Jeśli jesteś właścicielem tej strony, możesz wyłączyć reklamę poniżej zmieniając pakiet na PRO lub VIP w panelu naszego hostingu już od 4zł!
Strony WWWSerwery VPSDomenyHostingDarmowy Hosting CBA.pl
Artykuły filtrowane wg daty: luty 2014

Temat backupu / archiwizacji danych to temat rzeka. Był poruszany na łamach portalu Support Online już niejeden raz. Ale w poniższym artykule chciałbym podejść do sprawy backupu w małych firmach, których często nie stać na drogie rozwiązania backupowe typu: dedykowane oprogramowanie do backupu, dedykowany serwer backupowy, agenci itd. Wszystko to kosztuje, i to niemałe pieniądze. Czy więc nie ma rozwiązania? Jest.

W rozmowach z administratorami oraz osobami z działów IT często nasuwa się wniosek o niewykorzystaniu istniejących zasobów IT. Nieraz byłem świadkiem, kiedy firma posiadała w zasobach IT urządzenia, które śmiało można wykorzystać do backupu / archiwizacji danych. Mowa tu o NAS.

Czym jest NAS?

NAS (Network Attached Storage) to technologia, która umożliwia podłączenie zasobów pamięci dyskowych bezpośrednio do sieci komputerowej.

Niniejsze rozwiązanie umożliwia skonfigurowanie dostępu do danych znajdujących się w jednym miejscu z różnych punktów sieci. Zaletą NAS jest możliwość jego stosowania w heterogenicznych sieciach opartych na różnych rozwiązaniach klienckich, przez co dane są osiągalne bez względu na rodzaj zainstalowanego systemu operacyjnego.

Ale jak można wykorzystać urządzenia NAS do backupu / archiwizacji danych?

Poniżej opisałem sposób użycia urządzenia NAS firmy Synology do konfiguracji backupu w małej firmie. Scenariusz zakłada, że urządzenie NAS jest już wstępnie skonfigurowane i włączone do sieci LAN. Firma posiada również serwer z WINDOWS SERVER 2012, z którego chcemy wykonywać cykliczne backupy. Backup będzie wykorzystywał technologię iSCSI, jako alternatywną dla tradycyjnego systemu udostępniania plików. Backup będzie wykonywany na NAS-a.

Wymieńmy kolejność zadań:

  1. Na urządzeniu NAS (Synology), konfiguracja obsługi iSCSI, zapewnienie wystarczającej ilość miejsca na dane backupowe,
  2. Na serwerze WINDOWS SERVER 2012, włączenie obsługi iSCSI,
  3. Na serwerze WINDOWS SERVER 2012, konfiguracja połączenia iSCSI,
  4. Na serwerze WINDOWS SERVER 2012, konfiguracja dysku utworzonego poprzez iSCSI,
  5. Na serwerze WINDOWS SERVER 2012, utworzenie zadania backupowego, które będzie wykonywało cykliczne backupy na NAS (Synology).

 

A więc do dzieła. W kroku (1) posłużę się urządzeniem NAS firmy Synology, chociaż urządzenia NAS innych firm działają podobnie.

Konfiguracja obsługi iSCSI w urządzeniu NAS (Synology)

Wybieramy ZARZĄDZANIE PRZECHOWYWANIEM,

Wybieramy iSCSI LUN, UTWÓRZ

W następnym kroku wybieramy URZĄDZENIE iSCSI LUN (zwykłe pliki)

W kolejnym kroku musimy określić
Nazwa – np.: LUN-2, może być dowolna nazwa
Lokalizacja – w tym wypadku wskazujemy nasz Wolumen 1, jako przestrzeń do przechowywania danych
Pojemność (GB) – tyle GB, ile chcemy przeznaczyć na backup
Mapowanie iSCSI Target – wybieramy UTWÓRZ NOWY ISCSI TARGET
Pozostałe opcje pozostawiamy bez zmian

W następnym kroku musimy wpisać
NAZWA – dowolna np.: windows212-srv
IQN – pozostawiamy bez zmian
WŁĄCZ UWIERZYTELNIANIE CHAP – zaznaczamy chceckbox, wpisujemy dowolną nazwę np.: windows2012, oraz hasło (UWAGA: te dane, czyli nazwa i haslo CHAP należy zanotować, będą potrzebne podczas konfiguracji połaczenia iSCSI na serwerze WINDOWS SERVER 2012)

Potwierdzamy konfigurację iSCSI LUN

Pamiętajmy, że utworzyliśmy IQN (target LUN) o nazwie iqn…. name1 – ta wartość będzie nam potrzebna podczas konfiguracji iSCSI target na WINDOWS SERVER2012 w kroku (3)
Na tym zakończyliśmy krok (1)

1. Na serwerze WINDOWS SERVER 2012, włączenie obsługi iSCSI W oknie SERVER MANAGER, TOOLS, wybieramyiSCSI INITIATOR

Gdy pojawi się komunikat, że usługa iSCSI nie jest włączona … czy właczyć, wybieramy YES

Czas na krok (3)

2. Na serwerze WINDOWS SERVER 2012, konfiguracja połączenia iSCSI, W oknie iSCSI INITIATOR PROPERTIES,

Zakładka DISCOVERY, a następnie przycisk DISCOVER PORTAL

W oknie DISCOVER TARGET PORTAL, w polu IP ADDRESS … wpisujemy adres IP naszego NAS (w naszym scenariuszu jest to adres 192.168.0.149) , port pozostawiamy bez zmian

Na zakładce DISCOVERY pojawi się nasz NAS (IP, port, itd.)

Przechodzimy na zakładkę TARGETS
Wybieramy nasz target LUN, pamiętamy z kroku (1) że ma nazwę iqn…. name1, i klikamy CONNECT

W oknie CONNECT TO TARGET wybieramy ADVANCED

Okno ADVANCED SETTINGS zaznaczamy ENABLE CHAP LOG ON, w polu NAME wpisujemy naszego użytkownika CHAPoraz hasło utworzone w (1) kroku

Na koniec target o nazwie iqn … name1 powinien być podłaczony (CONNECTED) jak na rysunku.

Krok (4)

3. Na serwerze WINDOWS SERVER 2012, konfiguracja dysku utworzonego poprzez iSCSI,
Po podłączeniu iSCSI LUN, pora na konfigurację dysku, tzn. inicjalizację dysku w systemie Windows oraz formatowanie dysku.
W tym celu na serwerze WINDOWS SERVER 2012 uruchamiamy SERVER MANAGER

TOOLS, wybieramy COMPUTER MANAGEMENT

W oknie po lewej wybieramy DISK MANAGEMET, a potem wskazujemy dysk z podłączenia iSCSI

Ponownie klikamy na ten dysk i wskazujemy INITIALIZE DISK

W oknie INITIALIZE DISK wskazujemy nasz dysk (w tym scenariuszu to DISK1) i wybieramy rodzaj partycji
UWAGA: jeżeli nasz LUN jest większy niż 2GB, musimy wybrać typ partycji GPT

Tworzymy wolumin, przypisujemy literę do dysku

W efekcie został utworzony Dysk 1, partycja E, o pojemności 1000MB.

Można teraz przystąpić do kroku (5)

4. Na serwerze WINDOWS SERVER 2012, utworzenie zadania backupowego, które będzie wykonywało cykliczne backupy na NAS (Synology)
Uruchamiamy SERVER MANAGER, TOOLS, a następnie WINDOWS SERVER BACKUP

Wybieramy LOCAL BACKUP, BACKUP SCHEDULE

Uruchomi się kreator, w następnych oknach musimy zdefiniować
Typ backupu – zalecamy FULL SERVER

Częstotliwość i godzinę backupu.

Miejsce docelowe backupu.

W oknie SELECT DESTINATION DISK wybrać SHOW ALL AVAIABLE DISKS

Pojawi się nasz nowoutworzony dysk z połączenia iSCSI, zaznaczamy go.
Na koniec monit, że wszystkie dane na dysku z połączenia iSCSI zostaną usunięte – potwierdzamy OK.

Oraz końcowy monit, informujący o usunięciu danych z dysku 1 z podłączenia iSCSI. Dodatkowo ten dysk nie będzie już widoczny w Eksploratorze Windows, z uwagi na bezpieczeństwo danych backupowanych. Klikamy YES.

Na koniec podsumowanie wszystkich operacji – klikamy FINISH

Zalecenia końcowe.
Przedstawiony tu scenariusz zakładał, że firma ma urządzenie NAS oraz serwer z WINDOWS SERVER 2012. Backup tak skonfigurowany działa zazwyczaj bezproblemowo. Można odtworzyć dane z backupu w przypadku ich skasowania lub nadpisania. Biorąc pod uwagę, że jest to mała firma i ma niewielki budżet na IT, jest to rozwiązanie optymalne.
Nie jest jednak bezpieczne w 100%.
Zakładamy, że oba urządzenia znajdują się w serwerowni. Co w sytuacji, kiedy mamy pożar serwerowni? Zalanie wodą? Spięcie elektryczne?
Oba urządzenia z danymi - NAS i serwer - mogą uleć uszkodzeniu.
Dlatego zalecamy, aby NAS zawsze był w innym pomieszczeniu niż serwer z danymi, które chcemy backupować. Warto też pomyśleć o rozwiązaniu D2D to tape (DISK to DISK to tape), które zakłada dodatkowe bakupy z NAS-a na taśmę i przechowywanie taśmy w bezpiecznym miejscu, np.: w sejfie.
Będzie to jednak tematem kolejnego artykułu.

 

 

Artykuł opracował: Przemysław Łopaciński, Support Online Sp. z o.o.

