(Notes) 2003

Системный администратор ИМПЭ им.Грибоедова



ИМПЭ им.Грибоедова - учебный институт - 1700 студентов и преподаватели. Более 200 компьютеров стоят в шести учебных классах и у преподавателей. Все разбросано по пяти зданиям. Довольно сложная физическая структура - кое-что связано по локальной сети, удаленные корпуса связаны с основными по модемам. Центральный учебный корпус выступает провайдером интернета для удаленных корпусов, сами же берем интернет по ADSL-модему и через Router. В центральной серверной между CISCO FIREWALL (непосредственно подключенному к ADSL-модему) и модемным пулом поднят сервер удаленного доступа (довольно навороченный: с политиками, расписанием доступа и пр.) через который удаленные корпуса входят в Инет.

В локальной сети организована довольно сложная структура ActiveDirectory: один лес доменов - студенческий, другой - администрации института. В лесу администрации тоже много доменов - бухгалтерия, методисты, руководство, почтовый домен - все сложно повязано односторонними транзитивными отношениями доверия. Есть также ресурсы в студенческом лесу, которые должны быть доступны широковещательным NETBIOS-трафиком в лесу администрации. Последнее нарушает всю логику системы и не позволяет выделить в коммутаторах VLAN, но проблема в том, что ряд покупных обновляемых задач, например Гарант и Консультант, должны быть доступны в обоих лесах. Впрочем, к настоящему времени эту проблему мне уже удалось разрешить - начальство раскошелилось на новый сервер и я наладил на нем (без подьема доверенных отношений между лесами доменов) файл-сервер, который виден из-под любых доменов и который подключен своими интерфейсами ко всем подсетям.

Довольно сложно наворочено со студенческими классами - есть перемещаемые обязательные профили пользователей (MAN) - которые надо грузить в каждый класс в зависимости от темы занятия: сегодня они изучают Exchange - он и только он должен им быть доступен на рабочем столе. На следующем уроке должен быть доступен только Интернет, на следующем только Office, на следующем - только сетевое окружение, на следующем - только 1С и так далее. Еще приходится корректировать профиль для каждого класса скриптами, чтобы переопределить специфическое для каждого класса оборудование (например принт-сервера).

Профиль приходится часто переделывать: то начальству взбредет в голову поменять стартовую страничку интернета в профиле студента, то притащат какой-нибудь SOLO (обучалка машинописи), то какую-нибудь STATISTIKA - и только это должно быть доступно на рабочих столах студентов. Вручную разливать это - не хватит никакого здоровья, поэтому постоянно делаю MSI-пакеты для Windows Installer'a и разливаю их групповыми политиками (хотя можно было бы и поставить для этого SMS).

1700 логинов на предмет обработки профиля, политик и т.д. даже теоретически не обработаешь вручную. Здесь впервые мне реально пришлось обрабатывать пользовательские профили в Active Directory с помощью ADSI сценариев от безисходности и невозможности сделать эту работу другими путями.

А с групповыми политиками здесь вообще организовано довольно сложно: перемещаемый профиль - это получается как локальная политика для личных логинов и единственная политика для анонимных логинов (есть и такие для простоты входа начинающих студентов). Эта политика перекрывается (Override) доменной политикой в более ли менее стабильном режиме. И иногда поверх доменной политики (которая перекрывает политику профиля) вносятся изменения политикой OU, которая определена для каждого учебного класса. Например, это позволяет кратковременно отключить возможности студента по общению по локальной или глобальной сети на время тестирования (по старому, на время сдачи им экзамена на компе), или, например, во время самостоятельной работы вечерников в интернете отключить совсем загрузки ActiveX-компонентов эксплорером и т.д. Ну а вносить такие режимы в доменную политику - было бы слишком строго. Поэтому получается так сложно.

Cтуденты, несмотря на всю мою систему защиты (фильтрация трафика, mandatory профиль, NTFS-разрешения для клиентских компов, особые настройки зон эксплорера и пр) как-то ухитряются заносить вирусы, последние два занесли такие: почтовый червяк и UDP1433 - все это приходится чистить. А вот Lovsan зацепил у меня всего 1 из 160 компецов!

В антивирусной устойчивости ИМПЭ сыграли роль но только меры, предпринимаемые мною на серверах, но и моя плотная работа со своими юзерами по повышению устойчивости клиентких компов: вот лишь несколько сообщений из моего архива, разъясняющее им основы защиты своего компьютера: о природе паролей, о правильной настройке Internet Explorer'a и Outlook Express, об ужесточении аутентификации в Outlook Express, о внешнем доступе к почтовому серверу и так далее.

