Лекции по виртуализации

В январе 2021 года попались на глаза 2 курса по виртуализации для начинающих, а местами и для продвинутых:

  1. Записи видео лекций УГАТУ IT LAB – Основы виртуализации, VMware vSphere, Microsoft Hyper-V, ProxMox и Veeam Software
  2. Веб-касты от SoftLine VMware vSphere 7

Любимые наши группы в Telegram

Рекомендую подписаться на следующие группы в Telegram для получения широкой экспертной поддержки:

    1. VMware User Group Rus
    2. VMware vSAN
    3. vRealize User Group
    4. VMware Workspace ONE
    5. NSX & SD-WAN User Group
    6. Tanzu VMware Kubernetes
    7. VMware Cloud Director
    8. Russian Backup User Group
    9. Storage Discussions
    10. Storage Discussions NAS
    11. Hyper-V

При вступлении в группы осмотритесь, оцените обстановку и не забудьте ознакомиться с правилами задавания вопросов.

Zerologon check (проверка)

Как вы слышали,  в августе 2020 года была обнаружена критическая уязвимость CVE-2020-1472 в протоколе проверки пользователя контроллером домена.

Критическая она потому, что для эксплуатации этой уязвимости достаточно оказаться в одной сети с контроллером домена.

Microsoft конечно же выпустил обновления, но кто ж их ставит, верно?

В сети есть скрипт, позволяющий провести проверку через эксплуатацию уязвимости, но это вряд ли считается нормальным методом проверки.

Поэтому я написал скрипт, который проверяет наличие требуемых обновлений на контроллерах домена Windows Server 2012 R2.

Список обновлений взят из статьи про уязвимость, а также Catalog MS, указывающего на более новые версии обновлений. В моем списке сентябрьское обновление, два августовских и перекрывающий их апдейт безопасности для Windows 2012 R2.

Обратите внимание, что для Windows 2016/2019 номера апдейтов другие!

Для запуска скрипта требуются права администратора домена, так как скрипт проходит по контроллерам и через WMI получает список установленных обновлений.

Результатом работы скрипта является следующий вывод:

WARNING означает, что нужно срочно бежать и ставить обновления.

Наличие сентябрьского обновления означает, что вы молодцы. Наличие августовских – ну не безнадежны, по крайней мере :-).

S4B-собрание на 500 человек (часть 2)

Ранее я уже писал про головную боль, связанную с поднятием выделенного (согласно рекомендациям MS) пула под ВКС от 250 и до 1000 участников.

Пул мы развернули, ниже я опишу свои впечатления от его использования:

  • идет достаточно большая нагрузка на сервер WebApps при показе презентации, причем она носит нестабильный характер. Всплески до сотен мегабит/c при перелистывании, затем устаканивается на паре десятков мегабит/c;
  • аудио предсказуемо небольшое – загрузка канала от одного спикера составляет 50 Мбит/c на 500 участников;
  • аудио+видео ожидаемо побольше – порядка 100-150 Мбит/c на 250 участников;
  • экран демонстрировать побоялись, так как согласно документации в среднем он вдвое “тяжелее” видео;
  • если участники ВКС имеют права participant, а не presenter (участник, а не выступающий), то списка подобных участников вы не видите. Доступен только список выступающих, что крайне не удобно;
  • сделать выступающего участником можно, участника – выступающим нельзя. Любое изменение в списке выступающих – только через настройки собрания в Outlook с рассылкой оповещения всем участникам собрания.;
  • при планировании собрания в Outlook есть возможность указать список выступающих. Они выбираются из общего списка участников, НЕ отсортированного по алфавиту :). Хорошо хоть можно их имена набирать.

SkypefB-собрание на 500 человек или The UserServices module was not found in the Application List

В свете всем известных событий мне поставили задачу – развернуть выделенный сервер SfB для поддержки ВКС на 500 человек.

Задача казалась крайне простой: развернуть выделенный сервер SfB, добавить его в топологию и поставить службы.

Неделя сразу не задалась…

Continue reading “SkypefB-собрание на 500 человек или The UserServices module was not found in the Application List”

Skype for Business on Mac – April Joke

28 апреля 2020 года вышло очередное обновление Skype for Business on Mac, которое сломало функционал звонков.

