Отражение в сети — Антон Борисов

"У нас с мужиками есть традиция, раз в год мы"...обновляем сертификаты на всех вверенных нам сервисах. В их число входит и Microsoft Exchange Server 2007. В этой заметке я кратко опишу этот процесс.

Прежде всего необходимо определиться с типом сертификата:

тип №1. Self-signed SSL-certificate. Если вас устраивает самоподписанный (self-signed) SSL-сертификат, то вам достаточно запустить "Командную консоль Exchange" и скомандовать New-ExchangeCertificate без каких либо дополнительных параметров. При этом будет выпущен и активирован самоподписанный сертификат сроком на год. Сразу хочу вас предупредить, что при использовании самоподписанных сертификатов со службами Exchange ActiveSync, Outlook Web Access или приложением Outlook на мобильном устройстве вы оберечены получать ошибки при проверке сертификата, а иногда и вообще не иметь возможности получить доступ к серверу. Поэтому переходим к следующему пункту...

тип №2. Сертификат выданный сторонним доверенным центром сертификации (ЦС). Этот вариант является наиболее рекомендуемым, если вам необходимо иметь удаленный доступ к ресурсам почтового сервера сохраняя при этом увереность в защищенности вашего соединения. В этом случае за сравнительно небольшие деньги вы получите сертификат подписанный доверенным ЦС (например, VeriSign), который будет легко проходить проверку во всех распространенных браузерах и на большинстве мобильных устройств.

тип №3. Сертификат выданный корпоративным ЦС. Этот тип полностью повторяет предыдущий, но только в роли доверенного ЦС выступает сервер размещенный в вашей организации с установленной службой "Центр сертификации". Для многих организаций этот вариант является вполне приемлимым, т.к. при подключении клиентского компьютера к домену Windows этот центр сертификации все равно будет добавлен в список доверенных. К тому же стоимость такого решения равна нулю (при условии наличия у вас лицензии на операционную систему). Об этом варианте использования сегодня и пойдет речь.

Применяемые обозначения:
Домен: antonborisov.ru
Контроллер домена с функциями корпоративного ЦС: main.antonborisov.ru
Сервер Microsoft Exchange Server 2007: mail.antonborisov.ru
Операционная система установленная на серверах: Microsoft Windows Server 2003

Ситуация: на почтовом сервере истек срок действия сертификата, пользователи при подключении видят предупреждение.

Действия...

1. Прежде всего мы должны сформировать запрос на получение сертификата. Заходим в "командную консоль Exchange" на сервере mail и командуем:
   New-ExchangeCertificate -GenerateRequest -SubjectName "DC=antonborisov, DC=ru, CN=mail" -IncludeAcceptedDomains -DomainName mail,mail.antonborisov.ru,mail2.antonborisov.ru -Path c:\mail.req
   Теперь с корне диска C лежит файл запроса сертификата, который необходимо скопировать на корпоративный ЦС.
2. Когда файл скопирован (например, в корень диска С) на нашем ЦС необходимо выполнить команду: CERTREQ -attrib "CertificateTemplate:WebServer" c:\mail.req
3. Выбрав в появившемся окне ЦС (или просто нажав ОК если в организации один ЦС) в консоли появится примерно такое сообщение:
   Код запроса (RequestId): 2
Получен сертификат(Выдан) Выдан
   и предложение сохранить выданный сертификат. Сохраняем и возвращаемся в "командную консоль Exchange"...
4. Теперь нам необходимо импортировать полученный сертификат в Exchange. Делаем это командой: Import-ExchangeCertificate -Path "C:\mail.cer" , если мы сохранили полученный сертифитак в корне диска с именем mail.cer , конечно. В ответ мы получим "Thumbprint" из 40-ка символов (например, 808567131D859AE5144E23450970A093105E757B), который нам потребуется в дальнейшем.
   
5. Exchange уже знает о существовании нового сертификата, но использует все равно старый. Необходимо "включить" новый сертификат. Делается это следующими командами:
   Enable-ExchangeCertificate -Thumbprint 808567131D859AE5144E23450970A093105E757B -Service SMTP
   для начала использования нового сертификата SMTP-сервисом
   Enable-ExchangeCertificate -Thumbprint 808567131D859AE5144E23450970A093105E757B -Service IIS
и для службы IIS, соответственно.
6. Если все прошло успешно, то на команду Get-ExchangeCertificate будет примерно вот такой ответ:
   Thumbprint                               Services Subject
----------                               -------- -------
808567131D859AE5144E23450970A093105E757B  IP.WS   CN=mail, DC=ru, DC=antonborisov

Готово! Можно забыть об этой проблеме еще на один год... 🙂

Последние две недели я весьма активно пробовал сервис Remember The Milk в качестве основного элемента GTD-системы управления делами. Впечатления у меня, мягко говоря, смешанные. С одной стороны сервис работает довольно стабильно (насколько можно оценить стабильность за две недели эксплуатации) и отвечает большей части требований к сервисам такого рода, с другой же стороны ему не хватает некоторых концептуальных функций, без которых использовать его становится значительно сложнее.

Для начала опишу основные плюсы этого сервиса.

Продуманный и качественный веб-интерфейс для мобильных устройств. По роду своей деятельности мне периодически приходится выезжать на встречи за пределы офиса. И чтобы не терять драгоценные минуты во время поездки, я с удовольствием обращаюсь к мобильному веб-интерфейсу сервиса: пересматриваю список запланированных дел, формирую планы дальнейших действий по проектам, которые недостаточно проработаны, занимаюсь сортировкой и "таггированием" задач для лучшей их сортировки в дальнейшем. Мобильный веб-интерфейс в данном случае достаточно функционален и в тоже время прост в использовании.

Оффлайн-режим работы в веб-интерфейсе с использованием технологии Google Gears. Несколько раз этот режим выручал меня, когда нет возможности подключиться к интернет, а получить доступ к задачам очень нужно.

Прием задач по e-mail позволяет быстро добавлять задачи простой пересылкой письма из почтового ящика.

Печатные формы позволяют быстро вывести список планируемых действий на принтер и взять с собой в дорогу (очень удобно для составления списка покупок по определенному листу или тегу), а экспорт задач в iCal и RSS помогает еще удобнее интегрировать свое расписание в ОС (например, есть масса виджетов отображающих расписание iCal) и RSS-клиент, которым мы уже привыкли пользоваться в течении дня.

Но не смотря на все плюсы этого сервиса, в нем отсутствует понятие проектов (целей требующих более одного шага для достижения) и контекста задачи. Несомненно наличие тегов частично решает эту проблему, но в таком случае теги будут отражать только контекст или только проекты. Половинчатым решением в этой ситуации может быть строго опреленное именование тегов. Например, все теги отражающие контекст можно будет записывать как "кон:тег", а проекты как "про:тег". Если строго придерживаться этой простой концепции, то пользоваться конечно можно, но такая полумера в любом случае не сможет заменить полноценный список проектов и задач с ветвлением.

...можно описать одним словом «Удалась!». В первую очередь удалось сделать на работе все, что планировал и даже больше. В очередной раз убеждаюсь на практике: пока не начнешь толкать людей в спину, дело будет двигаться с минимальной скоростью. Мне стоило пройти лично по всем московским участникам нашего общего проекта и дело сдвинулось с мертвой точки, нашлись люди отвечающие за каждый из этапов «большого пути», обозначились точки преткновения и пути разрешения сложившейся ситуации. Только в моем присутствии люди сидящие в соседних кабинетах наконец детально обсудили проект и начали двигаться к его реализации. В очередной раз я убедился в правоте одного из руководителей, который сказал «Антон, все эти ваши телефоны вместе с интернетами и электрической почтой ничто в сравнении с возможностью лично прижать собеседника к стенке и спросить «ГДЕ, *б вашу мать?!?!».

