Month: December 2005

Érik a fekete

Nem, nem cseresznye. Szeder. És nem be, hanem – ha rajtam állna -, akkor ki.

Már az ókori görögök is tudták, mi a jó nekik – még a legelvetemültebb kutatások során sem találtak a régészek semmi nyomot, hogy őseink használtak volna valaha is Blackberry mobil üzenettovábbító rendszert.

Az ügyfél nem volt ennyire elővigyázatos. Neki_ilyen_kellett. A magyarázat egyszerű: habár már telepítve van két darab Onebridge SyncServer (mindegyik organizációhoz egy-egy), de ezek csak PDÁ-val tudnak szinkronizálni. (Kutatásaim szerint valahogy össze lehet lőni Blackberry-vel is, de ebbe most ne menjünk bele.) És amikor a vezig Amerikában járt és az összes CEO előrántotta a kütyüjét, tízből kilenc Blackberry volt. Kinézték szegényt a PDÁ-jával.

Uccu, megvették az egészet tokkal-vonóval. Rám várt a nagy feladat, hogy beüzemeljem.
Az első olvasgatások után nem tűnt túl bonyolultnak. Volt telepítési kézikönyv is – mi más kellhet még? Idő, türelem… novemberben mindezek még megvoltak.

Feltelepítettem a Windows2003 szervert, összeszedtem minden szükséges komponenst. Rengeteg volt, nem véletlenül kézikönyv formában adták mellé a telepítési leírást. De végül tényleg összejött minden.
Aztán a sokadik oldalon azt mondta, hogy telepítsük fel rá az Exchange System Managert. Csakhogy a becélzott organizáció még 5.5-ös. Az Exchange Admin meg nem ment föl Windows2003 szerverre, de nem ám.
Újabb kör a Dataplexbe, Windows2000 szerver felugrott – persze ehhez teljesen más garnitúra lószart kellett leszedni. (IE6, CDO patch, ADODB, stb…) De minden munka elfogy egyszer (vagy nem?) és eljutottam odáig, hogy aktiváljuk a kézi egységet. Vállalati aktiválás elindul, aztán vár. Vártam vele én is. Azóta is ott várnánk együtt, ha a qrtafarkú malac ki nem túrt volna.
Jöhetett a szokásos vajákolás. Logok nézegetése, önmarcangolás (biztos, hogy mindent jól telepítettem?); ilyen kísérlet, olyan kísérlet. Ügyfél kapcsolattartója megpróbálta a lehetetlent: támogatásért folyamodott a T-online-hoz, aki spec. a rendszer eladója volt. Jöttek is az ötletek: ne a wireless aktiválással sportoljunk, hanem a drótossal. Dugjuk fel a kütyüt egy PC-re és indítsuk el úgy a folyamatot. Ehhez lazán bele kellett durrantani a tűzfalba egy páncélököllel, de nem probléma. És már a tűzfalas emberünk is felgyógyult.Viszont az aktivizálás így sem ment. Jött a következő zseniális ötlet: dugjuk fel a kézi egységet közvetlenül a szerver USB portjára. Mert egy szervernek ilyesmi csak úgy van. A vicces az, hogy ez spec desktop gép volt, tehát véletlenül pont volt neki USB ivarszerve. Ekkor egy kicsit rettegtem, hogy ez a módszer _nehogy_ működjön: ebben az esetben ugyanis minden készülék aktiválásakor villamosozhattam volna a Dataplexbe. De a modern technikában lehet bízni: ha eddig sehogy sem működött az aktiválás, akkor ezzel a módszerrel sem produkált meglepetést.
Közben az ügyfél átrágta magát a T-online védelmi vonalain (CRM, te drága) és eljutott egy szakemberig. Az első kérdés az volt, eltávolítottam-e az Outlook-ot. Nem is volt rajta. És az Outlook Express-t? Izé… nem. Hol is van ez leírva? Sehol. De tapasztalat, hogy nem lehet fent.
Jó, szedjük le. Bár az emlékeimben úgy rémlett, hogy ez össze van nőve az Internet Explorer-rel és annyira masszív részei az operációs rendszernek, hogy csak ördögűzéssel távolíthatók el. Naív módon először a Microsoftnál néztem szét.
Most mondja azt valaki, hogy a fiúknak nincs humorérzékük. A következő KB cikken órákig röhögtem.

Cím:
Nem tudjuk leszedni az Outlook Expresst Windows2000 alatt.
Jelenség:
A Windows2000 helpjében leírt módon nem tudjuk eltávolítani az Outlook Expresst.
Ok:
A help fájl hazudós.
Megoldás:
Nem tudod eltávolítani az Outlook Expresst a Control Panel Add/Remove Programs segítségével.

Gyönyörű…
Aztán persze megtaláltam az igazi KB cikket is, illetve ennek különböző, kevésbé aggódós változatait. Mindenesetre elég durva munkának igérkezett, egy csomó könyvtárat, registry kulcsot és rendszerfájlt kellett kigyilkolni, megküzdve közben az állásait elkeseredetten védő Windows File Protection szolgáltatással.
Illetve első körben nem tudtam megküzdeni vele, ugyanis nem dobta fel a megjósolt ‘Uramatyám, mit csinálsz’ ablakot. Ehelyett gondolkodás nélkül visszarakta a dll-eket, még akkor is, amikor a dllcache-ben töröltem és a telepítőkészlet a fasorban sem volt. Nem részletezem, mennyit őszültem közben, a megoldás végül az lett, hogy oda kellett menni fizikailag a szerverhez, barackot nyomni a buksijára és konzolról törölni a rendszerfájlokat. Ekkor már feldobálta a WFP a fehér zászlókat én pedig könyörtelenül legéppisztolyoztam a követeket.
Jöhetett az újabb aktiválási kísérlet. Nem koronázta siker.
Ezután lépésről lépésre végigmentünk a folyamaton és kiugrott, hogy bizony az Exchange organizáció nem érhető el az internet felől. Bizony-bizony, ez egy ilyen organizáció: az ügyfél, aki egy nagy multi hazai leánya, ezen keresztül tartja a kapcsolatot Anyucival. Ja, sóhajtott fel a support legény, akkor ez nem is fog menni. A központi Blackberry server e-mailben küldi el a tanúsítványt a szinkronizálandó postafiókba. Biztos? Igen. Le is írnád? Persze.
Ez után a levél után az ügyfélnél egyes emberek napokig csak egy irányba tudtak menni. A vezig ugyan egy nagyon kedves ember, de ha nem kapja meg a játékát, roppant kedvesen tudja ki is rúgni az embert. (Olyan átmenet Mr Gatto és Mr Teufel között.)
Persze jött a felelős keresése. Én széttártam a kezem: a dokumentációban erről a kitételről egy szó sincs, nekem meg eszembe sem jutott, tekintve, hogy a konkurrens Onebridge simán veszi ezt az akadályt. A T-online meg elfelejtett szólni erről az apróságról; hja, mindenre ők sem gondolhatnak.
Az ügyfél roppant szerencséjére éppen folyik egy másik projekt is. Az anyacég átrendezi sorait és az egész 5.5 organizációt átmigrálja egy E2k3 környezetbe. Ergo nekünk is meg kell lépnünk egy hasonló migrációt, velük egyeztetve. Történetesen az ügyfélnek már van egy E2k3 organizációja, tehát mindösszesen annyi a dolgom, hogy az 5.5 organizációt be kell migrálni az E2k3-ba, azt pedig konnektorokon, DNS-en és MIIS-en keresztül összekötni Anyucival. Bagatell.
De ha ez lemegy, akkor lesz egy olyan organizáció, amelyikben landolnak az anyacég levelei és amelynek lesz Internet kijárata -> ergo bele lehet kötni a Blackberry-t -> ergo Mr Vezig legközelebb nagy arccal elő tudja majd rántani a handheldet az USÁ-ban. (Bár, ahogy most mennek a dolgok, lehet, hogy addigra már pont a többieknek lesz PDÁ-ja.)

Ehhez viszont nyilván újra kell telepíteni a Blackberry szervert, immáron Windows 2003 szerverrel.
A két projektet simán lehet vinni egymás mellett is, így egyszerre telepítettem a két kulcsszervert. (Lásd itt.) Érdekes nap volt.
Most arra számítasz, hogy egy ilyen bonyolult folyamatban milyen összetett szívásokról fogok írni. Nos, nem. A következő szívás nagyon egyszerű, de annál hatásosabb volt. Dönci – a korábban már emlegetett páncélszekrény – azóta őrzi a lábnyomaimat. Meg a harapásmintámat.
Újratelepítés. Eljutottam odáig, hogy partícionálás. Ugye addig volt egy C: – system és boot partíció egyben; emellett egy D:, melyen közel 2 GB, nehezen összevadászott telepítőanyag figyelt. Én csak a C: partíciót terveztem újrahúzni. Igenám, de a telepítésnél feljövő menüben fel volt cserélve a két partíció betűjele! Ha meg akartam őrizni a telepítőkészletet, akkor csak a másik partícióra tudtam telepíteni, ekkor viszont az eredeti D: – amelyik most át lett nevezve C:-nek – lett a boot partíció (amelyiken a system van); míg az eredeti C: – amelyik most át lett nevezve D:-nek, lett a system partíció (amelyikről bootol a rendszer.)
Tudtok követni? Mert most kezdődik igazán a keverés.
Hogy véletlenül se tudjak hibázni, mindkét partícióra felmásoltam a telepítőkészletet. Új telepítés, a partíciók megadásakor letöröltem a D-t, a C-re tettem a windowst. Ekkor egy partíciót kaptam a telepítés után – csakhogy ez volt a nagy és a másik, a D: lett a kicsi. Nekem viszont pont fordítva kellett. Semmi gond, létrehoztam egy kis partíciót, átneveztem X-re, átmásoltam rá is a telepítőkészletet és újratelepítettem a windowst. A partíciók megadásakor a régi C-t (amelyik most egyszerre volt boot és system is) letöröltem és meglepetten konstatáltam, hogy az általam X-nek nevezett partíciót E-re nevezte át. A telepítés lefutott, lett rendesen C: partícióm, egy nagy büdös partícionálatlan rész és valahol a diszk végén egy E: partíció. Amelyikre ez a szerencsétlen nyáladzó elmebeteg rátette a system partíciót.
Aki esetleg elvesztette a fonalat, most jön a visszacsatlakozási pont.
Ennek a büdöslábú operációs rendszernek nem lehet megmondani, hogy telepitéskor ne bántson egy már meglévő partíciót. Ha már van egy partíció és létrehozok egy másikat, hogy arra települjon, akkor automatikusan mindkettore telepíti az operációs rendszer egy részét (system/boot partíciók). És nyilván ezeket a partíciókat utána már nem lehet bántani.
Két választási lehetőségem volt:
– valami unattend szkriptes matyival megmondom neki, ki legyen a system és boot partíció,
– vagy a 2GB adatot hálózaton keresztül átnyomom egy másik gépre, majd mindkét partíciót törlöm. Telepítéskor pedig csak egy partíciót adok meg, így nem tud a nyomorult variálni.
Ez volt a gyorsabb, ezt választottam. Szerencsére nem jött reklamáció szolgáltatás lassulásról.
De akárhogy is nézem, megint ugyanaz a történet: egy MS termék megint azt hisz magáról, hogy ő a kurva okos és nem, az istennek sem engedi, hogy valami kósza admin belepofázzon. Ha két partíció van telepítéskor, akkor külön lesz a system és a boot. Ha úgy gondolja jónak, akkor a partíciókat is átnevezgeti. Mindenkinek pofabe.
Amikor először futottam bele ebbe, akkor azt hittem, biztosan én voltam figyelmetlen.
De nem.
Szégyen.

Na, mindegy, az operációs rendszer felment. Egymás után négyszer is. Visszakerült a jó öreg Windows 2003 szerver.
És ennek már volt egy hatalmas előnye. Amikor másnap eszembe jutott, hogy nem gyaktam ki az Outlook Expresst, akkor már nem kellett kimennem ismét a Dataplexbe, tekintve, hogy ennek már van mstsc /console üzemmódja. Kis lépés az emberiségnek, nagy lépés egy aggresszív klímától torokgyíkban szenvedő adminnak.
Mondjuk a biztonság kedvéért rákerestem, nem változott-e valami a gyilkolászással kapcsolatban. És igen, változott. Azt írták – már fogalmam sincs, hol -, hogy a Windows 2003 alól sehogyan sem lehet eltávolítani az OE-t. Depressziós lesz, kardjába dől, zsúfolt buszon felrobbantja magát.
Ugyan. Mivel más választásom nem volt – a T-online veszettül ragaszkodott hozzá, hogy ez a remek, XXI. századbeli program nem képes együttműködni egy évek óta masszív Windows rendszerkomponenssel – szóval kénytelen voltam kipusztítani a dll-eket. Bár a WFP bedobott még egy apró trükköt – W2k3-nál a Search már nem keres a dllcache könyvtárban -, de terminátorként megkerestem a menekülő fájlokat és nem volt kegyelem.
Nyilván újraindítottam műtét után távolról a gépet – és nem állt fel.
Hmm. Lehet, hogy a Microsoftnak tényleg igaza volt és tényleg ennyire kritikus komponens az Outlook Express?
Mese nincs, duzzogva bár, de ki kellett mennem megint a Dataplexbe. Az Árpád-hídnál lévő rétesárusnak jól ment ebben az időben, mindig bedobtam nála egy mákosat.
Amikor beléptem a szobába, kellett egy kis idő, míg levegőhöz jutottam. Az történt, hogy egy kolléga bekötött egy tesztgépet és mivel nem talált hozzá szabad konzolt, lehúzta a Blackberry szerverét. Az a süket BIOS meg várta, hogy valaki majd megnyomja az F1-et a hiányzó billentyűzettel.
Alapvetően tiszta szerencse, hogy ilyenkor én már hangolódok a szeretet ünnepére.

A sok kanyar után megint összejött egy tesztelhető állapotú konfiguráció. Vállalati aktiválás – és igen, megérkezett a teszt postafiókba a vezérlő levél. Aztán ennyiben is maradtak. A Blackberry központ negyedóránként elküldte a levelet, a handheld meg cseszett aktiválni. Vagy a jó ég tudja, melyik komponens.
Újabb levél a support hapinak. Két napig semmi. Ekkor felhívtam a srácot, olvasta-e. Még nem. Be van havazva. Oké. Levél az ügyfélnek, így állunk. Vezig hogy érzi magát?
Huh. Újabb kapkodás. Ingerült levélváltások. Hogy milyen support is ez? A T-online büszkén válaszol, hogy semmilyen. Ugyanis ehhez a cucchoz nem is adnak el supportot, mert hivatalosan nincs is olyan termékük, hogy támogatás. De ha ennyire bénák vagyunk, akkor kijönnek és jó pénzért feltelepítik ők.
Szóval ment az agyalás. Én közben – sokadszor – átolvastam a telepítési útmutatót. És basszus, megakadt a szemem egy megjegyzésen: ne telepítsük a Blackberry szervert dmz-be. Lehet, hogy az a baj, hogy túl okosnak képzeltem magam. Azt gondoltam, hogy legfeljebb majd megnézzük jól, mit akar ez kommunikálni, aztán azokat jól átengedjük. Aztán lehet, hogy ez meg egy olyan termék, amelyik csak akkor működik, ha egy LAN-on van az Exchange szerverrel. Mittudomén, lehet, hogy azt se tudja, mi az a default gateway. (Tudom, nem az a szint… de ha az ember el van kettyenve, akkor szinte mindegy mit, csak csinálni akar valamit.)
Kimentem megint a Dataplexbe és átkábeleztem a belső LAN-ra. NIC, routing tábla, minden rendben, a gép működött, távolról is. Akkor újabb kísérlet, és újabb döbbenet: a Blackberry Manager azt mutatta, hogy a szerver nem működik.
Vazze, ez a szerencsétlen nem bírta elviselni, hogy megváltozott az IP címe. Nyess. Blackberry szerver le, aztán fel. És már csodálatosan működött is. Jöhetett a teszt, levél megérkezett és a negyedórás próbálkozások is.
Közben jött e-mail a supporttól – gondolom ráléptek a figura farkára jól; pedig ő tehetett a legkevésbé a helyzetről. Azt mondta, akkor szokott ilyen történni, ha nem jól távolítják el az Outlook Expresst. Ekkor sikítoztam egy kicsit. Ugyan már, mi a megfelelő eltávolítása egy eltávolíthatatlan programnak?
Nem sokkal később jött egy másik levél is, benne egy csomó tippel. Köztük azzal, hogy ugye, a service account user nevében léptem be és csináltam a telepítést. Nem. Már miért tettem volna? Általában domain adminnal telepítek, ha kell service account user, akkor legfeljebb átírom a service adatlapját. No, mindegy, egy próbát megér.
És igen. Ez hozta a megoldást. Bármennyire is hihetetlen, a service account user valami démoni lény és csak ő tudja azt a titkot, amitől életre lehelődik a Blackberry szerver. És hol van ez leírva? – kezdtem dühöngeni. Újból elővettem a rongyos telepítési leírást… és megtaláltam. Egyszer leírták nagy vonalakban a folyamatot, egyszer pedig szájbarágósan. És az utóbbi változatnál volt ott, elég apró betűkkel.
Legközelebb annyira betű szerint fogok telepíteni, amennyire csak lehet.
Bár ismerve a rajtam ülő átkot, akkor meg biztosan egy sajtóhibába fogok belebukni.

Szóval öröm, petárdák, hejehuja, pezsgőbontás. Most már van egy Blackberry kütyüm is. Illetve eddig is volt, csak nem működött.
Még annyi lett volna hátra, hogy visszaköltöztetjük a cuccot a dmz-be, de a support gyorsan szertefoszlatta az elképzeléseimet: felhívta a figyelmemet, hogy az első aktivizálás után már ne változtassuk meg a szerver IP címét, az ugyanis be lett regisztrálva a Blackberry központban, a licenszkulccsal együtt. A belső IP? – hűledeztem. Ja – jött a válasz.

Én általában vonzódom a bizarr dolgokhoz, de ez már meghaladta az én tűrőképességeimet is. Sóhajtottam egy nagyot, megírtam az üzemeltetési dokumentációt és lerúgtam magamról az egész bagázst.
Nem is akarom látni többet.

Ezt ne próbáljátok ki otthon

Essünk túl rögtön a nehezén: farok voltam. Nem is kicsit. De megint mákom volt, nem ez okozta a szopást.
Mint írtam korábban, egy nagyobb lélegzetű projekt részeként fel kellett húznom egy távoli tartományban, egy távoli szájtban egy tartományvezérlőt. Anélkül, hogy túl sokat gondolkodtam volna, felhúztam rá egy w2k3 szervert. Aztán amikor jött a dcpromo, kerregett egy kicsit, majd indignáltan közölte, hogy “legalább egy adprep kellene, fiú“. Basszus – csaptam a fejemre – ez még csak natív w2k tartomány. Oké, tudomásul vettem, hogy nem történt meg az előléptetés – a biztonság kedvéért átnéztem az AD-t, de sehol semmi nyoma nem volt, hogy keletkezett volna egy DC.
Újrahúztam a gépet, immáron w2k-val, megint dcpromo, remekül sikerült. Elég késő este volt, gondoltam reggelre lemegy minden replikációs szutyok.
Hát, nem. Semmi replikáció nem történt, semmi srv rekord nem jött létre – a DC bizony elég döglöttnek tűnt. Egy kollégával nekifogtunk a feltámasztásnak, de nem bírtuk kirángatni a klinikai halál állapotából. A hibaüzenetek mélyén mindig beleütköztünk egy gyanús objektumba, mely egy guid névre hallgatott. Úgy tűnt, hogy ez a bazi hosszú karaktersorozat akadt keresztbe az AD torkán.
Ha nem, hát nem. Dcpromo vissza. Azt mondta, hogy nem lehet, mert nem működik a replikáció. Itt kezdett el jojózni a szemem – hát pont azért akarom demotálni, mert nem működik a replikáció! Aznapra elég is volt ennyi.
Hétvégén egyrészt aludtam egyet-kettőt, másrészt gondolkodtam. Igen, szoktam. Néha.
Találtam is valami magyarázatot. Igaz, légből kapott – ún. identifikált – magyarázat volt, de logikusnak tűnt. Kicsi is, savanyú is, de a miénk. Valószínűleg az első dcpromo már megágyazott a szervernek a konfigurációs névtérben – és csak utána vette észre, hogy nem megfelelő a séma. Persze ezt már nem takaritotta ki. Mocskos Microsoft. Trehány banda.
Jöttem két nap múlva és megpróbáltam létrehozni egy ugyanolyan nevű DC-t. Naná, hogy ennek – legbelül – csak ronda guid-os neve lehetett, hiszen az előző ágy még ott illatozott. Hogy aztán miért okozott helyrehozhatatlan replikációs hibát ez az elnevezés, azt már nem tudom.
A megoldás adta magát: valamilyen módon ki kell takaritani a döglött DC-t, helyét felszántani, sóval bevetni, aztán másik néven kreálni egy újabb tartományvezérlőt. A takarításhoz meg is találtam a megfelelő KB cikkeket (egyik, másik), innentől kezdve már csak a diplomácia maradt hátra. Mennyire lesz ez kockázatos? Ha fejreállítom a regionális vezető szerepre törő ügyfél éles tartományát egy Europe-wide projektben, akkor én az EMEA régióban sem találok új munkahelyet. De az idő is erősen sürget, és bár kicsi a kockázat, de ha megemlítem, akkor beindul a change management, kockázatelemzés, független tesztelés, annyakínja…
Volt min agyalnom.
Végül megoldódott a helyzet. Beavattam a főnökömet, írtam az ügyfélnek, fél napig vártam, nem válaszoltak, hallgatás – beleegyezés. Mehettem dózerolni. Az első döbbenet akkor ért, amikor a dcpromo /forceremoval sem működött. Azt mondta, nem tudja leállítani a netlogont. Nofene.
Itt már azért sejtettem, hogy megint mehetek a jó öreg zajos, szélviharos szerverhelyiségbe.
Egyelőre beléptem az ILO porton, letiltottam az összes hálókártyát, majd nekiálltam megműteni az éles AD szívét. Nem mondom, hogy nem remegett a kezem.
Itt érdemes megemlékezni egy fordítási bakiról.

10. Perform a metadata cleanup for the demoted domain controller on a surviving domain controller in the forest.

10. Végezze el a metaadatok törlését a lefokozott tartományvezérlőn az erdő egy még meglévő tartományvezérlőjéről.

Uraim, ez nem ugyanaz, nagyon nem…
A műtét sikerült, az ügyfél nem vett észre semmit, én meg tekerhettem a Dataplexbe. Ilyen flott telepítésem még nem volt blade-del: 2 óra alatt tiptop fent volt az oprencer, mindenestől. Hát, igen… a rutin.
És jött megint a félelmetes dcpromo. Látszólag minden sikerült. Jó, akkor most menjünk büfébe, mert szégyenlős a kicsi – ha nézik, akkor nem replikál. De ez a büdös dög akkor sem replikált, ha nem nézték. Ugyanaz a jelenség. Semmi replikáció, szájton belül RPC error, szájton kívül semmitmondó ‘majd replikálok, ha ráérek‘ üzenet, az eventlogban meg egy teljesen értelmezhetetlen hibaüzenet: nem tud bejegyezni egy bazinagyguid nevű aliast az msdcs.forestroot dns zónába. Megnéztem és ez egy igen idétlen zóna: tele van ilyen ökörhugyozás bejegyzésekkel és az új DC-nek tényleg nyoma sincs.
Nos, a szituáció megérett egy funkcionális eszkalációra. (ITIL vagyunk, vagy miaf@sz.) Először mozgósítottam a tűzfalas emberünket, majd ezzel egy időben becsörögtem a Microsoft PSS-hez. Tuti örültek nekem, délután fél ötkor, egy ‘A’ kategóriás bejelentéssel. Az első embernek egyből el is romlott a postafiókja, így kénytelen volt rögtön eszkalálni a problémát.
Amíg ők odabent békésen eszkalálgattak, visszahívott az – egyébként igen jónevű – tűzfalas emberünk.
– Hát, van néhány drop, DNS kéréseknél – mondta.
– Mennyi?
– Tulajdonképpen kurva sok.
– Áááááá! – kezdtem el sikoltozni. (Még rögtön az elején nyomatékosan kértem, hogy az új DC és a többi között any-any szabály legyen.)
– Elég érdekes a dolog – folytatta a srác, mintha érezte volna, mi bántja a szívemet – ugyanis protocolfilter fogja meg; azt mondja, hogy valótlan a kérés szintakszisa.
Kezdett összeállni a dolog.
– Nem lehet, hogy ez egy olyan DNS kérés, amelyikben valaki egy kibaszott hosszú nevű aliast akar beregisztrálni? – érdeklődtem.
– De, lehet.
– Nem-e lehetne-e ezt a protokolszűrést kikapcsolni-e?
– De, lehet. (Medve a halállistával.)
Vártam pár percet, újraindítottam a DC-t és… pár perc múlva begerjedt a replikáció. Én így még nem örültem replmon képernyőnek.
Tehát összeállt a kép: a dcpromo lefutott, de egy DNS regisztráció nem történt meg: az új DC GUID-ja nem került be aliasként a forest root tartomány msdcs.forest.root zónájába. És azért nem került bele, mert a bejegyzési kérelmet a tűzfal BOF támadásnak érzékelte.
Oké. De miért vágta ez haza a replikációt?
Ekkor hívtak vissza a Microsofttól. Örömmel közöltem, hogy megoldódott a probléma. Rakjuk össze, amink van – javasolta a srác. Erre elmondtam, mire jöttünk rá – ő pedig elmagyarázta, hogy hogyan is történik igazából a replikáció. Így:

The domain controller initiating the replication (DC1) queries the Active Directory in searching for its configured replication partners. These replication partners are typically defined by the Knowledge Consistency Checker (KCC), but can also be defined manually.
DC1 knows only the name of the domain controller that it wants to replicate with (DC2). It finds a GUID in the Active Directory that matches the target domain controller’s name (DC2). Note that each domain controller in the forest should have its own unique GUID.
Now that DC1 knows DC2’s GUID, it must find DC2’s IP address so that it can connect to it across the network. To do this, DC1 uses DNS. DC1 sends a recursive DNS query to its locally configured DNS server for a CNAME record. The format of this record always matches the following
guid._msdcs.root of Active Directory forest
Where guid is the GUID that DC1 found in the Active Directory, and root of Active Directory forest is the root of the Active Directory forest. For example 91f9b084-4876-4b59-be17-59e74c340221._msdcs.reskit.com where 91f9b084-4876-4b59-be17-59e74c340221 is a GUID and reskit.com is the root of the Active Directory forest.
DC1’s locally configured DNS server should respond to the query for the CNAME with an alias. The alias is another name for the GUID. For example, the GUID 91f9b084-4876-4b59-be17-59e74c340221 is resolved to dc-02.reskit.com.
Now that DC1 knows the alias for the GUID, it must resolve the alias to an IP address so that it can connect to DC2 across the network. DC1 sends a recursive DNS query to its locally configured DNS server for a Host (A) record that matches the name of the alias. The DNS server should respond with the IP address that has been mapped to the alias — for example, 169.254.66.7
Now that DC1 knows DC2’s IP address, it can connect to DC2 over the network and replicate Active Directory data.

Röviden összefoglalva, itt kőkemény névfeloldás folyik. A replikációs partnerek csak egymás nevét ismerik. Ez alapján kikeresik az AD-ból a partner GUID-ját. Most már csak a GUID-hoz tartozó IP cím kellene – ezt tartalmazza az a bizonyos zóna a forest rootban. Ha ebben nincs meg az új DC GUID-IP összerendelése, a replikáció csonkára fut.
Szép, mi? Jól mellétrafáltam az ujjamból szopott magyarázattal. Szó sem volt megágyazásról, beragadásról meg trehány Microsoftról. Minden tiszta, logikus és érthető. Csak az kicsit gáz, hogy ezt az infót a PSS-től kellett megtudnom. Lehet, hogy valahol le van írva… lehet… de én még nem találkoztam vele.

Szóval most működünk.
Milyen fából faragják a jó tűzfalast? Úgy van. Pár perc múlva visszahívott, hogy oké, JoeP, szóljál mikor kapcsolhatom vissza a filtert, mert anélkül szarul érzem magam. Itt kezdtem el másodjára sikoltozni – de aztán rájöttem, hogy nem beszél hülyeségeket. Ha vigyázunk arra a szájbanyomott rekordra, akkor többször nem kell bejegyezni. Kiolvasni meg csak ki tudják. Talán. Holnap teszteljük.
Szeretünk a penge élén.

Penge III.

Aludtam rá egyet és lenne néhány megjegyzésem. (Valahogy úgy érzem, ekkorát azért nem kellett volna szívnom.)

1. A hp mérnökei ennyire nem lehetnek idióták. A rendszert nem ilyen felhasználásra tervezték – hivatalosan smartstart cédéről kellett volna telepítenem az oprendszert és akkor a problémák 89 százalékát elkerültem volna.
Más kérdés, hogy a kollégák szerint az a telepítés létrehoz egy plusz partíciót, mely később zavarokat okoz az üzemeltetésben. Ehhez viszont nem tudok hozzászólni.

2. De ha már így kell telepíteni – és fel is lett nyomva közel harminc szerver -, akkor már igazán ki lehetett volna jelölni egy terminál szervert, ahová felkerülnek a preparált image-k (floppy a raid kontrollerrel, cédé a megfelelő driverekkel) és ahonnan lehet a hálózati ILO porton keresztül telepíteni. Telepítési doksiról nem is beszélve.

Penge II.

És amikor már azt hinném, hogy vége, a történet váratlanul folytatódik.

Ma délután kiderült, hogy elböktem, nem windows 2003 server kell rá, hanem Windows 2000. Gond egy szál sem, már mindent tudok a cuccról, kiszaladok, felhajítom és uzsonnára már otthon is vagyok – gondoltam én, a naív.
Kimentem, rákapcsolódtam az ILO portra, virtual media (telepitő cédé) felkonnektál, gép restart a remote konzolból. Ugyan mondták, hogy az ILO piszok lassú, de azért ennyire… másfél órán keresztül másolta a fájlokat… majd bizalmasan közölte, hogy ‘édes öregem, ez lódobogás, nem vincseszter – telepítés befejezve‘. Hogy ne érezzem úgy, hogy mindent ő csinál helyettem, megnyomhattam az F3 gombot.
Pusztán csak az mentette meg a blade-t a kipusztulástól, hogy véletlenül jelen volt az ügyfél egyik informatikusa is.
Persze, tudom, akkor van ilyen, amikor nincs driver a scsi kontrollerhez. De nem lehetne ezt esetleg az elején, másfél órával a kiírás előtt lecsekkolni?
No, mindegy, driver keresés. Szerencsére kiismertem már a hp oldalát, ez tényleg sitty-sutty volt. Floppy is volt nálam, rámásoltam a kitömörített cuccot. Indulhatott az újabb install. Ez ugye a gyorskezűek sportja, mivel gyorsan meg kell nyomni az anykey-t amikor cédéről akar bootolni, majd egyből az F6-ot, lehetőleg tizennégyszer és közben bedugni a floppyt, mert sohasem lehet tudni.
Megtörtént. A setup tervező ergonómiai zseni nyilván nem érezte fontosnak, hogy adjon is valami visszajelzést arról, hogy tudomásul vette a külön driver beadagolási szándékomat. Jó 25 percig rághattam a körmömet, mire a sok fájlmásolas közben nagy kegyesen odavetette, hogy ‘mondjad, paraszt, hol is az a driver‘. ‘A floppyn, instállom‘ – esedeztem. Felismerte, kijelöltem, nekiállt másolni – majd pár perc múlva közölte, hogy ez biza korrupt. Szerencsére volt nálam másik floppy, arra is kimásoltam, az már jó volt neki. Újabb rohadt hosszú másolás és végre megjelent a partícióformázós menü. Megkapta a magáét, folytatta a másolást, én pedig indultam volna pezsgőt bontani. Botor ötlet volt.
A virtual media nagy percei (órái?) következtek. Úgy kezdődött, hogy a telepítő kiírta, hogy bizonyos fájlok korruptak. Egész addig nem volt gond, ment a másolás. Választhattam, hogy átlépem-e őket. Mivel mindegyik fájl úgy kezdődött, hogy tcp*, inkább kilőttem a faszba a telepítést. Erről a cédéről sokszor szoktam telepíteni, biztos voltam benne, hogy a cédé nem korrupt. (Átmágneseződött a villamoson, hehe.)
Van az a hülye unicode bug a w2k-nál, de az csak akkor jön elő, ha magyar nyelvet választunk – erről itt még szó sem volt.
Már a floppynál is büdös volt nekem a virtual media, de itt már igen sanda szemmel néztem rá. Megpróbáltam megsasolni, erre egyből lefagyott a mimóza. Csak a host gép teljes újraindításával jöttem egyenesbe. A telepítésnek persze megint lőttek.
Taktikát váltottam. A virtual médiával csináltam egy image-t a host gép vinyójára és azt mountoltam be cédéként. Új telepítés, újból másfél óra várakozás a másolásnál.
Látszólag megette, eljutottunk a grafikus setuphoz. Mentem volna a pezsgőért, de megint rámküldött egy hibaüzenetet. Azt mondta, nem találja a netmon fájljait a cédén. Mutatnám neki a cédét, de nincs. Nadehát… eddig volt!? Onnan dolgozott. De most már nincs.
Na, mindegy, kell a francnak netmon, úgyis packetyzert fogok használni, escape. Az igényvisszafogás egyoldalú volt – a telepítő egyre több fájlt követelt, a cédé meg beintett. A sokadik escape után bátran lemountoltam mindent, aztán vissza és újból volt cédém, ment vidáman tovább a telepítés.
Olyan is lett. Amikor elindult a rendszer, egyből el is dobott kapát, kaszát – mondván igen fontos dll-ek hiányoznak, szervízek kaput.
Jó. Repair install. Erre a netmonnál ugyanúgy elment a cédé málnázni. Körülbelül tíz-tizenötször le- és felmountoltam az image-t, de nem hatotta meg. Dühösen nyomtam egy escape-t, de rögtön utána nem talált meg még egy állományt. Ugyanaz. Ekkor lemountoltam a floppy-t is – és rögtön megtalálta a cédét! Hoppá. Itt a kutya sírja. Ez akár jó telepítés is lehet, hiszen egyedül a netmon dll-jeit hagytam ki, azt meg legfeljebb újratelepítem. Izgatottan nyomtam meg a finish gombot, és… kékhalál. A franc se gondolta volna, hogy a netmon ilyen fontos ember.
Oké, szórakozzon a fene a repairrel, most már tudom a trükköt, mikor kell bedugni a floppyt és mikor kell kihúzni (kamaszkoromban ezt kirántott húsnak hívtuk), szóval full install, előlröl.
Igaz, közben telefonált a lányom, hogy az orvos azonnal szemészet ügyeletre küldte, ő viszont nem megy sötétben egyedül a nyolckerbe – de a szemem sem rebbent. Van annak a gyereknek anyja is. Igaz, pánikközeli állapotban szakdolgozatát írja otthon, de tuti, hogy jól fog esni neki egy szellőztető séta.
Még az sem zavart, hogy a brutális Dataplex klíma miatt éles pengékkel lett tele a torkom. Most már a vadászszenvedély hajtott.
Eldúdoltam, hogy

Este van már, nyolc óra
Lesz hó végén túlóra.

Majd újabb telepítés. Ekkor már nem kértem netmontot. És vigyorogva vártam, hogy egyből megtaláljon mindent, hiszen időben lemountoltam a floppyt. De megint elvesztette a cédét. Jeges kéz markolta össze a szívemet. Kínomban visszamountoltam a floppyt, lebontottam a virtuális cédét, majd visszacsináltam mindent: floppy le, cédé fel. Leokéztam és innen kezdve megtalált minden fájlt.
Ennek a dögnek lelke van. Feneketlenül sötét.
De végre eljutottunk a finish gombhoz. Megnyomtam. Kékhalál. Mint az előbb.
Nyüszítettem egy kicsit, majd reseteltem a gépet, reménykedve a csodában. Megjött. A gép csodálatosan felállt.
Az a kékhalál csak olyan búcsúüzenet lehetett: köszönjük szíves érdeklődését, kitartását, Ön egy velejéig makacs ember, igazán megérdemel egy kis extra bónuszt a végén.

Azok is emberek voltak, akik kitalálták, megcsinálták, legfőképpen eladták ezt. Azoknak is kellett legyen anyjuk. Én meg legszívesebben összehoznék egy randevút a kedves mama és egy talicska aprómajom között – aztán le a prüdériával.

Nos, azért még innen is beletellett pár órába, mire ebből a gépből jóképességű (virnyákölő, foltok) DC lett egy távoli szájton. Szokás szerint elvoltam a windowsupdate-tel, bár most csak kicsit szívtam: időnként belassult, aztán a 26 foltból 12 failed lett, lehetett újrakezdeni… nem egy nagy szopás, de éjjel fél tizenegykor, amikor már ezerrel akarok hazamenni, felettébb bosszantó.
Kellett még egy kicsit küszködni a tűzfalakkal is, de végül taknyos angolnaként csúsztam át köztük.
Holnaptol jöhetnek a hollandok.

Tanulság:
Ha legközelebb valaki megkérdezi, hogy hány órát tervezzen egy egyszerű windows szerver telepitésére, vasvillával fogom kikergetni a határba.

Happy end:
De már jó, minden nagyon jó. Kiléptem a Dataplexből és felsikítottam: sűrű pelyhekben esett a hó. Gyors döntés: taxi rendel, otthon laptop ajtóból repült a fotelbe, a konyhában 2 cent unikum, szintén repült, és irány havat fényképezni.
Hajnal egykor. Ahogy kell.