Archiwum z Marzec 2009

« Starsze wpisy
Nowsze wpisy »

FortiOS upgrade

sobota, 14 Marzec 2009

Jeśli komuś się nie chce czytać tego artykułu do końca, to w skrócie: pierwsze podejście nie udało się, kolejne niby tak, ale i tak nie jestem przekonany, że działa wszystko dobrze.

Naładowany pozytywną energią postanowiłem w czwartek z rana zaktualizować firmware w FortiGate 100A. Zgodnie ze wskazówkami zrobiłem wcześniej kopię konfiguracji, bo update nie powinien napsuć, natomiast co do  upgrade, to inżynierowie Fortinet raczej tego nie gwarantują. Niemniej po restarcie z nowym FortiOS konfiguracja była zachowana, ale zmieniła się logika niektórych funkcji, toteż nie zaczęło to od razu działać jak należy.

clipboard011Przede wszystkim, co od razu zauważyłem, inaczej definiuje się reguły z autoryzacją (FSAE). Teraz do każdej Policy można stworzyć jedną lub więcej Identity Based Policy, co w sumie nie jest złe, ale inaczej niż wcześniej i trzeba się przestawić. Poza tym, co ważne, FSAE (wersja 3.5.037, ma nawet parę widocznych nowych opcji) dostarczany z wersją 4.0 FortiOS nie działa dobrze, bo nie pozwala w ogóle zainstalować DC Agenta (w systemie MS Windows 2003 Server Standard pokazuje enigmatyczny komunikat o braku uprawnień). Działa natomiast wcześniejsza wersja – 3.5.032.

dgWspomniany upgrade pozwala zachować konfigurację (dostosowuje ją do nowej wersji), niestety downgrade trochę ją psuje. Sekcje konfiguracji interfejsów są niezmienne, więc można zrobić tą operację zdalnie, a dostęp do urządzenia zostanie. Czy w jedną, czy w drugą stronę, zalecam dokładne przejrzenie ustawień po zmianie wersji FortiOS.

Menu zostało trochę zmienione i niektóre opcje sa w innym miejscu, więc potrzeba trochę czasu by się przyzwyczaić.

clipboard012Z ciekawych rzeczy dodany został User Monitor – podgląd użytkowników uwierzytelnionych (firewall, IPSEC, SSL, IM) – tym samym odchodzi trochę ‘klepania’ w konsoli.

Przy okazji – udało mi się skonfigurować moją zaporę, by rutowała pakiety do jednego z dwóch dostawców w zależności od polityki. Niestety (jeszcze) nie działa odpowiadanie łączem, którym pakiet przyszedł (takie reply-to z pf w OpenBSD).

A na zakończenie – na LinkedIn pojawiła się grupa Enterprise Network Security sygnowana logo Fortinet. Natomiast pod koniec miesiąca wybieram się na szkolenie MS-2199 + FSAE. Mam nadzieję, że na nowym oprogramowaniu.

Tagi:, ,
Zaszufladkowany do Tech | 3 komentarzy »

MLUG

sobota, 14 Marzec 2009

I po…

Tagi:
Zaszufladkowany do Tech, Wolne żarty | Brak komentarzy »

Po szkoleniu „Budowa sieci SAN”

czwartek, 12 Marzec 2009

Wczoraj uczestniczyłem w szkoleniu Budowa sieci SAN (Storage Area Network) w oparciu o technologię Fibre Channel prowadzonym przez Jerzego ‘whatever’ Skibę, a organizowanym przez Compendium Centrum Edukacyjne Sp. z o.o. Wróciłem zadowolony, bo w normalnych warunkach nie miałem styczności z taką ilością drogiego sprzętu. Prowadzenie i tematyka OK.

Dziś rozpocząłem konfugurację macierzy IBM DS3200. Wprawdzie to nie Fibre Channel, ani nie SAN, bo macierz jest wpięta bezpośrednio do serwera (DAS) via SAS, ale kilka cennych uwag zasłyszanych na szkoleniu wykorzystałem. W szczególności MPIO (sterownik IBM instaluje się wraz z Storage Manager).
Gdyby ktoś chciał aktualizować firmware w DS3000, a nie umiał znaleźć w SM usuwania Event Log‘ów, to należy wykonać następujący skrypt:

clear storageSubsystem eventLog;

Czekają na mnie jeszcze dwie macierze na FC (mało znanych mi producentów), ale z racji tego, że są w produkcyjnym środowisku, zabawa nimi jest ograniczona.

Tagi:, , ,
Zaszufladkowany do Tech | 4 komentarzy »

MULTIPROCESSOR_CONFIGURATION_NOT_SUPPORTED

wtorek, 10 Marzec 2009

Rozpocząłem instalację nowego serwera – IBM x3550. Do podstawowej wersji dokupiony został m. in. procesor. Instalowałem system (Windows 2003 R2 64bit) z ServerGuide (wersja 8.1.01; Windows nie ma sterowników do kontrolera). Niestety próba instalacji kończy się komunikatem:

MULTIPROCESSOR_CONFIGURATION_NOT_SUPPORTED

na błękitnym ekranie. MSDN mówi, że procesory różnią się od siebie (jako przykład podają procesor Pentium i 80486). Moje to Quad Core Intel Xeon X5450 i mają różne CPU ID – w BIOS (wersja 1.12) raportowane jako: podstawowy 676, dodatkowy 67A.
Wg bazy wiedzy Microsoft powinno działać, a jedynie nie będzie wspierać tego, co różni procesory. Być może, jak doradzają różnej maści fora, należy instalacji dokonać na jednym procesorze, potem dołożyć drugi. Ew. spróbować zaktualizować BIOS. Aczkolwiek najpewniejsze jest włożenie identycznego procesora.

Zacząłem od aktualizacji BIOS (do wersji 1.13). Na stronie IBM znalazłem ChangeLog, najważniejsze dla mnie to:

Version 1.13, GFE143A - Fixed : Mix-Stepping configuration for C0/E0 processors

Version 1.12, GFE141A - Added : Support for processor ID 67A.

I działa!

Tagi:,
Zaszufladkowany do Windows | Brak komentarzy »

45M licencji!

poniedziałek, 9 Marzec 2009

Od początku roku uczestniczymy w programie licencyjnym OPEN Microsoft. Nic niezwykłego, ale przy nabywaniu ostatnich licencji dokładnie przeczytałem wiadomość jaka przyszła z Microsoft Volume Licensing Services. Otóż czytamy co następuje:

clipboard02Tymczasem na stronie mamy następujący formularz:

clipboard01Czyli oryginalne (angielskie) License number przetłumaczone na polski staje się liczbą licencji. Tym samym mamy ponad 45 milionów licencji. Ugh! Nawet tłumacz Google sobie z tym radzi.

Oprócz tego w potwierdzeniu występuje dwukrotnie data rozpoczęcia, ale to już drobny błąd nie zasługujący na przyczepienie się.

Oczywiście poszedł odpowiedni PR :-)

Thank you for your query.

We will action your request and a response will be sent to you within 24
hours.

Regards

Microsoft eOpen Team

Zaszufladkowany do Windows, Wolne żarty | 3 komentarzy »

FortiGate – statystyki

piątek, 6 Marzec 2009

Zacząłem bardziej wykorzystywać zaporę FortiGate (100A). Wiekszość ruchu przepuszczam przez to właśnie urządzenie. Z racji tego, że logi przydają się – zdecydowałem na włączenie FortiAnalyzer‘a do struktury (planujemy zakup FortiAnalyzer 100B).

fortigate-statTymczasem postanowiłem przyjrzeć się temu co zapisuje sama zapora. Informacje o wszystkich zdarzeniach trzymane są w pamięci i dość szybko ‘rotowane’ (przy dużym ruchu ciężko z tego skorzystać). Dotyczy to również statystyk – zerowane są przy restarcie urządzenia.

W naszej konfiguracji serwer poczty jest za urządzeniem i dostępny jako Virtual IP. Należy przy tym pamiętać, że jeśli chcemy uzyskać funkcjonalność binat (dwukierunkowe mapowanie adresów) nie można wykorzystać Port Forwarding – konkretny port można filtrować już w fortigate-maillogpolityce. Wspomniane statystyki zliczają pocztę przychodzącą i wychodzącą tylko w przypadku, gdy połączenie nie korzysta z TLS / SSL. Szczegółowa lista dość niefortunnie przedstawia dane – mianowicie korzystając z nagłówka To: pokazuje odbiorcę wiadomości. W przypadku, gdy ktoś wysyła do większej ilości odbiorców (CC) nagle na liście mamy adresy z domeny nie należącej do nas. Spokojnie, to nie Open Relay ;-)

Oczywiście warunkiem koniecznym do zliczania ruchu SMTP jest włączenie Protection Profile dla danej reguły. Ja w swojej włączyłem tylko filtrowanie spamu dla SMTP.

Tagi:,
Zaszufladkowany do Tech | 2 komentarzy »

LG RH265 od środka

piątek, 6 Marzec 2009

W końcu pogrzebałem w mojej nagrywarce (RH265). Wiem już, że fabryka wyposażyła ją w dysk HITACHI HDS728080PLAT20 (Deskstar 7K80) czyli 80 GB PATA 7’200 rpm. Wyższy model miał 160 GB, ale była zbyt duża róż102_5608nica cenowa jak kupowałem (ponad rok temu). Znalazłem nawet na Allegro kogoś, kto oferował RH265 z dyskiem 160 GB.

Niemniej zasta102_5614nawiając się czy można samemu dysk wymienić na początek wsadziłem jakiś stary Western Digital WD800 (również 80 GB PATA 7’200 rpm). Nie miałem nic większego pod ręką, przejściówki SATA – PATA również nie posiadałem, by podłączyć dysk z komputera domowego. I dobrze! Nagrywarka po podłączeniu dysku założyła sobie bez pytania sama partycje i pewnie znów przekonał bym się jak ważne są kopie danych.
A propos partycji – Hitachi miał takie coś:

Disk /dev/sdb: 82.3 GB, 82347195904 bytes
255 heads, 63 sectors/track, 10011 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0xd0ca0d11

This doesn't look like a partition table
Probably you selected the wrong device.

Device Boot      Start         End      Blocks   Id  System
/dev/sdb1   ?           1        9976    80125952   b8  BSDI swap
Partition 1 does not end on cylinder boundary.
/dev/sdb2   ?           1          26      204800   90  Unknown
Partition 2 does not end on cylinder boundary.

Na nowym dysku założył podobne partycje, z wyjątkiem typu pierwszej – 69 lub 72 zamiast b8:

Disk /dev/sda: 80.0 GB, 80025280000 bytes
255 heads, 63 sectors/track, 9729 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x00000000

This doesn't look like a partition table
Probably you selected the wrong device.

Device Boot      Start         End      Blocks   Id  System
/dev/sda1   ?           1        9694    77859840   72  Unknown
Partition 1 does not end on cylinder boundary.
/dev/sda2   ?           1          26      204800   90  Unknown
Partition 2 does not end on cylinder boundary.

Disk /dev/sda: 4034 MB, 4034838528 bytes
255 heads, 63 sectors/track, 490 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x00000000

This doesn't look like a partition table
Probably you selected the wrong device.

Device Boot Start End Blocks Id System
/dev/sda1 ? 1 465 3727360 69 Unknown
Partition 1 has different physical/logical beginnings (non-Linux?):
phys=(523, 0, 0) logical=(0, 1, 1)
Partition 1 has different physical/logical endings:
phys=(0, 28, 0) logical=(464, 9, 56)
Partition 1 does not end on cylinder boundary.
/dev/sda2 ? 1 26 204800 90 Unknown
Partition 2 has different physical/logical beginnings (non-Linux?):
phys=(15, 0, 0) logical=(0, 1, 1)
Partition 2 has different physical/logical endings:
phys=(0, 1, 0) logical=(25, 127, 37)
Partition 2 does not end on cylinder boundary.

Powyższe to odpowiednio mój dysk 80 GB i pamięć Compact Flash 4 GB. Firmware obsługuje mniejszy dysk i pokazuje odpowiednio czas pozostały do końca.
W przyszłym tygodniu dostanę nowy dysk SATA 500 GB, więc sprawdzę czy większe dyski również można używać.

Zastanawiam się tylko nad kopiowaniem danych. Oczywiście można po najprostszej linii oporu – przez płyty DVD, ale mam nadzieję, że dd również da radę (nie wiem co z nachodzeniem na siebie partycji).

Ale zgodnie z tym co piszą na OSnews.pl, to już nie będzie LG.

Tagi:,
Zaszufladkowany do Tech | 1 komentarz »

« Starsze wpisy
Nowsze wpisy »