» Флейм для сисадминов (часть III)

nikolaevsergey
Цитата:

отложил сей процесс до субботы

"узнаю брата шуру".. (с ;)
суббота - самый что ни на есть админский день, чиним-паяем-косяки-починяем.. :)

Цитата:

моя идея с *.hta наиболее простая

так и есть, принцип Оккама - он и в Африке работает..
но всё-тки - именно в автозагрузку и именно через гп, так потом легче рулить будет..

TheBarmaley

Цитата:

так потом легче рулить будет..

несомненно, коллега.. я хотел сказать что в ГП настроить запуск программ при логине юзера, а не список выполняемых скриптов опосля того же самого логина.. скрипты для данной задачи - пушка по воробьям..

Коллеги кто-нибудь из вас Cacti мучает? Желательно под винды, интересует вопрос по экспорту графиков на FTP

2_Алл
такая фигня имеется:
вин2000 сервак, в оснастке маршрутизация и удал.доступ не даёт откл./вкл./настроить маршрутизацию..

т.е. сама операция, типа, выполняется, служба - отключается, после чего удаляю сервер маршрутизации, потом снова добавляю (этот комп), но - недоступна строчка "настроить и включить", сразу же, типа, работает.. хотя никаких свойств посмотреть/поменять не даёт - появляется значок ошибки, тупо отключается, а в откл. состоянии - ошибка доступа (у вас нет прав, бла-бла).. запустить/перезапустить можно, служба запущается, значок зелёный, но ничё не меняется - свойств нема и все настройки отсутствуют.. млин-н, уже третью неделю колупаюсь, как в танке.. :(

вот ещё чё было - несколько раз при "перестроить список серверов" вместе с именем самого компа появлялся ещё один сервер - но вместо имени стоял внутренний ип одной из карточек (на компе две смотрят "внутрь", одна - "наружу").. этот "фантом" тоже неуправляем - даже меню пустое (тока удалить/обновить), в состоянии - имя не найдено..

грешу на "хвосты" NAT-32 - баловался как-то с этой тулзой, давно, потом снёс..
и дрова её тоже снёс, из "наружней" карточки..
хотя не факт, что из-за этой тулзы грабли..

временно поставил/настроил CHX-I NAT, там всё работает..

сумбурно, мо быть, написал, сорри..
кто-нить сталкивался? и как сей косяк пофиксить? ну, хотя бы, где копать?

переустановку системы не предлагать, хочется разобраться, штоб больше не наступать на эти грабли..
и апдейт до вин2003 тоже пока не хочу делать, хотя терпение уже иссякает.. :)

TheBarmaley
Если это не DC, я бы посмотрел на предмет ошибок в Winsock и Lsp (avz4 и autoruns), сбросил бы в дефолт (netsh, winsockfix, LSPFix и avz ) все, и после перезагрузки настроил по-новой. Если DC - тада в выходные, полный образ Акронисом (с лайвсиди) при полностью погашенной сетке и то же самое. Если ДЦ не один - х.з. что делать А в логах никаких ошибок?

Цитата:

грешу на "хвосты" NAT-32

Лехко. Или шо нибудь подобное НОДу

andrejvb
Цитата:

Если это не DC

нет, спс, гляну..
в нетшелле я полный валенок, пытался разобраццо, но всё как-то недоних.. :)
отсюда вопрос сразу - там надо в роутинге ип нат крутить? и как?

Цитата:

А в логах никаких ошибок?

смотрел, фигня всякая, огрызается при запуске этой службы, но я уже ошибку нашёл по коду и пофиксил..
ща тихо, а толку - всё одно не жужжит.. :(

Цитата:

Лехко. Или шо нибудь подобное НОДу

нода нет, везде стоит корп.каспер..
на др.серваке софтовая конфига аналогична, там всё пашет, правда там 2003..
вот я и думаю - есть кайф накатить поверх или нет..
"хвосты", вроде как, все подчистил в реестре, ну, чё знал.. видимо хде-т ещё нагадил, сцукко.. :(

лан, пасиб ещё раз, если чё - поспрошаю ещё, угу?

тут спросил..
мож хто патскажиД чо делать та? хто цифорки писАть будид?

TheBarmaley

Цитата:

отсюда вопрос сразу - там надо в роутинге ип нат крутить? и как?

