среда, 30 апреля 2008 г.

Послевстречие:

Итак, вчера прошла очередная встреча Московского MCP Клуба, на которой выступал Ваш покорный слуга. Как я выступал, пусть пишут другие, не мое это дело. Мое дело, однако, было сделано не до конца гладко. Во-первых, я приехал позже, чем собирался, потому не смог отладить всю свою систему до начала сессии. Во-вторых, я неточно сформулировал свои пожелания к технике и разным другим вещам, в результате которых мы не смогли провести ни запись нашей встречи ни, тем более, ее трансляцию. Увы мне. Но я обещаю, что мы исправимся =) В-третьих, я никогда не пробовал миграцию виртуальных машин с MS Virtual Server на Hyper-V, так что мне пришлось потеть и пыхтеть, чтобы оно все заработало. Спасибо присутствовавшим в зале - благодаря советам одного из них я смог все таки показать приготовленное (кстати, не забудьте подойти ко мне на одной из будущих встреч - я что-нибудь придумаю в смысле маленького подарка - вчера совсем был другим занят и не подумал об этом ;) ) В-четвертых... Впрочем, это было задумано, потому это не в-четвертых, а просто так. Из-за моей попытки поэкспериментировать (а именно, показать, что кластеры теперь доступны абсолютным чайникам) я готовился к действу всего несколько дней. Потому на некоторые вопросы не мог ответить или отвечал несколько путано. Исправляюсь =)

1) Ссылка на trial версию MS Storage Server, который предоставляет iSCSI Target

http://microsoft.download-ss.com/

2) проверить, есть ли требование к сети. 10М/100М/etc...

Увы, я не смог нигде найти упоминания о подобном ограничении, так что не могу ответить со 100% гарантией. Однако, из того, что в списке тестов подобного теста нет, и также я не могу найти никаких вменяемых причин, которые могли бы такое ограничение ввести, то с вероятностью 90% я могу сказать, что подобных ограничений нет. Есть только ограничение на задержку ответа. Пинг не должен превышать 0.5 секунды. Однако я постараюсь задать такой вопрос разработчикам несколько позже.

3) Какие нужны права для инсталляции

Для инсталляции кластера пользователь должен иметь следующие полномочия (это необходимый минимум):

а) Администратора на всех узлах будущего кластера

б) Право Create Computer Object в домене.

4) Накатятся ли групповые политики на имя кластера. То есть не на узел, а на общее имя.

Нет, не накатятся. Проверено экспериментально, плюс к этому, узлы кластера запрашивают политику у DC от своего имени, а не от имени кластера.

5) Ссылки на обзор архитектуры Failover Cluster и вообще документацию

Обзор архитектуры - наиболее полезный документ для начала.

http://download.microsoft.com/download/3/B/5/3B51A025-7522-4686-AA16-8AE2E536034D/Windows%20Server%202008%20Failover%20Clustering%20Architecture%20Overview.doc

Technet Library:

http://technet2.microsoft.com/windowsserver2008/en/library/bb9ab149-6585-423b-9d24-e68fb116d8291033.mspx

Страничка про Windows Server 2008 High Availability - еще одно место, чтобы начать

http://www.microsoft.com/windowsserver2008/en/us/high-availability.aspx

Лабораторная работа: http://www.microsoft.com/heroeshappenhere/testdrive/windows-server-2008/default.mspx

Блог команды разработчиков кластеров:

http://blogs.msdn.com/clustering/

6) Вызвал некоторый интерес вопрос по миграции кластеров с Server 2003. Здесь есть ответ:

http://technet2.microsoft.com/windowsserver2008/en/library/6820ae3f-1ecc-43fd-8a76-fe8c2125cfe61033.mspx

7) Про половину узлов, выживших при падении сайта в модели node-majority

Note: It is not enough to have an even half of the cluster nodes functioning in this model. If four nodes were set up in a node-majority configuration, the cluster would continue to operate with the loss of one node but not with the loss of two nodes. For this reason the node-majority quorum configuration works best with an odd number of cluster nodes.

Мой вольный перевод: "Недостаточно иметь половину узлов кластера в рабочем состоянии функционирущих в данной модели. Если четыре узла устоновлены в конфигурации node-majority, то кластер продолжит функционирование при потере одного узал, но не при потере двух узлов. По этой причине конфигурации node-majority quorum лучше работают с нечетным количеством узлов." Автору вопроса за настойчивость, хотя и не увенчавшуюся успехом в данном случае полагается утешительный приз в виде набора Windows Server 2008, SQL 2008 & VS2008 такой же, как раздавали на Запуске, так что обращайтесь или ко мне или к Олегу Ржевскому - выдадим ;)

8) Имеет ли возможность учетная запись Local System выйти в сеть в Server 2008?

Один товарищ пытался со мной спорить по этому вопросу. Как я и обещал, я провел еще один эксперимент: создал задачу в scheduler, которая копирует файл в удаленную папочку и работает из под учетной записи System (ранее Local System). На удаленной папке заданы разрешения только для учетной записи компьютера, на котором запускалась задача. Скриншот:

SystemProve

Так что иной раз мне таки можно верить =) А возможно, имелась в виду учетная запись Local Service? Тогда все правильно - она таких возможностей не имеет.

Вроде все вопросы освещены, кроме одного (что такое "Other Services" - найду чуть позже), если что-то не так или где-то недостаточно - добро пожаловать с вопросами =)

Надеюсь, всем понравилось. Хороших всем выходных! =)

пятница, 25 апреля 2008 г.

ИТ безопасность без компьютеров.

Сразу хотелось бы рассказать, о чем этот заголовок. Дело в том, что при словах "информационная безопасность" мы почему-то представляем себе серверную, компьютер, хакера, ищущего уязвимость в декомпилированном коде. В лучшем случае это злоумышленник с краденым ноутбуком. Никто не думает, как правило, о том, что информация существует во многих других формах, не только в компьютерном/цифровом виде.

Что я имею в виду? В данном конкретном случае все, что мы сообщаем о себе другим людям. Сообщаем добровольно, не задумываясь о ее безопасности просто потому, что уже привычно ассоциируем опасность с компьютерным миром. Например, паспортные данные в великом множестве разнообразнейших организаций. Вы можете возразить: милиция, мол, и прочие власти и так могут все мои данные получить и вряд ли кому-то отдадут их просто так (момент, возможно, спорный, но сейчас не об этом). Однако здесь мы упускаем тот факт, что ежедневно мы вовлечены в различные отношения не только с организациями и людьми, но и с различными коммерческими и прочими заведениями. Возьмем пример из жизни, который отнюдь не гипотетичен.

Представим себе, что Вы решили пойти в некий фитнес клуб "Супер-Пупер-Мега-Вселенная-Фитнеса". Пришли, оформили договор и стали ходить. Одна незадача: так как в клубе большой наплыв посетителей, то клубную карту Вам пообещали выдать через пару недель, а пока Вы ходите в клуб и получаете ключи от раздевалки под залог Вашего договора. Вроде бы и ничего страшного, хотя отдавать свой документ как-то не очень хочется. Только вот спустя неделю после тренировки Вы обнаруживаете, что Вам выдали чужой договор. А Ваш, вообще говоря, выдали другому совершенно незнакомому Вам человеку. А в договоре все Ваши паспортные данные, телефон, адрес, возможно даже место работы (если Вы были настолько неосторожны, что написали его) и телефоны - мобильный, рабочий и прочее...

Конечно же, совершенно не обязательно, что человек, которому выдали по ошибке Ваши документы - злоумышленник. Вовсе необязательно, что он сможет и захочет что-то с этим сделать. Однако это только один пример, который я наблюдал. А все может быть и совершенно по-другому. И суть, конечно, не в том, что нужно никому ничего не давать.

Суть в том, что опасность раскрытия конфиденциальной информации не всегда происходит от компьютера. Мы живем, распространяя информацию и не имея над ней дальнейшего контроля, поэтому нужно стараться сводить этот "выхлоп" к минимуму и ограничивать информацию, выдаваемую организациям, не имеющим внятной политики конфиденциальности.

суббота, 5 апреля 2008 г.

И вновь продолжается бой...

Я был реноминирован на MVP Award. Так что мои заслуги за истекший год (а мой MVP год заканчивается и начинается 1го апреля и это не шутка ;) ) оценили как минимум в MSFT.

Я буду надеяться что и кому-то еще были как минимум не бесполезны я, моя деятельность и мой блог.

Помимо меня реноминировалось еще много талантливого и знающего народа, а также мы получили еще четырех свежеиспеченных MVP. Поздравьте нас всех, а мы будем стараться помогать общественности как и чем только можем =)