Skip to Content

IT nieuczesane.
category

Category: article

trivial SSO for Windows

a raczej pseudo-SSO ale działa jak marzenie. Trick, który zaraz przedstawię jest tak trywialny, że jak aż jest mi głupio jak mogłem na to sam nie wpaść dawno temu. A wszystko przez to, że sądziłem, że działa to inaczej… eh. Człowiek uczy się całe życie (:

Problem:
Stacja stand-alone (workgroup). Komputer mobilny, działający głównie w kilq sieciach – niech to będzie np. domena „firma.com” oraz domowa sieć. Dostając się do udziałów sieciowych, portali intranetowych, ISA SecureClient, czy innych aplikacji wymagających uwierzytelnienia NTLM – pojawia się ramka prosząca o user/pass do logowania. I tego chciałoby się pozbyć. O dziwo po zahaczeniu ‚zapamiętaj’ i tak wyskaqje za każdym razem – grrrrr…

Rozwiązanie:
dla większości typów logowanie wystarczy utworzyć token credentials z użytkownikiem i hasłem. Dla opisanej powyżej sytuacji potrzebny będzie pojedynczy dla domeny i zależnie od systemu/ustawień albo jeden , albo jeden dla każdego kompa w domu (za chwilę szczegóły). Zarówno w XP jak i w Vista dodaje się hasełka przez control panel -> users. W Vista jest opcja ‚manage your network passwords’ na pasku zadań.
Manage Your Network Passwords
użytkownika oczywiście należy wpisać w postaci domainuser dla domeny lub .. no właśnie – do przetestowania: dla vista hostnameuser dla stacji lokalnej. XP powinien być bardziej wyrozumiały i wpisanie po prostu nazwy użytkownika i hasła powinno wystarczyć, dzięki czemu w sieci domowej jeśli wszędzie jest ten sam user z takim samym hasłem – powinno zahulać.
Najmilszą informacją jest fakt, iż można wpisywać hasła dla hostów, używając wildcardów, a więc dla domeny wystarczy w polu ‚logon to:’ podać nazwę postaci *.firma.com.
PassManager-logon2
To rozwiązuje większość problemów – pozostaje jeszcze kwestia dostępu do stron w Intranecie – jeśli nadal wyskaqje okienko logowania, to najprawdopodobniej adres strony nie jest dodany do ‚local intranet’ ponieważ standardowo dla stron w tej grupie przesyłane jest hasło.
PassManager-localIntranet

Et voila!
Koniec pytań o hasło… no prawie – niestety metoda nie działa dla Outlook w RPCoHTTPs ):

PS: Workgroup
Zawsze lubiłem osobom na qrsie zadawać pytanie: ‚Co to jest domena?’ – najprostsze pytania bywają najtrudniejsze. Na to pytanie, opisowo, jakoś daje się wybrnąć. Na pytanie ‚a co to jest workgroup?’ – w zasadzie nigdy nie uzyskałem prawidłowej odpowiedzi. Odpowiedź ta jest dość trywialna – nie ma czegoś takiego jak ‚workgroup’ – to po prostu string będący filtrem, używanym przy narzędziach GUI do wyświetlenia komputerów, które też mają taki string q: w czasach WINSów i wszechobecnego NetBIOSa wpis o takiej nazwie był rejestrowany w tejże dupnej usłudze. artefakty typu ‚net view’ jeszcze z takich rzeczy korzystają – ale spłaszczając mechanizm do efektu, można powiedzieć że ‚workgroup’ to po prostu filtr.

czy nazwa kompa w lesie może się duplikować?

Na tak postawione pytanie, o każdej porze dnia i nocy odpowiedziałbym: oczywiście, że tak! przecież OID obiektu oraz FQDN – dwa jednoznacznie identyiqjące obiekt atrybuty – są różne.
Interfejs tego nie zabrania. Wszystko również wygląda na prawidłowe… a jednak sytuacja taka doprowadza do powstawania błędów logu na kontrolerze domeny:

Event ID: 11
source: KDC
There are multiple accounts with name cifs/COMPUTERNAME of type DS_SERVICE_PRINCIPAL_NAME.

… i faktycznie – po dokładnym sprawdzeniu, okazuje się, że jeśli w domenie i poddomenie są kompy o tej samej nazwie, to mają taki sam cifs… to dość oczywiste – powstaje jednak pytanie jak to możliwe, że sobą kolidują?!
po małym śledztwie ustało mi się ustalić iż:

  • żaden standardowy interfejs nie pokazuje SPNa typu ‚cifs’. jeśli użyje się np. adsiedit to atrybut ‚servicePrincipalName’ na automatycznie rejestrowane wartości HOST/computername oraz HOST/computername.fqdn – ale nie cifs. skąd on zatem?
  • CIFS – czyli Common Internet File System jest tematem ciekawym sam w sobie. Np. niewiele osób wie, iż jest to standard otwarty, opracowany przez kilka firm, nigdy jednak nie zatwierdzony – zresztą poczytajcie sobie w linq do wiki. warto! w skrócie – SMB (Simple Message Block) jest Microsftową implementacją CIFSa. W związq z tym, rekord SPN typu ‚cifs’ musi zostać zarejestrowany, ponieważ inaczej komp nie będzie się w stanie uwierzytelnić. Jest on zahardcodowany z rekordem ‚HOST’ i nie da się go usunąć. Pełna lista SPNów ‚wbudowanych’ w rekord ‚HOST’, z informacją, która usługa z nich korzysta jest tutaj.
  • o samych SNPach niedawno pisałem a propos kerberosa, uściślał też te informacje gibon. Przy okazji tego grzebania znalazłem bardzo fajny wpis nt. SPN, który udowodnił jedno – temat jest trudny, bo nikt nie wpadł na to, żeby go prosto wyjaśnić. A sprawa jest na prawdę trywialna – a zatem lektura obowiązkowa!
  • pozostaje kwestia duplikacji. Wynika ona z faktu, iż atrybut servicePrincipalName jest atrybutem replikowanym przez GC. A zatem podczas logowania idzie zapytanie do GC, tam faktycznie znajduje się zduplikowany SPN dla ‚cifs’… no i babol.

tyle w kwestii tego, co udało się w śledztwie wykryć. Pozostają pytania, na które odpowiedzieć mi się nie udało:

  • gdzie jest art microsoftu, który wprost mówi że ‚można’ lub ‚niemożna’ zakładać takich samych nazw kompów na przestrzeni lasu?
  • no i pytania zależne od odpowiedzi. jeśli oficjalnie ‚można’ to jak pozbyć się takiego błędu. jeśli ‚niemożna’ to czemu interfejs na to pozwala a informacji na ten temat nie ma w qrsach ani nigdzie oficjalnie łatwo do znalezienia?
  • no i ostatnie – ok. mam błąd w logach. no i co z tego? czy na coś to wpływa? kiedy powstanie błąd? jak poważny to błąd i czy można go olać?

***UPDATE
z linq od gibona: http://blog.joeware.net/2008/07/17/1407/ można przeczytać takie zdanie:

So anything else? I think not, this is good… What did we learn?

1. Don’t duplicate machine names in a forest, period.
2. If you have duplicate SPN issues, use AdFind to find all computers with the name in the SPN.
3. Duplicate SPNs means kerberos is already not working right for those machines so cleaning it up isn’t going to break anything worse.

dzięki!
btw. blog joeware zgłasza się jako niebezpieczny…

trochę podstaw o RAID

…w ujęciu praktycznym.

To są wolne myśli, zebrane po ostatniej awarii u klienta. Pracowałem z IBM xSystems 345 z ServeRAID6 ale informacje są raczej uniwersalne.

