Cisco ASA5505 Transparent Firewall Configuration

台中某電廠的ASA 5505使用的透通式L2 Firewall的設定。
詳情請參考影片檔。

Roaming User Profiles & Folder Redirection

今天來談論的兩種有趣的技術(Roaming User Profiles & Folder Redirection)，不過卻已經是行之有年的技術。
很多Training很死板，沒有辦法讓你理解到技術與技術間的差異，而今天要比較的就是兩種相似的技術，應該說是技術上的演進。

相信許多人都有在大公司或學校都有遇過一種神奇的環境，被稱為網域的環境，有網域的環境就能便於管理帳號、電腦與使用者。

很多公司會機關學校會開放像是電腦教室、公共的電腦來供學生做資料查詢或利用。而一進入公司或學校就會要求你申請一組帳號來做為辨識你個人身分之用，這我相信都不陌生，而這組帳號密碼通常也會跟你公司的信箱或學校信箱相同。

一但有了網域，事情就大不同。當你使用一台電腦的時候，甚麼東西最為關鍵？沒錯，就是所謂的個人檔案，和個人設定跟應用程式。所以當你要增進個人使用體驗(User Experience)時，這些東西如果可攜，那事情就會方便得多。

講一個情境：今天我叫作Eric，我在傳統的Windows作業系統上做登入，如果他是第一次登入這台電腦，時間會比較長些，因為他要在這台電腦機器上，建立一個屬於叫作Eric的作業環境，其中包括像是個人桌面、我的文件、圖片、音樂，還有很重要的應用程式設定檔案(隱藏檔)；這些東西的路徑預設會在C:/user/eric底下，如下圖。我今天如果在公司的A電腦上面打了一份文件儲存在桌面或者是我的文件當中，當我在公司B電腦上登入時看得到這份文件嗎？當然是不行的，因為B電腦又會再建立一次相關的個人環境，這環境間彼此是獨立的。

好，接下來談談微軟怎麼做…。

微軟為了做到個人設定檔和桌面可攜，創造了一項技術叫作Roaming Profiles，他可以做到把個人檔案和設定帶著走的技術。其實全名應該要叫作Roaming User Profiles。今天公司有網域，假設所有網域內的電腦你都有登入的權限，你會在登入的時候耗費點時間，從一個公用的資料夾中，把你的個人設定和檔案從中Download下來，如果你的文件、圖片、音樂，這些東西不多，那你的登入就會很迅速，如果這些資料夾內容很大，那你可能就要等上好一陣子了。然後等你操作完畢並且登出電腦後，再將這些設定和檔案寫回該共用資料夾空間之中。

等等…，有發現甚麼問題沒有？如果你在A電腦登入生編輯一份c’文件存在桌面，沒有登出；你同時又再登入B電腦又編輯了相同的一份文件結果叫作c’’存在桌面。這下情況完蛋了，你的文件兩個版本無論如何都只會保持住其中一份，除非你有記得改檔名另存…。

這個問題可能還不是最大的，最大的問題在於登入風暴。如果你的User Profile很小，但是你發現登入公司電腦還是要看Windows轉圈很久，那是甚麼問題？那就是登入風暴，當你一個人的User Profile上限空間是5GB，公司有100人就是500GB，同一個時間點登入，就是從相同的儲存空間拉下500GB分給所有要登入的人…；這還只是100人喔，如果公司有數千人或上萬人的，你帳號密碼敲完去拉個屎、吃個早飯，可能都還沒有登進去…。有客戶說他登入要一個小時的，因為他的共享資料夾User Profile在國外，我相信沒有公司的早餐能比他家的愜意，當然，代價就是他必須祈禱一整天電腦不當機、不會踢斷電源線、不會打翻咖啡，否則代價就是下次再登入又要一小時。

Microsoft也不是笨蛋，當然知道問題的癥結點在於檔案上傳下載這個愚蠢機制；於是終於研發出了一套解決辦法，叫作Folder Redirection(資料夾重新導向)，這在使用者設定檔於企業內漫遊是非常重要的一件事。但是Folder Redirection通常用來解決比較大的檔案傳輸(例如：應用程式設定、個人資料夾、我的文件、我的音樂等)，避免在登入與登出的過程中耗時，一般性的設定檔，例如：輸入法、驅動程式的部分，仍然是必須仰仗Roaming User Profiles。

最後，由於GPO的這兩個群組原則(Roaming User Profiles & Folder Redirection)都是要套到伺服器上面的，而非使用者身上，請注意OU的選擇與生效的對象，所以必須增加所謂的Loopback Processing設定在Server上，這點非常重要，讓機器的設定能夠蓋過原本的使用者設定檔，並把那些重要的設定值蓋過原本套在User身上的GPO，才能迫使他生效。

關於Loopback Processing Policy的微軟官方說明

Nimble Storage Training Certification

上周五去了台北恆逸上了 Nimble Storage Training，取得兩張 Pre-sale 兼 Engineer 的證書。未來公司打算代理這項產品，接下來就是 Nimble Storage 會在北中南各召開現場實機體驗的展示會，到時候再體驗看看 Nimble Storage 在Database 的 IOPS 上面使用CASL技術到底有多驚人的效能進展。