 

Support Online Sp. z o.o.  świadczy szeroki zakres usług IT dla firm oraz instytucji: kompleksowa obsługa informatyczna, częściowe wsparcie IT, projekty informatyczne, helpdesk IT, system kopii zapasowych plików SBBS, telefonia VoIP, audyty informatyczne i wiele innych.

 

Jeśli jesteście Państwo zainteresowani współpracą w tym zakresie lub innymi usługami informatycznymi – zapraszamy do kontaktu.

 

 

 

Support Online Sp. z o.o.

 

tel. + 22 335 28 00

 

e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

 

www.support-online.pl

 

 

Źródło:

  1. Opracowanie własne
  2. Wikipedia.pl
Wychodząc naprzeciw trendom na rynku pracy realizujemy projekt „Warsztaty profesjonalistów IT” współfinansowanych ze środków unijnych w ramach Europejskiego Funduszu Społecznego
 
Udział w szkoleniu jest całkowicie bezpłatny.
 
Projekt skierowany jest do mikro małych i średnich przedsiębiorstw posiadających jednostkę organizacyjną na terenie województwa podlaskiego, których zakres działalności odpowiada jednej z niżej wymienionych branż:
- sektor oprogramowania komputerowego i technologii informatycznych
- sektor technologii informacyjnych i komunikacyjnych
 
Szkolenia mają na celu przygotowanie pracowników do egzaminów i zdobycia przez nich międzynarodowych certyfikatów Microsoft. Każdy moduł szkolenia zakończony będzie egzaminem zewnętrznym i możliwością uzyskania przez uczestników certyfikatów MCSA (Microsoft Certified Solutions Associate). Szkolenia przyczynią się nie tylko do podniesienia kwalifikacji przez pracowników, ale wpłyną także na rozwój przedsiębiorstw. Pracownicy zdobędą wiedzę i nowe umiejętności m.in. w zakresie konfigurowania, administrowania i zarządzania serwerami w firmie, dzięki czemu przedsiębiorstwa będą mogły sprawniej i efektywniej funkcjonować. Szkolenia będą realizowane w małych grupach, w formie warsztatów.
 
Przeprowadzonych zostanie 5 modułów szkoleniowych, które będą obejmowały następujące zagadnienia:
WINDOWS SERWER 2012
I moduł - instalowanie i konfiguracja (40 h)
II moduł - administracja (40 h)
III moduł - zaawansowana konfiguracja (40 h)
WINDOWS 8
IV moduł - konfiguracja (40 h)
V moduł - zarządzanie i utrzymywanie (40 h)
 
Zapraszamy do zapoznania się z załączoną szczegółową ofertą lub przekazanie jej osobom zainteresowanym.
 
Zapisów dokonać można online na nasze stronie internetowej www.profesjonalisci-it.pl lub za pośrednictwem biura TEB Edukacji przy ul. Choroszczańska 31A w Białymstoku, Tel: (85) 744 39 85, e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

 

Obecnie obserwujemy zarówno wzrost liczby usług oferowanych w centrach obliczeniowych Microsoft, jak również jednoczesny spadek cen za produkty oferowane w chmurze. Przekłada się to na umożliwienie większej liczbie organizacji dostępu do zawansowanych technologii i systemów informatycznych. Systemy w chmurze oferowane przez Microsoft pozwalają firmom na dostęp do systemów takich jak Exchange, Lync, Sharepoint bez ponoszenia dodatkowych kosztów związanych z posiadaniem własnej infrastruktury i sprzętu. Produkty w chmurze oferowane przez Microsoft pozwalają w łatwy i szybki sposób skonfigurować, a następnie rozpocząć stosowanie w organizacji zaawansowanych rozwiązań korporacyjnych, takich jak np. system pocztowy Exchange, komunikator Lync, przestrzeń dyskową Skydrive Pro, obieg dokumentów Sharepoint, tworzenie własnego Intranetu - Yammer. Przygotowanie organizacji do używania systemów znajdujących się w centrach obliczeniowych Microsoft wymaga wykonania przez administratora pewnych czynności oraz posiadania przez niego wiedzy i doświadczenia w tym zakresie. Poniżej zostały przedstawione sposoby, które pozwalają przyspieszyć wdrożenie rozwiązań w chmurze poprzez wykorzystanie skryptów Power Shell.

Wdrożenie w organizacji systemów działających w chmurze wymaga konfiguracji usługi działającej poza firmą, jak i przeprowadzenia wdrożenia wewnątrz organizacji. Istnieje kilka sposobów pozwalających znacznie przyspieszyć proces uruchomienia usługi, jak i zaoszczędzić pracy administratora. Rozwiązaniem oferowanym w chmurze, które cieszy się dużą popularnością, jest Exchange. Poniżej zostało przestawione przykładowe wdrożenie systemu pocztowego Microsoft wraz ze sposobami pozwalającymi znacznie przyspieszyć proces uruchomienia usługi oraz proces migracji kont wraz ze skrzynkami pocztowymi z serwerów POP3/IMAP do Exchange.

Do przeprowadzenia migracji usług pocztowych z systemów POP3/IMAP możemy wykorzystać skrypty i polecenie Power Shell gdzie udogodnienia te pozwalają zaoszczędzić dużo pracy. Zakładanie nowych kont, w sposób automatyczny może być przeprowadzone dzięki połączeniu usługi działającej w chmurze z lokalną domeną Active Directory. Dzięki narzędziu Windows Azure Active Directory Sync Tool, możemy przeprowadzić migrację kont do chmury, zamiast zakładać je ręcznie. Ten sposób zakładania kont ułatwia pracę administratorowi i użytkownikom, ponieważ pozwala na stosowanie jednego hasła do poczty i komputera. W kilku krokach przeprowadzimy instalację narzędzia Windows Azure Active Directory Sync Tool i uzyskamy dostęp do konsoli Power Shell i skryptów umożliwiających połączenie się środowiska lokalnego z chmurą, a następnie eksport kont domenowych do chmury.

Po zainstalowaniu, pierwszą czynnością jest ustanowienie połączenia z chmurą Microsoft:

$LiveCred = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $LiveCred -Authentication Basic -AllowRedirection

Import-PSSession $Session

 

Po ustanowieniu połączenia możemy wykonać skrypt:

DirSyncConfigShell.psc1

Skrypt ten jest dołączony do instalacji Windows Azure Active Directory Sync Tool. Domyślnie katalog ze skryptem znajduje się w lokalizacji, %programfiles%\Microsoft Online Directory Sync lub %programfiles%\Windows Azure Active Directory Sync. Następnie poleceniem Start-OnlineCoexistenceSync rozpoczynamy synchronizację, czyli migrację kont i synchronizowanie haseł.

 

W przypadku, kiedy organizacja posiada pewną liczbę kont pocztowych, które nie posiadają swoich odpowiedników w usługach domenowych Active Directory, można ich założenie zautomatyzować przez polecenia Power Shell. W tym celu przygotowujemy plik CSV zawierający potrzebne informacje dotyczące zakładanych kont.

Format pliku musi posiadać następującą strukturę:

Name,EmailAddress,FirstName,LastName,Password

Następnie korzystając z konsoli Power Shell wykonujemy polecenie:

 

Import-Csv -Path .\users.csv | ForEach-Object {

New-MsolUser -FirstName $_.FirstName -LastName $_.LastName `

-UserPrincipalName $_.UserPrincipalName `

-DisplayName "$($_.FirstName) $($_.LastName)" `

-LicenseAssignment 'nazwafirmy:ENTERPRISEPACK' `

-UsageLocation PL `

-Password $_.Password `

}

Po założeniu kont możemy przenieść zawartość skrzynek pocztowych z serwera pocztowego POP3/IMAP do Exchange. W celu migracji warto jest się upewnić, że serwer POP3/IMAP umożliwia migrację skrzynek pocztowych, co możemy sprawdzić poleceniem:

Test-MigrationServerAvailability -IMAP -RemoteServer <FQDN of IMAP server> -Port <143 or 993> -Security <None, Ssl, or Tls>

 

Następnie przygotowujemy plik CSV, w którym umieścimy dane do logowania i poświadczenia potrzebne do uwierzytelnienia na serwerze pocztowym POP3/IMAP 

EmailAddress,UserName,Password

Rozpoczynamy migrację od ustanowienia połączenia z serwerem POP3/IMAP poleceniem

$IMAPMigrationEndPoint = New-MigrationEndpoint -IMAP -Name IMAPEndpoint -RemoteServer nazwa.serwera -Port 993 -Security Ssl

 

Następnie wykonujemy skrypt. Ważne jest, aby migrować skrzynki partiami np. po 20 w celu uniknięcia błędów podczas połączenia spowodowanych np. zapchaniem przepustowości łącza.

New-MigrationBatch -Name IMAPBatch1 -SourceEndpoint $IMAPMigrationEndPoint.Identity -CSVData ([System.IO.File]::ReadAllBytes("C:\Users\Administrator\Desktop\IMAPmigration_1.csv")) -AutoStart

Dzięki wykorzystaniu tych poleceń można automatycznie przeprowadzić migrację kont użytkowników oraz ich skrzynek pocztowych, a co za tym idzie zaoszczędzić dużo czasu.

Produkty oferowane przez Microsoft są zbudowane elementów, które można dopasować do potrzeb klienta. Rodzaje usług są stale rozwijane tworząc nowe możliwości, a ceny stają się bardziej przystępne, co sprawia, że są coraz bardziej popularne. Organizacje decydując się na rozwiązania działające w chmurze, oszczędzają pracę i czas związany z przygotowaniem środowiska tj. z instalacją serwerów oraz serwisów na nich działających, przygotowaniem sieci i komunikacji z Internetem, backupu itd.

 

Artykuł opracował: Przemysław Łopaciński, Support Online Sp. z o.o.

