четверг, 21 августа 2008 г.

Про опросы общественного мнения. (Не техническое)

Всех приветствую. Я не виноват, меня попросили!!! =)

В общем, один из будущих докладчиков MCP Club Moscow попросил меня разместить здесь еще один опрос. Думаю, что это оправдано, потому что чем больше мы будем соответствовать ожиданиям аудитории, тем лучше. Итак, снова темы, которые могут быть затронуты этим мистическим докладчиком ;)
Как видите, темы касаются Exchange 2003, но, во-первых, еще далеко не все перешли на новую версию, а во-вторых, докладчик не будет гнать, как я, теорию - все на чистой практике ;) Голосуйте.


И, чтобы сократить количество постов о голосовалках до минимума, тут же добавлю информацию по своим прошлым голосованиям. Как многие, наверное, помнят, проводились опросы для улучшения моего блога. Результаты - далее.
Опрос1: Какой должна быть детализация технических постов?
image Легко видеть, что выиграл средний вариант, к которому я и так стремлюсь. Так как расслабиться мне не дали, то я теперь более тщательно слежу за наполнением своих статей, чтобы линки были на месте. Ну и картинок добавлять стараюсь - для живости ;)
Порадовал человече, написавший: "Устраивает как есть. Пиши ещё". Спасибо =)
Опрос2: Какие темы Вы предпочитаете видеть в этом блоге?
image Здесь все менее очевидно, я трактую это как "надо писать больше" =) На самом деле, как я и говорил, этот опрос мало повлияет на мой блог, однако, повинуясь результатам, я просто постараюсь писать больше, то есть про то, что мне не всегда уже кажется интересным, но, будет, по моему мнению, востребованным. Но это после отпуска, который скоро =)

среда, 20 августа 2008 г.

Windows Internals: новому изданию - быть!!!

Уррра! Великая книга будет переиздана. Теперь и с заметками о Windows Server 2008.

Дата выхода - ориентировочно январь 2009, в списке авторов добавился еще и Alex Ionescu - прошу любить и жаловать.

cover

Defenth-in-depth или почему погиб Ахилл.

Еще одно размышление на тему безопасности. Возникла необходимость такое подумать, потому что достаточно часто вижу и слышу типа «а нафига мне антивирус на клиентских компьютерах, если у меня все сервера с антивирусным ПО?» или «у меня все безопасно – все каналы связи зашифрованы, поэтому к черту политики безопасности». Я думаю, что никому уже не надо объяснять, что я негативно отношусь к высказываниям такого рода. Объясню лишь, почему.

Дело не в том, что концепцию «Defence-In-Depth» придумали отнюдь не идиоты и потому ее хорошо бы придерживаться. Это не аргумент абсолютно, ясно даже и ежу. И не в том, что паранойя rules это хорошо. Дело в том, что многие меры безопасности (и деньги, потраченные на реализацию этих мер) могут оказаться совершенно бессмысленными… Нет, вру, они не бессмысленны. Почти любая защита лучше, чем ее отсутствие. Просто эти меры окажутся несоразмерно дорогими по отношению к уровню защиты, которую они обеспечивают. Мы можем обеспечить вязь между офисами компании через VPN, в надежде, что это даст нам защиту от прослушивания и, таким образом, от утечки информации. Однако если на компьютере конечного пользователя нет антивируса и есть Интернет, то на этом самом компьютере есть вирус, а скорее даже Троян. И не один. И совершенно не факт, что эти Трояны давным-давно не слили уже всю информацию конкурентам. «У нас антивирус на прокси-сервере, и поэтому вирусов у пользователя нет», возразите Вы мне? «А у пользователя есть флешка, на которой он таскает трояны всякую фигню из дома», отвечу я Вам. И у Вас нет даже политики, которая запретила бы ему это. Так что никому не нужен Ваш VPN, достаточно просто дать Троян пользователю и все будет, как хочется злоумышленнику. Потому давайте защищаться грамотно, чтоб не было мучительно больно за потраченные на защиту деньги, время и прочие ресурсы.

пятница, 15 августа 2008 г.

Детали о защите от случайного удаления в AD

В свое время, когда я делал доклад о новом в Windows Active Directory Directory Services в Windows 2008, и рассказывал об улучшениях интерфейса, была затронута тема о галочке "prevent from accidental deletion". Это новая фишкаimage в консоли Active Direstory Users and Computers (ADUC), которая не позволяет удалить объект до тех пор, пока не снята некая галочка в свойствах этого объекта. В этот момент меня спросили, является ли эта функция всего лишь деталью интерфейса (то есть, можно ли справиться с помеченным таким образом объектом с помощью других средств, например ldp?) или при ее установке в AD происходят какие-то изменения? В тот день я ответил (предположил), что это скорее всего только функция интерфейса (позор мне! =) ), но червячок сомнения остался и грыз меня больше полугода. Наконец-то (буквально вчера) я добрался до проверки ответа на этот вопрос. Естественно, я оказался не прав, иначе не было бы этого поста. Итак, ответ.

Если мы поставили эту галочку, то удалить объект не сняв отметку можно будет только после пляски с бубном. Причем, это работает даже при нахождении в Active Directory 2003 (для этого нужно только поставить RSAT на Vista, чтобы увидеть новый элемент интерфейса в ADUC), несмотря на то, что схема не изменена. Как же это работает, в таком случае? Да очень просто (как все гениальное, ага =) ).

Когда мы помечаем галочкой упомянутый выше чекбокс, на самом деле в image разрешениях на изменяемый/создаваемый объект AD выставляются разрешения Deny Delete & Deny Delete Subtree для группы Everyone. Теперь невозможно случайно удалить объект. Да что там случайно, даже для того, чтобы удалить его целенаправленно, придется попотеть:

1) если у Вас стоит RSAT, то нужно будет включить в ADUC «Advanced Features», потом открыть свойства объекта и снять галочку, после чего его можно будет удалить

2) если RSAT нет, то придется так же находить надоевший нам объект и править разрешения на вкладке Security

По умолчанию, когда создание объекта происходит в новой консоли, эта опция включена, что хорошо. Однако для старых объектов, созданных в старой консоли ADUC этого не происходит, потому или нужно быть осторожным или просто пройтись скриптом по дереву и пометить все это дело, как "защищенное от случайного удаления" ;)

среда, 13 августа 2008 г.

Техподдержка Microsoft: инструкция по эксплуатации. Часть2

Продолжаем разговор.

4) Как общаться:

Да как обычно. Они обычные люди, которые не всегда веселы, не всегда способны быстро вникнуть в Ваши проблемы и всегда запрашивают большие объемыWe communicate your message clearly информации. Кстати, об информации. Если Вы не готовы предоставить поддержке логи с Ваших серверов, или запустить диагностическую утилиту на машине, имеющей проблемы, то лучше и не пытайтесь обращаться со сложной проблемой - нет информации = нет мультиков нет возможности Вам помочь.

Что может случиться дальше? Много чего. Вам могут предложить передать кейс в Европу или еще куда-нибудь. Плюсы: инженеров там больше, они, зачастую, обладают более высокой квалификацией, потому многое будет происходить быстрее. Минусы: нужно быть готовым общаться на английском. Иногда по телефону, всегда по почте. И не беспокойтесь о телефонных счетах: звонить будут они.

Еще могут предложить Вам открыть сессию Easy Assist. Это что-то вроде сеанса удаленного помощника. В этом сеансе могут попросить контроль над Вашим рабочим местом. Вы можете отказаться, и это будет воспринято нормально, специалисты поддержки прекрасно понимают словосочетание Security Policy, хотя это и увеличивает время, затрачиваемое на разбор полетов.

Вас могут попросить предоставить море информации, произвести какие-то манипуляции в Вашей системе. Вы всегда можете (я даже рекомендую это делать в случае наличия любых сомнений, правильно ли Вы все поняли) требовать пошаговые инструкции как сделать требуемое. Иногда будут просить воспроизвести проблему перед сбором информации или попросить устранить проблемы сопутствующие Вашей (я таким образом устранил некоторые проблемы с ISA Server во время решения проблем с SharePoint).

Чего они не могут сделать, так это попросить еще денег, сказать, что Ваша проблема ерундовая и решать они ее не будут и вообще послать Вас подальше.

5) Чем все это закончится.

А вот тут уже вариантов масса. Причем с подвариантами.

а) Вам просто взяли и выдали номер статьи из базы знаний Майкрофт, в которой описан Ваш случай вместе с решением. Вам обидно, что Вы не вняли моему совету и не предприняли собственных изысканий. Ну, или Вы, напротив, рады скорейшему разрешению проблемы. В любом случае Вам придется расстаться со своим инцидентом. Что это значит и как это - "не расстаться" с ним - смотрите ниже.

б) Пока они там просеивали те гигабайты логов, что Вы им выслали, проблема была решена собственными силами. Вы звоните сотруднику, который общается с Вами по кейсу, и недовольным голосом сообщаете ему об этом. У меня такой финт ушами в подавляющем большинстве случаев вызывает следующие последствия:

  • Меня поздравляют
  • Спрашивают о способе решения (не жлобитесь - поделитесь =) )
  • Извиняются, что не помогли
  • И... Не списывают с меня инцидент. То есть я могу еще раз обратиться в поддержку бесплатно.

в) После долгих ковыряний выясняют, что это баг, которого нет в базе знаний. Тут тоже возможны варианты. Первый: Вам сообщают обходной путь решения проблемы. Второй (может комбинироваться с первым): сообщают, что патч будет выпущен в ближайшее время/в следующем пакете обновлений/когда-нибудь. Третий: быстро сварганят патч и выдадут его Вам. Третий вариант редкий, со мной, по крайней мере, такого не случалось. Второй вариант без первого - самый печальный. Именно так было со мной в случае с MS Outlook & RSS (Кстати, возможно эта проблема была решена. Я попробую это решение, когда выдастся свободная минутка). В этом случае останется только смириться, если Вы не сможете доказать, что Ваш случай business critical. Ни одного раза с меня в случае варианта в) не списали тикет.

Вот, вроде и все, что можно сказать, основываясь на моем личном опыте.

Итого: корпоративным пользователям можно и нужно обращаться в поддержку, если возникают неразрешимые своими силами проблемы или проблемы, требующие скорейшего разрешения. С домашними пользователями вопрос сложнее, но я надеюсь прояснить его в ближайшее время.

вторник, 12 августа 2008 г.

Техподдержка Microsoft: инструкция по эксплуатации.

Перечитывал некоторые обсуждения на форумах TechNet. Много думал. Нет, мне не приходят в голову мысли об обоснованности или необоснованности требования поставщиков ПО - "заплати!". В конце концов, это просто фетиш - бранить программистов за желание заработать. К такому же желанию певцов, писателей и прочих артистов привыкли, так что и к этому привыкнут, если раньше не проявятся и не станут сильно распространенными и выгодными другие модели лицензирования. Да и написать я, собственно, желаю совсем о других вещах. Одним из аргументов с обеих сторон является техническая поддержка. Одни говорят, что заплати и пользуйся нашей замечательной службой, другие, что, мол, дрянь эта ваша поддержка. И дорого (называются какие-то несусветные цифры в тысячи долларов) и не помогает. Я бы хотел, как человек относительно технически грамотный с одной стороны и общающийся с этой самой службой поддержки на регулярной основе с другой стороны, рассмотреть эти высказывания. Развеять мифы и уточнить истину, так сказать.

Отречение: я говорю на основании своего опыта, потому могу где-то ошибиться.

Отречение от отречения: опыта у меня предостаточно. Только в этом году я открыл более полудесятка кейсов и большинство из них уже закрыто. Большая часть удовлетворительно. Так что ошибаюсь я едва ли. =)

Говорить я буду в основном о поддержке Professional, если не оговорено обратное, потому что с Премьер поддержкой пока опыта не набрался достаточного.

Итак, техническая поддержка.

1) Что нужно сделать до обращения в службу поддержки?

Ну… Во-первых нужно попасть в проблему. Шутка, но в ней, как всегда есть доля шутки. Не всегда Ваши проблемы являются таковыми. Возможно, это поведение системы by design, возможно просто следствие какой-то неправильной настройки или просто временное состояние после падения канала. Нужно попытаться своими силами найти решение проблемы на сайте http://support.microsoft.com. Это важно не только с точки зрения финансов (даже если у Вас "бесплатный" запрос, об этом я расскажу позже в этой статье), но и Вам самим будет полезно. Конечно же, если у Вас упало что-то жизненно важное и ежечасные потери исчисляются тысячами и более долларов, то необходимо срочно обращаться в службу поддержки. Правда при этом не оставлять попыток решить проблему своими силами (это тоже может помочь сэкономить, даже если обращение уже зафиксировано).

2) Кто имеет на нее право, и в каком объеме? Это наиболее сложный для меня вопрос. Так как я последние годы работаю в золотых партнерах Microsoft, то у меня есть доступ к пяти бесплатным инцидентам в год. Плюс к этому у меня есть еще корпоративные подписки TechNet & MSDN. Каждая из них предоставляет еще по паре инцидентов. Плюс есть еще личные подписки, которые я получил как MS MVP и как участник программы IT Pro Momentum. В общем, я весь в шоколаде у меня этим делом почти идеально. "Почти" потому, что все эти богатства не дают мне волшебной палочки поддержки 24х7 (Об этом чуть позже). Другим, я думаю, может быть сложнее, однако, каждый, кто купил не ОЕМ версию ПО имеет право запрос в поддержку. Насколько эта поддержка отличается от профессиональной, и какие вопросы можно в ней решать я сейчас выясняю – напишу позже. Те же счастливчики, которые воспользовались Software Assurance на достаточно крупную сумму (увы домашним пользователям) имеют еще и тикет на поддержку 24х7. На самом деле эти категории уже очерчивают достаточно широкую аудиторию. Хотя и не всех. Для всех остальных действует правило а позолоти ручку, красавчик «деньги вперед». Правда, для корпоративного пользователя деньги на самом деле не очень большие. Что-то около 150 долларов за Профессиональную поддержку и немногим меньше 500 за Премьер (24х7 стоят денег, ага =) ). Так что никаких многих тысяч. Кстати, как минимум премьер поддержку можно оплатить прямо во время звонка при помощи пластиковой карты. Насчет профессиональной не знаю. Итак, с доступностью в смысле финансов разобрались. А что у нас с просто доступностью?

3) Как воспользоваться:

Очень просто. Позвонить по телефонам +7 495 916 71 71 или 8 800 200 80 01 и сказать, что Вы желаете воспользоваться технической поддержкой и на основании чего Вы имеете на это право. Если Вы пользуетесь поддержкой впервые, то нужно будет пройти некоторые формальности, но это не долго (Вы же помните, что звонок на второй телефон бесплатен с любого стационарного аппарата в России?). А при повторном обращении спрашивают и того меньше. Еще можно написать письмо, но я предпочитаю звонок. Со звонком одна проблема: русская служба поддержки работает пять дней в неделю и в рабочие часы (8:00-20:00. Московское время, увы). Если Вы позвоните в нерабочее время, будет предложен вариант пообщаться с поддержкой, которая работает в данное время. Обычно за океаном, так что английский - к бою.

Итак, Вас внесли в базу клиентов службы поддержки, выяснили вкратце суть проблемы, сообщили номер кейса (запишите его - это важно) и... В случае поддержки Professional Вам позвонят или напишут в течение суток. Насчет Премьер поддержки не уверен в точном времени реакции, но оно однозначно не превышает нескольких часов (скорее, меньше).

Продолжение следует...

четверг, 7 августа 2008 г.

ISA 2006 Service Pack 1. Обзор. Часть2

Продолжаем наш практический обзор. Памятуя о предыдущей части, напомню, что успешное прохождение теста правила Web-публикации не означает автоматически, что все хорошо (а то задают уже вопросы). Тест может быть удачным, а правило работать при этом не будет. В частности, проверяется не успешность аутентификации, а совпадают ли методы аутентификации, сконфигурированные на IIS и в listener на ISA.

Теперь к фичам, которые еще не освещены независмой прессой мной.

Пряник #3: Traffic Simulator.

Все очень просто. Вводите откуда идет трафик. Вводите куда идет трафик. Жмете Start и получаете правило, которое разрешает или запрещает данный трафик. Великолепная вещь. Просто супер. Проверяет четыре типа трафика:

  1. Web Access
  2. Non Web Access
  3. Web Publishing
  4. Server Publishing

Без комментариев, в общем-то - все понятно и так. Выглядеть может вот так:

clip_image002Или вот так clip_image002[5]

В общем, пользоваться не напользоваться. Однако тоже не панацея, хотя и здорово облегчает жизнь. Не панацея, потому что может ошибаться в различных ситуациях. Например, не определяет ситуации, в которых трафик будет заблокирован фильтром приложения. Напарывался уже, рекомендую быть внимательным =)

Пряник #4: Diagnostic Logging

clip_image002[7]Одна из немногих фич нового SP, которые я самолично пока не попробовал - просто не было повода. Но для глубокого траблшутинга должно быть очень не плохо. полная информация обо всем, что происходило с пакетами внутри ISA. Очень информативно и, как мне кажется, может быть весьма полезным.

Остальные пряники больше касаются внутренних изменений. О них в следующем выпуске. =)

пятница, 1 августа 2008 г.

Я не менеджер...

... и не очень-то стремлюсь им быть (ну максимум - team leader :) ), но вот это оценил. Это нужно смотреть каждому, кто имеет в подчинении хотя бы одного человека. А еще лучше ДО того, как он станет хоть мелким, но руководителем. =)

Взято у товарища Панкратова.