Я не это иел ввиду. Просто сброс в дефолт командами вида:
netsh int ip reset d:\int.log
netsh winsock reset d:\....
netsh firewall reset ... и т.д
В логах ты увидишь, что, по мнению системы, там не правильно. А настраивать все это дело через netsh я тоже не люблю , долго и уныло. Ну разве что, шлюз поменять на лету или ДНС

Добавлено:
В принципе, winsockfix все это делает сам.

andrejvb
Цитата:

Просто сброс в дефолт командами вида

так.. стоп.. напоминаю - на тачке стоит вин-2000 серв, там это не пашет.. или я гоню?

коллеги, тут надумался делать виртуальную "показуху" для клиентов )) то есть чтоб клиенты смогли зайти на сервер с инета и "ощупать" продукт, но скажем MS sharepoint, MS ISA, Autosoft, symantec backup и т.д.
Вот наверно вы видели у разработчиков, когда хотите смотреть что это такое - вам дают ссылку с логином, скажем, demo и паролем demo вы заходите поюзайте, портите а потом все возврашают из снапшота и все опять новый . Думаю вы поняли да меня ?
Типичную проблему, просто локально, написал Здесь

contrafack
ну фаерволом запретить вмварный порт..

contrafack
а если дать доступ через терминальный серв, настроенный соответссно? если не хоца отдавать ресурсы рабочего сервака, можно сбацать отдельную демо-тачку и перенаправлять внешние запросы на неё..

---

andrejvb
по поводу моего глюка с маршрутизацией..
покурив мануалы, сбросил интерфейсы и настройки роутинга через нетшелл.. ессно, перегружался..
результат - ноль ампер.. ваще, в хелпе (родном) даже близко ничё не валяется про такие грабли - типа, выкл/вкл и всё.. :(

ещё мысли есть?

perdun

Причем тут фаер вообше ? если это юмор был, то не удачный.

TheBarmaley

Ну для таких дел могу выделить специально тачку и даже с крутыми ПО, есть лицензии от многих ПО в наличии.
вот только не знаю как можно такое реализовать ... чтоб все было красиво для клиентов.. и грамотно (безоапсно)

contrafack
Цитата:

если это юмор был, то не удачный.

ну почему же.. пятница, вечер, пиво охлаждаеццо.. ;))
так шта очень даже в струю.. ибо давным-давно сказано было всевышним и вездесущим:
Цитата:

т.к. можно нарваться на несерьезный ответ

---

ланна, баянЪ..

теперь по делу:
Цитата:

как можно такое реализовать

жевать особо не буду, но смысл таков - ставишь терминальный серв, на нём настраиваешь все нужные проги/демки, отдаёшь его в доступ клиентам.. для них будет более чем "красиво", т.к. все проги работать будут не на виртуальных машинах, а на реальном железе.. особенно - если отдашь под это дело "тачку и даже с крутыми ПО"..

как оградить всё это щастье от порчи кривыми руками неопытных клиентов и злобных хацкеров - вопрос второй, но если в конце концов решишь идти по пути терминального доступа, он вполне решаемый..

чтобы к тому же всё это было
Цитата:

и грамотно (безоапсно)

ни в коем случае не держать на этой демо-телеге критичные приложения, а пропихивать все внешние запросы (я так понимаю, клиенты будут через тырнет к тебе ломиццо) со своего шлюза на эту точилу прямиком, полностью ограничив, с другой стороны, её доступ к ресурсам остальной внутренней сети..

ну и напоследок - если ты собираешься потом все эти демонстрируемые продукты клиентам впаривать, рекомендую поплотнее состыковаться с поставщиками.. они ребята грамотные и для своего дилера могут и сопссные наработки предложить..

ну, ты ж сам говоришь:
Цитата:

наверно вы видели у разработчиков, когда хотите смотреть что это такое

мо быть, и не надо будет изобретать велосипед..

