15 октября 2015 г.

Развертывание обновлений WSUS на машины рабочей группы вне домена.

vlsdtv | 11:58 | Прокоментируй первым!
Есть у меня в домене ПК, которые работают вне домена (в рабочей группе, в DMZ и т.д.). По правилам хорошего тона им тоже надо получать обновления через корпоративный WSUS. В свободное плавание (в интернет) выпускать их - некошерно.
Решаем:
Открываем доступ до корпоративного wsus по http.
Рисуем файл реестра и применяем его на целевой машине.


Windows Registry Editor Version 5.00  
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]  
"WUServer"="http://ХХХ.ХХХ.ХХХ.ХХХ"  
"WUStatusServer"="http://ХХХ.ХХХ.ХХХ.ХХХ"  
"TargetGroupEnabled"=dword:00000001  
"TargetGroup"="DMZ_servers"  
  
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]  
"NoAutoRebootWithLoggedOnUsers"=dword:00000001  
"NoAutoUpdate"=dword:00000000  
"AUOptions"=dword:00000003  
"ScheduledInstallDay"=dword:00000000  
"ScheduledInstallTime"=dword:00000003  
"RescheduleWaitTimeEnabled"=dword:00000001  
"RescheduleWaitTime"=dword:00000002  

"UseWUServer"=dword:00000001
Чтобы служба стала работать с новыми параметрами, необходимо перезапустить все службы и зависимости WSUS.
cmd от админа и останавливаем службы:

net stop bits
net stop wuauserv
net stop appidsvc

net stop cryptsvc
Затем запускаем.
net start bits
net start wuauserv
net start appidsvc

net start cryptsvc
Можно нарисовать батник по запуску-остановке служб.
А теперь проверяем обновления.
Не сработало? Смотрим логи - там много полезной информации по траблешутингу проблемы.
Читать далее ...

22 сентября 2015 г.

Свое фото в AD в MS Windows 2008R2

vlsdtv | 15:53 | Прокоментируй первым!
Стало скучно, надоумили написать в G+ (Спасибо Воронежу :)

Посему так:
Захотелось мне, что бы у каждого в домене была своя фотка. Удобно - да, надо ли - вопрос не из праздных (нехай будет). Аватарки будут отражатся в outlook-е и в прочих программах.
Загрузка фотки в домен будет осуществляться при помощи стандартной консоли "AD - пользователи и компьютеры".
Как?
Нужна библиотечка - AdExt.dll. По инету ее можно найти (главное - правильно гуглить). Она расширяет возможности консоли "AD - пользователи и компьютеры".
Первый шаг: 
Регистрируем библиотеку
Копируем dll-ку сюда: C:\Windows\Microsoft.NET\Framework64\v2.0.50727

Запускаем CMD от имени администратора.
Даем команду: InstallUtil.exe adExt.dll
Трямс - зарегистрировалась
Второй шаг:
Открываем оснастку ADUC, открываем свойства любого пользователя. Хм, появились два новых поля - Employee и Photo:
Заходим в поле "Photo", жмем "Load", выбираем нужное фото, картинку, etc. Оно появилось.

Поле "Employee" можно использовать к примеру о неком табельном номере из 1С

Все!

Читать далее ...

9 сентября 2015 г.

"inaccessible" в VMware vCenter

vlsdtv | 14:53 | Прокоментируй первым!


            Сегодня сбойнула моя виртуальная ферма и часть хостов часть из виртуальных машин в иерархии VMware VirtualCenter отображаются курсивом и в сером цвете. Ужасть, бяда :)
Хосты пометились как “inaccessible”, т.е. оказались недоступными, а по русски - изолированными. 
Почему так произошло? По логам выяснилось, что потерялась на короткое время связь между хостами ESXi и datastore. Включенные на момент сбоя виртуальные машины после устранения ошибки самостоятельно продолжают свою работу. Выключенные же ВМ становятся изолированными и их необходимо подключить по новой ручками, т.е. зарегистрировать их в VirtualCenter.

Решение:


Чтобы добавить виртуальную машину по новой, нужно:
- на вкладке Summary для хоста VMware ESX Server жамкнуть правой кнопкой на Datastore и выбрать Browse Datastore;
- выбрать папку с виртуальной машиной, зайти в эту папку и найти и выбрать конфигурационный vmx-файл виртуальной машины;
- Правой кнопкой - Add to Inventory;
- Указать имя, расположение виртуальной машины, хост или кластер, ресурсный пул - вообщем все сопутствующее и нажать заветную кнопку - Finish.
Вуаля - виртуальная машина появится в VMware VirtualCenter.

      Так же такую же процедуру регистрации нужно проводить при возникновении сбоя при миграции виртуальной машины. Физически файлы VM вроде переехали, все или частично, но ни на одном хосте машины нет. В этом случае недостающие файлы вручную переносятся на новое хранилище (с помощью WinSCP или FastSCP) и машина регистрируется на новом хосте.




Читать далее ...

Vmware tools не может обновиться. Отсутствует VMware Tools.msi.

vlsdtv | 14:30 | Прокоментируй первым!
Обнаружилась такая бяка (как в заголовке темы).
Методом проб и ошибок, гугления, выяснилось, что:
Обновление не проходит поскольку не идет изменение предыдущей версии. При этом вручную VMware Tools не удаляется и также просит VMware Tools.msi.

Решение:
Необходимо почистить реестр. 

Вручную чистить достаточно геморно, но проще зайти через командную строку на CD-ROM, например D:\ и запустить

setup /c

Для 64-разрядной -

setup64 /c

Затем обновление проходит в обычном режиме.
Читать далее ...

14 мая 2015 г.

Цать вопросов для сисадмина

vlsdtv | 17:14 | | Прокоментируй первым!
Для чего нужны данные вопросы?
Если коротко, то - чтобы понять, оценить и повлиять на состояние IT-инфраструктуры в организации.
        Как правило оценка работы сисадмина заключается в двух субъективных оценках - "хорошо" и "плохо", т.е. если "хорошо" - значит специалист "хороший", если - "плохо", значит сисадмин плохой и все у него ломается.
Само собой такая оценка к работе сисадмина имеет место жить. Я не случайно обмолвился - "субъективные оценки". Встречалось в моей практике ситуация, когда "хороший" сисадмин доводил компанию до длительных простоев, терял необходимые бэкапы, случайно удалял конфиденциальную информацию, а "плохой" сисадмин все героически поднимал, исправлял, etc.
Ну тут у начальства и начинается головняк: Как организовать, контролировать, оценивать IT, ничегошеньки в этом не понимая (а как правило у нас руководители IT-подразделений в большинстве своем в IT-технологиях мягко скажем дубы)? Брать еще одного сисадмина? Вполне возможно, что в штатном расписании не предусмотрено еще одной такой должности. Обратится к внешним спецам? Как вариант пойдет, но денег нет или мало (как обычно).
          Но можно обойтись и минимумом - просто задать с десяток вопросов Вашему сисадмину, которые наверняка помогут повлиять на состояние дел в IT-инфраструктуре.

Первый и самый архиважный вопрос можно сформулировать так:
1. Что я могу сделать для того, чтобы это больше не повторялось?
Путаницы нет - именно в таком ключе спрашивать, но не так к примеру: "когда закончится этот бардак"? и т.д. В Вашей власти решить практически все вопросы, например: отправить своего сисадмина на дополнительное обучение, если знаний недостает (хотя если его брали на работу наверняка оценивались критерии познаний в том, с чем придется ему работать), позвать внешних спецов для консультация, купить новое оборудование, взять в конце концов нового сисадмина. Этим вопросом можно подтолкнуть сисадмина мыслить в нужном русле, а не стоять и оправдываться и выдумывать с десяток мало-мальских причин и обоснований, таких как например «нам необходимо купить еще одну непонятную железку (назначение которой не понятно никому, кроме гугла», «нанять/пригласить спецов, которые разбираются в предметной области», или«дайте мне время и я сделаю и будет все в шоколаде). Может конечно прозвучать и такой аховый ответ - «с этим ничего нельзя сделать, умерло, так умерло». Смешно конечно, но это не ответ -  даже архисложные проблемы в IT можно решить если не техническими, то организационными методами.

Дальше можно спросить так:
2. Какие у нас еще есть проблемы в сфере IT?
А проблем может быть достаточно много, например - рабочие станции регулярно заражаются вирусами, сервер постоянно зависает, Интернет или почта часто не работают. 
Вопрос - почему это все происходит? Можно как то на ситуацию повлиять? Есть какие-то нерешенные вопросы?  И задать тот же самый предыдущий вопрос

3. Как, где и чем делаются резервные копии наших данных? И делаются ли они вообще?Какой риск потери в случае возникновения внештатной ситуации?
Кто владеет информацией - то владеет миром сказал в свое время Амшель Майер. И действительно - ежедневно, ежечасно, ежеминутно, я, Вы, сотрудники компании собираете. сохраняете и работаете с потоком информации. Но информацию можно и потерять: к примеру случайно или в результате сбоя оборудования или в любых форс-мажорных обстоятельств (например случился потоп или пожар). Для данных случаев и нужно делать и иметь при себе резервные копии.
Могу предположить, что все таки резервные копии делаются в компании, работают скрипты, используется специализированное ПО для бэкапов, они собираются в какое-то хранилище (сервер, внешний жесткий диск и т.д. - вариаций много). Наиглавнейшая задача - убедится в том, что есть актуальный бэкап, он не битый и информацию можно будет восстановить в случае ЧП.

4. Отказ оборудования. За какой промежуток времени можно восстановить полнофункциональную работу?
 Все на свете ломается и оно однажды сломается. И очень неприятно, когда поломка какого-то к примеру свитча парализует работу офиса как на несколько часов, так вполне возможно и дней. Есть ли план действия на случай поломки рабочей станции, сервера или сетевого оборудования? Сколько времени займет восстановление работоспособности? Что можно сделать сейчас, для уменьшения времени простоя, если что-то однажды сломается?

5. Хватает ли мощности и производительности серверов и систем? Имеется ли план по модернизации оборудования?
Присутствуют ли компоненты информационной структуры, что ограничивает скорость работы сотрудников компании с компьютерными системами? Есть ли вероятность того, что можно столкнутся  с затруднениями в работе в ближайший промежуток времени (к примеру год)? Есть ли план по модернизации оборудования? Актуальный список?
       Тут приучаешь сисадмина мыслить более масштабно. Этим вопросом можно будет понять какой бюджет закладывать на развитие IT-инфраструктуры, сколько денег "выбивать" у дирекции.

6. Обновляется ли у нас ПО на серверах, на рабочих станциях? С какой регулярностью?Есть ли в сети сервер WSUS?  На всех компьютерах сети стоит антивирусное ПО?
        Обновление ПО - один из наиболее важных процессов в обслуживании IT, так же как и контроль за работой антивирусной подсистемы. Сисадмин должен сразу ответить, когда в последний раз обновлялось ПО и проверялась работа антивируса на рабочих станциях.
Не столь важно порой бывает обновление серверов или рабочих станций - это может быть с периодичностью раз в два-три месяца (при отсутствии в сети настроенного сервера WSUS), насколько важно актуальное обновление антивирусных баз и контроль за работой антивируса.
Из этого простого вопроса можно понять, делает он это или нет. Может конечно и обмануть, но кто мешает подойти к рабочей станции, к серверу и проверить это лично?

7. Как я могу узнать актуальность предоставления прав доступа к определенным ресурсам у конкретного пользователя? Насколько быстро можно заблокировать доступ этому сотруднику?
         Этот вопрос больше на предмет информационной безопасности и сохранности данных. Если компания небольшая - у сисадмина всегда под рукой должен быть список какие и куда есть права доступа у определенного сотрудника. Если сеть большая и есть домен - то все становится простым до невозможности. 

8. Насколько наши текущие расходы адекватны и соответствуют духу времени? Проверяется ли актуальная стоимость товаров и услуг на рынке? Не переплачиваем ли мы больше денег, чем должны?
           Здесь вопрос касается больше контроля расходов. Имеет ли смысл держать принтер, который ломается по три-четыре раза в месяц и жрет картриджей, больше, чем он стоит или стоит? Может имеет смысл использовать совместимые картриджи или перезаправлять? На моей памяти есть случай, когда одна из компаний платила за канал в интернет со скоростью 512 к/с почти полторы тыщи долларов. Вскрылось случайно - после кризиса (когда бакс взлетел до небес) и бухгалтерия взвыла, что много денег надо платить
           
9. Ведется ли документация по IT? 
    Наличие актуальной документации по IT-системам - крайне важный фактор в работе IT-подразделения. Наличие документации позволит легко пригласить внешних спецов для реализации той или иной задумки для оценки качества построения инфраструктуры или к примеру целесообразности принимаемого решения по модернизации. 
Это тема отдельного разговора.

10. Есть ли что-то еще, что может повысить эффективность работы компании?
       Как правило сисадмин или IT-начальник живут по принципу - "инициатива наказуема" и работают и поддерживают IT-инфраструктуру абы как, абы работала, боясь новшеств и того, что внедрение что-то нового обернется бдениями на работе и днем и ночью, дополнительными проблемами.
          Но почему, если эта технология позволит повысить эффективность работы компании ее не приобрести, скачать, апробовать и потихонечку внедрить ее у себя? 
          Если не внедрили мы, ее могут внедрить у себя конкуренты и клиенты уйдут к ним, так как качество обслуживания у них будет выше. 

