January 19th, 2011

Ruch sieciowy prawdę Ci powie

Dzisiaj będzie technicznie, chociaż co niezbyt często się zdarza będę podrzucał wiadomości, które ktoś opublikował a dokładnie joe (który zresztą powtórzył po setspn).

Zazwyczaj do złapania ruchu sieciowego używam WireShark lub Network Monitor. Zaletą jest to że są to narzędzia do tego stworzone, mają fajne opcje i definicje protokołów. Czasami jednak potrzeba na szybko złapac jakiś ruch sieciowy a instalacja oprogramowania może nie być dozwolona. Lub poprosić klienta o zrzut sieci z jego środowiska. Co wtedy ?

Już jakiś czas temu na MTS pokazywałem że Event Tracing for Windows można użyć do przechwycenia ruchu LDAP, wydaje mi się że również podczas którejś z prezentacji mówiłem że można EWT użyć również do śledzenia ruchu sieciowego jako takiego. Jakoś umknęło mi, że opcja ta jest dostępna w NETSH. Po prostu:

netsh trace start capture=yes

A następnie

netsh trace stop

I dostajemy plik ETL który możemy otworzyć w Network Monitor i przeglądać już na swojej stacji roboczej. Chociażby żeby zobaczyć jak wygląda ruch do forum WSS.PL (pełny obrazek po kliknięciu):

Szerszy opis możliwości EWT w tym zakresie na blogu netmon.

To jeżeli chodzi o system operacyjny. Drugim pożytecznym narzędziem związanym ze śledzeniem ruchu sieciowego jest Fiddler, czyli narzędzie do śledzenia ruchu HTTP. Używaliśmy go chociażby z Paula w trakcie dem na TEchED. Narzędzie sprytne, lubiane i pożyteczne. Okazuje się,  że podobna funkcjonalność trafiła do IE9.  Wybieramy:

F12 –> Network –> Start capturing

I już mamy dostęp do zrzutu ruchu HTTP (pełny obrazek po kliknięciu):

Oczywiście Fieddler pozwala na przechwytywanie ruchu w różnych przeglądarkach i kilka innych pożytecznych opcji, ale jeżeli chodzi o szybkie przechwycenie ruchu w celach diagnostycznych to możliwość zrobienia tego z przeglądarki jest pożyteczną opcją.

No to by było na tyle na dzisiaj.

January 4th, 2011

Historia lubi się powtarzać

Tak mówią przynajmniej. Chociaż to może tylko przysłowie. Kto wie …

Ponad 6 lat temu zdecydowałem się rozpocząć przygodę z Microsoft jako pracownik, wstępując w szeregi Microsoft Consulting Services w Polsce. I to była dobra decyzja. Wiązały się z nią pewne zmiany, w tym co robiłem, w tym jak to robiłem. Zmiana dotyczyła również mojego statusu MVP, który wtedy posiadałem. Bywa

Przygoda z MCS skończyła się dla mnie kilka miesięcy temu. Kolejny czas na zmianę.
I właśnie teraz historia zatoczyła pełne kółko, i Microsoft postanowił ponownie przyznać mi nagrodę Most Valuable Professional (MVP), tym razem w kategorii Enterprise Security (hmm … ).

Nie powiem, miło. Tym którzy zgłosili moją kandydaturę (a tacy musieli być, ponieważ tak działa program) dziekuję. Teraz trzeba zapracować na jej ewentualne przedłużenie w roku przyszłym. Praca w społeczności to nie bułka z masłem. Tak mówią przynajmniej. Chociaż to może tylko przysłowie. Kto wie …

P.S. Zwlekałem z tym ogłoszeniem kilka dni względem pozostałych nowych MVP, ponieważ wyjaśniały sie małe rzeczy formalne. Ale to tyko drobiazgi więc już wyjaśnione.

December 7th, 2010

Coś przecieka

Off-topicznie od technologii będzie, więc jeżeli ktoś nie chce to niech nie czyta.

Ostatnio obserwuję sobie to co się dzieje dookoła Wiki leaks, i to niekoniecznie to co się dzieje dookoła opublikowanych przez ten portal dokumentów (w zasadzie o nich nikt już za bardzo nie rozmawia więc widocznie aż tak porażające nie były). Bardziej chodzi mi o to, jak w ciągu kilku dni w zasadzie usunięto z sieci serwis, który hostowany był na komercyjnych zasadach (Amazon) oraz jak odcięto go od usług przez jego twórców używanych (PayPal, DNS). I to jak wszyscy przechodzą nad tym do porządku dziennego.

(cc) Kristin Brenemen

Szczerze – nie jestem w stanie i nawet nie próbuje oceniać tego, czy opublikowanie tych dokumentów było słuszne, czy nie. Według mnie, a przynajmniej z tego co do mnie dotarło ponieważ sam się w nie nie wczytywałem, nic wielkiego się nie stało czy też się nie stanie. Wojny nie zakończyły się jak i nie wybuchły, rządy nie upadły. Kryzys się nie skończył. Mogłem jednak coś pominąć ze względu na to, że unikam wiadomości lub po prostu brak mi wiedzy, żeby wpływ takowych publikacji ocenić. Jasne jest jednak, że publikacje te nastąpiły na ucho słoniowi jakiemuś, przynajmniej ambicjonalnie.