TheBarmaley


Цитата:

ставишь терминальный серв, на нём настраиваешь все нужные проги/демки, отдаёшь его в доступ клиентам.. для них будет более чем "красиво"

не очень подходит такой метод:
1. надо каждому давать такие полномочие/права, чтоб смог работать только с тем программой, к чему надо. например если человек хочет поюзать Backup Exec, то для него не должно быть видно все остальные программы, в лучщем случае чтоб даже не узнали что какой ОС стоит.
например человек получает ссылу: _http://il_adres_ili dns_servera/exec, логин/пароль: demo
смог смотреть программу Symantec backup exec, а человек, который получает адрес:
_http://il_adres_ili dns_servera/moss, логин/пароль: demo1 - смог смотреть и "ошупать" MS SharePoint services.
Я думаю вы поняли меня..

Цитата:

мо быть, и не надо будет изобретать велосипед..

надо т.к. очень мало контор, которые используют такой сервис, а я хочу организовать для своих такой сервис.
---

есть идея, но не знаю на сколько это ближе к реализации:
1. выделить тачку, поставить на него W2k8 , подымать на него WEB терминал сервер(чтоб через браузер смогли зайти)
2. на w2k8 поставить VMWare server и на него разные ОС с этими продуктциями..
3. на терминалке создать учетки: demo, demo1 и т.д. и кним связывать виртуальные ОС_ки..
Но вот не знаю как можно связывать учетку и ссылку с системой, чтоб когда ввели demo1 по адресу _http://il_adres_ili dns_servera/moss, откывался sharepoint, а не Backup exec.
У 2008 сервера есть AppV, который виртуализирует программы именно и не показывает рабочу среду Windows. Думаю он подойдет для моих задач..
А именно виртуальную среду, чтоб делать снапшоты и откатить все, а то все это бекапить и отбекапить - долго

У vmware server'a среди фич есть прямая ссылка на экран виртуалки.
Генерицо гдето в своййствах

TheBarmaley

Цитата:

ещё мысли есть?

А сам RRAS правильно работает? Если да, то глюк в оснастке, procmon с фильтром по ммс и курить, что не найдено. Если нет - экспортнуть с рабочего серва ветку ремотеакццесс и втянуть в реестр, убив предварительно имеющуюся. Если ловили kido, восстанавливать ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost параметр netsvcs.
Ну и на закуску http://forum.oszone.net/post-1089040.html и http://forum.ru-board.com/topic.cgi?forum=8&topic=16916
Можно попробовать переинсталить саму службу
Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
потом
netsh firewall reset
netsh ras reset
netsh routing reset

Ишшо для просмотра:
http://admins.in.ua/2007/04/19/problemy_s_razresheniem_imen_i_podkljucheniem_k_seti_na_servere_marshrutizacii_i_udalennogo_dostupa_na_kotorom_ustanovlena_sluzhba_dns_ili_wins.html
http://forum.oszone.net/post-463841.html

Больше, без "погляда", в голову ничего не приходит.

contrafack
Цитата:

не очень подходит такой метод

и в тоже время:
Цитата:

WEB терминал сервер

это чуть другая реализация, по сути, того же самого.. :)
ничё особо умного по 2008-му не скажу, не юзал ещё, но принцип реализации остаётся..

Цитата:

виртуализирует программы именно и не показывает рабочу среду Windows

а что страшного, если клиент невзначай увидит рабочий стол?.. и так ясно, что вся эта хрень под виндой крутится..

думаю, как раз наоборот, "живая" работа больше "зацепит", чем некий демо-ролик.. который, если уж на то поехало, можно сбацать на флэше и выложить на своём сайте.. и тогда ваще не придёцца парицца со всеми терминалами и прочей секретностью.. а заодно и бэкапы/откаты нафиг не нужны будут.. :)

имха, зря усложняешь задачу.. скока у тебя таких "въедливых" клиентов, которые захотят руками потыкаться в неизвестном им софте? 5-10? большинству достаточно посмотреть ролик или заценить у тя в офисе непосредственно, как это всё им жизненно необходимо.. а особо умным сам покажешь на буке, когда презентацию своего варёза к ним приедешь делать.. ;)

goletsa

У ! во ! такое хочу для этого задачи
Можете вспомните ? а как там насчет авторизации?

TheBarmaley

ну как сказать.. как то с руководством обшались и пришли к такому мнению, что все таки надо такой сервис, т.к. фирма занимается продажей лицензионных ПО и всяких решених, по этому надо более серьезные программы развернуть в сервере чтоб они смогли смотреть.
допустим человек хочет смотреть что это такое но нет возможности приехать к нам в офис. Ну много нюансов есть, чтоб надо реализовать такой сервис. Так то работа такая.. показывать людям как работает программа. реклама ! + преимущества перед конкурентами

andrejvb
ы-ы-ы-хы-хы-ы-ы.. ну.. ёпть.. млин-ннн.. три недели траханья и вот они, множественные оргазмы.. ;))
карочь.. ты пока забирай от нашего коллеги nikolaevsergey'а, а я расскажу как всё было на самом деле..

вот мне позорище-то, а?! решение тут лежало, в самом конце:
Цитата:

Ну и на закуску .... http://forum.ru-board.com/topic.cgi?forum=8&topic=16916

как показало вскрытие - была отключена служба удалённого реестра, туды её.. включил - и всё зажужжало и заездило..
хотя странно, у меня на двух других серваках с 2003 тож эта служба выкл., но там всё пашет, зараза..
вопчем, порулились грабли.. и, как всегда, всё было просто, аж самому не вериццо..

как лет 20 тому мой дипломник приколол: "я щаслиф, шеф, што работаю под вашим руководством!".. :)
но тут без прикола - пасибище невероятных размеров!.. :)

есть кто из казахстана? ну кроме меня.

contrafack
кста, нащёт терминала и "каждому надо права давать" - можно в ГП так накрутить, что юзер тока залогиниться и посмотреть рабочий стол сможет.. при любой попытке запуска чего-либо - получит "рылом не вышел, дорогой товарисч".. ;)

а нащёт "надо такой сервис" и всё такое - цену вопроса считали? стоимость поддержки этого геморроя? а заодно и % выхлопа от юзания потенциальными покупателями реальных приложений (пусть даже и на виртуальной машине), а не тупого показа флэш-ролика (который, кста, можно сделать очень даже интерактивным).. я к тому, что если серьёзно делать, будет трудоёмко и может нифига не оправдать затраты.. хотелки - штука хорошая, если они головняков не доставляют..

сопссна, уговаривать не буду, но и отговаривать тож.. дело хозяйское, тебе видней.. :)

Цитата:

чтоб они НЕ зашли таким образом как я: _http://ip_adress_servera:8308/ui/#

пилять... ну кому надо разрешить, кому не надо запретить стучаццо на этот сраный порт 8308

Цитата:

Причем тут фаер вообше ? если это юмор был, то не удачный.

чо прям так смешно, аж до поноса?
и чем вбох со снапшотами не устроил? там тоже хттп доступ есть..
у меня на вбоксе пачка машин крутится, хост-система - FreeBSD

TheBarmaley

да нет. хлопоты и расходы - закрывает оборот продаж. т.е. стоит это дело такого сервиса.
а пустить в режиме read only - не гуд. так как они должны иметь возможность добавить, удалить записи с этого программы. Ну скажем демонтрируем CRM система, клиент должен уметь возможность создать записи и удалить и т.д. А потом откатить все назад снапшота.


perdun

а нахрена запрешать адрес/порт ? не поняли нихрена вопрос еще и наезжайте в конце дня !
Мне надо прямой доступ к десктопу виртуального машины, а не к общему. А порт 8308 никого не мешает, и скрыть смысла нету. просто им не удобно и мне тоже.
читайте заново мой вопрос, если опять не поняли в чем дела.

contrafack
Цитата:

а пустить в режиме read only - не гуд. так как они должны иметь возможность добавить, удалить записи

да ради бога, "запускать только разрешённые программы", делов-то..
зашёл 1-й клиент - автораном некая прога, настроенная.. как-то, я х.з., чё там будет стоять..
зашёл 2-й - автораном другая прога, тож предварительно настроенная как-то..
оба поработали, наплодили документов, изменили базы данных некие.. и чё? вопрос как почистить?
как два пальца - политика "при выходе из системы", рули - не хочу.. это ж терминал..
вм, по большому щёту, тоже - терминал, без сохранения при выходе.. или с сохранением.. ;)

ээххх.. лениво мне чё-та, пойду пиво пить.. чего и вам желаю.. :)

contrafack
Мне вот интересно, твоя контора - дилер по софту, лицензий на разные продукты куча. А то, что ты на полигоне своем устанавливать будешь, вы КУПИЛИ? Или берем "цузое", юзаем нахаляву, а потом, уже "второй свежести", втюхиваем клиенту? Ведь стоимость всего того софта, который ты хочешь установить на виртуальном полигоне, огромна. Никакой пиар и повышение продаж этого не окупит. А конкуренты, при желании, каку вам подсунут - либо заложат ОБЭП, либо пустят слух, что вы продаете б\у софт. И что тогда?
Единственный, на мой взгляд, разумный вариант - флэш-ролики по каждому софту. И круто выглядит, и без палева, и ресурсы не жрет.