  1. pierwsza i najważniejszą rzeczą przy pracy z błędami macierzy jest backup. Trywializm, ale w chwilach awarii czasem nie myśli się do końca trzeźwo – tutaj ma to o tyle drastyczne znaczenie, że niektórzy uważają, iż redundancja zwalnia ich z konieczności trzymania backupu. W tym przypadq po pierwsze były backupy, po drugie obyło się bez nich, ale po pierwsze: jak strzeli kontroler, potrafi czasem zniszczyć struktury informacji na dyskach [lipek może się pochwalić takim przypadkiem, wcale nie tak dawno q:], po drugie – komunikaty i informacje wypisywane przez kontroler są często bardzo mylne, lakoniczne czy wręcz enigmatyczne – i wystarczy raz źle nacisnąć nie ten guzik… i po danych. RAID to fajne założenia, i duże bezpieczeństwo ale jak coś huknie, to trzeba pamiętać, że pod spodem jest tylko sprzęt z prymitywnym, BIOSowym interfejsem.
  2. drugim prozaicznym problemem jest ‚zawsze miej płytkę diagnostyczną/startową do serwera’. Ściągnięcie z netu CD startowej do danego modelu może trwać wieki. Szukanie takiej płyty to również duża strata czasu. Jest ona niezbędna, ponieważ niektóre modele kontrolerów dysponują bardzo ograniczonymi możliwościami z poziomu BIOS, dopiero soft z płyty pozwala na realną diagnostykę i konfigurację. Tutaj bardzo „fajne” zachowanie płyty do IBM, wykazujące jak ciężkimi ideami kierują się duże korporacje – niektóre głupoty microsoftu to piqś przy tym, co prezentuje IBM. Otóż zestresowany awarią admin odpala płytę i co widzi? ekran instalacji systemu operacyjnego. Trzeba wybrać konkretny system operacyjny i rozpocząć ‚jakby instalację’. Dopiero potem jest opcja konfiguracji ServeRAID ale najbardziej rozwalający jest ekran z napisem ‚CLEAR ALL DISK DATA’ z opisem, iż to usunie wszystkie dane z dysków. Do wyboru guziki ‚next’ i ‚back’. I trzeba po prostu wiedzieć, że po kliknięciu ‚next’ pojawia się kolejny ekran z opisem ‚skip this step’… ale to trochę tak jakby kogoś dla żartu wyrzucić z samolotu i w połowie drogi powiedzieć mu ‚a tu masz spadochron’. Dodam jeszcze, że płyta ma również opis ‚drivers’, ale kiedy sprawdzi się płytę to stery są, owszem, ale wymagają dyskietek [SIC!] bo nie ma opcji rozpakowania ich na dysk. Do tego są to stery do instalacji a nie dla samego systemu – przynajmniej ten konkretny dla RAID. Masakra!!
  3. struktury RAID to dyski fizyczne i logiczne. Dyski fizyczne przyjmują statusy ‚defunct’ oraz ‚ok’ [lub inne równoznaczne określenie]. Ważne jest aby pamiętać, iż ‚defunct’ nie jest wcale równoznaczny z ‚dysk jest uszkodzony i nie-do-użycia’. Oznacza to, iż został wykryty błąd i dysk został wyłączony z działania. Powinna być dostępna opcja ‚bring online’ i dopiero po włączeniu przekonamy się czy działa, czy nie. Dyski logiczne z kolei przyjmują standardowo statusy ‚offline’, ‚online’ oraz ‚critical’. To ostatnie nie oznacza wcale, że macierz działać nie będzie – oznacza brak redundancji i informację w stylu ‚jak teraz coś się spieprzy to jesteś w dupie’.
  4. kolejną śmieszną opcją są komunikaty wyświetlane przez kontroler. W przypadq tego konkretnego, podczas włączania dysków z defunct do online pojawia się piękna informacja iż ‚jeśli włączysz ten dysk to utracisz wszystkie dane z macierzy! czy jesteś pewien?!’. No i oczywiście trzeba być pewnym, ponieważ nie dość, że dane wcale nie giną, to jest to jedyny sposób na przywrócenie poprawionej macierzy do działania. W każdym razie w tym przpadq wszytko zahulało.
  5. z tym defunctem to w tym przypadq w ogóle było nieciekawie, ponieważ oba dyski z RAID1 pokazywały iż są nie-do-użycia. Zgaduj-zgadula i trzymanie kciuków, trafiliśmy za pierwszym razem. Wymiana jednego dysq, bring online [uwaga, utracisz dane!] i za chwilę wszystko działa, system się odpala, a drugi dysk jest w stanie ‚resyncing’. Znów trzeba po prostu wiedzieć
  6. kolejnym ciekawym zachowaniem jest właśnie resync. Operacja ta trwa czasem nawet wiele godzin [dla dysq 36GB, ultrawide SCSI, to było ok 1h przy niewykorzystanym kompie]. Jeśli włączy się tą operację można tak siedzieć i gapić się… albo po prostu zrestartować kompa i pracować. I to znów sprawa, która dla osoby nie miającej do czynienia z RAIDami może kosztować długie godziny. Resync po uruchomieniu wykonuje się w tle, można spokojnie restartować maszynę – cały układ będzie działał na dobrej części a w międzyczasie resyncował na nowy dysk. Jest oczywiście niebezpieczeństwo – jeśli coś strzeli w trakcie to game over, więc jeśli czas się ma – warto poczekać. Ale zazwyczaj czasu się nie ma q:
  7. podczas wykonywania resynca jednego dysq logicznego, nie można wykonać żadnych operacji macierzowych na pozostałych strukturach. W przypadq o którym piszę, uszkodzone były dyski z dwóch struktur logicznych, więc trzeba było czekać aż skończy się resync pierwszego, żeby naprawić drugi.
  8. RAIDy mają tą niemiłą cechę, że jeśli padnie jeden dysk, bardzo szybko lubi paść następny. Dla tego tak długo, jak tylko to jeszcze w ogóle działa należy: odłączyć dostęp do dysq dla użytkowników [obniżyć obciążenie], zrobić backup – i dopiero w następnej kolejności bawić się w zmiany dysków, resync itd. O ile to oczywiście możliwe – czasem system jest na tyle krytyczny, że należy podjąć ryzyko i zrobić to w locie – teoretycznie to właśnie jest poprawne działanie, ale przy powiedzmy macierzy z dyskami 2ooGB i pełnym obciążeniu, resync może trwać kilka godzin – jeśli coś się w tym czasie stanie, a prawdopodobieństwo jest zwiększone, poprzez mocniejsze dociążenie wszystkich dysków….
  9. ostatnim bardzo częstym problem… błędem… nie wiem jak to nazwać – może niedopatrzeniem – jest fakt, iż ponieważ po uszkodzeniu pojedynczego dysq w macierzy wszystko działa prawidłowo – często jest to przeoczane przez adminów. Tu znów wymaga jest profilaktyka – powinno się założyć jakieś event-trapy lub inne mechanizmy, które szybko poinformują o takiej sytuacji. Bo inaczej mamy RAIDa, który z bardzo dużym prawdopodobieństwem wkrótce przestanie działać…

wszystkie powyższe informacje nie są żadnym konkretnym guidem ani nie zawierają niby nic specjalnego, jednak podczas awarii – liczy się każda chwila a jeśli sytuacja jest stresowa… bywa ciężko. Mam więc nadzieję, że te kilka trywializmów będzie przydatne dla ew. czytających, którzy się z RAIDami nie zmagali – a niestety jest to praca toporna i ryzykowna, więc najlepsza pozostaje profilaktyka… i telefon do przyjaciela (;

