同じ職場で同じ仕事を続けることは、経験を積み重ねて、携わる仕事の質をあげていくことに繋がる。しかし、心がけ次第では、経験を積むことと経験に"慣れてしまう"。
仕事をルーティンとして流すようになると、そこには思考の停止が起こる。(だからワクワクしない!)
時間が経った時に残るのは、「時と場合に合わせて考える力」ではなく、「決まって(知って)いる、楽なやり方」でしかない。
Episode 1
xxx.xxx.xxx.7というファイルサーバーとxxx.xxx.xxx.35というファイルサーバーがある。一台では容量が破綻するので急遽追加したという。xxx.xxx.xxx.7は組織全員85名がアクセス権を持つ。xxx.xxx.xxx.35は85名のうちあるグループに属する65名がアクセス権を持つ。管理者は力わざで、新規に65名のユーザーを作成した。既に同姓同名がxxx.xxx.xxx.7にいるにもかかわらず。人間はミスするもの。何人かは、xxx.xxx.xxx.7とxxx.xxx.xxx.35で異なる初期パスワード設定となったので、管理者が修正するまで新しいサーバーにアクセスできなかった。
古いサーバーにディスクを追加できれば、何もアクセス権なんてことを考えなくてもよかったのだろう。すると、新しいサーバーにアクセスするものがあるグループに属する65名と想定できても、アクセス権そのものは古いサーバーとまったく同じで、85名がアクセスできる状態であった筈。それを、物理的に別なサーバとして構成してしまったからという理由だけで新しいサーバーにアクセス可能なメンバーとアクセス権の無いメンバーと作ってしまうと、設定権に権力が生じ、何も無いところに利権を生む、という構造になる。本来、アクセス権は別な意味で設定すべきものだ。
ディスク増設が出来ないから物理的に別サーバーを立てた場合に、Unix互換OSでも、Windowsでも物理的に異なるサーバーを、あたかも一台のサーバーのごとく見せる方法はある。それでよいではないか!
百歩譲って、一台に見えなくても良い、二台のままでよいとしても、Windows の場合、Active Directryなどのドメイン管理の手法をとれば、何もそれぞれのサーバーに85名と65名、計150名のユーザーを作成するなどと言うような方法をとらずに、今までの85名のユーザー数のままで、(同姓同名のユーザーとしてではなく、まったく同一人物として、)同じパスワードで二台目のファイルサーバーへのアクセスは可能となる。ドメインコントローラーに85名のみを用意しておけばよい。それぞれのサーバーでパスワードが異なるなどといったミス設定も無くなる。後述するグローバルグループを利用すれば、新たに既存と同姓同名ユーザーを65名も作成せずに、85名のうち65名だけにxxx.xxx.xxx.35へのアクセスを許すことも可能だ。
500歩譲って、ファイルサーバー二台をワークグループ設定、いわゆるスタンドアロンサーバーとして構成したとしても、ローカルのグループを利用して、ユーザーを管理しよう。2台で150名のユーザーを作成しなければならないけれどね。
組織のメンバーが使用するクライアントPCは、ドメインのメンバーに設定する必要は無い。今までどおりワークグループ設定でも良い。しかし私ならば、
-
ファイルのアクセス監査
-
修正パッチの適用状況調査・修正パッチの強制適用
-
ホームディレクトリの強制設定
-
不必要なアプリケーションインストール拒否設定の強制適用
などなどセキュリティを考慮し、組織内のほとんどのPCをドメインメンバーにする。MailとグループウェアサーバーとしてExchange Serverを導入すれば、
-
ドメインのメンバーのみに
-
ドメインのメンバーになったと同時に自動的に
メールアカウントを発行することも可能だ。ドメインにグループを作成し利用すれば、それがメーリングリストにもなる。アクセス権を与えずメールアカウントのみの作成も簡単に実現できる。Outlookの使用が嫌ならば、Exchange ServerをSMTP・POPサーバーとしてのみ使用すればよい。もっとも、メンバー・グループなどでスケジュール管理・進捗管理・日報週報などの報告書管理・交通費精算などもできるのに、メールサーバーとしてのみ利用するのはとてももったいないはなしだが…。
ファイルサーバーのアカウントとは別に、Sendmailのアカウント・無い坊主とかいうwebグループウェアのアカウントをそれぞれ別個に管理するなどということ、また、メーリングリストとアカウントとしてのユーザーグループを別個に管理していることを、無駄!と思わないのが、経験の慣れであろう。ほとんど重複しているよね。
(85×3だってか?それが今回から85×4だぜ!これはとっても大変だ!)
また意味が無いのだが、ど〜うしても二台目のサーバーにはあるグループに属する65名の者だけのアクセスにしたいというのならば、グローバルグループを作成して、85名のうち65名だけをそのグループのメンバーにすればよい。新たに65名のアカウントを作成する必要はない。二台目のサーバーにアクセス権をもつローカルグループのメンバーとして、このグローバルグループを設定すればよい。
いくら苦労して、時間をかけても、楽で早く確実な方法を取れないエンジニアを誉めてやるわけには行かない。
ボスの
「ファイルサーバーを立てよ!」
とうオーダーに、いくらUnix互換OSやWindows のインストールができるからといって、
-
サーバーの目的
-
使用方法
-
パーテーションサイズ・パーテーション数などのディスク構成
などの設計書・手順書を作成もしないで、いきなりOSのインストールを始めて、後になって、
「朝六時から来ているのですけど、データの移行が思い通りになりません。どうしたらいいのでしょう?」
って質問してくる程度では
そりゃ、ダメでしょう
こんな事をいつまで繰り返していては、どんなに偉いボスが
「天災さんに訊け!」
と言ったとしても、今から15分後にビールを飲みに行く約束があるのだから、
僕は絶対相手しないよ!!
Episode 2
論理ポートにアドレス設定
物理ポートにアドレス設定すると、PDの仕組みからいって、物理ポートに接続した一台のみで占有してしまう。
(そうではないネットワーク機器も存在するらしいが、残念ながら身の回りにあるGR・GS・G20はアドレス設定した論理ポート1つで1つのPD)
後で複数台のBBRを接続する実験のときに、またコンフィグ設定を変更しなければならない。コンフィグを変更せずにせっかく用意したもう一系統を利用するとなると、2系統同時利用が出来なくなってしまう。論理ポートにアドレス設定をすれば、1〜10番ポートのどこに複数台のBBRを接続しても、PDで払い出されたアドレスを利用できる。それができるようにL2SWを用意しているのだから。
(ホントに君らCCNAか?もっと論理的に思考しようぜ!)
目先の実験さえ出来ればいいのだから…なんて考えてはいけない!
「いいじゃないか!この設定で!これで実験は出来るのだから!」
そんな考えに陥ったときに、人類の進歩は停止する。
成り行き任せで設定しないで"設計"しよう
いきなりコンフィグをたたくのではなく、紙の上でネットワークの構成を設計しよう。共用のDNSサーバーに設定するレコードや経路設定をあらかじめ確認しておこう。共用のルーターに設定する静的経路も事前に洗い出ししておこう。これらは僕らの部屋の中でどうにかなるものではなく、別な管理者に依頼しなければならないのだから。設定事項の洗い出しが出来たら、作業依頼として文書で依頼しよう。
損だとは思わないのかな?
「邪魔だから新人さんは帰っていいよ。」
なんて言い方されて喜ぶ人がいるだろうか?選挙権もあり、税金も納めている大人だから誰も注意はしないけれど、わざわざ点数を下げることをいわなくてもいいと思うんだけれどね。
教訓:
ITは楽するためにある! 同じようなことを何度も最初から繰り返すのならば、ITの意味は無い。チベットの山奥にでも行って修行しなさい。
お勧めリンク:
これは変だよ! まだまだ未熟だな
更新日:03 JUL 2004