Лига Сисадминов

В первой части я писал, как нужно организовать сеть в офисе, чтобы всё работало , а когда ломается - быстро чинилось. Но что же будет, если этого не делать? Поведают нам вымышленные действующие лица с реальными прототипами.
Со стороны провайдера:  - Инженер №1.
Со стороны бизнес-центра: (арендодатель)- Инженер №2.
Со стороны клиента:
Маша - офисный планктон №1
Саша - Офисный планктон №2
Петя - Офисный планктон №3
Вася - бывший айтишник клиента.
И вот, авария. Ничего не работает. По предыдущим заявкам - 2 из 3 проблема на оборудовании клиента, 1 - решилось перезагрузкой оборудования провайдера.
Что видно? - А связи нет с клиентским оборудованием. Провайдерское в порядке.
Звонок Провайдер-Клиент. Трубку берёт Маша.
Инженер№1: Здравствуйте Маша, нет связи с вашим роутером D-Link, давайте его найдём и проверим.
Маша: Ну я вот нашла наш роутер. Написано Zyxel Keenetic
Инженер№1: Это не главный роутер, давайте искать дальше, где всё ваше оборудование?
Маша: Ну вот стоит, тут какая-то большая коробка D-Link DES XXX , и другие, не подписанные.
Инженер№1: Это скорее всего не то, но теоретически так тоже можно настроить. (Известно, что эта линейка - коммутаторы, но в роутинг они тоже могут немножко) . Давайте перезагрузим, питание - сзади с краю, слева от вас. (Гугл картинки - отличная штука)
Маша: Он тут впритык к стене стоит и на нём куча других устройств, я не могу его отодвинуть. Саша, Петя, помогите мне!
Саша и Петя: бубубу
Маша: Ну ребята! Работа стоит! Давайте сюда!
Саша в итоге ничего не понял, а Петя понял, но ничего сделать не смог. Всё оборудование в куче, только тронь - всё посыпется.
Инженер№1. Ладно, сейчас я вашему бывшему айтишнику позвоню, может он что-то помнит.
Вася: А я уже не помню что там, то ли роутер то ли свитч, то ли D-Link , то ли что, мне плевать.
Опять звонок Пете.
Инженер№1. Ничего не помнит ваш айтишник. Документацию оставил? Директора хотя бы информировал?
Петя: Нет, и директору по барабану. Я могу всё оборудование выключить через ИБП и включить.
Инженер№1: Ну давай.
Петя: А я ничего не сломаю?
Инженер№1: Сходимость сети должна быть, если оборудование после переключение питания не восстанавливается - это проблема с оборудованием и с ним нужно разбираться. Созвон через 5 минут.
Через 5 минут.
Петя: Я выключил ИБП, всё погасло, включил, но оборудование не запускается, ничего не горит!
Инженер№1: Значит переключай питание на каждой железке по отдельности.
Петя: Я не знаю, я не умею, там много проводов.
Инженер№1: Ну кто ж тебе виноват, что на связь всем насрать у вас в конторе. Дай мне Машу, ну тебя нахуй. 
Инженер№1: Маша, нашли ещё что-нибудь?
Маша: Нет, только это.
Инженер№1: Сейчас я арендодателю позвоню, может они что-то знают.
Возникает вопрос: Зачем всё это? А затем, что провайдер поддержкой клиентского железа не занимается. И против организации таких услуг вроде как ФАС выступает. Скорее всего это как гугл хром по умолчанию на железках на базе Android. Мол, пусть клиенты на открытом рынке выбирают себе стороннюю поддержку, а не вы им навязывать будете. Потому поехать и ткнуть клиента носом - 100$ .
Далее звонок провайдер-арендодатель.
Инженер№1: Дядь, тут такое дело. У клиента беда, а он ничего не понимает, может подскажешь, куда там в офис главный кабель приходит?
Инженер№2: Понятия не имею, мы только доступ дали, всё между вами и их айтишником делалось.
Инженер№1: Нет у них айтишника больше.
Инженер№2: Ну , нет айтишника - пусть страдают. Мы помогать не обязаны и не будем. Поднимайте документацию, ориентируйте сами. Будете отправлять людей - пишите, доступ дадим.
Документацию подняли, оборудование провайдера с Машей перезагрузили - разумеется, безрезультатно, ибо видно, что оно и так в работе. Кабели идут куда-то под потолок, скорее всего там главная железяка клиента, а Маша - метр с кепкой, туда не достанет.
Условия выезда для демонстрации сервиса с компа Маше озвучили, она с директором перетёрла, и решили своими силами пока проверить. Это в пятницу то! Скорее всего забьют на все выходные.
Но свой айтишник - это дорого ведь!
Да не нужен свой айтишник, вызови аутсорс. Просто забей в гугле "Настройка роутера %городнейм% ", "ИТ поддержка %городнейм% " . Ребята из Москвы, кто занимается, расскажите в комментариях, сколько стоит расставить нормально железячки клиента, пометить провайдерский кабель на случай поломки?
В данном конкретном случае, если бы Маша нашла кабель провайдера и перезагрузка её роутера не помогла - провайдер бы с ней подключился одним компьютером, а там в интернете и инструкцию по настройке роутера можно найти, и аутсорс нагуглить, если манипуляции с ним не увенчаются успехом. А если компьютером подключились и не работает - так это сходу бесплатный выезд!
Заценили, какая простыня вышла?
А теперь посмотрите на другого клиента - контакт со стороны -  Лиза.
Лиза ещё во время заведения заявки подключилась компьютером напрямую - не работает.
Инженер№1: Здравствуйте Лиза, сейчас за компьютером?
Лиза: Да.
Инженер№1: Выньте сетевой кабель.
Лиза: Хорошо. Вынула.
Линк на оборудовании погас, Лиза всё правильно сделала. Проверка показала, что связь с компом Лизы внутри сети есть, а из внешки - нет.
Инженер№1: Лиза, подключите обратно кабель. Нажмите Win+R, далее впишите cmd. Здесь - ping 8.8.8.8 нажмите enter, говорите что пишет.
Лиза: Привышен интервал ожидания запроса.
Инженер№1: Хорошо, сейчас всё проверим.
Запрос отправили на проверку маршрутизации, там обнаружился лежачий узел в ядре сети, съездят да починят, у клиента никаких головняков.
Тут простыня сильно меньше, правда?
Мораль басни: Разбирайтесь в своей сети, заведите свой аутсорс. 
Мораль басни для айтишников: Не технический персонал - не полные балбесы, если вы оставите достаточно информации, то провайдер сможет их руками всё починить, если проблема с вашей стороны. Верьте в своих коллег, они может не очень умные, но зато очень исполнительные.

