Upgrade vSphere ESXi z příkazové řádky

Posted by Petr Santrucek on June 9th, 2017 | Category:

Možná to zní jako archaismus, ale občas prostě nic jiného, než příkazovou řádu k ovládání vSphere ESXi nemáte. Aktuálně jsem řešil nutnost upgradovat ESXi 5.1 na verzi 5.5 a systém nebyl (a nebude) spravován přes vCenter Server, protože jde o Free hypervizor a fyzicky je umístně v housing centru, takže dojít k němu fyzicky a použít prostě instalační DVD ESXi 5.5 nešlo.

Tak jaké máme možnosti v takovém případě?

1. Stáhněte si tzv. offline bundle požadované verze hypervizoru ESXi - v našem případě ESXi 5.5 Update 3
Image:Upgrade vSphere ESXi z příkazové řádky

3. Pomocí vSphere klienta povolte služby SSH a ESXi shell
Image:Upgrade vSphere ESXi z příkazové řádky
4. Pomocí např. WinSCP nahrajte offline bundle - u nás VMware-ESXi-5.5.0-Update3-3248547-LNV-20160105.zip - na ESXi

5. Přihlašte se na ESXi přes SSH klienta (např. PuTTY)

6. Ukončete běžící VM a přepněte hypervizor do tzv. maintenance mode

esxcli system maintenanceMode set --enable on


7. Spusťte upgrade "na sucho" z příkazové řádky
esxcli software vib update --depot=/vmfs/volumes/datastore1/VMware-ESXi-5.5.0-Update3-3248547-LNV-20160105.zip --dry-run


8. Pokud vše proběhlo bez chyb, pak můžete pokračovat. Pokud se zobrazí chyba např. o chybějícím balíku, můžete upgrade vynutit (na vlastní riziko) přidáním přepínače --force
esxcli software vib update --depot=/vmfs/volumes/datastore1/VMware-ESXi-5.5.0-Update3-3248547-LNV-20160105.zip --force


9. Pokud vše proběhlo restartujte hypervizor
esxcli system shutdown reboot -r "Upgrade na ESXi 5.5 U3"


10. Po nastartování ESXi vypněte maintenance mode a nastartujte VM
esxcli system maintenanceMode set --enable off


POZOR: Znovu upozorňuji, že jde o způsob upgrade, který není 100% bezpečný a zvolte ho, pokud není jiná cesta!

DBMT - švýcarský nůž administrátora Domino serveru

Posted by Petr Santrucek on April 9th, 2017 | Category:

S Dominem verze 9.0 pišla nová utilita nazvaná DBMT -  DataBase Maintenance Tool. O její existenci, jak jsem s překvapením zjistili, neví mnoho i letitých administrátorů Domino serverů. Pojďme se podívat, co je tento nástroj zač a co se s ním dá a nedá provádět.

Co DMBT umí?

  • copy-style compact
  • inkrementální indexování pohledů
  • update a rebuild full-text indexů
  • správu složek
  • vyčištění "deletion stubů"
  • expiraci "soft deleted" položek
  • aktualizaci seznamů "Unread Marks"
  • fixup (opravu) porušených databází

Proč DBMT vlastně použít?
  • nahrazuje Compact na NEsystémových databázích
  • není potom nutno spouštět Updall z NOTES.INI
  • v clusterovaném prostředí pracuje CLDBDIR.NSF a zajišťuje dostupnost alespoň 1 repliky databáze pro uživatele

DBMT neprovádí Compact na systémových databázích, ale provádí -updall a -fti operace!!!

Systémovými databázemi se myslí:
  • admin4.nsf
  • busytime.nsf
  • catalog.nsf
  • cldbdir.nsf
  • clubusy.nsf
  • daoscat.nsf
  • ddm.nsf
  • domlog.nsf
  • events4.nsf
  • log.nsf  
  • lndfr.nsf
  • names.nsf
  • statrep.nsf
  • dbdirman.nsf
  • dircat.nsf
  • mtdata\mtsore.nsf

Naopak, k mailovým databázím vytvořeným ze šablon StdR7Mail,StdR8Mail,StdR85Mail nebo StdR9Mail se chová DBMT specificky a indexuje následující pohledy: ($Inbox), ($Drafts), ($Sent), ($All), ($RepeatLookup), ($ToDo), ($Calendar),
(Haiku_TOC), ($Alarms), (iNotes), ($Users), (iNotes_Contacts), ($ThreadsEmbed).

