» Флейм для сисадминов (часть III)

goletsa

RRAS.
И, шире, netsh Эта шняга по возможностям сравнима с iproute2 - а всякие эти ваши ifconfig и route суть антиквариат .

ЗЫ. Завязывайте красноглазничать

А BGP оно умеет?

я сказал - аналог iproute2, а не quagga
netsh расширяема, извращенцы могут попробовать написать и такой контекст.

Кстати, posix рантаймы под винду всё многочисленнее и совершеннее
Но, вообще-то, в условиях доступной виртуализации пипискомерка полностью обессмыслилась.


Сейчас актуально другое: переносимость конфигурации сервисов, отвязывание её и от конкретных железок, и от операционок.

эх-х.. бгп, квагга.. "в маём доме папрашу нэ выражацца!.." (с :)
"какие руки? какие ноги? у меня нет ни задних ни передних ног!" (с :)
есть тока хвост.. в смысле - винда.. :)

---

ланна, холиварить не будем.. поконкретней спрошу:
почему пакеты протокола IP-250 не проходят через шлюз в инет и обратно?
т.е. напрямую со шлюза - всё хоккей.. и внутри локали - тож без проблем..
из локали через шлюз - фиг вам, в обе стороны.. :(
где собачка может порыться?

TheBarmaley

А если сервис RRAS отключить - и попробовать вручную включить ip forwarding?

Интерес чисто теоретический, а на деле RRAS действительно глюкало, и, чем с ним бодаться в глючных случаях, проще переметнуться на никсы. Не вообще, а только конкретный сервис туда переместить.


Добавлено:

ну, или WinRoute попробовать - если к никсам идиосинкразия...

F1.
Подскажите кто-нибуть, существуют ли какие-нибуть нормы регламенты КЗОТ о IT экзаменах?

Не совсем адекватные работники отделов кадров понятия не имеют что на предприятии без АСУТП с численностью 170 ПК, как минимум обслуживания, администрирования и поддержки 50 различных программ , прокладки сетей , раздачи и учета билинга , полной потдержки пользователей, закупке и настройке оборудования по всем вопросам касательно IT, разработке ПО как минимум на 4х языках программирования маловато 2х человек с должностью программист и обслуживанием всего вышеперечисленного и считаю что обязанности должны быть хотябы немного распределены на админов программеров , железячников и поддержке пользователей , к сожаления они этого не хотят понимать и собираются сделать универсального солдата из нас, подскажите как можно защититься от этого?

OOD
В этом топике очень давно проходила норма (кажется только из расчета здравого смысла) на 50 человек - 1 админ. Как найти эту страницу сейчас я не представляю
В твоем случае админов должно быть как минимум 3. Оптимально 4. Абслютно не представляю, что происходит, когда у тебя один из админов или болеет или в отпуске. Нас 2 на 100 человек. и то очень трудно, когда один админ в отпуске, а другой работает в одно лицо на 100 человек. Правда пользователи сознательные и отрывают лишь по срочным моментам. но иногда этих моментов бывает много. И никакой радмин не помогает

Добавлено:
Пока нашел лишь твои и мои же сообщения за 21-08-2008 года. Неужели ничего не изменилось за это время?
http://forum.ru-board.com/topic.cgi?forum=8&topic=24811&start=3540
http://forum.ru-board.com/topic.cgi?forum=8&topic=24811&start=3560
http://forum.ru-board.com/topic.cgi?forum=8&topic=24811&start=3580

OOD
Видимо не все так плохо:
http://forum.ru-board.com/topic.cgi?forum=51&topic=9261&start=20#11
Хотя все-таки

Цитата:

В твоем случае админов должно быть как минимум 3

У нас в районе 200 компов. Один железячник (узловой ремонт техники, заправка картриджей, прокладка сети вместе со мной), я - сисадмин/техподдержка, еще один занимается закупкой/списанием + программирование. Плюс 1С-программер.
Еще правда пара человек занимается поддержкой производства (контроллеры и пр.), они периодически помогают железячнику.

Mushroomer

Цитата:

когда один админ в отпуске

тогда берешь мешочек с едой и отправляешься в поход по узерам, забыв мобильный телефон и не сказав куда пошел, иначе просто разорвут вопросами от того где находиться Еникей , до вопроса написания все различных прикладных программ для автоматиции.

