Latest Entries »

ต้องขออ้างถึง SSL หรือ Secure Sockets Layer ซึ่งเป็นโพรโตคอลที่ใช้ในการส่งข้อมูลที่เป็นความลับ โดยใช้เทคนิค asymmetric cryptography และได้นำมาประยุกต์ใช้กับโพรโตคอล HTTP เป็น HTTPS

ซึ่งการทำงานของ HTTPS ตัวเวปเซิร์ฟเวอร์จะบอกว่าถ้าอยากส่งข้อมูลมาหาเวปเซิร์ฟเวอร์ให้เข้ารหัสด้วย public key แบบนี้ ปัญหาคือแล้วเราจะรู้ได้อย่างไรว่า public key ที่บอกมาเป็นของจริง ไม่โดน man-in-the-middle attack ดังนั้นจึงต้องพึ่งใบรับรองหรือ certificate โดยมันจะรับรองว่า public key ที่ใช้เข้ารหัสลับที่เวปต่างๆ กล่าวอ้างนั้นเป็นตัวจริง ส่วนคนที่ออกใบรับรองก็มักเป็นบริษัทใหญ่ๆ โตๆ ซึ่งเค้าจะมี deal กะ Microsoft, Mozilla, และ Google อยู่เพื่อบอกว่าเค้าเป็นคนออกใบรับรองได้นะ

สำหรับชนิดของใบรับรองที่ใช้อยู่ในปัจจุบันมี 4 แบบ

    1) แบบธรรมดา

      ราคาถูกสุด ตั้งแต่หลักร้อยไปหลักพันบาท ใช้ได้แค่เวปเดียว โดเมนเดียว
      SSL_Certificate_01
    2) Wild Card SSL Certificate

      เหมือนคำสั่งใน command line แบบ dir *.* นั่นแหละครับ คือเป็น *.domain.com คือใช้กับ sub domain อะไรก็ได้ของให้ลงท้ายด้วย .domain.com ดูตัวอย่างได้ที่ https://securityalliance.mcafee.com/
      SSL_Certificate_02
    3) Extended Validation SSL Certificate

      หรือ EV SSL นอกเหนือจะใช้เพื่อเข้ารหัสลับแล้วก่อนจะออก certificate ผู้รับรองจะต้องมาตรวจสอบเจ้าของโดเมนด้วยว่า อยู่ที่ไหน ทำธุรกิจจริงหรือเปล่า ซึ่งจะสร้างความน่าเชื่อถือให้กับผู้ใช้งานมากขึ้น เพราะไม่ใช่แค่จ่ายเงินผ่านบัตรเครดิตแล้วจบแบบอื่นๆ ซึ่ง Web browser ที่สนับสนุนจะแสดงสีเขียวในช่อง address bar ครับ ตัวอย่างดูตาม URL ของอินเทอร์เน็ตแบ้งค์กิ้งของธนาคารในบ้านเราได้เลยครับ
      SSL_Certificate_03
    4) SAN SSL Certificate

      ไม่ได้เกี่ยวอะไรกับ Storage Area Network นะครับ แต่มันย่อมาจาก Subject Alternative Name มันจะอยู่กึงกลางระหว่างแบบแรกและแบบที่สองคือสามารถใส่หลายๆ ชื่อได้ แต่ไม่ถึงขั้น unlimited แบบ wild card โดยเราต้องระบุชื่อลงไปว่าจะใช้กับ domain ชื่ออะไรบ้าง ตัวอย่างไปดูได้ที่ https://email.vmware.com ครับ
      SSL_Certificate_04b

บางท่านอาจเข้าใจผิดว่า EV SSL จะมีความแข็งแกร่งกว่า ถอดรหัสยากกว่า แต่ความจริงไม่ใช่ครับ ทั้ง 4 แบบหากความยาวของคีย์เท่ากันก็มีความแข็งแกร่งเท่ากัน ความยาวมากสุดปัจจุบันที่ใช้กันทั่วไปน่าจะ 2,048 บิทนะครับ สามารถใช้เข้ารหัสลับได้เหมือนกัน ป้องกัน man-in-the-middle-attack ได้เหมือนกัน ถ้ามองแค่แง่ความต้องการด้านความปลอดภัยใช้แบบธรรมดาก็ได้ครับ ประหยัดดี (ถ้าอยากประหยัดสุดไม่ต้องซื้อ cert ก็ได้ ใช้เป็น self-signed) แต่หากมองด้านความน่าเชื่อถือ EV SSL ก็จะดีกว่า แต่ถ้าต้องใช้กับหลายเซิร์ฟเวอร์หรือหลายชื่อก็คงต้องดูเรื่องของ SAN กับ Wild Card ครับ

นอกจากนี้ EV SSL สามารถใช้งานร่วมกับ SAN ก็ได้เช่นกันครับ แต่ผมยังหาตัวอย่างเวปที่ใจป้ำไม่เจอเหมือนกัน 😀

ตั้งแต่สมัย Windows 2000 ไมโครซอฟท์ใช้รูปแบบของ task manager แบบเดิมมาตลอด จนมาถึงเวอร์ชั่นปัจจุบันคือ Windows 8 ทางไมโครซอฟท์ได้เปลี่ยนรูปแบบการแสดงผลของ task manager ให้ดูเรียบง่ายขึ้น (หรือเปล่า) แต่ถ้าเราอยากเห็น task manager ในแบบเก่าก็ยังทำได้ครับ แต่ต้องเหนื่อยเพิ่มนิดนึงคือ

1) เมื่อเปิด task manager ขึ้นมาให้คลิ๊กที่ปุ่ม More details
Windows_8_Task_Manager_1

2) เลือก tab Details
Windows_8_Task_Manager_2

3) เท่านี้เราก็จะได้ task manager ในรูปแบบเดิมแล้วครับ
Windows_8_Task_Manager_3

SQL Audit Fail to Create

เมื่อเราสร้าง audit ใน SQL 2008 และ 2008 R2 จะพบว่าไม่สามารถสร้างได้ และจะมีข้อความแจ้งว่า Auditing is not available in this edition of SQL Server.

SQL-Audit-Fail-to-Create

ปัญหานี้เกิดจาก SQL 2008/2008 R2 Standard Edition ไม่สามารถเปิดใช้งาน audit ได้ ไม่มีวิธีแก้ อื่นใดนอกจากต้องเปลี่ยนเป็น SQL 2008/2008 R2 Enterprise Edition หรือ Datacenter Edition เท่านั้นครับ

บางครั้งเมื่อเปิด vSphere Client ไปที่ vCenter Server เราอาจพบว่า ESXi not responding และมี alert เกี่ยวกับ Host connection and power state ตามรูป และจะเป็นพักๆ เดี๋ยวใช้ได้ เดี๋ยวก็มีปัญหา แต่หากใช้ vSphere Client ไปที่ ESXi โดยตรงจะไม่เจอปัญหาใดๆ

ปัญหานี้อาจเกิดขึ้นได้จากการเชื่อมต่อระหว่าง vCenter server กับ ESXi host ซึ่งอาจถูกบล๊อกโดย Windows Firewall
ESXi-Disconnect-1

เราสามารถปิด Windows Firewall ได้โดยไปที่ Control Panel –> Windows Firewall
เมื่อเปิดขึ้นแล้วให้เลือก Windows Firewall Properties แล้วเปลี่ยน Firewall state จาก on ให้เป็น off โดยอาจทำทั้ง Domain Profiles, Private Profile และ Public Profile เลยก็ได้ครับ
ESXi-Disconnect-2

เมื่อแก้เรียบร้อยแล้ว ก็ Firewall state ก็จะแสดงเป็น off หมด
ESXi-Disconnect-3

เมื่อกลับไปที่ vSphere Client ก็จะพบว่าสถานะที่เป็น not response รวมทั้ง alert หมายไปครับ
ESXi-Disconnect-4

คุณเคยเจอปัญหานี้หรือไม่
1) รู้แต่ SQL build number แต่อยากรู้ว่าเป็นเวอร์ชั่นไหน service pack อะไร
2) ต้องอัพเดต SQL cumulative update package แต่ไม่รู้ว่าอัพไปแล้วจะเป็น build อะไร เพราะต้องไปเช็คความเข้ากันได้กับซอร์ฟแวร์อื่นอีก

ปัญหาเหล่านี้จะหมดไป เพียงคุณเข้าไปที่ http://sqlserverbuilds.blogspot.com
ในเวปนี้จะมีตารางแจง build number ตั้งแต่ SQL 7 (ตั้งแต่ปี 2005 ยังมีใครใช้อยู่มั้ยเนี่ย) จนล่าสุดที่เขียนบทความเป็น SQL 2012 SP2 แล้ว โดยบอกละเอียดถึงระดับ hotfix หรือ cumulative update package กันเลยครับ

เมื่อวานผมพบปัญหาตอนเปิด Gmail ด้วย Google Chrome ขึ้น error ว่า “Gmail – The app is currently unreachable”
Gmail-Proxy-1

แต่ Firefox กลับเปิดได้ พอลองทดสอบด้วย IE เข้าไม่ได้เช่นเดียวกับ Chrome จึงถึงบางอ้อว่า Chrome ใช้ proxy config ร่วมกับ IE นั่นเอง
Gmail-Proxy-2

เพื่อแก้ปัญหานี้เราสามารถเข้าไปเปลี่ยน proxy ของ Chrome ได้โดยไปที่
1) คลิ๊กที่สัญลักษณ์ขีดๆ ด้านขวา แล้วเลือก Settings
Gmail-Proxy-3

2) ให้หน้า Settings เลื่อนลงมาล่างสุดจะพบกับ Show advanced settings…
Gmail-Proxy-4

3) เมนูจะขยายออก ให้เลื่อนลงมาอีก แล้วเลือก Change proxy settings
Gmail-Proxy-5

4) ก็จะมีหน้า Internet Options ของ IE ปรากฏขึ้นมา ให้เลือก LAN settings แล้วติ๊กถูกออกให้หมดตามรูปให้หน้าจอ หรือหากอยู่ภายในที่ทำงานก็ให้กำหนดค่า proxy ตามที่แผนก IT แจ้ง
Gmail-Proxy-6

หมายเหตุ เนื่องจาก Chrome ใช้ proxy config ร่วมกับ IE ดังนั้นอาจกำหนด proxy จาก IE ก็ได้เช่นกันครับ

บางครั้งเมื่อนำไฟล์ pcap มาเปิดดูจะพบว่า Wireshark ฟ้องว่า ETHERNET FRAME CHECK SEQUENCE INCORRECT ทุก packet
Wireshark-FCS-Incorrect-1

ซึ่งสาเหตุเกิดจากระบบปฏิบัติการของอุปกรณ์ที่รัน tcpdump ไม่ทำ checksum ด้วยตัวเอง แต่โยนหน้าที่นี้ให้กับ network processor ที่อยู่ภายในการ์ดแลนแทน ดังนั้นเมื่อรัน tcpdump ออกมาก็จะเป็น checksum เป็น 0 ตลอดเพราะ tcpdump อยู่แค่ส่วนของระบบปฏิบัติการ ไม่ได้เข้าไปเอาข้อมูลที่ออกจากการ์ดแลนจริงๆ

เมื่อเราทราบสาเหตุที่มาที่ไปแล้วจึงไม่ต้องเป็นกังวลก็ได้ เราสามารถปิดการคำนวน checksum ของ Wireshark ได้โดย
1) ไปที่ Edit –> Preferences…
Wireshark-FCS-Incorrect-2

2) ขยาย Protocols เลือก Ethernet และเอาเครื่องหมายถูกที่ Validate the Ethernet checksum if possible ออก แล้วกด OK
Wireshark-FCS-Incorrect-3

3) เมื่อกลับมาที่หน้าเดิม ก็จะเห็นว่าไม่มีขึ้นเตือนอีกครับ
Wireshark-FCS-Incorrect-4

นอกจากการใช้งาน Internet Connection Sharing ที่มาพร้อมกับวินโดวส์ เพื่อแชร์อินเทอร์เน็ตให้กับคอมเครื่องอื่นผ่านสายแลนแล้ว ตอนนี้เราสามารถแชร์อินเทอร์เน็ตจากวินโดวส์ให้มือถือ, แท็บเล็ต, หรือคอมอีกเครื่องผ่านไวไฟได้แล้ว หรือที่เรียกว่าไวไฟฮอทสปอต (WiFi Hotspot) นั่นเอง

โดยใช้โปรแกรม Connectify ซึ่งสามารถโหลดมาใช้งานได้ฟรีอย่างไม่จำกัดเวลา หลังจากติดตั้งแล้วจะมี icon ปรากฎในมุมล่างขวาของจอ โดยเราสามารถเลือกชื่อ Hotspot เองได้ แต่ในเวอร์ชั่นฟรี Hotspot (หรือ SSID) ที่คนอื่นจะมองเห็นจะเริ่มต้นด้วยคำว่า Connectify-ชื่อที่เรากำหนดเอง ยกเว้นจ่ายตังซื้อตัวเต็มจะกำหนดเองได้ทั้งหมด จากนั้นก็ใส่รหัสผ่าน เลือกวิธีการเข้ารหัส แล้วก็กด Start Hotspot ได้เลย
Share-WiFi-1

เมื่อมาที่อุปกรณ์แท็บเล็ตก็เลือก WiFi ตามชื่อที่กำหนดไว้ แล้วใส่รหัสผ่านก็ใช้งานได้เลยครับ
Share-WiFi-2

ปล. แต่มีข้อสังเกตุนิดนึงครับ หากเราใช้ WiFi ต้นทางเป็นใช้ความถี่ที่ 5GHz เวลาเราแชร์ฮอทสปอทมันก็จะแชร์ที่ 5GHz เหมือนกันนะครับ ดังนั้นอุปกรณ์ที่ไม่สนับสนุน 5GHz ก็จะใช้ไม่ได้ ซึ่งผมมี iPhone4 ที่ไม่สนับสนุน WiFi 5GHz ก็เลยใช้ไม่ได้เลย เศร้าจัง 😥

TTL ของ DNS จะคล้ายกับ TTL ที่ใช้ในเครือข่ายไอพี คือเป็นตัวบอกอายุของ DNS record มีหน่วยเป็นวินาทีครับ จุดทีมีผลกระทบกับเราผู้ใช้งานอินเทอร์เน็ตคือ เป็นค่าที่บอกให้ DNS server ของ ISP ที่เราใช้อยู่จะเก็บแคช (Cache) ของ DNS record ไว้นานแค่ไหน ซึ่งหากกำหนดค่าไว้นานๆ ก็ไม่ต้องถามกันบ่อยๆ ทำให้ DNS server โหลดไม่สูง แต่ก็มีข้อเสียคือหากเปลี่ยน IP ก็ต้องรอให้ cache expired ซะก่อน

และตัวนี้เองก็เป็นเหตุผลที่บอกกันว่าถ้าจะย้ายเวปจาก colo เจ้าเดิมไปเจ้าใหม่ต้องรอ 2-3 วันจึงจะดำเนินการเสร็จ เพราะโดยทั่วไปแล้วหลายๆ Colo ที่เค้ามักจะกำหนด TTL ไว้เป็นหลักวันครับ

หากต้องการทดสอบว่าโดเมนที่เราสนใจสามารถใช้คำสั่ง

nslookup -qt=soa ชื่อโดเมน

ตัวอย่างเช่น

nslookup -qt=soa modplusplus.com

Server:  google-public-dns-a.google.com
Address:  8.8.8.8

Non-authoritative answer:
modplusplus.com
        primary name server = ns1.wordpress.com
        responsible mail addr = hostmaster.wordpress.com
        serial  = 2005071858
        refresh = 14400 (4 hours)
        retry  = 7200 (2 hours)
        expire  = 604800 (7 days)
        default TTL = 300 (5 mins)

แสดงให้เห็นว่าโดเมน modplusplus.com มีค่า TTL 300 วินาที หากภายใน 300 วินาทีมีไคลเอนท์มาถาม DNS server ที่ ISP อีกก็จะตอบค่าเดิมได้เลย แต่หากพ้น 300 วินาทีแล้ว DNS server ที่ ISP จำเป็นต้องวิ่งมาถามที่ ns1.wordpress.com ใหม่ครับ

ถ้าเราเผลอลง Windows จากแผ่นที่เป็น MAK, retail แต่ต้องการจะไปแอคทิเวตกับ KMS ของที่ทำงาน สามารถทำง่ายๆ คือ
1) เรียก cmd.exe ด้วยสิทธิของ administrator (run as)

2) เปลี่ยน key ให้เป็น KMS Client Setup key หากใช้ Windows 8 Enterprise คือ 32JNW-9KQ84-P47T8-D8GGY-CWCK7 โดยให้พิมพ์คำสั่ง

slmgr.vbs /ipk 32JNW-9KQ84-P47T8-D8GGY-CWCK7

แต่หากเป็น Windows อื่นๆ ให้เปลี่ยน key ตามเวอร์ชั่นที่ใช้ โดยดูได้ที่ http://technet.microsoft.com/en-us/library/jj612867.aspx

3) ระบุที่อยู่ของ KMS server ด้วยคำสั่ง

slmgr /skms 192.168.123.123

โดยเปลี่ยนเป็น IP หรือ domain name ของ KMS server ขององค์กรที่ใช้อยู่

4) และสุดท้ายคือสั่ง activated ด้วยคำสั่ง

slmgr /ato



5) ถ้าอยากดูผลลัพธ์ก็สามารถดูได้ด้วยคำสั่ง

slmgr /dli