• ↓
  • ↑
  • ⇑
 
Записи с темой: этот безумный мир (список заголовков)
09:29 

1 апреля

В Dash'e под Chronostasis'ом.
Если сегодня хоть какая-то зараза будет опять шутить по поводу упавших каналов связи, серверов, сервисов... и вообще, глупо себя вести - будет жестоко обругана.
Ненавижу этот день.
Так вот.

@темы: Этот безумный мир

06:02 

Skype

В Dash'e под Chronostasis'ом.
На работе я ну не то, чтобы совсем ретроград, но предпочитаю использовать проверенные временем версии ПО. По понятным причинам. Да-да, те самые "ни-ни до первого сервис пака", и подобное.
В обычной же жизни я скорее из когорты early adopters. Выходит обновление какой-то программы - сразу ставлю. В конце концов, обновление - это не только улучшение/изменение интерфейса, это еще и закрытие багов. Да, и конечно же, новые баги, которые делают нашу жизнь такой веселой.
К сожалению, иногда список новшеств багами не ограничивается, часто там появляются новые "фичи". Одна из таких - реклама в скайпе. Она бесит. Она жутко бесит. Мало того, что она совершенно нерелевантна (какая-то то ли японщина, то ли китайчатина совершенно непонятная), она еще оформлена в вырвиглазных цветах и анимирована. В лучших традициях сайтов на Народ.ру из славных 90-х. Кем надо быть, чтобы запустить такое - я не знаю. Наверное, надо быть всего лишь корпорацией M$, ведь эта фича появилась как раз после приобретения скайпа софтверным гигантом.
Про изменившийся клиент для телефонов на базе Android я ничего говорить не буду. Отзывы в Google Play с оценкой 1 сами обо всем рассказывают, равно как и их количество и время появления. Нет, речь о том, как все же избавиться от рекламы в десктопном клиенте. Способ, надо признать, и удивил, и порадовал. Все дело в том, что скайп в своей работе с Интернетом руководствуется настройками... правильно, Internet Explorer. Открываем последний, и идем по следующему пути: Свойства обозревателя - Безопасность. Видим до боли знакомые группы сайтов. Из них нам нужна группа Недоверенных. Раскрываем ее и добавляем туда вот такой адрес:

После чего сохраняем настройки и перезапускаем Скайп. Реклама в окне сообщений исчезла, равно как и дебильная лента статусов.
Осталось мелочь. В той части клиента, где показывается список контактов, снизу периодически всплывает сообщение с предложением перейти на премиум-аккаунт и прочая ересь. Тоже не мешало бы отключить. Здесь проще: Tools, Options, Notifications, Alerts & Messages. Снимаем все галки, сохраняем, перезапускаем скайп.
Все, рекламы нет. Вышеуказанное справедливо для версии 6.14.66.104. А чтобы это было справедливо в течение долгого времени... да, я все же скажу это, хотя и не по душе мне такое действие - отключите автоматическое обновление. Кто знает, какими фичамии обрастет клиент в будущем...

@музыка: Australis - Turns of faith

@темы: Этот безумный мир

01:42 

Hyper-V Replication

В Dash'e под Chronostasis'ом.

Штудируем курс от MS, касающийся виртуализации на платформе Hyper-V, так как волею судьбы теперь я работаю с ней, а не с VMware. Дошли до репликации машин на удаленный сайт. Вроде бы все понятно, все ясно, и тут ведущие выдают просто потрясающее: до 20% потерянных циклов репликации считается нормой. Имеется в виду, что средства мониторинга Hyper-V поднимут предупреждение только после того, как число таких потерь превысит 20%.
Кхм... одна пятая от всех сеансов репликации за время наблюдения. И это, как я понимаю, ненастраиваемо.
Да, сама по себе итеративная репликация подразумевает, что в случае выхода из строя ВМ-источника при переключении на ВМ-копию будут потеряны (причем, безвозвратно) те данные, что не были реплицированы до сбоя. Но чтобы их было так много? Например, сценарий, где реплика проходит каждые 15 минут (максимальный интервал), и сбойные реплики с какого-то момента и перепуга идут подряд. Далее все зависит от того, от какого времени рассчитываются те самые 20%, но представим, что эти пять сбойных сеансов и стали критическими. Мониторинг начнет кричать только на шестой попытке. А это ни много ни мало - полтора часа. За полтора часа на производственной машине много чего может случиться. Если это файловый сервер - потеряем кучу изменений в файлах (слышатся вопли, допустим, юридического отдела: "Ааа, мы весь день в этом файле работали, все с начала начинать!"). Если это почтовый сервер - потеряем кучку входящих писем (начинает резать уши вопль из отдела продаж: "Ааа, у нас письмо там было на полтора лярда, верните сейчас же!"). Если это база данных... давайте не будем об этом...
Справедливости ради, для обеспечения доступности что почтовика, что сервера базы данных, сейчас уже используются другие методы, намного более эффективные. Все таки, Disaster Recovery Site - это, действительно, на случай ну просто полного эээмм... форс-мажора, назовем это так. А репликация делается, обычно, как раз в сторону DRS. Но все равно, одна пятая... Как было однажды сказано: "Шаня, я не знаю, как это в твоей системе координат, но в моей пять пицц - это пять пицц" ;)

@темы: Virtualization, Hyper-V, Этот безумный мир

03:51 

Я знаю...

В Dash'e под Chronostasis'ом.
Я знаю, чем займусь в отпуске, до которого еще, правда, не так уж мало.
Я просплю минимум 48 часов...

@музыка: Australis - Purple Dreams

@темы: Этот безумный мир

20:37 

У семи нянек...

В Dash'e под Chronostasis'ом.

... или как мы Server Core 2012 крутили-вертели.
Именно так, причем ось этого кручения-вращения называть не будем.
Все прекрасно, практически все аспекты настройки выполняются довольно просто и быстро. Имя сервера, домен/рабочая группа, роли, дополнения - в Powershell настраиваются просто на ура. Феерия. Ровно до того момента, когда требуется подкрутить настройки сети. Потому что далее начинается ад.
Вспомним, практически все настройки сети у нас были в одном окне. Да, одном. Открыл нужный интерфейс, поменял, что надо, закрыл. Теперь давайте подсчитаем, что у нас имеется для настройки сети в командной строке:
- старый добрый ipconfig в случае настройки через DHCP (да, да, те самые /release и /renew);
- чуть менее старый и менее добрый netsh, там синтаксис команд вырвиглазный;
- новый и довольно злобный powershell, многообразие команд которого заставляет окунуться в technet, а вынырнуть может и не удастся вовсе. Судите сами:
get-netadapter (если надо свериться с сочетанием интерфейс-сетевой адаптер), set-netipaddress или new-netipaddress (в зависимости от ситуации - задать адрес так или сяк), set-dnsclientserveraddress (тут мы прописываем настройки DNS). А уж если облажались с настройкой шлюза по-умолчанию, то нам сюда, где мы познакомимся еще и с командами Remove-NetRoute и New-NetRoute для удаления неверного и прописи нужного шлюза.
А в итоге - в подавляющем большинстве намного быстрее и понятнее будет сделать следующее:

Где в разделе номер 8 можно настроить сеть как нам угодно.
Что ж, MSы сдержали обещание. В Windows Server 2012 они полностью пришли к Unix-way - все, абсолютно все можно сделать из командной строки. Но некоторые операции, подчас, в тех же никсах, сделаны куда изящнее и проще. Хотя тоже через командную строку.

@музыка: Nicolas Jeandot - Fiery Horse

@темы: PowerShell, Этот безумный мир

19:18 

Opera

В Dash'e под Chronostasis'ом.
Я ненавижу этот браузер, но в кои-то веки пришлось воспользоваться именно им, несчастным. Почему несчастным? А вы задайте этот вопрос его приверженцам, много интересного услышите о разработчиках, которые похоронили все то, из-за чего эта смотрелка выделялась из всех остальных. Собственно, хочу добавить парочку определений к тому набору интересного, но сделаю это мысленно, ибо непечатно. А ниже - почему, я это сделаю.
Браузер нужно было поставить на нетипичной для него ОС - Windows Server 2003 SP2. Причины - за кадром, рабочее окружение именно таково. Что ж, стаскиваем из сети последнюю версию браузера, запускаем и... видим "прекрасное":



Нет, ну это верх наглости. Я бы еще понял, если б опера потребовало библиотеку WindowsCodecs.dll уже после установки, при старте самой программы. Но ведь нет, за каким-то чертом эта библиотека понадобилась инсталлятору. А уж предложение с просьбой переустановить саму оперу вообще смотрится как форменное издевательство.
Ради интереса попробовал стащить и поставить Chrome, на основе которого теперь оперу и клепают. Этот поставился вообще без всяких проблем. Отсюда вопрос - что норвежцы запихали такого интересного в свое поделие? Особенно ответ на этот вопрос интересен после прочтения описания обновки Windows, которое добавляет в систему искомую библиотеку:

The current version of the Windows Imaging Component (WIC) does not support the serialization of complex Extensible Metadata Platform (XMP) data types that are embedded in arrays. For example, the Windows Imaging Component does not support embedded structures, arrays, or alternatives. This behavior violates the Adobe XMP specification. Therefore, applications that use the Windows Imaging Component, such as Windows Live Photo Gallery, cannot write bags of complex XMP data types to an image.

Выходит, они завязали инсталлятор на обработчик графики? Но зачем?!

Нет, никогда я не переменю своего отношения к этому браузеру, и к его разработчикам - скорее всего, тоже.

@музыка: Age of Wonders OST - Perilous Quest

@темы: Этот безумный мир

15:01 

Свершилось!

В Dash'e под Chronostasis'ом.
Отныне на вопрос "Тебя что, в гугле забанили?" я смогу ответить утвердительно!
 photo ban-from-google_zps3bd90b4c.png

@музыка: Julie Fowlis - Jigs and Reels

@темы: Этот веселый мир, Этот безумный мир

19:07 

А ведь казалось, приличная книга...

