Mély lélegzet

BUÉK még egyszer. Elkezdődött az év – végre a webnaplón is.

 

Kissé bele kellett húznom az első napokban, mindenféle számlafelosztásokat kellett készítenem, hogy a költségek ne az informatikánál, hanem a tényleges felhasználóknál jelenjen meg. Ezzel kapcsolatban aztán az AD is némi frissítésre szorult. Most már túl vagyok a munkán és az eddigi „hallgatásért” cserébe nagyon pontos információkkal rendelkezem a felhasználóink megoszlását illetően, de erről majd később. Az első bejegyzést a múlt év utolsójához szeretném igazítani és számba venni, hogy mi minden vár rám 2006-ban. A tervekhez persze néha nem kevés pénz is kell, de az egyszerűség kedvéért ilyen apróságokkal most nem foglalkozom. A cikk hosszú lesz, előre szólok az internet rövid-idejében élőknek.

 

Kezdjük a hardverfejlesztésekkel. Minimum programként a székesfehérvári központunk szervertermében meg kellene újítani a hálózati elemeket, új Layer3-as switchcsel, vagy switchekkel. A terminál szerver farmunk 2003-as átállása esetén favorizálnám a multicast üzemmódot IGMP Snooping támogatással, ez a mostani switch nem tudja. Egyúttal olyan VLAN-ok is kialakíthatók lennének, amelyekkel néhány kritikus alap-infrastruktúrális eszköz (Pl. UPS, PDU-k stb.) elrejthetők lennének egyszerű felhasználók elől. Kacérkodom emellett egy WAFS eszköz bevezetéssel vagy legalábbis próbálkozással, sokat segíthetne rajtunk.

Ennél a témánál anyagilag jóval húzósabb az x445-ös IBM gépek sorsa. Ha követitek a naplót, akkor tudjátok, hogy két ilyen gépünk van, amelyek ESX kiszolgálókkal egy egész sor Windows szervernek adnak helyet. A gond az, hogy az x445-ösök csak 32 bites processzorral működnek. Elvileg bővíthetnénk őket és még több szerver költözhetne rájuk, ám így zsákutcába futnánk, mert a W2003 utódja már csak 64 bites változatban lesz elérhető, különösen így van ez az Exchange 12-vel, így inkább gyors cserét kellene végrehajtani. Technikailag a csere nem bonyolult. Az IBM x460-at épp nekünk találták ki, még a HBA-kat és a helyi merevlemezeket is át lehetne pakolni az új gépekre, aztán hajra. Szerintem az ESX-nek meg sem kottyanna, a Windows gépek pedig amúgy is virtuális térben mozognak tehát maximum processzorcserét érzékelnének. A gond inkább anyagi természetű. Az idei évre tervezett ERP rendszerfrissítés talán ad egy kis reménysugarat a projekt megvalósítására. Ha beindul, mindenképpen lesz egy két bejegyzés róla itt is.

 

Bármilyen hosszú lesz is ez a felsorolás, nyugodt évnek képzelem az ideit. Az alapszoftverek nem változnak, legfeljebb kicsit konszolidálódunk, ezért ezt az évet a dokumentálás évének kell nevezni. E témával kapcsolatban bőven lesz tennivaló. Itt van mindjárt a felhasználói kézikönyv, amely már közel kétéves és számos tudnivalót nem tartalmaz (jelszókezelés szigorodását, a nyomtatás változásait, OWA/OMA funkciókat, faxkezelést, Windows SP2 változását stb.) Persze készültek kiegészítések, ám most egy egységes szerkezetű, naprakész anyagot kell összehozni, mindjárt magyarul és angolul is, mert a szlovén telephelyen nem beszélik a magyart. J. A kézikönyv mellett idén meg kell születnie az évvégén összehozott PKI rendszer teljes, akár auditálható dokumentációjának. Végezetül a saját munkánkat is segíteni kell némi üzemeltetési dokumentációval, MAL-specifikus tudásbázis cikkekkel.

 

A konkrét, már meglévő technológiákat tekintve első helyre teszem a mentés további finomítását. Tervezem létrehozni a TSM kiszolgáló „Collocation Groups”-jait. Ez egy érdekes téma. A TSM úgy ment, hogy egyszer mindent elment, azután mindörökké inkrementálisan folytatja. A gyors mentés érdekében azonnal, a keze ügyében lévő szalagra ment. Így viszont sok kliens és sok „job” esetén a helyreállításhoz szükséges adatok számos szalagon elszórva helyezi el. Hogy ez ne így legyen, a TSM-be beépítettek egy collocation nevű funkciót. Feladata, hogy a szerver „ráérő idejében” egymás mellé sakkozza a szétszórt inkementumokat, így a helyreállításhoz minimális szalag, illetve minimális szalagmozgás, fejmozgás, pozicionálás szükséges. Az 5.3-as verzió előtt viszont nem voltak collocation groupok, így egy kliens elvitt legalább egy szalagot, ami nem túl hatékony egy 30-40GB-os kliens és egy 400 GB-os szalagot tekintve. A collocation group lehetővé teszi, hogy a klienseket csoportosítsuk, így többen használnak egy szalagot, ha a lehetőség egyébként adott. Az már a rendszergazda dolga, hogy a csoportokat úgy alakítsa ki, hogy egy disaster recovery esetén a helyreállítást ne hátráltassa, hogy egy szalagon van több kliens mentése, így azok egymásra várnak az induláshoz. Szép, ugye? Persze TSM vonalon nem ez az egyetlen feladat. A Windows Server 2003-ak elterjedésével el lehet indítani a rendszeres ASR mentéseket is, mint újabb védelmi vonalat. A tavalyi storage bővítés után lehetővé vált, hogy a mentésre szolgáló területek (lemez, szalag) hierarchiát állíthassunk fel. Vagyis a mentést irányíthatjuk egy diszkre, amit megint csak ráérő idejében (vagy telítettség esetén azonnal) szalagra ír a TSM. Ezt a feladatot együtt kell kezelni majd a LANFree mentés megoldásával is, ami főleg a virtuális gépeknél nem ígérkezik könnyűnek. A LANFree és a hierarchikus storage együttesen biztosítana igazán skálázható mentést az SQL illetve Exchange adatainknak. TSM vonalon izgalmasnak ígérkezik még az ESX konzolokra telepített kliens, illetve a folyamatos mentés bevezetése fájlok esetén. Meglátjuk ezek mennyire szükségesek.

 

A clusterek területén sem áll meg idén az élet. A meglévő Windows Server 2003 fürtön fürtözni kellene néhány scriptet, valamint be kellene vezetni a Volume Shadow Copy erőforrásokat is, és persze elvégezni mindazt, ami ezzel jár (klienstelepítés, felhasználók oktatása). Ugyancsak ezek lesznek az első kiszolgálók, ahol néhány R2 funkciót is érdemes lesz kipróbálni és bevezetni. Főleg a Print Management és a kvótázás érdekel, a DFS-ről és az új fájlreplikációról tudom, hogy még ezúttal sem született olyan szintű cluster támogatás, amely elvárható lett volna. Ezévi program lesz a két nagyobb telephelyünk fürtjeinek Windows Server 2003-ra frissítése és a tartományvezérlő szerep lekaparása a node-okról. Ha addigra már kellő tapasztalattal rendelkezem az R2 funkciókat illetően, akkor azokat ott is életre kell kelteni. (Mindez mellesleg azt is jelenti, hogy a fentiek megvalósulása esetén natív Windows Server 2003 tartománnyá és erdővé válnánk.)

 

Az ESX kiszolgálókkal kapcsolatban két dolgot tervezek idén (az fent említett mentés mellett). Ha megjelenik a 3.0-ás verzió, akkor mindenképp szoftverfrissítést érdemes végrehajtani. Az új verzió guest gépenként 16 GB lehetséges RAM-ot kínál, továbbá megvásárolható lesz hozzá egy négyutas SMP modul is. A kettő együtt azt jelentené, hogy gyakorlatilag nem lesz olyan gépünk illetve igényünk, amit ne lehetne virtuális kiszolgálókkal megoldani.

 

A múlt évről maradt el teendő a WSUS szolgáltatás beüzemelésénél. Egy telephely még mindig SUS szoftverrel frissül, a többieknél pedig módszeresen egyeztetni kell az AD és a WSUS géplista között, hogy biztosan minden gép bekerüljön a kliensek közé. Az arány nagyon jó így is, de nem szeretnék egyetlen gépet sem kihagyni a frissítésből. Ezen felül egy ropogós tanúsítvánnyal megtámogatom a WSUS kiszolgálókat, majd a lehetővé teszem, hogy VPN bejelentkezés nélkül is rákapcsolódhassanak a kliensek a csomagokért. (Ki tudja, itt lesz először kölcsönös hitelesítés?) Várható még az év folyamán egy SP1 telepítés, de ez nem lesz nagy ügy, azt remélem.

 

Az Exchange már több munkát fog adni. Az év végén elkezdett Virusbuster Mailshield alkalmazást teljes egészében a magamévá kell tennem, némi finomhangolást is igényel még (az IWIW üzeneteket például spamnek minősíti). Megjött a zöldlámpa a Sybari Antigen-re, megvesszük, tehát azt is meg kell tanulni, okosan fel kell tenni. Régi adósságom az Exchange Best Practice Analyzer által javasolt módosítások módszeres végrehajtása. Át kell nézni a TSM és az Exchange 2003 együttes lehetőségeit, hogyan lehetne minél inkább rövidíteni a mentési időt és ha nem is mind, de legalább néhány katasztrófa esetre ki kell dolgozni tervet. Fel kell pakolni a Joep által javasolt Activesync Web Administration Tool-t. Végül nem kizárt, hogy megjelenik még az év végéig egy SP3, azt is fel kell majd varázsolni. (Az Exchange amúgy is kényes téma, a 64-bites frissítés miatt árgus szemekkel kell figyelni az Exchange blogokra, hogy naprakész legyek a témában). Amire egyelőre nem látok lehetőséget, az egy frontend-backend architektúra létrehozása, pedig szép lenne, és főleg egy fokkal biztonságosabb.

 

Ha már üzenetküldés, akkor mobil kliensek. Az hírlik, hogy ez az év a mobil vírusoké lesz. El kell hinteni az igét, hogy most még itt a lehetőség az „egységes mobilplatform” megteremtéséhez és a két darab „régi” Windows Mobile 2003-at 2005-ös, egyúttal a Mobile Security and Feature Pack-et is tartalmazó változatra kell cserélni. Hasonlóan el kell érni, hogy minden mobil eszközön legyen vírusírtó. Most még nem ez a helyzet, erről kicsit később. A mobil klienseknél egyébként a legtöbb problémát a vezetők betanítása és a főnök-titkárnő kapcsolatok „újraszervezése-újratanítása” lesz, de majd megbírkózunk velük.

 

Kezdenünk kell valamit a szlovéniai telephelyünkkel is. A MAL-os fogalmak szerint ők ugyan „kicsi” telephely, mindössze harminc felhasználóval, ám ennek ellenére (részben a bérlet vonal bizonytalankodása miatt) sok „saját erőforrást” harcoltak ki maguknak, többek között egy Exchange kiszolgálót is. Az x64 átállás miatt lehet, hogy már idén lépni kellene náluk valamit. Úgy gondolom, hogy ideális terep lenne egy Virtual Server 2005 R2 telepítéshez, főleg, hogy így még licence-et is meg lehetne takarítani, miközben a funkciókat egyetlen, jó erős vasra pakolhatnánk. Mondanom sem kell, hogy itt is szeparálnánk a tartományvezérlő funkciót. Igazság szerint ez az egész projekt csupán vaskérdés, hiszen a VS nem nagy pénz, a szerver licencek meg már megvannak. Ennél a telephelynél a legnagyobb probléma a szalagos meghajtók bizonytalan volta, így a mentés nem kellő megbízhatósága. Az esetleges frissítéssel ez is átgondolandó.

 

A biztonság hálás téma egy informatikusnak, mert mindig ad munkát. A PKI dokumentációról már írtam, de a PKI további alkalmazásának a lehetősége itt van az orrunk előtt. Első lépésként a PPTP nyugdíjazására gondoltam, éljen az IPSec. Aztán gyors ütemben lehetővé kell tenni, hogy a néhány megátalkodott scriptírónk aláírhassa a scriptjeit és egyel magasabb szintre emelhessük a makróvédelmünket. (Bár mire megjön a gyógyír, eltűnik a betegség J). Lehet kísérletezni, ha lesz rá idő, a smartcard-os bejelentkezéssel, bár nem lesz magas proiritása a projektnek. Aktuálissá válik a Symantec Antivírus frissítés a szervereken és a klienseken egyaránt, előre láthatólag a 10.0.2-re vagy a majdani 10.0.3-ra térünk át 9.0.3-ról. Szinte bizonyosan lesz ISA 2004 tűzfalmigráció, ezt legfeljebb az ISA 2006 megjelenése akadályozhatja meg J. Végül leteszem a nagyesküt a tavaly elkezdett „Zérő Domain Admin” projekt befejezésére.

 

Egy ideje már futó projekt a bérelt vonalaink redundanciájának megteremtése. Az ADSL árak esésével és a sávszélességek emelkedésével ez talán-talán megvalósítható lesz az idén. Ha így lenne, akkor egyetlen farmba lehetne összevonni a terminál szervereinket, ez pedig több, mint elégséges kapacitást jelentene további PC-k kiváltásához vékony kliensekkel. Két újabb telephelyünkön lehetne minden szerverünket megszűntetni, megoldva a mentés/vírusvédelem/patchelés/AD replikáció stb. problémákat.

 

És végül a terminál szerverek témaköre. Már a szerverszobánkban dekkol huszonegynéhány vékony kliens, s csupán arra várnak, hogy a pályafutását tesztszerverként kezdő, nemrégiben pedig memóriabővítésen átesett vasunk végre csatlakozzon a TS farmhoz. No persze inkább már Windows Server 2003 alapon, Session Directory támogatással. Sikeres átállás esetén egy egész telephelyen számolnánk fel a kiszolgálókat (azt az egyet J), és valamennyi PC-t, hogy a lehető legegyszerűbb, telepítésmentes, vírusmentes, „dinoszaurusz-kurzor”-mentes környezet jöhessen létre. A tényleges migráció mellett, amely lényegében a telepítés minél magasabb fokú automatizálását jelenti, néhány témát meg kell oldani. A legfontosabb, hogy a meg kell akadályozni a telephelyi TS profilok keveredését a központi TS profilokkal. Meg kell oldani az „Application Folder” átirányítás együttélését a tényleges PC-kkel, végezetül új alapokra kell helyezni a TS monitorozást. Itt kap szerepet a Windows Server 2003 Resource Kit. Egy egész könyv szól a Group Policy-ról, azt remélem, hogy kellő muníciót kapok a TS problémám átgondolásához. A Performancia méréséről egy másik teljes kötet értekezik, innen is számos „hogyan?” kérdésre várok választ. Krisztián kollégám egyébként az SQL 2005 Reporting Service-ének beépített template-jeivel bíztat. Azok – állítása szerint – kész webes riportok a performance monitor által SQL-be naplózott teljesítményadatok prezentálásához. Ez szép, izgalmas, nem mellesleg egy potenciális biztonsági probléma megoldása is, hiszen ha mindaz, amit itt egy röpke bővített mondatban leírtam, működik, akkor elbúcsúzunk az SNMP és az MRTG korábbi kimutatásaitól. De csak akkor.

 

Nos, ilyen lesz a jövő év, vagyis most már „ez év”. Vagy mégsem? Ki tudja, lehet, hogy sokat dolgozom majd a Sharepoint-al (kilátásban van), vagy épp a Wireless hálózatunk tanúsítványokkal való elárasztása viszi majd el az időt. Sőt, (hadd legyek sejtelmes) olyan projektek is a horizontra kerültek, amely a teljes infrasturktúrát fenekestül fordítanák fel, beleértve az itteni terveinket is. Erről majd akkor, ha beszélni is lehet róla.

 

Kezdhetjük ezt a nyugodt évet…

3 Responses to Mély lélegzet

  1. Petrenyi Jozsef says:

    Valamikor az volt az egyik indok, ami miatt outsourcing céghez mentem, hogy állandóan egy munkahelyen tolni a szekeret baromi eseménytelen lehet.Nem a ti cégetekre gondoltam… :)

  2. Tamas says:

    Nem is tudom, hogy ez cégfüggő-e. Szerintem nincs is olyan IT rendszer, ahol ne lenne mindig sok teendő.

  3. Petrenyi Jozsef says:

    Persze, teendő mindig akad – csak nem mindegy, milyen fajsúlyú. Dolgoztam olyan cégnél, ahol 1996-ban átálltunk Novellről NT3.51-re, 1997-ben átálltunk NT4-re… és még mindig azt használják.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: