Tầm Quan Trọng Của RAID Trong Cơ Sở Dữ Liệu (SQL)

Lời nói đầu

RAID là một hệ thống đĩa chứa nhiều ổ đĩa, được gọi là mảng, nhằm cung cấp hiệu suất cao hơn, khả năng chịu lỗi, dung lượng lưu trữ cao hơn với chi phí vừa phải. Trong khi định cấu hình hệ thống máy chủ, bạn thường phải lựa chọn giữa RAID phần cứng và RAID phần mềm cho các ổ đĩa bên trong của máy chủ.

Hệ thống RAID được sử dụng rộng rãi làm giải pháp lưu trữ để có được hiệu suất I/O tốt nhất, tùy thuộc vào việc ứng dụng đó được viết nhiều hay đọc nhiều. DBA RayRankins đề cập trong cuốn sách của mình rằng đối với các ứng dụng liên quan đến cơ sở dữ liệu, để giảm thiểu chuyển động của đầu đĩa và tối đa hóa hiệu suất I/O, cách tốt nhất là phân tán I/O ngẫu nhiên (thay đổi dữ liệu) và I/O tuần tự (đối với giao dịch). log) trên các hệ thống con đĩa khác nhau. Tôi đồng ý và tán thành quan điểm của anh ấy, vì SQL Server hoặc bất kỳ cơ sở dữ liệu nào khác về vấn đề đó, thực sự là một hệ thống chuyên sâu I/O.

Tôi sẽ sử dụng SQL Server làm ví dụ để giải thích tầm quan trọng của RAID trong cơ sở dữ liệu, tuy nhiên bạn có thể triển khai các khái niệm này trong lựa chọn cơ sở dữ liệu của mình. Các khái niệm ít nhiều vẫn giống nhau

Mặc dù RAID không phải là một phần của cơ sở dữ liệu như SQL Server, nhưng việc triển khai RAID có thể ảnh hưởng trực tiếp đến cách SQL Server hoạt động. Có nhiều mảng RAID có sẵn như RAID 0, RAID 1, RAID 3, RAID 4, RAID 5, RAID 6, RAID 10 và RAID 01. Trong bài viết này, chúng tôi sẽ thảo luận về những thứ mà bạn có thể sẽ gặp với tư cách là DBA SQL Server, tức là RAID cấp 0, 1, 5 và 10, đồng thời thảo luận về ưu điểm và nhược điểm của chúng từ góc độ khả năng chịu lỗi và hiệu suất

Lưu ý: RAID không phải là sự thay thế cho việc sao lưu. Sao lưu là rất cần thiết cho bất kỳ hệ thống.

Các cấp độ RAID khác nhau (Ưu điểm và nhược điểm)

Chúng ta sẽ chỉ thảo luận về RAID 0, 1, 5 và 10 (góc độ cơ sở dữ liệu).

RAID 0 – Còn được gọi là Disk Striping, RAID 0 không cung cấp khả năng dự phòng hoặc khả năng chịu lỗi mà thay vào đó ghi dữ liệu vào hai ổ đĩa, theo kiểu luân phiên. Điều này mang lại hiệu suất I/O đọc ghi tốt nhất. Ví dụ: nếu bạn có 8 khối dữ liệu thì đoạn 1, 3, 5 và 7 sẽ được ghi vào ổ đĩa đầu tiên và đoạn 2, 4, 6 và 8 sẽ được ghi vào ổ đĩa thứ hai, nhưng tất cả đều trong một thứ tự cố định (tuần tự). RAID 0 có thiết kế đơn giản, dễ triển khai hơn và không có chi phí chung cho tính chẵn lẻ. Hạn chế là mọi phần dữ liệu chỉ nằm trên một đĩa, vì vậy nếu một đĩa bị lỗi, dữ liệu được lưu trong các đĩa đó sẽ bị mất.

RAID 1– Còn được gọi là Disk Mirroring, RAID 1 cung cấp một bản sao dự phòng, giống hệt của một đĩa đã chọn và do đó cung cấp khả năng chịu lỗi tốt. Nó có thể được thực hiện với 2 ổ đĩa. Nhược điểm là nó có chi phí lưu trữ lớn và tỷ lệ chi phí/công suất cao

RAID 5 – Còn được gọi là Disk Striping with Parity, phân chia dữ liệu trên nhiều ổ đĩa và ghi các bit chẵn lẻ trên các ổ đĩa. Dự phòng dữ liệu được cung cấp bởi thông tin chẵn lẻ. Nó có thể được triển khai với 3 đĩa trở lên và là lựa chọn phổ biến của các DBA. Vì dữ liệu và thông tin chẵn lẻ được sắp xếp trên mảng đĩa nên hai loại thông tin luôn nằm trên các đĩa khác nhau. Nếu một đĩa bị lỗi, chỉ cần thay thế nó bằng một đĩa mới và mảng sẽ tự xây dựng lại. RAID 5 có tốc độ đọc cao hơn và tận dụng tốt dung lượng. Hạn chế của RAID 5 là tốc độ ghi chậm hơn và thời gian xây dựng lại chậm.

RAID 10 – Còn được gọi là sao chép với phân chia, RAID 10 là sự kết hợp của RAID1 + RAID0. RAID 10 sử dụng một dãy đĩa có sọc, sau đó được sao chép sang một nhóm đĩa có sọc giống hệt khác. Mức mảng này sử dụng ít nhất bốn đĩa cứng và các đĩa bổ sung phải được thêm vào theo số chẵn. Dữ liệu đầu tiên được đặt thành các cặp được nhân đôi ở cấp độ thấp hơn. Tiếp theo, bộ điều khiển chọn một thành viên từ mỗi cặp được nhân đôi và sắp xếp dữ liệu vào một khối logic mới. Vì RAID 10 ghi theo kiểu ngẫu nhiên nên nó mang lại hiệu suất tốt nhất với ứng dụng ghi nhiều (như chỉnh sửa video). Nhược điểm là nó đắt tiền.

RAID nào phù hợp với cơ sở dữ liệu ?

Bây giờ bạn đã có cái nhìn tổng quan về các cấp độ RAID, hãy xem RAID nào phù hợp với cơ sở dữ liệu. Câu trả lời cho câu hỏi này phụ thuộc vào nhiều yếu tố. Bạn có muốn tính sẵn có, hiệu suất hoặc chi phí? Yêu cầu của bạn về khả năng chịu lỗi và hiệu suất là gì? Dưới đây là ảnh chụp nhanh về hiệu suất và khả năng chịu lỗi do RAID cung cấp

Khi nói đến cơ sở dữ liệu như SQL Server, không có cấp độ RAID nào phù hợp với nhu cầu của bạn. Trong hầu hết các trường hợp, SQL Server thực hiện đọc lớn và ghi nhỏ. Vì vậy, đối với cơ sở dữ liệu, nơi có nhiều thao tác ghi hơn, RAID 5 không phải là lựa chọn tốt. Ngược lại, RAID 10 là một lựa chọn tốt cho cơ sở dữ liệu có nhiều thao tác ghi hơn.

Dưới đây là một số điểm và phương pháp hay nhất cần ghi nhớ khi quyết định hệ thống RAID cho cơ sở dữ liệu của bạn.

RAID1 thường được chọn để lưu trữ hệ điều hành, tệp nhị phân, nhóm tệp chỉ mục và tệp nhật ký giao dịch cơ sở dữ liệu. Điều quan trọng đối với hiệu suất ghi nhật ký và lập chỉ mục là khả năng chịu lỗi và tốc độ ghi tốt.

Vì tệp nhật ký được ghi tuần tự và chỉ đọc cho các hoạt động khôi phục nên RAID được đề xuất cho Tệp nhật ký là RAID 1 hoặc 10. Nếu RAID 1 của bạn ở mức sử dụng 100%, hãy chọn RAID 10 để có hiệu suất tốt hơn.

Đối với các tệp dữ liệu có quyền truy cập ngẫu nhiên và đọc khối lượng dữ liệu lớn, việc phân loại rất quan trọng. Vì vậy, RAID được khuyến nghị là 5 hoặc 10.

Đối với các tệp dữ liệu yêu cầu hiệu suất ghi tốt, nên sử dụng RAID 10. Sử dụng bộ điều khiển RAID bộ nhớ đệm được hỗ trợ bằng pin để có hiệu suất ghi tốt hơn

Đối với các tệp tempdb có hiệu suất đọc/ghi tốt, nên sử dụng RAID 0, 1 hoặc 10. Mặc dù tempdb chứa dữ liệu tạm thời và DBA thường dùng RAID 0 cho tempdb, hãy nhớ rằng SQL Server yêu cầu tempdb để thực hiện nhiều hoạt động của nó. Vì vậy, nếu bạn muốn hệ thống của mình luôn sẵn sàng, hãy suy nghĩ lại về RAID 0.

Không nên đặt các tệp nhật ký hoặc tempdb trên mảng RAID 5 vì RAID 5 không hoạt động tốt cho các hoạt động ghi. DBA mặc dù có những ý kiến trái ngược nhau về điểm này.

Chọn ổ đĩa nhanh nhỏ, trên ổ đĩa lớn chậm.

Hãy chắc chắn rằng bạn tự nghiên cứu để có thể đưa ra quyết định sáng suốt! Trong tình huống thực tế, bạn có thể không có đủ điều kiện để quyết định cấu hình máy chủ của mình do chi phí liên quan đến nó. Vì vậy, hãy ghi nhớ những điểm này có thể giúp bạn trong những tình huống như vậy.

Nguồn sqltip

Phương nguyễn dịch

RAID luư trữ SQL RAID

Danh sách Command CLI Dell Switch connectrix Broadcom

aaaconfig                  Configure RADIUS for AAA services
ag                         Configure the Access Gateway feature
agautomapbalance           Configure the Access Gateway automapbalance feature
agshow                     Displays the Access Gateway information registered
                           with the fabric
aliadd                     Add a member to a zone alias
alicreate                  Create a zone alias
alidelete                  Delete a zone alias
aliremove                  Remove a member from a zone alias
alishow                    Print zone alias information
appserver                  Display Information Stored/Managed by Application
                           Server
aptpolicy                  Get and set Advanced Performance Tuning policy
auditcfg                   Modifies and displays audit log filter
                           configuration.
auditdump                  Display audit log
authutil                   Get and set authentication configuration
bannerset                  Set security banner
bannershow                 Display security banner
bcastshow                  Display broadcast routing information
bootluncfg                  Configure boot LUN for an HBA
cfgactvshow                Display Effective zone configuration information
cfgadd                     Add a member to a configuration
cfgclear                   Clear all zone configurations
cfgcreate                  Create a zone configuration
cfgdelete                  Delete a zone configuration
cfgdisable                 Disable a zone configuration
cfgenable                  Enable a zone configuration
cfgremove                  Remove a member from a configuration
cfgsave                    Save zone configurations in flash
cfgshow                    Print zone configuration information
cfgsize                    Print size details of zone database
cfgtransabort              Abort zone configuration transaction
cfgtransshow               Print zone configurations in transaction buffer
chassisbeacon              Set chassis beacon on or off
chassiscfgperrthreshold    Configure parity error threshold
chassisdisable             Disable all ports in chassis
chassisdistribute          Distributes data to physical chassis in a fabric
chassisenable              Enable all ports in chassis
chassisname                Display or set the chassis' Name
chassisshow                Display all Field Replaceable Units (FRU)
chassisupgrade             Upgrade chassis from current generation to the next
                           generation
classconfig                Display RBAC class permissions
clihistory                 Displays a log of most recently executed CLI
                           commands
configdefault              Reset config to factory default
configdownload             Load switch config from a server
configlist                 List the stored config files
configremove               Remove a stored config file
configshow                 Print switch config parameters
configupload               Save switch config to a server
configure                  Set logical switch config parameters
configurechassis           Set chassis config parameters
creditrecovmode            Configure backend credit loss recovery
datatypeshow               Display available diagnostic data types.
date                       Print/set the system date and time
defzone                    Activates or deactivates a default zone
                           configuration.
devicelogin                Manage port groups
diagclearerror             Clears diagnostics failure status.
diagdisablepost            Disable diagnostic POST.
diagenablepost             Enable diagnostic POST.
diaghelp                   Display diagnostic command descriptions.
diagpost                   Displays the contents of port registers and
                           memories.
diagshow                   Display diagnostic status.
diagstatus                 Display currently running diagnostic tests.
distribute                 Distributes data to switches in a fabric.
dlsreset                   Configure dynamic load sharing (DLS) option
dlsset                     Configure dynamic load sharing (DLS) option
dlsshow                    Display the state of the dynamic load sharing
                           option
dnsconfig                  Configure DNS service
enclosureshow              Display the switch enclosure attributes
errclear                   Clear error log
errdelimiterset            Sets the error log start and end delimiter for
                           messages sent to the console and syslog
errdump                    Print error log (no page breaks)
errfilterset               Sets a filter for an error log destination
errmoduleshow              Displays all the defined modules in the system
errshow                    Print error log
esrsconfig                 Register/Add FOS device with the ESRS server
ethif                      Display the usage of ethif command
extncfg                    Configure blade/switch extension product features
extnperfmon                Clears out all Extension Performance Monitor log
                           files on system
fabretryshow               Display retry count of various fabric commands
fabretrystats              Display retry count of  fabric SW_ILS commands
fabriclog                  Displays or manipulates the fabric log
fabricname                 Configure fabric name
fabricnotification         FabricNotification statistics
fabricprincipal            Configure Principal Switch Selection mode
fabricshow                 Print fabric membership info
fabstatsshow               Displays the fabric statistics information
factorycfg                 Enable factory shell
factoryreset               Reset all switch configurations
fandisable                 Disables a fan unit.
fanenable                  Enables a fan unit.
fanshow                    Print fan status
fapwwn                     Configure the Virtual PWWN for port
fastboot                   Reboot this switch and bypass POST
fciphelp                   Print FCIP help info
fcipledtest                Cycle user port LEDs.
fcippathtest               Data Path Test of the FCIP complex.
fclag                      Add member ports to the specified fclag port
fcoe                       Clears the counters for all the ports
fcping                     Sends a FC ELS ECHO request to a port
fcplogclear                Clear the FCP log
fcplogdisable              Disable logging of FCP events
fcplogenable               Enable logging of FCP events
fcplogshow                 Display FCP probing log information
fcpprobeshow               Display FCP probing information
fcprlsprobe                Manage RLS probing
fcrbcastconfig             Configure interfabric broadcast frame forwarding
fcrconfigure               Sets FC Router configuration parameters.
fcredgeshow                Displays FIDs assigned to defined EX_Port
fcrfabricshow              Displays FC Routers on a backbone fabric.
fcriclpathbwmonitor        Manage FC Router ISL bandwidth configuration
                           parameters
fcrlsan                    Configure LSAN policies
fcrlsancount               Display maximum LSAN zone limit.
fcrlsanmatrix              Manage LSAN fabric matrix configuration.
fcrphydevshow              Displays FC Router physical device information.
fcrproxyconfig             Displays or configures proxy devices presented by
                           an FC Router.
fcrproxydevshow            Displays FC Router proxy device information.
fcrresourceshow            Displays FC Router physical resource usage.
fcrrouterportcost          Modify FC Router port cost configuration.
fcrrouteshow               Displays FC Router route information.
fcrxlateconfig             Displays or persistently configures a translate
                           (xlate) domain's domain ID for both
                           EX_Port-attached fabric and backbone fabric.
fddcfg                     fddcfg manages the fabric data distribution
                           configuration parameters.
fdmicacheshow              Display abbreviated remote FDMI device information
                           according to remote domain ID
fdmishow                   Display detailed FDMI device information
femdump                    Retrieve support data from switch to host
ficoncfg                   Manage FICON configuration
ficonclear                 Clears contents of the specified FICON management
                           database
ficoncupset                Sets FICON-CUP parameters for a switch
ficoncupshow               Displays FICON-CUP parameters for a switch
ficonhelp                  Displays FICON commands
ficonshow                  Displays contents of the specified FICON management
                           database
firmwareactivate           Activate firmware on secondary partition
firmwarecheck              Verify firmware signature
firmwarecleaninstall       Perform from scratch firmware install
firmwarecommit             Commit firmware to stable storage
firmwaredownload           Download firmware into switch
firmwaredownloadstatus     Display the progress and status of firmwareDownload
firmwarerestore            Restore the old firmware in the switch
firmwareshow               Display firmware versions in the switch
firmwaresync               Perform firmware synchronization
flow                       Configure Flow Vision services
fosconfig                  Enable/disable FabOS services
fosdbg_appsrvr             N/A
fosdbg_ess                 N/A
fosdbg_ficon               N/A
fosdbg_ftc                 N/A
fosdbg_ns                  N/A
fosdbg_rcs                 N/A
fosdbg_snmp                N/A
fosdbg_telemetry           N/A
fosdbg_ufcs                N/A
fosdbg_zone                N/A
fosexec                    Invoke command in remote domain
fpgaupgrade                Upgrade FPGA version on the system
fpiprofile                 FPI Policy management
framelog                   Configure logging of discarded frames
frudump                    Retrieve FRU data from switch to host
fspfshow                   Print FSPF global information
geporterrshow              Print GigE port error summary
geportperfshow             Print GE port throughput summary
grep                       Linux grep command
h                          Print shell history
hadisable                  Disables the High Availability feature in the
                           switch.
hadump                     Displays information about the status of the High
                           Availability feature in the switch.
haenable                   Enables the High Availability feature in the switch
hafailover                 Forces the failover mechanism so that the Standby
                           Control Processor (CP) becomes the Active CP.
hareboot                   hareboot Performs high availability (HA) reboot
haredundancy               Displays HA redundancy status
hashow                     Displays control processor (CP) status
hashutdown                 hashutdown Shuts down high availability (HA)
                           feature
help                       Print this list
historylastshow            Displays last history record
historymode                Display or set the mode of the history log
historyshow                Displays entire history log
i                          Display process summary
iflshow                    Display edge switch FCR connection information
interfaceshow              Display the FSPF (TM) interface information
iodreset                   Turn off the in-order delivery (IOD) option
iodset                     Manage the in-order delivery (IOD) option
iodshow                    Display the state of the in-order delivery option
ipaddrset                  Set ethernet and FC IP addresses
ipaddrshow                 Print ethernet and FC IP addresses
ipfilter                   Manage/display IP filters
islshow                    Display the current connections and status
killtelnet                 Terminate telnet/serial login sessions
                           interactively
lacp                       Configure LACP parameters
less                       Linux less command
ldapcfg                    Configure LDAP role mapping
lfcfg                      Configure logical fabrics
license                    Copy the license certificates installed on the
                           switch to remote server.
licenseslotcfg             Configure licenses on a slot basis
linkcost                   Set or print the FSPF cost of a link
lldp                       To clear the stats and neighbor devices of ports
logicalgroup               Manage MAPS logical groups
logout                     Logout from remote session
ls                         Linux ls command
lscfg                      Configure logical switches
lsdbshow                   Displays the FSPF link state database
mapsconfig                 Configure MAPS global parameters
mapsdb                     Display MAPS dashboard summary
mapshelp                   Display all MAPS commands
mapspolicy                 Configure MAPS policies
mapsrule                   Configure MAPS threshold monitoring rules
mapssam                    Display system availability monitor information
memshow                    Display memory usage in the system.
mgmtapp                    Management application configurations
more                       Linux more command
motd                       Set chassis login banner
mscapabilityshow           Display Management Server Capability.
msconfigure                Configure Management Server
msplatshow                 Display the Management Server Platform Database
msplatshowdbcb             Display the Management Server Database Control
                           Block
msplcleardb                Clear the Management Server Platform Database
                           fabric-wide
msplmgmtactivate           Activate the Management Server Platform Database
                           fabric-wide
msplmgmtdeactivate         Deactivate the Management Server Platform Database
                           fabric-wide
mstddisable                Disables the Management Server Topology Discovery
                           Management Service
mstdenable                 Enables the Management Server Topology Discovery
                           Management Service
mstdreadconfig             Display status of Management Server Topology
                           Discovery Service
myid                       Display the current login session details
nbrstateshow               Display FSPF (TM) neighbors' states
nbrstatsclear              Reset the FSPF (TM) interface counters
netstat                    Display network connections and statistics
nodefind                   Display all the devices' PID matching the given
                           world wide name
nodewwn                    Add new device Node WWN in OUI database
nsaliasshow                Display local Name Server information with Aliases
nsallshow                  Print global Name Server information
nscamshow                  Print local Name Server Cache information
nsdevlog                   Manage Name Server device logs
nsshow                     Print local Name Server information
nszonemember               Display the information of all the online devices
                           which are zoned with the given device.
nszoneshow                 Display zone names of specific zoned devices
opensource                 Display information on open source software
                           utilized in FabOS
passwd                     Set usernames and passwords
passwdcfg                  passwdcfg manages the password policies.
pathinfo                   Display routing information between two ports
pdshow                     Show information from Panic Dump file
ping                       Display the link operating mode for a network
                           interface
ping6                      Display the link operating mode for a network
                           interface
portaddress                Configure low 16 bits of Fibre Channel Porrt ID
portbeacon                 Enable or disable port beacon
portbuffercalc             Compute port buffer requirements
portbuffershow             Print the buffer allocations for the ports of a
                           quad
portcamshow                Display filter utilization
portcfg                    Create/Delete a new ip interface/route/arp entry or
                           fcip tunnel on the GigE port
portcfgappheader           Disable removal of application header on a port
portcfgautodisable         Configure auto disable
portcfgbreakout            Disable breakout
portcfgcleanaddress        Disable Clean Address Bit
portcfgcompress            Configure in-flight data compression
portcfgcongestionsignal    Disable Congestion Detection Signaling
portcfgcreditrecovery      Configure credit recovery
portcfgdefault             Restore the port configuration to defaults
portcfgdport               Configure Diagnostic port function
portcfgencrypt             Configure in-flight data encryption
portcfgeport               Enable/Disable a port from becoming E_Port
portcfgeportcredits        Configure credits for E_Ports
portcfgexport              Sets a port to be an EX_Port and sets and displays
                           EX_Port configuration parameters.
portcfgfaultdelay          Configure fault delay for a port
portcfgfec                 Configure Forward Error Correction feature
portcfgflexport            Change port type from ETHERNET to FIBERCHANNEL or
                           vice-versa
portcfgflogilogout         Configure port FLOGI logout option
portcfgfportbuffers        Configure F_Port buffers
portcfgge                  Configure GigE port features
portcfgislmode             Configure a port to be ISL R_RDY Mode
                           enabled/disabled
portcfglongdistance        Configure a Long Distance Port
portcfglosstov             Configure frontend port signal debounce
portcfgnpivport            Configure NPIV functionality on a port.
portcfgnport               Enable/disable N_Port capability for a port
portcfgoctetspeedcombo     Set port speed combination for port octet
portcfgpersistence         Configure port persistence state
portcfgpersistentdisable   Persistently disable a port
portcfgpersistentenable    Enable a persistently disabled port
portcfgqos                 Configure QoS feature
portcfgmsacl               Configure Management Service's Access
portcfgshow                Displays port configuration settings.
portcfgspeed               Configure a port to a particular speed level
portcfgtdz                 Configure Target Driven Zoning for a port
portcfgtrunkport           Configure a port for trunking
portcfgupload              Save backup of existing port configuration
portchannel                To add member ports to port channel
portchannelshow            Display port channels to remote domain(s)
portcmd                    Execute commands (ping etc) on the GigE port
portdecom                  Disable E_Port in trunk group
portdisable                Disable a specified port
portdporttest              Enable Diagnostic port test
portenable                 Enable a specified port
portenccompshow            Print the encryption and compression configurations
                           for the ports of a chip present in the switch.
porterrshow                Print port error summary
portflagsshow              Display the port status bitmaps of all ports in a
                           switch
portimpair                 Clear impaired state
portledtest                Cycle user port LEDs.
portlogclear               Clear port activity log
portlogconfigshow          Display portlog configuration
portlogdisable             Disable portlog facility
portlogdump                Print port log (no page breaks)
portlogdumpport            Print port log (no page breaks)
portlogenable              Enables port log facility
portlogeventshow           Display information about port log events
portloginshow              Display port login information
portlogreset               Enable portlog facility
portlogresize              Resize the port log
portlogshow                Print port activity log
portlogshowport            Print port activity log
portlogtypedisable         Disable port logging
portlogtypeenable          Enable port logging
portloopbacktest           Functional test of port N->N path.
portname                   Assign or display the name associated with a port
portpeerbeacon             Enable or disable port peer beacon
portperfshow               Print port throughput numbers
portshow                   Show configured ip interfaces/routes/arp entries or
                           fcip tunnels on the GigE Port
portstats64show            Display the 64-bit hardware statistics for a port
portstatsclear             Clear the status of a specified switch port
portstatsshow              Print hardware statistics
porttest                   Functional test on a live fabric. Starts porttest.
porttestshow               Retrieve information from porttest.
porttrunkarea              Configure area trunking
portzoneshow               Displays the enforced zone type of the F/FL-ports
                           of a switch.
powerofflistset            sets slot power off list order
powerofflistshow           Displays slot power-off order.
psshow                     Print power supply status
portimpair                 Clear impaired state
portledtest                Cycle user port LEDs.
portlogclear               Clear port activity log
portlogconfigshow          Display portlog configuration
portlogdisable             Disable portlog facility
portlogdump                Print port log (no page breaks)
portlogdumpport            Print port log (no page breaks)
portlogenable              Enables port log facility
portlogeventshow           Display information about port log events
portloginshow              Display port login information
portlogreset               Enable portlog facility
portlogresize              Resize the port log
portlogshow                Print port activity log
portlogshowport            Print port activity log
portlogtypedisable         Disable port logging
portlogtypeenable          Enable port logging
portloopbacktest           Functional test of port N->N path.
portname                   Assign or display the name associated with a port
portpeerbeacon             Enable or disable port peer beacon
portperfshow               Print port throughput numbers
portshow                   Show configured ip interfaces/routes/arp entries or
                           fcip tunnels on the GigE Port
portstats64show            Display the 64-bit hardware statistics for a port
portstatsclear             Clear the status of a specified switch port
portstatsshow              Print hardware statistics
porttest                   Functional test on a live fabric. Starts porttest.
porttestshow               Retrieve information from porttest.
porttrunkarea              Configure area trunking
portzoneshow               Displays the enforced zone type of the F/FL-ports
                           of a switch.
powerofflistset            sets slot power off list order
powerofflistshow           Displays slot power-off order.
psshow                     Print power supply status
psutil                     Updates firmware of microcontrollers in power
                           supplies
rasadmin                   Sets the system keep alive period
rasman                     Display RAS message description
reboot                     Reboot this processor
relayconfig                Configure email server address
rm                         Linux rm command
roleconfig                 Manage user-defined RBAC roles
ron                        Displays the usage of RON commands
routehelp                  Print routing help info
sboot                      Secure boot information help
scp                        Linux scp command
sddquarantine              Manage MAPS quarantine state
secactivesize              Displays size of the active (security) database
secauthsecret              Creates/Manages DHCHAP secret key details
seccertmgmt                Creates/Manages/Displays third party PKI
                           certificates
seccryptocfg               Configures allowed ciphers
secdefinesize              Displays size of the defined (security) database
secpolicyabort             Aborts changes to defined policy
secpolicyactivate          Activates all policy sets
secpolicyadd               Adds members to an existing policy
secpolicycreate            Creates a new policy
secpolicydelete            Deletes an existing policy
secpolicydump              Displays all members of existing policies
secpolicyfcsmove           Moves a member in the FCS policy
secpolicyremove            Removes members from an existing policy
secpolicysave              Saves defined policy set and sends to all switches
secpolicyshow              Shows members of one or more policies
secstatsreset              Resets security statistics
secstatsshow               Displays security statistics
sensorshow                 Display sensor readings
serviceshell               Activate service shell
setcontext                 Select logical switch context
setverbose                 Set verbosity level of the specified module
sfpprogram                 Permit Brocade Branded JAAx SFPs to be adjusted in
                           the field to address specific situation
sfpshow                    Print Serial ID SFP information
sfpupgrade                 Upgrade SFP with latest firmware
shellflowcontroldisable    Disable xon-xoff flow control on console serial
                           port
shellflowcontrolenable     Enable xon-xoff flow control on console serial port
sleep                      Linux sleep command
slotcfg                    Set all ports in a slot to default port
                           configuration
slotcfgpersistence         Set a slot to persistence enable/disable state
slotpoweroff               Removes power from a slot.
slotpoweron                Restores power to a slot.
slotshow                   Displays the status of all slots in the system.
snmpconfig                 Configure SNMP
snmptraps                  Configure SNMP traps
spinfab                    Functional test of switch to switch ISL cabling and
                           trunk group operation.
sshutil                    Configure SSH authentication options
statsclear                 Clear port and diagnostic statistics.
stopporttest               Terminate the running porttest.
supportffdc                Modifies or displays first-failure data capture
                           (FFDC) configuration.
supportftp                 set support Ftp parameters
supportinfoclear           Clear selected counters and logs in preparation for
                           supportsave operation
supportlink                Supportlink configurations
supportsave                retrieve support data from switch to host
supportshow                Prints switch information for debugging purposes.
supportshowcfgdisable      Disables a group of commands under supportshow
                           command.
setcontext                 Select logical switch context
setverbose                 Set verbosity level of the specified module
sfpprogram                 Permit Brocade Branded JAAx SFPs to be adjusted in
                           the field to address specific situation
sfpshow                    Print Serial ID SFP information
sfpupgrade                 Upgrade SFP with latest firmware
shellflowcontroldisable    Disable xon-xoff flow control on console serial
                           port
shellflowcontrolenable     Enable xon-xoff flow control on console serial port
sleep                      Linux sleep command
slotcfg                    Set all ports in a slot to default port
                           configuration
slotcfgpersistence         Set a slot to persistence enable/disable state
slotpoweroff               Removes power from a slot.
slotpoweron                Restores power to a slot.
slotshow                   Displays the status of all slots in the system.
snmpconfig                 Configure SNMP
snmptraps                  Configure SNMP traps
spinfab                    Functional test of switch to switch ISL cabling and
                           trunk group operation.
sshutil                    Configure SSH authentication options
statsclear                 Clear port and diagnostic statistics.
stopporttest               Terminate the running porttest.
supportffdc                Modifies or displays first-failure data capture
                           (FFDC) configuration.
supportftp                 set support Ftp parameters
supportinfoclear           Clear selected counters and logs in preparation for
                           supportsave operation
supportlink                Supportlink configurations
supportsave                retrieve support data from switch to host
supportshow                Prints switch information for debugging purposes.
supportshowcfgdisable      Disables a group of commands under supportshow
                           command.
supportshowcfgenable       Enables a group of commands under supportshow
                           command.
supportshowcfgshow         Display the groups of commands enabled for
                           supportshow command.
switchbeacon               Set switch beacon on or off
switchcfgpersistentdisable Persistently disable a switch
switchcfgpersistentenable  Enable a persistently disabled switch
switchcfgspeed             Configures all ports of the switch to a particular
                           speed level
switchcfgtrunk             Configure all ports on the switch for trunking
switchdisable              Disable this switch
switchenable               Enable this switch
switchname                 Print/set this switch's name
switchshow                 Print switch and port status
switchtype                 Display the product name
switchviolation            Display policy violations recorded in RAS log
syshealth                  Run system health related tests
syslogadmin                Configure the syslog facility
sysshutdown                Provides a graceful shutdown to protect the switch
                           file systems.
tcptimestamp               Enable/Disable tcptimestamp in tcp frame.
tempshow                   Print temperature readings
timeout                    Set/show the IDLE timeout value for a login session
top                        Linux top command
topologyshow               Display the unicast fabric topology
touch                      Linux touch command
tracedump                  generate/remove trace dump or display trace dump
                           status
trafopt                    Abort the already scheduled profile
trunkdebug                 Debug a trunk link failure
trunkshow                  Display trunking information
tsclockserver              Displays or sets the NTP server address
tstimezone                 Displays or sets the time zone
turboramtest               Turbo SRAM test for bloom ASICs.
uptime                     Print how long switch has been up
urouteshow                 Display unicast routing information
usbstorage                 Manage USB storage device (available on Brocade
                           Data Center Director only).
userconfig                 Display or configure user accounts
version                    Print firmware version
wwn                        Display or set the world wide name
wwnaddress                 Configure persistent PID assignments
wwnrecover                 Recover one or both WWN cards
zone                       Copies/Removes/Validates zone objects
zoneadd                    Add a member to a zone
zonecreate                 Create a zone
zonedelete                 Delete a zone
zonefabriclock             Configures and shows Zone Fabric Locking settings
zonehelp                   Print zoning help info
zoneobjectcopy             Copies a zone object
zoneobjectexpunge          Expunges a zone object
zoneobjectrename           Rename a zoning Object
zoneobjectreplace          Replace a zoning Object
zoneremove                 Remove a member from a zone
zoneshow                   Print zone information

