dijous, 17 de juliol del 2014

Migració de la informàtica d'un ajuntament. City hall IT migration.

Diverses raons han portat a un ajuntament a planificar una migració dels seus equips informàtics:
  • Microsoft ha finalitzat el suport per a WindowsXP, que era el sistema operatiu que tenien els seus ordinadors.
  • El servidor de fitxers també era un WindowsXP.
  • Una fallada hardware en un equip.
  • Necessitat d'un ordinador més ágil en un altre equip (Pentium 4 a 3GHz, 8 anys d'antiguitat).
  • Sistema de còpies de seguretat avariat (disc dur extern fet malbé)
  • Llei de Protecció de dades: el servidor no disposava de cap seguretat.

City Hall asked for help to assist a IT migration due to several reasons:
  • Microsoft ended support for windows XP computers,
  • Server was a WindowsXP too.
  • Deceased motherboard in a computer
  • Another computer was working very slow and noisy (Pentium 4 3GHz, 8 years old)
  • Backups were not working (external disc drive dead)
  • Spanish Data Security Law LOPD was compromised because of low security configuration.
1.0 Estructurant la xarxa / Network structure.

La xarxa estava formada per una connexió Wimax a Iberbanda i un router que generava una sola xarxa. Per a necessitats de l'edifici, hi havia un Wifi en una aula de formació.

Modificacions:
  • Es separa la xarxa en 3 Xarxes: (Interna Ajuntament, Classes, DMZ) 
  • La interna de l'ajuntament compren els ordinadors de l'ajuntament i el servidor. No hi ha accés Wifi
  • La xarxa de les classes suporta 3 wifis: Aula de formació, Sala d'actes i Centre Cívic.
  • DMZ és una xarxa amb una IP configurada com a DMZ i preparada com a rack de premsa.
  • Les tres xarxes no son enrutables entre elles. El router està programat per http://www.aerisnavigo.com/.
Network is a Local Area Network based on a Iberbanda Wimax router. City Hall required a wifi in a classroom.

Modifications:
  • Network is split between 3 Local Area Networks: (CityHall, Classroom, and DMZ areas apart)
  • City hall network holds workstations and server in administrative rooms.
  • Classroom network holds 3 wifis: classroom, meeting/conference rooms, civic center)
  • DMZ network havind one ip acting as DMZ ready for videoconferencing and IP AV Broadcast equipment.
  • The three networks are not routable between them. Router was programmed by http://www.aerisnavigo.com/.

2.0 El servidor / The server

El servidor vell era un Windows XP amb una carpeta compartida i l'usuari "invitado" activat.
  • WindowsXP està limitat, com qualsevol sistema operatiu de workstation, a 5 connexions concurrents, per tant problemàtic en un entorn on hi ha diversos ordinadors accedint a un central.
  • El nivell de seguretat, amb l'usuari convidat en marxa, incumpleix l'establert a la LOPD sobre seguretat de dades.
  • El disc de còpies de seguretat era un disc extern que s'havia fet malbé. Les dades son molt importants com per a tenir-les d'aquesta manera.
  • El hardware utilitzat era un ordinador normal de sobretaula.
Modificacions:
  • Es compra hardware especialitzat (HP Proliant) amb el seu corresponent sistema de discs RAID enmirallats per a donar consistencia a la integritat física a les dades i evitar talls en el servei mentre s'efectuen reparacions.
  • S'utilitza un sistema operatiu servidor, que admet més connexions.
  • No s'utilitza la tècnica de l'usuari convidat per a compartir dades. Qualsevol accés va autentificat, tant a nivell de connexió com a nivell d'accés o modificació de dades.
  • S'incorpora un disc de backups i s'especifiquen rodes automàtiques de backups, tant per les dades com per a la base de dades, per a donar consistència a la integritat temporal de les dades.

Old sever was a WindowXP with a shared folder and a open "Guest" access.
  • WindowsXP is limited, like any Windows Workstation OS, to only 5 connections. Not goood for a central node.
  • Data theft security is easy when using "guest" user. Spanish law LOPD requires an increased security.
  • Backups disc is an external USB disc that's not working. No other security backup.
  • Wardware used is a standard workstation.
Modifications:

  • New hardware: Proliant equipment purchased. Using the RAID controller I can get physical data integrity, and avoid service downtimes during disk replacement.
  • New Server-class operating system.
  • Do not use the "guest" way to share a folder. Any connection, data access and data modification is autenticated.
  • Backup disks with automatic backup for data and for the SQL database, giving temporal data integrity.

3.0 Les estacions de treball / Workstations.

Els equips vells es renoven per equips nous amb garantia.
  • S'efectua la migració de les aplicacions, incloent ABSIS, llicències de Microsoft Office, llicències d'Antivirus.
  • S'efectua la migració dels dispositius: Scanner Canon i Lector de targetes Token de seguretat CATCert.
  • La migracio de la impresora Ricoh té problemes: només funciona amb el protocol RPCS, no funciona amb el protocol PCL ni Postcript. Malauradamment no hi ha driver RPCS actualitzat. Afortunadament www.reprogir.com ens recomana utilitzar el protocol XPS i funciona.
  • Les aplicacions de escanner de la Ricoh tampoc estan disponibles per a Windows nous, afortunadament tenen un driver Twain actualitzat i juntament amb el Microsoft Office document Scanning restablim el servei de l'aparell.
 Old equipment is replaced by new reliable computers.
  • Application migration including ABSIS software, Microsoft Office licenses and Antivirus licenses.
  • Device migration: Canon Scanner, Securicard Token card reader from CatCERT.
  • Ricoh multifunction printer is old and there is no driver for new operating systems. It only talks RPCS protocol, but there is no RPCS driver. No PCL, no Postscript. Hopefully, XPS driver is offered and it works!
  • Scanner apps for the Ricoh are not available for new versions of Windows. Hopefully there is a Twain driver available. This driver plus the Microsoft Office Document Scanning software made a great job.


dilluns, 7 de juliol del 2014

HP Microserver G8 Intel.

1.0 Overview / Introducció.

Cada any solo tenir la oportunitat de muntar una instal.lació amb un servidor HP. això em permet anar experimentant les diferents tecnologies que va posant HP a disposició dels tècnics en Administració de sistemes.
En aquest cas he muntat un HP Microserver G8 amb processador Intel Celeron G1610T (2 cores @ 2,3GHz, 35 watts). El Microserver porta 4 llocs per a posar discs SATA i una controladora RAID B120i que permet un RAID per hardware, una manera clàssica de mantenir seguretat.

Every year I use to have an opportunity to get my hands on a HP Proliant Server. This lets me experiment with the way HP helps IT managers.
I've just got my hands on a HP Microserver G8 with a Intel Celeron G1610T (2 cores @ 2,3GHz, 35 watts). The Microserver has room for 4 SATA 3,5" disks and has the well known B120i RAID controller, a classic security approach: disk mirror.


Les prestacions:

  • CPU Intel Celeron G1610T. 2 cores a 2,3GHz. Una cpu de consum reduït: 35Watts. Pot semblar una CPU mediocre, però generalment aquests servidors no han de fer una gran feina de processador (servidor de fitxers), per tant, el processador no és important. Però tornem a la paraula mediocre... segons els Index Passmark, el Celeron G1620T ofereix un índex de 2367, i el Xeon X3210 quad core de l'any passat oferia 2835. És un 20% menys de potència de càlcul a canvi de consumir 80 watts menys i tenir millor rendiment per cada processador.
  • 2Gb de RAM. Per a fer de servidor de fitxers amb un Windows Server2012 ja està bé.
  • He posat 3 discs de 1Tb, dos en mirall per el sistema/disc i un addicional de backups. Això em permet donar seguretat a la integritat física de les dades (mirror) i integritat temporal (backups històrics).
  • 2 ethernets (només n'he utilitzat una)
Features:
  • CPU Intel Celeron G1610T. 2 cores 2.3GHz. A low power CPU: 35 watts. This CPU may be considered a low end processor for a server, but most servers do nothing during their lives (filesharing is not a CPU intensive job). But get back to words "low-end". Passmark index for this processor is 2367, that compared to the 2835 got from the Xeon3210 QuadCore is pretty impressive. Its about 20% less computing power but eating 80 watts less than the Xeon, and a better per core performance. Nice one!
  • 2Gb RAM. Enough for a little filesharing server with Windows Server2012.
  • I installed 3 x 1Tb disks, two of them mirrored and an additional one for the backups. This gives me physical data integrity (mirror) and temporal data integrity (historic backups).
  • 2 ethernets. (only one used)

2.0 Intelligent Provisioning.

Treballar amb una controladora RAID és garantia que durant la instal.lació del Windows Server caldrà afegir drivers. Per això, la gent de HP proposa sistemes automatitzats que copien al disc dur els fitxers d'instal.lació i els drivers perquè en el moment d'efectuar la instal.lació tot estigui a punt. En aquest cas la cosa ha evolucionat fins a anomenar-se "Intelligent Provisioning".

Aquest "Intelligent Provisioning" ara consta d'un autèntic sistema operatiu gravat en flash, diria que és un Linux, que porta els controladors de la B120i, i que permet configurar el RAID i  juntament amb el CD original del sistema operatiu (Windows o Linux) prepara una partició al disc dur lògic per a instal.lar el sistema operatiu, on hi afegeix automàticament els drivers.

El primer que fa és connectar-se a internet i passar una bona estona actualitzant-se.
Després, havent seguit tots els passos, he acabat amb un error de Boot. :-(

Working with a RAID controller you will have problems during the setup process because you will need to add the controller drivers. Very easy to work around having a Pen Drive with the drivers, but HP insists in building an automated installation from your OS disk, copying it to the hard disk and adding the drivers so that everything is in the same place an complete for setup.

This time this is called "Intelligent Provisioning" that is a true operating system (a linux?) flashed on the mainboard that has the B120i drivers, allows you to configure the RAID Arrays, copies the files from your OS source disk to the logical drive you created and adds the drivers.

The first it does is connect to the internet and update itself.
After following all the steps I got a boot error :-(

3.0 The SPP Service Pack for Proliant

Després del fiasco de l'Intelligent Provisioning, anem a aprendre més coses. 
Cal descarregar des d'internet el SPP "Service Pack for Proliant". Son unes ISOs d'uns 4Gb que contenen actualitacions de diversos firmwares i que contenen els drivers per els diferents sistemes operatius. El SPP te'l trobes de morros quan intentes descarregar-te el driver de la B120i per a fer la instal.lació clàssica "F6".

Es fa servir de tres maneres diferents:
  • Primer abans de instal.lar el sistema operatiu: La ISO és bootable i actualitza els firmwares. En el cas de la B120i cal fer aquesta actualització doncs es veu que d'orígen té tendència a fer pantallassos blaus. També és veritat que durant l'actualització dóna un error codi 6 que no pot assignar memòria per al cache de lectura. Bueno, diuen que és degut a que el servidor amb 2Gb no té recursos per això.
  • Just abans de començar a instal.lar el sistema operatiu, es pot posar el DVD en un altre ordinador i extreure'n el controlador de la B120i per a copiar-lo en un PenDrive i poder-lo posar al WindowsServer quan el demani.
  • Després d'instal.lar el sistema operatiu, perquè automàticament instal.li tots els controladors.


So after the Intelligent Provisioning fiasco, let's learn about the SPP
The SPP is a ISO that contains all the drivers and the firmware updates for the different supported OS.
You will find it when trying to download the B120i driver (used to setup using the classic "F6" procedure).

It is used in 3 different ways:

  • Before installing the Operating system: This is a bootable ISO that loads some kind of linux (again) and lets you update several firmwares in your microserver. This is specially important for the B120i because it is prone to give BSOD with the default firmware. During the update gives a error code 6 because it cannot allocate Read Cache memory, but it looks like it is due to having only 2Gigs of RAM.
  • Just before installing the Operating System, you will find the B120i driver in the disk. Just place the disk in a computer with DVD reader and an assistant will lead you to unpack the drivers.
  • After installing the operating system, insert the SPP disk in the DVD and it will install automagically all the required drivers. Excellent.
4.0 After Setup.

Ja el tinc funcionant sense cap problema. La velocitat del RAID és bona. És un bon servidor de casa o per a oficines petites Pyme i similars.

I have it running with zero problems. The speed of the array is very good. A nice little home and small office server.


The Merakis MR26, an improvement.

1.0 Meraki MR26

Els Models MR26 de Meraki estan catalogats com a Access Points d'alta capacitat, que és el que precisament necessitem en una escola on hi ha tants clients en tant poc lloc. Les principals diferències son:

  • Mimo 3x3 (2x2 en els MR18)
  • 7 antenes amb Beamforming, que permet una bona directivitat de les antenes (5 antenes en els MR18)
  • Més ample de banda, Ara no ho acabo de trobar a la web però prometien 600Mbps per MR18 i 900Mbps per el MR26
  • Tots dos tenen 3 radios, dues per a servir clients i una més per a qüestions de seguretat, per a escoltar i modular el RF, i altres utilitats.
Els models MR18 no van acabar de funcionar bé en una instal.lació difícil com la de la nostra escola; els MR26 han demostrat clara superioritat.

The Merakis MR26 are sold as "High Capacity Access Points", that is what we need in a school with such a lot of clients in such a tiny space. Main differences with MR18s are:

  • Mimo 3x3 (instead of Mimo 2x2 for the MR18s)
  • 7 antennas with beamforming, that allow beam directivity. Only 5 antennas for the MR18.
  • More bandwith. I can't remember where I read it but it looks like the MR18s offer 600Mbps and the MR26 offer 900Mbps.
  • They both offer 3 radios, two of them are dedicated to serving clients, and the third is used for security, Air Marshall, modulating RF, and so.
MR18 models did not make a good job in the school: disconnections, low speed, so Meraki offered us the MR26 to test. They are much better and made a great job in the school.


2.0 Experimenting and solving problems. Tenim i sol.lucionem problemes.

Després d'instal.lar els punts d'accés vam tenir diversos "poltergueists": els punts d'accés, al cap d'una horeta i mitja deixaven de donar servei. Per descomptat que allò no era normal. Aquest fet ens va permetre poder experimentar el servei tècnic de CiscoMeraki.

  • Primer problema: La pàgina d'obertura de tiquets de suport de Meraki fa timeout molt aviat, de manera que després d'explicar el problema amb tot el deteniment que un suport tècnic requereix, en apretar "Submit" no passava res i no s'obria el cas. Evidentment tota la parrafada escrita es perdia.
  • Segon problema: Després de parlar amb els enginyers de CiscoMeraki, ens van comentar que els Punts d'Accés MR26 no son amics del DHCP. Tinguent en compte que cada punt d'accés pot ser un router gateway i pot formar subnets, etc, un canvi en la seva configuració IP causa la desconnexió de tots els clients. A l'escola, un canvi de IP (DHCP) passa cada 90 minuts (duració màxima de les classes), per tant, cada 90 minuts teniem un patatús. Recomanació dels enginyers de Cisco-Meraki: posa una IP fixe. Dit i fet: va ser posar la IP fixe i començar a funcionar a tot drap.

After installing the new MR26 in place of the MR18, we started having poltergueist phenomena: after some time the APs stopped giving service (could connect but no network beyond the AP). There is something wrong somewhere. This allowed us to experiment the Cisco-Meraki technical support.

  • First issue: When opening support tickets, the webpage timeouts, so after writing all the technical issues, tests, workarounds, pressing the "Submit" button got nowhere. Of course you lost the brick of info you just typed.
  • Second issue After speaking with the Cisco Meraki support team, I was told that the MR26 are not very fond of DHCP setups. Because each AP can be used like a Router-Gateway, and because each one can build subnets and very complicated network models, a change in their IP configuration causes all clients to dissociate. Our DHCP is setup so that leases expire after 90 minutes (max time in the class), so every 90 minutes the MR26 start having problems. Cisco-Meraki adviced me to turn the APs to static IP. I did and they worked like a charm! :-D
3.0 Test setup. 

Mantenim el mateix que en els altres tests, recuperem el NB500 en el lloc del L830.

  • 3 ordinadors (Aspire 1830 and targeta Broadcom, NB250 amb Atheros AR9285 i Toshiba NB500 amb Realtek 8188CE). Windows 7 al dia d'actualitzacions.
  • 3 taules: una enfront de l'AP a 3 metres, i les altres a 60 graus a la dreta i 60 graus a l'esquerra respectivament.
  • 1 AP Cisco Meraki MR26 connectat a un Switch Gigabit Cisco-Meraki MS200.
  • 1 servidor de fitxers amb suficient ample de banda.
  • 2 fitxers AVI de vídeo que sumen 450Mb


Same setup: (back to the Tooshiba NB500 instead of the L830)

  • 3 computers, (Aspire 1830 with Broadcom, NB250 with Atheros AR9285 and Toshiba NB500 with Realtek 8188CE) Windows 7 updated.
  • 3 desks, one about 3 m in front of the AP, and 2 more, one 60º left and the other 60º right.
  • 1 AP cisco Meraki MR26 connected to a Cisco Meraki Gigabit Switch with POE MS200.
  • A fileserver having enough bandwith/storage.
  • 2 AVI files, 450Mb total.

4.0 Single card performance. Velocitat amb un sol client.


Les targetes funcionen a diferent velocitat, ja ho hem anat veient en tots els tests. Els números no son molt impressionants.

Different cards work at different speeds. The same in all tests. Numbers are not very impressive.

5.0 Two stations at the same time. Dues estacions al mateix temps.


Els números tornen a ser baixos. Poc mes de 3,5MBytes/s en total.

The numbers are low. A little but over 3.5MBytes/s in total.

6.0 Three Clients at the same time. 3 Clients al mateix temps.


Les xifres son clarament millors que en els MR18. En aquest cas, que els clients estiguin tots junts o que estiguin repartits en diferents llocs té poc canvi, tot i que en general les xifres son lleugerament superiors si els clients estan repartits. La tecnologia Beamforming i les 7 antenes comencen a entrar en joc.

The numbers are better than the ones got with the MR18. Having the clients in the same spot (1 desk) or in different locations in the class (3 desks) does not give much change in the numbers. The numbers are slightly better in the case the clients are spotted in different locations in the class, so that Beamforming technology and the 7 antennas begin to contribute.

7.0 Transferencia total en el canal / Total performance in the media.


Hem representat l'ús del media sumant els Mbytes/s que es transfereixen simultàniament. En el cas de clients solitaris, hem fet una mitjana dels diferents clients en solitari.

We represented the media use adding the Mbytes/second that are transferred at the same time. For the benchmarks with a single client we calculated the mean between the throughput of all single clients.

La conclusió és que aproximadament podem esperar un ample de banda de 5Mbytes/s.

The conclusion is that we can expect a media bandwith of about 5Mbytes/s.






dimarts, 1 de juliol del 2014

Peritatge sobre un portal web que no ha complert les espectatives. Expert witness about web portal.

Ha calgut peritar un portal web que en el moment de la operació de venta es van prometre moltes funcionalitats però durant dos anys s'han experimentat gran quantitat de problemes, diversos graus de malfuncionament, filtracions de dades, etc.

Entre els problemes més importants: els contractes han d'establir sempre uns nivells de qualitat de servei que si no s'especifiquen, no ajuden a resoldre els problemes.

------cut------cut------cut------cut------cut------cut------cut------cut------cut------cut------

Expert witness about a web portal that had loads of good functionalities at the time it was demonstrated, but after the purchase problems arised. After 2 years of use, having lots of problems, several denials of service, low interactivity, lose of data, revealed even defective backup policy, requiring a 16-core server with more than 20Gb of memory.

Main problems: contract does not specify any Service Level Agreement. This is a very important chapter when problems arise.