Напоследок:
           Развитие корпоративной IT-инфраструктуры и собственного IT-отдела - это инвестиции бизнеса, направленные на повышение эффективности работы сотрудников. Она не даст прибыль, как ожидают многие, не даст сиюминутную эффективность. Но разве можно измерять деньгами, когда под угрозой стоят накопленная информация, репутация на рынке?          
Читать далее ...

4 марта 2015 г.

Вакансия сисадмина

vlsdtv | 16:43 | Прокоментируй первым!
Прислал знакомый вакансию.
Сижу и думаю - кто им нужен, админ или многорукий Шива?
Какая фирма - говорить не буду, какая зарплата -тоже, но могу сказать. что по деньгам меньше моей. Кризис что-ли.....

Знание на уровне администратора Windows Server 2008/2012, *NIX;
•AD, DHCP, DNS, GPO, FTP, IIS, DFS ‚ Факс сервер,файловые службы,RDP, RAS WSUS PKI
RRAS, Terminal Services– принципы работы, тонкая настройка. Особенности работы в виртуальной среде;

•Понимание назначения и принципов взаимодействия сетевых протоколов различных уровней ( Ethernet, PPTP, L2TP, IPv4, IPv6, TCP, UDP, DNS, HTTP (S), SIP, SSL, FTP, IPSEC SMBи т.д.
IDS, IPS, Firewall, Mail, Jabber, Billing, CRM VPN NAT POP‚ SMTP ) );

•Exchange 2010/2013 - планирование, развертывание, отладка, аварийное восстановление. Работа в виртуальной среде
Postfix почта

•Серверные платформы HP, IBM, Dell – умение настроить raid, настроить NAS, нарезка LUNов, подключение SAN. Блейд сервера

•Виртуализация MS Hyper-V –настройка отказоустойчивого кластера на базе Hyper-V

•VoIP, Asterisk - умение на базе свободного дистрибутива сделать полноценную АТС.
IP-телефонии Avaya

•Мониторинг - Nagios, Zabbix, аналоги, администрирование.

•АдминистрированиеБД MSSQL (backup/restore, replication, security, clustering, performance monitoring/tuning, SSIS);

знание HP-UX, Solaris, RHEL, AIX;
Опыт настройки Linux/Unix систем и сервисов (ldap‚ samba‚ postfix‚ squid‚ apache‚ dns‚ dhcp‚ ftpб,iptables nginx cassandra bacula )
Плюсами будут:
Познания в VMware\VSphere, Kerio Control, DameWare, VoIP, системы Service Desk

Знание активного, пассивного оборудования СКС
Межсетевой экран TMG
Настройка Terminal Services (RemoteApp)

Резервное копирование Veem Backup
Настройка VPN (IPSec, OpenVPN, PopTop DMVPN)
Поддержка XMPP сервера Openfire
Практический опыт администрирования KAV (политики), FreeBSD, Linux, postfix, sendmail, exim, firewall, NAT.

Базовые знания по установке и настройке Банк-клиентов
Знание сетевого оборудования Cisco, HP, D-Link – первичная настройка
∙ Знание Symantec Backup Exec; Microsoft DPM, Veeam;
рактика применения стандартов ITIL ITSM для обеспечения поддержки пользователей
принципов построения сетей. редирект и фильтрация портов
Microsoft AD, Microsoft Exchange 2007/2010, Microsoft ISA, Microsoft Certification Services, VmWare ESX, Cisco ASA, Linux, Free BSD

АТС Panasonic TDA/TDE-100/200‚ IP телефонией‚ VoIP оборудованием‚ ПО банк-клиент‚ Microsoft Visio‚ Kerio Control‚ MDaemon‚ ESET‚ Acronics‚ Radmin‚ DameWare‚ TeamViewer.

Знакомство с сетевым оборудованием (свитчи неуправляемые и управляемые‚ маршрутизаторы‚ точки доступа‚ принт-серверы‚ VoIP оборудование‚ медиаконверторы‚ сетевые экраны) - HP‚ D-Link‚ Asus‚ LinkSys‚ Planet и др.; принтеры‚ сканеры‚ МФУ - HP‚ Canon‚ Xerox; неттопы‚ ноутбуки‚ нетбуки - Acer‚ Asus‚ HP‚ Toshiba. Прокладка‚ обжим‚ кросс‚ тестирование RJ-11‚ RJ-45. 

