ng

http://www.dell.com/us/enterprise/p/poweredge-m710hd/pd
http://bladesmadesimple.com/2011/05/a-review-of-the-dell-poweredge-m710-hd-blade-server/

Была необходимость на винде сделать скрипт, который будет стучаться по определнному порту в бесконечном цикле.

:loop

telnet 192.168.1.1 80

goto loop

http://gs.statcounter.com/#browser-ww-daily-20111125-20111224

Google Chrome c каждой неделей увеличивает отрыв от Firefox. По выходным доля Chrome увеличивается, а доля IE падает. В следующем году у Chrome есть шанс догнать IE. Для этого Гуглу надо выпустить MSI пакет для удобного развертывания в корпоративной среде, встроить прямо в броузер URL-фильтр, сделать его централизованно управляемым (например, через Group Policy).

Немало людей не знают как включить Telnet клиента в Windows 7. Это можно сделать в Control Panel->Programs and Features->Turn Windows features on or off. Быстрый запуск это апплета возможен через appwiz.cpl.

В командной строке есть следующие два варианта:
start /w ocsetup TelnetClient
dism /online /Enable-Feature /FeatureName:TelnetClient

Prefix	Address space	Company
00:1B:17	00:1B:17:00:00:00 - 00:1B:17:FF:FF:FF	Palo Alto Networks

Начиная с версии 5.4, в PHP встроен минимальный веб сервер для разработки/тестирования:

$ cd ~/public_html

$ php -S localhost:8000

PHP 5.4.0 Development Server started at Thu Jul 21 10:43:28 2011
Listening on localhost:8000
Document root is /home/me/public_html
Press Ctrl-C to quit.
[Thu Jul 21 10:48:48 2011] ::1:39144 GET /favicon.ico - Request read
[Thu Jul 21 10:48:50 2011] ::1:39146 GET / - Request read
[Thu Jul 21 10:48:50 2011] ::1:39147 GET /favicon.ico - Request read
[Thu Jul 21 10:48:52 2011] ::1:39148 GET /myscript.html - Request read

http://www.php.net/manual/en/features.commandline.webserver.php

http://blogs.technet.com/b/askds/archive/2011/12/08/effective-troubleshooting.aspx

Мне особенно нравится "Quit thinking and look" :)

Вадим Поданц, MVP из Риги, написал скрипт для автоматизации развертывания CA в Windows Server 2008, Windows Server 2008 R2.

http://gallery.technet.microsoft.com/scriptcenter/Setup-Certification-bd2aff3e
http://www.sysadmins.lv/

Почти готов:
http://blogs.msdn.com/b/powershell/archive/2011/12/02/windows-management-framework-3-0-community-technology-preview-ctp-2-available-for-download.aspx

Из новых фич:

Полноценная поддержка мыши
Решены некоторые проблемы с SCVMM
Сетевые драйвера работают при использовании Hyper-V 3.0 (Windows 8.0)

Что отсутсвует:

Integration Services: Volume Snapshot Backup. То есть при бэкапе, по-прежнему виртуалка будет отправлена в паузу.

http://www.microsoft.com/download/en/details.aspx?id=28188

http://files.multicastdns.org/draft-cheshire-dnsext-multicastdns.txt

Данный документ, будучи принятым в качестве стандарта, запретит использование .local для обычного DNS. Все имена с шаблоном name.local должны будут резолвиться через Multicast DNS.

В самом Microsoft корневой домен Active Directory выглядит так:

corp.microsoft.com

Дочерние домены выглядят так:

redmond.corp.microsoft.com
emea.corp.microsoft.com

P.S. По возможности, минимизируйте количество дочерних доменов.

