Лига Сисадминов

По работе потребовалось, чтобы некая программа для windows была постоянно доступна.

Ставить её на пользовательские компьютеры смысла не имело, т.к. они бывает что и выключаются, а из серверов на windows у меня под рукой был контроллер домена и вешать на него всё подряд как-то не хотелось.

Поэтому в офисе по сусекам поскребли, по отсекам помели и нашли старую, покрытую пылью лицензию к Windows XP HE. А большего, в принципе, и не нужно. И вот, я стал запихивать её в виртуалку.

Естественным образом возник спортивный интерес, как бы сделать так, чтобы жрала она поменьше, а работала пошустрее.

Понятно, что для этого виртуальное оборудование должно не эмулировать реальное железо, а использовать виртуальное. Скажем, HDD должен быть не на шине IDE, а на virtio. То же касается и сетевой карты. Обычно рекомендуют сначала ставить ОС на виртуальный IDE-HDD, затем добавлять второй виртуальный винт virtio-HDD, ставить на него драйвера, а потом выключать машину, удалять ненужный уже второй винт и менять тип системного HDD с IDE на virtio.

Честно говоря, все эти вытребеньки показались мне какими-то избыточными, поэтому я процитировал одного известного политического деятеля на предмет пути, которым мы пойдём и взялся за дело по своему.

Для начала я убедился, что virt-manager постоянно создаёт образ диска в qcow2-формате, что само по себе неплохо, но в данном случае излишне, так что я руками создал образ диска в raw-формате.

truncate -s 4G winxp.raw

Затем, при создании виртуальной машины выбрал его и слегка поменял параметры (шину на VirtIO, кэширование на none):

Затем сменил модель сетевой карты на всё ту же VirtIO, для простоты поменял модель звуковой карты на AC97, а затем сделал самое интересное — добавил FDD и подключил в него образ дискеты, взятый отсюда: https://fedorapeople.org/groups/virt/virtio-win/direct-downloads/latest-virtio/virtio-win_x86.vfd.

После этого, при установке жёсткий диск определяется без проблем, ОС устанавливается также без проблем (единственное, жалуясь на то, что драйвера не подписаны). Однако после установки видно, что не хватает драйверов для видео, сетевой карты и пары неизвестных устройств.

Проблем в этом нет, достаточно извлечь установочный образ CD и заменить его на ISO с драйверами. Дальше просто открываем диспетчер устройств, выбираем те, что без драйверов и ставим их через автопоиск.

В результате получаем маленькую, аккуратную виртуалку, с вполне достойной производительностью.

Вопрос кому и зачем она может понадобиться в 2017 году оставим за кадром. : )

Тем более, рекомендации вполне подходят и для актуальный версий windows.

P.S. На свежеустановленную и активированную Windows XP имеет смысл установить UpdatePack-XPSP3-Rus Live 14.5.1, а потом уже пытаться проверять наличие обновлений.

P.P.S. Поскольку на Home Edition RDP отсутствует как класс, моему коллеге предстоит увлекательный квест по освоению virt-viewer'а. Благо он простой, как пять копеек.

Предыдущая часть тут.

Прошу прощение за долгое отсутствие. Я поняла, что в моём man'е по DHCP написано прискорбно мало и решила полностью его переписать.

В данном посте я буду идти от сильного упрощению к менее сильному упрощению, и в конце приближусь к правде, мне кажется, это логичнее, чем сразу углубляться в протокол.

Для начала, что делает DHCP (Dynamic Host Configuration Protocol – протокол динамической настройки узла). С помощью этой штуки сетевые устройства могут получать IP-адрес и другие сетевые настройки автоматически. Работает этот протокол по клиент-серверной модели. В самом общем случае это выглядит так:

Клиент-всем: Дайте мне кто-нибудь настройки!

Сервер-клиенту: Держи, я тут сервер, вот настройки: «настройки». Тебе норм?

Клиент-серверу: Ага, «настройки» подходят, ништяк.

Сервер-клиенту: Пометил у себя, «настройки» записаны на твоё имя.

Клиент /сам с собой/  уф, применил «настройки», кажись пошел трафик.

Еще раз – это упрощение. На каждом этапе могут возникнуть свои нюансы и мы часть из них разберем. Пока о том, зачем это нужно: ведь есть статическое назначение адресов (и других настроек). На сегодняшний день, на мой взгляд, причина «во-первых» - это то, что для присвоения статических настроек надо хоть что-то знать о сетях, то есть – домохозяйка с роутером пролетает. Ну и причина «во-вторых», которая на самом деле наиболее важна – это автоматизация и централизация сетевой настройки. Круто, когда у вас 5 компов и в сети статика. Потом их станет 15 и появится файлик с адресами. Потом их становится 100… и в один непрекрасный момент срочно понадобится сменить DNS сервер или шлюз по умолчанию. И если на DHCP вы правите это в одном месте и настройки распространяются автоматом, то тут вы будете ходить и править сто компов руками (вас в процессе четвертуют скорее всего). К тому же, DHCP ведет за вас свой виртуальный «файлик» и не выдаст случайно одинаковые адреса разным хостам. В-третьих, это возможность выдавать адрес «на время», например, на неделю или на час. Вы же не будете каждому посетителю своего интернет-кафе прописывать адрес вручную и записывать в файлик. А так, адрес выдался автоматом, через час освободился и может быть выдан другому.

Для работы сервера выделяется некоторый пул (pool) – диапазон адресов, которые DHCP-сервер может раздавать клиентам.

Существует протокол, его описание и куча его реализаций на различных устройствах. Я не буду рассматривать каких-то конкретных реализаций – все они придерживаются единого формата.

Как видно из примера диалога выше, общение клиента и сервера разбито на несколько этапов-сообщений. В DHCP есть следующие типы сообщений: DHCPDISCOVER, DHCPOFFER, DHCPREQUEST, DHCPACK, DHCPNAK, DHCPDECLINE, DHCPRELEASE, DHCPINFORM. Клиент и сервер общаются по протоколу UDP (у сервера порт 67, у клиента 68).

Эти сообщения выглядят в общем случае так: в шапке всякая важная мура из разряда кому, от кого, идентификаторы и всё такое, а в конце пачка опций. Вот эти опции и есть те настройки которые клиент запрашивает, а сервер выдаёт. Кому интересны подробности (а они правда интересны и важны), почитайте rfc2131.

На первом этапе клиент рассылает всем в локальной сети широковещательное сообщение на MAC-адрес FF:FF:FF:FF:FF:FF.

Отступление: Если у вас есть специальный сервер перенаправления запросов DHCP-relay, то сообщение может уйти и за пределы локальной сети.

Это сообщение DHCPDISCOVER. Тут возникает один нюанс: бывает так, что клиент «чистенький» - у него не было адреса, а бывает так, что у него был какой-то IP адрес и он говорит «неплохо бы повторить, если можно, бро». Во втором случае в список опций добавляется «requested IP address» с желаемым IP. Из важного в DHCPDISCOVER указывается ID транзакции (он будет одинаковым для всей цепочки обмена сообщениями) и идентификатор клиента (он должен быть уникальным в локальной сети, так что чаще всего это MAC).

В ответ все DHCP-серверы, до которых дошел запрос, присылают свои предложения DHCPOFFER тоже широковещательно на MAC-адрес FF:FF:FF:FF:FF:FF. Это происходит в том случае, если желаемый IP НЕ указан (о том, что происходит, когда указан – будет ниже). Клиент из них выбирает наиболее приглянувшееся (чаще всего по принципу «кто раньше прислал – того и тапки»). Сервер же, прежде чем прислать адрес, проверяет (протокол не обязывает, но настоятельно рекомендует), что адрес ещё не занят. В этом сообщении указывается уже предлагаемый IP, предлагаемые параметры и известен адрес-идентификатор сервера.

Подробнее про то, как выглядят остальные сообщения DHCP в Wireshark можно посмотреть в посте из соседней лиги. Или запустить wireshark дома.

Клиент, когда выбрал предложение, посылает DHCPREQUEST тоже широковещательно на MAC-адрес FF:FF:FF:FF:FF:FF, но с идентификатором сервера в соответствующем поле.

Сервер, если ничего криминально не случилось и адрес всё ещё свободен, посылает клиенту (всё так же широковещательно на MAC-адрес FF:FF:FF:FF:FF:FF) DHCPACK с настройками и помечает у себя адрес выданным. Уникальный идентификатор клиента и выданный IP-адрес однозначно идентифицируют DHCP-lease – так называемую аренду IP адреса. Если же адрес в процессе успел стать занятым, то клиенту посылается DHCPNACK с отказом и всё идёт заново.

Клиент получает сообщение DHCPACK с настройками, может сделать финальную проверку на занятость адреса и применяет эти параметры. С этого момента клиент сконфигурирован (и у вас пишется в винде «сеть1: подключено»).

Общая схема еще раз:

Когда клиент заканчивает работу, например, при выключении интерфейса, он посылает серверу сообщение DHCPRELEASE о том, что адрес свободен – можно пользоваться.

Вернёмся к DHCPDISCOVER и ситуации, когда мы просим выдать адрес, который у нас уже когда-то был. Rfc говорит нам, что в этом случае сервер сразу присылает DHCPACK (если адрес не помечен за кем-то другим) или DHCPNACK (если вы прошатались в отпуске месяц и адрес ушел к другому). Причем проверка на конфликты (пинг на всякий случай) ложится на клиента.

На самом деле, сколько ни ловила, так такую ситуацию и не поймала. У меня на DHCPDISCOVER с предпочитаемым IP в ответ приходил "Неправильный" DFCPOFFER на конкретный адрес. Подозреваю, что это ловился ipconfig /renew.

Если клиент обнаруживает, что с адресом что-то не в порядке, он посылает серверу DHCPDECLINE.

Немного о времени аренды IP-адреса. Это время в секундах, оно относительно, а потому не требует синхронизации времени между сервером и клиентом. То есть «забрать адрес через 3600 секунд» и без разницы, что у вас локаль Камчатки, а у сервера Москвы. Время аренды надо выбирать сообразно задачам – чтоб и адреса не кончались и слишком большой нагрузки на сервер не было. Интернет-кафе – час, дома – месяц, на работе – неделя, например. А еще есть время, через которое IP-адрес можно перезапросить, не отдавая его. Оно должно быть меньше времени аденды, тогда никто не захапает ваш адрес, пока ваш комп онлайн.

Теперь об опциях. Чаще всего, это DNS сервер, шлюз по умолчанию, ntp-сервер. А может быть куча всего – на это даже отдельный rfc2132 есть. У нас, например, такие.

Бывает еще такая вещь, как резервации (reservations). Это не когда индейцев ограничивают, а когда адрес добавляют к резервированию. Некоторые lease’ы запоминаются (админ указывает, какие именно). То есть, пара MAC-IP становится постоянной. Это позволяет получить статические адреса внутри пула, которые клиенты тем не менее получают по DHCP.

P.S.: Тема очень обширна, можно добавлять и добавлять. Но мне хотелось выдержать баланс между пересказом rfc и "DHCP для домохозяек".

Привет всем!

На волне "Как нас взломали и защифровали" и других постов по ИТ-безопасности хочу просто поделиться своими простыми правилами, которые доступны всем и помогут уменьшить вероятность подобных граблей.

1. Учётка Админа только одна, и только я знаю пароль, копия с паролем в запечатанном конверте хранится у босса в сейфе (на случай, если я умру :-)).

2. Учётки пользователей блокируются при вводе пяти раз неверных паролей и меняются каждый месяц.

3. Порт роутера, через который подключен сервер к Интернету, поменял на хитрый 4-х значный.

4. RDP-порт сервера поменял на хитрый 4-х значный.

5. Правило проброса (например, на Зикселях имеется простой интерфейс) RDP-порта на роутере работает по расписанию, т. е. по необходимости когда пользователям надо удалённо работать, например, в рабочее время они все на работе, а вечером с 19-00 до 22-00 могут поработать удаленно.

6. Самое ценное, это конечно, базы 1с, бекапы, которых делаются не только на другой комп в локальной сети, но и на флешку, у которой есть ответственное лицо: каждый день после архивации меняет с флешкой местами, которая лежит в не сгораемом сейфе в Организации.

7. Еще совсем недавно настроил Гугл.Диск, архивный бекап шифруется (например, PGP) и сливается на него.

P/S. За истину не претендую.

Всем добра, смышленых юзеров, адекватного начальства и отличного пинга!

Если вдруг в очередной раз ваша или наша система windows 10 начала проявлять следующие симптомы:

Экран застыл и не реагирует на манипуляции манипуляторов (устройства ввода / клавиатуры, мышь и др. устройства). Мышь при этом продолжает передвигаться.

Нажатие на Numlock не реагирует световой индикацией

Фоновые приложения при этом продолжают выполняться (например играет музыка), но новые приложения нет возможности запустить.

В событиях системы не регистрируются какие-либо ошибки или предупреждения прямо или косвенно касающиеся ситуации.

То данная статья как-раз для такого случая.

Итак:

Бывает, что при переходе на новую ОС, необходимо обновить базовую систему ввода-вывода (BIOS)

Для этого необходимо скачать его последнюю версию с сайта производителя мат. платы.

Устаревшая прошивка SSD диска может также вызывать такого рода проблемы.

Решение - скачать и обновить прошивку вашего SSD.

Многие драйверы позаимствованы от windows 7 / 8 / 8.1 и это часто и является причиной такого поведения.

Необходимо обновить драйвера устройств с сайта производителя данного оборудования для ОС Windows 10. Даже несмотря на то, что система возможно предупредит вас, что устанавливаемые драйвера старее уже имеющихся в системе. Установку начинаем с чипсета (+Intel MEI), далее устройства ввода-вывода (сетевой адаптер, модем, гаптоклон), продолжаем основной периферией вывода (видеокарта, аудио, принтер), далее устройствами ввода по необходимости (клавиатура, мышь и др.). Не забывайте перезагружать компьютер, когда этого просит установщик. В дальнейшем не устанавливайте обновления для драйверов из центра обновлений. Также можно отключить поиск данных обновлений через настройки системы или групповую политику

В некоторых случаях помогает команда сброса каталога обработчиков многоуровневого поставщика устройств.

Выполняем в командной строке с привилегиями администратора netsh winsock reset

В некоторых других случаях при установленном ПО Acronis * Backup.

Тут придется переустановить операционную систему и отказаться от использования данного ПО, либо смирится с таким поведением ОС.

Еще одна причина может быть в размере файла подкачки. По-умолчанию windows 10 сама выбирает оптимальный размер данного файла. Иногда она делает это некорректно даже для себя любимой.

Необходимо установить размер файла подкачки равным объему установленной в данный момент ОЗУ.

Установленные программы f.lux, Privatefirewall, Avira Antivirus, Dropbox (редко) также могут приводить к данной проблеме.

Необходимо удалить данное ПО и перезагрузить компьютер.

Возможна проблема управления питанием одного или нескольких устройств.

Необходимо перейти к панели управления, электропитание и установить параметры: отключение жесткого диска через 0 мин., Параметры USB - Параметр временного отключения USB порта - Значение - Запрещено, PCI Express - управление питанием состояния связи Откл.

С видеокартами Nvidia

Если используется видеокарта Nvidia, то лучше всего переустановить драйвер используя Advanced Install режим и отметив пункт clean install. Также после установки рекомендуется настроить схему электропитания на "максимальную производительность".

Иногда также помогает отключение опции процессора C1E в настройках BIOS материнской платы.

В ту же копилку о настройке процессора, иногда может помочь отключение опции "Intel(R) C-STATE Technology" или "Enhanced C-States" наравне с "Core C6 States" в параметрах процессора в биосе.

Если вы обладатель ноутбука Sony VAIO, вам может помочь отключение мульти жестов.

Перейдите в панель управления - мышь - настройки - настройки - отключите самую верхнюю опцию мульти жестов.

Возможно Windows 10 установлена не в "родном" режиме UEFI.

Вам необходимо включить UEFI Native mode и активировать в BIOS режим безопасной загрузки (Secure Boot)

Кому-то сможет помочь установка новых драйверов для WiFi адаптера. Именно для Windows 10. Если адаптер старый и проблема имеет место, то лучше попробовать с его отключения и в случае если это помогло, заменить его.

В некоторых случаях помог банальная проверка системного диска на ошибки. Учтите что в зависимости от объема диска и количества ошибок проверка может затянуться и на 24 часа кряду.

Пуск - выполнить - chkdsk /r /f /v

Можно попробовать отключить службы определения местоположения.

Пуск - Настройки - Местоположение - Служба определения местоположения - Откл.

На случай если совсем ничего не помогает и только в этом случае, можно попробовать отключить динамические такты.

Для этого необходимо в административной командной строке выполнить bcdedit /set disabledynamictick yes