Secure LDAP στους Domain Controllers? Πως γίνεται?

Η επόμενη εβδομάδα θα με βρει στη Σουηδία όπου θα πρέπει να εξηγήσω στους μαθητές μου εκεί όλα τα ωραία που μπορούμε να κάνουμε με το Active Directory και φυσικά ελπίζω ότι αυτά που θα τους πω θα τους βοηθήσουν και στις αντίστοιχες πιστοποιήσεις. Προλαβαίνω λοιπόν να σας εξηγήσω σε αυτό το post πως θα μπορούσαμε να βελτιώσουμε την ασφάλεια στο –ήδη αρκετά ασφαλές για τις περισσότερες περιπτώσεις – Active Directory.

Γνωρίζουμε ήδη ότι η επικοινωνία των Domain Controllers βασίζεται στο πρωτόκολλο LDAP, το οποίο μας προσφέρει και μια πιο “secure” μορφή του, το λεγόμενο LDAPS. Αρκετά χρήσιμο σε περιπτώσεις όπου θέλουμε να κρυπτογραφήσουμε ακόμα περισσότερο την επικοινωνία μέσα στο δίκτυό μας, ώστε να αποφύγουμε τα δυσάρεστα περιστατικά sniffing με κάποιο από τα γνωστά προγράμματα.

Χρησιμοποιούμε λοιπόν τα γνωστά πρωτόκολλα SSL/TLS που στην περίπτωση του Active Directory μιλάμε για LDAP over SSL. Με αυτό τον τρόπο θα καταφέρουμε να έχουμε μια ασφαλή επικοινωνία μεταξύ των clients του domain μας και των domain controllers.

Τι χρειαζόμαστε;
Θα πρέπει να χρησιμοποιήσουμε ένα X509 certificate σε όλους τους domain controllers μας. Αυτό το πιστοποιητικό θα μας εξασφαλίσει ότι οι DCs θα ακούν και θα δέχονται SSL connections για την LDAP κίνηση αλλά θα είναι επίσης χρήσιμο και για τους Global Catalogs. Πρόκειται για ένα Server Certificate που θα χρησιμοποιείται για Server Authentication στους clients. Θα μπορούσαμε να επεκτείνουμε την λογική μας ώστε να έχουμε και client authentication με πιστοποιητικά σε όλους τους clients, αλλά μάλλον είναι υπερβολή. Τεχνικά πάντως είναι δυνατό.

Το πιστοποιητικό μαζί με το private key θα πρέπει να είναι αποθηκευμένο στο Personal Certificate Store σε όλους τους DCs. Εύκολα μπορούμε να δούμε το Store μέσα από μια MMC κονσόλα στον DC:

Το πιστοποιητικό που θα χρησιμοποιήσουμε για το LDAPS πρέπει να έχει:

• Στο Enhanced Key Usage να περιέχει το Server Authentication Object Identifier 1.3.6.1.5.5.7.3.1.
• To FQDN του DC πρέπει να αναφέρεται είτε στο Common Name του Subject είτε στο DNS entry του SAN

Με διπλό κλικ πάνω στο πιστοποιητικό μπορούμε να αναζητήσουμε αυτές τις πληροφορίες για να διαπιστώσουμε ότι έχουμε το σωστό πιστοποιητικό:

 

Φυσικά δεν ξεχνάμε ότι μέσα στο store του DC πρέπει να υπάρχει και το σωστό private key που ταιριάζει στο πιστοποιητικό, κάτι που το βλέπουμε στο General Tab του πιστοποιητικού, ελέγχοντας για το κείμενο “You have a private key that corresponds to this certificate.”:

Το private key δεν θα πρέπει να έχει το strong private key protection ενεργοποιημένο, η οποία ευτυχώς είναι και η default συμπεριφορά. Με την εντολή “certutil –verifystore MY” βλέπουμε όντως ότι έχουμε έγκυρο πιστοποιητικό και από command prompt:

Πως αποκτά ο DC ένα LDAPS πιστοποιητικό;
Αρχικά αυτό γίνεται αυτόματα όταν μέσα στο domain σας εγκαταστήσετε ένα Enterprise Root Certification Authority, αλλά είναι καλύτερα να μην χρησιμοποιήσετε αυτό, αλλά να εκδώσετε ένα νέο. Η διαδικασία είναι η εξής:

• Δημιουργία ενός custom certificate template για LDAPS certificates
• Ενεργοποίηση του template σε όλους τους CA (αν έχουμε πολλούς)
• Χειροκίνητη έκδοση πιστοποιητικών για όλους τους DCs

Το πρώτο βήμα γίνεται πάλι μέσα από μια MMC κονσόλα προσθέτοντας το snap-in για τα certificate templates, διαδικασία που πρέπει να την κάνετε πάνω στον CA. Διαλέγουμε κάποιο από τα ήδη υπάρχοντα certificate templates, πχ. το Kerberos Authentication template (το οποίο περιέχει ήδη το Server Authentication OID που αναφέραμε παραπάνω) και επιλέγουμε Duplicate Template:

Στο παράθυρο διαλόγου που θα εμφανιστεί αφήνουμε την default επιλογή (Windows Server 2003 Enterprise) και πατάμε ΟΚ. Αλλάζουμε την ονομασία του template σε κάτι όπως πχ. LDAPS και προσέχουμε τις επιλογές στο Request Handling Tab να μαρκάρουμε το private key ως exportable, ώστε να μπορέσουμε να κάνουμε import το πιστοποιητικό στο NTDS Certificate Store. Επίσης προσέξτε τις επιλογές και στο Subject Name Tab:

Το επόμενο βήμα είναι να προσθέσουμε το template μέσα στο Certificate templates container. Αυτό γίνεται από την κονσόλα Certification Authority του CA επιλέγοντας όπως στην εικόνα και μετά διαλέγοντας το νέο template που δημιουργήσαμε:

Το επόμενο βήμα είναι να πάμε στους υποψήφιους DCs και να ζητήσουμε πιστοποιητικό:

Έχουμε σχεδόν τελειώσει, αρκεί να βεβαιωθούμε ότι έχουμε σύνδεση με LDAPS, κάτι που μπορούμε να το δούμε με το γνωστό εργαλείο ldp. Παρατηρείστε την αλλαγμένη θύρα 636 για το LDAPS και την επιλογή SSL:

Εάν τα έχουμε κάνει όλα σωστά, θα πρέπει να έχουμε την ένδειξη “Host supports SSL”:

Επιλέξτε Connection – Bind και OK. Θα πρέπει να δείτε το username με το οποίο έχετε κάνει authentication.

Έτσι λοιπόν έχουμε μια ακόμα βελτίωση σε ότι αφορά την ασφάλεια του Active Directory.

How to secure DNS: it is called DNSSEC

Θα ξεκινήσω με κάτι άσχετο που θα ήθελα να το μοιραστώ μαζί σας. Έχω εντυπωσιαστεί με τον τρόπο που δουλεύουν κάποιες εταιρίες και επίσης με τον τρόπο που επιβραβεύουν τις καλές συνεργασίες. Κλήθηκα να εκπαιδεύσω το προσωπικό κάποιων εταιριών σε Microsoft Virtualization τεχνολογίες στο Λονδίνο. Η εκπαίδευση έχει οργανωθεί από μια εταιρία με την οποία συνεργάζεται η δική μου εταιρία, όλα προχωράνε σύμφωνα με το πρόγραμμα και ξαφνικά δέχομαι ένα τηλεφώνημα από την υπεύθυνη εκπαίδευσης που μου κάνει την εξής πρόταση:

“Αν κάνεις τόσο καλή δουλειά και καταφέρεις να πάρεις βαθμολογία στις αξιολογήσεις μεταξύ 8-10 (με άριστα το 10) από τουλάχιστον το 50% των μαθητών σου, θα σου δώσουμε έξτρα ΧΧΧ λίρες (GBP) ως bonus.” Το ποσό δεν σας το αναφέρω, αλλά είναι τριψήφιο και πραγματικά αξίζει τον κόπο να προσπαθήσει κάποιος για καλύτερες αξιολογήσεις.

Η συγκεκριμένη εταιρία προφανώς ενδιαφέρεται πολύ σοβαρά για την ποιότητα των εκπαιδευτικών υπηρεσιών που παρέχει, συνεπώς προσπαθεί να δώσει κίνητρα στους εκπαιδευτές για να δώσουν τον καλύτερο εαυτό τους. I’m impressed…

Για το DNSSEC ίσως κάποιοι να έχετε ακούσει κάτι σχετικό, και η αλήθεια είναι ότι θα ήθελα να σας δώσω μερικά στοιχεία, διότι φαίνεται ότι σιγά σιγά βρίσκει τον δρόμο του προς την υλοποίηση. Όλα ξεκινάνε από την εξής σκέψη: η επικοινωνία μεταξύ των DNS Servers στο internet δεν είναι κρυπτογραφημένη, συνεπώς είναι ευάλωτη. Εκεί που προσπαθείς να μπεις στο e-banking μιας τράπεζας και έχεις ρωτήσει κάποιον απομακρυσμένο DNS Server για να σου δώσει την IP διεύθυνση του web server της τράπεζας, κάποιος κακός μπαίνει στο ενδιάμεσο, αλλάζει την πληροφορία που περιμένεις και σε στέλνει κάπου αλλού.

Ο Windows Server 2008 R2 προσφέρει βελτιώσεις ώστε να αποτρέψει τέτοιου είδους παρατράγουδα, έχοντας κάποιο feature που λέγεται port randomization. Όταν κάποιος client στέλνει ένα ερώτημα σε έναν DNS Server, εκτός από μια random θύρα που χρησιμοποιεί, αποστέλλει στον DNS Server και ένα transaction ID, πχ. TXID 279, ώστε να αποτραπεί η κλοπή της πληροφορίας στο internet. Δυστυχώς όμως, ούτε αυτό αποδείχθηκε αρκετό, διότι δεν υπάρχει κανένας μηχανισμός authentication στην όλη διαδικασία. Πως μπορώ να είμαι σίγουρος ότι μου απαντάει ο σωστός DNS Server και όχι κάποιος άλλος? Δεν μπορώ να είμαι σίγουρος. Δυστυχώς πολλές φορές μέχρι και τα TXIDs είναι συνεχόμενα, άρα εύκολα ο κακός μπορεί να μαντέψει ποιο TXID χρησιμοποιείται σε μια επικοινωνία μεταξύ DNS Server και client. Μπορείτε να ελέγξετε τον δικό σας DNS Server σχετικά με το port randomization με ένα εργαλείο σε αυτή τη διεύθυνση: https://www.dns-oarc.net/oarc/services/dnsentropy

Η λύση έρχεται με το DNSSEC που υπόσχεται να προσφέρει authentication, αφού οι επικοινωνίες των DNS Servers μεταξύ τους θα είναι digitally signed. Μπορούμε λοιπόν να υπογράψουμε την ζώνη ενός DNS Server προσθέτοντας μερικές ακόμα εγγραφές. Αυτές οι εγγραφές είναι της μορφής RRSIG και θα συνοδεύουν τα κρίσιμα Resource Records που “φαίνονται” στο internet, πχ. μια εγγραφή MX. Χρειαζόμαστε και ακόμα μια εγγραφή που θα περιέχει το Public Key (αφού στην ουσία όλα βασίζονται σε μια PKI υποδομή), μια εγγραφή της μορφής DNSKEY.

Σε έναν ιδανικό κόσμο όπου το root του DNS, η γνωστή τελεία “.” θα είναι ψηφιακά υπογεγραμμένη, θα έχουμε το παρακάτω αποτέλεσμα:

 

 

Βλέπουμε ότι αν έχει ψηφιακή υπογραφή ολόκληρη η ζώνη .gr, τότε έχουν επίσης ψηφιακή υπογραφή και όλα τα ονόματα domains που καταλήγουν σε .gr. Κάποιες χώρες έχουν ήδη εφαρμόσει DNSSEC στα δικά τους domain levels.

Το πιο ισχυρό public key στην ιεραρχία ονομάζεται Trust Anchor και στο παραπάνω σχήμα είναι το .gr (λέμε και κανένα αστείο να περνάει η ώρα…). Αυτό που μπορούμε (ή θα μπορέσουμε κάποτε να κάνουμε) θα είναι να προσθέσουμε Trust Anchor στον δικό μας DNS Server για το .gr domain κάπως έτσι:

Αν έχουμε τον δικό μας DNS Server που φιλοξενεί ζώνες ορατές από το internet, θα χρειαστεί να κάνουμε λίγη δουλειά εκεί. Τονίζω ότι είναι κάτι που δεν χρειάζεται να γίνει τώρα, αφού έτσι κι αλλιώς δεν έχουμε DNSSEC σε ζώνες που καταλήγουν σε .gr. Θα πρέπει επίσης να έχουμε υπόψη μας ότι δεν βάζουμε DNSSEC στις Active Directory Integrated ζώνες μας, διότι καταργούνται έτσι τα dynamic updates, αλλά ούτως ή άλλως δεν μας χρειάζεται, αφού αυτές οι ζώνες δεν είναι ορατές στο internet.

Άρα χρειάζεται να ενεργοποιήσουμε το DNSSEC για παράδειγμα σε μια ζώνη με την ονομασία contoso.com. Χρησιμοποιώντας την εντολή dnscmd δημιουργούμε key signing keys και zone signing keys και τα αποθηκεύουμε στο local certificate store.

Μια ματιά στο local certificate store μας δείχνει τα πιστοποιητικά που δημιουργήθηκαν:

Μην ξεχάσετε να βεβαιωθείτε ότι δεν έχετε απενεργοποιήσει το EDNS, ώστε να επιτρέπονται πακέτα των 4 KB αντί για τα μικρότερα των 512 bytes. Πληροφορίες για το EDNS μπορείτε να δείτε εδώ: http://spanougakis.wordpress.com/2011/05/01/edns-what-is-all-about-2/

Φυσικά αυτά είναι κάποια ενδεικτικά βήματα που πρέπει να γίνουν, προτείνω ανεπιφύλακτα να ρίξετε μια ματιά στο άρθρο που θα βρείτε εδώ: http://technet.microsoft.com/en-us/library/ee649268(WS.10).aspx

Live from Microsoft Campus, Redmond, WA: Καταιγισμός νέων τεχνικών χαρακτηριστικών στα Windows 8 (Client & Server)

Μέσα από αυτό το post θα προσπαθήσω να σας μεταφέρω το κλίμα που κυριαρχεί εδώ στο Microsoft Campus μετά από την επίσημη ανακοίνωση και διάθεση της Windows 8 Consumer Preview έκδοσης, αλλά και φυσικά της αντίστοιχης Server έκδοσης, την οποία περιμέναμε με ιδιαίτερο ενδιαφέρον.

Αρχίζοντας από την Windows 8 Consumer Preview έκδοση (client OS) διαπιστώνουμε ότι οδεύουμε προς την ενοποιημένη πλατφόρμα για φορητές συσκευές (αν και προσωπικά πιστεύω ότι είμαστε ήδη εκεί). Ο θόρυβος που έχει δημιουργηθεί στο internet είναι πλέον τεράστιος, το λειτουργικό έχει δοθεί σε αυτή την έκδοση διαθέσιμο για download από τον οποιοδήποτε (αλήθεια, θυμάστε εκείνες τις εποχές που οι beta εκδόσεις ήταν διαθέσιμες μόνο στην elite?) και φυσικά θα λιώσουν τα σίδερα εδώ στα datacenters της Microsoft από τα εκατομμύρια downloads.

Την ώρα που σας γράφω αυτές τις γραμμές, βρίσκομαι σε μια αίθουσα στο σύμπλεγμα κτιρίων Microsoft Commons μέσα στο Microsoft Campus μαζί με δεκάδες άλλους συναδέλφους από όλο τον πλανήτη, παρακολουθώντας confidential παρουσιάσεις από το Product Group των Windows 8 Server (για τον οποίο θα μιλήσουμε σε λίγο). Η αίσθηση είναι ότι υπάρχει ένας διάχυτος ενθουσιασμός στην ατμόσφαιρα. Ρίχνοντας μια ματιά στα laptops των συναδέλφων, βλέπω ότι αρκετοί έχουν ήδη εγκαταστήσει την client έκδοση αλλά και κάποιοι άλλοι έχουν και την Server έκδοση και παίζουν ήδη με το νέο Hyper-V 3.0.

Πρόκειται για μια γιορτή και αισθανόμαστε τυχεροί που βρισκόμαστε εδώ ταυτόχρονα με την επίσημη ανακοίνωση των νέων εκδόσεων. Ναι, καλά διαβάσατε. ΓΙΟΡΤΗ.

“Ειμαστε στα πρόθυρα μιας νέας εποχής σε ότι αφορά το personal computing” δήλωσε ο αρθρογράφος Edward Baig στην USA Today. “I’m impressed by what I see” δηλώνει στο τέλος του άρθρου και μάλλον όλοι όσοι είμαστε εδώ αισθανόμαστε το ίδιο.

Έχουμε παρακολουθήσει μέχρι τώρα απίστευτες παρουσιάσεις τις οποίες όταν αποδεσμευθούμε από το NDA θα τις επαναλάβουμε για να μπορέσετε να τις δείτε και εσείς. Κατά την διάρκεια των παρουσιάσεων διακρίνουμε τον ενθουσιασμό στα πρόσωπα των ομιλητών, που τυχαίνει να είναι κάποια από τα κορυφαία στελέχη της εταιρίας σε ότι αφορά τον σχεδιασμό των Windows 8.

Σε ότι αφορά την Server 8 (Beta όπως αποκαλείται εσωτερικά) έχουμε δει πολλά (πάρα πάρα πολλά) νέα χαρακτηριστικά, αρκετά από τα οποία τα περιμέναμε βέβαια. Εδώ είχαμε την ευκαιρία να τα δούμε να δουλεύουν στην πράξη, να λύσουμε τις απορίες μας σχετικά με την λειτουργία τους και να κάνουμε προτάσεις στα Product Groups για βελτιώσεις. Ναι, κάποια από τα menus που θα δείτε στην τελική έκδοση έχουν εν μέρει και την δική μου “σφραγίδα”!!

Φανταστείτε ότι είμαστε εδώ από την Κυριακή, έχουν περάσει 4 μέρες και ακόμα ανακαλύπτουμε καινούρια features που κάποια από αυτά δεν τα είχαμε ακούσει καν.

Steven Sinofsky, president of Windows and Windows Live Division, and Corporate Vice President, Windows Planning, Hardware & PC Ecosystem, Mike Angiulo highlight the Windows 8 Metro style UI at the Windows 8 Consumer Preview event in Barcelona, Spain. February 29, 2012.

 

Μαζί μου όλες αυτές τις μέρες είναι και ο καλός φίλος Mark Minasi, με τον οποίο φυσικά έχουμε κάνει απίστευτα σχόλια σχετικά με το νέο προϊόν. Και φυσικά, αν ενδιαφέρεστε να μάθετε πως μπορείτε να bootάρετε τα Windows 8 από VHD και μέσα από τα Windows 7, ρίξτε μια ματιά στο άρθρο μου στο Windows IT Pro Magazine εδώ. Αυτά που γράφω ισχύουν για την Developers Preview έκδοση, λογικά δεν έχει αλλάξει κάτι στην Consumer Preview (δεν παίρνω και όρκο όμως, οπότε… proceed with care).

Ένα καλό άρθρο για να διαβάσετε σχετικά είναι αυτό του Bill Laing, Corporate VP for Server and Cloud, το οποίο μπορείτε να βρείτε εδώ. Ρίξτε μια ματιά και στο Microsoft News Center για τα τελευταία νέα όπου υπάρχει αρκετό υλικό για το νέο λειτουργικό.

Κατεβάστε τις εκδόσεις και αρχίστε το party!!!!

Live from Redmond, WA: Windows 8 Consumer Preview is available for download

Ύστερα από μια εξαντλητική εβδομάδα στο Λονδίνο όπου συνεργάστηκα με κάποιο εκπαιδευτικό κέντρο διδάσκοντας τον πλήρη κύκλο των courses για virtualization, ξανά στα αεροδρόμια για το Seattle.

Με ενδιάμεση στάση στο Heathrow, το μεγάλο 747 με περιμένει για να με μεταφέρει στην άλλη πλευρά της Αμερικής, στα παράλια του Ειρηνικού. Το ταξίδι από το Λονδίνο στο Seattle κρατάει 9 ώρες και δυστυχώς αυτές οι ώρες δεν περνάνε και πολύ εύκολα.

Όπως προφανώς καταλάβατε, βρίσκομαι στο Redmond στα κεντρικά της Microsoft, όπου συμμετέχω στο MVP Global Summit 2012, το κορυφαίο event για τους Microsoft MVPs. Χθες και σήμερα παρακολούθησα μια σειρά από παρουσιάσεις του Product Group του Active Directory, σχετικά με ότι καινούριο θα μας φέρει ο Windows Server 8.

Λόγω του Non-Disclosure Agreement δεν μπορώ να σας αποκαλύψω τίποτα ακόμα, αλλά το συνταρακτικό σημερινό γεγονός είναι ότι η Windows 8 Consumer Preview είναι διαθέσιμη για download και μπορείτε να την βρείτε εδώ:

Windows 8 Consumer Preview ISO images

Τα υπόλοιπα θα τα πούμε σε επόμενο post, αφού συναντήσαμε και κάποιους ενδιαφέροντες συναδέλφους από όλο τον κόσμο, συζητήσαμε μαζί τους και ανταλλάξαμε απόψεις.

Τελικά… φεύγει ή μένει το κουμπί;

Αν δεν καταλάβατε, αναφέρομαι στο Start Orb των Windows 8, για το οποίο επικράτησε ένας πανικός τελευταία, μετά από κάποια ανακοίνωση σχετικά με την αφαίρεσή του. Και ενώ όλοι περιμένουμε την Consumer Preview προς το τέλος Φεβρουαρίου, υποτίθεται ότι διέρρευσαν κάποια screenshots στα οποία το κουμπί έλειπε. Διαβάσαμε πρόσφατα στο Windows Supersite του πολύ αξιόλογου Paul Thurrott ότι “Microsoft is removing the Start Orb from Windows 8”.

Φαίνεται όμως ότι κάτι άλλαξε στην πορεία, οπότε ήρθε και η διάψευση από τον ίδιο τον Paul, την οποία μπορείτε να διαβάσετε εδώ: Windows 8 Secrets: Windows 8 Is NOT Dropping The Start Button. Πολύ ενδιαφέρον έχουν στο συγκεκριμένο άρθρο και η φωτογραφία που απεικονίζει μια συσκευή με το Start Orb να είναι πλέον… πραγματικό κουμπί, περίπου όπως στο Windows Phone. Αν το σκεφτούμε λίγο καλύτερα, είναι μάλλον η φυσική εξέλιξη των πραγμάτων: αυτός που χρησιμοποιεί Windows Phone θα αισθανθεί απόλυτα εξοικειωμένος με το νέο περιβάλλον των Windows 8 και το ανάποδο.

Φυσικά όλα αυτά που ακούγονται πρέπει να τα αξιολογούμε με επιφυλάξεις, διότι ακόμα θα έχουμε μεγάλες αλλαγές, το λειτουργικό κατασκευάζεται και αλλάζει μέρα με την ημέρα, οπότε χρειάζεται… υπομονή. Θα έχει εξαιρετικό ενδιαφέρον όμως να δούμε την Consumer Preview έκδοση, η οποία θα μας βρει στα κεντρικά της Microsoft στο Redmond από τις 26 Φεβρουαρίου και μετά, όπου θα συμμετάσχουμε στο MVP Summit 2012. Έχουμε φυσικά μεγάλη ανυπομονησία για να δούμε αν θα υπάρξει και αντίστοιχη Windows 8 Server έκδοση (κάτι αντίστοιχο της beta).

Μην παραλείψετε να ρίξετε μια ματιά σε κάποια screenshots από την Consumer Preview των Windows 8, όπου φαίνεται να δουλεύει το Windows Store, αλλά επίσης εκεί θα μπορέσετε να πάρετε μια γεύση και από το Office 15, το οποίο σκίζει από εμφάνιση. Δείτε το άρθρο εδώ.

Το μόνο σχόλιο που θέλω να κάνω σχετικά με την ονομασία Consumer Preview, είναι ότι πρόκειται για μια αρκετά έξυπνη κίνηση της Microsoft. Η παραδοσιακή ονομασία “Beta” για πολλούς έχει συνδυαστεί με μια έκδοση του λειτουργικού που ακόμα δεν είναι πλήρης. Αντίθετα, ο νέος χαρακτηρισμός περιλαμβάνει την λέξη “Consumer” για να δείξει με πολύ έξυπνο τρόπο ότι απευθύνεται στο ευρύ κοινό που θα την χρησιμοποιήσει σε κάποιο slate device για μουσική, φωτογραφίες, e-mail, κλπ. Προφανώς προετοιμάζεται το έδαφος για έναν καταιγισμό tablets με Windows 8, όταν ο ανταγωνισμός προσφέρει ήδη τέτοιες λύσεις.

Σε λίγες ώρες πετάω για Λονδίνο, όπου όλη την επόμενη εβδομάδα θα εκπαιδεύσω κάποιους μηχανογράφους σε virtualization, μέσα από τα επίσημα σεμινάρια που έχουμε ήδη δει εδώ και αρκετό καιρό. Ταυτόχρονα θα έχω την ευκαιρία να δω και μια διαφορετική προσέγγιση στην εκπαίδευση Microsoft: ο εκπαιδευόμενος συμμετέχει στο λεγόμενο boot camp, όπου για μια ολόκληρη εβδομάδα τρώει, πίνει και κοιμάται στο εκπαιδευτικό κέντρο, φυσικά με τις αντίστοιχες ευκολίες που παρέχονται από αυτό. Δωμάτια για τους συμμετέχοντες και τους εκπαιδευτές, εστιατόριο και καφετέρια για το μεσημεριανό και το βραδινό φαγητό, με μια φιλοσοφία που την ονομάζουν total immersion. Φεύγεις από την δουλειά σου για μια εβδομάδα και βυθίζεσαι στην εκπαίδευση. Και όχι μόνο αυτό, δίνεις ταυτόχρονα και τις εξετάσεις πιστοποίησης, γυρνώντας στην εταιρία σου πιστοποιημένος. Ο εκπαιδευτής (δυστυχώς στην περίπτωσή μας εγώ) είναι διαθέσιμος ανά πάσα στιγμή στον χώρο για συζήτηση και ερωτήσεις από τους εκπαιδευόμενους, όπως επίσης και οι υπολογιστές της αίθουσας για τα labs, όπου είναι διαθέσιμοι σε 24ωρη βάση!

Θα σας μεταφέρω τις εντυπώσεις μου σε μελλοντικό post.

Το μυστήριο της αργής πρόσβασης στα file shares

Φεβρουάριος 2012, σε μεγάλη ελληνική εταιρία με περίπου 150 workstations.

Ο πελάτης ξαφνικά τηλεφωνεί και παραπονιέται ότι η πρόσβαση στα file shares είναι πολύ αργή. Εντελώς συμπτωματικά αυτό συμβαίνει ταυτόχρονα με κάποιες μεγάλες αλλαγές στην δικτυακή του υποδομή (routers, switches). Φυσικά το μυαλό μας πάει πρώτα εκεί, αλλά δυστυχώς τυχαίνει η πρόσβαση στον παλιό file server να συνεχίζει να είναι απροβλημάτιστη, κάτι που κινεί υποψίες και ίσως σημαίνει ότι το πρόβλημα δεν είναι εκεί…

Το επόμενο βήμα φυσικά είναι να διαπιστώσουμε αν το πρόβλημα υπάρχει σε ορισμένα PC, ή σε κάποια συγκεκριμένα. Δυστυχώς το πρόβλημα φαίνεται να είναι παντού: δεξί κλικ σε κάποιο file share και η κλεψύδρα γυρνάει, γυρνάει… και γυρνάει για περίπου 20αριά δευτερόλεπτα μέχρι που να εμφανίσει την λίστα με τις επιλογές. Ένας τυπικός έλεγχος δείχνει ότι όλα είναι σεταρισμένα έτσι όπως πρέπει: DNS και DHCP από τον domain controller. Σε κάτι άλλο οφείλεται η καθυστέρηση, μήπως στο antivirus? Το απενεργοποιούμε προσωρινά, όπως και το firewall των Windows XP, χωρίς όμως αποτέλεσμα.

Και σε αυτό το σημείο έρχεται στην μνήμη μας αυτό το κάτι που ίσως να μας λύσει το πρόβλημα. Τα Windows XP έχουν ένα service με την ονομασία “webclient” το οποίο είναι από default ενεργό και τρέχει. Παρεμπιπτόντως, τα Windows 7 έχουν το service σε manual από default, και τυχαίνει στα Windows 7 να μην έχουμε αυτή την συμπεριφορά: η πρόσβαση στα file shares είναι ταχύτατη και απροβλημάτιστη.

Απενεργοποιούμε δοκιμαστικά το webclient service σε έναν υπολογιστή με Windows XP και… λύνεται το πρόβλημά μας. Δοκιμάζουμε και σε έναν ακόμα υπολογιστή με επιτυχία. Πως όμως θα μπορέσουμε να απενεργοποιήσουμε το webclient service με εύκολο τρόπο, χωρίς να χρειαστεί να πάμε σε κάθε υπολογιστή ξεχωριστά? Group Policy Object.

Φτιάχνουμε ένα πολύ απλό start-up script που θα τρέχει σε κάθε εκκίνηση του υπολογιστή που θα επηρεάζεται από το συγκεκριμένο Group Policy Object. Τα start-up scripts βρίσκονται μέσα στο Computer Configuration και το δικό μας script με την ονομασία websrvdisable.cmd είναι το εξής:

sc config webclient start= disabled

Εφαρμόζοντας το Group Policy Object πάνω σε ένα Organizational Unit που περιέχει όλους τους υπολογιστές στους οποίους θέλουμε να γίνει η αλλαγή, έχουμε πετύχει τον σκοπό μας. Σε αυτές τις περιπτώσεις είναι καλό να δημιουργούμε ένα νέο Group Policy Object και να μην πειράζουμε το Default Domain Policy.

Μια μικρή λεπτομέρεια: αν έχετε περισσότερους από έναν domain controllers με Windows Server 2008 ή και R2, δημιουργήστε το Central Store, ώστε να είστε σίγουροι ότι αντιγράφονται όλες οι αλλαγές που κάνετε στα Group Policy Objects μεταξύ των domain controllers. Δεν σχετίζεται άμεσα με το συγκεκριμένο πρόβλημα που είχαμε, αλλά είναι καλό να γίνεται έτσι κι αλλιώς. Ρίξτε μια ματιά σχετικά με αυτό εδώ.

Την επόμενη φορά λοιπόν που θα έχετε αργή ανταπόκριση στην πρόσβαση στα file shares, θυμηθείτε το webclient service και δοκιμάστε την παραπάνω συνταγή, πιθανόν να σας γλυτώσει από πολλές ώρες troubleshooting.

Interesting Study on Microsoft Exchange market share

Πολλές φορές αναρωτιόμαστε για τα μερίδια των προϊόντων της Microsoft στην αγορά και ειδικά για το market share του Exchange. Επειδή λοιπόν έτυχε σε μια κουβέντα με κάποιον συνάδελφο να αναφέρω ένα ποσοστό του 85% και να τύχω έντονης κριτικής (“ώπα ρε μεγάλε, κόψε κάτι”), σκέφτηκα να το ψάξω λίγο παραπάνω και βρήκα τα αποτελέσματα μιας έρευνας που μπορείτε να την δείτε και μόνοι σας, θα σας παραθέσω το link στο τέλος του post.

Αποσπασματικά η έρευνα λέει:

“Exchange:

• Exchange has about 65% market share across all organizations.
• It has a 75% penetration in health care businesses with more than 5,000 employees.
• Exchange does very well in telecommunications industries with at least 1,000 employees, where it has a 90% penetration.
• Almost all organizations with up to 49 employees are on Exchange 2007. More than 40% of Exchange seats in organizations with over 10,000 employees are on Exchange 2003. About 5% of Exchange-using organizations with up to 500 employees are on Exchange 2003. Exchange 5.5 has almost disappeared.

Notes/Domino:

• Notes/Domino has about 10% market share across all organizations. It is at its strongest in manufacturing and financial industries, with more than 55% market share in manufacturing industries with at least 5,000 employees. Among health care industries with at least 2,500 employees, it has a roughly 25% market share.
• Some 55% of Notes/Domino seats in organizations with fewer than 100 employees are on version 7. Fewer than 5% of Notes/Domino seats in organizations with at least 1,000 employees are on version 5.

POP/IMAP, GroupWise:

• Internal and hosted POP/IMAP solutions are used in about 15% of organizations of all sizes. POP/IMAP products are more popular in education and technical consulting than in other industries.
• Some 5% of large organizations use a POP/IMAP-based email system.
• Novell GroupWise has a negligible overall market share. However, GroupWise has its niches, notably organizations in the financial services and government sectors with 100 to 999 employees. In those sectors, it has a 10% and 15% market share, respectively.
• The survey does not support the contention that small and medium-size organizations are migrating from on-premises software to hosted services (which would usually be classified as POP/IMAP solutions).”

Τα σχόλια που συνοδεύουν βέβαια την έρευνα έχουν ενδιαφέρον. Για παράδειγμα:

“While the report looks interesting, I have to think your sample is not random enough or significant based on the fact that you obviously did not target or receive many Domino respondants. The latest IDC numbers show Exchange at (and I’m going off of memory here, so I might be off by a point or 2) about 48% market share, and Domino at about 43%. The remaining scraps were held by POP/IMAP, GroupWise, Oracle, and others. It certainly isn’t anywhere near the 65% and the 10% you cite. 65% is almost feasible, but 10% for Domino? Once you had that, you must have realized your information was skewed and statistically insignificant.”

Και η απάντηση στο σχόλιο:

“Thanks for the feedback. This study was over 917 organizations, with a total of 10.5 million employees. This is roughly 2% of the workforce in developed economies. We believe it is by far the largest survey to determine market shares. Also, as far as I can see, IDC’s figures are not based on a survey, but on information provided by vendors. Vendor information is unreliable. Our survey is not perfect, but I do believe it’s statistically significant. I believe the market share picture it presents is an accurate one.”

 

Ρίξτε μια ματιά στο παρακάτω link:

http://email-museum.com/2008/01/31/email-products-market-shares-versions-deployed-migrations-and-software-cost/

Are you interested to get Cloud Skills?

Now it’s time to expand your knowledge and skills and move to the cloud. Do you know where to find valuable resources in order to get the cloud services skills you need to continue to be the IT professional your employer wants to keep and everyone else wants to hire.

Discover these valuable learning resources related to Microsoft’s cloud-based technologies: Microsoft Office 365, Microsoft Exchange Online, Windows Azure, Windows Intune, Microsoft Hyper-V Server, Microsoft SharePoint Online, Microsoft Dynamics CRM Online, Microsoft System Center 2012 and SQL Azure.

 

Click on the following link to find out more:

Microsoft Cloud Training for IT Professionals and Developers

Office 365 beta exams, πρώτες εντυπώσεις…

Σε παλιότερο blog post είχα αναφέρει ότι σύντομα θα έχουμε όχι μόνο εξετάσεις πιστοποίησης για το Office 365, αλλά και πιστοποιήσεις Microsoft. Συγκεκριμένα είχα αναφέρει σε εκείνο το post:

“Σύντομα λοιπόν θα έχουμε την πιστοποίηση του Microsoft Technology Specialist για το Office 365, όπως και αυτή του MCITP, οι οποίες θα αποκτούνται με 2 εξετάσεις προς το παρόν:

• 70-323 Administering Office 365
• 70-321 PRO: Deploying Office 365”

Πριν από λίγες μέρες μου δόθηκε η δυνατότητα να δώσω και τις 2 εξετάσεις στην μορφή beta, κάτι που συνηθίζεται όταν η Microsoft βγάζει καινούριες εξετάσεις και τις αντίστοιχες πιστοποιήσεις. Φυσικά για το περιεχόμενο των εξετάσεων ισχύει το NDA, οπότε μην περιμένετε να σας αποκαλύψω τις ερωτήσεις. Αυτό όμως που πρέπει να καταλάβουμε είναι πόσο επενδύει η Microsoft στην σουίτα, θέλοντας να δημιουργήσει και να πιστοποιήσει επαγγελματίες που θα ασχολούνται με το administration και το deployment του Office 365 στον τελικό πελάτη.

Και οι δύο εξετάσεις έχουν πρακτικά τα πάντα: εξετάζεστε σε όλα τα προϊόντα που περιλαμβάνει η σουίτα, δηλαδή Exchange, Sharepoint και Lync. Πολύ, πάρα πολύ powershell, και σενάρια διαχείρισης και υλοποίησης με συνδυασμό των προϊόντων.

Η μεγαλύτερη δυσκολία είναι ότι για να περάσεις πρέπει να τα ξέρεις όλα. Δεν αρκεί να ξέρεις Exchange, πρέπει να έχεις ασχοληθεί με το Sharepoint αλλά και με το Lync. Ίσως οι δυσκολότερες εξετάσεις που έχω δώσει ποτέ από το 1998 που ξεκίνησα να πιστοποιούμαι σε προϊόντα Microsoft. Πραγματικά απαιτείται τεράστια ενασχόληση και εμπειρία σε κάτι που είναι σχετικά καινούριο στην αγορά.

Και φυσικά αν φαντάζεστε ότι κάποια στιγμή θα μπορέσετε να δώσετε τις εξετάσεις αποστηθίζοντας τις ερωτήσεις από ύποπτες πηγές, μπορείτε απλά να το ξεχάσετε. Έχει αλλάξει η μορφή των εξετάσεων, ώστε να είναι πλέον εξαιρετικά δύσκολη η απομνημόνευση. Συγχαρητήρια στην Microsoft για αυτή την αλλαγή, την οποία περιμένουμε να δούμε σύντομα και στις υπόλοιπες εξετάσεις πιστοποίησης.

Αν λοιπόν σας ενδιαφέρει να επενδύσετε στο Office 365 και να πιστοποιηθείτε, αρχίστε από τώρα να μαθαίνετε Exchange, Sharepoint και Lync, διότι ο δρόμος θα είναι μακρύς και δύσκολος. Το σίγουρο είναι ότι  το Office 365 θα το έχουμε για πολύ καιρό μαζί μας.

Best of 2011 Blogging!

The WordPress.com stats helper monkeys prepared a 2011 annual report for this blog.

Here’s an excerpt:

A San Francisco cable car holds 60 people. This blog was viewed about 2,300 times in 2011. If it were a cable car, it would take about 38 trips to carry that many people.

Click here to see the complete report.