Phương Nguyễn

CLI SAN Switch Dell SAN Switch connectrix

Active Directory operation failed… the object already exists” when installing Exchange Server

Mô tả lỗi

Exchange server 2019 /PrepareAD or installing Cumulative Updates [ CUxx ] fail with the error,

while running Organization Preparation

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD

The following error was generated when “$error.Clear();
install-AdministrativeGroup -DomainController $RoleDomainController

” was run: “Active Directory operation failed on Servername.domain.com. The object

‘CN=Folder Hierarchies, CN=Exchange Administrative Group (FYDIBOHF23SPDLT),

CN=Administrative Groups, CN=Exchange Organization,CN=Microsoft Exchange,

CN=Services,CN=Configuration, DC=Domain,DC=Com’ already exists.”

The Exchange Server setup operation didn’t complete. More details can be found in ExchangeSetup.log

located in the <SystemDrive>:\ExchangeSetupLogs folder. Exchange Server setup encountered an error.

Root Case

This error occur when the “CN= Public Folders” container underneath ‘CN=Folder Hierarchies has been

deleted from Active Directory. use the ADSI Edit, or a similar tool (LDP), to determine whether the Public

Folders container exists. The Public folder object can be found at:

CN=Configuration,CN=Services,CN=Microsoft Exchange,CN=Your Exchange Organization,

CN=Administrative Groups,CN=Administrative group,CN=Exchange Administrative Group

(FYDIBOHF23SPDLT), CN=Folder Hierarchies

Thủ tục xử lý

The workaround is to manually create a new msExchPFTree object in the Folder Hierarchy and set the msExchPFTreeType value to 1. Here’s how to do that:

Run ADSIEdit.msc on a domain server with the AD Directory Services Tools (RSAT-ADDS) installed. Your Exchange 2013 server should do fine.
Expand the following path:
- Configuration [<domainController>.contoso.com]
- CN=Configuration,DC=contoso,DC=com
- CN=Services
- CN=Microsoft Exchange
- CN=<OrganizationName>
- CN=Administrative Groups
- CN=Exchange Administrative Group (FYDIBOHF23SPDLT)
- CN=Folder Hierarchies
Right-click Folder Hierarchies and select New > Object.

Select the msExchPFTree class object and click Next.

Enter any value for the cn (Common Name) value, such as PF.
Right-click the newly created msExchPFTree object and select Properties.
On the Attribute Editor tab, click msExchPFTreeType, and then click Edit.
In the Value box type 1, and then click OK two times.

Exit the ADSI Edit tool.

Good luck

Source: 1. Exchange Server 2013 /PrepareAd or Cumultive update installation fails. | Microsoft Learn

Exchange Server

Exchange Server CU14 2019

Nghỉ Tết cũng cập nhật thông tin cho ae:

Ngày 13/02/2024 MS đang công bố tính khả dụng của Bản cập nhật tích lũy H1 2024 (CU) cho Exchange Server 2019 (hay còn gọi là CU14). CU14 bao gồm các bản sửa lỗi cho các sự cố được khách hàng báo cáo, thay đổi bảo mật và tất cả các Bản cập nhật bảo mật (SU) đã phát hành trước đó.

Cài đặt Bản cập nhật tích lũy ngay lập tức để giải quyết các vấn đề được tìm thấy trong Exchange Server 2019 và bảo vệ môi trường của bạn.

1. Với Exchange 2019 CU14 khi cài mặt định enable Extended Protection hoặc chúng ta không muốn bật thêm tham số /DoNotEnableEP or /DoNotEnableEPFEEWS trong quá trình setup

2. Hỗ trợ .NET Framework 4.8.1 trên Windows Server 2022

3. TLS 1.3 dự kiến EX2019CU15

4. Lưu ý sau phiên bản sẽ không hỗ trợ bản vá bảo mật trong tương lai: EX2019CU12, EX2016CU22.

CVE dưới đây được giải quyết bằng Bản cập nhật tích lũy:

CVE-2024-21410 – Microsoft Exchange Server nâng cao lỗ hổng đặc quyền

Xin lưu ý rằng CVE-2024-21410 cũng áp dụng cho Exchange Server 2016. Đối với các máy chủ Exchange 2016, hãy làm theo Cấu hình Bảo vệ Mở rộng Windows trong Máy chủ Trao đổi nếu Bảo vệ Mở rộng chưa được bật trong tổ chức của bạn

Lưu ý rằng Exchange Server 2013 KHÔNG được hỗ trợ và bạn phải nâng cấp lên Exchange Server 2019 hoặc Exchange Online càng sớm càng tốt

Lưu ý rằng Exchange Server 2013 KHÔNG được hỗ trợ và bạn phải nâng cấp lên Exchange Server 2019 hoặc Exchange Online càng sớm càng tốt.

P/s: Khuyến cáo Quản trị viên cần triển khai cập nhật trong môi trường Lab trước khi thực hiện triển khai update trong môi trường Production

#exchangeserver2019CU14

#exchangecu

#sharing

Exchange Server

Cập Nhật Nguyên Tắc/ Chính Sách Gửi Email Vào Gmail-Yahoomail Năm 2024

Cập nhật Nguyên tắc gửi Email vào Gmail năm 2024

Thông tin

Theo như thông báo của Gmail thì bắt đầu tháng 02 năm 2024 có 1 số đổi mới bảo mật gửi vào gmail

Quan trọng: Kể từ tháng 2 năm 2024, Gmail sẽ yêu cầu những người gửi từ 5.000 thư trở lên mỗi ngày đến các tài khoản Gmail phải làm các việc sau: Xác thực email gửi đi, tránh gửi email không mong muốn, đồng thời giúp người nhận dễ dàng huỷ đăng ký.

Các nguyên tắc trong bài viết này có thể giúp bạn gửi và chuyển thành công email đến các tài khoản Gmail cá nhân. Tài khoản Gmail cá nhân là tài khoản có đuôi là @gmail.com hoặc @googlemail.com.

Người gửi trên Google Workspace: Nếu bạn sử dụng Google Workspace để gửi số lượng lớn email thì phải tuân thủ theo chính sách Gmail của Google Workspace.

Nội dung cập nhật về các yêu cầu đối với người gửi

Điểm mới trong tháng 12/2023 Gmail đã cập nhật đối với người gửi bắt buộc phải dùng kết nối TLS để truyền email.

Yêu cầu đối với tất cả người gửi vào gmail

Kể từ ngày 1 tháng 2 năm 2024, tất cả những người gửi email đến các tài khoản Gmail đều phải đáp ứng các yêu cầu trong mục này.

Quan trọng: Nếu bạn gửi hơn 5.000 thư mỗi ngày đến các tài khoản Gmail, hãy tuân theo Các yêu cầu đối với việc gửi từ 5.000 email trở lên mỗi ngày.

Thiết lập phương thức xác thực email DKIM hoặc SPF cho miền của bạn.
Đảm bảo rằng địa chỉ IP hoặc miền gửi thư có bản ghi DNS chuyển tiếp và bản ghi DNS ngược hợp lệ, còn được gọi là bản ghi PTR (PTR record hay dân gian gọi là IP Reverse). Tìm hiểu thêm hướng dẫn tại đây (https://support.google.com/mail/answer/81126)
- IP Adress: Địa chỉ IP gửi của bạn phải có bản ghi PTR. Bản ghi PTR xác minh rằng tên máy chủ gửi được liên kết với địa chỉ IP gửi. Mỗi địa chỉ IP phải liên kết với một tên máy chủ trong bản ghi PTR. Tên máy chủ trong bản ghi PTR phải có DNS chuyển tiếp tham chiếu đến địa chỉ IP gửi.
- IP Sharing (Dạng sài chung host): Địa chỉ IP dùng chung (IP dùng chung) là địa chỉ IP được nhiều người gửi email sử dụng. Hoạt động của bất kỳ người gửi nào sử dụng địa chỉ IP dùng chung cũng sẽ ảnh hưởng đến danh tiếng của tất cả người gửi sử dụng IP dùng chung đó.
- Danh tiếng xấu có thể ảnh hưởng đến tần suất gửi thư của bạn.
- Nếu bạn sử dụng một IP dùng chung để gửi email, bạn cần:
- Đảm bảo địa chỉ IP dùng chung đó không thuộc bất kỳ danh sách chặn nào trên Internet. Thư được gửi từ địa chỉ IP trong danh sách chặn sẽ có nhiều khả năng bị đánh dấu là thư rác.
- Nếu bạn sử dụng một nhà cung cấp dịch vụ email cho IP dùng chung của mình, hãy sử dụng Công cụ Postmaster để giám sát danh tiếng của địa chỉ IP dùng chung.
Sử dụng kết nối TLS để truyền email. Để biết các bước thiết lập TLS trong Google Workspace. Xem hướng dẫn tại đây (https://support.google.com/a/answer/2520500)

Giữ cho tỷ lệ thư rác được báo cáo trong Công cụ Postmaster dưới 0,1% và đừng để tỷ lệ thư rác bằng hoặc cao hơn 0,3%. Xem hướng dẫn tại (https://gmail.com/postmaster). Phần này nên đăng ký và add domain của các bạn vào để giám sát

Rate dưới 0.1%, và không cao hơn 0.3% sẽ bị khoá ngay lập tức này gặp rồi Gmail block luôn domain gửi vào.

5. Định dạng thư theo Tiêu chuẩn định dạng thư trên Internet (RFC 5322) (https://tools.ietf.org/html/rfc5322)

6 Không được mạo danh ở phần đầu thư Từ: của Gmail. Gmail sẽ bắt đầu sử dụng chính sách thực thi cách ly theo DMARC, và việc mạo danh trong phần đầu thư Từ: của Gmail có thể ảnh hưởng đến việc gửi email (https://support.google.com/a/answer/10032169#policy-options)

7. Nếu bạn thường xuyên chuyển tiếp email, kể cả việc sử dụng danh sách gửi thư hoặc cổng thư đến, hãy thêm phần đầu ARC vào email gửi đi. Phần đầu ARC cho biết thư đã được chuyển tiếp và xác định bạn là người chuyển tiếp. Người gửi danh sách gửi thư cũng phải thêm phần đầu List-id:. Phần đầu này chỉ định danh sách gửi thư cho các thư gửi đi. (https://support.google.com/mail/answer/81126?hl=vi&sjid=11774976608095956067-AP#arc)

Yêu cầu đối với việc gửi từ 5.000 email trở lên mỗi ngày gửi vào Gmail

Kể từ ngày 1 tháng 2 năm 2024, những người gửi hơn 5.000 thư mỗi ngày đến các tài khoản Gmail phải đáp ứng các yêu cầu trong mục này.

Thiết lập phương thức xác thực email DKIM hoặc SPF cho miền của bạn.
Đảm bảo rằng địa chỉ IP hoặc miền gửi thư có bản ghi DNS chuyển tiếp và bản ghi DNS ngược hợp lệ, còn được gọi là bản ghi PTR. Tìm hiểu thêm
Sử dụng một kết nối TLS để truyền email. Để biết các bước thiết lập TLS trong Google Workspace, hãy xem bài viết Cần có một kết nối bảo mật cho email.
Giữ cho tỷ lệ thư rác được báo cáo trong Công cụ Postmaster dưới 0,1% và đừng để tỷ lệ thư rác bằng hoặc cao hơn 0,3%. Tìm hiểu thêm về tỷ lệ thư rác.
Định dạng thư theo Tiêu chuẩn định dạng thư trên Internet (RFC 5322).
Không được mạo danh ở phần đầu thư Từ: của Gmail. Gmail sẽ bắt đầu sử dụng chính sách thực thi cách ly giao thức DMARC, và việc mạo danh phần đầu thư Từ: của Gmail có thể ảnh hưởng đến việc gửi email.
Nếu bạn thường xuyên chuyển tiếp email, kể cả việc sử dụng danh sách gửi thư hoặc cổng thư đến, hãy thêm phần đầu ARC vào email gửi đi. Phần đầu ARC cho biết thư đã được chuyển tiếp và xác định bạn là người chuyển tiếp. Người gửi danh sách gửi thư cũng phải thêm phần đầu List-id:. Phần đầu này chỉ định danh sách gửi thư cho các thư gửi đi.
Thiết lập phương thức xác thực email bằng DMARC cho miền gửi thư của bạn. Bạn có thể đặt Chính sách thực thi bằng DMARC thành none. Tìm hiểu thêm
Đối với thư trực tiếp, miền trong phần Từ: của người gửi phải khớp với miền SPF hoặc miền DKIM. Đây là điều kiện bắt buộc để vượt qua yêu cầu phù hợp với DMARC.
Thư tiếp thị và thư gửi cho những người đã đăng ký phải hỗ trợ tính năng nhấp một lần để huỷ đăng ký, đồng thời phải có một đường liên kết huỷ đăng ký rõ ràng trong nội dung thư. Tìm hiểu thêm

Nếu bạn gửi hơn 5.000 email mỗi ngày trước ngày 1 tháng 2 năm 2024, hãy làm theo các nguyên tắc trong bài viết này càng sớm càng tốt. Việc đáp ứng các yêu cầu dành cho người gửi trước thời hạn trên có thể giúp cải thiện khả năng gửi email. Nếu bạn không đáp ứng các yêu cầu được mô tả trong bài viết này, email của bạn có thể không được gửi như mong đợi hoặc có thể bị đánh dấu là thư rác.

Để tìm hiểu thêm về cách thiết lập SPF, DKIM và DMARC, hãy truy cập vào bài viết Ngăn chặn thư rác, hành vi giả mạo và lừa đảo bằng phương thức xác thực của Gmail (https://support.google.com/a/answer/10583557 )

Lời kết

Đối với Quản trị viên IT Admin đơn vị, công ty cơ quan mình đang quản lý nên xem lại cách gửi email hiện tại của để đảm bảo bảo mật Email đám ứng đủ các tiêu chí trên:

Authentication (SPF, DKIM và DMARC), PTR, mà Gmail hay Yahoo yêu cầu… Nếu cần, hãy cập nhật cấu hình SPF, DKIM và DMARC của bạn để tuân thủ các yêu cầu mới.
PTR Record
Kiểm tra Email System dùng giao thức TLS connection tranmission
Tận dụng tối đa công cụ Postmaster giám sát các chỉ số của Gmail đưa ra: Authenticated (SPF, DKIM, DMARC), Spam rate luôn dưới 0,1% và không vượt 0.3%, IP reputation, domain reputation (High), Encryption traffic(TLS incoming/ TLS Outgoing),…

Đối với hệ thống marketing thường dùng bulk email cần đáp ứng tiêu chí Gmail nếu không sẽ dính chưởng block domain trường hợp này Phương Nguyễn đã gặp rồi ít nhất hơn 3 khách hàng.
Hạn chế thấp nhất các email vào gmail quảng cáo mà bị report là spam thì sẽ dính spam. Trương hợp có dùng để gửi email dạng thông báo hoặc tiếp thị liên kết cho khách thì nên có phương thức dễ đăng ký (subscribe) và huỷ đăng (List-Unsubscribe=One-Click) một lần nếu có.

Thiết nghĩ đây là yêu cầu bắt buộc với 1 hệ thống email mà bạn đang quản trị hệ thống nhà làm (on-premise) hay thuê hosting hay đi thuê cloude GG, 365, Zoho,.. Cũng nên xem và kiểm tra chặt chẽ để tránh Spam không đáng có.

Bài viết có tham khảo gmail và hiệu chỉnh theo ý cá nhân.

https://support.google.com/mail/answer/81126

Phương Nguyễn dịch và viết

Gmail

CÁCH UPGRADE VEEAM BACKUP & REPLICATION V12.0 LÊN VEEAM V12.1

CÁCH UPGRADE VEEAM V12.0 LÊN VEEAM V12.1

Chuẩn bị source KB

Đăng ký 1 tài khoản để file Link tải

https://www.veeam.com/download-version.html

Tải iso file path

Filename: VeeamBackup&Replication_12.1.0.2131_20231206.iso

Mount File ISO và Upgrade

Setup

Stop All Services Veeam Backup & Replication

Hoặc chạy Powershell cho nhanh:

get-service veeam* stop-service

Stop-Service -Name Veeam*

Trước khi chạy backup file license lại nhé.

Khởi động lại Server Veeam.

Cập nhật các remote compoment

Rename file VeeamLicense.dll->old.

C:\Program Files\Common Files\Veeam

VeeamLicense.dll > to > VeeamLicense.dll.old
[ available in C:\Program Files\Common Files\Veeam\ ]

[ available in C:\Program Files\Common Files\Veeam\Backup And Replication ]

Sau khi udpate xong chúng ra trả lại file Veeamlicense.dll

C:\Program Files\Common Files\Veeam
C:\Program Files\Common Files\Veeam\Backup And Replication

Công việc tiếp theo sẽ upgrade và scan lại reposibilites, các module upgrade.

Chúc các bạn thành công

Phương Nguyễn Viết

veeam

CÀI ĐẶT VÀ CẤU HÌNH VMWARE VSPHERE REPLICATION- P2

CÀI ĐẶT VÀ CẤU HÌNH VMWARE VSPHERE REPLICATION

THÔNG TIN YÊU CẦU

Bước 1: Chuẩn bị máy chủ

Đảm bảo máy chủ VMware vCenter Server đã được cài đặt và hoạt động.
Tải và cài đặt VMware vSphere Replication Appliance từ trang web chính thức của VMware.

https://customerconnect.vmware.com/en/downloads/info/slug/datacenter_cloud_infrastructure/vmware_vsphere/8_0

Bước 2: Thông tin IP vSphere Replication

IP: 172.16.23.5/24
Hostname: vSphere-Rep.viettechgroup.lab
DNS: 172.16.23.1/2
Domain name: viettechgroup.lab

Chọn vào Vmware vSphere Replication

Download:

Mount ISO chuẩn bị source

CÀI ĐẶT VMWARE VSPHERE REPLICATION (Deploy the vSphere Replication Appliance)

Đăng nhập vào vSphere Client của bạn bằng tài khoản có đủ quyền để thực hiện việc cài đặt và cấu hình.
Nhấp vào “Menu” (biểu tượng bánh hamburger) ở góc trên cùng bên trái.
Trong “Kho lưu trữ”, chọn “Máy chủ và cụm”.
Nhấp chuột phải vào trung tâm dữ liệu hoặc cụm nơi bạn muốn triển khai công cụ.
Chọn “Triển khai mẫu OVF” và làm theo trình hướng dẫn để triển khai tệp OVA vSphere Replication Appliance.

Nếu bạn đã tải xuống và gắn ảnh ISO vSphere Replication trên một hệ thống trong môi trường của mình, hãy chọn Tệp cục bộ > Duyệt và điều hướng đến thư mục \bin trong ảnh ISO và chọn vSphere_Replication_OVF10.ovf, vSphere_Replication_OVF10.cert, vSphere_Replication_OVF10.mf, vSphere_Replication -system.vmdk và các tệp vSphere_Replication-support.vmdk.

Khai báo theo thông tin: Tên Vmwmare vsphere replication

Chọn Computer resource

Chọn Network

Khai báo mật khẩu cho user root và admin : v$ph3r3Replication

Khai baos NTP Serrver và host name cho vSphere Replication

Khai báo domain name của các bạn nhé ở đây bài lab của tôi là :viettechgroup.lab

Chọn finish và chờ copy deploy nhé

16:33 start

Cấu hình xong

KHỞI ĐỘNG VÀ KHẢO SÁT

Chúng ta truy cập web để quản lý cấu hình

Chọn vào Launch vSphere Replication Appliance Managent để khai báo với vCenter nhé hoặc vào trực tiếp tại địa chỉ : https://172.16.23.5:5480/configure/#/login?toReturn=%2Fhome%2Fsummary

Logon bằng tài khoản root để config

Giao diện chính quản lý VM chọn vào Configure Appliance

Cấu hình times

Chọn Times cấu hình GMT múi giờ

Như vậy Phương Nguyễn đã hướng dẫn cách cài đặt deploy Vmware Replication 8.8 phần 2

Clip hướng dẫn cụ thể tại đây

Chúc các bạn thành công

Phương Nguyễn

VMware vSphere Replication

Thông tin bản cập nhật bảo mật(SU) Tháng 11/2023 Exchange Server

Ngày 14/11/2023 Microsoft đã phát hành Bản cập nhật bảo mật(SU) cho các lỗ hổng được tìm thấy:

Exchange Server 2016 CU22, CU23 (KB5032147)
Exchange Server 2019 CU13 (KB5032146)

Giải Quyết

1/ Certificate signing of PowerShell serialization payload được bật mặt định.
2/ Fix Lỗi hổng Exchange Server 2016 & Exchange Server 2019 :
CVE-2023-36439 – Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2023-36050 – Microsoft Exchange Server Spoofing Vulnerability
CVE-2023-36039 – Microsoft Exchange Server Spoofing Vulnerability
CVE-2023-36035 – Microsoft Exchange Server Spoofing Vulnerability
3/ Fix lỗi Exchange Server 2019
Lỗi khi chạy lệnh RBAC trên CMD liên quan Serialization payload signing
Unable to migrate mailbox as communication error parameter exception occurs
4/ Fix lỗi Exchange Server 2016
InvalidResponseException when you try to run Export-UMPrompt

Một số lỗi sau khi vá bản SU tháng 11 này:

Một số lệnh ghép sẽ bị lỗi trên máy remote có công cụ Management Tools nhưng không phải MBX như:

Get-MailboxDatabase | Get-MailboxStatistics

Get-MailboxDatabase | Get-Mailbox

Get-MailboxDatabase | Test-ExchangeSearch

Get-Mailbox | Get-CalendarDiagnosticLog

Get-PublicFolderClientPermission | Remove-PublicFolderClientPermission

Chạy lệnh RedistributeActiveDatabases.ps1 or StartDagServerMaintenance.ps1 trong môi trường DAG sẽ bị lỗi, MS hứa chưa có bản vá 🙂 chờ bản sau.
Có thể gây lỗi chạy lệnh EMS trong Exchange Powershell.

Khuyến Nghị

Nên Test kỹ lab trước khi chạy môi trường Production cân nhắc giữa bảo mật và an toàn.
Hiện tại chưa khuyến cáo cập nhật với các lỗi trên. Vì theo ghi nhận nhiều ae bị lỗi :).
Nếu bắt buộc cập nhật hãy đảm bảo rằng Exchange Auth Certificate hợp lệ trước khi cài đặt bản cập nhật bảo mật (SU). Bạn có thể sử dụng tập lệnh MonitorExchangeAuthCertificate.ps1 để thực hiện kiểm tra nhanh.

Cài đặt bản vá

Lưu ý rằng Exchange Server 2013 KHÔNG được hỗ trợ và bạn phải nâng cấp lên Exchange Server 2019 hoặc Exchange Online càng sớm càng tốt!

Tham khảo link comment
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2023-exchange-server-security-updates/ba-p/3980209
https://aka.ms/MonitorExchangeAuthCertificate

Description of the security update for Microsoft Exchange Server 2016: November 14, 2023 (KB5032147) – Microsoft Support

Description of the security update for Microsoft Exchange Server 2019 and 2016: November 14, 2023 (KB5032146) – Microsoft Support

jsisen

viettechgroupvn

phuongit

exchangeserver

Exchange Server

TRIỂN KHAI VMWARE VSPHERE REPLICATION TRÊN NỀN TẢNG ẢO HOÁ VAMWARE VSPHERE-P1- TỔNG QUAN

Tổng quan vSphere Replication

VMware vSphere Replication (VR) tồn tại từ năm 2012; phiên bản mới nhất là 8.2 cho vCenter/ESXi 6.7. hiện tại là vSphere Replication 8.8. cho vCenter/vSphere 8.0U2.

vSphere Replication có thể được sử dụng độc lập hoặc được bao gồm trong VMware Site Recovery Manager (SRM) cho các kế hoạch khắc phục thảm họa.

Giấy phép vSphere Replication được bao gồm trong vSphere Enterprise Plus, trong khi SRM là một sản phẩm độc lập và là giấy phép cho mỗi VM hoặc mỗi CPU (như một phần của vCloud Suite Enterprise).

vSphere Replication bảo vệ Môi trường ảo VMware của bạn bằng cách sao chép môi trường (trang web) VMware của bạn sang một trang web phụ. vSphere Replication sử dụng Replication dựa trên mạng; SRM sử dụng bản sao dựa trên mảng lưu trữ hoặc Bản sao vSphere dựa trên mạng.

vSphere Replication là gì?

VMware vSphere Replication hoạt động với vCenter cung cấp khả năng sao chép và phục hồi máy ảo dựa trên bộ ảo hóa với tính năng bảo vệ dữ liệu với chi phí thấp hơn trên mỗi máy ảo.

vSphere Replication là giải pháp thay thế cho các sản phẩm đắt tiền hơn hoặc cần giấy phép của bên thứ ba để sao chép dựa trên bộ lưu trữ vì đây là bản sao dựa trên mạng.

Với vSphere Replication, khách hàng có thể sao chép từ trang này sang trang khác để tránh lỗi hoặc thời gian ngừng hoạt động trên Môi trường ảo của họ. Nó cũng có thể được sử dụng với kho dữ liệu VMware vSAN làm kho dữ liệu đích để sao chép.

vSphere Replication bảo vệ các máy ảo khỏi lỗi giữa các sites sau:

Đồng bộ giữa các sites, từ site nguồn đến site đích
Trong cùng một site, từ cluster này sang cluster khác
Từ nhiều site nguồn đến một site đích từ xa được chia sẻ

Lợi ích khi sử dụng giải pháp vSphere Replication:

Bảo vệ dữ liệu với chi phí thấp hơn trên mỗi máy ảo.
Một giải pháp nhân rộng cho phép linh hoạt trong việc lựa chọn nhà cung cấp dịch vụ lưu trữ tại các địa điểm nguồn và đích.
Tổng chi phí cho mỗi lần sao chép thấp hơn.

Sử dụng và tương thích với vSphere Replication

Bạn có thể sử dụng vSphere Replication với vCenter Server Appliance hoặc với cài đặt vCenter Server tiêu chuẩn. Bạn có thể có Thiết bị máy chủ vCenter trên một site và cài đặt Máy chủ vCenter tiêu chuẩn trên site khác.
vSphere Replication tương thích với phiên bản N-1 của vSphere Replication trên trang được ghép nối. Ví dụ: nếu phiên bản hiện tại của vSphere Replication là 8.8 thì phiên bản được hỗ trợ cho trang được ghép nối là 8.6 trở lên.

Site Recovery Client Plug-In

vSphere Replication Appliance thêm một plug-in vào vSphere Client. Plug-in này cũng được chia sẻ với Site Recovery Manager và được đặt tên là Site Recovery.
Bạn sử dụng plug-in máy khách Site Recovery để thực hiện tất cả các cấu hình vSphere Replication:
- Xem trạng thái vSphere Replication cho tất cả các phiên bản Máy chủ vCenter được đăng ký với cùng một Đăng nhập một lần vCenter.
- Mở giao diện người dùng Site Recovery.
- Xem tóm tắt các tham số cấu hình sao chép trên tab Tóm tắt của máy ảo được cấu hình để sao chép.
- Cấu hình lại các bản sao của một hoặc nhiều máy ảo bằng cách chọn VM và sử dụng menu ngữ cảnh.

Thành phần vSphere Replication Appliance

vSphere Replication Appliance cung cấp tất cả các thành phần mà vSphere Replication yêu cầu.

Giao diện người dùng Site Recovery cung cấp đầy đủ chức năng để làm việc với vSphere Replication.
Một plug-in cho vSphere Client cung cấp giao diện người dùng để khắc phục sự cố trạng thái của Bản sao vSphere và liên kết đến giao diện người dùng độc lập của Site Recovery.
Cơ sở dữ liệu vPostgreSQL nhúng tiêu chuẩn của VMware lưu trữ thông tin quản lý và cấu hình sao chép. vSphere Replication không hỗ trợ cơ sở dữ liệu bên ngoài.
A vSphere Replication management server:
- Cấu hình máy chủ vSphere Replication.
- Cho phép, quản lý và giám sát việc sao chép.
- Xác thực người dùng và kiểm tra quyền của họ để thực hiện các hoạt động Sao chép vSphere.
Máy chủ vSphere Replication cung cấp cốt lõi của cơ sở hạ tầng vSphere Replication.

Local and Remote Sites

Trong cài đặt vSphere Replication điển hình, local site cung cấp các dịch vụ trung tâm dữ liệu quan trọng cho doanh nghiệp; remote site là một cơ sở thay thế, nơi có thể di chuyển các dịch vụ này đến khi cần thiết.
Local site có thể là bất kỳ site nào chứa vCenter Server, hỗ trợ nhu cầu kinh doanh quan trọng. Remote site có thể ở một địa điểm khác, hoặc trong cùng một cơ sở để thiết lập dự phòng. Các remote site thường nằm trong một cơ sở không có khả năng bị ảnh hưởng bởi môi trường, cơ sở hạ tầng thay đổi hoặc các xáo trộn khác, điều đó có thể ảnh hưởng đến local site.

vSphere Replication có các yêu cầu sau đối với môi trường vSphere® tại mỗi site:

Mỗi site phải có ít nhất một trung tâm dữ liệu.
Remote site phải có tài nguyên phần cứng, mạng và tài nguyên lưu trữ để hỗ trợ chứa các máy ảo và khối lượng công việc tương tự như ở local site.
Các site phải được kết nối bằng mạng IP đáng tin cậy.
Remote site phải có quyền truy cập vào các mạng (public và private) so sánh với các mạng trên local site, mặc dù không nhất thiết phải có cùng dải địa chỉ mạng.

Kết nối các local site và remote site

Trước khi sao chép các máy ảo giữa hai site, ta phải kết nối các site. Khi kết nối
site, người dùng tại cả hai site phải được chỉ định đặc quyền VRM remote.Manage VRM.

Khi kết nối các site là một phần của cùng vCenter Single Sign-On domain, ta chỉ cần chỉ định remote site, mà không cung cấp chi tiết xác thực, vì đã được đăng nhập.
Khi kết nối các site thuộc vCenter Single Sign-On domain khác nhau, vSphere
Replication Management Server phải đăng ký với Platform Services Controller trên remote site. Ta cần cung cấp chi tiết xác thực cho remote site, bao gồm IP hoặc FQDN của máy chủ nơi Platform Services Controller chạy và thông tin đăng nhập của người dùng.

Sau khi kết nối các site, ta có thể theo dõi trạng thái kết nối giữa chúng trong giao diện người dùng Site Recovery.

Cơ chế vSphere Replication hoạt động như thế nào?

vSphere Replication Appliance được cài đặt tại nguồn và đích (nếu sao chép giữa các site) và tạo bản sao dựa trên máy chủ trên mỗi VM giữa các site với nhau.
vSphere Replication tạo một bản sao của máy ảo trong mục tiêu bằng cách sử dụng các tác nhân VR bằng cách gửi các khối VM đã thay đổi giữa nguồn và đích.
Quá trình sao chép này diễn ra độc lập với lớp lưu trữ, khác với cách SRM hoạt động khi sử dụng sao chép dựa trên mảng.
Để tạo bản sao máy ảo ban đầu trên mục tiêu, vSphere Replication thực hiện đồng bộ hóa hoàn toàn máy ảo nguồn và bản sao bản sao của nó tại đích.
Mức độ đồng bộ tồn tại giữa nguồn và đích phụ thuộc vào thời điểm khôi phục (RPO) và việc lưu giữ các phiên bản từ nhiều thời điểm (MPIT) để giữ các các bản sao chép trong cài đặt.
Tất cả dữ liệu cấu hình vSphere Replication được lưu trong cơ sở dữ liệu nhúng. Bạn cũng có thể sử dụng Cơ sở dữ liệu bên ngoài để triển khai vSphere Replication.
Theo mặc định, vSphere Replication có thể sử dụng ba kịch bản tiêu chuẩn:
- Replication Between Two Sites
- Replication In a Single vCenter Server
- Replication to a Shared Target Site

Replication giữa 2 Sites

Bạn cũng có thể sao chép một máy ảo giữa các kho dữ liệu trên cùng một Máy chủ vCenter. Trong cấu trúc liên kết đó, một Máy chủ vCenter quản lý các máy chủ tại nguồn và tại đích. Chỉ có một thiết bị vSphere Replication được triển khai trên một Máy chủ vCenter duy nhất. Bạn có thể thêm nhiều máy chủ vSphere Replication bổ sung trong một Máy chủ vCenter để sao chép các máy ảo sang các cụm khác.
Để thực hiện khôi phục, Máy chủ vCenter quản lý kho dữ liệu đích, thiết bị vSphere Replication và mọi Máy chủ vSphere Replication bổ sung quản lý việc sao chép phải được thiết lập và chạy.

Replication trong cùng 1 vCenter Server

Với kịch bản này, có thể sao chép các máy ảo bên trong vCenter.
Trong trường hợp này, chỉ cần triển khai một Công cụ sao chép vSphere trong vCenter.

Replication đến các Site được chia sẻ

Với kịch bản này, có thể sao chép các máy ảo sang một trang đích được chia sẻ. tức là chúng tôi có thể có nhiều vCenter sao chép sang (các) site của bạn hoặc thậm chí sao chép sang nhiều vCenter.
Trong trường hợp này, chúng tôi cần triển khai vSphere Replication Appliance trong mỗi vCenter (trên nguồn và đích).

You can replicate a virtual machine to a shared target site

Giới hạn của giải pháp vSphere Replication

Chỉ có thể triển khai một vSphere Replication (VR) trên mỗi vCenter
Mỗi vSphere Replication chỉ có thể sao chép tối đa 2000 bản sao. Mỗi Thiết bị VR chỉ có thể quản lý 2000 VM
Mỗi Máy chủ vSphere Replication chỉ có thể quản lý 200 Máy ảo trong tối đa 9 Máy chủ sao chép vSphere cho mỗi vSphere Replication appliance.

Giới hạn vSphere Replication – Virtual Machines Replication

Không hỗ trợ ngữ cảnh FT VMs.
VR chỉ có thể sao chép các máy ảo được bật nguồn và không thể sao chép các máy ảo đã tắt nguồn
VR không đồng bộ được các Templates, Linked Clones, ISOs hoặc bất kỳ file không phải VM.
VR chỉ có thể sao chép Đĩa ảo RDM được đặt ở chế độ Ảo
Sao chép các cluster của MSCS không được hỗ trợ. VR không thể sao chép đĩa ở chế độ nhiều ổ ghi
Bản sao của vCenter vApps không được hỗ trợ. Chỉ có thể sao chép VM bên trong vApps
VR hỗ trợ tới 24 điểm khôi phục.
Hỗ trợ sao chép máy ảo bằng snapshots; tuy nhiên, cây snapshot chỉ khả dụng và được tạo tại site đích (với khả năng khôi phục bằng điểm khôi phục snapshot)

Yêu cầu của vSphere Replication

vSphere Replication được phân phối dưới dạng thiết bị ảo 64-bit được đóng gói ở định dạng .ovf. Nó được cấu hình để sử dụng CPU lõi kép hoặc lõi tứ, ổ cứng 16 GB và 17 GB và RAM 8 GB. Các máy chủ vSphere Replication bổ sung yêu cầu RAM 1 GB.
Bạn phải triển khai thiết bị ảo trong môi trường Máy chủ vCenter bằng cách sử dụng trình hướng dẫn triển khai OVF trên máy chủ ESXi.
vSphere Replication tiêu thụ CPU và bộ nhớ không đáng kể trên máy chủ nguồn ESXi và trên hệ điều hành khách của máy ảo được sao chép.
Hỗ trợ cả Ipv4 và Ipv6.
Lưu ý để đăng ký vSphere Replication bắt buộc phải sử dụng VirtualCenter.FQDN, nếu không sẽ bị lỗi nhé. Điều này đồng nghĩa các bạn phải tạo record A DNS local trỏ về Server VR.

Bản quyền vSphere Replication

Vì nó là 1 phần mở rộng của vSphere nên sẽ ăn theo license của vSphere:

vSphere Essentials Plus
vSphere Standard
vSphere Enterprise
vSphere Enterprise Plus
vSphere Desktop

Replication Maximums for vSphere Replication 8.8

Item	Maximum
vSphere Replication appliances per vCenter Server instance.	1
Maximum number of additional vSphere Replication servers per vSphere Replication.	9
Maximum number of protected virtual machines per vCenter Server instance.	4000
Maximum number of protected virtual machines per vSphere Replication appliance (by using the embedded vSphere Replication server.)	400
Maximum number of protected virtual machines per vSphere Replication server.	400
Maximum number of virtual machines configured for one replication at a time.	20
Maximum number of protected virtual machines with 5 minute RPO per vCenter Server instance.	500
Maximum number of protected virtual machines per vSphere Replication appliance on vSAN Express storage.	1000
Maximum number of protected disks per virtual machine on ESXi 8.0 or earlier version.	64
Maximum number of protected disks per virtual machine on ESXi 8.0 Update 1 or later version.	256
Maximum number of protected disks per host.	8192

Trên Đây Là Phần 1- Lý Thuyết Về Triển Khai Vmware Vsphere Replication Trên Nền Tảng Ảo Hoá Vamware Vsphere-P1

Các bạn có thể xem phần 2-Cài đặt Vmware Vsphere Replication Appliance phiên bản 8.8 tại đây nhé

Các bạn có thể xem phần 3-Cài đặt Vmware Vsphere Replication Appliance phiên bản 8.8 tại đây nhé

Phương Nguyễn dịch và viết

Nguồn: https://docs.vmware.com/en/vSphere-Replication/8.8/administration-guide/GUID-8006BF58-6FA8-4F02-AFB9-A6AC5CD73021.html

VMware Replication

MỘT SỐ BIỆN PHÁP NGĂN NGỪA VÀ CHỐNG SPAM EMAIL SERVER EXCHANGE

MỘT SỐ BIỆN PHÁP NGĂN NGỪA HỆ THỐNG CHỐNG SPAM EMAIL SERVER EXCHANGE

Hệ thống Email Server Exchange Server Nhà làm (On-Premises) Để ngăn chặn spam trên máy chủ Exchange Server, bạn có thể thực hiện một số biện pháp phòng ngừa và bảo mật. Dưới đây là một số gợi ý mà Phương Nguyễn chia sẻ từ kinh nghiệm thực tế nhé:

Sử dụng các bộ lọc chống spam:

Kích hoạt và cấu hình các tính năng chống spam tích hợp của Exchange. Bật Antispam nội tại của Exchange sẵn có cũng quét khá ok.
Cấu hình thêm 1 số tính năng của Antispam protection: Content filter, Sender Filter, sender id, Recipient, attachment,…
Nếu có tiền thì nên xem xét việc triển khai các giải pháp bộ lọc chống spam bên ngoài phần cứng hay appliance phần mềm: SpamAssassin, Barracuda, hoặc Proofpoint, FortiMail,
Giải pháp mail gateway đối tác thứ 3:
- Microsoft Exchange Server 2019.
- Paubox.
- Mimecast Email Security with Targeted Threat Protection.
- Cisco Secure Email Threat Defense.
- FortiMail.
- Symantec Email Security.Cloud.
- Cloudflare Area 1 Security.
- Barracuda Email Security Gateway.

Cập nhật phần mềm và bảo mật:

Đảm bảo bạn đang sử dụng phiên bản Exchange Server mới nhất và đã áp dụng tất cả các bản vá bảo mật (CU, SU), bằng cách theo dõi thường xuyên trên trang Microsoft Exchange check bản vá.
Theo dõi và thường xuyên cập nhật phần mềm chống virus và bảo mật trên máy chủ chạy Exchange.

Cấu hình xác thực người gửi bằng cách cấu hình bảo mật DNS cho Email:

Kích hoạt các cơ chế xác thực như SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), và DMARC (Domain-based Message Authentication, Reporting, and Conformance), IP resever (PTR)
Xác minh và thiết lập các quy tắc xác thực người gửi trong các bộ lọc spam.
Nếu tự làm email không có email gateway nên tìm IP sạch tí.

Quản lý danh sách đen (blacklist) và trắng (whitelist):

Thiết lập các quy tắc để tự động thêm địa chỉ email vào danh sách đen hoặc trắng dựa trên các tiêu chí cụ thể.
Kiểm tra định kỳ và cập nhật danh sách đen và trắng của bạn.
Ngoài ra 1 số hãng dbspam hoặc trang Spam phải mua thêm gở spam blocklist hoặc add ip mail server vào Whitelist (nhất là ông UCEPROTECT phải mua gở), nếu trang spam free thì email gở spam,
Thường xuyên dùng các công cụ kiểm tra xem IP có spam không nhé: Mxtoolbox, dnschecker, Testtls, spamhaus, Barracuda, Spamcop,..Dĩ nhiên phổ biến thôi còn nhiều các bạn có thể tìm thêm.

Quản lý và đào tạo người dùng cuối:

Các giải pháp công nghệ tốt đến đâu thì con người vận hành và sử dụng cũng là users nên yếu tố con người cũng quyết định thành công trong việc góp phần ngăn ngừa.
Cung cấp hướng dẫn và đào tạo người dùng về cách nhận biết và xử lý email spam, fishing email.
Khuyến khích họ không mở các đính kèm từ nguồn không rõ, click link nặc danh dẫn tới spam hoặc mã hoá dữ liệu.

Kiểm soát đồng bộ hóa (synchronization):

Hạn chế quá trình đồng bộ hóa với các danh bạ không tin cậy và ngăn chặn các kết nối không mong muốn từ các nguồn không rõ.

Giám sát log và thống kê:

Thường xuyên theo dõi các log và bản thống kê để phát hiện các hoạt động bất thường từ Log của Exchange transport, Ngoài các công cụ sẵn có của Exchange Server: Message tracking. Có thể dùng ManageEngine Exchange Reporter Plus khá ok dĩ nhiên phải tốn phí 😊
Thực hiện giám sát thời gian thực để nhanh chóng phát hiện và xử lý các vấn đề liên quan đến spam.

Sử dụng các giải pháp chống thấp hóa (greylisting):

Cài đặt các giải pháp chống thấp hóa để tạm thời chặn các email từ nguồn chưa được xác minh, và chỉ chấp nhận chúng khi được gửi lại từ cùng một nguồn. Này gần giống mục 3, dùng thêm các giải pháp tốn tiền

Rules Transport Exchange Server

Có thể tận dụng tạo các bộ lộc rules sẵn có của Exchange vẫn có khả năng ngănn chặn được nhiều đó, Mình nghỉ bộ công cụ này khá mạnh mọi người cần khai thác triệt để vì miễn phí mà có sẵn tận dụng có gì sài nấy trước khi đầu tư.

Lời Kết cho bài post

Bảo mật email là câu chuyện muôn thuở và nhiều tầng nhiều lớp, dĩ nhiên tuỳ thuộc vào nhu cầu và ngân sách doanh nghiệp nếu lên Cloud Email Online (Google Workspace, MS365-Microsoft Defender for Office 365 công nghệ mới XDR..) thì khá tốt rồi.

Bài post này chỉ đề cập đến giải pháp email Server Exchange nhà làm (On-Premise). Chúng ta đi từ trong ra ngoài theo các tầng thì có thể gôm lại các cách phòng chống spam cho Email như sau:

Tầng 1: Nội tại email Exchange Server có Antispam and antimalware sẵn có free, dĩ nhiên phải cấu hình và bật lên (Content filter, Sender, IP reputation,..).
Tầng 2: Rules transport Exchange có sẵn free chỉ tốn cơm suy nghĩ, spam đâu block đó
Tầng 3: tầng cài thêm phần mềm thứ ba nếu không nhiều tiền mua phần cứng: Antispam của ESET Mail Security, Symantec tích họp email security, McAFee,..
Tầng 4 tường lửa nếu có sẵn: Forgiate mua tính năng hoặc sài hẵn phần cứng mail gateway như của Baracuda, Sophos, Fortimail, hoặc đẩy thẳng mail relay Cloud Online: Microsoft, GG, Amazon SES, SendinBlue, DNSexit,..Nhiều lắm mà tốn tiền 😊

Lưu ý rằng không có biện pháp nào là hoàn toàn hiệu quả 100% trong việc ngăn chặn spam, vì vậy việc kết hợp nhiều biện pháp cùng một lúc là quan trọng.

Bài Post mang tính chất chủ quan tham khảo va chắc lọc từ kinh nghiệm cá nhân, anh em nào có khác hãy comment để thảo luận nhé.

Phương Nguyễn

Exchange Server