To co jednak obserwuje w ciągu ostatniego tygodnia to:

  • Dostawcę platformy Amazon, który zamyka usługę powołując się na złamanie regulaminu tejże
  • Dostawcę usługi DNS, który zamyka usługę ponieważ obciąża ona ich serwery (planujesz usługę, która może odnieść sukces – weź to pod uwagę)
  • PayPal, który jak Amazon zasłania się regulaminem.
  • Ze świata już mniej on-line, pocztę w Szwajcarii, która nagle dowiedziała się, że rzeczony człowiek w Genewie nie mieszka, więc skłamał (ciekawe ilu jeszcze klientom z tego powodu usługa została dzisiaj wypowiedziana).

Uaktualnienie (apdejtem zwane): Ziemek podesłał w komentarzach ciekawy wpis Vagli w temacie. Pomyślałem że zamieszczę tutaj, żeby czytelnik nie czytający komentarzy miał też szansę na niego trafić.

Uaktuanielnie #2 (apdejtem również zwane): To jeżeli ktoś nadal uważał, że te decyzje były podyktowane tylko regulaminami i troską o usługę, to PayPal właśnie sam rozwiał tego typu wątpliwości.

Od strony politycznej abstrahuję jak napisałem. Nie moje podwórko i nie moje zabawki. Inni bawią się w nie lepiej. Od strony sieci i usług widzę za to scenariusz próby usunięcia z sieci (w praktyce portal nadal jest dostępny) serwisu, który z jakiegoś powodu stał się mało wygodny. I to przy stosunkowo niskim poziomie komentarzy i opinii z tym związanych. OK – a gdyby wyłączyli FB??? Może to nie jest najlepszy przykład … ale gdyby rząd nawet w kraju nad Wisłą tylko wyłączył hosting jakiejś gazecie? Nierealne? Ej …właśnie to się stało na naszych oczach. I tak pomyślałem że o tym napiszę. W końcu to mój kawałek sieci.

Żeby jednak nie było całkiem tak od technologii i zagadnień z nią związanych oderwane to mały wtręt.

Ostatnio dużo się mówi o chmurze i o tym jakie są jej zalety itp. I nawet nie będę zaprzeczał, że ich nie ma – wszystko zależy od potrzeb i modelu. Jeżeli jednak ktoś chciał pokazać, że nasza aplikacja hostowana u dostawcy platformy może zniknąć z niej decyzją administracyjną (tak ją nazwijmy i nie wchodźmy w dalsze roztrząsania bo to i tak nic nie da) z  dnia na dzień, to w przypadku Amazon i Wiki leaks udało się to zademonstrować dobitnie. Jak widać Amazon miał ważniejsze cele biznesowe niż budowanie zaufania u swoich klientów (napewno zbudował zaufanie u dużego klienta z rozszerzeniem gov).

Najwyraźniej w sieci nam coś przecieka. I niekoniecznie jest to WikiLeaks.

P.S. Na okoliczność napisania tego wpisu stworzyłem nową kategorię – Opinie. Osoby nie zainteresowane takowymi mogą śmiało wpisy nim oznaczone ignorować.

November 13th, 2010

Przed w trakcie i już po–TechED

Ano właśnie. To co ostatnio zajmowało mi dużo czasu, a fizycznie przez ostatni tydzień z zajmowało mnie na 100% TechED Europe w Berlinie. Zajęcie to wynikało z faktu, że przez ostatnie tygodnie pracowaliśmy razem z Paulą Januszkiewicz nad sesją na TechED, którą mieliśmy okazję poprowadzić. Wynik możecie ocenić sami (obrazek jest podlinkowany).

Dla mnie to było interesujące doświadczenie, z przesłuchania samej sesji i komentarzy, które już dostaliśmy wyciągnąłem kilka wniosków dla siebie :). Ze swojej strony jestem zadowolony – kolejne doświadczenie za nami ;).

Co do samego TechED – jeżeli ktoś oczekuje relacji to niestety się zawiedzie. Dla mnie TechED to w większości czasu okazja do odświeżenia i nawiązania kontaktów z ludźmi z całego świata. I z tej perespektywy ten tydzień był bardzo udany. Z drugiej strony, oznacza to że nie uczestniczyłem w zbyt wielu zajęciach sesyjnych. Cóż … nadrobię on-line. Te, w których udało mi się uczestniczyć nasunęły mi kilka pomysłów na wpisy tutaj więc pewnie będę do nich wracał.

Jedno jest pewne …było dużo chmury. Druga rzecz, którą zaobserwowałem to duży push w kierunku federacji tożsamości, w różnych usługach, i to nie tylko w oparciu o rozwiązania Microsoft. Tak więc staj tjuned.

P.S. Specjalnie dla Roberta (Noise). Tak, przepraszam, znowu było o federacji.

November 8th, 2010

To po co nam ten DC, odsłona druga.

Poprzedni wpis był poniekąd teoretyczny i ten też taki trochę będzie. A i temat będzie taki, który już kiedyś poruszałem. Co ja poradzę, że pytania w temacie przychodzą 
i  przychodzą. Temat dzisiejszego odcinka – po co komu dodatkowy kontroler domeny? Dzisiaj może  w trochę innym ujęciu – jak przekonać kogoś, że takowy jest nam
w firmie potrzebny.

Pytanie ze swej natury padać będzie raczej w środowiskach małych lub średnich. Przy większych środowiskach kwestia ta raczej nie podlega dyskusji lub też łatwo wykazać, że takowe rozwiązanie jest nam potrzebne i przydatne, a przy tym wcale nie takie kosztowne.

