αυτό το πρώτο μέρος της συγκεκριμένης σειράς άρθρων θα ασχοληθούμε με την
δημιουργία του αρχικού virtual switch
το οποίο
είναι απαραίτητο μιας και θα το χρησιμοποιούν οι εικονικές μηχανές για να
επικοινωνούν με το δίκτυο και αμέσως μετά θα προχωρήσουμε στην διαδικασία
δημιουργίας μιας καινούριας εικονικής μηχανής. Αντιστοίχως στο δεύτερο μέρος θα
παρουσιάσουμε αναλυτικά κάθε ένα ξεχωριστά τα configuration option
της
καινούριας εικονικής μηχανής την οποία πρόκειται να δημιουργήσουμε.

Ενεργοποιώντας
την δικτυακη υποδομή

Πριν προχωρήσουμε
στην διαδικασία δημιουργίας της πρώτης μας εικονικής μηχανής στον Hyper-V
3.0, πρωτίστως χρειζόμαστε να δημιουργήσουμε ένα εικονικό (virtual)
switch πάνω στο οποίο η εικονική μηχανή δύναται να συνδεθεί. Μέχρι
να υλοποίησουμε το παραπάνω, το σημείο στο οποίο μας ζητείται κατά την διαδικασία
δημιουργίας της εικονικής μηχανής στο οποίο μας ζητείται να συνδέσουμε (attach)
την VM σε ένα δίκτυο δεν θα περιλαμβάνει κανένα
δίκτυο για να συνδεθεί.

Όπως απεικονίζεται
και στην Εικόνα 1 παρακάτω, μπορείται να παρατηρήσετε ότι έχω δημιουργήσει ένα
εικονικό (virtual) switch το οποίο το έχω
ονομάσει External network το
οποίο με την σειρά του είναι συνδεδεμένο με το εξωτερικό δίκτυο. Για να το υλοποιήσω
αυτό, ενεργοποιούμε τον Virtual Switch
Manager και εν συνεχεία επιλέγουμε την επιλογή Create virtual switch.
Στο σημείο αυτό αποδεχόμαστε τα προτεινόμενα (defaults)
και διασφαλίζουμε ότι αυτό το καινούριο εικονικό switch
είναι σε μια φυσική κάρτα δικτύου (physical network
adapter) η οποία με την σειρά της διαχειρίζεται την
διασύνδεση με το εξωτερικό δίκτυο (external network
connectivity).

Εικόνα 1:
Ο Virtual Network Manager

Σε ένα σύστημα
με εγκατεστημένο τον Hyper-V
3.0, υπάρχουν διαθέσιμα ορισμένα ακόμη virtual
network extensions με τα αοποία μπορούμε
να δουλέψουμε. Αυτά απεικονίζονται στην Εικόνα 2.

Microsoft NDIS Capture.
Ένας οδηγός ο οποίος επιτρέπει την “σύλληψη” – (capturing)
– της δικτυακής πληροφορίας η οποία διατρέχει το συγκεκριμένο virtual switch.

Microsoft Windows Filtering Platform.
Για το συγκεκριμένο χαρακτηριστικό παραθέτω αυτούσια την ορισμό όπως αυτός
δίδεται από την Microsoft διότι η μετάφραση
στην Ελληνική γλώσσα θα ήταν παρακινδυνευμένη. “Windows Filtering Platform (WFP) is a network traffic processing
platform… consists of a set of hooks into the network stack and a
filtering engine that coordinates network stack interactions.” The
filtering platform provides a standardized method by which Microsoft and
third party vendors can implement filtering modules that meet specific
needs.

Εικόνα 2:
Τα Virtual switch extensions

Δημιουργία
της εικονικής μηχανής

Τώρα που έχουμε
δημιουργήσει το δίκτυο πάνω στο οποίο μπορούν να συνδεθούν οι εικονικές μηχανές,
είμαστε πλέον σε θέση να δημιουργήσουμε την πρώτη μας εικονική μηχανή. Εάν έχετε
ήδη χρησινοποιήσει τον Hyper-V,
θα γνωρίζετε ότι η διαδικασία αυτή είναι wizard-driven.
Για την εκκίνηση του wizard, κάνουμε δεξί κλικ στον
Hyper-V host
server και αμέσως μετά από το shortcut menu, επιλέγουμε New
> Virtual Machine (Εικόνα 3).

Εικόνα 3:
Δημιουργία μιας καινούριας εικονικής μηχανής

Όπως ανέφερα και
προηγουμένως, η επιλογή αυτή θα εκκινήσει τον wizard.
Στην πρώτη σελίδα του wizard, δεν υπάρχουν και
πολλά πράγματα να δείτε. Απλώς το μόνο το οποίο θα πρέπει να κάνετε είναι κλικ
στο Next button για να προχωρήσετε (Εικόνα
4).

Εικόνα 4: Εισαγωγικές πληροφορίες

Εν συνεχεία θα
ερωτηθούμε, για τον καθορισμό του ονόματος της καινούριας αυτής εικονικής μηχανής
και φυσικά θα θα μας ζητηθεί να επιλέξουμε την διαδρομή δίσκου στην οποία θα αποθηκεύσουμε
την εικονική μηχανή. Εάν τσεκάρουμε το αντίστοιχο checkbox,
όπως αυτό απεικονίζεται στην Εικόνα 5, τότε μας δίδεται η δυνατότητα επιλογής
της τοποθεσίας αποθήκευσης των αρχείων της εικονικής μηχανής διότι σε
διαφορετική περίπτωση τότε αυτόματα επιλέγεται η εξορισμού τοποθεσία (default
location).

Στην πλειοψηφία
των περιπτώσεων, ή θα πρέπει να γίνει επανακαθορισμός της εξορισμού τοποθεσίας
(default location) στην οποία σκοπεύουμε
να αποθηκεύουμε τις εικονικές μηχανές (κάτι το οποίο μπορεί να γίνει από την
σελίδα Hyper-V Settings).
Σε κάθε άλλη περίπτωση θα πρέπει για κάθε μία ξεχωριστά VM,
να καθορίζουμε την τοποθεσία αποθήκευσης διότι πολύ απλά σε παραγωγικά
επιχειρησιακά περιβάλλονταχρησιμοποιούται non-local
storage για τις εικονικές μηχανές.

Εικόνα 5: Προσδιορισμός ονόματος και τοποθεσία
της καινούριας εικονικής μηχανής

Κάθε εικονική
μηχανή χρειάζεται RAM και στην επόμενη σελίδα
του wizard μας δίδεται η δυνατότητα να ορίσουμε το ποσό
της μνήμης RAM το οποίο θέλουμε να διαθέσουμε για την
καινούρια VM. Όπως γίνεται άμεσα αντιληπτό παρατηρώντας την Εικόνα 6, ορίζω (allocating)
το ποσό των 2 GB of RAM
για την
καινούρια μου εικονική μηχανή.

Επιπροσθέτως
σε αυτή την σελίδα, θα παρατηρήσετε την επιλογή με τον διακριτικό τίτλο Enable-Hyper-V to manage the amount of memory dynamically
for this VM. Όταν αυτή η επιλογή είναι ενεργοποιημένη επιτρέπουμε
στον Hyper-V να διαχειρίζεται προληπτικά
την μνήμη έτσι ώστε να χρησιμοποιείται η host
RAM πιο αποδοτικά επιτρέποντας την αύξηση του
αριθμού των εικονικών μηχανών οι οποίες δύναται να τρέχουν ταυτόχρονα σε έναν
και μοναδικό host.

Εικόνα 6: Ρύθμιση
επιλογών μνήμης της καινούριας εικονικής μηχανής

Όπως είναι φυσικό
κάθε καινούρια εικονική μηχανή χρειάζεται έναν τρόπο ή καλύτερα ένα μέσον για
να επικοινωνεί με άλλους διακομιστές (servers) καθώς επίσης και με
τον έξω κόσμο. Αυτό είναι το έργο της διασύνδεσης δικτύου (network connection). Συνεπώς επιλέγουμε την διασύνδεση δικτύου από την σελίδα Configure Networking του wizard,
όπως απεικονίζεται στην Εικόνα 7. Θα πρέπει στο σημείο αυτό να παρατηρήσετε ότι
συνέδεσα την συγκεκριμένη εικονική μηχανή στο external network virtual
switch το οποίο δημιούργησα στην αρχή του
συγκεκριμένου άρθρου.

Εικόνα 7:
Επιλογή δικτύου στο οποίο θέλουμε να συνδέσουμε την συγκεκριμένη εικονική μηχανή

Εν συνεχεία η
εικονική μηχανή χρειάζεται αποθηκευτικό μεσο (storage).
Στο σημείο αυτό έχουμε τρεις επιλογές. Μπορούμε
να δημιουργήσουμε ένα καινούριο εικονικό δίσκο (virtual
hard drive), να χρησιμοποιήσουμε
ένα ήδη υπάρχον εικονικό δίσκο ή να επιλέξουμε το μέσο αποθήκευσης (storage
device) σε κάποια άλλη στιγμή. Στην εικόνα 8, όπως θα διαπιστώσετε
δημιούργησα έναν καινούριο εικονικό δίσκο κάνοντας χρήση των εξ ορισμού
ρυθμίσεων (using the defaults),
βάση των οποίων το μέγεθος καθορίζεται στα 127 GB.
Σημειώστε επίσης ότι η τοποθεσία (location) και το όνομα του
εικονικού δίσκου αποτελούν επίσης default entries.
Επιπροσθέτως η καινούρια αυτή εικονική μηχανή χρησιμοποεί την καινούρια διαμόρφωση
εικονικών δίσκων της Microsoft το VHDX
format, το οποίο επιτρέπει την δημιουργία ενός virtual
drive με τάξη μεγέθους εως και τα 16 TB.

Εικόνα 8: Επιλογή του virtual storage option

Με γνώμονα ότι
έχουμε ολοκληρώσει την επιλογή μνήμης, αποθηκευτικού μέσου και του δικτύου βρισκόμαστε
στο σημείο στο οποίο θα πρέπει να υποδείξουμε στον Hyper-V
τι
πρόκειται να κάνουμε με το θέμα του λειτουργικού συστήματος. Έτσι λοιπόν μπορούμε
να πούμε στον Hyper-V ότι θέλουμε να επιλέξουμε
το λειτουργικό σύστημα αργότερα, κάτι το οποίο ήταν και η δική μου επιλογή όπως
αυτή απεικονίζεται στην Εικόνα 9. Εναλλακτικά μπορούμε να ενημερώσουμε τον Hyper-V
ότι θα
χρησιμοποιήσουμε ένα ISO image
αρχείο
είτε ότι θα χρησιμοποιήσουμε ένα physical host-based
installation media.
Σε ορισμένες περιπτώσεις είναι δυνατόν να έχουμε το installation media αποθηκευμένο σε ένα CD-ROM,
DVD-ROM ή να επιλέξουμε να
εγκαταστήσουμε το λειτουργικό σύστημα από έναν network-based
installation server.

Εικόνα 9:
Επιλογή εγκατάστασης του λειτουργικού συστήματος

Με την ολοκλήρωση
όλων των επιλογών μας αυτομάτως ο wizard μας παρουσιάζει μια
οθόνη περίληψης στην οποία μπορούμε να δούμε συνοπτικά όλες τις επιλογές μας. Εφόσον
είμαστε βέβαιοι για την ορθότητα των επιλογών μας για την δημιουργία της
εικονικής μας μηχανής τότε κάνουμε κλικ στο κουμπί Finish.

Εικόνα 10: Επαλήθευση
των επιλογών μας στην σελίδα Summary

Αμέσως μετά την
δημιουργία της εικονικής μηχανής θα παρατηρήσετε ότι αυτή είναι πλέον καταχωρημένη
στο Virtual Machines box
του Hyper-V
Manager. Βεβαίως στην δεδομένη χρονική στιγμή η εικονική
μας μηχανή βρίσκεται σε κατάσταση Off όπως απεικονίζεται
στην Εικόνα 11.

Εικόνα 11: Η
καινούρια εικονική μηχανή έχει δημιουργηθεί

Συμπέρασμα

Ολοκληρώνοντας έχοντας ήδη δημιουργήσει την εικονική σας μηχανή
μπορείται να την εκκινήσετε και να ξεκινήσετε την χρήση της. Κατα την άποψή μου
θα πρέπει να εξερευνήσουμε διεξοδικά την πληθώρα επιλογών οι οποίες βρίσκονται
στην διάθεσή μας για την πλήρη παραμετροποίηση του καινούριου μας συστήματος. Αυτό
θα είναι το αντικείμενο για τα επόμενα άρθρα της συγκεκριμένης σειράς.
- Read more...
- 0 comments
- 633 views
Πως μπορούμε χρησιμοποιώντας τον Hyper-V να κατασκευάσουμε μια υποδομή Private Cloud (Μέρος 4ο)

By Jordan_Tsafaridis, March 18, 2012
Αγαπητοί συνάδελφοι της κοινότητας στο τέταρτο αυτό μέρος
αυτής της σειράς άρθρων έφτασε πλέον η στιγμή να παρουσιάσουμε την διαδικασία
εγκατάστασης των Windows
από
το deployment
image το
οποίο έχουμε προηγουμένως δημιουργήσει.

Εισαγωγή

Στο προηγούμενο
άρθρο της συγκεκριμένης σειράς σας παρουσίασα τον τρόπο με τον οποίο μπορείτε να
δημιουργήσετε ένα deployment image
και εν
συνεχεία την προσθήκη του στο Windows Deployment Service. Παρότι το image
το οποίο
δημιουργήσαμε είναι εκκινήσιμο (bootable) σε αυτό το χρονικό
σημείο ωστόσο στην πραγματικότητα δεν είναι έτοιμο προς χρήση. Με δεδομένη την πρόθεσή
μας να δημιουργήσουμε ένα private cloud
ο αντικειμενικός
στόχος μας είναι να είμαστε σε θέση να δημιουργήσουμε εικονικές μηχανές “on
the fly” διαμέσου ενός self-service
console. Συνεπώς για να είναι δυνατή η επίτευξη αυτού
του στόχο απαιτείται το κάθε deployment image
που θα
υλοποιήσουμε να γίνει normalized.

Όπως όλοι πιθανώς
γνωρίζετε, κάθε εγκατάσταση των Windows περιλαμβάνει πληροφορίες
οι οποίες σχετίζονται με το όνομα του υπολογιστή (computer name) καθώς επίσης και
μια ταυτότητα SID η οποία καθορίζει με μοναδικό τρόπο τον κάθε
υπολογιστή στο δίκτυο. Συνεπώς, οι εικονικές μηχανές οι οποίες τρέχουν τα Windows
δεν δύναται
να αντιγραφούν (cloned) εφόσον τρέχουν μια
κανονική εγκατάσταση των Windows διότι διαδικασία
αντιγραφής (Cloning Process) θα οδηγούσε στην
ύπαρξη διπλών μηχανών (duplicate machines)
στο δίκτυο. Συνεπώς στην περίπτωσή μας, θα πρέπει να κάνουμε normalize το
deployment image
το οποίο
έχουμε ήδη δημιουργήσει. Κατά την εφαρμογή του Normalizing στο
image αφαιρείται κάθε μοναδική πληροφορία ταυτοποίησης
(uniquely identifying information)
έτσι ώστε η εικονική μηχανή να μπορεί να αναπαραχθεί όσες φορές χρειάζεται.

Έχοντας τα παραπάνω
υπόψην μας, ας προχωρήσουμε μπροστά δημιουργώντας μια εικονική μηχανή και εν συνεχεία
κάνοντας normalize στην συγκεκριμένη εικονική μηχανή
χρησιμοποιώντας το deployment image
το οποίο
έχουμε ήδη δημιουργήσει. Η διαδικασία ξεκινά σε έναν server
ο οποίος
τρέχει τον Hyper-V στον οποίο
δημιουργούμε μια καινούρια εικονική μηχανή. Στην πράξη, φορτώνουμε στην μνήμη τον
Hyper-V Manager
και εν συνεχεία
επιλέγουμε την εντολή New | Virtual
Machine από το Actions
pane. Όταν ο New Virtual
Machine Wizard ξεκινά, κάνουμε κλικ
στο Next για να προσπεράσουμε το Welcome
screen.

Στα προηγούμενα
άρθρα της σειράς δημιουργήσαμε deployment images
για τα Windows
7 και για τον Windows Server 2008 R2
αντίστοιχα. Για την συγκεκριμένη παρουσίαση θα χρησιμοποιήσουμε το Windows
7 deployment image.
Για τούτο τον λόγο, καθορίζουμε το Windows 7 Image
ως το
όνομα της εικονικής μηχανής. Αυτή η οθόνη μας δίνει την δυνατότητα της επιλογής
αποθήκευσης της εικονικής μηχανής σε διαφορετική διαδρομή δίσκου. Εάν ‘εχουμε καθορίσει
συγκεκριμένο αποθηκευτικό μέσο για την αποθήκευση των εικονικών μηχανών τότε
προτείνεται η άμεση χρησιμοποιήσή του.

Κάνουμε κλικ
στο Next και αυτομάτως ο wizard
θα μας ρωτήσει
πόση μνήμη RAM θέλουμε να δεσμεύσουμε για την συγκεκριμένη
εικονική μηχανή. Προτείνω την δέσμευση τουλάχιστον 1024 MB.

Η επόμενη οθόνη
μας ερωτά πια κάρτα δικτύου (network adapter)
θα πρέπει να χρησιμοποιήσει η εικονική μηχανή. Εξ ορισμού οι εικονικές μηχανές είναι
ρυθμισμένες έτσι ώστε να μην συνδέονται στο δίκτυο. Άρα λοιπόν θα πρέπει να είμαστε
βέβαιοι ότι έχουμε επιλέξει μια κάρτα δικτύου πριν κάνουμε κλικ στο Next.

Στην αμέσως επόμενη
οθόνη θα μας ζητηθεί να ορίσουμε το μέγεθος του εικονικού σκληρού δίσκου (virtual
hard disk) τον οποίο θέλουμε
να χρησιμοποιήσουμε. Προτείνω την χρήση – δέσμευση κατ’ελάχιστον 50 GB. Θα πρέπει να λάβετε υπόψην σας ότι ο Hyper-V
χρησιμοποιεί
την τεχνική του thin provisioning εξ
ορισμού, στοιχείο το οποίο σημαίνει ότι ακόμη και αν καθορίσετε το μέγιστο μέγεθος
των 2040 GB στην πράξη το αρχείο του εικονικού δίσκου (actual
virtual hard disk
file) θα έχει μέγεθος το οποίο θα αντιστοιχεί στον όγκο των
δεδομένων τα οποία είναι αποθηκευμένα εντός αυτού.

Στην αμέσως επόμενη
οθόνη ερωτόμαστε εάν θέλουμε να εγκαταστήσουμε ένα λειτουργικό σύστημα. Θα πρέπει
να βεβαιθούμε ότι έχουμε επιλέξει την επιλογή εγκατάστασης του λειτουργικού συστήματος
από το δίκτυο (network based
installation server),
όπως αυτό απεικονίζεται στην Εικόνα 1. Αμέσως μετά κάνουμε κλικ στο Finish
για να
δημιουργήσουμε την εικονική μηχανή.

Εικόνα 1: Πρέπει
να παραμετροποιήσουμε την εικονική μηχανή έτσι ώστε να χρησιμοποιεί την εγκατάσταση
διαμέσου του δικτύου (network based
installation).

Εγκαθιστώντας τα Windows

Όταν επιστρέψουμε
πίσω στην κύρια οθόνη του Hyper-V
Manager κάνουμε διπλό κλικ στην μόλις δημιουργηθήσα εικονική
μηχανή για κάνουμε επισκόπηση σε αυτήν. Αρχικώς η εικονική μηχανή είναι ανενεργή
(powered off), γι’αυτό επιλέγουμε
την εντολή Start από το μενού Action
για να
την ενεργοποιήσουμε. Μετά από ένα χρονικό διάστημα ενός ή το πολύ δύο λεπτών της
ώρας η εικονική μηχανή θα αποκτήσει μια IP
address από τον DHCP
server τον οποίο έχουμε εγκατεστημένο. Μόλις αυτό συμβεί θα πρέπει
ταχύτατα να πιέσουμε το πλήκτρο F12 για να ξεκινήσει η
διαδικασία του network boot.
Σε αυτήν την χρονική στιγμή, η εικονική μηχανή φορτώνει στην μνήμη ένα Windows
pre-boot περιβάλλον, το οποίο
απεικονίζεται στην Εικόνα 2.

Εικόνα 2: Η
εικονική μηχανή φορτώνει ένα pre-boot
environment.

Στην παραπάνω
οθόνη θα πρέπει να είστε σίγουροι ότι έχετε επιλέξει το σωστό keyboard layout και εν συνεχεία
κάνουμε κλικ στην επιλογή Run the
Deployment Wizard
to Install a
New Operating System
option. Αμέσως μετά θα σας ζητηθεί να εισάγεται το username,
το domain
name, και το password τα οποία θα
χρησιμοποιηθούν για την σύνδεση στο δικό σας deployment share.

Μετά την
εισαγωγή των, κάνουμε κλικ στο OK. Εν συνεχεία θα μας ζητηθεί
να επιλέξουμε το λειτουργικό σύστημα το οποίο θέλουμε να εγκαταστήσουμε, όπως
αυτό απεικονίζεται στην Εικόνα 3. Οι επιλογές μας είναι αντίστοιχες των deployment images που έχουν καθοριστεί
προηγουμένως.

Εικόνα 3: Επιλέγουμε
το λειτουργικό σύστημα το οποίο επιθυμούμε να εγκαταστήσουμεl.

Κάνουμε κλικ
στο Next και αυτομάτως θα μας ζητηθεί να εισάγουμε το
όνομα του υπολογιστή (computer name).
Θα πρέπει να τονίσουμε εδώ ότι το όνομα του υπολογιστή μας είναι αδιάφορο διότι
πολύ απλά πρόκειται να κάνουμε normalize στο image,
γι’αυτο κάνουμε κλικ στο Next για να αποδεχτούμε το
εξ ορισμού όνομα (default name).

Η επόμενη οθόνη
μας ρωτά εάν θέλουμε να συνδεδθούμε σε ένα domain.
Σε καμία περίπτωση δεν θα πρέπει να συνδεθούμε σε ένα domain
στην
συγκεκριμένη χρονική στιγμή. Αντιθέτως θα πρέπει να επιλέξουμε την επιλογή Join
a Workgroup και αμέσως μετά
κάνουμε κλικ στο Next.

Στην επόμενη
οθόνη ερωτόμαστε εάν θέλουμε να κάνουμε επαναφορά των δεδομένων χρήστη (restore
user data). Επιλέγουμε την επιλογή Do Not Restore User Data and Settings και κάνουμε κλικ στο Next.

Σε αυτό το σημείο κάνουυμε επαλήθευση για την επιλογή της σωστής γλώσσας, χρόνου – νομίσματος και πληκτρολογίου – ( verify that the appropriate language, time and
currency format, and keyboard layout) – και κάνουμε κλικ στο Next. Τώρα, μπορούμε να επιλέξουμε την χρονική ζώνη
(time zone) και κάνουμε κλικ
στο Next.

Η επόμενη οθόνη
η οποία θα εμφανιστεί είναι εξόχως σημαντική. Θα πρέπει να επιλέξουμε την επιλογή
Capture an Image
of this Reference Computer, όπως αυτό απεικονίζεται
στην Εικόνα 4. Το πεδίο τοποθεσίας (Location field)
θα πρέπει να παραπέμπει στο δικό σας deployment share
και θα πρέπει
να καθορίσουμε ένα μοναδικό όνομα για το το οποίο πρόκειται να δημιουργήσουμε.

Εικόνα 4: Yπρέπει
να δημιουργήσουμε (capture) ένα reference image της συγκεκριμένης
εικονικής μηχανής.

Αμέσως μετά
κάνουμε κλικ στο Next το οποίο ακολουθείται
από το Begin. Το pre-installation environment θα ξεκινήσει την εγκατάσταση
των Windows 7 όπως απεικονίζεται στην Εικόνα 5.

Εικόνα 5: Τα
Windows 7 εγκαθιστώνται από μια διαδρομή δικτύου (network
share).

Μετά την ολοκλήρωση
της βασικής διαδικασίας εγκατάστασης των Windows,
η εικονική μηχανή απορρίπτει το pre-installation environment και δημιουργεί ένα αρχείο
image (.WIM), όπως απεικονίζεται
στην Εικόνα 6.

Εικόνα 6: Η
εικονική μηχανή δημιουργεί ένα αρχείο .WIM
το οποίο
βασίζεται στην εγκατάσταση η οποία έχει ολοκληρωθεί πριν από λίγο.

Όπως
θα θυμάστε,
το pre-installation environment απαιτεί
από εμάς να παράσχουμε ένα σύνολο από credentials τα
οποία θα χρησιμοποιηθούν για την σύνδεση με το deployment share. Ο
λόγος για τον οποίο θα πρέπει να παράσχουμε αυτά τα credentials είναι γιατί το αρχείο .WIM το
οποίο δημιουργήθηκε κατά την ολοκλήρωση εγκατάστασης των Windows έχει
εγγραφεί στο deployment share
χρησιμοποιώντας την διαδρομή την οποία έχουμε εισάγει.

Συμπέρασμα

Τώρα που έχουμε
ένα image το οποίο μπορεί να χρησιμοποιηθεί για την ανάπτυξη
άλλων εικονικών μηχανών βρισκόμαστε στον σωστό δρόμο όσον αφορά την δημιουργία ενός
private cloud. Οι ίδιες οι εικονικές
μηχανές τρέχουν επάνω στον Hyper-V.
Σε συνέχεια των προηγουμένων άρθρων, σας υπενθυμίζω ότι έχουμε δημιουργήσει ένα Hyper-V
deployment image
και αυτό
το image μπορεί να συνδυαστεί με την τεχνική την οποία
σας παρουσίασα στο συγκεκριμένο άρθρο για να δημιουργήσετε μια σειρά από Hyper-V
servers.

Βεβαίως ο Hyper-V
αποτελεί
απλά μια πλατφόρμα φιλοξενίας εικονικών μηχανών (virtual
machine hosting platform).
Η πραγματική υποδομή private cloud
θα βασιστεί
επάνω στον System Center Virtual
Machine Manager και στην έκδοση 2.0 του
Self Service Portal.
Στο επόμενο άρθρο της συγκεκριμένης σειράς θα σας παρουσιάσω τον τρόπο με τον οποίο
θα δημιουργήσετε μια υποδομή private cloud.
Αργότερα δε, θα σας παρουσιάσω το τρόπο με τον οποίο χρησιμοποιώντας το image
το έχουμ
πριν από λίγο δημιουργήσει για να κάνουμε δυναμική δημιουργία (dynamically generate) εικονικών μηχανών
μέσα στο private cloud.

Εάν θέλετε να διαβάσετε και τα προηγούμενα άρθρα
της συγκεκριμένης σειράς δεν έχετε παρά να κάνετε κλικ στους παρακάτω
διαδικτυακούς συνδέσμους:

Πως μπορούμε χρησιμοποιώντας τον Hyper-V να
κατασκευάσουμε μια υποδομή Private Cloud (Μέρος 1ο)

Πως μπορούμε χρησιμοποιώντας τον Hyper-V να
κατασκευάσουμε μια υποδομή Private Cloud (Μέρος 2ο)

Πως μπορούμε χρησιμοποιώντας τον Hyper-V να
κατασκευάσουμε μια υποδομή Private Cloud (Μέρος 3ο)
span style=
- Read more...
- 0 comments
- 764 views
Ο Windows Server 2008 R2 Hyper-V επιβραβεύεται με το BSI EAL 4+ Security Certification

By Jordan_Tsafaridis, March 22, 2012
Αγαπητοί συνάδελφοι της κοινότητας σήμερα ο Windows Server 2008 R2 Hyper-V έλαβε την επιβράβευση - πιστοποίηση κατά το BSI EAL 4+ Security Certification. Διαβάστε παρακάτω την ανακοίνωση στην Αγγλική γλώσσα.

Windows Server 2008 R2 Hyper-V has just achieved EAL 4+ security certification from the Federal Office for Information Security (Bundesamtes für Sicherheit in der Informationstechnik – BSI) in Germany.

According to Wikipedia: EAL4 is the highest level at which it is likely to be economically
feasible to retrofit to an existing product line. EAL4 is therefore
applicable in those circumstances where developers or users require a
moderate to high level of independently assured security in conventional
commodity TOEs and are prepared to incur additional security-specific
engineering costs.
- Read more...
- 0 comments
- 896 views
Windows 8 Hyper-V Feature Glossary

By Jordan_Tsafaridis, March 22, 2012
Αγαπητοί συνάδελφοι της κοινότητας σκοπός του συγκεκριμένου άρθρου είναι η καταγραφή και η παρουσίαση σε ένα πίνακα σε συνδυασμό με μια συνοπτική περιγραφή των χαρακτηριστικών τα οποία θα περιλαμβάνει ο επερχόμενος Microsoft Windows Server 8. Ο πίνακας αυτός θα ανανεώνεται κάθε φορά που θα παρουσιάζονται καινούρια χαρακτηριστικά μέχρι την επίσημη παρουσίαση και την έναρξη διάθεσης του Windows Server 8. Ελπίζω ότι θα συμφωνήσετε για την χρησιμότητά του.

Χαρακτηριστικό

Περιγραφή

Active/Active File Share
Clusters

Using CSV and a witness as
features, you can create an active/active file share failover cluster. This
is supported for services that use large file with little metadata access,
e.g. Hyper-V. In other words, you can use a file share cluster instead of a SAN
for your Hyper-V cluster.

Asymmetric Hyper-V Cluster

A single cluster with
Hyper-V and Active/Active File Server roles

BitLocker & HA

The ability to encrypt
parent partition disks and cluster shared volumes using BitLocker for
physical security of virtual machines and data. Uses a Cluster Name Object
(CNO) for locking and unlocking CSVs.

Boot From SAN

VMs can boot from iSCSI or
Fibre Channel disks, rather than just the traditional VHD(X)

Cluster Aware Updating

Automate the Windows Update
process for clustered hosts. It automatically drains hosts of VMs and patches
them in order.

Cluster Scalability

Up to 63 hosts and up to
4,000 VMs

Concurrent Live Migration

Perform many live migrations
at once between two hosts, with the only limit being your bandwidth.

Converged Fabrics

Simplified host networking
by merging all of the various LAN, SAN, and cluster networks to a reduced
number of teamed high bandwidth NICs.

CSVFS

CSVs are easier to backup.
Although they are still NTFS, they appear as CSVFS for easier identification
as CSVs in disk administration tools.

Data Center Bridging

DCB enables very different
networking protocols to run on the same network infrastructure, and therefore
helps enable the convergence of LANs and SANs onto a single unified fabric.

Dedup & Thin Provisioning

Windows 8 can use just the
storage space that is required by not needlessly storing “empty” space (thin
provisioning) or redundant data (de-duplication)

DHCP Guard

Ban DHCP traffic from rogue
DHCP services running in VMs.

Direct I/O Backup

VMs on Cluster Shared
Volumes (CSVs) can be backed up without Redirected I/O (Mode/Access).

Drain VMs

Easy host maintenance by
draining VMs from the host

Dynamic Memory Minimum Memory

Once a VM has booted it can
balloon down to the Minimum setting if it is underutilising the memory
allocated by the Startup setting.

Dynamic Virtual Machine Queue

DMVQ will dynamically span
processing VMQ n/w traffic across more than one CPU. It will automatically
scale up and scale down the CPU utilisation based on demand

Extensibale Hyper-V Switch

Replacing the virtual
network, this intelligent virtual switch offers extensibility for partners,
with products already announced by the likes of Cisco and Brocade.

Failover Prioritisation

Order the failover of VMs
based on application dependencies.

Guest Application Monitoring

Configure Failover
Clustering to restart or failover VMs based on monitored events that occur
inside of the VM.

Guest NUMA

Virtual machines are aware
of Non-Uniform Memory Architecture and can schedule processes in accordance
with memory placement at the physical layer. Guest NUMA can be customised on
a per-VM basis.

High Availability

A feature of Failover
Clustering, allowing a service or VM to failover from one host to another,
enabling machine fault tolerance and maintenance windows with minimised
service downtime.

Host Scalability

160 physical logical
processors, up to 2 TB RAM, removal of the 8:1 logical to virtual processor
limit.

Hyper-V Replica

Asynchronous replication of
virtual machines from one location to another, supporting VSS snapshots,
failover, and IP address injection.

IPsec Task Offload

IPsecTO moves this workload
from the main host’s CPU to a dedicated processor on the network adapter

Live Migration

Move a virtual machine from
one host to another. This does not require Failover Clustering in Windows
Server 8.

Live Storage Migration

Physically relocate a VM by
first copying it and synchronising I/O until the source and destination are
identical. Can leverage Offloaded Data Transfer (ODX) in a SAN to make the
process up to 90% faster.

Multi-Tenancy

With features such as Network
Virtualisation, PVLANs, and PORT ACLs, you can use Windows 8 Hyper-V in
multi-tenant environments such as IaaS public cloud hosting.

Native 4k disk support

This will allow disk
alignment for VHDs created on 4k sector physical disks, thus improving
performance.

Network Virtualisation

The abstraction of virtual
IP address from physical IP address, allowing easier mobility of VMs across
fabrics. This is a key feature of multi-tenancy.

NIC Teaming

Team NICs in Windows Server
8 (and Hyper-V) for bandwidth aggregation and network path fault tolerance.
The NICs do not need to be from the same manufacturer.

Online Disk Repair

Windows 8 will detect
storage faults and incrementally fix them with brief delays to I/O traffic
that don’t interrupt it. Should replace the need for
offline chkdsk.

Port ACLs

Define allowed communication
paths between virtual machines based on IP range or MAC address.

PowerShell

Hyper-V has around 150
built-in PowerShell cmdlets. 100% of features are revealed via PowerShell.

PVLAN

VLANs are slow to configure
in the physical network and there is a limit on how many can be configured.
Private VLANs allow Hyper-V to replace this physical networking feature.

QoS

Specify maximum limits and
minimum guarantees for network communications.

Receive Side Coalescing

RSC aggregates packets from
the same TCP/IP flow into one larger packet, reducing per-packet processing
costs for faster TCP/IP processing

Receive Side Scaling

RSS allows the receive side
network load from a network adapter to be shared across multiple processors

Remote Direct Memory Access

RDMA enables more efficient
access of data on file shares.

Resource Metering

Measure CPU, network and
memory on a per-VM basis. This data is stored with the VM and moves with the
VM.

Single Root I/O
Virtualisation

SR-IOV allows a physical NIC
to appear to be a number of physical NICs, and allows virtual machine
networking to bypass the virtual switch.

SMB 2.2

SMB 2.2 supports RDMA and is
in Windows Server 8. Storage of VMs is supported on SMB 2.2. file shares. With
NIC teaming, you get multi-channel SMB.

Snapshot Live Merge

You do not have to shut down
a VM to merge a snapshot in Windows 8, resolving a major support issue.

Storage Pools

An aggregation of disks
without any RAID. They can be as loosely coupled as a bunch of USB drives.
The disks can be different sizes. A pool does not appear in Explorer. You can
create Storage Spaces from Storage Pools. This is one of the storage types
you could use to create a scalable and continuously available active/active
file share cluster.

Storage Spaces

A thinly provisioned slice
of storage from a storage pool. Can be a 2-copy-mirror (Like RAID 1 in
concept and performance), 3-copy-mirror, or parity (like RAID 5 in concept
and performance) storage space. Can be lots of spaces in a single pool. A
space is divided up into slabs across disks in the pool depending on the
fault tolerance chosen. Advanced configuration allows you to choose which
pool disks to use.

Unified Tracing

Enables network diagnostics
in the Hyper-V Extensible Switch

VHDX

The default virtual disk
type, expanding up to 16 TB, and supporting dynamic and fixed types.

Virtual Fibre-Channel Adapter

A host’s fibre channel
adapter can be virtualised, thus enabling VMs to have their own WWN and
direct access to the SAN.

Virtual Machine Scalability

32 virtual processors, 512 GB RAM

Virtualisation Aware Domain Controllers

Windows Server 8 domain
controllers are aware if they are Windows 8 Hyper-V VMs. This
prevents USN rollback (VM restore or snapshot application).

Windows 8 Client

Hyper-V is included in the
client operating system for free. It’s the same Hyper-V as in the server,
offering VM mobility and an easy introduction to Microsoft’s enterprise
virtualisation. The client version of Hyper-V requires Second Level
Address Translation (SLAT) in the CPU (Intel EPT, AMD RVI/NPT).
This is not a requirement in the server version, but it is recommended.
- Read more...
- 0 comments
- 941 views
The Rise of Hyper-V? SolarWinds Hits a Virtual VMware Nerve

By Jordan_Tsafaridis, March 29, 2012
Monday, March 26, 2012 | by Bryan Semple

Vendor food fights are sometimes enjoyable to watch provided you are
not in the middle. Last week, we saw VMware react to a SolarWinds blog
post claiming that Gartner is predicting that 85% of businesses with
less than 1,000 employees will be Microsoft Hyper-V shops. The
SolarWinds reference is not quoted, so it is tough to say whether this
is accurate or not. VMware countered with:

Gartner states, “By 2015, at least 75% of Hyper-V VMs will be installed in enterprises with fewer than 1,000 employees” in the “VMware vs. Microsoft: Competition for the Cloud Infrastructure” presentation done by Thomas Bittman at the 2011 Gartner Datacenter conference in Dec 2011.

They are saying of all the Hyper-V VMs, 75% of them will be in SMB
with <1000 employees. This does not mean that 75% (or 85%) of SMBs
will use Hyper-V.

So now the question - does this fact throw down even matter? Does
anyone believe Microsoft will not dominate the low end of the SMB market
and gradually crawl their way up the market?

Bernd Herzog writing for the Virtualization Practice had an interesting post on the future of VMware entitled: "VMware - The Next Microsoft, or the Next Oracle?"
In this posting, Bernd compares the product, pricing, and go to market
behavior for these two industry giants. Bernd argues you have to pick a
path since you can't serve two masters. He goes on to conclude:

"that
VMware will leave itself open to being eaten from below by Microsoft
Hyper-V (especially in Windows only SMB/SME accounts)"

Strong words indeed. For 2012, we predicted this would be the year
of Hypervisor Heterogenity with multiple hypervisors existing in many
accounts. What SolarWinds and Bernd appear to be saying is that there
will be more stratification, the co-existence at least in the SMB
space.

All this reminds me of the database wars of the 1990s. IT shops in
the 90's identified themselves as either Oracle or Informix or Sybase
shops. Accounts would make standardization decisions for all their
database needs. Today, I don't think IT organizations look at
themselves this way as most have a mix of Oracle databases and Microsoft
SQL Server. Interestingly, Microsoft's dominance through their slow
and steady attack on the database market looks very similar to what is
about to occur with hypervisors.

So who is right in this food fight? SolarWinds or VMware? I don't
know who has the right facts. But I do know that the Microsoft Hyper-V
wave seems to be starting. The amount of attention being paid to a
product that is not even shipping is impressive. Organizations should
be alert to avoid VMware vendor lock in unless
they truly understand all the costs involved with being a single vendor
shop. Just ask all those Oracle customers out there.

Finally, I will close with this tweet from industry blogger Jason
Boche that caught my eye on our social monitoring screen (yes Jason, we
track your every tweet).
- Read more...
- 0 comments
- 962 views
Επαναφέροντας τον Windows Server 2008 R2 από το μηδέν (Restore to Bare Metal)

By Jordan_Tsafaridis, April 19, 2012
Αγαπητοί συνάδελφοι της κοινότητας ο σκοπός του
συγκεκριμένου άρθρου είναι να παρουσιάσω τον τρόπο με τον οποίο μπορούμε να
επαναφέρουμε (restore) μια
εγκατάσταση Windows
Server 2008
R2 από αντίγραφο
ασφαλείας (back-up) σε ένα καινούριο σύστημα το οποίο δεν
έχει λειτουργικό σύστημα εγκατεστημένο (bare metal restore).

Εισαγωγή

Θα συμφωνήσετε
μαζί μου ότι ένα επιτυχές disaster recovery είναι
άμεσα συνδεδεμένο με την προετοιμασία η οποία θα πρέπει να λάβει χώρα πριν από
την εμφάνιση μιας δυσάρεστης κατάστασης, μιας και όπως έλεγαν και οι αρχαίοι “ενός
κακού μύρια έπονται”. Υπάρχουν αρκετοί διαφορετικοί τρόποι με τους οποίους μπορούμε
να επαναφέρουμε έναν Windows server
όταν το system
drive τεθεί εκτός λειτουργίας. Η
διαδικασία την οποία πρόκειται να ακολουθήσουμε είναι πολύ απλή και διακριτή : απλά
θα αντικαστήσουμε τον χαλασμένο σκληρό δίσκο, εν συνεχεία θα κάνουμε boot
τον server
από το Windows
installation media,
και τέλος θα εκκινήσουμε την διαδικασία του restore. Βεβαίως
υπάρχουν ορισμένα θέματα τα οποία θα πρέπει να λάβουμε υπόψην μας τα οποία θα τα
παρουσιάσω στην συνέχεια του συγκεκριμένου άρθρου.

Περιβάλλον δοκιμής

Για λόγους απλότητας
το περιβάλλον δοκιμής δεν είναι παρά ένα εικονικό περιβάλλον βασισμένο στον Microsoft Hyper-V. Ο
server στον οποίο θα κάνουμε restore
είναι μια
εικονική μηχανή με όνομα SEA-FS1
μέλος του contoso.com domain. Το
backup θα αποθηκευθεί σε έναν μοιραζόμενο φάκελο ο οποίος
βρίσκεται στον Hyper-V
host και στον οποίο αυτή η εικονική μηχανή τρέχει. Αντιστοίχως
το "bare metal system"
στο οποίο θα γίνει το restore του backup
είναι επίσης
μια άλλη εικονική μηχανή στην οποία δεν είναι εγκατεστημένο το λειτουργικό σύστημα. Σε
αυτό το σημείο είναι σημαντικό να αναφέρουμε ότι τα βήματα τα οποία θα ακολουθήσουμε
είναι ακριβώς τα ίδια με αυτά τα οποία θα κάναμε εάν πρόκειται για το back
ενός
φυσικού server και αντιστοίχως για το restore
σε επίπεδο bare metal.

Δημιουργία
αντιγράφου ασφαλείας του
Server

Ας
ξεκινήσουμε λοιπόν. Στην παρακάτω Εικόνα
1 εμφανίζεται ο file server
πριν από
την “καταστροφή” και κρίνεται απαραίτητο να γίνει restore. Το
όνομα του server και το domain
εμφανίζονται
μέσα στον κόκκινο κύκλο καθώς επίσης και στο title
bar του παραθύρου Virtual
Machine Connection :

Εικόνα 1:
Ο server πριν την καταστροφή (crashed)

Θα κάνουμε εν
συνεχεία αντιστοίχιση (map) σε ένα drive
letter τον μοιραζόμενο φάκελο (shared
folder) με όνομα Backups στον Hyper-V
host έτσι ώστε να είμαστε σε θέση να αποθηκεύσουμε
το backup στο "δίκτυο - on
the network" όταν θα το
δημιουργήσουμε:

Εικόνα 2:
Προετοιμασία για back up
του server

Εισάγουμε τα
credentials για να μας δοθεί πρόσβαση στον μοιραζόμενο
φάκελο στον host:

Εικόνα 3:
Προετοιμασία για back up
του server

Όπως θα παρατηρήσετε
την δεδομένη χρονική στιγμή δεν υπάρχουν backup
sets εντός του συγκεκριμένου μοιραζόμενου φάκελου:

Εικόνα 4:
Ο φάκελος είναι κενός και δεν υπάρχουν backup
sets.

Αμέσως μετά πληκτρολογούμε
"backup" στο Start menu
search box για να ενεργοποιήσουμε
το Windows Server Backup
feature (το οποίο βέβαια θα πρέπει να έχει ήδη
εγκατασταθεί στον server πριν το
χρησιμοποιήσουμε):

Εικόνα 5:
Βήμα 1 της διαδικασίας του back up
του server

Όταν το παράθυρο
Windows Server Backup
ανοίγει,
κάνουμε κλικ στο Backup Once
όπως αυτό
απεικονίζεται στην παρακάτω εικόνα:

Εικόνα 6:
Βήμα 2 της διαδικασίας του back up
του server

Στην σελίδα Backup
Options του wizard, βεβαιωθείτε ότι έχετε
επιλέξει την επιλογή Different Options:

Εικόνα 7:
Βήμα 3 της διαδικασίας του back up
του server

Στην σελίδα Select Backup Configuration, επιλέγουμε Custom:

Εικόνα 8:
Βήμα 4 της διαδικασίας του back up
του server

Στην σελίδα Select Items For Backup, κάνουμε κλικ στο Add Items button:

Εικόνα 9:
Βήμα 5 της διαδικασίας του back up
του server

Στο πλαίσο διαλόγου
Select Items, επιλέγουμε το checkbox με
την ονομασία Bar Metal Recovery.
Εφαρμόζοντας αυτή την επιλογή θα γίνει αυτόματη επιλογή και όλων των υπολοίπων checkboxes επίσης:

Εικόνα 10:
Βήμα 6 της διαδικασίας του back up
του server

Κάνοντας κλικ
στο OK μας επιστρέφει στην σελίδα Select
Items For Backup. Κάνουμε
κλικ στο Next στην σελίδα αυτή:

Εικόνα 11:
Βήμα 7 της διαδικασίας του back up
του server

Στην σελίδα Specify Destination Type, επιλέγουμε το Remote Shared Folder:

Εικόνα 12:
Βήμα 8 της διαδικασίας του back up
του server

Στην σελίδα Specify
Remote Folder, πληκτρολογούμε το UNC
path του μοιραζόμενου φακέλου στο "δίκτυο"
όπου εκεί πρόκειται να αποθηκεύσουμε τα backups.
Το path το οποίο καθορίζουμε είναι το \\HV-1\Backups
και αφήνουμε
όλες τις άλλες επιλογές στην σελίδα στις default
ρυθμίσεις:

Εικόνα 13:
Βήμα 9 της διαδικασίας του back up
του server

Στο credential prompt, καθορίζουμε τα credentials για
την πρόσβαση στον μοιραζόμενο φάκελο στον host:

Εικόνα 14:
Βήμα 10 της διαδικασίας του back up
του server

Μετά από την
επισκόπηση της σελίδας Confirmation, κάνουμε κλικ στο Backup
για να ξεκινήσει το back up
του server:

Εικόνα 15:
Βήμα 11 της διαδικασίας του back up
του server

Ο server
γίνεται
πλέον back up:

Εικόνα 16: Βήμα
12 της διαδικασίας του back up
του server

Το Backup έχει ολοκληρωθεί:

Εικόνα 17:
Ο server έχει γίνει back
up

Ανοίγουμε εν
συνεχεία το mapped drive στον Explorer για
να επιβεβαίωσουμε ότι το backup set
βρίσκεται
αποθηκευμένο εκεί:

Εικόνα 18:
Ο server πράγματι έχει γίνει back
up

Σε αυτό το σημείο
κάνουμε shut down τον file
server και κλείνουμε την εικονική μηχανή. Τώρα
είμαστε για την διαδικασία του restore σε επίπεδο bare
metal!

Επαναφορά του Server (Restoring the Server to Bare Metal)

Στην εικόνα 19
όπως αυτή απεικονίζεται παρακάτω, εμφανίζεται μια εικονική μηχανή η οποία
ονομάζεται Bare Metal System.
Όπως θα παρατηρήσετε όταν δοκιμάζουμε να κάνουμε boot
στο system
το boot
αποτυγχάνει
διότι πολύ απλά δεν υπάρχει εγκατεστημένο λειτουργικό σύστημα στην συγκεκριμένη
μηχανή:

Εικόνα
19:
Η εικονική μηχανή bare metal
system δεν έχει εγκατεστημένο λειτουργικό σύστημα

Για να εκκινήσουμε
την διαδικασία του recovery, χρειάζεται για να
κάνουμε boot το bare metal
system να χρησιμοποιήσουμε το Windows
media. Λόγω του ότι το σύστημά
μας είναι μια εικονική μηχανή, κάνουμε attach
μια εικόνα
.iso των Windows Server
2008 R2 installation media
στα settings της
εικονικής μηχανής και αμέσως μετά κάνουμε restart
την εικονική
μηχανή. Σε λίδα δευτερόλεπτα εμφανίζεται το πλαίσιο διαλόγου Install
Windows dialog:

Εικόνα
20:
Βήμα 1 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Αμέσως μετά κάνουμε
κλικ στο Next στην προηγούμενη εικόνα, και εν συνεχεία επιλέγουμε
την επιλογή Repair Your Computer η
οποία απεικονίζεται κάτω αριστερά όπως αυτόαπεικονίζεται στην παρακάτω εικόνα:

Εικόνα
21:
Βήμα 2 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Στο πλαίσο διαλόγου System Recovery Options, επιλέγουμε την επιλογή "Restore your computer using a system image that
you created earlier":

Εικόνα
22:
Βήμα 3 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Όταν το πλαίσο
διαλόγου Re-image Your
Computer εμφανιστεί, κάνουμε κλικ στο Cancel:

Εικόνα
23:
Βήμα 4 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Σημειώση:

Εάν το
backup το οποίο κάνουμε restore
βρίσκεται
σε ένα σκληρό δίσκο ο οποίος είναι συνδεδεμένος στο σύστημα (για παράδειγμα ένα
εξωτερικό USB drive) το πλαίσο διαλόγου Re-image
Your Computer δεν πρόκειται να
εμφανιστεί. Αντιθέτως θα κατευθυνθείτε απευθείας στην επόμενη οθόνη η
οποία απεικονίζεται παρακάτω και στην οποία θα πρέπει να επιλέξετε την πρώτη επιλογή
"Use the latest
available system
image (recommended)" για να
προχωρήσει η διαδικασία του restore.

Στην σελίδα Select
A System Image
Backup, βεβαιωθείτε ότι έχετε επιλέξει την επιλογή Select
A System Image
και αμέσως
μετά κάνουμε κλικ στο Next:

Εικόνα
24:
Βήμα 5 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Στην επόμενη
σελίδα δεν θα πρέπει να εμφανιστούν backups. Ο
λόγος είναι ότι τα back up
του server
βρίσκονται
στο δίκτυο (σε ένα μοιραζόμενο φάκελο στον host)
και όχι σε ένα τοπικό δίσκο στο σύστημά μας ή σε ένα συνδεδεμένο USB
drive. Εάν το back
up είναι σε τοπικό δίσκο και όχι στο δίκτυο, θα μπορέσπυμε
να συνεχίσουμε την διαδικασία του restore ξεκινώντας από την
Εικόνα 30 παρακάτω.