В Dash'e под Chronostasis'ом.
Простите, что?!
 photo azure-book_zps2f9d6b3c.png

@темы: Этот безумный мир

23:15 

Interface

В Dash'e под Chronostasis'ом.
Сайт HP во многом для меня уже стал показательным. В отношении того, как не надо делать. Вот и сейчас - то же самое. Препарируем форму отписки от их рассылок, на которую вышел по специальному линку из рассылки же, то есть со своего ящика:

На первый взгляд там нужно выбрать причину, по которой отписываешься, после чего жмакнуть на ссылку Unsubscribe from all above. Как бы ни так. В ответ получим сообщение об ошибке, мол, вы не ввели электронный адрес, который нужно отписать.
Вот честно. Во-первых, уже давным давно этот адрес нормальные конторы получают, когда пользователь на ссылку отписки нажмет. А во-вторых - даже если вы, HPшники, подобную практику по каким-то причинам не используете, напишите на странице отписки явно, что нужно ввести адрес вот сюда. Потому как в текущем варианте совсем не очевидно, нужно ли что-то вводить, и куда вводить. (Гусары - молчать!)

@музыка: Julie Fowlis - Lon-dubh

@темы: Этот безумный мир

14:45 

А в Редмонте и не знали...

В Dash'e под Chronostasis'ом.
Не зря зашел в Дом Книги. Ох, не зря...

Детище Билли будет жить долго.

@темы: Этот безумный мир, Этот веселый мир

16:16 

System Image part number next...

В Dash'e под Chronostasis'ом.
Итак, задача, в общем-то, проста. Нужно подготовить образ системы на определенную модель ПК. Очень желательно, чтобы действий администратора было по минимуму. Образ на основе русского дистрибутива ОС Windows 7. Естественно, есть куча требований к состоянию ОС уже после развертывания образа (имя компьютера, состояние встроенных учетных записей, много чего). Естественно, нужно использовать sysprep.
На первый взгляд, ничего сложного. Подготавливаем исходный ПК, ставим на него ОС, все необходимые обновления, весь необходимый софт, проводим все настройки. После чего натравливаем на компьютер sysprep, захватываем образ. И потом уже этот образ раскидываем по рабочим станциям.
А теперь - детали, в которых кроется дьявол (который таки может плакать).
После выполнения sysprep /generalize все встроенные учетные записи будут переименованы. Да, они станут Администраторм и Гостем. Ладно, это можно обойти, в конце концов, после развертывания станции в любом случае будет исполняться настроечный сценарий, который учетные записи сделает такими, какими они и должны быть. Единственное, что остается неизменным - это пароли данных учеток, sysprep их не трогает. Уже проще.
Подводный камень номер два. После развертывания образа, на который был натравлен sysprep, первое, что появится на экране - это окно Windows Welcome. То самое окошко, где нужно задать и имя пользователя, и имя компьютера, а потом еще и политику обновлений, тип сети, часовой пояс, в общем - много всего. Лениво. Ладно, это тоже обходится при помощи файла ответов, о котором речь и пойдет.
Само по себе создание такого XML файла сложностей не представляет. Есть специальный инструмент, называется Windows System Image Manager. Как им пользоваться - есть подробнейшая справка. Скажу лишь, что возможности по настройке ОС он представляет поистине широчайшие.
Итак, файл ответов подготовлен, в него внесена информация о практически всех параметрах, которые нам мешают жить (то есть прерывают автоматическую установку). В том числе и создание временной учетной записи (без этого - к сожалению, никак). Следующий этап - каким-то образом заставить систему загружаться не под новосозданной учетной записью, а под той самой административной, что была задана еще на этапе установки исходной ОС. И вот тут начинается кавардак.
Административная учетная запись после sysprep блокируется. By default and hard-coded. Среди всего многообразия настраиваемых параметров в файле ответов разблокировки этой учетной записи как таковой нет. Как же быть? Ответ следующий: методов два. Один из них - выполнение специальной команды на этапе настройки specialize:
net user Администратор /active:yes
Второй - просто настроить автологин от имени этого самого администратора, в этом случае блокировка отменяется.
Отлично, убиваем двух зайцев сразу, тем более, что нам все равно автологин понадобится. И параметры автологина как раз настроить в файле ответов не проблема:
Как именно

После этого задаем все остальные нужные параметры и запускаем sysprep с указанием имени файла ответов (через графический интерфейс это сделать нельзя):
sysprep /oobe /generalize /shutdown /unattend:PATH_TO_XML_FILE
Когда компьютер выключится, снимаем образ, после чего загружаем его, чтобы посмотреть, что же у нас получилось.
Каково же было мое удивление, когда я увидел, что система попыталась выполнить автовход, но нарвалась на следующее: "При первом входе пользователь должен изменить пароль"
Что за ересь?! Учитывая, что у административной записи эта галка сроду не стоит, становится не совсем понятным, откуда она взялась.
Тут небольшое отступление. Поскольку дома у меня стоит английская ОС, то все имена учетных записей в файле ответов сначала были английскими. И все заработало. После переноса файла ответов в русскую ОС с заменой имен учетных записей на русские - получили вышеописанный результат. Вопрос - что пошло не так?
Конец отступления.
Предположив, что банально произошла какая-то ошибка во время развертывания ОС и применения файла ответов развернул образ еще раз. Нет, все так же - меняйте пароль. Хорошо, давай поменяем. Подтверждаю смену и вижу просто прекрасное: система пытается загрузиться не с помощью административной учетной записи, как это было указано в файле ответов, а с помощью новосозданной временной. Да, у нее флаг смены пароля установлен по умолчанию. Но как же так?
После установки и конфигурировании экрана Windows Welcome ОС сама пытается зайти под той учетной записью, которую найдет (кроме гостевой), и которая не будет неактивной. Получается, что запись администратора она не видит, или эта запись не разблокировалась. А не разблокированной эта учетная запись может остаться только в том случае, если в файле ответов почему-то она не указана в параметрах автовхода. Проверяю файл ответов, но загружать по-новой Windows SIM было лень. Тотал, выбрать файл, нажать F4...
Давайте разберемся. На дворе теперь уже 2014 год. Полное засилье Unicode. А Windows как работала весьма коряво с кодировками, так и продолжает работать.
В общем и целом, взору предстала картина убитого имени "Администратор", превращенного в набор непонятных символов. И это - при использовании официального инструмента от MS. ОК, в заголовке полученного XML файла четко написано:

Открываем его в режиме utf-8, правим убитое имя учетной записи, сохраняем, снова выполняем sysprep на восстановленной машине. И тут sysprep выдает вовсе парадоксальное - у вас нечитаемый файл ответов.
Опустим мои не самые лучшие мысли по этому поводу. Что же делать?
Почитав справку о стадиях настройки ОС после установки и пробежавшись по интернету, выяснил, что можно переименовать учетную запись еще до появления окна Windows Welcome, а это значит, что можно избавиться от русского имени. Все бы хорошо, но ведь для того, чтобы переименовать учетную запись, ее нужно выбрать, и выбирают чаще всего по имени, что опять приводит нас к использованию русских букв в файле ответов. А этого нужно избежать. И это возможно. Все компьютеры с Windows на борту назначают встроенной учетной записи администратора один и тот же SID. А это уже кое-что.
Итак, на стадии specialize даем запуск вот такой команды:

Эта команда найдет среди всех учеток лишь одну, и это будет именно встроенная учетная запись администратора. После чего команда переименует ее в удобный для нас англоязычный вариант.
Дальнейшее - тривиально. В параметрах автовхода указываем новое имя администраторской учетки, сохраняем файл ответов, выполняем sysprep, снимаем образ, загружаем. И да, получаем желаемый результат - однократный автовход под нужной нам учетной записью. Дальнейший запуск подготовленного скрипта окончательной настройки - и система готова.
Казалось бы, на этом все? Да как бы не так, потому что Windows все же не сдается. Сразу после автоматического входа под учетной записью Administrator ради интереса открыл список всех учеток на компьютере. Каково же было мое удивление, когда я увидел учетку "Администратор". Да, именно так, по-русски! Вот так и слышу мерзкое хихиканье из системного блока, мол, ты можешь как угодно извращаться с этой записью, но все равно будет по-моему! Но так и быть, за труды твои, неправедные, малость уступлю.

@музыка: Jaime Cristopherson - Metal Gear Rising: Revengeance OST - Montenergo

@темы: Этот безумный мир, Scripting

15:05 

Backups

В Dash'e под Chronostasis'ом.

Оглядываясь назад, я не понимаю самого себя. Win 7 существует уже достаточно давно, WAIK к ней - тоже. Так зачем все это время искал решение для создания образа системы, если оно у меня под боком все это время было? Да, да, речь о imagex. По сравнению с тем же Акронисом у него все же есть ряд преимуществ:
1. Он бесплатен. По крайней мере в той же мере, в какой является бесплатным приложение, поставляемое вместе с имеющей какую-либо стоимость ОС, то есть без доп. оплаты.
2. Он "от производителя". А это уже многое дает.
3. Он интересен. Акронис и ему подобные - мышкокликерство, которое никак нельзя запрограмиировать, особенно если ты загрузился с диска восстановления. В ОС еще можно использовать костыли вида AutoIt или чего-то подобного. В PE-версии все это не будет доступно, а вот консольное приложение скриптовать можно как угодно.
В итоге - образ системы все же создан и заскриптован по полной программе, чего и требовалось.
Вторая стадия бекапа - сбор файлов настроек разнообразного ПО. Об этом особо. Где только не хранят различные программки и утилитки параметры своей работы. И в каком только виде не хранят. Кто в реесте, кто в профиле, кто еще где. У одних это *.ini, у других - *.cfg, у третьих - *.xml, а кое-кто вообще свою мелкую базу данных вает. Особо выбесил, а другого слова и не подберешь, BitTorrent и его младший брат - uTorrent.
Первое - обе по-умолчанию ставятся в профиль. И только туда. Изменить это на стадии установки нельзя! Объяснение просто блеск, более "гнилой отмазки" мне слышать не доводилось: для того, чтобы UAC системы не препятствовал обновлениям.
Ребята, посмотрите в сторону Мозиллы и ее Firefox, если уж вам это настолько критично. Нет, я согласен, что плодить целую службу для установки обновок - пушка для воробьев. С другой стороны, этот метод давно на вооружении уже у очень многих контор, начиная от МС (Windows Update) и заканчивая Adobe (служба обновления Flash).
Второе по торрентам - настройки обе эти программы хранят исключительно в каталоге установки. То есть, если нужно перенести программу из профиля в каталог, где ей положено быть, то есть Program Files, придется тащить туда же и файл настроек, а потом, как следствие, давать права на запись в этот каталог обычному пользователю ПК. В итоге мы дважды нарушаем принцип установки ПО, а принципы просты: настройки отдельно от бинарников, в каталог бинарников могут писать только административные учетные записи.
В общем, бекап настроек ПО иногда доставляет не то, что меньше, а даже больше "веселья", чем настройка этого самого ПО. С другой стороны - если не веселиться, что что еще делать-то в нашей жизни?
На вкусное - очередная порция добротной шведской поп-музыки. Подсел я на нее (именно в исполнении One More Time) со страшной силой.

