제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under MSSQL
https://www.mssqltips.com/sqlservertip/4558/sql-server-launchpad-service-cannot-be-started/
MSSQL 2016 R 서비스 설치할때나 설치후에 이문제때문에 지웠다 깔았다는 연속으로 해서 검색해보니 링크와 같은 해결방법이 나왔었습니다.
보안설정한다고 ISMS 가이드 문서에 콘솔 로그온에 USERS 그룹이 기본값으로는 존재하는데 이걸 삭제한겁니다. NTSERVICE\MSSQLLaunchpad 를 관리자 그룹에 등록해도 에러가 발생하길레 스크립트 권한에서 막혔나 싶어서 이것저것 권한을 넣어봐도 답없음이였습니다.
그런데 실제서비스 권한은 MSSQLSERVER01부터 20까지 필요한거였었습니다.
사용자 삽입 이미지
보안 이벤트 4625를 기록하며 실패하는 로그입니다.
사용자 삽입 이미지
ISMS 보안가이드를 적용한다면 SQLRUSERGROUP 을 등록하면 해결이 됩니다.
저그룹을 관리자 그룹에 등록하는건 어떻냐고 하는데 스크립트를 사용하는 계정을 관리자로 등록하면 보안에 더큰 문제가 발생하기 때문입니다. 스크립트 하나로 시스템을 쉽게 변경하여 제어할수 있기 때문에 최소한의 권한을 유지하는것이 권고사항입니다.
사용자 삽입 이미지

ISMS 보안권고 가이드 문서에는 기본공유 제거와 RemoteRegistry 를 비활성 시키라고 하는데 이걸 반영하면 클러스터 서비스가 내려가는 재앙을 경험할수 있습니다.
ISMS 시행한지 정말 오래되었는데 문서에 클러스터 서비스는 예외처리를 권고한다고 제시하면 관리자들이 당황하는 일은 없을텐데 아직도 이런다는게 이해가 안갑니다.
4년전에도 서비스 영향을 받기 때문에 적용불가능하다는걸 일일이 체크하고 예외문서 작성한 기억이 납니다. 


2017/11/08 03:12 2017/11/08 03:12
Posted
Filed under Study

http://vmwareaddicted.blogspot.kr/2016 ··· _10.html

 # esxcli storage nmp device list
naa.600144f0c32ea612000058c9869f0001
   Device Display Name: SUN Fibre Channel Disk (naa.600144f0c32ea612000058c9869f0001)
   Storage Array Type: VMW_SATP_ALUA
   Storage Array Type Device Config: {implicit_support=on;explicit_support=off; explicit_allow=on;alua_followover=on; action_OnRetryErrors=off; {TPG_id=0,TPG_state=AO}}
   Path Selection Policy: VMW_PSP_RR
   Path Selection Policy Device Config: {policy=rr,iops=1000,bytes=10485760,useANO=0; lastPathIndex=0: NumIOsPending=0,numBytesPending=0}
   Path Selection Policy Device Custom Config:
   Working Paths: vmhba1:C0:T3:L0, vmhba1:C0:T2:L0, vmhba2:C0:T3:L0, vmhba2:C0:T2:L0
   Is Local SAS Device: false
   Is USB: false
   Is Boot USB Device: false


for i in `esxcfg-scsidevs -c |awk '{print $1}' | grep naa.600144f0c32ea612000058c9869f0001`; do esxcli storage nmp psp roundrobin deviceconfig set --type=iops --iops=1 --device=$i; done

 


for i in `esxcfg-scsidevs -c |awk '{print $1}' | grep naa.600144f03d0f0f000000583f6e820001`; do esxcli storage nmp psp roundrobin deviceconfig set --type=iops --iops=1 --device=$i; done

 

~ # esxcli storage nmp device list
naa.600144f0c32ea612000058c9869f0001
   Device Display Name: SUN Fibre Channel Disk (naa.600144f0c32ea612000058c9869f0001)
   Storage Array Type: VMW_SATP_ALUA
   Storage Array Type Device Config: {implicit_support=on;explicit_support=off; explicit_allow=on;alua_followover=on; action_OnRetryErrors=off; {TPG_id=0,TPG_state=AO}}
   Path Selection Policy: VMW_PSP_RR
   Path Selection Policy Device Config: {policy=iops,iops=1,bytes=10485760,useANO=0; lastPathIndex=1: NumIOsPending=0,numBytesPending=0}
   Path Selection Policy Device Custom Config:
   Working Paths: vmhba1:C0:T3:L0, vmhba1:C0:T2:L0, vmhba2:C0:T3:L0, vmhba2:C0:T2:L0
   Is Local SAS Device: false
   Is USB: false
   Is Boot USB Device: false

기본값은 약 9:1 비율로 처리가 되기 때문에 속도가 1채널보다 약간 높은 수준의 속도에 제한되어 버리는 상황때문에 한참을 찾았습니다. vcenter 에서도 고급설정을 일일이 다 찾아봐도 이부분은 없어서 해당 사이트에서 겨우 찾아서 해결하였습니다.

사용자 삽입 이미지
최대 490MB 만 나오던 FC 스토리지 속도가 최대속도를 다 끌어오고 있습니다. 4G 듀얼채널이기에 그이상은 무리입니다. 스토리지 최대속도는 2.5G 정도인데 FC콘트롤러와 SAN 스위치가 저가이다보니 여기까지만...

2017/11/02 21:42 2017/11/02 21:42
Posted
Filed under Study

https://blog.watchpointdata.com/rdp-brute-force-attack-detection-and-blacklisting-with-powershell

 

 #######################Beginning of script#########################
#Checks for IP addresses that used incorrect password more than 10 times
#within 1 hours and blocks them using a firewall rule 'Blacklist Block'
 #Global variables
$logfile = "C:\Support\blocked.txt"
 #Check only last 1 hours
$DT = [DateTime]::Now.AddHours(-1)
 #Select Ip addresses that has audit failure $af
$af = Get-EventLog -LogName 'Security' -InstanceId 4625 -After $DT | Select-Object @{n='IpAddress';e={$_.ReplacementStrings[-2]} }
 #Get ip adresses, that have more than 10 wrong logins. Change this number if you’d like.
$getip = $af | group-object -property IpAddress  | where {$_.Count -gt 10} | Select -property Name
 #Get firewall object
$fw = New-Object -ComObject hnetcfg.fwpolicy2
 #Get firewall rule named 'Blacklist Block' (must be created manually)
$ar = $fw.rules | where {$_.name -eq 'Blacklist Block'}
 #Split the existing IPs into an array so we can search it for existing IPs
$arRemote = $ar.RemoteAddresses -split(',')
#Only collect IPs that aren't already in the firewall rule
$w = $getip | where {$_.Name.Length -gt 1 -and !($arRemote -contains $_.Name + '/255.255.255.254') }
#Add the new IPs to firewall rule
$w| %{
  if ($ar.RemoteAddresses -eq '*') {
                                $ar.remoteaddresses = $_.Name
                }else{
                                $ar.remoteaddresses += ',' + $_.Name
                }
}
 #Write to logfile
if ($w.length -gt 1) {
                $w| %{(Get-Date).ToString() + ' ' + $_.Name >> $logfile}
}
Exit
#########################End of script###########################

 

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지


원격데스크탑 및 터미널을 이용하는데 RD Gateway 처럼 HTTPS 인증절차가 없는 서버나 PC일경우 유용한 파워쉘 스크립트입니다.
비정규포트로 사용하더라도 스캐너를 사용하여 사용하는 포트를 감지당했을때는 바로 해킹 및 접속시도를 하게 되어 감사로그를 주기적으로 모니터링 하지 않으면 언젠가는 탈취당하게 되는 재앙이 발생하게 되어 위와같은 스크립트를 구글에서 찾게 되었습니다.
사용해보니 꽤 좋네요. 자동으로 검색해서 자체방화벽 차단 리스트에 IP를 등록해주니 많이 편해졌습니다. 터미널 포트가 아니여도 SMB나 기타 감사로그 패턴에 실패로 기록되는 서비스는 이쉘을 이용하여 자동으로 차단할수 있게됩니다.

