Как стать автором
Обновить
9
0
Владимир Мельник @Tuchaua

Облачные технологии

Отправить сообщение
Привет!

В Microsoft мы ещё в прошлом году отправили первый запрос, чтобы получить разъяснения касательно того, должны ли у провайдера быть права доступа к машине. Microsoft подумал-подумал и где-то через месяц прислал ответ, из которого следовало, что вопрос они так и не поняли. :-( Мы сердечно поблагодарили их за ответ на вопрос, который мы не задавали, и сформулировали вопрос немного иначе. Ответ так и не поступил. Отправили повторный запрос. До сих пор ждём ответ.

Мне уже кажется, что они сами не вполне знают, что ответить. Возможно, вопрос этот сейчас вызывает ожесточённые споры где-то внутри корпорации. А возможно — товарищи просто забили :-)

— В.М.
Можно, но это уже как раз и усложнение на ровном месте, как по мне. :-)
— В.М.
В наш век виртуализации можно вообще наплодить кучу виртуальных машин и соединять их в самые причудливые сети. 20 годков назад я о таком и не мечтал. Правда, самая первая vmware как раз где-то в это время и появилась, я даже смог найти ей некоторое применение, но на несколько виртуальных машин мне тогда точно не хватило бы ресурсов, работал я тогда в очень скромном в плане ресурсов месте. :-)
— В.М.
Я, честно говоря, не вижу тут ничего сложного, хотя при необходимости в самом деле можно было объединить их в одну IP-сеть. Только тут именно должны быть разные IP-сети, поскольку, когда таких офисов будет подключаться несколько, объединять их всех в одну широковещательную сеть было бы, мягко говоря, не очень разумно. =)
— В.М.
С удовольствием, коллеги.
Напишем официальный запрос в Microsoft, пожалуй. :-)
Пока дистрибьютер говорит вот чего:
В данном соглашении написано только про доступ к серверам.
По этому как такого доступа внутрь ВМ Вам не нужно иметь.

Видимо, имеется в виду таки физический доступ к серверам. Мы ещё их расспросим, сообщим о результатах.
Спасибо, этот аспект мы проясним.
Интересно… Не совсем понятно, как это следует из процитированного Вами текста, но мы всё же зададим этот вопрос дистрибьютору. Спасибо!

So what? Let's read it carefully: "… accessing the functionality of the Products in the form of Software Services in accordance with the terms of this agreement" — what exactly obliges the provider to manage the software?


The users are "accessing the functionality" — that's exactly what they're doing. There is no violation in letting them to have full administrative access to their operating systems. There are hundreds (if not thousands) of companies providing Microsoft's products to their end users according to SPLA terms — don't you think that they don't give their customers full administrative access to their systems? ;-)

Задудосить теоретически можно вообще что угодно, но службу удаленного доступа на Windows Server 2008 и 2008R2 гораздо проще, чем IPSec-шлюз, в том и дело.
Ничего не помешает. Но и злоумышленник никому не помешает, в отличие от ситуации, когда он долбит по службе удаленного доступа и не даёт ей принимать соединения.
Хрошее дело, спасибо. В нашем случае такое решение не подошло бы, так как требовало бы дополнительных усилий со стороны админов этих машин, которым бы пришлось этот скрипт деплоить у себя, но вообще, конечно же, штука полезная.
Поткой установить TCP-соединение мы мониторим не столько работу терминального сервера как такового, а только удостоверяемся в том, что сама служба, которая должна принять соединение, чувствует себя хорошо. Если её «задудосили», она несколько секунд (или даже минут) не может принимать новые соединения вообще и система отправляет RST. Мы на этой контрольной группе проверяем, удалось ли кому-то обойти блокировки. Поначалу, когда список фильтров только начал формироваться, время от времени мониторилка показывала, что этим серверам начинало плохеть, но в течение нескольких минут обновлялись фильтры и серверы эти попускало. Сейчас, когда отфильтровано уже много источников этого безобразия, система мониторинга, тьфу-тьфу, помалкивает.
И, должен сказать, не могу поспорить, зачастую имеет смысл наложить какую-то дополнительную логику на платформу, которая является расширяемой и достаточно широко используется, нежели с относительного «нуля» реализовывать всё то, что в ней уже есть.
Виртуализация тут как раз очень в тему: на одном и том же физическом компе поднимаются 2 виртуалки: одна — собственно, Windows, которая по сети подключена только ко второй, больше никуда, а вторая — Linux, который имеет интерфейс и во внутреннюю сеть, где первая, и во внешнюю. И там уже iptables какой-нибудь, который будет пробрасывать на Windows всё входящие соединения, а исходящие из этой внутренней сети не выпускать. И всё. :-)
Полагаю, зависит от того, что именно должно входить в понятие «выглядела как рабочая». Просто отвечала на попытки соединения по порту 3389? Можно просто взять линукс и на порт 3389 повесить что угодно (netcat, например). Но, наверное, этого недостаточно, так что можно просто взять виртуалку с Windows, посадить её в отдельную частную сеть, а между ней и основной сетью повесить шлюз, который будет только пропускать входящие соединения к ней, но не будет выпускать никаких исходящих соединений из неё. И мониторить это дело. Как-то так, возможно.

Да была такая одно время. Не помню уже, сколько майнилок на ней одновременно было запущено на 1 ядре :-)

Люто плюсуем, например. :-)

Информация

В рейтинге
Не участвует
Откуда
Киев, Киевская обл., Украина
Зарегистрирован
Активность