Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 267
«На компьютере в офисе должны стоять только те программы и приложения, которые нужны сотруднику для работы.»
Я считаю по другому. В идеале у пользователя должна быть возможность работать хоть с личного ноутбука. Ничего более бессмысленного нет, как забрать админские права и на каждое обновление node.js бегать к каждому сотруднику и обновлять в ручную.
2. Пользователь – человек бесправный
Не согласен. Если сотрудник сломал систему — он об этом сообщит или сам пофиксит. Если никто не будет пытаться ее сломать — за них это сделают другие (привет bug bounty)
Я считаю по другому. В идеале у пользователя должна быть возможность работать хоть с личного ноутбука. Ничего более бессмысленного нет, как забрать админские права и на каждое обновление node.js бегать к каждому сотруднику и обновлять в ручную.
2. Пользователь – человек бесправный
Не согласен. Если сотрудник сломал систему — он об этом сообщит или сам пофиксит. Если никто не будет пытаться ее сломать — за них это сделают другие (привет bug bounty)
Ничего более бессмысленного нет, как забрать админские права и на каждое обновление node.js бегать к каждому сотруднику и обновлять в ручную.
Нет ничего более бессмысленного, чем строить системы, в которых каждое обновление на компьютерах пользователей нужно делать вручную и непосредственно за их компьютером.
Не согласен. Если сотрудник сломал систему — он об этом сообщит или сам пофиксит. Если никто не будет пытаться ее сломать — за них это сделают другие (привет bug bounty)
Ага, вы еще и рута им дайте сразу.
Если ваши пользователи — специалисты IT (разработчики, тестировщики, админы), то им без рута на локальных машинах никуда.
А если пользователи работают с личных ноутбуков, то вообще невозможно отобрать у них рут.
А если пользователи работают с личных ноутбуков, то вообще невозможно отобрать у них рут.
Если ваши пользователи — специалисты IT соответствующей компетенции и рут им нужен для работы, то это ни как не противоречит концепции выше, но опять же рут будет только к тем системам, на которых они непосредственно работают, а не ко всем возможным серверам если пользователь не главный админ или безопасник и то под вопросом, встречал в своей практике системы где получить рут можно только по регламенту и введя одновременно ключи главного безопасника, главного админа и руководителя предприятия, все люди и нельзя исключать возможность утечки через сотрудника любого уровня.
А можно пожалуйста пояснить как этого достичь? К сожалению не сталкивался с подобным, куда можно посмотреть что бы понять как подобное организовать?
От банального каждый знает только свой пароль, вводят по очереди, общий состоит из всех введенных по порядку, до специальной софтины для аутентификации, просящей вставить несколько токенов, от масштабов и задачи зависит и не забываем что это целый комплекс процедур включая шифрованный раздел, ограничение физического доступа к серверу и т.д.
Если наши пользователи — специалисты ИТ, то рута на локальных машинах они получат сами.
Не путайте всех специалистов IT с хакерами. На системниках где на биос пароль, сидирома нет, usb нет, а сам корпус под замком — не так уж и просто получить рута.
Надеюсь, что это у Вас шутки такие.
Если всё так строго — то локальные машины должны быть только способом доступа к удалённым машинам.
Если ваши пользователи — специалисты IT (разработчики, тестировщики, админы), то им без рута на локальных машинах никуда.
Наши бойцы часто работают у заказчиков с наглухо зарезанными правами — жить можно, но приходится давать им ноутбуки с LTE для доступа в интернет.
Грамотная настройка и делегирование полномочий пользователя UNIX позволяют абстрагироваться от характера действий последнего — «SUBSTITUTE user & do». Учетная запись root используется для организации!!! пользовательского доступа к привилегированным ресурсам и мониторинга протокола работы sudo.
Ничего более бессмысленного нет, как забрать админские права и на каждое обновление node.js бегать к каждому сотруднику и обновлять в ручнуюПолагаю, что в статье речь идёт о менеджерах, бухгалтерах и т.п., которые порой сами не ведают, что творят.
Вот именно, в большинстве ситуаций необходимо искать компромисс, будь то наличие прав пользователя, сложность паролей и их количество, количество и качество бэкапов и т.д. Программист в отделе разработки софта тёте Вере из бухгалтерии, если первому можно дать локально админа (а в случае если сломает собственную машину дать загрузочный диск и он сам всё починит), то второму сотруднику лучше даже лишние длинные провода связать намертво и спрятать. А в целом да, согласен с ТС по всем пунктам, но как-то маловато что-ли, быстро памятка закончилась.
если первому можно дать локально админа (а в случае если сломает собственную машину дать загрузочный диск и он сам всё починит
В общем случае права админа можно давать человеку, только когда он знает как и умеет с ними обращаться. Если программист своими действиями убил свой компьютер, то это означает, что с вашей подачи компания потеряла несколько часов его работы на переустановку операционной системы и приложений. Задача системного администратора — организовать бесперебойную работу и обеспечить сохранность данных у всех пользователей, включая разработчиков.
И да, забудьте уже об установке операционных систем с диска — уже лет 10 как существует заливка по сети. Уважайте свой труд.
А в целом да, согласен с ТС по всем пунктам, но как-то маловато что-ли, быстро памятка закончилась.
У меня все публикации на хабре так или иначе связаны с темой офисного системного администрирования. Можете посмотреть мои предыдущие статьи в профиле.
Именно что ключевыми элементами являются: умение обращаться + цель предоставленного доступа. Если программистам например нужно часто грузить какие-то библиотеки, плагины, модули и т.д. и отбирать у них доступ к установке софта (изменения системных настроек) = отбирать у них их же рабочее время.
Я бы у программистов отобрал админские права — просто для того, чтобы они сразу приучались писать программы, которые бы работали и без админских прав (если конечно они не пишут какие-то утилиты специальные). И комп 10-летней давности, чтобы не писали монстров, жрущих over 200M памяти для вывода пары сообщений в окошке.
P.S. программисты — не обижайтесь, не все такие, но в большинстве случаев так.
P.S. программисты — не обижайтесь, не все такие, но в большинстве случаев так.
Потом к вам придет сначала разработчик, потом DevOps из его отдела, потом руководители по цепочке, потому что ребята не могут поднять Vagrant для разработки, надо доставить пару пакетов, нужна свежая версия библиотек, вышла свежая версия интерпретатора и npm не работает с корпоративным прокси.
Каждый должен делать свою работу. Программисты — программы писать. Админы — управлять всем этим зоопарком. Но если уж у кого-то в обязанностях программиста самому ставить себе софт, обновлять ситему, и т.п. — то и отдать уже компьютер ему ПОЛНОСТЬЮ, пусть сам и систему ставит, и всё остальное. Но тогда никаких жалоб, что «Ось не грузиццо» — сам сломал, сам чини. А то получается — права у программиста на установку, обновление софта и ОС, а обязанности устранять неполадки и отвечать за это — у администратора. Не совсем правильно это.
Если бы я заведовал средой разработчиков, то это была бы изолированная сеть в DMZ. Регулярное резервное копирование в этой среде было бы на первом месте, при чем относительно «опасной» сети, тоже изолировано фаерволом, с инициацией соединения только снаружи.
> Но тогда никаких жалоб, что «Ось не грузиццо» — сам сломал, сам чини
У меня вылетел жесткий диск — ехать в магазин за новым, да?
> А то получается — права у программиста на установку, обновление софта и ОС, а обязанности устранять неполадки и отвечать за это — у администратора.
Взяли, развернули вчерашний бекап машины из образа, пошли играть в доту дальше.
У меня вылетел жесткий диск — ехать в магазин за новым, да?
> А то получается — права у программиста на установку, обновление софта и ОС, а обязанности устранять неполадки и отвечать за это — у администратора.
Взяли, развернули вчерашний бекап машины из образа, пошли играть в доту дальше.
У меня вылетел жесткий диск — ехать в магазин за новым, да?
В общем случае должно быть именно так, да. Это называется — жесткое разграничение зон ответственности. Иначе вы операционную систему на компьютере убили и звоните админу с требованием «заменить сломавшийся компьютер». И ему приходится доказывать вам, что с компьютером все в норме. Нет уже — сказали все сами, так и давайте все сами.
Это я же не просто так придумал. Это работает. До некоторых юзеров только так и доходит осознание, что лучше всё-таки какие-то задачи делать администратору, а ограничение — это необходимость, а не прихоть админа. Но есть и вполне продвинутые, которые имеют и админские права, но пользуются ими разумно, и не разводят самодеятельность, при этом пользуются всё той же поддержкой со стороны отдела ИТ, что и остальные. Как только начинают делать что-то сами (переустановка ОС, изменение настроек сети, установка левого софта и т.п.) — прав лишаются. Со временем остаются с правами только те, кому они реально нужны, и кто ими может правильно пользоваться. (исключение — когда имеются кривые программы, которым хоть тресни, нужны права, а на разработчиков повлиять мы не можем, или их уже нет вовсе)
На текущем месте работы мне удалось реализовать тему, что в вопросах ИТ я главнее гендира. У последнего прав не больше, чем у всех остальных. Мало того, сидит как все на LibreOffice и нет проблем. А вообще, я однажды со стула чуть не упал, когда новый коммерческий, имея лицуху MSO 2013 попросила по дефолту настроить открытие файлов через тот же LO. Уверен, что и сама бы справилась, но я тут рядом был.
Как только начинают делать что-то сами (переустановка ОС, изменение настроек сети, установка левого софта и т.п.) — прав лишаются.
Переустановка ОС по-хорошему не должна вообще давать пользователю пользоваться любыми ресурсами.
По-моему, это само собой разумеется. В теории, у меня юзеры могут через WDS, сбросив пароль на биос, загрузиться по сети, поставить любую винду из списка, потом весь софт по WSUS и влететь в домен. Только дальше своей учетки все равно не прыгнуть. Собственно, я даже это не запрещаю. Если кто-то просит переставить винду, я объясняю что нужно сделать и говорю пароль от его биоса. Если чел не в состоянии сам переставить винду, то ему оно и не надо.
В большинстве случаев можно снять post mortem и выяснить примерную причину, почему легла машина.
Если в результате выясняется, что причина проблемы в радиусе кривизны рук пользователя — окей, за работы платит кост центр его отдела.
Если в результате выясняется, что причина проблемы в радиусе кривизны рук пользователя — окей, за работы платит кост центр его отдела.
На самом деле в айтишных конторах программисты именно так и поступают, убивая кучу времени без гарантии результата — лучше бы сразу звали хелпдеск. Но даже там есть много других менее продвинутых пользователей и нельзя всех помещать в одну категорию, хоть это и проще для ИТ.
DevOps придет гораздо раньше, но для того чтобы выбить отдельную виртуалку для билдсервера и репозитория, где у него будет Рут, и где он сам разберется с бэкапами, либо сообщит сисадмину доступ и список папок, которые нужно поставить на бэкап.
Рабочие тачки и инструменты CI должны жить раздельно и независимо друг от друга, иначе разработчик уходя выключит свою рабочую тачку, и весь CI накрылся?
Рабочие тачки и инструменты CI должны жить раздельно и независимо друг от друга, иначе разработчик уходя выключит свою рабочую тачку, и весь CI накрылся?
Похоже, у Вас синдром вахтера в тяжелейшей форме. Не обижайтесь, но из-за такого же умника у одного из работодателей приходилось ждать установки каждого необходимого пакета в лучшем случае часами, в худшем — днями. К счастью, после нескольких недель мытарств и некоторого количества жалоб на саботаж моего рабочего процесса локального рута все-таки дали.
А если Вы считаете, что наличие или отсутствие локального рута влияет на проектирование разрабатываемого программного обеспечения, то опять-таки, не обижайтесь, но, видимо, Вы очень плохой админ.
P. S. Надо же, «чтобы сразу приучались». Давайте-ка Вы лучше будете жену приучать писать в бутылочку, или кота своего приучать не гадить где попало.
А если Вы считаете, что наличие или отсутствие локального рута влияет на проектирование разрабатываемого программного обеспечения, то опять-таки, не обижайтесь, но, видимо, Вы очень плохой админ.
P. S. Надо же, «чтобы сразу приучались». Давайте-ка Вы лучше будете жену приучать писать в бутылочку, или кота своего приучать не гадить где попало.
Если программист своими действиями убил свой компьютер, то это означает, что с вашей подачи компания потеряла несколько часов его работы на переустановку операционной системы и приложений. Задача системного администратора — организовать бесперебойную работу и обеспечить сохранность данных у всех пользователей, включая разработчиков.
Вашей задачей должна быть минимизация и автоматизация действий для приведения компьютера сотрудника в готовое к бою состояние, а также минимизация времени и потерь при гибели машины. Если разработчик уложит себе систему без особой надобности — это событие в любом случае должно пройти через его руководителя, и это не должно быть проблемами системного администратора.
А кто виноват, если с кампа разработчика был запущен шифровальщик?
Системный администратор, если пострадали данные за пределами машины разработчика.
1. Отсутствие антивирусной защиты на прокси/почте, позволившие пронести вирус. Если вирус пришел на флешке, то:
2. Несвежие базы антивируса на машине разработчика, пропустившие шифровальщик. Если антивирус был отключен, то:
3. Некорректно настроены политики безопасности домена — разработчик смог отключить антивирус.
В любом случае — на машине разработчика не должно храниться ценной информации, плюс должна быть резервная копия его данных.
1. Отсутствие антивирусной защиты на прокси/почте, позволившие пронести вирус. Если вирус пришел на флешке, то:
2. Несвежие базы антивируса на машине разработчика, пропустившие шифровальщик. Если антивирус был отключен, то:
3. Некорректно настроены политики безопасности домена — разработчик смог отключить антивирус.
В любом случае — на машине разработчика не должно храниться ценной информации, плюс должна быть резервная копия его данных.
Шифровальщики легко могут быть 0day, антивирус — не панацея, и находится далеко за первым эшелоном защиты. Чуть выше я отписал как бы поступил сам.
Посоветуйте, как защититься от vault?
Скрипты обфусцированы, и меняются чуть не каждый день, антивирус не спасёт (пару случаев было, но смогли восстановить данные). Запрет скриптов — не вариант, в стартовых доменных скриптах (которыми управляют вышестоящие администраторы домена) используются те же js/vbs/…
Скрипты обфусцированы, и меняются чуть не каждый день, антивирус не спасёт (пару случаев было, но смогли восстановить данные). Запрет скриптов — не вариант, в стартовых доменных скриптах (которыми управляют вышестоящие администраторы домена) используются те же js/vbs/…
Только запрет скриптов. Вышестоящим админам накрутить хвоста, чтобы учились работать с ГПО.
SRP. 5й пункт. Доменные скрипты тут не при чем, белые списки могут работать по путям, хешам, сертификатам…
Слишком велико разнообразие программ, применяемых у пользователей (домен большой, и доменов более десятка в общем). А уж какой безобразие у части этих программ — далеко не все ставятся в %програмфайлс%, какие-то в свою папку на системном диске, какие-то в других местах. Проблема глубже, чем кажется. Должна быть воля руководства, чтобы жёстко ограничить список софта, создать единые требования к вновь разрабатываемому ПО, и вот только после внедрения всего этого можно говорить про SRP. При наличии только отраслевых всяких АРМов, АС, АСУ, и прочего в количестве более нескольких тысяч разных программ — об этом только мечтать остаётся.
Вы хотите чтобы я вам посочувствовал? :) Понимаю, у вас беда, зоопарк. Но вы же спрашиваете что делать. Тогда вы и сами знаете ответ — победить зоопарк. Реально это или нет — не мне решать, но вопрос явно не технический.
Спасибо, но не настолько всё плохо, чтоб сочувствовать :)
Перефразирую вопрос: как в таких условиях защититься от vault (и подобных) техническими способами?
Перефразирую вопрос: как в таких условиях защититься от vault (и подобных) техническими способами?
Выше ответил же. SRP/AppLocker, в любом случае. Других нормальных средств не существует. Не проверять же все самому в песочнице, это невозможно.
Делайте блокировку запуска скриптов из определенных папок (темпы, рабочий стол, appdata), далее исключайте те папки, которые мешают запуску приложений, разносите компьютеры пользователей по разным OU исходя из политик безопасности и т.д…
Но да, это требует кропотливой работы.
Но да, это требует кропотливой работы.
Кидать вложения со скриптами в карантин — нормальным людям такое не присылают, а разработчиков можно включить в исключения.
скрипты прилетают почтой в архивах .zip, да ещё адресно как-то — бухгалтеру или экономисту приходит (от человека, находящегося в списке контактов при этом!) письмо с архивом, в котором «счёт за бла-бла-бла за такой-то месяц по таким-то условиям… куча букав.doc [тут куча пробелов].js
ESA режет прямо в архивах, запароленные можно отправлять туда же с уведомлением админу.
Что такое ESA? Нагуглить вменяемого не получается сходу.
Cisco Email Security Appliance или просто лучшая спаморезка на рынке.
Если антивирус управляется с центрального узла, то в нём самом заложена функция запрета локального изменения настроек антивируса. Если у Вас используется антивирус без данной полезной штуки, как Центр Администрирования Антивируса (просто от балды название, у каждого антивируса он по-своему называется), то стоит задуматься о переходе на другое решение.
Вот только производители ещё и предоставляют утилиту для удаления антивируса, например. Требующую админские права и ничего более.
Сносите это решето. Не припомню случаев, когда он находил вирусы.
Это все совершенно правильные действия, но они не отменяются необходимость нормального резидентного антивируса на рабочих местах. Просто чтобы попавшие в компанию зараженные файлы не выходили за ее пределы и не наносили ущерба клиентам и контрагентам. А то это любимое развлечение у бухгалтеров разослать полученный файл по списку рассылки со словами: «У вас этот документ открывается?».
Но из антивирусов SEP — худший вирус. Сделанные под российский рынок вирусы SEP не находит в принципе или находит с полугодовой задержкой.
Но из антивирусов SEP — худший вирус. Сделанные под российский рынок вирусы SEP не находит в принципе или находит с полугодовой задержкой.
А вариант свежего вируса не рассматривается? Неужели никогда не отлавливали свежие вирусы которых еще нет в базе?
Задача сисадмина — обеспечить бесперебойную работу организации, а не «быстро чинить возникающие проблемы».
Бог миловал, я избежал работы в компаниях, в которых требуется жестко ограничивать пользователя, чтобы он не дай бог не уложил себе машину. При этом я ни разу не видел, чтобы наличие пользователя в Local Admins как-либо вредило безопасности среды.
Это аргумент из разряда «я никогда не мыл руки перед едой и еще ни разу не болел из-за этого».
Тут два варианта. Либо вы работали исключительно с высококлассными админами, либо у вас профиль работы никак не связан с «обезьянами» с клавиатурой.
UPD. Про грязные руки выше не стал упоминать, у вас же гордое DevOps в профиле, и подумать не могу, что «просто повезло».
UPD. Про грязные руки выше не стал упоминать, у вас же гордое DevOps в профиле, и подумать не могу, что «просто повезло».
В целом, могу согласиться с обоими пунктами. Просто тюленей старались не брать, но Local Admins был в том числе и у бухгалтерии.
Просто тюленей старались не брать, но Local Admins был в том числе и у бухгалтерии.
Ну да, те бухгалтера, которые имея права локадмина однажды подвели всю компанию под монастырь, никогда и никому об этом не расскажут. Типичная ошибка выжившего.
Вот ровно сейчас (пока что)под этим комментарием находится ответ ↓
А никто не говорил, что на машине с 1С у бухгалтеров был админский доступ. На рабочем ноуте — хоть браузер амиго себе ставь, но 1С — на сервер через RDP. End of story.
Вы говорите совсем про другое. Доступ из вне по RDP совсем не то же самое, что работы внутри периметра.
Правильно эти истории начинаются так: «мы думали, что если у нас 1С через RDP, то бухгалтерам можно выдавать права локальных администратор на компьютерах и разрешать им ставить туда все, что угодно..»
Правильно эта история начинается так: все было сделано настолько грамотно, что даже при заражении трояном/шифровальщиком все, что можно было сделать — дернуть себе анус ничего.
Справедливости ради, 1с в РДП через сервер приложений обезопасить достаточно просто. По крайней мере от потери данных БД. А далее, как верно заметили, развернуть из бекапа зараженный хост с РДП можно очень быстро.
1С то вы обезопасите. Но бухгалтер к себе на комп поставить клиент-банк и будет ходить в него через браузер амиго. Зачем компании 1С, если у нее денег на счете нет?
Речь идет именно про доступ из-за периметра, например с домашнего кампа. Если бух унес домой токен для доступа к клиент-банку, зацепил дрянь и слил бабло со счета, то это преступная халатность. Внтури сети компании, конечно, никаких амигов быть не может.
Такие политики безопасности должны обеспечиваться не системным администратором, а руководством. Может, сисадмину еще стоит задуматься о том, как защититься от кражи ключей от клиент-банка бухгалтером, который хочет их украсть? Дойдет до того, что я открою ключи в блокноте и сфотографирую его.
Везет. Приходится давать ибо часто обновления различного ПО, но это реально самый проблемный отдел.
В каждой похожей теме находится какой-то девелопер, который начинает нести пургу про разработку. И бесполезно объяснять, что раз на раз не приходится и контор по разработке софта по определению меньше, чем контор этот софт использующих.
Я и админ и разработчик. Мне, и на некоторых проектах, с которыми я сотрудничал — на рабочей машине права урезаны, бекапы и все такое. А для разработки виртуалка с полными правами, делай что хочешь, сноси хоть всё, восстанавливай, и ставь себе хоть тонну библиотек.