Обсуждали мы с @pfsenses нехорошее поведение человека из вот этого поста и вспомнилось мне, что давно хотела написать пост об этике в работе системного администратора. В том числе – поднять вопросы, на которые у меня нет четкого ответа. Обсуждение приветствуется.

Итак, проблема номер 1 – доступность данных, систем и манипуляций с ними. Будем честны, если вы админ небольшой фирмы или глава админов (в смысле, не менеджер, а всё ещё админ) фирмы среднего размера, то вы можете сделать с системой всё. Исключение составляют большие фирмы с реальным разделением труда или задроченные на ИБ (большие банки, например, или там ФСБ), где половинкой пароля владеет админ, а половинкой безопасник, или сети между собой не связаны или еще какие крутые заморочки. Мы про реальную жизнь, а она подсказывает, что админ средней компании может сделать всё. Конечно, грохнуть всю систему – это уголовно наказуемо. И если не совсем идиоты её проектировали, то и восстановлению она более-менее поддаётся. Но серьёзно поднасрать и устроить длительный перерыв работы компании – вообще не требует усилий. Я считаю, что мы этого не делаем потому что

а) ещё раз – это уголовно наказуемо,

б) Это «волчий билет» в профессии

в) А нафига? Профита нет, я это любовно строил, а теперь ломать?

Фактически, работа строится на вере работодателя в то, что мы осознаем ответственность, психически адекватны и не захотим вредить. Собственно, сюда же я отнесу и отношение к найденным внутренним уязвимостям. Нашел – сообщи руководству или безопасникам, закрой по возможности.

Вопрос номер 2 – доступность информации работодателя и личной информации сотрудников. С базами работодателя понятно, все мы (надеюсь) подписывали бумажку о неразглашении и нераспространении. Слить базу - опять же, уголовно наказуемо, «волчий билет» и всё такое. Однако, идиоты, сливающие базы, находятся и их успешно ловят. ИМХО – оно того не стоит.

По второй части - кому из нас не приносили личный/корпоративный ноут на «починить», диск на «восстановить», мобильник на «настроить». У кого пользователи совсем не хранят на рабочих ПК фоточки с отпуска и т.д.? Волей-неволей мы знаем кучу маленьких грязных секретиков других сотрудников. Я считаю неэтичным распространение личной информации людей без их разрешения. Но люди! Вы думайте головой, когда относите свою технику или даёте свои личные данные кому-то! О, ещё классная штука – оставить свой телефон, пароли, кредитку и сказать «ну ты там мне настрой appstore». В общем, что у людей в голове – мне не ясно, но пользоваться доверием этих наивных человеков мне не позволяет совесть. Еще и рассказать им пытаюсь о том, что они не правы, так разбрасываясь данными.

Вопрос номер 3, самый для меня неоднозначный, слежка за сотрудниками. У нас всё цивильно, в договоре это прописано, у старых сотрудников - отдельным приказом с ознакомлением. Однако, слежка за тем, с кем приятельские отношения, слежка за админами филиалов – доставляет некоторый моральный дискомфорт. Особенно, когда они попадаются на горячем. В целом, хорошо, что я плохо схожусь с людьми. Для себя я определила, что есть мой отдел (за которым мне не поручат следить) и есть остальные. Всех предупреждали. Ясно, что инфа, скажем, по посещенным сайтам, предоставляется только по заказу руководства. Но вот слив информации (как в истории с Почтой России, например) – повод для сообщения безопасникам. А как эту дилемму решаете вы?

Вопрос номер 4 частично связан с предыдущим. Это разделение личного и рабочего. С этим мне помог научный руководитель в своё время. Какими бы вы приятелями не были, сколько бы пива не выпили, но личные отношения остаются личными. А по работе у вас есть рабочие обязанности, приказы должны исполняться, отчеты делаться и права урезаться. Да, в среде ИТ обычно неформальные отношения, но это не должно мешать работе или создавать дыры в безопасности.

Вопрос номер 5 – взаимоисключающие требования руководства. Хорошо, если это решается письмом непосредственному руководителю. Но вот, например, дилемма: равные по иерархии начальники просят доступ к шаре служб друг друга (например, финансисты и кадровая служба). И оба же категорически запрещают доступ других служб к своей шаре. Оба они мне не начальники, мои предложения по созданию им папки обмена слушают не всегда. Мой руководитель также не может выдать решение, так как решить в любую сторону – нарушить указания обоих. Обычно таки решается созданием папки обмена (иным компромиссным решением при схожих ситуациях). Как вы разрешаете такие вопросы?

Вопросы номер 6 и 7 на самом деле связаны – это обучение сотрудников и документирование. Под обучением я имею в виду именно передачу знаний среди своих же сотрудников от старших/знающих к младшим/не знающим. Собственно, два аспекта: вы не обучаете и думаете, что незаменимы; или вы обучаете, получаете квалифицированных сотрудников и учитесь сами чему-то новому. Короче, я за обучение. Под документированием я имею в виду составление схем сетей, сводок информации, документирование всех нетипичных действий с системами. То есть, если я уеду в отпуск в горы без связи, кто-то из коллег, пользуясь документацией, сможет сделать то, что делала обычно только я. И да, меня можно уволить, а документация останется. Я считаю это правильным. А вы?

Вопрос номер 8 – отношение к пользователям. Ладно, это не про сисадмина, а про эникейщика. Но он может работать у вас в отделе, или вы можете его иногда подменять на время отпуска. Честно, я ругаю за стёб над пользователями и издевательские шутки. У себя внутри отдела можно обсудить их умственные способности в каких угодно выражениях, но с пользователями будь вежлив и считай, что у них нет чувства юмора.

Вопрос 9 - взаимоотношение с внешними системами. Сюда включу 2 аспекта. Первый – настройка систем, влияющих на внешнюю сеть. Это ваша внешняя зона DNS, настройка внешних IP-адресов, почтовик, возможно, у кого-то BGP. Я не беру телеком, я про обычные конторы. Принцип: не знаешь – не настраивай наобум. От этого зависит работа не только вашей конторы, но и корректная работа Интернет в целом. Второй аспект – взаимодействие с сообществом. Принцип: знаешь, как решить – поделись решением.

Пишите, кто как относится к перечисленным вопросам. У кого какие ещё этические проблемы или моральные дилеммы возникают в связи с профессиональной деятельностью?

Призываю умные компьютерные головы Пикабу на помощь.

Суть проблемы:

Есть ноутбук dell inspiron 13-5378

С него сняли винт (HDD Seagate 1Tb)

Поставили с помощью адаптера в гнездо привода в ноутбук Lenovo

Скопировали с HDD папку которая лежала на рабочем столе весом в 60гб на рабочий стол Lenovo на котором установлен SSD

После копирования папки, HDD вернули в Dell, отформатировали HDD через Diskpart и преобразовали в GPT.

Потом установили на него Win 10 pro, накатили драйвера, активировали KMSом

Снова вытащили из Dell и воткнули в Lenovo.

Пошли через проводник на рабочий стол подключенного HDD и скопировали папку обратно.

После HDD отправился обратно  в Dell.

Вот тут внимание:

Эта самая папка не отображается в системе на Dell, но количество занятого места на диске осталось прежним.

То есть файл где то лежит, а я его не вижу.

Что уже сделано:

HDD вернулся в Lenovo и там так же не была найдена папка

HDD просканировался на вирусы Curelt

HDD Проверен на ошибки

HDD Дефрагментирован

Total и FAR не видят папку

Подскажите пожалуйста куда копать, ноутбук нужно вернуть утром клиенту, в этой папке все нужные ему файлы.

И снова берусь написать очередное творение.

Раньше тоже подумывал об этой теме, но в этот раз натолкнула на нее коллега.

И вот почему...

Сотрудники компании провайдера, а именно: менеджеры по работе с физическими лицами, с юридическими лицами и даже иногда с операторами (но ОЧЕНЬ редко), порою не знают, что предлагают клиентам и как это правильно называется, при этом считают себя крутыми и продолжают впаривать. Да, я понимаю, что главное зацепить как можно больше клиентов и единицы отвалившихся не сыграют роли, но иногда всё-таки стоит иметь представление и компетенцию определенную, ведь такие клиенты могут взять сразу пакет услуг.

И да... Я как раз тот упоротый чувак, который грузит обзвонщиков насчет услуги доступа в Интернет со всеми подробностями. Да, может быть у Вас и дешевле тариф на 100-200 рублей в месяц, но скажите мне какой толк мне менять провайдера, который у меня сейчас со стабильной работой сети на Вас, которые даже не могут толком ничего мне объяснить по услуге? Нет меня не интересуют игровые сервера - не играю, не интересуют видеосервера - не смотрю, некогда, меня интересует реальник, потому что нужен по работе, а также еще некоторые параметры, выполнив условия которых, я, возможно, перейду на Вас. Но увы и ах - у нежных созданий задача обзвонить и предложить, а на таких как я немного потупить, отвечая невпопад и раазойтись с миром.

Но вернемся к нашим баранам.

Для работы с физиками вполне достаточно знать, что Вы предлагаете ДОСТУП в сеть Интернет (да, именно доступ, потому что Вы не владельцы интернета, чтобы его предлагать, и да с большой буквы - так исторически сложилось), а также всяческие доп услуги, вроде реально IP (это такой цифровой адрес компьютера в сети передачи данных, который будет доступен из любой точки земного шара, где есть доступ в Интернет), телефония (аналоговая, цифровая, SIP - тоже неплохо иметь понимание, что можете предложить и чем отличается) и телевидение (их тоже много разновидностей, поинтересуйтесь все-таки, что предлагаете Вы и как я могу это получить, и да, с дополнительной приставкой меня не интересует от слова СОВСЕМ, у меня есть хороший Smart TV). А ну да, забыл про эти пресловутые игровые сервера, видеохостинги, электронные почты, файлообменники и т.п. Ну... Кажись все... По-моему не так много, чтобы было невозможно уместить в своем мозгу.

Перейдем теперь к сегменту работы с юр лицами и операторами (услуги то одни и те же, только уровень немного разный, и немного отличается взаимодействие).

Теперь буду расписывать подробно, с приведением аналогий :-)

Начнем с простого - Интернет (точнее, доступ в сеть Интернет, для межоператорского взаимодействия это называется еще более правильно - пропуск трафика). Давайте сразу определимся почему именно услуга называется "доступ в сеть Интернет" - все элементарно и просто, возьмем к примеру гречку, ее продают как гречневую крупу как законченный продукт, который вырастили, собрали, обработали и упаковали, заплатив необходимые для производства деньги, то есть продавая собственность, а теперь рассмотрим другой случай - в квартире мы платим за воду, но мы же ее не покупаем, а используем, и платим мы за снабжение и водоканал с нас берет деньги за доставку воды до нашей квартиры (Вы же знаете как расшифровываются аббревиатуры ХВС и ГВС?). Рассмотрим другой пример - музеи. Организатор экскурсий не является собственником музея, несмотря на то что он платит за поддержание чистоты и остальное, поэтому продается доступ в музей в виде билетов, а не кусок музея. Обратная аналогия - производитель телевизоров платит за содержание производства, за компоненты и т.д. но в итоге получает в собственность изделие, которое и продает и называет телевизором. А вот компания провайдер, несмотря на то, что платит деньги на содержание и поддержание не является собственником Интернета, поэтому продает только доступ. И даже если имеются собственные сервера с контентом - их же не продают, а дают к ним доступ.

Погнали дальше, телефония. Ну тут обычно вопросов не возникает, телефонные номера, услуги местной и межугородной/международной связи, аналогий не потребуется. Хотя многие не знают как предоставляется услуга конечному потребителю, поэтому, все же, распишу. Опять несколько вариантов: старые добрые аналоговые линии, по которым можно отдать аналоговый сигнал и цифровой сигнал, на практике используется в основном только аналоговый, так как с цифровым больше геморроя и не сильно больше плюшек с него получается. Далее идет VoIP. Тут идет разделение по протоколам Н.323 и SIP. Н.323 в России особо не распространен из-за дороговизны и несовместимости оборудования разных производителей, у нас больше распространен второй вариант - и копейки стоит и практически все оборудование совместимо, но менее взломостоек, поэтому провайдеры используют с осторожностью. В общем разница как в винтах с крестовой головкой и с головкой, где звездочка. Крестовая головка общесизвестна и к ней подходит даже не соответствующая по размеру отвертка и даже не совсем совместимая (например от филипс, где двойной крест), а вот к звездочке подходят отвертки только соответсвующего диаметра и с соответствующим количеством лучей (5 или 6). Так вот крест - это SIP, звездочка - Н.323.

Погнали дальше. Разберем странные аббревиатуры L2VPN, L2QinQ и L3VPN. Что же это такое и с чем его едят?

L2VPN - это проброс VLAN от точки до точки, то есть при подключении к конечным точкам устройства будут видеть друг друга как подключенные напрямую. Рассмотрим в виде простейшей аналогии - можно представить как трубу между двумя домами, только на всем протяжении труба представлена различными участками: металлические трубы, пластиковые трубы, разный диаметр, при этом по пути встречаются насосы разных производителей и марок, и, несмотря на это всё, от одного конца этой составной конструкции до другого конца этой составной конструкции доходит одна и та же вода. Либо, точнее можно представить как конвейер, который транспортирует упаковки от точки А до точки Б, при этом на пути встречаются различные способы транспортировки: лента, труба, перенос на подвесе и т.д., но работать данный конвейер может только с упаковками определенной формы и не более определённого размера, если ему встречается упаковка большего размера, чем может пропустить определенный участок, он на входе этого участка разрезает упаковку, а на выходе этого участка восстанавливает как и было. В итоге, то что поступило в точке А выходит в точке Б. Думаю, наглядно...

L2QinQ - это проброс влан от точки до точки, только в этом случае на конечных точках можно запихнуть до 4000 влан и они дойдут в неизменном виде до второй точки. Аналогия с трубами не получится, так как придется предполагать, что дается большая труба, также разнообразная на всем протяжении, а вот в конечных точках в нее можно запихнуть 4000 трубок даметром не более положенного, но в промежуточных точках это также остается одна труба диаметром немного большим, чем l2vpn, что невозможно, так как будет происходить смешение жидкостей. А вот в случае с конвейером аналогия как раз подойдет. Конвейер остается как в l2vpn, только на входе и выходе можем установить до 4000 конвейеров, при этом, что подается на конвейер 1 в точке А всегда выйдет на конвейере 1 в точке Б и т.д.

L3VPN - это маршрутизация клиентской сети на оборудовании провайдера, как бы это попроще описать... Допустим у Вас есть домашний роутер, Вы его подключаете интернет портом к провайдеру и еще с провайдером договариваетесь, что порт локальной сети роутера подключаете к нему, он у себя прописывает адрес из Вашей серой сети, а на другом порту в другом доме отдает какой-то свой адрес, при этом все что приходит к нему с этого другого порта он направляет на Ваш роутер, как-то так... Как аналогию можно рассмотреть конвейер, только в данном случае вы себя объявляете распределяющим узлом конвейера и договариваетесь с владельцем конвейера, что все упаковки приходящие к нему с одного из входов он направляет к Вам, а Вы уже с ними разбираетесь...

Блин, забыл написать про реальные и серые IP. Несмотря на то, что я, по-моему, их раньше рассматривал, упомяну еще раз. Реальный IP - это электронный адрес компьютера, который выделяет провайдер из собственной емкости, по которому можно однозначно идентифицировать устройство в сети Интернет, если этот адрес прописан на данном устройстве, серый IP - электронный адрес, который выделяет провайдер провайдер из прописанной у себя сети, при этом он никогда не совпадет с реальным, а у различных провайдеров эти адреса могут повторяться, чаще всего по серому адресу можно идентифицировать устройство внутри сети одного провайдера, но бывают ситуации, когда это применимо только для сегмента сети, то есть у одного провайдера серые адреса могут и повторяться - зависит от модели предоставления услуг. Как аналогию можно привести какие-либо застройки - внутри застройки здания имеют номер корпуса, но номер корпуса может совпадать и с соседней застройкой, поэтому не позволяет однозначно идентифицировать здание даже в пределах района, это как серый IP, впоследствии здания получают полноценный адрес, по которому можно идентифицировать в масштабах, района, города, страны, мира, только для этого надо добавлять верхние уровни местоположения в каждом конкретном случае (к слову сказать, при выделении сетей реальных адресов для провайдеров от регулирующей организации руководствуются похожим принципом, т.е. определенные цифры привязываются к определенному местоположению, именно поэтому на многих сайтах так ловко определяют Ваше местоположение, знакомо "Ваш город - Москва, верно?", и данный фокус не всегда прокатывает с крупными провайдерами типа Билайн, Ростелеком, Мегафон и т.д.), в общем много написал и Вы потеряли нить... Короче, полноценный адрес, как то дом, улица, район, город, округ, страна - это как реальный IP.

Постоянно забываю, что предоставляют провайдеры еще... Не бейте меня - напомнят - запишу список и отпишу по остальному ;-)

Ну а если серьезно, то после долгого перерыва, обновился Hiren BootCD.