2017/07/12 01:18 2017/07/12 01:18
Posted
Filed under Study
https://support.microsoft.com/ko-kr/help/956176/error-message-when-you-try-to-save-a-table-in-sql-server-saving-change

테이블 다시 생성 해야 하는 변경 내용을 저장 안 함 옵션을 변경 하려면 다음과이 같이 하십시오.
1.SQL Server Management Studio (SSMS)를 엽니다.
2.도구 메뉴에서, 옵션을 클릭합니다.
3.옵션 창의 탐색 창에서 디자이너를 클릭 합니다.
4.선택 하거나 표 재작성 해야 하는 변경 내용을 저장 안 함 확인란의 선택을 취소 하 고 확인을 누릅니다.

테이블에 대해 변경 내용 추적 기능을 사용할지를 결정 하려면 다음이 단계를 수행 합니다.

1.SQL Server Management Studio 개체 탐색기에서 테이블을 찾습니다.

2.테이블을 마우스 오른쪽 단추로 클릭 한 다음 속성을 클릭 합니다.

3.표 속성 대화 상자에서 변경 내용 추적을 클릭 합니다.

변경 내용 추적 항목의 값이 True이면 테이블에 대해이 옵션이 활성화 됩니다. 값이 False이면이 옵션이 비활성화 됩니다.

변경 내용 추적 기능을 사용 하는 경우 Transact SQL 문을 사용 하 여 테이블의 메타 데이터 구조를 변경 합니다.

이 문제를 재현하는 단계

1.SQL Server Management Studio 테이블 디자이너 도구에서 기본 키를 포함 하는 테이블을 만듭니다.

2.이 테이블이 포함 된 데이터베이스를 마우스 오른쪽 단추로 클릭 한 다음 속성을 클릭 합니다.

3.데이터베이스 속성 대화 상자에서 변경 내용 추적을 클릭 합니다.

4.변경 내용 추적 항목의 값을 True로 설정 하 고 확인을 클릭 합니다.

5.테이블을 마우스 오른쪽 단추로 클릭 한 다음 속성을 클릭 합니다.

6.표 속성 대화 상자에서 변경 내용 추적을 클릭 합니다.

7.변경 내용 추적 항목의 값을 True로 설정 하 고 확인을 클릭 합니다.

8.도구 메뉴에서, 옵션을 클릭합니다.

9.옵션 대화 상자에서 디자이너를 클릭 합니다.

10.테이블 다시 생성 해야 하는 변경 내용을 저장 안 함 확인란을 선택 하려면 클릭 한 다음 클릭 확인 합니다.

11.테이블 디자이너 도구에서 기존 열에서 Null 허용 설정을 변경 합니다.

12.테이블에 변경 내용을 저장 하십시오.


사용자 삽입 이미지

권고사항은 해제하지 말라고 하는데 마우스 UI를 즐겨쓰는 필자에게는 필요한 도구입니다. 마우스로 하다보면 실수로 인해서 재앙이 올수도 있으니 애초에 저기능을 기본값을 비활성 시켰던거 같습니다. 대부분 쿼리로 수정을 할때는 tran 구문으로 되돌릴수도 있는데 UI는 바로 커밋떨어져서 작업할때 신중해야됩니다.

2017/07/05 10:10 2017/07/05 10:10
Posted
Filed under Study
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

Hyper-V 의 프리버젼인 Core 버젼으로 RemoteFX 테스트를 해보았습니다.
코어버젼은 UI가 없는 버젼이며 서버코어랑 똑같다고 보면 됩니다. UI관리는 Windows 10 RSAT 나 Windows Server 2016 버젼의 관리도구를 리모트로 붙어서 관리를 해야됩니다. 물론 파워쉘을 잘할수 있는분이라면 파워쉘로 가능하다고 할수 있지만 일반적으로 필자를 비롯하여 무지 힘들다?이며 일일이 명령어와 쉘을 알지 못하면 중간에 포기할수도 있기에 리모트로 관리도구로 붙어서 사용하는것을 권고합니다.
VGA 카드는 DX11 이상을 지원해야하며 고가의 고급VGA가 아니여도 일반적인 VGA카드로도 RemoteFX를 구현할수 있습니다. 또한 장점이라면 PCIex 16슬롯이 여분이 있다면 멀티VGA를 장착하여 성능을 분배할수 있으며 최대한 활용할수 있습니다.
RemoteFX의 목적이라면 첫번째가 3D 소프트웨어와 가속을 사용하는데 주목적입니다. 성능?은 크게 기대 안하는게 좋습니다. 일단 게임은 스토어에 있는 단순한 게임들이나 잘되지 일반적인 총질게임은 그냥 포기하는게 좋습니다. 일반적인 VGA성능의 30프로 정도만 성능이 나오며 OpenGL을 지원하는 소프트웨어를 사용할수 있게 지원해주는 기능정도라만 생각하면 됩니다.
두번째 목적이라면 유투브같은 동영상을 시청할때 RemoteFX를 사용하지 않으면 CPU 점유율을 많이 사용하게 됩니다. 고성능 CPU가 아니면 단순한 동영상 시청에도 많은 CPU 점유율이 따라가기 때문에 VGA 가속이 없는 터미널 방식에는 성능 이슈가 있을수 있습니다.
현재까지 캐드나 포토샵같은 소프트웨어에 최적화가 되어 있으며 알리아스나 카티아같은 어플리케이션은 특정 고급VGA를 요구하는 소프트웨어라서 RemoteFX 드라이버는 지원불가입니다.
RemoteFX를 접속하기 위한 클라이언트 OS는 리눅스도 접속이 가능하고 제로클라이언트도 접속이 가능할수는 있지만 윈도우7이상 임베디드같은 커널이 내장된 클라이언트를 권고합니다.
리눅스로 접속하는 터미널 어플리케이션은 RDP 압축이나 H264/AVC 코덱을 지원을 지원하지 않고 UDP프로토콜 사용도 하지 않기에 트래픽을 많이 사용하게 됩니다. 화면을 고품질로 했을때 트래픽이 100메가 이상 사용되는 결과를 보고 윈도우계열 RDP 클라이언트가 아닌이상 트래픽 이슈가 발생할수 있다는 결론을 내려봤습니다.
Hyper-V 2016 Core 버젼은 프리라이센스이지만 가상화에 윈도우 클라이언트OS가 들어가면 VDA라이센스를 구입해야됩니다. 1년에 100달러정도로 알고 있고 기본 3년이상 계약을 전제로 해야됩니다. 단순하게 라이센스 아껴보겠다고 구축하는건 전혀 도움이 안되고 고성능 서버의 활용과 데이터의 보안을 위해서 중앙집중처리를 위해 RemoteFX를 사용하는데 도움이 될수 있습니다.
젠서버 및 벰웨어의 VDI보다는 Hyper-V로 VDI를 구성하는게 라이센스 이점이 있기는 하지만 단순하게 APP 접속경로 없이 바로 터미널접속만 사용한다는게 전제조건입니다. 웹을 통해서 사용자 인증단계 거치고 터미널 라이센스 인증거치고 하다보면 라이센스 부담이 더더욱 커지게 됩니다.
Hyper-V 고성능 서버와 SSD 캐쉬를 활용한 스토리지가 구축이 된다면 많은 사용자들이 PC를 업그레이드하고 포맷하고 관리하는 프로세스를 축소하고 바로 서버에서 중앙으로 관리를 용이하게 할수 있는 장점이 있습니다.
2017/04/19 20:45 2017/04/19 20:45