Balancer> http://habrastorage.org/.../581/3f0631581b14e01a68cd999e8a6e708c.jpg
Balancer> Почему я не верю в отечественный космос — взгляд изнутри / Хабрахабр
В виде комментария.
Весной этого года у нас заканчивался сертификат на сеть для обработки категорированной информации (в просторечии - секретная сеть). Будучи умными, мы с начальником, начали готовиться заранее. Подготовили закупку оборудования, ПО (ну не всё, но основное), заложили переход на Win7/2008 Server х64 (в т.ч. и в части параметров оборудования). В связи с тем, что Dallas Lock 64 бита пока не имеет сертификата, решили перейти на Secret Net. Всё это делалось с ведома и по договорённости с 1 отделом. Что вышло.
1. В конце апреля выясняется, что компьютеры заказаны, система Win7/Server 2008 R2, но, лицензировать нас будет не то предприятие, с которым мы 15 лет до этого работали, а другое.
2. Это другое предприятие с Secret Net работать не хочет и предлагает сделать сейчас пол 32 битную версию Dallas Lock (соответственно и операционки и прочее - 32 бита), а когда (по прогнозам - к осени) появится 64 битный сертифицированный Dallas Lock - переделать на 64 бита.
3. Это был первый момент (в данной истории), когда я заорал как больной слон.
3.1. Договаривались-же!
3.2. Гланды рвут через рот!
3.3. И не по одной в квартал!
3.4. Т.е. вы хотите заплатить за работы по сертификации 32 бита, а потом за 64 бита?
3.5. На время работ, сеть ессно не работает (читай контора секреты не обрабатывает) - удваиваем.
4. Результат ора - "они осенью сделают бесплатно".
4.1. Это вместо того, чтобы вы.....ть 1 Отдел (за смену контрагента)
4.2. Не верю.
5. Т.к. стоит задача по минимизации простоя секретной сети делаю следующее
5.1. Сооружаю на базе 2-х серверов и одной рабочей станции 64-х битную версию домена со всем установленным ПО, настройками и закатываю в образы, для более оперативного перехода осенью на 64 бита.
5.2. На тех же компьютерах - для 32 бита, плюс настраиваю пользователей, профили (mandatory) и кучу всего мелкого, чтобы потом, когда понесём в секреты, осталось только поставить драйвера периферии на серверах, да размножить из образа рабочие станции. Всё это (п.5) делается в режиме "начали в понедельник, к среде готово, чтобы в среду остановить секретную сеть, поменять компы, в четверг приходят контрагенты, накладывают Dallas Lock, в пятницу секретная сеть в работе".
5.3. По ходу дела выясняется, что часть старых компов хотят оставить, причём под XP (вопрос лицензионности, низя туда ставить семёрку без наклеек мелкософта, а их нет). Пока народ размножает рабочие станции под 7, решаю и этот вопрос (все вопросы решаются примерно "с 18:00 и до как получится").
5.4. Ура! Вечером в среду всё готово, сервера работают, домен шелестит, ко второй половине дня в четверг будут вам и ХР из нового образа размножены, Dallas поставите (надо в один день с остальными компами, чтоб даты в документации по сертификации совпадали).
5.5. Пока в четверг ставят этот Dallas под руководством деятеля из 1 отдела, добиваем старые компы хрюшей из подготовленного образа, и он добивает их Dallas'ом.
5.6. Гип-гип ура! к 22:30 в четверг всё сделано. Я велик!
В пятницу с утра от народа куча жалоб "не работает то, сё, пятое, десятое, программы требуют активации" и прочая хрень. Трачу несколько часов, чтобы разобраться. Вижу, что профили на рабочих станциях не назначенные, Из ресурса с назначенными - не берётся, при подстановке в ресурс профилей из копии - не работает. Млять, ступор мозга!
Но, т.к. мозг всё же есть, обнаруживаю следующее (когда от безысходности уже полез в AD)
1. Было 2 пользователя - UserS и UserSS (для работы с секретно и совсекретно).
2. Смотрю - как-то их описания в остнастке не так выглядят, как я делал.
3. А у них профили-то не прописаны!!!
4. На вопрос "Какая ....ять,!?!?!" - стандартный ответ "мы ничего не делали".
5. Пришлось ткнуть носом в атрибут whenCreated в AD - В ЧЕТВЕРГ!!! В 13:06 - в это время я ещё ехал по пробкам на работу.
От тут я и заорал как стадо больных слонов! Т.к. стало ясно почему профилей нет, почему, даже когда укажешь их, они не хватаются рабочими станциями (имя то юзера прежнее, но SID другой), и вообще откуда все проблемы у народа в пятницу.
Пришлось срочно сооружать новые профили (мелочь, но муторно), показывать как лечить рабочие станции (сами пускай лечат). Словом, снова до 22 часов.
От так и живём.
PS Это только один из эпизодов. За 20+ лет в конторе их на роман наберётся.
PPS Если интересно, могу и дальше немного освещать процесс работы конторы в части IT, возможно с флэшбэками.
PPPS Наша контора в части IT ещё и одна из передовых в отрасли.