Цитата:

еловек хочет смотреть что это такое но нет возможности приехать к нам в офис

Значит оно ему и нафиг не надо. И это не твой клиент. Для предварительного ознакомления достаточно флэшей на сайте, а окончательное решение о покупке софта на многие тысячи "жабьих шкурок" никто "попробовав через Инет" и не принимает.
Короче, не маленький, сам думай. Только имей ввиду, ты не один такой умный и далеко не первый, додумавшийся до такого пиара, но почему-то мало кто подобное реализовал.

Sapienti sat


Добавлено:
TheBarmaley

Цитата:

пойду пиво пить.. чего и вам желаю.

весёлые задачи contrafack
подкидывает каждый раз улыбает, а в тяпницу вообще в тему
у меня комерчиский директор тоже оригинальные идеи в экселе предлагал сделать типа нафига использовать какието там црм когда есть админ пусть в экселе аналогичную наваяет и директор тоже жог не подетски типа есть софт для распознования трещин в трубопроводах с рентгеновских снимков а чего наш админ такую же прогу ненапишет и желательно чтобы распознавать можно было на простеньком сканере за рублей 10 а не на хорошем за 60-100 и так я и не смог в их тупые фантазёрские мозги донести что не всё так просто как им кажется, с удовольствием ушол на другую роботу на которой не ставят дебильные не разу не продуманные а зачастую и невыполнимые задачи

TheBarmaley


Цитата:

терминал, без сохранения при выходе.. или с сохранением..

кстати, про это я забыл даже )) думаю так и придется будет делать. Все таки надо будет AD поставить и распределить GPO по OU.

andrejvb

Вы в курсе, что такое партнерская программа, что такое Action Pack (microsoft) ? Теперь понятно вам откуда у нас все лицензии настоящие?
У меня в запасе еще 5 клиентческих ОС от windows 7, 2 сервера w2k8, и все остальное что производит MS. А также очень много лицензии от разных вендоров, начиная от антивирусов - заканчивая от Oracle.
Так что в своем конторе имею право использовать почти любую ПО, от меня стоит сделать запрос менеджеру партнерского программы и они присылают мне лицензию на ПО для нашего компании.

Теперь к делу:
что косается флеш роликов, но я как тех.специалист - после осмотра таких роликов возникает очень много вопросов и хочу потыкать НЕ на ту кнопку, а на другую, и хочется создать не одну таблицу, а 100 и смотреть как работает при таких обьемах ! понятно вам к чему я ? всем не угастишь со своими флэш роликами. чаще приходят к нам клиенты (притом НАШИ старые) и говорят: "я бы хотел посмотреть GFI web monitor в деле. на ролике все красиво но я хочу сам попробовать, он мне понравится или нет". И очень много таких ситуации, когда человек звонит нам, и говорит дайте тестовую версию какого то программы, хотим тестировать, как он работает..
Да примеров много могу привести.
-----

А я в субботу буду)) на днюху какраз пригласили.

Добавлено:
lovec123

улыбнуло.

ну мне такие тупые задачи не стаят, пока
А насчет этого сервиса, что я хочу реализовать - это как бы моя идея )))) хочется набрать опыта, пока есть возможность и заодно делать что то приятнее и современнее.
все таки скучно сидеть складывая руки и ждать когда у кого то грохнется тачка - востановить ! да и как то не ловко ничего не делать, и получить ЗП.. совесть не позволяет..

contrafack

Цитата:

дайте тестовую версию

Так дайте им то что они просят потому как следующим их вопросом будет "а на живом железе?!"

faithful

То что я планирую - это и будет на "живом железе". Есть продукты, у которых или очень урезан все в демки, или очень нудно оформить временные ключи, т.к. там целый гемор с USB ключами. Не все, как обычные проги, скачал, поюзал 30 дней и все.