Все устройства дружно перестали осуществлять звонки через пограничный сервер SfB, когда один участник находится внутри, а другой – снаружи.

На Windows клиентах с обеих сторон проблема не воспроизводилась.

Единственная запись в CLS-журналах сервера, относящаяся к сбою, – “Application accepts invitations via static registration only”.

В ходе тестирования различных вариантов был найден workaround: выйти и зайти в учетную запись SfB on Mac (аналог logoff/logon). При этом если вместо выхода/входа перезапустить SfB (или перезапустить сразу после выхода/входа), функционал звонков не работоспособен 🙂

Сравнение функционала Windows Server

Последней версия Windows Server на данный момент является 2019. Microsoft опубликовала таблицу сравнения функционала Windows Server версия 2008R2, 2012R2, 2016 и нового релиза:

Приборка групп рассылок в Exchange

В нашей компании используется MS Exchange Server, в нём создано ~2000 групп рассылок: ~1700 обычных и ~300 динамических, и все это хозяйство держит под собой 2800 e-mail адресов.

Хозяев групп нет, а если и есть, то давно уволились, какого-то реестра тоже нет.

В результате, для одного департамента есть такие группы:

  • DISTRIB-Отдел;
  • Distrib_отдел;
  • Отделъ-Пермь;
  • DISTRIB_IT_Otdel.

И столько же динамических:

  • Рассылка-Отдел (Москва);
  • Рассылка-Отдел (Общая);
  • Рассылка Пермский ф-л (Отдел);
  • DST-PRM_NOT_OTDEL.

Continue reading “Приборка групп рассылок в Exchange”

SCOM Audit Collector

Ранее я уже писал о возможных проблемах при использовании SCOM Audit Collector.

На днях словил еще одну…

Коллега пожаловался, что пользователь был удален из группы безопасности, однако когда и кем – неизвестно.

Так как пользователя сначала добавили обратно, а потом написали мне, я не смог выяснить источник изменений с помощью следующей команды.

Continue reading “SCOM Audit Collector”

Epic fail story

Всем привет!

Пятница, вечер, дождик…

1) В одной компании вышел из строя RAID6 на HP Proliant Gen6, виртуальные машины на VMware ESXi стали частично недоступны.

Пошли за бэкапами на систему хранения QNAP – оказалось, что она тоже потеряла два диска в RAID5, вследствие чего бэкапов тоже нет.

Владелец взял где-то два брендовых SATA-диска IBM, объединил их в программное зеркало (динамический диск MS Windows) и скинул туда данные с сервера Hyper-V. Сервер Hyper-V был переформатирован под ESXi.

Когда через месяц-два он раздобыл новый сервер под Hyper-V, оказалось, что оба IBM-диска неживые.

Я не уточнял у него, как он вышел из этой ситуации.

2) В другой компании внезапно стали недоступными виртуальные машины, находящиеся на одном из RAID-массивов. Как оказалось, LUN3, состоящий из двух SSD-дисков в зеркала, решил что ну его…

У нас же есть бэкапы, заявил мой тезка. Угу-угу, VMware Data Protection 6.1.2 не загружался, в консоли висела надпись:

Перезагрузка не помогла, через час все было точно также.

vDP пытались оживить сначала вручную, потом через техподдержку VMware. Третий по счету инженер из EMC смог оживить бэкапы и мы узнали… что последний бэкап сделан год назад. Так как “Retention Policy” требует хранить бэкапы за последние 90 дней…

Тут мой тезка и говорит “у меня есть еще одна система резервного копирования, сохраняющая файлы на сервер в Amazon. Но я залогиниться туда не могу 🙁

В общем, сервер с бэкапами на Amazon оказался заражен каким-то ransomware…

Параллельно была сделана попытка выключить и включить система храения с выдергиванием/втыканием SSD-дисков (потому что она еще и на RAID-контроллер ругалась)…

После включения массива сдохло еще 4 SAS-диска (2 уже не работали), вследствие чего Lun2 ушел следом за Lun3. Как оказалось, MD3220i более 7 лет.

Какие выводы (кроме настройки уведомлений) вы бы сделали из обоих историй?

Какие epic fail были у вас?