WSUS сервер‚ ESX-i‚ 

внедрения системы Бэкапа и работы с RAID массивами

Умение пользоваться LiveCD (или аналогами: WinPE‚ ERD Commander...)

SQL Server Windows Azure Lynk server System center 2012 Cisco systems Linux (Solaris)
MS Hyper-V(NLB/Failover Clusters);
FTP (FileZilla

, BIND, Apache
MS ISA, Kerio WinRoute
pfsense, m0n0wall, smoothwall, vyatta (в роли маршрутизатора)
терминальной фермы Citrix;
Опыт по сборке/обновлению ядра, пакетов; (Unix)
Конфигурирование сетевых протоколов DMVPN, BGP, EIGRP, HSRP, STP, VRF
Облачные вычесления saas iaas paas
- понимание технологий и протоколов: OSPF, BGP, VLAN, STP, HSRP, VRRP, QoS
опенсурсной виртуализации KVM+libvirt, Xen
Практический опыт работы с OpenStack
Знание технологий построения сетей SAN, NAS, Fibre Channel, iSCSI, FcoE
нание и уверенная работа с open source операционными системами
настройки VPN-каналов (програмно и аппаратно);
Администрирование MS Terminal Server
Понимание работы Firewall (pf/iptables);
Понимание работы VPN Site-to-Site (OpenVPN+SSL\L2TP+ipsec);
Экспертные знания по Windows Server, Active Directory, Group policy, Microsoft Exchange, TMG, Remote Desktop Services;
Опыт администрирования и настройки UNIX систем (CentOS, Ubuntu);
Знание принципов построения и эксплуатации распределенных сетей, владение навыками настройки сетевого оборудования (VPN, BGP,GRE)
Знание принципов работы сетей TCP/IP (адресация, маршрутизация, Port mapping, IGMP, NAT, DNS, DMZ, VLAN, Link Aggregation и т.д.) ;
Citrix XenDesktop
Опыт работы по внедрению систем DLP, SIEM, NAP, средств анализа защищенности, сетевого и телекоммуникационного оборудования (в том числе IPS/IDS)
Metro Ethernet, ADSL, GPON, SDH
Читать далее ...

20 января 2015 г.

Запуск 32-битных приложений на 64-битных системах

vlsdtv | 13:51 | Прокоментируй первым!
Из сегодняшнего:
Не запускается 32-битное приложение на 64-битной платформе.
        По идее оно должно быть совместимо и работать как тут, так и там.
Для решения вопросов совместимости есть соответствующие разделы документации и соответствующие инструменты. 
Но не всегда все так сложно - можно обойтись "малой кровью".

Необходимо понимать, что система x64 поддерживает работу 32-битных приложений и для этого эмулирует подходящее окружение. В частности для этого есть специальные разделы реестра в ветке SysWOW64, с которыми работают все 32-битные приложения, в том числе там регистрируются 32-битные COM-приложения. 
      Но есть еще такой малоизвестный факт (не каждый это знает или помнит): системные исполняемые модули на диске так же присутствуют в двух видах: 64-битные по обычным путям %systemroot%, а 32-битные по пути %systemroot%\SysWOW64.
      Вопрос - Как это использовать?
      Если к примеру я хочу зарегистрировать 32-битную DLL, то нужно вызывать:
%systemroot%\SysWOW64\regsvr32.exe <Имя DLL>
      Если я хочу запустить VB-скрипт, который создает 32-битные COM-объекты (например, Internet Explorer или Word), то нужно вызывать:
%systemroot%\SysWOW64\cscript.exe <Имя скрипта>
     Если на конкретной 64-битной системе нужно запускать все скрипты в 32-битном режиме, то можно поменять ассоциацию в реестре. Ключи реестра можно подсмотреть в статье KB248121:
HKEY_CLASSES_ROOT\JSEFile\Shell\Open2\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command
HKEY_CLASSES_ROOT\VBEFile\Shell\Open2\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command
HKEY_CLASSES_ROOT\WSFFile\Shell\Open2\Command
(Все значения наверное лучше не менять - только для нужного скриптового языка)
Пример:
Старое значение:
Default = C:\Windows\System32\CScript.exe “%1″ %*
Новое значение:

Default = C:\Windows\System32\ SysWOW64\CScript.exe “%1″ %*
Читать далее ...

Search