Support Online Sp. z o.o.  świadczy szeroki zakres usług IT dla firm oraz instytucji: kompleksowa obsługa informatyczna, częściowe wsparcie IT, projekty informatyczne, helpdesk IT, system kopii zapasowych plików SBBS, telefonia VoIP, audyty informatyczne i wiele innych.

Jeśli jesteście Państwo zainteresowani współpracą w tym zakresie lub innymi usługami informatycznymi – zapraszamy do kontaktu.

 

Support Online Sp. z o.o.

tel. + 22 335 28 00

e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

www.support-online.pl

 

 

Źródło:

http://help.outlook.com/pl-pl/140/ee441218.aspx

http://cloudspot.pl/administracja-office-365-za-pomoca-powershell-czesc-1/

http://cloudspot.pl/administracja-office-365-za-pomoca-powershell-czesc-2/

 

Wiele organizacji zdaje sobie sprawę, jak ważne jest, aby ich dane nie dostały się w niepowołane ręce. Właśnie dlatego stosują one technologie poprawiające bezpieczeństwo IT, takie jak np.: firewall, ochrona w czasie rzeczywistym, zabezpieczenie systemów hasłami, szyfrowanie komunikacji lub przechowywanie danych na serwerach firmowych itp. Mało kto zdaje sobie sprawę, że w przypadku fizycznego dostępu do komputera bez trudu można dostać się do przechowanych tam danych i systemów organizacji. W celu zagwarantowania bezpieczeństwa danych i systemów firmowych dostępnych z komputerów pracowników, konieczne staje się wykonanie dodatkowych czynności. Bardzo skuteczną techniką podnoszącą bezpieczeństwo poufnych danych organizacji jest szyfrowanie dysków twardych komputerów pracowników. Na rynku dostępnych jest wiele sposobów szyfrowania zawartości dysku, można przypisać je do grup w zależności od tego, jaką technologię wykorzystują dostawcy rozwiązania. Sposoby szyfrowania dysku można podzielić ze w względu na metody wykorzystanie do szyfrowania, takie jak: sprzętowe (np. tokeny, chip, karty), programowe (wykorzystujące algorytmy szyfrujące) lub hybrydowe. Dodatkowo technologie te można podzielić na trzy główne grupy w zależności, przez kogo są one oferowane tj. producentów systemów operacyjnych, producentów sprzętu komputerowego lub przez innych twórców oprogramowania. Dla osób zajmujących się bezpieczeństwem danych przy wyborze narzędzia bardzo istotne są elementy takie jak: odporność na ataki i deszyfracje, spowolnienie działania systemu, dostępność do dokumentacji, cena, trudności konfiguracji oraz odzyskanie danych w przypadku całkowitej awarii sprzętu.

Do jednych z najpopularniejszych technologii dostępnych na rynku należą rozwiązania dostarczane przez dostawców systemów operacyjnych. Przykładem takiego oprogramowania jest stworzony przez Microsoft BitLocker. Produkt ten służy do zaszyfrowania dysku i jest on wbudowany w system operacyjny Microsoft od pojawienia się Visty - znajduje się w również w nowszych systemach Windows 7 i Windows 8. BitLocker w Windows Vista i Windows 7 dostępny jest w wersji Enterpirse i Ultimate, a w Windows 8 w wersjach Professional i Enterprise. BitLocker może stosować softwarowe szyfrowanie lub hybrydowe w oparciu o microchip lub kartę.

Innym niezwykle popularnym sposobem na zaszyfrowanie dysku jest metoda oferowana przez producentów sprzętu komputerowego oparta o sprzętowe szyfrowanie, np.: o microchip TPM Trusted Platform Module. Trusted Platform Module to microchip zaprojektowany do wykonywania operacji kryptograficznych do ochrony danych zapisanych na komputerze. Microchip jest zainstalowany na płycie głównej i służy do uwierzytelniania sprzętowego, tworząc powiązanie dysku twardego z komputerem, na którym jest zainstalowany. Producenci wraz z sprzętem dostarczają również oprogramowanie wykorzystujące możliwości szyfrowania z chipu TPM. Innym przykładem szyfrowania sprzętowego jest rozwiązanie oferowane przez producentów oferujący dyski SSD (Solid State Drive). Dyski twarde nowej generacji w swoich produktach mają zaimplantowane rozwiązania sprzętowe służące do zapobiegania nieautoryzowanemu przechwyceniu danych na nich zapisanych na dyskach w oparte o szyfrowanie sprzętowe i hasło. Rozwiązaniem dostarczonym przez innych producentów oprogramowania są specjalne programy pozwalające na zabezpieczanie danych. Najpopularniejsze z nich to: TrueCrypt, Symatec Endpoint Encryption, Check Point Full Disk Encryption.

Procedura wykonie szyfrowania dysku w komputerze przy pomocy programu TrueCrypt pozwala na zabezpieczanie danych bez zakupu dodatkowego sprzętu posiadania systemu odpowiedniego systemu operacyjnego lub zakupu programu, a co za tym idzie dodatkowych licencji. Program TrueCrypt wydaje się być dobrym wyborem, ponieważ pozwala wykonać pełne szyfrowanie dysku, posiada dobrą dokumentację, oferuje narzędzia do odzyskania danych w przypadku awarii sprzętowej i jak na razie, wydaje się praktycznie nie do odszyfrowania przez niepowołane osoby lub organizacje. Przygotowana procedura pozwala na zabezpieczenie gromadzonych na dysku twardym komputera danych, haseł i dostępów. Bardzo ważna jest tutaj dokładność, ponieważ nieprawidłowe wykonanie szyfrowania dysku twardego może skończyć się utratą wszystkich danych przechowywanych w komputerze.

Instrukcja instalacji i zaszyfrowania dysku z pomocą oprogramowania TrueCrypt.

  • Na samym początku wykonujemy instalację programu Trucrypt - pliki instalacyjne należy pobrać ze strony producenta. Są one dostępne pod następującym linkiem:http://www.truecrypt.org/downloadsPobieramy najnowszą wersję oprogramowania i zapisujemy na dysku twardym komputera. Następnie uruchamiamy instalatora oraz akceptujemy licencję producenta i klikamy „Next".
  • Wybieramy „Install” i klikamy „Next”
  • Następnie wskazujemy katalog docelowy na dysku gdzie będzie znajdował się program. Wybieramy dostępne opcje i rozpoczynamy instalację klikając „Install”.
  • Po zakończonej instalacji zatwierdzamy „Ok” i uruchamiamy program z ikony na pulpicie.
  • Pomijamy samouczek przygotowany przez producenta i przechodzimy do procedury zaszyfrowania dysku twardego naszego komputera.
  • Z menu programu wybieramy „System”, a następnie „Encrypt System Partition Drive”.
  • W rodzaju wyboru systemu do wybieramy „Normal” i klikamy „Next”.
  • W zależności od tego czy dysk twardy jest podzielony na wiele woluminów czy ma utworzoną jedną partycje systemową, wybieramy odpowiednią opcję. W przypadku jednego woluminu zajmującego całą dostępną przestrzeń dysku należy wybrać „Encrypt the Windows system partition”, natomiast jeżeli są dodatkowe partycje, zaznaczamy na dysku „Encrpytp the whole drive”.
  • Jeżeli posiadamy na dysku twardym komputera zainstalowany jeden system operacyjny wybieramy single-boot .
  • Wybieramy algorytm szyfrowania AES i klikamy „Next”.
  • Ustawiamy hasło, które należy podać w celu możliwości dostania się do dysku twardego i załadowania systemu operacyjnego na nim zainstalowanego i klikamy „Next”.
  • W następnych dwóch krokach wybieramy „Next”;
  • W kolejnym kroku tworzymy płytę odzyskiwania - jest to wygenerowany klucz zapisany na dysku optycznym, który służy do deszyfracji dysku. Jest to bardzo ważne, gdyż posiadanie tego klucza gwarantuje odzyskanie danych w przypadku awarii sprzętu lub utraty wcześniej ustawionego hasła. Wskazujemy miejsce na dysku, gdzie chcemy zapisać plik ISO z kluczem i wkładamy płytę do napędu. Klikamy „Next”.
  • Następnie zostanie uruchomiony program do nagrywania płyt. Tutaj zaznaczamy opcję „ Sprawdź dysk po nagraniu” i klikamy „nagraj”.
  • Po nagraniu płyty i zweryfikowaniu jej zawartości, wciskamy przycisk „Next”. Oznacza, że nagranie klucza służącego miedzy innymi do odzyskania danych przebiegła w prawidłowy sposób
  • Następnie zostanie wykonana operacja ponownego zapisania danych na dysku w celu wyeliminowania możliwości odtworzenia danych przy pomocy analizy śladów magnetycznych. Wybieramy „Next”, aby rozpocząć „wipe” dysku.
  • Następnie rozpoczynamy test, czyli procedurę polegającą na ponownym uruchomieniu komputera, podczas której zostanie sprawdzone czy program uruchamiający zabezpieczenie dysku twardego został zainstalowany prawidłowo i pozwala załadować system operacyjny. Jeżeli wszystko przebiegło prawidłowo, po ponownym uruchomieniu komputera zostanie uruchomiony program, w który należy podać hasło, aby odszyfrować dysk i móc uruchomić system operacyjny.
  • Po udanej autentykacji zostanie uruchomiony system operacyjny i będziemy mogli kontynuować szyfrowanie dysku. Zostanie wyświetlona informacja dotycząca szyfrowania dysku. Po zapoznaniu się z nią klikamy „Ok” a następnie „Encrypt” i rozpoczyna się procedura właściwego szyfrowania dysku.
  • Następnie widoczny jest postęp procesu szyfrowania. Szyfrowanie będzie kontynuowane nawet, jeżeli je zatrzymamy np. uruchamiając ponownie komputer. W takim przypadku pojawi się komunikat, że szyfrowanie zostało przerwane i należy je wznowić.
  • Po zakończeniu szyfrowania pojawi się okno informujące, że dane na dysku twardym są zabezpieczone.

