Fedoseyev.ru

— Что бы вы сказали сегодня нынешним выпускникам гуманитарных факультетов?
— Два больших латте, с сахаром, с собой.

admin Default Образование, Образование-В-Этой-Удивительной-Стране, Эта Удивительная Страна, Юмор

http://msexchangeteam.com/archive/2009/11/09/453117.aspx

Шикарная вещь!

admin Default Exchange

Сделать все хорошо довольно просто.

admin Default Юмор

Подумал было купить себе членство в SAGE (пруф). Решил ознакомиться с опытом отечественных коллег и ввел в Google поисковый запрос «кто покупал членство в SAGE». Ответ превзошел все ожидания:

Ну просто волшебно, не правда ли?

admin Default Google, Юмор

Для подключения IP-телефонов Cisco, настройки коммутаторов Cisco Catalyst 3550/3750 несколько отличаются от 2960. Например, использование dot1Q включается вручную, а spanning-tree аналогично выключается.

Приведу пример стандартной конфигурации интерфейса (за исходные данные примем, что data-vlan — это vlan 1, голосовой vlan — vlan 4):

admin Default Cisco, Cisco CallManager, Cisco UCM, Switching, Шпаргалки

— Скорость: 9600 бит/сек
— Биты данных (Data bits): 8 бит
— Паритет (Parity): без паритета
— Стоповые биты (Stop bits): 1
— Управление потоком (Flow Control): нет

admin Default Cisco, Шпаргалки

В Этой-Удивительной-Стране почему-то принято либо ничего не делать, либо делать через самую что ни на есть задницу: ни с кем ничего не согласовывая, медленно, некачественно, неэффективно и согласно собственным убеждениям (в то время как давно придуманы и используются отраслевые стандарты). Особенно заметно это проявляется в части ИТ, когда на предприятии сидит во главе департамента типовой кандидат на получение справки о врожденном идиотизме, и, собственно, всячески изгаляется на производственной среде, постоянно чего-то выдумывая и внедряя. Таких, к несчастью, много, а т.к. свои эксперименты они проводят «на живую», бизнес, пригревший их по недогляду, ощутимо страдает.

Вступление не без намека на реальную ситуацию. Теперь «тело» истории, внимайте: территориально распределенное торговое предприятие. Головной офис в СПб, филиалы в Москве, Казани и еще черт знает где общим числом 8 штук. Количество сотрудников (с компьютерами) — под 4 сотни. ИТ-инфраструктура, мягко говоря, не очень. Где-то Windows и AD, где-то Linux с Samba и Squid, а где-то и вовсе роутер для домашнего использования и 5 ноутбуков, выходящих через него в Интернет. Между Москвой и СПб — какой-никакой, но VPN, хотя домены AD разные, да без всяких изысков вроде доверительных отношений и общей ИТ-инфраструктуры. Никаких стандартов, никаких процедур, никаких SLA и KPI (хотя KPI должны разрабатывать кадровики, ИТ-специалисты обязаны как минимум этому способствовать), никаких систем и регламентов. Ключевые сервисы — телефония (Panasonic), 1С (1С) и почта (хостинг-провайдер, cPanel и много-много вручную создаваемых и управляемых ящиков). 1С, кстати, на dedicated-сервере в датацентре. Business-critical, даже мудак у руля ДИТ это понимал и ответственность за существование 1С на себя не брал. Но вот с почтой было паскудно…

Я вообще плохо себе представляю, чем ИТ-специалисты руководствуются, внедряя сервисы, не использующие единый центр аутентификации (читай, когда для входа в компьютер логин-пароль один, в почту — другой, в 1С — третий, на корпоративный сайт — четвертый и т. д.). Во-первых, это неудобно пользователям. Во-вторых, таким образом плодятся десятки точек администрирования, которые надо вменяемым образом сопровождать (т.е. вести документацию, обслуживать). Но все-таки они чем-то руководствуются, сервисы внедряют, а потом стонут, плачут и рыдают, пытаясь как-то со всей этой махиной сладить.