XenApp 4.5 Server Hotfix R07 Step by Step

XenApp  4.5 Server同樣也要進行Hotfix R07請按以下步驟進行(所有條件均為必要)：

1.     安裝Java，J2SE 6.0 U14，必須高於此版本，因此這版本即可。
http://www.oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase6-419409.html#jre-6u14-oth-JPR
2.     安裝Microsoft Visual C++ 2005 SP1。
http://www.microsoft.com/zh-tw/download/details.aspx?id=5638
3.     License Server版本必須高於11.6.1。
http://www.citrix.com/downloads/licensing/license-server/license-server-version-1110-for-windows.html

更多的安裝需求請看此文件：
http://support.citrix.com/article/CTX127926 (此頁面可下載R07的修正檔案)

如果有發生qfarm /load 20000的訊息，目錄無法建立回來，請使用下列方法。

Access Management Console Fails During the Discovery Process After (Update)
http://support.citrix.com/article/CTX113117
使用上述說明重建Access Management Console目錄，需要下載icci.exe工具。

以下方法能解決在第一次登入 Web Interface 等候時間特別久的問題。

說明：由於ASP.NET在啟動時間會加入 Authenticode 驗證，這項驗證可能會造成使用者在第一次登入時有所延遲，在 .NET Framework 3.5 中進行啟動時，有一個組態選項可以允許略過 Authenticode 驗證，加速 Web Interface 登入速度 。

設定步驟：

登入Citrix Web Interface Server。
切換至「C:\Windows\Microsoft.NET\Framework\v2.0.50727\」目錄。
使用文字編輯器(如：記事本)開啟「Aspnet.config」檔案。
在 標籤之中增加一行程式碼「<generatePublisherEvidence enabled="false"/>」，如下：

<configuration>

    <runtime>

        <generatePublisherEvidence enabled="false"/> 

    </runtime>

</configuration>

設定完成後存檔，此時再重新開啟Web Interface速度則大大增快。

參考資料：http://msdn.microsoft.com/zh-tw/library/bb629393.aspx

以上文章引用自：http://tatang.pixnet.net/blog/post/32911262-加速citrix-web-interface登入速度

軟體與硬體維護上的差異

軟體跟硬體不一樣，通常客戶肯定會簽硬體的維護合約，尤其是網路設備，因為壞掉等於公司停擺；伺服器跟DB也是會類似的狀態只是急迫性不比網路設備。

規模夠大的軟體商，像是Citrix會有SA與PS兩種，買SA必含PS，反之未必。SA的價格會呈現穩定的狀態，但是不容易降價，除非匯率因素。通常架構夠大的企業都會願意續簽SA的合約，User等於多買一層保障，先不管升不升級，重點是對原廠開Case。

別小看對原廠開Case這件事情，別以為就是電話講講就能解決。微軟有一種Case是可以開到問題被解決為止的(到場服務、故障排除、協助測試)，當然微軟Case案件費用非常昂貴，所以像科技部這種單位每年可以問微軟數十個問題免錢的，你就知道微軟把它視為黃金客戶。

關於MA的部分，對於軟體部分，客戶通常不願意簽MA，但是硬體是一定會簽。因為軟體如果簽了原廠的SA，客戶有實力的可以直接問原廠，不需要問經銷商或是SI；而且軟體壞掉比較沒有急迫性，可能只是有一種功能不能用，比較麻煩一點而已。越穩定的軟體客戶越不願意簽MA，像是Citrix，如果有客戶用了五年，他跟你說壞掉重開機後一切正常，你要找甚麼理由讓他簽你的MA…；除非他有升級或架構異動的需求，不然你就算是說破嘴，他也不會想簽。

硬體就完全不同了，因為硬體具有急迫性，除非他公司MIS超強，非常有實力，否則通常一定會跟SI或經銷商簽MA的5*8甚至是7*24，像是竹科多數廠商，公司才不會在乎他要多付那麼一點點錢。公司停一條產線一小時損失一百萬，買你一台網路設備20萬，每年固定買30台來當備用，這種公司很多，像是旺宏電子。

但是硬體的利潤很差，代理商應該都知道這點。量要足以壓低價錢的，就要公司夠大間才會有希望。軟體利潤相當驚人，而且軟體商有個優點，就是完全沒有囤貨壓力，硬體商會要求工程師必須具備有一定程度實力在時間內把設備測試完成、設定完畢出貨給客戶，因為囤在公司這段期間拖得越長，表示公司或拉長與客戶之間的交期，使得款項延後很多才拿得到。軟體商則完全沒有這些壓力，一旦出貨就是出文件或合約給客戶，載明License跟KEY，現在很多軟體連原廠都不提供CD了，要客戶自己去原廠網站抓，沒有囤貨壓力，頂多郵資而已。

By Case這種案件在硬體界只會發生在客戶跟原廠之間，在軟體界只會發生在經銷商身上，軟體要不就買SA，不然就都不買，有非常嚴重的問題在按個案來看就好了。

如何精確判斷Windows的版本

常常會遇到無法精確判斷Windows作業系統版本的問題。

很多時候我問User：請問您用甚麼作業系統版本？
時常得到的答案是：2003或者是2008。

但是這些答案是非常不精確的，無法得知詳細的資訊。例如更新到甚麼版本？有R2與否？
這些很多User自己也不是很清楚。

比較精確的方式是在命令提示字元(cmd)下面輸入：ver 來查詢詳細的Windows版號。
按版號到wiki上作查詢，這樣就能得到比較精確的資訊。