Ngày 13/02/2024 MS đang công bố tính khả dụng của Bản cập nhật tích lũy H1 2024 (CU) cho Exchange Server 2019 (hay còn gọi là CU14). CU14 bao gồm các bản sửa lỗi cho các sự cố được khách hàng báo cáo, thay đổi bảo mật và tất cả các Bản cập nhật bảo mật (SU) đã phát hành trước đó.
Cài đặt Bản cập nhật tích lũy ngay lập tức để giải quyết các vấn đề được tìm thấy trong Exchange Server 2019 và bảo vệ môi trường của bạn.
1. Với Exchange 2019 CU14 khi cài mặt định enable Extended Protection hoặc chúng ta không muốn bật thêm tham số /DoNotEnableEP or /DoNotEnableEPFEEWS trong quá trình setup
2. Hỗ trợ .NET Framework 4.8.1 trên Windows Server 2022
3. TLS 1.3 dự kiến EX2019CU15
4. Lưu ý sau phiên bản sẽ không hỗ trợ bản vá bảo mật trong tương lai: EX2019CU12, EX2016CU22.
CVE dưới đây được giải quyết bằng Bản cập nhật tích lũy:
CVE-2024-21410 – Microsoft Exchange Server nâng cao lỗ hổng đặc quyền
Xin lưu ý rằng CVE-2024-21410 cũng áp dụng cho Exchange Server 2016. Đối với các máy chủ Exchange 2016, hãy làm theo Cấu hình Bảo vệ Mở rộng Windows trong Máy chủ Trao đổi nếu Bảo vệ Mở rộng chưa được bật trong tổ chức của bạn
Lưu ý rằng Exchange Server 2013 KHÔNG được hỗ trợ và bạn phải nâng cấp lên Exchange Server 2019 hoặc Exchange Online càng sớm càng tốt
Lưu ý rằng Exchange Server 2013 KHÔNG được hỗ trợ và bạn phải nâng cấp lên Exchange Server 2019 hoặc Exchange Online càng sớm càng tốt.
P/s: Khuyến cáo Quản trị viên cần triển khai cập nhật trong môi trường Lab trước khi thực hiện triển khai update trong môi trường Production
Theo như thông báo của Gmail thì bắt đầu tháng 02 năm 2024 có 1 số đổi mới bảo mật gửi vào gmail
Quan trọng: Kể từ tháng 2 năm 2024, Gmail sẽ yêu cầu những người gửi từ 5.000 thư trở lên mỗi ngày đến các tài khoản Gmail phải làm các việc sau: Xác thực email gửi đi, tránh gửi email không mong muốn, đồng thời giúp người nhận dễ dàng huỷ đăng ký.
Các nguyên tắc trong bài viết này có thể giúp bạn gửi và chuyển thành công email đến các tài khoản Gmail cá nhân. Tài khoản Gmail cá nhân là tài khoản có đuôi là @gmail.com hoặc @googlemail.com.
Người gửi trên Google Workspace: Nếu bạn sử dụng Google Workspace để gửi số lượng lớn email thì phải tuân thủ theo chính sách Gmail của Google Workspace.
Nội dung cập nhật về các yêu cầu đối với người gửi
Điểm mới trong tháng 12/2023 Gmail đã cập nhật đối với người gửi bắt buộc phải dùng kết nối TLS để truyền email.
Yêu cầu đối với tất cả người gửi vào gmail
Kể từ ngày 1 tháng 2 năm 2024, tất cả những người gửi email đến các tài khoản Gmail đều phải đáp ứng các yêu cầu trong mục này.
Quan trọng: Nếu bạn gửi hơn 5.000 thư mỗi ngày đến các tài khoản Gmail, hãy tuân theo Các yêu cầu đối với việc gửi từ 5.000 email trở lên mỗi ngày.
Thiết lập phương thức xác thực email DKIM hoặc SPF cho miền của bạn.
Đảm bảo rằng địa chỉ IP hoặc miền gửi thư có bản ghi DNS chuyển tiếp và bản ghi DNS ngược hợp lệ, còn được gọi là bản ghi PTR (PTR record hay dân gian gọi là IP Reverse). Tìm hiểu thêm hướng dẫn tại đây (https://support.google.com/mail/answer/81126)
IP Adress: Địa chỉ IP gửi của bạn phải có bản ghi PTR. Bản ghi PTR xác minh rằng tên máy chủ gửi được liên kết với địa chỉ IP gửi. Mỗi địa chỉ IP phải liên kết với một tên máy chủ trong bản ghi PTR. Tên máy chủ trong bản ghi PTR phải có DNS chuyển tiếp tham chiếu đến địa chỉ IP gửi.
IP Sharing (Dạng sài chung host): Địa chỉ IP dùng chung (IP dùng chung) là địa chỉ IP được nhiều người gửi email sử dụng. Hoạt động của bất kỳ người gửi nào sử dụng địa chỉ IP dùng chung cũng sẽ ảnh hưởng đến danh tiếng của tất cả người gửi sử dụng IP dùng chung đó.
Danh tiếng xấu có thể ảnh hưởng đến tần suất gửi thư của bạn.
Nếu bạn sử dụng một IP dùng chung để gửi email, bạn cần:
Đảm bảo địa chỉ IP dùng chung đó không thuộc bất kỳ danh sách chặn nào trên Internet. Thư được gửi từ địa chỉ IP trong danh sách chặn sẽ có nhiều khả năng bị đánh dấu là thư rác.
Nếu bạn sử dụng một nhà cung cấp dịch vụ email cho IP dùng chung của mình, hãy sử dụng Công cụ Postmaster để giám sát danh tiếng của địa chỉ IP dùng chung.
Sử dụng kết nối TLS để truyền email. Để biết các bước thiết lập TLS trong Google Workspace. Xem hướng dẫn tại đây (https://support.google.com/a/answer/2520500)
Giữ cho tỷ lệ thư rác được báo cáo trong Công cụ Postmaster dưới 0,1% và đừng để tỷ lệ thư rác bằng hoặc cao hơn 0,3%. Xem hướng dẫn tại (https://gmail.com/postmaster). Phần này nên đăng ký và add domain của các bạn vào để giám sát
Rate dưới 0.1%, và không cao hơn 0.3% sẽ bị khoá ngay lập tức này gặp rồi Gmail block luôn domain gửi vào.