Но конечно, как программист, я хорошо понимаю, что существуют вирусы с полиморфным кодом, не содержащие ни одного постоянного участка программного кода и применяющие мощные многоуровневые алгоритмы шифрования своего тела. Для этого даже не надо быть хорошим программистом - достаточно зашифровать текст своей зловредной проги одной из тысяч широко распространенных утилит для борьбы с дизассемблированием и взломом. Хотя, по-моему, чаще вирусы пишутся не бездельниками, а фирмами-производителями программ, с целью побудить пользователя зарегистрироваться и оплатить ту или иную их прогу. А примитивные антивирусные сканеры, которые просто по шаблону-маске просматривают файлы, принципиально не способны бороться с полиморфными вирусами, по-моему, антивирусные сканеры - это просто способ зарабатывания денег на страхе неквалифицированного юзера. Сканер полиморфных вирусов по-моему создать невозможно принципиально, хотя бы из-за мощности криптографических алгоритмов - а если он будет создан, то один исполняемый файл будет таким антивирусным сканером расшифровываться годами. Все вышесказанное сказано о вирусе, которые еще не успел заразить машину. А если же EXE-модуль вируса (или установленный из интернета ActiveX компонент) все-таки будет запущен с правами администратора машины, то ему уже ничего не помешает подменить системные библиотеки и далее перехватывать все системные API и выполняться в защищенном режиме операционной системы. Никогда такой вирус не позволит никакому примитивному сканеру обратится к области диска или памяти, где лежат его важные данные - а из-под другой запущенной операционки эти данные будут просто таблицей с индексами переходов (каждый раз разные). По-моему, это все прекрасно понимают в Microsoft - почему и не занимаются производством антивирусных сканеров (AVP - не в счет, там текст загрузчика строго фиксирован). Нам же, в этом случае остается только спасать пользовательские данные. Поэтому основной пик антивирусной борьбы я, как системный администратор, вижу не в установке примитивных тормозных сканеров, а в применении системных механизмов защиты и недопущении юзеров к работе в контексте учетной записи администратора локальной машины.

Поэтому всеми силами я гну в институте свою линию на единый стандарт - Win2000 Prof, хотя это не так просто, как может показаться (только представьте что скажет своему начальству юзер, увидев, насколько дольше грузится Win2000 по сравнению с Win95). Кроме этого, с ICQ в Win2000 известные проблемы: без нее юзерам достаточно гостевые права в локальной политике клиентской станции, а с ICQ нужны права PowerUser - а с такими правами любой ActiveX компонент из интернета регистрируется одним щелчком на кнопке "Да" (Кстати, совмещенный сканер HP тоже требует прав PowerUser). А на такое расширение локальных прав юзеров на клиентских станциях я не готов (а им только дай такие права - через неделю на машинах кроме игр и убитого глючного виндоуса ничего не будет), а юзера не готовы потерять аську и ждать по пять-десять минут входа в домен - отсюда завязка всей интриги c единой клиентской платформой. Недавно начальство расщедрилось и приобрело новых 47 компов - вот туда я вмиг разлил Win2000 Prof.

Но вообще-то, операционки по прежнему в институте остаются разные - от Windows 3.1 и 95 до XP, много NT 4. Как правило это присходит из-за всякого старинного хлама на CLIPPER'е с физическим доступом к дискам (типа расчетов по пенсионному фонду), добиваться, чтобы весь этот хлам работал под 2000 просто нет сил... Но проблем со старинными операционками масса: каждая из этих систем проходит аутентификацию в домене по своей тропинке - отсюда свои глюки. Да и кроме аутентификации глюков хватает - например алладиновские HASP'ы для 1С в разных системах работают по разному - и в нашем случае, реже всего сваливаются под NT4.

Кроме того, в институте очень разный парк оборудования: от допотопных Pentium I до навороченных 2-х процессорных XEON - все это приходится без конца починять и перепочинять (тут уж не до установки Win2000). По ходу дела, естественно, часто приходится преодолевать всякие неожиданные глюки. В институте также много разного довольно специфического оборудования - например проекторов, сплитеров и т.д. И, естественно, целый миллион всяких глючных обучающих и тестирующих программ, которые тоже приходится обслуживать мне.

В институте стоит 1С оперативный учет и бухгалтерия (в довольно сложной конфигурации с центральной и периферийными базами). Но их, слава Богу мне приходится только сопровождать, а переделывать под желания бухгалтеров приходится 1С-программисту.

Также в институте стоит Exchange (один для администрации, другой для студенческих экспериментов). Как и любое почтовые сервера, они регулярно падают - особенно сервер для студенческих экспериментов. И тогда одним перезапуском ATTENDANT не обойдешся! Большинство почтовых глюков обычно обьясняются попаданием почтовика в смам-лист на ORDB.ORG, DSBL.ORG или SPAMCOP.NET, но вот тут лежит несколько так и необьясненных почтовых глюков. А вот еще пример сутации, которая до сих пор заставляет вздрагивать по ночам меня, почтового администратора - здесь всего-навсего в очередях на почтовую ретрансляцию стоит 22 тысячи 171 почтовое сообщение (каждое в десятки адресов). А представьте себе размеры почтовых баз в этой ситуации. При этом заморозить ни одну из пятидесяти тысяч почтовых очередей не получается не только ММС-оснасткой, но даже редактором метабазы и, соответственно, вытащить почтовые сообщения реальных пользователей (чтобы переустановить Exchange) тоже нельзя. Даже остановить почтовик хоть на день нельзя тоже, т.к. через него идет прием студентов в институт и останов почтовика хоть на день - это крупные финансовые потери для института, сопровождаемые скандалами и оргвыводами для системного администратора...

В этой организации, кстати, я впервые опробовал настраивать почтовый шлюз не только через два SMTP-сервера, которые слушают разные интерфейсы, но и с использованием для прослушивания внешнего SMTP-трафика (вместо стандартого SMTP-сервера от Microsoft) SuperScout'а (через 25-26 порты).

Но если с вышеописанной ситуацией с почтовиком все более ли менее ясно, то есть глюки, которые мне непонятны и поныне. Несмотря на стаж и опыт работы я до сих пор не знаю как разруливать глюки контроллера домена, когда на нем падают все MMC-оснастки типа Active Directory Users and Computers: так, или так или вот так и и так и так. При этом NET USER, CSVDE, NTDSUTIL (и сами клиенты домена!) прекрасно работают: сам контроллер нормально грузится, в нем открыты все правильные порты (включая LDAP), через NETBIOS коннектятся его диски, нормально работает его сервис глобального каталога, в этот домен зашли клиенты всех типов от W95 до W2000, прокси-сервер нормально читает список юзеров с этого контроллера домена... - Впрочем к настоящему моменту этот вопрос уже разрулился - как оказалось я не понимал точное назначение вот этой кнопки. Подробнее об этом глюке в статье KB258296. Но теперь появился новый для меня неразрешимый глюк.- DsBindW Error 0x6d9 утилиты NTDSUTIL при попытке передать роли в режиме авторитарного восстановления контроллера домена. Я обыскал на эту тему весь инет и единственное, что нашел - на сервисе www.kbalertz.com вот эту страничку, из которой понял, что ISA и контроллер домена на одной тачке работать под NTDSUTIL не будут и роли передать или перепрописать нельзя. Окончательный это приговор или нет - не знаю... Если кто знает, напишите, плиз, адрес внизу...

Еще в институте стоит два десятка больших сетевых принтеров (HP2100 и HP5). И если карта JetDirect 6000 в HP2100 имеет IP адрес, то в HP5 работает только через MAC-адрес по протолу DLC. А я этот протокол жутко не люблю, хотя-бы по тому, что 50 раз в секунду нужно прервать все передачи по сети и устроить опрос MAC-адресов (да еще раз в секунду создать и запустить задачу HPJET). Поэтому я все такие старые принтеры переделал на работу со стандартными принт-серверами DLINK и и теперь у меня во всем институте все работает только по TCP/IP. При этом psadmin не нужен. Клиентские компы я приконнекчиваю к принт серверам не с помощью PRINTUI.DLL, а с помощью CON2PRT (это отлично работает даже при обязательных-mandatory профилях).

Когда я пришел сюда работать, стоял еще Proxy 2.0 с самопальными приблудами к SuperScout'у, который по совокупности больше лежал, чем работал - это все я благополучно снес и поставил ИСУ, которая надежнее на порядок, и если бы не TraficFilter и прочие обязательные приблуды...

Еще в институте есть своя типография, газета, редакция и много разных других подразделений со специфическими требованиями. Например, типография попросила меня установить QuarkXPperss5 и иногда просит доставлять разные плагины к нему. Еще на институтском сайте публикуются всякие учебные материалы, методички и пр. Это все я преобразую для публикации в PDF формат из самых разных форматов.

Еще мне пришлось поменять все сетевое оборудование в главном учебном корпусе и серверной - со старых свичей на новые WEB-управляемые коммутаторы COMPEX SGX2226WM, которые я соединил между собой гигабитными магистралями. Еще мне пришлось разводить сеть по одному из корпусов (ИнЯз) и запускать уже разведенную сеть между библиотекой и ЖурФаком. А еще мне пришлось в связи с покупкой CISCO выделить новые внутренние подсети, поменять маршрутизацию и еще много чего.

В работе я также постоянно пользуюсь множеством различных полезных инструментов:


Кроме всего выше перечисленного, приходится еще заниматься закупками техники, потом еще ее списывать (что-то на увеличение стоимости - на модернизацию, что-то на затраты - на ремонт). В общем скучать на такой работе не приходится: семь серверов в центральной серверной, пять удаленных корпусов (везде тоже сервера и десятки клиенских машин), шесть учебных классов и сотня машин администрации. А на все вышеперечисленное (кроме меня) есть еще: один начальник с обычными административными функциями (типа заполнить табель выхода на работу), недолго был еще какой-то ученичок и еще есть один программист 1С, который свое дело знает и благодаря которому я полностью избавлен от общения с бухгалтерами.

Вот только осознать тяжесть 1700 логинов может только тот, кто видел стадо хотя-бы в сто-двести беспомощных теток, которые звонят системному администратору по всякому поводу - ой застряла бумага в принтере, ой я случайно уронила пилочку для ногтей в блок питания, ой я случайно передавила стулом сетевой кабель, ой что-то черное отвалилось и теперь экран больше ничего не показывает, ой не двигается мышка - все это сливается в единый монотонный вопль о помощи... Более злобные и ленивые тетки, чтобы прикрыть свою лень и тупость, сразу же бегут к начальству - типа системный администратор делает как ему удобнее, а нам ищет как усложнить жизнь разными ненужными сложностями, нам было хорошо и в Windows 95, и вообще все ИТО - это такая вспомогательная служба, которую выгодно разогнать и тогда всем станет лучше и т.д. и т.д.

Главный профессиональный навык во всем этом кошмаре - успеть разрулить все ситуации с тетками и суметь все же вернуться к серверам и там делать свое, задуманное...

Впрочем эту хитрую науку я освоил еще лет двадцать назад - тогда, 21.03.86, я первый раз был уже официально зачислен на полную ставку системным администратором крупнейшей фирмы (ныне национальное космическое агенство Украины). И попал я туда, как лиса в курятник, поскольку кроме меня там были только женщины, вовсе не интересующиеся процессами внутри IBM/360 - то через год моей работы, они уже вообще выпали из струи и уже ни в чем не ориентировались вообще, а все нити управления этим монстром замкнулись сами по себе на мне...

Правда тогда еще было логинов и все мои 2000 юзеров работали в IBM/360 просто со своими учетными данными в команде //JOB, а я тогда писал на ассемблере апендиксы SMF для учета указанных юзерами данных. И конкретные логины в современном понимании появились только начиная с IBM/370. Да и клиентская станция в те времена была радикально "тоньше" современной - как правило это был бездисковый терминал ЕС7906 или ЕС7920 - и требовала как правило внимания только электронщика, а не системщика. Но сама суть работы от того, что клиентская станция ЕС7906 превратилась в Pentium 4, АЦПУ стали называть принтером, а системного программиста стали называть системным администратором, за эти 20 лет в сущности не изменилась...

Но я могу заявить вполне авторитено - от старого админа за год моей работы во всем ИМПЭ не осталось ничего - начиная от кабельной сети, переставлены все сервера института (не успел переставить пока только один контроллер домена в центральной серверной, чем сейчас занимаюсь и один сервер в бухгалтерии - его просит не переставлять от NT 3.51 программист 1С), также переставлено 80% клиентских компов (ибо мой предшественник предпочитал Win95, а я категорический сторонник Win2000) - все в этом институте теперь уже стоит только мое...



Comments ( )
<00>  <01>  <02>  <03>  <04>  <05>  <06>  <07>  <08>  <09>  <10>  <11>  <12>  <13>  <14>  <15>  <16>  <17>  <18>  <19>  <20>  <21>  <22>  <23
Link to this page: //www.vb-net.com/iile/index.htm
<SITEMAP>  <MVC>  <ASP>  <NET>  <DATA>  <KIOSK>  <FLEX>  <SQL>  <NOTES>  <LINUX>  <MONO>  <FREEWARE>  <DOCS>  <ENG>  <CHAT ME>  <ABOUT ME>  < THANKS ME>