Filtrando GPO por sistema operacional maio 25, 2011
Posted by Leonardo Pucci in Uncategorized.1 comment so far
Quando vamos aplicar uma gpo para os usuários, algumas vezes, além da estação de trabalho, o usuário pode ter que acessar externamente um servidor de terminais, aonde na maioria das vezes, as politicas na estação nao se aplicam para o servidor de terminais.
O comum é utilizar o Security Filtering, que aplica as regras baseado nos membros:
Filtro de segurança para usuários autenticados e abaixo a opção de WMI filtering
Dns Load Balancing no Bind maio 22, 2011
Posted by Leonardo Pucci in Uncategorized.add a comment
O Balanceamento de carga é um recurso simples de se implantar e que ajuda quando existe uma grande utilização de recursos distrubuidos em vários servidores. Seja pela questão de processamento seja para aumentar a disponibilidade sem se concentrar em um único ponto de falha.
O bind, nativamente já vem com a opção rrset-order setada como cíclica. Então, ao se adicionar mais do que 1 ip por host, ele já realizará um balanceamento direcionando a consulta para ips diferentes.
; arquivo zone do bind
ftp IN A 192.168.0.10
ftp IN A 192.168.0.11
ftp IN A 192.168.0.12
www IN A 192.168.0.150
www IN A 192.168.0.161
blog IN A 192.168.10.12
blog IN A 192.168.10.13
Lembrando que ao realizar uma consulta, o TTL da query que foi feita será armazenado na máquina.
Exemplificando: Com um TTL de 12 horas, a máquina que resolveu um ip, realizará a conexao para o mesmo ip nestas doze horas respeitando a configuração de cache da máquina. Sendo assim, será feito o balanceamento, mas não ocorrerá um troca caso o servidor esteja fora do ar.
Nao considero este balanceamento de carga como uma boa opção para High Availability, pois caso voce diminua o tempo de vida do pacote, o numero de consultas DNS aumentará substancialmente e ao deixar o TTL ativo, ele será armazenado em provedores e proxys que farão o armazenamento da resolução.
Uma opção interessante seria a utilizaçao do HA-proxy. Desta forma voce poderia balancear o HA via software levando em consideração se os hosts estão ativos, caracterizando uma situação de High Availability.
Uma opção legal que achei a respeito do balanceamento de carga via dns, é a opção Split Horizon :
Mapemanto geográfico: Baseado no ip addres que está fazendo a consulta, o servidor retorna um endereço ip mais conveniente para aquela região, diminuindo a latência entre o usuário e o servidor.
Filtragem por ip: Desta forma usuários diferentes podem receber endereços diferentes. Voce pode oferecer um serviço personalizado via dns para certos clientes.
Com esta opção, voce pode fazer até um balanceamento de carga distribuindo ip´s para varios servidores diferentes. Acho mais efetivo do que o round robin padrao do dns.
Filtro de e-mail para todos os usuarios Zimbra março 22, 2011
Posted by Leonardo Pucci in Uncategorized.1 comment so far
Devido ao spam interno, foi necessario criar um filtro no zimbra para que as mensagens recebidas provenientes da conta imprensa@servidor.com.br fossem enviadas para uma pasta interna. Fazendo com que os comunicados internos fossem separados do fluxo de e-mails.
Fica sendo caracterizado como spam toda e qualquer comunicação não solicitada ou que nao tenha como ser bloqueada de forma prática pelo próprio usuário. Assim que enxergo a situação.
A solução mais profissional seria criar listas de distribuição, oferecendo a opção ao usuário de receber ou não os e-mails.
Isto acarretaria a criação de um novo servidor, pois nao existe a opção da criação de listas de distribuição no zimbra.
Para facilicar, criei 3 jobs:
1 – criar pasta Comunicados dentro da account do usuário caso ela não exista.
#!/bin/bash
for i in `zmprov -l gaa`
do
zmmailbox -z -m $i cf -c blue /Comunicados
done
2 – Criar um filtro para que todas as mensagens provenientes do e-mail especifico fossem encaminhadas para a referida pasta.
[root@mail opt]# vim filtromail.sh
for i in `zmprov -l gaa`
do
zmmailbox -z -m $i addFilterRule Comunicacao header “from” contains “imprensa@servidor.com.br” fileinto “/Comunicados”
done
3 – Periodicamente deletar as mensagens antigas desta pasta. Pois como se trata de uma provisão em massa, pode me causar problemas de armazenamento.
Este script ainda não criei. Preciso analisar o zmmailbox para ver quais as opções de tempo que ele me oferece.
Configurações básicas para o postfix fevereiro 23, 2011
Posted by Leonardo Pucci in Uncategorized.add a comment
Tive problemas com máquinas dentro da minha sub-rede que continham o outlook configurado.
Tive dificuldade com a desinstalação do F-secure. Pois o maldito não continha uma remoção fácil, a empresa não fornecia uma ferramenta de remoção que não reiniciasse as máquinas.
Desta forma caso eu executasse um comando remoto, todas as máquinas reiniciariam. E foi isto que acabou tendo que ser feito.
Enfim, mas como ainda não me livrei dele, algumas máquinas com o anti-virus desatualizado começaram a se infectar e utilizar uma configuração de e-mail válida para enviar vírus para a Internet!
O primeiro a me bloquear foi a TrendNet Rbl+, que funciona muito bem. Apesar de ter sido bloqueado em vários domínios que utilizam a ferramenta, eu tive uma certa dificuldade em conseguir o desbloqueio. Foram alguns dia tentando entender o comportamento da rede e de como implementar os bloqueios no Zimbra, que utiliza o postfix como smtpd. Sendo assim considero o serviço de qualidade. Pois me fez parar tudo para resolver o problema. (Ainda não fui liberado. )
Agradeço a ajuda do Dave Rand, da Trend, que me deu algumas dicas depois de afirmar que meu servidor de e-mail estava mal configurado.
1 – Exibir qual usuário autenticado está enviando e-mails pelo smtp.
Received: from Puccipc (unknown [172.16.99.121]) (Authenticated sender: leonardo.pucci) by mail.santacasadefranca.com.br (Postfix) with ESMTPA id
Desta forma, voce consegue saber qual o e-mail que está com a senha fraca, ou com um outlook enviando vírus.
No caso do webmail isto não aparece, o que é uma pena. Pois identifcar o remetente é util em várias situações.
2 – Bloquear a rede interna.
Se voce optou pelo webmail. Se livre dos clientes na máquina. Terá que investir em storages, processamento, memoria e redundância. Mas se ficar bem feito. Vale o que custa. Se livre de qualquer ferramenta adicional.
3 – Permitir e-mails do sistema.
Permita alguns e-mails do sistema. Sistemas Erp costumam enviar e-mails pelo próprio sistema. Como a configuração de conexão fica dentro do banco de dados e é utilizado apenas pelo sistema. Esta é a excessão da regra acima.
Permita as impressoras. Hoje em dia é comum as impressoras enviarem e-mails. Passa a ser uma forma prática de escanear documentos.
Pensando neste cenário, vamos entender como o postfix executa seus bloqueios.
telnet 192.168.0.2 25 # Comentario sobre regras de entrada postfix Trying 192.168.0.2... Connected to 192.168.0.2 (192.168.0.2). Escape character is '^]'. 220 mail.example.com ESMTP Postfix # <-Aqui se aplica: smtp_client_restrictions HELO mail.example.com # <-Aqui se aplica: smtp_helo_restrictions 250 mail.example.com # MAIL FROM:<ned@example.com> # <-Aqui se aplica: smtp_sender_restrictions 250 2.1.0 Ok # RCPT TO:<ned@example.com> # <-Aqui se aplica: smtp_recipient_restrictions 250 2.1.5 Ok # DATA # <-Aqui se aplica: smtp_data_restrictions 354 End data with <CR><LF>.<CR><LF> # To:<ned@example.com> # <-Aqui se aplica: header_checks From:<ned@example.com> # Subject:SMTP Test # This is a test message # <-Aqui se aplica: body_checks . # 250 2.0.0 Ok: queued as 301AE20034 QUIT 221 2.0.0 Bye Connection closed by foreign host.
Agora que voce sabe a ordem de processamento das regras, vou focar em como bloquear o envio por smtpd
To be continued…
Centralizar ou descentralizar sua solução de e-mail fevereiro 23, 2011
Posted by Leonardo Pucci in Email.add a comment
Problemas com vírus, má configuração, perda de mensagens, outlook repair, mailbox corrompida e arquivar mensagens antigas.
Algo familiar?
Se voce resolveu se livrar de uma solução descentralizada e apostar suas fichas numa solução centralizada como o Zimbra ou outra ferramenta, seguem alguns pensamentos
Veja bem, voce vai provar por A+B pro presidente da empresa porque ele precisa mudar!
1 – As ferramentas atuais contém Agenda, Calendário, Marca Reuniões, Integra com outros sistemas, seja hotmail, gmail, etc.
Ou seja. Aquela conversa do blackberry aqui não cola mais. Mas prepare-se para configurar os aparelhos.
2 – Voce está careca de saber que outlook dá problema, seja com vírus, seja com problemas de limpeza ou com pastas corrompidas.
Se você montar um plano de ação, fica fácil convencer o time.
Instale o servidor e continue com todas as ferramentas. Caso um webmail já seja utilizado na empresa, voce será bombardeado por ligações telefonicas. Utilize o imapsync para poder migrar as contas dos usuários.
Depois de 3 meses, remova o acesso pop. Prepare-se para os fãs de outlook reclamando que não estão recebendo mais os e-mails. Mesmo que voce tenha avisado por e-mail alguns dias antes que o serviço ia parar. Libere o pop pros usuários do gmail e black berry que utilizam-se do serviço.
Passados mais 2, remova o smtp. (Isso resolve o problema com vírus.). Diga adeus ao outlook ou a alguns usuários enviando listas de e-mail com alguns programas que voce não quer no seu sistema.
Pronto! Voce está no webmail. Agora analise bem a questão de storage, redundância e processamento.
Lembre-se. Voce facilitou sua vida e do help-desk de forma abrupta. Conduziu o aprendizado da nova ferramenta com parcimônia e alguns reclamões, mas sobreviveu!
Feito isto, voce estará conversando sobre Terabytes e storages, repair de mailboxes, pois elas tambem precisam de uma certa reindexação e um grande uso de cpu e memória. Bkp diário é muito útil. Voce está lidando com um problema centralizado de alto impacto na vida diária das pessoas. Cuidado!
Snapshots antes de atualizações, atualizações de madrugada, mudança de configurações fora do horario de serviço.
Na hora que o pau quebrar. É a madrugada que vai embora. Passadas algumas cagadas, voce não vai pular pro Gran Finale e vai querer fazer todos os backups, salvar todas as configurações, tirar até prints das telas.
Então pondere bem.
Help desk barato mas estressante VERSUS Ambiente tranquilo mas necessitando alta qualificação de mão de obra e bandeira 2 nas horas de trabalho para manutenção programada (Rezo aqui para que voce seja profissional e se programe. Sem emoçoes).
Instalacao do Windows Live messenger via active directory janeiro 21, 2011
Posted by Leonardo Pucci in Active directory, Windows.add a comment
Tive problemas com uma atualização do msn/windows live messenger.
A atualização era necessária e ele não permitia conectar sem atualizar. E a atualização requeria poderes administrativos.
Imagine atualizar 400 máquinas uma por uma?
Depois de umas duas horas, consegui montar um script que fazia o trabalho para mim!
Diferenças entre classes12.jar, ojdbc14.jar ojdbc5.jar e ojdbc6.jar janeiro 15, 2011
Posted by Leonardo Pucci in Linux, Windows.add a comment
Me deparei com este problema ao ter que instalar um servidor com tomcat e um conector oracle que não funcionava de forma nenhuma!
Passado alguns dias analisando a situação, percebi que os clientes oracle para java tinham algumas particularidades.
Veja que interessante!
Sinais da inclusao digital e da falta de uma base solida educacional dezembro 12, 2010
Posted by Leonardo Pucci in abobrinhas.add a comment
vanderlei 17 de Novembro de 2010 – 13:45:46
SRS:VENHO POR MEIO DESTA SOLICITAR UMA PROVIDENCIA IMEDIATA QUANTO AO O QUE VEM ME OCORRENDO POIS JA ESTOU ATÉ AS TAMPAS COM ISSO DE SEGUNDA E SEXTA FEIRA TEM OCORRIDO VARIAS VEZES AO DIA QUE OS NUMEROS 0112523-7771 E 011-25358820 VEM SENDO MUITO IPERTINETE LIGAM EM CASA E NO CELULAR E TODAS AS VEZES DESLIGA AO RETORNAR NÃO OBTENHO ESITO ,CONSEGUI INFORMAÇOES QUE SI TRATA DE TELE-MARKETING ,PORISSO SENHORES PEÇO FAÇÃO VALER A LEI NESSE NOSSO BRASIL E PUNA ESSES IMBESIS .
Retirado de: http://www.jusbrasil.com.br/noticias/975979/lei-do-nao-perturbe-ja-esta-valendo
Desabilitando Ctrl Alt Del no linux. Nao permitir o reinicio sem logar no sistema setembro 18, 2010
Posted by Leonardo Pucci in Linux.Tags: console, Linux, login, reboot, restart, shell
add a comment
Para desabilitar o comando Ctrl+Alt+Del na shell, bloqueando assim o reinicio da máquina pela console sem estar logado na máquina, é só editar o arquivo /etc/inittab e alterar a seguinte linha:
Multiplos sites, apenas um ip – Fazendo ProxyPass no Apache Vhosts junho 28, 2010
Posted by Leonardo Pucci in Linux.add a comment
Estava com um problema de ip´s e tive que fazer um Proxy pelo apache para configurar 2 sites no mesmo ip.
Agora com o cloud computing e a disponibilidade de processamento, fica sendo uma boa prática a criação de uma máquina virtual para cada serviço.
Sendo assim, aquele servidor antigo que rodava iis, e-mail, mssql já deixa de existir.
Porque?
Já pensou se eu preciso alterar algo no IIS e o servidor dá problema? Uma placa de rede que para de funcionar, um serviço que nao sobe. Isso é mais comum do que parece. É aquele tipo de coisa que não oferece agilidade. Que ninguém quer por a mão. E se eu estiver com uma situação em que o melhor seria reinstalar o servidor de e-mail? As vezes nao compensa perder tempo com erros desconhecidos que gastarao um bom tempo pra arrumar sendo que reinstalando terminam os problemas. Aí já não é uma questao de nao saber arrumar ou nao conseguir. E sim porque é mais inteligente e menos dispendioso voce começar do zero a ter que mecher num serviço que já recebeu diversos patches e vai precisar de alteração em registro e tudo mais.
Enfim. Fica aqui explicado então o porque de uma máquina virtual para cada aplicação. Lógico que se voce estiver falando de licença de servidores windows isto muda um pouco de figura. Mas fica ai definida uma situação ideal. Aí vai do perfil do dono da empresa.
Bom.. agora voltando ao assunto, numa falta de ip, tinha 2 sites e apenas um ip válido disponível para acesso.
