ISA szerver nem menni 64

Egyik ügyfelünk most hétvégén tervszerű leállást hajt végre, így lehetőségünk van egy csomó régóta halasztott munkát elvégezni. Többek között jó ideje érik a tűzfaluk lecserélése.
A következőképpen terveztük: én offline összerakom az új vason a cuccot, aztán egyszerűen kidobjuk a régit, berakjuk az újat és mindenki örülni fog. Apró kihívás, hogy más a hardver (a régi 32bites procival ment, az új egy 64 bites Opteron), más az oprencer (a régi Windows2000/32, az új Windows2003R2/64) és persze más a szoftver is (ISA2004Sp1->Isa2004Sp2). De azért működjön ugyanúgy.
Mindazonáltal a feladat nem megoldhatatlan. Igaz, hogy magyar nyelvű 32 bites Windows telepítőcédét kaptam, de szerencsére telepítő médiánk nekünk voltak, megfelelő licenszkulcsai meg az ügyfélnek.
Három napig az általam eddig ismeretlen tűzfalat tanulmányoztam. Leszedtem mindent xml/txt fájlokba – és természetesen kijegyzeltem mindent spirálfüzetbe. Kisebb novella méretű anyag gyűlt össze. (Huszonvalahány subnet, VPN terminálás, szabályhegyek – nem igazán egyszerű a jószág.) A következő nap azzal telt, hogy felraktam az oprendszert és előkészítettem mindent az ISA szervernek. Végül ma jött el a nagy nap.
Ahhoz képest, hogy mennyire kényelmesen ágyaztam meg a tűzfal szoftvernek, őkényessége rövid, gyors, de határozott üzenettel közölte, hogy menjek a fenébe – erre a gépre, ha beledöglök sem fogom tudni feltelepíteni. A miértet viszont nem igazán részletezte.
Ránézésre lehetett egy csomó baja: a processzor 64 bites, az oprendszer R2/64, az ISA ellenben csak standard… A legegyszerűbb ilyenkor megnézni a hivatalos adatokat. Nos, egy szó sincs arról, hogy ne futna R2-vel, illetve 64 bites oprendszerrel. A biztonság kedvéért átnéztem a Shinder könyvet, ott se tér ki rá a hapi. Hívtam a TAM-unkat, de éppen olyan helyen volt, ahol nem vette fel a telefont. Bedobtam egy szösszenetet Shinder bácsi fórumába, majd rácsörögtem GT-re, hátha ő látott már ilyet – de nem. Mindketten nekiálltunk guglizni, végül kaptam tőle egy linket. Nem lehet azt mondani, hogy túlzottan bőbeszédű lenne az írás, de a lényeg benne van: semmilyen ISA nem fut 64 bites oprenceren. Aláírás: XY ISA MVP.
Érted, semmilyen. A frissen kijött ISA2006 sem.
Azért ez elég durva.
Felködlött előttem, milyen remek pofozkodás lesz ebből. Az ügyfél nyilván azt fogja reklamálni, miért nem szóltunk neki, hogy ne vegyen ilyen hardvert? Mi meg… mondjuk azt, hogy mi sem tudtuk? Baromira ciki. És nem csak az a durva, hogy így nem lesz a hétvégén csere – sokkal durvább, hogy mit csináljanak most a méregdrágán vett új hardverrel?
Mentsük a veszett fejsze nyelét. Fel lehet-e rakni 64 bites processzorral felvértezett gépre 32 bites Windows Server oprendszert? A franc se tudja. Talán a Gugli. Nem, ő se igazán. Még talán ez a bejegyzés nyújtotta a legvérmesebb reményeket – mintha az AMD procikra felmenne, csak az Intelekre nem…
Itt álltam, amikor visszahívott a TAM-unk. Rövid idő alatt sikerült mindent tisztáznunk.
Hogy te legközelebb ne járj ilyen hülyén, tömören leírom a lényeget:

  • Jelenleg semmilyen ISA (2000/2004/2006, ill standard/enterprise) nem képes futni 64 bites operációs rendszeren.
  • x64 architektúrára lehet telepíteni 32 bites Windows Server operációs rendszert – azaz AMD Opteronra igen, Intel Itaniumra nem.

Ez azért valahol megnyugtató. Nem az, hogy az ISA nem fut 64 biten, az valahol szégyen – a jó hír az, hogy az ügyfelünk csak a szervízhétvégét bukta be. Meg mi sem veszítettünk olyan nagyot az arcunkból.

23 Comments

  1. Ezt ciki volt megirni a kenyszerblogra? Rosszul jonne a nagytesonak?

  2. Jaj. Nem kényszerblog, de erről már írtam.
    Másfelől, már rögtön az elején – szvsz elég világosan – megírtam, hogy ami szakmai cikk formájú, az megy oda, ami meg kocsmai beszélgetés jellegű, olyan “b+, most elmesélem neked a napomat’ típusú írás, az ide jön.
    Lásd itt: http://mivanvelem.hu/2006/09/04/osztodom/
    (Egyébként a statisztikák szerint ezt az oldalt többen olvassák, mint azt – tehát ha relative el akartam volna rejteni az írást, akkor inkább oda kellett volna raknom.:)

  3. Ez tényleg úgy van, hogy az ilyen verzióváltásos, brutáltelepítéses dolgokat nem tesztkörnyezetben, hanem az ügyfél éles rendszerén próbáljátok? Elég erős, figyelembe véve azt, hogy mennyibe kerül 1-1 kiszámlázott óra…

    Azt hittem, az ilyen mutyizás csak a kis cégekre jellemző.

  4. JoeP: Szamomra ez a bejegyzes szakmai. Lassan felfogom, hogy mi kerulhet “oda”.

  5. Milyen éles rendszer? Kapsz egy szervert, hogy ebből lesz majd a tűzfal. Offline feltelepíted. Aztán adott pillanatban kicseréled a kettőt. Ha nem sikerül a művelet, visszarakod az előzőt. A gépek nincsenek semmilyen címtárban, simán csereberélhetők. Még egyszer kérdem, milyen kockázatot látsz ebben?
    Aztán ugyan mutassál már olyan céget, ahol darabban állnak a duál AMD Opteronnal felszerelt HP szerverek, arra várva, hogy a rendszermérnök tesztelgessen rajta.
    Harmadrészt meg szerinted azt az időt, amit én – akár tesztként, akár ‘éles’ rendszeren elcseszek egy ilyen átállás előkészítésével, nekünk tényleg le kellene nyelni?
    Baromira nem értem ezt a mostani hozzászólásodat…

  6. Lassan felfogom, hogy mi kerulhet „oda”.
    Dehogyis fogod. Csak azt akarod felfogni, ami beleillik az előítéleteidbe.

  7. JoeP: Konkretan ugy ertettem, hogy “oda” ugymond nyomdakesz szakmai irasok kerulnek, a hirtelen felindulasbol szuletettek pedig ide.

  8. Azért megnyugtatásként, a vasat az üf válaszotta, szemben az ajánlott konfigokkal, merhogy nála ez a sztenderd korporétilag… ;)

  9. De miért nem volt elég korrekt megoldás,mint a legkisebb közös nevező a 32 bites Windowson az only 32 bites ISA?
    Az új Intel-es szerverekre sem teszel 64 Bites Windowst,sőt általában fel sem merül.
    Éppen az applikációk nativ 64bites támogatottságának hiánya vagy csak a 64 bitesség szükségtelensége miatt.

  10. Minek 64-bites hardver (+OS) ISA szervernek (azon kivul persze hogy bleeding-edge es fancy)? (vegul latom h az ugyfel valasztotta, ha igy volt, akkor egy szavuk sem lehet, hacsak nem mi mondtuk ra az o dontesukre a vegso ament.)

  11. Ennél azért többet vártam volna az ISA-tól… Habár azok alapján, amiket GT mesélt, mégsem csodálkozom :D

  12. > Milyen éles rendszer?

    Jól van, ezt benéztem. Nem kicsit, nagyon. Hogy futna az ISA 2000 64-bites vason?

    > A gépek nincsenek semmilyen címtárban, simán
    > csereberélhetők. Még egyszer kérdem, milyen
    > kockázatot látsz ebben?

    Semmilyet.

    > Aztán ugyan mutassál már olyan céget, ahol
    > darabban állnak a duál AMD Opteronnal
    > felszerelt HP szerverek, arra várva, hogy a
    > rendszermérnök tesztelgessen rajta.

    Hát, mikor jársz erre? Bár mi inkább a Dellt nyomjuk, opteronilag meg nem vagyok képben, de minden produktív vas megvan a tesztkörnyezetben is.

    > Harmadrészt meg szerinted azt az időt, amit
    > én – akár tesztként, akár ‘éles’ rendszeren
    > elcseszek egy ilyen átállás előkészítésével,
    > nekünk tényleg le kellene nyelni?

    Gondolom ez részben bennevan valami alapdíjban, részben meg kiszlázzátok, nem?

    > Baromira nem értem ezt a mostani
    > hozzászólásodat…

    Most már én sem. A tegnapi zweigelt kihozta belőlem az olajipari nagyarcot.

  13. Hello,

    Nem lett volna opció virtuális gépre felhúzni az egészet? 2003R2 x64-re egy virtual server 2005 R2-t, bele egy 32 bites virtuális gépet, és abba az ISA-t…

    Teljesítményszempontból ugyan nem tudom mennyire érdemes egy firewall-t virtuális gépre rakni…

  14. zokszigen: Bocs, akkor félreértettem a megjegyzésed hangsúlyát.

  15. De egyébként tényleg ilyesmiről van szó: az egyik helyen tanárbácsis cikkek vannak, a másikon meg kocsmai beszélgetősek.

  16. Walaky: Mivel ezen a szerveren csak és kizárólag ISA2004 futott volna és mivel úgy gondoltam, hogy az ügyfél nem véletlenül vett ilyen vasat, nekem a 64 bites Windows logikusabb volt. Különösen, mert sehol nem írták, hogy ne tegyem, nem fog futni. Igaz, megkérdezhettem volna.

  17. vsz: Nem mondtunk mi semmilyen ‘ámen’-t. Egyszercsak ott volt a vas az asztalom mellett. (BB jobban tűzközelben van, én elhiszem neki, hogy az ügyfél – a céges előírásai miatt – már nem is választhatott más hardvert.)

  18. Mcfly: Ilyesmire akkor vetemedtünk volna, ha nem Opteron, hanem mondjuk Itanium a proci. De szerencsére nem volt rá szükség.

  19. Varánusz:
    Konkrétan ISA2004-ről volt szó. Annál már elvárható lett volna, hogy fusson. De az igazán durva, az az, hogy az ISA2006 sem fut még – pedig a Microsoft elég nagy lendülettel nyomja, hogy az új szervergeneráció már csak 64 biten fog futni – ez a termék pedig már azóta született, amióta köztudott a szándék.

    de minden produktív vas megvan a tesztkörnyezetben is.
    Azt hiszem, ezzel magunkat lehetetlenítenénk el a piacon. Gondold el, elég sok ügyfelünk van, meglehetősen heterogén szerverállománnyal. Hagy ne soroljam fel, hogy mi mindent kell kezelnünk. Ha mindenből tartanánk egy másodpéldányt, azt kénytelen lennénk az ügyféllel megfizettetni. Márpedig nem mindenki olajból él.:-D

    Gondolom ez részben bennevan valami alapdíjban, részben meg kiszlázzátok, nem?
    Amit lefed az SLA, az fix díjas. (Nem mondom, hogy átalány, mert annál bonyolultabb – de szerződés szabályozza.) A nagyvolumenű change az általában nem tartozik ezek közé. Az ilyen munkákat vagy ajánlat alapján vagy T&M alapon végezzük.

    A tegnapi zweigelt kihozta belőlem az olajipari nagyarcot.
    Erre mondják, hogy Interneten nem kommunikálunk alkoholos befolyásoltság alatt, mert a Google cache mindenre emlékszik. :-D

  20. 1. igen, 64 bites (x64, vagyis AMD x64, vagy Intel EM64T) vasra felmegy 32 bites OS. Még csak nem is vesztesz vele szinte semmit, ha nem akartál 4 gigánál több ramot használni, vagy ultrabrutál terhelés nem érte volna a szervert.
    2. a 64 bites Windows Server most még több szempontból sem tökéletes. Alapnak használni nem szabad véleményem szerint, kivéve, ha egy olyan szerverszoftvert akarsz rajta dedikáltan futtani, ami igényli a pluszteljesítményt és az extra memóriát. Erre a gépre viszont túl sok minden mást én nem tennék az egy dedikált szerverszoftveren kívül. Amit én 64 bites Windows Serverre fel mernék most tenni: AD, IIS, SQL2005, illetve az OS alapszolgáltatásai természetesen (DNS, DHCP, stb).
    3. Azokkal a “szerepkörökkel”, amik nincsenek benne az alap 64-bites OS-ben nem érdemes játszani, kivéve, ha van az adott szerverből kifejezetten 64 bitre optimalizált verziója. (pl ismét csak SQL Server 2005). Az ISA Server 2006-ból tudtommal nincs kifejezetten 64 bites változat. 32 bites szoftvert, különösen szerverszoftvert 64 bites OS-en futtatni életveszélyes, és szerintem butaság is, elvégre ilyenkor a kód nagyrésze keresztülmegy a WoW (Windows on Windows) 64-32 mappelő, emuláló rétegen, ami egyrészt lassít, másrészt nem minden hívás esetében garantálja a kompatibilitást. Én Exchange-et sem próbálnék meg feltenni rá, ráadásul szerintem nem is supportált. No majd a 2007-es.
    4. még mindig jobb ez, mint az Itanium esete, ahol mindent lehet nulláról kezdeni, és még egy kicsit visszafelé kompatibilitás sincs.
    5. A Virtual Serveres megoldás viszont tényleg jó ötlet lett volna, mert akkor egyrészt megvan a 64 bites oprendszered arra, amire kell esetleg (már ha több rolera is használod, ahol fontos a 4GB+ memória), de mellette ami nem megy rajta, az mehet egy virtuális 32 bitesen. Egy ok miatt nem a legjobb ez: szerintem ehhez két OS licenc kellene, mert valszeg a win2k3 enterprise 3 VPC-ben használhatósága nem terjed ki vegyes 32-64 bites mixtúrára, elvileg két külön “termék”

    Egyébként ilyeneket is nyugodtan írhatsz a TechNet blogra is, és akkor ott elemeznénk ki, mi a helyzet, mi az igazság. Nem lenne belőle semmi baj, GT is írt rossz tapasztalatokat már az ISA-ról, ha valami nem jó, megírjuk azt is.

    A 64 bites OS-ek nagyon nehéz problémákat vetnek fel, nekem pl. meggyőződésem, hogy a 64 bites platfom egy nagy humbug még csak, ami ahhoz kellett, hogy a hw gyártók fenntartsák az új vasat vásárlók keresletét amíg az új, többmagos procikon dolgoztak, miután megállt a frekvenciaemelés lehetősége, és 2-3 évig gyakorlatilag nem is volt igazán új proci a piacon. Ezt a váltást a szoftvernek is muszáj volt követnie, de mivel az egésznek nincs igazán még teljesítményszempontból relevanciája, ezért jól látható, hogy nem kezeli egyik fél sem megfelelően ezt a kérdést még. Viszont most már nincs visszaút, muszáj megoldást találniuk előbb-utóbb. Én nem lepődnék meg egyébként, ha végül mégis lenne 32 bites Exchange 2007 is. Még nem tartunk ott a 64 bittel, mint ahol kellene.

    A TechNet “blog” statisztika amit a belső szerkesztőségi rendszerünkben látsz csak a “belekattintásokat” mutatja (ami valóban alacsony), az RSS-t nem, az viszont elég jól (és egyre jobban) pörög szerencsére. Ha érdekel, megmutatom.

  21. Peti,
    Egy kicsit benne volt az eredeti elképzelésben, hogy mivel ez egy tűzfal lesz, ezért törekszünk arra, hogy később már ne kelljen újratelepíteni. (Teszem azt, upgradelni akarnak ISA2006-ra, melyből a TAM-unk szerint hamarosan lesz 64 bites verzió.) Persze tkp. mindegy, az előző okoskodásban már rengeteg ‘ha’ van – a valóságban nem agyaltunk rajta ennyit.
    Viszont, ha már ez ennyire logikus – mármint hogy nem lehet 32 bites ISÁ-t futtatni 64 bites oprendszeren -, akkor ezt miért nem lehet mondjuk a nálatok lévő ‘system requirements’ oldalon feltűntetni? Tényleg végigtúrtam a netet és sehol nem volt róla hivatalos információ.

    A Technet blog/saját blog viszonylatban nem a kritikai hang a vízválasztó. Pl. itt van ez a cikk (http://tinyurl.com/yk36xz), finoman szólva sem lelkesedésből írtam, mégis a Technet blogba ment.
    Nálam a Technet blog kicsit olyan, mintha az ember az egyetemen oktatna, a saját blogom meg inkább egy sör melletti beszélgetés. Aztán vannak olyan élmények, melyekhez az első stílus illik – és vannak olyanok, melyekhez a második.

  22. A 64 bites kommunikációnk egy káosz sajnos. Ez messze túlmutat rajtunk, még európán is, de még talán az egész cégen is. Valamiért sokan úgy érzik, hogy nem mondhatjuk ki, hogy az esetek 99%-ban még felesleges, és inkább kellemetlen megoldás a 64 bites OS és az összes vele járó nyűg.

  23. Jó tudni. Bár tényleg borzasztóan sajnálom a dolgot. Ezzel együtt úgy érzem, hogy kissebb presztizsveszteség lett volna kissé később tolni ezerrel a 64-bitet, viszont méltó vetélytársaként a Linuxnak úgy stabilitásban mind támogatottságban.

Leave a Reply to JoeP Cancel reply

Your email address will not be published. Required fields are marked *

Discover more from MiVanVelem

Subscribe now to keep reading and get access to the full archive.

Continue reading