По моему кроме как вариант уволиться с мотивацией того что людей должно быть больше, или узера должны быть более адекватными самый оптимальный т.к. никто слушать не будет просто так....

OOD
Вроде нашел то, что тебе нужно. Ссылка http://sysadmin.mail.ru/pforum/viewtopic.php?t=2424
вывела на ссылку http://www.networkdoc.ru/files/instr/index.php?option=com_content&task=view&id=466&Itemid=88888960

Цитата:

Межотраслевые типовые нормы времени на работы по сервисному обслуживанию персональных электронно-вычислительных машин (ПЭВМ) и организационной техники (ОТ) и сопровождению программных средств (ПС)* предназначены для расчета трудоемкости работ, установления нормированных заданий, а также для определения численности работников, занятых сервисным обслуживанием, текущим ремонтом ПЭВМ и ОТ и сопровождением программных средств в организациях.

В ней 5-ая страница и далее. Удачи.

Коллеги, тут вопрос поставил одна контора..
в данный момент какой самый крутой процессор и платформа для серверов ?
И какие оборудование и ПО надо для кластеризации MSSQL2005(2008) ?
P.S. тоже современные решение интересует. Можете просто ссылки дать.

contrafack
Сколько предполагается процессоров в сервере ?
Если интел - то http://processorfinder.intel.com

LevT
Цитата:

если сервис RRAS отключить - и попробовать вручную включить ip forwarding?

если не влом - можно чуток подробнее? как/где это сделать, в нетшелле?
[more=по остальному]
Цитата:

проще переметнуться на никсы.

для меня - не проще.. ибо я в них полный валенок, на уровне начинающего юзера.. :(

второй момент - на серваке, кроме этой задачки, крутится ещё много чего, всё настроено, отлажено и норм. пашет.. и переходить на никсы в такой ситуации, сам понимаешь, слишком геморройно.. для меня, во всяком случае.. а главное - не вижу особого смысла..

самое гавённое в том, что этот долбанный протокол - единственная хрень, которая не хочет работать.. все нормальные (стандартные + защищённые в т.ч.) протоколы без проблем рулятся штатным маршрутизатором.. в тырнете смотрел, но ничё более умного, чем прямое подключение к тырнету (или переход на никсы :) не предлагается..

пробовал порулить траблу с помощью CHX-I и NAT-32, безрезультатно.. ну, т.е. ничем не лучше, чем в стандартном маршрутизаторе от дядюшки Билли.. хотя, вполне вероятно, что не до конца разобрался..

что касаемо
Цитата:

только конкретный сервис туда переместить

репу чесал уже, но в любом случае придёцца отдельное прямое подключение к тырнету делать - основной шлюз на винде и промежуточный никс проблему не решит.. ну, а если ставить вирт.машину с никсом на шлюзе - писят на писят, что проканает..

про винроут, керио и иже с ними смотрел уже.. кста, по найденной инфе и с ними не всё шоколадно, тоже народ трахается с этой траблой.. + есть ещё вопрос лицензионной чистоты, а бабла на них не дадут.. ну, это как всегда.. вот почему и смотрю в сторону руления стандартными средствами венды..

вопчем, дело не в "идиосинкразии", а в отсутствии нормальных знаний никсов и времени на их изучение..[/more]..

contrafack

Цитата:

какой самый крутой процессор

IBM Power 7 или Intel Itanium 9300:
http://www.internetua.com/IBM-predstavila-novie-vosmiyadernie-processori-Power7
http://www.hi-news.ru/zhelezo/itanium-9300-otvet-intel-ibm-power7.html


Цитата:

И какие оборудование и ПО надо для кластеризации MSSQL2005(2008) ?

http://msmvps.com/blogs/gladchenko/archive/2008/05/02/1613126.aspx

TheBarmaley

Раньше в реестре был простой ключик разрешающий пересылку, чуть ли не со времен Win9x

Сейчас предлагается юзать контекст routing (т.е. тот же самый RRAS)
http://technet.microsoft.com/en-us/library/cc730801(WS.10).aspx

TheBarmaley
Этот хитропопый протокол, похоже, немаршрутизируемый, т.е. NAT не умеет правильно подменять адреса. Самое простое решение (для виндузятника, ессно ) - терминалка на шлюзе и публикация приложения нужному человечку.
Есть, каЭшна, и вариант с демилитаризованной зоной, но тогда проблемы с доступностью сети с этого компа будут. Исчо вариант - напиши разрабам, пущай объяснят, где собака порылась. Ибо нефиг глюкавый софт плодить и продавать.

ndch
PhoenixUA

спасибо. распечатал и отправил им. скоро будет "эхо".