Pokud používáte upravené šablony (např. z OpenNTF), můžete si přidat pomocí parametru do NOTES.INI Domino serveru další šablony a specifické pohledy. Použijte tyto parametry:
DBMT_MailTemplate=templatename1,templatename2,templatename3
DBMT_TemplateName=ViewNameOrAlias1;ViewNameOrAlias2;...ViewNameOrAliasN

POZOR - parametry v
NOTES.INI mají limit 128 znaků!!!!!

Jak vypadá výstup DBMT?
DBMT.Compact.Began 17.04.2017 11:21:12
DBMT.Compact.Finished 17.04.2017 11:21:34
DBMT.Compact.Successful 6
DBMT.Compact.Unsuccessful 2
DBMT.Compact.Unsuccessful.InUse 2
DBMT.Compact.Unsuccessful.TimeLimit 0
DBMT.Compact.BackLog 2
DBMT.Compact.Fixup 0
DBMT.Updall.Began 17.04.2017 11:21:12
DBMT.Updall.Finished 17.04.2017 11:21:13
DBMT.Updall.Processed 8




Pokud DMBT pouštíte jako naplánovanou úlohu z Program documentu v Domino Directory, můžete si vypsat výsledek posledního běhu příkazem:
show stat dbmt




Nakonec uvedeme syntaxi a přehled možných parametrů DBMT:

load DBMT
Parametr
-compactThreads Počet vláken pro proces compactu , n je mezi 0 a 100 včetně.
-updallThreads Počet vláken pro proces Updall, m je mezi 0 a 100 včetně.
-ftiNdays Rebuild full-text indexů každých f dní od vytvoření.
-ftiThreads Počet vláken pro proces rebuldu ft indexů, g je mezi 0 a 100 včetně.
-force-compactNdays Pro fixup&compact odství databáze offline. n znamená den v týdnu, kdy tak bude provedeno (1 = neděle, 2 = pondělí,...). 0 znamená kterýkoliv den bude BDMT spuštěn.
-compactNdays

Provedfe compact databází, kde nebyl proveden posledních p dní.
-timeLimit Compact bdue ukončen po q minutách, pokud nedoběhl.
-range Spustí se pouze mezi časy a , kdy rozdíl musí být min. 10 minut.
Čas musí být specifikován ve 12-ihodinovém formátu s AM/PM specifikací dopoledne/odpoledne např. 11:50PM).
-stoptime Pouze sběhne JEDNOU odteď do času .
-noCompactLimit Aktuální compact doběhne bez ohledu na časový limit, ale další se nespustí.




POZOR - Při použití DBMT na mailové databáze v případě, že router potřebuje do db doručit mail, proces compactu se přeruší. Příští běh DBMT bude pokračovat tam, kde přestal (na rozdíl do standardní úlohy Compact).
Tomuto chování lze zabránit parametrem do NOTES.INI, kdy Router počká, dokud DBMT předmětnou databázi "nepustí".
MailFileDisableCompactAbort=1

VMware Tools z repository pro yum na Red Hat distribucích

Posted by Petr Santrucek on February 11th, 2017 | Category:  Technologie 

Instalaci VMware Tools obvykle administrátor dělá přímo z úložiště vSphere ESXi namountováním virtuálního CD, rozbalením TARu s toolsy a instalací. Update při povýšení ESXi dtto. Jde to ale tak, jak byste u Red Hat based distribucí čekali.

I VMware Tools jsou k dipozici v podobě repository pro systém yum. Jak na to? Jednoduše (popisovat budu na případu distribuce CentOS 6):

1. Vytvořte soubor /etc/yum.repos.d/vmware.repo s obsahem

[vmware-tools]
name=VMware Tools for Red Hat Enterprise Linux $releasever – $basearch
baseurl=http://packages.vmware.com/tools/esx/latest/rhel6/$basearch
enabled=1
gpgcheck=1
gpgkey=http://packages.vmware.com/tools/keys/VMWARE-PACKAGING-GPG-RSA-KEY.pub


2. Pokud máte instalované VMware Tools způsobem popsaným v úvodu, odinstalujte je pomocí příkazu:
/usr/bin/vmware/vmware-uninstall-tools.pl

nebo
/usr/bin/vmware-uninstall-tools.pl


Výstup bude asi takovýto:
Uninstalling the tar installation of VMware Tools.

Stopping services for VMware Tools

Stopping VMware Tools services in the virtual machine:
   Guest operating system daemon:                          [  OK  ]
   VGAuthService:                                          [  OK  ]
   VMware User Agent (vmware-user):                        [  OK  ]
   Unmounting HGFS shares:                                 [  OK  ]
   Guest filesystem driver:                                [  OK  ]
   Guest memory manager:                                   [  OK  ]
   VM communication interface socket family:               [  OK  ]
   VM communication interface:                             [  OK  ]
   File system sync driver:                                [  OK  ]

The removal of VMware Tools 10.0.0 build-3000743 for Linux completed
successfully.  Thank you for having tried this software.


3. Pak pomocí nainstalujte z repository toolsy pomocí příkazu
yum install vmware-tools-esx-nox


Pokud  vše funguje, uvidíte podobný výstup:
Loaded plugins: fastestmirror
Setting up Install Process
Loading mirror speeds from cached hostfile
 * base: mirror.karneval.cz
 * extras: mirror.karneval.cz
 * rpmforge: ftp.fi.muni.cz
 * updates: mirror.karneval.cz
Resolving Dependencies
--> Running transaction check
---> Package vmware-tools-esx-nox.x86_64 0:10.0.9-1.el6 will be installed
--> Processing Dependency: vmware-tools-plugins-grabbitmqProxy >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-vix >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-vgauth >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-powerOps >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-foundation >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-libraries-nox >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-deployPkg >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-services >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-vmbackup >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-autoUpgrade >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-timeSync >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-guestlib >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-hgfsServer >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-guestInfo >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-core >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Running transaction check
---> Package vmware-tools-core.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-foundation.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-guestlib.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-libraries-nox.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-autoUpgrade.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-deployPkg.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-grabbitmqProxy.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-guestInfo.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-hgfsServer.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-powerOps.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-timeSync.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-vix.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-vmbackup.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-services.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-vgauth.x86_64 0:10.0.9-1.el6 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================================
 Package                                  Arch        Version           Repository         Size
================================================================================================
Installing:
 vmware-tools-esx-nox                     x86_64      10.0.9-1.el6      vmware-tools      3.1 k
Installing for dependencies:
 vmware-tools-core                        x86_64      10.0.9-1.el6      vmware-tools      4.0 M
 vmware-tools-foundation                  x86_64      10.0.9-1.el6      vmware-tools      128 k
 vmware-tools-guestlib                    x86_64      10.0.9-1.el6      vmware-tools       62 k
 vmware-tools-libraries-nox               x86_64      10.0.9-1.el6      vmware-tools      4.4 M
 vmware-tools-plugins-autoUpgrade         x86_64      10.0.9-1.el6      vmware-tools      5.6 k
 vmware-tools-plugins-deployPkg           x86_64      10.0.9-1.el6      vmware-tools       58 k
 vmware-tools-plugins-grabbitmqProxy      x86_64      10.0.9-1.el6      vmware-tools      405 k
 vmware-tools-plugins-guestInfo           x86_64      10.0.9-1.el6      vmware-tools       25 k
 vmware-tools-plugins-hgfsServer          x86_64      10.0.9-1.el6      vmware-tools      5.7 k
 vmware-tools-plugins-powerOps            x86_64      10.0.9-1.el6      vmware-tools      7.4 k
 vmware-tools-plugins-timeSync            x86_64      10.0.9-1.el6      vmware-tools      9.9 k
 vmware-tools-plugins-vix                 x86_64      10.0.9-1.el6      vmware-tools       99 k
 vmware-tools-plugins-vmbackup            x86_64      10.0.9-1.el6      vmware-tools       17 k
 vmware-tools-services                    x86_64      10.0.9-1.el6      vmware-tools      367 k
 vmware-tools-vgauth                      x86_64      10.0.9-1.el6      vmware-tools      432 k