IT Bullshit Bingo

Dziś edycja specjalna. Bez polskich znakow, z maca i na goraco.
Z gory uprzejmie prosze o odpierdolenie sie wszystkich bojownikow makintoszy, mam dostep do maka i chce cos napisac na szybko, a nie przekonfigurowywac caly ten pierdolony system, zeby literki napisal, źśółń – to na wszelki wypadek, zeby mi ktos nie wmawial ze nie umiem wlaczyc polskiego pro.
Mialem dzis niewatpliwa przyjemnosc uczestniczyc w dosc miedzynarodowej konferencji, a w zasadzie warsztatach, gdzie ludzie naprawde z calej europy cos tam sobie opowiadaja. Wystepuje tu w roli czarnucha do polaczania kabli i dzieki temu mam dosc dogodna pozycje do komentarzy.
Sprawa pierwsza: co nie dziala. Chronologicznie
Mialem 4 laptopy, jednego macbooka, jeden rzutnik i nieograniczona ilosc telefonow wykrytych po blutucie, o ktorym za moment.
Pierwsze niezadzialalo wyjscie audio z laptopa prezentacyjnego, powodujac u mnie lekka nerwowke i ektremalne wkruwienie jakiegos CEO, ktory akurat prezentowal film. Na szczescie poradzilismy sobie z tym filmem z maca, na ktorego przelaczalem sie za pomoca prywatnego spiltera VGA, ktory przynioslem z domu, bo na miejscu akurat takiego nie mieli (Mariott).
Potem nie dzialal superwazny film wcisniety mi na 5 minut przed prezentacja. Superwazny film byl nagrany na nieopisanej plycie, jeden laptop mial zepsute audio out, na macu, po przegraniu (250 MB w 6 minut – moze to Rumunska plyty cd byla??) film nie zostal rozpoznany jako film (pewnie nie mialem dodatku lasica, ktory rozpoznaje rumunskie filmy). Udalo sie go odpalic na 3 z kolei laptopie. Wkurwienie bylo mniejsze.
Podczas dwukrotnie sprawdzanej videokonferencji za pomoca iChata z Chicago z jakas wazna szycha, po puszczeniu kolesia na pelen ekran, mac z nieznanych przyczyn ucial 1/3 ekranu, na szczescie koles siedzial krzywo i nikt sie nie zorientowal. Biorac po uwage ile kosztuja rozwiazania do telekonferencji firm takich jak Polycom i porownujac to z kosztem lacza z hotelu, uwazam ze poszlo zajebiscie.
Podczas przerwy podeszlo do mnie zagubione dziewcze, podejrzewam z Rosji, sadzac po cyrlicy w telefonie, proszac mnie o przegraie zdjec z telefonu, za pomoca blututa oczywiscie. PC wykryl telefon, posrod 9 innych, wymusil podanie czterocyfrowego kodu, podlaczyl go do PC i na tym sie skonczylo. Podejrzewam, ze nie umiem obslugiwac tej technologii, bo nie wiedzialem jak przegrac te zdjecia. Mac tez wykryl ten telefon (15 innych tez), przydzielil mu 8 cyfrowy kod. Moglem go uzyc w macu jako modem do polaczen gprs albo dial-in, oraz jako zdalnego kontrolera prezentacji. Opcji przegrania zdjec nie bylo. Na szczescie juz nikt z telefonem nie przychodzil.
Sprawa druga: logistyka i organizacja.
Dostawalem prezentacje i filmy we wszystkich mozliwych formatach: mpg na cd, dvd video, pamieci USB. Nie wiem na czym polega fenomen, ze niektorzy potrafia miec przygotowany film na plycie opisanej informacjami (data, temat, format), ktora odpala sie wszedzie, a inni przekazuja nieopisana plyte (wspomiany rumunski CD), z 250 – megowym MPEG’iem, ktory ma zalosna jakosc i odpala sie tylko na co drugim sprzecie. Nieduzym pocieszeniem jest fakt, ze nie tylko u nas nie dziala.
Chwala Bogu, ze wszystkie prezentacje byly w PPT, tu kolejny wielki uklon dla Billa i jego chorej, zaborczej monopolistycznej i jedenoczesnie zbawiennej dla swiata wizji. Gdyby nie ten pieprzony, obecny wszedzie, drogi i znienawidzony Ms Office takie miedzynarodowe wydarzenia nie mialy by technicznej mozliwosci zaistnienia. Gdyby pojawil sie jakis wyzwolony Szwed z prezentacja w Open officie, chyba posikalbym sie ze smiechu.
Kolejne spostrzerzenie: wszechobecny pierdolnik na pulpicie, ktory jest glownym miejscem przechowywania danych jest standardem. To wiecej niz standard, to zelazny, miedzynardowy wzorzec organizacji danych.