Вот я уверен на 99%, что они не будут покупать такое, но ведь надо же мозги мне трахать !! Щас позвонят вопросами еще: "а частота, кэш какой? под него мат.плата есть?"

А про кластера вообше молчу..

LevT
Цитата:

в реестре был простой ключик разрешающий пересылку

не томи, начальнег, колись, чё за кей.. :)
Цитата:

юзать контекст routing

по "родной" справке уже гулял.. пока так и не допёр, как этот конкретный протокол в нат добавить.. :(
за линку спс, поковыряюсь ещё, может, чё новое вычитаю.. :)

---

andrejvb
Цитата:

протокол, похоже, немаршрутизируемый, т.е. NAT не умеет правильно подменять адреса

вся фишка в том, что нат работает.. т.е. с локали через маршрутизатор и обратно проходят все стандартные пакеты.. во всяком случае, клиент-банк работает на ура через тот же роутер.. + всякие пинги/трасерты нормально идут.. а не проходят именно пакеты с долбанным заголовком IP-250, будь он неладен..

про терминал я тоже думал.. но пока оставил это на крайняк, когда уж совсем за горло возьмут.. :)
чес гря, не очень хочеццо из-за какой-то шняги на шлюзе ещё и терм.сервер громоздить..

Цитата:

Есть, каЭшна, и вариант с демилитаризованной зоной,

в смысле? не понял, это предложение удалённый комп посадить в дмз? и как?
у меня к нему "рулёжного" доступа нету.. да и с "той стороны" никто не согласицца на это..

нащёт "плодить и продавать" - это приблуда федералов, идёт на халяву, но хошь не хошь, а рано или поздно с казначеями придёццо через неё работать.. разрабы (пошукал как-то на их сайте) ничё умнее прямого канала не могут предложить.. ваще, похоже они сей протокол спёрнули с мелкософтового впна, только нормально прикрутить к винде так и не могут.. хотя боянЪ за доработку идёт уже давно..

и вопрос ещё - почему все так уверены, что в никсе можно, а в винде - никак? в чём, сопссна, отличие-то?
инструменты разные, не буду спорить, но суть-то решения и там и там одна должна быть..
т.е. что такого есть в линухе, чего нету в венде в принципе? ну, в текущем контексте, ессно.. :)

TheBarmaley

Цитата:

не проходят именно пакеты с долбанным заголовком IP-250

Дык я тебе про это и говорю. В этих пакетах маршрутизатор не может подменить в заголовке адрес посылающего и, соответственно, тебе ответ и не прийдет.

Цитата:

не очень хочеццо из-за какой-то шняги на шлюзе ещё и терм.сервер громоздить

Не прикалывайся. Поднять ТС на 2к3 или сломать ХР под ТС - дело 10 мин. Плюс 15 мин - на установку самой проги и 10 мин - обрезание прав доступа и публикация (распространение ярлыка) на нужных пользюков.

Цитата:

это предложение удалённый комп посадить в дмз?

Нет, это предложение ТВОЙ комп с этой говённой прогой вывести в ДМЗ, т.е. передать ему внешний ИП и определенные порты.

Цитата:

почему все так уверены, что в никсе можно, а в винде - никак?

А никто и не уверен На Фриске этот номер не прошел, а она на Слаке построена. Уверенность кроется, скорее всего, в ключевом слове "мост", который в никах куда как нативнее организуется.

andrejvb
Цитата:

маршрутизатор не может подменить в заголовке адрес

ладно, тогда где гарантия, что в никсе прокатит?
или, если
Цитата:

никто и не уверен

выходит, что кроме прямого подключения или терминала никак?

