Glorf IT

Ich habe jetzt mal rumgesucht, welche Security-Hotfixes zum SQL-Server (also nicht zu MDAC, Windows oder IE) so kamen. Ist die Liste vollständig?

• 2002 Juli – MS02-035 – SA-Passwort steht in Datei "setup.iss"
• 2002 Juli – MS02-039 – Fix zum SQL-Slammer
• 2002 Oktober – MS02-061 – Stored-Procedure erlaubte "escalation of rights"
• 2003 Oktober – MS03-031 – Named Pipe Denial of Service
• 2008 Juli – MS08-040 (CU7) – verschiedene Fixes, inkl. "escalation of rights"
• 2008 September – MS08-052 (CU9) – GDI+ ermöglicht Remotecodeausführung
• 2008 Dezember – Security Advisory 961040 (SP3) – Vulnerability in SQL Server Could Allow Remote Code Execution

Ob der Trend anhält? Dann sollte in den kommenden Monaten wieder ein Fix kommen und dann ein paar Jahre nichts mehr…

Kommenden Dienstag ist es wieder so weit: Die SQL-PASS Franken lädt wieder ein. Das Thema ist etwas kryptisch, der Referent offenbar schon bekannter: "Metadatenmanagement mit SQL Server" von Dr. Ulrich Plogas (wenn ich richtig sehe, ist er "Director Sales & Consulting" bei der plus-IT GmbH, also vom Gastgeber). Worum es geht:

Metadaten sind das Skelett des modernen Informationsmanagements und damit allgegenwärtig. Die Kenntnis über Metadaten hilft, möglichen Problemen in der Qualität der Daten sowie im Informationsmanagement vorzubeugen und in diesen Bereichen bessere Ergebnisse zu erzielen.

Der Vortrag stellt verschiedene Anwendungsszenarien für das Metadaten-Management vor und beleuchtet die aktuelle Situation in Umgebungen mit Microsoft SQL Server. Eine Präsentation eines Lösungsansatzes der plus-IT GmbH rundet den Vortrag ab.

Vermutlich liegt es an mir, aber ich hatte nach dem ersten und zweiten Lesen der hochgestochenen, aber vagen Beschreibung keinen blassen Dunst worum es da geht. Metadaten kann ja alles sein, was irgendwelche Daten über Daten enthält. Ich dachte zunächst an die DMVs des SQL-Servers, die ich ja teilweise schon kenne. Aber Dr. Plogas hält zu dem Thema auch Seminare, hier ist die Beschreibung etwas aussagekräftiger (siehe Anforderungen an das Metadatenmanagement, PDF):

Heterogene IT-Landschaften sowie eine zunehmende Komplexität von Systemen für das analytische Informationsmanagement erfordern in immer stärkeren Maße ein professionelles Metadaten-Management. Dabei klassifizieren Metadaten Inhalt und Struktur von Daten. In diesem praxisorientierten Workshop lernen Sie Ansätze für das Design und die Implemenetierung von Metadaten-Managementsytemen sowie Werkzeuge dafür das kennen. Ein Ausblick auf mögliche Anwendungs-Szenarien für das Metadaten-Management rundet diesen Workshop ab.

So klingt das Thema doch schon spannend und ich weiß jetzt worum es vermutlich geht… 😉
Die Werbung zu dem angesprochenen Produkt meta+ rundet das Bild über den Inhalt des Vortrages ab.

Der Vortrag findet am 13. Januar um 18:30 Uhr in den Räumen der Plus-IT GmbH im Eurocom Center direkt an der U-Bahn Haltestelle Scharfreiterring (Lina-Ammon-Str. 3, Gebäude 3 / 3. Stock, Nürnberg).

Wer kommen mag, ist herzlich eingeladen. Wir freuen und wirklich über jeden Interessierten. Die Teilnahme ist – wie immer – kostenfrei. Weil wir in letzter Zeit oft recht viele Teilnehmer hatten (damit meine ich mehr als 30), bitte aber bei Klaus Oberdalhoff (kob(ät)sqlpass.de) anmelden, damit er weiß wie viele Stühle wir benötigen und ob der Platz ausreicht.

Diese Frage hat mich heute beschäftigt…

Manche meinen das sei der nächste SQL-Server. Aber wenn man dem Artikel "'Kilimanjaro' SQL Server CTP To Begin in January" glaubt, dann stimmt das gar nicht. Darin wird "Kilimanjaro" als das nächste Release einer der drei neuen BI-Komponenten bezeichnet, der an Januar 2009 als CTP verfügbar werden soll.

Konkret scheint es wohl so zu sein, dass die BI-Komponenten in drei Teams entwickelt werden und jeweils unterschiedliche Code-Namen haben: "Gemini", "Kilimanjaro" und "Madison". Die Zitate sind von ZDNet.de:

Gemini: "Auswertung von OLAP-Datenbeständen nach dem "Slice and Dice"-Prinzip. Das Projekt bringt Analyse-Dienste für verwaltete Self-Services mit."

Kilimanjaro: "SQL-Server-Tools für die Analyse von Geschäftsprozessen."

Madison: "die Technologie des kürzlich akquirierten Anbieters für Data-Warehouse-Anwendungen DATAllegro Inc. Madison ermöglicht den Umgang mit Datenvolumen von bis zu mehreren hundert Terabytes und tausenden von Nutzern."

Na, mal abwarten, wie das wird.

Mein Kollege Diethard machte ich auf ein SQL-Beispiel von Joe Celko aufmerksam. Darin werden per SQL alle möglichen Lösungen für ein Sudoku-Rätsel gesucht. Die Abfrage ist recht sportlich, aber sicher nicht besonders performant…

Hier ist der Link.

Der CU11 für das SP2 des Microsoft SQL Server 2005 ist jetzt verfügbar. Das wesentliche Highlight: Der Patch lässt sich erstmals seit CU9 und CU10 wieder auf Systemen mit FAT32 installieren (ja, gibt es noch)…

Hier stehen übrigens alle Buildnummern von CUs zum SP2 des SQL Servers 2005:
KB937137

PS: Der CU1 zum SP3 des Microsoft SQL Server 2005 ist jetzt auch erhältlich…

Nach der Sichtung der alleine SP3 betreffenden Punkte (ganz unten in der Bugfix-Liste) , gibt es nun ein gutes Argument für den SP3:

Die lästigen Meldungen, die unsere Kunden (und daher auch mich) schon so oft ärgerten, scheinen der Vergangenheit anzugehören (Quelle der Meldungen: Aaron Bertrand):
"The time stamp counter of CPU on scheduler id x is not synchronized with other CPUs."
oder
"CPU time stamp frequency has changed from x to y ticks per millisecond. The new frequency will be used."

Hier stehen Details dazu: "SQL Server timing values may be incorrect when you use utilities or technologies that change CPU frequencies"

Aber leider gibt es auch ein neues Problem. Hat ein Kunde auch das "Business Intelligence Development Studio" installiert, dann bedankt sich Vista mit dieser Meldung nach Installation des SP3:

This Program has known compatibility issues
Check Online to see if solutions are available from the Microsoft website. If solutions are found, Windows will automatically display a website that lists steps you can take.
Program: Visual Studio 2005
Publisher: Microsoft
Visual Studio 2005 has a known compatibility issue with this version of Windows.

Dann muss der Kunde auch erst mal das "Visual Studio 2005 Service Pack 1" installieren. Das kann auch für alle anderen Teile des Visual-Studio-2005 gelten, die noch kein SP1 haben.

Hier stehen die Details zu dem Problem: Error message when you install SQL Server 2005 SP3 on Windows Vista: "Visual Studio 2005 has a known compatibility issue with this version of Windows"

Wer sich freute, dass gestern endlich der SP3 für SQL Server 2005 freigegeben wurde, der hat sicher schon die erste Überraschung erlebt: Das Service-Pack enthält nicht alle aktuellen Hotfixes.

Der SP3 enthält:

• das komplette SP2 und
• den CU9 zum SP2 (und damit alle CUs vorher) und
• sechs neue Features auf die ich gut verzichten kann.

Der SP3 enthält aber weder

• den CU10 zum SP2, noch
• den CU11 zum SP2

Wer also den aktuellsten Stand haben will, der darf auf keinen Fall den SP3 installieren, sondern muss den SP2 und den CU10 (bzw. den CU11, wenn er dann mal freigegeben wird) installieren. (Update 22.12.2008: ist jetzt verfügbar)

Achtung: Wird über diesen aktuellen Stand dann ein SP3 installiert, dann hat man wieder den alten Stand von SP2 mit CU9.

Microsoft wird wohl bald einen CU1 zum SP3 freigeben, damit auch hier die neuesten Fehlerbereinigungen drin sind. Logisch, oder? (Update 22.12.2008: ist jetzt verfügbar)

Hier ist der Download zum SQL Server 2005 SP3 und die Liste der beseitigten Fehler. Für den CU1 zum SP3 fand ich leider noch keinen Link… (Update 22.12.2008: hier ist er.)

Mein Kollege Matthias machte mich heute auf den Artikel "SQL Server 2008 Enterprise and Standard Feature Compare" aufmerksam. Das PDF-Dokument vergleicht in aller Kürze die beiden Editionen miteinander. Dabei wird recht deutlich, wie leistungsfähig bereits die Standard-Edition ist. Beeindruckend.

Update 11.12.2008:

• Vergleich aller 2008er Editionen (mit kurzem Kommentar)
• dito für SQL Server 2005: Version 1 und Version 2

Robert machte mich auf einen interessanten Artikel zum Thema "verkleinern von Datenbanken" aufmerksam. Trotz der aktuellen Preise von Massenspeichern wünschen sich unsere Kunden immer wieder, dass deren Datenbanken regelmäßig verkleinert werden. Die Gründe sind immer gleich:

• Die Datenbank-Dateien sind so groß, dass der Plattenplatz knapp wird.
  Gegenvorschlag: Plattenplatz zukaufen.
• Die Datensicherung und -prüfung dauert wegen des Umfangs so lange, dass das dafür vorgesehene Zeitfenster nicht mehr reicht.
  Gegenvorschlag: Datensicherung erst mal auf Platte mache und dann die kopierten Datenbanken an einen anderen SQL-Server hängen und prüfen. Danach erst die echte Sicherung auf dieser Kopie laufen lassen. Wie lange das dauert ist ja wurscht, weil parallel dazu auf dem Original weiter gearbeitet werden kann.
• Umfangreiche Datenbestände wurden gelöscht. Dann wird die DB meist auch erst mal größer. Dann lohnt es sich häufig wirklich die Datenbank zu verkleinern.

Aber das hat freilich etliche negative Effekte:

• Sobald Daten geändert oder eingefügt werden, dann wird die Datenbank wieder vergrößert. Das kostet Zeit.
• Datenbank-Wachstum hat Gründe. Wenn die Datenbank wächst und dann nach einiger Zeit viele leere Seiten drin sind, dann hat das seinen Grund. In so einem Fall wird die Datenbank bald wieder wachsen.
• Regelmäßiges verkleinern und dann wieder vergrößern von Datenbanken fragmentiert die Datenbank-Dateien. Das wirkt sich negativ auf die Performance aus. Auch beim Einsatz von RAID-Systemen.

Wie stark es die Performance beeinflusst kann man hier nachlesen: Can you shrink your SQL Server database to death?

Alle Freunde der SQL-PASS in Franken können sich auf die Fortsetzung der aktuellen BI-Reihe freuen. Erstmals begeben wir uns auf ein neues Pflaster: Es wird ein konkretes Produkt eines Drittherstellers vorgestellt.

Da wir uns immer in Nürnberg treffen, konnten wir für die Vorstellung der Software DeltaMaster Herrn Michael Westphal gewinnen. Er ist Geschäftsführer und technischer Leiter der Nürnberger Firma Bissantz. Wobei wir keine Folienshow sehen möchten, sondern eine echte Life-Demo. Mal sehen, ob das klappt. Ich bin etwas skeptisch, aber bereit für das Experiment… Wenn mehr als drei Marketing-Folien kommen, dann werden Teer und Federn ausgepackt.

DeltaMaster ist übrigens bekannt für seine besondere Visualisierung, z. B. mit Sparklines, und für die Automation in der Datenanalyse. 2007 hat Bissantz dafür den Innovationspreis der Gesellschaft für Informatik (GI) gewonnen. Man darf also gespannt sein.

Nachdem Herr Westphal den automatisierten Aufbau von Snowflake-Schemata und der Analysis-Services-Datenbank mit dem DeltaMaster Modeler vorführte, soll Herr Dr. Gerald Butterwegge (Business Development) zeigen wie Endanwender mit DeltaMaster analysieren und ihre Reports aufbauen können, ohne dass sie MDX schreiben müssen.
DeltaMaster ist bekannt für seine besondere Visualisierung, z. B. mit Sparklines, und für die Automation in der Datenanalyse. 2007 hat Bissantz dafür den Innovationspreis der Gesellschaft für Informatik (GI) gewonnen.

Der Workshop wird voraussichtlich wieder 2 – 3 Stunden dauern. Anschließend gehen wir noch – wie immer – zum Italiener.

2. Dezember 18:30 Uhr
in den Räumen der Plus-IT GmbH im Eurocom Center direkt an der U-Bahn Haltestelle Scharfreiterring (Lina-Ammon-Str. 3, Gebäude 3 / 3. Stock, Nürnberg).

Wer kommen mag, ist herzlich eingeladen. Die Teilnahme ist – wie immer – kostenfrei. Weil wir in letzter Zeit oft recht viele Teilnehmer hatten, bitte aber bei Klaus Oberdalhoff (kob(ät)sqlpass.de) anmelden, damit er weiß wie viele Stühle wir benötigen und ob der Platz ausreicht.

Wer Lizenzen für "SQL Server 2008" erwirbt, der darf statt dessen auch einen "SQL Server 2005" einsetzen. So steht es in der "SQL Server 2008 Licensing Frequently Asked Questions" drin:

If you require SQL Server 2005 for existing solutions, you can still acquire additional licenses by taking advantage of the SQL Server 2008 "downgrade rights." The downgrade rights enable you to purchase server plus device CALs, server plus user CALs, or processor licenses for SQL Server 2008 and install and use the previous version for a reasonable period of time.

Gemeint ist mit "for a reasonable period of time", dass man zwei Jahr nach Freigabe des "SQL Servers 2008" stattdessen den 2005er nutzen kann, wenn man eine 2008er Lizenz kaufte. Freigabe war der 8.8.2008. So steht es jedenfalls in der FAQ für "Microsoft SQL Server 2008" drin, die im Oktober 2008 vorgestellt wurde.

… so heißt die Seite auf die mich meine Kollege Robert heute aufmerksam machte. Auf der Seite wird beschrieben, wie man seinen SQL-Server hacken kann bzw. wie man seinen SQL-Server gegen Hacking schützen kann, wenn man die Angriffe versteht.
Das ist recht interessant, aber eher nichts für Einsteiger…