Twistedminds

Beyond 802.11ac: 802.11ah HaLow

Sun, 19 Jun 2016 15:12:04 +0000

We got used to multi-gigabit Wi-Fi speed introduced in 802.11ac Wave II rollout not so long time ago. However, progress is not going to stop at this point. There are a few types of applications which would greatly benefit from wireless connectivity, but there is a good reason not to bring them in your typical wireless network due to limitations.

For instance, there are lots of various sensors around us: fire alarms, access control systems, smart grids, electricity and gas meters, etc. Why not provide them with some wireless connectivity? Well, at this point we are limited to what we can do with current generation technologies.

NBase-T

Fri, 08 Apr 2016 11:55:24 +0000

Once we met gigabit mark there was no speed progress for end users desktops in enterprise environment. While Data Centers and Service Providers adopted 10G technology and beyond.

It’s caused by several factors:

there is no point to go over gigabit since it’s already good enough to support such bandwidth-hungry applications as rich multimedia, let’s leave alone VoIP and Surveillance;
there is no 10G PoE standard at this moment to power phones, access points and security cameras over an UTP cable remotely;
wide adoption of cloud and web application ideology ensured that all data is being worked on distant servers without the need to transfer it back and forth;
and last but not least – it’s quite costly to update your cable infrastructure to support 10G speed as it requires, at least, Cat6 UTP cable and still probably won’t meet desired range between workstation and closet.


UTP Cable	5e	6	6a	7
IEEE 10G Spec	n/a	55m	100m	100m

And the last one is a huge issue since Cat5e and Cat6 cabling dominates install base:

Интеграция D-Link Central WiFi Manager с Active Directory

Fri, 29 Jan 2016 18:03:40 +0000

В этой статье мы продолжим работать с стендом из предыдущей темы.

Все супер, наш тестовый стенд работает. Адепты BYOD концепции довольны, так как получили возможность смотреть смешных котиков не только с помощью персональной ЭВМ предоставленной работодателем, но и с использованием личного гаджета.

Однако в какой-то момент мы поняли, что один пароль на организацию не так классно как хотелось бы. Справедливо рассудив, что Wi-Fi не сметана – всем хватит, щедрые пользователи нашей организации поделились паролем с девочками из соседнего офиса. Те в свою очередь оказались тоже не жадными. Таком образом всего за неделю мы, сами того не желая, стали интернет провайдером масштаба бизнес-центра.

Настройка D-Link Central WiFi Manager

Fri, 22 Jan 2016 12:09:37 +0000

Познакомившись с ~~маркетингом~~ теорией попробуем собрать простой лабораторный стенд следующего вида:

По легенде в нашей организации существуют две беспроводные сети: Production & Guest. Для того, чтобы случилась магия надо предпринять следующие шаги:

Выполнить базовую настройка коммутатора
- VLAN
- VLAN интерфейсы
- DHCP
Добавить точки доступа в CWM
Выполнить базовую настройку точек доступа с использованием CWM
- Добавить беспроводные сети
- Назначить соответствующие VLANы и PVID на физическом интерфейсе точки доступа
- Поместит беспроводные сети в соответствующие им VLANы
Применить настройки

Настройка коммутатора Link to heading

VLAN

D-Link Central WiFi Manager

Fri, 15 Jan 2016 09:16:08 +0000

На данный момент у D-link существуют две обособленные линейки точек доступа: AirPremier и, так называемые, Unified решения. AirPremier точки доступа в партномере модели имеют префикс DAP, Unified, соответственно DWL.

Управление беспроводными точками доступа Link to heading

Для управления беспроводной инфраструктурой существует целый ворох технологий. По мере роста функционала это:

AP Array, AP Cluster
SNMP / D-Link D-View NMS
Программный контроллер D-Link Central WiFi Manager (CWM-100)
Аппаратный контроллер в standalone исполнении D-Link Wireless Controller (DWC) или интегрированный в коммутатор D-Link Wireless Switch (DWS)

Сами же линейки точек доступа отличаются тем, что Unified точки доступа зачастую дороже, оснащены консольным портом и несут в себе некий дополнительный функционал: dual image, radio protect и прочие.

Радары и опасные зоны для SMEG+

Wed, 17 Jun 2015 12:47:51 +0000

В процессе рестайлинга 508 французы поменяли голову с RT6 на SMEG+, а вместе с ней и формат файлов обновления камер и зон для головы.

В отличии от RT6 файлы с координатами упакованы в tar gz архив.


delbook:POI_USER delirium$ file ZAR_POI.BIN
ZAR_POI.BIN: gzip compressed data, was "TMP_POI.TAR", from NTFS filesystem (NT), last modified: Thu Nov 6 17:38:52 2014

Рядом с ним лежит ZAR_POI.BIN.inf файл, в котором описаны контрольные суммы и другая служебная информация следующего содержания:

802.11ac: beamforming и MU-MIMO

Fri, 08 May 2015 10:39:39 +0000

Beamforming Link to heading

Нет второй такой технологии в WiFi, вокруг которой не крутилось бы столько мифов, FUDa и обычного человеческого непонимания. Чего только не приходилось слышать на различных конференциях, от партнеров и заказчиков. И то, что beamforming магически увеличивает мощность передатчика и то, что точка доступа механически направляет антенну в сторону клиента.

Технология beamforming постороена на эффекте интерференции волн, когда две волны находящиеся в одной фазе накладываются друг на друга тем самым увеличивая амплитуду.

802.11ac: обратная совместимость, динамическое распределение каналов

Thu, 07 May 2015 08:20:32 +0000

Обратная совместимость и динамическое распределение каналов Link to heading

Первый вопрос, который следует осветить это обратная совместимость. С 2.4GHz все просто, учитывая то, что 802.11ac банально в нем не работает :) В этом случае обратная совместимость будет предоставляться dual band точками доступа, которые несут дополнительный 2.4GHz n радио модуль, либо не будут предоставляться вовсе, в случае если такой надобности нет.

С 5GHz РЧ диапазоном вопрос будет решаться так, как он решается в более-менее современных 2.4 GHz 802.11n сетях, в которые попадают древние b/g клиенты. На момент передачи/получения данных включается механизм обратной совместимости, все остальное время сеть работает в штатном режиме. Следует понимать что в современной сети такие устройства это расточительные потребители лишних time slot’ов, которые тормозят работу. По этому стоит несколько раз подумать, а хотим мы пускать в такую сеть древний a/b/g ноутбук. Wireless шовинизм как он есть.

Сага о 802.11ac и гигабитных портах доступа

Wed, 06 May 2015 11:29:27 +0000

802.11ac vs gigabit ethernet

Чего уж скрывать – прогресс беспроводных сетей с 802.11ac сделал добротный шаг вперед. На коробках с Wave I точкой доступа красуются цифры 1.3/1.75 Gbps. Маркетинговый отдел любого вендора не даст соврать. При этом нужно понимать, что 1.75 Gbps это кумулятивная пропускная способность точки, учитывая оставленный для обратной совместимости 802.11n стандарт с его 450 Мбит/с в 2.4 GHz диапазоне.

Но бог с ним, с этим Wave I, давайте посмотрим на Wave II точку доступа и 7 Gbps теоретической пропускной способности. Затем переведем взгляд на наши 1GiE порты уровня доступа и впадем в уныние. Кто виноват и что делать?

802.11ac, wave I, wave II и все-все-все

Fri, 20 Feb 2015 10:44:40 +0000

Иногда маленьким инженерам нужно собрать все статьи по теме из evernote и скомпилировать их в одну. Этим и займемся.

Когда рассказываешь про 802.11ac зачастую встречаешь полное непонимание людей: зачем? Вот смотрит человек на свой смартфон и не понимает, как гигабитный WiFi облегчит ему жизнь и подарит новый экспириенс с просмотра котиков в facebook. Или как гигабитный WiFi поможет ему быстрее загружать ролики YouTube если с этим прекрасно справляется 3G сеть его телефона.

Планирование беспроводной сети с AirMagnet Planner

Fri, 25 Oct 2013 15:58:15 +0000

AirMagnet Planner представляет собой ПО от Fluke Networks, входящее в состав комплекта AirMagnet Survey, которое можно лицензировать отдельно. AirMagnet Planner выполняет функции планирования беспроводной сети, учитывает материалы здания, преграды, конфигурацию точек доступа, типы антенн.

Перед планированием Link to heading

Минимум, который вам надо знать – это тип используемых точек (антенны, их тип, диаграмма направленности, усиление), план помещения, размеры помещения и материалы стен. Так же не лишней будет информация о том, что находится в помещении для создания более аккуратной карты планируемого покрытия. Собрав всю эту информацию можно приступать к созданию проекта.

Year long journey: look, ma, I’m CCNP now

Mon, 30 Sep 2013 20:14:27 +0000

С последним экзамен я тянул до последнего. Начали забываться некоторые моменты, постоянно возникали непредвиденные обстоятельства, которые переносили дату экзамена. В какой-то момент я начал понимать, что из головы нюансы редистрибуции и газилионов LSA различных типов постепенно улетучиваются – увы не каждый день приходится с этим работать. Тут на помощь пришли мои же заметки и потраченные на это 2 месяца в прошлом году перестали казаться чем-то из разряда бессмысленного.

Cisco TSHOOT Official Certification Guide читался из рук вон плохо. В отличии от творений Odom W. с одного только взгляда на книгу нестерпимо тянуло в здоровый сон. Нет, материал абсолютно точно не был скучным или лишним, однако чувство Déjà vu не покидало с начала и до конца. В отличии от других материалов по SWITCH и ROUTE с TSHOOT’ом даже не возникло фантазий читать книгу дважды.

Технические презентации: do & don’t

Thu, 19 Sep 2013 13:21:15 +0000

За последние несколько месяцев мне довелось провести больше презентаций, чем за всю свою жизнь. Презентации новых продуктов, обучение и сертификация инженеров. Все это преследует, в принципе, единственную цель – заинтересовать аудиторию.

Особую пикантность мероприятиям добавляет факт того, что будут возникать вопросы на которые вы не сможете ответить в данный момент. С этим надо научиться жить, принимать как данное и выработать стратегию ответов и объяснений, которая удовлетворит аудиторию. “Не знаю, да и на хрен это надо?!” – плохой подход. Так же как и попытки что-то придумать, выдавая фантазии за факты. В лучшем случае человек найдет правильный ответ на вопрос, а в уме поставит галочку о степени вашей компетенции. В худшем он “понесет” эти знания в массы.

Как (не) получить визу в США

Mon, 01 Jul 2013 17:16:47 +0000

As you may or may not be aware с начала этого месяца я тружусь в должности системного инженера на славную компанию NETGEAR. Компания настолько славная, что, помимо всего прочего, на второй неделе работы пригласила меня на семинар в США. Дело оставалось за малым – получить американскую визу.

Раз плюнуть, фыркнул я, ведь буквально пару недель назад прорвался же сквозь госуслуги и заимел заветный загран. паспорт. Быстренько сверившись с списком дел я принялся за работу, засучив рукава:

Cisco MDS для самых маленьких

Sun, 02 Jun 2013 13:39:06 +0000

Под конец моей работы в Службе до нас таки доехали новенькие MDS9124, которые пришли на замену протухшим MDS9120 и QLogic SANBOX2-8C. В этой статье я собираюсь освежить в памяти термины и оставить некоторые заметки, оставшиеся после апгрейда SAN. Чем черт не шутит, а вдруг пригодится.

Хочется так же добавить, что вендор-зависимых фич тут мало, и, принимая внимания различия в синтаксисе, те же шаги можно предпринять для настройки не только упомянутых Cisco MDS, но и оптических коммутаторов других производителей.

Резюме по итогам

Fri, 31 May 2013 15:25:56 +0000

Не часто мне доводилось загонять себя в стрессовую ситуацию еще и по собственному желанию. Да и чего лукавить, вэбинар изначально таковым не казался, однако практика показала обратное. Лавина “а вдруг запнусь”, “а вдруг забуду”, “а вдруг ошибусь” накатывала все плотнее и плотнее. Тикающий таймер отсчета времени до начала только добавлял нервозности. В результате и запнулся, и забыл, и ошибся.

Однако, глупо рассматривать мероприятие исключительно с негативной стороны. Однозначно оно принесло больше пользы, чем подготовка к сертификации и вот почему. Страх опозориться перед сотней технических специалистов гораздо сильнее потери 200$ за экзамен. Отличный способ мотивировать себе на изучение материала.

Анонс вэбинара

Tue, 28 May 2013 10:22:17 +0000

Однажды дождливым вечером мне поступило предложение, мимо которого я не решился пройти мимо. А именно – попытаться донести до людей информацию не в виде привычных статей, а в рамках вэбинара.

Моя основная мотивация, цель, преследуемая мной в процессе написания статьи – это желание в первую очередь лучше уложить материал в голове и создать для себя любимого доступное справочное пособие по изученным технологиям. Вэбинар так же прекрасно подходит под эти цели, как и традиционная статья. А размещение на уже раскрученной площадке позволит не только мне приобщиться к знаниям, но и более широкому кругу технических специалистов и им сочувствующих.

2/3 CCNP – 642-813 passed

Mon, 13 May 2013 19:08:54 +0000

К экзамену CCNP Switch я готовился не так основательно, что в принципе было заметно по количеству опубликованных статей, если сравнивать с тем же Route. Успокаивал я себя тем, что на работе и так зачастую приходится иметь дело со всеми теми технологиями, о которых речь идет в курсе. За это и жестоко поплатился, вспоминая раздел Dot1x из portable command guide’а, попутно нервно нажимая ? и tab.

Сам экзамен, к слову, пестрил ошибками, опечатками, пропущенными ключами в картинках выхлопа команд, так, как будто их не брали с живого железа, а печатали маленькие индусские ручонки. Как вам вопрос, в котором 3 варианта ответа одинаковы, явно не дописаны до конца, а оставшиеся два вызывающе неверны. А теперь будьте любезны выберите два правильных. Ну а anooping databaseс bddu guard сегодня просто обязаны придти ко мне в кошмаре.

First Hop Redundancy Protocols – часть 2

Fri, 10 May 2013 16:52:32 +0000

[][1]Virtual Router Redundancy Protocol Link to heading

Или VRRP – стандартизированный протокол, описанный в RFC 2338. VRRP очень похож на HSRP и все, что вам следуют сделать, так это запомнить не большие различия в терминологии. По это причине я не буду подробно описывать VRRP, а остановлюсь только на ключевых различиях и другом синтаксисе конфигурации.

Так же как и HSRP VRRP предоставляет один отказоустойчивый VIP адрес от всей группы маршрутизаторов. Активный маршрутизатор называется master, все остальные – backup, при чем все backup маршрутизаторы слушают multicast адрес, а не только second best как это было в случае с HSRP.

First Hop Redundancy Protocols – часть 1

Fri, 10 May 2013 11:36:53 +0000

Вы построили отказоустойчивую сеть? Куда не плюнь – попадешь в STP, стэк коммутаторов, Cross Stack EtherChannel, Layer3 redundancy, SSO или еще какой дьявольский акроним? Не желаете, вдобавок, обеспечить клиентов отказоустойчивым шлюзом, чтобы поток байтов с bash.org да redtube лился no matter what и не прерывал рабочий процесс тружеников клавиатуры? Ведь способы есть и имя им Frist Hop Redundancy Protocols (FHRP).

Семейство протоколов FHRP включат в себя различные проприетарные (HSRP, GLBP, SMLT), открытые, отягощенные патентами (VRRP) и ~~красноглазые~~ свободные реализации (CARP). В контексте коммутаторов Cisco речь пойдет о HSRP, VRRP и GLBP протоколах.

Switch operations – часть 3

Tue, 07 May 2013 14:17:19 +0000

В финальной части мы быстренько пробежимся по CEF, посмотрим какое место в этой технологии занимают Forward Information Base (FIB) и ее часть – Adjacency Table.

CEF MLS содержит в себе два функциональных блока – layer 3 engine, формирующий информацию о маршрутах, которую может использовать layer 3 forwarding engine для обработки пакетов аппаратными средствами.

Forward Information Base Link to heading

Layer 3 engine (фактически маршрутизатор) формирует таблицу маршрутизации, поддерживает ее в актуальном состоянии и, что самое главное, форматирует и компилирует ее в новый формат – Forward Information Base. FIB строится согласно следующей логике: таблица маршрутизации форматируется в упорядоченный список, где для каждой сети существует один или несколько маршрутов. Первым, понятное дело, идет наиболее длинный префикс (longest prefix match). Одновременно с этим FIB содержит next-hop адрес устройства для каждой записи. Помимо информации из таблицы маршрутизации в FIB попадают маршруты до directly conntect хостов.

Switch operations – часть 2

Mon, 06 May 2013 19:55:58 +0000

Честно скажу, не сразу решился писать вторую часть, так как она будет, в какой-то степени, дублировать мою предыдущую статью – </2012/12/tcam/>, однако здравый смысл победил лень. Ну и повторение – мать учения, ага. В этой части мы более подробно поговорим про CAM и TCAM таблицы и их структуру, выясним что такое LOU, не забыв снабдить все это дело сочным примером. So, let’s go.

