Функция DNS Policies в Windows Server 2016

Одним из интересных нововведений в DNS сервере входящем в состав Windows Server 2016 стало появление политик DNS (DNS Policies), позволяющих контролировать обработку запросов в зависимости от параметров клиента – IP-адреса клиента или подсети, IP-адреса интерфейса принявшего DNS запрос, домена, протокола (TCP или UDP), типа запроса ((A, SRV, TXT …) и времени суток. Политики можно создавать на уровне сервера или зоны, все критерии можно комбинировать. В итоге мы получаем возможность очень просто реализовать ряд популярных сценариев – распределение трафика в зависимости от времени суток или региона посетителя, балансировка нагрузки, Split-brain DNS (различные сайты для внешних и внутренних пользователей), игнорирование запросов от определенных клиентов. DNS Manager не предлагает (во всяком случае пока) настроек связанных с DNS Policies. Для создания и управления политиками следует использовать новые командлеты модуля DNSServer v.2: *-DnsServerQueryResolutionPolicy (собственно управление политиками), *-DnsServerZoneTransferPolicy (политика передачи зоны на уровне сервера или на уровне зоны) и Enable|Disable-DnsServerPolicy (включение или отключение политики полностью или для какой то зоны).
Например, компания имеет отдельную версию сайта для локальных пользователей, остальные посетители должны получать IP адрес общего сайта. Реализуем такую политику.
Указываем клиентскую подсеть. В дальнейшем ее пользователи будут получать «свой» IP:

PS> Add-DnsServerClientSubnet -Name "LocalSubnet" -IPv4Subnet 192.168.0.0/24

Добавляем область:

PS> Add-DnsServerZoneScope -ZoneName "example.com" -Name "LocalZoneScope"

И создаем две DNS записи, один IP будем выдавать для локальной зоны, вторая общая.

PS> Add-DnsServerResourceRecord -ZoneName "example.com" -A -Name "www" -IPv4Address "192.168.0.1" -ZoneScope "LocalZoneScope"
PS> Add-DnsServerResourceRecord -ZoneName "example.com" -A -Name "www" -IPv4Address "172.1.1.1"

В политике возможно использование операторов EQ (совпадение) или NE (отсутствие совпадения), для сопоставления нескольких критериев используется параметр -Condition = OR/AND. Создадим простую политику, в которой все клиенты пришедшие из LocalSubnet будут получать IP из LocalZoneScope.

PS> Add-DnsServerQueryResolutionPolicy -Name "LocalPolicy" -Action ALLOW -ClientSubnet "eq,LocalSubnet" -ZoneScope "LocalZoneScope,1" -ZoneName "example.com"

Вот собственно и все. Теперь клиенты из LocalSubnet на запрос example.com, будут получать IP- 192.168.0.1, все остальные — 172.1.1.1.
Командлет по умолчанию ничего не выводит, чтобы сделать его разговорчивей можно добавить «-PassThru». В параметре ZoneScope, кроме имени зон, указывается и вес. Проверяем:

PS> Get-DnsServerQueryResolutionPolicy -ZoneName "example.com"

Создание политики при помощи Add-DnsServerQueryResolutionPolicy
Создание политики при помощи Add-DnsServerQueryResolutionPolicy

Чтобы правило действовало в течение определенного (например, рабочего) времени, можно использовать параметр –TimeOfDay “EQ,08:00-18:00”.
Кроме ALLOW, в качестве значения для -Action, можно использовать DENY или IGNORE, которые позволят отбросить или проигнорировать запрос попадающий под правило. Например, разрешим серверу отвечать на запросы только с определенных сетей.

PS> Add-DnsServerClientSubnet -Name "AllowedSubnet" -IPv4Subnet 192.168.0.0/24
PS> Add-DnsServerZoneTransferPolicy -Name "AllowedSubnetPolicy" -Action IGNORE -ClientSubnet "ne,AllowedSubnet" -PassThru

Созданную политику можно отключить, использовав параметр Disable или удалить при помощи командлета Remove-DnsServerZoneTransferPolicy.

PS> Remove-DnsServerZoneTransferPolicy -Name "AllowedSubnet" -PassThru

Установка Microsoft SQL Server 2016

Финальная версия Microsoft SQL Server 2016 увидела свет 1 июня 2016. В новом релизе много новинок – Row-Level Security, Dynamic Data Masking, Always Encrypted, Stretch Database и многое другое.
Доступно 4 версии: Enterprise, Standart, Express и Developer. Последняя является бесплатной и обладает всеми возможностями Enterprise, но предназначена исключительно для разработки и тестирования, ее нельзя использовать в рабочих средах. Числовые показатели по сравнению с 2014 практически не изменились. Максимальный размеры баз данных 524 Пб, у Express – 10 Гб. Максимальный объем используемой памяти на экземпляр: Express до 1 Гб, Standart – 128 ГБ, остальные ограничены возможностями ОС. Максимальное количество ядер: Express до 4, Standart 24 (в 2014 – 16).
Из списка поддерживаемых ОС выпали Windows 7 и Windows Server 2008. Установка возможна на все x64 редакции Windows от 8 и Windows Server от 2012, в том числе и урезанные Core и Nano. Особо отмечается, что процессоры x86 больше не поддерживаются.
С нового релиза SQL Server Management Studio (SSMS) поставляется отдельно, а сам он теперь управляет всеми редакциями SQL Server от 2008. То есть теперь не придется держать несколько SSMS для работы с разными релизами СУБД. Установка SSMS возможна на Windows 7SP1+ и Windows Server 2008+.
Также изменение коснулось набора дополнений к Visual Studio – SQL Server Data Tools для Visual Studio. Ранее было доступно две версии собственно SSDT и SSDT-BI (Business Intelligence), теперь они объединены в один пакет.

с

Установка SQL
Выбираем версию
Выбираем версию
Подтверждаем условия лицензионного соглашения
Подтверждаем условия лицензионного соглашения
Устанавливаем обновления
Устанавливаем обновления

Проверка перед установкой
Выбираем компоненты
Выбираем компоненты
Указываем идентификатор
Указываем идентификатор
Учетные записи служб
Учетные записи служб
Настройка ядра
Настройка ядра
Устанавливаем
Устанавливаем

Возможности dbForge Studio for SQL Server

Продукт dbForge Studio for SQL Server (devart.com/ru/dbforge/sql/studio) родился из самостоятельных инструментов и различных дополнений к SQL Server Management Studio и Visual Studio. Для некомерческого использования, MVP, не прибыльных и образовательных учреждений предлагается бесплатно. Среда разработки, а по сути, этакий комбайн предоставляющий решение для основных задач DBA и позволяющая без проблем работать со сложными проектами. Из-за обилия функций Studio for SQL Server может поначалу показаться очень сложным, но на самом деле это не так. Например, редактор кода содержит помощник SQL Coding Assistance позволяющий ускорить написание SQL-кода, за счет автодополнения функций, имен и параметров объектов, таблиц и т.д. Помощник анализирует контекст и по ходу набора предлагает доступные параметры, позволяя быстро заполнить поля запроса, уменьшая вероятность ошибки. Также предоставляются готовые шаблоны, которые можно добавлять и редактировать. Доступна функция автоформатированияи кода, показ структуры, быстрый переход, подсказки и прочие “мелочи”. Есть дизайнер запросов, объекты для построения просто перетаскиваются из Проводника. В редактор интегрирован отладчик T-SQL позволяющий найти источник ошибок в скриптах, хранимых процедурах, триггеров и функций, наблюдая за их поведением во время выполнения. При отладке возможен запуск скрипта полностью, в пошаговом режиме и до точек останова. В составе два профилировщика – запросов и событий сервера, которые позволяют просматривать время выполнения, находить узкие места и оптимизировать медленные запросы при помощи настроек. Быстро настроить нужные операции в SQL Server Event Profiler помогает мастер. Полученный отчет показывает список всех событий отвечающих выбранным критериям, дополнительные параметры позволяют выделить и контролировать наиболее интересные события. Есть еще дизайнер таблиц, который дает возможность легко создавать и пересоздавать таблицы. Диаграмма выводит структуру базы данных.
Для переноса данных SQL в новую базу данных, после обновления или создания резервной копии, предложен мастер экспорта и импорта данных поддерживающий 12 различных форматов (CSV, Excel, DBF, Access, XML…). Импорт возможен в новые или уже существующие таблицы, в разных режимах (Append, Update, Delete, Repopulate). Шаблоны импорта позволяют в последующем регулярно импортировать данные через интерфейс командной строки. Хорошим дополнением к функциями импорта/экспорта идет возможность создания снимка, синхронизации и сравнения данных, администратор при этом получает отчет, позволяющий планировать дальнейшие операции. Генератор отчетов наглядно представляющий данные, поддерживает возможность автоматической генерации и рассылки. При помощи Security Manager администратор создает учетные записи СУБД, назначает им роли и привилегии. Кроме того в составе
Для закачки бесплатной версии потребуется регистрация. Установка стандартна, в процессе можно задать ассоциацию с расширениями файлов. Далее в появившемся окне настраиваем подключение к SQL серверу и можно работать. Интерфейс локализован поэтому каких либо трудностей его освоение не представляет.

Создание запроса в dbForge Studio for SQL Server

Создание запроса в dbForge Studio for SQL Server

SQLFuse – SQL Server в виде файловой системы

В крупных и средних проектах значительная часть бизнес-логики реализована в хранимых процедурах СУБД, поэтому удобство по управлению кодом выходит на первый план. Доступные, даже коммерческие инструменты, не всегда позволяют в полной мере управлять версиями и отслеживать изменения, удобно синхронизировать тестовую и рабочую инфраструктуру, плюс осуществлять навигацию и поиск по коду. Эту задачу весьма интересно и неплохо решает проект SQLFuse (sqlfuse.org) отображающий объекты SQL сервера на файловую систему: схемы, таблицы, представления, хранимые процедуры, функции, колонки, триггеры и др. Хотя в настоящее время создание, редактирование и удаление поддерживается частично. Все произведенные в файлах изменения накапливаются в кэше, и по таймеру производится сброс SQL-команд в БД. При сбое транзакции происходит откат всех сделанных изменений и очистка кэша. Основан на userspace файловой системе FUSE, используемой в *nix. Поэтому для развертывания понадобится компьютер с любым Linux дистрибутивом. Сборка стандартная, после чего необходимо настроить профиль т.е. подключение к SQL серверу в файле sqlfuse.conf и авторизацию (логин/пароль) в sqlfuse.auth.conf. Профилей в файле может быть несколько, что позволяет работать с несколькими базами. Далее просто монтируем SQL сервер в каталог:

	$ sqlfuse -o profilename=SQLServer ./sqlserver

После этого можно работать с файлами внутри каталога стандартными утилитами *nix — vi, cat, mс и т.п. Для удобства использования в качестве инструмента для deploy-сервера, можно подружить SQLFuse с Git. Работает под *nix. Распространяется по условиям GNU GPL.

Бэкап MS SQL SqlBak

SqlBak интересное решение в современном духе, от разработчиков популярного решения для бэкапа MS SQL – SQLBackupAndFTP. Реализован в виде онлайн-сервиса, все настройки и действия производятся в веб-браузере, что позволяет управлять ими с любого места и устройства. На сервер при этом устанавливается программа клиент SqlBak Client, непосредственно производящий все операции. Обеспечивается выполнение двух важных задач администрирования. Основная это создание резервных копий баз данных MS SQL вручную и по расписанию, восстановление работоспособности выполняется буквально одним кликом в браузере. Поддерживается полный и диференциальный бэкап, сохранение журнала транзакций. Архивы сжимаются zip или 7z. Файлы копируются в локальную или сетевую папку, внешний HDD, FTP. И что немаловажно поддерживаются и облачные хранилища – Dropbox, Google Drive, OneDrive и Amazon S3. Кроме этого производится мониторинг работоспособности и производительности сервера. В случае обнаружения проблем и отчеты по операциям отправляются на указанный администратором email. Поддерживается выполнение скриптов до и после операции бэкапа, генерация контрольных сумм, необходимых для проверки целостности архива, верификация. Каждая база может копироваться в отдельный подкаталог. Бэкапы можно скачать архив с резервной копией или восстановить на другой сервер. Админу доступна история резервных копий, файлы которых можно восстановить или сохранить.
Реализовано три тарифных план. В бесплатном Free доступна работа только с одним сервером и двумя БД, не поддерживаются облачные хранилища, а мониторинг производится с периодичностью 1 час. Хотя этого обычно достаточно для большинства мелких организаций, особенно учитывая бесплатность и возможность управления с любой точки. В версии Professional уже есть AES шифрование архивов, а мониторинг производится каждую минуту. Все соединения во всех тарифных планах защищаются при помощи SSL.
Для регистрации в SqlBak достаточно иметь аккаунт в одной из соцсетей (Facebook, Twitter или Google). Чтобы подключить агента понадобится ключ, который генерируется по ссылке Secret Key. Клиентская программа практически не имеет настроек и после подключения к SqlBak можно о ней забыть. Обновление ПО производится автоматически. Все действия по конфигурации, мониторингу и восстановлению производятся исключительно через веб-сайт SqlBak.com. Вкладок и параметров немного и их назначение вполне очевидно. Операции по бэкапу отображаются в Dashboard. Выбрав любое задание можем просмотреть подробную информацию. При создании задания ничего сложного нет, все те же установки что производятся через SSMS. Требуется указать компьютер, имя SQL сервера и учетные данные, после чего будет получен список баз. Затем указываем куда копировать, параметры сжатия, email и прочие параметры. Есть и демоаккаунт позволяющий ознакомиться с основными возможностями без развертывания SqlBak.

Панель управления SqlBak

Панель управления SqlBak

Мониторинг MS SQL с Idera SQL check

MS SQL Server далеко не редкость в сети организаций, часто идущая в «нагрузку» к бизнес приложению. Штатные инструменты часто не удовлетворяют потребности большинства разработчиков и администраторов, по обслуживанию этой СУБД. Поэтому не удивительно, что на сегодня доступно большое количество утилит, приложений и аддонов, в том числе и бесплатных, на порядок упрощающих использование MS SQL.
Idera SQL check (idera.com/productssolutions/freetools) – бесплатный инструмент мониторинга, позволяющий получать базовую информацию о производительности сервера, собирающий около 20 показателей: операции чтения/записи, кэш, транзакции, компиляция и перекомпиляция запросов, загрузка CPU и прочие. Результат выводится в виде различных графиков производительности и интуитивно понятной визуализации открытых соединений и транзакций. Бесплатная версия ограничена одним сервером и отображает рекламу коммерческих продуктов той же компании. Поддерживает все версии от SQL Server 2000 SP4. Дистрибутив на сайте будет доступен после простой регистрации, после чего на указанный email придет ссылка для закачки. Установка стандартна, по окончании следует настроить подключение к SQL серверу. После этого можем увидеть обзорные графики производительности размещенные в нескольких вкладках. Нажав на кнопку возле графика получим более подробную информацию. Настроек у программы немного, вообщем единственные на которые стоит обратить внимание это установка во вкладке Option других интервалов обновления графиков.
У Idera есть еще несколько полезных бесплатных инструментов для диагностики работы MS SQL с которыми следует познакомиться – профайлер, анализ фрагментации, просмотр SQL, агрегатор статистики, резервного копирования, модуль и сценарии PowerShell и другие.

Результат мониторинга в Idera SQL check

Результат мониторинга в Idera SQL check

Установка Samba4 в виде контролера домена (видео)

В видео показано как установить Samba4 на примере Ubuntu 14.04 LTS, подключиться к Active Directory в виде контролера домена и управлять при помощи Windows утилит. Разберем некоторые утилиты командной строки.

Командлеты PowerShell для управления AD FS и WAP

Настройками AD FS и WAP также можно управлять как при помощи соответствующей консоли, так и используя командлеты PowerShell. Причем многие операции удобнее производить именно при помощи PowerShell. Для WAP доcтупно 12 командлетов модуля WebApplicationProxy(technet.microsoft.com/library/dn283404.aspx), в модуле ADFS(technet.microsoft.com/en-us/library/dn479343.aspx) их 105. Примеры некоторых командлетов уже приводились ранее. Полный список можно получить введя:

	PS> Get-Command –Module WebApplicationProxy
	PS> Get-Command –Module ADFS
Комманлеты модуля WebApplicationProxy

Комманлеты модуля WebApplicationProxy

Модуль ADFS разбирать не будем, остановимся только на WebApplicationProxy.
Командлет Add-WebApplicationProxyApplication позволяет публиковать приложение, для Pass-through команда выглядит так:

	PS> Add-WebApplicationProxyApplication -BackendServerURL 'https://service.example.org/web-app/' -ExternalCertificateThumbprint '1234.....7890' -ExternalURL 'https://service.org/app1/' -Name 'Maps (no preauthentication)' -ExternalPreAuthentication PassThrough

Часть командлетов дает возможность быстро получить информацию:

Connection Manager Administration Kit

Пакет администрирования диспетчера подключений CMAK (Connection Manager Administration Kit) заметно упрощающее работу администратора и службы поддержки пользователей, обеспечивая простой механизм подключения к VPN при помощи специального файла. Это проще чем заставлять пользователя разбираться с инструкциями и самостоятельно заполнять параметры подключения. CMAK является компонентом Windows Server, процесс установки при помощи Диспетчера сервера стандартен. В мастере отмечаем пункт “Пакет администрирования диспетчера подключений RAS” (RAS Connection Manager Administration Kit (CMAK)). По окончании одноименный ярлык появится в меню Администрирование. В Win 7/8 установить CMAK можно через Панель управления > Программы > Включение или отключение компонентов Windows.
После вызова СМАК предстоит ответить на несколько простых вопросов. По ходу можно создать новый профиль, редактировать старый или объединять профили. Кроме этого предстоит выбирать ОС для которой предназначен профиль. Для современных версий Windows выбираем Vista в этом случае обеспечивается поддержка протокола SSTP.
Работа мастера CMAK
Далее все стандартные настройки при VPN подключении: указываем имя службы и файла, задаем один или несколько VPN серверов, к которым может подключаться пользователь, разрешаем или запрещаем общий доступ к файлам и принтерам, IP адреса DNS и WINS серверов. В некоторых сетях при проверке подлинности используется имя сферы (Realm name), например в Windows это имя AD домена (user@domain.com). Мастер позволяет задать такое имя сферы, которое будет автоматически добавлено к логину. Установкой соответствующих флажков можно сделать это подключение основным шлюзом и активировать сжатие IP заголовков. Настройки безопасности производятся в одноименной вкладке. Здесь указываем, обязательно ли использовать шифрование, отмечаем необходимые методы аутентификации. Список “Стратегия VPN” позволяет указать какой метод будет использован при подключению к VPN серверу. Возможно два варианта: только один протокол или перебор протоколов до успешной активации соединения. Также мастер позволяет задать номера для подключения к dial-up серверу и их автоматическое обновление, изменить таблицу маршрутизации, параметры прокси для IE. Кроме стандартных установок можем прописать действия, которые следует выполнить на разных этапах подключения клиента, задать значки, указать файл справки, сведения о поддержке и дополнительные файлы. При создании профиля службы мастер CMAK копирует все входящие в этот профиль файлы в Program Files\CMAK\Profiles.
Далее рассылаем файл пользователям или копируем его в место, с которого они могут его скачать.
Пользователь просто запускает файл, после чего значок нового соединения будет добавлен в Сетевые подключения и появляется окно регистрации, в котором необходимо ввести свой логин и пароль.

Установка и настройка Suricata IDS в Linux (Видео)

Suricata сетевая IDS/IPS которая изначально работает в многопоточном режиме позволяющем оптимально использовать несколько CPU, имеются развитые средства инспектирования HTTP-трафика и контроля приложений. При этом Suricata совместима с рулесетами и бэкэндами Snort. Разберем установку Suricata на примере Linux Mint (Ubuntu), познакомимся с основными настройками.