Так и тут: 400 почтовых ящиков, созданных в ПУ хостинг-провайдера, созданных без применения единого стандарта наименования. 400 логинов, 400 паролей. И таблица в Excel, в которой весь этот шлак кое-как задокументирован. Начальнику ДИТ это, конечно, шибко не нравилось, и он родил идею: внедряем, блядь, Exchange. Купил 2007-й Enterprise и стал внедрять.

Сперва Exchange не внедрился. Возникли какие-то ошибки установки, а перезапуск setup.com выдал месседж, что, мол, Exchange в инфраструктуре уже присутствует, а посему ставить новую копию уже как бы и незачем. Т.к. начальник ДИТ про Exchange имел весьма жидкие знания, он начал грешить на домен AD (глючит, мол). Ладно. Скоро сказка сказывается, не скоро дело делается. Переустановили AD в Питерском офисе. Запустили setup — Exchange встал. Epic, блядь, win. Ценой титанических усилий сисадминов, правда, но все-таки win. Дальше Exchange стали конфигурировать, и почта ходить перестала. Совсем. А компания торговая. Для торговой компании почта имеет ключевое значение. Счет-то, блядь, как отправить заказчику?! По факсу?! Отчет руководству как передать?!?! С личного ящика писать?!?! Актами сверки перед сдачей НДС как обменяться?!?!?! Курьерами?!?!?! В общем, апокалипсис.

Сферический мудак в вакууме

Начальник ДИТ не знал, что ящики в Exchange создаются для активных учетных записей пользователей в AD, а не для любого рандомного рыла на планете. Он не знал, что для отправки почты требуется настроенная внутренняя инфраструктура DNS (ну хотя бы MX-запись). Он не знал, что опубликовать OWA и OutlookAnywhere довольно сложно, если нет ISA Server. Он не знал, что для OutlookAnywhere требуется сервер сертификатов. Он не знал, что региональные DNS обновляются несколько дольше, чем Питерские и Московские, и что офис в Казани даже через 3 дня не знал о смене MX-записей на стороне провайдера. А потом узнал, и когда MX-записи вернули на место, Казань еще 3 дня пыталась слать почту через IP-адрес Exchange, который к тому моменту уже был выведен из эксплуатации.

Из последнего ясно, что почту пришлось экстренно возвращать в прежний режим работы.

Теперь кратко суть: начальник ДИТ провел разведку боем, настроив send/recieve-коннекторы в Exchange, опубликовав SMTP наружу и сразу же поменяв MX-записи у регистратора домена. То, что в таком режиме нихуя не заработает, он узнал лишь тогда, когда не заработало, и еще 2 дня силился сообразить, где он допустил ошибку, и истерично вносил изменения в разные компоненты Exchange, никоим образом к проблеме не относящиеся. А потом скомандовал «назад». Получил выговор, финансовое взыскание и ушел в отпуск приводить себя в тонус водкой.

Итого одной из основных проблем бизнеса в Этой-Удивительной-Стране являются клинические идиоты, способные пустить пыль в глаза костюмом хорошего покроя (купленного на откаты) и внушающей доверие риторикой (пиздобольством), и такие же идиоты в отделах кадров, запросто пропускающие собратьев по диагнозу на ключевые должности.

admin Default Дела админские, ИТ-В-Этой-Удивительной-Стране, Мысли вслух, Эта Удивительная Страна

admin Юмор Юмор

Проблема: Доменный пользователь не может авторизоваться на своем компьютере. После ввода учетных данных, возникает ошибка: «Служба «Служба профилей пользователей» препятствует входу в систему. Невозможно загрузить профиль пользователя». ОС — Windows 7 (судя по всему, такой же проблеме подвержена и Vista).

Решение: входим в систему локальным или доменным администратором (кем пустит, собственно). Открываем regedit.exe. В разделе HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList наличествует несколько подразделов, названия которых соответствуют ID пользователей, зарегистрированнных в системе. Визуально можно сопоставить нечитаемый ID с ключем «ProfileImagePath», который определяет путь к профилю (например, C:\Users\Fedoseyev). Находим нужный подраздел с целевым ProfileImagePath и… обнаруживаем в названии подраздела «.bak» на конце. Удаляем .bak, просматриваем содержимое остальных ID в поисках проблемных профилей (например, с путем C:\Users\TEMP), вычищаем их. Теперь можно перезаходить в систему с привычным профилем. Вуаля.

admin Default Troubleshooting, Windows

admin Default (с) Интернет, Дела житейские

В большинстве маршрутизаторов Cisco существует возможность настроить DHCP-сервер на базе IOS. Его функциональность достаточно широка для того, чтобы, например, запустить IP-телефонию на базе CUCME в небольшом филиале.

К делу. У нас есть маршрутизатор Cisco 2951 (voice-bundle с CUCME). Исходные данные таковы:
— сеть 192.168.1/24
— зарезервированы адреса в диапазоне 192.168.1.1 — 192.168.1.20
— шлюз по умолчанию — 192.168.1.1
— CUCME-сервер — 192.168.1.1
— DNS-серверы: 192.168.1.10, 192.168.1.20

Про CUCME я упоминаю только для того, чтобы оправдать необходимость демонстрации настройки дополнительных опций DHCP. Т.к. IP-телефонам Cisco для работы необходимо указывать адрес TFTP-сервера, мы создадим в DHCP параметр (150), раздающий клиентам адрес TFTP.

admin Default Cisco, Cisco CallManager, Cisco UCM, DHCP, IOS

Установил WP-Note, выводящий красивые информационные таблички при вставке соответствующего тега.
Примеры:

Как и где буду применять — ума не приложу, но нравится.

admin Default Plugins 4 Wordpress, О работе блога

Консультативно решал проблему с низким быстродействием гигабитной сети на 200 хостов. Решил. Полуневменяемому заказчику (кстати, айтишнику) пришлось канонически обосновывать причины, по которым было выбрано решение. И в процессе предлагать статистику, доходчиво объясняющую, почему сети иногда тормозят. Формулирую еще раз, уже публично.

Быстродействие сетей TCP/IP обычно ограничивается следующими типами ошибок:

1. потери и повреждения пакетов;
2. перегрузка каналов связи;
3. плохое оборудование;
4. некорректная IP-маршрутизация, большое время двойного оборота;
5. недопустимые размеры пакетов;
6. неэффективные приложения.

Вопросов не вызвали, пожалуй, только пункты 3 (за исключением стандартного: “А чой-то оно плохое вдруг?!”) и 6 (за исключением такого же стандартного, мол: “А чой-то они неэффективные вдруг?!”). Но на то он и руководитель департамента ИТ со степенью MBA, чтобы ничего не смыслить в технике, но давать ценные указания по работе с ней. Перевел на человеческий язык, таки почему ж тормозят сети:

1. кривые руки сетевого администратора;
2. непредназначенное для работы в enterprise-среде оборудование (в т.ч. устаревшее морально и физически);
3. зоопарк вирусов в сети (слышал о бот-нетах на несколько тысяч хостов, рассылающих горы спама… какое уж там быстродействие);
4. кривое ПО (написанное девелопмент-студией из Вышнего Волочка в перерывах между парами в шараге и брошенное на произвол судьбы сразу же после подписания акта о выполненных работах и последующей оплаты);
5. неквалифицированный технический персонал в целом (вынес отдельно от пункта 1, поскольку сетевой администратор может быть и вменяемым, а вот системный может запускать многочасовое резервное копирование через коммутатор уровня доступа на слабосильный NAS в рабочее время).

Вышеупомянутый руководитель ДИТ все понял. Решение одобрил. Стало хорошо, даже с его точки зрения. Айс.

admin Default Troubleshooting, Дела админские, ИТ-В-Этой-Удивительной-Стране, Сети

Открыл для себя склад RFC.

admin Default Дела админские, О работе блога

Мне нужна перевязка после маленькой операции. На дворе — суббота. Перевязку я должен был сделать край — вчера, но вчера был корпоратив, к тому же в другом городе. Не успел. Значит, перевязку надо делать сегодня. На ум приходят сразу 3 учреждения: травмпункт, поликлиника и больница. Звоню в травмпункт: «Нет, нельзя. Обращайтесь в больницу.» Звоню в больницу: «Нет, даже на территорию не пустим. Только с направлением из поликлиники.» Звоню в поликлинику: «Дежурных хирургов нет, обращайтесь в больницу или в травмпункт.» Звоню 03 (скорая помощь), излагаю оператору суть проблемы: «Вам в поликлинику.» Говорю, что там не берут, равно как и в больнице, и в травмпункте. «Ммм… тогда не знаю. Позвоните в «Первого доктора», вызовите медсестру на дом,» — говорит, ну и дает номер телефона. Звоню в «Первого доктора», выясняю, что стоимость вызова врача на дом — от 2800 руб. (~$100), стоимость самой процедуры (ПЕРЕВЯЗКИ!!!) — от 500 до 3000 руб. (~$20-100).

Это удивительная страна, где можно сдохнуть только потому, что «сегодня нет дежурного хирурга». Или 200 баксов.

admin Default Дела житейские, Здравоохранение, Мысли вслух, Сервис, Эта Удивительная Страна

Для задниц клиентов, отваливающих заметные деньги, у Билайна есть шершавый покорный язык под названием Hi-Light Club. Так они называют привилегированную группу своих клиентов, для которых доступны некие (ОЧЕНЬ абстрактные, суть — бессмысленные) бонусы вроде выделенного номера технической поддержки или, собственно, особой спам-рассылки всякого феерического говна, типа анонсов новых-классных-услуг.

Например, вам недостаточно простого определителя номера на своем мобильном? Не волнуйтесь, Билайн позаботился о вас и запилил совершенно уникальную услугу — «Супер Определитель номера». Название доставляет, правда?

Внемлите анонс-спаму, смертные, который я, член Hi-Light Club, получил:

Я, блядь, не могу воздержаться и не перефразировать:

Услуга «Супер Взламывалка» позволит вам выпилить нахуй любую хату, даже если ее хозяева воспользовались услугой «Квартирная Охранная система» и защитили квартиру от взлома. Мы рекомендуем услугу тем, кто часто выпиливает квартиры. С ней вы всегда можете быть уверены, что во время взлома и обноса очередной хаты не нагрянут менты и не начнут выкручивать вам суставы.
Информацию о том, как подключить услугу, а также условия ее предоставления читайте на сайте www.beeline.ru

Это удивительный провайдер, который ПРОДАЕТ ЗА ДЕНЬГИ УСЛУГИ, КОТОРЫЕ ПОТОМ ОН ЖЕ САМ НЕ ОКАЗЫВАЕТ, ЕСЛИ КТО-ТО ДРУГОЙ ЗА ЧУТЬ БОЛЬШИЕ ДЕНЬГИ ОБ ЭТОМ ПОПРОСИЛ. Это удивительная страна, в которой ЗА ТАКОЙ ФОРМЕННЫЙ ПИЗДЕЦ не бьют ебало, не опечатывают офисы и не вешают табличку «Out of business» на входную дверь.

admin Default Black List, Дела житейские, Сервис, Эта Удивительная Страна

В случаях, когда приходится работать с информацией, составляющей государственную тайну или незапатентованные ноу-хау, в ход пускаются реально экстремальные средства обеспечения информационной безопасности: мониторы со специальной частотой мерцания пикселей, изображение с которых не захватывается фотоаппаратами или видеокамерами, внутренние сотовые сети, работающие на мощностях предприятия, а не сотового оператора, корпоративные мобильные телефоны, изготовляемые под заказ, рамки металлодетекторов и рентгена (!!!) на входе и выходе из здания, тонкие клиенты или терминалы, не имеющие никаких незанятых интерфейсов и прямого выхода в Интернет, клавиатуры и мыши с экранированными кабелями для исключения перехвата через них вводимой информации, почтовые серверы с белыми (БЕЛЫМИ!!! Это когда письмо нельзя отправить никуда, кроме разрешенных ПОШТУЧНО адресов, даже внутри одного домена) списками допустимых адресатов, круглосуточное видеонаблюдение везде, даже в туалете, а также полный запрет на вынос бумажных носителей за пределы стен предприятия (помним про рентген!). Также окна в здании могут быть затонированы (или заложены изнутри кирпичом) и покрыты специальным веществом, гасящим вибрации (чтобы было невозможно восстанавливать звуковую информацию из помещения с помощью лазера, интерпретирующего эти вибрации в звук). А, ну и вряд ли в такую компанию реально устроиться без прохождения тестирования на полиграфе и собеседования с психоаналитиком.

admin Default Безопасность, Информационная безопасность, Конфиденциальность

В компаниях с вменяемым управлением информационной безопасностью занимается не один самодур с группой шестерок-подчиненных, а полноценный отдел, состоящий из специалистов различных компетенций и обладающих различными навыками, в сумме с топ-менеджментом образующие комитет по сокращению или полному избеганию рисков для бизнеса.

Состав службы безопасности в ситуации, приближенной к идеальной, обычно выглядит примерно следующим образом:
1. Разработчик политик. Отвечает за написание корпоративных политик. Должен иметь связи с ключевыми подразделениями компании и входить в функциональные группы, чтобы обсуждать политики с руководителями, юридическим и кадровым отделами. Должен уметь определять, какие политики требуются компании, и обеспечивать их поддержку, особенно на уровне высшего руководства.
2. Архитектор безопасности. На основании требований и нужд бизнеса, проектирует систему безопасности. Должен заниматься связями с поставщиками, отслеживать технологии, продукты и перспективы, принимать решения, когда компания должна переходить на новые технологии обеспечения безопасности, и должна ли вообще.
3. Оператор. Обеспечивает работу инфраструктуры безопасности. Имеет дело с повседневными задачами, например с потерянными или сломанными картами доступа, новыми сотрудниками или подрядчиками, увольнениями из компании. По возможности помогает архитектору в построении инфраструктуры.
4. Аудитор. Может быть членом сторонней консалтинговой группы. Аудитор строит систему проектов и служб проверки безопасности компании на предмет ее соответствия требованиям. В программу тестирования может входить социальная инженерия.
5. Менеджер рисков. Осуществляет техническое руководство со стороны бизнеса. Оценивает технические требования с целью подсчета рисков для компании, связанных с отклонением от стандартов политики.
6. Группа реагирования на происшествия. В большинстве случаев состоит из системных администраторов и сотрудников отдела информационной безопасности. Вступает в дело, когда происходит реальное вторжение или есть подозрение на него. Периодически собирается для обсуждения процедур реагирования на происшествия.

Силами такого СБ устанавливается необходимый предприятию режим информационной безопасности, не препятствующий ведению бизнеса, а способствующий ему. В компаниях такого уровня договоры не лежат на согласовании месяцами, финансовые потоки идут короткими путями с нужной скоростью, а сотрудники не затюканы постоянными допросами и подозрениями в порочных связях, и необходимостью за каждый чих писать служебные записки и объяснительные.

admin Default Безопасность, Информационная безопасность, Конфиденциальность

Итак, в один прекрасный день в вашу компанию ООО «Финанс Консалтинг Евро Энтерпрайз Корпорейтед» входит походкой ХОЗЯИНА зрелый мужчина лет 40-50, которого представляют Начальником Службы Безопасности (именно так, с Больших Букв). Секретарша с ресепшн бежит делать ему кофе, а кадровик пропадает в его кабинете на пару часов. Выходит оттуда постаревшим и помятым, а секретарша начинает вызывать к НСБ поочередно разных лиц, волею-неволей имеющих доступ к разного рода конфиденциальной информации и финансовым потокам. К несчастью, среди них будете и вы, ИТ-персонал.

НСБ даже при росте в метр-сорок смотрит на всех, кроме генерального, свысока. ЕГО глаза сверлят черепную коробку, пытаясь проникнуть прямо в мозг, чтобы извлечь оттуда наружу все ваши греховные мысли и коварные планы. ОН знает все, что касается жидо-массонских заговоров, и умеет их пресекать. ОН знает все, что касается корпоративной безопасности, особенно информационной. ОН пришел сюда затем, чтобы ликвидировать ВСЕ пробелы и проблемы. ОН знает, что самое главное — это установить тарификатор на офисную АТС (чтобы быть в курсе, кто куда звонил и сколько денег таким образом выговорил), счетчик трафика на шлюз (чтобы быть в курсе, кто куда в Интернете ходил, какую порнуху смотрел и какими коммерческими тайнами делился с ВРАГОМ), закрыть доступ в Одноклассники, запретить пользоваться аськой и скайпом и заблокировать USB-порты, чтобы никто вдруг не посмел вынести на флешке ТУ-САМУЮ-ТАЙНУ-ЗА-СЕМЬЮ-ПЕЧАТЯМИ, которая кормит генерального, топ-менеджмент, ЕГО, всю-бесполезную-кодлу-других-сотрудников, да и Родину в целом. Он наверняка найдет в Интернете примеры положений об ИБ, слегка их модифицирует и адаптирует (возможно, забыв исправить титульный лист, на котором черным по белому будет указано название другой компании) и заставит всех подписать. ОН обязательно возьмется за трудовую дисциплину и внедрит систему контроля доступа за пару десятков тысяч долларов, чтобы наказывать опозданцев и пресечь попытки выносить ТУ-САМУЮ-ТАЙНУ-ЗА-СЕМЬЮ-ПЕЧАТЯМИ из офиса в нерабочее (неподконтрольное ЕМУ) время. ОН непременно потребует от вас расставить шпионилки (в лучшем случае — RAdmin для режима просмотра, в худшем — кей-логгеры или вообще Camtasia) на компьютеры сотрудников, а заодно попросит доступ к почтовым ящикам их же. ОН точно внедрит (за пару десятков тысяч долларов, помните?) в ваши 40 квадратных метров оупен-спейса видеонаблюдение с 25 ракурсов. ОН однозначно будет проверять историю звонков с корпоративных мобильных телефонов, «пробивать» номера и проводить разъяснительные беседы с теми, кто переговорил лимит на 100 рублей, в том числе требовать объяснительные в письменном виде. ОН стопроцентно будет скрупулезно просматривать вообще любые счета: на ластики и скрепки, на средства производства, на технику, на любого рода услуги от подрядчиков, на корпоративный кофе в общую кухню с целью найти несоответствие цен среднерыночному уровню (который определяется по двум верхним позициям на прайс.ру) и предложить своего «нормального» поставщика («Вася с моего взвода!»). ОН, кстати, совершенно точно при отказе внедрять видеонаблюдение или СКД собственными силами, сочтет и назовет вас некомпетентным (на степени CCNP и MCSE — похуй). И обязательно должит «куда надо».

ОН даже в офисе на 30 рыл умудрится разрастить свой отдел человек до 5-ти (ну а хуле, САМ что-ли делать все будет?… Тут, в первую очередь, компетенций не хватит, во вторую — времени). ОН точно заебет всех и вся своей навязчивостью и дотошностью даже в самых малых вопросах, согласно собственным симпатиям, добьется увольнения нескольких полезных сотрудников.

У НЕГО короткая стрижка и неплохая осанка. ОН однозначно служил в армии или ментовке, причем, лет 10-20.

ОН, кстати, долбоеб.

admin Default Small Business, Безопасность, Бизнес-в-Этой-Удивительной-Стране, Информационная безопасность, Конфиденциальность, Мысли вслух

А вот вы знаете, что Linux используют такие компании, как…

— Google. Вычислительный кластер поискового гиганта построен на базе Linux. В качестве рабочих станций, правда, используется несколько большее количество платформ.

— Cisco. А ведь когда-то Call Manager работал под Windows…

— IBM. Они же, кстати, вносят более чем весомый вклад в развитие Linux.

— Wikipedia. Соотносится с их философией.

— Panasonic. Даже на рабочих станциях. На большинстве, по крайней мере.

А я, блядь, все равно не использую. Непрогрессивный?

admin Default Linux, Дела компьютерные