В конце декабря месяца, когда антивирь таки лег - был поднят временный костыль в виде Forefront TMG с подключенными (Совершенно легально-триально) модулями контентной фильтрации для проверки почты\антиспама etc. Логично, понятно и где-то как-то оправдано. Ясен пень, когда антивирьный вопрос на киске таки решился никто ничего отключать и не подумал - "работает - не трогай!" ну логично же, да?
А потом, как водится !внезапно накрылась основная ISA. Ну, как накрылась - NAT работал, на пинги машинка отвечала, а вот RDP и HTTP-прокси дали дуба. И все бы ничего, но случилось это в аккурат в обед, а представитель А. отвечающий за администрирование пошел утешать главного бухгалтера А. поймавшего (Sic!!!) CryptLocker в конце отчетного периода... тащиться в серверную соседнего корпуса лениво ("Они все серые!"(Ц)), ковыряться с iLo тоже долго и вот специалист З. никого не предупредив... переключает трафик на другой прокси. Ну не совсем "переключает" добавляет в DNS еще одну А-запись на то же имя и идет обедать.
Вернувшийся от бухгалтера системный администратор А. видит картину маслом-по-сыру - у части пользователей (Настроенных через HTTP-прокси) интернет не работает совсем, у части (Поймавшей новый IP) интернет работает, но требует basic-аутентификацию (Ибо для mail gateway'а которым TMG долгое время и работал ntlm в ... не впился) остальные, работающие через ISA-client/nat о проблемах ничего не знают. RDP до сервера то не работает (На старом сервере, ага), то работает, но не принимает пароль (TMG-то тестовый и в эксплуатацию А. не передан!). Полчаса активного секАса и сервер перезагружен через iLo - после чего тырнет отваливается еще и у половины пользователей ISA-Client'a/NAT'a попавших на TMG после reboot'a - ну вашу же почтенную родительницу 33 раза не вынимая!
Тут бы а(дмину) А. и карачун пришел от попыток разобраться в ситуЁвине - но ваш покорный пришел с обеда и запустил насквозь некорпоративенную opera'у которая (Ужас-ужас!) матюкнулась на gmail'ный сертификат, выписанный !внезапно родным предприятием (Да-да, я параноик и на такие вещи внимание обращаю). Man-in-the-middle attack, ага. Учитывая, что ISA подмену сертификатов "на лету" не могЁт, а Bluecoat все еще не вышел из стадии тестирования и болтается в песочнице - кандидат остался только один. Попытка найти icmp router advertisement к успеху не привела (А DNS проверить мне в голову не пришло) и TMG был выпилен на циске... после чего закономерно отвалилась почта
.
В общем, когда сотрудник З., ответственный за проведение мероприятий вернулся с территории и сказал "Да это я тут быстренько..." - было весело.
А потом, как водится !внезапно накрылась основная ISA. Ну, как накрылась - NAT работал, на пинги машинка отвечала, а вот RDP и HTTP-прокси дали дуба. И все бы ничего, но случилось это в аккурат в обед, а представитель А. отвечающий за администрирование пошел утешать главного бухгалтера А. поймавшего (Sic!!!) CryptLocker в конце отчетного периода... тащиться в серверную соседнего корпуса лениво ("Они все серые!"(Ц)), ковыряться с iLo тоже долго и вот специалист З. никого не предупредив... переключает трафик на другой прокси. Ну не совсем "переключает" добавляет в DNS еще одну А-запись на то же имя и идет обедать.
Вернувшийся от бухгалтера системный администратор А. видит картину маслом-по-сыру - у части пользователей (Настроенных через HTTP-прокси) интернет не работает совсем, у части (Поймавшей новый IP) интернет работает, но требует basic-аутентификацию (Ибо для mail gateway'а которым TMG долгое время и работал ntlm в ... не впился) остальные, работающие через ISA-client/nat о проблемах ничего не знают. RDP до сервера то не работает (На старом сервере, ага), то работает, но не принимает пароль (TMG-то тестовый и в эксплуатацию А. не передан!). Полчаса активного секАса и сервер перезагружен через iLo - после чего тырнет отваливается еще и у половины пользователей ISA-Client'a/NAT'a попавших на TMG после reboot'a - ну вашу же почтенную родительницу 33 раза не вынимая!
Тут бы а(дмину) А. и карачун пришел от попыток разобраться в ситуЁвине - но ваш покорный пришел с обеда и запустил насквозь некорпоративенную opera'у которая (Ужас-ужас!) матюкнулась на gmail'ный сертификат, выписанный !внезапно родным предприятием (Да-да, я параноик и на такие вещи внимание обращаю). Man-in-the-middle attack, ага. Учитывая, что ISA подмену сертификатов "на лету" не могЁт, а Bluecoat все еще не вышел из стадии тестирования и болтается в песочнице - кандидат остался только один. Попытка найти icmp router advertisement к успеху не привела (А DNS проверить мне в голову не пришло) и TMG был выпилен на циске... после чего закономерно отвалилась почта
.В общем, когда сотрудник З., ответственный за проведение мероприятий вернулся с территории и сказал "Да это я тут быстренько..." - было весело.
-
-
03.02.2014 в 21:16-
-
04.02.2014 в 08:43Где
деньгисчет,Зинблин!?-
-
04.02.2014 в 10:40Ай, блин!
Сейчас взбодрю всех причастных тихим незлобивым словом!