SCOM: cоздание фильтров Audit Collection Services (ACS Filter)

SCOM: cоздание фильтров Audit Collection Services (ACS Filter)

После установки и настройки Audit Collection Service в Operations Manager встаёт проблема с слишком большим потоком данных в базу данных ACS. Конечно, первоначально необходимо настроить политики аудита на наблюдаемых системах, чтобы его включить и логировать только требуемые события. Вторым рубежом фильтрации данных будет сам ACS коллектор. В этой статье я разберу механизм фильтрации событий аудита, чтобы отбросить «лишние» с нашей точки зрения данные и не переполнять ими базу данных коллектора. Настройка фильтров (ACS Filter) производится с помощью утилиты AdtAdmin.exe, которая доступна на сервере с установленной ролью ACS коллектора. Фильтры представляют собой WMI Query Language (WQL) запросы. При написании статьи я использовал SCOM 2016, но эта же информация актуальна и для 2012, 2012R2.

Продолжить →
Опубликовано Павел Антипов в SCOM, 0 комментариев
Установка Audit Collection Services (ACS) в System Center Operations Manager 2016

Установка Audit Collection Services (ACS) в System Center Operations Manager 2016

Audit Collection Services (ACS) предоставляют средства сбора и централизованного хранения записей, которые формируются политикой аудита Windows. По умолчанию все события аудита хранятся в локальном журнале безопасности. ACS предоставляет возможность централизованного доступа к этим данным. Для планирования развёртывания служб ACS рекомендую ознакомиться с официальной документацией https://technet.microsoft.com/ru-ru/library/hh212872(v=sc.12).aspx, а также с материалом Планирование архитектуры ACS . В этой статье я рассмотрю базовый сценарий развёртывания ACS с небольшим количеством наблюдаемых систем.Для начала расскажу пару слов о среде, в которой производится установка Audit Collection Services.
Имеется развёрнутый Operations Manager 2016 Rollup Update 2 в следующей конфигурации: 2 сервера управления (Management Servers) OMMS1, OMMS2 и отдельный сервер баз данных OMDB, на котором развёрнут Reporting Server. Операционные системы на серверах Windows Server 2016, сервер баз данных — SQL Server 2016. Необходимо развернуть Audit Collection Services (ACS). Итоговая архитектура будет выглядеть как на рисунке:

Продолжить →
Опубликовано Павел Антипов в SCOM, 0 комментариев
SCOM: как изменить период хранения событий аудита в базе данных ACS

SCOM: как изменить период хранения событий аудита в базе данных ACS

Проблема: требуется изменить период хранения данных в базе данных ACS

Во время установки Audit Collection Service не всегда можно точно определить требования к периоду хранения событий в базе данных. Зачастую нам необходимо менять его. Но в интерфейсе консоли Operations Manager это не предусмотрено. Делается это в SQL Management Studio внесением изменений в таблицу конфигурации dbo.dtConfig базы данных ACS.

Продолжить →
Опубликовано Павел Антипов в SCOM, 0 комментариев
Nano Server Windows Server 2016. Установка на виртуальные машины Hyper-V и VMware

Nano Server Windows Server 2016. Установка на виртуальные машины Hyper-V и VMware

Вкратце о Nano Server

Nano Server – самая минималистичная инсталляция Windows Server 2016. Она примерно в 20 раз меньше обычной установки с графическим интерфейсом, а также она занимает около 10% от стандартной установки Server Core. Она не имеет GUI, в ней нет командной оболочки, но при этом, она полностью управляется удалённо. Nano Server – самая безопасная ОС, т.к. в ней минимум драйверов, сервисов, открытых портов, что приводит в конечном счёте к минимизации площади возможной атаки.

Продолжить →
Опубликовано Павел Антипов в Nano Server, 0 комментариев
Как освободить место на диске с включенной дедупликацией

Как освободить место на диске с включенной дедупликацией

Дедупликация в Windows Server очень интересная штука. Говорить о её плюсах и минусах сейчас не будем. В этой статье я расскажу как освободить место на диске с включенной дедупликацией после удаления файлов.
Если на дедуплицированном разделе удалить часть файлов, то свободного места на диске не прибавится, как на обычном разделе. Для этого есть специальная операция Garbage Collection (сбор мусора). По умолчанию она запускается раз в неделю ночью. В планировщике задач есть специальная задача:

Задание очистки мусора Garbage Collection дедупликации данных

Не всегда есть возможность ждать выполнения следующего задания, иногда нужно высвободить место как можно скорее. Для этого можно запустить GarbageCollection вручную через PowerShell.

Продолжить →
Опубликовано Павел Антипов в Storage, 0 комментариев
Доступ на чтение к почтовому ящику Exchange 2013/2016 и его автоподключение в Outlook

Доступ на чтение к почтовому ящику Exchange 2013/2016 и его автоподключение в Outlook

Автоподключение дополнительного почтового ящика в Outlook обычно автоматически происходит, когда мы предоставляем «полный доступ» (Full Access) к почтовому ящику. Если же необходимо настроить доступ только на чтение, то автоподключение уже не произойдёт, но его можно «организовать» изменив соответствующий атрибут в Active Directory объекта пользователя, ящик которого мы хотим подключить.

Продолжить →
Опубликовано Павел Антипов в Exchange Server, 9 комментариев
Outlook, Winmail.dat, Win.dat, RTF и Exchange Server

Outlook, Winmail.dat, Win.dat, RTF и Exchange Server

Вкратце о winmail.dat

Время от времени, многие сталкиваются со странными вложениями winmail.dat или win.dat в письмах от пользователей Outlook. Причина в том, что когда Outlook отправляет сообщение в формате RTF (это реализация TNEF от Microsoft), то всё форматирование текста (шрифты, цвета и т.п.); OLE объекты (встроенные картинки, офисные документы); различные формы, опросы, встречи и обычные вложения прикрепляются стандартным вложением winmail.dat к сообщению в текстовом виде (plain text). Если почтовый клиент получателя не может обрабатывать такие сообщения, то пользователь видит winmail.dat во вложении и открыть его без специальных программ он не сможет. Обрабатывать winmail.dat кроме самого Outlook’a не может почти ни один клиент. Мне известно, что Gmail имеет некоторые возможности по декодированию таких сообщений. Формат RTF, также известный как формат TNEF, является специфическим форматом Майкрософт для инкапсулирования свойств сообщений MAPI. Outlook Web App преобразует TNEF в формат MAPI и отображает отформатированные сообщения.

Продолжить →
Опубликовано Павел Антипов в MS Office, 2 комментариев

UAC — распространение настроек через GPO

Вкратце о технологии UAC

Контроль Учётных записей (User Account Control) – технология, помогающая предотвратить несанкционированный запуск вредоносного кода. Когда UAC включен, все приложения запускаются в контексте не привилегированного пользователя, даже если пользователь, запускающий эти приложения является локальным администратором в системе.

Продолжить →
Опубликовано Павел Антипов в Windows, 0 комментариев
Использование Simple Display Name в Exchange Server для отправки сообщений в Интернет с другим именем в поле From:

Использование Simple Display Name в Exchange Server для отправки сообщений в Интернет с другим именем в поле From:

В этой статье мы рассмотрим одну интересную возможность Exchange Server, которая позволяет с помощью Simple Display Name изменять имя пользователя при отправке сообщений за пределы организации

Применимо к Exchange 2003, 2007, 2010, 2013, 2016

Продолжить →
Опубликовано Павел Антипов в Exchange Server, 1 комментарий
Ldifde — перенос структуры OU между доменами AD

Ldifde — перенос структуры OU между доменами AD

Иногда при миграциях бывает необходимо воспроизвести структуру организационных подразделений Active Directory из исходного домена в целевом. Самый быстрый способ сделать это – экспортировать структуру OU с помощью утилиты ldifde из исходного домена в ldf файл, отредактировать полученный файл с помощью текстового редактора и импортировать полученный файл в целевой домен.

Продолжить →
Опубликовано Павел Антипов в AD DS, 0 комментариев