вторник, 29 сентября 2009 г.

DPM: Все течет и изменяется – 2

image Только я порадовал читателей и тех, кто слушал мой доклад о DPM на заседании MCP Клуба частично исправленными бедами этого программного продукта, как разработчики решили и последнюю мою большую проблему. Дело в том, что до выхода этого обновления было невозможно делать резервные копии Shared Folders, размещенных на кластеризованном файловом сервере на базе Windows 2008. Само по себе это не особенно огорчает, так как файлы можно защищать и просто создавая резервные копии дисков, однако, тогда нет возможности использовать End-User Recovery. То есть наш пользователь вынужден будет за каждым удаленным файлом (или файлом, в котором он заснул на кнопке Backspace, а просыпаясь нажал “сохранить”) обращаться на хелпдеск. Теперь эта проблема решена (по крайней мере базовые тесты проходят на ура), и пользователь сам себе великий восстановитель своих файлов (не забываем, что для Windows XP или Windows 2003 необходимо установить VSS клиента).

З.Ы. В описании исправленных проблем так же мелькнуло известие о том, что для SharePoint имя сервера БД, к которому обращается SharePoint так же теперь не обязано совпадать с физическим именем этого сервера. Но я пока не проверял.

вторник, 15 сентября 2009 г.

DPM: все течет и все изменяется.

“А жизнь-то - налаживается” (с)

image Крайнее мое выступление по DPM содержало некоторое количество “ругательных” слов о DPM. Мол, и памяти жрет как из пулемета, и падает эпизодически. С тех пор много памяти воды утекло и ситуация заметно улучшилась.

Итак,  имеем две проблемы:

1) Утечка памяти в VDS, из-за которой уже при 20 терабайтах используемого (то есть, занятого под резервные копии) хранилища серверу не хатает даже 32Г памяти. Результат – высокая загрузка, низкая производительность и пропущенные задания резервного копирования. Лекарство уже есть. После применения оного потребление памяти становится намного более внятным и приведенные мной данные о зависимости необходимой памяти от занятого пространства становятся сильно неточными. Как именно теперь считать – не скажу, но на 26Т вполне хватает 32Г памяти, причем даже с некоторым запасом. Буду наблюдать дальше и постараюсь потом написать о новой зависимости.

2) Падение сервиса MSDPM. В результате весь сервер приходит в негодность. Можно восстановить старые резервные копии (вручную, без удобной консоли или шелла). Но нельзя создать новые. После восстановления DPM из резервной копии может работать полгода, а может тут же упасть через две недели. Я уже получил фикс, но статьи и решения “для всех” пока, увы, нет. Впрочем, это означает, что фикс будет – непременно и достаточно скоро =)

четверг, 10 сентября 2009 г.

К вопросу о пользе TMG

image Один из моих докладов на заседании MCP Клуба касался MS ForeFront Threat Management Gateway – наследника ISA сервера (доклад в чуть более вылизанном виде повторялся и на TechDays.ru). Часть этих докладов касалась, разумеется, и системы обнаружения и предотвращения атак NIS (Network Inspection System). Эта система может обнаруживать и блокировать вредоносный трафик, который пытается эксплуатировать какие-либо уязвимости операционных систем и приложений.

Плюс такого таких возможностей понятен сразу: если

  1. у Вас есть политика (надеюсь, что есть), запрещающая немедленную установку обновлений без тестирования
  2. уязвимость известна, а исправление еще не выпущено, а применение workaround или слишком трудоемко или невозможно по другим причинам

то TMG может блокировать атаки даже если нет ни патчей, ни других решений, способных снизить риски до приемлемых. До сих пор, однако, эта возможность была чисто теоретической – не было таких случаев. К сожалению, так долго продолжаться не могло, и первая такая сигнатура вышла сегодня. Выход Microsoft Security Advisory 975497 поведал нам об уязвимости протокола SMBv2, для которой на данный момент нет исправлений. Есть различные действия, предназначенные для уменьшения риска или для выключения протокола, в котором обнаружена ошибка, но, увы, это не может устроить всех и всегда. И вот тут могла бы вступить в бой та самая сигнатура, по которой TMG пресекает течение вредоносного трафика. Она, на самом деле и вступила, только мало кто использует TMG для разграничения трафика внутри своей сети, а северам, которые доступны из интернет такая атака не страшна, так как мало кто отважится выставить в Интернет серверы с включенным или не закрытым наглухо SMB.

Впрочем, даже такой proof-of-concept весьма и весьма приятен – фича-то работает ;)