В своих записках так таблицы оформляю.
Привычка записывать все в иерархические списки (аутлайнеры). Это позволяет быстро восстановить контекст при возвращении к задаче.
Основной недостаток SSTP — продолжение его достоинства. Он TCP-only. При росте латенции до клиента радикально падает как пропускная способность канала, так и интерактивность сессии. Банально, при доступе к терминальному серверу по SSTP-туннелю, вводимый юзером текст отображается с задержкой до нескольких секунд.
Плюс инкапсуляция там не в SSL, а в честный HTTPS. С одной стороны, позволяет на одном адресе и порту одновременно хостить SSTP-сервер и HTTPS-сайт, с другой — прожорливо по ресурсам.
Ну и еще нюанс — через reverse proxy его прокидывать то еще удовольствие, как выяснилось. В протокол вмурована дополнительная защита от HTTPS MitM, сервер проверяет хеш сертификата, на который терминировался клиент. И, чтобы у них пасьянс сошелся, пришлось поломать голову.
Есть мнение, что локально это блокируется отвязкой CIFS от VPN-интерфейсов использующихся для анонимизации. Если VPN корпоративный, то галку оставить, но блокировать на корп периметре — как для внутренней сети, так и для VPN-клиентов. Что вроде очевидно.
При этом, блокировать tcp/445 — маловато будет.
Занимался давно, могу наврать, но:
1) CIFS умеет работать как по tcp, так и по udp. Соответственно надо фильтровать и udp/445
2) SMB, со всей своей утечкой хешей, бывает (был?) и через NBT. А это уже tcp/139.
В AirConsole можно перелить даже нативный HAME MPR-A1 с 16Mb памяти и флешем меньшего размера. На самой AirConsole 32Mb, но для работы хватает и 16.
Дамп раздела Factory нужно патчить, туда зашиты MAC-адреса железки. Если не хотим конфликта в сети.
Лицензия на Enterprise Server проверяется только самой железкой, на сервере проверки нет. И только один раз при изменении IP сервера в настройках. Лечится через ручное создание записей в nvram. Значение ps_signature на самом деле не проверяется.
В итоге: возможно изготовление полноценных железок на дому.
Я просто оставлю это здесь:
https://www.blueskies-software.com/fb/airconsole/airconsole-custom-firmware/
http://www.myscu.ru/blog/aliexpress/27796.html
http://www.get-console.com/shop/en/airconsole-20/87-airconsole-1-to-2-upgrade-kit.html
http://support.get-console.com/support/solutions/folders/5000112382
только для некоммерческого использования
причем коммерческое оно или нет — они решают сами
вполне можно столкнуться с тем, что через год вам продлевать сертификат откажутся и попросят денег
А примонтировать диск не как «D:», а как «C:\D\» и использовать относительный путь в vhd?
Но, по-моему, низкий ресурс SSD на запись, это уже urban myth.
Пару лет как полностью перешел на SSD, используются в хвост и гриву — свопы, бакапы, виртуалки без поддержки TRIM — и никаких проблем.
По SSDLife — они еще меня переживут.
В качестве альтернативы можно использовать сервер SoftEther VPN (http://www.softether.org/).
Он бесплатный, без ограничения на кол-во сессий и обещает жить на Windows 7.
AssumeUDPEncapsulationContextOnSendRule=2 нужен не только для Windows 8, а для любых Windows старше XP SP2.
Должно быть и на сервере и на клиенте (если правильно помню).
Включает оно поддержку NAT-T — клиент и сервер могут быть за NAT'ом.
Можно я порушу иллюзии?
1) Свободно использовать диапазоны частот WiFi можно только внутри здания. Как только вы начинаете «светить» на улицу — вам необходимо частотное выделение. Что в этих диапазонах нереально — все поделено до вас.
2) Тот 3G, который вам дает ОПСОС, может использоваться только частными лицами. Оказание услуг связи на таких стыках незаконно. Да и много там наоказываешь — с лимитом в 50-100 Мб в час…
ну почему же неправильный?
сертификат будет выдан CA самой компании
если у клиентов сертификат корпоративного CA в Trusted Root — что и просходит в домене windows — цепочка сертикатов будет валидной
а про «кто-то умеет?» — Microsoft TMG это умеет из коробки
да еще и уведомление сотруднику в трее показывать — дескать «ваш https трафик инспектируется работодателем»
Небольшой хинт — Flash, Java и прочая можно обновлять через WSUS.
Родного интерфейса для добавления сторонних пакетов у него нет, но сама возможность в архитектуру заложена, и есть несколько сторонних решений для этого — в т.ч. и бесплатных.
Честно говоря, для меня загадка как это они определяют, но наверное помогает тесное сотрудничество с Билайном.
Очень просто они это делают, у каждой SIM'ки есть идентификатор — IMSI. И он вполне себе публичная информация — оператор связи его отдает кому угодно, например в ответ на HLR запрос.
Соответственно, альфа при логоне запрашивает IMSI, сравнивает с предыдущим, если изменился, то просит подтвердить смену SIM-карты.
Сделано в качестве защиты от массового мошенничества с перевыпуском SIM-карты по поддельной доверенности.
Кстати о птичках, в стране вообще есть внятные ИТ-специализированные кадровые агенства? Чтобы умели например «дампных» специалистов на своей стороне распознавать.
Имеею подозрение, что вам было вполне достаточно нативного vmware-vmrc. Даже без vCenter.
Здесь еще неплохо думать о тех, кому в этот барабан после вас стучать.
За 35 баксов вы по сути получаете дискаунт на Hourly Usage — столбец рядом.
За трафик, EBS, IOPS и все прочее платить нужно ровно так же.
Один ElasticIP на инстанс — бесплатно, когда он используется. Когда не используется — стоит денег.
Два HTTPS сервера — да, ELB.