@музыка: One More Time - No Romance

@темы: Security, Этот безумный мир

19:31 

Voice of the past...

В Dash'e под Chronostasis'ом.
Я слышу эти голоса. Иногда они меня бесят, иногда заставляют задуматься, а иногда, как сегодня - веселят. Прошлое айоновского ассассина всплыло во всей своей красе. Столовая, поднос на столе, на подносе столовые приборы, взятые на полном автомате. Ложка, нож и... еще один нож. А лежал этот второй нож в контейнере с вилками. И попался же именно мне.
Под ножом я хожу и ножи в моих руках. Мне что, сделать это своим девизом? :)

@музыка: Blue Stone - Breathe

@темы: Этот безумный мир, Этот веселый мир

19:14 

Beta tests

В Dash'e под Chronostasis'ом.
Что ж, тесты на то и существуют, чтобы отлавливать ошибки в коде программ. Но иногда ошибки просто смешные, а иногда - бесящие до белого каления, ибо совершенно не понятно, как можно было ее допустить.
Идет тестирование Diablo III: Reaper of Souls. На персонаже на момент окончания оригиналльной DIII висит следующий амулет:

Запускаем бета-клиент, копируем персонажа на тестовый сервер, заходим. Получаем следующее:

Пересчитан требуемый уровень персонажа, и как следствие - амулет просто недоступен для использования. А по некоторыми причинам опыт за убийство монстров моему персонажу на данный момент вообще не начисляется. Ситуация с опытом - НЕ баг, а вот изменения в предмете - ошибка, как Близзард сама признала. Будут править.
Но все же, какой травкой нужно было затариться, чтобы так уж облажаться?

@темы: Этот безумный мир

12:53 

Google banned.

В Dash'e под Chronostasis'ом.

Собственно, за это ребятам из РосТелеКома надо кое-что отрезать, размножаться такие не должны.
 photo Capture_zpse9afd6e5.png

Поясню, что на картинке. При попытке открыть вложение-картинку из письма в Gmail эта картинка загружается с сайта Googleusercontent.com, все вложения там хранятся. Сейчас же при попытке обратиться к этому сайту по защищенному протоколу (а google уже давно работает только по нему), браузер напарывается на то, что к этому сайту привязан (с какой-то стати) совершенно левый сертификат от РосТелеКома. И, естественно, вопит о том, что "вас пытаются наколоть". Ну а если проигнорировать это предупреждение и сказать "пусти меня туда все равно" - нарвемся на стандартную плашку от РТК, сообщающую, что googleusercontent.com заблокирован, как хранящий недопустимую в нашей стране информацию.
Как я уже говорил, за подсовывание левого сертификата надо кое-что отрывать. Без наркоза...

UPD. По состоянию на 15:25 - блокировка снята. Но факта дебилизма это не отменяет.

@настроение: Enrage!

@темы: Security, Этот безумный мир

10:30 

Remote Control...

В Dash'e под Chronostasis'ом.

Нет, сегодня речь пойдет не о таких вещах, как RDP или LogMeIn. На днях приехала первая из трех заказанных карт удаленного управления серверами Aten IP8000. Обычная PCI плата, которая добавляет функционал iLO (это если в привычных мне терминах HP), а по-русски - возможность управлять сервером на протяжении всего времени его работы, от самого старта по питанию до выключения этого самого питания. Ну и бонусом приятные штуки как Remote Media и ему подобное.
Все бы ничего, но захотелось настроить авторизацию на этой карте через Active Directory, это банально удобнее. Все необходимые настройки для этого есть. Открываем форму, вбиваем все необходимые данные:
 photo IP800_zps66ce820e.png