5. Định dạng thư theo Tiêu chuẩn định dạng thư trên Internet (RFC 5322) (https://tools.ietf.org/html/rfc5322)
6 Không được mạo danh ở phần đầu thư Từ: của Gmail. Gmail sẽ bắt đầu sử dụng chính sách thực thi cách ly theo DMARC, và việc mạo danh trong phần đầu thư Từ: của Gmail có thể ảnh hưởng đến việc gửi email (https://support.google.com/a/answer/10032169#policy-options)
7. Nếu bạn thường xuyên chuyển tiếp email, kể cả việc sử dụng danh sách gửi thư hoặc cổng thư đến, hãy thêm phần đầu ARC vào email gửi đi. Phần đầu ARC cho biết thư đã được chuyển tiếp và xác định bạn là người chuyển tiếp. Người gửi danh sách gửi thư cũng phải thêm phần đầu List-id:. Phần đầu này chỉ định danh sách gửi thư cho các thư gửi đi. (https://support.google.com/mail/answer/81126?hl=vi&sjid=11774976608095956067-AP#arc)
Yêu cầu đối với việc gửi từ 5.000 email trở lên mỗi ngày gửi vào Gmail
Kể từ ngày 1 tháng 2 năm 2024, những người gửi hơn 5.000 thư mỗi ngày đến các tài khoản Gmail phải đáp ứng các yêu cầu trong mục này.
Thiết lập phương thức xác thực email DKIM hoặc SPF cho miền của bạn.
Đảm bảo rằng địa chỉ IP hoặc miền gửi thư có bản ghi DNS chuyển tiếp và bản ghi DNS ngược hợp lệ, còn được gọi là bản ghi PTR. Tìm hiểu thêm
Sử dụng một kết nối TLS để truyền email. Để biết các bước thiết lập TLS trong Google Workspace, hãy xem bài viết Cần có một kết nối bảo mật cho email.
Giữ cho tỷ lệ thư rác được báo cáo trong Công cụ Postmaster dưới 0,1% và đừng để tỷ lệ thư rác bằng hoặc cao hơn 0,3%. Tìm hiểu thêm về tỷ lệ thư rác.
Định dạng thư theo Tiêu chuẩn định dạng thư trên Internet (RFC 5322).
Không được mạo danh ở phần đầu thư Từ: của Gmail. Gmail sẽ bắt đầu sử dụng chính sách thực thi cách ly giao thức DMARC, và việc mạo danh phần đầu thư Từ: của Gmail có thể ảnh hưởng đến việc gửi email.
Nếu bạn thường xuyên chuyển tiếp email, kể cả việc sử dụng danh sách gửi thư hoặc cổng thư đến, hãy thêm phần đầu ARC vào email gửi đi. Phần đầu ARC cho biết thư đã được chuyển tiếp và xác định bạn là người chuyển tiếp. Người gửi danh sách gửi thư cũng phải thêm phần đầu List-id:. Phần đầu này chỉ định danh sách gửi thư cho các thư gửi đi.
Thiết lập phương thức xác thực email bằng DMARC cho miền gửi thư của bạn. Bạn có thể đặt Chính sách thực thi bằng DMARC thành none. Tìm hiểu thêm
Đối với thư trực tiếp, miền trong phần Từ: của người gửi phải khớp với miền SPF hoặc miền DKIM. Đây là điều kiện bắt buộc để vượt qua yêu cầu phù hợp với DMARC.
Thư tiếp thị và thư gửi cho những người đã đăng ký phải hỗ trợ tính năng nhấp một lần để huỷ đăng ký, đồng thời phải có một đường liên kết huỷ đăng ký rõ ràng trong nội dung thư. Tìm hiểu thêm
Nếu bạn gửi hơn 5.000 email mỗi ngày trước ngày 1 tháng 2 năm 2024, hãy làm theo các nguyên tắc trong bài viết này càng sớm càng tốt. Việc đáp ứng các yêu cầu dành cho người gửi trước thời hạn trên có thể giúp cải thiện khả năng gửi email. Nếu bạn không đáp ứng các yêu cầu được mô tả trong bài viết này, email của bạn có thể không được gửi như mong đợi hoặc có thể bị đánh dấu là thư rác.
Để tìm hiểu thêm về cách thiết lập SPF, DKIM và DMARC, hãy truy cập vào bài viết Ngăn chặn thư rác, hành vi giả mạo và lừa đảo bằng phương thức xác thực của Gmail (https://support.google.com/a/answer/10583557 )
Lời kết
Đối với Quản trị viên IT Admin đơn vị, công ty cơ quan mình đang quản lý nên xem lại cách gửi email hiện tại của để đảm bảo bảo mật Email đám ứng đủ các tiêu chí trên:
Authentication (SPF, DKIM và DMARC), PTR, mà Gmail hay Yahoo yêu cầu… Nếu cần, hãy cập nhật cấu hình SPF, DKIM và DMARC của bạn để tuân thủ các yêu cầu mới.
PTR Record
Kiểm tra Email System dùng giao thức TLS connection tranmission
Tận dụng tối đa công cụ Postmaster giám sát các chỉ số của Gmail đưa ra: Authenticated (SPF, DKIM, DMARC), Spam rate luôn dưới 0,1% và không vượt 0.3%, IP reputation, domain reputation (High), Encryption traffic(TLS incoming/ TLS Outgoing),…
Đối với hệ thống marketing thường dùng bulk email cần đáp ứng tiêu chí Gmail nếu không sẽ dính chưởng block domain trường hợp này Phương Nguyễn đã gặp rồi ít nhất hơn 3 khách hàng.
Hạn chế thấp nhất các email vào gmail quảng cáo mà bị report là spam thì sẽ dính spam. Trương hợp có dùng để gửi email dạng thông báo hoặc tiếp thị liên kết cho khách thì nên có phương thức dễ đăng ký (subscribe) và huỷ đăng (List-Unsubscribe=One-Click) một lần nếu có.