Content-Addressable Memory Link to heading

Из пакета/фрейма только-только упавшего на входящий порт в CAM таблицу попадает доселе неизвестный коммутатору MAC адреса источника. Это мы знаем из предыдущей статьи. Вместе с этим MAC адресом в таблицу попадает еще и timestamp, указывающий на то, когда этот адрес был заучен. CAM таблицы довольное большие, но не бесконечные, по этому через 300 секунд (значение по умолчанию) данные из CAM таблицы будут удалены в том случае, если данное устройство не давало о себе знать.

Switch operations – часть 1

Mon, 06 May 2013 12:49:44 +0000

Давным давно, в то время пока я пускал слюни в уютной детской кроватке, устройству для того, чтобы отправить данные надо было убедиться в том, что в данный конкретный момент времени никто не вещает на общем сегменте сети. За то, может ли устройство вести передачу отвечал протокол CSMA/CD – Carrier Sense Multiple Access with Collision Detect, а сами устройства оперировали в режиме half-duplex, т.е. могли либо вещать, либо слушать несущую в каждый конкретный момент времени. Более того, если одно устройство создавало фрейм с ошибкой все остальные устройство получали этот фрейм. Весь скоп устройств в такой сети назывался Collision Domain.

Citrx EdgeSight

Mon, 01 Apr 2013 07:03:42 +0000

Citrix EdgeSight – средство мониторинга производительности и доступности для таких продуктов как XenApp, XenDesktop. Отдельно существует EdgeSight для мониторинга NetScaler. EdgeSight способен производить мониторинг пользовательских сессий, устройств, использование лицензий, состояние сети в реальном времени.

Средство это весьма развесистое, требовательное к инфраструктуре и отнюдь не тривиальное в настройке. В качестве более легковесных альтернатив можно назвать SNMP мониторинг, splunk сервер + agent for XenApp, а так же такие решение как Terminal Servers Log.

Cisco QoS – классификация и маркировка

Sun, 10 Feb 2013 14:26:01 +0000

Различия между классификацией пакетов и маркировкой есть и они весьма существенны. Когда устройство смотрит на содержимое пакета, адрес отправителя, адрес получателя или на любую другую информацию содержащуюся в пакете и затем помещает этот пакет в отдельный класс на основании изученных сведений – это классификация.

Маркировка – есть своеобразное окрашивание трафика в зависимости от важности. В процессе маркировки устройство записывает определенную информацию в тело пакета или фрейма для того, чтобы помочь вышестоящим устройствам принимать решения по классификации без необходимости определять тип трафика снова.

Cisco QoS для самых маленьких

Sat, 09 Feb 2013 18:35:55 +0000

Я всегда считал Quality of Service (QoS) чем-то из разряда “не дадим войсу квакать, не дадим изображению по вкс развалиться”, однако более глубокое изучение вопроса, откровенно говоря, приятно удивило. Количество средств по манипуляции трафиком, а так же различные методы предоставления гарантированного качества канала нужным приложениям сразу дали понять – нахрапом эту крепость не взять.

С чем полезен и с чем помогает справиться QoS? Link to heading

Маленькая пропускная способность канала – не всегда у нас на руках оказывается тот канал, который позволит и youtube в HD посмотреть и корпоративным приложениям работать адекватно.
Потеря критичных пакетов в следствии заторов.
Задержки (delay) – время, которое требуется пакету чтобы попасть от источника к получателю. Так, к примеру, 400ms RTT для голоса еще туда-сюда, а вот с значениями, которые превышают этот порог вы получите эффект накладывающегося голоса.
Джиттер (jitter) или изменение задержки с течением времени. Сейчас у вас 100ms, а через минуту 200ms. Поздравляю, у вас теперь 100ms jitter, который превращается в задержку просто потому, что железкам нужно держать пакет в буфере какое-то время для обеспечения плавности того же разговора.

Методы настройки QoS Link to heading

Command Line Interface (CLI) – per interface конфигурация.
Modular QoS CLI (MQC) – аки ZBF позволяет группировать class map в policy map, policy map привязывать к service policy, а вот уже последнее можно и на интерфейс применить.
Auto QoS – генерирует некий усредненный конфиг, который, конечно не one size fit all, но в некоторых случаях оказывается вполне работоспособным.
QoS Policy Manager (QPM) – централизованная поддержка QoS в вашей сети. Встроена в CiscoWorks.

Инструменты QoS Link to heading

Классификация и группировка различных типов трафика.
Маркировка трафика за тем, чтобы другие устройства в сети могли бы распознать его.
Policing & shaping. Policing позволяет либо отбрасывать пакеты при превышении какого-либо значения, либо изменять маркировку. Shaping – метод размещения пакетов в очередях (i.e. FIFO, WFQ, CBWFQ) при достижении лимита.

Избежание заторов (congestion avoidance) Link to heading

First-in First-out – как понятно из названия – кто первый встал, того и тапки. Пакеты помещаются в очередь, пока не будет исчерпана пропускная способность канала. При ее исчерпании заполняется буфер. Ну а если и он закончился, то пакеты попросту отбрасываются – tail drop.
Random Early Detection (RED) – RED занимается занятной штукой: как только ваш буфер начинает заполняться – “БАМ!” – в нем погибает случайный пакет. И чем быстрее заполняется буфер, тем агрессивнее работает этот механизм. На сколько я знаю Cisco не поддерживает его работу.
Weighted Random Early Detection (WRED) – занимается тем же, что и RED, но вместо содомии с случайными пакетами этот механизм выбирает жертв на основании маркировки пакетов и обозначенных заранее правил. “БАМ!” – и вместо пакета с voice трафиком погибает кусок картинки с redtube’a. Если пакеты заранее не были маркированы, то WRED превращается в RED.

Управление заторами Link to heading

Управлять заторами можно помещая пакеты в очереди, позволяя наиболее приоритетному трафику покидать интерфейс в первую очередь, а наименее приоритетный трафик может и включения WRED дождаться, всякое бывает.

Отправка писем от имени группы в Microsoft Exchange 2010

Fri, 18 Jan 2013 06:59:01 +0000

В общем вся настройка сводится к добавлению прав send-as для distribution group через EMS:


Add-ADPermission grpname -ExtendedRights Send-As -User usrname -AccessRights ExtendedRight

либо через оснастку ADUC. Для распространения настроек требуется 2 часа либо вручную перезапущеный сервис Exchange Information Store. Последнее приведет к обновлению кэша и злым пользователям.

Если после этого вы все равно продолжаете получать отбойник о том, что, мол


You can't send a message on behalf of this user unless you have permission to do so.


Нельзя отправить сообщение от лица этого пользователя без соответствующего разрешения.

то вам следует выполнить следующие действия:

Медленный Citrix Web Interface/MMC-консоль, проблемы с CRL

Mon, 24 Dec 2012 11:32:04 +0000

При стечении определенных обстоятельств сервер, на которым расположен Web Interface, может отдавать страницу в течении весьма длительного времени. Случается это в тех случаях, когда не подключенный к интернету сервер был перезагружен или был перезагружен IIS и, одновременно с этим используется 3rd party SSL сертификат.

Ниже представлены workaround и объяснение механизма CRL.

Workaround

Проверьте версию ASP.net, которая используется с вашим Web Interface. Отредактируйте aspnet.config в надлежащем каталоге C:\Windows\Microsoft.NET\Framework\v[num].
Добавьте следующую запись в конфигурационный файл и перезапустите IIS: [xml] xml version=“1.0” encoding=“utf-8”?

[/xml]

Citrix Receiver

Mon, 24 Dec 2012 10:10:30 +0000

В процессе чтения форумов заметил, что у людей возникает масса вопросов на тему того, какой Citrix Receiver использовать и в каких ситуациях. Если вас, так же как и меня поглотило предновогоднее веселье, то, возможно, вы немного выпали из обоймы. Подведем итоги – у нас есть две версии Citrix Receiver (обычная и enterprise) и есть олд скульный Citrix Online plug-in (которых, в общем, тоже две версии). Давайте разберемся кто все эти люди.

Citrix Access Gateway на NetScaler VPX – tips & tricks

Tue, 18 Dec 2012 07:47:21 +0000

В заключительной части хотелось бы поделиться некоторыми проблемами, с которыми я столкнулся в результате работы, а так же разъяснить пару моментов, которые могут быть не совсем очевидными. А именно: мы рассмотрим процесс подключения пользователя к CAG, посмотрим как выявить проблемы с LDAP аутентификацией, как отфильтровать пользователей по заданным атрибутам в LDAP, выявлять неполадки в STA, запуск HTTP vserver вместо HTTPS и некоторые другие моменты.

Процесс подключения

Для начала рассмотрим процесс подключение, взяв простейшую схему. Откровенно говоря это следовало бы сделать в первых двух частях, but meh.

Настройка Citrix Access Gateway на NetScaler VPX

Mon, 17 Dec 2012 12:46:20 +0000

Подразумевается, что вся первоначальная настройка NetScaler вами уже была произведена. Если нет, то смело обращайтесь к предыдущей статье или официальной документации. Настройку же Citrix Access Gateway (CAG) можно условно разделить на два этапа – настройка WebInterface (WI) / Storefront aka CloudGateway (в этой статье рассматриваться не будет) и настройка непосредственно виртуального сервера на NetScaler VPX с функцией CAG. Мы создадим на WI две точки входа для клиентов, использующих Citrix Receiver и для клиентов, которые получают доступ к опубликованным приложениям через обычный браузер, создадим CAG vserver и привяжем его к этим точкам входа, настроив LDAP аутентификацию. На сладкое у нас смена темы welcome на более няшную.

Netscaler VPX – общие сведения, первоначальная настройка

Mon, 17 Dec 2012 10:30:59 +0000

citrix logoNetscaler VPX Link to heading

Сегодня у нас в планах приседания с замечательным комбайном, который включает в себя целый ряд вкусных и полезных функций. Citrix позиционирует Netscaler как Application Delivery Controller (ADC), способный выполнять такие функции как балансировка нагрузки, SSL offloading, CloudBridge (l2 DC bridging), DNS Server, HTTP compression, Load Balancing, Web Application Firewall и многие другие. В этой статье мы разберемся с типами IP адресов, понятием виртуального сервера, режимами пересылки пакетов и займемся первоначальной настройкой.

TCAM в коммутаторах Cisco

Tue, 04 Dec 2012 09:33:39 +0000

Дорогие читатели. В процессе подготовки к CCNP Switch я написал несколько статей, которые наиболее полно объясняют место и функции TCAM. Не смотря на то, что статьи весьма развесистые, я рекомендую вам ознакомится именно с ними: 1 2 3

Коммутаторы Cisco Catalyst используют внутреннюю архитектуру, построенную на Ternary Content Addressable Memory (тут и далее TCAM), которая применяется для коммутации, маршрутизации, фильтрации и тп:

Cisco Expo 2012

Sat, 24 Nov 2012 11:55:51 +0000

Вот и подошла к концу Cisco Expo 2012 – вторая по счету подобная конференция, на которой я принимал участие. Признаюсь, приятно было отметить несколько возросшей уровень мероприятия. Так, к примеру, в прошлом году я вбросил идею о мобильных приложениях на манер таковых для Ciso Live US, VMWorld и вот у Cisco Expo появилось свое. Фидбэки с помощью софтины отправлялись мною направо-налево, а встроенные планировщик и календарь зело доставили. Единственное, что хотелось бы улучшить – так это возможность привязывать календарь к системному времени. Скроллить каждый раз расписание с 9-и утра, чтобы посмотреть сессии после 16 было не слишком удобно.

Exchange 2010 – часть 4

Tue, 13 Nov 2012 16:06:04 +0000

#### Продолжаем выпускать Exchange в интернеты

И вот, начиненные всеми этими славными знаниями, мы можем наконец заняться маршрутизацией сообщений.

Microsoft решили, что проводить антивирусную и антиспам проверку следует в DMZ, ну а сервисы, которые располагаются в DMZ не должны быть членами домена. So, here comes the Exchange Transport Server, использующий AD LDS (AD Lightweight Directory Services) как место хранения настроек.

На HTS существует сервис, носящий название Microsoft Exchange EdgeSync, который способен передавать на ETS конфигурации, информацию о пользователях и различные политики. EdgeSync реплицирует следующую информацию из AD в AD LDS на ETS:

Exchange 2010 – часть 3

Tue, 06 Nov 2012 09:42:06 +0000

##### Выпускаем Microsoft Exchange 2010 в Интернеты

Не смотря на то, что функции по приему и отправки сообщений может выполнять Hub Transport Server (HTS) ведущие собаководы рекомендует для это специально отведенную роль – Edge Transport Server (ETS). Но перед тем, как бросаться грудью на амбразуру мы изучим информацию, которую надо знать прежде чем щелкать мышкой направо-налево.

В процессе подготовке к введению в эксплуатацию я подготовил себе небольшой implementation plan, первой стадией которого было выяснение следующих вещей:

Exchange 2010 – часть 2

Mon, 05 Nov 2012 19:16:42 +0000

Вы не поверите, но такой установке по-умолчанию, без какой-либо дальнейшей конфигурации достаточно, чтобы почта внутри организации начала ходить. Включив почтовый ящик пользователя и открыв Outlook последний сам получит все необходимые настройки с CAS.

Единственное что стоит отметить перед следующим разделом, в котором мы позволим Exchange получать и отправлять почту в интернеты, так это определиться с некоторыми терминами, которые могут встретиться вам в процессе активации пользовательских почтовых ящиков и дальнейшей настройке Microsoft Exchange 2010.

Exchange 2010 – часть 1

Wed, 31 Oct 2012 13:05:43 +0000

####

Microsoft Exchange Server 2010 Link to heading

Увы, жизнь вносит свои коррективы в желание как можно быстрее закрыть вопросы с получением CCNP R&S и вот, вместо родной и уютной ч/б консоли я, в очередной раз, погребен под мануалами, wiki, technet’ом в благом порыве предоставить пользователям теплый и уютный Exchange.

В первой части нам суждено будет рассмотреть роли, познакомиться с путем следования сообщений, подготовить тестовую среду к установке Microsoft Exchange Server 2010, а так же рассмотреть сервисы, предоставляемые Hub Transport Server и Client Access Server.

Регистрируем A и PTR записи linux сервера на Windows DNS

Wed, 17 Oct 2012 09:26:48 +0000

Включим опцию и сменим имя хоста на необходимое:


root@localhost:~# cat /etc/dhcp/dhclient.conf | grep 'send host-name'
send host-name "server.fqdn.domain.ltd";

Открыв оснастку DHCP и выбрав свойства области включим опцию “Динамически обновлять A- и PTR- записи для DHCP клиентов не требующих обновления (например, клиенты с Windows NT 4.0)” во вкладке Служба DNS.

Extended ACL и route-filtering

Mon, 01 Oct 2012 07:31:50 +0000

На прошлом экзамене я натолкнулся на занятный вопрос. Предлагалась разрешить к редистрибуции только маршрут по умолчанию и вместо привычного prefix list в вариантах ответа были исключительно расширенные списки контроля доступа (extended ACL).

Откровенно говоря я что-то где-то на эту тему читал, но никогда внимание не акцентировал. В стрессовой ситуации экзамена было сложно отойти от логики списков контроля доступа, разрешающих путь из определенного source в указанный destination. Но тут в памяти удачно всплыл недавний топик на тему применения wildcard mask для фильтрации четных и нечетных сетей и, делать нечего, я взял в руки маркер, доску и начал выписывать нолики с единичками.

Треть пути к CCNP пройдена, 642-902 passed

Fri, 28 Sep 2012 11:37:47 +0000

Посмотрите на довольную харю слева – да, это так :) Я только что успешно прошел первый экзамен в CCNP R&S трэке – Implementing Cisco IP Routing (ROUTE) с впечатляющим для меня результатом – 976 баллов из 1000 возможных. Полтора месяца без единого выходного, тысячи страниц учебников, руководств, white paper’s, постов в блогах и вот я нервно мну в руках результаты теста – подтверждение моей профессиональной компетенции. Мою состоятельность, как специалиста в этой области.

Шлюз по умолчанию в другой подсети

Thu, 20 Sep 2012 11:09:53 +0000

В процессе очередной сессии общения с @hellt_ru по поводу одного из его проектов встал вопрос правомерности существования шлюза по умолчанию в другой подсети. Резкое и категоричное “НЕТ, ГРЕШНО” плавненько сменилось на “oh, snap”.