Для этого используем Powershell:

Сначала создаем аккаунт в Active Directory

Import-Module ActiveDirectory
New-Adserviceaccount –Name SQLService –Enabled $true
Get-ADServiceAccount -Filter "*"
Add-ADComputerServiceAccount -Identity SRV01 -ServiceAccount SQLService

На целевом сервере нужно аккаунт "инсталлировать". Для этого на целевом сервере должен быть установлен RSAT. Переходим на целевой сервер, запускаем Powershell и выполняем команды:

Import-Module ActiveDirectory

Install-ADServiceAccount -Identity SQLService

После выполнения команд можно использовать аккаунт Domain\Account$ в настройках сервиса.

В Windows Server 2008 R2 появилась удобная фича по управлению сервисными аккаунтами. Создав такой аккаунт и указав запуск сервиса от имени данной учетки, можно забыть о проблеме управления паролями. ОС будет сама обновлять пароли в Active Directory и поддерживать сервис в рабочем состоянии. Раньше очень часто админы просто игнорировали смену паролей для сервисных учеток. Указав "Password Never Expires", "User cannot change password" и задав некий статичный пароль. Проблема в том, что данный пароль в крупных организациях приходилось документировать и передавать другим администраторам. Теперь можно использовать Managed Service Accounts для большей безопасности.

Есть правда один неудобный момент. Такие учетки нужно привязывать к учетке компьютера. Соответсвенно, приходится создавать разные учетки для разных компьютеров. Более того, после создания и привязки, учетку надо "инсталлировать" на целевом сервере. После этих действий, можно настроить сервис на запуск от имени данного аккаунта.

http://blogs.technet.com/b/ru_forum_support/archive/2010/11/25/managed-service-accounts-msa.aspx

Пока доступна только версия для RHEL 5.0 x64. Есть поддержка доступа к MSSQL 2008 R2, MSSQL 2012 (beta).

http://www.microsoft.com/download/en/details.aspx?id=28160

Primary Hypervisor Usage for Server virtualisation, Q3 2011(%)

	Avg	UK	FR	DE	US
VMware	67.6	79	65	61	66.5
Citrix	14.4	12	15	20	12.5
Hyper-V	16.4	8	17	16	20.5
Other	1.6	1	3	3	0.5

Взято отсюда http://www.v-index.com/primary-hypervisor-in-use.html

http://ru.wikipedia.org/wiki/SCTP

http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html
http://www.opennet.ru/docs/RUS/iptables/
http://www.netfilter.org/documentation/index.html#documentation-howto

http://docs.fedoraproject.org/en-US/Fedora/15/html/Deployment_Guide/index.html

http://docs.fedoraproject.org/en-US/Fedora/16/html/Security_Guide/index.html

Functional:

Hyper-V in Windows 8 Developer Preview
Hyper-V in Windows Server 2008 R2
VMware Workstation 8.0 for Windows
VirtualBox 4.1.2 for Windows

Non-functional:

Microsoft Virtual PC (all versions)
Microsoft Virtual Server (all versions)
Windows 7 XP Mode
VMWare Workstation 7.x or older

http://blogs.msdn.com/b/b8/archive/2011/09/16/running-windows-8-developer-preview-in-a-virtual-environment.aspx

Admin GUI on servers is evil!
Фокус на Server Core как на предпочтительный вариант развертывания.
Фокус на удаленное управление.
Сильно переработанный Server Manager для удобного удаленного и мульти-серверного управления. Здесь важно именно фокус на удобное мульти-серверное управление.
Больше Powershell командлетов для удаленного управления.
Даже Full Install (как и Core Install) вариант может не содержать Internet Explorer и полноценное GUI. Full Install тем не менее содержит MMC консоли.
Простое переключение между Full Install и Server Core простой инсталляцией/деинсталляцией компонент.

Enable-Feature -online -featurename ServerCore-FullServer
Disable-Feature -online -featurename ServerCore-FullServer, Server-Gui-Shell, Server-Gui-Mgmt

http://winreview.ru/Besplatnie-i-poleznie/1047/ThinVNC-dostup-k-udalennomu-kompyuteru-cherez-brauzer-bez-storonnih-utilit

http://thinvnc.com/

http://www.windowsitpro.com/content1/tabid/57/catpath/virtualization/topic/windows-server-8-hyperv-30-evens-odds-vsphere-140573

Виртуальные коммутаторы в Hyper-V будут содержать API для захвата и фильтрации траффика.

Windows Server 8 будет содержать штатную возможность для NIC Teaming. Раньше это было возможно только с помощью сторонних драйверов.

Вышла восьмая версия VMware Workstation. Паралелльно был выпущен бесплатный VMware Player 4. Список новых фич (их более 50-ти) впечатляет:

Работа в виде сервиса. Виртуальные машины будут продолжать работать после завершения сессии на хостовой ОС.
Подключения к удаленным хостам. Можно подключаться к ESXi, vCenter, или к другой машине с Workstation 8.
Виртуальные машины можно расшаривать для удаленного доступа.
Можно настроить автозапуск виртуальных машин при старте хоста.
Виртуальные машины можно удобно переносить в ESXi.
Переработан графический интерфейс
Поддержка HD Audio, USB3, Bluetooth в гостевых машинах
Улучшена поддержка 3D.
VM Teams заменнены на группы виртуальных машин с более удобным управлением.
Можно полноценно запускать гипервизоры внутри виртуальных машин! Это значить что можно, например на одном VMware Workstation кластер из двух Hyper-V. И запустить какие-нибудь виртуалки поверх Hyper-V.
Требования к оборудованию более жесткие.

Ссылки:

Рассмотрим простейший вариант тестирования SMTP, когда нужно проверить доставку почты на определенный домен.

В начале необходимо найдти почтовые сервера для данного домена. Для этого необходимо запросить MX записи домена через DNS:

nslookup -type=mx domain

Как вариант, можно указать DNS сервер для запроса:

nslookup -type=mx domain dnsserver

Опционально, после того как мы получили список почтовых серверов, можно проверить резолвинг имен этих серверов.

Далее, пробуем подключаться к почтовому серверу на 25-й порт.

telnet mailsrv 25

telnet mail.messaging.microsoft.com 25

Вспоминаем команды SMTP и пробуем отослать письмо прямо в telnet сессии. http://www.vinnitsa.com/doc/article/SMTP.shtml
Ecли команда telnet недоступна, можно использовать putty. В Windows Vista/Windows 7, telnet можно установить через панель управления.

В Windows Server 2008/Windows Server 2008 R2 используйте Server Manager для добавления фичи Telnet Client.

Многие успешно запускают различные продукты для виртуализации внутри виртуальных машин. 32-битные варианты VMware ESXi под Vmware Workstation, Virtual Server под Hyper-V и т.д. Но до сих пор не было возможности запустить полноценный 64-битный гипервизор, требующий аппартной поддержки виртуализации, в качестве виртуальной машины. Например, гипервизор Hyper-V нельзя было запустить внутри виртуалки. С выходом vSphere 5.0 обещают такую возможность!

http://www.virtuallyghetto.com/2011/07/how-to-enable-support-for-nested-64bit.html

Есть целый класс такого ПО предназначенного для управления файлами на удаленном сервере через веб-интерфейс:

Взято из http://bladesmadesimple.com/2011/07/blade-chassis-io-diagrams/

Комментарии:

Каждый блейд сервер имеет встроенные сетевые карточки (два порта). Эти сетевые карточки подключены к I/O Bay 1, I/O Bay 2. Соответсвенно, туда можно установить либо Ethernet коммутатор, либо Ethernet VirtualConnect.

В стандартный блейд-сервер (half-height, например BL460c) можно включить две мезанин-карточки. Например:

Дополнительные сетевые карточки
Fibre-Channel HBA
Контроллеры SAS
Контроллеры Infiniband

Список возможных мезанин-карточек можно посмотреть здесь http://h18000.www1.hp.com/products/blades/components/c-class-adapters.html

На диаграмме показано как мезанин-карточки подключаются к модулям ввода-вывода. В зависимости от карточки, необходимо подключать соответсвующий модуль ввода/вывода.

Например, если вставили Fibre-Channel HBA, то в соответствующие модули должны быть либо коммутаторами Fibre-Channel, либо Fibre-Channel VirtualConnect. Можно, конечно, заполнять не все модули сэкономив на отказоустойчивости.

Вот, например, SAS коммутатор для подключения SAS контроллера к дисковому массиву с front-end SAS портами (не путать с back-end интерфейсом для подключения самих дисков) http://h10010.www1.hp.com/wwpc/us/en/sm/WF05a/3709945-3709945-3710104-3762222-3762221-3832737.html

Иногда необходимо поделить физический интерфейс сервера на vlan’ы. Тогда сам физический интерфейс будет транковым и, со стороны коммутатора порт должен быть настроен соответсвующим образом. В CentOS/RHEL настройку можно выполнить следующим образом:

#cd /etc/sysconfig/network-scripts/
#cp ifcfg-eth0 ifcfg-eth0.3

После создания конфигурационного файла, редактируем его.

#nano ifcfg-eth0.3

DEVICE=eth0.3
BOOTPROTO=static
ONBOOT=yes
TYPE=Ethernet
VLAN=yes
IPADDR=10.0.1.6
NETMASK=255.255.255.0
GATEWAY=10.0.1.1

#cat ifcfg-eth0.3

#service network restart

Таким образом, мы добавили vlan-интерфейс (подинтерфейс) с тегом 3 и задали IP адрес.

Dell PowerEdge C5000

Dell PowerEdge C2100

HP ProLiant SL6000

Это не блейд сервера, но и не обычные стоечные сервера. Это некий копромис между двумя подходами. Так-же как в блейд серверах здесь общие блоки питания и охлаждение. При этом сетевые подлючения у каждого сервера отдельные так-же как у обычных стоечных серверов. Попытка объеденить наиболее интересные фичи блейд серверов и простоту rack-mount серверов. Пока не очень понятно, насколько удобно подключать такие сервера к SAN.

Известный блоггер по блейд серверам, Кевин Хьюстон, анализирует тренд в своем блоге

http://bladesmadesimple.com/2011/06/the-end-of-blade-servers/

Oracle выпустила первую бета версию VirtualBox 4.1. Из новшеств можно отметить:

Клонирование виртуальных машин теперь возможно из GUI
Принят патч “UDP Tunnel” позволяющий объеденять в сеть виртуальные машины на разных хостах. Разработчики GNS планируют использовать данную фичу для запуска виртуалок (хостов, в терминологии GNS) в среде GNS.
64-битные хосты могут использовать до 1TB RAM.

Есть хорошие кандидаты для включения в качестве виртуального коммутатора в GNS. Основная проблема поддержка Windows

http://www.gns3.net/phpBB/topic3549.html

Если пользуетесь GNS3 , то знаете что там есть возможность добавлять QEMU узлы в топологию. Это просто виртуальные машины QEMU, которые можно использовать для подключения к сетeвым устройствам. Сейчас появились наработки по интеграции VirtualBox c GNS. Скорее всего эти наработки войдут в следующую версию GNS, а патч для VirtualBox будет включен в версию 4.1.

http://www.gns3.net/phpBB/topic3262.html

Private vlan состоит из обычных access портов и uplink порта (или группы uplink портов с аггрегацией). Траффик полученный с access портов в не зависимости от адреса назначения или тега направляется на uplink порт. Траффик полученный от uplink порта форвардится обычным образом. Хосты за access портами могут общаться через L3 устройство за uplink портом. Таким образом, между access портами траффик напрямую не ходит, и атаки вроде arp-спуфинга не применимы.

Области применения Private VLANs:

Домашние сети провайдеров. Отели. Интернет кафе. Защита клиентов от друг-друга.
DMZ. Изоляция серверов без необходимости создания отдельного сегмента для каждого сервера.
ЦОД. Изоляция арендованных серверов.

В случае необходимости, можно несколько access портов объеденить в community и разрешить траффик между ними напрямую.

Настройка PVLANs: http://blog.ine.com/2008/07/14/private-vlans-revisited/

IEEE еще в 2006 году принял стандарт передачи 10G Ethernet по витой паре. Официальное название стандарта -- IEEE 802.3an-2006. Для этого используются кабели категории cat6a, cat7 с длиной до 100 метров. С ограничением по длине можно так-же использовать кабель cat6. Для сравнения, другой тип медных кабелей для 10G Ethernet – CX4 (стандарт IEEE 802.3ak-2004 от 09.02.2004) не могут превышать 15 метров. Есть варианты использования оптики для 10G Ethernet, но это дороже и под другие задачи.

Компоненты для реализации 10GBase-T. Кабели:

Компоненты для реализации 10GBase-T. Сетевые карточки:

Компоненты для реализации 10GBase-T. Коммутаторы:

Именно ограниченное предложения коммутаторов слерживает развитие 10GBase-T. Но и здесь намечается прорыв. Cisco, Intel, Panduit договорились совместно продвигать 10GBase-T. HP пока придерживается варианта с CX4.

При появлении инцидентов, шлюз DLP может оповещать отправителя. Так происходит при настройке правил с действием ‘Inform User’, ‘Ask User’. Администратор настраивает через какой smtp сервер шлет оповещения DLP шлюз. Так-же можно настраивать учетку для аутентификации на smtp сервере. Значительный минус продукта в том, что нельзя настраивать From адрес оповещений. DLP шлюз шлет оповещения с адреса dlp@domain, где domain это FQDN шлюза. Не имя домена, а FQDN! То есть полное имя шлюза, что далеко не лучший вариант. В случае кластера, используется FQDN текущей активной ноды. Надеемся, что в будущих версиях появится возможность явно указывать From адрес.

В консоли выполняете команду:

cpopenssl req -new -out cert.csr -keyout cert.key -config $CPDIR/conf/openssl.cnf

Далее, после заполнения всех данных в диалоге, полученный CSR файл отправляете в доверенный Certificate Authority. Администратор CA подпишет сертификат и вышлет файл с расширением .crt или .cer. Теперь необходимо получить файл в формате PKCS12. Это можно сделать с помощью файла .key (закрытый ключ) и файла .crt (или .cer, сертификат).

cpopenssl pkcs12 -export –out cert.p12 -in cert.crt -inkey cert.key

Вы можете запретить маршрутизация в сеть или в хост. В таком случае даже если у вас есть маршрут по умолчанию или специфичный маршрут в данную сеть, пакет не будет доставлен.

ip route add prohibit host
ip route add prohibit network/mask

Linux:

dd if=/dev/zero of=10MB.dat bs=1M count=10

Windows:

fsutil file createnew c:\10MB.dat 10485760

Если дать команду ifconfig <ifname> down, маршруты через данный интерфейс пропадут. При последующем выполнении ifconfig <ifname> up маршруты не появятся (кроме конечно directly connected). Можно выполнить service network restart чтобы маршруты появились.

netstat -rn
ifconfig eth0 down
ifconfig eth0 up
netstat -rn
service network restart
netstat -rn

В SecurePlatform отсутсвует демон netplugd. Это означает, что если выдернуть патч-корд, соответсвующий интерфейс не уйдет все еще будет в состоянии UP. Соответсвенно, маршруты тоже останутся.

Это может быть полезно в лабораторной среде. Проблема решается с помошью опции командной строки.

putty.exe -l admin -pw abc123!

Теперь логин/пароль будет подставляться автоматически во все ssh сессии. Включите каталог с putty в переменную PATH или указывайте полный путь. Удобно перенастроить ярлык. Отметим что это сценарий для лабораторный среды для серверов с одинаковыми паролями. Не забывайте так-же про вариант с ключами!