Thiết nghĩ đây là yêu cầu bắt buộc với 1 hệ thống email mà bạn đang quản trị hệ thống nhà làm (on-premise) hay thuê hosting hay đi thuê cloude GG, 365, Zoho,.. Cũng nên xem và kiểm tra chặt chẽ để tránh Spam không đáng có.
Bài viết có tham khảo gmail và hiệu chỉnh theo ý cá nhân.
CÀI ĐẶT VMWARE VSPHERE REPLICATION (Deploy the vSphere Replication Appliance)
Đăng nhập vào vSphere Client của bạn bằng tài khoản có đủ quyền để thực hiện việc cài đặt và cấu hình.
Nhấp vào “Menu” (biểu tượng bánh hamburger) ở góc trên cùng bên trái.
Trong “Kho lưu trữ”, chọn “Máy chủ và cụm”.
Nhấp chuột phải vào trung tâm dữ liệu hoặc cụm nơi bạn muốn triển khai công cụ.
Chọn “Triển khai mẫu OVF” và làm theo trình hướng dẫn để triển khai tệp OVA vSphere Replication Appliance.
Nếu bạn đã tải xuống và gắn ảnh ISO vSphere Replication trên một hệ thống trong môi trường của mình, hãy chọn Tệp cục bộ > Duyệt và điều hướng đến thư mục \bin trong ảnh ISO và chọn vSphere_Replication_OVF10.ovf, vSphere_Replication_OVF10.cert, vSphere_Replication_OVF10.mf, vSphere_Replication -system.vmdk và các tệp vSphere_Replication-support.vmdk.
Khai báo theo thông tin: Tên Vmwmare vsphere replication
Chọn Computer resource
Chọn Network
Khai báo mật khẩu cho user root và admin : v$ph3r3Replication
Khai baos NTP Serrver và host name cho vSphere Replication
Khai báo domain name của các bạn nhé ở đây bài lab của tôi là :viettechgroup.lab
Ngày 14/11/2023 Microsoft đã phát hành Bản cập nhật bảo mật(SU) cho các lỗ hổng được tìm thấy:
Exchange Server 2016 CU22, CU23 (KB5032147)
Exchange Server 2019 CU13 (KB5032146)
Giải Quyết
1/ Certificate signing of PowerShell serialization payload được bật mặt định. 2/ Fix Lỗi hổng Exchange Server 2016 & Exchange Server 2019 : CVE-2023-36439 – Microsoft Exchange Server Remote Code Execution Vulnerability CVE-2023-36050 – Microsoft Exchange Server Spoofing Vulnerability CVE-2023-36039 – Microsoft Exchange Server Spoofing Vulnerability CVE-2023-36035 – Microsoft Exchange Server Spoofing Vulnerability 3/ Fix lỗi Exchange Server 2019 Lỗi khi chạy lệnh RBAC trên CMD liên quan Serialization payload signing Unable to migrate mailbox as communication error parameter exception occurs 4/ Fix lỗi Exchange Server 2016 InvalidResponseException when you try to run Export-UMPrompt
Một số lỗi sau khi vá bản SU tháng 11 này:
Một số lệnh ghép sẽ bị lỗi trên máy remote có công cụ Management Tools nhưng không phải MBX như:
Chạy lệnh RedistributeActiveDatabases.ps1 or StartDagServerMaintenance.ps1 trong môi trường DAG sẽ bị lỗi, MS hứa chưa có bản vá 🙂 chờ bản sau. Có thể gây lỗi chạy lệnh EMS trong Exchange Powershell.
Khuyến Nghị
Nên Test kỹ lab trước khi chạy môi trường Production cân nhắc giữa bảo mật và an toàn. Hiện tại chưa khuyến cáo cập nhật với các lỗi trên. Vì theo ghi nhận nhiều ae bị lỗi :). Nếu bắt buộc cập nhật hãy đảm bảo rằng Exchange Auth Certificate hợp lệ trước khi cài đặt bản cập nhật bảo mật (SU). Bạn có thể sử dụng tập lệnh MonitorExchangeAuthCertificate.ps1 để thực hiện kiểm tra nhanh.
Cài đặt bản vá
Lưu ý rằng Exchange Server 2013 KHÔNG được hỗ trợ và bạn phải nâng cấp lên Exchange Server 2019 hoặc Exchange Online càng sớm càng tốt!
Tham khảo link comment https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2023-exchange-server-security-updates/ba-p/3980209 https://aka.ms/MonitorExchangeAuthCertificate
TRIỂN KHAI VMWARE VSPHERE REPLICATION TRÊN NỀN TẢNG ẢO HOÁ VAMWARE VSPHERE-P1- TỔNG QUAN
Tổng quan vSphere Replication
VMware vSphere Replication (VR) tồn tại từ năm 2012; phiên bản mới nhất là 8.2 cho vCenter/ESXi 6.7. hiện tại là vSphere Replication 8.8. cho vCenter/vSphere 8.0U2.
vSphere Replication có thể được sử dụng độc lập hoặc được bao gồm trong VMware Site Recovery Manager (SRM) cho các kế hoạch khắc phục thảm họa.
Giấy phép vSphere Replication được bao gồm trong vSphere Enterprise Plus, trong khi SRM là một sản phẩm độc lập và là giấy phép cho mỗi VM hoặc mỗi CPU (như một phần của vCloud Suite Enterprise).
vSphere Replication bảo vệ Môi trường ảo VMware của bạn bằng cách sao chép môi trường (trang web) VMware của bạn sang một trang web phụ. vSphere Replication sử dụng Replication dựa trên mạng; SRM sử dụng bản sao dựa trên mảng lưu trữ hoặc Bản sao vSphere dựa trên mạng.
vSphere Replication là gì?
VMware vSphere Replication hoạt động với vCenter cung cấp khả năng sao chép và phục hồi máy ảo dựa trên bộ ảo hóa với tính năng bảo vệ dữ liệu với chi phí thấp hơn trên mỗi máy ảo.
vSphere Replication là giải pháp thay thế cho các sản phẩm đắt tiền hơn hoặc cần giấy phép của bên thứ ba để sao chép dựa trên bộ lưu trữ vì đây là bản sao dựa trên mạng.