Zacznijmy od przypadku ekstremalnego, czyli stanowisko ni, bo nie. Chciałem zacząć od tego przejaskrawionego przykładu, ponieważ tutaj poruszamy się w obszarze poza merytorycznym a więc i dyskusji merytorycznej nie ma często, co prowadzić. Gdyby ktoś jednak chciał … polecam czytać dalej. Jeżeli nie ma chęci lub jest to wysiłek bezcelowy – wnioski pozostawiam osobie w konkretnej sytuacji.

(cc) Janneke Hikspoors

To tyle tytułem wstępu. Jeżeli jednak da się rozmawiać a potrzebne są nam rzeczowe argumenty, to pierwsze zagadnienie, nad którym warto się pochylić chwilę, to dlaczego takie pytanie padło i jakie są przyczyny roztrząsania tematu. Przyczyn mogę wyobrazić sobie, co najmniej kilka:

  • Brak wiedzy w temacie i chęć zaspokojenia ciekawości, co do roli dodatkowego DC w sieci przez zadającego pytanie
  • Kwestie związane z kosztem zakupu dodatkowego sprzętu \ wydzielenia zasobów dla maszyny wirtualnej, licencji i późniejszego utrzymania takiej maszyny.
  • Podobne do powyższych kwestie związane z ograniczeniem kosztów dla już istniejących w środowisku rozwiązań.

Pytanie takie często trafia do administratora czy innego pracownika działu IT … no
i właśnie, jak podejść do udzielenia odpowiedzi.

W przypadku pierwszym, czyli chęci zaspokojenia chęci wiedzy pytającego, należy po prostu udzielić merytorycznej odpowiedzi (przesłanki do tej w moim wcześniejszym wpisie) i to powinno sprawę rozwiązać. Co prawda może powodować też przejście do pytania z tej drugiej kategorii – czyli “Tak, to może by się go tak pozbyć bo jednak to trochę kosztuje ! Mamy wszystko zwirtualizowane, łatwo to odzyskać, redundancja w tym zakresie nam naprawdę nie jest potrzebna” . To jeszcze raz …

… po co to wszystko

Dodatkowy kontroler domeny w środowisku ma za zadanie zapewnienie dostępności usługi, zapewnienia ciągłości jej działania oraz co w tym kontekście może jest mniej istotne, zapewnienia rozłożenia obciążenia usługi. Skupiając się tylko na aspekcie dostępności usługi, awaria kontrolera domeny, w przypadku, gdy jest to jedyny kontroler w naszym środowisku powoduje:

  • Brak możliwości zalogowania się użytkowników w trakcie trwania awarii
  • Brak możliwości uzyskania dostępu do zasobów i usług w sieci, w trakcie trwania awarii. Użytkownicy, którzy posiadają ważne bilety dostępu do usług będą mogli nadal z nich korzystać, jednak nie będą mogli uzyskać dostępu do nowych usług i zasobów, a posiadane bilety w końcu stracą ważność.
    W przypadku, gdy w firmie korzystamy z serwera Exchange jako serwera poczty i pracy grupowej awaria DC w takim scenariuszu powoduje, że usługa ta przestaje działać.
  • W przypadku, gdy kontroler domeny jest jednocześnie serwerem DNS, jego awaria spowoduje problemy w komunikacji sieciowej (często spotykane
    w takich wypadkach). To samo dotyczy innych usług sieciowych utrzymywanych na DC (DHCP, WINS itp.).

To od strony technicznej. Od strony działania firmy powoduje to że:

  • Użytkownicy nie mogą pracować z usługami i aplikacjami w sieci. Z dużym prawdopodobieństwem ich praca ograniczy się tylko do lokalnych aplikacji 
    i danych.
  • Jeżeli nasz system pocztowy jest powiązany z AD to tracimy możliwość komunikacji pomiędzy pracownikami firmy jak i ze światem zewnętrznym.
  • Całość powyższego przekłada się na fakt, że przynajmniej od strony technologicznej firma stoi.

Teraz ważne pytanie – czy powoduje to też, że nie działa biznes? Jeżeli działalność firmy opiera się na narzędziach i systemach sieciowych – prawdopodobnie odpowiedź brzmi TAK.  Jeżeli działalność firmy wymaga ciągłej możliwości komunikacji
w ramach firmy jak i ze światem zewnętrznym a taka awaria powoduje, że komunikacja ta jest zaburzone – prawie na pewno awaria infrastruktury powoduje, że w jakiś sposób naruszony zostaje też interes firmy od strony biznesowej. Jeżeli pracujemy w firmie produkcyjnej, gdzie główną działalnością jest produkcja produktu firmy, a awaria usługi katalogowej nie dotyka tego fragmentu firmy bezpośrednio, to może się okazać, że dopuszczalny jest jakiś czas przestoju działów niezwiązanych bezpośrednio
z produkcją  … i dalej w ten deseń.

Jak poważne jest to zaburzenie i ile ono kosztuję firmę? Ano właśnie, na to pytanie Wam nie odpowiem, ponieważ zależy to od tego jaki jest profil działalności firmy
i w jakim stopniu awaria taka zakłóca możliwość jej prowadzenia. Nie zmienia to faktu, że na odpowiedź właśnie na takie pytanie w tym kontekście powinniście być przygotowani. Czyli kilka pierwszych do przygotowania się do dyskusji:

W jaki sposób awaria jedynego kontrolera domeny w naszej sieci zakłóca działanie systemów informatycznych firmy?

Jak zakłócenie działania tych systemów wpływa na możliwość wykonywania zadań w ramach firmy, w szczególności jej podstawowych zadań?

Czy jest możliwe określenie kosztu przestoju w takim wypadku? Jeżeli tak – postarajmy się je oszacować.

Jeżeli przestój usługi katalogowej powoduje, że przez godzinę czy dwie firma nie może prowadzić swojej działalności albo jest w tym ograniczona i użytkownicy grają
w pasjansa, to może jednak warto utrzymywać tą dodatkową maszynę. I to starajmy się wykazać.

… ok, ale mamy wirtualizację

“Ano właśnie”, powiem nam na to osoba, która zadaje nam takie pytanie – przecież mamy tą całą wirtualizację. Jak coś się stanie to szast prast i już mamy odtworzoną ze snapshotu maszynę i wszystko działa poprawnie.  Ano właśnie …

… czy to jest do końca prawda. Załóżmy więc, że mamy naszą jedyną maszynę pełniącą rolę kontrolera domeny w postaci maszyny wirtualnej i wykonujemy jej kopie w jakiś, poprawny dla tego środowiska sposób. Ponieważ maszyna jest jedna, to nie mamy problemu z usn-roll back i podobnymi przypadłościami. Super.

Co jednak daje nam wirtualizacja? Wirtualizacja, w takim wydaniu nie zabezpiecza nas przed awarią, jedynie zmniejsza czas wymagany do odtworzenia usługi (przynajmniej w założeniach). Czas odtworzenia maszyny wirtualnej jest krótszy, niż czas odbudowy DC i  odtworzenia go z kopii zapasowej. Czyli jest dobrze?

Nie do końca. Nadal, w przypadku awarii DC, gdy posiadamy tylko jedną maszynę występuje czas przestoju związany z koniecznością przywrócenia działania usługi. Może i krótszy ale jednak (patrz powyżej). Dodatkowo, taka metoda odtworzenia usług, czyli przywrócenie obrazu maszyny jest zawsze metodą *stratną*. Nie odzyskujemy usługi w takim stanie jak w chwili wystąpienia awarii, ale w stanie, w jakim stwozona została kopia zapasowa. A to może być okres dłuższy lub krótszy – zawsze jednak należy zakładać, że jakaś część danych zostanie utracona – czy to zmiany na kontach użytkowników, grupach czy też zmiany haseł.

To ostatnie jest wbrew pozorom ważne. Może się bowiem okazać, że nasze konta serwisowe czy konta maszyn, na których działają nasze usługi zmieniły hało od czasu wykonania ostatniego zrzutu maszyny wirtualnej. Wtedy, nawet po odtworzeniu naszej maszyny wirtualnej, nadal może się okazać, że nasze usługi nie działają
a dodatkowo konieczne będzie przeprowadzenie procedury troubleshooting w celu określenia  przyczyny problemu.

Ale … tak wiem, mamy klaster pod naszą wirtualizację, z całym narzutem infrastruktury, aby klaster ten działał. No cóż, pytanie co jest w takim wypadku bardziej kosztowne – zapewnienie i utrzymanie tego klastra czy też utrzymanie dodatkowego DC. Oprócz tego pytanie – jak zarządzany jest ten klaster, czy też należy do domeny?? Jeżeli tak, to mamy większy problem. A jeżeli nie, to pozostałe pytania pozostają otwarte. No tak – ale już i tak zainwestowaliśmy w wirutalizację.

… czy to naprawdę tak dużo kosztuje.

Ano właśnie, czy i ile to tak naprawdę nas kosztuje?

Na jednej ręce mamy więc koszt związany z zakupem oprogramowania (Win Server Std. minimum a w tym segmencie, którego myślę takie dywagacje dotyczą to maksimum), sprzęt z tym związany (patrz poprzedni teoretyczny wpis), dodatkowe oprogramowanie (AV, backup)  i utrzymanie (aczkolwiek kosztu utrzymania dodatkowego DC w małej czy średniej sieci bym nie demonizował to istnieć to on istnieje). To wszystko należy porównać, z leżącym na drugiej ręce kosztem ewentualnego przestoju firmy, utraty\odtworzenia informacji itp.

(cc) vividBreeze

Tak według mnie powinien być rozważany koszt ewentualnego wdrożenia w infrastrukturze dodatkowych rozwiązań czy mechanizmów, a takim jest kontroler domeny. Ponieważ to nie koszt tego oprogramowania czy sprzętu dla niego potrzebnego jest decydujący, a porównanie go, z tym co za ten koszt początkowy i potem związany z utrzymaniem, tak naprawdę otrzymujemy. A otrzymujemy święty spokój w przypadku awarii jednego z komputerów, brak przestojów i przerw w pracy pracowników, co w zasadzie przekłada się na konkretne, mierzalne korzyści dla firmy.
Z tym, że niestety nie zawsze jako ludzie zajmujący się IT wiemy jak je policzyć i przedstawić. A bez tego, niestety faktycznie trudno obronić kolejne pudełko czy licencję. Nieważne czy będzie to kontroler domeny, serwer SQL czy inne rozwiązanie.