Отличие от этого скрина в том, что галку Enable Authorization я тогда поставил.
Сохраняем настройки, даем рестарт карты... и понимаем, что LDAP-авторизация не заработала. Перепроверяем настройки еще раз - понимаем, что все внесено верно, но не работает. Штудируем мануал и видим, что в мануале раздел LDAP вообще никак не освещен. Что за...
Гугл, запрос. Ответом стала шокирующая информация из инструкции к другому KVM той же компании - для того, чтобы работала авторизация через MS AD, нужно расширить схему AD! Засада, потому что таких прав у меня нет, да и для чего такие сложности, вообще неясно.
Еще более вдумчивое изучение того же справочного файла сказало: отставить панику, сейчас все сделаем. И действительно, все сделали. Теперь по шагам:
1. Выбор между LDAP или LDAPS. Тут все очевидно - что используется, то и нужно выбирать, причем LDAPS предпочтительнее. Негоже пересылать информацию об учетных записях в открытом виде (привет старому доброму PsExec).
2. LDAP Server IP, Port. Тоже все понятно, где LDAP развернут - тот IP адрес и подставляем. Порты в подавляющем большинстве случаев используются стандартные.
3. Timeout. Как долго наша карточка будет ждать ответа от LDAP. Тоже ничего особенного.
4. LDAP Administrator DN. Имя административной учетной записи, от которой будут происходить операции в AD. До сих пор не могу в толк взять, для чего здесь нужно именно административную запись вводить. Ведь карта в самой AD ничего не меняет, а читать из каталога позволено всем. Но делать нечего, вводим учетку в формате:
CN=username,OU=users,DC=example,DC=com
5. LDAP Administrator Password. Все просто - пароль указанной административной учетки.
6. Search DN. Вот здесь уже интереснее. Это имя контейнера, в котором, а также во всех его подконтейнерах, учетные записи будут иметь право логина на нашу карточку.
7. IP8000 Admin Group. Параметр, связанный с предыдущим. Члены указанной группы из AD будут обладать правами администратора и на карточке. Все остальные - только базовыми, об этом чуть ниже.
И остается та самая галочка Enable Authorization. Именно она определяет логику работы карточки с AD. Итак:
1. Параметр включен. Для определения того, кто может зайти, кто не может, а кто является администратором, карточка будет искать среди атрибутов учетных записей два особенных, которые и создаются во время расширения схемы AD.
2. Параметр выключен. На карточку смогут зайти все пользователи, чьи учетные записи находятся в OU, указанном в пункте 6, и будут обладать урезанными правами. Пользователи же, чьи учетные записи находятся в группе, указанной в пункте 7, смогут делать с карточкой что угодно. Изменения схемы в этом случае не требуется.
Таким образом, параметр Enable Authorization я отключил, после чего авторизация через LDAP заработала так, как требовалось.
И отдельно о правах пользователей. Ради теста зашел под специальной технической учеткой, созданной для различного рода проверок, с ограниченными правами на карточке. Каким же было мое удивление, когда я увидел, что такой учетке доступен раздел Power Management и кнопки выключения сервера и его жесткой перезагрузки. Эта засада будет подстерегать тех, у кого административные учетные записи лежат в структуре AD в том же OU, что и обычные учетки сотрудников. Обходится этот момент просто - нужно создать отдельную OU, перенести туда нужные учетки, и именно эту OU прописать в настройках LDAP-авторизации карты. После этого обычным учетным записям зайти на нее просто не удастся, они будут отфильтрованы, а административные учетки будут обладать всеми необходимыми правами.

@темы: Security, Этот безумный мир

16:19 

Как теряют клиентов...

В Dash'e под Chronostasis'ом.

История, развернувшаяся буквально на моих глазах сегодня с утра.
Итак, дано - Android Galaxy Tab. Человек, обладающим им, купил(!) в Google Play(!!!) фильм и вздумал его на своем устройстве посмотреть. Я вообще впервые в жизни увидел человека, который в GPlay что-то приобрел, учитывая, что в России этот сервис запустился на полную катушку совсем недавно. Ну ладно, купил и купил. А что с ним дальше делать-то? Известно, что, качать. 1.2 Гб учебного пособия по суициду под названием Анна Каренина. Одна беда - это 1.2 Гб трафика, который на SIM далеко не бесплатен, потому-то человек в наш отдел и пришел, присосаться к местному запароленному Wifi. Ну да ладно, выпустили. Фильм стащился, все замечательно. Нажимаем на нем в списке загрузок, планшет думает секунд 10, после чего с критом вышибает процесс, отвечающий за обработку видеофайлов.
Почесали тыковки, перезагрузили аппарат, мало ли... После перезагрузки ничего не изменилось. Ладно, ок, нельзя вызвать из окна загрузок как в приличном виндовом DDE, не вопрос, откроем в приложении. В качестве этого самого приложения выступает Play: Фильмы. Запускаем его, заходим в учетную запись, вызываем там список уже купленного добра. Добро показано, что только и ждет, когда его просмотрят, и будет ждать еще 1 день и 1 час. Да, да, та самая аренда контента во всем своем великолепии. То есть мы уже на часах, а добраться до контента не можем.
Запускаем фильм оттуда - получаем прекрасное - 521 - Ошибка воспроизведения. И контакты для обращения в службу поддержки Yotaplay. Ну хорошо, напарник расчехляет телефон (я не особо люблю болтать, мне переписка ближе) и начинается цирк.
До поддержки дозвонились быстро. Мальчик бодро отвечает, мол, обновите, пожалуйста, наше ПО до последней версии. Проверяем, действительно, на планшете версия древнее. Обновили. ОК, запускайте. Запускаем, ошибка осталась, но на этот раз тысача-какая-то. Ладно, почистите кэш приложения. ОК, заходим в менеджер приложений планшета, выбираем там нужное нам ПО, открываем его свойства, сносим кэш. Результат - тот же.
Владелец планшета уже нервно хихикает. Я откровенно стебусь над всем этим, как обладатель телефона на андроиде. Коллега на телефоне просто в шоке. Продолжаем диалог с поддержкой, в течение которого проходит рекомендация: снесите все данные этого приложения. Да-да, это означает снести фильм в том числе. Ок, кнопочка Remove Data отрабатывает на ура. Заходим в учетную запись приложения уже с нуля, видим, что ни одного фильма нет, но нам предлагают "Анночку" либо посмотреть в он-лайн режиме, либо скачать заново. Ради интереса по подсказке мальчика из техподдержки включаем он-лайн просмотр и, о, чудо, видим нужное. После чего мальчик радостно заявляет, что поскольку у нас фильм был скачан в предыдущей версии ПО, то после обновления нужно все закачанное снести и перекачать заново уже в новой версии.
Дальше трубку берет владелец планшета и оформляет заявку на возврат средств за непросмотренный фильм, а сам фильм удаляет из учетной записи, благополучно выключая планшет.
Ну и как полагается по законам жанра - вопросы по истории и мораль оной.
Вопросы довольно просты. "Почему?" и "Кто виноват?". Почему при обновлении версии страдает возможность воспроизведения контента, хотя сохранение такой возможности - базовый принцип работы. И кто виноват, что в "production" вылезло такое? Тем более, что за это взимается вполне себе определенная плата во вполне реальной валюте.
А что до морали... думаю, каждый сфомирует ее для себя сам.

@музыка: Metal Gear Rising OST - LQ84i battle

@темы: Android, Этот безумный мир

21:36 

Audio redirection.

В Dash'e под Chronostasis'ом.

По причине собственного скудоумия в приступе гнева отослал за предел свои наушники, которыми пользовался дома, сидя за компой. Стало совсем печально, мало того, что за тот же предел ушел жесткий диск со всем медиа-контентом, так и остатки этого контента теперь слушать не на чем. Совсем печально. Есть мелкие наушники капельки, к компе их подключить, в принципе, можно. Однако, после такого финта ушами придется сидеть, практически уперевшить мордахой в экран, так как наушники короткие, и прицепить их можно только к хвосту системника (на морде разъемов для наушников/микрофона нет). Идти в лабаз за новыми наушниками - лениво. Что же делать?
Вспоминаем, что в наличии имеется старый добрый Ведроид. Смартфоны на андроиде - штука очень массовая, значит, программ на него написали уже до одури много, и наверняка есть и то, идея чего мне пришла в голову. Запрос в известный поисковик, клик в маркете на Install, после чего загрузка серверной части... et voila, звук с компы теперь по Wifi перенаправлен в телефон, а с телефона можно слушать при помощи тех самых мелких капелек.
Если кому-то еще придет в голову такая безумная мысль - софт называется SoundWire. Бесплатной версии хватает выше крыши, если не обращать внимания на включающееся раз в 40 минут голосовое объявление "SoundWire - free version".
Ощущения, надо сказать, забавные. Уйти в другую комнату, не прерывая хоть не просмотра, так прослушивания Babylon 5 - да, это что-то новое )

@музыка: Metal Gear Rising: Revengeance - LQ84i battle

@темы: Android, Этот безумный мир

14:44 

SkyDrive

В Dash'e под Chronostasis'ом.

Во время запуска этого сервиса было много шума. Что ж, место там есть, пора и попробовать его в деле.
Итак, два компьютера, на обоих установлен клиент, версия - последняя. Структура проста: папка Документы, папка Разное. В папке документов лежит все то, что нужно сохранить как бекап. Папка Разное предназначена для обмена данными между двумя компьютерами (лень мне флешку таскать, лень). Папка документов должна синхронизироваться с домашним компьютером. Папка Разное - с домашним и рабочим.
Задача не такая уж и сложная, учитывая, что SkyDrive вслед за Дропбоксом функцию выборочной синхронизации уже представил и внедрил. Настраиваем параметры, видим что на домашнем компьютере синхронизация идет как и полагается. На рабочем же... а вот тут жестокое разочарование - синхронизации НЕТ ВООБЩЕ. Клиент навечно зависает в состоянии Processing changes. При этом папку Разное он видит, даже создает ее на жестком диске рабочего ПК. Ужасно, просто ужасно.
Делаем финт ушами - даем полную синхронизацию всего, что есть в облаке, с рабочим ПК. Затем, когда синхронизация пройдет успешно, поставить выборочный режим. По уверениям Microsoft в этом случае клиент сотрет с компьютера все, что не относится к выбранным для синхронизации файлам и папкам, после чего будет спокойно кушать только выбранное. Сказано - сделано. После включения выборки все "лишние" файлы были послушно удалены с компьютера, но после этого... да, вы правы, синхронизация опять накрывается. Перезапуск клиента эффекта не дает. Включение полной синхронизации процесс обмена файлами восстанавливает тут же. Браво, Microsoft!
Причем "браво" - дважды. И второй раз - за то, как вы вообще прописали логику работы этого приложения. Никогда не думал, что MS сами напишут просто ярчайший пример "дикого софта". Итак:
1. Клиент ставится прямо в профиль пользователя (изменить это НЕЛЬЗЯ)
2. Папка временных файлов создается прямо в корне диска, на котором будет лежать пользовательская папка SkyDrive. Она будет скрытой, называется SkyDriveTemp.
И все это - с вытекающими проблемами, если на компьютере действует жесткое ограничение прав на запись в каталоги вместе с Software Restriction Policy.
За эти два пункта хочется пристально, очень пристально посмотреть в глаза тому человеку, который все это придумал.

@музыка: One More Time - Here comes the ghost

@темы: Security, Этот безумный мир

22:32 

HP Printing and scanning software.

В Dash'e под Chronostasis'ом.
Все же есть свои плюсы в состоянии вертиго. Есть. Просто надо суметь их разглядеть, хотя само по себе это состояние не шибко приятное, но если уж голова начинает работать, то, похоже, работает те самые одиозные 146%, не иначе.
Проблема с неожиданно отказывающим ПО от компании HP преследует меня практически все годы, что я работаю на текущем месте. Ибо именно здесь приходится особенно плотно работать с этим... поделием, назовем его так. Суть проблемы проста: есть МФУ моделей HP LaserJet 305x. Да, я знаю, что они уже сняты с производства и, похоже, поддержки тоже, но "берем то, что дают" (с). Есть для этих МФУ пакет программ, одна из которых обеспечивает сканирование документов с этих МФУ по сети. Весьма полезная штука, но и капризная до ужаса. В один "прекрасный" день вот эта мелкая программа по сканированию просто отказывает. Причины - непонятны. Симптомы - запускается процесс hpqscnvw.exe (он-то и выполняет всю работу по сканированию), отъедает 27 Мб памяти, после чего просто висит в памяти, создавая нулевую нагрузку по части CPU. Признаков какой-либо активности - нет.
Журналы системы - пусто, ошибок - никаких. Режимов отладки - тоже. Ладно, наша еще и не там не пропадала - весь этот комплекс ПО переустановить не так долго. Сказано - сделано, программы удалены, подготовлен дистрибутив оных, распакован, запущен инсталлятор. Последний проводит все проверки, убеждается, что места на жестком диске хватает, копирует все файлы, начинает процесс установки... и натыкается на нечто, в результате чего на экране появляется ненавистное "Обнаружена неустранимая ошибка". И маленькая ссылочка, мол, нажмите сюда, будет загружена документация, как это бороть.
Почему эта ошибка ненавистна? Потому что встречалась уже неоднократно, даже не так - ОЧЕНЬ неоднократно. И никакой диагностической информации. Окей, хорошо, я не администратор, я всего лишь начинающий эникей, поэтому будь добра, скачай то, что рекомендовано и запусти.
Скачиваем, запускаем, видим буквально следующее:
Ошибка #27 - Файл не помечен к установке.
Какой файл - не скажем, почему не помечен к установке (во формулировка-то!) - догадывайтесь сами.
И далее следует такое решение - снести все, что программа уже успела поставить, после чего... запустить установщик заново.
Честно, день, когда я эту ошибку победил, я с полным правом буду рассматривать, как самый позорный день в жизни. Накипело, просто накипело и все тут. Стол выдержал, хорошо сделан. Потери - небольшой ушиб ребра ладони. Позор в том, что это на глазах сотрудника, ибо я просто устал от всего этого идиотизма, когда нас, пользователей (всех) производители держат за полных дебилов и скармливают нам только крохи информации, отсылая в поддержку по любому поводу.
Ладно, отступление кончилось.
Для очистки совести я выполнил все те "рекомендации", что были указаны в файлике-помощи. Как можно догадаться, к положительному результату это не привело. А обращаться к безотказно рабочему методу - полной переустановке всей ОС очень не хотелось, компьютеру всего 3 недели с небольшим, его физически не успели еще загубить. Да, как было верно подмечено на одном из блогов - русские администраторы не гнушаются лишний раз переустановить Windows, если понимают, что это будет банально быстрее, чем искать причину проблемы - время нынче очень дорого на предприятиях.
Окинул взглядом еще раз всю систему после того, как деинсталлятор подчистил за собой следы неудачной установки всего ПО, на всякий случай проверил службы. И вот тут-то обомлел. Потому что даже после сообщения о том, что ПО полностью удалено, в системе весело работает пара служб от HP - Net Driver HPZ12 и Pml Driver HPZ12.
Что ж, с этими двумя разговор будет очень коротким:
sc stop "Net Driver HPZ12"
sc delete "Net Driver HPZ12"
[SC] DeleteService SUCCESS

sc stop "Pml Driver HPZ12"
sc delete "Pml Driver HPZ12"
[SC] DeleteService SUCCESS
И на всякий случай посмотреть, какие файлы отвечают за эти службы. Сейчас уже не вспомню их имена точно (их два), но начинаются они на HPZ и расположены в каталоге %SystemRoot%\system32. После остановки и удаления служб снова пытаюсь поставить все нужное ПО, но нарываюсь на ту же ошибку. Как же так? А вот так - службы удалены, да, но файлы-то остались. Заходим в %SystemRoot%\system32 и видим с десятка полтора файлов с префиксом HPZ, среди которых есть и файлы этих несчастных служб. На всякий случай не удаляю их, а переношу в другой каталог, после чего перезапускаю систему и пытаюсь поставить ПО. Результат удивителен - все поставилось без малейших ошибок.
3 с лишним года. "Неустранимая ошибка", чтоб вам всем в компании HP одна реклама в интернетах, по телевизору и радио была, forever and ever 'till the end of time.
Итак, краткое резюме по проблеме.
При переустановке полного набора драйверов и программ от МФУ серии HP LaserJet 305x необходимо:
1. Удалить текущую инсталляцию ПО.
2. Остановить остающиеся после удаления службы Net Driver HPZ12 и Pml Driver HPZ12.
3. Удалить из каталога %systemroot%\system32 файлы, отвечающие за две вышеуказанные службы.
4. Удалить сами службы при помощи стандартной команды sc delete < service name >
5. Перезапустить систему и установить нужное ПО начисто.

@музыка: Tom Cruise - Pour some sugar on me

@темы: Этот безумный мир

Записная книжка

главная