?

Log in

No account? Create an account

Tue, Feb. 19th, 2019, 08:43 pm
Microsoft DHCP server: is network hardcoded?

Иногда бывает. Внедряешь новый Hyper-V кластер, всё идёт прекрасно. Пока... Пока не сталкиваешься с проблемой - коллега говорит: - "А что-то у меня в новом вилане по DHCP адреса не получаются. При этом статика работает прекрасно".
Запускаю старые машины в старом кластере в этом вилане - всё работает. Перетаскиваю старые машины в новый кластер - всё работает. Создаю новую машину - ничего не работает. При этом, сетевой стек наглухо виснет, помогает только перезагрузка машина.
Изучаю сеть, ничего найти не могу.
Создаю новую машину не на Windows Server 2019 (Windows 10), а на Windows 8.1 - всё работает.
Беру полноценный комп с Windows 10, тыкаюсь в этот же вилан - сетевой стек виснет. В других виланах всё прекрасно работает. А-ха, проблема где-то в Win10.
Сравниваю настройки DHCP в разных виланах: на первый взгляд - всё одинаково.
Собираю тестовый стенд, всё замечательно работает. Начинаю снимать дампы.
На первый взгляд, дампы одинаковы. С горя сношу настройки проблемного вилана в DHCP - и, о чудо, всё заработало!
Полез опять сравнивать дампы - и вот она, рыба моей мечты...
Когда-то давно мы с __mixa__ запускали на сети опцию 119 (Domain search list). Эта опция отличается довольно кривой реализацией в продуктах от MS - Windows 7 её не поддерживает от слова совсем. Забить её правильно в консоли DCHP-сервера надо ещё постараться. Но нам она была нужна для никсовых серверов, где она прекрасно выполняла свою роль (в винде мы политиками обошлись).
Оказывается, что в Win10 (и производных - Windows Server 2019 и т.п.) таки реализовали поддержку (или не поддержку, а обработку) и на кривой опции 119 тупо крэшится сетевой стек. А кривость заключалась в ошибочном указании (!) одного байта при переносе опции с одного вилана в другой. В общем, Wireshark + WinHex = наше всё!

P.S. Включение Microsoft DHCP-сервера (отключение авторизации):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters

Name: DisableRogueDetection
Type: REG_DWORD
Data: 0x1

Tue, Dec. 18th, 2018, 04:19 pm
Запрет доступа к машине по сети локальному администратору через GPO

Понадобилось сделать сабж. NT AUTHORITY\Local account and member of Administrators group мне не подходит, т.к. некоторым локальным админам доступ по сети всё же нужен.
Придумалось два костыля:
1) Добавлять локального администратора скриптом через LGPO в локальные политики.
2) Прописать SeDenyNetworkLogonRight = Administrator,Администратор руками в файл GPO. Однако, раньше у нас так и было (только применительно ко второму пользователю). Через редактор GPO этот финт не работает.
Остановился на втором варианте, понаблюдаем.

Mon, Sep. 17th, 2018, 08:41 pm
Гипервизоров псто

Небольшой дисклаймер: ниже речь скорее об инфраструктуре, нежели о собственно гипервизоре (но так удобней).

Гипервизор нормального человека:
HTML5-клиент для VMware vSphere выходит этой осенью.

Гипервизор курильщика:
Пришло новое лезвие в блейд. Решили туда воткнуть Windows Server 2016. Ан нет, в MS SC VMM 2012 R2 нельзя включить гипервизор на базе WinServer2k16. Казалось, бы - апгрейдся до VMM 1807 и делов то... Ан нет. Апгрейд до 1807 возможен только с 1801. Но 1801 работает только на MSSQL 2016, а у нас MSSQL 2012, а для 1807 вообще нужен MSSQL 2017.

Thu, Jun. 7th, 2018, 08:10 pm
Cisco ISR as L2TP/IPSec client

Понадобилось подключиться к сетке одного важного контрагента с помощью Cisco 3845. У контрагента есть только L2TP/IPSec на ZyXEL USG 60.
Попробовал настроить L2TP через VPDN (interface Dialer), по аналогии с PPTP - не взлетело, вторая фаза ISAKMP не проходит (логи ниже). Попробовал настроить L2TP через pseudowire (interface Virtual-PPP) - заработало.

Логи для потомковCollapse )

Mon, Feb. 19th, 2018, 03:33 pm
Microsoft wired keyboard 200

Купили некоторое время назад несколько десятков сабжевых клав (по ТЗ, ну 223-ФЗ все дела).
И начались с ними непонятки: юзвери стали жаловаться, что некоторые клавиши "не нажимаются", и обнаружили, что на некоторых машинах Num Lock мигает. Две клавы сдали по гарантии (их обещались поменять на новые), полдюжины выкинули на помойку.
И тут сегодня задумались... Это ж Microsoft, как так? Полезли искать отзывы, почему Microsoft такой шлак делает, ларчик же открывался просто: это поведение встроенного режима энергосбережения в Win8.1 и выше.

Отключается так:
-> Устройства и принтеры
-> USB Keyboard
-> Щелчок правой кнопкой мыши
-> Свойства
-> Вкладка "Оборудование"
-> Выделить пункт "USB-устройство ввода"
-> Правый нижний угол нажать "Свойства"
-> На первой же вкладке "Общие" внизу "Изменить параметры"
-> Вкладка "Управление электропитанием"
-> Снять верхнюю галочку ("Разрешить отключение этого устройства для экономии энергии") и применить

Microsoft keyboard Turns Off By itself

Thu, Feb. 1st, 2018, 09:21 pm
Соцсети псто

В то время как космические корабли... tema и petrosphotos пишут о медленной смерти ЖЖ как платформы, я заметил следующее: а твиттер то как-то внезапно и умер.
Давно не кидают текстовые твиты, картинки. Изредка кинут какое-нибудь видео. Да и то, такого уже в инстаграмме навалом.
Хорошо, что не заводил твиттера.
Кто следующий на очереди? Инстаграмм? Фейсбук? Телеграмм/вацап?

Mon, Jan. 29th, 2018, 05:29 pm
Установка Win8.1 на старые материнки

Два раза (ну на самом делее немногим более) сталкивался с проблемой установки Win8.1 на старое железо: один раз больше суток возился с видеокартой не поддерживающей GOP на UEFI-материнке (об этом расскажу как-нить в другой раз) и несколько раз пытался ставить сабж на материнки с древнючим BIOS'ом (у которых кривой порядок загрузки).
Проблема проявляется в том, что установщик системы во время выбора раздела выдаёт ошибку: "Программе установки не удалось создать новый или найти существующий системный раздел". Хинты с выдергиванием/вставлянием флешки мне не помогли, а метод с XCOPY вызывает у меня неприязнь ещё со времён Win98 (хотя тогда это был ещё не XCOPY, но смысл тот же самый).
Способ найден здесь (среди кучи других способов): Windows 7: Ошибка при установке c USB флешки (Не удалось создать или найти системный раздел) - DoubleDJ.

Перепощу себе, дабы не забыть:

1. Нужно скачать утилиту Rufus 1.4.7 (1.4.10)
2. Подключаем флешку к компу (ноуту).
3. Запускаем утилиту.
4. Выбираем ISO образ установочной винды. Нажимаем на значек образ и в появившемся окне выбираем нужный нам образ
5. В окне «Новая метка тома» должно появиться название выбранного вами образа
6. Нажимаем на вкладку «Параметры форматирования»
7. Появится вкладка «Дополнительные параметры»
8. Устанавливаем галочки на «Добавить исправления для старых BIOS» и «Использовать MBR c BIOS ID»
9. Теперь самая главная часть – маскируем жесткий диск (флешку). В поле 0Х80 (по умолчанию) выбираем параметр 0Х81 (Диск2)
10. Настройка закончена. Нажимаем на «Старт» и ждем окончания процесса монтажа образа на флешку. Программа может заругаться мол выберите образ или снимите галочку с «Создать загрузочный диск», не обращая внимания, выбираем еще раз образ и опять переводим параметр 0Х81 (Диск2) и нажимаем старт.
11. После установки нажимаем «Закрыть» и безопасно вынимаем флешку с USB.
12. Все готово!!!

Mon, Nov. 27th, 2017, 12:33 pm
Большой брат ломает трафик

Интересная история на днях приключилась с Ростелекомом (AS12389). В субботу 18.11 в 01:34 UTC обнаружил проблемы в работе IPSec ESP туннеля между Хабаровском (моя AS) и Екатеринбургом (посторонняя AS). Проблема оказалась очень интересная - 56 минут каждого часа внутри туннеля не ходят пакеты, при этом сам туннель не падает. Каждую 30 минуту часа туннель начинает работать корректно, а каждую 35ую - опять глючит. Отправил исходящий трафик (Хабаровск -> Екатеринбург) минуя Ростелеком, проблема ушла. Связался с коллегами (в т.ч. и из Ростелекома), все покрутили пальцем у виска. Весь вторник совместно с Ростелекомом пытались локализовать проблему - безуспешно.
В среду выловил аналогичную проблему, но уже с другим направлением (Хабаровск -> СПб), на этот раз блочился ICMP и TCP трафик (UDP почему-то ходил) и в другое время - в 48 минут каждого часа трафик начинал ходить, а в 53 минуты - переставал. Проблема наблюдалась только с конкретной связкой (некоторые IP из моего блока адресов - несколько конкретных IP по всей России). Вместе с РТ выявили, что проблема наблюдается даже в случае, если SRC IP = айпишник моего бордера (из блока РТ). При этом, если SRC IP = айпишник аплинка/BGP-соседа РТ- проблемы нет. Представители РТ дошли до москвы, и выяснили, что проблема кроется где-то на московском роутере. А в 6:05 UTC той же среды всё внезапно само заработало (видимо, в москве кто-то на работу пришёл).

Sun, Sep. 17th, 2017, 11:58 am
Переходник для подключения штатной Subaru GPS антенны к китайской магнитоле

Собственно сабж: GT5-1S to SMA-male переходник.

Теперь в Ownice C500 всегда точное время, работает встроенная навигация (Хабаровск там во всех подробностях) и в планах установить софтовый антирадар от MapCam.

Tue, Jul. 11th, 2017, 03:57 pm
Онлайн-кассы

Очень надеялся, что сабж мимо пройдёт, однако, нет, зацепило, даже два с половиной раза.

Дружественная контора слёзно попросила помочь в организации wi-fi канала для сабжа. В городе все нормальные ККМки закончились, в итоге что купили - то купили. А купили Атол 90Ф.

Wi-fi заранее организовали, SSID и пароль ответственным людям выдали. Ответственный человек кассу зарегал как полагается и повёз её для настройки (прописывания SSIDа и пароля) в сервисный центр, что находится у нас в бывшем заводоуправлении завода Сплав. Там его клятвенно заверили, что SSID и пароль прописали, мол, можете пользоваться.

Кассу привозят на точку, пытаемся проверить работу Wi-Fi: фиг вам, "точка доступа не найдена". При этом ККМка бодро печатает отчёт с абсолютно левым SSID и паролем. Ставлю сии SSID и пароль: фиг вам, "точка доступа не найдена". Час ковыряния ККМки и поиска в гуглах наводит на следующие тезисы:
1) Сервисный центр - козлы, не настроили ККМку.
2) В Атоле 90Ф есть баг: поле пароля добито до 32х символов символом пробела (0x20, он же 32 в десятичке).
3) Пароль можно как-то поправить через "драйвер".

Продолжаем ковырять. Выставляю пароль сети из 32х символов - бесполезно. Некий "драйвер" найти практически невозможно. То, что качается с офсайта Атола абсолютно не пригодно. В комплекте "драйвер торгового оборудования" собственно "драйвера" нет, а официально рекомендуемая утилита "Редактирование таблиц" не может установить связь с ККМ, ругаясь: "Не удалось создать объект драйвера ККМ АТОЛ".

На следующий день выезжаем в сервисный центр, чтобы нам таки настроили злосчастную кассу, точку доступа берём с собой. Приезжаем в СЦ, а там врач тоже бабка работают одни деды, натурально. В кабинет не пускают, но обещаются настроить ККМ за один час. Через два часа из кабинета выходит дед и сообщает, что ККМ прекрасно работает. На вопрос: "а вы её проверяли?", отвечает гениально: "нет!". Уходит. Через полчаса всё таки удаётся попасть в его кабинет и узнать, что по факту, он даже и не знает, что делать с этой кассой. Некоторое время уходит на то, чтобы обнаружить на его ноутбуке корректный "драйвер" - из комплекта "драйвер ККМ". Вынесли все лишние пробела из пароля и (!) SSID и всё прекрасно заработало. Прописали свой SSID и пароль и забрали ККМ на точку.

По приезду на точку, оказалось, что эти козлы не прописали в ККМ номенклатуру и цены. Благо, их было всего четыре. Таким образом к девяти часам 30 июня кассу мы таки настроили и запустили.

Превед, дедам! Учите матчасть!

10 most recent