Transaction Summary
================================================================================================
Install      16 Package(s)

Total download size: 10 M
Installed size: 29 M
Is this ok [y/N]:


4. Potvrďte a proběhne instalace, uvádím jen konec výstupu úspěšné instalace:
Installed:
  vmware-tools-esx-nox.x86_64 0:10.0.9-1.el6

Dependency Installed:
  vmware-tools-core.x86_64 0:10.0.9-1.el6
  vmware-tools-foundation.x86_64 0:10.0.9-1.el6
  vmware-tools-guestlib.x86_64 0:10.0.9-1.el6
  vmware-tools-libraries-nox.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-autoUpgrade.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-deployPkg.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-grabbitmqProxy.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-guestInfo.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-hgfsServer.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-powerOps.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-timeSync.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-vix.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-vmbackup.x86_64 0:10.0.9-1.el6
  vmware-tools-services.x86_64 0:10.0.9-1.el6
  vmware-tools-vgauth.x86_64 0:10.0.9-1.el6

Complete!


Zároveň se ihned VMware Tools spustí.

5. Zrestartujte VM, abyste ověřili, že se VMware Tools spustí atuomaticky. Pokud, tak byste měli vidět v properties příslušné VM toto:
Image:VMware Tools z repository pro yum na Red Hat distribucích

Následný update VMware Tools už budete provádět pomocí standardnízho příkazu "yum update":-)

Zabezpečení IBM Domino HTTP serveru

Posted by Petr Santrucek on February 1st, 2017 | Category:

V souvislosti s průnikem "hackerů" (tedy on to byl spíš šlendrián, než kyberútok:-) na jeden Domino systém jsem byl požádán o konzultaci ohledně správného a bezpečného nastavení HTTP serveru na IBM Domino 9.0.1 serveru.

Projděme si základní kroky, které lze považovat za bezpečnostní minimum:

1. Vypněte nešifrovaný HTTP anebo nakonfigurujte přesměrování na HTTPS. Také vypněte staré a děravé SSLv2 (v Server Documentu) a SSLv3 (pomocí "set conf DISABLE_SSLV3=1).
Image:Zabezpečení IBM Domino HTTP serveru
Image:Zabezpečení IBM Domino HTTP serveru

2. Pro zabezpečení SSL komunikace použijte certifikát od důvěryhodné certifikační autority - komerční Thawte, RapidSSL, apod. - nebo nekomerční Let's Encrypt.
Použujte např. tento návod http://blog.exterra-services.cz/www/blog.nsf/dx/zabezpeceni-domino-http-pomoci-lets-encrypt-ssl-certifikatu

3. Nakonfigurujte zamykání uživatelských účtů při přístupu přes HTTP/S např. pomocí tohoto návodu http://www.ibm.com/developerworks/lotus/library/domino8-lockout/
Image:Zabezpečení IBM Domino HTTP serveru

4. Odstraňte z Domino serveru, kde HTTP task běží všechny databáze, které nechcete publikovat na web. Primárně jistě webadmin.nsf (Domino Web Administrator), homepage.nsf a další.

5. Nakonfigurujte databáze iwaredir.nsf (IBM iNotes Redirect) a domcfg.nsf (Domino Web Server Configuration)

6. Nakonfigurujte logování HTTP serveru do textových logů
Image:Zabezpečení IBM Domino HTTP serveru

To je nezbytné minimum na zabezpečení HTTP tasku Domino serveru.