Но поездка оказалась успешной не только решением основного проекта. Так же мне удалось встретиться и прояснить многие вопросы с нашими поставщиками IP-телефонии (возможно в ближайшее время я начну продвигать их услуги в своем регионе, но об этом в следующий раз), не менее успешно я провел ряд встреч с нашими партнерами в столице, встретился с друзьями (хотя и далеко не со всеми с кем хотел бы встретиться) и с удовольствием погулял по весенней москве...

Секрет высокой продуктивности (я действительно успел больше чем изначально планировал) проведенных в командировке дней в начале применения мной принципов GTD. Планировании дня не на отрезки времени (в Москве очень тяжело планировать время из-за вечных пробок), а на действия, которые необходимо совершить в этот день. Плюс к этому очень выручили в дороге карты и поиск Яндекса в телефоне и ноутбуке. Кстати последний (в смысле ноутбук) показал себя прекрасным спутником в дороге (хотя был далеко не самой легкой ношей), макось работала и продолжает работать идеально, батарейки хватало на все основные потребности и вообще техника от Apple в очередной раз показала себя с лучшей стороны.

Пост этот родился из коментария в блог Илье, моему коллеге и просто хорошему человеку.

Отвечу в соответствии с пунктами указанными у него.

Проблема №1 - Лицензирование.

Вот честно скажу лицензирование от Microsoft это монстр, монстр который сидит  на  плечах у великана и не дает ему дальше идти. Да я понимаю, что список выпускаемых  продуктов огромен, что компания интернациональная и в каждой стране свое  законодательство, что компанию нужно кормить и денег на это нужно очень много. Все это  я прекрасно понимаю. Но скажите мне зачем тогда скупать лучшие умы по миру? Чтобы  выпускать правила лицензирования на 100 листах А4 в которых разобраться можно только  если жизнь этому посветить? Чтобы человек, который отвечает за OEM-лицензирование (у MS)  выходил и не мог ответить на элементарные вопросы, только потому, что они не  проработаны? Не должно такого быть, должна быть логика, это логика должна быть понятна  не только избранным. Объясните мне логику CAL-лицензии, неужели сервер покупается для  того чтобы стоять отключенным от сети и тихо работать в одиночестве. Когда обычный  руководитель  компании начинает вникать в то за что он отдал деньги, он этой логики не  видит. На моем опыте реакция у всех одинаковая - “Они кровососы”. Ему проще отдать за  что то 100 тыс. долларов, чем заплатить 50 тыс. рублей и понять, что ему продали некомплект. Который заработает только если он еще доложит столько же. Моё мнение это нужно менять.

Схема лицензирования сложная, потому что клиенты очень разнообразные. "CAL"-лицензии позволяют держать стоимость сервера на доступном для большинства покупателей уровне, превысив который компания лишится клиентов в лице малого бизнеса. Вариант с "100 тыс. долларов" вместо "50 тыс. рублей" возможно является приемлемым для крупных организаций, а вот малый и средний бизнес с удовольствием лицензируется на 20-30 пользователей за относительно небольшие деньги. Как быть с ними? С другой стороны у любой крупной организации есть свой менеджер на стороне поставщиков софта, который не позволит дойти до ситуации "Они кровососы". Предложите мне хотя бы один достойный вариант лицензирования, который устроит все категории покупателей софта? Я таковых не вижу, возможно в силу недостатка знаний в этой области.

Проблема №2 - Сотрудники компании

Не будем кривить душой, работать в Microsoft это престижно, огромная международная корпорация с богатой историей, явно хорошим соц. пакетом и прочими прелестями жизни. На протяжении всей своей истории MS скупала лучшие умы, и я всегда был уверен, что там работают истинные гуру и фанаты своего дела. Но попав как-то в офис данной компании и познакомившись с достаточным количеством сотрудников, я был несколько ошарашен. Ребята и девчата расслаблены до безобразия, инфантильные с поведением в стиле “моя  жизнь удалась я прихожу на работу в центр земли”. Лихорадочно я  начал думать, откуда их набрали, неужели широкая улыбка критерий попадания в штат. И пришел к выводу что нет. Просто есть такой процесс как деградация. Можете закидать меня камнями, но я считаю все, что связано с ИТ это творческая работа. А художник должен быть голодным. Я не предлагаю заставить людей работать за еду, но сотрудник должен быть в тонусе, в состоянии постоянной внутренней конкуренции. Русские люди особенные им нельзя ставить плазму и x-box  в офис. Могу судить только за то что происходит в России, но скорее всего такая ситуация везде, просто здесь это хорошо видно.

За время своей не слишком долгой трудовой деятельности я не раз убеждался, что критиковать решения руководства не самый лучший путь. Мы в силу своей неосведомленности не можем судить о мотивах которые двигают руководителей крупных организаций к тем или иным решениям. С поста начальника всегда открывается вид на намного большее количество информации о процессах происходящих в организации, если он не реагирует (как вам кажется) на какие-то проблемы - это еще не значит, что он не замечает этих проблем. Для примера, я знаю организацию в которой на пост начальника юридической службы приняли абсолютно "зеленого" студента юр.фака. не сдавшего еще ни одной сессии. Все крутили пальцем у виска и шептались о интимной близости руководства и абитуриента, но в дальнейшем я узнал что только этот шаг помог смягчить удар от более высшего руководства. Когда частично раскрылись махинации с денежными потоками, начальник красиво списал это на ошибки впопыхах принятого юриста. Пример, конечно, не лучшим образом подходит для ситуцации в Microsoft, но откуда мы знаем чем эти люди добились права "ходить на работу в центр земли".

Во время сдачи первого из трех экзаменов на MCSE я внезапно для себя понял мотив, который толкает людей к получению сертификатов - ЛЕНЬ! 🙂

Все кого я встречал в центре тестирования как один говорили "Мне это нужно чтобы устроиться на новую работу!" (редким исключением были объяснения "На работе заставляют получать эти корочки.") и я был уверен что мной движет та же идея. Хотя работу я в ближайшее время менять точно не собираюсь, да и мой послужной список с рекомендациями говорит сам за себя. Зачем тогда людям нужны эти корочки? Всё просто... (далее…)

Давно собирался написать небольшой manual на эту тему, но каждый раз меня что нибудь останавливало. Сегодня же передо мной в очередной раз встала такая задача, поэтому писать я буду прямо по ходу действия.

Имеем:

1. Будущий прокси-сервер на CentOS 5.2 с установленным samba-client и krb5-workstation
2. Ныне живущий контроллер домена Active Directory на базе Windows 2003 (для примера буду указывать домен MAIN.LAN с сервером server.main.lan)
3. Устойчивое желание иметь на линукс-машине авторизацию доменных пользователей
4. Банку кабачковой икры, батон, кофе (опционально) 🙂

Шаг первый: "Время Kerberos"

Правим /etc/krb5.conf указывая имя домена и сервера который будет нас авторизовывать.

[realms]
MAIN.LAN = {
kdc = server.main.lan
admin_server = server.main.lan
}

Теперь пробуем авторизоваться под учетной записью администратора домена командой:
# kinit [email protected]
если в ответ на эту команду появляются ошибки, типа: kinit(v5): Cannot find KDC for requested realm while getting initial credentials или kinit(v5): KDC reply did not match expectations while getting initial credentials - ищем ошибку в файле /etc/krb5.conf . Если напротив все прошло без ошибок, смотрим что получилось командой:
# klist
Если в результате проверки появляется ошибка kinit(v5): Clock skew too great while getting initial credentials - часы на linux-машине и windows-сервере помнят разное время. Решить это можно установкой ntp-сервера и синхронизацией часов с серверами точного времени в интернете, но мне этот метод кажется не совсем "прямым". Ведь концептуально наша задача не получить точное время, а получить время одинаковое на обоих машинах. Я в качестве решения выполняю команду
# net time set -S server.main.lan
Так же эту команду можно дописать в файл /etc/rc.d/rc.local .

Шаг второй: "Samba и Winbind"

Если вы в будущем хотите каким либо образом работать с samba в качестве файл-сервера, то файл /etc/samba/smb.conf вам придется изучить в любом случае, но сегодня нас интересует только следующий его блок:
[global]
workgroup = MAIN
realm = MAIN.LAN
security = ads
password server = *
encrypt passwords = yes
netbios name = proxy
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes

Перезапускаем samba и winbind:
# service smb restart
# service winbind restart

Добавляем linux-машину в домен командой
# net ads join -U [email protected]

Получаем ошибку Failed to set servicePrincipalNames. Please ensure that the DNS domain of this server matches the AD domain, Or rejoin with using Domain Admin credentials. Deleted account for 'proxy' in realm 'MAIN.LAN'. Failed to join domain: Type or value exists ....и удивляемся. 🙂
Маленькая хитрость: в момент выполнения команды net ads join домен резолвится исключительно по файлу /etc/hosts , который про этот домент само собой и слухом не слыхивал. Добавляем туда соответствующую запись и заводим наконец в домен наш linux-компьютер указанной выше командой. Если все прошло успешно, то ответ на команду:
# wbinfo -t

должен быть - checking the trust secret via RPC calls succeeded. Теперь можно посмотреть список пользователей и групп домена командами:
# wbinfo -u
# wbinfo -g

На этой радостной ноте я закончу этот рассказ, т.к. его продолжение индивидуально для каждой задачи: NTLM-авторизация в Squid на этом этапе уже работает, нужно только поставить этот самый Squid; PAM-авторизацию нужно немного подкрутить, но в моей практике она не всегда необходима; чтобы использовать нашу linux-машину как файл-сервер нужно только описать доступные папки....дальше выбор за вами....

В первый день октября побывал я на этом увлекательном мероприятии. Получил массу положительных эммоций, которыми и хочу с вами поделиться. Как обычно, попробую разложить "по полочкам". 🙂

Приятные моменты:

• Интересная тема. Действительно, сегодня трудно найти тему более востребованную в мире IT чем виртуализация. В виртуальные машины уходит всё больше сервисов, ещё "тоньше" становятся клиенты, ещё "толще" хост-сервера, ещё больше руководителей осознает значимость виртуализации в жизни IT-инфраструктуры и колличество сэкономленных денег. Незаметно (надеюсь только для меня этот процесс был незаметным) виртуальные машины уже давно перестали быть экзотикой в которой удобно тестировать ПО или иногда запускать винду/макось/линукс из какой нибудь другой ОС. И можно с полной уверенностью сказать, что в организации с колличеством серверов 3+ и клиентов 20+ можно и нужно использовать виртуализацию. Жаль что пока еще не все руководители организаций готовы это осознать.
• Отлично выбранное место. Наверное с этого стоило начать описывать впечатления :). В качестве места проведения был выбран "Бизнес-Центр КМ" на Театральном, и честно говоря я себе с трудом представляю более подходящее место в Ростове для проведения мероприятий такого рода и масштаба (возможно я просто недостаточно видел таких мест). Очень уютно, функционально и при этом нет ощущения что ты общаешься с товарищем посреди футбольного поля или спорт-зала (я имею ввиду большие помещения. например, золотой зал "Донплаза" при колличестве участников до 30).
• Профессиональный спикер. На фоне всего что я видел и слышал за свою не слишком долгую жизнь, Павел Новиков точно в "тройке лидеров" по умению вести семинар (чуть не написал "вести подкаст", но думаю с подкастингом у него тоже проблем не будет 🙂 ).

Павел Новиков, семинар VMware и Veeam в Софтлайн

Подводя итог. Неприятных моментов на этом мероприятии не было, все действительно прошло на уровне. Даже внезапно закончившийся кипяток во время кофе-паузы был настолько оперативно восполнен сотрудниками Софтлайн с чайником и шутками, что было даже весело :).
Хочу поблагодарить за участие в этом мероприятии Галину Смиренскую и её команду, Павла Новикова и представителей компании Veeam. Спасибо, было интересно!

p.s.
предвидя вопросы читателей отвечаю: нет, зарплату в компании Софтлайн я пока не получаю 😉

Товарищи, что же это за напасть такая на землю Русскую опустилась? Неужели для осознания важности управления и работы над отношениями в коллективе надо быть международной корпорацией мирового масштаба? Вот уже несколько лет общаясь по роду деятельности со специалистами из разных организаций, я удивляюсь насколько в большинстве случаев все запущенно. Сотрудник не видит глобальной цели своих трудов, командный дух отсутствует как понятие, а единственное (по мнению руководства) мероприятие способное улучшить отношения в коллективе скрывается под странным названием - "корпоратив" (массовое застолье с обилием еды и алкоголя).

Можно предположить, что многих людей психология "я работаю за свою зарплату" устраивает, но с каких пор этот подход начал устраивать работодателей? Точнее, когда уже такой подход перестанет их устраивать?

Я не истина в последней инстанции, да и мой опыт руководителя пока не превышает коллектива из трёх человек, но уверен, что с первых дней работы в организации сотрудник должен представлять себе глобальные цели компании и свою роль в достижении этих целей.
Плюс к этому, есть масса способов (помимо злосчастного "корпоратива") сплотить сотрудников: в спорте, совместном творчестве, дополнительной возможности самореализации на предприятии и т. п.

Я уверен, что 90% успеха предприятия зависит от коллектива!
Удачи всем!

P.S. Вспомнился разговор с другом (столичным сотрудником Газпрома) во время командировки в Москву. Он реально видит себя в длинной цепочке, по которой в дома по всех стране приходит тепло, а в казну капают газодоллары дающие пищу (в прямом и переносном смысле) науке и медицине нашей родины. Чем не повод для продуктивной работы? 🙂

P.P.S. Прошу в комментариях не вступать в полемику о газодолларах и роли Газпрома в жизни страны, пожалуйста. 🙂 Речь идет ведь совсем не об этом.

Многие думают что я консерватор, и многие правы. 🙂 Но я участвовал в установке рекорда скачав Firefox3 в день его выхода и сразу обновился, хотя бету качал всего один раз и пользовался ей не больше получаса.

Firefox3 стал на порядок быстрее! Теперь браузер не настолько прожорлив в плане оперативки. На текущий момент у меня открыто 12 вкладок (из которых 4 с флэш-анимацией и 2 просто с очень объемными страницами документации), браузер занимает 83,6 мегабайта оперативки.

Firefox3 стал удобнее! Это исключительно моё субъективное мнение (равно как и все остальное в этом блоге). Новая адресная строка поначалу казалась непривычной, но сейчас я оценил её по достоинству. Звездочка добавления в избранное на своем месте и позволяет отвыкнуть от сочетания Ctrl-D. Признаюсь раньше я никогда не заходил в меню "Закладки" для добавления страницы, а пользовался только сочетанием клавиш. Теперь тоже самое можно делать мышкой.

Не все дополнения совместимы с новой версией! В частности мне очень не хватает ImgLikeOpera и RightEncoding. Конечно, можно перепаковать xpi исправив строку с версией, но я надеюсь в ближайшее время этим займутся разработчики дополнений. Кстати, дополнений для счастья мне надо совсем чуть-чуть: NoScript, Flashblock, Download Statusbar, Tab Catalog (ну очень удобно, если вкладок больше 15 открыто) и конечно же Foxmarks Bookmark Synchronizer, о котором я подробнее расскажу в следующей записи... 🙂

Всем удачных выходных, хорошего настроения и удачи в обновлении браузера!

Сегодня я опишу еще один вариант установки драйверов для WiFi-адаптера на чипе AR5006EG (именно этот адаптер стоит в моем ноутбуке ASUS Z99Le) на примере системы Ubuntu 7.10 с помощью NDISwrapper (подробнее о NDISwrapper тут: http://ru.wikipedia.org/wiki/NDISwrapper ). Способ описанный мной ранее ( http://antonborisov.ru/2008/03/16/drajver-wifi-dlya-asus-z99le/ ) не является универсальным, т.к. с последними версиями ядра работать отказывается.
И так... (далее…)