ABSOLUTNY BONUS na koniec. Niestety niezwiazany z prezentacja.
Obiekty: nowka sztuka BlackBerry 8800 (orange) i nowka sztuka Dell Lattitude D430 w wersji full wypas (6500 netto).
Zadanie: podlaczyc blackberry do lapa i zsynchronizowac. Stawianie lapa, konfiguracja i klon trwaly 3 dni. Po podlaczeniu blackberry po USB, system wywala bluescreen, natychmiast. Zjebalem autora instalacji i kazalem zrobic to jeszcze raz – instalka, konfiguracja, klon – kolejne 3 dni.
Tym razem sam wzialem obiekty, blackberry zabralem dyrektorowi, wstawilem do niego inna karte sim i przez bite 2 godziny konfigurowalem synchronizacje. Sprawdzilem to w kazda strone.
Final operacji: ide do dyrekcji, klade lapa na stol, wkladam karte SIM dyrektora do jego blackberry, podlaczam po USB i… system wywala bluescreen, natychmiast. SYSTEM WYPIEPRZA sie DO BLUESCREENA, Z POWODU KARTY SIM W TELEFONIE. sam nie wierze w to co pisze ale takie sa fakty. Chyba warstwowy model budowy aplikacji nie zadzialal. Oczywiscie obejdziemy to jakos, ale powoli dostaje paranoi.
To tyle z pola walki z technologia. Na wnioski nie mam sily.

Zielone mi c.d.

Ja dokładnie trzy tygodnie temu niezależnie od Daro robiłem podobny test.

U mnie były dwa tryby testowane: tryb czuwania (czyli wlaczony do pradu tak jak zostaje jak wychodze z domu) i wlaczony,

kreska oznacza ze nie bylo trybu stand by i pobierał zero WAT.

Lampka ikea    –   20W

Linksys WRT54GL  –  5,3W

drukarka canon mp510 5,1W  nie sprawdziłem wczasie drukowania

dysk250GB w obudowie Welland 747 0,6W 20W

PS3  1W  120-140W

dekoder N 13,2W  13,5W

monitor benq 0W 100W

glosniki logitech5500  8,3W  21,6W

zasilacz laptopa podlaczony do pradu 8,3W

laptop podlaczony do pradu naladowany 25-50W zalezy co robilem na kompie

niszczarka dokumentow 0W 50-75W

czajnik 0W 200W (dziwne ale tylko 200W)

jak wychodzilem z domu to w tym czasie zassysalo sie ok 40W nonstop

wieczorami potrzebuje jakies 300W jak siedze w pokoju

wnioski:

rozdzielilem urzadzenia na listwy tak aby wylaczac te ktora generuje 40W

dlaczego:

lepsze samopoczucie, tak samo lepiej mi smakuja zakupy ktore przynosze w siatce z materialu a nie foliowej(o ile ja wezme na zakupy ;)

Zielono mi

Zgodnie z tendencją proekologiczną, oraz zmartwieni faktem, że w roku 2030 zabraknie energii do zasilania tego całego naszego elektrycznego pierdolnika zawiązaliśmy projekt „pro-eko” mający na celu zbadanie ile energii marnujemy korzystając / nie korzystając z całego naszego sprzętu elektronicznego w domu. Wiadomo – komputer nawet wyłączony jest w trybie gotowości, nie mówiąc o reszcie sprzętu, typu telewizory, głośniki i drukarki.

W warunkach laboratoryjnych, zespół specjalistów zebrał informacje, nt. „co ile zżera prądu”. Ustaliliśmy trzy stany urządzeń:
– wyłączone albo tryb gotowości (OFF)
– w trybie gotowości do pracy (ON)
– w trybie mocnego wykorzystania (FULL POWER)
Zmierzyliśmy większość domowych urządzeń, których mierzenie gwarantowało niespalenie miernika. (wyłączyliśmy z testów pralki, grzejniki oraz drukarki havy-duty).

Oto uśrednione wyniki tajnego raportu:

(przepraszamy za dramatyczny format, może ktoś umie to ładniej przekonwertować…)

OFF [W] ON [W] FULL POWER [W]

PC domowy do grania 18 115 200
Drukarka domowa laser 9 9 do 560
LCD domowe 19″ 6 46
Głośniki wypasy 2.0 20 20
Lodówka 0 0 500
Czajniczek 0 0 2000
Lampka IKEA na halogenik 9 40 70
PC biurowy HP PIV 27 90
PC biurowy DELL CORE 2 21 50
LCD biurowe 17″ 6 36
Mac mini 6 35
Power Mac G5 38 150
LCD WYPAS 21″ 9 46