Với vSphere Replication, khách hàng có thể sao chép từ trang này sang trang khác để tránh lỗi hoặc thời gian ngừng hoạt động trên Môi trường ảo của họ. Nó cũng có thể được sử dụng với kho dữ liệu VMware vSAN làm kho dữ liệu đích để sao chép.
vSphere Replication bảo vệ các máy ảo khỏi lỗi giữa các sites sau:
Đồng bộ giữa các sites, từ site nguồn đến site đích
Trong cùng một site, từ cluster này sang cluster khác
Từ nhiều site nguồn đến một site đích từ xa được chia sẻ
Lợi ích khi sử dụng giải pháp vSphere Replication:
Bảo vệ dữ liệu với chi phí thấp hơn trên mỗi máy ảo.
Một giải pháp nhân rộng cho phép linh hoạt trong việc lựa chọn nhà cung cấp dịch vụ lưu trữ tại các địa điểm nguồn và đích.
Tổng chi phí cho mỗi lần sao chép thấp hơn.
Sử dụng và tương thích với vSphere Replication
Bạn có thể sử dụng vSphere Replication với vCenter Server Appliance hoặc với cài đặt vCenter Server tiêu chuẩn. Bạn có thể có Thiết bị máy chủ vCenter trên một site và cài đặt Máy chủ vCenter tiêu chuẩn trên site khác.
vSphere Replication tương thích với phiên bản N-1 của vSphere Replication trên trang được ghép nối. Ví dụ: nếu phiên bản hiện tại của vSphere Replication là 8.8 thì phiên bản được hỗ trợ cho trang được ghép nối là 8.6 trở lên.
Site Recovery Client Plug-In
vSphere Replication Appliance thêm một plug-in vào vSphere Client. Plug-in này cũng được chia sẻ với Site Recovery Manager và được đặt tên là Site Recovery.
Bạn sử dụng plug-in máy khách Site Recovery để thực hiện tất cả các cấu hình vSphere Replication:
Xem trạng thái vSphere Replication cho tất cả các phiên bản Máy chủ vCenter được đăng ký với cùng một Đăng nhập một lần vCenter.
Mở giao diện người dùng Site Recovery.
Xem tóm tắt các tham số cấu hình sao chép trên tab Tóm tắt của máy ảo được cấu hình để sao chép.
Cấu hình lại các bản sao của một hoặc nhiều máy ảo bằng cách chọn VM và sử dụng menu ngữ cảnh.
Thành phần vSphere Replication Appliance
vSphere Replication Appliance cung cấp tất cả các thành phần mà vSphere Replication yêu cầu.
Giao diện người dùng Site Recovery cung cấp đầy đủ chức năng để làm việc với vSphere Replication.
Một plug-in cho vSphere Client cung cấp giao diện người dùng để khắc phục sự cố trạng thái của Bản sao vSphere và liên kết đến giao diện người dùng độc lập của Site Recovery.
Cơ sở dữ liệu vPostgreSQL nhúng tiêu chuẩn của VMware lưu trữ thông tin quản lý và cấu hình sao chép. vSphere Replication không hỗ trợ cơ sở dữ liệu bên ngoài.
A vSphere Replication management server:
Cấu hình máy chủ vSphere Replication.
Cho phép, quản lý và giám sát việc sao chép.
Xác thực người dùng và kiểm tra quyền của họ để thực hiện các hoạt động Sao chép vSphere.
Máy chủ vSphere Replication cung cấp cốt lõi của cơ sở hạ tầng vSphere Replication.
Local and Remote Sites
Trong cài đặt vSphere Replication điển hình, local site cung cấp các dịch vụ trung tâm dữ liệu quan trọng cho doanh nghiệp; remote site là một cơ sở thay thế, nơi có thể di chuyển các dịch vụ này đến khi cần thiết. Local site có thể là bất kỳ site nào chứa vCenter Server, hỗ trợ nhu cầu kinh doanh quan trọng. Remote site có thể ở một địa điểm khác, hoặc trong cùng một cơ sở để thiết lập dự phòng. Các remote site thường nằm trong một cơ sở không có khả năng bị ảnh hưởng bởi môi trường, cơ sở hạ tầng thay đổi hoặc các xáo trộn khác, điều đó có thể ảnh hưởng đến local site.
vSphere Replication có các yêu cầu sau đối với môi trường vSphere® tại mỗi site:
Mỗi site phải có ít nhất một trung tâm dữ liệu.
Remote site phải có tài nguyên phần cứng, mạng và tài nguyên lưu trữ để hỗ trợ chứa các máy ảo và khối lượng công việc tương tự như ở local site.
Các site phải được kết nối bằng mạng IP đáng tin cậy.
Remote site phải có quyền truy cập vào các mạng (public và private) so sánh với các mạng trên local site, mặc dù không nhất thiết phải có cùng dải địa chỉ mạng.
Kết nối các local site và remote site
Trước khi sao chép các máy ảo giữa hai site, ta phải kết nối các site. Khi kết nối site, người dùng tại cả hai site phải được chỉ định đặc quyền VRM remote.Manage VRM.
Khi kết nối các site là một phần của cùng vCenter Single Sign-On domain, ta chỉ cần chỉ định remote site, mà không cung cấp chi tiết xác thực, vì đã được đăng nhập. Khi kết nối các site thuộc vCenter Single Sign-On domain khác nhau, vSphere Replication Management Server phải đăng ký với Platform Services Controller trên remote site. Ta cần cung cấp chi tiết xác thực cho remote site, bao gồm IP hoặc FQDN của máy chủ nơi Platform Services Controller chạy và thông tin đăng nhập của người dùng.
Sau khi kết nối các site, ta có thể theo dõi trạng thái kết nối giữa chúng trong giao diện người dùng Site Recovery.
Cơ chế vSphere Replication hoạt động như thế nào?
vSphere Replication Appliance được cài đặt tại nguồn và đích (nếu sao chép giữa các site) và tạo bản sao dựa trên máy chủ trên mỗi VM giữa các site với nhau.
vSphere Replication tạo một bản sao của máy ảo trong mục tiêu bằng cách sử dụng các tác nhân VR bằng cách gửi các khối VM đã thay đổi giữa nguồn và đích.
Quá trình sao chép này diễn ra độc lập với lớp lưu trữ, khác với cách SRM hoạt động khi sử dụng sao chép dựa trên mảng.
Để tạo bản sao máy ảo ban đầu trên mục tiêu, vSphere Replication thực hiện đồng bộ hóa hoàn toàn máy ảo nguồn và bản sao bản sao của nó tại đích.
Mức độ đồng bộ tồn tại giữa nguồn và đích phụ thuộc vào thời điểm khôi phục (RPO) và việc lưu giữ các phiên bản từ nhiều thời điểm (MPIT) để giữ các các bản sao chép trong cài đặt.
Tất cả dữ liệu cấu hình vSphere Replication được lưu trong cơ sở dữ liệu nhúng. Bạn cũng có thể sử dụng Cơ sở dữ liệu bên ngoài để triển khai vSphere Replication.
Theo mặc định, vSphere Replication có thể sử dụng ba kịch bản tiêu chuẩn:
Replication Between Two Sites
Replication In a Single vCenter Server
Replication to a Shared Target Site
Replication giữa 2 Sites
Bạn cũng có thể sao chép một máy ảo giữa các kho dữ liệu trên cùng một Máy chủ vCenter. Trong cấu trúc liên kết đó, một Máy chủ vCenter quản lý các máy chủ tại nguồn và tại đích. Chỉ có một thiết bị vSphere Replication được triển khai trên một Máy chủ vCenter duy nhất. Bạn có thể thêm nhiều máy chủ vSphere Replication bổ sung trong một Máy chủ vCenter để sao chép các máy ảo sang các cụm khác.
Để thực hiện khôi phục, Máy chủ vCenter quản lý kho dữ liệu đích, thiết bị vSphere Replication và mọi Máy chủ vSphere Replication bổ sung quản lý việc sao chép phải được thiết lập và chạy.
Replication trong cùng 1 vCenter Server
Với kịch bản này, có thể sao chép các máy ảo bên trong vCenter.
Trong trường hợp này, chỉ cần triển khai một Công cụ sao chép vSphere trong vCenter.
Replication đến các Site được chia sẻ
Với kịch bản này, có thể sao chép các máy ảo sang một trang đích được chia sẻ. tức là chúng tôi có thể có nhiều vCenter sao chép sang (các) site của bạn hoặc thậm chí sao chép sang nhiều vCenter.
Trong trường hợp này, chúng tôi cần triển khai vSphere Replication Appliance trong mỗi vCenter (trên nguồn và đích).
Giới hạn của giải pháp vSphere Replication
Chỉ có thể triển khai một vSphere Replication (VR) trên mỗi vCenter
Mỗi vSphere Replication chỉ có thể sao chép tối đa 2000 bản sao. Mỗi Thiết bị VR chỉ có thể quản lý 2000 VM
Mỗi Máy chủ vSphere Replication chỉ có thể quản lý 200 Máy ảo trong tối đa 9 Máy chủ sao chép vSphere cho mỗi vSphere Replication appliance.
Giới hạn vSphere Replication – Virtual Machines Replication
Không hỗ trợ ngữ cảnh FT VMs.
VR chỉ có thể sao chép các máy ảo được bật nguồn và không thể sao chép các máy ảo đã tắt nguồn
VR không đồng bộ được các Templates, Linked Clones, ISOs hoặc bất kỳ file không phải VM.
VR chỉ có thể sao chép Đĩa ảo RDM được đặt ở chế độ Ảo
Sao chép các cluster của MSCS không được hỗ trợ. VR không thể sao chép đĩa ở chế độ nhiều ổ ghi
Bản sao của vCenter vApps không được hỗ trợ. Chỉ có thể sao chép VM bên trong vApps
VR hỗ trợ tới 24 điểm khôi phục.
Hỗ trợ sao chép máy ảo bằng snapshots; tuy nhiên, cây snapshot chỉ khả dụng và được tạo tại site đích (với khả năng khôi phục bằng điểm khôi phục snapshot)
Yêu cầu của vSphere Replication
vSphere Replication được phân phối dưới dạng thiết bị ảo 64-bit được đóng gói ở định dạng .ovf. Nó được cấu hình để sử dụng CPU lõi kép hoặc lõi tứ, ổ cứng 16 GB và 17 GB và RAM 8 GB. Các máy chủ vSphere Replication bổ sung yêu cầu RAM 1 GB.
Bạn phải triển khai thiết bị ảo trong môi trường Máy chủ vCenter bằng cách sử dụng trình hướng dẫn triển khai OVF trên máy chủ ESXi.
vSphere Replication tiêu thụ CPU và bộ nhớ không đáng kể trên máy chủ nguồn ESXi và trên hệ điều hành khách của máy ảo được sao chép.
Hỗ trợ cả Ipv4 và Ipv6.
Lưu ý để đăng ký vSphere Replication bắt buộc phải sử dụng VirtualCenter.FQDN, nếu không sẽ bị lỗi nhé. Điều này đồng nghĩa các bạn phải tạo record A DNS local trỏ về Server VR.
Bản quyền vSphere Replication
Vì nó là 1 phần mở rộng của vSphere nên sẽ ăn theo license của vSphere:
vSphere Essentials Plus
vSphere Standard
vSphere Enterprise
vSphere Enterprise Plus
vSphere Desktop
Replication Maximums for vSphere Replication 8.8
Item
Maximum
vSphere Replication appliances per vCenter Server instance.
1
Maximum number of additional vSphere Replication servers per vSphere Replication.
9
Maximum number of protected virtual machines per vCenter Server instance.
4000
Maximum number of protected virtual machines per vSphere Replication appliance (by using the embedded vSphere Replication server.)
400
Maximum number of protected virtual machines per vSphere Replication server.
400
Maximum number of virtual machines configured for one replication at a time.
20
Maximum number of protected virtual machines with 5 minute RPO per vCenter Server instance.
500
Maximum number of protected virtual machines per vSphere Replication appliance on vSAN Express storage.
1000
Maximum number of protected disks per virtual machine on ESXi 8.0 or earlier version.
64
Maximum number of protected disks per virtual machine on ESXi 8.0 Update 1 or later version.
256
Maximum number of protected disks per host.
8192
Trên Đây Là Phần 1- Lý Thuyết Về Triển Khai Vmware Vsphere Replication Trên Nền Tảng Ảo Hoá Vamware Vsphere-P1
Các bạn có thể xem phần 2-Cài đặt Vmware Vsphere Replication Appliance phiên bản 8.8 tại đây nhé
Các bạn có thể xem phần 3-Cài đặt Vmware Vsphere Replication Appliance phiên bản 8.8 tại đây nhé
MỘT SỐ BIỆN PHÁP NGĂN NGỪA HỆ THỐNG CHỐNG SPAM EMAIL SERVER EXCHANGE
Hệ thống Email Server Exchange Server Nhà làm (On-Premises) Để ngăn chặn spam trên máy chủ Exchange Server, bạn có thể thực hiện một số biện pháp phòng ngừa và bảo mật. Dưới đây là một số gợi ý mà Phương Nguyễn chia sẻ từ kinh nghiệm thực tế nhé:
Sử dụng các bộ lọc chống spam:
Kích hoạt và cấu hình các tính năng chống spam tích hợp của Exchange. Bật Antispam nội tại của Exchange sẵn có cũng quét khá ok.
Cấu hình thêm 1 số tính năng của Antispam protection: Content filter, Sender Filter, sender id, Recipient, attachment,…
Nếu có tiền thì nên xem xét việc triển khai các giải pháp bộ lọc chống spam bên ngoài phần cứng hay appliance phần mềm: SpamAssassin, Barracuda, hoặc Proofpoint, FortiMail,
Giải pháp mail gateway đối tác thứ 3:
Microsoft Exchange Server 2019.
Paubox.
Mimecast Email Security with Targeted Threat Protection.
Cisco Secure Email Threat Defense.
FortiMail.
Symantec Email Security.Cloud.
Cloudflare Area 1 Security.
Barracuda Email Security Gateway.
Cập nhật phần mềm và bảo mật:
Đảm bảo bạn đang sử dụng phiên bản Exchange Server mới nhất và đã áp dụng tất cả các bản vá bảo mật (CU, SU), bằng cách theo dõi thường xuyên trên trang Microsoft Exchange check bản vá.
Theo dõi và thường xuyên cập nhật phần mềm chống virus và bảo mật trên máy chủ chạy Exchange.
Cấu hình xác thực người gửi bằng cách cấu hình bảo mật DNS cho Email:
Kích hoạt các cơ chế xác thực như SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), và DMARC (Domain-based Message Authentication, Reporting, and Conformance), IP resever (PTR)
Xác minh và thiết lập các quy tắc xác thực người gửi trong các bộ lọc spam.
Nếu tự làm email không có email gateway nên tìm IP sạch tí.
Quản lý danh sách đen (blacklist) và trắng (whitelist):
Thiết lập các quy tắc để tự động thêm địa chỉ email vào danh sách đen hoặc trắng dựa trên các tiêu chí cụ thể.
Kiểm tra định kỳ và cập nhật danh sách đen và trắng của bạn.
Ngoài ra 1 số hãng dbspam hoặc trang Spam phải mua thêm gở spam blocklist hoặc add ip mail server vào Whitelist (nhất là ông UCEPROTECT phải mua gở), nếu trang spam free thì email gở spam,
Thường xuyên dùng các công cụ kiểm tra xem IP có spam không nhé: Mxtoolbox, dnschecker, Testtls, spamhaus, Barracuda, Spamcop,..Dĩ nhiên phổ biến thôi còn nhiều các bạn có thể tìm thêm.
Quản lý và đào tạo người dùng cuối:
Các giải pháp công nghệ tốt đến đâu thì con người vận hành và sử dụng cũng là users nên yếu tố con người cũng quyết định thành công trong việc góp phần ngăn ngừa.
Cung cấp hướng dẫn và đào tạo người dùng về cách nhận biết và xử lý email spam, fishing email.
Khuyến khích họ không mở các đính kèm từ nguồn không rõ, click link nặc danh dẫn tới spam hoặc mã hoá dữ liệu.
Kiểm soát đồng bộ hóa (synchronization):
Hạn chế quá trình đồng bộ hóa với các danh bạ không tin cậy và ngăn chặn các kết nối không mong muốn từ các nguồn không rõ.
Giám sát log và thống kê:
Thường xuyên theo dõi các log và bản thống kê để phát hiện các hoạt động bất thường từ Log của Exchange transport, Ngoài các công cụ sẵn có của Exchange Server: Message tracking. Có thể dùng ManageEngine Exchange Reporter Plus khá ok dĩ nhiên phải tốn phí 😊
Thực hiện giám sát thời gian thực để nhanh chóng phát hiện và xử lý các vấn đề liên quan đến spam.
Sử dụng các giải pháp chống thấp hóa (greylisting):
Cài đặt các giải pháp chống thấp hóa để tạm thời chặn các email từ nguồn chưa được xác minh, và chỉ chấp nhận chúng khi được gửi lại từ cùng một nguồn. Này gần giống mục 3, dùng thêm các giải pháp tốn tiền
Rules Transport Exchange Server
Có thể tận dụng tạo các bộ lộc rules sẵn có của Exchange vẫn có khả năng ngănn chặn được nhiều đó, Mình nghỉ bộ công cụ này khá mạnh mọi người cần khai thác triệt để vì miễn phí mà có sẵn tận dụng có gì sài nấy trước khi đầu tư.
Lời Kết cho bài post
Bảo mật email là câu chuyện muôn thuở và nhiều tầng nhiều lớp, dĩ nhiên tuỳ thuộc vào nhu cầu và ngân sách doanh nghiệp nếu lên Cloud Email Online (Google Workspace, MS365-Microsoft Defender for Office 365 công nghệ mới XDR..) thì khá tốt rồi.
Bài post này chỉ đề cập đến giải pháp email Server Exchange nhà làm (On-Premise). Chúng ta đi từ trong ra ngoài theo các tầng thì có thể gôm lại các cách phòng chống spam cho Email như sau:
Tầng 1: Nội tại email Exchange Server có Antispam and antimalware sẵn có free, dĩ nhiên phải cấu hình và bật lên (Content filter, Sender, IP reputation,..).
Tầng 2: Rules transport Exchange có sẵn free chỉ tốn cơm suy nghĩ, spam đâu block đó
Tầng 3: tầng cài thêm phần mềm thứ ba nếu không nhiều tiền mua phần cứng: Antispam của ESET Mail Security, Symantec tích họp email security, McAFee,..
Tầng 4 tường lửa nếu có sẵn: Forgiate mua tính năng hoặc sài hẵn phần cứng mail gateway như của Baracuda, Sophos, Fortimail, hoặc đẩy thẳng mail relay Cloud Online: Microsoft, GG, Amazon SES, SendinBlue, DNSexit,..Nhiều lắm mà tốn tiền 😊
..
Lưu ý rằng không có biện pháp nào là hoàn toàn hiệu quả 100% trong việc ngăn chặn spam, vì vậy việc kết hợp nhiều biện pháp cùng một lúc là quan trọng.
Bài Post mang tính chất chủ quan tham khảo va chắc lọc từ kinh nghiệm cá nhân, anh em nào có khác hãy comment để thảo luận nhé.
CÁCH TẠO VÀ CẤU HÌNH VMWARE VSPHERE HIGH AVAILABILITY -HA
vSphere HA Checklist
⬡ Các máy chủ trong cụm HA phải được cấp phép vSphere HA. Phải áp dụng VMware vSphere Standard hoặc Enterprise Plus, bao gồm cả giấy phép vCenter Standard.
⬡ Cần có hai máy chủ để kích hoạt HA. Nên sử dụng ba máy chủ trở lên.
⬡ Địa chỉ IP tĩnh được định cấu hình trên mỗi máy chủ là cách tốt nhất.
⬡ Bạn cần có ít nhất một mạng quản lý chung trên các máy chủ.
⬡ Để máy ảo chạy trên tất cả các máy chủ trong trường hợp chúng được chuyển đến các máy chủ khác nhau trong cụm, các máy chủ cần phải có cùng mạng và kho dữ liệu được định cấu hình.
⬡ Cần có bộ nhớ dùng chung cho HA.
⬡ VMware Tools cần chạy trên các máy ảo đang được giám sát trong HA.
CÁCH THỰC HIỆN CẤU HÌNH
TẠO HA VMWARE CLUSTER
Chọn vào Datacenter-> New cluster->Đặt tên ví dụ TRAINING
Chúng ta có thể chọn customize đúng iso vendor server cũng được hoặc cấu hình sau-> chọn next
Chọn Finish
CẤU HÌNH HA
SAU khi tạo xong HA Chúng ta được chuyển đến màn hình Quickstart setup gồm 3 bước nhé.
Bước 1: Tạo xong vsphere HA
BƯỚC 2: Add host vào cluster vừa tạo
Chúng ta add 2 host nhé 1 và 2 còn host còn lại để nằm ngoài để chạy vcenter không nên để vcenter chạy chung với host
Khi chọn Finished 2 host sẽ đưa về mode maintaince và sẽ move vào cụm cluster HA TRANING.
Chúng ta chuyển sang bước 3 cấu hình tiếp nhé
Bước 3: Cấu hình cluster gồm networks và storage
Bước này là tạo 2 distribute switches dùng để check heartbeat về network kiểm tra 2 host còn sống hay không nhé. Ví dụ dây tôi tạo Dswitch-CLS và dùng 2 vmnic2, vmnic3
Chọn next và finished
Chúng ta chờ deploy ovf 2 vm cls vào 2 host nhé
Và sau cùng đảm bảo 3 check xanh ở 3 bước cấu hình VMWare vsphre HA như hình nhé.
Chúng ta chọn vào monitoring VMs để giám sát các VM
Như vậy Phương nguyễn hướng dẫn cấu hình xong HA Vmware cluster esxi 8.0
Bước tiếp theo chúng ta thử test shutdown 1 host các VM sẽ tự động chuyển sang host còn lại
CÁCH CẬP NHẬT UPDATE HOST ESXI TỪ LIFECYCLE MANAGER VCENTER
NGỮ CẢNH
Có nhiều cách để ugprade host esxi 8, có thể upgrade từ host đơn, có thể cập cật online, hoặc offline từ lệnh. HÔm nay phương nguyễn giới thiệu tính năng cập nhật từ Lifecycle Manager của Vcenter (Tính năng đổi tên mà trước đó là Vmware Update Manager) ví dụ esxi 8.0 U1->8.0U2
CÁCH THỰC HIỆN
B1:Logon vào vCenter thao tác
B2: từ short cut-> Chọn vào Lifecycel Manager->Sync updates động tác này sẽ kết nối với server update lonline của vmware sẽ tải bản mới nhất về (version: esxi, cũng như driver mới nhất.). Lưu ý phải có kết nối internet nhé.
Ngoài ra chúng ta có thể import từ file iso để update nhé hoặc chúng ta có thể tạo 1 baseline cusmozine theo ý muốn chúng ta.
Bước 3: Sau khi chạy xong sync Update chúng lặp lại bước 2 mà chọn Sync HCL (Hardware Compatibility List)
Động tác này để cho hệ thống sẽ cập nhật nhận diện các driver tương thích phần cứng máy chủ esxi đang có trong vcenter
Bước 4: Chọn vào host cần Upgrade-> Updates=> Chọn vào Apply
Chọn Image-> Chọn customzie DELL
Chọn validate-> save
Nếu bị lỗi
The following VIBs on the host are missing from the image and will be removed from the host during remediation: vmware-fdm(8.0.1-22088981).
To prevent them from being removed, include appropriate components that are equivalent to these VIBs. If this is seen while switching from using Baselines to using Images, please refer to KB 90188.
Cần làm thủ tục remove ra trước khi ugprade
Connect to the ESXi with SSH
Confirm that fdm isn’t installed already : esxcli software vib list |grep fdm
esxcli software vib remove –vibname=vmware-fdm
Remove luôn
Chạy Remediating lại nhé
Chúng ta Update Thành công nhé.
Host đã lên version 8.0 u2
Tương tự cho host còn lại
Ngoài ra chúng ta có thể tuỳ chỉnh server download của Vmware nhé. Tuy nhiên nên đề mặc định.
Mô-đun Exchange Online PowerShell V3 dựa trên REST của chúng tôi là một công cụ mạnh mẽ cho phép bạn kết nối với Exchange Online và thực hiện nhiều tác vụ khác nhau bằng PowerShell. Đây là một cải tiến đáng kể so với mô-đun V2 trước đó về mặt bảo mật vì nó không phụ thuộc vào kết nối giao thức RPS.
Microsoft đã nghe một số phản hồi của khách hàng rằng mô-đun V3 tiêu thụ nhiều bộ nhớ hơn các mô-đun trước đó, điều này ảnh hưởng đến hiệu suất của tập lệnh và hệ thống của họ. Trong bài đăng blog này, chúng tôi sẽ chia sẻ một số mẹo về cách bạn có thể giảm mức tiêu thụ bộ nhớ của mô-đun V3 và tối ưu hóa tập lệnh của bạn để có hiệu quả tốt hơn.
Mẹo 1: Không tải gói trợ giúp
Một trong những nguồn tiêu thụ bộ nhớ chính trong mô-đun V3 là gói trợ giúp, chứa thông tin chi tiết và ví dụ cho từng lệnh ghép ngắn. Mặc dù điều này có thể hữu ích cho việc tìm hiểu và khắc phục sự cố nhưng nó không cần thiết khi chạy tập lệnh tự động. Do đó, chúng tôi khuyên bạn nên sử dụng tham số -SkipLoadingCmdletHelp đã được thêm vào để tối ưu hóa bộ nhớ trong bản phát hành mới nhất. Việc sử dụng tham số này sẽ bỏ qua việc tải gói trợ giúp vào quy trình PowerShell và do đó giảm đáng kể mức tiêu thụ bộ nhớ.
Mẹo 2: Chỉ tải các lệnh ghép ngắn cụ thể được tập lệnh yêu cầu
Bạn chỉ có thể tải các lệnh ghép ngắn mà bạn cần trong tập lệnh của mình. Theo mặc định, khi bạn chạy lệnh Connect-ExchangeOnline, mô-đun V3 sẽ tải hàng trăm lệnh ghép ngắn vào quy trình PowerShell. Điều này có thể sử dụng nhiều bộ nhớ và làm cho tập lệnh của bạn chậm hơn. Nếu tập lệnh của bạn chỉ sử dụng một vài lệnh ghép ngắn, bạn có thể sử dụng tham số -CommandName và chỉ chỉ định các lệnh ghép ngắn mà bạn muốn. Bằng cách này, chỉ các lệnh ghép ngắn được liệt kê mới được tải và mức sử dụng bộ nhớ có thể thấp hơn.
Ví dụ: nếu một tập lệnh cụ thể chỉ sử dụng các lệnh ghép ngắn Get-Mailbox và Get-User, bạn có thể sử dụng:
Mẹo 3: Tạo quy trình PowerShell mới cho mỗi kết nối Exchange Online mới
Mẹo cuối cùng là tạo quy trình PowerShell mới cho mỗi kết nối Exchange Online mới. PowerShell lưu trữ mọi thứ kể từ khi quá trình bắt đầu và bộ đệm sẽ chỉ bị xóa khi số lượng mục trong bộ đệm vượt quá một giới hạn nhất định. Giới hạn này thường không đạt được ngay cả sau nhiều lần chạy Connect/Disconnect-ExchangeOnline. Nếu tập lệnh của bạn ngắt kết nối và kết nối lại với Exchange Online nhiều lần trong cùng một quy trình PowerShell thì nhiều phiên bản của mô-đun V3 sẽ được lưu trữ trong bộ nhớ đệm, làm tăng mức tiêu thụ bộ nhớ. Do đó, chúng tôi khuyên bạn nên đóng quy trình PowerShell bất cứ khi nào bạn ngắt kết nối khỏi Exchange Online và tạo quy trình PowerShell mới nếu bạn muốn kết nối lại.
Ví dụ: thay vì sử dụng:
# Connect to Exchange Online
Connect-ExchangeOnline -UserPrincipalName admin@contoso.com
# Do some tasks
# Disconnect from Exchange Online
Disconnect-ExchangeOnline
# Connect to Exchange Online again
Connect-ExchangeOnline -UserPrincipalName admin@contoso.com
# Do some more tasks
# Disconnect from Exchange Online again
Disconnect-ExchangeOnline
Bạn sử dụng lại:
# Start a new PowerShell process
Start-Process powershell
# Connect to Exchange Online
Connect-ExchangeOnline -UserPrincipalName admin@contoso.com
# Do some tasks
# Disconnect from Exchange Online
Disconnect-ExchangeOnline
# Exit the PowerShell process
Exit
# Start another new PowerShell process
Start-Process powershell
# Connect to Exchange Online again
Connect-ExchangeOnline -UserPrincipalName admin@contoso.com
# Do some more tasks
# Disconnect from Exchange Online again
Disconnect-ExchangeOnline
# Exit the PowerShell process
Exit
Microsoft hy vọng rằng những mẹo này sẽ giúp bạn giảm mức tiêu thụ bộ nhớ của mô-đun Exchange Online PowerShell V3 và cải thiện hiệu suất tập lệnh của bạn. Nếu bạn có bất kỳ câu hỏi hoặc phản hồi nào, xin vui lòng để lại nhận xét bên dưới. Cảm ơn bạn đã đọc!