 

Dzięki zastosowaniu opisanej metody szyfrowania z użyciem programu TrueCrypt nasze dane są przechowywane w sposób bezpieczny, który uniemożliwia dostęp do danych firmowych osobom do tego niepowołanym. TrueCrypt jest to narządzie oferowanych przez autorów na zasadzie Freeware, jest stale rozwijane, można je stosować również do użytku komercyjnego w firmie.

Artykuł opracował Przemysław Łopaciński,

Źródło:

  1. Opracowanie własne
  2. www.truecrypt.org
  3. Technet.microsoft.com

W ostatnich czasach, bardzo popularna stała się wirtualizacja środowisk serwerowych. W firmach często zastosowane są dwa serwery pełniące rolę Hypervisorów. Dla bezpieczeństwa danych i dla szybkiego włączenia serwerów wirtualnych w przypadku awarii jednego z Hypervisorów, często stosuje się mechanizm replikacji serwerów wirtualnych pomiędzy Hypervisorami. Do jednych z czynności administracyjnych osoby sprawującej opiekę nad danymi serwerami powinno być zalogowanie się na serwery pełniące rolę HyperV i sprawdzenie czy replikacja serwerów wirtualnych działa. Ponieważ replikacja odbywa się w trybie rzeczywistym i dane pomiędzy serwerami wysyłane są bieżąco lub w małych odstępach czasowych, status powinno się sprawdzać kilka razy dziennie, co przy innych pracach administracyjnych jest często nie możliwe.

Replikacja maszyn wirtualnych skonfigurowana, zazwyczaj działa prawidłowo, lecz z moich obserwacji wynika, że „raz na jakiś czas” potrafi się po prostu wyłączyć (przejść w status Suspended), bez błędów w event logu, przez co trzeba się zalogować na serwer i ją wznowić. Niestety w roli HyperV nie ma takiej funkcjonalności jak wysyłanie monitów o wyłączeniu się replikacji, dlatego w celu ułatwienia codziennej pracy i zachowania ciągłości replikacji maszyn wirtualnych, został zmodyfikowany skrypt z poprzedniego artykułu (Raportowanie wykonania kopii zapasowych (DPM + PowerShell)). Została zmodyfikowana funkcja generująca raport, oraz dodana funkcja sprawdzająca status replikacji, która w przypadku, gdy status jest inny niż „Normal”, wznawia ją i dodaje do wiadomości e-mail z raportem i odpowiednią informację o wznowieniu replikacji. 
Kod źródłowy skryptu:

Uruchamianie skryptu:

  1. Do uruchamiania skryptów powershell z plików należy zmienić ExecutionPolicy poleceniem: 

    Set-ExecutionPolicy – unrestricted 
    (http://technet.microsoft.com/pl-PL/library/dd347628.aspx

  2. Skrypt należy dodać do zaplanowanych zadań: 

     

  3. Należy utworzyć zadanie uruchamiane z najwyższymi uprawnieniami: 

     

  4. Dodanie akcji do zaplanowanego zadania 

     

    Należy uruchomić PowerShell z wykonaniem skryptu: 
    C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -noninteractive -nologo
    C:\Scripts\ReplicaCheck.ps1

 

Poniżej wygenerowany i wysłany raport:

DC2-Srv : Replikacja maszyny została wznowiona.

Raport zostanie również zarchiwizowany na dysku w lokalizacji C:\HyperV-Reports\

Powłoka PowerShell, zapewnia szeroki zestaw komend i możliwości, dla każdej z ról, jakie może pełnić Windows Server poprzez importowanie modułów. Umożliwia pisanie skryptów generujących i zestawiających dane, eksport tych danych do różnych formatów plików, tekstowych, excelowych, html i innych. Możliwa jest też wysyłka wiadomości e-mail z wygenerowanymi raportami, co przedstawiono w powyższym artykule. Zapewnia też możliwość przesyłania wyniku z jednej komendy, jako zestawu zmiennych do drugiej komendy, przez co można dokonywać edycji na wielu obiektach, bez konieczności zmieniania wielu rzeczy za pomocą „miliona” kliknięć.

Po zainstalowaniu agenta na hoście zostaje wysłana wiadomość do administratora systemu. Otrzymujemy w niej informacje o tym, że agent działa i jest dostępny w hoście. Należy wtedy przypisać host do odpowiedniej grupy oraz skonfigurować na nim opcje dotyczące konfiguracji i harmonogramu backupu. Zarządzanie Backup Exec.Cloud odbywa się za pomocą webowego panelu administracyjnego z poziomu, z którego mamy możliwość konfiguracji agentów, monitorowania wykonywania kopii zapasowych oraz innych zadań związanym z działaniem systemu backupu. Z panelu administracyjnego możemy zarządzać zadaniami, takimi jak przywrócenie danych czy odzyskanie systemu po krytycznej awarii. Backup Exex.Cloud pozwala na odzyskanie systemów na inny sprzęcie bare matal recowery.

W produktach firmy Microsoft wydawanych od kilku lat, można zauważyć też, że niektórych funkcji nie można już znaleźć w interfejsie graficznym danego produktu, lecz trzeba skonfigurować je przez powłokę PowerShell, a i sam interfejs graficzny jest tylko swego rodzaju nakładką „budującą” i wykonującą zestaw poleceń PowerShell.

Autor: Bartek Kamiński

Źródła:

  1. Opracowanie własne
  2. http://msdn.microsoft.com/pl-pl/library/system.net.mail.aspx
  3. http://technet.microsoft.com/en-us/library/hh848559.aspx

Definicja QoS jest związana z technicznym podejściem do zapewnienia parametrów transmisji danych. Użytkownik korzystający z usługi czy dostawca zapewniający tę usługę mają pewne oczekiwania. W przypadku użytkownika jest najważniejsze uzyskanie jak najlepszej jakości danych usług. W przypadku dostawcy, musi on zapewnić możliwość techniczną realizacji usługi mając na uwadze koszty. W związku z tym QoS dzielimy na trzy kategorie:

  • Perceived QoS – postrzegana jakość usługi,
  • Assessed QoS – oceniana jakość usługi,
  • Intrinsic QoS – wrodzona jakość usługi.

 

Postrzegana jakość usługi i oceniana, dotyczy wrażeń podczas korzystania z niej przez użytkownika. Te dwie kategorie głównie są związane z polityką marketingową dostawcy usługi. Oceniana jakość usługi to głównie opinie innych użytkowników, które również mają na celu poniesienia jakości usług, jeśli opinie nie są dla dostawcy korzystne na forum. Wrodzona jakość usługi związana jest z parametrami technicznymi, parametrami łącza transmisyjnego i z zastosowanymi protokołami, które mają na celu zapewnić jakość usługi.

Intrinsic QoS (wrodzona jakość usługi) posiada następujące właściwości:

  • przepustowość,
  • opóźnienie,
  • fluktuacje opóźnienia,
  • straty pakietów.

 

Do zapewnienia parametrów transmisji niezbędne są pomiary wartości, aby je osiągnąć potrzebna jest metryka pomiarowa. Metryki pomiarowe muszą być ściśle określone, a ich pomiar powinien gwarantować powtarzalność pomiarów w identycznych warunkach sieciowych.

Metryki pomiarowe są określone m.in. przez organizacje IETF (ang. Internet Engineering Task Force) oraz ITU-T (ang. International Telecomunication Union). ITU zajmuje się tworzeniem standardów wysokiej jakości, które obejmują wszystkie dziedziny telekomunikacji. Powstał w 1993 roku. Do ITU-T należą największe polskie firmy m.in. Polkomtel S.A, NASK, Orange (Telekomunikacja Polska).

 

  • Metody pomiarów metryk QoS

 

Klasyfikując metody pomiarowe można podzielić je na metody aktywne i metody pasywne. Ze względu na zarządzanie pomiarami i uzyskiwaniu wyników, można wyróżnić narzędzia, które działają w trybach:

  • Off-line – pomiary w planowanych eksperymentach,
  • On-line – pomiary w działającej sieci.

Powyższe kryteria są od siebie niezależne i metody pomiaru aktywnego lub pasywnego mogą być wykorzystywane przez narzędzia pracujące w trybie off-line i on-line.

  • Metoda aktywna pomiaru –

Metoda aktywnego pomiaru pozwala uzyskać wartości metryk QoS, jeśli wyślemy specjalne pakiety pomiarowe w ramach monitorowanego strumienia ruchu. W metodzie aktywnej pakiet pomiarowy jest przesyłany tą samą drogą, co pakiety użytkownika. Wartości metryk zmierzonych dla ruchu pomiarowego jest przybliżeniem dla wartości metryk dla pakietów użytkowników. Stosując metodę aktywną wprowadza się dodatkowy ruch na pewnym mierzonym odcinku, jednak łatwa implementacja i zarządzanie pomiarami sprawia, że jest to najczęściej stosowana metoda w narzędziach i systemach pomiaru parametrów QoS.

  • Metoda pasywna pomiaru

W tej metodzie rejestruje się pakiety i odpowiadające im znaczniki czasowe w dwóch punktach pomiaru. Zebrane pomiary z dwóch punktów poddaje się analizie. Porównanie znaczników czasowych dla pakietu umożliwia nam na ustalenie czasu przesłania pakietu między dwoma punktami. Metoda pasywna wymaga synchronizacji zegarów w punktach pomiarowych. Różnica między tymi metodami jest taka, że metoda pasywna nie wprowadza dodatkowego ruchu w sieci. Dzięki tej metodzie można w bezpośredni sposób wykonać pomiar jakości przekazu uzyskiwanej przez pakiety użytkowników, ale jest ona trudna w zaimplementowaniu i dodatkowo wymaga rejestracji całego ruchu sieciowego w danych punktach pomiarowych. Przetworzenie wyników uzyskanych z pomiarów jest skomplikowane.

  • Metoda off-line pomiaru

W metodzie off-line wyniki pomiarów są zbierane i przechowywane w bazie danych. Przetwarzanie wyników następuje po ukończeniu pomiarów. Głównie tę metodę wykorzystuje się podczas testów nowych mechanizmów i urządzeń zapewniających parametry QoS w sieciach laboratoryjnych.

  • Metoda on-line pomiaru

W metodzie on-line wykorzystywany jest mechanizm przesuwającego się okna pomiarowego. Gromadzenie wyników z punktów pomiarowych odbywa się określonych odstępach czasu, nie przerywając procesu pomiarowego. Metoda ta pozwala na monitorowanie na bieżąco sieci, otrzymywane są także informacje o aktualnym stanie sieci i jakości przekazu pakietów.

Architektury sieciowe z gwarancją parametrów QoS. Jednym z najważniejszych problemów podczas tworzenia sieci wielousługowych jest stworzenie infrastruktury takiej, która umożliwia efektywne przekazywanie informacji dla różnych klas usług. Klasy różnią się od siebie między innymi rodzajem generowanego ruchu oraz wymaganiami dotyczące jakości przekazu pakietów. W poniższej tabeli (tabela 1) przedstawiono przykładowe wymagania QoS dla wybranych usług transmisji audio, wideo i danych: 
Tabela1

Typ usługi Aplikacja Podstawowe parametry i wartości
Opóźnienie w jedną stronę [ms] Fluktuacja opóźnienia [ms] Utrata informacji[%]
Audio Konwersacja <150 (maksymalnie 400) <1 <3
Wiadomości głosowe <1000 (odtwarzanie)
<2000 (nagrywanie)
<1 <3
Usługi strumieniowe <10000 <<1 <1
Wideo Wideofon <150 (maksymalnie 400) Brak ograniczeń <1
Usługi strumieniowe <10000 Brak ograniczeń <1
Dane Gry interaktywne <200 Brak ograniczeń 0
Telnet <200 Brak ograniczeń 0
E-mail (dostęp do serwera) Pref. <2000 
Akceptów. <4000
Brak ograniczeń 0
E-mail (między serwerami) Do kilkunastu minut Brak ograniczeń 0
Faks <30000/stronę Brak ograniczeń <0.001

 

Podstawowym parametrem jest przepustowość łącza, zaś w przypadku usług realizowanych w czasie rzeczywistym istotne jest również opóźnienie i jego zmienność. W przypadku transmisji danych najistotniejszym parametrem jest utrata informacji, zatem niezbędne jest zastosowanie niezawodnych systemów zapewniających korekcję w przypadku pojawienia się błędów i retransmisję w przypadku utraty części informacji.

W związku z tymi wymaganiami, konieczne stało się opracowanie mechanizmów oraz architektury sieciowej, które pozwalają zagwarantować parametry jakości transmisji danych QoS.

Architektura usług zintegrowanych

Organizacja IETF opracowała w 1994 roku model usług zintegrowanych IntServ (ang. Integrated Services) (rysunek1). Celem stworzenia projektu było zagwarantowanie jakości usług dla sekwencji pakietów pochodzące z jednego źródła i jednego odbiorcy.

W ruterach i innych urządzeniach sieciowych muszą występować mechanizmy sterowania jakością usług, te urządzenia muszą rozpoznawać i obsługiwać protokoły związane z rezerwacją zasobów, dodatkowo aplikacja musi mieć zdolność do określania i przekazywania do sieci wymagań dla jakości usługi.

Rysunek 1

 

W modelu IntServ określamy trzy typy usług zarządzania ruchem sieciowym:

  • Guaranteed Quality of Service – gwarantowana jakość usługi.Guaranteed Quality of Service – gwarantowana jakość usługi.

 

Usługa gwarantowana może być stosowana do obsługi aplikacji wymagających ograniczonego czasu dostarczenia. Dla tego typu aplikacji, dane dostarczane do aplikacji po przekroczeniu predefiniowanej jednostki czasu są bezwartościowe. Dlatego też usługa gwarantowana przeznaczona jest do utrzymania określonej wartości opóźnienia w dostarczaniu pakietów end-to-end (od końca do końca) dla strumienia. Jest to osiągane dzięki sterowaniu opóźnieniami kolejkowania w elementach sieciowych wzdłuż ścieżki strumienia danych. Usługa gwarantowana nie wprowadza jednak ograniczeń w jitterze (czyli czasie pomiędzy kolejnymi przychodzącymi pakietami).

  • Controlled-load Service – usługa zapewnia pewną jakość usługi.

Może być stosowana dla aplikacji adaptacyjnych, które tolerują pewne opóźnienia, ale są wrażliwe na stany przeciążenia ruchem. Tego typu aplikacje działają efektywnie wtedy, gdy sieć jest lekko obciążona, natomiast wydajność maleje drastycznie w stanie mocnego obciążenia sieci. Dlatego też controlled-load service został zaprojektowany do wprowadzenia w przybliżeniu takiej samej usługi jak usługa best-effort w lekko obciążonej sieci, bez względu na aktualny stan sieci. Usługa ta jest opisywana jakościowo jako ta, gdzie brak jest określonych wartości opóźnienia i strat.

  • Best Effort – usługa bez zapewnienia parametrów transmisji.

W tej usłudze, transmisja odbywa się w możliwie najwyższej przepustowości nie gwarantując parametrów przesyłu danych. Best Effort jest standardowym sposobem obsługiwania pakietów w sieci Internet Admission Control (AC) – kontrola dostępu jest niezbędna, aby strumienie miały zagwarantowaną jakość usługi bez negatywnego wpływu na już obsługiwane strumienie. Wywoływana jest przez komunikaty protokołu rezerwacji podczas każdego zgłoszenia nowego strumienia. O wyniku kontroli decyduje udział zasobów w obsłudze bieżących strumieni i obciążeniu sieci.

W architekturze IntServ wymagana jest rezerwacja zasobów, w związku z tym należy zastosować protokół sygnalizacyjny dla zestawienia połączenia w sieci. W tym celu został opracowany protokół Resource Reservation Protocol (RSVP) Przykładowy przepływ wiadomości sygnalizacyjnych w protokole RSVP przedstawia rysunek 2:

Rysunek 2

 

Strona nadawcza żąda rezerwacji zasobów, wysyłając wiadomość typu PATH. Każdy kolejny ruter, który odbiera pakiet PATH, zapamiętuje adres poprzedniego rutera, a w jego miejsce wpisuje swój adres i przesyła pakiet dalej do następnego rutera na ścieżce. Jeśli pakiet dotrze do odbiorcy, to z otrzymanych danych tworzony jest pakiet RESV – żądanie rezerwacji. Jeśli na trasie pakietu PATH występuje łącze, które swoimi parametrami nie spełnia oczekiwań, wyszukiwana jest inna trasa, a jeśli taka nie występuje, wysyłany jest komunikat zwrotny i operacja zostaje anulowana. Żądanie rezerwacji składa się z dwóch obiektów, FlowSpec i FilterSpec zwanych Flow Descriptor – deskryptor przepływu. FlowSpec specyfikuje żądania QoS, natomiast FilterSpec definiuje zbiór pakietów zachowujących się według FlowSpec.

Obiekt FlowSpec składa się z klasy usługi, Rspec – specyfikacji rezerwacji określającej QoS oraz Tspec – opisującej przepływ danych. Pola w deskryptorze przepływu mają następujące zadania:

  • FilterSpec – identyfikacja pakietów należących do pewnego przepływu.
  • FlowSpec:
    • Tspec – algorytm kształtowania przepływu ruchu
    • Rspec – parametry QoS na przykład: pasmo opóźnienia.

 

Router po przyjęciu komunikatu RESV wykorzystuje obiekt FilterSec, aby ustawić parametry klasyfikatora, FolowSpec ustawia parametry w mechanizmie warstwy łącza danych, dalej kieruje pakiet do sąsiedniego rutera, którego adres miał zapisany podczas transmisji pakietu PATH. Rezerwacja zostanie pomyślnie ustawiona, kiedy RESV dotrze do nadawcy pakietu PATH. Po wykonaniu takiej operacji aplikacja ze stacji nadawczej może zacząć transmisję danych. IntServ zapewnia gwarancję jakości parametrów dla połączenia typu point-to-point (punkt-punkt). Na niekorzyść architektury IntServ przemawia to, że każde urządzenie sieciowe w takim połączeniu musi przechować w buforze dane o rezerwacji. Zmniejsza to skalowalność i jednocześnie zwiększa koszty implementacji takiego modelu.

Architektura usług zróżnicowanych (DiffServ) 
W architekturze IntServ pojawił się problem skalowalności, DiffServ [26] pozwala ominąć ten problem. Zakłada ona, że w sieci definiujemy odpowiednie zestawy usług sieciowych, ale jedynie na podstawie mechanizmów priorytetyzowania strumieni w ruterach

Rysunek 3. Usługi zróżnicowane

 

Wyłącznie w ruterach brzegowych odbywa się klasyfikacja usług sieciowych, za pomocą informacji zawartych w polu Traffic Class 8 bitowego nagłówka pakietu IP. 6 najstarszych bitów tego pola zawiera Differentiated Service Code Point (DSCP). Dodatkowo możliwe jest, podobnie jak w RSVP, klasyfikowanie przepływów z dużo większą łatwością używając pola Flow Label w nagłówku IP. Ruter w domenie odczytuje to pole i w pierwszej kolejności obsłuży dany przepływ. Pole to również pozwala na zastosowanie metod QoS dla pakietów IPsec, które do tej pory nie miały możliwości obsługi, bo posiadały szyfrowany nagłówek. Na chwilę obecną korzystanie z pola Flow Label jest ograniczone, sprzęt wykorzystywany w sieciach nie posiada możliwości obsługi tego pola.

Rysunek 4. Architektura DiffServ

 

W architekturze DiffServ zdefiniowano sposób wykorzystania pola DSCP i reguły przekazywania pakietów w ruterze za pomocą Per Hop Behaviours (PHB). W architekturze tej zdefiniowano sposób wykorzystania pola DSCP i określono zestaw reguł przekazywania pakietów w ruterze tzw. PHB (ang. Per Hop Behaviours). Według RFC4594 istnieją podstawowe zasady przekazywania pakietów PHB, które w najprostszym przypadku mogą reprezentować dwa poziomy obsługi pakietów:

  • Expedited Forwarding (EF) – przyśpieszone przekazywanie – określony jest w pojedynczej wartości pola DSCP i wykorzystywany jest do zapewnienia jakości obsługi związanej z parametrami opóźnień. Na wejściu do sieci monitorowany jest ruch; pakiety, które nie spełniają warunków zdefiniowanym w profilu ruchowym strumienia lub grupy strumieni, są usuwane z sieci.
  • Assured Forwarding (AF) – zapewnione przekazywanie – określa cztery klasy i trzy poziomy odrzucania pakietów wewnątrz każdej z klas, (co daje w sumie 12 wartości pola DSCP). Jeśli ruch danego strumienia lub strumieni nie spełnia warunków utworzonych w profilu ruchowym dla danej klasy, to może on być przesłany, jako ruch należący do niższej klasy lub odrzucony.
  • Best Effort (BE) - usługa bez zapewnienia parametrów transmisji i przy najwyższej przepustowości. Zasady PHB w architekturze DiffServ mogą być zaimplementowane za pomocą algorytmu kolejkowania i zarządzania kolejkami. Dodatkowo możemy wyróżnić elementy funkcjonalne w ruterach, które można stosować w zależności od miejsca w sieci, w której ruter się znajduje, umiejscowienia brzegowego lub szkieletowego oraz przyjętej reguły dla obsługi poszczególnych klas ruchu.

 

Zestawienie usług dla architektury DiffServ (tabela 2): 
Tabela2

Klasa PHB Assured Forwarding (AF) Expedited Forwarding (EF) Best Effort (BE)
Opcje 4 klasy priorytetów, każda z 3 podklasami usuwania pakietów Usługa łączy dzierżawionych Brak
Zalecane wartości w polu DSCP   AF1 AF2 AF3 AF4 101110 000000
Niski 010000 011000 100000 101000
Średni 010010 011010 100010 101010
Wysoki 010100 011100 100100 101100
Kontrola Ruchu Statyczne SLA, kontrola, klasyfikacja, oznaczanie według algorytmów RIO/WRED Dynamiczne SLA, kontrola, klasyfikacja, oznaczanie według algorytmu WFQ Kolejka FIFO
Ruch niespełniający kontraktu SLA Oznacz, jako Best Effort Usuń Prześlij dalej

 

Pakiety mogą zostać przydzielone do odpowiedniej klasy usług względem kryteriów:

  • adresu IP, źródła lub celu,
  • numeru portu TCP/UDP,
  • interfejsu,
  • adresu MAC.

 

Sieciowe urządzenia posiadające zaawansowane opcje umożliwiają również klasyfikację pakietów na podstawie warstwy aplikacji, w której rozpoznawany jest rodzaj aplikacji. Niezbędnym elementem funkcjonalnym w sieciach DiffServ jest Bandwidth Broker (broker pasma), który steruje domeną DiffServ i umożliwia świadczenie usług z ustalonym QoS przy maksymalnym wykorzystaniu zasobów sieci. Zadaniami brokera są:

  • Measurement–Based Admission Control, zapobieganie nadmiernej ilości ruchu i zabezpieczenie przed osłabieniem już obsługiwanych strumieni,
  • spójna konfiguracja ruterów brzegowych i rdzeniowych w jednej domenie, która polega na przesyłaniu parametrów koniecznych do realizacji PHB,
  • taryfikowanie, jeśli na przykład operator inaczej taryfikuje usługi różnych klas QoS,
  • utrzymanie, polega na zbieraniu statystyki o ruchu sieciowym bądź informacji o błędnym działaniu sieci, dzięki, której możemy rekonfigurować sieć lub optymalnie rozbudować infrastrukturę operatorską,
  • komunikacja z domenami sąsiednimi w celu przekierowania strumienia zagregowanego dla danej klasy w kierunku domeny, w której klientem jest odbiorca,
  • Spójne konfigurowanie ruterów w domenie, polegające na przesłaniu wag w algorytmie WFQ dla urządzeń, jak również prawdopodobieństwa odrzucenia pakietów dla mechanizmu RED.

Zasadniczą różnicą między dwoma architekturami IntServ i DiffServ [1] jest to, że IntServ jest wykorzystywane do połączenia point-to-point na podstawie danych pojedynczego przepływu. DiffServ dostarcza znacznie większą skalowalność poprzez agregację przepływów i zróżnicowanie klas. W DiffServ nie są zapewnione statycznie parametry transmisji, co wiąże się z jak najlepszym wykorzystaniem zasobów. Poniższa tabela 3 przedstawia różnice między dwoma architekturami, IntServ i DiffServ:


Tabela3

IntServ DiffServ
Wymagania QoS są sprecyzowane Pewna nieprzewidywalność poziomu QoS, Niewielka ilość klas ruchu o różnym priorytecie
Możliwość reagowania na chwilowe zmiany topologii przez konieczność odświeżania rezerwacji, informowanie o odrzuceniu pakietów (RSVP) Brak możliwości sterowania ruchem na poziomie strumieni
Ilość przechowywanych i przetwarzanych informacji proporcjonalna do liczby strumieni Ilość przechowywanych informacji proporcjonalna do liczby klas ruchu (PHB)
Brak odpowiednika ścieżki wirtualnej – utrudnienie przyjmowania zgłoszeń i zarządzanie strumieniami IP Możliwość tworzenia ścieżek wirtualnych
Wszystkie węzły mają taką samą budowę Proste routery brzegowe (klasyfikacja wg DSCP) a funkcje obsługi pakietów tylko na brzegach sieci
QoS określone bezpośrednio dla odpowiednich usług Stosunkowo niewielki zestaw PHB określonych jakościowo
Duże opóźnienia przy tworzeniu rezerwacji end-to-end Brak rezerwacji

 

Możliwe jest łączenie architektury IntServ i DiffServ w sieciach WAN. W takiej sytuacji architektura DiffServ może spełniać zadanie sieci szkieletowej, a IntServ w takim przypadku będzie siecią dostępową, tak jak to widać na poniższym rysunku 5:

Rysunek 5. Połączenie architektury IntServ i DiffServ

 

Metody gwarantowania parametrów transmisji w sieciach IP. W Internecie domyślnie stosuje się metodę best-effort, czyli każdy pakiet obsługuje się w najlepszy możliwy sposób nie stosując priorytetów. Pakiety kolejkują się zgodnie z zasadą FIFO (First In Firs Out). Stosując FIFO może dojść do zatorów, w związku z tym jakość obsługi pakietu jest na niskim poziomie. Stosując QoS można użyć jeden z dwóch rodzajów sterowania ruchem:

  • sterowanie przepływem,
  • przeciwdziałanie przeciążeniom.

Sterowanie przepływem i przeciwdziałanie przeciążeniom są stosowane, jako wzajemnie się uzupełniające. Sterowanie przepływem ma na celu dopasowanie szybkości nadawania pakietów do możliwości ich obsługi. Drugi rodzaj sterowania, przeciwdziałanie przeciążeniom, ma na celu zabezpieczenie sieci przed nadmiernym ruchem, który mógłby spowodować degradacje jakości usług. Gwarantowanie parametrów jakości transmisji można podzielić również na klasowe i bezklasowe. W podejściu klasowym ruch jest klasyfikowany i dzielony na klasy, które mają określoną przepustowość. Dodatkowo w modelu klasowym można wykorzystać metody bezklasowe. W podejściu bezklasowym klasyfikowanie pakietów nie występuje, mechanizmy występujące w tej metodzie są mniej złożone i łatwiejsze w implementacji.

Priority Queueing jako jedno z rozwiązań problemu opóźnień w technologii VoIP

Rysunek 6. Schemat Priority Queueig

 

PQ, czyli Priority Queueing (kolejki z priorytetami) używa czterech kolejek i klasyfikowania ruchu do jednej z nich. Kolejki te nazywają się od posiadającej największy priorytet high, przez medium, normal do low. Cechą charakterystyczną PQ jest fakt, że dopóki jakiekolwiek pakiety znajdują się w kolejce o wyższym priorytecie, ruter nie wyśle pakietów oczekujących w kolejkach o priorytecie niższym. Łatwo doprowadzić w ten sposób do "umierania" transmisji, klasyfikowanych do kolejek o niższych priorytetach. Aby dodać priorytety odpowiednim protokołom w skonfigurowanych ruterach w sieci prywatnej (VPN) należy:
R1:
access-list 100 deny tcp any any eq ftp
access-list 100 deny tcp any eq ftp-data any
access-list 100 permit tcp 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
priority-list 10 protocol ip high udp 53
! R2: access-list 100 deny tcp any any eq ftp
access-list 100 deny tcp any eq ftp-data any
access-list 100 permit tcp 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
priority-list 10 protocol ip high udp 53
!

Dzięki takiemu ustaleniu priorytetu przesyłanie danych protokołu UDP ma w sieci najwyższy priorytet i dane są przesyłane w pierwszej kolejności. Przekłada się to na wydajność sieci. Przesyłane dane, które nie zawierają się w liście priorytetu, są kolejkowane dopóki najwyższy priorytet przesyła dane, co może być również szkodliwe dla sieci. Pakiety, które mają niższy priorytet są kolejkowane i dopóki przesyłane są dane o najwyższym priorytecie pozostałe czekają, w rezultacie mogą one wymierać i może nastąpić utrata przesyłanych danych. 
Kolejnym rozwiązaniem jest CQ, czyli Custom Queueing (kolejkowanie konfigurowalne) jest mechanizmem podobnym do PQ, ale możemy po pierwsze używać do 16 kolejek, a po drugie opróżniane one są na zasadzie round-robin: najpierw X bajtów z kolejki pierwszej, później Y bajtów z kolejki drugiej i tak dla wszystkich kolejek i od początku. Taka konstrukcja zapobiega wymieraniu potoków mniej uprzywilejowanych. 
Najlepszym rozwiązaniem priorytetyzacji jest algorytm CBWFQ, czyli Class-Based WFQ (WFQ oparte o klasy). Jest potężnym mechanizmem, umożliwiającym łączenie wielu różnych innych mechanizmów w jedną całość na interfejsie rutera. Aby wykorzystać CBWFQ, należy najpierw wskazać, czyli inaczej sklasyfikować ruch, który będzie traktowany w różny sposób - innymi słowy, podzielić go na klasy. Cisco IOS daje wiele metod klasyfikacji - możemy wskazywać ogólnie protokoły (np. IP, EIGRP, ESP), dowolny ruch pasujący do jakiegoś rodzaju ACLek (np. tylko ruch do konkretnego hosta w porcie 80 tcp itp.), a także z wykorzystaniem mechanizmu NBAR, zagłębiać się w konstrukcję pakietu i np. wykrywać sieci P2P.

Artykuł opracował Paweł Jaroszewicz,

Źródła:

  1. Opracowanie własne

W ostatnim czasie zauważalna stała się intensywna rozbudowa centrów obliczeniowych w chmurze. Obserwujemy tutaj zarówno wzrost ilości oferowanych usług w chmurze, jak i ilość przechowywanych w niej danych.

Symantec jest firmą oferującą usługę Software as Service w chmurze - Backup Exec.Cloud. Backup Exec.Cloud pozwala stworzyć rozwiązanie dopasowane do indywidualnych potrzeb klienta, które umożliwia wykonywanie backupu. Backup jest to proces strategicznego i metodycznego kopiowania danych, umożliwiający w końcowym rozrachunku na skuteczne ich odzyskanie. W celu opracowania skutecznej procedury kopii zapasowej, należy uwzględnić kilka czynników, takich jak:

  • ciągłość dostępności danych;
  • redukcja kosztów przechowywania danych;
  • efektywność wykonywania kopii bezpieczeństwa.

 

Kwestia bezpieczeństwa danych, jak i ich ochrony przed utratą, jest kluczowa dla funkcjonowania organizacji, ze względu na możliwe straty finansowe związane z przerwą w pracy firmy. Dlatego też tak istotne staje się posiadanie kopii oraz możliwość jej skutecznego odzyskania tak, aby zapewnić dzienną ciągłość pracy środowiska. Opracowując strategie procesu backupu, należy uwzględnić czas, pieniądze i ewentualne ryzyko utraty danych na skutek nieprzewidzianych sytuacji losowych. Rozwiązanie proponowane przez Symantec - Backup Exec.Cloud umożliwia przechowywanie danych bezpiecznie na zewnątrz organizacji w chmurze, dzięki czemu nie wymaga kosztów związanych z zakupem sprzętu i nośników do przechowywania danych. Zniwelowane jest tutaj również ryzyko utraty posiadanych kopii, a co za tym idzie możliwości odzyskania danych. Dane przesyłane w sieci są szyfrowane, co uniemożliwia ich przechwycenie podczas transmisji i wykradnięcia danych. W konfiguracji wybieramy sposób wysyłania danych do chmury, bezpośrednio lub za pośrednictwem lokalnego serwera proxy.

 

cloud

 

Instalacja agentów Backup Exec.Cloud na klienckich systemach operacyjnych jest intuicyjna i możemy korzystać tutaj z gotowych rozwiązań przygotowanych przez Symantec. W pierwszej kolejności należy przygotować pliki instalacyjne agenta, zawierające wszystkie informacje konfiguracyjne, potrzebne do połączenia hosta z chmurą. Producent przygotował nam kilka możliwości automatyzacji instalacji Backup Exec.Cloud. Jedną z opcji jest przygotowanie paczki instalacyjnej w formie pliku wykonywalnego exe oraz użycie skryptów wiersza poleceń. Druga możliwość to stworzenie pliku instalatora Windows - msi, a następnie korzystając z zasad zarządzania grup, możemy rozdystrybuować instalacje agentów na hosty. Inną opcją jest przygotowanie paczki instalacyjnej w panelu administracyjnym i wysłanie jej pocztą lub pobranie bezpośrednio z panelu na komputer kliencki. Backup Exec.Cloud wspiera takie systemy operacyjne klienckie jak: 32 i 64 bitowe Windows XP, Vista, 7 i 8 oraz serwerowe Serwer 2003, 2008 i 2012.

Przygotowanie paczki instalacyjnej agenta na lokalnym komputerze odbywa się za pomocą zautomatyzowanego procesu, polegającego na przejściu kilku kroków, w których konieczne jest zaznaczenie interesujących nas opcji – np. wskazanie lokalizacji zapisu plików wyjściowych oraz wybór sposobu rozpropagowania agenta w środowisku. Wszystkie parametry konfiguracyjne zaszyte będą w plikach wyjściowych.

 

cloud

 

Po zainstalowaniu agenta na hoście zostaje wysłana wiadomość do administratora systemu. Otrzymujemy w niej informacje o tym, że agent działa i jest dostępny w hoście. Należy wtedy przypisać host do odpowiedniej grupy oraz skonfigurować na nim opcje dotyczące konfiguracji i harmonogramu backupu. Zarządzanie Backup Exec.Cloud odbywa się za pomocą webowego panelu administracyjnego z poziomu, z którego mamy możliwość konfiguracji agentów, monitorowania wykonywania kopii zapasowych oraz innych zadań związanym z działaniem systemu backupu. Z panelu administracyjnego możemy zarządzać zadaniami, takimi jak przywrócenie danych czy odzyskanie systemu po krytycznej awarii. Backup Exex.Cloud pozwala na odzyskanie systemów na inny sprzęcie bare matal recowery.

 

Kopie zapasowe

 

Backup Exec.Cloud jest rozwiązaniem, którego wdrożenie powinna rozważyć każda organizacja, która nie chce ponosić nadmiernych kosztów inwestycyjnych w licencje i sprzęt, a jej polityka zezwala na przechowywanie danych w chmurze. Uwalnia ono od kosztów związanych z zabezpieczeniem kopii przed ich utraceniem na skutek nieszczęśliwych wypadków. Może być również uzupełnieniem dla organizacji, które chcą zapewnić bezpieczeństwo pracowników, którzy pracują poza siedzibą firmy, a mają dostęp do łączy internetowych, umożliwiających połączenie się z chmurą i wykonanie backupu.

Autor: Przemysław Łopaciński

Źródła:

  1. Opracowanie własne
  2. Symantec.com

Do jednych z codziennych obowiązków administracyjnych należy przeglądanie statusów wykonywania nocnych kopii zapasowych. Dla 90% ogółu społeczeństwa pierwszą czynnością wykonywaną zaraz po uruchomieniu komputera w pracy jest uruchomienie klienta pocztowego i sprawdzenie poczty. Dla ułatwienia i uniknięcia błędu ludzkiego (zapomnienia o sprawdzeniu), warto zautomatyzować tą czynność. Raport wówczas przyjdzie rano pocztą elektroniczną, przed rozpoczęciem pracy.

W artykule opisany został przykład wysyłania raportów wiadomością e-mail z wykorzystaniem System.Net.Mail (http://msdn.microsoft.com/pl-pl/library/system.net.mail.aspx ) i oprogramowania do wykonywania kopii bezpieczeństwa System Center - Data Protection Manager 2012 (http://www.microsoft.com/pl-pl/server-cloud/system-center/data-protection-manager.aspx )

Zawartość skryptu generującego plik z raportem oraz wysyłka wiadomości e-mail:

 

raportowanie

 

  1. Do uruchamiania skryptów powershell z plików należy zmienić ExecutionPolicy poleceniem: Set-ExecutionPolicy –unrestricted(http://technet.microsoft.com/pl-PL/library/dd347628.aspx)
  2. Skrypt należy dodać do zaplanowanych zadań:raportowanie
  3. Należy utworzyć zadanie uruchamiane z najwyższymi uprawnieniami:raportowanie
  4. Dodanie akcji do zaplanowanego zadania raportowanie Należy uruchomić PowerShell z wykonaniem skryptu: 
    C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -noninteractive -nologo 
    C:\Scripts\BackupCheck.ps1

 

Poniżej wygenerowany i wysłany raport:

