Собрание заметок об информационных технологиях
В предыдущей заметке была рассмотрена процедура установки и настройки RADIUS сервера в составе роли Network Policy and Access Services в Windows Server 2008 R2 для использования аутентификации и авторизации на контроллерах APC Web/SNMP Management card. В случае с коммутаторами Cisco на стороне настроек сервера RADIUS всё делается по аналогии, за исключением некоторых моментов. Рассмотрим эти моменты и проведём настройку коммутатора на примере модели Catalyst WS-C2950-24.
В процессе перехода на Windows 7 всё чаще стали сталкиваться с проблемой невозможности развертывания OC с SCCM 2007 R2 из-за существующих совпадений Universal Unique Identifier (UUID) материнских плат. Ранее уже рассматривался один из возможных вариантов решения этой проблемы в заметке SCCM & Double UUID. Но рассмотренный метод может подходить далеко не для всех компьютеров, так как не во всех случаях имеется возможность штатной замены UUID, тем более учитывая тот факт, что во многих ИТ инфраструктурах не так уж и редко можно встретить небрендовые сборки ПК. В статье ITBand.ru - Dublicate SMBIOS GUID приводится пример SQL запроса для построения отчёта SCCM, который поможет нам оценить "масштабы бедствия" среди существующих у нас клиентов Configuration Manager.
Маленький step-by-step по обновлению прошивки IOS на коммутаторе Cisco на примере Cisco Catalyst WS-C2950-24
Последовательность действий:
В предыдущей заметке рассматривалась процедура связки механизма аутентификации на контроллерах управления APC Web/SNMP Management Card с RADIUS сервером и отдельно отмечалось, что при использовании доменной аутентификации важно защитить HTTP трафик шифрованием с помощью цифровых сертификатов. По умолчанию для построения HTTPS соединения контроллеры APC создают само-подписанный сертификат, на который по понятным причинам веб-браузеры реагируют выводом соответствующих предупреждений о недоверии данному сертификату. Чтобы избавиться от этих предупреждений мы можем заменить само-подписанный сертификат на контроллере на сертификат выданный нашим локальным доверенным центром сертификации на базе Windows Server.
Если в организации имеется большое количество сетевых устройств, таких как маршрутизаторы, коммутаторы, сетевые принтеры, контроллеры управления ИБП и др., – рано или поздно может встать вопрос о централизации управления этими устройствами. Понятие централизации управления в данном контексте является очень широким и мы в данной заметке рассмотрим одну из его составляющих – централизация функций аутентификации/авторизации/контроля доступа к этим устройствам. Реализацию этих функций можно найти в программных и программно-аппаратных вариантах у разных производителей оборудования, но если речь идёт об унификации этих функций в парке устройств разных производителей, - на помощь нам приходит протокол RADIUS. Любой уважающий себя производитель сетевого оборудования имеет на сегодня для своих устройств поддержку этого протокола.
Рассмотрим на практике случай, когда в организации имеется некоторое количество источников бесперебойного питания (ИБП) фирмы APC с установленными в них контроллерами управления APC Web/SNMP Management card.
Имея в своём хозяйстве несколько SCSI контроллеров HP Smart Array 6400 и старенькие, но вполне ещё работающие “в полный рост” дисковые полки типа HP MSA 500 G2, озаботился как-то вопросом замены батарей питающих модули кэш-памяти на этих контроллерах, так как с определённым сроком эксплуатации эти батарейные модули вырабатывают свой ресурс… А когда наступает этот грустный момент, встроенные средства диагностики контроллера блокируют использование неисправной батареи. Вот так выглядит оригинальный батарейный модуль, требующий замены: 
По информации, которую слили нам местные коммерсы, выпуск таких батарейных модулей давно завершён и сейчас в качестве их замены используются какие-то другие модули той же ёмкости и форм-фактора, стоимость которых варьируется в пределах 8 тысяч рублей. И так получилось, что совершенно случайно, в интернете наткнулся на информацию о том что для этих батарейных модулей есть ещё и китайский аналог от “конторы” под названием CameronSino Technology под номером модели CS-RAC6400SL. При этом цена оказалась более чем в два раза меньше, чем просили за оригинальный батарейный модуль от HP. Выглядит этот “чудо-аналог” так:
Обратите внимание на искусно приписанные парт-номера HP…
Для пробы было решено сначала приобрести несколько таких модулей… Когда модули были получены и я принялся выполнить их установку на место отслуживших свой срок модулей, то с разочарованием для себя обнаружил, что штырьки фиксации на плате - у китайской батарейки были смещены в сторону примерно на миллиметр, что не позволило устанавливать их на плату без предварительного “тюнинга” с помощью монтажного ножа.
Но это не самое грустное в этой истории, самое грустное оказалось то, что контроллеры HP ни в какую не захотели распознать китайские батарейный модули как работающие, хотя вольтметр уверенно показывал на каждом модуле напряжение в 3.8V
Самое смешное то, что в интернете можно увидеть то, что коммерсы довольно бойко на многих сайтах предлагают эти самые китайские батарейные модули как реальную альтернативу оригинальным модулям от HP.
Так и напрашивается старая пословица “Скупой платит дважды”…
Не так давно пришлось заказывать переходную плату для установки PCI-X плат в сервер HP ProLiant DL360 G5. Выглядит это чудо примерно так..
Как обычно я забрался в HP Product Bulletin, нашёл там P/N соответствующей железки и сделал заказ по этому номеру…Местные коммерсы согласились привезти такую железку по цене порядка 100$… Заказ был сделан, и когда я получил железку на руки то совершенно случайно обратил внимание на то что P/N указанный на самой железке совпадает с P/N имеющейся у меня под руками переходной платы от сервера более старшего поколения - HP ProLiant DL360 G4. Тут же разумеется нарисовался план проверить совместимость и с удивлением для себя я обнаружил что на переходной плате снятой с G4 и установленной в G5 как ни в чём не бывало работает PCI-X контроллер…При этом нигде в спецификации к G5 я не нашёл упоминаний о такой совместимости Riser-платы..
Если вы будете делать заказ такой переходной платы как опцию для G4 то можете снизить стоимость заказа как минимум вдвое.. А тем более если у вас эксплуатируются сервера G5 и есть выведенные из эксплуатации сервера G4 – вы сами сможете это проверить, если не ссыкотно.
С одной стороны это выглядит как маркетинговый фокус вендора, а с другой…ну не знаю..решать Вам 
Имеется на руках интересная железка - Мультимодемная плата Digi AccelePort RAS 4 Europe (4 x Modem RJ-11 ports) PCI (P/N #77000617).
В былые времена она использовалась для организации сервера служб RAS, теперь появилось желание заюзать её для организации сервера факсов. Разумеется, первым делом я пошёл на сайт разработчика,… и с огорчением для себя обнаружил что поддержка этой платы уже прекращена и к тому же из списка доступных драйверов для платформы Windows самыми “свежими” является драйвер версии 5.0.314.0 (30.06.2003) для Windows Server 2003… Ни на на что особо не рассчитывая, я всё таки решил попробовать “подружить” эту железку с Windows Server 2008 R2… День мытарств, как я и предполагал, ни к чему не привёл. ОС наотрез отказалась глотать недружественный драйвер, который мало того что не имел цифровой подписи, был рассчитан на более старую систему и к тому же вообще был 32-битным. В статье Windows Hardware Developer Center - INF Requirements for 64-bit Systems нашёл описание того как же всё-таки можно попытаться насильственным способом навязать системе имеющийся в нашем распоряжении драйвер. Для этого достаточно добавить ключ реестра REG_DWORD с именем DisableDecoratedModelsRequirement в ветке HKLMSoftwareMicrosoftWindowsCurrentVersionSetup и присвоить ему значение отличное от нуля, например 1. Для вступления в силу изменений потребуется перезагрузка. После этого драйвер был таки съеден системой, однако работать так и не захотел. После изучения лог-файла установки в C:Windowsinfsetupapi.dev.log стало понятно что ОС органически не переваривает драйвер dgardxb.sys…
Официальный форум тех.поддержки Digi оказался довольно скудным и поэтому последней надеждой стало обращение в техподдержку Digi. Разместив обращение на сайте тех.поддержки Digi я получил ответ, от которого мне совсем стало грустно..
На сегодняшний день, когда использование 64-битных серверных систем уже вошло в стандарт де факто, очень удивительно наблюдать подобного рода явления, когда такой серьёзный вендор (как я полагал) как Digi не имеет и даже не планирует поддержку своих устройств в 64-битных системах.
Работа с SCCM продолжает приносить нам сюрпризы. В ходе того как мы начали использовать функционал OS Deployment вскрылись новые подробности.
При очередном развертывании целевой компьютер (HP DX7400) упорно отказывался начинать процесс установки ОС.
Для изучения проблемы пришлось в загружаемом образе WinPE включить возможность отладки, после чего мы получили доступ к логам WinPE клиента и обнаружили что на этапе когда загруженный WinPE клиент обращается на SCCM сервер для получения задания развертывания ОС – происходит коллизия. А именно, SCCM сервер почему то определяет этого клиента как уже существующий в БД SCCM компьютер (совершенно другой но такой же модели - HP DX7400)…Далее путём долгих мытарств выяснилось что эти два компьютера имеют одинаковый аппаратный UUID, который прошит в DMI области BIOS материнской платы на заводе производителе.
Выяснилось что если SCCM находит в своей базе данных совпадающий UUID то он как принимает два разных компьютера за один и тот же…что и является причиной отказа в развертывании… По доступной в интернете информации - дублирующимися UUID отличаются некоторые производители оборудования, дочерние предприятия DELL и HP. Сначала мы попробовали решить эту проблему «софтверно», то есть я открывал кейс в тех.поддержке MS…но как и следовало ожидать их ответ был неутешительным- «Обращайтесь к разработчику оборудования». Пока изучал проблему узнал интересную вещь - в свое время компания Microsoft для получения производителями статуса «Сертифицировано для Microsoft Windows» одним из условий выдвигала наличие у производителя поддержки RFC определяющего наличие и уникальность аппаратного UUID…но как оказалось наши «славянские братья» (если не путаю страна-производитель этих рабочих станций HP была Румыния) забили на все эти глупости )))
Потом была долгая переписка с тех.поддержкой HP…и пока она длилась было найдено обходное решение по сносу с таких компьютеров всех данных BIOS из области DMI. Но при этом из BIOS, как следствие, вытирался не только UUID но и S/N и P/N девайса, что уже само по себе не очень красиво получалось…хотя при желании эти данные можно было вернуть назад с помощью ещё одной немецкой хакерской тулзы … но все эти операции выглядели очень муторно и неудобно...
Совсем недавно наша переписка с инженером HP из !!!Индии!!! закончилась. Мы получили и успешно провели испытания утилиты SMBCFG от Phoenix Technologies. Данная тулза позволяет в режиме MS-DOS выполнить команду по регенерации аппаратного UUID не теряя при этом прочих данных их DMI области BIOS.
Делается это одной командой:
SMBCFG.EXE /UUID
Столкнувшиеся с подобной проблемой могу стянуть утилиту отсюда
PS: Обращаю ваше внимание на то что корректность работы утилиты проверена только на рабочих станциях HP DX7400 (Bios AWARD-Phoenix)
Здравствуйте, Кирилл. В рассматриваемом примере 8 и 9 это не разные сети, а одна расширенная сеть. Обратите внимание на то,…
Добрый день! Схема в общем и целом понятна. Подскажите, пожалуйста, как осуществляется взаимодействие между устройствами из разных подсетей (в примере,…
RSS - Записи
Последние комментарии