Cyrill

Не знаю, насколько это будет интересно людям, которые читают мой блог из интереса к веб-разработке, но, думаю, стоит написать об одном событии, в котором я не так давно участвовал — переезд компании, в которой я работаю.

Итак,  получилось так, что нам пришлось переехать — чуть раньше назначенного времени и чуть не туда, куда планировалось =) Собственно, сам по себе переезд небольшой инфраструктуры– невеликая проблема, но в данном случае все осложнялось рядом факторов:

1. До последнего момента никто не знал, куда-таки мы едем
2. Времени, как следствие из (1), было катастрофически мало
3. Под переезд были запланированы мероприятия по полной замене парка сетевого оборудования и телефонной станции (точнее, до этогособственной телефонной станции у нас просто не было:))

Еще за неделю до того, как нам надо было освободить занимаемое помещение, мы ездили и смотрели разные офисы на предмет их пригодности к внезапному заезду — наличие и состояние СКС, электрической сети, общее состояние офиса.. Вариантов было отсмотрено очень много, но беда в том, что реально пригодных ко въезду не было.

Должен заметить, что пять или шесть просмотренных офисов были близки к тому, что мы были готовы в них заехать, но основным препятствием было то, что там совершенно по-идиотски была реализована СКС. К сожалению, проектировщики (даже в очень навороченных бизнес-центрах) думают, по всей видимости, задницей — иначе, как объяснить, что на 600 квадратных метров офиса предусмотрено всего 30 мест СКС по два порта? Но это лирика, впрочем..

Внезапно, за три дня до момента X, подходящее помещение было найдено вблизи м. Площадь Ильича — и удаленность от центра, и состояние офиса и инженерных сетей более или менее отвечало нашим потребностям. Дальше — понеслось

Что обязательно надо сделать ИТ-специалисту перед переездом внутри офиса?

1. Обязательно промаркируйте всю технику — компьютеры, мониторы, клавиатуры и прочее (этим мы озаботились заранее)
2. Промаркируйте диски серверов, если это еще не сделано
3. Промаркируйте сетевые интерфейсы multi-homed машин (серверов и всяких разных рабочих станций), если это еще не сделано
4. Если ваше сетевое оборудование отстроено и работает так как надо — озаботьтесь наличием кабельного журнала — что, как, чем и куда (устройство/порт) подключено и соответствием такого журнала реальному состоянию вещей. В идеале, должны быть отмаркированы патч-корды, чтобы не думать лишний раз при коммутации
5. (техническое) Уменьшите срок аренды выдаваемых адресов на DHCP

Все перечисленное было проделано заранее, так что этот этап проблем не вызвал никаких. Осталось подготовить помещение к заезду и решить вопросы с подключением к внешним каналам связи на новом месте.

Какие административные вопросы нужно решить перед переездом?

1. Убедитесь и убедите руководство, что платежи, которые надо совершать по вашей просьбе, сейчас имеют статус особо важных — если не оплатить подключение интернет-канала, иначе никто не сможет работать на новом месте
2. Запаситесь определенной суммой наличности на непредвиденные расходы с минимальной отчетность (у меня ушло порядка 30 000 рублей)
3. Убедитесь в том, что на новом месте у вас есть пропуск на круглосуточный доступ в здание хотя бы в течение двух недель — неделю до переезда и неделю после такового

Что надо подготовить вне компании?

1. Если вы ждете доставки оборудования на новое место, убедитесь, что службы доставки знают новый адрес, ваш номер сотового телефона и точно уверены, что приедут в назначенное время
2. Заключите договор с провайдером (провайдерами) на новом месте — в то время, как вы развешиваете сервеы по шкафам, инженеры провайдера должны протягивать вам кабель с живительным интернетом Учитывая то, что любой провайдер — очень небыстрый механизм, озадачьтесь сильно заранее, по возможности
3. Если возможности подключить постоянный интернет-кана в момент въезда — договаривайтесь с соседями по офису, ищите точки Wi-Fi, в конце-концов, попробуйте подключиться через скайлинк
4. (чуть не забыл самое интересное) Если вы сами поддерживате на своих серверах пользовательские сервисы (почта, веб, прочее) — попробуйте найти площадку для временного размещения оборудования, кроме того, заранее уменьшите значения refresh и ttl внешних DNS и добавьте заранее необходимые записи a и mx

С этим тоже проблем, вроде, не возникло. Теперь — о том, что должно быть под рукой:

1. Запаситесь всевозможными инструментами — отвертки всех мастей, пассатижи, кусачки, нож (лучше пара — открывать заботливо залепленные скотчем коробки) — все это должно быть в рюкзаке/машине/где угодно не упакованное
2. Набор инструментов для разделки витой пары — инструменты для зачистки, обжимные клещи, тестер кабельных соединений, рации (если вы работаете с помощником — незаменимая вещь)
3. Набор электроинструмента — не повредит пара шуруповертов, дрель или перфоратор
4. В случае отсутствия электрических шуруповертов — купите в автомагазине набор ключей с удлинителями и трещотками — очень упрощает жизнь, экономит силы и время при сборке/разборке серверных шкафов
5. Адекватное ситуации количество витой пары в бухтах, коннекторы 8p8c, колпачки на патч-корды, нейлоновые стяжки и прочая монтажная мелочь — всего этого должно быть с избытком
6. Маркеры, самоклеящиеся этикетки и т.п.

В организации набора юного монтажника сильно помог магазин “Бурый медведь” =) Кстати, если вы планируете ночевать в офисе — озадачьтесь наличием средств личной гигиены, сменной одежды и т.п. Кроме того — ваши ноутбук и сотовый телефон должны быть заряжены, набалансе сотового телефона должна быть сумма денег, отличная от нуля, в записной книжке должны быть все телефоны — поддержка провайдера, все без исключения сотрудники, администрация нового офиса, службы доставки пищи Кроме того, ваш номер должен быть у всех заинтересованных лиц.

Собственно, соблюдение перечисленного почти гарантирует вам более или менее спокойный переезд.

Чтобы быть во всеоружии, заранее спланируйте следующее:

1. Кто чем занимается при переезде и в какой последовательности
2. Кто занимается встречей подъезжающего оборудования / служб доставки и прочего (в идеале, если на такие вопросы удастся ангажировать сотрудника, не вовлеченного в процесс монтажа/демонтажа)
3. Кто занимается закупками недостающего оборудования/материалов (заранее прикиньте, кто ближе живет к каким магазинам), составьте табличку с адресами и телефонами магазинов

Вроде все. Надеюсь, моя писанина поможет кому-нибудь переехать безболезненно)

Для начала — ситуация: вы используете ISA 2004/2006 для организации доступа в интернет, причем ISA хранит свои логи в MSDE, т.е. по умолчанию. И тут — вам срочно надо посмотреть в лог сервера на предмет того или иного действия, например, посмотреть какое количество трафика вчера ушло на чтение ЖЖ. В этот момент вы понимаете, что средство просмотра журналов, встроенное в ISA вам никак не поможет, а все возможные ISA Proxy log analyzers работают только с текстовыми логами.

Да, предполагается, что вы располагаете MSSQL Query Analyzer, входящим в состав SQL сервер, либо SQL Server management studio, входящей в SQL Server Express, распространяемый бесплатно — одно из этих средств нужно, чтобы подключиться к БД.

К делу.

1. Требуется разрешить входящие подключения от машины, на которой стоит Query Analyzer к серверу ISA на 1433 порт TCP (встроенное правило MS SQL)
2. На сервере ISA выполните GUI-утилиту svrnetcn, выберите в списке экземпляров MSDE экземпляр SERVERNAME\MSFW, после чего включите для него протокол TCP/IP
3. Смело подключайтесь к серверу ISA при помощи Query Analyzer или SQL Management Studio.

Обратите внимание, что ISA создает по одной БД каждые сутки, что накладывает ряд ограничений на объем выборки.

На этот раз - небольшой мистический триллер про настройку windows 2003 и ISA 2006. Поскольку это немного выбивается из общей тематики блога, уберу под кат, дабы не грузить тех, кому это неинтересно. Вкратце - речь о решении ошибок в работе фильтра RPC ISA Server 2006.

Читать полностью »

Что за пользователи обозначены вопросительными знаками в скобках после имени в журналах межсетевого экрана ISA Server?

Такие имена пользователей появляются, если в правилах политики сервера допускаются подключения для всех пользователей и доступом по таким правилам пользуются компьютеры с установленным ПО Firewall Client (FWC). Поскольку правило не требует аутентификации пользователя, ISA не пытается проверить учетные данные клиента, в то же время, Firewall Client при установлении соединения отправляет имя текущего пользователя серверу ISA. Таким образом, ISA знает имя пользователя, но не проверяет его - чтобы избежать путаницы, имя пользователя помечается вопросительным знаком.

Можно ли полагаться на то, что написано в таком случае в имени пользователя?

• Если вы ожидаете подлога или несанкционированных действий - то нельзя: взломщик может создать локального пользователя с подложным именем, которое и будет отображаться в журнале.
• С другой стороны, для диагностических целей это имя можно использовать - например, если пользователь Х жалуется на проблемы с подключением, можно искать записи о таких проблемах используя фильтр “Client username contains X”.

Настоящие пользователи, прошедшие процесс аутентификации отображаются в журналах ISA с префиксом в виде имени домена: DOMAIN\username
Читать полностью »

29 ноября Microsoft официально выпустила первый сервис-пак для Exchange Server 2007. Вот основные нововведения, как они описаны на сайте microsoft:

Мобильный доступ
• Интеграция функций единой системы обмена сообщениями Exchange с Microsoft Office Communicator 2007 и Microsoft Office Communications Server 2007.
• Новые функции Outlook Web Access, в том числе доступ к общим папкам, поддержка S/MIME, личные списки рассылки и редактор правил почтового ящика.
• Средство веб-просмотра документов теперь поддерживает не только документы Microsoft Office 2003, но и документы Microsoft Office 2007.
• Расширена поддержка языков в Outlook Web Access: добавлены возможности проверки орфографии на арабском и корейском языках.
Операционная эффективность
• Поддержка развертывания в операционной системе Windows Server 2008, включая возможности гибкой кластеризации, встроенной виртуализации, расширенные сетевые возможности и упрощенное управление.
• Дополнительные средства консоли управления Exchange, включая управление общими папками и параметры настройки кластеров и доступа по протоколам POP и IMAP.
• Усовершенствования синтаксиса командной консоли Exchange и возможностей импорта и экспорта PST-файлов с помощью команды move-mailbox.
• Расширенный диапазон веб-служб для разработки приложений, включая доступ к общим папкам, управление делегированием и разрешения на уровне папок.
Встроенная защита
• Новый режим резервной непрерывной репликации для вариантов развертывания с высоким уровнем доступности сайтов.
• Расширенные возможности Exchange ActiveSync для принудительного применения политик на мобильных устройствах.
• Предварительное лицензирование управления правами на доступ к данным ролью транспортного сервера-концентратора.
• Поддержка протокола SRTP ролью единой системы обмена сообщениями.
• Поддержка протокола IP версии 6 при использовании операционной системы Windows Server 2008

Если Windows 2008 на боевых машинах используется крайне мало, то настройки фильтрации сообщений на стороне сервера не хватало давно, а уж отсутствие Exmerge 2007, замененного с приходом powershell на move-mailbox и подавно заставило меня и моих коллег потратить не один час, переливая ящики с Exchange 2003, при миграции между доменами и версиями Exchange.

Есть ложка дёгтя: если вы используете Forefront для Exchange 2007, его придется переустанавливать - по-крайней мере, иных рекомендаций на сайтах по Exchange и Forefront не видно - судя по всему, надо скачивать Forefront for Exchange 2007 SP, удалять первую версию, накатывать SP1 на Exchange и уже после всех процедур ставить обновленный Forefront.

Вечером будем попробовать…

Mail.Ru ужесточило ограничение на прием почты через SMTP и не принимает почту с тех IP-адресов, которые используются для рассылки SPAM сообщений пользователям Mail.Ru.

С этого сообщения, по сути, начался сегодняшний рабочий день - один из сотрудников не смог отправить письмо корреспонденту на mail.ru, используя почтовый стандартный почтовый сервер организации. Все бы ничего - забота о пользователях и все такое, но есть несколько “но”:

1. Мы используем SPF-записи для обслуживаемых доменов;
2. Для ip-адреса отправляющего сервера прописана и корректно отдается PTR-запись;
3. Мы серьезным образом контролируем отправку писем из организации - я имею в виду автоматизированные средства противодействию вирусных и прочих нежелательных рассылок.

И, тем не менее, mail.ru нас блокирует, предлагая воспользоваться формой обратной связи с обещанием ответить в течение нескольких дней. Далее - цитата:

“Пока адрес не удален из нашего блок-листа, предлагаем Вам для отправки почты использовать веб-интерфейс или попробовать воспользоваться другим провайдером для подключения к Интернет.”

No comments, короче.
Upd: под катом.
Читать полностью »

При перезагрузке сервера, выполняющего роль сервера Exchange 2007, надо убедиться, что все службы Exchange 2007 поднялись. Для этого нужно запустить командную консоль Exchange (powershell) и в ней выполнить команду

> get-service *exchange*

На примере ниже существует ошибка: не запущена служба хранилища:

[PS] C:\Documents and Settings\Cyrill>get-service *exchange*

Status Name DisplayName
—— —- ———–
Running MSExchangeADTop… Служба топологии Microsoft Exchange…
Running MSExchangeAntis… Обновление средства защиты от нежел…
Running MSExchangeEdgeSync Microsoft Exchange EdgeSync
Running MSExchangeFDS Рассылка файлов Microsoft Exchange
Running MSExchangeImap4 Microsoft Exchange IMAP4
Stopped MSExchangeIS Банк данных Microsoft Exchange
Running MSExchangeMailb… Помощники по обслуживанию почтовых …
Running MSExchangeMailS… Отправка почты Microsoft Exchange
Stopped MSExchangeMonit… Наблюдение Microsoft Exchange
Stopped MSExchangePop3 Microsoft Exchange POP3
Running MSExchangeRepl Служба репликации Microsoft Exchange
Running MSExchangeSA Системный помощник Microsoft Exchange
Running MSExchangeSearch Индексатор поиска Microsoft Exchange
Running MSExchangeServi… Microsoft Exchange Service Host
Running MSExchangeTrans… Транспорт Microsoft Exchange
Running MSExchangeTrans… Поиск журналов транспорта Microsoft…
Running MSExchangeUM Единая система обмена сообщениями M…
Running msftesql-Exchange Microsoft Search (Exchange)
Столбец display-name указывает на имя службы в соответствующей оснастке. Поэтому, запускаем Администрирование/Службы и пытаемся стартовать Банк данных Microsoft Exchange. Если не хочется лишних телодвижений – тут же, в консоли PowerShell, пишем
> start-service MSExchangeIS
Когда стартует – расслабляемся =) POP3 запускать не надо – он по умолчанию выключен и не используется.

Читать полностью »