Когда-то мне довелось написать примерное следующее: "Ушедшее - в ушедшем. Ушедшие - в ушедшем."
Сегодня напишу иначе: Всем добра. Всем, без исключения. И тем, кто покинул, и тем, кто остался.
Ушедшим - счастья. Простого человеческого счастья. В конце концов, его заслуживает каждый.
Оставшимся - его же, а вдовесок - моя искренняя благодарность. За что? Думаю, это не требует отдельных пояснений.
Всех с окончанием 2013, и наступающим началом 2014.

Этим сервисом я пользуюсь уже достаточно давно. Меня он устраивает всем. Незаметная работа, возможность создания нескольких профилей для разных машин (дома один набор закладок в панели быстрого доступа, на работе - другой). Но вот сегодня после полной переустановки системы наткнулся на весьма неприятный факт: плагин Xmarks даже после успешной авторизации не мог получить список профилей с сайта, и, как следствие, не мог назначить машине нужный профиль. В итоге на панели закладок непонятная каша. Что делать?
Сначала подумал, что дело в версии Firefox, потому как была поставлена спец. версия ESR. Нет, после удаления ее и установки последней обычной баг никуда не ушел. Переставил плагин. Результат - нулевой. Перебил профили на самом сайте Xmarks. Ноль эффекта.
Но ведь сегодня же еще работало! Пробегаюсь по настройкам самого плагина, чем черт не шутит. И вижу прекрасное. Шифрование данных - по умолчанию стоит только шифрование при логине. А что будет, если этот параметр поменять так, как показано на рисунке:

Именно это в итоге и помогло. Почему так - не совсем понятно, но на будущее можно иметь в виду.
Ну и на вкусное - столь нелюбимая мной попса при правильном исполнении может быть очень даже приятной на слух. В шведском варианте это звучит примерно так:

Listen or download Putting on the Charm for free on Pleer

Этой подборке уже лет да лет. Девять, если быть точным. Самая короткая из всех, что у меня когда-то были.
В общем-то, два данных трека DCD - это квинтессенция их творчества для меня. Да, у них много композиций и после дебютного альбома, но именно эти две песни стали образцовыми. Причем именно в этом порядке.
О том, как пришлось восстанавливать назваия обоих треков мне писать уже доводилось. Эдак с пару жизней этой записной книжки назад. Сейчас переписывать уже лень, да и не нужно. Скажу лишь, что вспомнив однажды, уже не забуду. Не смогу забыть. Как не смогу забыть и многое другое, накрепко связанное с творчеством DCD вообще и этими двумя композициями в частности, а ведь пытался...


Можно было бы добавить еще и Fatal Impact, но не сюда. Она идет отдельно.

Что ж, тесты на то и существуют, чтобы отлавливать ошибки в коде программ. Но иногда ошибки просто смешные, а иногда - бесящие до белого каления, ибо совершенно не понятно, как можно было ее допустить.
Идет тестирование Diablo III: Reaper of Souls. На персонаже на момент окончания оригиналльной DIII висит следующий амулет:

Запускаем бета-клиент, копируем персонажа на тестовый сервер, заходим. Получаем следующее:

Пересчитан требуемый уровень персонажа, и как следствие - амулет просто недоступен для использования. А по некоторыми причинам опыт за убийство монстров моему персонажу на данный момент вообще не начисляется. Ситуация с опытом - НЕ баг, а вот изменения в предмете - ошибка, как Близзард сама признала. Будут править.
Но все же, какой травкой нужно было затариться, чтобы так уж облажаться?

Следующая подзадача в нашей эпопее - в образе есть дефолтная пользовательская учетка. После того, как образ развернется, этой учетке нужно поставить свойство User must change password at next logon. Естественно, по возможности опять же в powershell сделать.
Методов несколько. Чтобы не томить, привожу тот, что сработал в моем случае:

$username=%INSERT IGNORE_ACCOUNT_NAME%
$user = [ADSI]"WinNT://$env:computername/$username,User"
$user.passwordexpired=1
$user.setinfo()

Код прост как две копейки. Получить от провайдера ADSI объект нашей учетки, поменять его свойство под названием "Пароль просрочен", подтвердить изменения. Все. Задача выполнена.
А вот в процессе написания выплыл интересный факт. Галка User must change password at next logon в интерфейсе свойств учетной записи связана с вот таким свойством: User Flags. Значение этого параметра вычисляемое и зависит от нескольких факторов. МСы в документации приводят полный список значений, которое это свойство может принять - Клац!
Ок, небольшой эксперимент. В свойствах учетной записи в графическом интерфейсе меняем все галки, кроме самой первой. Это как раз User must change password at next logon. А потом даем простые три строчки:

$username=%INSERT IGNORE_ACCOUNT_NAME%
$user = [ADSI]"WinNT://$env:computername/$usenamer,User"
$user | fl *

И наблюдаем, что параметр UserFlags принял значение 8389121. Закономерный вопрос - как так?! Ответить на него еще только предстоит. А пока - добиваем в скрипт окончательной настройки системы после развертывания полученный ранее блок команд, и наслаждаемся результатом.

Пожалуй, ни одна из систем снятия образов дисков не заставляла специально для нее писать хоть сколько нибудь строчек кода. Но поскольку ImageX - консольное приложение, без скриптов не обойтись, с другой стороны - это новое знание, то, за чем я и охочусь.
Итак, что нужно? Есть ноутбук. На нем уже установлена Windows 7 с кучей дополнительных программ от известной конторы с двухбуквенным названием. Задача следующая - снести все лишнее, установить требуемое ПО, провести базовую настройку параметров, после чего снять образ системы с таким расчетом, чтобы этот образ можно было развернуть на порядочном числе таких же ноутбуков. В общем, задача тривиальная. Нетривиально тут другое - режим работы жесткого диска. В наличии стандартный HDD и к нему в пару SSD небольшого размера, работающий как кэш-диск. И вот с этим-то у большинства систем подготовки образов возникли проблемы. Кто не смог правильно опознать контроллер жестких дисков (типичная проблема, надо признать), кто-то сделал образ, но при попытке его развернуть получаем систему, уходящую в BSOD, или еще интереснее, потерявшую загрузчик. В общем, неважно дела обстоят в датском королевстве. А поскольку ImageX был известен, но еще ни разу в жизни не был опробован, почему бы не дать ему шанс.
ImageX работает в окружении WinPE. Следовательно, если WinPE сможет увидеть HDD, то это сможет сделать и ImageX, ему будет плевать на контроллеры, контроллерами будет заниматься WinPE, а он это умеет. Это плюс, потому что одной проблемой меньше. Далее - ImageX является детищем MS, стало быть, можно надеяться на почти безглючную работу (полностью безглючной не бывает в принципе). Ну и третье - Windows AIK, частью которого являются WinPE и ImageX, можно абсолютно бесплатно загрузить с сайта MS и пользоваться в свое удовольствие. Это тоже немаловажно.
Итак, все стащено, подготовлен загрузочный образ, в него внедрен ImageX. Берем исходный ноутбук и начинаем прикидывать, что и как. Общими усилиями приходим к выводу, что на свежеустановленной ОС жесткие диски работают в обычном режиме: HDD принимает на себя всю нагрузку, а SSD остается в стороне и ничего не делает. Режим кэширования нужно включать руками. Это хорошо. Потому что кэширование не будет мешать на этапе снятия образа. Сказано - сделано. Кэширование выключено, ОС установлена, драйверы установлены. Заодно разбили жесткий диск ноутбука так, как требовалось (нужно несколько разделов). Рабочее ПО пока не накатываем, любопытно, как же поведет себя образ системы в принципе. Последний шаг подготовки исходного ПК - "запечатывание":

C:\Windows\system32\sysprep\sysprep /oobe /generalize /shutdown

Все. Система потушена и подготовлена к снятию образа. Теперь на сцену выходит WinPE.
Сама по себе загрузка с этого диска не отличается от загрузки с обычного дистрибутива Windows, только их всего интерфейса мы получим обычную консоль cmd.exe. Большего и не нужно. До загрузки неплохо было бы подключить флешку или внешний HDD, чтобы было куда образ положить.
Теперь начинаем разбираться, как же работает ImageX. Вообще лучше для этого прочесть соответствующую страницу на Technet - там все команды расписаны весьма подробно. Одно только омрачает: ImageX в своей работе полагается на буквы дисков, а расставляются они весьма забавно. В итоге, чтобы узнать, какие буквы отвечают за нужные нам разделы, можно воспользоваться программой DiskPart, она, кстати, нам очень пригодится на этапе развертывания образа. Чтобы увидеть буквы дисков, нужно зайти в сам DiskPart, набрав это слово в командной строке, а в ответ на приглашение самого DiskPart ввести List Volume. DiskPart покажет все имеющиеся тома. Запоминаем те, что нам нужны.
В моем случае раскладка была такой:
Диск С - зарезервированный системой раздел, где хранится информация о загрузчике.
Диск D - это тот диск, где установлена сама ОС (в Windows изсестный как C
Диск Е - дополнительный диск, созданный с учетом необходимости (в Windows виден как диск D
Что ж, буквы определены, можно натравливать на диски сам ImageX.
Поскольку ImageX не умеет снимать данные со всех разделов, придется вызвать эту программу трижды (по числу разделов), меняя параметры. Получилось вот так:
ImageX /capture c: G:\backup.wim "SystemReserved" ImageX /append /boot d: G:\backup.wim "OS" ImageX /append e: G:\backup.wim "DiskD"
Параметры таковы:
/capture - захват образа раздела и помещение его в создаваемый файл образа.
/append - захват образа раздела и добавление его в уже существующий файл образа.
/boot - этот ключ дает понять, что мы захватываем загрузочный раздел (в Windows в диспетчере дисков он маркируется как Boot)
G:\backup.wim - собственно расположение файла образа
Подпись в кавычках - подпись образа раздела в файле образа. так можно будет определить, где какой раздел.
В общем и целом, со снятием образа проблем не возникло, ImageX отработал как часы. Теперь тест - как образ развернется. В качестве теста используем эту же машину, вычистив ее жесткий диск. Вот тут на сцену опять выйдет DiskPart, причем в режиме исполнения сценариев.
Сценарий таков:
select disk 0 clean create partition primary size=300 select partition 1 active assign letter=Z format fs=ntfs label=System quick select disk 0 create partition primary size=670000 select partition 2 format fs=ntfs label=OS quick assign letter=Y select disk 0 create partition primary select partition 3 format fs=ntfs label=DiskD quick assign letter=W
Что он сделает? Выберет диск с номером 0 (наш HDD и есть нулевой), вытрет на нем все разделы и создаст их заново. Три штуки с требуемыми объемами. Буквы им будут присвоены с конца алфавита, чтобы не было конфликтов с имеющимися на данный момент. Буква X пропущена, потому что она будет занята виртуальным диском (его создаст сам WinPE в процессе загрузки).
Как добиться от DiskPart работы в режиме скрипта? Очень просто:

DiskPart /s sсript.txt, где sсript.txt - собственно файл, в котором содержатся команды для DiskPart.

Ну а после того, как все необходимые разделы будут подготовлены, на сцене снова появится ImageX в режиме применения файла образа:
imagex /apply G:\backup.wim 1 z: imagex /apply /boot G:\backup.wim 2 y: imagex /apply G:\backup.wim 3 w:
В принципе, тут все примитивно. Берется файл образа, их него извлекается первый созданный образ раздела и применяется к диску z:, затем второй образ накатывается на диск y:, а третий - на диск w:
После завершения развертывания образа идет самый интригующий момент. Запустится или нет. Запустилось. Система послушно ушла в OOBE режим, что и требовалось по условиям задачи. Метод работает, следующий этап - подготовка полного эталонного ноутбука и снятие образа уже с него с переносом на другой ноутбук. Но эту траву будем курить уже после выходных.
При известном желании можно заскриптовать весь этот процесс. Собственно, развертывание образа на ноутбуки сейчас и реализовано в виде cmd-файла. Создание же образа оформлять в виде скрипта показалось излишним, это однократная процедура.

Ситуаций, в которых ОС выпадает в печально известный Синий Экран Смерти, мне довелось повидать немало. Но увиденное сегодня заставило задуматься о том, что скорее всего мне предстоит увидеть еще очень много.
Итак, вводная. Общий ресурс в Novell network, на рабочей станции стоит клиент этой сети, который делает работу с ней прозрачной для сотрудника. На этом ресурсе в одной из подпапок лежит некий Excel файл в режиме совместного доступа. Оставлю за кадром мое мнение о таких файлах, он есть и с ним работают аж три человека. Один из них вносит изменения в файл, нажимает кнопку Сохранить...
Дальнейшее вызывает шок. Компьютер сохраняющего зависает минут на пять, а вот системы двух остальных сотрудников почти синхронно валятся в BSOD с ошибкой stop 0x8E (Page Fault in Non-Paged Area - да-да, наше всё) и руганью на драйвер Ncpl.sys. Примечательно то, что по завершении тех пяти минут ожидания документ все же сохраняется.
Беглый запрос по имени этого драйвера выдает первым же результатом статью в базе знаний самих Novell, вот она:
BSOD / System Crash when accessing Novell volumes - Клац!
К сожалению, в ней не раскрываются причины, по которым происходит такой фатальный сбой, но рецепт исправления есть - поставить на клиент Novell третий Service Pack. Проблема в том, что просто так его поставить прав нет - ПО должно пройти тестирование в текущей среде. А этим заведуют иные люди, нежели наш отдел.
Что ж, запрос отправили, дальнейшее покажет лишь время.

Да-да, на дворе уже 2013 год за половину перевалил, но тут по-прежнему используется Exchange 2003. Впрочем, не об этом речь.
В общем и целом, начало этому посту было положено уже давно. История с лог-файлами, которая в моем личном хит-параде стоит на первом месте. Вот она: Клац!
А теперь ее продолжение, и хочется верить, что окончание.
Да, была авария на почтовом сервере. Да, есть бекап. Да, базу из него поднять можно и нужно.
Поскольку на том диске, где база и ее логи лежали изначально, место уже практически исчерпано (Zabbix об этом орет уже вторую неделю), решил восстановить базу на другой раздел, побольше. Памятуя о том, что у нас на разных разделах разный размер сектора (см. ту самую ссылку), размещаю файлы баз данных и логов Recovery Storage Group на новом разделе, а так называемый патч-файл (restore.env) и временные логи транзакций - на старом разделе. Для них места хватит, и на работу самого сервера еще останется. Все распланировано, запускается процесс восстановления. Файлы полного бекапа послушно кладутся на свои места, временные логи так же послушно кладутся на старый раздел. Поверх этого всего накатываются логи из Differential-бекапа, чтобы минимизировать потери почты. Дается команда Commit logs... И понимаем, что эта самая последняя команда не выполняется. Дает ошибку следующего вида:
Operation terminated with error -546 (JET_errLogSectorSizeMismatch, the log file sector size does not match the current volume's sector size)

Но как же так? ОК, сделаем то же самое, только руками, а не полагаясь на работу Backup Exec. Открываем командную строку, переходим в каталог с временными логами, даем слеующее:
eseutil /cc

Принудительное считывание и применение логов, обозначенных в файле restore.env, лежащем в текущем каталоге. Команда приводит к той же самой ошибке. Что за чертовщина? Следующая проверка:
eseutil /ml %LOG_FILE_NAME%
fsutil fsinfo ntfsinfo %DRIVE_NAME%

Размеры секторов совпадают. До байта. В чем проблема?
Начинаю вспоминать, как вообще нарвался на эту ошибку впервые. Ошибка появлялась при перенесении имеющихся логов группы хранения. В то же время, если их создать заново - все базы группы хранения спокойно примонтируются, а новые логи будут привязаны к разделу с новым размером сектора. Так, создание логов. Начинаем прикидывать, где у нас создаются логи при восстановлении баз. А создаются они в папке логов Recovery Storage Group. Чем черт не шутит, а почему бы не расположить их на том же разделе, что и временные логи из бекапа, где размер сектора тот, что надо?
Вы не поверите, это сработало. Даже при создании логов RSG учитывается размер сектора диска, где они будут лежать. Еще одно откровение, ничего не скажешь. Какое же счатье было читать в системном журнале сообщения следующего вида:
Information Store (992) Restore0008: The database engine has begun replaying logfile N:\Temp\SG1\E0085AEA.log.

Собственно, за это ребятам из РосТелеКома надо кое-что отрезать, размножаться такие не должны.

Поясню, что на картинке. При попытке открыть вложение-картинку из письма в Gmail эта картинка загружается с сайта Googleusercontent.com, все вложения там хранятся. Сейчас же при попытке обратиться к этому сайту по защищенному протоколу (а google уже давно работает только по нему), браузер напарывается на то, что к этому сайту привязан (с какой-то стати) совершенно левый сертификат от РосТелеКома. И, естественно, вопит о том, что "вас пытаются наколоть". Ну а если проигнорировать это предупреждение и сказать "пусти меня туда все равно" - нарвемся на стандартную плашку от РТК, сообщающую, что googleusercontent.com заблокирован, как хранящий недопустимую в нашей стране информацию.
Как я уже говорил, за подсовывание левого сертификата надо кое-что отрывать. Без наркоза...

UPD. По состоянию на 15:25 - блокировка снята. Но факта дебилизма это не отменяет.

Нет, сегодня речь пойдет не о таких вещах, как RDP или LogMeIn. На днях приехала первая из трех заказанных карт удаленного управления серверами Aten IP8000. Обычная PCI плата, которая добавляет функционал iLO (это если в привычных мне терминах HP), а по-русски - возможность управлять сервером на протяжении всего времени его работы, от самого старта по питанию до выключения этого самого питания. Ну и бонусом приятные штуки как Remote Media и ему подобное.
Все бы ничего, но захотелось настроить авторизацию на этой карте через Active Directory, это банально удобнее. Все необходимые настройки для этого есть. Открываем форму, вбиваем все необходимые данные:

Отличие от этого скрина в том, что галку Enable Authorization я тогда поставил.
Сохраняем настройки, даем рестарт карты... и понимаем, что LDAP-авторизация не заработала. Перепроверяем настройки еще раз - понимаем, что все внесено верно, но не работает. Штудируем мануал и видим, что в мануале раздел LDAP вообще никак не освещен. Что за...
Гугл, запрос. Ответом стала шокирующая информация из инструкции к другому KVM той же компании - для того, чтобы работала авторизация через MS AD, нужно расширить схему AD! Засада, потому что таких прав у меня нет, да и для чего такие сложности, вообще неясно.
Еще более вдумчивое изучение того же справочного файла сказало: отставить панику, сейчас все сделаем. И действительно, все сделали. Теперь по шагам:
1. Выбор между LDAP или LDAPS. Тут все очевидно - что используется, то и нужно выбирать, причем LDAPS предпочтительнее. Негоже пересылать информацию об учетных записях в открытом виде (привет старому доброму PsExec).
2. LDAP Server IP, Port. Тоже все понятно, где LDAP развернут - тот IP адрес и подставляем. Порты в подавляющем большинстве случаев используются стандартные.
3. Timeout. Как долго наша карточка будет ждать ответа от LDAP. Тоже ничего особенного.
4. LDAP Administrator DN. Имя административной учетной записи, от которой будут происходить операции в AD. До сих пор не могу в толк взять, для чего здесь нужно именно административную запись вводить. Ведь карта в самой AD ничего не меняет, а читать из каталога позволено всем. Но делать нечего, вводим учетку в формате:
CN=username,OU=users,DC=example,DC=com
5. LDAP Administrator Password. Все просто - пароль указанной административной учетки.
6. Search DN. Вот здесь уже интереснее. Это имя контейнера, в котором, а также во всех его подконтейнерах, учетные записи будут иметь право логина на нашу карточку.
7. IP8000 Admin Group. Параметр, связанный с предыдущим. Члены указанной группы из AD будут обладать правами администратора и на карточке. Все остальные - только базовыми, об этом чуть ниже.
И остается та самая галочка Enable Authorization. Именно она определяет логику работы карточки с AD. Итак:
1. Параметр включен. Для определения того, кто может зайти, кто не может, а кто является администратором, карточка будет искать среди атрибутов учетных записей два особенных, которые и создаются во время расширения схемы AD.
2. Параметр выключен. На карточку смогут зайти все пользователи, чьи учетные записи находятся в OU, указанном в пункте 6, и будут обладать урезанными правами. Пользователи же, чьи учетные записи находятся в группе, указанной в пункте 7, смогут делать с карточкой что угодно. Изменения схемы в этом случае не требуется.
Таким образом, параметр Enable Authorization я отключил, после чего авторизация через LDAP заработала так, как требовалось.
И отдельно о правах пользователей. Ради теста зашел под специальной технической учеткой, созданной для различного рода проверок, с ограниченными правами на карточке. Каким же было мое удивление, когда я увидел, что такой учетке доступен раздел Power Management и кнопки выключения сервера и его жесткой перезагрузки. Эта засада будет подстерегать тех, у кого административные учетные записи лежат в структуре AD в том же OU, что и обычные учетки сотрудников. Обходится этот момент просто - нужно создать отдельную OU, перенести туда нужные учетки, и именно эту OU прописать в настройках LDAP-авторизации карты. После этого обычным учетным записям зайти на нее просто не удастся, они будут отфильтрованы, а административные учетки будут обладать всеми необходимыми правами.