Изучение RFC (в частности 1122) выявило следующие забавные факты:

Хост обязан передавать пакеты напрямую если адрес назначения находится в той же подсети.
Хост обязан передавать пакеты шлюзу по умолчанию, если адрес назначения находится в иной подсети.
Но нигде не сказано, что шлюз по умолчанию должен находится в той же подсети. Достаточно, чтобы эта сеть была connected :) Так и получается:


R1#ping 10.1.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:
..!!!
Success rate is 60 percent (3/5), round-trip min/avg/max = 40/45/56 ms

R1 рассылает на широковещательный адрес запрос о том, есть ли в connected сети 192.168.0.140. R2 отвечает ему – “да, это я, вот мой mac”. Больше этих ребят ничего не интересует: [][1] All hail ARP! Добавлено:

Заметки к CCNP Route: BGP часть 2

Mon, 17 Sep 2012 11:43:16 +0000

eBGP в ынтерпрайзах Link to heading

Давайте сфокусируемся на том, как формируется соседство и как происходит обмен топологической информацией которая помещается в BGP таблицу между eBGP соседями. Ну и наконец повеселим себя какой-нибудь практикой, настроив связность с двумя ISP по single multihomed сценарию. Ведь две статьи по 1300+ слов чистой теории в каждой способны превратить даже Хари Кришну в конченного падонка.

Абсолютный минимум, который должна включать в себя настройка соседей состоит из:

Заметки к CCNP Route: BGP часть 1

Sun, 16 Sep 2012 19:35:19 +0000

BGP или border gateway protocol – протокол маршутизации всея Интернетов. В CCNP трэке о BGP речь идет с точки зрения ынтерпрайза, в том числе о тех случаях, когда у вас есть свой блок PI (Provider Independent) адресов и вам нужно анонсировать его через нескольких провайдеров интернета (ISP).

Сложно найти более-менее крупный бизнес, которых обходится в своей внутренней сети без протоколов динамический маршрутизации – IGP (interior gateway protocol). BGP был разработан IBM и Cisco и продолжал свою эволюцию (на данный момент версия 4), как EGP – exterior gateway protocol. А значит цели, которые он преследует будут в какой-то степени отличаться от используемых в IGP.

Заметки к CCNP Route: Path Control

Sat, 15 Sep 2012 15:24:40 +0000

Термин path control имеет множество значений. Мы производили манипуляции над путем следования пакетов с помощью фильтрации маршрутов, тэгирования и других технологий. Однако, есть еще способы, которые стоят отдельно от манипулирования протоколами динамической маршрутизации и таблицами маршрутизации – Policy-Based Routing (PBR) и IP SLA (IP Service-Level Agreement). Первая технология оказывает влияние на data plane, изменяет логику принятия решения о маршрутизации пакетов. Вторая – IP SLA – по сути является механизмом мониторинга состояния сети и позволяет принимать решения об использовании того или иного маршрута на основании неких факторов.

ACL для четных и нечетных сетей или хостов

Wed, 12 Sep 2012 14:15:42 +0000

Занятный способ выявлять четные и нечетные сети подсказал Василий в комментариях к этой статье.

Допустим нам надо отфильтровать четные и нечетные сети в диапазоне 192.168.0.0/24 – 192.168.255.0/24. До сегодняшнего утра у меня бы руки сами потянулись к перлу или bash, чтобы сгенерировать ACL, но, как оказалось, есть способ значительно проще.

Что меняется при переходе от сети к сети? Фактически лишь – 3ий откет:

192.168.[0000000].0 192.168.[00000001].0 192.168.[0000001].0 192.168.[00000011].0 192.168.[0000010].0 192.168.[00000101].0

Заметки к CCNP Route: редистрибуция IGP часть 2

Tue, 11 Sep 2012 12:16:42 +0000

Пришло время поговорит на тему редистрибуции маршрутной информации, а именно о тех случаях, когда требуется отказоустойчивость и в схему добавляются дополнительные маршрутизаторы, чтобы исключить единую точку отказа. Проблема заключается в том, что при определенных условиях маршруты, редистрибуции которых уже произведена могут “перетекать” обратно в оригинальный протокол маршрутизации. Cisco крайне отрицательно относится и всячески не рекомендует двухстороннюю редистрибуцию. В этом случае взамен следует создавать статические маршруты или маршруты по умолчанию.

Предотвращение петель с помощью увеличения метрик Link to heading

Рассмотрим следующую схему:

Заметки к CCNP Route: редистрибуция IGP часть 1

Mon, 10 Sep 2012 18:39:30 +0000

Мы уже говорили с вами по поводу базовой редистрибуции OSPF и EIGRP друг в друга, но в обоих случаях весь рассказ заключался в подаче одной команды без объяснений. Настало время дать стране угля и поговорить про редистрибуцию подробнее, а так же о проблемах, которые могут возникать в процессе редистрибуции.

Редистрибуция в EIGRP Link to heading

В общем виде команда выглядит так:

redistribute protocol [ process-id | as-number ] [ metric bw delay reliability load mtu ] [ match ( internal | nssa-external | external 1 | external 2 ) ] [ tag value ] [ route-map name]

Заметки к CCNP Route: OSPF часть 5

Sun, 09 Sep 2012 14:09:03 +0000

Заключительная часть битвы с замечательным протоколом OSPF. Нам осталось поговорить про нюансы работы OSPF в NMBA сетях, а так же о замечательной технологии virtual links, как о одном из способов связать не backbone область с area 0 через другую не backbone область (другим способом могут стать gre-туннели, но на экзамене вас про это спрашивать вряд ли станут). Ну и конечно в этот раз будет много, очень много практики.

OSPF в NBMA сетях Link to heading

Не будем сразу бросаться в омут NBMA с головой и постараемся вспомнить типы сетей, в которых может работать OSPF:

Заметки к CCNP Route: OSPF часть 4

Sat, 08 Sep 2012 17:29:48 +0000

##### Фильтрация маршрутов (route filtering) в OSPF

OSPF поддерживает несколько способов фильтрации маршрутов, однако в отличии от EIGRP где суммирование маршрутов, так же как и фильтрация может осуществлятсья в любой точке сети, OSPF позволяет делать это на ABR и ASBR.

OSPF использует различную логику для маршрутизации внутри области и между областями. Если внутри области все маршрутизаторы имеют полное видение топологии области на основе LSA 1 и 2 типов, запускают алгоритм SPF и находят все возможные пути для известных подсетей, реализуя таким образом логику действия link-state протоколов маршрутизации, то в маршрутизации между областями используется логика distance-vector протоколов маршрутизации. Поясню: внутри области SPF подсчитывает лучший путь до каждого ABR. А для выбора пути до сети, которая лежит в другой области, просто берется метрика до ABR и добавляется к той, которую он анонсирует.

Заметки к CCNP Route: OSPF часть 3

Fri, 07 Sep 2012 12:49:55 +0000

Различные типы LSA в OSPF Link to heading

Как мы с вами выяснили каждый маршрутизатор в области должен иметь одинаковую LSDB, информация в которую собирается из отдельных LSA. Всего существует 11 типов LSA и их понимание поможет вам лучше разобраться в тонкостях работы различных типов областей, но об этом чуть позже.

LSA первого типа [Router] – каждый маршрутизатор создает этот тип LSA чтобы рассказать о себе всей области. В LSDB для каждой области содержится один LSA первого типа для каждого маршрутизатора, в котором указаны RID, IP адреса всех интерфейсов, а так же тупиковые (stub) сети. Не покидают область.
LSA второго типа [Network] – создаются DR на броадкастовом или NBMA сегменте и описывают сеседей, присоединенных к сегменту. Не покидают область.
LSA третьего тип [Summary, Network Summary] – создаются ABR для того, чтобы рассказать о маршрутах до соседей, полученных из LSA первого и второго типов в одной области и передать эту информацию в другую. Описывают подсети, стоимость маршрута исключая топологию области.
LSA чертвертого типа [Summary, ASBR Summary] – похожи на LSA третьего типа, используются чтобы передать маршрут до ASBR соседям из других областей.
LSA пятого типа [External, AS External] – создаются на ASBR для внешних маршрутов внедренных в OSPF.
LSA шестого типа [Multicast, Group Membership] – расширение OSPF протокола, которое не поддерживается в маршрутизаторах Cisco.
LSA седьмого типа [NSSA External] – создаются ASBR если он находится внутри NSSA области вместо LSA пятого типа.

Внимательный читатель тут же спросит, а куда делись еще 4 типа. Тип 8 – это внешние атрибуты, которые так же не поддерживаются маршрутизаторами Cisco, а 9-11 это расширения стандартного протокола. К примеру LSA 10 типа применяются в MPLS TE.

About me

Thu, 06 Sep 2012 17:00:09 +0000

Я опытный, ориентированный на результат системный инженер, ведомый жаждой знаний и ощущающий жгучую необходимость постоянно работать над собой. Не смотря на то, что фраза звучит как «молодая, динамично развивающаяся компания» это действительно так.

У меня за плечами более 6 лет продуктивной работы в должности системного, сетевого и администратора систем хранения данных. Мои знания в области дизайна и внедрения ЛВС под управлением сетевого оборудования Cisco подтверждены сертификатом Cisco Certified Network Professional (CCNP), а знания в области управления системами хранения данных NetApp FAS с ОС DataONTAP (DOT) сертификатом NetApp Certified Data Management Administrator (NCDA).

Проблемы с загрузкой Citrix Access Gateway

Thu, 06 Sep 2012 10:21:37 +0000

В один прекрасный момент сразу два виртуальных аплайинса Citrix Access Gateway VPX в failover конфигурации после потери питания отказались загружаться. Времени разбираться в чем именно дело не было, я развернул новые шлюзы и открыл тикет. Хорошо, что я не стал ждать ответа саппорта, потому что все, что я получил после недели переписки стал /dev/null.

Откровенно говоря, я забил на аплаинсы, потушил давшие сбой виртуальные машины и отправил их в архив. Ну а сегодня закончилось время действия SSL сертификатов и я про них вспомнил. Учитывая то, что подготовка к CCNP порядком надоела любая отвлеченная от нее активность воспринимается как благо.

Заметки к CCNP Route: OSPF часть 2

Wed, 05 Sep 2012 06:00:42 +0000

Продолжим упражняться с OSPF. Посмотрим на методику подсчета стоимости, а так же на способ ее изменить. Разберемся кто такие DR, BDR и почему без них никуда на общем сегменте сети, рассмотрим процесс их выборов и научимся им манипулировать. Ну и в конце, чтобы немного испачкать руки, произведем базовую настройку, изменим Hello и Dead таймеры, настроим аутентификацию аж всех двух типов.

OSPF Cost Link to heading

После того, как каждый маршрутизатор в области получил свою копию базы LSDB он запускает процесс SPF. Смысл его состоит в том, маршрутизатор, анализируя LSDB, выбирает оптимальный маршрут до каждой сети, содержащейся в ней. Cost или метрика это суммарная дистанция, которую нужно “пройти”, чтобы оказаться в необходимой сети. К примеру, на этой картинке ниже лучшая метрика от R1 до 10.1.1.0/24 будет равна 22, а до 10.1.3.0/24 – 11, до 192.18.139.0/29 – 21 и т.д.

Заметки к CCNP Route: OSPF часть 1

Tue, 04 Sep 2012 08:05:35 +0000

Откровенно говоря я не знал, стоит ли мне браться за статьи о OSPF из-за того, что тема довольно объемная, а информации в Интернетах хватает. Но когда я набросал коротенький список тезисов, начал для себя же их пояснять, то понял, что все равно к этому приду. Размявшись с EIGRP возьмемся за OSPF. Поговорим о принципах работы link state routing protocols, важности выбора правильного дизайна сети, а так же разберемся с механизмом установления соседства и его фазами.

Заметки к CCNP Route: EIGRP часть 3

Mon, 03 Sep 2012 06:30:34 +0000

Больше, больше хардкора. В заключительной части мы посмотрим как можно оптимизировать конвергенцию протокола EIGRP с помощью фильтрации маршрутов на основе таких средств, как ACL, prefix-list, route-map. Выясним кто такие stub маршрутизаторы, а так же какое влияние оказывают суммарные маршруты на query сообщений. Ну и на сладенькое выясним что за состояние “Stuck in Active” и как испортить load sharing с помощью offset lists.

Оптимизация конвергенции EIGRP Link to heading

Рассмотрим следующую топологию:

Заметки к CCNP Route: EIGRP часть 2

Sun, 02 Sep 2012 07:01:46 +0000

EIGRP в NBMA сетях, split horizon, аутентификация Link to heading

В предыдущей статье мы рассмотрели материал, который должен знать каждый уважающий себя CCNA. Откровенно говоря я не очень понимаю зачем Cisco везде тащит устаревший Frame Relay, но раз он есть в экзамене, то и разобраться с ним не помешает.

Для реализации EIGRP в NBMA сетях есть два варианта настройки:

Заметки к CCNP Route: EIGRP часть 1

Fri, 31 Aug 2012 14:47:51 +0000

No rest for the wicked. Прошел почти месяц со сдачи экзамена NCDA и вот я уже ощущаю непонятный зуд и, похоже, это не глисты. Самый простой для меня способ что-то запомнить – это написать статью, чем я, собственно, и собираюсь заняться, раскрыв темы по EIGRP, OSPF, BGP и др.

Освежим в памяти материал по EIGRP из CCNA трэка, прежде чем залезать по колено в хардкор.

vSphere 5.1 – что нового?

Tue, 28 Aug 2012 06:42:42 +0000

Вчера, помимо славных новостей об отмене лицензирования vRAM и переработанном вэб клиенте VMware порадовала нас целым скопом изменений, в том числе по сетевой части.

Отдельно хотелось бы отметить прозвучавшую ни раз и не два, в течении вчерашнего keynote на vmware world, фразу о Software Defined Data Center. Покупка Nicira позволит управлять всем ЦОД из одного места, начиная с провижининга лунов, заканчивая виртуальными ЦОДами для нужд клиентов. Ладно управлять, одновременно оно позволяет траблшутить все, включая сетевую часть, выявляя возможные проблемы на лету.

VMworld 2012

Fri, 17 Aug 2012 17:20:29 +0000

Любите ли вы виртуализацию так, как я люблю ее я?

В этом году VMware с 26 по 30 августа проводит конференцию, полную интересных докладов, щедро приправленных маркетинговым булщитом. Надеюсь помимо обзоров новых продуктов ребята расскажут нам нахрена они купили Nicira за 1,26 миллиарда и что они собираются с ней делать. А главное, что в этом ключе ждем Cisco и других производителей сетевого оборудования.

К слову, если у вас так же, как и у меня нет никакого шанса вырваться в Сан-Франциско, VMware шедро предоставит виртуальный доступ к демкам, выступлениям и описанию продуктов. Присоединится к VMware NOW можно тут.

GRE over IPSeс

Thu, 16 Aug 2012 16:04:37 +0000

Настоятельно рекомендую ознакомится с предыдущей статьей, посвященной теории.

Настройка GRE туннеля Link to heading

Нет ничего проще, чем настроить GRE туннель:


Rx(config)# interface tunnel #_number
Rx(config-if)# tunnel source [ source_router_IP_addr | source_router_interface ]
Rx(config-if)# tunnel destination [ dst_router_IP_addr | dst_router_fqdn ]
Rx(config-if)# keepalive [seconds [ retries ]]
Rx(config-if)# tunnel mode mode

tunnel interface – создает туннельный интерфейс, в процессе создания туннель автоматически переходит в состояния UP, no shutdown подавать на нем не нужно; tunnel source – указывает на адрес, который должен будет использован маршрутизатором в IP заголовке GRE пакета; tunnel destination – указывает, где GRE туннель должен быть терминирован; Обратите внимание, что source и destionation адреса – это адреса loopback или физических интерфейсов непосредственно маршрутизатора, а не адреса самого туннельного интерфейса. tunnel mode – по умолчанию GRE point-to-point. О GRE multipoint мы поговори буквально в следующий раз, когда речь пойдет про DMVPN. keepalive – по умолчанию выключен, если при включение команде не будут переданы параметры, то keepalive будет отправляться каждые 10 секунд, а после 3-х безуспешных сообщений будет принято решение о недоступности пути.

Туннели – кто они такие и с какого района?

Thu, 16 Aug 2012 15:42:09 +0000

С каждым разом статьи становятся все больше, а почерк размашистей :) В этот раз я решил разделить тему настройки GRE Туннелей, а так же их защиту с помощью IPSec на две части – теоретическую и практическую. Если вы пришли сюда из поисковых систем и сразу собираетесь бросаться в омут с головой, то можете непосредственно перейти к настройке GRE over IPSec с применением IPSec профилей и crypto map.

Туннели Link to heading

В интерпретации Cisco туннель – это логический интерфейс, роль которого состоит в том, чтобы инкапсулирование пакеты одного протокола (passenger protocol), с помощью второго (carrier protocol) и передать его по третьему (transport protocol). В роли протокола, который занимается инкапсуляцией могут выступать такие протоколы как GRE, IPIP. GRE (Generic Routing Encapsulation) – протокол, который в отличии от IPIP, позволяет инкапсулировать в себя другие протоколы, такие как AppleTalk, IP, IPX и другие. Лишь бы ethertype был правильным.

Построение отказоустойчивых IPSec VPN

Tue, 14 Aug 2012 09:10:44 +0000

Вот я и подошел к концу освещения темы построение виртуальных частных сетей на чистом IPSec. Последняя вещь, о которой я хотел бы поговорить – это обеспечение отказоустойчивости, а именно HSRP с RRI (chassis failover) и IPSec Stateful failover (transparent failover).

Предполагается что вы знакомы с семейством протоколов резервирования первого перехода (FHRP) и слышали о механизмах их работы.

Хотелось бы так же отметить, что для построения отказоустойчивых VPN Cisco рекомендует смотреть на другие технологии, такие как DMVPN и GETVPN.

3 легких шага на пути от gmail к outlook.com

Fri, 10 Aug 2012 10:20:31 +0000

Gmail стал для меня глотком свежего воздуха в далеком 2006 году. Не скажу, что я очень активно вел переписку в то время, но того ужаса, который мне предлагали mail.ru и прочие, уже явно не хватало.

До того, как я зашел на outlook.com меня и не посещала мысль о смене web gui к моей почте на что-то отличное от gmail. Тем более я был полон скепсиса на тему Microsoft и пользовательских интерфейсов. Gmail был на редкость уродливый ребенок, но до ужаса родной и понятный. Зачем же я буду менять то, к чему я вроде как привык и что удовлетворяет моим потребностям? Ноги большинства проблем gmail в частности и продуктов google в целом растут из того, что они делается в первую очередь программистами. В 2012 году я открыл для себя фичу, которая позволяет добавить область просмотра. Она, к слову, до сих пор отлеживается на самом дне Google Labs. Первоначальный функционал. Must have для почтового клиента. Лежит в лаборатории, которую еще найти надо глубоко в настройках. В 2012 году. Сраный позор.

NCDA NS0-154 passed

Mon, 06 Aug 2012 13:11:38 +0000

Сегодня успешно сдал экзамен на NCDA. 70 вопросов были уничтожены за жалкие 45 минут.

Уровень теста разительно отличается от подобного у Cisco (CCNA) – куча вопросов типа: “что из NTP, iSCSI, HTTPS, DNS является блочным протоколом”. Отсутствуют какие-либо симуляторы реального железа, хотя, учитывая наличие у NetApp виртуальных машин для знакомства с Data ONTAP, это весьма странно. Так же присутствует большое количество вопросов, состоящих из 4х вариантов ответа, с просьбой выбрать 3 правильных. При чем неправильный вариант настолько очевиден, что это режет глаз. Можно понятия не иметь о правильных вариантах ответа, исключив лишь вызывающе неверный.

Подготовка к NCDA (NS0-154) – заметки

Sat, 04 Aug 2012 18:19:18 +0000

Решил перед экзаменом разложить по полочкам темы, с которыми у меня наблюдаются пробелы, а именно OSSV и SnapMirror.

Open System SnapVault

Open System SnapVault (OSSV) – решение позволяющее производить резервное копирование и восстановление информации, которая находится на отличных от NetApp СХД или, даже, других платформах (windows, linux, vmware хосты). Смысл технологии состоит в том, что агент, который расположен на OSSV хосте, создает блочные инкрементальные резервные копии и отправляет их на СХД NetApp. Далее перемещенные OSSV резервные копии трансформируются в обычные снимки для хранения, сохраняя при этом все преимущества последних.

Site-to-Site IPSec VPN между Cisco и Mikrotik

Thu, 02 Aug 2012 18:21:42 +0000

Не смотря на то, что статей в этих ваших интернетах море я все равно внесу немного энтропии и напишу еще одну.

Я всегда с осторожностью отношусь к хвалебным отзывам и хайпу на форумах, особенно когда дело касается железки стоимостью 60$. Как оказалось, делаю я это совсем не зря. Mikrotik не подвел и порадовал таким набором фееричных багов, что пару раз белому мерзавцу грозила неминуемая смерть.

Стабильной работы удалось добиться с следующими параметрами:

iOS, gmail и ошибка “неверный пароль”

Wed, 01 Aug 2012 12:18:40 +0000

Сегодня случилось странное, а именно: gmail account, настроенный как exchange на iPhone, упорно рапортовал о том, что пароль не подходит, однако почту без проблем получал iPad с идентичными настройками. Беглый поиск проблеме в google подсказал что я не одинок и у gmail действительно время от времени срывает крышу.

Чтобы исправить печальную ситуацию достаточно пройти по ссылке https://accounts.google.com/DisplayUnlockCaptcha на устройстве, на котором возникают проблемы, вбить имя пользователя, пароль и пару раз нажать “далее”.

Cisco ISAKMP профили: S2S и Remote Access VPN на одном маршрутизаторе

Wed, 01 Aug 2012 10:42:31 +0000

Настало время поговорить о материях, наиболее близких к реальной жизни, а именно о моменте когда нам надо обеспечить работу одновременно S2S и Remote Access VPN’ов на одной маршрутизаторе. В этой статье речь пойдет о ISAKMP профилях.

Представим: у вас есть удаленная площадка за NAT и мобильные пользователи, которым надо предоставить доступ в ЛВС. Из-за того, что маршрутизатор в центральном офисе понятия не имеет какой адрес получит сосед, находящийся за NAT, нам придется использовать wild carded pre-shared key (0.0.0.0 0.0.0.0 no-xauth). Но как только мы подадим эту команду, так сразу наши remote access клиенты и превратятся в тыкву. Одним из вариантов решения проблемы могло бы стать использование цифровых сертификатов, однако согласитесь, разворачивать PKI ради двух-трех площадок есть существенный overkill.

Cisco Remote Access IPsec VPN (EzVPN)

Tue, 31 Jul 2012 08:39:53 +0000

Меня всегда интересовало, что же такого легкого в EzVPN, что позволяет Cisco называть его так :) Настройка сервера может быть весьма и весьма развесистой, однако кардинальных отличий от Site-to-Site не так уж и много и заключаются они в так называемой ISAKMP/IKE Phase 1.5, а конкретно в механизме XAUTH.

Cisco Easy VPN оперирует двумя понятиями – Cisco Easy VPN сервер и Cisco Easy VPN Remote (удаленный агент). В качестве агента могут выступать некоторые маршрутизаторы, ASA МСЭ, компьютеры с установленным Cisco VPN Client. OS X и iPhone/iPad имеют встроенные IPSec клиенты поддерживающие XAUTH (racoon).

Cisco Site-to-Site IPsec VPNs

Mon, 23 Jul 2012 10:21:38 +0000

Наконец-то долгожданная практика ,)

[][1]

В этой статье мы рассмотрим два простых случая построения site-to-site VPN на оборудовании Cisco. В первом случае оба устройства имеют белые адреса (static crypto map), а во втором один из маршрутизаторов оказывается за NAT (dynamic crypto map). Ну и в качестве бонуса рассмотрим ситуацию совместного сожительства и static и dynamic crypto map на одном маршрутизаторе.

Те, кому лень читать 1000+ слов могут перейти сразу к конфигурациям, располагающимся в самом конце статьи.

IPsec VPNs – теория

Fri, 20 Jul 2012 14:36:18 +0000

[][1]IPsec – это на самом деле целый фреймворк, который предоставляет следующие сервисы:

Конфиденциальность данных посредством их шифрования алгоритмами DES, 3DES и AES;
Целостность данных и их аутентификация посредством HMAC функций MD5 и SHA-1;
Защита от атак типа MitM с помощью зашифрованных порядковых номеров;
Аутентификация устройств и пользователей. Фреймворк IPsec описан в нескольких RFC. У него есть две группы стандартов:
ISAKMP/IKE/Oakley/SKEME используются для создания безопасных соединений, по которым проводится изначальное согласование параметров шифрования, сигнатур, ключей;
AH и ESP используются непосредственно в таких механизмах защиты данных, как обеспечение конфиденциальности (только ESP), целостность данных, подтверждение того, что данные пришли из валидного источника и защиту от mitm атак. IPsec VPN: Конечные устройства или пользователи проходят пять начальных шагов для установки соединения:

Должно быть что-то, что инициирует процесс установки соединения. К примеру трафик до назначения, которое описано в ACL. Естественно, соединение может быть установлено чуткими нежными руками сетевых инженеров.
IPsec в процессе ISAKMP/IKE Phase 1 установит безопасное управляющее соединение, которое будет использоваться для последующего обмена информацией, необходимой для установки защищенного канала передачи данных. Соединения первой фазы – служебные соединения. По этим каналам не передаются какие-либо пользовательские данные или данные приложений.
Через служебный канал конечные устройства согласуют параметры, необходимые для созданиях защищенных каналов передачи данных и устанавливают их.
Как только защищенный канал передачи данных создан, устройства могут начинать передачу информации. Если используются HMAC функции, источник создает fingerprint, а получатель его проверяет. Если нужно шифрование – источник, соответственно, зашифровывает информацию, получатель ее расшифровывает.
И каналы передачи данных, и управляющие каналы имеют время жизни, по истечении которого соединение будет разорвано. Если вам все еще необходимо передавать информацию, то они перестроятся автоматически. Security Assotiation (SA) – группировка компонентов безопасности (алгоритмы шифрования, HMAC функции, время жизни соединения, DH группы, AH/ESP протоколы, различные идентификаторы, такие как SPI), которые необходимы для установки надежного канала передачи данных. Процесс установки соединений для l2l:
Происходит инициация соединения;
Начало ISAKMP/IKE Phase 1 – соседи договариваются о том, как управляющее соединение будет защищено;
С использованием DH алгоритма соседи обмениваться ключами, которые необходимы для алгоритмов шифрования и работы HMAC функций;
Происходит аутентификация устройств;
Phase 1 на этом заканчивается, начинается ISAKMP/IKE Phase 2. Соседи согласовывают параметры и ключи необходимые для защиты канала передачи данных (либо через управляющее соединение, либо с использованием алгоритма DH снова);
Phase 2 заканчивается и устанавливается защищенный канал передачи данных;
По истечению времени жизни, канал передачи данных должен быть перестроен. С Remote Access VPN все несколько сложнее, так как дополнительно вам может понадобится аутентификация пользователей или необходимость применить какие-либо политики. Для Remote Access VPN это будет выглядеть так:
Происходит инициация соединения;
Начало ISAKMP/IKE Phase 1 – соседи договариваются о том как управляющее соединение будет защищено;
С использованием DH алгоритма соседи обмениваться ключами, которые необходимы для алгоритмов шифрования и работы HMAC функций;
Происходит аутентификация устройств;
Опционально: происходит аутентификация пользователя (стандарт XAUTH).
На это шаге проходит применение политик. У Cisco это называется IKE Mode Config или IKE Client Config. Процесс изменяется от производителя к производителю, но смысл остается примерно один: клиент получает внутренний IP, имя домена, DNS, WINS, политики split tunnel, политики МСЭ и другие.
Опционально: в Cisco Remote Access VPNs происходит Reverse Route Injection (смысл в том, что клиент рассказывает о своих маршрутах VPN терминатору).
Phase 1 на этом заканчивается, начинается ISAKMP/IKE Phase 2. Соседи согласовывают параметры и ключи необходимые для защиты канала передачи данных (либо через управляющее соединение, либо с использованием алгоритма DH снова);
Phase 2 заканчивается и устанавливается защищенный канал передачи данных;
По истечении времени жизни канал передачи данных должен быть перестроен. Теперь поговорим подробнее про фазы 1 и 2.

ISAKMP/IKE Phase 1 Link to heading

Как уже было сказано выше, в процессе первой фазы устанавливается управляющее соединение. Используется 500 udp порт (4500 в случае NAT-T). Вне зависимости от того, является ли VPN l2l или remote access во время первой фазы происходит следующее:

VPN: ключи, шифрование, hmac, key exchange

Thu, 19 Jul 2012 06:57:13 +0000

До того как мы приступим непосредственно к внедрению IPsec VPN, поговорим о технологиях, на которые он будет опираться, предоставляя защиту трафику: ключи, шифрование, аутентификация пакетов, обмен ключами, методы аутентификации пользователей и устройств.

Ключи Link to heading

Ключи используются в таких критически важных функциях VPN как: шифрование, проверка целостности пакета, аутентификация.

Ключи бывают двух видов – симметричные и асимметричные.

Симметричный ключ, это единый ключ, который используется для защиты информации. Алгоритм шифрования использует его и для шифрования, и для дешифрования, что делает подобные алгоритмы быстрыми, но менее криптостойкими. К таким алгоритмам относятся DES, 3DES, AES, RC4 и другие.

Автоматическое подключение к сетевым папкам в MacOS X

Wed, 18 Jul 2012 16:27:56 +0000

Функционал autofs описывается тут – http://images.apple.com/business/docs/Autofs.pdf

Допустим перед нами стоит задача не просто подключать сетевые шары в Mac OS (что легко реализуется через объекты входа), но и автоматически подключаться к ним даже после просыпания. Открываем терминал и делаем следующее:

sudo su echo ‘/Volumes/Winshare -fstype=smbfs ://username:password@hostname/sharename’ > /etc/auto_mnt echo ‘/- auto_mnt’ » /etc/auto_master После перезагрузки sharename появится в списке смонтированных томов finder.

VPN intro

Mon, 16 Jul 2012 20:20:09 +0000

[][1]

Virtual Private Network – кто все эти люди? Link to heading

Изначально виртуальный частные сети (VPN) были разработаны для того, чтобы смягчить или полностью исключить такие проблемы, как передача данных прямым текстом по таким протоколам как telnet, ftp, pop, smtp. Заодно было бы неплохо решить проблемы прослушивания трафика, выдачи злодеем себя за легитимного пользователя и атаки типа MitM – man in the middle (с помощью аутентификации, проверки целостности пакетов и шифрования). disclaimer: цель этой и следующих статей не является пересказ похожей информации из бесчисленных источников, а мое желание уложить все в голове по причине того, что в security в целом и в VPN в частности я, что называется, “плаваю”.

Снимки (snapshot) в NetApp DataONTAP

Fri, 13 Jul 2012 11:21:17 +0000

[][1]

Snapshots и все-все-все. Link to heading

Что есть снимки(snapshots)? Link to heading

Это моментальный, read-only снимок тома или aggregate.
Сам по себе снимок не содержит никаких данных, помимо данных о состоянии файловой системы в конкретный момент времени.
Снимки лежат в основе технологий SnapDrive, SnapRestore, FlexClone, SnapManager, SnapMirror, SnapVault
Цель снимков – моментальные резервные копии без проседания в производительности СХД и быстрое восстановление.

Как они работают? Link to heading

Настройка NetApp FAS – часть 5

Thu, 28 Jun 2012 08:02:30 +0000

Link to heading

Настройка файлера NetApp (на примере NetApp FAS2040) – часть пятая заключительная (снимки, восстановление lun как файла, клонирование lun, мониторинг файлера, оценка производительности, полезные ссылки). Link to heading

Часть первая »> Часть вторая »> Часть третья »> Часть четвертая »>

Настройка NetApp FAS – Часть 4

Sun, 24 Jun 2012 18:53:01 +0000

Link to heading

Настройка файлера NetApp (на примере NetApp FAS2040) – часть четвертая (iSCSI, настройка iSCSI, безопасность iSCSI, iSNS). Link to heading

Часть первая »> Часть вторая »> Часть третья »> Часть пятая »>

iSCSI

iSCSI (Internet Small Computer System Interface) – IP протокол для подключения систем хранения данных. Суть его в том, что он инкапсулирует SCSI-команды в IP пакеты и переносит их по ethernet сети. iSCSI SAN по сравнению с FC SAN стоит много меньше, позволяет использовать существующую IP инфраструктуру и легче в настройке и траблшуте.

Настройка NetApp FAS – Часть 3

Fri, 22 Jun 2012 17:46:24 +0000

Часть третья настройки NetApp FAS (disk ownership, raid group, aggregate, volume, qtree, lun). Link to heading

Часть первая »> Часть вторая »> Часть четвертая »> Часть пятая »>

Третья часть, в большинстве своем, будет теорией, немного разбавленной случайными командами.

В DataONTAP существует несколько уровней абстракции – диски, дисковые группы (raid groups), aggregate, flex volume, qtree, lun) и выглядит это как-то так:

Настройка NetApp FAS – Часть 2

Thu, 21 Jun 2012 11:24:56 +0000

Часть вторая настройки NetApp FAS (Multimode VIF и его виды, балансировка нагрузки, интерфейсы-партнер в кластере, псевдонимы aka IP Aliasing, flowcontrol и MTU, настройка Static и Dynamic VIF с коммутатором Cisco Catalyst). Link to heading

Часть первая »> Часть третья »> Часть четвертая »> Часть пятая »>

Настройка NetApp FAS – Часть 1

Wed, 20 Jun 2012 14:29:43 +0000

Тут и далее будет серия статей по базовой настройке файлера NetApp FAS2040.

Часть вторая »> Часть третья »> Часть четвертая »> Часть пятая »>

Часть первая (Описание контроллера FAS2040, возврат к заводским настройкам, базовая настройка файлера, настройка BMC, обновление Data ONTAP, NTP сервера). Link to heading

Описание интерфейсов контроллера FAS2040.

Microsoft Surface – таблетка моей мечты

Tue, 19 Jun 2012 05:01:45 +0000

С месяца три назад я начинал писать статью, в которой разложил по полочкам потребности современной компании в удаленных мобильных рабочих местах, концепции BYOD, а так же прямой заинтересованности работников в таблетках, смартфонах и инфраструктуре для них. Все это имело место быть за пару дней до анонса iPad 3 и было наполнено розовыми соплями чуть менее чем полностью. Хотелось верить, что уж к третьей итерации iPad Apple обратит внимание на корпоративный сегмент. Статье, увы, из-за врожденной лени свет увидеть было не дано ни тогда, ни после двукратного редактирования (до и после WWDC’12).

Citrix XenApp 6.5: ускоряем загрузку приложений с prelaunch

Thu, 14 Jun 2012 14:32:16 +0000

[][1]Session lingering, базару нет, есть хорошо, но запуск отдельных buisness critical приложений можно дополнительно ускорить с помощью Application Prelaunch.

Для начала убедимся что у нас:

установлен On-line Plug-in версии 13.x и выше.
ветка реестра HCLM\SOFTWARE\Citrix\ICA Client\Prelaunch выглядит следуюищм образом – [][2] На сервере заходим в свойства фермы и создаем application prelaunch: [][3]

На клиенте подключаемся снова:

Mac Citrix Reciever и SSL Error 61

Tue, 12 Jun 2012 08:04:34 +0000

Судя по форумам вот уже год как Citrix Reciever для Mac приследуют постоянные проблемы. Одна из них выливается в том, что при попытке запуска приложения из браузера пользователю, не смотря на то, что браузер сертификатам доверяет, выдается ошибка о том, что вы, мол, выбрали не доверять этому удостоверяющему центу. От чего пользователь ессесно впадает в депрессию.

Лечится это следующим образом: то место где вы проходите аутентификацию открывается в браузере (Web Interface или Access Gateway), корневой и промежуточный сертификаты перетаскиваются на рабочий стол, а затем устанавливаются в систему как доверенные. После этой процедуры Citrix Reciever становится более покладистым и больше шалить не изволит.

Две недели в славном УЦ “Эврика”

Sat, 09 Jun 2012 19:35:29 +0000

Сразу за решением освоить какое-либо новое направление в IT зачастую остро встает вопрос обучения, если вы, конечно, не собираетесь всю жизнь “админить” файловую помойку и AD на 100 пользователей, меняя картриджи в перерывах.

Собственно тут два пути – книги, вперемешку с видео семинарами, уроками и эмуляторами или курсы по нужной вам теме. Именно на последнем и хочется остановится, смачно приправив эту тему соусом моих впечатлений о курсах прослушанных в УЦ Эврика в рамках подготовки к CCNP R&S.

Замена диска в Linux Software Raid

Mon, 28 May 2012 18:15:09 +0000

Жил-был диск, который исправно трудился в Linux software raid, но, как и все хорошее в этой жизни, он внезапно кончился. Пусть его звали /dev/sda.

Для начала удалим мертвеца из md0 и md1:

mdadm /dev/md1 -r /dev/sda```

Выключаем сервер, меняем диск на новый, загружаемся с второго (у вас же все впрорядке с grub и mbr? kekeke). 




Убеждаемся в том, что новый диск девственно чист (ату, его fdisk, ату).

Копируем схему разделов с старого диска: 
```sfdisk -d /dev/sdb > part 
sfdisk /dev/sda < part```

И собираем рейд в зад: 
```mdadm /dev/md0 -a /dev/sda1 
mdadm /dev/md1 -a /dev/sda2```

Медитируем, следя за процессом: 
```localhost:~# cat /proc/mdstat 
Personalities : [raid1] 
md2 : active raid1 sdc[0] sdd[1] 
1465138496 blocks [2/2] [UU]

md1 : active raid1 sda2[2] sdb2[1] 
488255424 blocks [2/1] [_U] 
[=================>&#8230;] recovery = 86.9% (424484736/488255424) finish=22.9min speed=46354K/sec

md0 : active raid1 sda1[0] sdb1[1] 
128384 blocks [2/2] [UU]

Не лишним будет записать mbr на sda:
dd if=/dev/sdb of=/dev/sda bs=512 count=1
и записать grub на каждый диск:

Пара слов о Windows 8 Server Beta

Sat, 26 May 2012 19:25:34 +0000

[][1]Первой мыслью, мелькнувшей в моей голове после того, как я прочитал заголовки о “metro-fied Windows 8 Server beta” стала – “я бы на это посмотрел”. Стоит отметить, что я являюсь большим поклонником Metro, который, как мне кажется, является долгожданным GUI-revamp’ом, унификацией пользовательского интерфейса между смартфоном – планшетом – десктопом и символом нового подхода к организации работы. Microsoft, к слову, не одна пришла к этой замечательной идеи. Apple, в своем следующем релизе операционной системе принесет еще больше дополнений из мира мобильной iOS в взрослую, состоявшуюся систему для рабочих станций и это не может не радовать. Пользователь от этого только выигрывает, когда переходя от устройства к устройству оказывается в привычной среде. Приправьте это соусом облачной синхронизации всего и вся – ну разве не конфетка получается? Ну и собственно мимолетный взгляд на Windows 8 Server Beta. Новый центр управления буквально пропитан духом Metro, однако не обходится без занятных штук – то там, то тут можно встретить архаичные иконки из Windows 2000. Возможно всему виной статус Beta. По сути своей он не отличается от такового в 2008R2, однако благодаря переработанному интерфейсу вмещает больше информации удобно разбитой на тайлы. [][2] Количество подсказок рядом с разнообразными пунктами меню откровенно говоря поражает – на каждом углу ссылка “more about this feature” ведущая на MSDN. RTFM теперь не отходя от кассы :) Task Manager позволяют получать оперативную информацию о задачах, требующих вашего внимания. [][3] Оснастки (к примеру установка AD DS) позволяют сохранять конфигурацию, чтобы затем не повторять однотипный процесс на нескольких серверах. [][4] Успев “поковырять” немного функциональность AD могу сказать, что там появилась пара приятных полезных изменений. Теперь можно обновлять групповые политики удаленных компьютеров прямо из оснастки “Управление групповой политикой”, [][5] а эмулятор результирующей политики стал значительно развесистей и дружелюбней для выявления неполадок. К примеру сразу дается информация о возникших проблемах, путях решения и прохождения всех этапов применения групповых политик показано в подробном логе. Ну и возможность создания новых OU прямо из оснастки избавит от лишнего Alt+Tab. [][6][][7] Ну и на сладкое занимающих многих вопрос по поводу Start Menu (меню пуск) в Windows 8 Consumer Preview и Windows 8 Server beta. В данный момент его нет и, судя по заявлениям MS, не предвидится. Точнее оно есть, но не в том виде, в котором большиноство пользователей привыкли его видеть – простынка с разноцветными аскетичными тайлами и есть новое Start Menu. Об этом я узнал, найдя в административных шаблонах групповых политик пункт Do not show start menu when user log in, доступный только для Windows 8 Server beta и требующий Desktop Expirience Pack. Каково же было мое удивление, когда отключив политику и установив этот пакет я получил на старте ровно ту же простынку, которую привыкли видеть пользователи Windows 8 Consumer Preview. [][8] На сегодня, пожалуй, все.

Настраиваем trunk между коммутаторами Cisco Catalyst и 3Com

Tue, 22 May 2012 13:12:57 +0000

В роли Cisco будет Catalyst 4948, в роли 3Com – Switch 4210.

Просто настроить trunk было бы слишком легко, по-этому мы усложним себе задачу и сменим management vlan для 3Com. Начнем с того, что надо найти консольчик к 3Com, так как без этого ничего не получится :)

Соединяемся (19200,8,N,1,N) с 3Com и, поехали:

iOS приложения закрываются сразу после открытия

Wed, 16 May 2012 07:45:28 +0000

Имел удовольствие сегодня лицезреть занятный баг после ОТА 5.1 > 5.1.1 как на iPhone, так и на iPad. Приложения закрывались сразу после того, как нажималась иконка. Перезагрузка девайсов не спасала, однако установка любого бесплатного приложения решила проблему в обоих случаях.

Перенос Windows DHCP сервера

Sat, 12 May 2012 10:34:55 +0000

В жизни бы не подумал, что мне потребуется это знание больше одного раза, а случилось так, что за последнюю неделю потребовалось перенести аж три штуки.

И если один из трех перенесся нормально простой операцией Архивировать > Восстановить, то с двумя другими возникла следующая проблема: база восстанавливалась, но вкладка арендованные адреса (leases) была девственно пуста, более того при попытке доступа к ней в журнале событий возникала ошибка:

Possible Memory Leak. Application (“C:\Windows\system32\mmc.exe” “C:\Windows\system32\dhcpmgmt.msc” )

PSOD (Purple Screen Of Death) в ESXi на серверах HP Proliant

Mon, 07 May 2012 14:38:33 +0000

Симптомы: Низкая производительность виртуальных машин, PSOD в процессе установки ESXi.

Решение проблемы: В BIOS, в опциях по контролю питания HP Power Profile следует выставить Maximum Performance, что, собственно контроль и отключает.

via http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1018206

Запуск Консультант Плюс на сервере терминалов

Mon, 16 Apr 2012 10:23:31 +0000

По умолчанию, руководствуясь непонятной мне логикой, консультант пишет пользовательские данные и конфигурационные файлы (при запуске с ключем /group) на локальную рабочую станцию в корень диска, содержащего каталог %windir%. Сами настройки пути каталога с пользовательскими данными располагаются в реестре по адресу HKCU\Software\ConsultantPlus\ConsultantPlus\3000.

Чтобы научить Консультант Плюс хорошим манерам (читай хранить конфигурационные файлы в пользовательском каталоге) я сбыдлокодил на коленке bat файлик:

SET CAT_PATH={UNC путь к shared-каталогу с Консультантом} 
SET ConsUserDataPath=%AppData%\ConsUserData 
IF EXIST %ConsUserDataPath% (goto :run) ELSE GOTO :reg

:reg 
reg ADD HKCU\Software\ConsultantPlus\ConsultantPlus\3000 /v WrkDir /t REG_SZ /d &#8220;%ConsUserDataPath%&#8221; /f 
mkdir &#8220;%ConsUserDataPath%&#8221; 
goto :run

:run 
start /d %CAT_PATH% %CAT_PATH%\CONS.EXE

Комментарии, пожалуй, излишни.

XenApp 6.5 Mobility Pack

Fri, 13 Apr 2012 07:51:08 +0000

Citrix выпустило обновление для XenApp 6.5 (еще в декабре 2011, хо-хо-хо), которое несколько упрощает работу с приложениями с использованием мобильный устройств. В частности автоматический pop-up клавиатуры если фокус находится на поле ввода и адаптация списков под мобильные GUI. Последняя фишка работает из рук вон плохо, хотя потенциал у нее огромный при нашей специфике работы.

Сам Mobility pack можно забрать тут – http://www.citrix.com/English/ss/downloads/details.asp?downloadId=2317077&productId=186&c1=sot1349740

Рядом SDK для разработки приложений – http://www.citrix.com/English/ss/downloads/details.asp?downloadId=2317078&productId=186

Как я перестал бояться и полюбил печатать на iOS

Sun, 18 Mar 2012 08:46:18 +0000

Как вы знаете, клавиатура в iOS, как и генсек ЦК КПСС, единственная, неизменная и ее положено любить. Она далека от идеала, однако некоторые недостатки, которые ей приписывают брызжущие слюной любители андроида в холиварах пользователи альтернативной платформы достаточно легко если и не исправить, то уж точно нивелировать. И так, начнем наш чарт полезных советов.

Быстрое удаление текста. Нет, я не говорю о зажатой клавише backspace, внезапно разгоняющейся с букв до абзацов. Представим: написав предложение вы осознали факт того, что оно полный bullshit (и даже вполне может служить эталоном bullshit’а в палате мер и весов). Достаточно потрясти девайс, как вам тут же будет предложено удалить поток мыслей, излившийся на голубые экраны смартфонов или планшетов вплоть до первого знака препинания.

Быстро расшарить фото из вложения GMail в 2012 году? Не, не слышал.

Tue, 13 Mar 2012 04:50:55 +0000

Вам же приходят фото аттачи в теле писем? Очевидно, да. Бывает ли у вас необходимость поделиться пришедшей фотографией в почте с миром? Я думаю, что тоже “да”. Сколько шагов вам потребуется совершить, чтобы достичь желаемого результата, если вы пользуетесь веб мордой gMail? Давайте посчитаем:

нажать download у выбранного файла и скачать его
зайти на любимый хостинг-сервис картинок
кликнуть на upload, ткнуть в пару чекбоксов, принять политику сервиса и тд
найти скачанный с замысловатым именем файл в захламленной папке на жестком диске
загрузить файл и скопировать полученный url Что получается, аж 5 (пять), мать вашу, шагов по шарингу фотографии, которая уже лежит на серверах гугла. Да, вы удивитесь, но социальные гении гугла догадались вкрутить кнопку share напротив фото-вложений совсем недавно, но стало ли от этого всем проще? Имхо – нет. Внедрение шаринга фото через g+ и очевидный шаг – надо же как-то затаскивать людей в недо-жж и пере-твиттер – но пользоваться таким шарингом решительно неудобно. Во-первых, вам нужно выбрать адский круг, который увидит в своих апдейтах ваше расшаренное фото, во-вторых, в г+ совершенно может не быть нужных вам адресатов, в-третьих вам вообще может быть нужен url картинки для внедрения в пост, но, нет, довольствуйтесь кругами, леди и джентльмены.

Ошибка с часовым поясом iCal календаре в iCloud

Mon, 12 Mar 2012 09:02:14 +0000

Симптомы проблемы следующие: вы создаете событие через вэб интерфейс iCloud, с вашими iOS устройствами события синхронизируются нормально, однако в календаре iCloud время начала события установлено на час раньше или на час позже. При этом в свойствах события в том же вэб календаре время верное. Исправить это можно следующим образом:

Убедимся что у нас выставлен правильный часовой пояс в настройках учетной записи iCloud.

VTP и MD5 Digest Mismatch

Wed, 07 Mar 2012 09:34:43 +0000

При добавлении нового коммутатора последний упрямо не хотел подсасывать VLANы с сервера. Пароли и имя домена были одинаковы. В выхлопе команды sh vtp status на коммутаторе-vtp-сервере имела место быть запись

*** MD5 digest checksum mismatch on trunk: Gi1/20 ***

ревизия базы клиента была явно меньше – 0.

Того же рода сообщения появлялись в дебаге – debug sw-vlan vtp events (не забудьте включить terminal monitor, если подключены через telnet/ssh).

Советы с форумов, сводящиеся к переводу коммутатора в режим transparent, а затем обратно в client не помогали, однако спасло добавление на vtp сервере левого vlan, подача команды no shut на нем и дальнейшее его удаление.

Ссылка на определенный тред в gmail

Wed, 07 Mar 2012 04:43:33 +0000

Каждый день, пользуясь солидным количеством сервисов гугла, я ловлю себя на том, что занимаюсь выпиливанием костылей для, казалось бы, очевидных задач. Это в очередной раз убеждает меня в том, что в Датском королевстве все, по-прежнему, консоль-ориентированно, кого ни купи, судя по всему. Скопировать ссылку на определенный тред в gMail – очевидно популярный и полезный кейс. Как сделать красиво? Ну, например, положить на веб морду кнопку Copy email link, которая воспользуется собственным же url shortener и сделает из длиннющей ссылки красивый человеческий вид. Как сделано у гугла? Эмм, никак. Не беда, давайте просто скопируем линк и кликнем на него. Конечно, родной хром не в состоянии посмотреть в свои кишки на предмет открытой gMail вкладки и открыть тред в ней, надо пройти полный логин процесс и открыть новое окно. С одной стороны, это может показаться удобным, т.к. вам, возможно, нужно скопировать текст в редактируемое письмо, с другой может все же попробовать внедрить tabbed интерфейс, хотя бы в рамках labs?

Одна неделя с планшетом

Mon, 05 Mar 2012 07:22:26 +0000

Даже не знаю что меня мотивировало на сей эксперимент над собой любимым, но на одну неделю я выкинул ноутбук из рабочей сумки и провел ее с планшетом в обнимку, стараясь применять его с максимальной эффективностью. Работа, связанная с администрированием, на пару недель сменилась хардкорным маранием бумаги, совещаниями и прочей так мной не любимой рутиной, but it has to be done.

Следует отметить, что моя организация имеет в своем арсенале замечательное средство, расширяющее возможности мобильной работы – виртуализация приложений Citrix XenApp. Без него, пожалуй, я бы сломался еще в первый день.

Citrix XenApp 6.5 – невозможность подключения к ферме после применения групповых политик

Fri, 17 Feb 2012 06:41:49 +0000

[][1]Если в результате применения групповой политики (легко повторить баг выполнив gpupdate /force) ваши сервера Citrix XenApp становятся недоступны для пользователей и к примеру возникают ошибки вида Возникла ошибка при создании запрошенного подключения. на портале опубликованных приложений, а qfarm /load возвращает отчет о том, что сервер запрещает новые подключения

C:\Users\administrator>qfarm /load
Server Name Server Load Load Throttling Load Logon Mode
——————– ———– ——————– ——————-
CTRX0 200 0 ProhibitLogons

значит, скорее всего, вы натолкнулись на этот досадный баг. Не смотря на то, что Citrix об этом известно бог знает сколько патча, к несчастью, нет, но есть официальный workaround – установить значение ключа реестра fDenyTSConnections, расположенного по пути HKEY\_LOCAL\_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server в “0”. На сколько я знаю баг затрагивает XenApp 6.5 (некоторые жалуются и на XenApp 6), установленном на Windows Server 2008R2 с Service Pack 1.

Медленное воспроизведение видео с youtube на iPad и iPhone

Mon, 06 Feb 2012 09:05:38 +0000

Пригласили барышню в кафе, а разговор не клеится? Собрались показать смешных котиков, но котики с youtube предательски грузятся из рук вон плохо? Планы на вечер рушатся словно берлинская стена в 90ом? Уже готовы раскинуть руки в стороны и воскликнуть “Господи, помоги”? Не стоит, спасение уже тут. Если вы уверены, что ширины канала хватает для 720p (а именно такое разрешение использует youtube по умолчанию когда вещает на ваше iOS устройство), то проблема, скорее всего, в DNS. Для того, чтобы это исправить подключаемся к Wi-Fi сети, открывает настройки и идем в вкладку Wi-Fi. Заходим в настройки точки доступа и вбиваем следующие DNS серверы на выбор: Google Public DNS: 8.8.8.8 8.8.4.4 OpenDNS: 208.67.222.222 208.67.220.220 [][1] Выгружаем youtube из памяти и запускаем его снова. Если видео стали грузиться быстрее – победа. Если нет, то как вариант можно зарегистрироваться на youtube и в настройках учетной записи поставить радио точку напротив “У меня медленное интернет соединение. Не воспроизводить видео в высоком качестве”. [][2] А затем вбить данные учетной записи в встроенном youtube клиенте.

Citrix XenApp и зависшие в состоянии disconnected сессии

Fri, 03 Feb 2012 16:28:35 +0000

Долго не мог отловить досадный баг, когда клиентская сессия оставалась висеть и состоянии disconnected часами (примерно вот так), при этом приложение было в состоянии active и, соответственно, использовалась лицензия. Все было еще более печально от того, что подключающийся повторно клиент плодил новую сессию и таких сессий могло быть несметное количество.

На подобное поведение фермы XenApp люди часто жаловались на форумах citrix, на что в ответ люди с официальными баджами предлагали RTFM по настройке таймаутов сессий, а так же слепо крутить ветки реестра до полного просветления.

Проблемы с проверкой правописания в Google Chrome под MacOS X Lion

Sun, 22 Jan 2012 18:55:40 +0000

Хром в очередной раз перестал проверять орфографию? На вас нападают grammar nazi и не дают покоя? Гнев комком подкатывает к горлу и вы не знаете что делать? Есть у меня рецептик.

Первым делом идем в chrome://settings/languages и смотрим включена ли проверка вообще и если нет – ставим галочку. Затем открываем любой text-box (строка поиска ya.ru подойдем), кликаем правой кнопкой мыши, выбираем пункт меню “параметры проверки правописания” и подпункт “показать панель правописания”. Отказываемся от автоматического определение языка и выбираем Русский. Если у вас и после этого не заработала проверка орфографии в любимом Chrome (мой случай), значит вам мешает какой-то плагин. Отключайте их по одному и ищете паршивца. У меня всему виной был FlashBlock (wtf?!). Теперь вы во всеоружии и готовы противостоять жестоким и беспринципным адептам орфографического словаря.

Различные виды кэша на рейд контроллерах LSI

Thu, 19 Jan 2012 09:00:01 +0000

Существует 3 вида кэша: read, write и io.

Политика на запись (write policy):

Политика write-back: при использовании этой политики кэширования контроллер посылает сигнал о завершении записи в тот момент когда информация попадает в кэш контроллера, но еще не записана на диск. Обеспечивает более высокую прозводительность чем write-through.

Политика write-through: при использовании этой политики контроллер посылает сигнал о завершении записи только после того как информация упадет на физические носители. Обеспечивает большую безопасность.

Intel 320 160gb SSD @ MBP mid 10

Wed, 04 Jan 2012 14:22:02 +0000

Disk Test

Sequential

Uncached Write 157.16 MB/sec [4K blocks] Uncached Write 136.34 MB/sec [256K blocks] Uncached Read 25.92 MB/sec [4K blocks] Uncached Read 203.06 MB/sec [256K blocks]

Random

Uncached Write 55.90 MB/sec [4K blocks] Uncached Write 149.61 MB/sec [256K blocks] Uncached Read 10.64 MB/sec [4K blocks] Uncached Read 100.89 MB/sec [256K blocks]

Хуже, конечно, чем OCZ Vertex 3, но для ноутбука не очень критично. Для сравнения Vertex3 на Win7 дектопе, подключенный по SATA3:

Эволюция мобильных ОС моими глазами

Sun, 18 Dec 2011 17:50:28 +0000

За 10 лет через мои руки прошли многие мобильные платформы, включая маргинальные maemo и Linux на sharp zaurus. Каждая последующая была определенным шагом, открывающим новые возможности для работы и развлечений. Я с теплом и любовью вспоминаю тот момент, когда я пересел с Alcatel OT-835 на Motorola Razr Z3 – мне тогда казалось, что я попал в абсолютно чудесный, новый мир, я почувствовал себя королем вечеринки. Возможность выйти с Opera Mini в интернет и посмотреть сеансы в ближайшем кинотеатре не выходя из кафе, бесконечные прошивки, романтика терминала и все это с телефона. Razr Z3, в то время, был аки pipboy из будущего. За замену Z3 пришел Symbian на N82, а сразу, через 5 месяцев (N82 украли), Windows Mobile 6.1 на HTC Diamond. Опять прошивки, темы, поиски софта ночи на пролет, оптимизация энергопотребления и т.д. и т.п. Я первый раз окунулся во взрослую мобильную ОС с сенсорным интерфейсом, рукописным вводом, обилием ПО и впечатляющим функционалом. Ну и пусть смарт при нормальном использовании не доживал до середины дня и мог проигрывать видео на одном заряде тухлого аккумулятора не дольше 2х часов, ну и пусть за пределами GUI TouchFLO 3D (предок Sense) начинался ебаный стыд, где без стилуса было не управиться, пусть система была не стабильна, ребуталась, а ПО крашилось на ровном месте, все равно я любил этот тоненький, стильный кусок пластика, с медленно, но верно затирающимися гранями на задней крышке. Возможность получить список из 100+ закешированных rss фидов подкупала, ssh, rdp, mail клиенты добавляли гибкости в работе. До сих пор не забуду охреневшие лица начальников, когда на совещании, получив список из фамилий людей, аккаунты которым надо завести в новой CRM, я не только их завел еще до его окончания, но и в тот же момент разослал почту уведомительного характера первым жертвам автоматизации. Гендир в тот же вечер сменил Nokia 8800 Sirocco Gold на E71. Кстати, одним только CorePlayer можно было весело троллить пользователей iPhone, не упоминая, разумеется, что никто его в здравом уме на долго включать не будет, если в радиусе 5м нет розетки или сзади не болтается заплечный аккумулятор. Эйфория, в прочем, быстро закончилась. Хотелось стабильной работы системы, большего количества ПО ориентированного под пальцы, а не стилус. Еще на момент покупки HTC Diamond было понятно, что WM доживает свои последние дни и только упоротые пользователи HTC HD2 продолжали надеятся, верить и мешать салаты своей лопатой. Знакомство с android началось с благоговейного трепета при виде HTC Hero приятеля. Вот как оказывается надо делать мобильную ОС, подумал я – это же здравый гибрид возможностей WM (пиратить ПО и грабить корованы) и человеческий, ориентированный для пальцев интерфейс, а так же единый репозиторий приложений. В тот же вечер был прошит порт android на Diamond и одновременно начался мониторинг рынка на предмет смартфона моей мечты. Я не слишком долго выбирал между Motorola Milestone и N900. Еще были свежи в памяти следы царапин на экране HTC Diamond (у MM – закаленное стекло, у n900 пластик на экране), следовые количества софта под N7xx и N8xx, да и опыт общения с Z3 подкупал. Так я стал обладателем Motorola Milestone с февраля 2010. Переход с WM6.x на android был маленьким волшебством. Шикарный 3.7″ экран с 854 точками вмещал целиком сайты без масштабирования, мультитач, все дела. Виджеты позволяли контролировать каждый аспект жизни смартфона: – активированные беспроводные интерфейсы в одно касание? – check – красивая выжимка прогноза погоды – check – частота CPU, свободное озу – check – почта, список дел, календарь в шаговой доступности – check мои рабочие столы напоминали пульт управления космолета из фильмов 80ых годов. Железная клавиатура позволял отправлять не просто отписки, а полноценные письма, с вложениями, бж и ш. Сколько линий конфигов и сколько документов было создано с ее помощью уже и не вспомнишь. Меня все устраивало ровно до тех пор пока летом 2010 я не заказал iPhone 4 знакомому из Канады. Спасибо слоупочте России – смарт шел больше 40 дней и уехавший в отпуск знакомый дал добро либо сделать через 5 дней chargeback, либо помацать аппарат, если он таки доедет. 4ка доехала и перевернула мое представление о отзывчивости и скорости UI, магазине приложений, а так же об общем качестве ПО для платформы. “Но как же ты будешь жить без виджетов?”,- мысленно спрашивал я приятеля. “А нафиг они нужны”, – и тут же отвечал себе. Почтовые и рсс виджеты были совершенно не юзабельные – по заголовкам (RE: 45: Атата) был не понятен ни смысл, ни важность письма, 6 и более одновременно пришедших писем не вмещались на виджет и все равно заставляли открывать почтовый клиент. Какая разница сколько сейчас mhz и сколько ram свободно, если все и так работает? Зачем выключать Wi-Fi и GeoLocation, если они нормально уходят в sleep, как только экран гаснет? Даже веселый троллинг по поводу передачи контактов и музыки через bluetooth, который я практиковал, уже не радовал – этими функциями за всю свою жизнь я ни разу не пользовался. После этого на android я уже смотрел через призму своего кратковременного опыта от использования iPhone. Все больше бесило наплевательское отношение со стороны производителей телефонов, задержка прошивки 2.2 и маркетинговые ограничения в ней, неработающий tethering, падающие приложения, нежелание обновлять смарт до 2.3. Все усугублялось тем, что android market представлял из себя кучу дымящегося говна, на кастомных прошивках, на которые возлагалась надежда, попеременно не работало то одно, то другое. У остальных производителей смартфонов под android, в прочем, все было так же. Бизнес модель не позволяла оперативно выпускать обновления софта и поддерживать смарт в сколь-либо актуальном состоянии. Все это, а так же наконец-то сдохший Milestone, сделали меня владельцем iPhone 4S серой питерской осенью, чему я несказанно рад. Видимо до следующего прорыва в области мобильных ОС, вне зависимости кто будет его автором – Apple, Google, MS, RIM или красноглазое OpenSource сообщество.

Проблема с установкой SP1 на Windows 2008R2

Thu, 01 Dec 2011 08:49:19 +0000

После того, как я устал смотреть на нашего одмина, запускающего по 12му разу sfc /scannow после неудачной ошибки обновления до SP1 сервера пришлось взять дело в свои руки. В event viewer были следующие ошибки: Установка пакета обновления завершилась с ошибкой; код ошибки: 0x800706be.

Имя сбойного приложения: TrustedInstaller.exe, версия: 6.1.7600.16385, отметка времени: 0x4a5bc4b0
Имя сбойного модуля: ntdll.dll, версия: 6.1.7600.16695, отметка времени 0x4cc7b325
Код исключения: 0xc00000fd
Смещение ошибки: 0x0000000000054a07
Идентификатор сбойного процесса: 0xf9c
Время запуска сбойного приложения: 0x01ccaffe65793418
Путь сбойного приложения: C:\Windows\servicing\TrustedInstaller.exe
Путь сбойного модуля: C:\Windows\SYSTEM32\ntdll.dll
Код отчета: 50dd7494-1bf4-11e1-848e-000c29097f71```
```Служба Установщик модулей Windows была неожиданно завершена.
Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 120000 мсек: Перезапуск службы.```
Вспоминая проблемы с установкой SP1 для Vista в свое время, я отправился искать System Update Readiness Tool для Windows 2008 R2 и, в общем-то, [не обломался](http://www.microsoft.com/downloads/ru-ru/details.aspx?familyid=c4b0f52c-d0e4-4c18-aa4b-93a477456336&displaylang=ru "System Update Readiness Tool for Windows 2008R2").
Readiness tool успешно отработал, но в отличии от Vista Service Pack ставиться все равно не хотел. CheckSUR.log можно найти найти в каталоге
```C:\Windows\Logs\CBS```
и выяснить кто всему виной. В моем случае это было

Unavailable repair files: servicing\packages\Package_for_KB2586448_RTM~~31bf3856ad364e35~~amd64~~6.1.1.2.mum servicing\packages\Package_for_KB2586448_RTM~~31bf3856ad364e35~~amd64~~6.1.1.2.cat

Постоянное соединение vpnc

Sun, 23 Oct 2011 13:45:18 +0000

Сбыдлокодил на коленке скрипт, поддерживающий соединение с vpn-шлюзом:

#!/bin/bash 
if 
[ &#8220;$(/sbin/route -n | /bin/grep &#8220;172.16.10.0&#8221; | /usr/bin/awk &#8220;{print \$8}&#8221;)&#8221; = &#8220;tun0&#8221; ] 
then 
echo &#8220;$(/bin/date &#8220;+%X %x&#8221;)&#8221; route exist >> /var/log/vpnc.log 
else 
echo &#8220;$(/bin/date &#8220;+%X %x&#8221;)&#8221; no route to scse &#8211; reconnecting >> /var/log/vpnc.log 
if [ -f /var/run/vpnc/pid ] 
then 
echo &#8220;$(date &#8220;+%X %x&#8221;)&#8221; found vpnc pid &#8211; deleting >> /var/log/vpnc.log 
&#8220;$(/bin/rm -f /var/run/vpnc/pid)&#8221; 
fi 
echo &#8220;$(date &#8220;+%X %x&#8221;)&#8221; establishing scse vpn tunnel >> /var/log/vpnc.log 
&#8220;$(/usr/sbin/vpnc /etc/vpnc/scse.conf)&#8221; 
fi

wvdial & megafon

Wed, 28 Sep 2011 06:49:15 +0000

root@localhost:~# cat /etc/wvdialer.conf

Init1 = ATZ 
Init2 = AT+CGDCONT=1,&#8221;IP&#8221;,&#8221;internet.nw&#8221; 
Baud = 115200 
New PPPD = yes 
Modem = /dev/ttyUSB0 
Phone = *99# 
Password = internet 
Username = internet 
Abort on Busy = on 
Stupid Mpde = yes

Исправляем кодировку в PDF/CSV отчетах в GLPI 0.80.2

Mon, 29 Aug 2011 12:43:04 +0000

Если для вас такой отчет: является несколько менее читаемым нежели такой: есть смысл заморочиться с исправлением кодировки и сейчас мы постараемся причесать GLPI, чтобы PDF/CSV отчеты стали мягкими и шелковистыми. Для начала берем шрифты отсюда или отсюда. Заменяем содержимое каталога /var/www/glpi/lib/ezpdf/fonts содержимом архива и патчим search.class.php sed -i -e ‘s/windows-1252/windows-1251/g’ search.class.php который лежит в /var/www/glpi/inc/ Если вам нужны CSV отчеты, то надо сделать резервную копию search.class.php, и пропатчить ее. После этого FusionInventory откажется переносить данные в GLPI. Вот патч, вот diff.

Инветоризация компьютеров в домене с помощью GLPI (0.80.2) + FusionInventory

Mon, 29 Aug 2011 11:10:35 +0000

Ну вы знаете как это бывает – прибегают из ~~ада~~ бухгалтерии с распечатками за 2006 и спрашивают нет ли у вас более актуальной статистике по парку пк, а то, видите ли, за 5 лет она утратила актуальность. А вы, такие, делаете жест “не беспокойтесь, юзеры, я тут, чтобы решить ваши проблемы”, заходите на http://localhost/glpi и скармливаете им красивенький отчетик в pdf или csv. Делается это (в моем случае) так – берется сервер на debian с apache2, php5 и mysql5.1, качаются GLPI (0.80.2): wget -c https://forge.indepnet.net/attachments/download/943/glpi-0.80.2.tar.gz и FusionInventory (2.4.0 RC2 для GLPI 0.80.X): wget -c http://forge.fusioninventory.org/attachments/download/417/fusioninventory-for-glpi-metapackage_2.4.0-RC2.tar.gz устанавливаем glpi и FusionInventory: tar -zxvf glpi-0.80.2.tar.gz && mv glpi /var/www/glpi/ tar -zxvf fusioninventory-for-glpi-metapackage_2.4.0-RC2.tar.gz && rm -f fusion\*.gz && mv fusi\* /var/www/glpi/plugins/ Исправляем права: chown -R www-data:www-data /var/www/glpi/ Затем подключаемся к mysql серверу, создаем базу, и даем пользователю glpi полные права:

Citrix license server крашится сразу после старта

Fri, 29 Jul 2011 06:48:45 +0000

Проблема, которая, как говорят люди, тянется еще с времен XenApp 5. Симптомы: Сервер лицензий Citrix запускается, но сразу после старта аварийно завершает свою работу. В логе событий Windows остается следующая запись:

Источник: Application Error
Дата: 29.07.2011 10:58:49
Код события: 1000
Категория задачи:(100)
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: testnode.meh.domain
Описание:
Имя сбойного приложения: lmadmin.exe, версия: 11.9.0.0, отметка времени: 0x4d6bbff6
Имя сбойного модуля: lmadmin.exe, версия: 11.9.0.0, отметка времени 0x4d6bbff6
Код исключения: 0xc0000005
Смещение ошибки: 0x0005e222
Идентификатор сбойного процесса: 0x15e0
Время запуска сбойного приложения: 0x01cc4dbcf66a55c3
Путь сбойного приложения: C:\Program Files (x86)\Citrix\Licensing\LS\lmadmin.exe
Путь сбойного модуля: C:\Program Files (x86)\Citrix\Licensing\LS\lmadmin.exe
Код отчета: 356fef33-b9b0-11e0-9c17-000e0c3ce3c3
Xml события:

1000
2
100
0x80000000000000

6763
Application
testnode.meh.domain

lmadmin.exe
11.9.0.0
4d6bbff6
lmadmin.exe
11.9.0.0
4d6bbff6
c0000005
0005e222
15e0
01cc4dbcf66a55c3
C:\Program Files (x86)\Citrix\Licensing\LS\lmadmin.exe
C:\Program Files (x86)\Citrix\Licensing\LS\lmadmin.exe
356fef33-b9b0-11e0-9c17-000e0c3ce3c3

Официальный workaround: The Citrix License Server might crash immediately after startup. Workaround: Delete the c:\program files\citrix\licensing\ls\conf\ activation_state.xml and concurrent_state.xml files and then start the license server. These files are automatically regenerated when the license server starts. [#253576]

Установка и настройка Citrix XenApp 6

Tue, 19 Jul 2011 09:43:39 +0000

Тут будет мой скромный опыт по установке и начальной конфигурации Citrix XenApp 6. Статья разделена на 4 раздела:

Установка Citrix XenApp 6

Чтобы приготовить XenApp нам нужны:

Лирика про виртуализацию

Tue, 28 Jun 2011 12:11:13 +0000

Виртуализация всего и вся стала главным трендом конца прошлого и начала нового десятилетия. Все больше компаний наслаждаются ее плюсами в виде высокой доступности, гибким распределением ресурсов, легкости миграции на новое оборудование и увеличением коэфициента использования мощностей. На Rootconf в свое время прозвучала цифра средней загруженности серверов и она составила 10-20%, что весьма точно соответствует реалиям моей текущей работы. Если не брать наш сервер баз данных, то окажется, что все остальные загружены не более чем на 15% в пике.

О целесообразности смены 3g модема в российских реалиях

Mon, 20 Jun 2011 18:20:15 +0000

Был у меня Huawei E1550, стал вместо него распоследний E367, на коробке которого красуется 28/5 mbit download/upload. Ну что-ж, вставляю модемы поочередно в ноутбук и произвожу замеры на SpeedTest, получая следующее: Похожие результаты можно наблюдать и у других людей, которые озаботились обновлением модема. Остается только ждать LTE и надеяться. (замеры произведены в Санкт-Петербурге с 21-45 по 22-00 в районе Черной речки, в сети виртуального оператора Мегафона)

Cisco LACP etherchannel c несолькими виланами

Wed, 23 Mar 2011 11:49:31 +0000

После окончательного физического переноса всех серверов возникла фантазия сделать все как надо.

Первым делом было решено создать команды из сетевых интерфейсах на всех серверах и включить их в Cisco Catalyst 4948, агрегировав несколько линков в один по 802.3ad. Частный случай состоял в том, что один из серверов был гипервизором Hyper-V, а сервера, подключенные к виртуальному свичу, должны быть доступны через отдельный Vlan.

Первым делом, если еще не создан, создадим vlan:

Проблема с прошивкой 3com 4210

Fri, 18 Feb 2011 08:23:59 +0000

Нашел на складе старые трансиверы Picolight и возникла фантазия в связи с скорым переносом серверной связать циску с 3com 2мя гигабитными оптическими шнурками. После того, как циска таки съела Picolight я начал дружить эти модули с 3com 4210. Свичи обладали какой-то старой прошивкой и радостно рапортовали о Module Faulty, а в статистике интерфейса лавинообразно росли input/output errors.

Первое, что пришло в голову – залезть на сайт 3com и скачать свежачек, но не тут-то было. HP, купив 3com, угробил раздел downloads и редиректил на свой сайт, на котором черт ногу сломит. Фирмваря ищется по Product # 3CR17333A-91 и ведет на страницу http://h17007.www1.hp.com/us/en/support/converter/index.aspx?productNum=JF427A для 26-и портового 4210. Но не спешите его ставить :)

Cisco и неподдерживаемые SFP модули

Fri, 18 Feb 2011 07:27:09 +0000

Захотелось подружить Cisco 4948 c 122-54.SG и древний Picolight SFP модуль, по злой рок в виде

C4K_CHASSIS-3-SFPINTEGRITYCHECKFAILED:SFP

не давал этим двум славным железкам слиться в экстазе. Подружить негодников удалось 3мя волшебными командами:

service unsupported-transceiver 
no errdisable detect cause gbic-invalid 
errdisable recovery cause gbic-invalid

и, аллелуя!

Canon UFRII 10322 error на MacOS X

Tue, 21 Dec 2010 14:35:52 +0000

На 10.6.5 была предпринята попытка поставить UFRII драйвер Canon, с тем, чтобы завести irc2380i. После установки драйверов и подключения принтера печать обламывалась с ошибкой 10322 ”Cannot communicate with the printer, or the printer is not supported.” Решилась проблема следующим образом –

удален принтер
удалены следующие файлы и каталоги:

System HDD/Library/Launch Agents/jp.co.canon.UFR2.BG.plist
System HDD/Library/Printers/PPDs/Contents/Resources/CNTD**\*Z\*2*.ppd.gz```
* очищена корзина
* системы была запущены в safe-mode (shift во время загрузки до появления полосы)
* с помощью Disk Utility (DU) [были исправлены права](http://support.apple.com/kb/HT1452?viewlocale=en_US "http://support.apple.com/kb/HT1452?viewlocale=en_US") [(2)](https://kb.iu.edu/data/aoxn.html "https://kb.iu.edu/data/aoxn.html")
* установлен UFRII 2.10 (!!!) драйвер
* система загружена в обычном режиме
* установлен UFRII 2.20 драйвер поверх
Только после этого я смог печатать без каких-либо ошибок.

Cisco: Zone-Based Firewall и tcp reassembly overflow

Thu, 02 Dec 2010 07:13:29 +0000

tcp reassembly queue length queue-length 256```

Устанавливаем umask для SFTP транзакций

Thu, 18 Nov 2010 07:47:30 +0000

Subsystem sftp /bin/sh -c ‘umask 0002; /usr/libexec/openssh/sftp-server'```
via: [http://jeff.robbins.ws/articles/setting-the-umask-for-sftp-transactions](http://jeff.robbins.ws/articles/setting-the-umask-for-sftp-transactions "http://jeff.robbins.ws/articles/setting-the-umask-for-sftp-transactions")

Cisco, часть 2: настройка интерфейсов, NAT с overloading (PAT), проброс порта/адреса

Mon, 08 Nov 2010 08:42:45 +0000

Имеет место быть следующая топология: в кошку вставлен HWIC-4ESW, что по сути представляет из себя 4х портовый l2 свич, который одним портом смотрит в локальную сеть. Интерфейс fa0/0 смотрит в интернет. В режиме глобальной конфигурации включим ускоренную коммутацию пакетов (cef, Cisco Express Forwarding) назначим маски, ip и напишем описание к интерфейсам, а так же пропишем маршрут по умолчанию (next-hop router):

Enter configuration commands, one per line. End with CNTL/Z.
CoreRouter(config)#ip cef
CoreRouter(config)#int fa0/0
CoreRouter(config-if)#ip address 1.1.1.1 255.255.255.0
CoreRouter(config-if)#description TO BIG AND SCARY INTERNET
CoreRouter(config-if)#int vlan 1
CoreRouter(config-if)#ip address 192.168.0.254 255.255.255.0
CoreRouter(config-if)#description TO NICE AND COOL LAN
CoreRouter(config-if)#exit
CoreRouter(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2```
Теперь настроим простой NAT, обозначив интерфейсы либо как смотрящие в локальную сеть (ip nat inside), либо как смотрящие в WAN (ip nat outside).
_для извращенных случаев, когда необходимо, чтобы один и тот же интерфейс был и inside и outside см. [ip nat enable и NVI](http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtnatvi.html "http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtnatvi.html")_
Затем создадим пул NAT адресов и ACL (более подробно в части 3) для сетей, которым разрешены NAT трансляции.
```CoreRouter#conf t
Enter configuration commands, one per line. End with CNTL/Z.
CoreRouter(config)#int fa0/0
CoreRouter(config-if)#ip nat outside
CoreRouter(config-if)#int vlan 1
CoreRouter(config-if)#ip nat inside
CoreRouter(config-if)#exit
! создадим стандартный ACL, разрешающий подсеть для трансляции нат
CoreRouter(config)#access-list 10 permit 192.168.0.0 0.0.0.255
! создадим пул WAN адресов
CoreRouter(config)#ip nat pool WANPOOL 1.1.1.1 1.1.1.1 netmask 255.255.255.0
! и заставим кошку транслировать адреса из разрешенных в ACL сетей в наш пул
CoreRouter(config)# ip nat inside source list 10 pool WANPOOL overload```
Проброс порта делается следующим образом:
```CoreRouter(config)#ip nat inside source static tcp 192.168.0.2 110 1.1.1.1 110 extendable```
а всего адреса (в случае если у вас несколько внешних ip):
```CoreRouter(config)#ip nat inside source static 192.168.0.2 1.1.1.1 extendable```
вот, собственно и все.
Статистику по NAT можно посмотреть, подав в enable exec команду **sh ip nat sta**, а активные трансляции – **sh ip nat tra**.