Wnioski:
Wnioski są przytłaczające. Zakładając, że nie używam sprzętu (PC, drukarka, głośniki, monitor, jakiś wzmaczniacz, TV) przez 18 godzin w ciągu dnia i dzięki mojemu proekologicznemu nastawieniu, będę wyłączał ten sprzęt na czas nieskorzystania z niego, zamiast zostawiać go w trybie gotowości, to przez rok zaoszczędzę ok 80 zł brutto. Generalnie ledwo starczy to na pokrycie kosztów zakupu wyłączanych listew, nie mówiąc o tym, że nie zwróci się miernik (kosztował 100 zł).
To tyle z projektu, dzięki któremu mieliśmy zarobić krocie.
Osobną kwestią jest proekologiczne podejście do sprawy i wyłączanie sprzętu, zamiast zostawianie go w trybie gotowości, nie mówiąc o wymianie żarówek na energooszczędne – bo to dopiero generuje oszczędność, no i koszty, ale po kilku latach się zwróci
Jeszcze bardziej osobną kwestią, jest anty-ekologiczna lampka z ikei, która posiadając wyłącznik nie odcinający napięcia do transformatora i która nie świecąc zżera 9W. Oznacza to, że nie używając lampki, zużywamy tyle samo prądu, co używając jej przez 4 godziny dziennie. Taki paradoks poznawczy. Ciekawe ile tych lampek na świecie sprzedali…. Dla uspokojenia skołatanych nerwów, dodam, ze to dość specyficzny model lampki i inne modele nabiurkowe nie miały tego problemu.
Ponadto zdecydowanie widać ewolucje zasilaczy – maszyna z PIV (4-5 letnia), zużywa praktycznie 2 razy więcej niż najnowszy PC tej samej klasy. Mac mini przoduje – 35W podczas pracy to bardzo dobry wynik. Tym samym nie wierze w plotki, które głoszą, że można już złożyć PC na wypasie do grania (2 karty graficzne potwory i inne bajery) który będzie ciągnął 1kW. Wygląda to na spisek producentów zasilaczy. Teraz zresztą wchodzą nowe przepisy UE i sprzęt będzie musiał spełniać normy Energy Star 4.0, które jeszcze nie zostały zaakceptowane….
Oczywiście pozostają sprawy takie jak grzejniki, pralki i czajniki. Z wyliczeń wynika, że zamiast wyłączać komputery w domu lepiej pójść na herbatę do sąsiada.
Tak czy owak, oszczędzać trzeba, a w skali krajów i setek centrów danych technologie takie jak wirtualizacja czy ekologiczne zasilacze mają sens. Ale warto zacząć od własnego podwórka, o ile nie zaoszczędzimy majątku, to podłączając kilka wyłączanych listew i nie zostawiając sprzętów w trybie gotowości, można zaoszczędzić kilkanaście procent zużywanej energii. A to bardzo dobry wynik.

granularność W7

ars technika zastanawia się nad tym, jak bardzo granularny będzie w7 i jak to wygląda obecnie. vista i w2k8 niewątpliwie zrobiły duży krok w tym kierunq, ale sam kernel jest monolityczny a niektóre aplikacje nadal są mocno zintegrowane z systemem – IE, media player etc.
osobiście nie wierzę, żeby Microsoft posunął się tak daleko jak to proponują w arcie – wersja systemu ‚minimum’ i subskrypcje konkretnych modułów – jak pojedyncze usługi „windows live”. Sądzę, że emes nie zrezygnuje z monopolistycznych praktyk, i szybko okazałoby się, że jeśli IE nie jest standardowo tylko jako opcja, straciłby momentalnie olbrzymią ilość rynq. Ale to wszystko pozostaje marzeniami. trzeba długo W8 zanim W7 (;

z lotu na HHH

ostatnie dwa tygodnie podróżowałem po polsce na kolejne konferencje Heroes Happen Here – premierowe spotkania windows server 2k8, visual studio 2k8 oraz SQL server 2k8 [który będzie wydany pod koniec roq q:]. Miałem okazję poprowadzić sesję na temat problemów przy wdrożeniach w2k8…. i jestem nizadowolony, żeby nie użyć słowa ‚załamany’… sesja dotycząca wdrożeń to 1oo% IT PRO podczas, gdy umieszczono mnie na ścieżce dla developerów. żeby bardziej utrudnić życie dostałem tylko 3o minut – może zresztą i lepiej… bo na dobitke miałem sesje zamykającą. I tak wychodziłem naprzeciw sali pełnej [eh – jakiej pełnej… kto dotrzymuje do ostatniej sesji?] ludzi tuż po sesji MVP pampucha pełnej kodu – czyli pokarmu dla developerów – i próbowałem opowiadać im o instalacji serwera i usług… uffff… no ale co ja poradzę, że tak mnie dziwnie umieszczono. Szczęśliwie pomidorami nie zostałem obrzucony, ani też wygwizdany.
eh – szkoda. osobiście wydaje mi się, że wiele osób byłoby zainteresowanych informacjami na temat nowości – nie od strony zalet ale ograniczeń [ja zawsze czekałem na takie sesje!]… gdybym tylko dostał cała godzine na odpowiedniej ścieżce ):

niemniej wyjazd wspominam miło – bo doborowe towarzystwo polskiej śmietanki jest wartością nieocenioną.

kilka relacji można przeczytać na forum wss.pl, na tym wyszperanym blogu i na pewno wygooglać można masy innych…

a tutaj taka ciekawostka: skąd się biorą bohaterowie (:

zarządzanie tożsamością dla początqjących.

krótki text mający na celu odpowiedzenie na pytanie „po co zarzadzanie tozsamoscia?”

