.:: strefa ::. - MS SQL Server

Po 17. spotkaniu PLSSUG Lublin

nospam@example.com (Marcin Guzowski) — Thu, 17 Sep 2009 09:58:00 +0200

15 września 2009 roku w siedzibie Asseco Business Solutions SA odbyło się 17. spotkanie PLSSUG Lublin, którym z impetem weszliśmy w sezon 2009/2010 po standardowej 3 miesięcznej przerwie wakacyjnej. Spotkanie uważam za bardzo udane - a to z dwóch powodów. Po pierwsze, przyszło całkiem sporo osób (również nowych, co cieszy) - doliczyłem się 23 uczestników. Po drugie, mieliśmy przyjezdnego prelegenta z PLSSUG Warszawa - Marka Adamczuka, który przedstawił bardzo fajną sesję "Odloty w T-SQLu". Widać było, że Marek - jak na MVP przystało - zna SQL Server niekiedy nawet lepiej, niż jego twórcy oraz że potrafi swoją wiedzę przekazywać w bardzo przystępny sposób, z łatwością angażując słuchaczy. Po sesji pewnie jeszcze sporo byśmy dyskutowali na tematy związane i nie związane z sesją, gdyby nie PKP, które tak dobrało rozkład pociągów, że Marek był bardzo ograniczony czasowo. Jego sesja dotyczyła meandrów i niuansów składni T-SQL. Mad pokazywał na żywo różne konstrukcje składniowe, które teoretycznie nie powinny działać, a jednak SQL Server nie widzi w nich żadnych problemów oraz wskazywał, na co zwracać uwagę w codziennej pracy. Dzięki za przyjazd i za sesję!

Przy okazji chciałbym wszystkim zakomunikować, że nowym liderem (a właściwie liderką) PLSSUG Lublin została Beata Kuśmierczyk. Także w sprawach grupy, spotkań, prób wyłudzenia nagród itd. prosiłbym o kontakt z Beatą. Ja po prawie dwóch latach prowadzenia grupy nie mam już na nią energii (to standardowy proces wypalenia lidera) i czasu. PLSSUG Lublin to chronologicznie druga grupa SQL-owa (po Warszawie), która zaczęła organizować spotkania, z unikalną atmosferą i nietuzinkowymi ludźmi. Nie mam wątpliwości, że rozwój grupy będzie kontynuowany - z resztą Beata już od kilku spotkań zajmowała się ich organizacją i wdrażała się do pełnienia nowej roli, aż w końcu dostała tzw. propozycję nie do odrzucenia :) PLSSUG jest obecnie najsilniejszą organizacją w ramach społeczności zrzeszonej wokół technologii Microsoft i cieszę się, że jako grupa lubelska jesteśmy od samego początku częścią tego projektu. Oczywiście nadal zamierzam przychodzić na spotkania i pomagać Beacie w miarę możliwości, z resztą w grupie lubelskiej jest jeszcze kilka innych osób, które również są w stanie skutecznie wesprzeć grupę na różnych płaszczyznach.

Kilka zdjęć z wrześniowego spotkania:

PLSSUG Lublin: wakacyjna przerwa w spotkaniach

nospam@example.com (Marcin Guzowski) — Sun, 07 Jun 2009 22:30:00 +0200

W gronie Członków lubelskiej grupy PLSSUG podjęta została decyzja o nieprzeprowadzaniu spotkań w czerwcu, lipcu i sierpniu 2009 roku. Następne spotkanie odbędzie się więc we wrześniu, i z tego co wiem od Beaty Kuśmierczyk, która zajmuje się organizacją spotkań - ma to być mocny początek sezonu z gośćmi specjalnymi. Przerwa wakacyjna to już lubelska tradycja - rok temu postąpiliśmy analogicznie. Słuszność przerwy w spotkaniach broni się z resztą sama, biorąc pod uwagę frekwencję na spotkaniu majowym, która była 50% niższa niż średnia z poprzednich spotkań. Pozostaje mi więc życzyć wszystkim Członkom PLSSUG Lublin zasłużonego wypoczynku w najbliższych miesiącach z dużą ilością ładnej pogody i dobrej zabawy.

P.S.
Ostatnio trochę rzadziej pisuję na blogu, co z resztą zostało zauważone przez kilka osób. Patrząc na statystyki postów z roku 2008 nasuwa się stwierdzenie, że owe zjawisko ma charakter cykliczny. Po części na pewno tak jest, jednak to nie cała prawda. Istotne jest również, że ostatnio mniej czasu poświęcam sprawom technicznym związanym z SQL Server. Cała zawodowa para idzie obecnie w bardziej ogólne tematy ze świata IT jak architektura systemów, szeroko pojęte bezpieczeństwo czy kwestie jakości danych i mechanizmów z tym związanych. Prędzej czy później zmieni się więc także tematyka tego bloga. W końcu ileż można pisać o SQLu :) Jeżeli ktoś miałby ochotę skomentować moje dotychczasowe posty lub wskazać, co jest jego zdaniem interesujące - zapraszam na maila.

Aha i jeszcze jedno. Od jakiegoś czasu przestałem odpowiadać na maile w stylu "co robię źle w tym skrypcie", "dlaczego mi to nie działa w procedurze składowanej" lub "jak to zrobić w SQLu". Sorry Folks, no time for that.

15. spotkanie PLSSUG Lublin

nospam@example.com (Marcin Guzowski) — Fri, 17 Apr 2009 16:02:00 +0200

Zapraszam na 15. spotkanie grupy Polish SQL Server User Group w Lublinie, które tym razem poświęcone będzie zagadnieniom migracyjnym i integracyjnym. Sesję poprowadzi Przemek Rachwał, który pracuje w firmie Centertel. Spotkanie odbędzie się we wtorek 21 kwietnia 2009 roku (godz. 17:00-19:00) w siedzibie Asseco Business Solutions SA (Anica System formalnie już nie istnieje), ul. Konrada Wallenroda 4C, 20-607 Lublin, V piętro (można wchodzić od 16:30).

Agenda:
17:05-18:30 Migracja i integracja bazy danych napisanej w MS Access do MS SQL 2005 (Przemysław Rachwał)
18:35-19:00 Dyskusja i sprawy organizacyjne (Marcin Guzowski)

Rejestracja na spotkania odbywa się w trybie opisanym w poście dotyczącym jednego z poprzednich spotkań.

Więcej informacji:
Obszar roboczy: 15. spotkanie PLSSUG Lublin

SQL Server Standard 64bit - czy dziś znów się wyłoży?

nospam@example.com (Marcin Guzowski) — Sat, 28 Mar 2009 00:23:00 +0100

Załóżmy, że spotykam na ulicy zwykłego człowieka i zadaję mu pytanie:

Dzień dobry. Otóż albowiem mam 2 samochody marki TheHighestLevelOfReliability. W ciągu ostatnich 2-3 tygodni jeden zepsuł mi się raz, a drugi - dwa razy. Jeździmy tymi samochodami po Saharze, przyłączy się Pan(i)?

To jakiej odpowiedzi mogę się spodziewać? Wszystkich, którzy zakładają odpowiedź twierdzącą zapraszam na przejażdżkę :) i przypominam o zabraniu ze sobą kremu z filtrem, dobrej książki i czarnego foliowego worka dostosowanego do rozmiarów ciała.

Natomiast pozostałym chciałbym zadać jeszcze jedno pytanie. Czy następujące zdanie znajdujące się na stronach http://microsoft.com/sqlserver:

SQL Server 2008 provides the highest levels of security, reliability, and scalability for your business-critical applications.

należy uznać za prawdziwe, skoro wymieniony SQL Server 2008 (konkretnie SQL Server 2008 64bit Standard Edition, ale też SQL Server 2005 64bit Standard Edition) może w praktycznie dowolnym momencie przestać odpowiadać, zablokować serwer, na którym pracuje i czasem nawet nie dać się zrestartować? To retoryczne i nie pozbawione ironii pytanie jest wstępem do tego, co chciałem napisać o ostatnich wydarzeniach związanych z utratą mojego zaufania do stabilności systemu SQL Server.

Na początek małe case study:

W godzinach wieczornych jeden z systemów masowego przetwarzania danych zaczął rozsyłać powiadomienia (SMS, mail) o problemach. Jako że system ten pracuje w architekturze rozproszonej na 9 nodach, a każdy z nich miał bardzo niepokojące informacje, którymi chciał się pochwalić, to na komórkach i skrzynkach pocztowych kilku osób znalazł się pokaźny ładunek informacji dających się podsumować statusem NIC_NIE_DZIAŁA. Jedną z tych osób, byłem ja, gdyż odpowiadam za produkcję tego systemu. Pomyślałem sobie wtedy, że jak dostałem 60 SMSów, że niby jest problem, to może rzeczywiście warto to&owo sprawdzić. Zalogowałem się więc przez RDP na serwer, na którym pracuje baza danych SQL Server 2008 64bit Standard, z której to bazy korzysta głównie nod centralny oraz czasami pozostałe nody w miarę potrzeby. "Zalogowałem się" to trochę za szybkie słowo jak na określenie tego, co rzeczywiście miało miejsce, gdyż owo logowanie zajęło niewiele mniej niż 2 minuty. Kolejną minutę "klikał" mi się windowsowy guzik Start. Po kilku (dłuższych) chwilach udało mi się ustalić, że proces sqlsrvr.exe zaalokował sobie 15,2 GB pamięci wirtualnej. Serwer posiadał natomiast tylko 8 GB RAMu.

Co się więc stało z brakującymi GB? Otóż poleciały do pliku stron na dysk, zapewne razem z innymi stronami zaalokowanymi przez pozostałe aplikacje czy moduły systemu operacyjnego działające na serwerze. Ciągłe obciążenie IO na bardzo wysokim poziomie i kompletny brak wolnej przestrzeni w RAMie spowodował, że nawet nie należąca do najsłabszych maszyna (2 4-korowe procesory 2 GHz, 8 GB RAM) o mało co nie wyzionęła ducha. SQL Server oczywiście przestał reagować na cokolwiek - ani nie można się było do niego zalogować (nawet przez DAC), ani restart usługi się nie powiódł. Pozostało więc tylko ubicie procesu, po którym oczywiście wszystko wróciło do normy.

A propos case study, z tego co pamiętam ostatnio Mariusz Kędziora z MS zachęcał we wpisie na łamach swojego bloga do nadsyłania wrażeń z wdrożeń technologii Microsoft. Ciekawe czy opublikowałby moje case study... W razie czego, to mam jeszcze kilka podobnych.

Clue problemu polega na tym, że w pewnym warunkach SQL Server potrafi wykończyć zarówno siebie, jak i wszystko na tym samym serwerze. Jak już sygnalizowałem na początku posta, opisywana sytuacja nie jest odosobniona i występowała w przeciągu ostatnich kilku tygodni także na innym serwerze.

W czym rzecz z technicznego punktu widzenia? W tym, że cywilizowany silnik bazodanowy nie powinien dopuszczać, żeby jego buffer pool został zestronicowany na dysk. Nawet jeśli założymy, że część stron może trafić na dysk, to i tak nie może to powodować wyżej opisanych problemów. Najciekawsze jest to, że znane jest zabezpieczenie przez omawianymi problemami. Zaimplementował je także Microsoft. Lock pages in memory - bo o nie chodzi, dostępne jest jednak wyłącznie w wersji Enterprise (sic!)... Wersja Standard ignoruje to ustawienie i w określonych warunkach obciążeniowych dochodzi do opisywanych przeze mnie skutków. Problem omówił m.in. Paweł Potasiński we wpisie na swoim blogu. Dla mnie sytuacja wygląda następująco: idę do sklepu i chę kupić krzesło. Sprzedawca mówi mi, że krzesło kosztuje 100zł. Dokonuję zakupu, po czym przy pierwszej próbie skorzystania z niego spadam na podłogę. Okazuje się że w momencie siadania krzesło składa się jak domek z kart. Wracam do sklepu z pozdrowieniami na ustach, a sprzedawca mi mówi:

A nie nie, to jak chce Pan na nim siedzieć, to o tu jest wersja DELUXE za 1000zł, zapakować?

Co na to wszystko Microsoft? Raz już odmówił dodania stosownej obsługi do wersji Standard. Teraz trwa kolejna batalia o tą funkcjonalność, prowadzona m.in. przez Maćka Pileckiego:

https://connect.microsoft.com/SQLServer/feedback/ViewFeedback.aspx?FeedbackID=422322

Zastanawiam się cały czas, jak w ogóle można wypuszczać na rynek upośledzoną wersję systemu i jeszcze odmawiać naprawy problemu. Dla mnie sytuacja jest nieakceptowalna. Mamy tutaj do czynienia z błędem, który godzi w stabilność produktu, a nie z żadną enterprisową funkcjonalnością, za którą powinno się płacić kilka razy więcej.

14. spotkanie PLSSUG Lublin i kilka słów o grupie

nospam@example.com (Marcin Guzowski) — Thu, 05 Mar 2009 22:43:39 +0100

Zapraszam na 14. spotkanie grupy Polish SQL Server User Group w Lublinie, które tym razem poświęcone będzie zagadnieniom nie związanym bezpośrednio z systemem SQL Server - wszakże nie samymi bazami danych człowiek żyje. Jedną z sesji poprowadzi Magda Borys, a drugą - Łukasz Wójcik. Obydwoje są pracownikami Politechniki Lubelskiej. Spotkanie odbędzie się we środę 18 marca 2009 roku (godz. 17:00-19:00) w siedzibie Anica System S.A., ul. Konrada Wallenroda 4C, 20-607 Lublin, V piętro (można wchodzić od 16:30).

Agenda:
17:00-17:10 - sprawy organizacyjne
17:15-18:15 - Wprowadzenie do ASP.NET MVC (Łukasz Wójcik)
18:20-19:00 - MS Project 2007 - możliwości wsparcia projektów (Magda Borys)

Rejestracja na spotkania odbywa się w trybie opisanym w poście dotyczącym poprzedniego spotkania.

Jak widać planujemy dwie sesje na zupełnie różne tematy, co stanowi pewną odmianę od ostatnio panującej tendencji do jednej dużej sesji per spotkanie. Jest to także pierwsze spotkanie, którego agendę (termin, prelegentów) zorganizowała Beata Kuśmierczyk. Na chwilę obecną mamy więc w grupie lubelskiej następujący podział ról:

Beata Zalewa - redaktor PLSSUGowego newslettera, podsumowania spotkań, opisy zdjęć;
Beata Kuśmierczyk - agenda spotkań, terminy, kontakty z prelegentami;
Grzegorz Babiuk - filmowanie sesji/spotkań i tematy pokrewne;
Marcin Guzowski - samozwańczy lider i uzurpator;

Jak na inne grupy społecznościowe w Polsce lista ta nie jest zbyt pokaźna. Istnieje cały szereg ról w grupie, które nie są obsadzone i chętni byliby bardzo mile widziani. Jakie to role? Przykładowo:
- osoba zajmująca się ankietami, statystykami spotkań, starająca się określać nastroje członków grupy poprzez tworzenie ankiet z odpowiednimi pytaniami,
- osoba zajmująca się filmowaniem spotkań, webcastami, screencastami, Live Meetingiem,
- osoba zajmująca się robieniem zdjęć na spotkaniach,
- osoba zajmująca się zasobami www grupy lubelskiej na witrynie PLSSUG (web admin/content admin),
- osoba zajmująca się promocją grupy (ogłoszenia o eventach, terminach spotkań na forach, portalach i poprzez mail przypominający o spotkaniu do członków grupy),
- osoby będące właścicielami (prowadzącymi) ścieżek tematycznych (serii sesji/dyskusji) związanych z określoną technologią/komponentem (jeśli chodzi o SQL Server, to np. SSIS, query tuning, DBA itd.),
- osoby, która chciałaby zostać prelegentami i prowadzić sesje wyjazdowe (na konferencjach społecznościowych i spotkaniach innych grup z kilkunastu miast w Polsce).

Oczywiście katalog ról nie jest zamknięty i można sobie wymyślić także inne zadania - ważne jest, aby w społeczność wkładać także coś od siebie, a nie tylko czerpać z niej korzyści na zasadzie "darmowych szkoleń". Forma wyrazu zależy natomiast od indywidualnych chęci, predyspozycji i możliwości. Zapewne znajdzie się ktoś, kto sobie pomyśli "kurcze, nie mam czasu na takie zabawy". Umiejętność organizowania sobie czasu to sprawa zależna od danej jednostki, jednak z mojego doświadczenia wynika, że w community często najbardziej angażują się osoby najbardziej obciążone różnym zadaniami (praca albo i dwie prace, działalność online, zlecenia itd.), gdyż najefektywniej zarządzają swoim czasem. Niejednokrotnie osoby, które nadmiernie narzekają na brak czasu, obiektywnie rzecz biorąc mają go pod dostatkiem, a ich osądy spowodowane są jednie mylnym odczuciem. Warto więc się zastanowić, czy czasem nie warto zrezygnować z obejrzenia durnego filmu w telewizji na rzecz zrobienia czegoś zawodowo pożytecznego dla siebie i przede wszystkich - dla innych.

Więcej informacji:
Obszar roboczy: 14. spotkanie PLSSUG Lublin

SQL Server 2008 Service Pack 1 CTP

nospam@example.com (Marcin Guzowski) — Wed, 25 Feb 2009 12:10:00 +0100

Microsoft udostępnił wersję CTP (Community Technology Preview) SQL Server 2008 Servcie Pack 1 - zarówno do edycji Express, jak i do edycji płatnych. SP1 CTP nie nadaje się oczywiście do wdrożenia na produkcję, tylko do przyjrzenia się kierunkowi zmian/poprawek. Wersja builda po zainstalowaniu tego SP to 10.00.2520. Lista zmian nie jest imponująca, natomiast przydatną opcją może się okazać możliwość odinstalowywania Service Pack'ów i tzw. slipstream, czyli możliwość zintegrowania SP i hotfixów w jedną inicjalną instalację systemu SQL Server. SP1 CTP zawiera również hotfixy, które wydane zostały do momentu jego powstania oraz pewnie szereg zmian wewnętrznych, o których nigdy się nie dowiemy.

Więcej informacji i pobieranie:
Microsoft SQL Server Release Services: SQL Server 2008 Service Pack 1 (SP1) CTP
Download: SQL Server 2008 Express Edition Service Pack 1 - CTP
Download: SQL Server 2008 Service Pack 1 - CTP

SQL Server 2008 System Views Map

nospam@example.com (Marcin Guzowski) — Sun, 15 Feb 2009 22:10:00 +0100

Osoby, które znają na pamięć nazwy wszystkich widoków systemowych w SQL Server 2008 oraz wszystkie połączenia między nimi, mogą spokojnie zignorować ten post. Dla pozostałych mam natomiast dobrą wiadomość, gdyż od niedawna można sobie pobrać plakat, na którym rozrysowane są wszystkie ważniejsze widoki i funkcje systemowe (DMVs, DMFs, widoki katalogowe) wraz z pajęczyną ich relacji. Link do pobierania pliku pdf lub xps poniżej. Teraz przydałaby się tylko jakaś wielkoformatowa drukarka.

Więcej informacji i pobieranie:
Download: SQL Server 2008 System Views Map

13. spotkanie PLSSUG Lublin

nospam@example.com (Marcin Guzowski) — Thu, 12 Feb 2009 14:04:00 +0100

Zapraszam na 13. spotkanie grupy Polish SQL Server User Group w Lublinie, które tym razem poświęcone będzie zagadnieniom związanym z mniej lub bardziej częstymi błędami pojawiającymi się podczas programowania w T-SQL. Sesję poprowadzi wieloletni praktyk Piotr Boguszewski. Spotkanie odbędzie się we worek 17 lutego 2009 roku (godz. 17:00-19:00) w siedzibie Anica System S.A., ul. Konrada Wallenroda 4C, 20-607 Lublin, V piętro (można wchodzić od 16:30).

Agenda:
17:00-17:10 - sprawy organizacyjne
17:15-18:15 - Zmora początkującego programatora, czyli jak nie pisać w T-SQL (Piotr Boguszewski)
18:20-19:00 - Aplikacje a dostęp do danych - studium przypadku i dyskusja

Po sesji Piotrka spróbujemy w konstruktywnej dyskusji rozwiązać kilka case'ów związanych z tematem przewodnim poprzedniego spotkania, czyli z dostępem do danych z aplikacji.

Uwaga!
Rejestracja na to spotkanie odbywa się w nowym trybie. Aby się zarejestrować, należy:

1) Założyć konto na portalu http://www.ms-groups.pl. Wystarczy wejść na http://www.plssug.org.pl i wybrać czerwony przycisk "Załóż konto na portalu". Konieczne będzie kliknięcie linka aktywacyjnego przesłanego drogą mailową.

2) Zalogować się na konto (żółty przycisk na http://www.plssug.org.pl lub link w prawym górnym rogu strony).

* Istnienie możliwość powiązania konta LiveID (dawniej MS Passport) z kontem na portalu - w tym celu należy na stronie logowania (po wybraniu opcji Zaloguj) wybrać opcję "Logowanie z LiveID" i zalogować się na swoje konto LiveID, a następnie podać login i hasło użyte przy rejestracji na portalu. Wtedy konto na portalu i konto na LiveID zostaną powiązane.

3) Będąc zalogowanym, na witrynie PLSSUG należy wybrać zielony przycisk "Dołącz do PLSSUG" i wypełnić krótki formularz, gdzie m.in. trzeba wskazać oddział PLSSUG (dla przypomnienia: Lublin :)). Rejestracja do portalu nie odbywa się automatycznie. Potwierdza ją tajemnicza osoba z PLSSUG, której nigdy nikt nie widział.

4) W momencie otrzymania droga mailową informacji o dołączeniu do witryny PLSSUG - można dodać się na liście uczestników spotkania (dodając nowy element do listy):
http://ms-groups.pl/plssug/13_spotkanie_PLSSUG_Lublin/Lists/Uczestnicy/ManageA.aspx

Więcej informacji:
Obszar roboczy: 13. spotkanie PLSSUG Lublin

12. spotkanie PLSSUG Lublin

nospam@example.com (Marcin Guzowski) — Mon, 05 Jan 2009 14:13:00 +0100

Zapraszam na 12. spotkanie grupy Polish SQL Server User Group w Lublinie, które tym razem poświęcone będzie zagadnieniom związanym z dostępem do danych z aplikacji - sesję główną poprowadzi Marcin Borecki. Spotkanie odbędzie się we worek 20 stycznia 2009 roku (godz. 17:00-19:00) w siedzibie Anica System S.A., ul. Konrada Wallenroda 4C, 20-607 Lublin, V piętro (można wchodzić od 16:30).

Rejestracja polega na:
1) wysłaniu komentarza do tego posta z imieniem i nazwiskiem
lub
2) wysłaniu wiadomości ze swoim imieniem i nazwiskiem z tego adresu.

Agenda:
17:00-17:10 - sprawy organizacyjne
17:15-18:15 - Rola aplikacji w dostępie do danych (Marcin Borecki)
18:20-19:00 - Aplikacje a dostęp do danych - studium przypadku i dyskusja

Tematyka spotkania jest jak widać całkiem przekrojowa, a w dodatku bardzo istotna. Marcin na pewno będzie pokazywał, jak pisać kod aplikacji, aby dostęp do danych był wydajny oraz co zrobić, jeśli kodu nie widzimy i nie możemy go zmienić. Dla najaktywniejszych uczestników przewidujemy atrakcyjne nagrody. Na spotkaniu zostaną także rozdane identyfikatory członkowskie PLSSUG Lublin, które wykonał nasz sponsor - firma Microsoft (jeśli tylko uda mi się je odebrać kilka dni wcześniej przy okazji spotkania w siedzibie MS w Warszawie).

Więcej informacji:
Kalendarz: 12. spotkanie PLSSUG Lublin

Zdalne wywołanie kodu w procedurze sp_replwritetovarbin

nospam@example.com (Marcin Guzowski) — Sat, 27 Dec 2008 23:11:00 +0100

Kilka dni temu ukazał się exploit umożliwiający zdalne wykonanie kodu przy wykorzystaniu znanej od 4 grudnia podatności przepełnienia sterty (heap overflow vulnerability) w procedurze systemowej sp_replwritetovarbin. Kilka dni po publikacji exploita Microsoft potwierdził, że narażonych jest całkiem sporo wersji systemu SQL Server. Problem dotyczy bowiem wszystkich wersji 2000 oraz wszystkich 2005 bez najnowszego SP3, który lukę eliminuje. SQL Server 2008 jest wolny od problemu.

sp_replwritetovarbin to rozszerzona procedura składowana (extended stored procedure - czyli de facto zewnętrzna biblioteka wywoływana w kontekście instancji SQL Server) wykorzystywana przez wewnętrzne interfejsy replikacyjne wyłącznie w jednej sytuacji - kiedy w replikacji transakcyjnej z modyfikowalnymi subskrypcjami (transactional replication with updatable subscriptions) o odpowiednim ustawieniu @update_mode ('failover' lub 'queued tran' - domyślne) dokonywana jest DMLowa operacja modyfikacji w tabelach subskrypcji. Aby zablokować możliwość przeprowadzenia ataku najlepiej odebrać prawa wykonywania procedury roli public (REVOKE) lub odmówić tego prawa (DENY):

USE master
DENY EXECUTE ON sp_replwritetovarbin TO public

a następnie - o ile to możliwe - podnieść wersję instancji do co najmniej SQL Server 2005 SP3. Oczywiście powyższa zmiana uprawnień będzie skutkowała wyłożeniem się replikacji (ale tylko w/w rodzaju, pozostałe replikacje - np. klasyczna transakcyjna - nie są zagrożone workaroundem).

Na czym polega problem z niesławną procedurą sp_replwritetovarbin? Na tym, że kiedy zostanie wywołana z takimi przykładowymi parametrami:

DECLARE @retcode int,
@end_offset int,
@vb_buffer varbinary,
@vb_bufferlen int,
@buf nvarchar;
EXEC master.dbo.sp_replwritetovarbin 1, @end_offset output, @vb_buffer output, @vb_bufferlenoutput,
'AAAAAAAAAAAAAAAA(..3 tysiące liter A..)AAAAAAAAAAAAAA','1','1','1', '1','1','1','1','1','1';

to biblioteka stojąca za procedurą wykona zapis do kontrolowanego adresu w pamięci, przez co możliwe jest wstrzyknięcie i wykonanie obcego kodu w kontekście procesu instancji SQL Server. Gotowy exploit można znaleźć tutaj (zapytania zaszyte w kodzie VB strony ASP, exploit tworzy tzw. reverse shella na porcie 4445). Atakujący musi dysponować uwierzytelnionym dostępem do instancji serwera (czyli mówiąc wprost musi być w stanie wykonać kod T-SQL choćby w kontekście konta o najsłabszych uprawnieniach), gdyż prawo wywołania procedury przypisane jest do roli public bazy master. Do wykorzystania exploita w scenariuszu prawdziwego ataku potrzebny jest więc także np. skuteczny SQL injection, choć oczywiście to tylko jedna z wielu możliwości.

Luka jest moim zdaniem całkiem poważna i występuje w miejscu, które od dawna wskazywane było i jest jako niebezpieczne - czyli wesoły i swawolny obszar rozszerzonych procedur składowanych. Od kiedy w wersji SQL Server 2005 pojawiła się możliwość integracji CLR (czyli pisania m.in. procedur składowanych w kodzie zarządzanym .NET), uzasadnienie istnienia procedur XP ogranicza się już tylko do kwestii interfejsów wewnętrznych/systemowych, a i te można przecież "unatywnić" w samym silniku bazodanowym, tak jak jest to zrobione m.in. z obsługą dziennika transakcji. Choć z drugiej strony całkowicie rozumiem programistów z Redmond - też bałbym się dotykać czegokolwiek związanego z replikacją :)

Więcej informacji:
Microsoft Security Advisory (961040): Vulnerability in SQL Server Could Allow Remote Code Execution
SEC Consult Security Advisory < 20081209-0 >
EXPLOIT: Microsoft SQL Server "sp_replwritetovarbin()" Heap Overflow - Reverse Shell

SQL Server 2005 Service Pack 3 już jest

nospam@example.com (Marcin Guzowski) — Wed, 17 Dec 2008 15:53:00 +0100

Zgodnie z zapowiedziami, Microsoft 15 grudnia 2008 roku udostępnił SP3 do SQL Server 2005. Warto zaznaczyć, że trzeci Service Pack nie jest krokiem w kierunku rozwoju funkcjonalności, tylko zagregowanym zbiorem poprawek, które wydane zostały od czasów (nie)sławnego SP2. Publiczny SP3 jest przeznaczony dla wszystkich edycji poza Express Edition (w przypadku tej wersji poprawka w trybie private jest udostępniana na żądanie). Build nowego SP to 9.00.4035. Plik instalacyjny waży 300-400 MB w zależności od architektury systemu docelowego (32bit/64bit/Itanium).

Przy okazji wspomnę, że kilka dni wcześniej wydany został także Feature Pack do SQL Server 2005, czyli zestaw 24 dodatkowych (niezależnych) narzędzi o bardzo różnym przeznaczeniu, które rozszerzają możliwości serwera. Są nimi:
- Microsoft ADOMD.NET,
- Microsoft Core XML Services (MSXML) 6.0,
- Microsoft OLEDB Provider for DB2,
- Microsoft SQL Server Management Pack for MOM 2005,
- Microsoft SQL Server 2000 PivotTable Services,
- Microsoft SQL Server 2000 DTS Designer Components,
- Microsoft SQL Server Native Client,
- Microsoft SQL Server 2005 Analysis Services 9.0 OLE DB Provider,
- Microsoft SQL Server 2005 Backward Compatibility Components,
- Microsoft SQL Server 2005 Command Line Query Utility,
- Microsoft SQL Server 2005 Datamining Viewer Controls,
- Microsoft SQL Server 2005 JDBC Driver,
- Microsoft SQL Server 2005 Management Objects Collection,
- Microsoft SQL Server 2005 Compact Edition,
- Microsoft SQL Server 2005 Notification Services Client Components,
- Microsoft SQL Server 2005 Upgrade Advisor,
- Microsoft .NET Data Provider for mySAP Business Suite, Preview Version,
- Reporting Add-In for Microsoft Visual Web Developer 2005 Express,
- Microsoft Exception Message Box,
- Data Mining Managed Plug-in Algorithm API for SQL Server 2005,
- Microsoft SQL Server 2005 Reporting Services Add-in for Microsoft SharePoint Technologies,
- Microsoft SQL Server 2005 Data Mining Add-ins for Microsoft Office 2007,
- SQL Server 2005 Performance Dashboard Reports,
- SQL Server 2005 Best Practices Analyzer.

Więcej informacji i pobieranie:
Download: Microsoft SQL Server 2005 Service Pack 3
Books Online: What's New in SQL Server 2005 SP3
Download: Feature Pack for Microsoft SQL Server 2005 - December 2008

11. spotkanie PLSSUG Lublin

nospam@example.com (Marcin Guzowski) — Tue, 09 Dec 2008 15:33:33 +0100

Zapraszam na 11. spotkanie grupy Polish SQL Server User Group w Lublinie, które tym razem poświęcone będzie zagadnieniom związanym z codzienną pracą programistów bazodanowych i administratorów dbających o wydajność instancji SQL Server. Spotkanie odbędzie się we środę (wyjątkowo nie we wtorek) 17 grudnia 2008 roku (godz. 17:00-19:00) w siedzibie Anica System S.A., ul. Konrada Wallenroda 4C, 20-607 Lublin, V piętro (można wchodzić od 16:30).

Rejestracja polega na:
1) wysłaniu komentarza do tego posta z imieniem i nazwiskiem
lub
2) wysłaniu wiadomości ze swoim imieniem i nazwiskiem z tego adresu.

Agenda:
17:00-17:20 - sprawy organizacyjne
17:30-19:00 - Przypadki użycia obiektów bazodanowych i optymalizacji (Andrzej Ochera)

Z tego co wiem sesja Andrzeja na pewno będzie zakładała mini-dyskusję n/t każdego z prezentowanych case'ów. W ramach przyjacielskich wizyt gościem specjalnym na spotkaniu będzie Rafał Czupryński z Microsoft Polska, czyli przedstawiciel jednego z naszych głównych sponsorów. Może przywiezie coś pod choinkę? :) Nawet jeśli nie przywiezie, to poprzez uczestnictwo w dyskusji i/lub odpowiedź na pytania prelegenta można będzie wygrać atrakcyjne nagrody.

Więcej informacji:
Kalendarz: 11. spotkanie PLSSUG Lublin

SQL Server 2008 Upgrade Technical Reference Guide

nospam@example.com (Marcin Guzowski) — Thu, 27 Nov 2008 10:36:00 +0100

Microsoft udostępnił ciekawy dokument, będący obowiązkową pozycją dla wszystkich chcących upgrade'ować swój SQL Server do wersji SQL Server 2008. Guide jest pozycją na pewno nie najkrótszą (prawie 500 stron), jednak traktuje o wszystkich istotnych aspektach związanych z procesem podnoszenia wersji i na pewno pomaga uniknąć przykrych niespodzianek (np. brak możliwości podniesienia pewnych edycji wersji SQL Server 2005 do pewnych edycji 2008). Dokument dotyczy podnoszenia wersji wszystkich usług SQL Server (czyli też np. Analysis Services) w różnych strategiach upgrade'u (in-place, side-by-side) z różnych wersji silnika (SQL Server 2000, SQL Server 2005). Polecam.

Więcej informacji i pobieranie:
Download: SQL Server 2008 Upgrade Technical Reference Guide

10. spotkanie PLSSUG Lublin

nospam@example.com (Marcin Guzowski) — Mon, 10 Nov 2008 22:29:00 +0100

Zapraszam na 10. spotkanie grupy Polish SQL Server User Group w Lublinie, które tym razem poświęcone będzie zagadnieniom związanym z raportami. Spotkanie odbędzie się we wtorek 18 listopada 2008 roku (godz. 17:00-19:00) w siedzibie Anica System S.A., ul. Konrada Wallenroda 4C, 20-607 Lublin, V piętro (można wchodzić od 16:30).

Rejestracja polega na:
1) wysłaniu komentarza do tego posta z imieniem i nazwiskiem
lub
2) wysłaniu wiadomości ze swoim imieniem i nazwiskiem z tego adresu.

Agenda:
17:00-17:10 - sprawy organizacyjne
17:10-18:20 - Fascinated by Microsoft SQL Server 2008 Reporting Services - Co nowego w zakresie tworzenia raportów (Agnieszka Janiak)
18:30-19:00 - dyskusja i konkurs

Więcej informacji:
Kalendarz: 10. spotkanie PLSSUG Lublin

SQL Server 2010 code name Kilimanjaro

nospam@example.com (Marcin Guzowski) — Tue, 07 Oct 2008 22:51:00 +0200

Przy okazji któregoś z wcześniejszych postów pisałem, że Microsoft ma plan wydawania kolejnych wersji systemu SQL Server co 2 lub 3 lata. Firma z Redmond zdania nie zmieniła i następny SQL Server powinien ujrzeć światło dzienne w pierwszej połowie 2010 roku, czyli nawet szybciej niż pełne dwa lata od obecnie najnowszej wersji. W roku 2009 spodziewane jest pierwsze publiczne SQL Server 2010 CTP (Community Technology Preview). Nazwa kodowa SQL Server 2010 to Kilimanjaro, czyli - moim skromnym zdaniem - najgłupsza nazwa ze wszystkich dotychczas wymyślonych. Coś mi się wydaje, że w roku 2012 będzie można odnieść to samo wrażenie. Chociaż w sumie np. SQL Server 2012 code name Szczebrzeszyn cechowałby się swoistym pierwiastkiem niepowtarzalności :) A skoro już wyrażam swoją subiektywną opinię to już na poważnie dodam, że nie sądzę, żeby rynek potrzebował kolejnej wersji MSSQLa w ciągu najbliższych 2-3 lat. Wiadomo jednak, że dział marketingu zawsze wie lepiej no i nowa wersja będzie relatywnie w tempie błyskawicznym.

Co nowego pojawi się w SQL Server 2010? Na ten moment wiadomo, że na pewno ma to być kolejny ukłon w stronę BI. Microsoft zacznie lansować metodykę managed self service (czyli w wolnym tłumaczeniu - samoobsługa zarządzana) w nowych narzędziach raportowych, które mają być już tak cudowne, że wielość źródeł danych czy potrzeby raportowania ad-hoc nie będą stanowiły absolutnie żadnego problemu. Bardziej zorientowani na rynku BI skojarzą zapewne fakt, że Microsot całkiem niedawno przejął firmę DATAllegro. I tutaj znowu subiektywne spostrzeżenie: z tego punktu widzenia SQL Server 2010 to po prostu zwrot z tej inwestycji.

Oczywiście dwa lata na rynku IT to całkiem sporo, zwłaszcza w działce BI. Microsoft nie ma oddzielnego pakietu BI, tego typu rozwiązania to część rodziny SQL Server. Ma to swoje plusy dodatnie i plusy ujemne, także w zakresie harmonogramu i celowości wprowadzania nowych wersji. Oczywiście ocena nowości zależy także od "punktu siedzenia". Przeciętny developer pomyśli sobie - "nowa wersja, fajnie, będą nowe ficzery żeby jeszcze mnie wydajnie pobierać dane do raportów nowym językiem BINQ, którego składnia przypomina teksty w dymkach komiksów". DBA nie podzieli już optymizmu developera, bo dla niego każda nowa funkcjonalność oglądana jest przez pryzmat tego, którą funkcjonalność zastępuje - bo jest spora szansa, że przy podniesieniu wersji właśnie to przestanie działać.