StartTime

EndTime

Status

ProtectionGroupName

DataSources

2013-06-19 03:00:01

2013-06-19 03:26:10

Succeeded

Linux - Virtual Server

\Backup Using Saved State\Linux

2013-06-19 00:00:01

2013-06-19 00:02:14

Succeeded

FSSrv- Shared Folders

D:\

2013-06-16 01:00:01

2013-06-16 01:42:45

Succeeded

SQLSrv - Virtual Server

\Backup Using Child Partition Snapshot\SQLSrv

2013-06-19 00:30:00

2013-06-19 00:58:06

Succeeded

DC1Srv - Virtual Server

\Backup Using Child Partition Snapshot\DC1Srv

2013-06-17 09:02:45

2013-06-17 10:19:59

Succeeded

ExchSrv - Virtual Server

\Backup Using Child Partition Snapshot\ExchSrv

2013-06-19 05:00:00

2013-06-19 05:11:06

Succeeded

ExchSrv - Exchange Databases

Mailbox Database 2, Public Folders Databese, Mailbox Database 1

2013-06-19 01:30:01

2013-06-19 01:47:41

Succeeded

DC2Srv - Virtual Server

\Backup Using Child Partition Snapshot\DC2Srv

2013-06-19 00:00:01

2013-06-19 00:00:25

Succeeded

SQLSrv - MS SQL 2012 + C_Drive

C:\

Raport zostanie również zarchiwizowany na dysku w lokalizacji C:\DPM_Reports\

Artykuł opracował Bartek Kamiński,

Źródła:

  1. Opracowanie własne
  2. http://msdn.microsoft.com/pl-pl/library/system.net.mail.aspx
  3. http://technet.microsoft.com/en-us/library/hh881679%28v=sc.10%29.aspx

Narzędzia do inwentaryzacji sprzętu i oprogramowania Open Computer and Software Inventory Next Generation – OCS zostały zaprojektowany do pomocy administratorom sieci lub systemów. Służą one do monitorowania komputerów i oprogramowania na nich zainstalowanego. Zastosowanie narzędzia do inwentaryzacji OCS w sieci z domeną Windows pozwala na otrzymywanie wielu informacji niezbędnych do zachowania przejrzystości zasobów komputerowych. OCS pozwala zebrać informacje dotyczące:

  • Typu Maszyny – Fizyczna / Wirtualna.
  • Dyskach i partycjach,
  • Działających systemach operacyjnych,
  • Zainstalowanego oprogramowania,
  • Opisu urządzenia tj: producenta, numeru seryjnego

Instrukcja instalacji agenta OCS na komputerach Windows w środowisku domenowym przy pomocy narzędzi zasadami zarządzania grupy - group policy object (GPO):

Opis sposobu wprowadzenia OCS przy pomocy GPO.

  1. Przygotowujemy specjalna paczkę z certyfikatem SSL -
  2. Uruchamiamy OcsPackager.exe wersja 1.0.3.
  3. W Exe file wskazujemy plik z najnowszą wersją OCS-NG-Windows-Agent-Setup.exe wersja 2.0.5.
  4. Następnie do paczki wgrywamy nasz certyfikat. cert.pem
  5. Command line options: /s /now /no_systray /nosplash /proxy_type=0 /server=https://www.nazwa-naszego-serwera.net/ocsinventory/ /ssl=1 /ca=cert.pem /tag=Nazwa_Firmy
  6. Zatwierdzamy “Next” i wskazujemy, gdzie zapiszemy gotowy plik ocspackage.exe
  7. Następnie przechodzimy do głównego kontrolera domeny i wybieramy Zarządzanie Zasadami Grupami – Local Security Policy.
  8. Ustawiamy się pod jednostką organizacyjną, w której znajdują się wszystkie stacje robocze. PPM i wybieramy „utwórz nową polisę i podłącz ją tu” (“Create a GPO in this domain, and Link it Here”). Możemy nazwać nową polisę OCS. 
  9. Przechodzimy do jej edycji „Edit” i wybieramy Computer Configuration - > Polices - > Windows Seetings – > Scripts – Startup.
  10. Następnie kopiujemy utworzoną przez nas paczkę do polisy „Add” i wklejamy plik ocspackage.exe. Zatwierdzamy „Apply”.
  11. Dla nowej polisy wybieramy w Security Filtering: Domain Computers i Domain Users.

Po wprowadzonej zasadzie zarządzania grupo (GPO) dotyczącej instalacji paczki agenta OCS na komputerach w domenie, będziemy otrzymywać regularnie informacje, dotyczące wszystkich komputerów znajdujących się w domenie Windows. Nowa polisa pozwala również przeprowadzić aktualizacje już zainstalowanych poprzednich agentów OCS.

Artykuł opracował Przemysław Łopaciński z firmy Support Online Sp. z o.o.

Źródła:

  1. Opracowanie własne

Powłoka Windows PowerShell oferuje ponad 130 standardowych narzędzi wiersza polecenia, jest to język skryptów ukierunkowany na administrację oraz spójną składnię i narzędzia. Powłoka Windows PowerShell przyspiesza automatyzację zadań administrowania systemem, jak usługi Active Directory, serwer terminali i internetowe usługi informacyjne (IIS) 7.0. Zwiększa również zdolność organizacji do pokonywania problemów z zarządzaniem systemami specyficznych dla danego środowiska.

W tym artykule przedstawiono jak można wykorzystać PowerShell do stworzenia dowolnej liczy użytkowników a także ich usunięcie w Active Directory.

Aby stworzyć użytkownika należy:

 

  1. Zastosować odpowiedniego dostawcę do sieci
  2. Połączyć się z kontenerem dla użytkowników
  3. Ustalić domenę
  4. Ustalić dla obiektu klasę User
  5. Powiązać z Active Directory
  6. Utworzyć użytkownika za pomocą metody Create
  7. Podać przynajmniej jeden atrybut sAMAccountName w metodzie Put
  8. Zastosować SetInfo() wpisując tym samym użytkownika do Active Directory.

 

Po wykonaniu poniższego skryptu stworzy się zgodnie ze wskazanym miejscem 10 nowych użytkowników: 

$aryText = Get-Content -Path "c:\dane.txt"
$strCLass = "User"
$intUsers = 10
$strName = "cn=Użytkownik"
$objADSI = [ADSI]"LDAP://ou=MojTestOU,dc=northwood,dc=com" 
for ($i=1; $i -le $intUsers; $i++)
{
$objUser = $objADSI.create($strCLass, $StrName+$i)
$objUser.put(”userAccountControl”, 544)
$objUser.Put("description" , "Prosty użytkownik $i")
$objUser.setInfo()
$objUser.put("streetAddress", $aryText[0])
$objUser.put("postOfficeBox", $aryText[1])
$objUser.put("l", $aryText[2])
$objUser.put("st", $aryText[3])
$objUser.put("postalCode" , $aryText[4])
$objUser.put("c", $aryText[5])
$objUser.put("co", $aryText[6])
$objUser.put("countryCode", $aryText[7])
$objUser.SetInfo()
$objUser.put("profilePath", $aryText[8])
$objUser.put("scriptPath", $aryText[9])
$objUser.put("homeDirectory", $aryText[10])
$objUser.put("homeDrive", $aryText[11])
$objUser.setInfo()
}

Wynik wygląda następująco: 

Windows PowerShell. Wykorzystanie w Active Directory.

Dodatkowa linią w kodzie: $objUser.put(”userAccountControl”, 544), ma za zadanie zaraz po utworzeniu nowego użytkownika ustawić go na aktywny, gdyż domyślnie tworzone konto bez tego fragmentu kodu, będzie kontem wyłączonym.

Fragment kodu z powyższego skryptu:
$aryText = Get-Content -Path "c:\dane.txt"
…………………………………
$objUser.put("streetAddress", $aryText[0])
$objUser.put("postOfficeBox", $aryText[1])
$objUser.put("l", $aryText[2])
$objUser.put("st", $aryText[3])
$objUser.put("postalCode" , $aryText[4])
$objUser.put("c", $aryText[5])
$objUser.put("co", $aryText[6])
$objUser.put("countryCode", $aryText[7])
$objUser.SetInfo()
$objUser.put("profilePath", $aryText[8])
$objUser.put("scriptPath", $aryText[9])
$objUser.put("homeDirectory", $aryText[10])
$objUser.put("homeDrive", $aryText[11])

ma za zadanie wczytanie danych z zewnętrznego pliku tekstowego dane.txt. W pliku tekstowym każda linia odpowiada jej właściwości w Active Directory. Jeśli podamy każdą wartość w nowej linii możemy w prosty sposób wprowadzić każdą zmienną do określonego pola. Ilość użytkowników jaką można stworzyć zależy wyłącznie od tego jaką wartość nadamy zmiennej $intUsers. W tym przypadku jest to wartość 10, co oznacza, że zostało utworzonych dziesięciu użytkowników. Nie mniej jednak, nic nie stoi na przeszkodzie, żeby była to liczba np. 120.

Efektem wczytywania danych z pliku tekstowego dane.txt są wypełnione następujące pola:

Windows PowerShell. Wykorzystanie w Active Directory.

 


Usuwanie wielu użytkowników:

$strCLass = "User"
$intUsers = 10
$strName = "cn=Użytkownik"
$objADSI = [ADSI]"LDAP://ou=MojTestOU,dc=northwood,dc=com" 
for ($i=1; $i -le $intUsers; $i++)
{
$objUser = $objADSI.delete($strCLass, $StrName+$i)
}

Powyższy skrypt usuwa określoną w liczbie powtórzeń pętli użytkowników o nazwie Użytkownik. Nie stosując pętli można w ten sposób usuwać pojedyncze konta użytkowników, komputerów.


Podsumowanie

Powłoka Windows PowerShell ma szerokie zastosowanie, nie tylko przy tworzeniu użytkowników, ale praktycznie w każdym działaniu administratora sieci. Można między innymi wykorzystać ją do czyszczenia co pewien czas dziennika zdarzeń w Windows Exchange 2010 oraz do wszystkiego co można wykonać za pomocą graficznego interfejsu użytkownika (GUI). Używając konsoli cmdlet w Power Shell można również tworzyć obiekty, np. plik tekstowy z pewną zawartością lub pliki pakietu MS Office.

Artykuł opracował Paweł Jaroszewicz z firmy Support Online Sp. z o.o.

Źródła:

  1. Opracowanie własne

Popularne