Цитата:

на установку самой проги

вот именно - терм.серв. поставить/настроить действительно быстро и несложно, тут базару нет..
но ужасно не хочу на нормально настроенный боевой серв ставить хрен знает как написанную прогу.. ж:о

Цитата:

Нет, это предложение ТВОЙ комп с этой говённой прогой вывести в ДМЗ

наверное, всё-тки, вывести его ИЗ дмз..
т.е. как-то пропихнуть через мой шлюз в локаль тот же самый злосчастный протокол, так?..
чё касаемо "лишнего" белого ип-шника, это можно попытаццо порулить с провом..
но тогда уж проще прямое подключение сделать, имхо.. от чего и уходим.. :(
или я чё-т неправильно понял?

Цитата:

в ключевом слове "мост"

тэ-экс.. а это уже интереснее.. так, правда, не делал никогда.. но - занятно!..
и чё, ты хочешь сказать, что при использовании сетевого моста есть шанс разрулить эти грабли?
и какова гарантия успеха - 50/50? или выше?
если "стопуд" - я пошёл учить матчасть.. :)

н-да.. у меня при этом вырисовывается апгрейд шлюза с 2000 на 2003..
ну, сопссна, давно хотел это сделать.. ;)

TheBarmaley

Цитата:

наверное, всё-тки, вывести его ИЗ дмз..

НетЪ http://www.dlink.ru/ru/faq/69/303.html

Цитата:

и чё, ты хочешь сказать, что при использовании сетевого моста есть шанс разрулить эти грабли? и какова гарантия успеха - 50/50? или выше?

Сетевой мост транслирует ВСЕ пакеты без изменения, по сути, это аналог ДМЗ (в данной ситуевине).

Цитата:

так, правда, не делал никогда.. но - занятно!..

Ога Ставишь на шлюзовую машину виртуалку, в нее - поломатую под ТС ХР с прогой, один интерфейс виртуалки - в мост с внешним шлюза, второй (виртуальный) в локаль. На внешнем интф виртуалки - вторй белый ИП. Как тебе конструкция? Через опу, вестимо, но, если ресурсов на шлюзе достаточно - работать будет.




Добавлено:
Главное, никакого влияния говенной проги на боевой сервер, а виртуалку можно и для других целей попользовать: WSUS в ней поднять, NAS (c iSCSI), WDS и проч. Воопче-то я всеми четырьмя конечностями за виртуализацию таких вещей. Там стока вкусностей, УУУ!!!!!

Добавлено:
P.S. Писателей всяких бух, налоговых, клиент-банковых прог я бы убивал еще в детстве...

Цитата:

P.S. Писателей всяких бух, налоговых, клиент-банковых прог я бы убивал еще в детстве...

да ну их, всех не перебьешь, да и ни к чему. Обыкновенные пильщики бабла.
Настоящие враги - те, кто систему такую придумали и внедрили, где нормальные люди зависят от человекоговна.



Добавлено:
TheBarmaley

Цитата:

не томи, начальнег, колись, чё за кей..

google it: "windows registry ip forwarding"

andrejvb
Цитата:

НетЪ

ясно.. я подразумевал немного другое понятие дмз.. второе значение, ессно.. :)

Цитата:

Как тебе конструкция?

чую, тухлое моё дело.. запах кончины сервака ощущается.. и вороньё уже слетелось.. :(
с вирт.машиной, боюсь, тоже может не проканать.. пробовать надо.. эххх.. знать бы резалт..
ланна, ясно.. итог таков - терм.сервер + кривулина на боевом посту, как ни крути.. ы-ы-ы-хы-ы-хы-ы-ы..

Цитата:

Писателей всяких

а лучше - ещё в зачатии.. вопчем, как говорил т.Сухов - "этт точно!".. (с :)
перефразируя доктора Ливси из известной мультяхи: для админа программист и передаст - это одно и тоже.. ;)

Добавлено:
LevT
Цитата:

google it:

тнх! йес, ай гет ит: IPEnableRouter=1.. :)
и точно - когда-то где-то я ключег этот ставил, забылось уже.. попробую ещё разок..

TheBarmaley
Посмотри еще в эту сторону:
http://compsafe.ru/?p=270
Хотя оно больше к IPSec относится, но вдруг поможет...

PhoenixUA
хмм.. пасиб, попробую, чем чёрт не шутит.. :)
я так понял, это надо будет проделать на клиенте, а шлюз все равно апгрейдить до 2003..
ланна, ясно.. пасиб ещё раз..

TheBarmaley

Цитата:

я подразумевал немного другое понятие дмз

пользуясь моментом - хотел спросить: DMZ только в целях защиты/безопасности используют?
P.S. ( 2 года назад настроил один локальный web сервер в DMZ на debian).

TheBarmaley

Цитата:

с вирт.машиной, боюсь, тоже может не проканать.. пробовать надо.. эххх.. знать бы резалт

Ну дык! Возьми любой комп с Хрюшей, поставь в него Варю, присвой ИП шлюза (внешний) и экскрементируй на здоровье. А шлюз на время экспериментов - выруби. Ставить глюкало на боевой серв, не зная результат, эт не кошерно

andrejvb
всё бы можно, тока придёцца либо карточку из серва выдирать, либо с маком химичить.. ;)
эт ладно, дык там ещё шняга со всякими эл.ключами и т.п... сршенна не имею желания отвечать за их втыкание/вытыкание и хранение, даже если и проканает с вмварой и терминалом.. + за возможные косяки бухов.. ведь ежли чё не так пойдёт - как пить дать, свалят всё на мой лысый череп.. оно мне надо?.. почему и не хочу тащить это гуано на шлюз в принципе..
ланна, на выходных буду биццо ещё, может чё получицца..

---

contrafack
Цитата:

пользуясь моментом - хотел спросить: DMZ только в целях защиты/безопасности используют?

пользуясь моментом - отвечаю: ну отчего же.. ещё и просто для отделения локалей от тырнета, например..

---

мне это напомнило старый [more=анекдот]почтальон звонит в квартиру, дверь открывается, на пороге стоит двухлетний мальчуган с дымящейся сигаретой в зубах и бутылкой водки в руке..
слегка офигевший почтальон спрашивает:
- мальчик, а папа или мама дома?
пацан затягивается, выпускает струю дыма в лицо почтальону и говорит:
- братан, а ты сам-то как думаешь?[/more].. ;)

TheBarmaley
Не понял ты меня На подменном компе надо ПРОВЕРИТЬ, есть ли смысл корчиться с Варей и вторым белым ИП. Как раз для того, чтобы потом не было
Цитата:

ведь ежли чё не так пойдёт - как пить дать, свалят всё на мой лысый череп

А с маком-то какие проблемы? вогнал его в карточку подкидыша, а старый отключил нафиг. Тем более, что мак можно будет вгонять и в вирт. карту Вари, надо экспериментировать. На самом же компе - нифига не ставить, даже в Инет не пускать его. Только проверить вариант изоляции глюкала в вирт.машине и доступа к ней через ТС.
Все едино, такие эксы проводить мона тока на выходных аль опосля работы. И боевой серв гасить воизбежание. Ни подменный комп, ни Варевскую машину даже в домен вводить не надо.



Добавлено:
contrafack

Цитата:

DMZ только в целях защиты/безопасности используют?

Не только. Пример: у конторки маленький сайтец и почтовик при неммм. Куплено доменное имя, у регистратора все прописано на твой белый ИП. Сервер физически находится в конторке, логически в ДМЗ и доступен для всех, в том числе и изнутри локалки, через доменное имя и внешний ИП. А конторка вдруг забурела, развиваться начала, или наоборот, переехала в тьму-таракнь, где канала нормального нет. И шо делать?! А сцылей-то на сайтец многа-многа, а коммивояжеры по всей стране катаются с ноутами, на которых привязка к твоим ФТП, почте и прочему овну.
А просто фсё Покупаем хостинг или выделенный сервер, или ставим свой серв к прову на коллокейшн. И просто переписываем А запись и проч у регистратора. И нифига более менять нинада. От така фигня, малята ©Дед Панас "В гостях у сказки" TB OPT

Цитата:

почему пакеты протокола IP-250 не проходят через шлюз в инет и обратно

Цитата:

Этот хитропопый протокол, похоже, немаршрутизируемый

это вы СЭДом балуетеесь или Континент? За керио винроут работает!