Маршрут по умолчанию:

route add default gw 172.16.1.1
route --save

Маршрут до сети:

route add -net 10.0.0.0/24 gw 172.16.1.2
route --save

Маршрут до хоста:

route add -host 10.0.0.100 gw 172.16.1.3
route --save

ifconfig eth0 172.16.1.2 netmask 255.255.255.0
ifconfig eth1 10.0.0.1 netmask 255.255.255.0
ifconfig --save

Отличие от большиства дистрибутивов Linux в наличии удобной опции --save

NetA – RouterA – Inet – RouterB – NetB

Router A (eth0: 172.16.1.2/24; eth1: 10.0.0.0/24)

modprobe ip_gre
ip tunnel add gre0 mode gre \
remote 172.16.2.2 local 172.16.1.2
ip addr add 192.168.1.1 peer 192.168.1.2 dev gre0
ip link set gre0 up
ip route add 10.0.4.0/24 dev gre0
netstat -rn

Router A (eth0: 172.16.2.2/24; eth1: 10.0.4.0/24)

modprobe ip_gre
ip tunnel add gre0 mode gre \
remote 172.16.1.2 local 172.16.2.2
ip addr add 192.168.1.2 peer 192.168.1.1 dev gre0
ip link set gre0 up
ip route add 10.0.0.0/24 dev gre0
netstat -rn

NetA – RouterA – Inet – RouterB – NetB

Router A (eth0: 172.16.1.2/24; eth1: 10.0.0.0/24)

modprobe ipip
ip tunnel add tun0 mode ipip \
remote 172.16.2.2 local 172.16.1.2
ip addr add 192.168.1.1 peer 192.168.1.2 dev tun0
ip link set tun0 up
ip route add 10.0.4.0/24 dev tun0
netstat -rn

Router A (eth0: 172.16.2.2/24; eth1: 10.0.4.0/24)

modprobe ipip
ip tunnel add tunnel0 mode ipip \
remote 172.16.1.2 local 172.16.2.2
ip addr add 192.168.1.2 peer 192.168.1.1 dev tunnel0
ip link set tunnel0 up
ip route add 10.0.0.0/24 dev tunnel0
netstat -rn

Номера протоколов (значения поля Protocol в IP заголовке) можно посмотреть здесь

http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xml

Удобная утилита для подсчета хэш-функций для файлов. Подсчитанные значения для CRC, MD5, SHA-1 можно посмотреть в отдельной вкладке в свойствах файла.

http://implbits.com/Products/HashTab.aspx

Данный RFC описывает “особые” адреса http://www.faqs.org/rfcs/rfc3330.html

При настройке Manual Static NAT, есть проблемы с ARP Proxy. Решаем проблему так. Открываете на шлюзе файл /etc/sysctl.conf и добавляете строки:

net.ipv4.conf.all.proxy_arp = 1
net.ipv4.conf.default.proxy_arp = 1

После этого, добавляете вхождения в файл $FWDIR/conf/local.arp. Например:

echo 5.5.5.5 00:11:22:33:44:55:66 >> $FWDIR/conf/local.arp

Перегружаете шлюз и проверяете прохождение траффика, а так-же ARP кэш на соседнем роутере.

Если нужно чтобы в ClusterXL пинговались все узлы одновременно с кластерным адресом, необходимо выполнить команды на узлах:

fw ctl set int fw_allow_simultaneous_ping 1
echo fw_allow_simultaneous_ping=1 >> $FWDIR/boot/modules/fwkern.conf

Pages

2011-12-25

2011-12-20

2011-12-17

2011-12-04

2011-11-26

2011-11-13

2011-10-01

2011-09-19

2011-09-18

2011-09-16

2011-09-15

2011-09-12

2011-09-10

2011-08-02

2011-07-22

2011-07-16

2011-07-03

2011-07-01

2011-05-23

2011-05-20

2011-05-09

2011-05-06

2011-05-05

2011-04-30

2011-04-29

2011-03-04

2011-03-01