Στην σελίδα η
οποία απεικονίζεται παρακάτω, κάνουμε κλικ στο Advanced:

Εικόνα
25:
Βήμα 6 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Στο πλαίσο διαλόγου
το οποίο εμφανίζεται, επιλέγουμε την επιλογή "Search
for a system
image on the
network" όπως αυτή εμφανίζεται παρακάτω:

Εικόνα
26:
Βήμα 7 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Σημείωση:

Στο συγκεκριμένο
περιβάλλον δοκιμής θα πρέπει να γνωρίζετε ότι υπάρχει εν λειτουργία ένας DHCP
server και για τούτο τον λόγο το Windows
Recovery Environment είναι σε θέση να
συνδεθεί στον μοιραζόμενο δικτυακό φάκελο (network
share) όπου το backup set
είναι
αποθηκευμένο.

Στο πλαίσιο διαλόγου
Are You Sure
το οποίο
εμφανίζεται αμέσως μετά κάνουμε κλικ στο Yes:

Εικόνα
27:
Βήμα 8 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Σημείωση:

Όπως
μας προειδοποιεί το παραπάνω πλαίσιο διαλόγου, η διαδικασία restore
ενός συστήματος
από ένα backup το οποίο είναι αποθηκευμένο στο δίκτυο δεν είναι
τόσο ασφαλές όσο από ένα back up
το οποίο
είναι αποθηκευμένο σε έναν τοπικό δίσκο. Συνεπώς θα πρέπει να λάβετε σοβαρά υπόψην
την παρατήρηση αυτή όταν σχεδιάζετε μια υποδομή disaster recover για τους δικούς σας servers!

Πληκτρολογείστε
το UNC path στο οποίο βρίσκεται αποθηκευμένο
το backup στο δίκτυο:

Εικόνα
28:
Βήμα 9 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Εισάγουμε τα
απαραίτητα credentials για να αποκτήσουμε πρόσβαση στον δικτυακό
φάκελο:

Εικόνα
29:
Βήμα 10 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Μόλις το Windows
Recovery Environment έχει συνδεθεί στον δικτυακά
μοιραζόμενο φάκελο θα πρέπει αυτομάτως να έχετε διαθέσιμη μία λίστα με τα
διαθέσιμα backup στον μοιραζόμενο δικτυακό φάκελο. Επιλέγουμε
αυτό το οποίο επιθυμούμε και αμέσως μετά κάνουμε κλικ στο Next
όπως
απεικονίζεται στην παρακάτω εικόνα:

Εικόνα
30:
Βήμα 11 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Τώρα
επιλέγουμε το backup set από το οποίο θέλουμε
να κάνουμε restore:

Εικόνα
31: Βήμα
12 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Κάνοντας κλικ
στο Next έχει ως αποτέλεσμα την αυτόματη εμφάνιση της
σελίδας Choose Additional Restore
Options:

Εικόνα
32:
Βήμα 13 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Εάν κάνουμε κλικ
στο Advanced, μπορούμε να δούμε ότι το σύστημα θα κάνει αυτόματα
restart αμέσως μόλις η διαδικασία του restore
ολοκληρωθεί
σε συνδυασμό με έλεγχο στον δίσκο για τυχόν λάθη. Θα
αφήσουμε και τις δύο αυτές επιλογές να παραμείνουν επιλεγμένες:

Εικόνα
33:
Βήμα 14 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Κάνοντας κλικ
στο Next ερωτόμαστε να επιβεβαιώσουμε τις επιλογές μας:

Εικόνα
34:
Βήμα 15 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Κάνουμε κλικ στο Yes για να επιβεβαιώσουμε το YES I DEFINITELY WANT TO RESTORE FROM BACKUP:

Εικόνα
35:
Βήμα 16 της διαδικασίας επαναφοράς (restore) του server
σε
επίπεδο bare metal

Αμέσως μετά
λαμβάνουμε το παρακάτω μήνυμα λάθους:

Εικόνα
36: Το restore απέτυχε!

Δυστυχώς κάτι
πήγε λάθος αλλά τί? Ας ξεκινήσουμε την όλη διαδικασία του restore
από την αρχή με
σημείο εκκίνησης την εικόνα 19 again...

Αλλά και πάλι
λαμβάνουμε ένα διαφορετικό αλλά και πιο σοβαρό μήνυμα λάθους:

Εικόνα
37:
Το restore απέτυχε ξανά!!

Κάνουμε κλικ
στο Details link στο παραπάνω πλαίσιο διαλόγου
και μας εμφανίζεται η παρακάτω απάντηση:

Εικόνα
38:
Ευχαριστώ για την συμβουλή

Τελικά τι
μπορεί να οδήγησε την διαδικασία στην δημιουργία αυτού του λάθους? Ψάχνοντας λίγο
στο διαδίκτυο και συγκεκριμένα μετά από αναζήτηση σε αυτό thread
από τα Microsoft TechNet
Forums μας δίδεται η απάντηση.

Η απάντηση η
οποία δίδεται στα Microsoft TechNet
Forums από τον συγκεκριμένο τεχνικό είναι ότι το πρόβλημα
οφείλεται στο γεγονός όπως και στην περίπτωσή μας ότι στα settings της
εικονικής μηχανής Bare Metal
System στον Hyper-V
Manager, το virtual
hard drive αυτής της μηχανής
στην πράξη είναι σε μέγεθος μικρότερο από το μέγεθος του αρχείου VHD
του πρωτότυπου
συστήματος SEA-FS1.

Δίδαγμα : Βεβαιωθείτε ότι ο σκληρός δίσκος του bare
metal system στον οποίο πρόκειται να
γίνει restore έχει χωρητικότητα ίση ή μεγαλύτερη από την
χωρητικότητα του σκληρού δίσκου του συστήματος το οποίο έχει τεθεί εκτός
λειτουργίας.

Για να το διορθώσουμε αυτό το σφάλμα, αποσυνδέουμε το VHD file από την Bare
Metal System VM, δημιουργούμε ένα καινούριο VHD με μέγεθος ίσο με αυτό του συνδεδεμένου στην SEA-FS1 VM, και επανεκκινούμε την διαδικασία του restore ξεκινώντας ξανά από την Εικόνα 19, και όπως είναι φυσικό επακκόλουθο η διαδικασία του restore πλέον λειτουργεί κανονικά:

Εικόνα
39:
Το restore τώρα δουλεύει σωστά. Τι ανακούφιση!!

Αφότου ολοκληρωθεί
η διαδικασία του restore σε επίπεδο bare
metal επιτυχώς και η εικονική μηχανή κάνει reboot,
κάνουμε log on για να διαπιστώσουμε ότι
ο ανακτημένος (recovered)
server έχει το ίδιο όνομα όπως και ο πρωτότυπος server
(συγκρίνετε την εικόνα παρακάτω με την εικόνα 1 στην αρχή του συγκεκριμένου άρθρου):

Εικόνα
40: Tο restore ολοκληρώθηκε.
Ελπίζω ότι το συγκεκριμένο άρθρο να το αξιολογήσετε ώς ιδιαίτερα χρήσιμο.
- Read more...
- 0 comments
- 1138 views
To Hotfix Rollup 2 για τον Forefront TMG 2010 SP2 είναι διαθέσιμο

By Jordan_Tsafaridis, May 8, 2012
Το πλέον ενημερωμένο hotfix rollup για τον Forefront TMG 2010 SP2 είναι πλέον διαθέσιμο. Το update περιλαμβάνει επιδιορθώσεις (fixes) για τα παρακάτω θέματα:

KB2701952 – “Access is denied” status error when you use a delegated user account to try to monitor services in Forefront TMG 2010.

KB2700248 – A server that is running Forefront TMG 2010 may randomly stop processing incoming traffic.

KB2700806
– Connectivity verifier that uses the “HTTP request” connection method
may not detect when a web server comes back online in Forefront TMG
2010.

KB2705787
– The Firewall service may intermittently crash when it processes
client web proxy requests in a Forefront TMG 2010 environment.

KB2701943
– Error message when you try to join a Forefront 2010 server to an
array: “The Operation Failed. Error code – 0×80070002 – the system
cannot find the file specified”.

KB2705829 – The Firewall service may stop responding to all traffic on a server that is running Forefront TMG 2010.

KB2694478
– Dynamic Caching may incorrectly delete recently cached objects from a
caching server that is running Forefront TMG 2010 or ISA Server 2006.

Μπορείτε να το κατεβάσετε το hotfix rollup 2 για τον Forefront TMG 2010 SP2 από αυτόν τον σύνδεσμο. Μετά την εφαρμογή του συγκεκριμένου update, το Forefront TMG 2010 build number θα είναι το 7.0.9193.540.
- Read more...
- 0 comments
- 992 views
IP Spoofing Alert από την APIPA Address στον Forefront TMG 2010

By Jordan_Tsafaridis, May 16, 2012
Οι Security administrators ενδεχομένως να αντιμετωπίσουν το ακόλουθο μήνυμα IP spoofing alert στον Forefront TMG 2010 firewall τον οποίο έχετε εγκατεστημένο:

Alert: IP Spoofing
Description: Forefront TMG 2010 detected a possible spoof attack from the IP address 169.254.x.x. A spoof attack occurs when an IP address that is not reachable through the network adapter on which the packet was received. If logging for dropped packets is enabled, you can view the details of this attack in the Firewall log in Forefront TMG 2010 log viewer. If the IP address belongs to a VPN client, this event may be ignored.

Αυτό το alert συμβαίνει διότι ο Forefront TMG 2010 firewall έλαβε ένα πακέτο δεδομένων από το internal network interface από έναν πελάτη (client – ο οποίος μπορεί να είναι server, workstation, ή ένας άλλος host) ο οποίος δεν είχε στατική διεύθυνση (statically assigned IP address) και συνάμα δεν ήταν δυνατόν να λάβει μια διεύθυνση από έναν διακομιστή DHCP, με αποτέλεσμα ο πελάτης να επιλέξει μια IP address από το Automatic Private IP Address Assignment (APIPA) address range όπως αυτό καθορίζεται στο πρότυπο RFC 3927.
Μπορείτε με απόλυτη ασφάλεια να αγνοήσετε αυτό το alert, ή μπορείτε να το επιλύσετε το θέμα αυτό προσθέτοντας το δεσμευμένο δίκτυο APIPA το οποίο είναι το 169.254.0.0/16 στο εσωτερικό δίκτυο (Internal network definition). Αυτό μπορεί να επιτευχθεί ανοίγοντας το Forefront TMG 2010 management console όπου επιλέγουμε (highlighting) το Networking node στο navigation tree, και εν συνεχεία κάνουμε δεξί κλικ στο Internal network, όπου επιλέγοντας το Addresses tab, κάνουμε αμέσως κλικ στο Add Private button έχουμε την δυνατότητα να επιλέξουμε την δέσμη διευθύνσεων 169.254.0.0 – 169.254.255.255.

Σημείωση: Είναι δυνατόν να επιλύσουμε το συγκεκριμένο πρόβλημα απλά απενεργοποιώντας τα alerts για τα IP spoofing attempts. Βεβαίως, αυτό αποτελεί λανθασμένη πρακτική ασφαλείας (bad security practice) και θα πρέπει σε κάθε περίπτωση να αποφεύγεται.
Μπορείτε να λάβετε ως σημείο αναφοράς το προηγούμενό μου blog post όπου εκεί καταδεικνύω ότι ο καλύτερος τρόπος για να ρυθμίσουμε το εσωτερικό δίκτυο στον Forefront TMG 2010 είναι να επιλέξουμε το Add Adapter option. Αυτή παραμένει η σωστή επιλογή. Παρόλα αυτά, αυτό αποτελεί μία περίπτωση η οποία περιλαμβάνεται σε εκείνες τις σπάνιες περιπτώσεις όπου το ζητούμενο είναι η προσθήκη ενός επιπλέον network address space στο εσωτερικό δίκτυο έτσι ώστε να συρρικνώσουμε τον όγκο των IP spoofing alerts τα οποία δημιουργούνται από τον Forefront TMG 2010 firewall.
Το επακόλουθο αυτής της ενέργειάς μας για να υλοποιήσουμε αυτήν την αλλαγή είναι είναι ότι θα λάβουμε ένα μεγαλοπρεπές Configuration error alert το οποίο θα μας πληροφορεί ότι το εσωτερικό δίκτυο δεν συσχετίζεται με τους network adapters οι οποίοι ανήκουν σε αυτό.

Ουσιαστικά αυτό το οποίο καταφέραμε είναι να ανταλλάξουμε ένα ενοχλητικό alert με ένα άλλο. Εντούτοις ο θόρυβος ο οποίος δημιουργήθηκε από τα IP spoofing alerts από τους πελάτες με APIPA IP addresses ενδεχομένως να ορίζει ότι αυτή η ανταλλαγή (tradeoff) αξίζει τον κόπο. Επιπροσθέτως, είναι οπωσδήποτε πιο σφαλές να απενεργοποιήσουμε αυτό το configuration error alert απ’ότι το IP spoofing alert.
- Read more...
- 0 comments
- 1051 views
Η παρουσίαση του Forefront TMG και του UAG 2010 στην TechEd North America 2012

By Jordan_Tsafaridis, June 30, 2012
Αγαπητοί συνάδελφοι της κοινότητας για όλους εσάς που δεν σας δόθηκε η ευκαιρία να παρακολουθήσετε από κοντά το Microsoft TechEd North America 2012, παρακάτω κάνοντας κλικ επάνω στην εικόνα θα οδηγηθείτε στην παρουσίαση με τίτλο “Demystifying Microsoft Forefront Edge Security Solutions: TMG and UAG” την οποία πραγματοποίησε ο αγαπητός φίλος και συνάδελφος Richard Hicks (Director of Sales Engineering for security appliance vendor Celestix Networks).

Ελπίζω ότι θα συμφωνήσετε μαζί μου ότι η συγκεκριμένη παρουσίαση είναι εξαιρετική.
- Read more...
- 0 comments
- 898 views
Forefront TMG 2010 Update Center - Quick Tip

By Jordan_Tsafaridis, July 11, 2012
Αγαπητοί συνάδελφοι της κοινότητας το Update Center στην Forefront TMG 2010 management console παρέχει μια άμεση και στιγμιαία απεικόνιση του status των signature updates για τους μηχανισμούς προστασίας Malware Inspection και Network Inspection System (NIS) αντίστοιχα. Εντούτοις, το όλο στήσιμο της απεικόνισης της συγκεκριμένης πληροφορίας (column layout) αφήνει εκτός πολύ σημαντικές πληροφορίες οι οποίες μπορούν να είναι εξόχως σημαντικές κατα την διάρκεια της αποσφαλμάτωσης (troubleshooting) όσον αφορά θέματα τα οποία σχετίζονται με signature update. Εξ ορισμού, οι στήλες Last Checked και Last Success αντίστοιχα είναι κρυμένες από την απεικόνιση (view). Για να εμφανίσουμε αυτήν την κρυμένη πληροφορία, κάνουμε δεξί κλικ right-click οπουδήποτε στα column headings και αμέσως μετά επιλέγουμε Add/Remove Columns.

Εν συνεχεία, επιλέγουμε τις στήλες Last Checked και Last Success και αμέσως μετά κάνουμε κλικ στο Add.

Τώρα πλέον έχουμε την δυνατότητα να βλέπουμε πότε ο Forefront TMG 2010 firewall έλενξε για updates και πότε αυτή η διαδικασία ήταν επιτυχής.

Ελπίζω ότι θα το βρείτε ιδιαιτέρως χρήσιμο το συγκεκριμένο άρθρο.
- Read more...
- 0 comments
- 936 views
Ενεργοποίηση Windows σε προστατευόμενο δίκτυο από Forefront TMG 2010 - Εμφάνιση μηνύματος λάθους : 0x8004FE2F

By Jordan_Tsafaridis, December 5, 2011
Όταν ξεκινούμε
την διαδικασία ενεργοποίησης (activate) των Windows Server 2008R2 ενδεχομένως να γίνουμε παραλήπτες του παρακάτω
μηνύματος :

A problem occurred when Windows tried to activate. Error
Code 0x8004FE2F

ή…

A problem occurred when Windows tried to activate. Error
Code 0xC004FC03

Επίσης εάν προσπαθήσετε
να ενεργοποιήσετε τα Windows από το command line χρησιμοποιώντας την εντολή slmgr.vbs -ato μπορεί να σας παρουσιαστεί ένα από τα παρακάτω
μηνύματα λάθους:

Activating Window Server®, ServerEnterprise
edition {GUID}...

On a computer running Microsoft Windows non-core
edition, run 'slui.exe

0x2a 0x8004FE2F' to display
the error text.

Error:
0x8004FE2F

ή…

Activating Window Server®, ServerEnterprise
edition {GUID}...

On a computer running Microsoft Windows non-core
edition, run 'slui.exe

0x2a 0x80072EE2' to display
the error text.

Error:
0x80072EE2

Το πρόβλημα αυτό
μπορεί να προκύψει σε συστήματα τα οποία βρίσκονται εντός ενός δικτύου το οποίο
προστατεύεται από τον Forefront TMG 2010 firewall, σε συνδυασμό με τον κανόνα
πρόσβασης (access rule) ο οποίος επιτρέπει κίνηση (traffic) το οποίο απαιτεί authentication. Η διαδικασία ενεργοποίσης των Windows βασίζεται στο WinHTTP και εξ ορισμού το WinHTTP communication αποστέλεται ως SecureNAT client traffic. Δυστυχώς οι SecureNAT clients δεν μπορούν να γίνουν authenticated, με αποτέλεσμα το αίτημα να
αποτυγχάνει.

Υπάρχουν δύο
τρόποι για να επιλύσουμε το συγκεκριμένο πρόβλημα. Ο πρώτος τρόπος είναι να ρυθμίσουμε
(configure) το WinHTTP στο Windows system το οποίο προσπαθούμε να ενεργοποιήσουμε να
χρησιμοποιήσει ένα διακομιστή
μεσολάβησης ρητά (use a proxy server explicitly). Συνεπώς ανοίγουμε ένα παράθυρο command prompt και εκτελούμε την ακόλουθη εντολή:

netsh winhttp set proxy <name
or IP address of proxy server>:<port>

Παράδειγμα:

netsh winhttp set proxy tmg.tjordan.net:8080

Αντί όμως να
κάνουμε αυτήν την αλλαγή σε κάθε σύστημα το οποίο θλελουμε να ενεργοποιήσουμε ο
εναλλακτικός τρόπος για να το επιτύχουμε είναι η δημιουργία ενός ανώνυμης πρόσβασης
κανόνα - (create an anonymous access rule) – στον Forefront TMG 2010 firewall ο οποίος θα επιτρέπει το HTTP και το HTTPS traffic σε αυτούς τους προορισμούς (destinations) οι οποίοι απαιτούνται για την
ενεργοποίηση των Windows. Χρησιμοποιώντας την Forefront TMG 2010 management console, δημιουργούμε έναν κανόνα πρόσβασης
ο οποίος επιτρέπει την πρόσβαση στα πρωτόκολα HTTP και HTTPS από το εσωτερικό δίκτυο (Internal network) σε ένα Domain Name Set το οποίο περιλαμβάνει τους ακόλουθους προορισμούς για
όλους τους χρήστες:

activation.sls.microsoft.com.nsatc.net

go.microsoft.com

*.sls.microsoft.com

Θα πρέπει να
βεβαιωθείτε ότι ο συγκεκριμένος κανόνας να τοποθετηθεί πριν από κάθε άλλο κανόνα
για πρωτόκολα HTTP ή HTTPS τα οποία απαιτούν authentication.

Από την στιγμή κατά την οποία ο κανόνας ρυθμιστεί και τεθεί σε λειτουργία, η ενεργοποίηση των Windows θα δουλέψει χωρίς κανένα πρόβλημα.

Ελπίζω ότι θα
σας φανεί ιδαίτερα χρήσιμο.
- Read more...
- 0 comments
- 773 views
Κατεβάστε δωρεάν το Windows 7 Guide ebook

By Jordan_Tsafaridis, September 27, 2010
Σε αυτόν τον οδηγό των 46 σελίδων, γίνεται μια εισαγωγή στο λειτουργικό σύστημα των Windows 7 και στο τι καινούριο έχει να προσφέρει στον τελικό χρήστη. Επίσης αυτός ο οδηγός αναφέρεται σε θέματα τα οποία σχετίζονται με software
compatibility. Επιπροσθέτως, μας παρέχει λεπτομερείς πληροφορίες για την καινούρια taskbar, πως να χρησιμοποιούμε και να παραμετροποιούμε το Windows Aero, τι ακριβώς είναι τελικά τα Windows 7 Libraries, τι λογισμικό περιλαμβάνεται στα Windows 7, και τέλος πόσο εύκολη είναι η ρύθμιση του networking στα
Windows 7 μαζί με ορισμένα άλλα χαρακτηριστικά.

Κάνετε κλικ εδώ για να κατεβάσετε τον οδηγό “The Windows 7 Guide: From newbies to Pros”
- Read more...
- 0 comments
- 324 views
Υλοποίηση VPN μεταξύ Microsoft Forefront TMG 2010 και Juniper SRX 210H

By Jordan_Tsafaridis, March 13, 2011
Αγαπητοί συνάδελφοι της κοινότητας μέσα από την αναζήτηση για δημοσίευση θεματογραφίας εξαιρετικού ενδιαφέροντος η οποία αφορά τον Microsoft Forefront TMG 2010 και την πληθώρα των δυνατοτήτων, παρουσιάζω παρακάτω τον τρόπο υλοποίησης και πιστοποίησης της διαλειτουργικότητας μεταξύ του Juniper SRX 210H και του security gateway Microsoft Forefront TMG 2010, με άλλα λόγια σκοπός μας είναι η δημιουργία ενός secure tunnel. Συγγραφέας του συγκεκριμένου άρθρου είναι o Axel Dittmann. Μετά από την δημιουργία/ρύθμιση του route-based VPN στο Juniper SRX, προχωρούμε εν συνεχεία διαμέσου του VPN-Wizard στον Microsoft Firewall. Λαμβάνοντας υπόψην ότι θα πρέπει να γίνουν ορισμένες αλλαγές (modifications) στα Microsoft standard
IKE και IPSec Proposals τα οποία παρέχονται διαμέσου του wizard,
τα πάντα λειτούργησαν άψογα με αποτέλεσμα το ping από το ένα site στο άλλο λειτούργησε άψογα. Το setup είναι το παρακάτω :

Όπως γίνεται άμεσα αντιληπτό με μία γρήγορη ματιά στις παρακάτω εικόνες από τον VPN-Wizard η εγκατάσταση είναι σχετικά απλή μιας και οι συγκεκριμένες εικόνες μικούν από μόνες τους :
Βήμα1ο : VPN
Βήμα 2ο: Υλοποίηση remote site VPN
Βήμα 3ο: Εκκίνηση του wizard
Βήμα 4ο : Ονομάζοντας το VPN Βήμα 5ο: tunnel endpoints
Βήμα 6ο: shared secret Βήμα 7ο: Τα tunnel endpoints βρίσκονται σε προστατευόμενο δίκτυο – Τα διαγράφουμε Βήμα 8ο: Εν συνεχεία εισάγουμε τα προστατευόμενα δίκτυα Βήμα 9ο: Αμέσως εμφανίζεται ένα warning το οποίο μας ενημερώνει ότι ορισμένα πράγματα δεν λειτουργούν Βήμα 10ο: Δημιουργία network rule Βήμα 11ο: Δημιουργία access rule Βήμα 12ο: Ολοκλήρωση
Τώρα θα ασχοληθούμε με το πιο ενδιαφέρον μέρος της δημιουργίας του συγκεκριμένου VPN. Ανοίγουμε προς επεξεργασία το πρόσφατα δημιουργημένο VPN
remote sites και επικεντρώνουμε το ενδιαφέρον μας στα default proposal settings:
(Δεξί κλικ στο remote site, Επιλογή του <Connection> και του <IPSec Settings …>)
Τα default settings του IKE Phase 1 Τα default settings του Phase 2
Προχωρούμε σε αλλαγές των settings έτσι ώστε να είμαστε συμβατοί με το σύστημα της Juniper. Απλά για να είμαστε σίγουροι ότι το σύστημα SRX είναι σε θέση να χρησιμοποιεί σωστά και να επικοινωνεί με τα συγκεκριμένα proposals --- Στο σημείο αυτό η ασφάλεια του υποκατασκευή δικτύου δεν είναι το ζητούμενο:

Συνεπώς χρησιμοποιούμε στο Phase 1: Εncryption = 3DES, Αuthentication = SHA1, DH-Group = group2 and lifetime 28800
Στο Phase 2: Εncryption = 3DES, Αuthentication = SHA1, no pfs, rekey every 3600 seconds.
Αμέσως μετά την εφαρμογή του νέου configuration το tunnel δεν στάθηκε δυνατόν να ξεκινήσει. Με προσεκτική παρατήρηση βρίσκουμε το παρακάτω μήνυμα μέσα στα SRX log:
172.16.100.180:500
(Responder) <-> 172.16.100.183:500 { 8f4cd363 13dcf3af - 9f6ff605
4d145fab [0] / 0x90b59c54 } Info; Received notify err = No proposal
chosen (14) to isakmp sa, delete it
Εκ πρώτης όψεως το μήνυμα είναι λίγο παράξενο, αλλά με μια γρήγορη ματιά κάνοντας χρήση ενός packet analyzer μας δίνει την απάντηση:

Ο Microsoft Forefront TMG 2010 μας παρέχει τα παλαιά credentials τα οποία εμπεριέχονται στην default value. Οι αλλαγές αυτές δεν έχουν καμία επίδραση στο VPN. Έτσι λοιπόν αυτό το οποίο πρέπει να κάνουμε στο σημείο αυτό είναι να επανεκκινήσουμε (restart) τα Forefront TMG services γεγονός το οποίο έχει σαν αποτέλεσμα την παροχή των σωστών credentials:

Τελικά το VPN tunnel ανέβηκε :

Όσον αφορά τον Juniper SRX VPN (route bases) το απαιτούμενι configuration είναι το εξής παρακάτω:
IKE policy:
[edit security ike]
root# show
proposal ikeproptmg {
    description toTMG;
    authentication-method pre-shared-keys;
    dh-group group2;
    authentication-algorithm sha1;
    encryption-algorithm 3des-cbc;
    lifetime-seconds 28800;
}
policy ikepoltmg {
    mode main;
    description PolicyToTMG;
    proposals ikeproptmg;

pre-shared-key ascii-text
"$9$Sivlv8-VYZUHX7UHqmF3SreKXNZGjf5zGU/Cu0IR";
##
SECRET-DATA
}
gateway ikegatewaytmg {
    ike-policy ikepoltmg;
    address 172.16.100.183;
    external-interface ge-0/0/0;
}
IPSec Policy:
[edit security ipsec]
root# show
proposal ipsecproptmg {
    description IPSEC_to_TMG;
    protocol esp;
    authentication-algorithm hmac-sha1-96;
    encryption-algorithm 3des-cbc;
    lifetime-seconds 3600;
}
policy ipsecpoltmg {
    description PolicyToTMG;
    proposals ipsecproptmg;
}
vpn vpntmg {
    bind-interface st0.0;
    ike {
        gateway ikegatewaytmg;
        proxy-identity {
            local 192.168.113.0/24;
            remote 192.168.13.0/24;
            service any;
        }
        ipsec-policy ipsecpoltmg;
    }
    establish-tunnels on-traffic;
}
Και το αποτέλεσμα:
root> show security ike sa
Index   Remote Address State Initiator cookie Responder cookie Mode
12      172.16.100.183 UP     039708c225e6394e e13125bff2db04af Main
root> show security ipsec sa
Total active tunnels: 1
ID    Gateway          Port Algorithm       SPI      Life:sec/kb Mon vsys
<131073 172.16.100.183 500   ESP:3des/sha1   f2f8ab03 3562/ unlim   -   0
>131073 172.16.100.183 500   ESP:3des/sha1   6cc8f853 3562/ unlim   -   0
Το ping λειτούργησε σωστά φέρνοντας την σωστή απάντηση και συνεπώς το tunnel βρίσκεται σε λειτουργία.
Ελπίζω ότι θα βρείτε ιδιαιτέρως χρήσιμο το συγκεκριμένο άρθρο.
- Read more...
- 0 comments
- 619 views
Forefront TMG 2010 - Scripting με VBScript και Powershell

By Jordan_Tsafaridis, February 20, 2011
Σκοπός αυτού του άρθρου είναι να παρουσιάσουμε εν συντομία το τρόπο με τον οποίο μπορούμε να διαχειριστούμε τον Forefront TMG κάνοντας χρήση VBScript καθώς επίσης πως μπορούμε να συλλέξουμε πληροφορίες διαμέσου της δυνατότητας υποστήριξης πρόσβασης "read only" PowerShell στον Forefront TMG.
Ας ξεκινήσουμε

Πρώτα απ'όλα θα πρέπει να σας εκμηστηρευτώ ότι σε καμία περίπτωση δεν είμαι ένας Scripting ή programming guru. Κατά την διάρκεια των φοιτητικών μου χρόνων ασχολήθηκα με προγραμματισμό σε γλώσσες όπως η Borland Turbo Pascal, η COBOL καθώς και η C++, αλλά ποτέ δεν ασχολήθηκα με τον προγραμματισμό επαγγελματικά. Παρόλα αυτά νομίζω ότι σε αυτό το άρθρο θα λάβετε αρκετή πληροφορία η οποία θα σας φανεί ιδιαίτερα χρήσιμη έτσι ώστε να καταλάβετε την δύναμη του VBScript και του PowerShell στον Forefront TMG, έτσι ώστε να είναι εύκολο για τον καθέναν μας να αναπτύξει τα δικά του scripts. Επιπροσθέτως θα ρίξουμε μια ματιά στο Forefront TMG SDK, στο οποίο περιλαμβάνεται και μια σειρά από ιδιαιτέρως χρήσιμα preconfigured scripts τα οποία έχουν σαν σκοπό να αυτοματοποιήσουν την εργασία της διαχείρισης του.
O Forefront TMG ως COM
To COM χρησιμοποιείται από τις τεχνολογίες scripting όπως η VBScript για την απόκτηση πρόσβασης στον Forefront TMG με την μέθοδο του προγραμματισμού. Σύμφωνα με την Wikipedia
ο όρος COM σημαίνει Component Object Model. Το Component Object Model (COM)
αποτελεί ένα πρότυπο binary-interface το οποίο σχετίζεται άμεσα με το software componentry και ανακοινώθηκε για πρώτη φορά από την Microsoft το 1993. Χρησιμοποιείται για την ενεργοποίηση του interprocess communication και του
dynamic object creation σε ένα μεγάλο εύρος γλωσσών προγραμματισμού. Συχνά δε ο όρος COM χρησιμοποιείται στην βιομηχανία ανάπτυξης λογισμικού γύρω από τα προϊόντα της Microsoft ο οποίος λειτουργεί ως ομπρέλλα κάτω από την οποία περιλαμβάνονται και τα OLE, OLE Automation, ActiveX,
COM+ και οι DCOM technologies. Το COM αποτελεί μια interface technology η οποία καθορίζεται και εφαρμόζεται/αναπτύσεται ως πρότυπο μόνον στα Microsoft Windows και στο Apple's Core
Foundation 1.3 και νεότερες εκδόσεις. Σε κάποιες δε εφαρμογές το COM αντικαταστάθηκε σε κάποιο βαθμό από το Microsoft .NET framework, όπως επίσης και η υποστήριξη των Web Services διαμέσου του Communication Foundation
(WCF). Εντούτοις, τα COM objects μπορούν να χρησιμοποιηθούν με όλες τις .NET languages διαμέσου του .NET COM Interoperability.

Ο Forefront TMG COM έχει ένα root object το οποίο ονομάζεται
FPC.Root. Αυτό το root object διαχειρίζεται το Enterprise object το οποίο ταυτοποιείται/αναγνωρίζεται ως FPCEnterprise και στους Arrays ως FPCArrays.FPC. Το Root αποτελεί το root του administration COM object hierarchy, και παρέχει πρόσβαση κάνοντας χρήση προγραμματισμού - (programmatic access) - σε άλλα FPC objects. Κάθε υπολογιστικό σύστημα Forefront TMG σχετίζεται - (associated) - με έναν μοναδικό array ως ένα από αρκετά fpcServer objects μέσα σε μία συλλογή από fpcServers.

Άλλα objects τα οποία διαχειρίζονται από αυτό το Enterprise object και από το Array object είναι τα ακόλουθα:

Admin Security object (χρησιμοποιείται από το Enterprise και από το Array)

Extensions object (χρησιμοποιείται από το Enterprise και από το Array)

Policy Rule object (χρησιμοποιείται από το Enterprise και από το Array)

Server object (χρησιμοποιείται από το Array)

Rule Elements object (χρησιμοποιείται από το Enterprise και από το Array)

Cache object (χρησιμοποιείται από το Array)

Network Configuration object (χρησιμοποιείται από το Enterprise και από το Array)

Array Policy object (χρησιμοποιείται από το Array)

IP object (χρησιμοποιείται από το Array)
Based on this knowledge you should have a better
understanding about the VBScript script examples which you can found on
several Internet websites and in the Forefront TMG SDK. An understanding
of COM objects is also helpful when you use the PowerShell to query
Forefront TMG objects. Forefront TMG has no built-in PowerShell CMDLets
and will use COM.

Forefront TMG SDK
Αρχικά θα ξεκινήσουμε με το Forefront TMG SDK, το οποίο μπορούμε να το κατεβάσουμε δωρεάν από το Microsoft website. Θα βρείτε τον διαδικτυακό σύνδεσμο (link) για να κατεβάσετε αυτό το SDK στο τέλος αυτού του άρθρου. Το Forefront TMG SDK
έρχεται με ένα πάρα πολύ χρήσιμο documentation στο οποίο περιγράφεται εκτενώς ο προγραμματισμός του Forefront TMG
καθώς επίσης πληροφορίες ανώτερου επιπέδου σχετικά με μία σειρά από εσωτερικά Forefront TMG
concepts. Το Forefront TMG SDK περιλαμβάνει και μια σειρά από παραδείγματα scripting από τα οποία θα χρησιμοποιήσω ορισμένα κομμάτια κώδικα.

Εικόνα 1: Forefront TMG SDK – Παραδείγματα Script

Ένα από τα παραδείγματα scripts μας επιτρέπει να προσθέσουμε Forefront
TMG Administrators στο role based access model του Forefront TMG, όμως μόνον στο Monitor group. Εδώ επιτρέψτε μου ότι θα αποτελούσε μια ευχάριστη άσκηση ο εμπλουτισμός του συγκεκριμένου script έτσι ώστε να προσθέσετε τον Αdministrator και σε άλλα Forefront TMG roles.

Εικόνα 2: Προσθήκη χρήστη στο Monitor role group του Forefront TMG

Παραδείγματα VBScript

Ο ευκολότερος τρόπος για να αυτοματοποιήσουμε ορισμένα tasks στον Forefront TMG είναι με την χρήση των VBScript.
Τα VBScript ήταν επίσης διαθέσιμα και στην παλαιότερη έκδοση του Forefront TMG και μπορούν να χρησιμοποιηθούν για την αυτοματοποίηση ορισμένων administration tasks. Το πρώτο παράδειγμα script σας εμφανίζει όλους τους Forefront TMG arrays.

Το script ξεκινα με την ρύθμιση του Forefront TMG
root το οποίο είναι πάντοτε το FPC.Root και οριοθετεί μια παράμετρο - (set a variable) - η οποία θα περιέχει τους Forefront TMG arrays (objFPC.Arrays). Το script θα εμφανίζει ένα Input Box όπου θα εισάγουμε το όνομα του Forefront TMG array ή αντιστοίχως θα αφήνουμε το dialog box κενό έτσι ώστε να αλμβάνουμε μία λίστα από όλους τους διαθέσιμους Forefront TMG arrays.

Εικόνα 3: Εμφάνιση πληροφοριών για τον Forefront TMG array.

Ένα κλασικό Script

Ένα κλασικό script το οποίο έχω χρησιμοποιήσει αρκετές φορές σε εγκαταστάσεις ISA Server και Forefront TMG
είναι η εξαγωγή όλου του Forefront TMG configuration κάνοντας χρήση ενός
script. Μπορείτε να χρησιμοποιήσετε το παρακάτω script σε συνδυασμό με τον Windows Task Scheduler για να εξάγετε το όλο το Forefront TMG configuration σε κάποιον άλλο host σε επαναλαμβάνομενα χρονικά διαστήματα.

Dim fileName

Dim WSHNetwork

Dim shareName: shareName = WScript.Arguments(0)

Dim xmldom : set xmldom = CreateObject("Msxml2.DOMDocument")

Dim fpc : set fpc = WScript.CreateObject("Fpc.Root")

Dim array : set array = fpc.GetContainingArray

set WSHNetwork = CreateObject("WScript.Network")

fileName=shareName & "\" & WSHNetwork.ComputerName & "-" &

Month(Now) & "-" & Day(Now) & "-" & Year(Now) & ".xml"

array.Export xmldom, 0

xmldom.save(fileName)

Αυτό το script χρησιμοποιεί το Windows Scripting Host (WSH), καθορίζει το Forefront TMG Root (FPC.Root), ορίζει κα΄ποιες μεταβλητές και εν συνεχεία δημιουργεί ένα αρχείο XML το οποίο βασίζεται στην συγκεκριμένη ημέρα κατά την οποία αυτό το script εκτελέστηκε. Συνεπώς δεν έχετε παρά να σώσετε το παραπάνω παράδειγμα scripting ως ένα αρχείο με .VBS extension και αμέσως μετά δημιουργήστε ένα αρχείο batch με την ακόλουθη σύνταξη:

Cscript TMGBACKUP.VBS \\RemoteServer\TMG-BACKUP

Το παραπάνω θα δημιουργήσει ένα αντίγραφο ασφαλείας του Forefront TMG
configuration στο προκαθορισμένο file share (TMG-Backup). Εάν επιθυμείτε να δημιουργήσετε επαναλαβάνομενα backups του δικού σας Forefront TMG configuration απλά πρέπει να δημιουργήσετε ένα task με το Windows Task Scheduler, το οποίο θα εκτελεί το συγκεκριμένο αρχείο batch.

Εξαγωγή του ISA Server 2006 VPN configuration και εισαγωγή του στον Forefront TMG
Το επόμενο παράδειγμα είναι πιο περίπλοκο. Πραγματοποιεί την εξαγωγή του ISA Server 2006 VPN
configuration και την εισαγωγή του σε έναν Forefront TMG Server. Το script αυτό δημιουργήθηκε από τον MVP
Christian Groebner. To πλήρες άρθρο μπορείτε να το βρείτε στον παρακάτω σύνδεσμο ο οποίος είναι αφιερωμένος αποκλειστικά στον ISA Server και τον Forefront TMG.

Εάν θέλετε να χρησμοποιήσετε αυτό το script example απλά κάνετε copy όλο το κείμενο στο Notepad και το σώζετε με .VBS extension.

' ----- Sub restore_ipsec_settings -----

Sub restore_ipsec_settings(fpcRoot, VPN_Name, Int_PhaseI, Enc_PhaseI, Int_PhaseII, Enc_PhaseII)

Dim Intproviders
Dim Encproviders

Intproviders = Array("SHA1","MD5")
Encproviders = Array("DES","3DES")

set objIPSec = fpcRoot.GetContainingArray.NetworkConfiguration.Networks.Item(VPN_Name).VPNConfiguration.IPSecSettings

wscript.echo "Restoring IPSec-settings for network" & VPN_Name & vbCrLf
wscript.echo "Phase I integrity : " & Intproviders(Int_PhaseI)
objIPSec.Phase1Integrity = Int_PhaseI
wscript.echo "Phase I encryption : " & Encproviders(Enc_PhaseI)
objIPSec.Phase1Encryption = Enc_PhaseI
wscript.echo "Phase II integrity : " & Intproviders(Int_PhaseII)
objIPSec.Phase2Integrity = Int_PhaseII
wscript.echo "Phase II encryption : " & Encproviders(Enc_PhaseII) & vbCrLf
objIPSec.Phase2Encryption = Enc_PhaseII
wscript.echo "Successfully applied the settings"
wscript.echo "-----------------------------------------------------------" & vbCrLf

End Sub

' ------ Sub Main -------

Sub Main()

Dim PhaseI_Int
Dim PhaseI_Enc
Dim PhaseII_Int
Dim PhaseII_Enc
Dim config

config
= Inputbox("Please enter the complete path and filename with extension
to the existing configuration file of ISA 2006 : (Example:
C:\Temp\config.xml)")

Set xmlFile = CreateObject("Microsoft.XMLDOM")

If xmlFile.load(config) then

  set objFPC = CreateObject("FPC.Root")

  Set networkNodes = xmlFile.getElementsByTagName("fpc4:Network")

  For each networkNode in networkNodes

   If (Not(networkNode.selectSingleNode("fpc4:NetworkConnectionType") is Nothing)) Then

    If (networkNode.selectSingleNode("fpc4:NetworkConnectionType").Text = 4) Then

     PhaseI_Int = 0
     PhaseI_Enc = 1
     PhaseII_Int = 0
     PhaseII_Enc = 1
     Name = networkNode.selectSingleNode("fpc4:Name").Text

     Set ipsecSettingsNode = networkNode.selectSingleNode("fpc4:VpnNetworkConfiguration/fpc4:VpnNetworkIPSecSettings")

     If

(Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Encryption")
is Nothing)) Then PhaseI_Enc =
ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Encryption").Text
     If

(Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Integrity")
is Nothing)) Then PhaseI_Int =
ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Integrity").Text
     If

(Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Encryption")
is Nothing)) Then PhaseII_Enc =
ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Encryption").Text
     If

(Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Integrity")
is Nothing)) Then PhaseII_Int =
ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Integrity").Text

     restore_ipsec_settings objFPC, Name, PhaseI_Int, PhaseI_Enc, PhaseII_Int, PhaseII_Enc

    End If

   End If

  Next

objFPC.GetContainingArray.Save

Else

  wscript.echo("The file does not exist!")

End If

End Sub

'------ Start the script ------

Main

Εμφάνιση των Forefront TMG URL κατηγοριών
Μία από τις καινούριες ιδιότητες - λειτουργίες του Forefront TMG είναι η υποστήριξη του for dynamic
URL filtering. Το URL filtering χρησιμοποιεί κατηγορίες. Για να εμφανίσετε όλες τις τις Forefront TMG URL filter κατηγορίες, θα πρέπει να δημιουργήσετε ένα script με τον παρακάτω κώδικα:

set root=CreateObject("FPC.Root")

For Each cat in root.GetContainingArray().RuleElements.UrlCategories

    wscript.echo "'" & cat.Name & "' --> " & cat.CategoryID

Next

Το output του παραπάνω script παρουσιάζεται παρακάτω:

Εικόνα 4: Εμφάνιση του Forefront TMG array information

Ο Forefront TMG και το PowerShell
Ο Forefront
TMG δεν έχει ενσωματωμένο το Windows PowerShell cmdlet, αλλά μπορούμε αν'αυτού να χρησιμοποιήσουμε τα COM objects. Όταν έχουμε πρόσβαση στο ProgID ενός COM component,
το οποίο είναι αποθηκευμένο στην Registry μπορούμε να χρησιμοποιήσουμε την εντολή New-Object command στο Windows PowerShell όπως θα διαπιστώσετε στο επόμενο screenshot (Root
Object is always FPC.Root).

Εικόνα 5: Καθορισμός του TMG Root Object

Εμφάνιση του Forefront TMG Root

Αμέσως μετά τον καθορισμό του Forefront TMG Root Object στο Windows
PowerShell μπορούμε να λάβουμε πληροφορία σχετικά με το Forefront TMG Root Object
configuration, όπως αυτό παρουσιάζεται στο παρακάτω screenshot.

Εικόνα 6: Εμφάνιση του Forefront TMG root

Query single Forefront TMG objects.

Εάν θέλουμε να κάνουμε query σε ένα και μόνον Forefront TMG objects εισάγουμε $TMGRoot. στο Windows PowerShell window και κάνουμε κλικ στο TAB key πίσω από το $TMGRoot. definition για να εμφανιστούν όλα τα στοιχεία (all elements).

Εικόνα 7: Query Forefront TMG objects κάτω από το FPC.Root

Εικόνα 8: Εμφάνιση των properties του FPC.Root

Καθορισμός του Forefront TMG Enterprise και του Array configuration με το Export
Στο τελευταίο μας παράδειγμα θα μάθουμε τον τρόπο με τον οποίο μπορούμε να χρησιμοποιήσουμε το PowerShell σε συνδυασμό με τον Forefront TMG. Αυτό το παράδειγμα script μπορείτε να το κατεβάσετε από αυτόν τον σύνδεσμο. Το script αυτό καθορίζει τον Forefront TMG Enterprise και τους συνδεόμενους σε αυτόν arrays και εξάγει το configuration σε ένα αρχείο XML.

Συμπέρασμα
Ολοκληρώνοντας σε αυτό το άρθρο σας παρουσίασα μια σύντομη εισαγωγή του τρόπου με τον οποίο μπορείτε να διαχειριστείτε τον Forefront TMG κάνοντας χρήση των VBscript και του Microsoft PowerShell. Υπάρχουν διαθέσιμα στο διαδίκτυο πολλά ελεύθερα προς κατέβασμα και χρήση παραδείγματα Script όπου με λίγη προγραμματιστική προσπάθεια πιστεύω ότι μπορείτε να δημιουργήσετε τα δικά σας scripts
τα οποία είμαι βέβαιος ότι θα διευκολύνουν την καθημερινή σας διαχείριση του Forefront TMG. Ελπίζω ότι η επόμενη έκδοση του Forefront TMG θα παρέχει πλήρη υποστήριξη του PowerShell.
- Read more...
- 0 comments
- 726 views
Support for Windows Server 2008 R2 SP1 on your Exchange 2010 Servers

By Jordan_Tsafaridis, February 15, 2011
Αγαπητοί συνάδελφοι της κοινότητας, με το παρόν άρθρο θα ήθελα να κοινοποιήσω τα αποτελέσματα των δοκιμών τα οποία έλαβαν χώρα από το Microsoft Exchange Team τα οποία είχαν σαν σκοπό να πιστοποιήσουν την συμβατότητα του Microsoft Exchange Server 2010 με το Windows Server 2008 R2 Service Pack 1. Προκειμένου το κείμενο να μην παρερμηνευτεί το παραθέτω αυτούσιο στην Αγγλική γλώσσα και όχι μεταφρασμένο στην Ελληνική γλώσσα.

Support for Windows Server 2008 R2 SP1 on your Exchange 2010 Servers

February 11, 2011 By Paul Cunningham
Update: the Microsoft Exchange Team has announced that it is supported to run the following Exchange versions on Windows Server 2008 R2 SP1:

Exchange 2010 SP1 Exchange 2010 RTM Exchange 2007 SP3
The best news of all is that Windows Server 2008 R2 SP1 now includes
all of the pre-requisite hotfixes for Exchange Server 2010 SP1, so no
more manually downloading and installing the 6 or 7 patches that were
previously needed.

Original post below:

Henrik Walther has answered the question from many Exchange 2010
administrators as to whether it is supported to run Windows Server 2008
R2 Service Pack 1 (SP1 has just been released) on Exchange 2010 servers.

From Henrik’s blog:

I see more and more questions from folks asking whether
it’s supported to install Exchange 2010 SP1 on Windows Server 2008 R2
with the new SP1 applied or even upgrade an existing server Exchange
2010 SP1 server running on Windows Server 2008 R2 to this new service
pack.

There’s still no information about this in the Exchange Server 2010
Supportability Matrix, but according to the Exchange team this is not
supported with the current Exchange 2010 SP1 build but will be with
Exchange 2010 SP2 (or with some luck with a future Exchange 2010 SP1
roll-up update).

So if you were considering the upgrade its best that you hold off until an official support statement is made.
Windows 2008 R2 SP1 general availability and what it means for Exchange

Now that you might have seen the announcement for general availability of Windows 2008 R2 SP1, we wanted to get ahead of the inevitable question: "Is Exchange supported running on Windows Server 2008 R2 SP1?"
We
wanted to let you know that we've completed testing with Windows 2008
R2 SP1 and the following versions of Exchange are supported to run on
Windows 2008 R2 SP1 (the RTM version of SP1):
Exchange 2010 SP1
Exchange 2010 RTM
Exchange 2007 SP3
Please note that Exchange 2007 was not supported to run on Windows 2008 R2 at all before Exchange 2007 SP3 release.

Also note, Windows 2008 R2 SP1 includes the hotfixes required to install Exchange 2010 SP1 (listed in Exchange 2010 SP1 FAQ and Known Issues
— 979744, 983440, 979099, 982867 and 977020). If you're installing
Exchange 2010 SP1 on a server running Windows 2008 R2 SP1, you don't
need to install these hotfixes separately.

Nino Bilic
- Read more...
- 0 comments
- 515 views
Exchange Server 2010 - Management Console Error

By Jordan_Tsafaridis, December 13, 2010
Όταν κάνουμε login σε έναν Exchange 2010 server, και εν συνεχεία ανοίγουμε το Exchange
Management Console, είναι πολύ πιθανόν να εμφανιστεί ένα μήνυμα λάθους. Αυτό το μήνυμα λάθους σχετίζεται άμεσα με δύο θέματα. Είτε ο Exchange 2010 Server έχει όντως πρόβλημα επικοινωνίας με τους Ιn-Site Domain Controllers, είτε υπάρχει profile corruption του λογαριασμού (account) τον οποίο χρησιμοποιούμε για να κάνουμε login στον Exchange 2010 Server. Σύμφωνα δε με πληροφορίες οι οποίες προέρχονται από διάφορα user forums το συγκεκριμένο πρόβλημα κατά πλειοψηφία οφείλεται σε profile
corruption του Exchange Management Console file.

Βήματα επίλυσης του προβλήματος

Επαλίθευση και πιστοποίηση της επικοινωνίας με τους Domain Controllers:
Πρώτα απ' όλα θα πρέπει να επαληθεύσουμε ότι ο Exchange 2010 Server δεν λαμβάνει λάθη κατά ην διάρκεια του MSExchange DSAccess suitability testing. Αυτό μπορεί να εξακριβωθεί διαμέσου του Event log\Application
EventID: 2080
Source: MSExchange ADAccess

Εφόσον δεν εμφανίζονται στην λίστα όλοι οι In-Site
domain controllers τους οποίους έχουμε εγκατεστημένους Ή το suitability score διαφέρει σημαντικά το ένα από το άλλο, τότε θα πρέπει να διερευνήσουμε μήπως υπάρχουν προβλήματα επικοινωνίας (communication) καθώς επίσης και προβλήματα στο replication μεταξύ των εγκατεστημένων DCs. Εάν όλα είναι εντάξει τότε προχωρούμε στην διαδικασία επιδιόρθωσης του profile corruption.
Profile corruption:
Για την επιδιόρθωση :
1. Κάνουμε login στον Exchange 2010 Server, και εν συνεχεία μεταβαίνουμε στην ακόλουθη θέση :
C:\Users\<Username>\AppData\Roaming\Microsoft\MMC\
2. Διαγράφουμε ή μετονομζουμε (Delete or rename) το ακόλουθο αρχείο : “Exchange Management Console”
3. Αμέσως μετά κάνουμε Log out και εν συνεχεία κάνουμε ξανά login. Ανοίγουμε το Exchange Management Console και το λάθος θα πρέπει να μην εμφανιστεί ξανά.
- Read more...
- 0 comments
- 470 views
Ελέγχοντας την Πρόσβαση στο Διαδίκτυο : Σύντομος Οδηγός των TMG Access Rules (Μέρος 2ο)

By Jordan_Tsafaridis, November 19, 2010
Εισαγωγή
Στο πρώτο μέρος αυτής της σειράς τεχνικών άρθρων τα οποία αναφέρονται στα Access Rules, παρουσιάσα τον σκοπό και τις διαδικασίες για την δημιουργία ενός Access Rule καθώς και τον τρόπο χρήσης του Access Rule wizard για την δημιουργία ενός κανόνα.
Στο δεύτερο αυτό μέρος θα δώσουμε έμφαση στις λεπτομέριες των Access Rules αφότου αυτοί έχουν δημιουργηθεί από τον wizard. Ο λόγος για τον οποίο θέλουμε να το κάνουμε αυτό είναι υπάρχει μια σειρά ρυθμίσεων η οποία δεν εμφανίζεται κατά την διάρκεια χρήσης του Access
Rule wizard.

Εάν κάνουμε διπλό κλικ σε ένα access rule αμέσως μετά την δημιουργία του, θα εμφανιστεί το Properties dialog box του συγκεκριμένου κανόνα. Το πρώτο tab το οποίο θα παρουσιαστεί είναι το General
tab. Σε αυτό το σημείο μπορούμε να αλλάξουμε το όνομα του κανόνα (rule) και να συμπληρώσουμε επίσης και μια σύντομη περιγραφή του κανόνα. Θα ανακαλύψετε όπως και εγώ ότι το description box αποτελεί μια πραγματική βοήθεια, διότι σε αυτό μπορούμε να καταγράψουμε τον λόγο για τον οποίο δημιουργήσαμε τον συγκεκριμένο κανόνα, ποιος δημιουργήσε τον κανόνα, πότε δημιουργήθηκε ο κανόνας, αλλά επίσης και τον λόγο για τον οποίο δημιουργήσαμε τον κανόνα, όπως για παράδειγμα ποιος απαίτησε την δημιουργία του κανόνα ή ποιο επιχειρησιακό πρόβλημα ο κανόνας αυτός επιλύει.

Σημειώστε ότι το Evaluation order περιλαμβάνεται σε αυτό το tab.
Παρόλα αυτά, θα πρέπει να είμαστε προσεκτικοί διότι αυτό το evaluation order για την λίστα των firewall rules βρίσκεται εκτός (outside) από τα System Policy rules. Τα System Policy rules πάντοτε αξιολογούντε (evaluated) πριν την αξιολόγηση των firewall policy rules. Εδώ μπορούμε να ενεργοποιήσουμε ή να απενεργοποιήσουμε τον κανόνα χρησιμοποιώντας το Enable checkbox.

Εικόνα 1

Στο Action tab, έχουμε την παρακάτω σειρά επιλογών:

Allow - Όταν επιλέγουμε αυτήν την επιλογή, τότε ο κανόνας μετατρέπεται σε έναν allow rule με συνέπεια όταν το connection attempt πιστοποιεί (matches) τις συγκεκριμένες ρυθμίσεις σε αυτόν τον κανόνα, τότε η σύνδεση είναι επιτρεπτή. (Τhe connection will be allowed)
Deny - Όταν επιλέγουμε αυτήν την επιλογή, τότε ο κανόνας μετατρέπεται σε έναν κανόνα άρνησης (deny rule) με συνέπεια όταν το connection attempt πιστοποιεί (matches) τις συγκεκριμένες ρυθμίσεις σε αυτόν τον κανόνα, τότε η σύνδεση είναι
μη επιτρεπτή. (Τηε connection will be denied)

Display denial notification to user - Εάν ο κανόνας είναι ένας κανόνας HTTP, και επιλέξουμε αυτήν την επιλογή, έχουμε την δυνατότητα να εισάγουμε ένα κείμενο το οποίο θα κοινοποιείται στον χρήστη ενημερώνοντάς τον ότι η σύνδεση την οποία προσπάθησε να πραγματοποιήσει δεν επιτρέπεται. Η πληροφορία αυτή θα εμφανίζεται σε ένα browser window. Χρησιμοποιώντας αυτό το χαρακτηριστικό ο χρήστης θα είναι σε θέση να γνωρίζει γιατί η σύνδεση την οποία πήγε να πραγματοποιήσει δεν επιτράπηκε.
Add denied request category to notification - Η επιλογή αυτή είναι διαθέσιμη όταν το URL filtering είναι ενεργοποιημένο εφόσον εάν έχουμε ενεργοποιήσει το URL filtering στον TMG firewall, έχοντας την δυνατότητα να ενημερώσουμε τον χρήστη, πότε το request δεν έγινε αποδεκτό, καθώς επίσης και σε ποια κατηγορία απαγορευμένων ιστοσελίδων προσπάθησε να μπει ο συγκεκριμένος χρήστης. Κατά γενική ομολογία οι χρήστες δεν ενδιαφέρονται γι' αυτήν την πληροφορία, αλλά εάν έχουμε κανόνες οι οποίοι απευθύνονται σε admins ή power users,
τότε είναι πιθανόν γι' αυτούς τους χρήστες η πληροφορία αυτή να είναι ιδιαίτερα χρήσιμη έτσι ώστε να προχωρήσουν σε επανακατηγοριοποίηση των ιστοσελίδων.

Redirect web client to the following URL - Εάν για κάποιο λόγο δεν επιθυμούμε να εμφανίσουμε μια ιστοσελίδα στην οποία να εξηγούμε στον χρήστη γιατί δεν επιτράπηκε η σύνδεσή του, εδώ έχουμε την επιλογή να ανακατευθύνουμε τον χρήστη (redirect the user) σε μια ιστοσελίδα της αρεσκείας μας.
Τέτοια ιστοσελίδα μπορεί να είναι μια ιστοσελίδα στην οποία περιγράφονται οι κανονισμοί πρόσβασης και χρήσης του διαδικτύου στην συγκεκριμένη επιχείρηση στην οποία εργαζόμαστε.

Log requests matching this rule - Αυτή η επιλογή είναι εξ ορισμού ενεργοποιημένη και επιτρέπει συνδέσεις οι οποίες είναι εναρμονισμένες με τον συγκεκριμένο κανόνα να γίνονται logged στα TMG firewall logs. Βεβαίως υπάρχουν και περιπτώσεις για τις οποίες δεν είναι απαραίτητη η καταγραφή πληροφορίας όπως τα επονομαζόμενα garbage traffic (NetBIOS broadcasts, LLMNR broadcasts, κ.τ.λ.). Αυτή η κίνηση θα έχει ως άμεση συνέπεια την σημαντική μείωση του όγκου των log files
και θα μετατρέψει τα logs σε καθαρότερη και εύκολότερα αναγνώσιμη μορφή.

Εικόνα 2

Στην σελίδα Protocols, έχουμε επιλογές οι οποίες είναι παρόμοιες με αυτές οι οποίες περιλαμβάνονται στον Access Rule wizard. Το This rule applies to drop down box παρέχει τις ίδιες επιλογές, και μπορούμε να χρησιμοποιήσουμε τα Add, Edit και Remove buttons για να προσθέσουμε, να επεξεργαστούμε ή να αφαιρέσουμε protocols τα οποία θα βρίσκουν εφαρμογή σε αυτόν τον κανόνα. Επιπροσθέτως έχουμε το Ports option το οποίο ήταν διαθέσιμο. Το Filtering button, όταν ενεργοποιηθεί, μας επιτρέπει να ρυθμίσουμε το HTTP Policy
γι'αυτόν τον κανόνα (Εάν αυτός είναι ένας κανόνας HTTP). Αυτό το χαρακτηστικό περιλαμβανόταν και σε παλαιότερες εκδόσεις του ISA firewall, το οποίο ήυαν ευρέως γνωστό ως HTTP Security Filter. Άλλα φίλτρα μπορούν να είναι διαθέσιμα - αναλόγως των πρωτόκολων τα οποία χρησιμοποιούμε – εφόσον αυτά βρίσκουν εφαρμογή σε πρωτόκολα outbound. Η πλειοψηφία των protocol filters τα οποία είναι διαθέσιμα στον TMG είναι σχεδιασμένα για το inbound protection, αλλά υπάρχουν ορισμένα τα οποία έχουν εφαρμογή σε πρωτόκολα outbound.

Εικόνα 3

Στο From tab, μπορούμε να καθορίσουμε τα source locations στα οποία αυτός ο κανόνας θα βρίσκει εφαρμογή. Με άλλα λόγια είναι οι clients οι οποίοι βρίσκονται σε ένα δίκτυο το οποίο προστατεύεται από τον TMG. Η επιλογή αυτή είναι όμοια με αυτήν την οποία είδαμε και στον Access Rule
wizard. Όταν κάνουμε κλικ στο Add, εμφανίζεται το Add Network Entities
dialog box και μπορούμε να επιλέξουμε από έναν μεγάλο αριθμό από network entities ή να δημιουργήσουμε καινούριες. Μια επιλογή η οποία είναι διαθέσιμη σε αυτό το tab, η οποία δεν εμφανίζεται στον Access Rule wizard, είναι ο τομέας των Exceptions.
Εδώ είμαστε σε θέση να καθορίσουμε τα sources στα οποία επιθυμούμε αυτός ο κανόνας να εφαρμόζεται, αλλά εάν υπάρχει ένα υποσύνολο μέσα σε αυτήν την ομάδα (group) στο οποίο ο κανόνας δεν πρέπει να εφαρμοστεί,
τότε μπορούμε να το τοποθετήσουμε μέσα στον τομέα των Exceptions. Αυτό αποτελεί μια πανίσχυρη επιλογή και θα πρέπει πάντοτε να το λαμβάνουμε υπόψην μας όταν σχεδιάζουμε Access Rules.

Εικόνα 4

Το To tab είναι όμοιο με το From tab, όπου καθορίζουμε τον προορισμό (destination) με τον θέλουμε να συμπίπτει ο κανόνας. Όταν κάνουμε κλικ στο Add, ανοίγει αυτόματα το Add Network Entities
dialog box στο οποίο μας δίνετε η δυνατότητα να επιλέξουμε την θέση προορισμού (destination location) από την λίστα η οποία παρουσιάζεται,
ή μπορούμε να δημιουργήσουμε μια καινούρια θέση προορισμού. Όσον αφορά το From tab, έχουμε επίσης την δυνατότητα δημιουργίας Exceptions.

Εικόνα 5

Στο Users tab, μπορούμε να καθορίσουμε σε ποιους χρήστες ο συγκεκριμένος κανόνας θα έχει εφαρμογή. Εξ ορισμού, το σετ χρηστών All Users χρησιμοποιείται για όλα τα Access Rules. Βεβαίως στο σημείο αυτό θα πρέπει να λάβουμε υπόψην μας ότι όταν αναφερόμαστε στο All Users δεν σημαίνει στην πραγματικότητα ότι συμπεριλαμβάνονται όλοι οι χρήστες (all
users), αλλά αντιθέτως αντιπροσωπεύει ανώνυμες συνδέσεις και επικυρωμένες συνδέσεις (anonymous connections and authenticated
connections). Εάν επιθυμούμε να εξαναγκάσουμε τους χρήστες να επικυρώσουν την σύνδεσή τους (authenticate), θα πρέπει να χρησιμοποιήσουμε κάποιο άλλο σετ χρηστών και να διαγράψουμε το All Users user set.

Εάν κάνουμε κλικ στο Add, μπορούμε να επιλέξουμε το All Authenticated Users
και τότε μόνον στους χρήστες οι οποίοι έχουν επικυρώσει την σύνδεσή τους με τον TMG firewall θα έχουν πρόσβαση διαμέσου του συγκεκριμένου κανόνα. Η επικύρωση του χρήστη μπορεί να πραγματοποιηθεί του web proxy client configuration ή του Firewall client (TMG client)
configuration. Εάν θέλουμε να δημιουργήσουμε το δικό μας σετ χρηστών, απλά κάνουμε κλικ στο κουμπί New.

Εικόνα 6

Όταν κάνουμε κλικ στο New, εμφανίζεται ο Welcome to the New User Set
wizard. Στην πρώτη σελίδα του wizard, εισάγουμε το όνομα του σετ χρηστών.
Σε αυτό το παράδειγμα θα δημιουργήσουμε ένα σετ χρηστών το οποίο θα περιλαμβάνει το Domain
Admins Active Directory group, και συνεπώς θα ονομάσουμε τον καινούριο κανόνα ως Administrators και εν συνεχεία κάνουμε κλικ στο Next.

Εικόνα 7

Στην σελίδα Users, όταν κάνουμε κλικ στο Add, εμφανίζεται ένα μενού τύπου fly out. Αυτό το fly out μενού περιλαμβάνει τις ακόλουθες πηγές πιστοποίησης:

Windows users and groups - Αυτοί είναι οι χρήστες και οι ομάδες (users & groups) που περιλαμβάνονται στο Active Directory domain ή σε αξιόπιστο τομέα στον οποίο ο TMG Firewall ανήκει.
LDAP - Αυτοί είναι οι χρήστες και οι ομάδες (users & groups) που περιλαμβάνονται στο Active Directory και μπορούμε να τους χρησιμοποιήσουμε όταν ο TMG firewall δεν είναι μέλος ενός τομέα (domain). Λάβετε υπόψην σας ότι ο TMG δεν υποστηρίζει LDAP authentication σε Access Rules.

RADIUS - Αυτοί είναι οι χρήστες οι οποίοι είναι προσβάσιμοι διαμέσου του RADIUS. Σημειώστε ότι ο RADIUS δεν υποστηρίζει Group Membership, ασχέτως αν μας επιτρέπεται να δημιουργήσουμε έναν χρήστη ό οποίος εμπεριέχει πολλαπλούς λογαριασμούς - (multiple accounts) - οι οποίοι είναι προσβάσιμοι διαμέσου του RADIUS, γεγονός το οποίο έχει ως αποτέλεσμα ένα ad hoc group στον
TMG firewall. Ο RADIUS υποστηρίζεται σε outbound web connections διαμέσου του TMG firewall.

SecurID - Αυτοί είναι οι χρήστες καθορίζονται από το SecurID. Το SecurID δεν υποστηρίζεται στα outbound connections διαμέσου του TMG firewall και των αντίστοιχων Access Rules.
Στο παράδειγμα αυτό, ο TMG firewall έχει συνδεθεί (joined) στο Active Directory domain, και για τον λόγο αυτό θα επιλέξουμε το Windows users and groups.

Εικόνα 8

Η προηγούμενη επιλογή φέρνει στο προσκήνι0 το Select Users or Groups dialog box. Στο σημείο αυτό εισαγάγουμε τους Domain Admins στο Enter the object names to select text box και εν συνεχεία κάνουμε κλικ στο Check Names και αμέσως μετά κάνουμε κλικ στο OK έτσι ώστε να συμπεριλάβουμε αυτό το Active Directory group στο σετ χρηστών.

Εικόνα 9

Σε αυτό το σημείο βλέπουμε τον νέο χρήστη στην σελίδα Users. Μπορούμε να προσθέσουμε περισσότερους χρήστες σε αυτό το σετ χρηστών εφόσον το επιθυμούμε. Στο παράδειγμα αυτό θα κάνουμε κλικ στο Next και δεν θα προσθέσουμε κανέναν άλλο χρήστη σε αυτό το σετ χρηστών.

Εικόνα 10

Στην σελίδα Completing the New User Set Wizard, κάνουμε κλικ στο Finish για να δημιουργήσουμε το καινούριο σετ χρηστών.

Εικόνα 11

Τώρα μπορούμε να δούμε το Administrators group στο Add Users dialog box και μπορούμε να χρησιμοποιήσουμε αυτό το group στα Access Rules και στα publishing rules.

εικόνα 12

Στο Schedule tab, μπορούμε να καθορίσουμε ένα χρονοδιάγραμμ για τον κανόνα ο οποίος καθορίζει με την σειρά του τις ώρες κατά τις οποίες ο κανόνας αυτός θα εφαρμόζεται. Σημειώστε ότι όταν ορίζουμε ένα χρονοδιάγραμμα, το χρονοδιάγραμμα εφαρμόζεται μόνον στις καινούριες συνδέσεις και συνεπώς για ήδη συνδεδεμένους χρήστες πριν από την εφαρμογή του κανόνα ο κανόνας αυτός δεν θα σταματήσει τις συνδέσεις τους. Ωστόσο, αν μια νέα προσπάθεια σύνδεσης που ταιριάζει με τον κανόνα είναι έξω από το χρονοδιάγραμμα, τότε η σύνδεση θα αρνηθεί. Το εξ ορισμού χρονοδιάγραμμα (schedule) είναι το Always, αλλά υπάρχουν επίσης αλλα δύο ενσωματωμένα χρονοδιαγράμματα που είναι : το Weekends και το Work hours. Εάν παρόλα αυτά δεν μας αρέσει κανένα από τα παραπάνω ενσωματωμένα χρονοδιαγράμματα τότε κάνουμε κλικ στο New button και δημιουργούμε το δικό μας χρονοδιάγραμμα.

Εικόνα 13

Το Malware Inspection tab είναι καινούριο και είναι διαθέσιμο μόνον στον TMG firewall. Υπάρχει μια σειρά επιλογών σε αυτό το tab οι οποίες δεν εμφανίζονται στον Access Rule wizard:

Inspect content downloaded from web servers to clients - Όταν ενεργοποιούμε αυτήν την επιλογή, όλο το περιεχόμενο το οποίο γίνεται downloaded από web servers θα ελέγχονται για κακόβουλο λογισμικό χρησιμοποιώντας την Microsoft AV μηχανή η οποία χρησιμοποιείται από τον TMG firewall.

Force full content requests (remove HTTP Range header) - Αυτό αναγκάζει το firewall να ζητήσει το πλήρες περιεχόμενο, έτσι ώστε το περιεχόμενο να μπορεί να αξιολογηθεί στο σύνολό του. Εάν μόνο σειρές αξιολογήθηκαν, ενδεχόμενες απειλές ενδέχεται να έχουν παραληφθεί.

Use rule specific settings for malware inspection - Μπορούμε να προσαρμόσουμε τις ρυθμίσεις του anti-malware για τον συγκεκριμένο κανόνα, όταν κάνουμε αυτήν την επιλογή. Συνεπώς εάν επιλέξουμε αυτή την επιλογή, θα πρέπει να κάνουμε κλικ στο
Rule Settings button για να ολοκληρώσουμε την προσαρμοσμένη ρύθμιση των παραμέτρων μας.

Εικόνα 14

Στην σελίδα Edit Rule Malware Inspection Settings, υπάρχει ένας αριθμός επιλογών. Η παρακάτω εικόνα δείχνει τις εξ ορισμού ρυθμίσεις:

Attempt to clean the infected files - Όταν αυτή η ενότητα είναι ενεργοποιημένη, το firewall TMG θα προσπαθήσει να καθαρίσει το αρχείο πριν το διαβιβάσει στο χρήστη. Εάν το αρχείο δεν μπορεί να καθαριστεί, θα διαγραφεί.
Block files with low and medium severity threats (higher level threats are blocked automatically) - Ο TMG firewall δεν θα μπλοκάρει εξ ορισμού αρχεία με απειλές μεσαίου και χαμηλού κινδύνου, χρησμοποιώντας το Microsoft AM engine classification system.
Block suspicious files - Ο TMG firewall χρησιμοποιεί τα heuristics για να καθορίσει πότε ένα αρχείο εάν ένα αρχείο είναι πιθανώς κακόβουλο. Όταν αυτή η επιλογή είναι επιλεγμένη, τότε το αρχείο θα μπλοκαριστεί εάν τα heuristics καθορίσουν ότι το αρχείο είναι πιθανώς malware.
Block corrupted files - Όταν αυτή η επιλογή είναι ενεργοποιημένη, τα αρχεία που έχουν καθοριστεί ότι είναι κατεστραμμένα, θα μπλοκαριστούν. Block files that cannot be scanned - Όταν αυτή η επιλογή είναι ενεργοποιημένη, η Microsoft AV engine δεν μπορεί να σαρώσει το αρχείο, και το αρχείο θα μπλοκαριστεί.
Block encrypted files - Εάν το αρχείο είναι κρυπτογραφημένο, η Microsoft AV engine δεν είναι σε θέση να αξιολογήσει το αρχείο και εάν αυτή η επιλογή αυτή είναι ενεργοποιημένη το αρχείο θα μπλοκαριστεί.
Block files if scanning time exceeds (seconds) - Όταν αυτή η επιλογή είναι ενεργοποιημένη, περιορίζει τον χρόνο κατά τον οποίο η Microsoft AV engine μπορεί να χρησιμοποιήσει για να αξιολογήσει το αρχείο πριν το ελευθερώσει ή το μπλοκάρει. Η προεπιλεγμένη τιμή είναι 5 λεπτά.
Block files if archive level depth exceeds - Όταν αυτή η επιλογή είναι ενεργοποιημένη, η AV engine μπλοκάρει εκείνα τα αρχεία τα οποία έχουν υπερβεί το archive depth το οποίο έχει καθοριστεί εδώ. Η προεπιλεγμένη τιμή είναι 20 επίπεδα (levels).

Block files larger than (MB) - Όταν αυτή η επιλογή είναι ενεργοποιημένη, θα μπλοκάρει αρχεία τα οποία είναι μεγαλύτερα από την αξία η οποία παρουσιάζεται στο text box, με την εξ ορισμού τιμή να είναι 1000 MB (1 GB). Αυτή η επιλογή μπορεί να χρησιμοποιηθεί για να βελτιώσουμε την απόδοση του TMG firewall, αλλά θα πρέπει να είμαστε ιδιαίτερα προσεκτικοί να μην μπλοκάρουμε αρχεία τα οποία χρειάζονται οι χρήστες μιας και οι χρήστες μπορεί να εργάζονται με μεγάλα σε μέγεθος αρχεία.

Block archive files if unpacked content is large than (MB) - Αυτή η επιλογή καθορίζει το μέγιστο μέγεθος ενός αποσυμπιεσμένου αρχείου. Αυτή η τιμή χρησιμοποιείται για να συντηρήσει τη μνήμη (preserve memory) στον TMG firewall.

Εικόνα 15

Συμπέρασμα

Σε αυτό το άρθρο ασχοληθήκαμε με τις λεπτομέρειες των Access Rules. Ενώ οι περισσότερες επιλογές τις οποίες θέλουμε να ρυθμίσουμε είναι προσβάσιμες από τον Access Rule Wizard, εντούτοις υπάρχουν κάποιες σημαντικές επιλογές οι οποίες είναι προσβάσιμες μόνον αφότου έχουμε δημιουργήσει τον κανόνα πηγαίνοντας στο Properties dialog box του συγκεκριμένου κανόνα. ελπίζω ότι θα βρειτε το συγκεκριμένο άρθρο ιδιαιτέρως χρήσιμο για σας οι οποίοι χρησιμοποιείται τον TMG firewall.
- Read more...
- 0 comments
- 641 views
Mac OS X security flaw publicized after Apple fails to patch

By Jordan_Tsafaridis, November 12, 2010
Αγαπητοί συνάδελφοι της κοινότητας του Autoexec παρακάτω σας παραθέτω μια εξαιρετικά σοβαρή περιπτώση προβλήματος ασφάλειας του λειτουργικού συστήματος Mac OS X η οποία έγινε γνωστή την Τετάρτη 10 Νοεμβρίου 2010.
Μάλιστα ιδιαίτερη εντύπωση προκαλεί το γεγονός ότι οι Penetration testing specialists της Core Security είχαν δημοσίως κοινοποιήσει όλη εκείνη την απαραίτητη πληροφορία σχετικά με ένα serious security vulnerability του λειτουργικού συστήματος Apple Mac OS X και σχολίαζαν με επικριτικό τρόπο το γεγονός του ότι ο κατασκευαστής έχει καθυστερήσει την κυκλοφορία του απαραίτητου διορθωτικού patch.
Παρακάτω σας παραθέτω αυτούσια προς μελέτη την σχετική δημοσίευση :

The vulnerability, which only affects Apple Mac OS X v10.5, could
allow hackers to take complete control of a vulnerable machine via
malicious PDF files.

In an advisory, Core Security said Apple claims it already has a
patch prepared for this issue but failed to release the fix despite
several promises.

Apple did not give any reasons for skipping the patch release.

Here’s the skinny on the problem:

The Apple Type Services is prone to
memory corruption due a sign mismatch vulnerability when handling the
last offset value of the CharStrings INDEX structure.

This vulnerability could be used by a
remote attacker to execute arbitrary code, by enticing the user of Mac
OS X v10.5.x to view or download a PDF document containing a embedded
malicious CFF font (Compact Font Format.

This vulnerability is a variation of the vulnerability labeled as CVE-2010-1797 (FreeType JailbreakMe iPhone exploit variation).

Core encourages Apple users to upgrade to Apple Mac OSX 10.6, which is not affected by this vulnerability.

Apple has a history of being tardy with security patches. According to this list maintained by TippingPoint ZDI, there are several outstanding high-risk vulnerabilities in Apple’s software.
Για περισσότερες πληροφορίες δείτε τον παρακάτω σύνδεσμο : http://www.zdnet.com/blog/security/mac-os-x-security-flaw-publicized-after-apple-fails-to-patch/7712
- Read more...
- 0 comments
- 646 views
Ενεργοποίηση του RDP management access στον Forefront TMG 2010

By Jordan_Tsafaridis, November 7, 2010
Σε μια εταιρική εγκατάσταση χρησιμοποιώ τον Forefront TMG 2010 ως proxy server καθώς επίσης και για να κάνει publishe μια ομάδα υπηρεσιών στο διαδίκτυο.
Το πρόβλημα το οποίο αντιμετώπισα ήταν ότι για να διαχειρστώ τον TMG αυτό έπρεπε να γίνει διαμέσου του console viewer στον HyperV,
διότι πολύ απλά κατά την εγκατάσταση του Microsoft ForeFront TMG 2010 είναι κλειδωμένη η χρήση του Remote Desktop (RDP). Για τον λόγο αυτό έψαξα στο διαδίκτυο για πληροφορίες σχετικά με το πως κάνουμε το setup για να ενεργοποιήσουμε το internal RDP
access έτσι ώστε να είναι δυνατή η χρήση του remote desktop. Οι ενέργειες τις οποίες πρέπει να κάνουμε είναι οι εξής παρακάτω :

Πρώτα απ' όλα ανοίγουμε το Forefront TMG Management console και στο αριστερό pane κάνουμε κλικ στο Firewall Policy.

Στο δεξιό pane, κάνουμε κλικ στο Toolbox και αναζητούμε (drill down) μέσα στο Computer Sets να βρούμε το Enterprise Remote Management.

Εν συνεχεία κάνουμε διπλό κλικ στο Enterprise Remote Management για να ανοίξουμε το συγκεκριμένο set και αμέσως μετά χρησιμοποιούμε το Add button για να επιβεβαιώσουμε ότι το εσωτερικό μας δίκτυο περιλαμβάνεται στην συγκεκριμένη λίστα.

Εν συνεχεία επιστρέφουμε στο αριστερό pane και κάνουμε δεξί κλικ στο Firewall Policy και δημιουργούμε έναν καινούριο access rule:

Εδώ θα πρέπει να ονοματίσουμε τον συγκεκριμένο κανόνα (Access Rule) με ένα χαρακτηριστικό όνομα το οποίο θα υποδηλώνει την λειτουργία του, π.χ. TMG RDP Management
και εν συνεχεία κάνουμε setup στον κανόνα έτσι ώστε να επιτρέπει το RDP (Terminal Services) traffic από το εσωτερικό δίκτυο προς τον Local Host.

Στο σημείο αυτό αποθηκεύουμε το καινούριο μας configuration και πλέον έχουμε την δυνατότητα διαχείρισης του TMG 2010 διαμέσου του RDP από το εσωτερικό δίκτυό μας.
- Read more...
- 0 comments
- 516 views
Διαβάζοντας τα Event logs με το PowerShell

By Jordan_Tsafaridis, November 6, 2010
Το event log είναι ένα windows service το οποίο διαχειρίζεται το event logging σε ένα υπολογιστικό σύστημα. Όταν αυτή η υπηρεσία ξεκινά την λειτουργία της, τα Windows καταγράφουν (logs) όλη εκείνην την σπουδαία πληροφορία η οποία αφορά την λειτουργία του συγκεκριμένου υπολογιστικού συστήματος καθώς και των εφαρμογών οι οποίες τρέχουν / εκτελούνται σε αυτό. Τα διαθέσιμα logs σε ένα υπολογιστικό σύστημα εξαρτώνται άμεσα από τον ρόλο του συστήματος (system’s
role) και τις εγκατεστημένες υπηρεσίες (Installed Services).

Δύο γενικοί τύποι αρχείων log χρησιμοποιούνται

Windows log Application and services log
Τα Event log καταγράφουν γεγονότα (events) διαφόρων κατηγοριών όπως :

Information Warning Error Critical Audit success Audit failures
Το γραφικό περιβάλλον (GUI) του Event Viewer χρησιμοποιείται για την απεικόνιση και επισκόπηση αυτόνομων γεγονότων (individual events) και αποτελεί ένα event log. Επιπροσθέτως, συμπληρωματικά του GUI tool, το PowerShell μπορεί να χρησιμοποιηθεί για να επικοινωνεί (query) με το event log. Τα παρακάτω PowerShell cmdlets μπορούν να χρησιμοποιηθούν για την διαχείριση του event log:

Get-WinEvent Get-EventLog Clear-EventLog Limit-EventLog Show-EventLog
Το παρακάτω script εμφανίζει εγγραφές (records) από το event log το οποίο παρουσιάζει ένα “error” state στα Application, System και Security logs.

Η παράμετρος “-Newest 100” μας δίνει μόνον τα τελευταία 100 entries από το event log.
Μπορούμε εφόσον το επιθυμούμαι να αποστείλουμε / αποθηκεύσουμε το συγκεκριμένο output σε ένα αρχείο text απλά χρησιμοποιώντας το Out-File cmdlet
ή χρησιμοποιώντας τα προσθετικά σύμβολα “>” και “>>” (append symbols).

Get-EventLog -Newest 100
-LogName "system" | Where-Object {$_.entrytype -match
"error"} > D:\Log_Repository\CurrentLogs.txt

Get-EventLog -Newest 100
-LogName "application" | Where-Object {$_.entrytype -match
"error"} >> D:\Log_Repository\CurrentLogs.txt

Get-EventLog -Newest 100
-LogName "security" | Where-Object {$_.entrytype -match
"error"} >> D:\Log_Repository\CurrentLogs.txt
Ολοκληρώνοντας έχουμε την δυνατότητα να προγραμματίσουμε μια εργασία (schedule a job) η οποία θα τρέχει καθημερινά με σκοπό την συλλογή και παρακολούθηση όλων των “error” log entries όπως παρουσιάζεται στις παραπάνω εντολές και το αποτέλεσμα (report) να μας αποστέλλεται το μέσω email δίδοντάς μας την δυνατότητα να αναπτύξουμε ένα απλό σύστημα παρακολούθησης ενός υπολογιστικού συστήματος με σκοπό την έγκαιρη διάγνωση και άμεση αντιμετώπιση των προβλημάτων τα οποία είναι δυνατόν να προκύψουν. (Simple health
montioring and alerting system)
- Read more...
- 0 comments
- 464 views

Sign In

Jordan_Tsafaridis

Posts

Joined

Last visited

Content Type

Profiles

Articles

Forums

Blogs

Blog Entries posted by Jordan_Tsafaridis

Προηγμένη αποσφαλμάτωση – (Advanced debugging ) - στον Forefront TMG 2010

Το Hotfix Rollup 1 για τον Forefront TMG 2010 SP2 είναι πλεον διαθέσιμο

Τι είναι πραγματικά το Cloud Computing? – Μία διαφορετική προσέγγιση

Ανακαλύφθηκε νέο πρόβλημα ασφαλείας στα iPhone!

Πολλαπλά Vulnerabilities στο Apple Mac OS X είναι δυνατόν να επιτρέπουν το Remote Code Execution

Windows Server 8 Hyper-V (Μέρος 1ο) – Μια σε βάθος ανάλυση των Windows Server 8 Hyper-V εικονικών μηχανών

Πως μπορούμε χρησιμοποιώντας τον Hyper-V να κατασκευάσουμε μια υποδομή Private Cloud (Μέρος 4ο)

Ο Windows Server 2008 R2 Hyper-V επιβραβεύεται με το BSI EAL 4+ Security Certification

Windows 8 Hyper-V Feature Glossary

The Rise of Hyper-V? SolarWinds Hits a Virtual VMware Nerve

Επαναφέροντας τον Windows Server 2008 R2 από το μηδέν (Restore to Bare Metal)

To Hotfix Rollup 2 για τον Forefront TMG 2010 SP2 είναι διαθέσιμο

IP Spoofing Alert από την APIPA Address στον Forefront TMG 2010

Η παρουσίαση του Forefront TMG και του UAG 2010 στην TechEd North America 2012

Forefront TMG 2010 Update Center - Quick Tip

Ενεργοποίηση Windows σε προστατευόμενο δίκτυο από Forefront TMG 2010 - Εμφάνιση μηνύματος λάθους : 0x8004FE2F

Κατεβάστε δωρεάν το Windows 7 Guide ebook

Υλοποίηση VPN μεταξύ Microsoft Forefront TMG 2010 και Juniper SRX 210H

Forefront TMG 2010 - Scripting με VBScript και Powershell

Support for Windows Server 2008 R2 SP1 on your Exchange 2010 Servers

Exchange Server 2010 - Management Console Error

Ελέγχοντας την Πρόσβαση στο Διαδίκτυο : Σύντομος Οδηγός των TMG Access Rules (Μέρος 2ο)

Mac OS X security flaw publicized after Apple fails to patch

Ενεργοποίηση του RDP management access στον Forefront TMG 2010

Διαβάζοντας τα Event logs με το PowerShell

Browse

Activity

Pages