Category: сисадминское

Читать будет неинтересно, кроме как маньякнутым компьютерщикам. Сугубо рабочее.

Винда становится всё более удобной для работы. Хорошо, что на ней практически всё то, что мне нужно, работает “искоропки”.

Смарткарты — пожалуйста
Отсюда же сразу, не вставая с дивана, имеем 2FA
Проброс оных в сессию RDP — да легко
ГПУ и прочая КУДА с драйверами — какие хошь, ибо никто не будет разрабатывать железо, не работающее под Виндой.
Фотошоп — отож.
Даже Фаерфокс взялся за ум, и стал поддерживать смарткарты с нуля. Раньше с ним надо было долго совокупляться, минимум в трёх позициях.

А сегодня я обнаружил отличную вишенку на тортике — при установленных WSL и терминале, можно поставить WSL как среду терминала по умолчанию. И что мы имеем с гуся? Теперь можно на любой папке (ну, за исключением сетевых, если они не смонтированы) нажать “открыть в терминале” — и у тебя сразу открывается WSL ровно там, где надо. Без того, чтобы долго крючиться, переходя в нужную директорию. Можно сразу делать всяческий foreach, grep, и прочий sed. Исключительно удобно.

Часто моя работа заключается в быстром поиске проблем. Всё это надо искать в логах, поэтому без полноценной командной оболочки мне никуда. Раньше я спасался cygwin-ом, но если кто-то хоть раз пробовал его обновлять или ставить дополнительный софт, знает, какая это морока. А в WSL это намного проще.

Мои попытки перейти на Линукс окончились ничем. Я впустую убил неделю, так и сумев нормально запустить… много чего, но главное, что не взлетело — это Nvidia Quadro с двумя внешними мониторами, подцепленными через размножитель портов с USBC-PD. Хотя я очень не новичок. А на винде… А на винде они у меня заработали ещё на этапе установки (учитесь, блин, как надо делать нормальную поддержку железа!) Переходить на 11 винду мне окончательно расхотелось, так что остановился на десятке + WSL.

Ещё бы WSL научился поддерживать полноценный нормальный FreeBSD вместо всякого красноглазового… но это уже так, мечты 😉

Весь ИТ-отдел гудит как улей. Сегодня наша страховая компания спустила нам указивку, что если к концу Ноября ВСЕ ИТ-сервисы не будут защищены многофакторной аутентификацией, то они не будут продлевать страховой полис.

Это как раз такой случай, когда “не было бы счастья, да несчастье помогло”. Двухфакторную аутентификацию я планировал ввести в строй уже почти год, но во-первых, не доходили руки, а во-вторых, мне не давали денег. А в-третьих, я не хотел объяснять тупым юзверям, почему вдруг доступ к ресурсам стал сложнее.

А теперь — и денег дали, и другие проекты отодвинули. И самое главное — теперь мне не надо никому объяснять, почему это, и зачем. Страховка — и всё тут.

Не всё, правда, гладко на деле. Вот сканер сетевой, что документы юзверю ушастому в его каталог забрасывает — никаких смарткарт оно, конечно, не поддерживает. Придётся репу чесать, что с ним делать дальше. Скорее всего придётся подцеплять сканеры напрямую к машинам через USB.

Так как одиннадцатая винда фичами пока не радует, попробовал заменить на рабочем компе всё на Убунту 20.04

И оно, знаете, практически взлетело.

Получилось:

1. Прицепить к AD
2. Сделать членов группы Domain Admins частью группы sudoers
3. Запустить авторизацию со смарткартами (вот тут уже пришлось бороду почесать)
4. Включить авторизацию по смарткарте в VDI клиенте VMWare Horizons
5. Аутлук теперь работает как PWA
6. Запустить Teams (благо теперь на Линупсах оно работает нативно)

И всё бы хорошо, но вот драйверы НВидевские отказались ставиться наотруб. Проблема хорошо известна, и не у одного меня она случилась.

Что-то там не взлетело — пробовал разные версии, чего только не делал, даже интеловский драйвер отправлял в бан — нифига. Не работает и всё тут. Лучше всего получилось на драйвере версии 418. Входим в сессию, всё работает примерно минуту, после чего всё наглухо виснет (при этом комп остаётся доступным через ssh). На более поздних версиях не получалось даже этого, всё висло ещё до авторизации.

Железо вполне себе стандартное — ноутбук HP Zbook FireFly G7. Там две видеокарты, по сути, встроенная интеловская, и Квадра Р520. Так и не получилось запустить, хотя победа была очень близко. Но без Нвидии мне ноутбук был не нужен.

Так и бросил. Прошу заметить, что на этот проект я убил часов шесть. А не винде абсолютно, блин, всё из этого списка сразу работает “искоропки”.

Линукс бесплатен только для тех, чьё время ничего не стоит.

Интересную вещь обнаружил. Оказывается, максимальный размер кластера NTFS в десятой винде и соответствующей серверной версии (2016+) может составлять аж 2 мегабайта. На седьмой винде максимум был 64 килобайта.

Разумеется, для обычных дисков с операционными системами и программами это не подходит — будет слишком много потерь. Если на диск с таким размером кластера записать файл размером 1 килобайт, на диске он будет занимать таки 2 мегабайта — на оставшееся пустое место в кластере ничего другого записать нельзя. Но если это диск, на котором хранятся базы данных, iso-шки, архивы и прочие крупные файлы — это будет очень круто, так как таблица размещения файлов, в которой записано, в каком кластере (кластерах) записан файл, будет очень маленькой — ведь кластеров будет немного. И потерь будет меньше, и работать будет быстрее.

Кстати, Линупс (вернее даже не Линупс, а файловая система XFS, по умолчанию используемая в Шапке) эту проблему решает более оптимально — на одном диске есть кластеры (блоки) РАЗНОГО размера. Небольшие файлы хранятся в основном используя маленькие кластеры, а большие — с записью на крупные кластеры. И сколько их разных и какое соотношение — тоже настраивается. Это позволяет на одном диске хранить и маленькие файлы и большие, без того, чтобы тратить место либо на пустое место в кластерах, либо на таблицу размещения файлов. Пишут, что на служебную информацию тратится только 0.54% от общего объёма хранимых данных.

Но за всё, к сожалению, надо платить. Например, восстановление данных с повреждённого раздела XFS это очень непростая вещь. Но идея, конечно, классная.

Мои две “любимые” конторы-производители накопителей данных засветились с подменой более быстрых флеш-чипов на более дешёвые (и менее производительные).

Вестерн, раз.
Ну и, конечно же, Самсунг, куда без них — два.

О том, что обе конторы — полное говно я уже давно сообщал не раз и не два.

Меня особенно впечатлило, когда в массиве из 24-х Вестернов меньше чем за год сдохли, ёлки-палки, все 24. Круто было, никогда такой подлянки не забуду.

Ещё было просто замечательно, когда у людей, использующих сервис Вестерна “Майбук” стирали резервные копии по интернету.

Ну, если у кого-то ещё остались иллюзии по поводу Вестерна.

Из стандартных магнитных винтов — только Тосиба и Хитати, только японцы!!! Ну, а из флеш пока не подводил Интел, и Микрон (Крушал) пока вроде марку держит. Даже наоборот — они тоже засветились с заменой флеш-чипов… но на БОЛЕЕ производительные 🙂

На работе проводили генеральную уборку. Списывали всякую старую хрень, типа древних ноутбуков и прочего.

Как обычно, обнаружили несколько кор. есов!*

Тосиба, сделано в Японии. До сих пор, поди, работает, если найти что-то древнее, где этот контроллер есть.

Заодно скажу ещё, что современные компьютеры практически во всех областях стали намного практичнее и удобнее. И далеко не только в плане дружественности интерфейсов. Они и внутри стали намного проще для сборки и ремонта. Вот возьмём, например, разъёмы, про которые только что написал дружественный журнал. Сравним, что было внутри AT-шного компа, из которого вытащили этот дисковод, чисто по разъёмам?

Начнём с питания на AT материнской плате. Кто их помнит? Знаете, что там было плохо? Плохо там было то, что их было два, и воткнуть их можно было в произвольном порядке. И если воткнуть не так, то из платы мог выйти волшебный белый дым, на котором вся электроника работает. Запомнить было, впрочем, достаточно просто — ч0рные провода (земля) — в центре.

А теперь у нас ATX 2.0 — ну, тоже не идеал, но его хотя бы воткнуть неправильно без кувалды сложно.

Потом были кабели PATA. Вот где было концентрированное зло. 40 контактов — это дофига: они всегда входили очень туго (больше контактов — больше сопротивление). На более новых платах разъёмы на плате хотя бы имели соответствующие вырезы в пластмассе, так что воткнуть кверх ногами было сложно. А на старых надо было внимательно глядеть, с какой стороны текстолит под одним контактом был маркирован белой точкой — это был контакт №1, и красную полоску сбоку кабеля надо было располагать с этой стороны. Ну и про master/slave и прочее наследие проклятых белых эксплуататоров не забудем.

А щас у нас SATA, красота! Воткнуть его неправильно — ну опять же, только с кувалдой. И вдумчиво курить перемычки на дисках тоже не надо. А ещё эти перемычки не везде работали одинаково. У некоторых производителей (Maxtor и Seagate, ЕМНИП), перемычек было не одна, а две. Смотри, не перепутай.

А современный M2 это вообще щасье. И питание, и данные — втыкается всё сразу.

Кстати, удивительное дело, но разъём данных для изображённого на картинке кор. еса (5.25-дюймовый дисковод, если кто не знает) был сравнительно нормальным — легко цеплялся, и имел вырез.

Не забудем про разъёмы питания для дисков — молекс это зло, блин. И хотя углы у него были скошены, и воткнуть его неправильно было непросто, но углы у него были скошены недостаточно — разъём входил в розетку ровно настолько, чтобы ты решил, что втыкаешь правильно. Ну, чтобы потом с весёлым матерком осознать свою ошибку.