Zarządzanie tożsamością to bardzo ważny i (SIC!) niestety często pomijany element zarządzania infrastrukturą IT. System zarządzania tożsamością łączy się z wieloma pojęciami takimi jak np. „Single Identity” (SI), „Single Sign On” (SSO) które znacznie ułatwiają życie użytkownikom ale również w dużym stopniu z bezpieczeństwem.
[Terminy SSO i SI wykraczają nieco poza samo zarządzanie tożsamością stanowiąc mechanizm nadrzędny – wdrożenie IM jest pierwszym krokiem do realizacji tych mechanizmów.]
Zalety systemu IM:

  • User-point-of-view
    • Duże ułatwienie pracy użytkownika, ze względu na to, iż nie musi on pamiętać wielu kont i haseł.
    • Zmiany hasła dokonuje się w jednym systemie – co znów przekłada się na łatwość pracy dla użytkownika końcowego i bezpieczeństwo [o czym za chwilę]
  • Management-point-of-view
    • Zarządzanie pracownikami jest operacją bardzo złożoną wymagającą współpracy wielu działów. Powoduje to problemy w obiegu informacji to z kolei prowadzi do dużych opóźnień i braku wydajności pracy – takie elementy przekładają się bezpośrednio na koszty utrzymania. Dwa najbardziej krytyczne momenty w życiu tożsamości to jego utworzenie oraz wycofanie. Podczas przyjęcia pracownika, w minimalnym scenariuszu musi on zostać uwzględniony w bazie HR oraz musi mu zostać założone konto dostępowe do stacji roboczej. Zazwyczaj sytuacja jest dużo bardziej złożona, ponieważ systemów wymagających autoryzacji jest często więcej – np. baza danych SQL, baza ORACL, środowiska heterogeniczne gdzie zakładać trzeba wiele kont do poszczególnych systemów [np. Unix/Windows]. Przeważnie każdym z systemów zajmuje się inny dział, co w przypadku środowiska korporacyjnego prowadzi do tworzenia wielu skomplikowanych procedur, wykonywanych ręcznie – w większości przez osobę zatrudnianą [pójdź najpierw do IT na 2 piętrze… potem do bazo Danowców na 4tym.. potem do unixowców w budynku obok…]. Jest to marnotrawstwo czasu i niepotrzebna komplikacja systemu. Problemy te rozwiązuje system IM poprzez automatyzacje całego procesu. Wystarczy, że pani w HR założy w bazie wpis o nowym pracowniku i na podstawie tych danych założone zostaną konta o tej samej nazwie z tym samym hasłem. [elementy SI i SSO]
    • W skrócie – system IM radykalnie wpływa na wydajność pracy administracyjnej poprzez automatyzację zadań zakładania i usuwania kont.
  • Admin-point-of-view
    • Zarządzanie kontami sprowadza się do jednego centralnego punktu, eliminując wiele różnych interfejsów i punktów zarządzania kontami. System IM stwarza dodatkową warstwę abstrakcji, pozwalając centralnie zarządzać wszystkimi kontami danego użytkownika jako pojedynczą tożsamością. Korzyści są oczywiste – zarówno prostota zadań administracyjnych, minimalizacja czasu na operacje na kontach, które stanowią wysoki procent codziennych prac w działach IT, lepsza organizacja, eliminacja „papierowych procedur” i pełna automatyzacja… wyliczać można by na pewno jeszcze długo ponieważ w stosunku do tradycyjnych systemów [pozbawionych IM] taki model ma niemal same zalety. Jedyną wadą jest dodatkowa złożoność systemu informatycznego wymagająca dodatkowej osoby, która jest w stanie o niego zadbać.

    Security-point-of-view

    • Chociaż wymieniony na końcu to jeden z najważniejszych elementów systemu IM jest radykalne zwiększenie bezpieczeństwa. Jest to niemal oczywiste i wynika ze wszystkich wymienionych wcześniej czynników, które bezpośrednio przekładają się na bezpieczeństwo:
      • Eliminacja „karteczek z hasłami” poprzez ujednolicenie systemu logowania dla użytkowników
      • Wcześniej pisałem o „zakładaniu kont” ale tak naprawdę największym problemem w korporacjach jest ich usuwanie. O ile użytkownik po przyjściu do pracy nie będzie miał dostępu do zasobu – zgłosi się po niego. Po odejściu pracownika, informacja rzadko kiedy trafia do wszystkich działów zajmujących się poszczególnymi systemami. A więc pomimo licznych procedur, po np. zablokowaniu konta w AD, użytkownik ma cały czas aktywne konta do baz danych zawierających krytyczne dla firmy dane poufne. Tego rodzaju niedopatrzenia są codziennością w przeważającej liczbie firm, ponieważ dział HR bardzo rzadko ma otwarty kanał komunikacyjny z działem IT. „Said but true” .
      • Ważnym, a jeszcze nie poruszonym tu pojęciem, jest „rola”. Przy zarządzaniu system IM nie definiuje się grup dostępu czy uprawnień. Każda tożsamość ma przydzieloną rolę, co po pierwsze ładnie przekłada się na model biznesowy, ale przede wszystkim zapewnia, że po przydzieleniu roli, użytkownik będzie miał dostęp do wszystkich niezbędnych danych, poprzez propagację informacji z systemu IM do wszystkich systemów zarządzanych. I znów ważniejszy czynnik niż dodanie uprawnień to zmiana roli – w przypadku której tożsamość automatycznie zostanie usunięta ze wszystkich wymaganych grup/etc a tracąc tym samym dostęp do danych, nie przewidzianych dla roli, z której jest usuwana. Należy podkreślić słowo ‘automatycznie’ ponieważ eliminacja czynnika ludzkiego w systemach o takiej złożoności jest *krytyczna*

Tydzień exchanga

Przed wami kolejna wstrząsająca relacja z awarii…

Średnia firma. Mieszcząca się w willi. Poważna awaria prądu wykańcza UPS’y. Padają serwery. Administrator podnosi to wszystko w nocy.
Rano pracując zdalnie administrator nie może dostać się do exchanga – restartuje go. System
wciąż jest niedostępny. Na miejscu okazuje się że:
CPQ ML530, 3 zasilacze, 6U w szafie, jego kontroler smart array 5300 zgubił informacje o dyskach logicznych. (Były dwie partycje logiczne: RAID1 na system i RAID5 na dane). Popularnie mówiąc – nie ma niczego. Procedura recovery nie przewidziała takiego psikusa ze strony kontrolera RAID. Wszystko wskazuje na to, że dyski i kontroler działają, ale nie mają informacji o dyskach logicznych. Skanowanie ACU, przekładanie dysków pomiędzy slotami i do innych serwerów nie pomaga.
Przybyły na miejsce tragedii technik rozkłada bezradnie ręce. Infolinia HP, jak zawsze profesjonalnie i lakonicznie stwierdza, że serwer już po gwarancji i wizyta odpłatna, owszem, ale o niższym priorytecie, – czyli realnie za dwa tygodnie albo dwa lata – dla nas nie ma różnicy.
Cóż – jedziemy z pełnym odzyskiwaniem serwera. Nowy serwer, w2k sp + exchange + Backup exec i odzyskujemy. Niestety nie było to wystarczająco dobrze przećwiczone. Administrator po kilku godzinach poddaje się. Ściągamy meksykańska specgrupe od rozwałki.
Spec nr 1 ds. systemów windows przybywa na miejsce tragedii o godzinie 16:00. Stawianie serwera od początku, exchange, backup exec – i znów odbijamy sie od ściany. Kolejny telefon – chwila napięcia i okazuje się, ze spec nr 2 ds. backup exec’a jest dostępny i przyjedzie.
Dociera na miejsce ok 19: 30. Godzina wytężonej walki z backup execkiem przynosi rezultaty. Rusza odzyskiwanie z backupu – później okazuje się, że 25 GB storów i folerów publicznych zostanie odciągnięte z streamera LTO3 w rekordowym kurwa mać czasie 2 godziny 40 minut.
Spędziliśmy go omawiając obecną sytuacje gospodarczą, polityczną i techniczną wszystkich znanych krajów, nie oszczędzając filmików z YouTub’a.
Gdy po 23:00 mózgi powoli zaczynały kąpać nam na klawiaturę backup radośnie kończy się pełnym sukcesem i równie radośnie, zgodnie z terminarzem backupu, a przy naszym pełnym zaskoczeniu rusza standardowy backup Overwrite ustawiony na godzinie 23:00, który znów zgodnie z planem i przy naszym już absolutnie pełnym zaskoczeniu nadpisuje taśmę, z której właśnie skończyliśmy odzyskiwać dane. Dobrze, że nie w odwrotnej kolejności.
Niezrażeni tą porażką sprawdzamy konsystencje storów, która odbiega trochę od ideału, i wymaga naprawy. Przed naprawą obowiązkowy backup jedynej kopi storów, która ostała się w organizacji. Niestety przy naszym kolejnym zaskoczeniu 25GB baz kopiuje się z partycji na partycje serwera klasy HP DL380 G6 (dyski SAS) w kolejnym rekordowym czasie 40 minut (ma sterowniki! Stawiany ze smartstartu). Mózg z klawiatur zaczyna skapywać na podłogę, ale dajemy rade.
Naprawa storów zakończona sukcesem. Maile działają. Ludzie mają do nich dostep, dochodzi 02:00. Jeszcze kilkanaście minut walki z backup execkiem i jego nienormalną konfiguracją użytkownika, który ma prawo odzyskiwać skrzynki trybie brick level. Pakujemy plecaczki i nieco wykończona specgrupa od rozwałki opuszcza miejsce zdarzenia.
Straty:
• maile organizacji z jednego dnia (backup nie wykonał się z środy na czwartek, – bo padł prąd)
Wnioski:
• Rekonfiguracja backup execka wymagana, w szczególności ochrony mediów przed nadpisaniem.
• Rekonfiguracja procedur backupu również.
• Regularne ćwiczenie scenariusza pełnego recovery excheng’a – obowiązkowe.
• Dla dociekliwych: co zrobił ten pieprzony kontroler, że zgubił te dyski oraz dlaczego nowy serwer z pełnym zestawem sterowników tak zajebiście szybko kopiuje pliki?

%d bloggers like this: