Pour retrouver la communauté Thalie 24/24 7/7, une seule adresse: celle qui mène à notre beau serveur Discord.

-> https://discord.gg/PQXxevv <-

Les ordinateurs de l'HORREUR

Topic général, un peu bordélique, parfait pour accueillir toutes choses légères et sans prétention.

Modérateur : La Force Poissons

Avatar du membre
QCTX
Fait partie du paysage
Messages : 130
Enregistré le : lun. mars 30, 2009 12:44 am
Localisation : RP

Re: Les ordinateurs de l'HORREUR

Message par QCTX » lun. janv. 18, 2016 8:50 pm

Pour vous reposer un peu les nerfs, je me suis permis d'uploader quelques photos prises dans un datacenter de la région parisienne qui est équipé d'un... musée.
https://imgur.com/a/h34wP
Enjoy!
Image

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » mar. janv. 19, 2016 9:24 am

Zelda : A Link between datacenters

Quoi, vous avez pas entendu parler de ce nouvel opus ? :mion:
Ben, figurez-vous que je viens d'y jouer pas plus tard qu'hier et aujourd'hui. :petage:

Résumé :

Je fus tiré de mon travail par un appel de la princesse, me disant qu'il y avait un disque mort dans un serveur au chateau, et je fus prie de m'y rendre. :coach:

Pour cela, il fallut negocier avec le marchand l'envoi d'un disque de secours, étant donné qu'il en était le seul fournisseur à cent lieues a la ronde, et il fut promptement livré par coursier. :keima:

Avant de partir, mon chef me fit "Attends, c'est dangereux, tu auras besoin de ceci" :fuckyea: , me remettant la clé de l'armoire ou se trouvait l'objet de ma quête. :muhu: (Dommage, j'aurais préféré une épée ou une scie circulaire. :hirano: :kanako: )

Donc, l'artefact en main, je me rendis vaillamment au château de NTTCom, muni de la lettre d'autorisation dûment signée par mes chefs pour passer le garde, et je me rendis à l'étage qui était ma destination. :amo:

Avec la clé remise par le chef, j'ouvris la porte de l'armoire... Pour voir l'objet pour lequel la princesse m'avait appelé par transmission télépathique. Il était tout noir et lisse, avec énormément d'indicateurs de santé, dont un qui avait vire au rouge, portant le numero 4.

Et là, je suis face à l'horreur que tout aventurier dans un donjon rencontre au moins une fois. Une serrure. Et pas de clé. :char2: :tokiomi:

Et donc, obligé de rebrousser chemin pour chercher partout où j'ai accès, ou peut bien être cette foutue cle. :mio2: :fu:

Obligé de rentrer à la base prévenir le chef que le marchand n'a pas fourni la clé. :shouko: :boxe: :evil:

S'enclenche alors une cutscene ou le chef ordonne au marchand de se pointer fissa avec ladite cle. :ringo3:

*JINGLE* qui retentit alors que je prends la cle en main pour la brandir bien haut \o/

Et je peux enfin refaire le chemin dans l'autre sens encore une fois pour mener ma mission à bien. \o/

Un très bon opus, bien qu'un peu court, et franchement, c'était buggé, il a fallu appeler pour trouver où était cachée la clé !
Modifié en dernier par DarkSoul le mer. janv. 20, 2016 6:49 pm, modifié 2 fois.
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
Shikaze
Début de la gloire
Messages : 20
Enregistré le : mer. sept. 22, 2010 7:15 pm

Re: Les ordinateurs de l'HORREUR

Message par Shikaze » mar. janv. 19, 2016 9:35 am

Et là, le comble de l'horreur aurait été :

"Désolé Darksoul, ta clé est chez un autre vendor !"

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » mar. janv. 19, 2016 9:58 am

Shikaze a écrit :Et là, le comble de l'horreur aurait été :

"Désolé Darksoul, ta clé est chez un autre vendor !"
Tu rigoles mais ils me l'ont fait :
- Contact au vendor A du storage : "Ah non, nous on vous a tout livre, c'est vendor B qui a fait l'install, c'est eux qui savent ou est la cle, logiquement ?"
- Contact au vendor B qui a fait l'install : "Ah nous on a rien touche aux disques !" (C'etait pas la question...) "Enfin, a ce moment-la il y avait les trois mecs de A qui etaient la, ils sauraient pas ?"
- Contact au vendor A : "Bon bah ecoutez on peut vous ramener une cle de secours, mais normalement on vous a tout donne, on a du laisser une boite avec les manuels du matos au DC, la cle est pas dedans ?"

Vendor A nous ramene une cle, d'ou le *JINGLE* \o/
Et une fois sur place, je sors la boite en question qui etait effectivement la, au fond du rack. Pas de jingle, la cle n'etait pas dedans.

Mais j'avais deja ma cle, donc du coup le panel du serveur n'a pas fait de difficultes.
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
Keul
Début de la gloire
Messages : 10
Enregistré le : ven. juin 03, 2011 12:51 pm

Re: Les ordinateurs de l'HORREUR

Message par Keul » mar. janv. 19, 2016 12:44 pm

Hop, sortons du vieux, du très vieux.

Généralement, le meilleur moyen de comprendre pourquoi on doit effectuer des backups régulièrement c'est de savoir ce qui se passe quand on n'en fait pas. :tokiomi:

C'est la faute au PC
Par exemple, quand on bosse sur un rapport de stage, qu'on a fait les deux tiers et qu'on passe plus de cinq heures dessus pendant une soirée pour le finir.
Et forcément, lorsqu'on souhaite lancer l'impression, le PC derpe. :kiddingme:
On reboote :kobato:
Disque pas bootable :keuwa:
Extraction du HDD (en IDE, j'ai dit que c'était du vieux), on le branche en slave sur un autre PC et...
Mais elle est où la partition? :non:
Bon, installation d'un soft de récupération de fichiers, on lance l'analyse, on vois qu'il trouve déjà des fichiers à la con, y'a peut-être moyen de récupérer ça. :keima2:
Sauf que le logiciel est lent vu qu'il doit analyser le disque en complet. Je le laisse donc mouliner la nuit pour voir le résultat au matin, avant d'imprimer le bousin et de partir en cours. :himari2:
Et là:
Le fichier que vous voulez récupérer fait plus de 100Ko. Veuillez acheter la version complète :fu: :kuroko2: :bioshocked:
Et il y en a pour plusieurs heures à re-scanner le HDD pour pouvoir récupérer le fichier, et je doit aller en cours pour le remettre au prof. :haruka:

Prof: Ramassage des rapports de stage
Moi: Heu, c'est possible d'avoir un délai? Je l'ai fini mais mon PC a rendu l'âme et c'est en cours de restauration là. :wait:
Prof: C'est ce qu'on dit. :rondoudou: CRÉDIBILITÉ: 0% :jaer:
Les autres élèves dans la classe, avec qui j'en avais parlé via le net: Non mais c'est vrai monsieur! :ohana2:
Du coup il m'a accordé un délai et j'ai pu lui rendre le lendemain.


C'est la faute au PC
Bon, on bossait sur des schémas électroniques sur les PC et en plus de sauvegarder sur un lecteur réseau, on les enregistrais aussi sur nos clefs USB au cas où et pour pouvoir bosser chez nous aussi.
Sauf que las profs voulaient pas qu'on branche des clefs USB et qu'on trimbale ça chez nous, donc fallait faire ça discrètement. :snake:
Maintenant contexte:
Les postes étaient en dual-boot, avec du Windows 98 et du Windows 2000:
- c'était le début des clefs USB (la mienne faisait 64Mo, en USB1, je l'ai encore et elle marche toujours)
- le logiciel pour utiliser les scéhmas électronique fonctionnait sur win98 uniquement
- les clefs USB ne pouvaient pas êtres lu sous win98 sans installer un driver mais pouvaient l'être nativement sous win2000

Donc, après avoir enregistré son boulot, on boote discrètement sous Win2K, on copie le fichier sur la clef USB :keima:
Et au loin :misaka5: on voit le prof se pointer. :keuwa:
Reboot sous win98 en urgence :bright:

Le prof voit le PC en train de rebooter. :mikuru:
Prof : Il se passe quoi? Pourquoi le PC démarre? :?:
Moi: Ben, ça a planté :putain:
Prof : Ah OK :pokerface: C'est vrai que c'est vraiment de la merde Windows 98 :askthat:
CRÉDIBILITÉ: 100% :kira:

Avatar du membre
s3phy
Tenace
Messages : 68
Enregistré le : mar. déc. 30, 2014 4:54 pm
Localisation : Shinjuku

Re: Les ordinateurs de l'HORREUR

Message par s3phy » mar. janv. 19, 2016 6:14 pm

Un des trucs les plus WTF que j'connais du moment, sponsorisé par Lafibre.info (forum où je passe beaucoup trop de temps)

L'admin de lafibre.info est aussi la personne derrière iperf.fr, site qui héberge des binaires Windows du dit logiciel. Il n'y a pas de serveur iperf sur le domaine iperf.fr.

Depuis plusieurs mois, tous les dimanches (et uniquement les dimanches), le site reçoit plusieurs Mbit/s (ces jours-ci ça monte à environ 100 Mbit/s, en constante augmentation si j'ai bien suivi) de requêtes HTTP contenant uniquement "0123456789".

Le trafic ne vient que d'adresses IP belges. Sur ces adresses IP on voit majoritairement des serveurs sous Windows.


Et pour l'instant le mystère reste entier, on en sait pas plus :yoshitake2: Des mois que ça dure :kyou:

Tous les détails : https://lafibre.info/attaques/virus-belge/

sestren
Apprenti Thaliste
Messages : 6
Enregistré le : lun. févr. 23, 2015 2:04 pm

Re: Les ordinateurs de l'HORREUR

Message par sestren » mer. janv. 20, 2016 4:20 pm

Accrochez-vous, celle-ci est à classer dans "admin/client boulet"

Posons un peu le paysage :
* soit une ferme de cluster linux
* soit un mega GlusterFS monté sur chaque serveur de la ferme
* sur le Gluster se trouve :
-> l'ensemble des backups infra et critique du client (ne me demandez pas pourquoi c'est là et pas ailleurs, je n'en sais rien)
-> les données clientes, web et critique de ce client

Maintenant, un vendredi à 16h30, l'admin système de ce client nous appelle en panique pour qu'on puisse lui sauvez la vie. Et pour cause, il avait vraiment besoin qu'on lui sauve la vie...

Cet admin n'a rien trouvé de mieux que chmod -R 770 / sur le serveur principal de sa ferme de cluster.
Je rappelle, il a son GlusterFS qui est monté sur l'ensemble des serveurs.
Il nous a appelé une fois que la commande avait fini son taff et une fois que les modifications se soient répliquées sur les serveurs et le GlusterFS...

Nous avons passé notre vendredi soir à retrouver les bons droits de chaque fichier de chaque serveur :
* en nous basant sur les droits des binaires sur une machine qu'on a remonté à l'arrache et dont on a répliqué les droits
* en reparcourant l'ensemble des fichiers de confs pour retrouver les droits que nous ne pouvions pas avoir autrement
* en parsant l'ensemble des fichiers de logs pour voir où ça merdait pour les processus qui foiraient
* en reprenant de la vieille doc que l'on a pu extraire des backups une fois qu'on a récupéré la main dessus

Autant vous dire, on a eu envie de bouffer le client...

sestren
Apprenti Thaliste
Messages : 6
Enregistré le : lun. févr. 23, 2015 2:04 pm

Re: Les ordinateurs de l'HORREUR

Message par sestren » jeu. janv. 21, 2016 10:03 am

Sinon, toujours le même client :

Le même admin système boulet de ce client a utilisé mysqltuner, qui lui a dit que 'userdelensembledessitesdeprod@%' parce qu'il ne le voyait à quoi il servait.

Du coup, cet admin système n'a pas réfléchit, il a appliqué bêtement : il a DROP le user.

Arriva ce qui devait arriver, plus rien ne marche -> appel en urgence de ce admin système : "je comprends pas, y a plus rien qui marche..." (en même temps, quand si on supprime l'utilisateur principal du système, faut s'attendre à ce que plus rien ne marche...)

Heureusement, on avait monté l'infra, donc on a pu recréer l'utilisateur rapidement.

Maintenant le finish : l'utilisateur qu'il a supprimé, c'est lui qui nous l'a fourni spécifiquement quand on a monté l'infra... (Amnésie, quand tu nous tiens~~)

Avatar du membre
Eruliuce
Entre dans les mémoires
Messages : 336
Enregistré le : ven. févr. 21, 2014 7:14 pm
Contact :

Re: Les ordinateurs de l'HORREUR

Message par Eruliuce » jeu. févr. 11, 2016 8:58 pm

Je veux jouer à Project Diva.

Oui, j'ai décidé que j'avais envie de jouer à Project Diva. Du coup je regarde sur quelles consoles je pourrais me procurer le jeu. Il semble que j'ai deux choix, la PS3 ou la PSVita. Quitte à acheter une console, autant prendre celle sur laquelle il y a des jeux, donc va pour la PS3.

Je me renseigne vite fait sur Google, et je vois qu'il est possible de brancher un disque dur externe sur la PS3, ça tombe bien puisque je viens de recevoir un disque 4To sur lequel je pourrai sans problème stocker mes jeux Steam et PS3. Je commande donc La PS3 Ultra Slim 12Go, je me crée un compte sur le PSN et j'achète Project Diva F 2.

Je reçois quelques jours plus tard ma PS3 par la Poste (vous vous en doutez, c'est plus compliqué que ça puisqu'on parle de la Poste, mais c'est un topic pour parler de ses mécaniques ronflantes, pas de ses problèmes de colis, donc je ne m'étalerai pas là-dessus)

Premier obstacle : connexion internet

Sans grande surprise pour moi, la PS3 ne peut pas se connecter à internet. Etant dans une résidence étudiante, un proxy filtre les protocoles et la PS3 n'est donc pas autorisée à passer.
Je ne m'inquiète pas plus que ça, je vais connecter mon ordinateur portable à un VPN sur la carte ethernet et à la Playstation sur la carte wifi et faire du routage.
Mais mon ordinateur n'est pas de cet avis. Il refuse de se connecter à internet dans ma résidence sur la partition Linux. Je lance donc sur Windows et active le routage. Ecran bleu...
Je relance, j'active le routage. Ecran bleu...
Mon ordinateur commence à vieillir et j'ai beau essayer de bidouiller avec les drivers réseaux, rien n'y fait, il est décidé à ne pas me laisser faire de routage.

Dépité, j'abandonne et je remet tout ça à plus tard...

Quelques mois après, mon ordinateur rend complètement l'âme et j'en achète un autre (en récupérant au passage quelques pièces qui pourraient toujours servir, comme le disque dur). Je peux donc retenter le routage sur mon ordinateur tout neuf en faisant un partage de connexion sur Windows 10 (oui j'utilise Windaube, je suis un gamer, pas un informaticien).

Deuxième obstacle : espace disque

Je mets donc à jour ma PS3 puis me connecte sur le PSN, et là je vois mon joli Project Diva qui n'attend qu'à être téléchargé. Je clique (enfin, j'appuie sur X) pour télécharger, et on m'annonce très gentiment que l'espace disque est insuffisant.
Pourtant j'ai bien branché mon disque dur externe, qui a une partition Steam en NTFS et une partition PS3 en fat32 (puisque d'après ce que j'ai pu lire sur tous les forums et guides sur lesquels je suis tombé, la Playstation ne lit que le fat32, RIP Sony).
Me disant que peut-être la partition NTFS présente devant la partition que j'ai prévue pour ma PS3 sur le disque dur pose problème, je migre des données pour vider un autre disque dur de 1To que je formate à son tour en Fat32 (au passage, je précise que Windows refuse de formater plus de 32Go en fat32 ; même si la commande qui le fait à l'air de fonctionner, elle vous fera juste perdre quelques heures de votre vie). Je branche ce disque dur tout frais formaté sur la PS3, et dans un menu de sauvegarde je vois qu'il est bien détecté. Cependant, lorsque j'essaye de télécharger le jeu, il refuse en me disant que mon espace disque est toujours insuffisant...
Je vais sur Google et je fais quelques recherches à nouveau, et là je m'aperçois que j'avais lu un peu vite au début, et que le disque du externe permettait de stocker des vidéos et musique, mais en aucun cas des jeux.

Ouille ouille ouille, j'ai mal, et je suis désabusé...

Toutefois, je tombe par hasard sur un poste qui dit qu'on peut placer un disque dur dans la PS3. J'ouvre donc celle-ci et voit en effet un joli espace pour y mettre un disque dur interne. Comme le monde est beau et bien fait, j'ai un joli spécimen de 500Go qui traîne puisque je l'ai extrait de mon vieux pc portable cité plus haut après son décès.

Troisième obstacle : formatage du disque

J'ai donc un disque dur, je n'ai plus qu'à le brancher à mon pc pour le formater en fat 32 puis l'insérer dans la PS3. Je vais fouiner dans mon carton de câbles pour y trouver un SATA afin de connecter le disque à mon pc, et là, c'est le drame. J'avais oublié que le PC d'une amie a déjà mangé tous mes SATA en rab (ses câbles étaient trop courts donc j'ai utilisé les miens pour monter son pc tout neuf).
Bon, j'ai toujours mon ancien PC fixe, avec son CentOS tout neuf qui ne sert qu'à recharger mon téléphone (il attend que ma flemme se barre pour devenir utile). Je peux donc le démonter temporairement pour en extraire un câble. Seul souci, c'est un ordinateur HP tout fait, et il faut donc un tournevis pour l'ouvrir, or je ne possède pas encore cet item... Je pars donc à l'aventure dans ma résidence pour trouver la boite à outil de l'asso qui gère le réseau, mais je ne la trouve pas à sa place. Après quelques coup de fils je finis toutefois par la retrouver.

Résolution :

Je démonte donc mon vieux PC avec le tournevis magique, j'en extrais un câble SATA, que j'utilise pour brancher le disque dur de mon ancien PC portable dans mon PC fixe actuel. Je formate, puis je place le disque dur dans la PS3. A priori il faut un support normalement pour le caler, mais il semble que du papier ça marche aussi.
Cette dernière le détecte et me propose de migrer les données qui sont dans la mémoire flash pour utiliser le disque dur. Pendant qu'elle exécute l'opération je remonte mes autres machines, puis une fois terminé je vais sur le PSN et je lance le téléchargement.

A l'heure où j'écris ces lignes, Project Diva F 2 est en cours de téléchargement sur ma PS3.
Je pense que j'ai bien mérité d'y jouer...

Edit : dédicace à @Tsuchi et sa morale sur les "one liners".
Image

Avatar du membre
Pegase
Bien incrusté et ne lâche rien
Messages : 370
Enregistré le : lun. oct. 19, 2015 9:26 pm
Localisation : Là où le soleil ne brille jamais : ma chambre
Contact :

Re: Les ordinateurs de l'HORREUR

Message par Pegase » jeu. févr. 11, 2016 10:20 pm

Eruliuce a écrit :Il semble que j'ai deux choix, la PS3 ou la PSVita. Quitte à acheter une console, autant prendre celle sur laquelle il y a des jeux, donc va pour la PS3.
Et pour cette vilaine remarque, le karma t'a collé un double flying lariat dans le groin. Bien fait. :rin2:

Oui, certes, y'a carrément plus de jeux sur PS3 donc t'as pas fait un mauvais choix du tout, mais faut pas ignorer la Vita sur de simples préjugés, donc je vole à sa défense à chaque fois que je vois ce genre de remarque.

Sinon quitte à prendre une console pas chère, la série a commencé sur PSP. Ils sont pas sortis en occident, certes, mais c'était une option aussi. Ah, et Project DIVA F 2nd est dispo en boîte, donc pas besoin de s'embêter avec la PSN. :akiho:

Avatar du membre
Eruliuce
Entre dans les mémoires
Messages : 336
Enregistré le : ven. févr. 21, 2014 7:14 pm
Contact :

Re: Les ordinateurs de l'HORREUR

Message par Eruliuce » jeu. févr. 11, 2016 10:45 pm

Bah même sans troller la bibliothèque de la PS3 m'intéresse globalement plus que celle de la Vita pour les jeux.

Je sais qu'il était dispo en boite, mais je pensais pas que que je galérerais autant... Sony fait parfois des choix discutables et pète-couilles (on peut parler du BlueRay, un support qui tend à remplacer le DVD mais que Sony refuse de laisser lire par n'importe quel logiciel par exemple) mais je pensais pas qu'ils étaient au point d'utiliser un système de fichier prévu pour MSDOS et obsolète depuis environ 476 ans et demi, ou encore de ne pas autoriser le stockage de jeux sur disque dur externe.
Heureusement qu'ils se font pas chier à faire des modèles de PS3 vraiment différents et que l'espace pour stocker le disque dur existe dans toutes.

Ah, et ça les aurait tué de mettre une sortie jack sur leur console ? Si t'as un écran avec une carte son pas ouf et que tu branche tes haut-parleurs dessus, bah t'as du son de merde... Obligé de prendre un adaptateur HDMI vers HDMI + jack pour avoir du son de qualité.
Image

Avatar du membre
s3phy
Tenace
Messages : 68
Enregistré le : mar. déc. 30, 2014 4:54 pm
Localisation : Shinjuku

Re: Les ordinateurs de l'HORREUR

Message par s3phy » mar. févr. 23, 2016 8:02 am

Sinon moi j'ai acheté les Project Diva F en version disque (le F 2nd est même sorti chez nous en France, j'ai la boite en français !). J'ai mis le disque dans ma PS3 et c'était à peu près tout.
Y'as une sortie son analogique sur la PS3, via la prise Multi AV, même prise qui était présente sur la PS2 et sur la première PlayStation. Les câbles sont les mêmes depuis 1995… Après il faudra faire un petit détour par la configuration de la sortie audio de la console, pour lui dire de balancer le son sur la sortie analogique plutôt que sur l'HDMI.


Vous vous souvenez de l'histoire que j'ai posté un peu plus haut, du trafic incohérent de 0123456789 en provenance depuis des adresses IP belge, qui dure depuis des mois ? Ce dimanche on a dépassé les 1 Gbit/s de trafic ! :marii4: https://lafibre.info/attaques/virus-bel ... #msg310387


En vrac aussi : j'ai récupéré un netbook en filant un coup de main à des potes qui déménageaient. Gratos. "Il est super lent". Le truc date de 2012. Windows 7 starter, un combo CPU/GPU AMD, un… disque dur 2,5" (?! dans un netbook) 320 Go (?! dans un netbook) 5400 tours, et… 1 Go de RAM. Soudée à la carte mère, et pas de slot SODIMM pour rajouter une barrette. :tiramie: J'hésite à foutre un SSD premier prix, ce truc va quand même être trop limité par sa RAM pour être utilisable !


En vrac, bis : Toujours ce jour du déménagement chez mes potes (samedi), je remarque qu'ils ont débranché leur Freebox. Je leur sors "haha moi c'est le dernier truc que j'aurais débranché juste avant de partir, histoire de continuer à avoir internet toute la journée !". Réponse : "oh mais depuis une semaine elle marche plus, elle fait que tourner". Pour les non freenautes, le fameux chenillard de la Freebox indique un soucis avec la synchro ADSL : lent, pas de synchro/recherche de synchro ; rapide, synchro en cours. Je rebranche la Freebox (je veux du wifi sur mon téléphone moi ! :awe: ), ça alterne lent/rapide… ça sous-entends que y'as bien un signal xDSL qui arrive, mais trop pourri pour qu'une synchro s'établisse. La prise téléphone cassée et arrachée du mur (c'est surtout pour ça que j'étais venu, pour leur filer un coup de main pour remettre l'appartement en état, et corriger les histoires de prises/radiateurs arrachés !), mais pourtant tout est bien câblé. Plus tard dans la journée, je remplace la prise par une prise neuve. Toujours chenillard lent/rapide. À tout hasard je démonte le filtre ADSL : surprise, c'en est pas un, c'est une prise gigogne… bon pour un ADSL en dégroupage total ça change rien (c'est même mieux, pas besoin de filtre, autant pas en mettre, c'est ça en moins qui risque de foirer !). Rien ne semble choquant. Je testerais bien avec un autre câble RJ11 mais pas de RJ11 sous la main… bon, fuck it. Plus tôt dans la journée j'avais sauvé un câble RJ45 abîmé (gaine déchirée, fils à nus) de la poubelle. Un coup de pince coupante, je récupère la paire blanc/bleue. Deux coups de pince coupante dans la fiche RJ45 elle-même pour la faire rentrer dans un RJ11 :awe: (c'est tellement honteux comme bricolage que je trouve même pas de photos de RJ45 martyrisé comme ça sur Google Images, m'enfin imaginez vous
Image
les parties en rouge découpées à l'arrache à la pince coupante :awe: ), la paire bleue/blanc raccordée à la paire gris/blanc de l'arrivée FT avec deux scotchlok… et hop. Ça marche ! C'était le câble RJ11 qui était pourri…

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » lun. févr. 29, 2016 7:56 am

Oh wow :D Du massacre de cable en bonne et due forme, j'approuve. :'D
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
Corsaire
Début de la gloire
Messages : 25
Enregistré le : ven. févr. 06, 2015 7:16 am

Re: Les ordinateurs de l'HORREUR

Message par Corsaire » ven. mars 04, 2016 8:39 am

Tu peux pas test !
Journée renouvellement de certificats SSL... en mode YOLO !

1er certificats

Remplacements a faire sur une appliance SSL Accelerator de Sonicwall, pour les non-inities il s'agit une machine dédiée a décoder les flux SSL avant de les repasser a d'autre services comme par exemple les serveurs de mail.

"-Mais les serveurs de mail ont ce qu'il faut pour ça ?" :himari:

-Ton petit serveur qui reçoit 5 mails par jour de tata Marguerite peut-être, mais on parle ici du flux reçu par un ISP, de plus ce n'est pas n'importe quel serveur SMTP moderne et récent mais des vénérables machines Sun, qui vont donc crever sous la charge si elles doivent décrypter en plus de gérer le flux de courrier..

Bref un équipement hardware s'en charge, et il faut lui configurer ses certificats.

J’œuvre donc a la tache, notez que c'est un équipement particulier alors pas de poste de test, il faut œuvrer sur l'engin avec précaution.
Je prends des précautions donc pour ne pas toupêtai, créé la chaine de certification, la valide, rédige la doc en mieux car ce qu'elle était faisait pitié, puis bascule en prod et teste mon install...

Comment ça le certificat a pas changé ???? :misaka2:

Je vérifie la conf de tout cotés, tout est bon... WTF?! :kuroko2:

Je tourne en rond un moment et la un collègue me sort
"-Ah mais ce type de flux est désormais pris en charge par un autre équipement" :yukino4:

Jedeputain :fu:

Rebelote donc, et oh surprise... cet équipement fait partie de la nouvelle infra... créée en septembre... encore en travaux... non documentée :kiddingme:

Me voila donc a devoir tripatouiller au hasard dans un équipement tout neuf, en prod, inconnu jusqu'ici, sans doc... :jospin:
On a du pot que les équipements ont une certaine logique qui se ressemble, sinon...

Bref nouvelle rédaction de doc pour bibi...

2eme certificats


Un serveur d’hébergement de blogs et apparentés.

Je commence donc par le serveur dénommé "blogtest", et çamarchpo... :pokerface:

Le service HTTPd refuse de redémarrer, un certain nombre de vérifs montrent que le certificat et sa clé ne correspondent pas.
Le collègue qui a fait le boulot de générer les certificats s'est chié dessus en me les refilant et les a mélangés...

Et la c'est le drame :vuvuzela:
Nagios qui gueule !

"Quoi ? c'est quoi ce binz ?
-Tu as touche a blogtest ?
-Bin oui je test les install des nouveaux certificats avant de les passer en prod
-blogtest C'EST la prod !!
-... TUTEFOUDEMAGUEUL ??!!??" :fu:

Retour en arrière, et relance du service.

:kermit:

Il existe un autre serveur blogtest10 qui lui est le vrai test, mais pas vraiment utilise pour tester non plus...
Genre tourne sur un certificat auto-signé, expiré depuis 2012... :marii7:

Ras-le-bol, je trafique son apache.conf pour lui faire bouffer mes certificats (après avoir mis un coup de boule au collègue qui m'a mélangé les effluves) , les teste, les valide, et push en prod.
Rédaction de doc pour obliger les gens a tester par ce procédè.

Fatigue :ruchet:
Un poing vaut mieux que deux "j'te préviens..."

Avatar du membre
s3phy
Tenace
Messages : 68
Enregistré le : mar. déc. 30, 2014 4:54 pm
Localisation : Shinjuku

Re: Les ordinateurs de l'HORREUR

Message par s3phy » ven. mars 04, 2016 12:42 pm

Corsaire a écrit :blogtest C'EST la prod !!
:idole:

Avatar du membre
Audrey Azura
Trap saphiste
Messages : 1284
Enregistré le : sam. mai 14, 2011 6:26 pm

Re: Les ordinateurs de l'HORREUR

Message par Audrey Azura » ven. mars 04, 2016 2:08 pm

Corsaire a écrit : -blogtest C'EST la prod !!
Je... Je... Combien de dent de perdue ?
Image

The two Alices are not books for children, they are the only books in which we become children.
- Virginia Woolf

Les contes de fées n'apprennent pas aux enfants que les dragons existent, mais qu'ils peuvent être vaincus.

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » lun. mars 07, 2016 2:16 am

Pour la blague, ce service a ete mis en place par un ancien president, et il etait pratiquement le seul a en connaitre les entrailles a fond. Ce qui fait ? Que quand un serveur de test a ete monte, puis utilise en prod par un concours de circonstances malheureuses, personne n'a ose le renommer ou le descendre de la prod "puisque ca marchait".

A noter, le bousin est plus propre depuis que je suis passe dessus pour le rendre redondant, mais c'est toujours pas ca.
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
Nemo
Database
Messages : 3391
Enregistré le : dim. août 30, 2009 9:51 am
Localisation : Dans la Bretagne de Elder Tales
Contact :

Re: Les ordinateurs de l'HORREUR

Message par Nemo » mar. mars 08, 2016 4:20 pm

Corsaire a écrit :blogtest C'EST la prod !!
Famous last words.

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » mar. mars 08, 2016 4:28 pm

Nemo a écrit :
Corsaire a écrit :blogtest C'EST la prod !!
Famous last words.
Il faut dire que l'appli est assez blackbox et que donc les chefs ont pas envie de toucher une instance en cours, ils préfèreront en reconstruire une autre à côté pour être sûrs de pas pourrir l'existant.
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
Jeff Vimes
Un peu trop impliqué
Messages : 1095
Enregistré le : ven. juil. 09, 2010 2:20 pm
Localisation : Perfide Albion

Re: Les ordinateurs de l'HORREUR

Message par Jeff Vimes » ven. mars 11, 2016 1:41 pm

Histoire courte : un client a des problemes avec notre outil de geolocalisation.
Il me demande donc la liste integrale des IP du pays et pour chacune l'adresse a laquelle on les map ... :kanie:

Bah oui, ca marche comme l'annuaire mec. :pierre:

Avatar du membre
Corsaire
Début de la gloire
Messages : 25
Enregistré le : ven. févr. 06, 2015 7:16 am

Re: Les ordinateurs de l'HORREUR

Message par Corsaire » ven. mars 25, 2016 8:36 am

Corsaire a écrit :
Tu peux pas test !
Journée renouvellement de certificats SSL... en mode YOLO !

1er certificats

Remplacements a faire sur une appliance SSL Accelerator de Sonicwall, pour les non-inities il s'agit une machine dédiée a décoder les flux SSL avant de les repasser a d'autre services comme par exemple les serveurs de mail.

"-Mais les serveurs de mail ont ce qu'il faut pour ça ?" :himari:

-Ton petit serveur qui reçoit 5 mails par jour de tata Marguerite peut-être, mais on parle ici du flux reçu par un ISP, de plus ce n'est pas n'importe quel serveur SMTP moderne et récent mais des vénérables machines Sun, qui vont donc crever sous la charge si elles doivent décrypter en plus de gérer le flux de courrier..

Bref un équipement hardware s'en charge, et il faut lui configurer ses certificats.

J’œuvre donc a la tache, notez que c'est un équipement particulier alors pas de poste de test, il faut œuvrer sur l'engin avec précaution.
Je prends des précautions donc pour ne pas toupêtai, créé la chaine de certification, la valide, rédige la doc en mieux car ce qu'elle était faisait pitié, puis bascule en prod et teste mon install...

Comment ça le certificat a pas changé ???? :misaka2:

Je vérifie la conf de tout cotés, tout est bon... WTF?! :kuroko2:

Je tourne en rond un moment et la un collègue me sort
"-Ah mais ce type de flux est désormais pris en charge par un autre équipement" :yukino4:

Jedeputain :fu:

Rebelote donc, et oh surprise... cet équipement fait partie de la nouvelle infra... créée en septembre... encore en travaux... non documentée :kiddingme:

Me voila donc a devoir tripatouiller au hasard dans un équipement tout neuf, en prod, inconnu jusqu'ici, sans doc... :jospin:
On a du pot que les équipements ont une certaine logique qui se ressemble, sinon...

Bref nouvelle rédaction de doc pour bibi...

2eme certificats


Un serveur d’hébergement de blogs et apparentés.

Je commence donc par le serveur dénommé "blogtest", et çamarchpo... :pokerface:

Le service HTTPd refuse de redémarrer, un certain nombre de vérifs montrent que le certificat et sa clé ne correspondent pas.
Le collègue qui a fait le boulot de générer les certificats s'est chié dessus en me les refilant et les a mélangés...

Et la c'est le drame :vuvuzela:
Nagios qui gueule !

"Quoi ? c'est quoi ce binz ?
-Tu as touche a blogtest ?
-Bin oui je test les install des nouveaux certificats avant de les passer en prod
-blogtest C'EST la prod !!
-... TUTEFOUDEMAGUEUL ??!!??" :fu:

Retour en arrière, et relance du service.

:kermit:

Il existe un autre serveur blogtest10 qui lui est le vrai test, mais pas vraiment utilise pour tester non plus...
Genre tourne sur un certificat auto-signé, expiré depuis 2012... :marii7:

Ras-le-bol, je trafique son apache.conf pour lui faire bouffer mes certificats (après avoir mis un coup de boule au collègue qui m'a mélangé les effluves) , les teste, les valide, et push en prod.
Rédaction de doc pour obliger les gens a tester par ce procédè.

Fatigue :ruchet:
Une suite !
Bin oui sinon c'est pas drôle...

Le blogtest en question est derrière un HAproxy fait sur le pouce il y a quelques mois, et bien sur ce proxy lui aussi a besoin que les certificats du serveur derrière lui qui sont dans sa conf soient mis-a-jour.

Question a 100 balles, pensez vous que cela soit documenté ? :lepers:

allez on est reparti pour un tour... :rena3:

The fun never ends. :kanako2:
Un poing vaut mieux que deux "j'te préviens..."

Avatar du membre
s3phy
Tenace
Messages : 68
Enregistré le : mar. déc. 30, 2014 4:54 pm
Localisation : Shinjuku

Re: Les ordinateurs de l'HORREUR

Message par s3phy » sam. mars 26, 2016 4:27 pm


Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » lun. mars 28, 2016 9:03 am

Ces gens qui pensent que quand une nouveaute est sortie, il suffit de juste un peu d'ingeniosite mecanique pour avoir la nouvelle fonction qui tue. T.T

Je me dis, en fait, notre generation a connu l'informatique au moment ou il fallait encore s'investir un peu, et ou c'etait encore comprehensible en pensant "mecanique" (pieces qui bougent, vibrent, font du bruit, en fonction de l'activite de la machine -> c'etait plus facile a aborder)

Discussion avec Corsaire au dejeuner sur la question :
-"Non, tu veux dire que l'humain moyen est con a ce point la ?"
-"Ben... oui. Je suis sur qu'on a mieux compris certains trucs parce qu'il y avait des indices de mecanique"
-"Ouais, mais on les a plus, maintenant, avec le tout 'solid state'... Y'a juste une boite magique qui fait des choses"
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
Corsaire
Début de la gloire
Messages : 25
Enregistré le : ven. févr. 06, 2015 7:16 am

Re: Les ordinateurs de l'HORREUR

Message par Corsaire » lun. mars 28, 2016 10:01 am

Nouvelle histoire kifhepeur au boulot ! :speedwagon:

J'ai gueulé assez fort il y a quelque temps sur l’état d'une procédure et d'une doc associée.
Ce processus est l'un des plus vieux utilisé et me déplait déjà fortement de part le fait qu'il s'agit de successions de commandes a taper, fichiers type CSV a générer a la main... vous voyez le tableau. :kanako2:

Un ancien de la boite que je n'ai pas connu avait créé des CGI sur un petit serveur http il y a plus d'une décennie pour gagner en confort, malheureusement l'outil est incomplet... :chabat:

Ce qui m'a bien énervé a l’époque était le fait que le retour des CGI faisait du mojibake (les signes japonais qui font du garbage illisible sur une page web).
A l’époque de Windows 95/NT4 que tout le monde utilisait IE, ça "tombait en marche" comme les windows étaient calés sur cette page de code, mais de nos jour la norme étant a l'international et UTF8...
Et changer l'option de page de code qui fait recharger la page et relance un coup de CGI dans la tronche du serveur ... nope ! :miyamoto:

Bref j'ai gueulé "Changez l'output HTML et foutez cette putain d'information de charset !" et c'est passé... Enfin. :barney:

Et la GAG !

Aujourd'hui un collègue qui réalisait une opération sur cette procédure fait un ticket
"Hé mais en fait quand on utilise tel type de caractère ça balance une erreur et avec le mojibake on pouvait pas savoir" :misaka2:

Gniiiii....

Après enquête il se trouve que ça n'a pas d'influence dans l’exécution, mais en cours de route, depuis au moins 5 ans, on s'est mis a accepter des noms en paramètres contenant des caractères comme "." (point), or dans les tests de validité du CGI on attendait A-Z (alphabet majuscule) a-z (alphabet minuscule) 0-9 (chiffres) - (tiret) et rien d'autre ! :claque:

Une belle démonstration de l’intérêt d'avoir des outils internes propres, lisibles et entretenus !

Et entre nous, toute cette procédure est sur ma liste des trucs a flinguer un jour ! :keima:
Je veux un codeur dur-de-dur affecté a notre service (et pas absorbé par le service voisin !) pour le développement d'outils internes ! :pourquoi:
Un poing vaut mieux que deux "j'te préviens..."

spanner
Apprenti Thaliste
Messages : 7
Enregistré le : mer. juin 15, 2016 7:47 pm

Re: Les ordinateurs de l'HORREUR

Message par spanner » jeu. juin 16, 2016 12:23 pm

Comme ca manquait d'histoires depuis quelque temps, voici une petite anecdote qui remonte a l'annee derniere:

Je bossais sur un systeme de provisioning maison, ou pour installer un systeme, on met l'OS voulu, l'IP... bref, les infos de base, on boot le server, et il va booter sur l'equivalent d'un liveCD via le reseau et recuperer un fichier de conf avec tout ce qu'il faut pour qu'il s'installe tout seul, comme un grand. :tiramie:

A mon ancien boulot, on bossait avec 2 systemes: freebsd et debian, et mon systeme remplace deux systemes de provisioning separes. fait a base de script shell et de creation de fichier de conf pour chaque machine (je vous laisse imaginer le bordel apres quelques dizaines de machines :rin2: )

Systeme legacy qui etait copie betement sur les nouvelles machines de provisioning, dans les autres datacenters, sans virer les fichiers de config deja present :shiori:

Bref, un joli merdier, et mon systeme remplace tout ca par une petite appli web, avec une interface, une petite DB sqlite, et surtout un espece de pseudo systeme de template par dessus les fichiers de configuration (recuperes via HTTP), pour eviter d'avoir un enorme bordel de fichiers de config un peu partout. :akiho:

Il faut savoir que ces deux systemes legacy ont ete fait par deux personnes differentes, j'ai commence avec celui pour freebsd, le collegue m'aide comme il peux a migrer son bousin vers le nouveau systeme. ::D

Puis, arrive le tour de migrer aussi le systeme legacy pour debian, euh, non, en fait, le sysadmin senior qui a fait ce systeme refuse que j'y touche, parceque "il y a des trucs magique dans pxelinux qui sont pas documente et qui vont pas fonctionner avec ton systeme", en gros, "pas touche, c'est mon pet project". :homura:

Sauf que... son systeme fonctionne avec debian wheezy seulement, et debian jessie etant sorti, il va falloir installer les nouvelles machines avec debian jessie. Et la, pas le choix, il faux migrer vers le nouveau systme. ENFIN :musume:

S'en suit une reunion de 3-4h avec le sysadmin senior et le chef du departement pour gerer le comment on met ca en place:

- Bon alors, pour l'integration debian la, on va utiliser ton systeme, mais en fait, on veux faire la migration sur les anciens scripts, et ton systeme va juste faire shell_exec("/path/du/script.sh") pour provisioner debian
- Euh... c'est une mauvaise idee, les scripts ne vont juste pas marcher vu qu'il y a des parties ou c'est des blocs a commenter/decommenter et utiliser shell_exec() c'est une faille de securite en soit. En plus, ca nique tout l'interet du projet, vu que du coup on bypass le coeur du systeme. :shiori:
- Non, on a decide que le coeur du systeme c'etait l'interface web, tout le reste c'est secondaire et que c'etait mieux securise avec shell_exec(). :beatrice2:
- Hein? mais c'est completement con! :kanie:
- Hun... au pire tu peux generer le fichier de conf avec le script et shell_exec(), et apres tu modifie le fichier genere pour gerer les trucs qui sont pas fait par le script. :lisbeth:
- Ou sinon je fait l'integration normale, je met les fichiers de configuration dans mon systeme, je modifie avec le systeme de template, et ca juste marche? :asuna4:
- Non, tu fais comme on dit! :clementine:
- Non. :coach:
- Quoi?!? :ringo3:
- Je vais pas implementer une faille de securite vonlontaire pour utiliser un vieux script que mon systeme est cense remplacer. le tout en mettant 3 fois plus de temps pour implementer tout ca alors que la solution propre en une semaine elle est implementee et fonctionnelle. :rin2:

Suivi 3h d'arguments qui menent nul part (c'est un pet project, il veux le garder, pas touche)
Au final le truc a ete implemente correctement en 2 jours :fuckthat:

L'epilogue, c'est que un mois apres ce truc la, le sysadmin senior (qui n'a -aucune- experience de dev) a takeover le projet, principalement par vengeance... et qe tous les bugs qu'il reussit a faire en bidouillant le code sont de ma faute. :mion2:

spanner
Apprenti Thaliste
Messages : 7
Enregistré le : mer. juin 15, 2016 7:47 pm

Re: Les ordinateurs de l'HORREUR

Message par spanner » dim. juin 19, 2016 1:59 am

Ah tiens, une autre anecdote qui date d'octobre dernier:

Pour replacer le contexte, c'etait en plein evenement interne, une espece de semaine de vacances entre employes tout frais paye par la boite, qui est plus une enorme beuverie qu'autre chose, et etant pas friand de ce genre de trucs, je suis reste pour profiter du calme et bosser sereinement.

Il y avait quelques collegues quand meme, dont un, qui me demande, un vendredi aprem' d'un coup sur la messagerie interne "euh... j'arrive plus acceder a ma VM sur $host, c'est normal?" :shiori:
- "Nope, pas vraiment.... laisse moi verifier (...) ah, effectivement, la machine ping plus... j'essaie de voir ce qui se passe" :akiho:

Login sur l'interface web de la machine host, err... nope, la machine host timeout :yui3: .. et ping plus non plus :sayako:

Bon, bon, bon... heureusement que y'avait un collegue qui attendais un gosse et qui donc etait reste... et qui avait la cle de la salle server (que seul deux personnes dans l'equipe ont :rondoudou: ), je lui demande, je descend et... euh, elle fait pt'et beacoup de bruit la salle server la, d'habitude on l'entend pas depuis les ascenseurs :shiori:

Effectivement, j'ouvre la porte et.... :keuwa: ah, bon, la salle server est visiblement devenue un sauna. Evidemment fallait que ca tombe le vendredi a 16h la seule semaine ou 95% des collegues sont a la plage en train de se bourrer la gueule... :voyeur:

La moitie du rack en coupure d'urgence a cause de la surchauffe, la salle qui doit plutot avoisiner les 50 celsius que les 18 normaux, et le reste des servers, y compris le matos de l'ISP sur lequel on est raccorde en alerte et qui menacent de se couper a tout moment. :-?

Alerte donc, enfin pour ceux qui etaient reste sur place, a priori heureusement on a une clim d'appoint :wait: sauf que faut changer l'eau manuelleemnt toutes les 6h, pendant tout le WE, alors qu'on est en effectf reduit :loose: bon, du coup, decision est prise de couper toutes les machines et de laisser la porte ouverte pour le matos reseau, on verra tout ca lundi premiere heure quand tous les collegues seront revenus de l'evenement... en esperant qu'ils aient decuve aussi :lunettes:

Le lundi matin, arrivee le matin assez tot pour voir ce qui s'est passe avec la clim (qui est celle du batiment, pas une clim dediee pour servers :euh: ) et tenter de rallumer les machines + constater les degats avant que tout le monde arrive et... passent leur temps a rien faire vu que y'a plus rien qui fonctionne, meme pas de DHCP. :danse:

Sauf que je suis le seul de mon equipe, que nos servers ont pour la pluspart pas de label, et que l'autre equipe (les sysadmin windows) n'ont aucune idee par rapport a nos servers (j'ai precise que y'a jamais eu d'inventaire niveau server? :x )

Au final, apres 2h de debug de la clim et des debuts d'appels des gens qui se demandent ce qui se passe, la clim, euh... retombe en marche... oui, comme windows 95, comme ca, :askthat:

Bon ben on relance les servers les plus important et on voit ce que ca donne :fuckthat:

Au final, ca remarche depuis, on ne sait toujours pas ce qui s'est passe avec la clim, et on n'a d'ailleurs toujours pas de capteur de temperature dans les salles machine :pokerface:
Salles machines qui sont d'ailleurs equipee de sprinklers :heavy:
J'attends de voir ce que ca va donner quand la clim va re-lacher tiens :petage:

Ah, et on ne sait toujours pas a quoi servent certaines machines, aux dernieres nouvelles, elles etaient encore rackes, mais eteintes, personne a reclame qu'on les rallume :espion:

Eh, au moins, en tant que junior, ca me fait de l'exp a gerer un truc pareil quasiment tout seul... :miyamoto:

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » lun. sept. 19, 2016 11:29 pm

ActiveDirectory : Game of Thrones / Bain d'acide : Breaking Bad "Quand M. White dit 'tu fais comme ça', tu fais comme ça"

Il y a trois mois, j'ai eu à faire un truc assez abominable au boulot. :tokiomi:

On avait donc un domaine ActiveDirectory, monté depuis déjà très longtemps et qui ... bah il tourne.
Deux contrôleurs en lecture/écriture, et trois petits en lecture seule pour certains services spécifiques dans des réseaux isolés ou en remote. :fuckyea:

Le souci ? Et bien c'est que le contrôleur primaire (le tout premier construit dans le domaine donc) avait été conçu sous Windows 2008 R1. Sur un serveur physique, ce qui est normal vu qu'on ne veut pas avoir un souci d'oeuf et de la poule, c'est-à-dire d'infra de VM plantée qui verrouillerait l'accès au domaine, et à vSphere, l'infra de contrôle des VM. Jusque là rien de dramatique si ce n'est que j'avais déjà repéré qu'il n'y avait pas d'upgrade path et qu'on se préparait à une migration chiante. Et tout le monde au boulot du coup voulait la remettre au lendemain. :mio2:

Le principal souci était pour la coordination entre Windows 2008 R1 en primaire, et 2008 R2 en contrôleur lecture seule. Allez savoir pourquoi, mais ça provoquait un établissement de connexions RPC entre les deux qui dépassait l'entendement. Du genre, ça leakait des sockets. Ca les ouvrait, pour ne jamais les fermer. On en était arrivé à un stade où ça posait même un problème de réseau entre les deux DC parce que trop de sessions ouvertes et trop de retransmissions de paquets et ça gênait d'autres applications, genre le serveur de fichiers de la boîte. Je veux dire, au bout de trois mois on était à 60 000 connexions ouvertes. Le graphe monitorant le nombre de connexions TCP était en dents de scie, retombant à chaque reboot et à chaque update Windows donc.

Autre souci de Windows 2008 R1, quand ça fait autorité de certificats (c'est-à-dire un mécanisme assez pratique pour fabriquer des certificats pouf pouf pouf à volonté sur un domaine, et donc sécuriser les accès à certaines applis sensibles avec du SSL pour pas cher), c'est que il faut la version Enterprise pour customiser vos certificats. Qui autrement ont une durée de vie de un an. Ce qui est chiant. :sue:

Le graphe SNMP mesurant les connections ouvertes donne ceci :
Image

Le moment à mi-Juin qui cesse d'augmenter, c'est ma modification.

A noter qu'en plus on s'en sert pour fabriquer nos certificats clients (donc des certificats au nom des utilisateurs pour les identifier), notamment pour les accès VPN. Ce serait vachement bien de ne pas avoir à les renouveller tous les ans. :yukino4:

Je décide de prendre mon courage à deux mains et je rédige un plan de migration :
* Fabriquer VM Windows 2012, la promouvoir en contrôleur de domaine sous le nom "DC2"
* Dégager la fonctionnalité de CA de DC1, avec un backup intégral (faisable en journée)
* Restaurer la fonctionnalité sur DC2 (faisable en journée)
* Echanger l'IP de DC1 et de DC2 (à faire de nuit)
* Dégrader DC1 après, pour le reconstruire physiquement en 2012 (à faire de nuit)

L'idée était au final d'avoir un DC en physique et un DC en virtuel pour la redondance. :mion:
Une petite difficulté était que pas mal d'applis en interne utilisaient l'IP ou le hostname du contrôleur de domaine, ce qui fait que couper le service risquait de gêner le travail. D'où certaines parties à faire en pleine nuit. :coach:

Je fais la migration de l'autorité de certification, qui se passe bien en apparence.
Mais je teste et tente de reproduire un certificat. Erreur. :ringo3: :griffith:
Et en creusant, je remarque que l'autorité n'est pas fonctionnelle parce qu'il y a le nom du DC1 codé en dur dedans... Et je tombe sur tout un tas d'articles qui disent "ne faites pas votre CA sur le même serveur que le DC, le nom est codé den dur" :tamako: :misaka2: :kuroko2:

Et MERDE. :ringo3: A ce stade, revenir en arrière est devenu difficile, et en discutant avec les chefs j'arrive à négocier qu'ils me laissent faire le reste de la migration dans la nuit vu qu'on devrait y arriver sans couac. :coach:

Plan à exécuter en pleine nuit pour s'assurer que ça n'emmerdera personne. Je prends donc une timeframe d'environ huit heures.

Phase 1 : Echanger les IP

Ca, ça s'est passé comme dans du beurre. Vu que l'accès par IP pure ne sert qu'à une chose, faire un accès LDAP pour récupérer les listes d'employés et de groupes... Aucun risque. Juste un coup de shuffle bien habile comme le coup des trois verres avec une boule dedans et devinez où elle se trouve. :fuckyea: :shiroe:

Phase 2 : Renommer DC1 en DC1-OLD et DC2 en DC1

Le moyen le plus simple étant donc de donner le "bon" nom à ma nouvelle machine, j'opte pour la solution de renommer DC1, et de renommer DC2 en DC1.

Le renommage de DC1 passe, mais DC2 refuse de se renommer. :tokiomi:

Phase 2bis : Dégrader DC1

Petite déviation du plan. Puisque le Roi refuse de renoncer à son nom, il va falloir donc lui demander gentiment d'abdiquer.

"Bon, DC1, dégrade-toi." :akiho:
-"Non." :sue:
-"Pardon ?" :pokerface: :kiddingme:
-"Non." :sue:
-"...Je crois que t'as pas bien compris. C'était pas une question. SUDO DEGRADE-TOI." :serious: :hirano:
-"Erreur en cours de dégradation, renoncement au rôle impossible." :lied:
-"..." :akira: :tokiomi:

S'ensuit littéralement un complot pour usurper le trône. :hirano: :kanako:

De là, je lance à l'autre contrôleur de domaine lecture/écriture la directive de renier DC1 qui est un usurpateur et de le relever de ses fonctions, puis je force la réplication de l'information à tout le monde.

DC1 se croit donc toujours roi de la montagne mais le reste du monde ne l'écoute plus.

Bon, maintenant je peux enfin lui piquer son nom. (A noter ça m'a pris quatre heures pour réussir à en arriver là >_>)

Phase 3 : Restaurer l'autorité de certificats et confirmer les fonctions

La CA se laisse restaurer toute seule, on peut émettre des certificats, et on a plus les contraintes à la con de durée. Yay.

Les services internes dépendant d'ActiveDirectory sont apparemment contents.

Je teste une modification et je teste la réplication... Même forcée ça ne passe pas et je note qu'il y a dans la chaîne de réplication un truc qui ne devait pas rester :keuwa:

Les réplications sont aussi supposées se faire sur une bécane nommée ... DC1-OLD. :tamako:

Il a donc fallu faire l'équivalent de plonger le pauvre DC1 dans l'acide et lui faire subir les derniers outrages et éliminer toutes les traces. A noter que je ne pouvais même pas l'effacer depuis DC1, car un DC n'est pas capable de retirer lui-même les enregistrements de configuration relatifs à lui-même. :fu:

Du coup, réussi à restaurer la réplication des DC sans problème et faire croire à tout le monde sur le réseau que DC1 n'a pas changé et que tout va bien circulez y'a rien à voir.

Phase 4 : ...One more thing

Et merde, il y avait un LDS (Lightweight Directory Services) sur DC1, qui a été répliqué et repris sans problème, mais qui a mémorisé du coup un DC1-OLD. :marii7:

Et sur un LDS il n'y a pas la notion de "il y a plusieurs maîtres pour éliminer les infos superflues depuis un autre serveur". Niqué, il va falloir refaire le LDS from scratch. (Mais en attendant ça tourne quand même bien hein) :pokerface:

Ceci pour dire, les bonnes pratiques Microsoft, même si on a pas pu les lire... C'est vraiment "Quand M. White dit 'tu fais comme ça', tu FAIS comme ça." ou sinon tu te retrouves avec un cadavre liquéfié qui traverse le plancher de ta salle de bain parce que t'as voulu le dissoudre dans l'acide dans ta baignoire et pas dans un bac de plastique comme il a demandé. :tamako: :tokiomi: :yuno:

Ou ici l'équivalent avec les restes d'un DC dissous sur le plancher à éponger. :kanie:

Berk. :keichi2:

Le lendemain, les gens se sont loggés sans rien remarquer et aucun drame. OUF. Avec au final dix heures de maintenance de DC, dont quatre où le service a été interrompu (mais sans dégâts puisque la nuit)

Et depuis aussi le problème du leak de connexions a été résolu complètement, et le mystérieux problème de serveur de fichiers aussi.

Avec le recul, je me dis, putain, les chefs (japonais, hein) me font confiance pour me laisser 1) faire une manip pareille 2) faire de l'impro sur une manip pareille. Mais je me dis, devoir faire de l'impro, ça veut dire vraiment que Windows c'est chiant, et qu'on avait un cumul de mauvaises pratiques qui nous sont revenues dans la gueule et qui auraient pu nous faire bien plus mal plus tard. Donc heureusement qu'on les a éliminées. Et ça veut aussi dire que je connais pas assez bien Windows pour les éviter avant d'avoir à improviser.

Et donc, ça me fait me dire, putain on a besoin d'autres Windowseux. Capables de lire du Windows en japonais. Et en anglais. Et de comprendre le cerveau tordu des mecs qui ont traduit les messages en japonais. Parce que ça aussi c'est pas une sinécure, décoder les messages pas toujours bien traduits pour chercher ce que l'erreur veut dire et comment la gérer.

Conclusion : Pour être un bon admin Windows au Japon, il faut être multiclassé admin sys ET traducteur. Parce que sinon tu pigeras rien aux messages d'erreur, et même si tu piges, si tu traduis pas les messages, tu trouveras pas les solutions.
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
QCTX
Fait partie du paysage
Messages : 130
Enregistré le : lun. mars 30, 2009 12:44 am
Localisation : RP

Re: Les ordinateurs de l'HORREUR

Message par QCTX » sam. sept. 24, 2016 9:51 pm

Le principal souci était pour la coordination entre Windows 2008 R1 en primaire, et 2008 R2 en contrôleur lecture seule.
Les AD LDS, ca a été vendu comme la solution idéale il y a 5 ans. M$ s'en est mordu les doigts depuis et à fait machine arrière sur le sujet. Il faut absolument proposer à ta boite de s'en débarrasser, sinon, il vont (tu vas) en chier encore pendant longtemps.
je rédige un plan de migration :
* Fabriquer VM Windows 2012, la promouvoir en contrôleur de domaine sous le nom "DC2"
* Dégager la fonctionnalité de CA de DC1, avec un backup intégral (faisable en journée)
* Restaurer la fonctionnalité sur DC2 (faisable en journée)
* Echanger l'IP de DC1 et de DC2 (à faire de nuit)
* Dégrader DC1 après, pour le reconstruire physiquement en 2012 (à faire de nuit)
J'aurai évité l'avant dernière étape pour la remplacer par ça :
* Ajouter une machine physique montée en DC et lui transférer les rôles (roi de la montagne et mère des dragons) (faisable en plein jour)
* Shutdown du DC1/formattage/réinstall et réintégration au domaine.
Ca te permettra d'avoir définitivement deux physiques pour gérer ta redondance plutôt que de se fier à des VM (i.e., le jour où ton DC1 crame, tu prends le risque de l'oeuf ou la poule).
Une petite difficulté était que pas mal d'applis en interne utilisaient l'IP ou le hostname du contrôleur de domaine, ce qui fait que couper le service risquait de gêner le travail.
Je. De. Mais... :kanako2:
Personne n'a entendu parler de la notion de DNS ou quoi ? Jamais on code en dur une IP dans un programme, JAMAIS !
Et je tombe sur tout un tas d'articles qui disent "ne faites pas votre CA sur le même serveur que le DC, le nom est codé den dur"
Principe de base sur Windows : un serveur n'a qu'une seule et unique fonction. Jamais tous les oeufs dans le même panier, les VM sont là pour ça. Et une licence DataCenter de Windows, c'est fait pour gérer toute ces VM sans avoir à te prendre la tête.
comme le coup des trois verres avec une boule dedans et devinez où elle se trouve.
On parle plutôt de la problématique des tours de Hanoï...
Image
Capables de lire du Windows en japonais.
:sayako:
Tu veux dire par là que vos DC ne sont pas en full anglais ? Que les admin systèmes ont voulu installer des OS en jap ? Sur des DC ? :kanako2:
Rassure-moi, on parle pas d'une grosse entreprise nationale, là ? C'est juste une start-up ou une PME ?
Image

Répondre

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité