Курс молодого сисадмина II: Advanced Settings
Вторая часть изначально не предполагалась. Но поскольку первая статья вызвала бурный интерес у читателей, автор (то есть я :-)) решил продолжить обсуждение наболевшей темы. Будут более детально рассмотрены некоторые аспекты работы, а также дополнения к уже сказанному в прошлой статье.
Специфика работы сисадмина в чем то схожа с работой директора какого-нибудь предприятия в советские времена. С одной стороны, вроде как и всевластен, и всемогущ в границах вверенного объекта. Но при этом, при какой либо оплошности либо невыполнении плана - сразу же в райком на ковер, роль которого теперь отлично играет руководство фирмы. Плохо работаешь, товарищ, очень плохо! Позавчера, в самый ответственный момент, машина зависла! Вчера интернет с почтой полчаса не работали! Сегодня принтер не печатал! Будем принимать меры! Меры обычно имеют финансовый характер, выраженные "усыханием" зарплаты. И никто не хочет слушать, что машина зависла только потому, что юзеры прочитали письмо с вложением, зараженным вирусом. Интернет с почтой не неработали, а "отдыхали" из-за перегруженного трафика. А принтер не печатал, потому что кто-то "снес" драйвера… Надо тоже принимать меры!
От лирических отступлений с меланхолической жалостью к самому себе откажемся и перейдем к решительным действиям. Не хотите по хорошему, будем по плохому! В самом деле, кто тут ВЛАСТЕЛИН СЕТИ?! Да я, если захочу, могу такое сделать… Э-э… кстати, а что я могу сделать?… Да, такие случаи - к сожалению, не редкость. Увы, не все родились со знанием настроек протоколов, и не всем по карману пройти специализированные курсы по сетевым технологиям, ввиду их дороговизны. Вот и получается, что новоиспеченный сисадмин-самоучка, отлично разбирающийся в железе и настройках реестра, абсолютно не готов к сетевой работе, ввиду отсутствия надлежащей практики. Причем практика практике рознь: сисадмин, "перекочевавший" с одноранговой сети на сеть с сервером, будет первое время в легком шоке от дополнительных сложностей и трудностей, с которыми он не сталкивался ранее. Кто то из "горячих голов" (обычно не отягощенных при этом практическим опытом) возмутится - что ж там трудного? Попробовал, поэкспериментировал, пару раз перезагрузил, перевесил винду, в конце концов. А ты тут лапшу нам вешаешь! Забываете, господа "горячие чайники", что дело то происходит в офисе, а не в квартире! Это дома можно сегодня угробить Windows, а в выходные установить новую. На работе обычно счет идет по секундам. Особенно, когда персонал и руководство разбалованные в этом плане: тут попробуй что-либо поменять в настройках и перезагрузить сервер - сразу же поднимутся вопли недовольства! Не будем забегать наперед, начнем по порядку. Разумеется, в одной статье невозможно уместить всю подноготную, с общими правилами и теоретическими выкладками. Посему, на примере, рассмотрим практическую сторону действий.
Итак, условия задачи: неопытному сисадмину в "наследство" достается типичная офисная сеть: сервер, роутер, полтора-два десятка рабочих станций. Сервер на Windows 2000 Server, с настроенным DNS, выполняет роль файлового сервера. На роутере, как обычно, proxy-server, mail-server. Интеренет- канал - ну, к примеру, выделенная линия, эдак на 33,6 Кбит/с. Локальная сеть - Fast Ethernet 100 Мбит/с Фирма торговая, занимается куплей-продажей какой либо продукции. Все.
Начнем с социальных факторов, или точнее, с персонала. Как правило, в любой торговой организации основную прослойку трудяг составляют продавцы- менеджеры, или, как их "ласково" называют сисадмины, манагеры. Они то и являются главной проблемой сисдмина: точнее, не они, а их небрежное и халатное отношение с руководимым сисадмином объектом. В отличие от обычных пользователей, менеджеры представляют куда большую опасность для стабильности работы офисной сети, в виду более внушительного эксплуатирования ресурсов последней. Кто не знаком со стандартной схемой деятельности манагера торговой фирмы, имеющей отношение к сисадминовскому объекту, просвещаю:
- существующим и потенциальным клиентам рассылаются письма с предложением о сотрудничестве, обычно с вложенным прайсом;
- такие же письма приходят и самим менеджерам;
- в моду также входит переписка по ICQ с клиентами;
- постоянный поиск информации в Internet.
Беда состоит в том, что обычно менеджер не уважает труд сисадмина, поскольку не видит его. Наихудший вариант, когда менеджеру удается заработать на очередной поставке несколько сотен у.е. для организации. После моральной похвалы руководством у данного экземпляра появляется ощущение собственного приоритета, вседозволенности по отношению к другим сотрудникам, граничащее порой с манией величия. Тут же у него начинаются начальнические замашки приказного тона, вроде "почему у меня эта программа тормозит?", "почему я не могу влезть на такой-то сайт?", "я не хочу так делать, я привык иначе!" и т.д. Вступать в конфликт в подобной ситуации не разумно: манагер, пользуясь временным ореолом славы, тут же доложит руководству о том, что вы мешаете рабочему процессу и не желаете выполнять свои прямые обязанности. Что ж, не будем доводить до конфликта. Рассмотрим типичные "случаи на производстве", и как бороться с имеющимися проблемами путем элементарных мероприятий. Разумеется, мы не будем пересказывать мануалы для освоения настройки ниже перечисленных программных продуктов. Затронем только полезные необходимые элементы, которые весьма могут пригодиться.
E-mail
Наличие почты в торговой организации обязательно. И так как менеджеров много, а компьютер с доступом в интеренет (роутер) один, предполагается наличие почтового сервера для одновременного доступа к почте со всех имеющихся рабочих станций. Программ-серверов огромное множество, но я рекомендую остановить выбор на одном из самых популярных из них - MDaemon фирмы "Alt-N", http://www.mdaemon.com/. Благодаря своей функциональности и конфигурируемости этот продукт стал стандартом "де-факто" почтовых серверов предприятий и организаций. Обычно в организациях, специализирующихся на торговле, менеджерами ведется своеобразная спам - рассылка: минимум один раз в неделю менеджеры рассылают клиентам коммерческие предложения, с вложенным прайсом. Размер письма достигает в среднем 50-100 Кбайт. И когда количество писем в пределах 1-2 десятков - это не страшно. Но когда манагеры, в порывах энтузиазма, пускают 300-600 писем в очередь - самое время бить тревогу. Даже при мощном канале интернет будет часа два мирно "отдыхать". Что уж говорить о слабом канале? Самое плохое, что минут через десять посыпятся жалобы и претензии "почему не работает интернет?".
Что же делать? С менеджером ругаться бесполезно - для него почта визуально ушла, в Outlooke ее ж нет! После того, как его мозговое арифметико-логическое устройство обработает представленное вами выражение, подсчитывающее период отдыха "канала", прогоняющего через себя 60 мегабайт писем, последует стандартное пожимание плечей: "Мне ж надо как-то работать!" Хороший повод "раскрутить" руководство на более быстрый канал. Но это не решит проблему в корне - менеджеры через месяц - другой и его поставят на колени.
Что же делать? Не обрезать же почту вообще? Но выход есть! В MDaemonе, как и во многих других почтовых серверах, есть функция создания листов рассылки. Заключается она в следующем: на специальный адрес провайдера, именуемый как "smart host", отсылается один вариант письма и список адресов, по которым его нужно разослать. Удобно? Безусловно! Трафик не загружен и письма разосланы: и овцы целы, и волки сыты. Только необходимо проконсультироваться, поддерживает ли ваш провайдер этот вид сервиса.
Также имеют место ограничения со стороны провайдера на количество рассылаемых писем в одной рассылке - обычно это число 40-50. Сделать в MDaemone это элементарно. В верхнем меню "List" выбираем "New list". Появится окно настройки, показанное на рис 1. А дальше - по сценарию. В закладке "Options" вводим имя рассылки, в закладке "Members" перечисляем все адреса, которые будут удостоены чести получить ваш спам, в закладке "Routing" ставим переключатель на "Route a single copy…" и в открывшемся поле "Host Name" вводим адрес сервера, который нужно узнать у провайдера (рис 2). Тут все.
Рис. 1. Создание списка рассылки
Теперь на адрес, который мы ввели в закладке "Options", менеджер отсылает скрытую копию письма, предназначенного для рассылки. Вот и все, остальную грязную работу сделает сервер провайдера.
Рис. 2. Указание "smart host"
Не стоит также забывать, что любая рассылка - это в первую очередь спам, и только во вторую - полезная информация. Иной раз, находясь в состоянии творческого подъема, менеджеры начинают рассылать письма на любые адреса, попавшиеся на глаза. А как вы сами понимаете, одно дело, когда это клиент, с нетерпением ожидающий эту информацию. Но совсем другое, когда это не в чем неповинный юзер, который настойчиво через день получает информацию о снижении оптовых цен на крем для бритья. И юзер начинает бороться с надоедливыми спамерами. Причем методы борьбы бывают пассивные и активные.
Пассивные - это всем известные фильтры: юзер просто блокирует входящее письмо от надоедливых менеджеров. Вам, как сисадмину, при этом вреда никакого не будет, разве что будет загружаться трафик при возврате блокированных писем. Предотвратить это легко - в настройках рассылочного листа в закладке "Members" внизу есть флажок "Automatically remove dead address …" (рис 3) При его установке несуществующие и заблокированные адреса будут автоматически удаляться из списка адресов рассылки.
Рис. 3. Автоматическое удаление неактивных адресатов
Но есть и активные методы борьбы со спамерами, которые начинают входить в моду. Выражается все это тем, что у сисадмина начинается истерика - Интернет отлично работает, почта радостно приходит, но не уходит! Начинаются ковыряния в настройках почтового сервера, перезагрузка роутера, переинсталляция программы, и, в конце концов, вперемешку с проклятиями в адрес Билла Гейтса, снесение и переустановка "винды". Но самое интересное, что после половины дня кропотливой работы по восстановлению работоспособности роутера успеха не дождетесь - все будет, как до "рихтовки". У сисадмина подкашиваются ноги, девушки из офиса начинают разбегаться кто за чем: одна за водой, другая за валерианой, третья за нашатырем. Как выяснится, Билл Гейтс тут вовсе не причем. Случай весьма не редкий (по крайней мере, я лично наблюдал уже три). Вся причина нервных тиков в том, что сисадмин не посчитал нужным позвонить и проконсультироваться у провайдера. Хоть сервисная служба провайдеров и отбивает желание у пользователей звонить при возникновении проблемы с интернетом, отвечая на 999 из 1000 вопросов "это у вас что-то, у нас все нормально", бывают и исключения. А произошло вот что. Получатель спама, устав от надоевших ему рассылок, отсылает письмо-жалобу вашему провайдеру о том, что с такого-то адреса ему рассылают нежелательную информацию. И довольно часто провайдер, не удосужившись уведомить вас, блокирует порт исходящей почты - что поделаешь, репутация превыше всего!(тем более, что деньги то вы уже заплатили).
Проблему эту, в первую очередь, надо недопускать:
- Контролируйте лично содержимое менеджерских рассылок. По сетевому этикету, текст сообщения должен содержать информацию о том, как отказаться от рассылки, если получатель в ней не заинтересован.
- Обязательно создайте дополнительный ящик abuse@ваш_домен. Этот адрес по умолчанию принят на всех почтовых серверах провайдеров, как своего рода книга жалоб.
- Ну, и разумеется, при любых проблемах с почтой сразу же звоните провайдеру - возможно, это их рук дело.
Довольно часто пользователи, в перерывах напряженной работы, начинают использовать почту не по назначению: то фотографии с разрешением 600dpi отсылать знакомым, то песни в формате *.mp3, то еще что-нибудь, вроде мультиков про Масяню. И пока роутер послушно пересылает отправляемые мегабайты, остальные пользователи вынуждены ожидать окончания сессии. Тот же результат, когда пользователи получают по почте большие письма.
Опять же, ругаться с менеджерами бесполезно - никто ничего не отправлял и не получал, знать не знают, ведать не ведают. Но, как говорится, не хотите по хорошему, будет по плохому. В окне "Miscellaneous Options" из меню "Setup", в закладке "Servers" можно однозначно решить этот вопрос. Внизу, под заголовком "Data transfer limit" можно установить ограничения на размер входящих и исходящих писем на свое усмотрение (рис 4).
Рис. 4. Ограничение максимального размера письма
Всем сисадминам известна скверная привычка пользователей сходу читать вложения, не проверяя на вирусы. Можно, конечно установить антивирусные мониторы, типа антивируса Касперского. Но, во первых, это довольно дорого. А во вторых, антивирусные мониторы, не поделив приоритет доступа с основной программой, довольно часто "вешают" как рабочую станцию, так и сервер. Да и пользователи, научившись пользоваться правой кнопкой мышки, убирают антивирусный монитор из автозагрузки и системного трея. Что же делать? Оказывается, при помощи почтового сервера можно довольно эффективно бороться с вирусами в почтовых вложениях, включая даже печально известный Klez. Для этого достаточно настроить фильтры (комбинация клавиш Ctrl+F5). И в закладке "Admins/Attachments" можно ввести названия файлов, расширения, которые будут удаляться из входящего письма (рис 5). У меня стоит разрешение только для *.rtf, а всякие *.doc, *.pif, *.scr, *.bat, не говоря уже про *.exe, мило обрезаются J. Я таким образом предотвратил у себя на работе вирусную эпидемию. Только, настроив фильтр, не забудьте предупредить пользователей, в каком формате можно получать вложения, иначе поднимется бунт.
Рис. 5. Фильтрация почтовых вложений
Internet
У сисадмина с опытом меняется мировоззрение и ассоциации: говорим "Интернет", подразумеваем прокси-сервер, и наоборот. Прокси-серверов под "винду" также огромное множество. WinGate, WinRoute, WinProxy и т.д. В Windows 98, Me также есть подобие прокси, именуемое "общий доступ в интернет". В принципе, опять же, мои симпатии склоняются к proxy-серверу фирмы "Alt-N" WinGate, за его функциональность. Но, дабы меня не обвинили в необъективности, предрасположенности и рекламе, рассмотрим более простой чешский продукт WinProxy, http://www.winproxy.cz, который также может использоваться, как простенький mail-server. В принципе, не имеет значения, каким прокси-сервером пользоваться, главное - что с ним делать. А задача у нас - облегчить трафик. В окне сетевого мониторинга и через статистику определите, какие сайты "не по работе" чаще всего посещают пользователи (рис 6). Это могут быть анекдоты, гороскопы, другая ерунда. Также довольно сильно засоряют трафик полюбившиеся юзерам чаты. Запретив доступ к вышеуказанным ресурсам, вы, во первых, основательно разгрузите трафик, а во-вторых, народ будет больше заниматься делом.
Рис. 6. Мониторинг посещаемых сайтов Firewall
А без "стены огня" нынче нельзя. И необходимость ее не ограничивается защитой от хакеров, как думают многие. Хакеры, если будет необходимость, проникнут и через десяток firewallов. Нас она интересует, в первую очередь, как фильтр - пропуск нужной информации и отсеивание ненужной. А ненужной информации сейчас море: баннеры, ссылки, скрипты, фреймы, счетчики и т.д. Насчет программного продукта - я рекомендую известный AtGuard, www.atguard.com. Большинство сисадминов смогло оценить его возможности по достоинству. В принципе, возможности его велики - им даже можно некоторым разрешать, некоторым запрещать, к примеру, печатать на принтер. Но эти опции мы затрагивать не будем. Установив его на роутер, мы увидим вверху экрана полоску системных настроек. Далее настроим фильтры и firewall в "AtGuard Settings". Интерфейс весьма интуитивен, настройка не вызовет затруднений. Кроме того, в РуНете есть множество документации на русском языке по настройке AtGuard. Программа имеет собственную базу адресов-источников баннеров, которую можно (и нужно!) пополнять самостоятельно (рис. 7). При любой свободной минуте объявляйте охоту на баннеры: загрузите какой-либо кишащий рекламой сайт и действуйте!
Рис. 7. Фильтрация банеров по адресам
После того, как вы потратите день-два на войну с баннерами, фильтр вам сэкономит 40-100 Мбайт в месяц. Это будет тем более кстати, если у вас помегабайтная оплата. Результат вы можете видеть на рис. 8: догадайтесь, в каком окне включен фильтр, а в каком нет?
Рис. 8. Результат "обрезки" банеров
Выводы
Безусловно, это далеко не полный список необходимых мероприятий и возможностей сисадмина по администрированию сети. Давайте, господа сисадмины, делиться практическим опытом - даже незначительный совет или подсказка может существенно облегчить работу начинающему и неопытному сисадмину. Как показывает опыт, юзеров необходимо максимально ограничивать в правах на пользование рабочей станцией. Иначе можно разбудить нездоровое юзерское любопытство и интерес к экспериментам, которые обязательно закончатся запаркой для сисадмина и переустановкой слетевшей "винды".
P.S. Немного вернусь к содержанию предыдущей статьи, параграф "Парадоксы профессии". Мне стал известен еще один способ, кроме контролируемого саботажа, как выйти из незавидного положения, когда руководство считает тебя бездельником. Его мне поведала приехавшая в командировку сестра из Москвы, которая работает в Центробанке программистом. Этим способом с успехом пользуются центробанковские сисадмины. Заключается способ в том, что любое обращение к сисадмину за помощью идет через служебную записку: застряла бумага в принтере, залипшая клавиша в клавиатуре, засоренная мышка - все через служебную записку. К концу месяца скапливается солидная пачка, которая может быть представлена руководству, как доказательство загрузки работой.
Автор: Бобруйко Евгений
Источник: www.cpp.com.ua
|