вторник, 25 октября 2016 г.

Бюллетень безопасности MS16-072 "ломает" GPO

«Виновником» такого поведения стало обновление безопасности из статьи KB3163622 (бюллетень безопасности MS16-072, номер KB для различных ОС: KB3159398, KB3163017, KB3163018, KB3163016)

Cистемные администраторы ограничивают распространение многих политик с применением простого и наглядного механизма фильтров безопасности (security filtering), а также непосредственной модификации настроек доступа к некоторым политикам. Именно после установки этого обновления не применяются  политики с фильтрацией безопасности.

Решение данной проблемы, добавить Authenticated Users или Domain Computers с доступом только для чтения во все политики.
1 вариант. Вручную добавить данные группы в каждую политику.
2 вариант. использовать скрипт Powershell.
3 вариант. Запустить PowerShell с правами доменного администратора.

Get-GPO -All | Set-GPPermissions -TargetType Group -TargetName "Domain Computers" -PermissionLevel GpoRead

 

понедельник, 12 сентября 2016 г.

Настройки Microsoft SQL Server для работы с 1С:Предприятием

В данной статье приводится описание действий по настройке Microsoft SQL Server. Можно использовать как check-list для контроля.

Дополнительные материалы для настройки vmware

Решение проблем с производительностью VMware vSphere

 

Общие

Проверить, что установлен последний Service Pack и последний cumulative update.

Последние версии: https://support.microsoft.com/en-us/kb/2936603 

Выровнять сектора дисков по границе 1024Кб и отформатировать с размером блока 64Кб (если нет иных рекомендаций от производителя).

Подробности: https://technet.microsoft.com/en-us/library/dd758814.aspx  

Операционная система

Включить возможность «Database instant file initialization» для пользователя, от которого запущена служба Microsoft SQL Server

https://msdn.microsoft.com/en-us/library/ms175935.aspx 
 

Проверить работу «Database instant file initialization».

Создать новую базу с размером файла данных 5 Гб, журнал транзакций - 1 Мб. Если база создалась моментально, то все работает корректно. Созданную базу - удалить. 

Установить разрешение на «Lock pages in memory» (блокировку страниц в памяти) для пользователя, от которого запущена служба Microsoft SQL Server

https://msdn.microsoft.com/ru-ru/library/ms190730(v=sql.120).aspx 
  Если сервер 1С:Предприятия установлен вместе с Microsoft SQL Server, то данную настройку производить не нужно.

Схема управления питанием – «Высокая производительность»

 

Проверить отсутствие сжатия файлов данных и файлов журналов.

  

Добавить файлы данных и журнала транзакций в исключения системы автоматического резервного копирования

Системы автоматического резервного копирования (например Symantec Backup Exec) не должны копировать файлы базы данных и журнала транзакций.  

Настройки сервера (Server Properties)

Использование памяти.

  Если сервер 1С:Предприятия установлен вместе с Microsoft SQL Server, то верхний порог памяти необходимо уменьшить на величину, достаточную для работы сервера 1С.
 

Установить флаг «Boost SQL Server priority»

  Если сервер 1С:Предприятия установлен вместе с Microsoft SQL Server, то данную настройку производить не нужно.
 

Задать расположение файлов базы данных по умолчанию.

  Файлы данных и файлы журналов транзакций желательно размещать на разных дисковых массивах. При этом, требование к скорости дисковой подсистемы файла журнала транзакций, выше чем у файла данных. Cогласно рекомендации от Microsoft время отклика «диска» с файлами базы данных должно составлять 10-20 миллисекунд, а «диска» с файлами журнала транзакций 1-5 мс.
 

Установить параметр «Max degree of parallelism» = 1

 

Включить аутентификацию SQL Server.


Создать логины для каждой рабочей базы

 

Назначить логинам роли: public, dbcreator

 

Включить возможность административного подключения

https://msdn.microsoft.com/ru-ru/library/ms189595(v=sql.120).aspx 
EXEC sp_configure 'remote admin connections', 1
GO 
RECONFIGURE
GO   

Параметры базы данных

model

Новая база данных создается из копии базы model. Все настройки, указанные в model, будут в новой базе данных. 
  Начальный размер файла данных - от 1Гб до 10Гб.
Начальный размер журнала транзакций - от 1Гб до 2Гб. Прирост файлов – 512Мб.
 
  Установить модель восстановления, в зависимости от политики резервного копирования. Установить параметр «Auto update statistics asynchronously» = True
 

 

tempdb

Разбить базу на 4 файла данных. 
   Начальный размер файла данных:
  • если tempdb расположена на отдельном массиве (диске), то начальный размер файла данных (Initial size) установить равным (50% всего объема / Кол-во файлов).
  • если tempdb расположен вместе с рабочими базами данных, то начальный размер установить от 1Гб до 10Гб.
  Прирост файлов – 512Мб
 

Рабочая база

Параметры рабочей базы аналогичны параметрам базы model, за исключением начального размера файлов (Initial Size).   Начальный размер файла данных стоит указывать равным ожидаемому размеру базы за длительный период эксплуатации.
  Размер файла журнала транзакций следует указывать таким, чтобы исключить его расширение (auto grow). Т.е. указанного размера файла журнала должно хватать на весь период работы между операциями «BACKUP LOG».
  

Флаги трассировки

  4199 - для Microsoft SQL Server 2014 необходимо включить исправление ошибок оптимизатора (https://support.microsoft.com/en-us/kb/974006)
  1118 – не использовать смешанные экстенты (когда страницы разных объектов располагаются в одном экстенте). Подробнее: https://support.microsoft.com/en-us/kb/2154845 https://msdn.microsoft.com/en-us/library/ms188396.aspx. Для Microsoft SQL Server 2016 данная настройка включена по умолчанию.
 
  

Настройка сетевых протоколов

Включить протокол TCP/IP Если сервер 1С:Предприятия расположен вместе с Microsoft SQL Server - включить протокол Shared Memory.
Протокол "Named pipes" необходимо отключить. 
  

Обслуживание баз

Создать database mail account

https://msdn.microsoft.com/ru-ru/library/hh245116(v=sql.120).aspx 

Настроить операторов для оповещения об ошибках

Указать email адрес оператора. https://msdn.microsoft.com/en-us/library/ms175962.aspx
 
 

В «планах обслуживания» при ошибках отправлять оповещение оператору

  

Настроить резервное копирование

Резервное копирование настраивается в соответствии с утвержденным планом. 

Проверить восстановление базы

После того как был сделан первый автоматический бэкап, необходимо, на резервном сервере, восстановить базу данных и проверить ее работоспособность.