A.Vakhitov – vMind.ru

Terraform cycles

Решил я заняться развертыванием AWS Lambda Function и API Gateway через Terraform.

Вводные были следующие:

API Gateway создается на основе OpenAPI-шаблона, который вызывает Lambda Functions. Соответственно, в шаблоне должен быть указан Lambda invocation url (lambda типа как prerequisite);
Lambda Function должна запускаться только из API Gateway – для разрешения (permission) в качестве source_arn необходимо указать API Gateway execution arn (API gateway prerequisite).

Сначала я создавал lambda function с помощью штатных ресурсов AWS-provider: aws_lambda_function, aws_lambda_permission и archive_file. Проблем с закольцовкой не было: Terraform умело разруливал порядок создания ресурсов.

Но потом лямбда функций стало больше, и я решил использовать принцип DRY (don’t repeat yourself). В Terraform эту роль играют модули.

Я начал использовать публичный модуль для создания лямбд отсюда – и меня догнали Terraform Cycle Error на этапе terraform validate.

Отрицание

Не может такого быть, повторял я и варьировал различные варианты кода.

Неужели придется отказаться от модуля в случае создания таких функций???

Гнев

Пока я изучал модуль, обнаружил в нем входную переменную putin_khuylo, содержащую по умолчанию значение true.

Торг

Внимательное изучение выходных значений модуля подсказало наличие выходного значения function_arn_static, которые должны помочь избежать зацикливания.

НО НЕТ!

Депрессия

Был еще один вариант:

выполнить команду terraform -grath -show-cycles;
полученный текстовый вывод скормить graphviz либо graphviz онлайн.

Увы, установить утилиту я не мог, а онлайн-утилита вылетала по памяти.

В теории этот путь поможет в разрезании цикла, показав ресурсы, участвующие в цикле.

Принятие

С горя я решил задать вопрос ChatGPT: как избежать зацикливания в данном случае.

Внезапно, мэтр программирования IaC Terraform посоветовал ресурс aws_lambda_function создавать в модуле, а aws_lambda_permission оставить в корневом файле.

Да-да, это то самое чувство, когда соседский мальчик умнее тебя 🙁

provider "aws" {
  region = "us-east-1"
}

locals {
  list1 = {
    lambda1 = {
      name = "lambda1"
      path = "../lambda1"
    }
    lambda2 = {
      name = "lambda1"
      path = "../lambda1" 
    } 
  }
  list2 = {
    lambda1 = aws_apigatewayv2_api.example_api.execution_arn
    lambda2 = aws_apigatewayv2_api.example_api.execution_arn
  }
}
module "lambda" {
  source   = "../lambda"
  for_each = local.list1
  name     = each.value.name
  ...
}

data "template_file" "example_api" {
  template = "${file("example_api.tpl")}"

  vars = {
    lambda_invocation_url = module.lambda.lambda_function_invoke_url
  }
}

resource "aws_apigatewayv2_api" "example_api" {
  name          = "example_api"
  protocol_type = "HTTP"
  body          = data.template_file.example_api.rendered
}

resource "aws_lambda_permission" "example_permission" {
  for_each      = local.list2
  statement_id  = "AllowAPIGatewayInvoke"
  action        = "lambda:InvokeFunction"
  function_name = module.lambda.lambda_function_arn
  principal     = "apigateway.amazonaws.com"
  source_arn    = each.value
}

provider "aws" {

region = "us-east-1"

}

locals {

list1 = {

lambda1 = {

name = "lambda1"

path = "../lambda1"

}

lambda2 = {

name = "lambda1"

path = "../lambda1"

}

list2 = {

lambda1 = aws_apigatewayv2_api.example_api.execution_arn

lambda2 = aws_apigatewayv2_api.example_api.execution_arn

}

module "lambda" {

source = "../lambda"

for_each = local.list1

name = each.value.name

...

}

data "template_file" "example_api" {

template = "${file("example_api.tpl")}"

vars = {

lambda_invocation_url = module.lambda.lambda_function_invoke_url

}

resource "aws_apigatewayv2_api" "example_api" {

name = "example_api"

protocol_type = "HTTP"

body = data.template_file.example_api.rendered

}

resource "aws_lambda_permission" "example_permission" {

for_each = local.list2

statement_id = "AllowAPIGatewayInvoke"

action = "lambda:InvokeFunction"

function_name = module.lambda.lambda_function_arn

principal = "apigateway.amazonaws.com"

source_arn = each.value

}

provider "aws" {
  region = "us-east-1"
}

resource "aws_lambda_function" "example_lambda" {
  filename         = "lambda_function.zip"
  function_name    = "example_lambda"
  role             = aws_iam_role.lambda_exec.arn
  handler          = "lambda_function.handler"
  runtime          = "nodejs14.x"
  source_code_hash = filebase64sha256("lambda_function.zip")
  
  environment {
    variables = {
      EXAMPLE_VAR = "example_value"
    }
  }
}

resource "aws_iam_role" "lambda_exec" {
  name = "lambda_exec_role"
  
  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Action = "sts:AssumeRole"
        Effect = "Allow"
        Principal = {
          Service = "lambda.amazonaws.com"
        }
      }
    ]
  })
}

resource "aws_iam_role_policy_attachment" "lambda_exec_policy" {
  policy_arn = "arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole"
  role       = aws_iam_role.lambda_exec.name
}

output "lambda_function_arn" {
  value = aws_lambda_function.example_lambda.invoke_arn
}

provider "aws" {

region = "us-east-1"

}

resource "aws_lambda_function" "example_lambda" {

filename = "lambda_function.zip"

function_name = "example_lambda"

role = aws_iam_role.lambda_exec.arn

handler = "lambda_function.handler"

runtime = "nodejs14.x"

source_code_hash = filebase64sha256("lambda_function.zip")

environment {

variables = {

EXAMPLE_VAR = "example_value"

}

resource "aws_iam_role" "lambda_exec" {

name = "lambda_exec_role"

assume_role_policy = jsonencode({

Version = "2012-10-17"

Statement = [

{

Action = "sts:AssumeRole"

Effect = "Allow"

Principal = {

Service = "lambda.amazonaws.com"

}

]

})

}

resource "aws_iam_role_policy_attachment" "lambda_exec_policy" {

policy_arn = "arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole"

role = aws_iam_role.lambda_exec.name

}

output "lambda_function_arn" {

value = aws_lambda_function.example_lambda.invoke_arn

}

Так как функций было несколько, то их входные значения для модуля (имя, путь и т.д.) генерировались в разделе locals. Для использования цикла for_each в ресурсе aws_lambda_permissions потребовалось хранить source_arn в отдельной локальной переменной. УРА, terraform validate пройден.

Правда, на этапе terraform plan выяснилось, что модуль требует для своей работы Python и иногда падает, если в runtime вашей функции указана странная версия Python’а, и в Runner для CI/CD что-то пошло не так 🙂

На этом я решил ~~психануть~~ ~~закопать стюардессу~~ написать свой модуль создания лямбда функции без Питона и Путина.

Как ChatGPT решает математические задачи

Мой сын учится в шестом классе. Попалась тут ему задача по математике, которую он не смог решить. Мы решили спросить глубокоуважаемый ИИ – как же решить эту задачу. Continue reading “Как ChatGPT решает математические задачи”

Всегда говори да!

«Обычно люди обращаются за советом, — говорил Атос, – только для того, чтобы не следовать ему, а если кто-нибудь и следует совету, то только для того, чтобы было кого упрекнуть впоследствии.»

Пришло мне в голову дать вам бесплатный совет: соглашайтесь на практически любую движуху. Приведу пару примеров из своего опыта:

2009-й год, я работаю обычным системным администратором на заводе. Windows, Exchange и немножко ДрВеба с Симантеком :).
Тут мне предлагают стать ответственным за администрирование коммутаторов, маршрутизаторов и брандмауэров Cisco. В качестве бонуса еще и немного учат!
Я, конечно же, соглашаюсь. Коллега из соседнего отдела сомневается и отказывается – зачем ему дополнительный головняк?
2011 год, в другом месте мне предлагают взяться за администрирование системы MS Lync Server 2010. Тоже учат, ага…
Там же ближе к 2017 – внедрить систему резервного копирования NetBackup.

Результатом первой возможности стало более глубокое понимание работы сети и сертификат CCNA (хотя, поработав в интернет-провайдере, я осознал – насколько же это были базовые знания). Пару раз помогало тыкать носом сетевиков в их косяки.
Результатом второй и третьей – приличные знания по обеим системам в качестве T-shape специалиста. В результате, в 2020м меня брали на центрального администратора Commvault с хорошим окладом без практического опыта по нему 😉

Я не могу рассказать о текущем стеке, но он не имеет ничего общего с привычным мне VMware/Microsoft. Когда-нибудь я расскажу и эту историю…

AWS SAA-C03

Наверное, многие из вас видели этот мем про девопс и зарплату в 300кк. Зарплаты девопс-инженеров с hh.ru пробивали мой воображаемый потолок по зарплате в несколько раз, поэтому: настала пора перемен. ~~Пора закопать VMware и изучить кубернетис.~~

Continue reading “AWS SAA-C03”

Контейнеры – стейтлес, говорили они

Возникло давеча у меня желание запустить контейнер SonarQube.

В гугле меня не забанили, поэтому быстренько была найдена ссылка по запуску контейнера за пару минут.

Я взял оттуда команду для запуска контейнера:

docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest

1	docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest

Запустил контейнер, сменил пароль пользователя admin, зарегистрировал Gitlab и добавил репозиторий с кодом в качестве проекта.

Затем я остановил контейнер:

docker stop sonarqube

1	docker stop sonarqube

Когда мне снова потребовался контейнер SonarQube, я запустил его командой

docker start sonarqube

1	docker start sonarqube

Каково же было мое удивление, когда контейнер запустился со всеми изменениями (пароль администратора и прочее).

Хочу воспользоваться подсказкой “Помощь зала”: как вы считаете, уважаемые читатели – почему контейнер после перезапуска сохранил свое состояние?

Опрос CDP/LLDP с ESXi через PowerShell/Python

Однажды у вас может возникнуть желание составить таблицу портов коммутаторов, к которым подключены ваши хосты.

Если у вас “гомогенное” окружение, состоящее из коммутаторов Cisco, то заморачиваться не нужно совсем (CDP настроен в Virtual Switch Standard/Distributed Virtual Switch по умолчанию).

Но если в окружении не только Cisco, то вам необходимо немного сильнее напрячься:

использовать только распределенные коммутаторы;
включать на них поддержку LLDP;
с удивлением обнаружить, что в API опрос CDP и LLDP происходит по-разному.

Continue reading “Опрос CDP/LLDP с ESXi через PowerShell/Python”

Заметочка про Custom Attributes

Потребовалось проставить Custom Attribute для виртуальных машин.

На помощь, как обычно, пришел Google и подсказал следующее решение:

$ca=Get-CustomAttribute -Name 'custom_attribute_name'

get-vm -Location vm_folder_name | Get-Annotation -CustomAttribute $ca | %{Set-Annotation -entity $_.AnnotatedEntity -CustomAttribute $ca -Value 'new_value'}

$ca=Get-CustomAttribute -Name 'custom_attribute_name'

get-vm -Location vm_folder_name | Get-Annotation -CustomAttribute $ca | %{Set-Annotation -entity $_.AnnotatedEntity -CustomAttribute $ca -Value 'new_value'}

PowerShell, SCSILunPath и Datastore Name

Обратился ко мне за советом постоянный читатель: помоги, говорит, с моим iSCSI-массивом NetApp. Пытаюсь вывести Get-SCSILunPath, так там ни имени датастора, ни IP-адреса “таргета” в SanId нет 🙁

Посмотрел – и действительно так: в отличие, например, от Huawei, NetApp не выводит IP-адрес IQN-Target в выводе атрибутов Get-SCSILunPath. Да и привязать CanonicalName вида naa.thebeststoragearray к датастору с первого взгляда не удается…

Continue reading “PowerShell, SCSILunPath и Datastore Name”

PowerShell, REST и Excel

Обнаружили проблему: командлет Get-OrgVdcNetwork почему-то не выводит часть сетей orgVDC. Опытным путем выяснили, что ему не нравятся Shared-сети, то есть сети доступные из нескольких orgVDC.

Для решения проблемы решили воспользоваться REST API от vCloud Director.

А чтобы было не скучно, решили вывод сетей делать сразу в файл Excel, чтобы уменьшить количество ручной работы.

Оригинал PoSH-скрипта я положил на гитхаб, тут его приведу для наглядности (хотя с отступами при копипасте беда).

Скрипту понадобится список vCloud Director’ов в файле vcd_list.txt.

#Script makes an Excel file, which contains oVDC's networks. It takes VCD list from vcd_list.txt file.
function Get-Netmask {
  param ($prefixLength)
  $bitString = ('1' * $prefixLength).PadRight(32, '0')
  $ipString=[String]::Empty

# make 1 string combining a string for each byte and convert to int
  for($i=0;$i -lt 32;$i+=8){
    $byteString=$bitString.Substring($i,8)
    $ipString+="$([Convert]::ToInt32($byteString, 2))."
  }
  $ipString.TrimEnd('.')
}

$ExcelApplication = new-object -comobject excel.application 
$ExcelApplication.Visible = $false
$WorkBook = $ExcelApplication.Workbooks.Add()
$sheets = 1

$apiVersion = '35.0'
$cred = Get-Credential
$password = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($cred.Password))
if($password -like "*:*"){Write-Host("Password is containing ':'. Exiting now...");break}
$userPass = $cred.Username
if(!($userPass -like "*@*")){$userPass += "@system"}
$userPass += ":$password"
$bytes= [System.Text.Encoding]::UTF8.GetBytes($userpass)
$encodedlogin=[Convert]::ToBase64String($bytes)

$content = get-content vcd_list.txt | sort -Descending

foreach ($cont in $content) {
  $base_uri = $cont
  $sheets += 1
  $xws1 = $WorkBook.Worksheets.add()
  $xws1.Name = $base_uri.split('/')[2]
  $headers = @{}
  $authheader = "Basic " + $encodedlogin
  $headers.Add("Authorization",$authheader)

  $version_uri = $base_uri + "api/versions"
  try {$get_version = Invoke-RestMethod -Uri $version_uri -Headers $headers -Method GET -ErrorAction Stop}
  catch {$err_mes = $_;$get_version = $false}

  $check_version = $get_version.SupportedVersions.VersionInfo | Where-Object {$_.Version -eq $apiVersion} 

  if ($check_version){
    $headers.Add("Accept","application/*;version=$apiVersion")
    $session_uri = $base_uri + "api/sessions"
    try{$get_session = Invoke-WebRequest -Uri $session_uri -Headers $headers -Method POST -ErrorAction Stop}
    catch{$err_mes = $_;$get_version = $false}
    if ($get_session.StatusCode -eq '200'){
      $base_uri
      Write-Host "Success" -ForegroundColor White
      $bearer_token = 'Bearer '+ $get_session.Headers.Item('X-VMWARE-VCLOUD-ACCESS-TOKEN')
      $headers.Remove("Authorization")
      $headers.Add("Authorization",$bearer_token)
      $net_uri = $base_uri + 'cloudapi/1.0.0/orgVdcNetworks'
      $Data = Invoke-RestMethod -Uri $net_uri -Headers $headers -Method get -ContentType 'application/*+json'
      $total = $Data.resultTotal
      for ($num = 1 ; $num -le [int][Math]::Ceiling($total / 16) ; $num++){
        $tmp_net_uri = $net_uri + '?page=' + [string]$num + '&pageSize=16'
        $Data = Invoke-RestMethod -Uri $tmp_net_uri -Headers $headers -Method get -ContentType 'application/*+json'
        if($num -eq 1){$orgnets = $Data.values}
        else{$orgnets += $Data.values}
        }
      $orgVDCs = @()
      for ($num = 0 ; $num -lt $total ; $num++){
        $row = "" | select Tenant, vDC, OrgVdcNetwork, Gateway, Netmask
        $row.Tenant = $orgnets[$num].orgref.name
        $row.vDC = $orgnets[$num].orgvdc.name
        $row.OrgVdcNetwork = $orgnets[$num].name
        $tmp_net_uri = $net_uri + '/' + $orgnets[$num].id
        $Data = Invoke-RestMethod -Uri $tmp_net_uri -Headers $headers -Method get -ContentType 'application/*+json'
        $row.Gateway = $Data.subnets.values.gateway
        $row.Netmask = Get-Netmask -prefixLength $Data.subnets.values.prefixlength
        $orgVDCs += $row
        }
      $orgVDCs_tmp = $orgVDCs | sort Tenant
      $xws1.Cells.Item(1,1) = 'Tenant'
      $xws1.Cells.Item(1,2) = 'vDC'
      $xws1.Cells.Item(1,3) = 'OrgVdcNetwork'
      $xws1.Cells.Item(1,4) = 'Gateway'
      $xws1.Cells.Item(1,5) = 'Netmask'
      for ($num = 0 ; $num -lt $total ; $num++){
        $xws1.Cells.Item($num+2,1) = $orgVDCs_tmp[$num].Tenant
        $xws1.Cells.Item($num+2,2) = $orgVDCs_tmp[$num].vDC
        $xws1.Cells.Item($num+2,3) = $orgVDCs_tmp[$num].OrgVdcNetwork
        $xws1.Cells.Item($num+2,4) = $orgVDCs_tmp[$num].Gateway
        $xws1.Cells.Item($num+2,5) = $orgVDCs_tmp[$num].Netmask
        }    
      $usedRange = $xws1.UsedRange
      $usedRange.EntireColumn.AutoFit() | Out-Null
      }
    else{Write-Host "Failed" -ForegroundColor Red;Write-Host $err_mes.Exception -ForegroundColor Red}
  }
  else{Write-Host "Failed" -ForegroundColor Red;Write-Host $err_mes.Exception -ForegroundColor Red}
}
$ext=".xlsx"
$path=(Get-Location).Path + "\orgvdcnet$ext"
$ExcelApplication.DisplayAlerts = $false;
$workbook.Worksheets.Item($sheets).Delete()
$WorkBook.Saveas($path)
$WorkBook.Close()
$ExcelApplication.Quit()

100

101

102

103

104

105

#Script makes an Excel file, which contains oVDC's networks. It takes VCD list from vcd_list.txt file.

function Get-Netmask {

param ($prefixLength)

$bitString = ('1' * $prefixLength).PadRight(32, '0')

$ipString=[String]::Empty

# make 1 string combining a string for each byte and convert to int

for($i=0;$i -lt 32;$i+=8){

$byteString=$bitString.Substring($i,8)

$ipString+="$([Convert]::ToInt32($byteString, 2))."

}

$ipString.TrimEnd('.')

}

$ExcelApplication = new-object -comobject excel.application

$ExcelApplication.Visible = $false

$WorkBook = $ExcelApplication.Workbooks.Add()

$sheets = 1

$apiVersion = '35.0'

$cred = Get-Credential

$password = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($cred.Password))

if($password -like "*:*"){Write-Host("Password is containing ':'. Exiting now...");break}

$userPass = $cred.Username

if(!($userPass -like "*@*")){$userPass += "@system"}

$userPass += ":$password"

$bytes= [System.Text.Encoding]::UTF8.GetBytes($userpass)

$encodedlogin=[Convert]::ToBase64String($bytes)

$content = get-content vcd_list.txt | sort -Descending

foreach ($cont in $content) {

$base_uri = $cont

$sheets += 1

$xws1 = $WorkBook.Worksheets.add()

$xws1.Name = $base_uri.split('/')[2]

$headers = @{}

$authheader = "Basic " + $encodedlogin

$headers.Add("Authorization",$authheader)

$version_uri = $base_uri + "api/versions"

try {$get_version = Invoke-RestMethod -Uri $version_uri -Headers $headers -Method GET -ErrorAction Stop}

catch {$err_mes = $_;$get_version = $false}

$check_version = $get_version.SupportedVersions.VersionInfo | Where-Object {$_.Version -eq $apiVersion}

if ($check_version){

$headers.Add("Accept","application/*;version=$apiVersion")

$session_uri = $base_uri + "api/sessions"

try{$get_session = Invoke-WebRequest -Uri $session_uri -Headers $headers -Method POST -ErrorAction Stop}

catch{$err_mes = $_;$get_version = $false}

if ($get_session.StatusCode -eq '200'){

$base_uri

Write-Host "Success" -ForegroundColor White

$bearer_token = 'Bearer '+ $get_session.Headers.Item('X-VMWARE-VCLOUD-ACCESS-TOKEN')

$headers.Remove("Authorization")

$headers.Add("Authorization",$bearer_token)

$net_uri = $base_uri + 'cloudapi/1.0.0/orgVdcNetworks'

$Data = Invoke-RestMethod -Uri $net_uri -Headers $headers -Method get -ContentType 'application/*+json'

$total = $Data.resultTotal

for ($num = 1 ; $num -le [int][Math]::Ceiling($total / 16) ; $num++){

$tmp_net_uri = $net_uri + '?page=' + [string]$num + '&pageSize=16'

$Data = Invoke-RestMethod -Uri $tmp_net_uri -Headers $headers -Method get -ContentType 'application/*+json'

if($num -eq 1){$orgnets = $Data.values}

else{$orgnets += $Data.values}

}

$orgVDCs = @()

for ($num = 0 ; $num -lt $total ; $num++){

$row = "" | select Tenant, vDC, OrgVdcNetwork, Gateway, Netmask

$row.Tenant = $orgnets[$num].orgref.name

$row.vDC = $orgnets[$num].orgvdc.name

$row.OrgVdcNetwork = $orgnets[$num].name

$tmp_net_uri = $net_uri + '/' + $orgnets[$num].id

$Data = Invoke-RestMethod -Uri $tmp_net_uri -Headers $headers -Method get -ContentType 'application/*+json'

$row.Gateway = $Data.subnets.values.gateway

$row.Netmask = Get-Netmask -prefixLength $Data.subnets.values.prefixlength

$orgVDCs += $row

}

$orgVDCs_tmp = $orgVDCs | sort Tenant

$xws1.Cells.Item(1,1) = 'Tenant'

$xws1.Cells.Item(1,2) = 'vDC'

$xws1.Cells.Item(1,3) = 'OrgVdcNetwork'

$xws1.Cells.Item(1,4) = 'Gateway'

$xws1.Cells.Item(1,5) = 'Netmask'

for ($num = 0 ; $num -lt $total ; $num++){

$xws1.Cells.Item($num+2,1) = $orgVDCs_tmp[$num].Tenant

$xws1.Cells.Item($num+2,2) = $orgVDCs_tmp[$num].vDC

$xws1.Cells.Item($num+2,3) = $orgVDCs_tmp[$num].OrgVdcNetwork

$xws1.Cells.Item($num+2,4) = $orgVDCs_tmp[$num].Gateway

$xws1.Cells.Item($num+2,5) = $orgVDCs_tmp[$num].Netmask

}

$usedRange = $xws1.UsedRange

$usedRange.EntireColumn.AutoFit() | Out-Null

}

else{Write-Host "Failed" -ForegroundColor Red;Write-Host $err_mes.Exception -ForegroundColor Red}

}

else{Write-Host "Failed" -ForegroundColor Red;Write-Host $err_mes.Exception -ForegroundColor Red}

}

$ext=".xlsx"

$path=(Get-Location).Path + "\orgvdcnet$ext"

$ExcelApplication.DisplayAlerts = $false;

$workbook.Worksheets.Item($sheets).Delete()

$WorkBook.Saveas($path)

$WorkBook.Close()

$ExcelApplication.Quit()

скрипт запрашивает учетные данные для подключения к vCD;
скрипт считывает список vCloud Director’ов из текстового файла;
создает Excel-файл, а на нем одноименный лист по каждому vCD;
заполняет список сетей по vCD на листе;
сохраняет результат в файле orgvdcnet.xlsx

Что стоило бы доделать – проверку на наличие установленного Excel (например, тут – $ExcelApplication = new-object -comobject excel.application). Если Excel нет, то делать вывод в CSV-файлы по старинке…

Как уменьшить размер базы NTDS.DIT в четыре раза

~~Спойлер – никак.~~

Как-то мне довелось админить большой домен на несколько тысяч пользователей. После того как база NTDS.DIT выросла до 14ГБ, поднятие нового контроллера домена без использования функционала Install From Media (IFM) стало занимать несколько часов.

Я создал новый тестовый домен, создал в нем сходное количество пользователей, групп и компьютеров. Назначил каждому пользователю картинку на 100к и…

Получил размер базы меньше 1ГБ. Это «Ж-ж-ж» неспроста! – подумал я и обратился в MS Premier Support.

Continue reading “Как уменьшить размер базы NTDS.DIT в четыре раза”