Удаленное администрирование серверов Dell PowerEdge — часть 1

Почти два года назад арендовали в дата-центре стойку с десятком серверов Dell под новую ИТ-инфраструктуру, «закладывались» основательно:

  • у каждого сервера есть резервный блок питания
  • используются дисковые массивы RAID-10 на высокоскоростных 10k и 15k SAS дисках (каждый RAID-массив с hotspare дисками)
  • установлены 2-х и 4-х портовые гигабитные сетевые карты
  • в серверах есть контроллеры удалённого доступа iDRAC 7 Enterprise
  • сама стойка имела 3-уровневую отказоустойчивость по электропитанию и резервирование каналов связи

Как водится, планы наполеоновские, рук не хватает, работа кипела в режиме «цейтнот». Изначально планировалась вся инсталляция силами тех. поддержки дата-центра вплоть до установки последних апдейтов на хостовые ОС, однако по факту самостоятельно они смогли лишь воткнуть в стойку сервера, а по остальным манипуляциям (создание RAID-массивов, установка ОС/драйверов и пр.) меня постоянно дергали с глупыми вопросами, поражая своим уровнем некомпетентности. В итоге кое-как работы приняли, ни о каких оповещениях и мониторинге железа и хостовых ОС уже и речи не было. Мне же некогда было даже зевнуть, так что, учитывая изначальный запас прочности на физическом уровне и кластерную инфраструктуру, я на тот момент махнул рукой.

Сейчас же появилась необходимость на парочке хостов развернуть начисто ОС с гипервизором, но как представил себе предстоящие нервотрепки с тех. саппортом ЦОД-а, руки сами зачесались наконец-то настроить удаленный kvm-доступ на физические сервера посредством технологии iDRAC с возможностью удаленной установки из образа или по сети, заодно обновить прошивки/драйвера и настроить мониторинг с оповещениями. Читать далее Удаленное администрирование серверов Dell PowerEdge — часть 1

Права доступа на файловом сервере в доменной среде

Постараюсь сформулировать набор общих правил/рекомендаций/тезисов по организации прав доступа на файловом сервере в доменной среде на серверах Windows Server 2012 R2, основываясь на собственном опыте и наблюдениях:

  1. На файловом сервере не устанавливаем никаких ролей и служб, кроме роли файлового сервера. Чем чище — тем лучше. Организовываем репликацию данных на другой файловый сервер, резервное копирование данных на backup-сервер, мониторинг/аудит/скрипты и все… RDP-доступ должен быть только у администраторов, не надо разворачивать терминальный сервер, устанавливать клиентское ПО и пускать на сервер пользователей.
  2. Доступ к данным для пользователей осуществляется посредством предоставления общего доступа к корневой папке (на мой взгляд, в идеале «расшаривается» только одна корневая папка). Нет смысла публиковать несколько папок, находящихся на одном диске и на одном уровне иерархии, так как все замечательно «рулится» правами доступа на вкладке «Безопасность» и опцией «Включить перечисление на основе доступа» (Access Based Enumeration или ABE) — папки, к которым нет доступа, не будут отображаться. На серверах Windows Server 2012 R2 опция ABE находится здесь:fs01Имеет смысл «расшаривать» несколько папок в следующих случаях: Читать далее Права доступа на файловом сервере в доменной среде

скрипт формирования отчета по правам доступа — часть 1

Представляю первую версию скрипта для формирования отчета по текущим правам доступа указанной папки $RootPath и ее подкаталогов. (В планах его оптимизировать, так что будет продолжение).

Скрипт не ищет права доступа для встроенных или системных субъектов безопасности, для включения этих объектов в поиск надо редактировать фильтр свойства IdentityReference.

Скрипт не ищет унаследованные права доступа подкаталогов, унаследованные права ищет только для корневой папки $RootPath. Для включения в поиск унаследованных прав подкаталогов надо редактировать или убрать фильтр свойства IsInherited.

Скрипт не фильтрует «мусорные» списки доступа, оставшиеся после удаления учетных записей (в списках доступа помимо учетных записей и групп доступа попадаются SID-идентификаторы «мертвых душ»).

Скрипт формирует csv-файл со следующими полями:

  • FullName — полный путь текущего каталога;
  • CreationTime — дата и время создания;
  • LastAccessTime — дата и время последнего открытия;
  • LastWriteTime — дата и время последнего редактирования;
  • FileSystemRights — права доступа (FullControl, Read, Modify и пр.);
  • AccessControlType — тип правила (Allow или Deny);
  • IdentityReference — субъект безопасности: учетная запись или SID;
  • IsInherited — унаследовано от родительской папки или нет;
  • InheritanceFlags — определяет семантику наследования элементов управления доступом («Только для этой папки», «Для этой папки и ее подпапок» и т.д.);
  • PropagationFlags — определяет порядок распространения действия элементов управления доступом на дочерние объекты.

Читать далее скрипт формирования отчета по правам доступа — часть 1

работа с API yandex mail в powershell — часть 2

Пример скрипта, который из папки «c:\tmp\csv\» перебирает все csv-файлы (фильтр отсутствует, поэтому в папке должны быть только csv-файлы «правильного» шаблона, имя каждого csv должно соответствовать имени почтового домена) и блокирует/удаляет почтовые ящики согласно отметкам в csv-файлах в графе comment: block или delete. Скрипт ведет 2 лога:  block_log.txt и delete_log.txt. Собственно сам скрипт с комментариями: Читать далее работа с API yandex mail в powershell — часть 2

вылетает диспетчер печати

Впервые столкнулся со следующей проблемой: на некоторых компьютерах пропали установленные принтеры (у юзеров естественно нет прав на удаление принтеров). Поверхностная проверка показала, что выпадает с ошибкой служба диспетчера печати. По логам ничего внятного не нашел, кроме ссылки на дампы падения spoolsv: «c:\ProgramData\Microsoft\Windows\WER\ReportQueue\» и «c:\ProgramData\Microsoft\Windows\WER\ReportArchive\».

На просторах интернета найдено решение:

del c:\Windows\System32\spool\PRINTERS\*.* /q /f
net start spooler

Запускать естественно с правами админа. Первая строчка чистит очередь печати, вторая запускает службу диспетчера печати. Без очистки очереди печати служба spooler при старте натыкается на некий «проблемный» файл, висящий в очереди печати, пытается его скормить принтеру и снова уходит в нокаут.

В моем случае этим проблемным файлом оказался документ Word (расширение doc). При открытии этого файла через Word Online — печатает успешно, при конвертации в pdf и печати из Acrobat-а — тоже все норм. При печати из MS Office — возникает описанная проблема. Служба вылетает при печати на принтеры HP LJ 1102/1212/1214. На принтер HP LJ M425dn печатает без проблем.

работа с API yandex mail в powershell — часть 1

Понадобилось провести ревизию корпоративных почтовых ящиков на yandex mail. Так как почтовых доменов около десятка, а общее число ящиков в районе тысячи, подготовил скрипт powershell, формирующий по каждому почтовому домену csv-файл со списком почтовых ящиков домена. Скрипт обращается к API yandex по PddToken, который несложно запросить по следующей ссылке для каждого домена. Официальную документацию по API yandex mail можно почитать здесь. Ну и собственно сам скрипт powershell с комментариями: Читать далее работа с API yandex mail в powershell — часть 1

Mikrotik rb3011 — начальная настройка

Итак, приступим — подключаем оборудование, 1-й порт подрубим к свитчу нашей локалки, скачиваем и запускаем winbox и подключаемся:

winbox_connect

Переходим на вкладку Neighbors, находим там нашу железку и подключаемся под логином admin с пустым паролем. В появившемся окне RouterOS Default Configuration нажимаем Remove Configuration, устройство перезагрузится. Читать далее Mikrotik rb3011 — начальная настройка

Mikrotik rb3011 — первые мысли вслух

Наконец-то стал счастливым обладателем сего чудного девайса — Mikrotik RB3011UiAS-RM. На борту этой железки 2-ядерный ARM процессор с частотой 1,4 ГГц и 1 Гб оперативной памяти, 10 гигабитных портов, полноразмерный USB 3.0 разъем. Возможности довольно обширные по сравнению с используемым на данный момент D-link DFL860E:

  • все порты настраиваемые (что позволит при желании задействовать более 2-х wan-интерфейсов)
  • переключение канала связи не только по мониторингу наличия линка и доступности шлюза
  • настраиваемый мониторинг статистики загрузки канала на любом порту, а также состояния CPU/RAM/HDD
  • уйма утилит помимо ping (единственное что есть у DFL) — трассировка, снифер, IP-сканер и др.
  • написание своих скриптов, запуск по шедуллеру
  • автоматическая перезагрузка роутера при зависании (утилита watchdog)
  • запуск виртуальных машин на микротике (Metarouter)

И это далеко не полный список преимуществ, я озвучил лишь то, что на поверхности и напрочь отсутствует в D-link DFL 860E. При этом микротик на более свежем и мощном железе, а стоимость в полтора-два раза ниже.

Что хотелось бы реализовать на этой железке: Читать далее Mikrotik rb3011 — первые мысли вслух