No i tak to, dobrnęliśmy do końca … komentarze jak najbardziej otwarte.

October 31st, 2010

Czas połączyć wszystkie kropki …

Co niektórzy już widziali na MTS albo się zorientowali samodzielnie z wiadomości tu i ówdzie. Ale teraz ogłoszenie parafialne.

Przez ostatnie kilka lat mieliście okazję spotkać mnie u siebie w firmach (niektórzy), na prezentacjach (to już więcej z Was) jako pracownika Microsoft Consulting Services, gdzie przez ostatnie kilka lat zdarzyło mi się pracować w roli konsultanta. Cóż … wszystko się zmienia.

We wrześniu tego roku zdecydowałem się zmienić trochę drogi mojej kariery i w tej chwili pracuję w ramach firmy Connected Dots, która mam nadzieję już niedługo będzie Waszą ulubioną firmą z dziedziny usług katalogowych, zarządzania tożsamością czy szkoleń.

W MCS spędziłem naprawdę ciekawe 5 lat, z najlepszym zespołem specjalistów w swoich dziedzinach. Wszystkim pracującym w MS Polska a w szczególności MCSowi za te 5 lat należą się podziękowania (czasami trochę cierpliwości trzeba żeby ze mną wytrzymać na dłuższą metę ). Może kiedyś o tym napiszę więcej, jednak jeżeli widzielibyście ogłoszenie dotyczące pracy w MCS – warto!

A gdybyście potrzebowali kogoś, kto pomoże Wam w zaprojektowaniu infrastruktury czy usługi katalogowej, stworzenia planu D&R czy rozwiązania problemów z dostępem do aplikacji – Connected Dots zaprasza .

P.S.  Zmiana w zajęciu codziennym nie wpływa na tego bloga. W2K.PL planuję nadal utrzymywać i może częściej nawet się odzywać.

October 22nd, 2010

Kilogram dysku, procesorów pięć sztuk, posypać RAMem czyli przepis na DC

Dyskusyja ostatnio rozgorzała na forum wss.pl o tym jakie to wnętrzności w taki kontroler domeny włożyć dla danej liczby użytkowników. Dyskusyja forumowa jak każda taka tendencje miała do zbaczania ale też przyniosła przepisów kilka – od prostych po wykwintne bardzo, rdzeniami usiane jak dobre ciasto i przykryte grubymi plastrami RAMu. Okazja jest więc się znowu uzewnętrznić – to jak z  tworzeniem tego DC jest?

Disklajmer zwyczajowy: poglądy tutaj przedstawiane są wynikiem moich własnych przemyśleń i doświadczeń. Wierzyć w nie można albo i nie. Jeżeli ktoś zastosuje się do tychże w swoich działaniach to robi to na własną odpowiedzialność, a jeżeli odpowiedzialności chce mojej – proszę bardzo, mogę przygotować projekt.

Z usługą katalogową i jej skalowaniem problem jest taki, że Microsoft jako taki nie opublikował czegoś na kształt “przewodnika skalowalności”. Najbliższym wydawnictwem w tym zakresie jest “Active Directory Performance for 64-bit Versions of Windows Server 2003”. I potem to już nic. Oczywiście byłoby miło takie przewodnik, uzależniony od ilości obiektów (bo to jest wyznacznik pewien) lub użytkowników (a to inny). Ano i właśnie, względem czego skalować taki DC?

(cc) melomane

Niby kontroler domeny rzecz prosta, ale DC może być DC nie równy. Inny jest profil obciążenia kontrolera domeny pracującego w biurze oddziałowym obsługującym niewielką liczbę użytkowników. Inny dla kontrolera domeny, który obsługuje również użytkowników, ale w centralnej lokacji, do której potencjalnie mogą trafić użytkownicy z innych lokacji.

Inny dla Exchange, inny dla kontrolerów domeny obsługujących aplikacje (co jest nagminne – znaczy się wyznaczanie konkretnych kontrolerów domeny dla aplikacji, jak i często mocno obciążające ponieważ aplikacje bywają źle napisane). Inny też dla kontrolerów domeny w hubie obsługujące replikację danych w sieci.

Jak widać profili obciążenia tak prostej usługi jak DC może być sporo. Dla którego więc stworzyć takie zalecenia? Ano właśnie … to może bardziej ogólnie porozmawiajmy. Na jakie elementy skalowania kontrolera domeny należy zwracać uwagę? I jak.

Procesory …

… liczba rdzeni, procesorów i szybkość. To, co porywa administratora. Pytanie czy kontroler domeny jest usługą mocno obciążającą procesory? Przy obecnych procesorach, w większości przypadków w zasadzie nie i przy standardowym użyciu DC w celu obsługi logowania użytkowników rzadko raczej procesor będzie wąskim gardłem DC. Jeżeli posłużymy się wspomnianym wcześniej artykułem jako pewnego rodzaju wzorcem, to osiągane tam wysokie obciążenie procesorów występowało dla baz danych o liczbie obiektów odpowiednio 100k i 3 mln, które w naszych warunkach często nie występują. Ale i testy wykonywane były lat temu 4 kiedy procesory słabsze były. A wymagania DC się zbytnio nie zmieniły.

Oczywiście w naszej sieci należy wziąć pod uwagę syndrom siódmej rano (wszyscy naraz się logują), awarie (DC w branch office może paść i obsługę przejmie DC w centrali), dla kontrolerów domeny w centrali wymaganie na liczbę partnerów replikacji i czas replikacji jak i wymagania dotyczące D&R ( o tym słów jeszcze kilka dalej).

Skalując procesory dla kontrolerów domeny w danej lokacji należy wziąć pod uwagę również wymagania aplikacji, które w niej mogą pracować. Jeżeli wiemy, że w danej lokacji pracuje kilkanaście aplikacji mocno używających zapytań LDAP to uwzględnijmy to w konfiguracji DC i monitorujmy wydajność zapytań na nich przetwarzanych. Jeżeli tworzymy lokację dla Exchange, weźmy pod uwagę zalecenia co do liczby rdzeń dla GC obsługujących Exchange.

Jeżeli planujemy wdrożenie na DC oprogramowania antywirusowego, to należy założyć, że dla AV wymagany będzie jeden dodatkowy rdzeń, jak i należy pamiętać o wykluczeniach związanych z działaniem AV na DC.

Mierzmy też siły na wymagania – jeżeli mamy biuro oddziałowe z 50 użytkownikami, to o ile w ogóle rozważać postawienie tam DC to nie będzie on miał wymagań takich jak serwer w centrali obsługujący kilka tysięcy ludzi.

Pamięć …

Skalowanie w przypadku pamięci jest bardzo proste. Dostępna w systemie pamięć RAM powinna pozwalać na przechowanie w pamięci jak największej części bazy danych NTDS.DIT. W najlepszym wypadku całości. W trakcie pracy kontrolera domeny wyniki poszczególnych zapytań są przechowywane w pamięci RAM tak długo jak nie należy jej zwolnić. Ponieważ operacje dyskowe są drogie, to przechowywanie wyników odczytanych z dysków w pamięci znacznie wpływa na wydajność działania kontrolera.

Tak że reguła kciuka jest taka, że w kontrolerze domeny rozmiar pamięci powinien być zbliżony (w domyśle równy lub wyższy) rozmiarowi pliku NTDS.DIT (a w zasadzie ilości danych w tym pliku).

Jak w przypadku każdej dobrej reguły należy do niej podejść z rozsądkiem i przewidzieć wyjątki. Nawet jeżeli nasz DIT ma 2 GB a kontroler domeny będzie stał w lokacji z małą liczbą użytkowników i nie działają tam katalogożerne aplikacje, to raczej nigdy cały DIT nie zostanie w pamięci załadowany. Tak że z rozsądkiem drodzy projektujący AD.

Dyski …

W idealnej sytuacji na kontrolerze domeny baza danych NTDS.DIT powinna być na osobnych spindlach niż logi tejże bazy danych. Tak by było perfekcyjnie. Pytanie czy to jest zawsze wymagane. I jak powyżej – wszystko zależy od konkretnego przypadku. Jeżeli nasza sieć ma kilkuset użytkowników to praktycznie nie ma to większego znaczenia. Jeżeli ma ich kilka tysięcy – na tych kontrolerach domeny, które będą obsługiwały ich większąliczbę lub aplikacji – może to być wskazane. Przy dużych liczbach użytkowników – zalecane jak najbardziej a nawet wymagane jeżeli planujemy wszystko tak jak być powinno.

To o bazie danych DIT, ale nie zapominajmy, że na DC dyski to nie tylko DIT ale i SYSVOL. A SYSVOL potrafi rosnąć (chociaż da się to ograniczać) i może wymagać dodatkowej przestrzeni w procesie replikacji danych na staging area. To należy uwzględnić przy planowaniu ile przestrzeni dyskowej jest wymagane.

Wszerz czy wzwyż…

Czyli jak naszą agrokulturę DC hodować – ilościowo czy na masę? W zasadzie usługi kontrolerów domeny skalować się powinno w większości wypadków wszerz, czyli z punktu widzenia i wydajności i redundancji usługi lepiej jest postawić tych kontrolerów kilka niż jedną super maszynę.

Oczywiście skalowanie w siłę też wymagane być może w połączeniu ze skalowaniem wszerz nawet, jeżeli w naszym środowisku działają aplikacje, które mocy przetwarzania zapytań LDAP lub liczy uwierzytelnień w sekundzie wymagają dużej. Wtedy nie pozostaje nam nic innego, niż gdy osiągamy granice wydajności sprzętu po prostu go przeskalować pod obciążenie.

Sama wydajność to nie wszystko …

Zapewnienie odpowiedniej wydajności pod konkretne obciążenie robocze to nie wszystko. W większych środowiskach należy dodatkowo pomyśleć o tym, jak wyglądać będzie procedura odbudowy usługi katalogowej czy odbudowy SYSVOL. Które DC będą brały w nim udział i jak to wpływa na wymagania, co do ich wydajności, skalowania dysku i pamięci. Tworząc plany z tym związane, należy zwrócić uwagę właśnie na takie elementy, aby w chwili krytycznej okazało się, że DC który wyznaczyliśmy do roli serwera, z którego odtwarzany jest SYSVOL nie posiada odpowiedniej ilości miejsca na dyskach do obsłużenia tego procesu.

I to by był koniec …

Wyszedł z tego bardzo konsultancki wpis pod wezwaniem “To zależy”, ale taka jest też i natura zagadnienia, którego on dotyczy. Oczywiście dla małej sieci, z niedużą liczbą użytkowników można po prostu określić metodą ekspercką (palec mokry na wiatr wystawiony bardzo dobrze się w tej roli sprawdza), na podstawie doświadczenia parametry dla kontrolera domeny. Dla większego lub bardziej skomplikowanego pod względem liczy i jakości usług środowiska jednak poświęciłbym chwilę na to, aby elementy opisane powyżej przeanalizować, zanim wystawione zostanie zamówienie na te wszystkie błyszczące zabawki i radiatory.

… gdyby nie wirtualizacja

Czyli jak skalowanie fizycznego DC ma się do DC wirutalnego. W testach dla Hyper-V w wersji 2008 wykazano że DC wirtualny operuje na około 90% mocy fizycznego o tych samych parametrach. W chwili obecnej jednak wpływ wirutalizacji na wydajność DC jest w zasadzie pomijalny, o ile zapewnione są odpowiednie zasoby po stronie hosta utrzymującego te zasoby wirtualne.

 

P.S. #1 Dla tych którzy byli na MTS 2010 nadal aktualne zostaje przypomnienie o ankietach, które być może nadal czekają na wasze oceny. Pamiętajcie o nich – do 27-go października linki pozostają aktualne. Ogólny  link do ankiet po konferencji jak i bezpośredni do moich dwóch sesji:

Podobało się, nie podobało – wejdź, wypełnij.

October 15th, 2010

Odzyskać klucz

Nowe systemy, nowe możliwości, nowe problemy.

Wraz z Vistą pojawiła się w systemie możliwość szyfrowania dysków z użyciem BitLocker. Szyfrowanie jak to szyfrowanie – wymaga klucza, a klucze jak to klucze, potrafią się zgubić, może zajśc potrzeba awaryjnego odblokowania dostępu itp. Dlatego w ramach BitLockera mamy mechanizmy Recovery Key. W przypadku, gdy konieczne jest odblokowanie dostępu do szyfrowanego dysku, do którego z jakiegoś powodu dostać się nie możemy, gdy posiadamy rzeczony klucz odzyskiwania możemy go podać i uzyskać dostęp do danych.  Problem jest z tym jeden – jak zarządzać tymi właśnie kluczami odzyskiwania??

W przypadku organizacji, w której wdrożone zostało Active Directory możliwe jest skonfigurowanie systemu tak, aby przy uruchomieniu BitLocker zachował klucz w ramach katalogu Active Directory. Rzecz przydatna, aczkolwiek ma jedną wadę z punktu widzenia administratora a tym bardziej użytkownika – sposób dostępu do tych informacji.

(ccPaul Watson

Domyślnie nie ma w systemie żadnego narzędzia, które to umożliwia w sposób przyjazny dla użytkownika (zakładam, że linia poleceń czy też narzędzia LDAP nie są takowymi).  Informacje te przechowywane są w ramach obiektu ms-FVE-RecoveryInformation, a sam klucz dokładniej w atrybucie ms-FVE-RecoveryPassword.

Jeżeli ktoś zajrzał w powyższy link do opisu tego atrybuty zauważył może informację dotyczącą wartości searchFlags dla tego atrybutu:

(…) Search-Flags: 0x00000088 (…)

Oznacza to, że atrybut ten oznaczony jest jako confidential attribute i nie wszyscy użytkownicy będą mieli do niego dostęp. A to może trochę skomplikować scenariusze typu helpdesk i czy samodzielna obsługa użytkownika w chwili, gdy dostęp do tych danych jest wymagany.

Pewnym rozwiązaniem jest BitLocker Password Recovery Viewer, dostępny jako dodatkowy komponent narzędzi zarządzających Windows Server. Udostępnia on jednak dostęp do danych, aktualnie przechowywanych w AD i z założenia jest narzędziem dla administratorów. A co gdy potrzebny jest samodzielny dostęp do tych danych użytkownika lub helpdesk lub gdy odszyfrować trzeba dysk, dla którego te informacje w AD już nie są dostępne …

… ufff, dobrneliśmy

Microsoft IT, jak każda tego typu organizacja posiada własne narzędzia, przeznacozne też dla użytkowników wewnętrznie. Jednym z nich jest narzędzie, którego celem jest zachowanie danych dotyczących klucza odzyskiwania BitLocker z Active Directory i  udostępniające mechanizm samodzielnej obsługi w zakresie ich odzyskiwania dla użytkowników. O jego zaletach przekonał się jeden z kolegów, który musiał skorzystać z opcji odzyskania klucza będąc na wysuniętej placówce w kraju wschodnim – dzięki helpdesk i aplikacji dla nich dostępnej zajęło to kilka minut.

Dobra wiadomość jest taka, że zespół MS IT udostępnił właśnie to narzędzie w ramach projektu o nazwie Key Recovery Tool for Bitlocker na Codeplex. Jego krótki opis przedstawia jasno cel narzędzia:

(…)  Key Recovery Tool for Bitlocker® harvests the Bitlocker Recovery information in a single database for long term storage. Its web interface allows end users to view their keys with built-in logging and notification. (…)

Jeżeli więc wdrożyliście BitLocker w swojej organizacji lub planujecie to zrobić może warto się nim zainteresować.

Oczywiście nie rozwiązuje to wszystkich problemów i nie jest rozwiązaniem idealnym (OTP przy boot OS z elementem klucza do OTP podawanym przez helpdesk byłoby pewnie lepszym), ale i tak dobrze że się ukazało.

 

P.S. Tak już całkiem przy okazji mała przypominajka. Jeżeli byłeś na MTS, a już jeżeli byłeś na którejś z moich sesji poświęć kilka minut i wypełnij ankietę po konferencji  i sesji. Linki bezpośrednio do ankiet dotyczących moich sesji (Wymagane logowanie LiveID):

Twój głos się tutaj liczy ;).

October 8th, 2010

Przed, po i w trakcie … konferencji

I cisza zaległa jak makiem zasiał … w zasadzie tak by można powiedzieć o W2K.PL w ostatnich miesiącach. Powodów było kilka – o wszystkich tutaj niedługo. O tym całkiem świeżym już teraz. Konferencyja …

… przed

… świecką tradycją od lat kilku jest, że w Warszawie odbywa się MTS – Microsoft Technology Summit zwanym ze słowiańska. Czasami coś tam mówię. Tak było i tym razem. W zasadzie dwa razy mówiłem, a raz robiłem za przycisk do wykonania demo. Bywa.

Mała dygresja – kiedyś grałem w małej kapeli punkowej. Nigdy wtedy nie myślałem, że wystąpie dwa razy w ciągu jednego dnia na Sali Kongresowej. Tylko dlaczego mówiąć o komputerach …

… w trakcie

Na rozpoczęcie drugiego dnia konferencji opowiadałem o jednym z aspektów związanych z D&R Active Directory (taka tradycja, że coś o AD mówię) czyli o dostępnych metodach odzyskiwania skasowanych obiektów w Active Directory + na zakończenie mały wtręt o dobrych i złych metodach alternatywnego wykonywania kopii katalogu.

W pytaniach po sesji okazało się, że najbardziej interesująca była kwestia użycia kopii w postaci obrazów dysków albo snapshotów, a w zasadzie ich nie używania. Cóż, temat na wpis który niedługo się tutaj pojawi pewnie.

Z tego co wiem, w tym roku nagrań sesji nie było, dla zainteresowanych więc po kliknięciu w obrazek dostępny jest plik z prezentacją.

Po chwili przerwy, poświęconej na sprawdzenie demo i kawę poprowadziłem drugą z pogadanek dotyczącą metod zarządzania użytkownikiem, jego tożasamością i dostępem do usług w scenariuszach, można by powiedzieć "chumrzastych”

Tutaj zamierzeniem moim było nie tyle wgłębianie się w szczegóły techniczne a raczej przedstawienie pewnego scenariusza, złożonego z FIM 2010, ADFS v2 i UAG(OK, tutaj trochę wirtualnie) od początku do końca. Mam nadzieję, że przynajmniej częściowo się udało, nawet biorąc pod uwagę mały niedoczas z mojej strony.

Zdaję sobię sprawę, że w tym wypadku sam PPT bez demo to dosyć kulawa informacja – może postaram się nagrać jakoś demo i przedstawić je też tutaj w przyszłości.

To było o mówieniu. Ci którzy byli zainteresowani jak moje demo z drugiej sesji zostało skonfigurowane mogli zobaczyć to na sesji Radka Szymczaka, w ramach której wspierałem go przerzucając ekrany pomiędzy maszynami wirtualnymi .

… po

I jak zawsze – dla mnie była to niezła zabaw, związana zarówno z przygotowaniem sesji jak i jej poprowadzeniem. Co prawda 4 reflektory punktowe świecące prosto w oczy na Kongresowej skutecznie ubijają próby zabawy jak i próby dostrzeżenia kogokolwiek na widowni (że o nawiązaniu kontaktu wzrokowego czy werbalnego nie wspomnę).

Mam nadzieję, że dla tych którzy na sesjach byli było to również coś ciekawego I coś z nich wynieśli. Jeżeli byłeś(aś) na mojej sesji, podobało Ci się lub nie – OCEŃ SESJĘ. Inaczej nie dowiem się, że było dobrze lub kiepsko.

Komentarze i pytania pod tym wpisem jak i na prywtny adres w kontekście zawartości I dostarczenia tych sesji – bardziej niż mile widziane.

To co … pewnie do następnego.

August 22nd, 2010

Na fali … doświadczeniami z pracy dzielenie się

 

Kolejny okres ciszy, poniekąd wakacyjna flauta, brak weny a też różne wydarzenia i zmiany, które pochłaniają czas. Przygotowania do konferencji (MTS … może coś jeszcze) również w pełni :).

Dzisiaj (a właściwie wczoraj) do napisania czegoś zainspirował mnie nasz mały C3PO, swoim wpisem Jak odnaleźć się w branży IT i mieć z pracy coś więcej niż tylko pieniądze? W zasadzie nic ująć – zgadzam się w pełni z tym co Paweł napisał. Dodać – no dodać trochę by mógł każdy z nas, ja pomyślałem że może po tych 11 już latach w branży też coś od siebie dodam. Niekoniecznie z zakresu planowania kariery, ale raczej z takich przemyśleń w temacie działania, które mogą pomóc (mam nadzieję) uniknąć kilku bolesnych lekcji jak i budować swoją pozycję – gdziekolwiek pracujecie.

(cc) Rerring1up

Poza tym – po ilości komentarzy temat chwytliwy, interesujący, pomyślałem – a co by nie złapać trochę wizyt na fali zainteresowania :).

To zaczynajmy …

Keep reading →