Egyik ügyfelünk most hétvégén tervszerű leállást hajt végre, így lehetőségünk van egy csomó régóta halasztott munkát elvégezni. Többek között jó ideje érik a tűzfaluk lecserélése.
A következőképpen terveztük: én offline összerakom az új vason a cuccot, aztán egyszerűen kidobjuk a régit, berakjuk az újat és mindenki örülni fog. Apró kihívás, hogy más a hardver (a régi 32bites procival ment, az új egy 64 bites Opteron), más az oprencer (a régi Windows2000/32, az új Windows2003R2/64) és persze más a szoftver is (ISA2004Sp1->Isa2004Sp2). De azért működjön ugyanúgy.
Mindazonáltal a feladat nem megoldhatatlan. Igaz, hogy magyar nyelvű 32 bites Windows telepítőcédét kaptam, de szerencsére telepítő médiánk nekünk voltak, megfelelő licenszkulcsai meg az ügyfélnek.
Három napig az általam eddig ismeretlen tűzfalat tanulmányoztam. Leszedtem mindent xml/txt fájlokba – és természetesen kijegyzeltem mindent spirálfüzetbe. Kisebb novella méretű anyag gyűlt össze. (Huszonvalahány subnet, VPN terminálás, szabályhegyek – nem igazán egyszerű a jószág.) A következő nap azzal telt, hogy felraktam az oprendszert és előkészítettem mindent az ISA szervernek. Végül ma jött el a nagy nap.
Ahhoz képest, hogy mennyire kényelmesen ágyaztam meg a tűzfal szoftvernek, őkényessége rövid, gyors, de határozott üzenettel közölte, hogy menjek a fenébe – erre a gépre, ha beledöglök sem fogom tudni feltelepíteni. A miértet viszont nem igazán részletezte.
Ránézésre lehetett egy csomó baja: a processzor 64 bites, az oprendszer R2/64, az ISA ellenben csak standard… A legegyszerűbb ilyenkor megnézni a hivatalos adatokat. Nos, egy szó sincs arról, hogy ne futna R2-vel, illetve 64 bites oprendszerrel. A biztonság kedvéért átnéztem a Shinder könyvet, ott se tér ki rá a hapi. Hívtam a TAM-unkat, de éppen olyan helyen volt, ahol nem vette fel a telefont. Bedobtam egy szösszenetet Shinder bácsi fórumába, majd rácsörögtem GT-re, hátha ő látott már ilyet – de nem. Mindketten nekiálltunk guglizni, végül kaptam tőle egy linket. Nem lehet azt mondani, hogy túlzottan bőbeszédű lenne az írás, de a lényeg benne van: semmilyen ISA nem fut 64 bites oprenceren. Aláírás: XY ISA MVP.
Érted, semmilyen. A frissen kijött ISA2006 sem.
Azért ez elég durva.
Felködlött előttem, milyen remek pofozkodás lesz ebből. Az ügyfél nyilván azt fogja reklamálni, miért nem szóltunk neki, hogy ne vegyen ilyen hardvert? Mi meg… mondjuk azt, hogy mi sem tudtuk? Baromira ciki. És nem csak az a durva, hogy így nem lesz a hétvégén csere – sokkal durvább, hogy mit csináljanak most a méregdrágán vett új hardverrel?
Mentsük a veszett fejsze nyelét. Fel lehet-e rakni 64 bites processzorral felvértezett gépre 32 bites Windows Server oprendszert? A franc se tudja. Talán a Gugli. Nem, ő se igazán. Még talán ez a bejegyzés nyújtotta a legvérmesebb reményeket – mintha az AMD procikra felmenne, csak az Intelekre nem…
Itt álltam, amikor visszahívott a TAM-unk. Rövid idő alatt sikerült mindent tisztáznunk.
Hogy te legközelebb ne járj ilyen hülyén, tömören leírom a lényeget:
- Jelenleg semmilyen ISA (2000/2004/2006, ill standard/enterprise) nem képes futni 64 bites operációs rendszeren.
- x64 architektúrára lehet telepíteni 32 bites Windows Server operációs rendszert – azaz AMD Opteronra igen, Intel Itaniumra nem.
Ez azért valahol megnyugtató. Nem az, hogy az ISA nem fut 64 biten, az valahol szégyen – a jó hír az, hogy az ügyfelünk csak a szervízhétvégét bukta be. Meg mi sem veszítettünk olyan nagyot az arcunkból.
2006. November 09. Thursday at 21:13
Ezt ciki volt megirni a kenyszerblogra? Rosszul jonne a nagytesonak?
2006. November 09. Thursday at 21:22
Jaj. Nem kényszerblog, de erről már írtam.
Másfelől, már rögtön az elején – szvsz elég világosan – megírtam, hogy ami szakmai cikk formájú, az megy oda, ami meg kocsmai beszélgetés jellegű, olyan “b+, most elmesélem neked a napomat’ típusú írás, az ide jön.
Lásd itt: http://mivanvelem.hu/2006/09/04/osztodom/
(Egyébként a statisztikák szerint ezt az oldalt többen olvassák, mint azt – tehát ha relative el akartam volna rejteni az írást, akkor inkább oda kellett volna raknom.:)
2006. November 09. Thursday at 22:20
Ez tényleg úgy van, hogy az ilyen verzióváltásos, brutáltelepítéses dolgokat nem tesztkörnyezetben, hanem az ügyfél éles rendszerén próbáljátok? Elég erős, figyelembe véve azt, hogy mennyibe kerül 1-1 kiszámlázott óra…
Azt hittem, az ilyen mutyizás csak a kis cégekre jellemző.
2006. November 09. Thursday at 22:33
JoeP: Szamomra ez a bejegyzes szakmai. Lassan felfogom, hogy mi kerulhet “oda”.
2006. November 09. Thursday at 22:34
Milyen éles rendszer? Kapsz egy szervert, hogy ebből lesz majd a tűzfal. Offline feltelepíted. Aztán adott pillanatban kicseréled a kettőt. Ha nem sikerül a művelet, visszarakod az előzőt. A gépek nincsenek semmilyen címtárban, simán csereberélhetők. Még egyszer kérdem, milyen kockázatot látsz ebben?
Aztán ugyan mutassál már olyan céget, ahol darabban állnak a duál AMD Opteronnal felszerelt HP szerverek, arra várva, hogy a rendszermérnök tesztelgessen rajta.
Harmadrészt meg szerinted azt az időt, amit én – akár tesztként, akár ‘éles’ rendszeren elcseszek egy ilyen átállás előkészítésével, nekünk tényleg le kellene nyelni?
Baromira nem értem ezt a mostani hozzászólásodat…
2006. November 09. Thursday at 22:36
Lassan felfogom, hogy mi kerulhet „oda”.
Dehogyis fogod. Csak azt akarod felfogni, ami beleillik az előítéleteidbe.
2006. November 09. Thursday at 23:22
JoeP: Konkretan ugy ertettem, hogy “oda” ugymond nyomdakesz szakmai irasok kerulnek, a hirtelen felindulasbol szuletettek pedig ide.
2006. November 10. Friday at 00:45
Azért megnyugtatásként, a vasat az üf válaszotta, szemben az ajánlott konfigokkal, merhogy nála ez a sztenderd korporétilag… ;)
2006. November 10. Friday at 01:03
De miért nem volt elég korrekt megoldás,mint a legkisebb közös nevező a 32 bites Windowson az only 32 bites ISA?
Az új Intel-es szerverekre sem teszel 64 Bites Windowst,sőt általában fel sem merül.
Éppen az applikációk nativ 64bites támogatottságának hiánya vagy csak a 64 bitesség szükségtelensége miatt.
2006. November 10. Friday at 01:37
Minek 64-bites hardver (+OS) ISA szervernek (azon kivul persze hogy bleeding-edge es fancy)? (vegul latom h az ugyfel valasztotta, ha igy volt, akkor egy szavuk sem lehet, hacsak nem mi mondtuk ra az o dontesukre a vegso ament.)
2006. November 10. Friday at 06:23
Ennél azért többet vártam volna az ISA-tól… Habár azok alapján, amiket GT mesélt, mégsem csodálkozom :D
2006. November 10. Friday at 09:30
> Milyen éles rendszer?
Jól van, ezt benéztem. Nem kicsit, nagyon. Hogy futna az ISA 2000 64-bites vason?
> A gépek nincsenek semmilyen címtárban, simán
> csereberélhetők. Még egyszer kérdem, milyen
> kockázatot látsz ebben?
Semmilyet.
> Aztán ugyan mutassál már olyan céget, ahol
> darabban állnak a duál AMD Opteronnal
> felszerelt HP szerverek, arra várva, hogy a
> rendszermérnök tesztelgessen rajta.
Hát, mikor jársz erre? Bár mi inkább a Dellt nyomjuk, opteronilag meg nem vagyok képben, de minden produktív vas megvan a tesztkörnyezetben is.
> Harmadrészt meg szerinted azt az időt, amit
> én – akár tesztként, akár ‘éles’ rendszeren
> elcseszek egy ilyen átállás előkészítésével,
> nekünk tényleg le kellene nyelni?
Gondolom ez részben bennevan valami alapdíjban, részben meg kiszlázzátok, nem?
> Baromira nem értem ezt a mostani
> hozzászólásodat…
Most már én sem. A tegnapi zweigelt kihozta belőlem az olajipari nagyarcot.
2006. November 10. Friday at 15:07
Hello,
Nem lett volna opció virtuális gépre felhúzni az egészet? 2003R2 x64-re egy virtual server 2005 R2-t, bele egy 32 bites virtuális gépet, és abba az ISA-t…
Teljesítményszempontból ugyan nem tudom mennyire érdemes egy firewall-t virtuális gépre rakni…
2006. November 11. Saturday at 00:55
zokszigen: Bocs, akkor félreértettem a megjegyzésed hangsúlyát.
2006. November 11. Saturday at 00:56
De egyébként tényleg ilyesmiről van szó: az egyik helyen tanárbácsis cikkek vannak, a másikon meg kocsmai beszélgetősek.
2006. November 11. Saturday at 00:58
Walaky: Mivel ezen a szerveren csak és kizárólag ISA2004 futott volna és mivel úgy gondoltam, hogy az ügyfél nem véletlenül vett ilyen vasat, nekem a 64 bites Windows logikusabb volt. Különösen, mert sehol nem írták, hogy ne tegyem, nem fog futni. Igaz, megkérdezhettem volna.
2006. November 11. Saturday at 01:00
vsz: Nem mondtunk mi semmilyen ‘ámen’-t. Egyszercsak ott volt a vas az asztalom mellett. (BB jobban tűzközelben van, én elhiszem neki, hogy az ügyfél – a céges előírásai miatt – már nem is választhatott más hardvert.)
2006. November 11. Saturday at 01:01
Mcfly: Ilyesmire akkor vetemedtünk volna, ha nem Opteron, hanem mondjuk Itanium a proci. De szerencsére nem volt rá szükség.
2006. November 11. Saturday at 01:12
Varánusz:
Konkrétan ISA2004-ről volt szó. Annál már elvárható lett volna, hogy fusson. De az igazán durva, az az, hogy az ISA2006 sem fut még – pedig a Microsoft elég nagy lendülettel nyomja, hogy az új szervergeneráció már csak 64 biten fog futni – ez a termék pedig már azóta született, amióta köztudott a szándék.
de minden produktív vas megvan a tesztkörnyezetben is.
Azt hiszem, ezzel magunkat lehetetlenítenénk el a piacon. Gondold el, elég sok ügyfelünk van, meglehetősen heterogén szerverállománnyal. Hagy ne soroljam fel, hogy mi mindent kell kezelnünk. Ha mindenből tartanánk egy másodpéldányt, azt kénytelen lennénk az ügyféllel megfizettetni. Márpedig nem mindenki olajból él.:-D
Gondolom ez részben bennevan valami alapdíjban, részben meg kiszlázzátok, nem?
Amit lefed az SLA, az fix díjas. (Nem mondom, hogy átalány, mert annál bonyolultabb – de szerződés szabályozza.) A nagyvolumenű change az általában nem tartozik ezek közé. Az ilyen munkákat vagy ajánlat alapján vagy T&M alapon végezzük.
A tegnapi zweigelt kihozta belőlem az olajipari nagyarcot.
Erre mondják, hogy Interneten nem kommunikálunk alkoholos befolyásoltság alatt, mert a Google cache mindenre emlékszik. :-D
2006. November 11. Saturday at 18:02
1. igen, 64 bites (x64, vagyis AMD x64, vagy Intel EM64T) vasra felmegy 32 bites OS. Még csak nem is vesztesz vele szinte semmit, ha nem akartál 4 gigánál több ramot használni, vagy ultrabrutál terhelés nem érte volna a szervert.
2. a 64 bites Windows Server most még több szempontból sem tökéletes. Alapnak használni nem szabad véleményem szerint, kivéve, ha egy olyan szerverszoftvert akarsz rajta dedikáltan futtani, ami igényli a pluszteljesítményt és az extra memóriát. Erre a gépre viszont túl sok minden mást én nem tennék az egy dedikált szerverszoftveren kívül. Amit én 64 bites Windows Serverre fel mernék most tenni: AD, IIS, SQL2005, illetve az OS alapszolgáltatásai természetesen (DNS, DHCP, stb).
3. Azokkal a “szerepkörökkel”, amik nincsenek benne az alap 64-bites OS-ben nem érdemes játszani, kivéve, ha van az adott szerverből kifejezetten 64 bitre optimalizált verziója. (pl ismét csak SQL Server 2005). Az ISA Server 2006-ból tudtommal nincs kifejezetten 64 bites változat. 32 bites szoftvert, különösen szerverszoftvert 64 bites OS-en futtatni életveszélyes, és szerintem butaság is, elvégre ilyenkor a kód nagyrésze keresztülmegy a WoW (Windows on Windows) 64-32 mappelő, emuláló rétegen, ami egyrészt lassít, másrészt nem minden hívás esetében garantálja a kompatibilitást. Én Exchange-et sem próbálnék meg feltenni rá, ráadásul szerintem nem is supportált. No majd a 2007-es.
4. még mindig jobb ez, mint az Itanium esete, ahol mindent lehet nulláról kezdeni, és még egy kicsit visszafelé kompatibilitás sincs.
5. A Virtual Serveres megoldás viszont tényleg jó ötlet lett volna, mert akkor egyrészt megvan a 64 bites oprendszered arra, amire kell esetleg (már ha több rolera is használod, ahol fontos a 4GB+ memória), de mellette ami nem megy rajta, az mehet egy virtuális 32 bitesen. Egy ok miatt nem a legjobb ez: szerintem ehhez két OS licenc kellene, mert valszeg a win2k3 enterprise 3 VPC-ben használhatósága nem terjed ki vegyes 32-64 bites mixtúrára, elvileg két külön “termék”
Egyébként ilyeneket is nyugodtan írhatsz a TechNet blogra is, és akkor ott elemeznénk ki, mi a helyzet, mi az igazság. Nem lenne belőle semmi baj, GT is írt rossz tapasztalatokat már az ISA-ról, ha valami nem jó, megírjuk azt is.
A 64 bites OS-ek nagyon nehéz problémákat vetnek fel, nekem pl. meggyőződésem, hogy a 64 bites platfom egy nagy humbug még csak, ami ahhoz kellett, hogy a hw gyártók fenntartsák az új vasat vásárlók keresletét amíg az új, többmagos procikon dolgoztak, miután megállt a frekvenciaemelés lehetősége, és 2-3 évig gyakorlatilag nem is volt igazán új proci a piacon. Ezt a váltást a szoftvernek is muszáj volt követnie, de mivel az egésznek nincs igazán még teljesítményszempontból relevanciája, ezért jól látható, hogy nem kezeli egyik fél sem megfelelően ezt a kérdést még. Viszont most már nincs visszaút, muszáj megoldást találniuk előbb-utóbb. Én nem lepődnék meg egyébként, ha végül mégis lenne 32 bites Exchange 2007 is. Még nem tartunk ott a 64 bittel, mint ahol kellene.
A TechNet “blog” statisztika amit a belső szerkesztőségi rendszerünkben látsz csak a “belekattintásokat” mutatja (ami valóban alacsony), az RSS-t nem, az viszont elég jól (és egyre jobban) pörög szerencsére. Ha érdekel, megmutatom.
2006. November 11. Saturday at 22:16
Peti,
Egy kicsit benne volt az eredeti elképzelésben, hogy mivel ez egy tűzfal lesz, ezért törekszünk arra, hogy később már ne kelljen újratelepíteni. (Teszem azt, upgradelni akarnak ISA2006-ra, melyből a TAM-unk szerint hamarosan lesz 64 bites verzió.) Persze tkp. mindegy, az előző okoskodásban már rengeteg ‘ha’ van – a valóságban nem agyaltunk rajta ennyit.
Viszont, ha már ez ennyire logikus – mármint hogy nem lehet 32 bites ISÁ-t futtatni 64 bites oprendszeren -, akkor ezt miért nem lehet mondjuk a nálatok lévő ‘system requirements’ oldalon feltűntetni? Tényleg végigtúrtam a netet és sehol nem volt róla hivatalos információ.
A Technet blog/saját blog viszonylatban nem a kritikai hang a vízválasztó. Pl. itt van ez a cikk (http://tinyurl.com/yk36xz), finoman szólva sem lelkesedésből írtam, mégis a Technet blogba ment.
Nálam a Technet blog kicsit olyan, mintha az ember az egyetemen oktatna, a saját blogom meg inkább egy sör melletti beszélgetés. Aztán vannak olyan élmények, melyekhez az első stílus illik – és vannak olyanok, melyekhez a második.
2006. November 21. Tuesday at 12:55
A 64 bites kommunikációnk egy káosz sajnos. Ez messze túlmutat rajtunk, még európán is, de még talán az egész cégen is. Valamiért sokan úgy érzik, hogy nem mondhatjuk ki, hogy az esetek 99%-ban még felesleges, és inkább kellemetlen megoldás a 64 bites OS és az összes vele járó nyűg.
2006. November 24. Friday at 23:36
Jó tudni. Bár tényleg borzasztóan sajnálom a dolgot. Ezzel együtt úgy érzem, hogy kissebb presztizsveszteség lett volna kissé később tolni ezerrel a 64-bitet, viszont méltó vetélytársaként a Linuxnak úgy stabilitásban mind támogatottságban.