Cisco, часть 1: time, AAA, ssh, console tricks, banners

Mon, 01 Nov 2010 15:51:52 +0000

Подключаемся COM кабелем, затираем startup-config и отправляем железку в ребут:

Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
*Nov 1 13:55:40.978: %SYS-7-NV\_BLOCK\_INIT: Initialized the geometry of nvram
CoreRouter#reload
Proceed with reload? [confirm]
*Nov 1 13:55:50.754: %SYS-5-RELOAD: Reload requested by root on console. Reload Reason: Reload Command.```
ждем, пока она загрузится, отказываемся от диалога начальной конфигурации и получаем приглашение user mode:

— System Configuration Dialog — Would you like to enter the initial configuration dialog? [yes/no]: no Press RETURN to get started! Router>

Конфигурация роутеров Cisco для самых маленьких (intro)

Mon, 01 Nov 2010 14:43:47 +0000

Сижу и настраиваю свой первый роутер, судорожно вспоминая материал курсов ICND1/2, просматривая маны и хэндбуки. Пусть мои потуги останутся тут, как шпаргалка самому себе и интернетам.

В роли роутера выступает 2811 с следующими платами расширения:

Product (FRU) Number : CISCO2811
Product (FRU) Number : HWIC-4ESW
Product (FRU) Number : HWIC-2FE

Лог доступа к файлам и каталогам Windows

Mon, 04 Oct 2010 11:14:50 +0000

Неожиданно стали “сами по себе удаляться” каталоги и файлы в шаре одного из отделов и возникла необходимость включения аудита доступа (а точнее событий удаления). Делается это следующим образом:

Первым делом отправляемся исследовать локальную политику безопасности на предмет того, является ли политика Audit Object Access активной (Параметры безопасности > Локальные политики > Политики Аудита).

Затем, убедившись в том, что аудит Успех|Отказ включен, отправляемся в интересующую нас директорию и через пункт меню Свойства > Безопасность > Дополнительно > Аудит назначаем интересующих нас пользователей, а в следующем диалоговом окне назначаем интересующие нас действия, подлежащие аудиту и объекты, к которым они применяются.

Shrink лог файлов в MSSQL 2008 и MSSQL 2008R2

Fri, 10 Sep 2010 05:49:06 +0000

[sql]USE [database name] ALTER DATABASE [database name] SET RECOVERY SIMPLE DBCC SHRINKFILE([log file name], ) ALTER DATABASE [database name] SET RECOVERY FULL[/sql]

Оценка производительности raid-массива

Thu, 26 Aug 2010 07:03:16 +0000

В силу внедрения 1с-предприятия (буээээ) было принято решение обзавестись новым сервером баз данных в замен отдающего концы старого.

На raid-контроллере SRCSASBB8I (raid10) при использовании политик чтения normal и записи write-through были получены следующие результаты для чтения/записи при объеме теста 50mb и 1000mb:

Sequential Read : 255.045 MB/s
Sequential Write : 235.498 MB/s
Random Read 512KB : 73.339 MB/s
Random Write 512KB : 139.554 MB/s
Random Read 4KB (QD=1) : 1.127 MB/s [ 275.1 IOPS]
Random Write 4KB (QD=1) : 5.884 MB/s [ 1436.4 IOPS]
Random Read 4KB (QD=32) : 9.335 MB/s [ 2279.2 IOPS]
Random Write 4KB (QD=32) : 6.019 MB/s [ 1469.4 IOPS]
Test : 50 MB [D: 0.0% (0.2/1660.8 GB)] (x9)

Sequential Read : 268.659 MB/s
Sequential Write : 284.862 MB/s
Random Read 512KB : 77.980 MB/s
Random Write 512KB : 117.371 MB/s
Random Read 4KB (QD=1) : 0.946 MB/s [ 231.0 IOPS]
Random Write 4KB (QD=1) : 4.962 MB/s [ 1211.3 IOPS]
Random Read 4KB (QD=32) : 7.329 MB/s [ 1789.2 IOPS]
Random Write 4KB (QD=32) : 4.816 MB/s [ 1175.8 IOPS]
Test : 1000 MB [D: 0.0% (0.2/1660.8 GB)] (x5)

Сильно улучшить ситуацию в случае 50мб позволяет включение write-back и read-ahead. Для 1000мб теста результаты бенчмарка немного ухудшаются, но это жертва на которую я готов пойти. ня!:

Проблемы с кодировкой у программ, запущенных в гостевой Windows в Parallels

Thu, 19 Aug 2010 12:06:28 +0000

Языки и региональные стандарты – Дополнительно – Язык программ, не поддерживающих Unicode – Русский

Исчез пункт меню “Все программы”

Thu, 19 Aug 2010 11:53:19 +0000

Parallels как-то через попу установил гостя Windows Server 2003 в связи с чем в меню пуск отсутствовал пункт “Все программы”.

Лечится правкой следующих ключей в реестре:

в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

исправить или создать cтроковой параметр Start Menu на %USERPROFILE%\Главное меню, а в ветке

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

исправить или создать строковой параметр Common Start Menu на %ALLUSERSPROFILE%\Главное меню

Ubuntu, VirtualBox и проблемы с USB у гостевой ОС

Mon, 02 Aug 2010 10:20:20 +0000

После очередного обновления VirtualBox исчезла возможность подключать USB девайсы. VirtualBox видел подключенные устройства, но возможности активировать их в гостевой системе не было (пункты меню были не активны).

Лечится добавлением вашего пользователя в группу vboxusers либо через GUI (система > администрирование > пользователи и группы), либо через терминал:

# useradd -G vboxusers username

и проверяем

# id username

logoff, login, счастье

Проблемы с установкой Starcraft 2 в MacOS X

Wed, 28 Jul 2010 11:05:00 +0000

28.07.10 15:09:56 com.apple.launchd.peruser.501[104] ([0x0-0x25025].com.blizzard.installer[319]) posix_spawn(&#8220;/Volumes/data/delirium/Downloads/SC2-WingsOfLiberty-ruRU-Installer/Installer.app/Contents/MacOS/InstallerLauncher&#8221;, &#8230;): Permission denied 
28.07.10 15:09:56 com.apple.launchd.peruser.501[104] ([0x0-0x25025].com.blizzard.installer[319]) Exited with exit code: 1```

Заходим в папку с игрой и делаем

```chmod -R 0777 Installer*```

MacOS X: проблемы с подключение к Wi-Fi сети

Thu, 22 Jul 2010 16:03:13 +0000

Придя домой я обнаружил что не могу подключиться к домашней точке доступа, хотя у смарта с этим проблем не было.

Лог пестрил ошибками:

Apple80211Agent[166] Error joining delwireless: Время подключения истекло (-3905 timeout connection)

SystemUIServer[99] Error joining delwireless: Не удалось выполнить соединение (16 result unaviable)

После ребута бук подключился к сети, но не смог получить по DHCP адрес.

tcpdump сообщал, что броадкастовые запросы были отправлены, но ответа не пришло. Вбив ручками ip/mask/gw/dns долгожданный интернет появился, однако сеть работала из рук вон.

GP: доменный пользователь с правами локального администратора

Fri, 16 Jul 2010 19:43:55 +0000

В домене, к несчастью (а может быть и к счастью) нет такого понятия как локальный администратор, но можно наделить пользователя этими правами. Статья будет описывать такой функционал Active Directory как “группы с ограниченным доступом” или “restricted groups” на примере добавления в группу пользователей с последующим наделением их правами локального администратора. Создаем группу безопасности (скажем localAdmins) и добавляем в OU компьютеры, на которых будет резрешена работа учетной записи с правами локального администратора. В редакторе групповых политик переходим в раздел: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Группы с ограниченным доступом Добавляем ранее созданную группу, к примеру DOMAINNAME\localAdmins В следующем окне в нижнем разделе (Эта группа является членом в:) вписываем “Администраторы” В разделе: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя Добавляем группу localAdmins в следующие политики:

MacOS и обновления Digital Photo Professional

Fri, 16 Jul 2010 19:42:06 +0000

Как известно Canon выпускает DPP в виде обновлений, которые требуют либо уже установленного приложения, либо оригинального дистрибутива. В венде проблема установки свежей DPP решается правкой реестра, но в МакОС его нет (и слава богу). Чтобы установить последнюю на данный момент DPP:

скачиваем и устанавливаем http://web.canon.jp/imaging/sdl/data/dpp100-e.hqx
скачиваем и устанавливаем поверх апдейт (на данный момент 3.8.2) – http://www.usa.canon.com/consumer/co…nloadDetailAct – выбрать в списке ОС – MacOS X

MacOS X: сортировка директорий перед файлами

Thu, 17 Jun 2010 10:53:36 +0000

Подчиняясь неведомой логике Finder сортирует файлы и директории по алфавиту, когда в файловых менеджерах линукса и венды директории имеют более высокий приоритет. Исправляется следующим образом:

cd /System/Library/CoreServices/Finder.app/Contents/Resources/ru.lproj/

(ru, соответственно надо заменить на язык системы)

sudo cp InfoPlist.strings InfoPlist.strings.bk

делаем бэкап файла с конфигом

sudo vi InfoPlist.strings

Открываем файл и в разделе /* General kind strings */ меняем ”Folder” = “Папка”; на”Folder” = ” Папка”;

Сохраняем, закрываем, перезагружаемся, сортируем по типу.

Сегодня одним макоюзером стало больше

Mon, 14 Jun 2010 09:19:14 +0000

Вот я и наложил свою рученки на новенький Macbook Pro 13 модели 2010 года. Давно я мечтал о ноутбуке из солнечной Калифорнии и вот, наконец, 2кг алюминия и стекла стоит у меня на столе.

Стоит отметить, что я оооооочень давно не испытывал такого наслаждения от использования нового гаджета. Даже приобретение и использование Milestone после WM девайса не идет ни в какое сравнение с ощущениями от использования ноутбуки и новой операционной системы.

postgresql tricks

Thu, 10 Jun 2010 06:21:06 +0000

Считаем размер, занимаемой на диске базой данных в байтах:

[sql]SELECT pg_database_size(‘dbname’);[/sql]

Считаем размер, занимаемой на диске базой данных в мегабайтах:

[sql]SELECT pg_size_pretty(pg_database_size(‘dbname’));[/sql]

Считаем количество строк в всех таблицах базы данных:

[sql]SELECT relname, n_tup_ins – n_tup_del as rowcount FROM pg_stat_all_tables;[/sql]

Подсчет количества записей в каждой из таблиц базы данных MSSQL

Thu, 10 Jun 2010 06:02:54 +0000

[sql]select substring(o.name, 1, 30) Table_Name ,i.rows Number_of_Rows from sysobjects o inner join sysindexes i on (o.id = i.id) where o.xtype = ‘u’ and i.indid < 2 order by o.name[/sql]

Kerio Connect (Mail Server) и Status 2.1.5 delivered

Wed, 26 May 2010 06:01:38 +0000

Result: delivered, Status: 2.1.5 в логе, но писем нет? Гнев, обида, разочарование и слезы отчаяния наворачиваются на глаза когда письмо попадает в Junk E-mail директорию и злые юзвери не могут его прочитать? Не пора бы уже перейти с pop3 на IMAP?

Если на последний вопрос вы утвердительно ответили нет, то остается единственный выход – в каталоге пользователя найти файл filter.siv и изменить каталог, в который будут складываться письма с хедером “SPAM” на INBOX.

GP: Включаем доступ по RPD на клиентах

Thu, 06 May 2010 10:31:32 +0000

В доменной политике в разделе

Конфигурация компьютера\Административные шаблоны\Сеть\Сетевые Подключения\Брандмауэр Windows\Профиль домена

Включаем ключ

Брандмауэр Windows: Разрешать исключения для удаленного управления

А в разделе

Конфигурация компьютера\Административные шаблоны\Компоненты Системы\Службы Терминалов

Включаем ключ

Разрешать удаленно подключение с использованием служб терминалов

и делаем

gpupdate /force

Event ID 4102 – ошибки репликации WINS

Tue, 20 Apr 2010 05:37:45 +0000

Дано – 2 сервера с ролью контроллера домена. На одном (DC1) 2 интерфейса, которые смотрят в локальные подсети, на другом (DC2) тоже 2 интерфейса, один из которых смотрит в интернет, второй в локальную сеть.

С периодичностью в 20 минут в логе возникают ошибки репликации WINS, а в консоли DC1 сервер DC2 обозначается как “не доступен”.

На DC1 я добавил локальный интерфейс DC2 в партнеры репликации и на этом все.

На DC2, в дополнительных настройках сетевых подключений, я переместил lan-интерфейс выше wan, добавил IP двух интерфейсов DC1 в партнеры репликации и перезапустил WINS.

Event ID 12 – предупреждения от W32TIME

Mon, 19 Apr 2010 11:03:31 +0000

После переноса первичного контроллера домена (PDC) стал получать сообщения вида: ```

NTP-клиент поставщика времени: этот компьютер использует доменную структуру для определения своего источника времени, но для этого домена в корне леса находится PDC-эмулятор…```

Лечится следующим образом:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config] 
&#8220;AnnounceFlags&#8221;=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] 
&#8220;NtpServer&#8221;=&#8221;north-america.pool.ntp.org,0×1 
&#8220;Type&#8221;=&#8221;NTP&#8221;

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer] 
&#8220;Enabled&#8221;=dword:00000001

И перезапускам сервис:
net stop w32time && net start w32time

Не применяются vbs logon скрипты в Windows Vista / 7

Mon, 19 Apr 2010 10:38:13 +0000

Извечный вопрос “что делать?”. Сегодня logon vbs скрипты, к примеру, не монтируют сетевые шары.
“Кто виноват?” – это и предстоит выяснить.
Для начала перейдите в \\DOMAIN\SYSVOL\DOMAIN\Policies\POLICY%GUID\User\Scripts\Logon и попробуйте запустить скрипт.
Шары не подключились? Надо поставить правильные права на скрипт.

Шары подключились? Тогда создайте рег-файл следующего содержания и запустите его:


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] 
&#8220;EnableLinkedConnections&#8221;=dword:00000001```

Удаляем старые логи

Sun, 18 Apr 2010 15:43:47 +0000

Разжиревшие логи заняли 200gb и сервер тревожно отрапортовал, что, мол, место в /var подошло к концу.

Избавиться от старья помогает волшебное слово

find /var/log/* -mtime +5 -exec rm {} \;

удаляющее все, что старше пяти дней.

Вводим Ubuntu в домен Active Directory

Wed, 14 Apr 2010 09:34:35 +0000

Сложного в общем ничего нет – идем в Центр Приложений Ubuntu, по ключевым словам Active Directory ставим likewise-open, заводим компьютер в домен с учетной записью администратора контроллера домена и перезагружаемая. Все, теперь можно заходить под username@DOMAIN (имейте ввиду то, что авторизация, как и все в Linux, чувствительна к реестру).

Чтобы разрешить пользователю выполнять команды с привилегиями суперпользователя заходим под учетной записью локального администратора и делаем:

sudo visudo

%DOMAIN.NAME\\Администраторы^домена ALL=(ALL) ALL

Dr.Web ES Database verification failed

Tue, 13 Apr 2010 08:43:02 +0000

Новая работа, новые проблемы. Много, много новых проблем. Одна из проблем возникла в результате запуска Dr.Web Enterprise Server, после чего в логе оставался такой выхлоп:

20100413.100131.65 ERR [ 5388] noname Server execution failed because of
20100413.100131.65 ERR [ 5388] noname   database verification failed
20100413.100131.65 ntc [ 5388] noname [Server] Process exit code is 0x42```
Гугление выхлопа результатов не дало, служба поддержки Dr.Web обитала только в DC, так что пришлось обратить к официальному форуму.
Первым советом стала попытка ручного сжатия базы (метод описан [тут](http://wiki.drweb.com/index.php/%D0%A0%D1%83%D1%87%D0%BD%D0%BE%D0%B5_%22%D1%81%D0%B6%D0%B0%D1%82%D0%B8%D0%B5%22_%D0%B2%D0%BD%D1%83%D1%82%D1%80%D0%B5%D0%BD%D0%BD%D0%B5%D0%B9_%D0%B1%D0%B0%D0%B7%D1%8B_Dr.Web%C2%AE_Enterprise_Suite "ручное сжатие")), но сия процедура завершилась с ошибками:
```drwidbsh> .read delold
DELETE FROM station_offline WHERE starttime <= 20100409000000000;
SQL error: no such table: station_offline
DELETE FROM update_state WHERE rectime <= 20100409000000000;
SQL error: no such table: update_state
DELETE FROM deleted_stations WHERE created <= 20100409000000000;
SQL error: no such column: created
VACUUM;
SQL error: columns sid, gid are not unique```
Пришлось воспользоваться вторым советом, а именно восстановить базу из бэкапа. Делается это так:
* Останавливаем ES сервер, если он запущен (в моем случае он вообще не запускался)
* Инициализируем новую базу данных командой ```”C:\Program Files\DrWeb Enterprise Server\bin\drwcsd.exe” -home=”C:\Program Files\DrWeb Enterprise Server” -var-root=”C:\Program Files\DrWeb Enterprise Server\var” -verbosity=all initdb c:\agent.key – – root```  при условии, что DrWeb ES установлен в Program Files, а agent.key лежит в корне диска C:
* Восстанавливаем из резервной копии ```%ES%\var\backup\%guid%\%date%``` командой ```”C:\Program Files\DrWeb Enterprise Server\bin\drwcsd.exe” -home=”C:\Program Files\DrWeb Enterprise Server” -var-root=”C:\Program Files\DrWeb Enterprise Server\var” -verbosity=all importdb “disc:\path\_to\_the\_backup\_file\database.dz”```
* Запускаем сервер и подключаемся к консоли.

mup.sys, циклическая перезагрузка и все-все-все

Wed, 24 Mar 2010 10:07:40 +0000

Вчера мне принесли компьютер, который уходил в циклическую перезагрузку после прохождения POST. В безопасном режиме последний драйвер был mup.sys, после этого черный экран и перезагрузка.

Первое что я сделал – запустил chkdsk /r и после скопировал mup.sys с дистрибутива, но толку это не дало, система все равно уходила в перезагрузку.

Начитавшись форумов я решил обновить BIOS материнской платы, но не тут то было – при попытке загрузиться с live cd убунты система так же уходила в ребут.

Размер файлов и каталогов в Linux

Mon, 15 Mar 2010 10:26:11 +0000

Как найти каталог, который пожирает свободное место? Легко:

du -h –max-depth=1

Как изменить версию (канал) Windows XP (oem, retail, volume license)

Wed, 10 Mar 2010 11:58:55 +0000

Для начала надо выбрать версию, на которую вы хотите обновиться, скачать и записать этот дистрибутив.

загружаетесь с этого диска
ждете пока появится приглашение к установке Windows XP (именно приглашение к установке, не надо запускать консоль восстановления)
принимаете лицензионное соглашение
выбираете уже установленную систему, канал (или Product ID) которой необходимо сменить и нажимаете R
инсталятор скопирует файлы, перезапустит компьютер, проверит диск, на котором расположена система и запустит обновление (внешне выглядит как установка новой системы. Без паники – это всего лишь обновление), а затем предложит ввести новый ключ

Mass Effect 2: Черный экран в миссии Свой-Чужой

Sat, 06 Feb 2010 17:18:57 +0000

Если в Mass Effect 2 у вас в миссии свой-чужой (IFF) появляется черный экран, то нужно скачать и заменить файлы load*.bik и поместить их в каталог /BioGame/Movies. Сделать это можно двумя путями – или скачайте нормальный репак и перенесите сохранения туда или отправьте свои сейвы кому-нибудь и попросите пройти проблемное место. Еще одним вариантом решения проблемы является создание и переименование указанных ZiB файлов –

Mass Effect и “Не удалось инициализировать физическую подсистему”

Sat, 30 Jan 2010 19:17:00 +0000

К своему удивлению заметил кучу вопросов связанных с ошибкой “Не удалось инициализировать физическую подсистему. Пожалуйста, убедитесь что у вас установлена новая версия Physx System Software” в игре ME2. Physx System Software можно забрать тут Читайте и обрящете. PS. Люди, как оказалось, продолжают сталкиваться с такой же проблемой в Mass Effect 3. В комплекте с игрой шла вот такая версия PhysX, у меня ATI Radeon 6970 – игра работает прекрасно. [][1]

FH_DATE_PAST_20XX The date is grossly in the future.

Mon, 25 Jan 2010 12:58:27 +0000

Сегодня получил жалобу на то, что некоторые письма не доходят и посетив Spam Trap MDaemon’a обнаружил кучу миловидных писем, которые были забракованы по причине лишних 3.2 баллов из-за:

FH_DATE_PAST_20XX The date is grossly in the future.

оказывается я прошляпил в бюллетенях баг SpamAssasin’a, из-за которого все письма, отправленные после 2010 считались пришедшими из будущего :)

Лечится изменением регэкспа с

FH_DATE_PAST_20XX

header FH_DATE_PAST_20XX Date =~ /20[1-9][0-9]/ [if-unset: 2006]

на

FH_DATE_PAST_20XX

header FH_DATE_PAST_20XX Date =~ /20[2-9][0-9]/ [if-unset: 2006]

Шрифты в линуксе

Mon, 21 Sep 2009 17:36:03 +0000

В отличии от России у линукса бед гораздо больше и проблема рендеринга шрифтов занимает не последнее место. Шрифты такие, что, порой, хочется вырвать свои глаза.

Но рецепт кошерных шрифтов есть и он, как обычно, лежит на первой странице гугла. Но так как все равно никто не пользуется поиском, а от размазанных шрифтов тянет поставить Windows и забыть об этом кошмаре я, приняв волевое решение, задумал написать статейку, а точнее перевод хау-то с http://www.sharpfonts.com/

Windows Vista / 7 remote BSOD

Tue, 08 Sep 2009 12:15:47 +0000

Laurent Gaffié в своем блоге опубликовал эксплойт, использующий уязвимость в новом smb-драйвере, входящем в состав Windows Vista и Windows7. Специально сформированный заголовок smb-пакета позволяет удаленно вызвать BSOD на атакуемой машине. Microsoft поставлены в известность, но никаких патчей до сих пор нет. Единственным способом защиты на данный момент является закрытие smb-портов фаерволлом.

http://g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html

Резервное копирование данных для самых маленьких

Wed, 26 Aug 2009 17:44:45 +0000

Зачастую данных, которые хранятся на жестких дисках компьютера, ценнее самих компьютеров, всего офиса и, даже, некоторых сотрудников.

Как организовать резервное копирование в небольшом офисе? Сейчас расскажу.

Например, можно самому написать скрипт, но мне было лень.

Можно использовать Acronis, Paragon или Norton сьюты, но они избыточны, когда требуется просто синхронизировать несколько папок, сложить бэкап на сервер, заархивировать и раз в неделю скопировать все это на внешний диск.

Можно использовать кривые и платные (Sic!) поделки, которые по функциональности не далеко ушли от связки vbs скрипт + архиватор (привет, Handy Backup).

Что делать если исчезли пользователи с экрана приветствия

Sat, 25 Jul 2009 11:03:56 +0000

За время своей работы я встречал много проблем и проблемок, решение которых лежало на поверхности или в гугле. Интернет велик и огромен и проблема, с которой столкнулись вы (ntldr is missing!!!) скорее всего уже решена, останется только приложить небольшие усилия и поискать (возможно, не в русскоязычном сегменте интернета).

Были и такие проблемы, для которых стандартные шаблоны не подходили или не было возможности локализовать проблему (вылет в BSoD как при штатной загрузке, так и во время safemod, а отсутствие доступа к журналу из ERD Commander, для выяснения сбоившего драйвера, как пример). Был и другой тип проблем – “seems the only reason to solve it – format c:”.