Это, кстати, отличный метод, при котором и волки сыты и овцы целы. Когда у технических специалистов личные амбиции не хлещут через край и люди пытаются понять работу друг-друга, то всегда находят адекватные технические решения, устраивающие обе стороны.
Чуть выше, я писал про DMZ. Виртуалка по сути то же самое, верное решение.
По сети дольше :) Сети тоже разные ведь бывают.
Я считаю по другому.
Не согласен.Вероятно, просто ещё «не доросли». Не в смысле, что не понимаете, а в смысле, что не работали в реально сложной инфраструктуре, где проще отобрать права у всех и выдавать пресловутым «ИТ Специалистам» исключительно локального админа, по согласованию и с дисклеймером «сам сломал — сам чинишь, поддержку не дёргаешь». Банально затраты на поддержку сокращаются в разы — без админских прав реально в разы меньше что-то ломается у юзеров, в разы меньше заражений вируснёй и т.п.
Раздавать права кому попало, или использовать принципы BYOD можно только в компании, где тех.поддержки (в плане обслуживания ПК) нет, и каждый сотрудник сам обслуживает свой ПК.
Даже для BYOD есть решения, когда рабочая среда изолирована от личной в устройстве пользователя. Есть для смартфонов, есть для планшетов и ноутов. И только эту среду и будет обслуживать техподдержка. Подробности не помню, ранее на русскоязычном форуме (ныне закрытом уже) intel были статьи.
В остальном полностью поддерживаю.
В остальном полностью поддерживаю.
Хорошо написано (Я бы даже сказал, что все эти вещи очевидны и не требуют большого опыта для их осознания), но в дело вступают нюансы каждой конкретной фирмы\компании\шарашки и так далее.
Например там, где я работаю:
1. С Генеральным директором трудно спорить.
2. Очень трудно спорить с начальником IT-отдела, который больше программист 1С, чем эникейщик (про навыки системного администратора умолчу).
И в итоге, чтобы сделать как надо — надо полностью рассказывать что, зачем и почему. И всё равно во многих случаях будет «делай, как сказали».
А уж сказать пользователю «делай сам, ты должен это уметь» — это нарываться на ответы в стиле «делай ты, тебя для этого наняли», «я не умею» (стандартная отмазка, когда человек сам не хочет это делать), от начальника — «Иди и сделай» (хочется ему врезать за такой приказной тон, когда погружён в решение проблемы, у которой малый срок для решения и эту задачу он и ставил).
Самое ужасное — это от начальника слышать «иди, учи» и в очередной раз показывать то, что он с прошлого раза не запомнил (или не хотел запоминать).
Обновлять инфраструктуру? — Если компания не готова это купить, значит ей это не нужно.
Время на подумать и спланировать? — Ты должен был сделать это вчера. Или ещё лучше: предложи своё решение, но сделай как тебе сказали.
А во время факапов ничего не делающий админ как красная тряпка для быка. Адреналин подскакивает у всех, всем надо работать, а крайний — админ, который «а ну быстро чини». Хоть лекции всем устраивай, что в такие моменты лучше вообще не подходить и не отвлекать вместо наездов. Но неадекватных пользователей хватает и они не воспринимают объяснений.
Например там, где я работаю:
1. С Генеральным директором трудно спорить.
2. Очень трудно спорить с начальником IT-отдела, который больше программист 1С, чем эникейщик (про навыки системного администратора умолчу).
И в итоге, чтобы сделать как надо — надо полностью рассказывать что, зачем и почему. И всё равно во многих случаях будет «делай, как сказали».
А уж сказать пользователю «делай сам, ты должен это уметь» — это нарываться на ответы в стиле «делай ты, тебя для этого наняли», «я не умею» (стандартная отмазка, когда человек сам не хочет это делать), от начальника — «Иди и сделай» (хочется ему врезать за такой приказной тон, когда погружён в решение проблемы, у которой малый срок для решения и эту задачу он и ставил).
Самое ужасное — это от начальника слышать «иди, учи» и в очередной раз показывать то, что он с прошлого раза не запомнил (или не хотел запоминать).
Обновлять инфраструктуру? — Если компания не готова это купить, значит ей это не нужно.
Время на подумать и спланировать? — Ты должен был сделать это вчера. Или ещё лучше: предложи своё решение, но сделай как тебе сказали.
А во время факапов ничего не делающий админ как красная тряпка для быка. Адреналин подскакивает у всех, всем надо работать, а крайний — админ, который «а ну быстро чини». Хоть лекции всем устраивай, что в такие моменты лучше вообще не подходить и не отвлекать вместо наездов. Но неадекватных пользователей хватает и они не воспринимают объяснений.
Тогда нужно менять работу если так :)
Особенности национальной ИТ.
Вы сейчас как раз в состоянии вздрагивания от каждого телефонного звонка. Либо меняйте характер, либо меняйте компанию, в которой работаете. Ответ на этот вопрос искать вам, поскольку из вашего комментария непонятно, кто же больше виноват в ситуации. Возможно, вам просто стоит успокоиться, написать план работы на год и следовать ему, возможно стоит махнуть на работодателя рукой
Нет, 17 пункт не об этом. Потому что нюансы — по иерархии внутри компании (у нас есть стенд, где расписано, кто кому подчиняется) системный администратор — низшее звено, потому что цепочка такая:
Генеральный директор -> Начальник IT отдела -> 1С программист -> системный администратор.
Не знаю, почему так, но вот так сложилось исторически.
Как и прочие факторы сложились за всё время существования компании. Я работаю здесь около полутора лет, и с таким отношением начальства к IT сложно им объяснить, что хоть они начальство, но в IT им лучше не соваться, это моя территория и пусть признают мой авторитет. А то ответственность несу я, а решения принимаются ими.
Менять характер — это просто встать в штыки и разосраться с коллективом, в котором работаешь. Или же действовать потихоньку и неторопливо, за годы меняя мнение других работников о сисадмине и тем, чем он должен заниматься.
Менять работу — да, в последнее время чаще посещает эта мысль. Но поскольку статья — памятка для начинающих системных администраторов, то стоит принимать во внимание две вещи: опыт и размер заработной платы. Когда количество денег за количество работы перестанет удовлетворять и не будет компенсироваться получаемым опытом, значит точно пора менять работу.
Генеральный директор -> Начальник IT отдела -> 1С программист -> системный администратор.
Не знаю, почему так, но вот так сложилось исторически.
Как и прочие факторы сложились за всё время существования компании. Я работаю здесь около полутора лет, и с таким отношением начальства к IT сложно им объяснить, что хоть они начальство, но в IT им лучше не соваться, это моя территория и пусть признают мой авторитет. А то ответственность несу я, а решения принимаются ими.
Менять характер — это просто встать в штыки и разосраться с коллективом, в котором работаешь. Или же действовать потихоньку и неторопливо, за годы меняя мнение других работников о сисадмине и тем, чем он должен заниматься.
Менять работу — да, в последнее время чаще посещает эта мысль. Но поскольку статья — памятка для начинающих системных администраторов, то стоит принимать во внимание две вещи: опыт и размер заработной платы. Когда количество денег за количество работы перестанет удовлетворять и не будет компенсироваться получаемым опытом, значит точно пора менять работу.
Не работайте в клоаке, у вас очень странная иерархия в компании, если админ бесправное существо для обслуживания всех и вся, то бегите оттуда ни карьерного роста, ни проф. навыков ни новых знаний вам там не видать, так и погрязнете в переставлении ярлыков и собирании из кучи хлама чего-то рабочего. Лучшая структура для карьерного роста админа — это когда: исполнительный директор, фин. директор, начальник IT и начальник ИБ не подчиняются друг другу, терпеть друг друга не могут и отчитываются напрямую перед советом директоров, тогда и права настроены и регламент работ есть и безопасность на уровне и любой пользователь, не соответствующий занимаемой должности на ней не задержится, а уж первое же «делай, как сказали» наткнется на такой кипиш со стороны ИБ и IT, что директор 1000 раз подумает в следующий раз перед таким распоряжением, т.к. за него лишаться работы или садиться никто не будет. Статья отличное напоминание и для продолжающих админов, а так же для начальников IT департаментов и технических директоров, большинство пунктов универсальны и мало зависят от уровня иерархии. Редкий случай когда согласен со статьей по всем пунктам.
По поводу статьи: там есть упоминание начинающих, поэтому я, как начинающий, высказываюсь, что памятка больше для продолжающих и начальников IT. И директоров.
А по поводу клоаки — с опытом Вы не правы, светлые моменты тоже есть, и интересных задач хватало. И какой карьерный рост у офисного админа?
А по поводу клоаки — с опытом Вы не правы, светлые моменты тоже есть, и интересных задач хватало. И какой карьерный рост у офисного админа?
Как и у любого другого несколько распространенных путей:
1) Windows администратор с АД, контроллерами доменов, офисной автоматизацией, сертификатами MS, короче суровый энтерпрайз уровня обеспечения функционирования самой компании и ее подразделений.
2) *nix администратор — тут больше хостинги, облачные технологии, кластера, CDN — тот же энтерпрайз только в сторону обеспечения работы высоконагруженных и высокодоступных сервисов.
3) Сетевой администратор — работа ISP разных уровней, маршрутизация, коммутация, резервирование каналов, обеспечение высокой пропускной способности и низких задержек.
4) DBA — закопаться в базы данных разных типов.
5) Системный/сетевой архитектор — стык всего вышеперечисленного с пониманием архитектуры систем, сильных и слабых сторон разных решений с выбором что в данной конкретной ситуации лучше применить из огромного разнообразия.
6) Уход в ИБ в сфере IT — все вышеперчисленное, только с точки зрения защиты и проникновения, плюс куча бумажной работы по составлению регламентов, проверок, отчетов, имитации различных векторов атаки на компанию и т.п.
7) Остаться эникеем забить на проф развитие найти теплое место и заниматься другими делами в свободное от работы время.
8) Свой индивидуальный путь.
1) Windows администратор с АД, контроллерами доменов, офисной автоматизацией, сертификатами MS, короче суровый энтерпрайз уровня обеспечения функционирования самой компании и ее подразделений.
2) *nix администратор — тут больше хостинги, облачные технологии, кластера, CDN — тот же энтерпрайз только в сторону обеспечения работы высоконагруженных и высокодоступных сервисов.
3) Сетевой администратор — работа ISP разных уровней, маршрутизация, коммутация, резервирование каналов, обеспечение высокой пропускной способности и низких задержек.
4) DBA — закопаться в базы данных разных типов.
5) Системный/сетевой архитектор — стык всего вышеперечисленного с пониманием архитектуры систем, сильных и слабых сторон разных решений с выбором что в данной конкретной ситуации лучше применить из огромного разнообразия.
6) Уход в ИБ в сфере IT — все вышеперчисленное, только с точки зрения защиты и проникновения, плюс куча бумажной работы по составлению регламентов, проверок, отчетов, имитации различных векторов атаки на компанию и т.п.
7) Остаться эникеем забить на проф развитие найти теплое место и заниматься другими делами в свободное от работы время.
8) Свой индивидуальный путь.
В корпорациях тоже хватает своего веселья, а вакансий на всех не хватало даже в сытые времена.
Хватает везде веселья просто разных уровней. Вот с вакансиями не соглашусь, IT спецов дефицит, к хорошим спецам компании сами на собеседования ходят, рынок в отрасли как раз за работниками, особенно сейчас, бакс подскочил — многие ушли на аутсорс за $ работать, так что при наличии рук и головы на местном рынке выбор есть, чуть подупал спрос в Европе, но при хорошем резюме и знании языка админу устроиться не проблема даже удаленно. Можете сами проверить, составьте хорошее резюме по выбранному стеку технологий и разошлите в топ 5 компаний на рынке РФ, думаю из 4х с вами как минимум свяжутся и назначат первичное интервью.
Я периодически мониторю HH по ключевым словам из мира ентерпрайза и с каждым месяцем вакансий всё меньше — единицы вместо десятков в 2013 году. Выдача уже стала похожа на аграрную Новую Зеландию с населением в 4.5 миллиона человека.
На HH специалистов в сфере IT ищут редко, это из разряда «наберут по объявлениям». Крупные компании размещают вакансии у себя на ресурсах, по-меньше ищут на SO, linkedin или просматривая проекты нужной направленности на гитхабе, много предложений приходит с форумов по соответствующим технологиям. Как утрированный пример, если вы тусуетесь на наге, постоянно там пишете, отвечаете на вопросы и вообще «в тусовке» то с большой долей вероятности получите в личку оффер по сетям, вы спец по zabbix, постоянно висите на их форуме, у вас куча своих доделок, доработок и модулей, участвуете в багфиксинге — если компании нужен спец по мониторингу вы получите предложение не выходя за форум, так же у CDNщиков, DBA, цисководов, джунипероводов и прочих прочих, я и все мои знакомые админу находят себе работу или проекты именно на таких площадках либо через сарафанное радио, на HH в основном требования вида:
Требуется системный администратор со знанием конструкции ракетоносителей, умением играть на балалайке, знанием сетей не ниже CCIE, знание Linux не ниже RHCE, Windows не менее 30 компетенций, опытом написания драйверов под Solaris, умение чинить принтеры Brother, знание С/Java/1C обязательны, знание бухучета, не нормированный рабочий день, ведение склада и прокладка кабеля. Уверенный клингонский и знание устройств подводных лодок будет плюсом за 30-40К рублей по результатам собеседования.
Требуется системный администратор со знанием конструкции ракетоносителей, умением играть на балалайке, знанием сетей не ниже CCIE, знание Linux не ниже RHCE, Windows не менее 30 компетенций, опытом написания драйверов под Solaris, умение чинить принтеры Brother, знание С/Java/1C обязательны, знание бухучета, не нормированный рабочий день, ведение склада и прокладка кабеля. Уверенный клингонский и знание устройств подводных лодок будет плюсом за 30-40К рублей по результатам собеседования.
Такие закидоны может себе позволить какой-нибудь Гугол, а обычная компания попадёт в категорию "Работать в нашем банке — большая честь".
Кстати, на iXBT когда-то был неплохой раздел с вакансиями, но сейчас там полный тухляк, как и на большинстве профильных ресурсов. А неадекват LinkedIn тоже освоил — хрюши постоянно лезут дружить с пустым профилем и кидают всякий мусор.
Кстати, на iXBT когда-то был неплохой раздел с вакансиями, но сейчас там полный тухляк, как и на большинстве профильных ресурсов. А неадекват LinkedIn тоже освоил — хрюши постоянно лезут дружить с пустым профилем и кидают всякий мусор.
В том числе и на iXBT, каждый знает в своей специфике такие профильные ресурсы. Неадекват везде есть, но есть и интересные варианты, во всяком случае не как на НН, где последний вменяемый работодатель бывал так году в 12. А по закидонам как раз встречаю чем меньше компания тем больше закидонов, у крупных четко определена позиция и требования под нее, ну или мне так везло. Про честь работать в банке статья к сожалению прошла мимо меня, увидел только по вашей ссылке, улыбнула, но в жизни встречал у реальных компаний похожие закидоны да и встречаю регулярно. Одно время держал резюме в открытом доступе «что бы было» с четко указанной компенсацией, каких только закидонов не почитал, регулярно писали эйчары уверенные что компансация указана от фонаря и столько платить не могут да и вообще у меня скилов маловато работать в мегакомпании из 20 сотрудников и 2х серверов (как это я windows не знаю и 1C не умею настраивать и знать и уметь не хочу), убрал резюме нафиг из открытого доступа, теперь только по рекомендациям работаю, пока на заработки не жалуюсь, работы хватает.
Как-то не заметил отсутствия интересных вакансий на HH, там есть Яндекс с Мегафоном и когда-то выкладывали позицию в премьер-поддержку Microsoft. А из профильного помню набор в Cisco TAC на certification.ru, но не факт что это было только там.
На iXBT есть ещё одна эпичная тема, герой которой теперь радует Хабр своей неповторимой манерой общения.
На iXBT есть ещё одна эпичная тема, герой которой теперь радует Хабр своей неповторимой манерой общения.
Эти монстры везде есть включая хабровский хантим, благополучно переехавший в круги, но соотношение интересных вакансий и всякой дряни вида девочка загуглила вакансию на сисадмина и первые 2 страницы гугла скопипастила в требования — на НН не в пользу ресурса, тут вон ниже пишут что в отрасли все плохо и работы нет, видать личный опыт играет роль сильно, я по своему сужу и на НН давно не суюсь, с года 4 назад был подписан на то что удаленка, но в основном по рассылке небыло ничего стоящего втечении года, так совсем отписался, а теперь как-то и не нужно.
Вы не правы. Рынок труда сисадминов сейчас в очень плачевном состоянии.
http://sysadmins.ru/topic422060.html
https://gist.github.com/varnav/1ece5892b0e8d5c9cc7b
http://sysadmins.ru/topic422060.html
https://gist.github.com/varnav/1ece5892b0e8d5c9cc7b
Я человека заказчику пол года искал при компенсации вдвое выше средней по региону, не хватает админов катастрофически, нет приходит народу много но один не знает чем dns от dhcp отличается, другой мультикаст с юникастом путает, третий шторм на L3 по макам ловит, нужен был сетевик до L3 включительно с базовыми знаниями *nix в небольшой ISP. Причем без особых излюбонов ни тебе MPLS, ни FCoE, несколько плоских сетей, между ними обычный OSPF на одну area, да 2 FV пира на BGP, даже без IPv6, взяли человека из другого региона, оплатили жилье и переезд. У вас ссылка по данным запросов по МСК, на сколько я знаю в тот же Яндекс админы на постоянной основе требуются (https://yandex.ru/jobs/vacancies/maintenance/adv_technology_admin/), переезд оплатят и на интервью билеты на самолет закажут, наверно от того что админов рядом так дофига что выбрать есть из кого. Еще одна контора местная меня уже год схантить пытается, тоже видать от обилия спецов, не вижу я кризиса в отрасли. Тут либо живете в регионе где совсем все туго и переезжать не вариант ну вот совсем, а англ. не знаете и знать не хотите, либо не там ищите.
Если имеется узкая или редкая специализация, тогда конечно можно найти работу, но не совсем уж на перифирии.
А среднестатистическим админам сложнее, потому что их сейчас валом.
А среднестатистическим админам сложнее, потому что их сейчас валом.
Что вы имеете в виду под среднестатистическим админом, просто в моем описании — это базовые знания сетей, даже не CCNA. Да обычно нужны знания выше эникея, куда втыкается мышка и почему «интернет» со стола пропал, но эти знания можно получить самостоятельно при желании, просто по-мониторить рынок, посмотреть что требуется и подучить целенаправленно — это и входит в понятие умение обучаться. Те же сети из примера можно неплохо понять прочитав цикл статей прямо не выходя с хабры «Сети для самых маленьких». Чтоб быть востребованным, надо специализироваться — это да, но так в любой специальности, пока ты делаешь то же что и все, то и получаешь как все.
Базовые знания сетей, и виндовых сервисов, типа active directory, умение настроить прокси-сервер, роутер итд. Плюс умение оперативно гуглить и понимать неизведанное.
Размыто, с базовыми знаниями сетей очень часто люди нужны в ISP, но эти знания должны реально быть, не «я сеть на винде настроить могу», а понимание протоколов, уровней OSI хотя-бы чтоб не искать маки на L3, а маршрутизацию на L2, а если еще знаете что такое QOS, как работает QinQ, немного радиосети, немного динамическую маршрутизацию, то шлите резюме в ближайшего к вам провайдера, на FLS точно возьмут, а дальше пол года усердного обучения у местного админа, вместо игр в доту в свободное время и вы зам начальника, зам админа или самостоятельный админ в филиале.
С виндой чуть сложнее, реально много студентов которые могут то-же самое, тут нужны компетенции или какая-то своя фишка, типа умею хорошо настраивать Lync или там отлично понимаю TMG, просто попробуйте у себя развернуть и настроить пробную версию, десяток распространенных сервисов, не входящих в программу обучения вуза и вы тоже нужны работодателю.
Роутер — это вообще понятие растяжимое, тот же JuniperMX — это тоже роутер или Cisco ASR, если их можете настроить — поздравляю вы сетевик и меняйте желаемую вакансию в резюме, сетевики много где нужны и важны, и на хостингах и в облаках и в ISP.
Умение гуглить для любого IT спеца даже не обсуждается, без этого его потолок винду переставлять и принтеры заправлять.
С виндой чуть сложнее, реально много студентов которые могут то-же самое, тут нужны компетенции или какая-то своя фишка, типа умею хорошо настраивать Lync или там отлично понимаю TMG, просто попробуйте у себя развернуть и настроить пробную версию, десяток распространенных сервисов, не входящих в программу обучения вуза и вы тоже нужны работодателю.
Роутер — это вообще понятие растяжимое, тот же JuniperMX — это тоже роутер или Cisco ASR, если их можете настроить — поздравляю вы сетевик и меняйте желаемую вакансию в резюме, сетевики много где нужны и важны, и на хостингах и в облаках и в ISP.
Умение гуглить для любого IT спеца даже не обсуждается, без этого его потолок винду переставлять и принтеры заправлять.
По ссылке сотни человек жалуются на плохую ситуацию — расскажите это им.
Эти сотни человек зачастую не могут объяснить чем коммутатор от маршрутизатора отличается и почему витая пара витая. Это естественный путь рынка отказываться от подобных «специалистов» в пользу тех, кто разбирается.
Когда ездил в общественном транспорте я наблюдал сотни человек в день жалующихся на правительство и умеющих лучше всех управлять государством играть в футбол или лечить других не являясь докторами, я к тому, что жалобщики есть везде и нифига это не показатель. Лично проводил эксперимет, когда очень нужны были сотрудники взяли 5 человек на испытательный срок с условием за месяц подтянуть знания сетей, через месяц не оставили ни одного, все забили что-то изучать, взяли еще раз трех новых — остался работать один, потом этот один привел еще 2х адекватных работников среди знакомых ему студентов, кто тоже смог прочитать документацию самостоятельно и относился к работе с интересом, причем этот один через год ушел в другую компанию на должность главного администратора, прошло 5 лет, сейчас иногда пересекаемся как коллеги и у него та-же проблема, не может найти адекватных сотрудников к себе в отдел, из тех что он привел один ушел вообще из IT, понял, что не его, второй работает в той же компании, вырос до начальника отдела радиосетей. Можем призвать в тред представителей компаний, ведущих блоги на хабре, чтоб рассказали как у них с нахождением сотрудников и полностью ли укомплектованы отделы.
В городах численностью населения меньше миллиона, лучшей альтернативы зачастую не бывает.
Кто хочет — ищет возможность, кто не хочет — причину. Вот прям во всем городе ни одной компании с адекватной структурой и руководством? Фриланс, аутсорс и переезд запрещен надзирателем? Тогда да, альтернатив нет, в остальных случаях работника все устраивает и ему лень оторвать зад от стула, а для любой неприятности всегда найдется виноватый где-то там.
Компании может и есть, а вот вакансий, увы нет. А фриланс и переезд — это уже другая история. Речь шла про обычную работу на ставке.
Может и нет вакансии вот прямо сейчас, но компания все же не одна, если крупная, то вполне могут нанять на перспективу, да и не все выкладывают вакансии в открытый доступ, ищут среди знакомых и «тусовки», составляете нормальное резюме по своим умениям пишете на ящик компании, я такой-то такой-то, вот мое резюме, хотел бы у вас работать нет ли в данный момент открытых вакансий? Может прям ща админ и не нужен, но нужен помощник админа, человек в саппорт и т.п. внутри компании уже проще двигаться, главное зацепиться и будете первым кандидатом, когда должность все-же откроется, при условии что работали вы хорошо и с обязанностями справлялись.
Крайне прискорбно, то, что, как вы сказали, не все вакансии в открытом доступе. Я уже пятый год тружусь в IT в своем городе и до сих пор не видел возможности к этой «тусовке» примкнуть, или хотя бы ее найти.
Тем более сейчас кризис, и все держатся на своем месте до последнего. Я конечно не сижу так просто. За прошедший год пытался попасть в две крупных компании, но к сожалению, находились люди с большим, чем у меня, опытом.
Тем более сейчас кризис, и все держатся на своем месте до последнего. Я конечно не сижу так просто. За прошедший год пытался попасть в две крупных компании, но к сожалению, находились люди с большим, чем у меня, опытом.
Для начинающего проще всего познакомиться со спецами внутри компаний на конференциях — это пожалуй единственное полезное для чего они нужны, ну не считая пожрать на халяву и сменить обстановку. Смотайтесь на пару тематических конф, возможно даже за свой счет, особых знаний вы оттуда не привезете, а вот контактами обзаведетесь, если на кофебрейках общаться с соседями и выступающими, во всяком случае это самый просто способ без знакомств пообщаться со спецами из конкретной, интересной вам, компании.
Иерархия зависит и от размера организации. Всё-таки заголовок статьи говорит об офисном сисадмине. А в моём понимании — это не такой уж и большой парк машин (до сотни?), который обслуживает один человек.
Ну и стенд с иерархией к счастью расходится с реальностью чуточку — я не нахожусь в подчинении программиста 1С.
Да и часто не иерархия задействуется, а кумовство и дружба, где новички проигрывают тем, кто давно в компании работает.
Ну и стенд с иерархией к счастью расходится с реальностью чуточку — я не нахожусь в подчинении программиста 1С.
Да и часто не иерархия задействуется, а кумовство и дружба, где новички проигрывают тем, кто давно в компании работает.
Вы работаете всего полтора года и просто ещё не заработали авторитет. Для того чтобы облегчить свою участь разрабатывайте методики, инструкции, СТП в которых чётко пропишите свои и остальных сотрудников обязанности и порядок работы. Это и в глазах начальства вас поднимет на новый уровень. Вы перестанете быть единственным исполнителем, а перейдёте к управлению процессом. И если вы хотите что-то менять, приготовьтесь быть для всех плохим. Но тут нужна поддержка руководства. Посоветуйтесь с вашим непосредственным начальником и с ним (или без него, если не согласится) обратитесь к начальнику ОИТ с просьбой переподчинить вас ему непосредственно. Аргументация — 1С-специалист недостаточно компетентен в области администрирования, да и вообще, оно ему не нужно, только лишняя ответственность.
Возникла путаница. Мой начальник — начальник отдела IT. Программисту 1С я не вхожу в прямое подчинение.
И да, правильно говорите, у самого такие мысли, которые разбиваются об «но тут нужна поддержка руководства».
Ещё может возникнуть впечатление, что я Д'Артаньян, а все г… вардейцы кардинала, но нет, не всё так плохо, я пишу лишь про минусы. Про плюсы упоминал вскользь (в плане опыта — его я получаю всё же, и это не эникейство, а реальный опыт работы с разными серверами).
И да, правильно говорите, у самого такие мысли, которые разбиваются об «но тут нужна поддержка руководства».
Ещё может возникнуть впечатление, что я Д'Артаньян, а все г… вардейцы кардинала, но нет, не всё так плохо, я пишу лишь про минусы. Про плюсы упоминал вскользь (в плане опыта — его я получаю всё же, и это не эникейство, а реальный опыт работы с разными серверами).
Тогда «описывайтесь» стандартами со всех сторон. СТП направляйте на рассмотрение официально установленным порядком, согласно которому вам должны давать аргументированные отказы в письменном виде либо соглашаться с вашими предложениями. Тогда для того, чтобы вас нагнуть, нужно будет нарушить собственноручно подписанные стандарты, а это чревато срывом управления и нормальный руководитель на такое не пойдёт. Если вы в себе уверены, вообще старайтесь всё переводить в письменный вид: разъяснения пользователям, обращения к руководству и т.д. Это сложно и долго, но зато ваша деятельность строго формализована и если уж вы что-то делаете сверх того, что прописано, то это вы уже делаете одолжение и все это понимают, любят вас и уважают :)
>>трудно спорить с начальником IT-отдела, который больше программист 1С, чем эникейщик
Зеркальная ситуация: начальник Сис.Админ, а я — программист 1С. Это какой то грёбаный Адъ! Я все время должен доказывать ему, что виновата «не ваша 1С». Если есть любая проблема — ответ один: иди разбирайся, это ваша 1С! Если скажешь — найн, то сразу же — докажи!!! Вот типовой случай: тормозит сервер, на нем 1 база (Карл, ОДНА!) с парой тройкой активных сеансов, которые вообще ни о чем. Смотришь в Activity Monitor SQL нагрузку на подсистему ввода-вывода, там одни ожидания WRITELOG и LOGBUFFER. Показываешь, что время отклика журнала транзакций с диска в районе 5000(!!!) мс, и получаешь ответ — и что? Ну и что? Это в вашей 1С запросы «тяжелые» :) А то что утилита, которая мониторит рэйд показывает, что один диск вылетел, и включился рибилд — это ничего страшного. Ну вообщем и все вот ровно в таком духе. Самое ужасное, что я должен, просто должен всегда ДОКАЗЫВАТЬ с пруфами к сайту microsoft, к 1С, что да — вот это, так.
Зеркальная ситуация: начальник Сис.Админ, а я — программист 1С. Это какой то грёбаный Адъ! Я все время должен доказывать ему, что виновата «не ваша 1С». Если есть любая проблема — ответ один: иди разбирайся, это ваша 1С! Если скажешь — найн, то сразу же — докажи!!! Вот типовой случай: тормозит сервер, на нем 1 база (Карл, ОДНА!) с парой тройкой активных сеансов, которые вообще ни о чем. Смотришь в Activity Monitor SQL нагрузку на подсистему ввода-вывода, там одни ожидания WRITELOG и LOGBUFFER. Показываешь, что время отклика журнала транзакций с диска в районе 5000(!!!) мс, и получаешь ответ — и что? Ну и что? Это в вашей 1С запросы «тяжелые» :) А то что утилита, которая мониторит рэйд показывает, что один диск вылетел, и включился рибилд — это ничего страшного. Ну вообщем и все вот ровно в таком духе. Самое ужасное, что я должен, просто должен всегда ДОКАЗЫВАТЬ с пруфами к сайту microsoft, к 1С, что да — вот это, так.
Несмотря на то, что я по ту сторону баррикад, я Вас вполне понимаю.
Мне тоже приходится доказывать, что это не сервер виноват, все показатели в норме, всё работает в штатном режиме, мониторинг не показывает ничего аномального, все остальные приложения работают стабильно и вообще никаких проблем и ошибок в журналах нет.
И я бы очень хотел, чтобы мне давали аргументированный ответ, как Вы приводите, потому что я не DBA, чтобы самому разбираться, что не так в 1C 7.7 и MSSQL 2000. Но когда мне программист 1С говорит «перезагрузи сервер, потому что прошлый сисадмин так делал и после этого всё снова нормально работало». И ладно бы если только сервер SQL (рестарта службы ему мало?), так ещё и терминальные серверы надо перезагружать, потому что с них основная масса пользователей заходит в 1С (ему мало завершения процессов 1С?).
Тут просто вопрос квалификации и знаний. У кого их больше, тот и считает себя правым. У кого их нет — компенсирует это тем, что старше и выше по должности.
Мне тоже приходится доказывать, что это не сервер виноват, все показатели в норме, всё работает в штатном режиме, мониторинг не показывает ничего аномального, все остальные приложения работают стабильно и вообще никаких проблем и ошибок в журналах нет.
И я бы очень хотел, чтобы мне давали аргументированный ответ, как Вы приводите, потому что я не DBA, чтобы самому разбираться, что не так в 1C 7.7 и MSSQL 2000. Но когда мне программист 1С говорит «перезагрузи сервер, потому что прошлый сисадмин так делал и после этого всё снова нормально работало». И ладно бы если только сервер SQL (рестарта службы ему мало?), так ещё и терминальные серверы надо перезагружать, потому что с них основная масса пользователей заходит в 1С (ему мало завершения процессов 1С?).
Тут просто вопрос квалификации и знаний. У кого их больше, тот и считает себя правым. У кого их нет — компенсирует это тем, что старше и выше по должности.
Вы пишите: «мониторинг не показывает ничего аномального». Если я включу моего начальника, то сразу вопросы: что собиралось, чем, какие цифры, за какое время? И вот за все это время, Вы не выявили ничего-ничего? Прямо все идеально, а сервер — тормозит? «не верю» (с). Смотрите очереди к дискам в ОС, наличие доступной ОП. Если все гут, значит нужно промониторить механизм ожиданий SQL Server'а: на каких типах ресурсов возникают самые большие ожидания. Как выясните нужно дальше оценить какие типы ожиданий самые большие. Исходя из этого далее можно пытаться что-то делать, а не сервер постоянно перезагружать (рестарта службы ему не мало, в случае если у вас по памяти ничего больше не течет). Естественно, что все регламентные задания на уровне СУБД с базами должны выполнятся, сам скуль должен быть минимально настроен, как и сервер Win. По поводу перезагрузки терминальных серверов: а если Вы их не перезагружаете, что происходит? Я так понимаю же, все таки, что-то происходит, коли Вы их перезагружаете? Наверное, от этого и надо начинать плясать.
И еще вы пишите, что вы — не DBA. Я тоже, и не системный администратор. Но имея опыт постоянного и в хвост и в гриву, приходится в части доказательств, разбираться на уровне, хотя бы достаточном, чтоб от меня отвязались :) Я просто для себя выработал такой кейс: если мне говорят — ДОКАЖИ, мне мое расследование нужно в конце обязательно закончить словами «что и следовало доказать». Исходя из этого, я и выстраиваю свою линию защиты, т.к. априори я — виноватый. Напр., в вашем случае, я бы подготовил ответ на вопросы, которые я Вам задал выше. Но опять же, Вы считаете, что это не ваши обязанности. А я, напр., тоже не считаю это своими обязанностями. За код ответить готов, и отвечаю. Но постоянная позиция — твой код — причина всех бед, немного выбешивает. Хочется, все таки, от системного администратора немного более глубокого погружения в тему мониторинга элементарной загрузки оборудования средствами самого Win.
И еще вы пишите, что вы — не DBA. Я тоже, и не системный администратор. Но имея опыт постоянного и в хвост и в гриву, приходится в части доказательств, разбираться на уровне, хотя бы достаточном, чтоб от меня отвязались :) Я просто для себя выработал такой кейс: если мне говорят — ДОКАЖИ, мне мое расследование нужно в конце обязательно закончить словами «что и следовало доказать». Исходя из этого, я и выстраиваю свою линию защиты, т.к. априори я — виноватый. Напр., в вашем случае, я бы подготовил ответ на вопросы, которые я Вам задал выше. Но опять же, Вы считаете, что это не ваши обязанности. А я, напр., тоже не считаю это своими обязанностями. За код ответить готов, и отвечаю. Но постоянная позиция — твой код — причина всех бед, немного выбешивает. Хочется, все таки, от системного администратора немного более глубокого погружения в тему мониторинга элементарной загрузки оборудования средствами самого Win.
Единственное узкое место — SQL (память\диски — вообще не под нагрузкой, как и сеть. Точнее, я даже не знаю, как SQL 2000 работает с памятью больше 2 гигабайт, ибо AWE активирована, под процесс выделяется столько, сколько указана верхняя граница, но задействуется ли — непонятно). Согласен, надо разбираться, что там и как происходит, но я не знаю, с какой стороны подступиться, потому что 1С с этим сервером работает (а вникать в работу 1С при двух программистах 1С...) и на нём только SQL и крутится. Сам сервер Ок. Происходит что-то внутри SQL.
При этом, и программист, и начальник признают проблему — они знают, что это косяки между SQL и 1С. Просто точно так же не вникают во все тонкости процессов SQL и вместо причины (как минимум оптимизировать код всего, что им доступно — но нет времени, потому что начальство постоянно ставит новые задачи и не хватает упорства продавить начальство на рефакторинг) устраняют следствия. А устраняют радикально — перезагрузками серверов (как прошлый сисадмин приучил их, как я понял).
И вот это полный атас — в итоге у программиста полностью нарушены причинно-следственные связи в компьютерной сфере и он умудряется мне давать советы (вообще, по работе, а не в данном случае) как и что делать, основываясь на своих наблюдениях со стороны: «я видел эту проблему, другой сисадмин решал её так, после этого было всё хорошо, значит помогло и это верный путь её решения».
Для устранения следствий достаточно перезапустить службу SQL. Пользовательские сессии сами отвалятся и сеансы 1С вылетят с ошибкой (перед рестартом обычно всех выгоняют в добровольном порядке словами «всем выйти из 1С»). Но как не разбирающимся в процессах Windows людям объяснить, что этого достаточно? Это как объяснять несостоятельность теории эфира тем, кто искренне верит в неё.
Для устранения причины надо быть программистом 1С и иметь время на это. А времени у них нет. Зато есть оптимизм, что уж в данный-то раз точно косяк Windows, а не SQL.
Печально всё это.
При этом, и программист, и начальник признают проблему — они знают, что это косяки между SQL и 1С. Просто точно так же не вникают во все тонкости процессов SQL и вместо причины (как минимум оптимизировать код всего, что им доступно — но нет времени, потому что начальство постоянно ставит новые задачи и не хватает упорства продавить начальство на рефакторинг) устраняют следствия. А устраняют радикально — перезагрузками серверов (как прошлый сисадмин приучил их, как я понял).
И вот это полный атас — в итоге у программиста полностью нарушены причинно-следственные связи в компьютерной сфере и он умудряется мне давать советы (вообще, по работе, а не в данном случае) как и что делать, основываясь на своих наблюдениях со стороны: «я видел эту проблему, другой сисадмин решал её так, после этого было всё хорошо, значит помогло и это верный путь её решения».
Для устранения следствий достаточно перезапустить службу SQL. Пользовательские сессии сами отвалятся и сеансы 1С вылетят с ошибкой (перед рестартом обычно всех выгоняют в добровольном порядке словами «всем выйти из 1С»). Но как не разбирающимся в процессах Windows людям объяснить, что этого достаточно? Это как объяснять несостоятельность теории эфира тем, кто искренне верит в неё.
Для устранения причины надо быть программистом 1С и иметь время на это. А времени у них нет. Зато есть оптимизм, что уж в данный-то раз точно косяк Windows, а не SQL.
Печально всё это.
«ибо AWE активирована» < — оооох… Я надеюсь Вы не в историческом музее работаете? :) Про 2000 скуль я вам вряд ли что-то могу сказать, ибо в годы его рассвета, я еще не работал. Но кое-какие направления для дум может и дам, исходя из гипотезы, что с кодом все хорошо, а горло — именно в настройках.
1. У вас регламентные операции с БД на самом скуле выполняются? Статистика как обновляется? Не асинхронно ли случайно? В каких-то древних версиях скуля при таком виде обновлений он тек по памяти.
2. Как организована дисковая подсистема? Файлы mdf и ldf размещены на разных дисковых массивах? Диск (-ая подсистема) журнала транзакций должна быть «более отзывчивой», т.е. требования к скорости повышены. Если все так — то хотелось бы взглянуть на времена отклика обоих файлов в момент тормозов, и в обычные моменты. Кстати, проверьте заодно, что эти файлы не сжимаются.
3. Модель восстановления самой базы какая? Если ее в simple перевести — тормоза такие же?
4. Если ОС Win 2003 или меньше, то поглядите выровнены ли сектора дисков по границе 1024Кб и отформатированы ли с размером блока 64Кб?
5. MAXDOP = 1?
1. У вас регламентные операции с БД на самом скуле выполняются? Статистика как обновляется? Не асинхронно ли случайно? В каких-то древних версиях скуля при таком виде обновлений он тек по памяти.
2. Как организована дисковая подсистема? Файлы mdf и ldf размещены на разных дисковых массивах? Диск (-ая подсистема) журнала транзакций должна быть «более отзывчивой», т.е. требования к скорости повышены. Если все так — то хотелось бы взглянуть на времена отклика обоих файлов в момент тормозов, и в обычные моменты. Кстати, проверьте заодно, что эти файлы не сжимаются.
3. Модель восстановления самой базы какая? Если ее в simple перевести — тормоза такие же?
4. Если ОС Win 2003 или меньше, то поглядите выровнены ли сектора дисков по границе 1024Кб и отформатированы ли с размером блока 64Кб?
5. MAXDOP = 1?
Поскольку я не DBA и изначально сама база SQL — не мой головняк (только её окружение — хостовая машина и ОС), то вот мои ответы:
1. Единственное, что я знаю — джобы DBINDEX и DBDEFRAG.
2. VHDX статичного размера 60 Гб на SAS2 дисках (аппаратный рейд 0). Система и база — всё на одном диске (тут правило «Если компания не готова это купить — значит ей это не нужно»). И я, и мой начальник в курсе и понимают, что надо на разные диски разносить всё это дело.
3. Без понятия.
4. Виртуальная машина Windows Server 2012R2 на такой же хостовой.
5. Не знаю, что это такое.
По поводу дисков и всего остального — я новичок в этом деле и знаю, что что-то делаю не так, но нет старшего товарища, который бы видел, где и что я сделал не так. Поэтому учусь на своих ошибках и гугл тут мало поможет — он мне не скажет, какое из решений оптимальное, а какое — вредные советы.
И я понимаю связь между размером блока на реальном диске и виртуальном. Но я не знаю, какой размер оптимален именно для базы скуля или базы 1с.
И Ваше предположение «с кодом всё хорошо» неверно — нет, плохо, и весь IT-отдел в курсе. Старый код не оптимален, но используется много где. Про качество нового кода не знаю, но мои коллеги вряд ли скажут, что код, который они пишут — говно.
1. Единственное, что я знаю — джобы DBINDEX и DBDEFRAG.
2. VHDX статичного размера 60 Гб на SAS2 дисках (аппаратный рейд 0). Система и база — всё на одном диске (тут правило «Если компания не готова это купить — значит ей это не нужно»). И я, и мой начальник в курсе и понимают, что надо на разные диски разносить всё это дело.
3. Без понятия.
4. Виртуальная машина Windows Server 2012R2 на такой же хостовой.
5. Не знаю, что это такое.
По поводу дисков и всего остального — я новичок в этом деле и знаю, что что-то делаю не так, но нет старшего товарища, который бы видел, где и что я сделал не так. Поэтому учусь на своих ошибках и гугл тут мало поможет — он мне не скажет, какое из решений оптимальное, а какое — вредные советы.
И я понимаю связь между размером блока на реальном диске и виртуальном. Но я не знаю, какой размер оптимален именно для базы скуля или базы 1с.
И Ваше предположение «с кодом всё хорошо» неверно — нет, плохо, и весь IT-отдел в курсе. Старый код не оптимален, но используется много где. Про качество нового кода не знаю, но мои коллеги вряд ли скажут, что код, который они пишут — говно.
Виртуализация семеры на 2000 скуле, который в свою очередь завиртуализирован на 2012 сервере, который тоже виртуализирован? :) Ваш случай — это вершина айсберга по степени своей плохопахнущей массы, т.к. все расследования нужно начинать с самого сервера виртуализации. Внутри виртуалки смотреть особо смысла нет, ибо она может показывать не верь глазам своим что. А произвести диагностику проблемы в виртуалке в полной мере у вас не получится. Вам для начала нужно откатить сервер скуля на железо, и попытаться там продиагностироваться с учетом вышесказанного.
Как-то Вы переборщили с Икзибитом :) Это в 2016 можно будет HyperV на гостевой ОС поднимать, в 2012 такое невозможно.
Есть тестовый сервер, где скуль на реальном железе. У него 16 GB оперативки против 10 у виртуального сервера. Виртуальный на SSD, реальный — HDD. Точнее, у тестового операционка на SSD, база на HDD. Виртуальный в VHDX, который на SSD.
На тестовом установлена 2008R2 (грубо говоря — бывший боевой).
И вот на тестовом производительность хуже, чем на виртуальном.
Я понимаю, что частичноплохопахнущая масса айсберг омывается канализационными стоками водами, за которые отвечаю я, но когда проблемы с базой и входом в 1С начинаются во время выполнения сложных вещей в самой 1С — извините, это не ко мне, пусть программисты разбираются, что за код они такой накрутили.
То есть да, было бы круто и полезно во всём разобраться и со своей стороны сделать всё, чтобы было как надо, но… мне ставят другие задачи и рабочее время трачу на их выполнение. А чтобы заняться этим факультативно — надо бы понимать хотя бы направление, в котором стоит двигаться.
Есть тестовый сервер, где скуль на реальном железе. У него 16 GB оперативки против 10 у виртуального сервера. Виртуальный на SSD, реальный — HDD. Точнее, у тестового операционка на SSD, база на HDD. Виртуальный в VHDX, который на SSD.
На тестовом установлена 2008R2 (грубо говоря — бывший боевой).
И вот на тестовом производительность хуже, чем на виртуальном.
Я понимаю, что частично
То есть да, было бы круто и полезно во всём разобраться и со своей стороны сделать всё, чтобы было как надо, но… мне ставят другие задачи и рабочее время трачу на их выполнение. А чтобы заняться этим факультативно — надо бы понимать хотя бы направление, в котором стоит двигаться.
>>И вот на тестовом производительность хуже, чем на виртуальном.
Так надо же для начала разобраться с железневым. На нем вы хотя бы достоверно сможете определить узкое место. Пока я вижу, что на виртуальном «само рассосалось» (по крайне мере лучше, чем было на железе), что не обычно, т.к. обычно (сори), все с точностью да наоборот. Тут на вскидку, два варианта видятся:
— либо у железного сервера (тестовый) есть реальные проблемы с железом, но вы пока их не про диагностировали;
— либо ему не хватает мощи по какому-то критически разделяемому ресурсу: память, сеть, дисковая подсистема, процессор. Но память вы вроде как отсекли, т.к. ее в виртуалке вроде как больше.
Кстати, вы так и не ответили про статистику. Но я так понимаю, это не по адресу уже. Туда же, а что за сложные вещи в самой 1С, про которые вы пишите? Тоже видимо не по адресу. Но заметьте, вы выдвигаете какие-то гипотезы, но подтверждаете ее… словами ж?
Так надо же для начала разобраться с железневым. На нем вы хотя бы достоверно сможете определить узкое место. Пока я вижу, что на виртуальном «само рассосалось» (по крайне мере лучше, чем было на железе), что не обычно, т.к. обычно (сори), все с точностью да наоборот. Тут на вскидку, два варианта видятся:
— либо у железного сервера (тестовый) есть реальные проблемы с железом, но вы пока их не про диагностировали;
— либо ему не хватает мощи по какому-то критически разделяемому ресурсу: память, сеть, дисковая подсистема, процессор. Но память вы вроде как отсекли, т.к. ее в виртуалке вроде как больше.
Кстати, вы так и не ответили про статистику. Но я так понимаю, это не по адресу уже. Туда же, а что за сложные вещи в самой 1С, про которые вы пишите? Тоже видимо не по адресу. Но заметьте, вы выдвигаете какие-то гипотезы, но подтверждаете ее… словами ж?
По железу:
1. Железный сервер: ОС Windows Server 2008R2 на SSD + база на HDD, оперативки 16 Gb, скулю даётся 2000-14000 (границы в мегабайтах из вкладки Memory Enterprise Manager'а). Процессор — 4 ядра по 3,2 GHz.
2. Виртуальный: ОС Windows Server 2012R2 + база (не фрагментирована) на VHDX фиксированного размера, который не фрагментирован и покоится на SSD. Оперативка 10 Gb, скулю выдано от 2048 до 8192 мегабайт. Процессор — 4 ядра по 2,1 GHz.
По отзывам пользователей — на виртуальнике база работает шустрее и отзывчивее, поскольку все обычные операции происходят быстрее.
Самая жесть началась с недавних времён, когда начался переезд склада и много чего стало в 1С дописываться (хотя это происходит регулярно, но не в таких объёмах). И вот на железном сервере из-за пары обработок (пополнение резервов? Перенос остатков?) вставала колом вся работа — в этот период невозможно проводить некоторые операции, а у кого вылетает 1С — потом не могут войти, «база заблокирована».
Да и до этого проблемы тоже наблюдались — подвисание обычных операций, когда выполнялись долгосрочные редкие. Но не настолько всё критично было.
Многое упирается именно в код, программисты с этим и не спорят и знают, что там есть узкие места. Про свой код так не говорят, разумеется.
Не спорю, работа с базой была бы лучше, если бы база и лог были на разных носителях, а сама база была бы не на динозавре из прошлого, но именно это как раз не изменить.
Я не уверен даже, реально ли скуль берёт всю ту память, что ему щедро дают, но что интересно — в 2008 винде не видно, чтобы sqlsrv.exe резервировал под себя весь тот объём (свободной памяти до дури остаётся и никем не востребована — нет там больше ничего, кроме скуля), а вот на 2012 — реально 8 Gb выделяется под процесс. Но что происходит внутри, как сам sqlsrv.exe распоряжается этим объёмом — для меня загадка.
Сетевухи в серверах на гигабит, в серверном шкафу гигабитные свитчи, а дальше на 100 мегабит до компьютеров.
Загрузка сети только в очень пиковые нагрузки доходит до 10 мегабит в секунду, и то редко. Соответственно, скорость чтения с диска примерно такая же. Но это не сеть и диск так ограничивают скорость — через себя они пропускают большие скорости при банальном копировании по сети.
Процессор тоже не задействуется на всю катушку. Хотел бы я увидеть, как он будет задействован SQL2000 под потолок.
Про какую статистику спрашиваете — не очень понимаю, да и не ко мне, скорее всего.
В общем-то, я и не отрицаю, что определённые действия с железом и ПО могут улучшить ситуацию, но панацеей это не будет в любом случае, мне так кажется.
1. Железный сервер: ОС Windows Server 2008R2 на SSD + база на HDD, оперативки 16 Gb, скулю даётся 2000-14000 (границы в мегабайтах из вкладки Memory Enterprise Manager'а). Процессор — 4 ядра по 3,2 GHz.
2. Виртуальный: ОС Windows Server 2012R2 + база (не фрагментирована) на VHDX фиксированного размера, который не фрагментирован и покоится на SSD. Оперативка 10 Gb, скулю выдано от 2048 до 8192 мегабайт. Процессор — 4 ядра по 2,1 GHz.
По отзывам пользователей — на виртуальнике база работает шустрее и отзывчивее, поскольку все обычные операции происходят быстрее.
Самая жесть началась с недавних времён, когда начался переезд склада и много чего стало в 1С дописываться (хотя это происходит регулярно, но не в таких объёмах). И вот на железном сервере из-за пары обработок (пополнение резервов? Перенос остатков?) вставала колом вся работа — в этот период невозможно проводить некоторые операции, а у кого вылетает 1С — потом не могут войти, «база заблокирована».
Да и до этого проблемы тоже наблюдались — подвисание обычных операций, когда выполнялись долгосрочные редкие. Но не настолько всё критично было.
Многое упирается именно в код, программисты с этим и не спорят и знают, что там есть узкие места. Про свой код так не говорят, разумеется.
Не спорю, работа с базой была бы лучше, если бы база и лог были на разных носителях, а сама база была бы не на динозавре из прошлого, но именно это как раз не изменить.
Я не уверен даже, реально ли скуль берёт всю ту память, что ему щедро дают, но что интересно — в 2008 винде не видно, чтобы sqlsrv.exe резервировал под себя весь тот объём (свободной памяти до дури остаётся и никем не востребована — нет там больше ничего, кроме скуля), а вот на 2012 — реально 8 Gb выделяется под процесс. Но что происходит внутри, как сам sqlsrv.exe распоряжается этим объёмом — для меня загадка.
Сетевухи в серверах на гигабит, в серверном шкафу гигабитные свитчи, а дальше на 100 мегабит до компьютеров.
Загрузка сети только в очень пиковые нагрузки доходит до 10 мегабит в секунду, и то редко. Соответственно, скорость чтения с диска примерно такая же. Но это не сеть и диск так ограничивают скорость — через себя они пропускают большие скорости при банальном копировании по сети.
Процессор тоже не задействуется на всю катушку. Хотел бы я увидеть, как он будет задействован SQL2000 под потолок.
Про какую статистику спрашиваете — не очень понимаю, да и не ко мне, скорее всего.
В общем-то, я и не отрицаю, что определённые действия с железом и ПО могут улучшить ситуацию, но панацеей это не будет в любом случае, мне так кажется.
Описали много чего, но… все таки, какой же размер вашей базы?
Затем выше, я упустил вашу цитату:
>>И я понимаю связь между размером блока на реальном диске и виртуальном. Но я не знаю, какой размер оптимален именно для базы скуля или базы 1с.
У вас же ОС 2008 R2, а она сама для дисков устанавливает нужное смещение, если система ставилась с нуля. Если вы ее накатывали поверх, то есть смысл проверить.
>> база (не фрагментирована) на VHDX фиксированного размера, который не фрагментирован и покоится на SSD
Я не шибко великий гуру виртуальных машин, и могу заблуждаться: у вас же не pass-through диск, т.е. не подключение физического диска напрямую к виртуальной машине без создания VHDx?..
>> И вот на железном сервере из-за пары обработок (пополнение резервов? Перенос остатков?) вставала колом вся работа
Если лечить по фото, то в 2000 скуле была знатная бага, суть которой сводится к тому, что время выполнения процедуры sp_executesql, которую очень активно юзает семера, при длительном коннекте сессии к SQL, начинает сильно увеличиваться. Я думаю ваши программисты в курсе из-за чего это, я вдаваться в подробности не буду. В рамках 2000 скуля, проблема не решается в принципе. Либо реконектиться через какое-то время, либо использовать специальную компоненту, которая будет очищать буфер сессии. Но, конечно, в эту тему должны погружаться явно не вы, и тогда, когда уже другие программные моменты прояснены и уточнены, что проблема точно не в них, хотя тяжело так говорить в контексте 7.7 :)
>>Я не уверен даже, реально ли скуль берёт всю ту память… Но что происходит внутри, как сам sqlsrv.exe распоряжается этим объёмом — для меня загадка.
У вас 2000 скуль. Там все относительно просто и тот же Task Manager будет показывать правду. А из-за чего на железяке не жрется вся память, а в виртуалке вам рисует — что жрется — это вопрос отличный, при условии что в данный момент на самом скуле нагрузка идентична.
>>а у кого вылетает 1С — потом не могут войти, «база заблокирована».
Вылетает — с ошибками? Или просто закрывается само приложение 1С? Какие точные текста?
>>Про какую статистику спрашиваете
статистики базы данных MS SQL.
>> определённые действия с железом и ПО могут улучшить ситуацию, но панацеей это не будет в любом случае, мне так кажется.
Ну почему же? Если сама конфа более или менее нормальная, и пишут ее в данный момент, адекватные люди, то скорее всего все таки определенные «админские» штуки-дрюки, о которых я тут уже не знаю сколько пишу, вполне могут немножко подразогнать жирок с базы.
Затем выше, я упустил вашу цитату:
>>И я понимаю связь между размером блока на реальном диске и виртуальном. Но я не знаю, какой размер оптимален именно для базы скуля или базы 1с.
У вас же ОС 2008 R2, а она сама для дисков устанавливает нужное смещение, если система ставилась с нуля. Если вы ее накатывали поверх, то есть смысл проверить.
>> база (не фрагментирована) на VHDX фиксированного размера, который не фрагментирован и покоится на SSD
Я не шибко великий гуру виртуальных машин, и могу заблуждаться: у вас же не pass-through диск, т.е. не подключение физического диска напрямую к виртуальной машине без создания VHDx?..
>> И вот на железном сервере из-за пары обработок (пополнение резервов? Перенос остатков?) вставала колом вся работа
Если лечить по фото, то в 2000 скуле была знатная бага, суть которой сводится к тому, что время выполнения процедуры sp_executesql, которую очень активно юзает семера, при длительном коннекте сессии к SQL, начинает сильно увеличиваться. Я думаю ваши программисты в курсе из-за чего это, я вдаваться в подробности не буду. В рамках 2000 скуля, проблема не решается в принципе. Либо реконектиться через какое-то время, либо использовать специальную компоненту, которая будет очищать буфер сессии. Но, конечно, в эту тему должны погружаться явно не вы, и тогда, когда уже другие программные моменты прояснены и уточнены, что проблема точно не в них, хотя тяжело так говорить в контексте 7.7 :)
>>Я не уверен даже, реально ли скуль берёт всю ту память… Но что происходит внутри, как сам sqlsrv.exe распоряжается этим объёмом — для меня загадка.
У вас 2000 скуль. Там все относительно просто и тот же Task Manager будет показывать правду. А из-за чего на железяке не жрется вся память, а в виртуалке вам рисует — что жрется — это вопрос отличный, при условии что в данный момент на самом скуле нагрузка идентична.
>>а у кого вылетает 1С — потом не могут войти, «база заблокирована».
Вылетает — с ошибками? Или просто закрывается само приложение 1С? Какие точные текста?
>>Про какую статистику спрашиваете
статистики базы данных MS SQL.
>> определённые действия с железом и ПО могут улучшить ситуацию, но панацеей это не будет в любом случае, мне так кажется.
Ну почему же? Если сама конфа более или менее нормальная, и пишут ее в данный момент, адекватные люди, то скорее всего все таки определенные «админские» штуки-дрюки, о которых я тут уже не знаю сколько пишу, вполне могут немножко подразогнать жирок с базы.
1. Да, 2008R2 с нуля ставилась на неинициализированный диск. На SSD. Диск для базы инициализировался уже из-под системы.
2. Нет, не pass-through. Именно создан VHDX-диск фиксированного размера.
3. Хотелось бы верить, что наши программисты в курсе, как 1С работает с базой SQL, а не просто используют API ToySQL, без понимания того, что будет происходить дальше.
4. Выделение памяти — я больше грешу на саму систему, потому что в 2012R2 допилили много чего, в том числе и работу с памятью.
5. Скриншоты кину чуть позже.
6. Знать бы, как собрать эту статистику.
7. Мне кажется, что я уже сделал всё возможное в данной ситуации — с железом, настройками виртуальной машины. Выделить отдельный диск под базу, отдельный под лог нет возможности и мой начальник в курсе, при изначальном планировании даже это было ясно.
База где-то 12-13 гигабайт, если правильно помню. Ну и на виртуалке работает чуть лучше, чем на железном сервере, где крутилась до этого, так что уже прогресс.
2. Нет, не pass-through. Именно создан VHDX-диск фиксированного размера.
3. Хотелось бы верить, что наши программисты в курсе, как 1С работает с базой SQL, а не просто используют API ToySQL, без понимания того, что будет происходить дальше.
4. Выделение памяти — я больше грешу на саму систему, потому что в 2012R2 допилили много чего, в том числе и работу с памятью.
5. Скриншоты кину чуть позже.
6. Знать бы, как собрать эту статистику.
7. Мне кажется, что я уже сделал всё возможное в данной ситуации — с железом, настройками виртуальной машины. Выделить отдельный диск под базу, отдельный под лог нет возможности и мой начальник в курсе, при изначальном планировании даже это было ясно.
База где-то 12-13 гигабайт, если правильно помню. Ну и на виртуалке работает чуть лучше, чем на железном сервере, где крутилась до этого, так что уже прогресс.
1. Тогда должно быть все ок, но на всякий случай проверьте, хотя я не уверен что это имеет смысл делать, т.к. у вас не pass-through.
2. Вроде как рекомендуется именно pass-through. А вообще странно, есть ИТ отдел, в котором есть начальник, есть программисты, и есть вы (я намекаю на величину общих затрат на одни ваши зарплаты), и нет возможности купить пару жестких дисков, при условии того что 1сная база — главный учетный софт конторы??? Это фиерия какая-то, честно слово.
3. ТойСкуль? Я знаю автора :)
4. Скорее всего всё прозаичнее: либо настройки самого скуля не идентичны в плане резервирования памяти (вы цифры одинаковые поставьте), либо во_всем_виновата виртуализация.
6. Ее не нужно собирать, ее нужно обновлять: запускаете MS SQL Server Management Studio и делаете новый план обслуживания (Открываете папку Management, выделяете папку Maintenance Plans, правая кнопка мыши, New Maintenance Plan...). В нем создаете субплан и добавляете в него задачу Update Statistics Task. В нем все оставляете по умолчанию, только указываете вашу базу. Все. В этом же субплане, после обновления статистики добавляете задачу Execute T-SQL Statement Task, с текстом запроса: DBCC FREEPROCCACHE
7. Вряд ли :) 12-13 Гб — это размер ни о чем вообще.
И вот еще что. Вы написали, что в виртуалке у вас 4 виртуальных ядра. А сколько на самом хосте физических сокетов и ядер? Есть ли отличия по равномерности загрузки ядер на железе и в виртуалке? И какую нагрузку на ядра дает именно MS SQL в момент ваших тормозов?
2. Вроде как рекомендуется именно pass-through. А вообще странно, есть ИТ отдел, в котором есть начальник, есть программисты, и есть вы (я намекаю на величину общих затрат на одни ваши зарплаты), и нет возможности купить пару жестких дисков, при условии того что 1сная база — главный учетный софт конторы??? Это фиерия какая-то, честно слово.
3. ТойСкуль? Я знаю автора :)
4. Скорее всего всё прозаичнее: либо настройки самого скуля не идентичны в плане резервирования памяти (вы цифры одинаковые поставьте), либо во_всем_виновата виртуализация.
6. Ее не нужно собирать, ее нужно обновлять: запускаете MS SQL Server Management Studio и делаете новый план обслуживания (Открываете папку Management, выделяете папку Maintenance Plans, правая кнопка мыши, New Maintenance Plan...). В нем создаете субплан и добавляете в него задачу Update Statistics Task. В нем все оставляете по умолчанию, только указываете вашу базу. Все. В этом же субплане, после обновления статистики добавляете задачу Execute T-SQL Statement Task, с текстом запроса: DBCC FREEPROCCACHE
7. Вряд ли :) 12-13 Гб — это размер ни о чем вообще.
И вот еще что. Вы написали, что в виртуалке у вас 4 виртуальных ядра. А сколько на самом хосте физических сокетов и ядер? Есть ли отличия по равномерности загрузки ядер на железе и в виртуалке? И какую нагрузку на ядра дает именно MS SQL в момент ваших тормозов?
2. Если контора не готова это купить — значит ей это не нужно. Или начальник не умеет правильно подбирать аргументы. К слову, программисты — это начальник + программист. Они оба 1С занимаются. Просто начальник ещё немножко эникеит.
4. Я на виртуалке для тестов ставил 2008R2 — там такая же беда с выделением памяти. Пишет, что всё Ок, нужные объёмы выделены, AWE включено, а смотришь в свободную память и занятую — и то же самое, что и на физическом тестовом сервере. А в 2012R2 — под процесс выделяется столько, сколько в максимуме поставишь. Но я почему-то не уверен, что SQL реально пользуется этой памятью и по факту использует столько же, сколько и на 2008R2. Просто оставшаяся память недоступна другим процессам.
8. На самом хосте 2 процессора (Xeon E5-2620v2) по 6 физических ядер, 12 потоков. В сумме — 12 ядер, 24 потока. В энергосбережении отключено зарезать частоты. Под виртуалку с SQL выделено 4 потока. SQL видит их как 4 ядра и вроде должна уметь со всеми работать. Но я мониторю нагрузки, в том числе во время пиков — процессору вообще пофиг, там нет каких-то цифр больших. Максимум, что видел «страшного» — очередь диска с 0.01 подскакивала до 0.5-1, наверное. Ну на физическом сервере не SSD, там очередь диска повыше бывает. Ну и процессор с 4 физическими ядрами (Core i5-3470).
4. Я на виртуалке для тестов ставил 2008R2 — там такая же беда с выделением памяти. Пишет, что всё Ок, нужные объёмы выделены, AWE включено, а смотришь в свободную память и занятую — и то же самое, что и на физическом тестовом сервере. А в 2012R2 — под процесс выделяется столько, сколько в максимуме поставишь. Но я почему-то не уверен, что SQL реально пользуется этой памятью и по факту использует столько же, сколько и на 2008R2. Просто оставшаяся память недоступна другим процессам.
8. На самом хосте 2 процессора (Xeon E5-2620v2) по 6 физических ядер, 12 потоков. В сумме — 12 ядер, 24 потока. В энергосбережении отключено зарезать частоты. Под виртуалку с SQL выделено 4 потока. SQL видит их как 4 ядра и вроде должна уметь со всеми работать. Но я мониторю нагрузки, в том числе во время пиков — процессору вообще пофиг, там нет каких-то цифр больших. Максимум, что видел «страшного» — очередь диска с 0.01 подскакивала до 0.5-1, наверное. Ну на физическом сервере не SSD, там очередь диска повыше бывает. Ну и процессор с 4 физическими ядрами (Core i5-3470).
2. Если администратор виртуальной машины и хоста — Вы, вроде бы и аргументировать должны тоже Вы? Или нет? Или крикну — а в ответ тишина? %:) В любом случае, СХД должна быть pass-through.Но опять же, у вас в виртуалке все лучше, чем на железе, что намекает на то, что с железом скорее всего, «что-то не то».
4. Да, наверное, не в этом дело.
8. А как у вас произошло разбиение по нуманодам в самом SQL? Если бы сервер был физический, то Вам полюбому нужно было подниматься минимум до 2005, но лучше до 2008, потому что 2000 до SP 3 вроде вообще не умел работать с нума. Только в SP 4 какие-то пробы пера пошли. Но если Вы говорите, что нагрузки нет — значит скорее всего дело не в этом.
Мне кажется, тут все дело именно в том, что у вас в виртуальной машине критически разделяемых ресурсов выделено как-то больше, чем на железе, хотя по приведенным вами параметрами картина обратная. Либо ситуации в 7.7, которые были на железе, в данное время не проявляются в должной мере, поэтому и таких тормозов нет. В любом случае, если у вас стабильно воспроизводится проблемная ситуация, в ваших руках все козыри — можно все оттрейсить, но опять же все упирается в вопрос «а кто это должен делать???» и перекидывание мячика с одной стороны на другую.С одной стороны я могу вас понять по человечески, но с другой стороны, вот вы описали более или менее вашу ситуацию, и я прикинул как я бы действовал и пришел к выводу, что я бы делал работу администратора БД. И у меня точно такое же мнение на этот счет — ээээ… а почему я??? Почему при наличии живого администратора я должен погружать в какие-то админские заморочки при условии, что администратор даже не понимает почему на ровном месте оно стало работать быстрее? :) Там выше где-то писали, что у программистов по правильному и и прав то не должно быть админских ни на что. И тут мы плавно приходим к моему первому сообщению, о необходимости доказательства, что то виновата «не ваша 1С». Ситуация тупиковая, пока одна из сторон не уступит. Но т.к. начильник у вас — программист, поэтому логично что он будет прогибать вас и вам это не нра. А у меня начальник админ и прогибает зеркально меня, и уже мне это не нра. Вот так видимо и будем жить, пока кто-то не решит отвалить, а там — новый круг Сансары и новые приключения.
Вообще, теоретически, такими вопросами должны заниматься, в терминологии 1С, «эксперты по технологическим вопросам». Как раз таки вот такие расследования — это их компетенция. Но, во-первых, держать такого человека в штате — это затратно. Во-вторых, такой человек не нужен всегда, это чисто проектная работа. И в третьих, если ты (или вы), как-то начинаете эту компетенцию в себе развивать, то вы ожидаемо хотите ж какого-то пирожка в замен. Или булочки. Вы, напр., выше писали, что «чтобы заняться этим факультативно — надо бы понимать хотя бы направление, в котором стоит двигаться.» Я тогда сразу формулирую вопрос — ээээ… а за что? Просто почему кто-то должен во внеурочноее время делать что-то бесплатно ж? Или вам все факультативы оплачиваются? Наверное, даже с двойным коэффициентом? :) А если вообще в лоб, то почему сотрудник технической службы, должен доказывать что-то своему руководителю, который вроде как по статусу должен быть поумнее, да скилами по тяжелее? Это чисто техническая специальность, здесь нет никакого булшита. Ты либо рулишь и разбираешься, либо вот так вот постоянно на подчиненного валишь все. Но в этом случае, вопрос к начальнику — если ты уверен что виноват твой подчиненный Петя и он, в принципе, пень — то тогда кто ты сам есть? :) Правильно, руководитель этого пня, что автоматом делает тебя еще большим пнем.
4. Да, наверное, не в этом дело.
8. А как у вас произошло разбиение по нуманодам в самом SQL? Если бы сервер был физический, то Вам полюбому нужно было подниматься минимум до 2005, но лучше до 2008, потому что 2000 до SP 3 вроде вообще не умел работать с нума. Только в SP 4 какие-то пробы пера пошли. Но если Вы говорите, что нагрузки нет — значит скорее всего дело не в этом.
Мне кажется, тут все дело именно в том, что у вас в виртуальной машине критически разделяемых ресурсов выделено как-то больше, чем на железе, хотя по приведенным вами параметрами картина обратная. Либо ситуации в 7.7, которые были на железе, в данное время не проявляются в должной мере, поэтому и таких тормозов нет. В любом случае, если у вас стабильно воспроизводится проблемная ситуация, в ваших руках все козыри — можно все оттрейсить, но опять же все упирается в вопрос «а кто это должен делать???» и перекидывание мячика с одной стороны на другую.С одной стороны я могу вас понять по человечески, но с другой стороны, вот вы описали более или менее вашу ситуацию, и я прикинул как я бы действовал и пришел к выводу, что я бы делал работу администратора БД. И у меня точно такое же мнение на этот счет — ээээ… а почему я??? Почему при наличии живого администратора я должен погружать в какие-то админские заморочки при условии, что администратор даже не понимает почему на ровном месте оно стало работать быстрее? :) Там выше где-то писали, что у программистов по правильному и и прав то не должно быть админских ни на что. И тут мы плавно приходим к моему первому сообщению, о необходимости доказательства, что то виновата «не ваша 1С». Ситуация тупиковая, пока одна из сторон не уступит. Но т.к. начильник у вас — программист, поэтому логично что он будет прогибать вас и вам это не нра. А у меня начальник админ и прогибает зеркально меня, и уже мне это не нра. Вот так видимо и будем жить, пока кто-то не решит отвалить, а там — новый круг Сансары и новые приключения.
Вообще, теоретически, такими вопросами должны заниматься, в терминологии 1С, «эксперты по технологическим вопросам». Как раз таки вот такие расследования — это их компетенция. Но, во-первых, держать такого человека в штате — это затратно. Во-вторых, такой человек не нужен всегда, это чисто проектная работа. И в третьих, если ты (или вы), как-то начинаете эту компетенцию в себе развивать, то вы ожидаемо хотите ж какого-то пирожка в замен. Или булочки. Вы, напр., выше писали, что «чтобы заняться этим факультативно — надо бы понимать хотя бы направление, в котором стоит двигаться.» Я тогда сразу формулирую вопрос — ээээ… а за что? Просто почему кто-то должен во внеурочноее время делать что-то бесплатно ж? Или вам все факультативы оплачиваются? Наверное, даже с двойным коэффициентом? :) А если вообще в лоб, то почему сотрудник технической службы, должен доказывать что-то своему руководителю, который вроде как по статусу должен быть поумнее, да скилами по тяжелее? Это чисто техническая специальность, здесь нет никакого булшита. Ты либо рулишь и разбираешься, либо вот так вот постоянно на подчиненного валишь все. Но в этом случае, вопрос к начальнику — если ты уверен что виноват твой подчиненный Петя и он, в принципе, пень — то тогда кто ты сам есть? :) Правильно, руководитель этого пня, что автоматом делает тебя еще большим пнем.
2. По сути — всё серверное и прочее компьютерное хозяйство на мне (доходит до обычного «тыжсисадмин» — приходилось камеры видеонаблюдения с пятиметровой высоты снимать под порывами ветра с алюминиевой лестницы). Но когда идёт планирование покупки нового сервера и что там будет размещаться — последнее слово за начальством. А он, зная тягу гендира к экономии «на спичках», зарезает казалось бы лишние траты на казалось бы ненужные вещи — и без них работает. И его можно понять — на железном сервере всё работает? Работает. На виртуальном заработало? Даже лучше, чем было.
8. Вообще, всегда стоял просто SP4 (2039 версия sqlsrv.exe). И на физическом, и на виртуальном. И всё работало, пока с каким-то мартовским обновлением не стала валиться одна ошибка, после чего всё и завертелось. Перепробовали разные версии Windows, в ходе чего и выяснилось, что это из-за обновления случилось, а не из-за изменений в коде (на тестовом всё нормально, кроме вставания работы, но это вина кода — начальник лучше в курсе, что там не так. Но на такие моменты давно уже заготовлена оповещалка «Внимание, перепроводятся резервы» (или что-то вроде того), в результате пользователи понимают, что на ближайшие 20 минут в 1С им ничего не сделать). Ну и выяснилось, что 2008R2 даже на виртуальном не выделяет память под процесс, хотя всегда одним и тем же способом AWE включалось.
Ну и да — SQL видит все 4 ядра и даже даёт выбрать, какие из них можно использовать.
Заодно я из одного из последних патчей вытащил sqlsrv.exe версии 2055 (патч под 2003 Windows, поэтому 2008 и 2012 не патчится нормально) — новых глюков не появилось, но зато на 2012 памяти стало выделяться не половина от максимального объёма, присутствующего в системе (то есть 5 Gb из 10), а все 8, как прописано в конфиге.
И нет, я не сваливаю всё на программистов. Как я уже сказал — со своей стороны готов сделать необходимые шаги, только я просто не знаю, какие ещё шаги можно сделать — нет у меня среди знакомых DBA-администраторов такого старья, и если при настройке серверов и прочих проблемах я иду на MSDN и TechNet, то в случае с SQL не знаю, где искать. Ваш совет из пункта 6 обязательно сделаю :)
Но так уж выходит, что программисты либо забивают болт на необходимость рефакторинга кода, либо не видят в этом смысла из-за разговоров о переходе на восьмёрку. Которого до сих пор нет, и он постоянно откладывается по всякого рода причинам. Может и времени нет на такое. Но проблему кода они сами не отрицают, просто свыклись и они, и пользователи. Хотя вот это перепроведение резервов — код начальника. И, кажется, он уже выяснил, почему колом всё встаёт (на железном сервере — совсем алес, на виртуальном хотя бы что-то можно делать другим в этот момент, и то, если не рухнет процесс 1С, тогда не залогиниться уже до окончания перепроведения).
Видимо, в нашем случае дешевле перетерпеть, чем переписывать.
Ну и по поводу факультатива — мне самому для себя интересно разбираться в новом (да и людям помочь хочется). Просто задачи не я сам себе ставлю, а начальник немного в курсе, кого он брал (он же кандидатов собеседовал), и он понимает, что я не DBA-администратор и не ждёт от меня чудес анализа. Так что сейчас занимаюсь другим, а не выяснением, как улучшить жизнь SQL.
И я с Вами согласен — начальник должен разбираться и там, и там: программирование и системное администрирование. Но он в обеих сферах самоучка, а душа лежит к программированию 1С, поэтому и от него я не жду чудес анализа.
8. Вообще, всегда стоял просто SP4 (2039 версия sqlsrv.exe). И на физическом, и на виртуальном. И всё работало, пока с каким-то мартовским обновлением не стала валиться одна ошибка, после чего всё и завертелось. Перепробовали разные версии Windows, в ходе чего и выяснилось, что это из-за обновления случилось, а не из-за изменений в коде (на тестовом всё нормально, кроме вставания работы, но это вина кода — начальник лучше в курсе, что там не так. Но на такие моменты давно уже заготовлена оповещалка «Внимание, перепроводятся резервы» (или что-то вроде того), в результате пользователи понимают, что на ближайшие 20 минут в 1С им ничего не сделать). Ну и выяснилось, что 2008R2 даже на виртуальном не выделяет память под процесс, хотя всегда одним и тем же способом AWE включалось.
Ну и да — SQL видит все 4 ядра и даже даёт выбрать, какие из них можно использовать.
Заодно я из одного из последних патчей вытащил sqlsrv.exe версии 2055 (патч под 2003 Windows, поэтому 2008 и 2012 не патчится нормально) — новых глюков не появилось, но зато на 2012 памяти стало выделяться не половина от максимального объёма, присутствующего в системе (то есть 5 Gb из 10), а все 8, как прописано в конфиге.
И нет, я не сваливаю всё на программистов. Как я уже сказал — со своей стороны готов сделать необходимые шаги, только я просто не знаю, какие ещё шаги можно сделать — нет у меня среди знакомых DBA-администраторов такого старья, и если при настройке серверов и прочих проблемах я иду на MSDN и TechNet, то в случае с SQL не знаю, где искать. Ваш совет из пункта 6 обязательно сделаю :)
Но так уж выходит, что программисты либо забивают болт на необходимость рефакторинга кода, либо не видят в этом смысла из-за разговоров о переходе на восьмёрку. Которого до сих пор нет, и он постоянно откладывается по всякого рода причинам. Может и времени нет на такое. Но проблему кода они сами не отрицают, просто свыклись и они, и пользователи. Хотя вот это перепроведение резервов — код начальника. И, кажется, он уже выяснил, почему колом всё встаёт (на железном сервере — совсем алес, на виртуальном хотя бы что-то можно делать другим в этот момент, и то, если не рухнет процесс 1С, тогда не залогиниться уже до окончания перепроведения).
Видимо, в нашем случае дешевле перетерпеть, чем переписывать.
Ну и по поводу факультатива — мне самому для себя интересно разбираться в новом (да и людям помочь хочется). Просто задачи не я сам себе ставлю, а начальник немного в курсе, кого он брал (он же кандидатов собеседовал), и он понимает, что я не DBA-администратор и не ждёт от меня чудес анализа. Так что сейчас занимаюсь другим, а не выяснением, как улучшить жизнь SQL.
И я с Вами согласен — начальник должен разбираться и там, и там: программирование и системное администрирование. Но он в обеих сферах самоучка, а душа лежит к программированию 1С, поэтому и от него я не жду чудес анализа.
Переход с SQL 2000 на SQL 2005 (и 32 и 64 бит работает нормально) может решить проблему. У меня жили и свободно дышали несколько баз объёмом 108, 90 и 70 Гб под гнётом 80 пользователей.
Пример успешной установки: на РуБорде (писал не я). Там ссылка на патченую версию библиотеки побилась, потому вот работающая копия (с моего ПК) .
Если решитесь на обновление сервера БД, надо будет пройтись по пользовательским машинкам, и в каталоге «C:\Program Files\1Cv7s\bin\» заменить BkEnd.dll на ту, что в архиве (оригинальная не умеет работать с SQL2005).
Пример успешной установки: на РуБорде (писал не я). Там ссылка на патченую версию библиотеки побилась, потому вот работающая копия (с моего ПК) .
Если решитесь на обновление сервера БД, надо будет пройтись по пользовательским машинкам, и в каталоге «C:\Program Files\1Cv7s\bin\» заменить BkEnd.dll на ту, что в архиве (оригинальная не умеет работать с SQL2005).
А кто должен переводить базу? Системный администратор или 1С-программист? Я так понимаю, простой детач-аттач из базы в базу вряд ли сработает?
Да и вообще, в конторе уже который год про переход на восьмёрку говорят, но воз и ныне там.
Да и вообще, в конторе уже который год про переход на восьмёрку говорят, но воз и ныне там.
Нене! Детач/аттач — плохое решение. У 2005 структура файла БД несколько другая.
Надо сделать бэкап на 2000 и развернуть его на 2005.
По идее, надо уметь договариваться с 1С-никами вашими. Кто-то (скорее всего — вы)
[li] ставит на другую (тестовую) машину 2005 SQL Server,
[li] раскатывает на тестовой машинке базу из бэкапа;
[li] ставит на тестовую машинку копию рабочей конфигурации
[li] пробует 1С в новом окружении (с 2005 вместо 2000 SQL Srv)
Затем:
[li] Показывает начальству результаты
[li] По результатам демонстрации планирует вместе с 1С-никами работы по переходу на новый сервер БД.
[li] Переходите
[li] Недельку держите руку на пульсе
[li]…
[li] Profit!
И да: в небольших коллективах выгоднее не спихивать работу на соседа, а плотно изучить проблемы и их решения, а затем пойти в другую компанию, в которой платят больше и люди адекватнее. В случае успешного решения проблем Вы имеете возможность претендовать на премии или откликнуться на вакансии DBA.
Я вот тоже начинал работником первой линии техподдержки (это когда по телефону телепатируешь, куда кнопка убежала и вообще: «я нажала, а оно само...»), а когда увольнялся — пас стадо из 70 баз 1С 7.7 и 5 баз 1С 8.1 / 8.2. И з.п., на момент увольнения, у меня была выше, чем средняя по рынку (ненамного, правда).
Надо сделать бэкап на 2000 и развернуть его на 2005.
По идее, надо уметь договариваться с 1С-никами вашими. Кто-то (скорее всего — вы)
[li] ставит на другую (тестовую) машину 2005 SQL Server,
[li] раскатывает на тестовой машинке базу из бэкапа;
[li] ставит на тестовую машинку копию рабочей конфигурации
[li] пробует 1С в новом окружении (с 2005 вместо 2000 SQL Srv)
Затем:
[li] Показывает начальству результаты
[li] По результатам демонстрации планирует вместе с 1С-никами работы по переходу на новый сервер БД.
[li] Переходите
[li] Недельку держите руку на пульсе
[li]…
[li] Profit!
И да: в небольших коллективах выгоднее не спихивать работу на соседа, а плотно изучить проблемы и их решения, а затем пойти в другую компанию, в которой платят больше и люди адекватнее. В случае успешного решения проблем Вы имеете возможность претендовать на премии или откликнуться на вакансии DBA.
Я вот тоже начинал работником первой линии техподдержки (это когда по телефону телепатируешь, куда кнопка убежала и вообще: «я нажала, а оно само...»), а когда увольнялся — пас стадо из 70 баз 1С 7.7 и 5 баз 1С 8.1 / 8.2. И з.п., на момент увольнения, у меня была выше, чем средняя по рынку (ненамного, правда).
Проблема в том, что я совершенно не знаю 1С.
Да, мне приходилось творить там всякие изуверства (для человека, который смотрит в интерфейс с открытым ртом и непониманием), но мне говорили куда нажать и что сделать. Я, конечно, смогу повторить эти действия и даже будет какое-то понимание происходящего и что за операции я проделываю — тоже. Но это было давно и я так понимаю, что конфигурация там была другая, нежели у нас. Да я даже в терминологии не разбираюсь особо, для меня слово «конфигурация» из разряда «правильно ли я понимаю это слово?».
И если с установкой SQL2005 и бэкапом\восстановлением проблем не будет, то когда дело касается 1С — у меня внутри начинается паника. Что странно, при первом опыте с настройкой различных ролей Windows Server такой паники нет. Есть уверенность, что всё получится.
Вот Вы говорите, что у 2005 структура файла БД другая. Тогда ведь даже при восстановлении из бэкапа стоит ожидать сюрпризов? И я совсем не уверен, что кто-либо из нашего отдела будет понимать, что делать в таком случае, соответственно, вряд ли стоит ожидать даже попыток перейти на другой SQL.
И да, как правило, я становлюсь тем самым соседом, который изучает проблему (не связанную с 1С), потому что «тыжсисадмин» и «тебя для этого и наняли». Например, заедает кнопка домофона — «иди, разберись». Почему я? Потому что «прошлый сисадмин это делал». Должности завхоза у нас нет. Не знаю, шутили или нет, но говорят, что теперь и лампы я буду должен менять.
Да, мне приходилось творить там всякие изуверства (для человека, который смотрит в интерфейс с открытым ртом и непониманием), но мне говорили куда нажать и что сделать. Я, конечно, смогу повторить эти действия и даже будет какое-то понимание происходящего и что за операции я проделываю — тоже. Но это было давно и я так понимаю, что конфигурация там была другая, нежели у нас. Да я даже в терминологии не разбираюсь особо, для меня слово «конфигурация» из разряда «правильно ли я понимаю это слово?».
И если с установкой SQL2005 и бэкапом\восстановлением проблем не будет, то когда дело касается 1С — у меня внутри начинается паника. Что странно, при первом опыте с настройкой различных ролей Windows Server такой паники нет. Есть уверенность, что всё получится.
Вот Вы говорите, что у 2005 структура файла БД другая. Тогда ведь даже при восстановлении из бэкапа стоит ожидать сюрпризов? И я совсем не уверен, что кто-либо из нашего отдела будет понимать, что делать в таком случае, соответственно, вряд ли стоит ожидать даже попыток перейти на другой SQL.
И да, как правило, я становлюсь тем самым соседом, который изучает проблему (не связанную с 1С), потому что «тыжсисадмин» и «тебя для этого и наняли». Например, заедает кнопка домофона — «иди, разберись». Почему я? Потому что «прошлый сисадмин это делал». Должности завхоза у нас нет. Не знаю, шутили или нет, но говорят, что теперь и лампы я буду должен менять.
2005 структура файла БД другая..
Да, структура бэкапа у SQL2005 тоже отличается от 2000. Но в SQL management studio был плагин, который как-то конвертировал бэкап обратно,
+ есть вариант перекачать схему БД и данные утилитами вроде DataPump от Борланда.
Когда -то давно я тоже чинил калькуляторы и розетки, а потом перешёл на другую работу. А затем перешёл на ещё одну, и так далее.
Чуть ниже OksikOneC про сервер БД грамотно вопросы задаёт. А скажите-ка, какая у вас конфигурация 1С7? Жаль, не вижу тут системы личных сообщений…
Вам данная возможность откроется с получением статуса R&C. Подробнее здесь можно почитать.
Для связи можете писать мне куда угодно (указал контакты в профиле), предпочтительно в Телеграмм (на данный момент, а так — куда угодно).
Ну и про конфигурацию 1С я вряд ли смогу написать без инструкции, где это посмотреть :) Это не моя область знаний, поэтому максимум, что я там могу — только то, что мне показали.
Для связи можете писать мне куда угодно (указал контакты в профиле), предпочтительно в Телеграмм (на данный момент, а так — куда угодно).
Ну и про конфигурацию 1С я вряд ли смогу написать без инструкции, где это посмотреть :) Это не моя область знаний, поэтому максимум, что я там могу — только то, что мне показали.
Могу вам сказать, что в случае с ИТ-службой, в которой работает хотя бы человек 5-6, достаточно показать руководству сколько денег уходит на железо, сколько на его поддержку и как связано качество работы ИТ, качество технической поддержки с принимаемыми в компании техническими и управленческими решениями. После этого в отношениях между руководством компании и ИТ все встает на свои места.
Но! В случае единственного ИТ-специалиста, ты можешь наглядно показать, что, к примеру, увеличить на 10% инвестиции в ИТ-инфраструктуру поможет сэкономить 30% времени специалиста, а технические и управленческие решения еще 20% времени. Но все твои цифры разбиваются о единственный аргумент: «он же у нас и так сидит на зарплате, так что пусть экономит нам деньги как может!».
Мой вам совет – покажите наглядно руководству на цифрах как экономия и текущие технические и управленческие решения влияют на конечный результат работы ИТ. Если после этого в компании ничего не поменяется, то останется только уволиться.
Но! В случае единственного ИТ-специалиста, ты можешь наглядно показать, что, к примеру, увеличить на 10% инвестиции в ИТ-инфраструктуру поможет сэкономить 30% времени специалиста, а технические и управленческие решения еще 20% времени. Но все твои цифры разбиваются о единственный аргумент: «он же у нас и так сидит на зарплате, так что пусть экономит нам деньги как может!».
Мой вам совет – покажите наглядно руководству на цифрах как экономия и текущие технические и управленческие решения влияют на конечный результат работы ИТ. Если после этого в компании ничего не поменяется, то останется только уволиться.
Даже если сократить иерархию до сисадмин -> начальник IT -> Генеральный директор, то всё стопорится на «начальник IT».
Мне это надо доказывать ему, в первую очередь. И тут два выхода — уволиться самому или мириться с ситуацией, пытаясь потихоньку менять всё в нужную сторону. Потому что открытый конфликт не нужен — ни к чему хорошему не приведёт.
А по поводу памятки — она в самом деле не для начинающих сисадминов, у которых нет авторитета перед пользователями и руководством. Если изначально работа поставлена в правильном ключе, то памятка не нужна, это прописано в должностных инструкциях. А если нет — сначала надо пробить каменную стену «а у нас так всю жизнь устроено».
Ну и новичок в отделе из 5-6 человек тем более не нуждается в такой памятке — там должно быть распределение ролей и памятка\служебные обязанности зависят от роли новичка.
Мне это надо доказывать ему, в первую очередь. И тут два выхода — уволиться самому или мириться с ситуацией, пытаясь потихоньку менять всё в нужную сторону. Потому что открытый конфликт не нужен — ни к чему хорошему не приведёт.
А по поводу памятки — она в самом деле не для начинающих сисадминов, у которых нет авторитета перед пользователями и руководством. Если изначально работа поставлена в правильном ключе, то памятка не нужна, это прописано в должностных инструкциях. А если нет — сначала надо пробить каменную стену «а у нас так всю жизнь устроено».
Ну и новичок в отделе из 5-6 человек тем более не нуждается в такой памятке — там должно быть распределение ролей и памятка\служебные обязанности зависят от роли новичка.
Немного добавлю.
1. В первую очередь думай что ты будешь делать когда что-то выйдет из строя и только потом какая вероятность того, что что-то выйдет из строя.
2. Если производитель пишет, что срок службы чего-то n лет не дожидайся пока убедишься в этом на практике.
3. Чем меньше активного оборудования тем меньше отказов активного оборудования.
4. Холодный резерв и есть не просит и не ломается.
5. Критические данные архивируй минимум двумя разными способами и держи в разных местах.
6. Никогда не говори «мне нужно».
7. Предупреждай!
1. В первую очередь думай что ты будешь делать когда что-то выйдет из строя и только потом какая вероятность того, что что-то выйдет из строя.
2. Если производитель пишет, что срок службы чего-то n лет не дожидайся пока убедишься в этом на практике.
3. Чем меньше активного оборудования тем меньше отказов активного оборудования.
4. Холодный резерв и есть не просит и не ломается.
5. Критические данные архивируй минимум двумя разными способами и держи в разных местах.
6. Никогда не говори «мне нужно».
7. Предупреждай!
Совет всем кто страдает от IT отдела и утверждений из серии «Пользователь – человек бесправный» и тому подобных.
Особенно это касается программистов которым всегда нужно больше чем офис.
Когда что то закрыто, у вас нет прав, или вам не дают софта нужного для вашей работы. Всегда решайте подобные вопросы через менеджмент а не на прямую с IT.
Намного легче объяснить менеджменту, который заинтересован что бы работа была сделана, что нужно что то открыть или установить, чем спорить с IT-шникам.
Особенно это касается программистов которым всегда нужно больше чем офис.
Когда что то закрыто, у вас нет прав, или вам не дают софта нужного для вашей работы. Всегда решайте подобные вопросы через менеджмент а не на прямую с IT.
Намного легче объяснить менеджменту, который заинтересован что бы работа была сделана, что нужно что то открыть или установить, чем спорить с IT-шникам.
Подтверждаю. Еще лучше делать таск (например в письменной форме по электронной почте) на руководителя, а он со своим подтверждением делегирует на исполнение ИТ-никам. Вопросы если и возникают, то минимум.
Ваш совет не уникален. Все пользователи так делают — в случае чего бегут к гендиру и жалуются на это проклятое ИТ, а гендир потом «нагибает» этих нерадивых админов.
Вы правда думаете, что если вам нужно что-то для работы, админы вам этого не дадут?
Вы правда думаете, что если вам нужно что-то для работы, админы вам этого не дадут?
Ну дадут не дадут, а лени и инертности у них хватает.
Недавно нужно было порт открыть, что бы Azure-ровские сервисы работали.
Админы сказали, что им нужно собирать консилиум и думать две недели.
А когда менеджмент «простимулировал», все решилось за день.
Как вы думаете как я поступлю в следующий раз при подобной ситуации?
Недавно нужно было порт открыть, что бы Azure-ровские сервисы работали.
Админы сказали, что им нужно собирать консилиум и думать две недели.
А когда менеджмент «простимулировал», все решилось за день.
Как вы думаете как я поступлю в следующий раз при подобной ситуации?
Я не знаю, как вы поступите в следующей ситуации, но в текущей ситуации я рекомендовал бы уволить или вас или ваших админов. Нет смысла держать в компании админов, которые саботирует рабочий процесс, или программистов, которые используя административное давление, заставляют админов колхозить костыли вместо прямых решений. Осталось только разобраться что было в данной ситуации — первой или второе.
Поэтому нормальные админы свою деятельность описывают в СТП, которое подписывает и директор или главный инженер. И все «нагибатели» со своими хотелками идут в сад.
Априори чем меньше у пользователя прав и лишнего ПО — тем лучше работает данный пользователь и меньше приносит вреда (читай отнимает времени IT-отдела).
Так же IT-отдел никогда не откажет в установке НУЖНОГО софта тем пользователям, которым он действительно необходим, но есть одно «но» — только установить, но не учить в нем/с ним работать!
«Решение вопроса через менеджмент» — ОК, вот только большинство просто «привирает» необходимость и благодаря тому самому менеджменту получает нового врага в лице IT-отдела, т.к. те получили незаслуженный нагоняй, а если же софт действительно нужен — смотри 2 абзац данного сообщения.
Все это мое ИМХО и со всем этим я сталкиваюсь в течении нескольких лет, работаю в достаточно большой компании (10к пользователей)
Так же IT-отдел никогда не откажет в установке НУЖНОГО софта тем пользователям, которым он действительно необходим, но есть одно «но» — только установить, но не учить в нем/с ним работать!
«Решение вопроса через менеджмент» — ОК, вот только большинство просто «привирает» необходимость и благодаря тому самому менеджменту получает нового врага в лице IT-отдела, т.к. те получили незаслуженный нагоняй, а если же софт действительно нужен — смотри 2 абзац данного сообщения.
Все это мое ИМХО и со всем этим я сталкиваюсь в течении нескольких лет, работаю в достаточно большой компании (10к пользователей)
Так же IT-отдел никогда не откажет в установке НУЖНОГО софта тем пользователям, которым он действительно необходим
Я поступаю проще. Если это бесплатное для корпоративного использования ПО и оно действительно нужно даже одному юзеру, то просто беру его в поддержку и разворачиваю всем. Поддерживать софт в актуальном состоянии нужно обязательно, а уж одному поставить или централизованно развернуть — без разницы.
Утверждается «Состав ПО рабочих мест» и если кому-то что-то надо, он не звонит в IT, а идёт вносить изменения в «Состав ПО РМ». Сама процедура внесения изменений в «Состав» заставляет задуматься: а так ли оно нужно?
пункт 14. Я бы написал так: «чем серьезнее авария, тем медленнее стоит опускать кружку с кофе на стол». Все-таки, когда навернулась база с тысячей, другой активных пользователей, немного не до чаепития. Но разум должен быть холодным, когда руки коснутся клавиш.
>> Пользователи должны уметь работать с компьютером
Попробуйте объяснить это тем людям, кто их нанимает.
>>5. Ваша работа стоит дороже железа и программ
Аналогично, только это уже нужно объяснить тому, кто нанял вас.
>>6. Раз в 5-7 лет ИТ-инфраструктуру придется обновить полностью
Это всё стоит денег, и нужно объяснять директору, зачем собственно что-то обновлять, если оно и так «всё работает».
>>12. Резервные копии – это ценная для компании информация
Ну, не всегда компания находит средства для резервного копирования, так что наверно не совсем ценная и не всегда.
Итого, памятка скорее для работодателя, а не для админа.
Попробуйте объяснить это тем людям, кто их нанимает.
>>5. Ваша работа стоит дороже железа и программ
Аналогично, только это уже нужно объяснить тому, кто нанял вас.
>>6. Раз в 5-7 лет ИТ-инфраструктуру придется обновить полностью
Это всё стоит денег, и нужно объяснять директору, зачем собственно что-то обновлять, если оно и так «всё работает».
>>12. Резервные копии – это ценная для компании информация
Ну, не всегда компания находит средства для резервного копирования, так что наверно не совсем ценная и не всегда.
Итого, памятка скорее для работодателя, а не для админа.
Попробуйте объяснить это тем людям, кто их нанимает.
«Обучение Иванова основам компьютерной грамотности обходится компании в 10 000 р. ежемесячно».
Аналогично, только это уже нужно объяснить тому, кто нанял вас.
Это вообще просто. Умножить зарплату на 60 месяцев и посчитать, сколько и на какую сумму железа и программ в компании.
С остальными пунктами так же.
> «Обучение Иванова основам компьютерной грамотности обходится компании в 10 000 р. ежемесячно».
С чего бы? Ведь Иванова ни на какие курсы повышения квалификации не отправляют, а в случае когда он в очередной раз забыл что файлы складываются в папки — он просто бесплатно зовёт «того компутерщика», который «все равно сидит ничего не делает».
С чего бы? Ведь Иванова ни на какие курсы повышения квалификации не отправляют, а в случае когда он в очередной раз забыл что файлы складываются в папки — он просто бесплатно зовёт «того компутерщика», который «все равно сидит ничего не делает».
Из компаний, в которых руководство так думает, нужно увольняться до того, как они разоряются.
Тот компьютерщик берет Иванова за руку ведет к начальнику ОК и просят вместе поднять личное дело Иванова, где будет написано «уверенный пользователь ПК» или что-то в этом роде, необходимое для занятия должности. Дальше Иванов пишет объяснительную, почему он являясь «уверенным пользователем» допустил нарушение рабочего регламента и не сложил файлы в нужную папку или сложил не в ту. «Тот компьютерщик» пишет докладную записку на имя руководителя Иванова о проведении проверки служебного соответствия Иванова занимаемой должности в сфере умения пользоваться его рабочим инструментом (компьютер). Иванов едет в сертифицированный центр и проходит независимое тестирование на нужный уровень компетенций, далее 2 сценария, он успешно его проходит и перестает включать дурака на рабочем месте, т.к. имел он в виду все эти сертификации и объяснительные, более вероятный — он не проходит даже по базовому багажу знаний в сфере IT и дальше вопрос ценности Иванова, либо его направляют учиться, если он ценный сотрудник, но вот с IT у него не сложилось либо он получает письменное предупреждение и конкретный срок наверстать знания с повторным прохождением сертификации и в случае несоответствия увольняется по статье со всеми необходимыми для ОК бумажками, чтоб прикрыть зад от суда. Слух об Иванове быстро расходится по всему предприятию и почему-то все остальные резко начинают понимать что они делают, читать инструкции и учиться пользоваться своими же инструментами, рабочее время IT отдела освобождается, сотрудники повышают свою компетенцию, а предприятие экономит на этом деньги и рабочее время всех участников процесса. Главное чтоб высшее руководство было заинтересовано в построении рабочего процесса.
Именно так. Только надо сначала прописать регламенты работы для Иванова.
А высшее руководство всегда мыслит в категории денег и если ему красиво преподнести то, что вы написали, в рублях и копейках да ещё и объяснить на что вы потратите высвободившееся время, то оно вас просто обязано поддержать.
А высшее руководство всегда мыслит в категории денег и если ему красиво преподнести то, что вы написали, в рублях и копейках да ещё и объяснить на что вы потратите высвободившееся время, то оно вас просто обязано поддержать.
В компаниях от 100 сотрудников регламенты чаще всего уже прописаны и подписываются в ОК на этапе трудоустройства, даже если нет, то всегда можно ввести такую практику заручившись поддержкой руководства. Я как раз с командой занимаюсь налаживанием работ IT департаментов от технических и архитектурных до административных, после прихода на новое предприятие ты условно м_дак, всем «мешаешь» работать и тебя все ненавидят и вообще «раньше мы не так делали и все работало», скрытый и явный саботаж — норма, тут надо объяснять преимущества и жестко давить самых «вонючих» саботажников, как в примере с Ивановым. Одна-две показательных порки и идет стадия принятия нововведений (народ понимает, что никуда с «подводной лодки» не денется), проходит пару месяцев все работают по регламенту и оказывается что и работы делается больше и жалоб меньше и электронный документооборот это не когда сначала шлем письмом а потом идем и распечатку делаем, а удобный инструмент совместной работы. IT отдел занимается работой а не доделыванием работы за ленивыми сотрудниками, включившими дурачка, от чего меньше звереет на обращения пользователей, т.к. теперь все обращения зафиксированны и откровенный бред туда почти не попадает. Да предприятию чаще всего приходится попрощаться с парой «заслуженных» кадров, но уже через месяц их отсутствие перестают замечать и все идет своим чередом, регламент дисциплинирует, приходишь на это же предприятие через год в рамках обещанного надзора, многие уже и не помнят что по-другому было когда-то, главное чтоб руководство снова не развело анархию.
— Обучение Иванова основам компьютерной грамотности я трачу 3 часа ежедневно
— ты всё равно сидишь и ничего не делаешь…
— ты всё равно сидишь и ничего не делаешь…
«Попробуйте объяснить это тем людям, кто их нанимает.»
Когда у меня была похожая ситуация, я наваял простенький костыль в Экселе с вопросами и вариантами ответа. Затем простенький макрос выводил итоговый балл. Пришел с рац.предложением с генеральному, показал что это, пояснил зачем это. Все начальники отделов были извещены, что перед тем, как выдать сотруднику его логин и почту, он будет обязан пройти тест и получить на нем проходной балл, объяснение больше не требовалось.
Не бойтесь пойти к начальнику начальников.
Не бойтесь прямо сказать, что обучение сотрудников это тренерская должность, а не сисадминская, что вы не являетесь преподавателем, и что тысячи учебных курсов, на которых люди мало чего понимают, показывают, что происходит, когда учить пытается тот, кто это делать не умеет. Пусть либо нанимают отдельного преподавателя, либо вы можете сами продвинуться в качестве инструктора, но в ущерб остальной работе или вдобавок к зарплате — за курс для каждого нового пользователя — xx $
То, что ваша работа стоит дороже железа и программ нужно не объяснять. Можно просто показать на примере. Если вы в этом так уверены, то составьте расчеты, напечатайте цифры, покажите, приведите свои предложения
«Это всё стоит денег, и нужно объяснять директору, зачем собственно что-то обновлять, если оно и так «всё работает»»
Так оно все и так работает, или оно «и так НЕ работает». Проблема в том, что вы не можете объяснить что что-то перестало работать, потому что либо не собираете метрики, либо вообще не пытаетесь писать докладные с цифрами и аргументами. А это как раз один из периодов взросления эникейщика в системного администратора
Когда у меня была похожая ситуация, я наваял простенький костыль в Экселе с вопросами и вариантами ответа. Затем простенький макрос выводил итоговый балл. Пришел с рац.предложением с генеральному, показал что это, пояснил зачем это. Все начальники отделов были извещены, что перед тем, как выдать сотруднику его логин и почту, он будет обязан пройти тест и получить на нем проходной балл, объяснение больше не требовалось.
Не бойтесь пойти к начальнику начальников.
Не бойтесь прямо сказать, что обучение сотрудников это тренерская должность, а не сисадминская, что вы не являетесь преподавателем, и что тысячи учебных курсов, на которых люди мало чего понимают, показывают, что происходит, когда учить пытается тот, кто это делать не умеет. Пусть либо нанимают отдельного преподавателя, либо вы можете сами продвинуться в качестве инструктора, но в ущерб остальной работе или вдобавок к зарплате — за курс для каждого нового пользователя — xx $
То, что ваша работа стоит дороже железа и программ нужно не объяснять. Можно просто показать на примере. Если вы в этом так уверены, то составьте расчеты, напечатайте цифры, покажите, приведите свои предложения
«Это всё стоит денег, и нужно объяснять директору, зачем собственно что-то обновлять, если оно и так «всё работает»»
Так оно все и так работает, или оно «и так НЕ работает». Проблема в том, что вы не можете объяснить что что-то перестало работать, потому что либо не собираете метрики, либо вообще не пытаетесь писать докладные с цифрами и аргументами. А это как раз один из периодов взросления эникейщика в системного администратора
Я бы добавил — «Читай самостоятельно»
Очень много звонков по типу — а какие у вас системные требования? Лень зайти на страницу сайта / документацию и самостоятельно изучить вопрос. Звонят менеджеру по продажам. Которому нужно продавать.
Плюс «Думай сам». Если вышла какая новость — не факт, что написанное там не маскировка и основное излагается размыто.
Увы и ах — туча переводных новостей без понимания смысла, а то и новостей баянного типа — после которых возникают очень странные запросы
Очень много звонков по типу — а какие у вас системные требования? Лень зайти на страницу сайта / документацию и самостоятельно изучить вопрос. Звонят менеджеру по продажам. Которому нужно продавать.
Плюс «Думай сам». Если вышла какая новость — не факт, что написанное там не маскировка и основное излагается размыто.
Увы и ах — туча переводных новостей без понимания смысла, а то и новостей баянного типа — после которых возникают очень странные запросы
По пункту 1:
Однажды в курилке пользователи стали возмущаться, что Сисадмин закрыл всем доступ на сайт «Одноклассники». Инь Фу Во услышал об этом и нахмурился.
– Почему ты закрыл людям доступ? – спросил он у Сисадмина, когда они после перекура пили кофе.
– Потому что такие сайты не нужны для работы.
– А курить нужно для работы?
– Вообще-то нет…
– А кофе пить?
– Ну…
– Ну тогда, – сказал Учитель, – открой людям доступ.
Однажды в курилке пользователи стали возмущаться, что Сисадмин закрыл всем доступ на сайт «Одноклассники». Инь Фу Во услышал об этом и нахмурился.
– Почему ты закрыл людям доступ? – спросил он у Сисадмина, когда они после перекура пили кофе.
– Потому что такие сайты не нужны для работы.
– А курить нужно для работы?
– Вообще-то нет…
– А кофе пить?
– Ну…
– Ну тогда, – сказал Учитель, – открой людям доступ.
Притча хорошая. Уточню, есть решения, которые повышают стоимость обслуживания ИТ, есть — влияющие на качество работы сотрудников компании. Одноклассники на стоимость обслуживания не влияют никак. Разрешать их или нет — это выбор руководства компании.
А я бы ещё добавил:
Изучи то что тебе досталось от предыдущего админа, особенно это касается малых организаций компов на 30, там часто внук племянника начальника «грамотный» малый работал и мог организовать сеть как угодно, лишь бы не правильно или понаставить «левого» софта или добавить все важные пароли от торговых площадок в автозаполнение гендиру и потерять их или или или…
бесконечное множество всяких мелких пакостей вас может ожидать вообщем, но если попытать предыдущего коллегу получше, то вам будет полегче.
Изучи то что тебе досталось от предыдущего админа, особенно это касается малых организаций компов на 30, там часто внук племянника начальника «грамотный» малый работал и мог организовать сеть как угодно, лишь бы не правильно или понаставить «левого» софта или добавить все важные пароли от торговых площадок в автозаполнение гендиру и потерять их или или или…
бесконечное множество всяких мелких пакостей вас может ожидать вообщем, но если попытать предыдущего коллегу получше, то вам будет полегче.
Только вот кофе потребляется обычно параллельно работе, а не вместо. Курение занимает час рабочего времени в общем, а вот социальные сети могут занять его все рабочее время, потому что многие просто не могут контролировать себя, и сидят там постоянно.
Это не должно быть проблемой системного администратора. Это должно быть проблемой непосредственного руководителя человека, который сидит все рабочее время в соцсетях.
Так дойдет до того, что для SMO-отдела придется отдельные правила в фаерволле делать.
Так дойдет до того, что для SMO-отдела придется отдельные правила в фаерволле делать.
Админ закрывает доступ ко всякому-такому, чтобы не высаживался канал почём зря. И у него нет проблем, потому что когда его просят открыть доступ, он рекомендует обратиться через начальство и его больше не просят открыть доступ :) А если начальник Инь Фу Во, то там, по-моему, с доступом ко всякому-такому проблемы давно порешали :)
Красивые слова, только непосредственным руководителям обычно… с колокольни.
У системного администратора очень много не должно быть проблем, но почему то, в Нашей стране это совсем не так, если администратор, то должен починять все что работает от электричества в 80% работ, плюс уметь подделывать документы, или обучать этому, ну и конечно же и все что работает на компьютере. Это в фирмах до 1000 компов весьма часто. Но думаю Вы это и так знаете, но просто работаете в фирме побольше. То что вы хотите я видел только в Связном, но там 3500 магазинов по 4 компа в каждому, без учета офиса и тех поддержки (2 и 3 линия) по 100+ человек в смену.
И это не только сисадмины, с бухгалтерией такой же бардак, да и не удивлюсь что на многих других специальностях.
У системного администратора очень много не должно быть проблем, но почему то, в Нашей стране это совсем не так, если администратор, то должен починять все что работает от электричества в 80% работ, плюс уметь подделывать документы, или обучать этому, ну и конечно же и все что работает на компьютере. Это в фирмах до 1000 компов весьма часто. Но думаю Вы это и так знаете, но просто работаете в фирме побольше. То что вы хотите я видел только в Связном, но там 3500 магазинов по 4 компа в каждому, без учета офиса и тех поддержки (2 и 3 линия) по 100+ человек в смену.
И это не только сисадмины, с бухгалтерией такой же бардак, да и не удивлюсь что на многих других специальностях.
Думаете что человек не найдёт чем заняться лишь бы не работать?
Найдёт. У каждого смартфон с вфейсоклассниками, не отнимать же на входе. Но если человек сидит не в одноклассниках, а, скажем, на хабре, то вроде как тоже ничего не делает, а над собой растёт :) Иной раз и закрывать доступ не нужно, достаточно всех проинформировать, что занимательная статистика по трафику ежемесячно докладывается директору :)
Согласен со всеми пунктами.
По поводу юзеров — не надо с ними воевать. Закрыл все наглухо и сидишь спокойно, но закрыл в плане безопасности, а не синдрома вахтера. Те же вконтактики, к ограничениям не относятся. Если бизнес разрешает юзерам сидеть где попало — да пожалуйста, а вредоносную ссылку должно прибить на периметре, юзер тут не при чем. Если бух скачал вирус и к чертям зашифровало базу 1с — виноват админ. Мне вот не жалко для браузерной игрушки некоторым юзерам порт наружу пробросить, мимо прокси, на безопасность это не влияет, а тиранить народ у меня никаких предпосылок и желания нет. Но вот установить клиента WoT — уж извиняйте, это перебор.
По поводу юзеров — не надо с ними воевать. Закрыл все наглухо и сидишь спокойно, но закрыл в плане безопасности, а не синдрома вахтера. Те же вконтактики, к ограничениям не относятся. Если бизнес разрешает юзерам сидеть где попало — да пожалуйста, а вредоносную ссылку должно прибить на периметре, юзер тут не при чем. Если бух скачал вирус и к чертям зашифровало базу 1с — виноват админ. Мне вот не жалко для браузерной игрушки некоторым юзерам порт наружу пробросить, мимо прокси, на безопасность это не влияет, а тиранить народ у меня никаких предпосылок и желания нет. Но вот установить клиента WoT — уж извиняйте, это перебор.
3. Если компания не готова это купить, значит ей это не нужно
5. Ваша работа стоит дороже железа и программ
Похоже на взаимоисключающие параграфы.
VBR прекрано решает пункты 5, 12 и 15, но стоит $2000 на процессор так что сисадмины мучаются с BE, DPM и другими поделиями из прошлого века. Похожий пример с IronPort, который практически без настройки решает проблему спама, но не все хотят платить $11 на пользователя в год.
Ещё забыли про антипаттерн «работает — не трогай», тогда как производители серверов даже прошивки рекомендуют обновлять раз в 3-6 месяцев.
Я слабо понимаю о каких решениях идет речь, но вы пробовали оценить соотношение стоимости решений со стоимостью их поддержки на протяжении всего срока полезного использования? Надеюсь, что мой вопрос прозвучал понятно :))
Я сам не админ но на работе в своём отделе меня сразу зовут если с компом что-то не то
или дрова поставить, плашку памяти воткнуть, диск новый поставить.
Для бекапа на машинах стоит акронис.
какие еще алалоги есть для индивидуальной установки?
Помогал раз 5.
Спасал инфу и систему не приходилось с 0 ставить
качали электронные книги book.exe…
Бекапы нужно делить а ещё их нужно проверять
А как проверять бекабы акрониса?
А еще был на в офисе 1 фирмы там показывали удалённые рабочие места
когда всё крутиться на 1 сервере а у пользователей тонкий клиент.
Понравилось как за короткое время клонировали или запускали несколько новый машин со всем софтом
для инженеров кады, офисный пакет, всё настроено и работает.
или дрова поставить, плашку памяти воткнуть, диск новый поставить.
Для бекапа на машинах стоит акронис.
какие еще алалоги есть для индивидуальной установки?
Помогал раз 5.
Спасал инфу и систему не приходилось с 0 ставить
качали электронные книги book.exe…
Бекапы нужно делить а ещё их нужно проверять
А как проверять бекабы акрониса?
А еще был на в офисе 1 фирмы там показывали удалённые рабочие места
когда всё крутиться на 1 сервере а у пользователей тонкий клиент.
Понравилось как за короткое время клонировали или запускали несколько новый машин со всем софтом
для инженеров кады, офисный пакет, всё настроено и работает.
> какие еще алалоги есть для индивидуальной установки?
veaam
>А как проверять бекабы акрониса?
Разворачивать на виртуальной машине из бекапа — это по поводу проверки образа, но это не решает архитектурной проблемы с тем, что важные данные хранятся на компьютерах сотрудников.
Правильно в такой ситуации использовать nfs/samba шары для любой сколь угодно ценной информации.
veaam
>А как проверять бекабы акрониса?
Разворачивать на виртуальной машине из бекапа — это по поводу проверки образа, но это не решает архитектурной проблемы с тем, что важные данные хранятся на компьютерах сотрудников.
Правильно в такой ситуации использовать nfs/samba шары для любой сколь угодно ценной информации.
Как выше ответили — Veeam Endpoint Backup. Акронис у вас левый, похоже. Давно пора отучиться от нелицинзионного софта. По проверке бекапов, лучше решение — автоматические рекавери в тестовой среде, но вам не подходит. Остается либо руками, либо положиться на внутренние средства самотестирования VEB.
Ну в принципе все верно, кроме седьмого пункта, там все ровно наоборот.
Хорошие продукты это хорошие продукты.
Они могут быть и дорогими и дешевыми.
А по вашему выходит, что хороший продукт обязан быть дорогим.
Маркетологи как раз и работают, чтобы продать копеечный продукт втридорога.
Хорошие продукты это хорошие продукты.
Они могут быть и дорогими и дешевыми.
А по вашему выходит, что хороший продукт обязан быть дорогим.
Маркетологи как раз и работают, чтобы продать копеечный продукт втридорога.
Плохой продукт задорого никто не купит, а за хороший можно заломить по максимуму и всё равно будут покупать.
Например: Veeam, Altova, IDEA и PowerDesigner. Последний в России идёт с «индивидуальным сервисом» — попросил у поддержки обновление, они выложили его на ftp и прислали ссылку :-)
Например: Veeam, Altova, IDEA и PowerDesigner. Последний в России идёт с «индивидуальным сервисом» — попросил у поддержки обновление, они выложили его на ftp и прислали ссылку :-)
Ну в принципе все верно, кроме седьмого пункта, там все ровно наоборот.
Хорошие продукты это хорошие продукты.
Они могут быть и дорогими и дешевыми.
А по вашему выходит, что хороший продукт обязан быть дорогим.
Маркетологи как раз и работают, чтобы продать копеечный продукт втридорога.
Речь идет о предложениях вида: «арендуйте у нас сервер за 30 тысяч в месяц, вместо того, чтобы тратить 500 тысяч на его покупку», а также «наши принтеры стоят всего 2000 р.» (а картриджи к ним — 5000 р./штука).
За Veeam Endpoint Backup спасибо
посмотрю что за зверь.
Для проверки образов VMWare подойдет?
автоматические рекавери в тестовой среде, а что это за зверь такой?
и можно ли использовать это на домашнем ПК?
посмотрю что за зверь.
Для проверки образов VMWare подойдет?
автоматические рекавери в тестовой среде, а что это за зверь такой?
и можно ли использовать это на домашнем ПК?
Я так понял, что вы промазали с ответом. VEB прекрасно работает в виртуальной среде, в VMware и Hyper-V точно. Автоматическое развертывание не поддерживается VEB, Endpoint в названии намекает. На домашнем ПК, как и на любом другом не то, что можно, а нужно. Вот тут писал.
Если админы сильно достают, попробуйте сделать ваши проблема проблемами админов.
Например. У нас в конторе, как и везде, запрещена пересылка исполняемых файлов по почте в неупакованном виде.
В принципе, для средней «бухгалтерской» конторы это правило имеет право на жизнь. Но для R&D софтверной компании, где часто нужно обмениваться бинарниками, это правило явно не к месту.
Что бы бороться с этой демагогией, я решил, что не буду просить людей перепаковывать бинарники если они мне их уже послали.
Ведь человек уже потратил время послал мне письмо а тут оказывается что нужно еще раз посылать. Это не правильно. Пусть страдают те кто придумал правила.
Вместо этого я просто заставляю админов вынимать бинарники из почтового карантина, каждый раз. Пусть развлекаются раз им так нравится.
Пока что админы не сдаются но и мне не сложно тикет завести.
Например. У нас в конторе, как и везде, запрещена пересылка исполняемых файлов по почте в неупакованном виде.
В принципе, для средней «бухгалтерской» конторы это правило имеет право на жизнь. Но для R&D софтверной компании, где часто нужно обмениваться бинарниками, это правило явно не к месту.
Что бы бороться с этой демагогией, я решил, что не буду просить людей перепаковывать бинарники если они мне их уже послали.
Ведь человек уже потратил время послал мне письмо а тут оказывается что нужно еще раз посылать. Это не правильно. Пусть страдают те кто придумал правила.
Вместо этого я просто заставляю админов вынимать бинарники из почтового карантина, каждый раз. Пусть развлекаются раз им так нравится.
Пока что админы не сдаются но и мне не сложно тикет завести.
Боюсь вас расстроить, но админы получают плюс в KPI за два клика мышью. Ведь благодаря утверждённой политике задача идёт как запрос на обслуживание, а не как инцидент.
В чем сложность для админов была завести централизованный файлообменник, раздать отделам нужные права чтоб спокойно могли обмениваться файлами как внутри отдела так и отдавать в другие отделы и наружу по ссылке (даже одноразовой ссылке). При этом обменник должен иметь функцию самоочистки, если фаил не востребован более х дней, он удаляется, проблема решена по почте пересылаются ссылки, при этом при бэкапе почты внутрь не попадают жирные бинарники, не сканируются на вирусы и прочее, снимается ограничение на размер пересылаемых файлов, ссылку хоть на терабайт давай, какие проблемы. Второе решение — корпоративное облако с тем же функционалом. Задача админов выработать удобное, безопасное и надежное решение а не саботировать работу отдела, при желании такое решение всегда находится, а бинарников в почте быть не должно — это правильно, для самых упоротых контрагентов которые продолжают слать бинарники из вне на почту делаем скрипт выгребающий все вложения из почты, складирующий их автоматом на файлопомойке в директорию всякий хлам (проверяем антивирусом и т.п.), а в письмо вставляющий вместо вложения ссылку на эту самую помойку. Глупо считать админ отдел врагами и пытаться гадить им и перекладывать проблемы, при нормальной совместной работе всегда можно найти устраивающее всех решение которое не усложнит работу никому и при этом нормально впишется в регламент.
Маленькая, но победа над злобными админами.
И в чем победа, они время потратили, вы время потратили, за это время компания не выпустила новый продукт или заплатку, не привела нового клиента вы же не получили премию, админы ненавидят кодеров, кодеры админов — получается гадюшник, избежать который способен один адекватный руководитель и простое желание решить проблему а не нассать друг другу в тапки.
Так проблема в том что они ленивые и ничего искать не хотят. Им легче все запретить и не за что не отвечать.
Если не давать им фидбека то они точно ничего и делать не будут. Ну как видим если давать то тоже не очень.
Поставили например антивирус, который на столько тупой, что ломится проверять только что скомпиликованные файлы. Чем заметно замедляют компиляцию. Ну я их только что скомпилил, из своего кода, ну какие там вирусы? Нет надо проверить.
Ну и что жалуемся а админам все равно.
Если не давать им фидбека то они точно ничего и делать не будут. Ну как видим если давать то тоже не очень.
Поставили например антивирус, который на столько тупой, что ломится проверять только что скомпиликованные файлы. Чем заметно замедляют компиляцию. Ну я их только что скомпилил, из своего кода, ну какие там вирусы? Нет надо проверить.
Ну и что жалуемся а админам все равно.
Писали служебные записки на начальника админов? Вносили предложения в письменном виде? Если ответа нет, обращайтесь выше по иерархии руководства. Если ничего не писали, то это всё плач Ярославны, как выразился наш директор.
Решать вопрос через руководство, решать в том смысле что поставить проблему и выработать решение а не героически преодолевать следствия проблемы забив на причину. Решать через начальника отдела письменно. Редко когда люди намеренно хотят работать хреново, если это не обида и откровенный саботаж, обычно из-за недопонимания отделов, собрались начальники отделов выразили позицию отделов пришли к устраивающему всех решению, донесли решение до подчиненных, главное желание найти удобный выход а не выяснить кто же не Дартаньян.
Кстати, по моменту, что заражены только что скомпилированные файлы — и такое может быть, я с этим лично сталкивался. Вкратце — вирус заражает Delphi, и любые скомпиленные exe идут уже с вирусом :)
Детальней, кому интересней
Детальней, кому интересней
Всё правильно вы говорите, но только о самоочищающейся шаре обязательно нужно хотя бы маленькое положеньице утвердить. Вот обязательно в письменном виде всё организовать. Пользователи ведь академий не кончали и не понимают, что в папке «Только для передачи» или «Не храните здесь ничего» нельзя организовывать хранилища ценных данных в одном экземпляре :) А козёл кто? Правильно, админ!
Не знаю. У меня вполне себе живет папка «Обмен», как отличная альтернатива каталогу «Общая». Время хранения файлов 31 день, дальше без предупреждения грохается. Хотя, от положения под подпись хуже не будет.
Это уже не техническая а организационная задача, на практике за неделю две привыкают ничего ценного в папке не хранить, появилось — скачали локально или перекинули в архивируемое хранилище, 80 летние бабушки научились за 3 дня пользоваться в не IT конторе, не верю что в R&D не осилят.
Добавлю, что против вас собирается статистика, как против нерадивого пользователя, который беспрерывно теребит IT. Не проще ли внедрить какую-нибудь специализированную систему для решения ваших задач?
У нас в конторе теперь используется гуглопочта(Google Apps for Work) — exe(и не только) не переслать даже в архиве, если он не запаролен(https://support.google.com/mail/answer/6590 — кстати, это ссылка из отлупа гугловского, но даже её никто сам не открывает).
Это не очень удобно, но теперь это не наше ограничение(кстати, весьма помогающее от многих из рассылаемых по почте зловредов-счетов). И на размер письма ограничение ставим не мы. Так что как минимум по этим двум таскам клевать нас бесполезно — «пишите в Гугл». Особо упёртым отвечаю ссылкой на документацию гугла.
P.S. Если человек не способен с первого раза запомнить как правильно пересылать «опасные типы файлов», и упорно продолжает из раза в раз отправлять экзешник в виде вложения, мне кажется проблема в человеке, а не в почтовом сервере — пусть дальше пишет служебки. В конце концов, в локалке есть шара, в интернете есть разные дропбоксы. Проблема высосана из пальца.
Это не очень удобно, но теперь это не наше ограничение(кстати, весьма помогающее от многих из рассылаемых по почте зловредов-счетов). И на размер письма ограничение ставим не мы. Так что как минимум по этим двум таскам клевать нас бесполезно — «пишите в Гугл». Особо упёртым отвечаю ссылкой на документацию гугла.
P.S. Если человек не способен с первого раза запомнить как правильно пересылать «опасные типы файлов», и упорно продолжает из раза в раз отправлять экзешник в виде вложения, мне кажется проблема в человеке, а не в почтовом сервере — пусть дальше пишет служебки. В конце концов, в локалке есть шара, в интернете есть разные дропбоксы. Проблема высосана из пальца.
-«Если человек не способен с первого раза запомнить как правильно пересылать «опасные типы файлов»...»
У меня отличная память. Но я считаю это правило совершенно бесполезным и не уместным в софтверной конторе, по этому и борюсь с ним как с проявлением идиотизма.
P.S. То что вы прикрываетесь гуглом и рассказываете пользователям что ничего поделать нельзя, не делает вам чести а скорее на оборот. Вы сделали именно то за что админов не любят.
У меня отличная память. Но я считаю это правило совершенно бесполезным и не уместным в софтверной конторе, по этому и борюсь с ним как с проявлением идиотизма.
P.S. То что вы прикрываетесь гуглом и рассказываете пользователям что ничего поделать нельзя, не делает вам чести а скорее на оборот. Вы сделали именно то за что админов не любят.
У меня отличная память. Но я считаю это правило совершенно бесполезным и не уместным в софтверной конторе, по этому и борюсь с ним как с проявлением идиотизма.
P.S. То что вы прикрываетесь гуглом и рассказываете пользователям что ничего поделать нельзя, не делает вам чести а скорее на оборот. Вы сделали именно то за что админов не любят.
Типичный пример «я в этом ничего не понимаю, но знаю как делать правильно». Если у вас в компании разрешена пересылка исполняемых файлов по почте, то это лишь вопрос когда (именно «когда», а не «если»), вам пришлют что-то не то. Скомпрометировать электронную почту и адрес отправителя — крайне легко. А потом в Интернете появляются клевые истории про то, как в компании все было сделано по уму, но злые хакеры все-равно нашли лазейку. А дело даже не в злых хакерах, а вот в таких вот «икспердах».
Мне кажется, вы выбрали странный способ борьбы — вы тратите впустую своё и чужое время. Именно впустую, так как есть множество альтернативных способов обмена файлами, и зачастую более удобных чем почта. В конце концов, можно было вынести этот вопрос на рассмотрения руководства. Тогда это положение было бы или отменено, или узаконено. Но вы предпочитаете бодаться с исполнителями. Мне кажется, это контр продуктивно.
Конечно, если вы используете почту исключительно внутри организации, подобное ограничение может выглядеть странно(кстати, во многих почтовых клиентах подобные вложения так же блокируются). Но если же почта внешняя, я бы предпочёл не рассчитывать на сознательность сотрудников. Запароленный архив прекрасно пересылается, и служит дополнительным барьером от запуска вложения «на автомате». А запуск приходящих экзешников(точнее последствия) у нас я имел счастье наблюдать. Правда контора у нас не айтишная :).
P.S. переход от своего сервера к использованию ГуглАпс был инициирован не в IT, а руководством. Таким образом отсылка юзеров к гуглу(точнее к конкретным статьям документации с ответом на возникший вопрос) не может делать или не делать мне честь. Мне поступил запрос, я более чем подробно на него ответил :). У гугла есть вещи которые меня не устраивают, но в целом, для себя, я нахожу больше плюсов от такого перехода. Многие задачи которые ранее приходилось выполнять мне, теперь пользователь может и ДОЛЖЕН делать сам через вэбморду к своей гугловской учётке. Я написал для пользователей подробную инструкцию с картинками, я могу один раз показать эти действия на месте(пользователь делает, я стою рядом и подсказываю). После этого при повторном вопросе я с чистой совестью отсылаю пользователя повторно читать документацию. И подобный порядок был подтверждён руководством когда один из пользователей попытался встать в стойку — сделай ты, ты здесь для этого и сидишь.
Конечно, если вы используете почту исключительно внутри организации, подобное ограничение может выглядеть странно(кстати, во многих почтовых клиентах подобные вложения так же блокируются). Но если же почта внешняя, я бы предпочёл не рассчитывать на сознательность сотрудников. Запароленный архив прекрасно пересылается, и служит дополнительным барьером от запуска вложения «на автомате». А запуск приходящих экзешников(точнее последствия) у нас я имел счастье наблюдать. Правда контора у нас не айтишная :).
P.S. переход от своего сервера к использованию ГуглАпс был инициирован не в IT, а руководством. Таким образом отсылка юзеров к гуглу(точнее к конкретным статьям документации с ответом на возникший вопрос) не может делать или не делать мне честь. Мне поступил запрос, я более чем подробно на него ответил :). У гугла есть вещи которые меня не устраивают, но в целом, для себя, я нахожу больше плюсов от такого перехода. Многие задачи которые ранее приходилось выполнять мне, теперь пользователь может и ДОЛЖЕН делать сам через вэбморду к своей гугловской учётке. Я написал для пользователей подробную инструкцию с картинками, я могу один раз показать эти действия на месте(пользователь делает, я стою рядом и подсказываю). После этого при повторном вопросе я с чистой совестью отсылаю пользователя повторно читать документацию. И подобный порядок был подтверждён руководством когда один из пользователей попытался встать в стойку — сделай ты, ты здесь для этого и сидишь.
> Я еще не встречал системных администраторов, которые бы намеренно вредили компании
Я встречал, и даже приходил работать после таких.
> Если компания не готова это купить, значит ей это не нужно
Согласен на 146%, ак и делаю. Но если бы в этой жизни всё было бы так просто…
> Ваша работа стоит дороже железа и программ
Не понял. Какая-то вода.
> Сделанное аккуратно лучше сделанного быстро
Ох как у вас всё просто )
> Всегда проверяйте поставленный кем-то диагноз
Двойная работа. Если за кем-то всегда перепроверяете, то это плохой диагноз
> Лучшее снотворное — уведомление о том, что все работает
Спать всегда лучше хорошо) Даже если всё плохо)
Я встречал, и даже приходил работать после таких.
> Если компания не готова это купить, значит ей это не нужно
Согласен на 146%, ак и делаю. Но если бы в этой жизни всё было бы так просто…
> Ваша работа стоит дороже железа и программ
Не понял. Какая-то вода.
> Сделанное аккуратно лучше сделанного быстро
Ох как у вас всё просто )
> Всегда проверяйте поставленный кем-то диагноз
Двойная работа. Если за кем-то всегда перепроверяете, то это плохой диагноз
> Лучшее снотворное — уведомление о том, что все работает
Спать всегда лучше хорошо) Даже если всё плохо)
Я встречал, и даже приходил работать после таких.
Именно намеренно со злым умыслом или как в примере с принтером ниже?
Первое мне сложно представить — надо хорошо знать систему, чтобы грамотно её сломать и обычно это направляют в полезное русло. А вот саботаж автоматизации и надувание щёк «вахрёрами» видел, как и вредительство по незнанию, вроде копипасты первой попавшейся инструкции из гугла.
Был случай в моей практике, когда я пришел на новую работу и оказалось, что абсолютно все пользователи были администраторами домена. На резонный вопрос: «Почему»? Админ, который передавал дела ответил: «Без этого не работает печать на принтеры». Пришлось менять не только настройки, но и привычку пользователей делать на рабочих ПК то что им хочется.
Пункт 4 не имеет никакого отношения к реальности.
Простой пример — кассиры розничных торговых точек. Они тоже пользователи ПК, но в подавляющем большинстве случаев не умеют менять картриджи, и, как бы не хотелось автору статьи — не обязаны это делать.
Касаемо знания пользователями программ — 1). сисадмин не должен мнить себя руководителем службы персонала; 2). не нужно впадать в крайности. За отказ помочь с составлением сложной формулы в Экселе по шапке должен получить айтишник. За систематическое отвлечение айтишника пустяковыми вопросами из серии «пропал ярлычок с рабочего стола» — по шапке должен получить отвлекающий. А некоторых сотрудников, которые «умеют обращаться с компьютером», лучше не допускать даже к подключению клавиатуры.
Простой пример — кассиры розничных торговых точек. Они тоже пользователи ПК, но в подавляющем большинстве случаев не умеют менять картриджи, и, как бы не хотелось автору статьи — не обязаны это делать.
Касаемо знания пользователями программ — 1). сисадмин не должен мнить себя руководителем службы персонала; 2). не нужно впадать в крайности. За отказ помочь с составлением сложной формулы в Экселе по шапке должен получить айтишник. За систематическое отвлечение айтишника пустяковыми вопросами из серии «пропал ярлычок с рабочего стола» — по шапке должен получить отвлекающий. А некоторых сотрудников, которые «умеют обращаться с компьютером», лучше не допускать даже к подключению клавиатуры.
Почему это вдруг? Ни разу не видел в требованиях вакансии на что-то околосисадминское «знание excel»
Просто в головах многих пользователей (и, судя по комментариям к данной статье, и программистов), системные администраторы — это мальчики для битья, а не специалисты. Ну а уж повод найти всегда можно, если очень хочется.
Почему это вдруг?
Потому что должно быть эффективное распределение трудозатрат. Можно упереться рогом в то, что «пользователи сами должны знать» и т.д., и потратить на решение определённой задачи N часов, а можно единоразово проконсультироваться с компетентным специалистом и потратить на решение задачи 5-10 минут. И если перед руководством всплывёт тот факт, что из-за необоснованного отказа IT-специалиста компания потеряла X времени, а значит, Y денег — то дальнейшее развитие событий становится очевидным.
Считаю, что пункт 4 должен быть на первом месте. А так же было бы неплохо добавить пункт, про то что начальство это те же пользователи и полных привилегий у них быть не должно даже если они очень просят.
Рискнёте отказать гендиру с такой формулировкой?
Легко, гендиру многие IT доступы нафиг не нужны и root пароль он просить не будет, ему нужны финансовые документы, доступы на уровне админа к KPI и прочее необходимое для его работы. Если лично попросит ему открыть «одноглазников» — не вижу проблемы, но давать административный доступ на все ресурсы компании это лишнее, да многие руководители любят перестраховаться, тогда договариваетесь с ним, что вот листочек со всеми доступами в организации, распечатан и положен в конверт, кладите в сейф, доступы у вас есть на экстренный случай. Адекватный руководитель вполне может иметь права администратора на своем ПК, но не в домене или вообще на всех серверах.
А чем тут рисковать? Генеральные директора обычно крайне вменяемые люди, которым достаточно объяснить причины и цели для которых им нужно также работать с правами пользователя.
Исключения — это генеральные директора из числа бывших админов и программистов. Такие ни на какой должности не могут работать с правами пользователей.
Исключения — это генеральные директора из числа бывших админов и программистов. Такие ни на какой должности не могут работать с правами пользователей.
Я как бэ не админ, другой профиль уже хотя и не без этого. Но криворукость руководства, пытающегося под админскими правами производить настройки под себя лично вместо настроек своего профиля, я хорошо знаю. А наличие у них рутовых паролей, в лучшем случае это дыра в безопасности и как показывает практика вполне себе хорошо работающая. А отказать запросто, либо учётка с доп. привилегиями либо нафиг. Дураков ни черта не понимающих, но лезущих и так хватает, а лишний геморрой на свою голову это уже лишнее.
В любом случае рутовые права должны быть у нескольких человек, на случай если админа «собьет автобус», для небольшой организации вполне распространенная практика когда копия всех паролей и ключей лежит в сейфе руководителя, опечатанная на случай ЧС, процедура вскрытия пакета описана безопасниками и может быть реализована в случае недоступности одного из ключевых лиц, имеющих доступ к важной информации. Если в организации нет такой структуры и регламента, а гендир единственный владелец, царь и бог, то уж забрать у него доступы насильно никто не сможет, но тогда он сам и отвечает в случае утечки своими деньгами и он ССЗБ если что-то сломал и пролюбил. Проблема описанная вами существует, но в основном для очень небольших компаний, без четкого регламента, службы безопасности, режима коммерческой тайны и прочих заморочек, там админ в крайнем случае рискует только своей работой, так что может себе позволить забить на безопасность и отдать рута руководителю, даже не пытаясь спорить, в структурах по-крупнее даже руководители высшего звена согласовывают доступы с СБ и IT, в которых начальники отделов чаще всего доверенные лица совета директоров или учредителей и напрямую не подчиняются исполнительному директору, а запрос рута на какой-то критичный сервер типа процессинга вызовет эскалацию на уровне сбора учредителей для разбора полетов.
Как говорится «Всё относительно» и тут всё зависит от конкретного случая. Само собой, что в малых компаниях всё в этом плане проще и доступней. Крупные компании чем хороши, там как правило «объемы инфраструктуры» таковы, что всяческие гендиры и хозяева даже не полезут в эту кухню, так как они даже с этим не пересекаются и им это не интересно, хотя опять же зависит от профиля компании. В мелких фирмах же всё рядом и под рукой. Хотя порой бывает начальство из стиля «везде свой нос суй», «я умный ты дурак — делай так!», эти вообще мрак и хорошо если это не самый главный )))
4. Пользователи должны уметь работать с компьютером
Спасибо. Посмеялись всем отделом. =)
Спасибо. Посмеялись всем отделом. =)
Если у вас отдел землекопов, клинменеджеров, штукатуров, поваров или любой другой специальности не связанной с IT напрямую, то с вас никто и не требует уметь работать с компьютером, если же компьютер ваш основной или единственный рабочий инструмент, то да должны или меняйте специальность, поставьте себе вопрос работа с каким средством труда приносит деньги вам и вашей компании, если это не компьютер, то вас статья не касается, я знаю отличных продажников, потолок которых в IT это принять и отправить почту, им больше и не нужно и с них большего никто и не просит. Если вы бухгалтер, вы не обязаны знать компьютер, но обязаны знать 1С и прочие проф. инструменты, пк вам настроят администраторы, но учить вас работать в вашей программе они не будут, либо ваш потолок работа с первичкой и так далее для любой профессии надо оценивать проникновение IT в нее.
Поверьте. Я работаю в техподдержке одного муниципального предприятия. И по роду деятельности наш отдел каждый день сталкивается с пользователями, которые иногда элементарных действий на компьютере сделать не могут. Они в 1С знают как нажать одну кнопку, и знают где посмотреть время на ПК. Утрирую конечно, но суть ясна. И ты как попугай по сто раз объясняешь одно и то же! Поэтому фраза «Пользователи должны уметь работать с компьютером» вызывает у меня и моего отдела вызывает усмешку.
Моя статья не про муниципальные и государственные предприятия, где любая неэффективность и некомпетентность покрывается из средств клиентов и государственного бюджета. Для таких предприятий ни один пункт из моей статьи скорее всего не применим в принципе.
Моя статья для реального сектора экономики, где люди изо дня в день своими руками зарабатывают себе на жизни. Если построить подобный бизнес, используя приемлемые в муниципальных предприятиях принципы, то такая компания не проживет и одного дня — все клиенты разбегутся в ужасе.
Моя статья для реального сектора экономики, где люди изо дня в день своими руками зарабатывают себе на жизни. Если построить подобный бизнес, используя приемлемые в муниципальных предприятиях принципы, то такая компания не проживет и одного дня — все клиенты разбегутся в ужасе.
У вас статья называется «памятка для офисного сисадмина», а не «как должен работать сисадмин в идеальной сферической компании в вакууме».
Как раз таки сферические компании в вакууме — это госучреждения. В них даже за убыточные проекты премии дают — http://www.rbc.ru/technology_and_media/28/04/2016/5721f86e9a7947175d738b60?from=main
Вы не поняли. В реальности (неважно, муниципальное учреждение или из реального сектора) задача подбора персонала адекватно потребностям компании — прерогатива HR и руководства, но уж никак не системного администратора. И не сисадмину выносить вердикт о профпригодности на основании того, что сотрудник не смог составить формулу в Экселе. Поэтому «правила» ваши на практике применимы в лучшем случае только к офисному планктону.
Также в мире розовых пони не существует, например, «особо ценных сотрудников» из числа родственников-знакомых руководства компании.
Также в мире розовых пони не существует, например, «особо ценных сотрудников» из числа родственников-знакомых руководства компании.
4. Пользователи должны уметь работать с компьютером
Моя подруга устроилась в небольшую гостиницу на 30 номеров и в первый день ей дали толстый толмуд со скриншотами, где описаны все действия с их системой учёта начиная с включения компьютера.
>>Вам так же не надо собирать отказоустойчивый кластер из старых системных блоков и незаконно использовать программы, которые компания не хочет покупать.
Про кластер — спорный совет, смотря для каких целей он нужен и какие решения используются. Например у нас есть сайт, который вполне хостится в офисе и работает 24х7, сделан как раз на старых пк и для надежности по личной инициативе сделан кластер из nginx, keepalive vip, master-master mysql, glusterfs. Сайт не критичен, нагрузка маленькая, данного решения вполне хватает. Да, железо отказывало, но благодаря кластеру, заменялось не спеша в рабочее время.
Про кластер — спорный совет, смотря для каких целей он нужен и какие решения используются. Например у нас есть сайт, который вполне хостится в офисе и работает 24х7, сделан как раз на старых пк и для надежности по личной инициативе сделан кластер из nginx, keepalive vip, master-master mysql, glusterfs. Сайт не критичен, нагрузка маленькая, данного решения вполне хватает. Да, железо отказывало, но благодаря кластеру, заменялось не спеша в рабочее время.
А для каких целей нужен собранный вами кластер? Самореализоваться?
Как минимум получить опыт. Не развивающийся айтишник обречен.
Развиваться надо в виртуальной лаборатории, а не на живой компании. Ваши действия только увеличили стоимость обслуживания и не принесли никакой пользы компании. Вы поступили как эгоист, т.к. не подумали ни о компании, ни о специалистах, которые будут работать после вас.
>>>Ваши действия только увеличили стоимость обслуживания и не принесли никакой пользы компании.
В чем кардинально увеличивается стоимость обслуживания в данном случае? В том что, в тех же mysql, nginx в конфигах есть поддержка балансировки? Разве простенький кластер на Linux, описанный в поднятой корпоративной вики, это настолько сложно для понимания?
Ну допустим, после увольнения придет новый админ, который не будет разбираться во всех новомодных штуках, ну так никто не мешает ему поднять то, что он знает — хоть на apache с Windows 7 или вообще перенести все на хостинг.
В чем кардинально увеличивается стоимость обслуживания в данном случае? В том что, в тех же mysql, nginx в конфигах есть поддержка балансировки? Разве простенький кластер на Linux, описанный в поднятой корпоративной вики, это настолько сложно для понимания?
Ну допустим, после увольнения придет новый админ, который не будет разбираться во всех новомодных штуках, ну так никто не мешает ему поднять то, что он знает — хоть на apache с Windows 7 или вообще перенести все на хостинг.
В чем кардинально увеличивается стоимость обслуживания в данном случае?
Ну допустим, после увольнения придет новый админ, который не будет разбираться во всех новомодных штуках, ну так никто не мешает ему поднять то, что он знает — хоть на apache с Windows 7 или вообще перенести все на хостинг.
Вы сделали вещь, которая требует высокой компетенции в обслуживании, с высокой вероятностью однажды сломается, никому не нужна и которую с большой вероятностью придется переделать. Вы потратили свое время (которое оплачивает компания), а также потратили время ваших последователей на переделку вашего креатива.
Уверен, что кластер из двух старых системных блоков для сайта, который никому не нужен — это не единственная ваша поделка, которую придется за вами переделывать вашим коллегам.
для своих нужд, как уже выше писал, чтобы в случае падения не искать в попыхах новый ПК, а планомерно заменить старый.
>>>>Вы сделали вещь, которая требует высокой компетенции в обслуживании, с высокой вероятностью однажды сломается, никому не нужна и которую с большой вероятностью придется переделать. Вы потратили свое время (которое оплачивает компания), а также потратили время ваших последователей на переделку вашего креатива.
Ну во первых, компания платит не за время как таковое, а за обслуживание инфраструктуры и helpdesк для пользователей. У штатных сотрудников не почасовая оплата. А разгружать, знаете ли фуру, когда «время все равно оплачено», не входит в обязанности.
Хорошо — опишу весь «айсберг», а не верхушку в виде кластера.
Компания — 50 человек. Рабочие станции на Windows 7 OEM, пара XP, у всех админские права, где-то нелицензионщина стояла — вроде всяких Photoshop. без антивируса. Компания живет от одного крупного заказа, до другого, денег на модернизацию ИТ нет. Этот кошмар оставил мне предыдущий админ, через день у кого-то выскакивали winlocker'ы, а сеть тормозила из-за умников с торрентами. Документации небыло, так как нечего описывать.
Был сайт с БД на mysql на древнем debian, откуда параллельно выгружались данные неким самописным ПО, для обработки бухгалтерией.
Автоматических бекапов не делалось. Один раз после отключения света, пришлось чинить БД. И это все в первый месяц!
Задач конкретных мне не ставилось — все сводилось к обслуживанию имеющегося, в виде оперативного залатывания дыр.
Что было сделано:
1. Поднят Zentyal в качестве AD и файловой шары на Soft Raid 1. Настроена учетка локального админа.
2. Все пользователи введены в корпоративный домен, настроены GPO, учетки ограничены в правах.
3. На ПК установлены бесплатные антивирусы (есть ограничение на кол-во машин по лицензии)
4. Настроен шлюз на pfsense с шейпером трафика и dual wan. Так же настроен резервый роутер, с подробной инструкцией куда воткнуть проводок
в случае если упадет основной шлюз.
5. Поднята тогда еще новая LTS ubuntu, настроены ежедневные бекапы на сетевую шару, создан злополучный кластер для отказоустойчивости.
6. Поднял Redmine для Wiki и задачника.
7. Для себя, эгоиста — еще и vpn настроил.
Результат — куча свободного времени, за которое получается, да — мне платит компания.
Усложнили ли мои «поделки» инфраструктуру — однозначно.
Будет все работать если отрубить сервера и убрать все это — будет, но так же как и до моего прихода.
Будут ли переделывать за мной — не исключаю, возможно поставят ломаный Win Server и AD. А документацию будут вести в ворде.
Сложно ли найти специалиста по администрированию этого хозяйства — нет.
Эгоист ли я — возможно, а может просто ленивый…
P.S я уже как год оттуда ушел и как это не парадоксально, из-за кучи свободного времени.
Инструктаж новому админу был минут 20, остальное он по документации сообразил.
Из 5 собеседуемых человек, трое вообще не знали основные базовые понятия сетевого администрирования, но слава монстру, хоть не первого встречного берут.
Ну во первых, компания платит не за время как таковое, а за обслуживание инфраструктуры и helpdesк для пользователей. У штатных сотрудников не почасовая оплата. А разгружать, знаете ли фуру, когда «время все равно оплачено», не входит в обязанности.
Хорошо — опишу весь «айсберг», а не верхушку в виде кластера.
Компания — 50 человек. Рабочие станции на Windows 7 OEM, пара XP, у всех админские права, где-то нелицензионщина стояла — вроде всяких Photoshop. без антивируса. Компания живет от одного крупного заказа, до другого, денег на модернизацию ИТ нет. Этот кошмар оставил мне предыдущий админ, через день у кого-то выскакивали winlocker'ы, а сеть тормозила из-за умников с торрентами. Документации небыло, так как нечего описывать.
Был сайт с БД на mysql на древнем debian, откуда параллельно выгружались данные неким самописным ПО, для обработки бухгалтерией.
Автоматических бекапов не делалось. Один раз после отключения света, пришлось чинить БД. И это все в первый месяц!
Задач конкретных мне не ставилось — все сводилось к обслуживанию имеющегося, в виде оперативного залатывания дыр.
Что было сделано:
1. Поднят Zentyal в качестве AD и файловой шары на Soft Raid 1. Настроена учетка локального админа.
2. Все пользователи введены в корпоративный домен, настроены GPO, учетки ограничены в правах.
3. На ПК установлены бесплатные антивирусы (есть ограничение на кол-во машин по лицензии)
4. Настроен шлюз на pfsense с шейпером трафика и dual wan. Так же настроен резервый роутер, с подробной инструкцией куда воткнуть проводок
в случае если упадет основной шлюз.
5. Поднята тогда еще новая LTS ubuntu, настроены ежедневные бекапы на сетевую шару, создан злополучный кластер для отказоустойчивости.
6. Поднял Redmine для Wiki и задачника.
7. Для себя, эгоиста — еще и vpn настроил.
Результат — куча свободного времени, за которое получается, да — мне платит компания.
Усложнили ли мои «поделки» инфраструктуру — однозначно.
Будет все работать если отрубить сервера и убрать все это — будет, но так же как и до моего прихода.
Будут ли переделывать за мной — не исключаю, возможно поставят ломаный Win Server и AD. А документацию будут вести в ворде.
Сложно ли найти специалиста по администрированию этого хозяйства — нет.
Эгоист ли я — возможно, а может просто ленивый…
P.S я уже как год оттуда ушел и как это не парадоксально, из-за кучи свободного времени.
Инструктаж новому админу был минут 20, остальное он по документации сообразил.
Из 5 собеседуемых человек, трое вообще не знали основные базовые понятия сетевого администрирования, но слава монстру, хоть не первого встречного берут.
Компания — 50 человек.
Это ключевое. Пока размеры компании таковы, что затраты на специалиста превышают затраты на оборудование, делать можно что угодно и как угодно, используя какие угодно решения и оборудование в каком угодно виде и состоянии. Тем более что у вас из айти хозяйства был только файловый сервер, да доступ в Интернет.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Памятка для офисного сисадмина