И только один современный разъём раз за разом вызывает у меня приступы ненависти — это USB. Всё квадратное — ЗЛО. Это та же проблема, что и с молексом — легко решить, что вроде как втыкаешь правильно, а потом материшься. Поэтому я очень рад тому, что эта херь постепенно пропадает и заменяется USB-C.

*кор. ес. — опечатка в инвентаризационной описи имущества звездолёта “Бастлер” из научно-фантастического рассказа Эрика Рассела.

Помимо чисто технических вопросов про специальность сисадмина у меня есть вопросы чисто организационные.

Например, “что вы будете делать, если столкнётесь с проблемой, решения которой вы не знаете”?

Дурак, который никогда не работал в организации с другими людьми отвечает “нагуглю как решать, и сделаю!”

Это в корне неправильный ответ. Потому что нагуглить-то ты, конечно, нагуглишь, но у стандартной сисадминской задачи обычно есть как минимум два решения. И не факт, что ты найдёшь правильное, принятое в данной организации. Поэтому правильный ответ — сначала спросить у других, есть ли уже принятное решение у данной задачи, или нет. А потом уже иди гуглить.

После полутора месяцев поисков таки нашли, походу, работников.

Младших, правда, сисадминов, не старших. Нормальные ребята, и что самое главное — не выпендриваются.

Вот не люблю я когда люди выпендриваются, начинают козырять типа знаниями, а начнёшь спрашивать детали, так человек сразу начинает плавать. Когда я человека спрашиваю что-то, а он не знает ответ, я ненавижу, когда люди что-то начинают придумывать. Простое “я не знаю”, а ещё лучше “я не знаю, но предполагаю что вот так, и знаю, где искать ответ” — это гораздо лучше.

После нескольких интервью вот примерный список несложных вопросов, который я задаю соискателям на позицию старших системных администраторов:

Использовали ли вы Active Directory? Какие инструменты вы использовали для управлением этой службой?
Что такое групповые политики? Для чего вы их использовали?
Если групповые политики наследуются с более верхнего OU, какая групповая политика имеет наивысший приоритет?
Какой инструмент лучше всего использовать для разрешения конфликтов между групповыми политиками?
В чём разница между файловыми системами NTFS и FAT32/exFAT?
В чём разница между разрешениями modify и full control?
Как наиболее оптимально раздавать разрешения пользователям на сетевые ресурсы?
В чём разница между группами Domain Admins и Enterprise Admins?
Что такое доверие между доменами? Кто может его создать?
Как хорошо вы знакомы с сетями TCP/IP? Что такое IP адрес?
Сколько доступных адресов в сети 192.168.1.0/24?
Поделите эту сеть на две одинаковые подсети и назовите первый и последний доступный айпи адрес в каждой подсети.
В чём разница между TCP и UDP?
Как происходит создание TCP сессии?
На удалённом сервере включён RDP, но я не могу к нему присоединиться, что нужно проверить?
Я не могу присоединиться к удалённому серверу SQL Server, какой порт нужно открыть на брандмауэре?
Что такое VLAN?
Как может происходить маршрутизация пакетов между разными VLAN?
Что такое port security?
В чём разница между WEP и WPA?
Что такое 802.1X?
Что такое VPN?
С какими дистрибутивами Linux вы имели дело?
Какими командами происходит установка нового программного обеспечения в этом дистрибутиве?
Какая информация хранится в /etc/passwd?
Как проще всего управлять удалённым сервером? Какое программное обеспечение вы для этого использовали?
В какой лог-файл записываются ошибки аутентификации SSH?
Как настраивается аутентификация по ключу?
Как дать пользователю доступ к базе данных SQL Server? (реально больше никаких знаний в этой области от людей я не требую — писать запросы это уже есть кого спросить)
С какими облачными ресурсами Azure вы имели дело?
Что такое Infrastructure as Code?
В чём разница между билдом и релизом в Azure DevOps?
Если вам нужно создать двести управляемых облачных дисков, какой инструмент вы будете использовать?
Писали ли вы скрипты Bash или PowerShell?
Что такое переменная? Что такое массив, и какая между ними разница?
Как в скрипте повторить какое-то действие пятьдесят раз?
В чём разница между IaaS, PaaS и SaaS?
Что такое многофакторная аутентификация? Два разных пароля — это двухфакторная аутентификация?

Ну и ещё разное.

Пока даже на половину никто ответить не смог… хотя казалось бы, не до звёзд дотягиваюсь!

Дожили. Микрософт выкатили свой дистрибутив Линупса. Называется CBL-Mariner. Брать тут:

https://github.com/microsoft/CBL-Mariner

Только вот по кой хер они взяли за основу Шапку, а не Демьяна, непонятно. APT-то покруче будет, чем RPM.

Сделали полный круг, называется. У них уже был в своё время дистрибутив Юникса, назывался Зиникс (SCO Unix, слегка подпиленный).