נושא לדיון: server builds

[antidot]

נושא לדיון: server builds

2 שאלות/נושאים לדיון: 1) איך אתם מתקינים שרתים ? אופציות שאני מכיר/ניסיתי עבור חלונות: א) unattended installation ב) imaging + sysprep/sidwalk ג) RIS/ADS ד) תוכנות צד ג' ה) להיות ליד קונסול ולענות על שאלות בהתקנה ???

אני אישית משתמש בunattended installation או ASI Manager של קומפאק. לינוקס: א) שרת kickstart (אני נוטה לעבוד עם RedHat ו-Fedora ) ב) dd לדיסק ג) לשבת ליד קונסול

יש לי משהו שמאוד דומה לשרת kickstart ומבצע קונפיגורציה נוספת לאחר ההתקנה (עידכונים) 2) איך אתם פורסים עידכונים ? חלונות: א) שרת SUS ב) אפליקציות צד ג' ג) logon scripts ד) שולחים דוא"ל ומקווים שהמשתמשים יתקינו

אני עובד עם SUS ואפליקציה שהיא פיתוח פנימי של החברה. לינוקס: א) כלים יעודיים ? ב) apt-get בcrontab וapt repository אני עם apt-get update/upgrade שמוגדר לכל התחנות כ cron job. הייתי שמח לשמוע לגבי תצורת העבודה של אחרים.

 

[lizard]

אני איש לינוקס לכן הענה לחלק הזה

עקרונית, אם מדובר בכמות היסטרית של שרתים/תחנות ויש לי משאבי רשת אז אני אתקין שרת קיקסטארט ואתקין דרכו (במידה ומדובר בRH) אבל בהחלט יתכן שאני אתקין שרת אחד קומפלט ואחר כך אבנה הפצה ייעודית להתקנה משלי. בקשר לשדרוגים, בתחנות עבודה ושרתים לא קריטיים שבהם דרוש הגרסה האחרונה אז אני אכניס לכרון עידכון יומי של מה שיש לשדרג ובמידת הצורך אשדרג (emerge sync לבג'נטו למשל) בשרתים קריטיים אני לא אגע אלא אם כן יש סיבה ממש טובה או שהשידרוג הוא מינורי לתיפקוד המערכת. אלא אם כן יש צורך ממשי והכרחי לשידרוג.

 

[ttlsysop]

אז ככה

1. שרתי מעבדה - Ghost , שרתים ראשיים - התקנה אישית , תחנות - Ghost או דחיפה מרחוק. 2. לינוקס / סולריס - ביצוע dump על ידי סקריפט או flash . 3. עידכונים - עבודה עם gfi security scanner וגם עם hfnetchk של שיווליק. פחות או יותר.

 

[antidot]

------>

MBSA או גרסה מלאה של nfnetchk ? מההכרות שלי עם MBSA (שמבוסס על המנוע של hfnetchk) הוא לא פעם מדווח על עידכון שלא הותקן שלמעשה כן הותקן ולפעמים מציע עידכונים לא רלוונטיים. לדוגמא: מציע עידכונים עבור IIS עבור שרת שלא מותקן בו IIS. שמעתי טובות על Retina שבמקום לבדוק עם מותקן patch מסויים, למעשה מנסה לבדוק אם החור אבטחה קיים. מישהו ניסה בסביבה של יותר מכמה מחשבים ?

 

[ttlsysop]

אז

אני לא עובד עם MBSA , היא טובה לשימוש בייתי, והיא לא דוחפת עידכונים ללקוחות. אני עובד עם HFNetChkPro 4.0 , מוצר מעולה ושווה את הכסף, נכון - הוצאה גדולה, אבל מורידה ממך את הלחץ שצריך ללכת לכל מחשב ולהתקין, או לחלופין שהמשתמש יריץ את ה-windowsupdate ויכנס ל-SUS . מצד שני, אני עובד מדי פעם עם N.S.S מוצר נחמד, אבל לפעמים לוקה בחסר. בקשר ל-RETINA....רגשות מעורבים....

 

[Rיקושט]

לינוקס

console. אין צורך באוטמציה כאשר אין מספר גדול של התקנות. אגב, יש מצב לאיזה מאמרי הכרות עם כל השיטות שמוזכרות כאן? אתם יודעים לאלו שלא כל כך בקיאים בדברים האלו. (like me)

 

[antidot]

כלים לעצלנים ../images/Emo13.gif

אני לא אכנס יותר מדי לעניין ואנסה לתת סקירה מהירה של הכלים שדובר עליהם. יש המון חומר באינטרנט, אבל לפעמים כל מה שצריך זה לתת כיוון ראשוני בשביל להבין מהו הכלי ואת השאר יעשה גוגל. פריסת שרתים: unattended installation מדובר לעמשה ביצירת קובץ תשובות. את הקובץ יוצרים עם setupmgr.exe מresource kit או ידנית ע"י העורך המועדף עליך. אני בד"כ יוצר את הקובץ עם Setup Manager ולאחר מכן עורך אותו ידנית ומוסיף דברים שהGUI לא מאפשר לקנפג. יש מסמך מאוד מפורט שמתאר את כל הפרמטרים שבא ביחד עם resource kit או שאתה יכול לחלץ אותו מה-CD של 2000/2003 מ SUPPORT\TOOLS\DEPLOY.CAB (שם הקובץ הוא unattend.doc). למעשה, יוצרים את קובץ התשובות, משנים לו את השם לwinnt.sif ושמים על דיסקט. מכניסים CD של 2000/2003 ולאחר שהמחשב עלה מCD ישר מכניסים לו את הדיסקט. הולכים לשתות הרבה קפה וכשחוזרים יש לנו שרת מוכן. בשיטוטי ברשת מצאתי פרוייקט בsourceforge שממשיך את הרעיון ומאפשר לשלב SP-ים ועידכונים תוך כדי התקנה: http://unattended.sourceforge.net/ imaging + sysprep/sidwalk הפתרונות ידועים: Ghost, מוצרים של Altiris, dd ושאר הירקות. מצד שני חייבים להבין דבר מאוד חשוב: לכל מחשב חלנונות יש GUID יחודי שנוצר תוך כדי התקנה. הסתברותית הסיכוי שיהיו שני מחשבים בעלי אותו GUID הוא כמעט אפסי (הGUID נוצר על בסיס שם המחשב, שעת ותאריך התקנה ועוד כמה פרמטרים). כאשר אתה יוצר image ומעביר אותו לשרת אחר, נוצר מצב שיש שני מחשבים בעלי אותו GUID ברשת. למה זה לא טוב ? זוכרים את הSID-ים של חשבונות משתמשים ? למעשה כרגע הSID-ים של כל המשתמשים הלוקליים בשני השרתים זהים. למה זה לא טוב בסביבת production, תסיקו לבד. דבר נוסף ולא פחות חשוב הוא שיווצרו בעיות לאחר צירוף המחשב לדומיין. למעשה הSID של local system account של שני המחשבים יהיה זהה ואם למשל אני יוצר GPO שאמור לעבור רק על אחד משני המחשבים, אותו GPO יעבוד על שניהם. למה ? כי למרות ששמות המחשבים אולי שונים, אבל המחשב מזוהה למעשה לפי הGUID. הרשאות שנתת למחשב אחד אוטומטית יהיו תקשים לגבי שרת שני... בקיצר, חייבים לשנות את הSID-ים לאחר יצירת image. איך עושים את זה ? תוכנה קטנה בשם sysprep מבית ביל עושה את העבודה. ואם אתה משתמש בghost, אתה יכול אוטומטית להשתמש בכלי שלהם שנקרא sidwalk. RIS/ADS RIS = Remote Installation Services ADS = Automated Deployment Services שני פתרונות מבית בלי. RIS זמין ב2000 Server ומעלה. ADS זמין ב2003 ומעלה. בחל להכנס להשוואה של שניהם, כיוון שמיקרוסופט עשו את זה כבר לפניי: http://www.microsoft.com/windowsserver2003/techinfo/overview/risvsads.mspx תוכנות צד ג' יש כמה... הרב מפורטים כאן: http://www.microsoft.com/windows2000/partners/DesktopSolutions.asp להיות ליד הקונסול את זה נראה שאני לא צריך להסביר

לגבי patch management , אם אף אחד לא ירים את הכפפה (חן ! איכה ?), אני אפרט בהמשך.

 

[Rיקושט]

../images/Emo45.gif

אני לא רואה את עצמי משתמש בכלים האלו בזמן הקרוב. אבל תודה.

 

[ezaton]

כפי שוודאי ידוע לך ../images/Emo13.gif

בהתקנת לינוקס, עבור מספר גדול של תחנות, או בתפירה מיוחדת, אני משתמש ב KickStart. עבור מספר קטן יותר של תחנות (אחת, שתיים, לא הרבה יותר) אני מתקין ידנית. חלונות - עבור דסקטופים, קיימים Ghost Images מתאימים למספר לא מועט של תחנות קיימות, ג'נריים, שעושים את העבודה. שרתים, התקנה כמעט תמיד יחודית, וידנית (כי לא הגדרתי RIS מעולם, וכי אין לי כל כך הרבה שרתים). עבור מקרים יחודיים, גיבוי ghost של אותה מערכת יחודית. עבור סאנים, ובכן, ההתקנה שלי מאוד default, אז אפילו לא טרחתי להרים jumpstart (אלא למטרות עלית תיקון, אחרי קריסה במעבדת ה QA המהוללת שלי), ואז תוספת ידנית של חמישה אלמנטים, שזה לא כזה נורא. אוטומאציה? אין לי זמן לבנות אחת בעבודה.

 

[פוֹלי]

בגלל שאצלי מתקינים שרת אם בכלל פעם

בשנה, אנחנו עושים את ההתקנה ידנית (לא נתקלתי במקרה שהיינו צריכים כמה שרתים במכה). אני מאמינה שאם יווצר הצורך בהתקנה של כמה שרתים בבת אחת, אני אשתמש ב unattended installation.