rockern's 残雪初晴

NLB实施注意事项

rockern@tom.com(rockern) — Fri,21 Nov 2008 21:09:27 +0800

下周会协助系统工程部分析NLB性能不高的问题，放点资料备查。

NLB实施注意事项
实施NLB，服务器网卡，交换机也有所要求，在华为等一些交换机上，NLB是有问题的。

Windows server系统（Windows 2000高级服务器版本、Windows server 2003所有版本）中提供了网络负载均衡（NLB）功能。NLB的操作模式有单播和多播两种，它们之间有什么区别呢？
　　NLB的工作原理：当客户向NLB群集（NLB的虚拟IP地址）发起请求时，其实客户的请求数据包是发送到所有的NLB节点，然后运行在NLB节点上的NLB服务根据同样的NLB算法来确定是否应该由自己进行处理，如果不是则丢弃客户的请求数据包，如果是则进行处理。
　　如何将请求数据包发送到所有的NLB节点是NLB运行的关键之处，单播和多播这两种操作模式就是用于实现这一需求。NLB不支持单个NLB群集中的单播/多播的混合环境；在每一个NLB群集中，该群集中的所有节点都必须配置为多播或单播，否则，此NLB群集将无法正常工作。
　　单播和多播的运行方式和不同之处分别为：　　
　　单播
　　　　在单播模式下，NLB重新对每个NLB节点中启用NLB的网络适配器分配MAC地址（此MAC地址称为群集MAC地址），并且所有的NLB节点均使用相同的MAC地址（均使用群集MAC地址），同时NLB修改所有发送的数据包中的源MAC地址，从而使交换机不能将此群集MAC地址绑定在某个端口上。
　　工作在单播模式下的NLB可以在所有网络环境下正常运行，但是由于它的工作特性，具有以下两个限制：
　　由于NLB所使用的群集MAC地址没有绑定在某个具体的交换机端口上，所以所有的NLB通讯均通过在交换机的所有端口上广播进行，而不管此端口是否连接了NLB节点，这造成了额外的网络流量负担；
　　由于所有的NLB节点具有相同的MAC地址，NLB节点之间不能通过自己原有的专用IP地址进行通讯。
　　多播
　　在多播模式下，NLB不会修改NLB节点启用NLB的网络适配器的MAC地址，而是为它再分配一个二层多播MAC地址专用于NLB的通讯（此MAC地址称为群集MAC地址），这样NLB节点之间可以通过自己原有的专用IP地址进行通讯。但是在多播模式中，NLB节点发送的针对群集IP地址MAC地址ARP请求的ARP回复会将群集IP地址映射到多播MAC地址，而许多路由器或者交换机（包括CISCO的产品）会拒绝这一行为。当出现这种情况时，你必须在路由器和交换机上手动添加静态映射，将群集IP地址映射到群集的多播MAC地址。
　　Windows Server 2003提供了一个新的特性，称为IGMP 多播，它可以通过使用IGMP协议支持来使交换机只将NLB通讯发送到连接NLB节点的端口，而不是所有交换机端口。但是此特性必须要求交换机支持IGMP侦听，并且要求群集工作在多播模式下。
　　不过在Windows server 2003 SP1中，微软修改了NLB单播模式的驱动，从而支持阵列成员通过自己原有的专用IP地址进行通讯，详细信息请参见KB898867，Unicast NLB nodes cannot communicate over an NLB-enabled network adaptor in Windows Server 2003。在这种情况下，ISA企业版防火墙不需要再为阵列通讯配置一个额外的网络适配器，从而允许你对用于阵列通讯的网络部署NLB服务。
搜索更多相关主题的帖子: NLB 事项

Tokyo Banana

rockern@tom.com(rockern) — Sun,19 Oct 2008 01:19:57 +0800

People gather to TOKYO from here and there with memories of their home.
And then, Tokyo gets the everyone's home town.

来自Fujisawa的Saita-san送我一盒甜点。上面写着上面的话。
忧伤的日本人啊……

DNS系统中Domain与ZONE的区别

rockern@tom.com(rockern) — Mon,13 Oct 2008 10:41:36 +0800

最近重新啃了一遍CNR的DHCP/DNS，又复习了不少以前没有注意到的方面。

关于DOMAIN和ZONE,搜罗一些资料如下。

1、zone 是同授权（Delegation）联系在一起的，为了管理上的方便，我们把域的某部分授权出去让别人代
   为管理，这部分就是一个 zone 。为什么说是为了管理上的方便呢？因为这样一个很大的域就可以实现分
   散管理，而不是集中由一两台服务器来管理。而 zone 的划分就是通过 “授权机制”来实现的。这也是
   设计 DNS 系统得初衷。

2、并不能说 domain 就比 zone 大，反过来也一样。例如 edu 域可以包含多个 zone ：berkeley.edu 、purdue.edu 。但 edu 也可以看成是根域 "." 下的一个被授权出去的 zone ，它含有 berkeley.edu 、purdue.edu 等几个域。

3、域是以域名进行分界的，而 zone 是以授权范围来定界的。一个 zone 有可能跨域多个域名。例如 berkeley 域是所有以 berkeley.edu 结尾的域名空间；而 edu zone 可以包括 berkey 和 purdue 这两个域，都统一归 edu 这个 zone 管理。

4、一个域和一个 zone 可能具有相同的域名，但包含的节点却不同。例如使用了授权的域

5、Name Server 在加载数据时是以 zone 为单位，而不是以 Domain 为单位

簡單來說:
domain 是你授權路徑.
zone 是你的 db 管轄範圍.

打個比方:
你可將 sub domain 放在同一個 zone 裡, 但是 domain 是不同的.
你也可以將 sub domain 授權給別的 zone 裡...

zone是指域数据库文件，而domain则比较通用,domain是用域名定义的域结构中的一部分，而zone则是域数据库文件中包含域信息的集合，包含域信息的文件称为“区文件”。


zone只是domain的一小部分。例如，techtarget.com域会包含该域的所有数据，如sales.techtarget.com和acco unts.techtarget.com。但是作为zone的techtarget.com则只包含techtarget.com的信息和子域中到授权名称服务器的连接。

简而言之，我们可以说，域名服务器存储了部分域名空间(即zone)的信息。该域名服务器在其zone内是授权的。一个域名服务器可以在多个zone内授权。

CNR SSL证书更新导致Tomcat挂掉的处理

rockern@tom.com(rockern) — Fri,10 Oct 2008 16:20:40 +0800

这个周都一直在头痛CNR服务器换了证书就起不来的问题。Cisco TAC那边分配了一个悉尼的老外帮我处理，东搞西搞搞了一周，还是没把CNR起来。

郁闷了，今天开完会赤膊上阵，本来只想试试……TAC的人我一直都仰视的，何况这次TAC没搞定的情况下已经帮我升级到TAC Level2的工程师了，他们都搞不定，我也没做太大指望，只是本着责任心和研究热情试试，毕竟我只是网络管理员不是系统管理员更不是应用平台管理员呢。下午和部门的大美女AD聊了会证书加密和存储的过程，一时灵光闪现，飞奔回来do do do。。。结果真的搞定了，发出了一个完全正确无任何错误提示的证书，两台机器的WEB UI正常起来了……挖哈哈哈！
关键处在于Certificate Lib的密码实际是两个，keypass & storepass。

遗留问题还是存在的：我知道了如何更换key，但不知道如何更换key lib或者lib 的密码。

cd /usr/java/j2re1.4.2_09/bin/
keytool -list -keystore keystore-file
keytool -delete -alias tomcat -keystore keystore-file -keypass ******
keytool -genkey -validity 700 -alias tomcat -keypass ****** -keyalg RSA -keystore keystore-file

/etc/init.d/nwreglocal stop
/etc/init.d/nwreglocal start

下面是一些参考，懒得自己写了。

Microsoft Windows XP [版本 5.1.2600]

显示证书库中的证书使用如下命令：
keytool -list -keystore C:\Program Files\Java\jdk1.6.0\jre\lib\security\cacerts
删除tomcat 别名的证书
keytool -delete -alias tomcat -keystore C:\Program Files\Java\jdk1.6.0\jre\lib\security\cacerts

C:\Documents and Settings\Lawrence Yang>keytool -delete -alias tomcat -keypass changeit
keytool错误： java.lang.Exception: Keystore 文件不存在： C:\Documents and Settings\Lawrence Yang\.keystore

C:\Documents and Settings\Lawrence Yang>keytool -genkey -alias tomcat -keypass changeit -keyalg RSA
输入keystore密码：
再次输入新密码:
您的名字与姓氏是什么？
[Unknown]： localhost
您的组织单位名称是什么？
[Unknown]： egensource
您的组织名称是什么？
[Unknown]： egensource
您所在的城市或区域名称是什么？
[Unknown]： beijing
您所在的州或省份名称是什么？
[Unknown]： beijing
该单位的两字母国家代码是什么
[Unknown]： cn
CN=localhost, OU=egensource, O=egensource, L=beijing, ST=beijing, C=cn 正确吗？
[否]： y

C:\Documents and Settings\Lawrence Yang>keytool -export -alias tomcat -keypass changeit -file server.crt
输入keystore密码：
保存在文件中的认证

C:\Documents and Settings\Lawrence Yang>keytool -import -file server.crt -keypass changeit -keystore "c:\Program Files\Java\jdk1.6.0\jre\lib\security\cacerts"
输入keystore密码：
所有者:CN=localhost, OU=egensource, O=egensource, L=beijing, ST=beijing, C=cn
签发人:CN=localhost, OU=egensource, O=egensource, L=beijing, ST=beijing, C=cn
序列号:47e86791
有效期: Tue Mar 25 10:46:41 CST 2008 至Mon Jun 23 10:46:41 CST 2008
证书指纹:
         MD5:53:F8:8F:61:94:41:23:A1:52:45:BC:EE:BC:D1:A2:8C
         SHA1:1D:06:93:BD:A6:BC:F3:90:30:62:E2:DA:77:3C:C4:6F:F4:D7:77:4D
         签名算法名称:SHA1withRSA
         版本: 3
信任这个认证？ [否]： y
认证已添加至keystore中

C:\Documents and Settings\Lawrence Yang>

显示证书库中的证书使用如下命令： keytool -list -keystore D:/keystore/test 将显示 D:/keystore/test 证书库的的所有证书列表：
将证书导出到证书文件
使用命令：keytool -export -alias Tomcat -file D:/keystore/TC.cer -keystore D:/keystore/test 将把证书库D:/keystore/test 中的别名为 Tomcat 的证书导出到 TC.cer 证书文件中，它包含证书主体的信息及证书的公钥，不包括私钥，可以公开。
导出的证书文件是以二进制编码文件，无法用文本编辑器正确显示，可以加上 -rfc参数以一种可打印的编者编码输出。如：
keytool -export -alias Tomcat -file D:/keystore/TC.cer -keystore D:/keystore/test –rfc
通过证书文件查看证书的信息
通过命令: keytool -printcert -file D:/keystore/TC.cer 可以查看证书文件的信息。也可以在 Windows 资源管理器中双击产生的证书文件直接查看。
证书条目的删除keytool的命令行参数 -delete 可以删除密钥库中的条目，如： keytool -delete -alias Tomcat -keystore D:/keystore/test，这条命令将 D:/keystore/test 库中的 Tomcat 这一条证书删除了。
证书条目口令的修改使用 -keypasswd 参数，如：keytool -keypasswd -alias Tomcat -keystore D:/keystore/test，可以以交互的方式修改 D:/keystore/test 证书库中的条目为 Tomcat 的证书。
Keytool -keypasswd -alias Tomcat -keypass oldpasswd -new newpasswd -storepass storepasswd -keystore D:/keystore/test 这一行命令以非交互式的方式修改库中别名为 Tomcat 的证书的密码为新密码 newpasswd，行中的 oldpasswd 是指该条证书的原密码， storepasswd 是指证书库的密码。

耶鲁 CAS 配置

耶鲁 CAS 配置

拷贝 cas.war 到 tomcat/webapps

拷贝 casclient.jar 到 tomcat/common/lib 下

添加下面的配置到自己 war 中 web.xml 顶部

CAS Filter

edu.yale.its.tp.cas.client.filter.CASFilter

edu.yale.its.tp.cas.client.filter.loginUrl

https://localhost:8443/cas/login

edu.yale.its.tp.cas.client.filter.validateUrl

https://localhost:8443/cas/proxyValidate

edu.yale.its.tp.cas.client.filter.serverName

localhost:8080

CAS Filter

tomcat/conf/server.xml 打开 8443 那个 connector.

如果没有就添加 :


               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

               enableLookups="false" disableUploadTimeout="true"

               acceptCount="100" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS" />

执行 :

%java_home%\bin\keytool -genkey -alias tomcat -keyalg RSA

名字 : localhost.

密码 :changeit

其他 , 随便

Export the certificate from the .keystore file to a file called server.crt.

       %java_home%\bin\keytool -export -alias tomcat -file server.crt

Import the certificate into the default jvm truststore.

       %java_home%\bin\keytool -import -file server.crt -keystore ./jre/lib/security/cacerts

密码 :changeit

Test the SSL configuration by entering https://localhost:8443.

访问应用 :http://localhost:8080/…..

配置是经常遇到的报错：

1 、 C:\Program Files\Java\jdk1.5.0_06\bin>keytool -genkey -alias tomcat -keyalg RSA

输入 keystore 密码：   changeit

keytool 错误： java.io.IOException: Keystore was tampered with, or password was i

ncorrect

原因：系统中有了 *.keystore 文件，删除此文件可解决问题。此文件通常在 C:\Documents and Settings\Administrator 目录之下。

2 、 C:\Program Files\Java\jdk1.5.0_06>keytool -import -file server.crt -keystore ./j

re/lib/security/cacerts

输入 keystore 密码：   changeit

keytool 错误： java.io.FileNotFoundException: server.crt ( 系统找不到指定的文件。 )

原因：

是否做了下面这一步：

C:\Program Files\Java\jdk1.5.0_06\bin>keytool -export -alias tomcat -file server

.crt

输入 keystore 密码：   changeit

保存在文件中的认证

做完这步之后，稍等片刻，因为 server.crt 是在这步生成的，但是生成的时间比较长。通常在你操作下一步的时候它还没有生成，因此在配置的时候可能报错。

操作过程：

1 、 C:\Program Files\Java\jdk1.5.0_06\bin>keytool -genkey -alias tomcat -keyalg RSA

输入 keystore 密码：   changeit

您的名字与姓氏是什么？

[Unknown] ：   localhost

您的组织单位名称是什么？

[Unknown] ：   er

您的组织名称是什么？

[Unknown] ：   se

您所在的城市或区域名称是什么？

[Unknown] ：   sd

您所在的州或省份名称是什么？

[Unknown] ：   sdf

该单位的两字母国家代码是什么

[Unknown] ：   sdf

CN=localhost, OU=er, O=se, L=sd, ST=sdf, C=sdf 正确吗？

[ 否 ] ：   y

2 、输入的主密码

        （如果和 keystore 密码相同，按回车）：   changeit

3 、 C:\Program Files\Java\jdk1.5.0_06\bin>keytool -export -alias tomcat -file server

.crt

输入 keystore 密码：   changeit

保存在文件中的认证

4 、 C:\Program Files\Java\jdk1.5.0_06>keytool -import -file server.crt -keystore ./j

re/lib/security/cacerts

输入 keystore 密码：   changeit

Owner: CN=localhost, OU=er, O=se, L=sd, ST=sdf, C=sdf

发照者： CN=localhost, OU=er, O=se, L=sd, ST=sdf, C=sdf

序号： 4504c0e7

有效期间： Mon Sep 11 09:50:31 CST 2006 至： Sun Dec 10 09:50:31 CST 2006

认证指纹：

         MD5 ：   58:1E:6A:C2:9C:BB:8C:DF:5B:5C:79:B9:2E:FF:EE:45

         SHA1 ： 02:7C:32:16:24:B1:7F:32:8C:84:96:E6:77:87:0A:1C:31:7B:C8:32

信任这个认证？ [ 否 ] ：   y

认证已添加至 keystore 中

职业发展之惑系列之二 --- 怎样的心态才有助于职业发展

rockern@tom.com(rockern) — Tue,07 Oct 2008 01:58:14 +0800

职业发展之惑系列之二 --- 怎样的心态才有助于职业发展
http://www.i170.com/user/leon321/Article_92803

问题二：怎样的心态才有助于职业发展
当我们经过了仔细的分析，已经确定要做信息安全的时候，这时候摆在我们面前问题是，信息安全内部也有很多分支，职业发展的道路也有很多条。面临如此纷繁复杂的可能性，我们是不是也会感觉的有些手足无措，其实越是年轻，这种感觉也就会越强烈，因为你还是有无限的可能。但是，事情的发展并不是总是能够朝着我们所希望的方向发展下去，在这中间你会经历挫折、面临困难和诱惑以及还有自我挣扎的彷徨时刻。这时候，一颗积极向上的心，一个踏实成熟的态度等等性格方面的因素肯定是对我们职业发展的道路起到一个良好的促进作用。所以，在分析职业发展道路之前，我们可以先看一下自己应该培养怎样的心态。
[separator]

走出校门，我们遇到的第一个挫折就是可能找不到你最理想的工作机会，这种情况十之七八。这个时候怎么办？我要一直等到我想要的工作出现还是先从手中的机会挑一个，边做边寻找机会。我想大多数人的建议是先工作在寻找机会，这是有道理的。很多时候你都不能找到你的最优选择，找工作这样，找老婆也类似，买房子也差不多。。。人生大致都是如此。至于怎么挑选机会，这个取决于很多因素，整个行业情况，公司的情况，个人的兴趣和喜好等等。很多人在这个时候会举棋不定，思前想后，犹豫不决。虽然说选择就意味着失去，失去其他的可能，但是这就是游戏规则，以后的日子里我们还会面临很多这样的时刻，而当机立断应该也是成功人士的一个必备条件。

在忐忑不安中，我们选择了人生的第一个机会，这可能是自己喜欢的，更大的可能是自己不怎么喜欢的甚至是不喜欢的。这就是我们面临的第二个考验，如何在这种困难的局面下前进。怨天尤人可能是大多数人的第一反应，但是这不是成熟的人应该有的。在这种情况下有的人可能会把手上的工作应付了事，而把大多数的精力投入到自己喜欢的事情上去，慢慢的积蓄力量和寻找合适的机会。有的人可能会努力的着手把现在的工作做好，在工作中积极的学习知识和汲取经验，并从中发现自己的兴趣。两种做法各有道理，也许各自适应不同的情况。但是无论怎样，在困难面前我们都不应该消极，而是努力以对，寻找自己的兴趣和机会。

积极学习，努力工作，慢慢的，我们自我感觉在自己的领域内小有成就或者小有名气，或者主动或者被动，我们得到了一些新的工作机会。面临成长中的诱惑该如何以对，这是我们面临的又一个考验。这时的我们已经不是刚出校门的青涩模样，隐约中踌躇满志，隐约中雄心万丈。眼前的机会如何选择，如何去把握，是走是留，要不要转换领域。这个是非常考验智慧的事情，个人的建议是这时候的选择要着眼长远，不要太在乎眼前的利益，能够有个平台让你向着你希望的方向进发，这是这个时候最重要的。做决定时眼光放远一点，做事情时眼光放低一点。决定一旦作出，就不要总是后悔，总是再评估，因为个人感觉跳槽次数越多，越不利于形成一个良好、积极的做事情的心态。当然，后面的老板也不大会喜欢一个Job-hoper。

随着知识、经验、能力的增长，我们也许已经在职位上有了提升，也许已经成为领域内资深的专家。但是，我们也许慢慢的发现自己前进的脚步已经不像几年前那样，技术知识的增加速度已经明显放缓，解决问题的经验也只是在原地踏步中增加次数，管理别人也不像自己冲锋陷阵那么简单…这些可能都在折磨着你那颗曾经好胜的心。度过了快速上升期，当你的职业发展进入一个相对平稳的阶段，传说中的玻璃天花板过早的来到了你的头上的时候，你可能就会在思索着，在彷徨着，也许还在小心翼翼的寻找着新的突破口。这时候，也许是我们在职业生涯发展的过程中必须迈过的一道门槛，怎么样积累能量，怎么样实现新的跨越。这时候，积极务实的态度也许又能够帮助我们度过这个难关，在积极的工作中积累经验，在经验积累中找到新的突破。毕竟，不是每天都是激情四射的创业时刻。

在这个过程中，积极向上的心态是摆在第一位的。每个事物，从不同的侧面会得出不同的结论，如果我们能够总是从积极的一面去看待我们面临的机遇、困难和挑战，我们也许就会得到积极的论断。眼光放长远，脚步放踏实。做出一些重大的决定时一定要放眼未来，不能只盯着眼前的蝇头小利。而决定一旦作出，具体做事情时又要保持踏实、务实的态度，不要再总是患得患失。比如我第一篇里面提到的要不要做信息安全这件事，基本上来说，想这件事的频率不要超过两年一次，越少越好。一旦你评估了之后决定要做信息安全，那就把这个问题放在一边，不要每天吃过了饭都来想一遍。
从个人的经验来说，还有一件事非常重要，虽然我目前还不能做到。那就是要保持一颗平和的心态，不要得陇望蜀。因为除了物质层次的追求，我们还有精神的层面。我愿意相信当物质生活达到一定的程度之后，快乐或者幸福指数很大程度上取决于精神生活。所以，在追求工作的时候不要忘记了享受生活。

其实，我非常愿意相信只要我们努力，我们就可以拥有更好的工作，更重要的是可以创造更好的生活。

职业发展之惑系列之 -- 我的一点经验和体会

rockern@tom.com(rockern) — Mon,29 Sep 2008 16:19:20 +0800

http://www.i170.com/user/leon321/Article_92975

职业发展之惑系列之 -- 我的一点经验和体会

昨天和高中同学聊天，回顾自己从上大学开始所走过的路，发现自己一路跌跌撞撞的走来，也收获了一些经验与体会，对与不对暂且抛开不管，写在这儿算是对这一系列文章做一个结论

1．沟通之重要

把这个放在第一位来讲，是觉得这个真的很重要，同时也觉得自己在这方面的也做得远不够好。记得刚刚开始做技术工程师的时候，觉得自己很拽，根本不愿意或者甚至是不屑于和其他部门的人打交道，觉得只要自己能把问题搞定，就算你是公司老总我也不买你的帐。工作了很多年之后才明白，IT部门是一个服务部门，客户满意度是服务部门非常重要的一个衡量指标。而客户满意度不仅仅取决于你的最终结果，能不能帮助客户解决问题，还在于你的过程，过程中是否很好的与客户沟通并让其及时了解进展。

[separator]

那个时候另外的一件事也让我记忆深刻，有一次客户的一个应用出了问题，我发现其实并不是我们的问题，而是其他一些方面的原因造成的。于是我就洋洋洒洒并且图文并茂的写了一封邮件解释了一通技术细节，然后说这个不是我们的问题，我们无能为力。客户那边没有反应，我觉得很开心，以为事情就此结束。没想到第二天销售就发飚了，回了一封邮件给我，同时抄送我老板还有我们事业部的老大，说，如何解决,客户不一定会理解,问题没有解决,客户始终还是要投诉.客户需要最终解决。大老板接着也表态，说不仅仅是这件事，今后我们在处理其他客户问题的时候也一定要明白，客户需要的是解决问题，需要的是解决方案，而不是解释。虽然当时似懂非懂，但是这个概念还是烙在了心里。当后来每每遇到类似问题的时候，觉得这样的思路还是非常有帮助。

也许有人会说，不是每个问题都有解决方案，但是我遇到的情况是，即便同样解决不了问题，但有的人还是能够让客户满意，而有的人让客户牢骚满怀。这个就是具体沟通技巧的问题了，因为客户在投诉或者是请求支持的时候，不可避免的会带有一些感情因素在里面，如果我们能够理解客户的这种情感，能够和客户在感情上贴近一些，那么也许我们能够得到更好的沟通效果。这个从理论上也可以说明，有一种理论认为，沟通传递的信息可以分为几大类，一是事实，一是意见，还有就是感受。我自己的经验是只有我们在专门关于感受的沟通中才会想到对方的感受，而事实上我们在工作中经常进行的是前两项的沟通，事实和意见，但我觉得往往在这两者的背后，都会有个人的感受在里面，只是它躲在语言背后，我们不加注意感觉不到而已。

除了感情的因素，在沟通中我们还要注意理解对方的立场，这在售前的时候比较容易体现。我记得在做安全技术集成的时候，向客户介绍产品时往往都会突出自己卖的产品有哪些优势哪些优势。当我们唾沫横飞，讲得正酣的时候客户突然提了一个问题，而这个恰恰是我们的产品所不能满足的或者恰恰是你们的弱项。这时候常见的两种反应是，逃避这个问题，视而不见听而不闻，一种就是据理力争，力图说服客户这个功能根本不重要，因为我们知道这个正好是某个竞争对手的强项而对方多半是被他们洗脑过。其实是不是这样并不重要，最关键的是要能够试图去理解对方为什么会有这个问题，而不是本能的反击。我觉得有句话说得挺好，客户的需求永远是有道理的，或者说有原因的。

前面所说的都是在说怎么样试图理解别人，沟通是双向的，我们还需要让别人明白我们的想法和观点，这个就是表达的技巧。方法可能有很多，每个人都有自己习惯的方式，我自己的感受是金字塔式的表达。《金字塔原理》这本书中所阐述的表达逻辑对于技术工程师来说应该是挺有启发意义的，至少我很喜欢这本书，也从这本书中受益良多。

有倾听，有表达，沟通中也少不了争论。解决争论有的时候是需要智慧的，我自己的经验是钻得进去，跳得出来。钻得进去是能够有开放的心态，试图用理解的心态找到对方想表达的观点，明白对方的立场，明白这个表达所处的限定条件。原则上来讲，任何论断都有一定的限定条件，而任何论断在一定的限定条件下都有可能是正确的。跳得出来，就是要能够站在整体的角度去看待这个论断，能够看到所争论的问题所处的整体环境，如果我们能够看到整体，也许就能看到自己和对方只是站在大象的两侧。

经过了很多的摸索之后发现，其实我们从小就在两个错误观念的引导下为自己建立了一个错误的方法论。一个认为这个世界非对即错，另一个就是所谓的辩证两分法。在这两种观点的引导下，我们往往简单的把这个世界用一条线划分为黑白两半，或者用两分法来标榜自己的客观。其实真正的世界是七彩斑斓，不是简单的一分、两分能够解决的。开放的心态也许对我们能够有所帮助。当然，我不是提倡没有对错，大是大非面前还是不能半点含糊，但是我们在工作生活中遇到的问题有多少是大是大非的问题呢？

当我们逐渐远离具体的技术，走上管理岗位的时候，才发现沟通几乎就是工作的全部，这么说有点夸张，但我的经验是良好的沟通绝对是管理岗位所必需的。这个话题写的太长了，其实说一千，道一万，最重要的还是实际应用。所谓运用之妙，存乎一心，不正是说这个么？

2．专注与关切
经常在和朋友的聊天中听到抱怨，说说自己工作中的困难，说说面临的人事处境，自己在工作的几番浮沉中也经历很多。前面说过要有积极的心态，其实除了心态之外，我们总是要着眼于具体要做些什么，不能光喊着口号，我要积极，我要积极。那么这时候要做些什么呢？就是做那些你能做的事情，而抛开那些你不能控制的事情。这是史蒂芬博士的理论，但是我觉得还是从中受益良多。我曾经有这么一段工作经历，刚入职时老板觉得我还是比较年轻，很多事情还是不太放心放手让我一个人去做，虽然自己觉得自己应该完全有能力作得更多。但是这个时候我就想，抱怨和空想都没有用，我还是看看我能做些什么吧，于是就把自己经手的每一件事都做到非常好，从会议组织到项目计划，从方案撰写到项目谈判，虽然不能做出超过自己能力的事情，但总会力争在自己力所能及的范围内做到最好。慢慢的这种超出他期望的事情一件一件的发生之后，他显然还是开始对我另眼相看。

其实，不管什么时候，把手放在自己能够直接控制的事情上，就是凭借自己的力量就能够做到的事情，你的影响就能够慢慢扩大。对于不能直接控制的事情，比如别人的看法，就试着改变自己嘴角的线条。也许有人说，我也不是想不通，就是觉得不公平，凭什么自己干了这么多，还@#$%^ 。其实只要能够跳出来，看看整体的状况，想想自己的问题出在哪儿，不是说别人没有问题，而是因为只有自己的才是我们真正可以控制和修正的。实在还是想不通，怎么办？参考第三条精神的追求

刚才说了专注的东西，我们需要把手放在自己能控制的范围内，但是我们的眼界还是需要放宽一点，世界很大，IT很小，信息安全更小，我们所从事的具体的专业领域就更加小。不论多么忙，经常抬起头看一看天。但是心要能收的回来，不要因为眼界开阔了，就开始这山望着那山高，手还是专注在自己能控制的事情上。好复杂，我自己都有点晕，但是这个世界就是这样，我们需要在这个复杂的世界上很好的保持平衡，不是么？

3．精神的追求
我在自己的blog上写过几篇相关的小品文讨论占有、付出、放弃以及朝三暮四等等，其实开始自觉地思考这些问题主要是觉得自己整个生活的重心几乎都放在了工作的追求上，工作几乎成了自己唯一的精神支柱，工作热情高涨时，即便很忙，整个人的状态也非常积极向上。工作不顺心时，整个人的状态就非常低迷。后来发现其实问题的关键也许在于自己没有明确的精神追求和信仰，于是开始学习中国的古文化。不断的学习之后发现自己的精神世界真的是荒芜太久了，在这方面补一下功课虽然不能让自己赚得更多，但是也许能让自己拥有更加美好的生活。正在努力的路上，也许以后会有更多的感受。

4．小马过河
记得刚刚工作的时候，每每有机会都会向一些前辈们请教经验，也经常去BBS去了解一些成功人士的成长历程，但是从不同的人口中往往都会听到不同的答案，甚至有的会截然相反。有的人告诉你要去学网络，有的人告诉你要去做研发，有的人说考个CCIE很好使，有的人说CCIE不过是个高级工匠。听得多了，后来忽然有一天想到了小马过河的故事，觉得原来在很小的时候就接受过很深刻的哲学教育，只是那时候不懂。老牛和青蛙根据自己不同的经历，给了小马不同的建议，谁对谁错？没有人错，只是每个人的位置不同，经历不同，最后得到的结论也就迥然相异。但是到底什么才是适合自己的呢？也许就想小马那样，自己试了之后才知道。

5．考证、理论与实践
个人的经验考证并不能一定能够给带来更好的工作机遇，但是肯定有助于帮你整理自己的知识体系。我的经验时当我们想进入某个领域的时候，考证或者读书可以帮助我们很快的拥有这个领域的一些理论知识，而且这些知识往往都是比较系统，我自己当初进入IT的时候就是通过考取一系列的IT技术方面的认证提高了自己在这些方面的知识。然后更加幸运的是这些知识就用到了随后的工作中，工作中积累的经验往往都是书本上学不到的，但是书本上的知识可以为我们的工作指引方向和道路。

另一种情况就是你在实践中已经积累了很多的经验，然后想到需要去考一个证书，我觉得这时候带给我的价值会更大一些，因为你在日常工作中已经积累了很多知识和经验，但基本上都是比较零散的，通过一个认证考试前的学习可以把这些东西串起来，使我们的知识系统化和体系化，这是一个帮助我们思考的过程。像我考CISSP就是这样，因为没啥动力，所以差不多在接触安全这个领域将近4年后才去考CISSP。

还有一种情况就是一边实践一边考认证，这个也不错。我考PMP的时候就是在这样一个状态下面，虽然当时很忙，但是因为每天你都在处理这些事情，项目计划，状态监控，进度汇报。。。反而两边可以相互促进。
总结起来说呢，考证还是有必要的，可以系统化你的知识，但是理论一定要和实践相结合才能产生最美妙的火花。想到前几天一个讨论，可以用来作为这段体会的一个总结。读书—〉实践—〉思考 –〉实践 –〉思考—〉读书，这是一个不断升华的过程。

6. 知易行难（11月3日补记）
今天坐在窗台上晒着太阳，听着音乐(是不是老年人的典型症状？喜欢晒太阳，喜欢说当年，啰嗦，哎，老了，秋冬季节阳光明媚的周末我最喜欢的事情之一就是坐在卧室的窗台上晒着太阳，听着音乐发呆)的时候忽然想到我几乎忘记了最最重要的一件事情，知易行难。这几乎是我工作了5年之后才真正体会的一句话，同时也几乎是对我以后的生活造成的影响最大的一句话。随着工作时间的推移，我们的技术知识可能是成倍成倍的增加，但是为人、处世、沟通等等一些软技能的增长速度却是相对缓慢的。

为什么？这些软技能并不是仅仅知道“应该”怎么做就够了的，因为从这些东西从我们的知识到变成我们自己的技能其实还有很长的路要走，这就是知易行难。很多时候，我们以为看了几本处世技巧、沟通能力的书，参加了几次领导力、管理能力的培训之后就觉得自己已经是专家了，其实我们还差得很远。我相信如果每件事都能够用我们理性的大脑和相关知识库的仔细分析之后再决定怎么做的话，我们肯定比现在要做得好很多。但不幸的是，我们没有那么多的时间，研究表明，每个人每天的活动中有90%甚至更多都是需要我们在几秒钟、几分钟内就做出反应的。在这么短的时间内，我们肯定是按照自己最习惯、最顺手的方式去处理这些事情，而根本不会想到这个事情适用于什么道理，需要运用哪个定理。

只有我们能够把“应该”变成“习惯”，这个技能才真正成为我们自己的，这就是我对知易行难的理解。我觉得这也是为什么大家的知识相近，但是结果却相差很大的原因之一。

再扯远一点，如果大家注意观察，就会发现人类有文字的几千年历史中，自然科学的知识发展突飞猛进，而关于人类自身认识的人文科学却变化不大。把老祖宗们在两千多年前甚至更加久远的著作翻出来看看，其实关于人性的认识发展到现在也不过如此。所以，这个东西最关键的也许并不是知识，而是行动，不是你知不知道应该怎么做，而是你能够做到多少。

**********************************************
职业发展之惑系列之 -- 道路选择中的几个矛盾

1. 安全技术VS安全管理
在工作的时候，我们可能会面临一些疑惑，到底是从安全技术方面做起还是从安全管理、审计、流程制度等方面做起？其实我觉得都没有关系，如果想能够在这条道路上走的更远，两方面的知识和经验都会对你有所帮助。问题的关键在于，在工作的过程中，一方面积累自己的专业知识，另一方面要积累对于业务需求的理解。为什么这么说？回到问题的本质，我们做信息安全的目的是为了保护组织的信息，同时信息对于组织有价值是因为它能够促进组织的业务。所以我们一定要理解组织的业务模式，理解信息对于组织的作用和价值，理解信息安全在中间的作用和工作机理。因为这对于我们和其他业务部门打交道，对于我们和老板打交道，更是对我们的职业生涯的发展有非常重要的意义。

2. 甲方VS乙方
我们经常会困惑于甲方还是乙方的选择，其实很简单。甲方的主要工作是日常运维（甲方专门的项目建设部门除外），乙方的主要工作是负责IT项目建设（Managed Service除外），我们在这两个阶段需要的能力和获得的能力都不太一样。日常运维来说，需要的能力比较全面，因为一，多数情况下我们要负责维护多个不同的系统，二，我们要解决日常碰到的可能各种各样的问题。这样，通过不断的解决问题你就会对所负责领域的知识有更加深入地了解，同时由于运维工作很多时候比较贴近用户所以能够获得对于组织业务和流程的更好的理解。

项目建设来说，又分为多种不同的角色，售前和售后是两个基本的分类，售后工程师的基本要求相对低，只要能够对你负责的领域内的产品比较熟悉，基本上就可以胜任。在工作的过程中可以不断积累对于该领域和产品的知识和经验。售后实施中如果是大项目的话，项目经理的角色就非常重要，综合要求比较高，但是实施过程中获得的经验也往往非常宝贵。说一句题外话，像终端管理、文件加密等等和用户关系密切的项目，一般都需要比较好的项目管理，不然，项目的客户满意度就很难保证。售前要求的综合素质比较高，但是我们除了可以提高自己的沟通能力、presentation能力之外很难在专业方面有所收获，那些厂商工程师的经验积累多半是在售后支持的时候获得的。

明白了各个不同的职位需要什么样的能力，自己能够获得什么样的收获，我相信每个人都可以得出自己的判断。

旧日词句，投给《驱动未来》

rockern@tom.com(rockern) — Wed,17 Sep 2008 17:46:55 +0800

如火的枫
用如火的情
点燃树枝

每一片枫叶的冬天
每一段苦恋的终结

——引子

醉梦词
（2008-07-13）
方就微醺吐心痴，
又趁酒意写新词。
一枕黄梁一场醉，
一梦何年是醒时?

　　水调歌头·阑夜词
(2008-07-13。蜗居山麓，不醉自醉，中夜忽醒，怅然此篇。)
　　
梦里频回首，夜阑笑诗篇。
恍若夕阳秋月，无语共霜天。
本拟风雨同舟，梦醒心在天涯，展转乱丝弦。
回首两百日，夜夜望婵娟。

寂寞天，银离月，夜无眠。
如是伤怀，只羡鸳鸯不羡仙。
执子之手片刻，转瞬沧海桑田，一夜一梦牵。
对影邀一醉，恍若向红颜。

暮归
(Jul, 2008.)
我踏山歌伴霞归，
爱惜枫景尽晚炊。
袁家小女门前过，
静看满天彩云飞。

共伞·梦呓

雨
淋湿了我的左肩
然后
濡湿了你的双眼

我手中紧握的
不是伞
是给你的小小晴天

（2008-06-14。只是幻想，纪念一把从来没有被两个人一起打过的双人伞。）

我以为我可以不想你
(Jan 8, 2008)

我以为　我可以不想你
在每一个玫瑰色的晨曦
在每一个骄阳如火的午后
在每一个绚烂抑或苍白的黄昏
在每一个浮华而又孤单
　　　　寂寞悄悄蔓延的夜晚

我以为我　可以不想你
在每一个记忆
    　怅然回眸的瞬间
在每一个芳华
    　零落成泥的霎那
在每一个
　　忧伤　被我揽在心里
　　阳光　被我关在门外
　的点点滴滴

我以为我可以　不想你
在每一次
    　掌声和笑脸
    　迎面涌来的时刻
在每一个
　　辗转反侧的夜里
在每一阵
　　匆匆来去的人潮
在每一日
　　晴晴雨雨的天气

我以为我可以不想你
无论是
　　办公室里喝茶聊天
或在净化间的地板下
　　挥汗如雨
无论你对我是
　　笑靥如花
　　或沉默不语
你的脚步　急急缓缓
我的心情　甜甜酸酸

对不起
我错了
我以为我可以不想你
在我的每一次呼吸

***********************************************
Rockern注：发给《驱动未来》的时候，拿掉了《暮归》。

世界级企业家要越过几道坎

rockern@tom.com(rockern) — Thu,11 Sep 2008 16:41:08 +0800

世界级企业家要越过几道坎[ 文章出处：《法人》 | 作者:姜汝祥 | 发布人:管理员 | 更新时间：2008-08-28 | 点击数:779 ]

　　尽管30年来，中国企业厉兵秣马、开疆辟土、高歌猛进，然而放眼全球商业舞台，我们不得不遗憾地承认，还没有哪一家中国企业真正迈进了世界卓越企业的殿堂，成为舞台上的耀眼主角；也没有哪一位中国企业家登上了商业领袖所能企及的世界顶峰，引领全球财富走向。对比世界级企业与企业家，依旧有一条不小的沟壑横亘在我们眼前，为什么我们未能渡越到彼岸？

　　六大差距:中国企业未臻卓越

　　全球经济一体化的今天，中国企业真正的挑战在于“国际化规则与世界级水平的运营”，因为中国企业，即便是优秀如海尔、联想、华为等，与世界卓越企业存在的差距是整体性的、全方位的。

　　战略差距：权谋vs制度

　　中国企业多以“权威谋略”为战略出发点，而世界级公司则以制度和文化为战略出发点。到目前为止，中国绝大多数优秀企业家都是在计划与市场“双轨制”下产生的。在“市场”环境中，他们懂得了“国营厂长”不懂的竞争谋略，但“计划”余味下，却需要他们懂“政治”，甚至部分人会成为以“权威谋略”为中心的市场政治家。

　　绩效差距：短视vs长远

　　中国企业大多管理员工的现在，世界级公司管理员工的未来。世界级企业的绩效管理，是通过投资员工的未来，从而获得公司的未来。但中国不少企业只注重短期效果，注重人的短期业绩而不太注重能力的发展。

　　文化差距：工具vs信仰

　　中国企业用业绩凝聚员工，世界级公司用文化凝聚员工。不少中国企业的远景往往成为企业家个人的鸿图伟业，是实现企业家个人野心的工具和附属品，而不是全体员工的共同追求。在相当一些中国企业中，核心价值观只是手段而已。一些企业家常常把“以人为本”、“消费者是上帝”一类感人肺腑的话挂在嘴边，而一旦利益当前，一切仁义道德就靠边站。

　　管控差距：能人vs流程

　　中国企业用能人管理控制公司，世界级公司用流程管理控制公司。中国企业对公司的控制大多是由人来完成，而不是通过制度与流程系统完成的。这样必然产生诸侯经济。这种管控方式在短期内可以在量上获得扩张，但不能获得质的提升，虽然金玉在其外，但败絮却早匿其中。当年三株的失败，诸侯经济就是很大一个原因。

　　营销差距：利用vs敬畏

　　中国企业利用消费者的幼稚，世界级公司促进消费者的成熟。要想真正把握消费者，就得怀着一颗敬畏之心，像追求真理一样，不断地了解他们，琢磨他们。但中国众多企业在骨子里对消费者是没有敬畏的，他们认为可以用计谋搞定消费者，所以用夸大其辞的广告，用费尽心机的“承诺”去讨好消费者，获得增长。从多年前一些保健品包治百病或危言恐吓的广告，到后来的香武仕、欧典炮制虚假洋品牌，无不体现了中国企业的营销差距。

　　领导力差距：聪明人vs认真事

　　中国企业强调做聪明人，世界级公司强调做认真事。不少中国企业家的骨子里有很深的帝王情结，有很强的支配欲，喜欢研究“驭人之术”，“好为人师”，“领导”在他们心中就是“驾驭”的意思，结果企业就演化成了权谋组织。世界级公司强调的是以原则为中心的领导，强调的是权利和义务对等之上的合作。

　　三大原因:中国企业家尚未登顶

　　中国经济持续高速发展，在得益于一批具有创富精神和理想的企业家共同努力的同时，也将柳传志、张瑞敏、王石、任正非、马云等企业家推上了个人价值成就的高峰。可是，仰看杰克?韦尔奇、比尔?盖茨、松下幸之助等商业领袖，我们就能知晓，中国企业家的修炼与攀登之路还远未到尽头，距离顶峰还有很长一段路途。

　　差距一：抵制诱惑的能力

　　世界级商业领袖往往诞生于严格的市场竞争环境，而目前中国的发展阶段与商业环境，还无法说是完全的市场经济，这给企业家提供了太多的创富机会，同样也形成了太多的诱惑，以致中国企业家不容易坚守自己的商业底线。中国企业家有了钱就抑制不住要进军房地产，涉足证券投资，因为钱来得快。

　　中国服装业龙头企业雅戈尔，2007年主业销售收入不足20亿元，但其持有的中国人寿、宁波银行等近十家公司的股票市值高达240亿元，企业利润的绝大部分竟然来自非主业的股权投资和房地产。但是这样机会投资产生的利润是可以持续的利润吗？真正致力于登上顶峰的中国企业家，不能把自己的眼光放到对暴利与机会的贪婪上。

　　差距二：重硬件轻软件

　　世界级商业领袖有个共同特点，把人力资源放在首位，以人为本来实现企业的跨越。而很多中国企业家认为企业的发展动力是硬件推动型，他们相信机器胜过相信人才，他们把研发投入的重心放在机器设备的投入上，轻视对研发团队和研发管理者的投入。他们愿意花几个亿去买设备，但绝不愿意花百万千万请人才，也不会花几千万来设计一个流程。殊不知，无论是技术研发还是经营管理，最终源于人的智慧，离开这一点，企业是不可能有生命力的。

　　差距三：缺少企业幸福感

　　许多中国企业家的幸福感更多是建立在社会名利和行政地位上，或者是建立在下属对他的崇拜感上。而世界级商业领袖更多的幸福感源于企业经营成就，所以类似于洛克菲勒等家族企业往往寿命很长，传承数代人而长盛不衰。

　　差距源于商业文化根基

　　之所以中国企业和中国企业家还未有登顶者，之所以我们距离顶峰存在着现有的差距，最根本的问题来自中国社会发展程度以及由此产生的商业文化根基。因为，企业是国家或者民族成长过程中的一个缩影，是不可能偏离整体大环境的。

　　公司健康发展有两个基本因素，一个是和平的社会，一个是良好的法制环境，这样才能遵循基本的商业规则。尽管中国历史上有过商业的繁荣，但严格来讲，中国企业的发展也就经历了改革开放的30年，因此和国外优秀企业相比存在差距就很正常。在西方发达国家，企业家都有可继承的商业形态的主流文化遗产，而中国企业家先天就缺乏这份遗产。中国企业向世界靠拢的过程是一个还历史账的过程，是补课和追赶的过程。

　　表面上看，我们与世界卓越企业和企业家的差距是经营管理水平上的差异，是战略规划、组织形态、市场营销、品牌管理等各方面的差距，其实本质上的差距是商业文化的相对落后，是人的思维意识还未能摆脱长久以来的小农经济形态的影响。

　　这种商业文化的先天不足，表现在战略思想上，就是中国企业喜欢做大，喜欢做外在的扩张，喜欢追逐机会。中国企业家骨子里有一种不安全感，因为在小农经济下人是没有安全感的，深受生存环境不确定性的困惑。中国的企业家有两极，一极是全力把企业做大，通过外在规模来获得个人的安全感；一极是到达一定层面后进行自我修炼，修习佛法、国学等等，本质上还是缓解不安全的内心状态。

　　商业文化不足表现在企业治理结构上，就是中国企业大都是“人治”型家长制的组织形态。这是因为历史上中国的商业组织都是家长制结构模式，不仅企业家容易偏好当家长，员工在内心深处也难于摆脱对一个大家长的渴望与敬仰。

　　从营销系统来看，中国企业的营销系统同样深受商业文化先天不足的影响，利用人性的弱点，利用消费者骨子里的不独立因子，先从意志上将消费者弄晕，然后令其服从，这是一种农业文化下的运动式模式。在具体操作手法上农业文化的影子随处可见，三株的人海战术、脑白金的广告轰炸、恐吓型广告大行其道、送礼型广告借助人情关系需求……

　　从人力资源来看，商业文化先天不足的弊端更为突出。在农业社会下人往往没有独立人格，是依附型的，必须通过情感交换实现人与人之间的抱团。因此，中国企业往往靠熟人的方式来管理，企业家摆不脱封建帝王思想，总是力图让下属成为“自己的人”，公司领导者常常划分为几拨人，山头林立。于是，在堪称中国优秀企业的娃哈哈公司里，竟然出现宗庆后身边竟然没有一名副总裁的惊人景象。

　　回归商业本源是追赶途径

　　以中国的经济形势与发展速度，诞生世界级企业与企业家是必然的，关键在于尽快弥补商业文化的深层次差距，拥抱世界先进的商业文化，摆脱小农经济形态的束缚，回归商业社会的本源。

　　企业与企业家首先要明确什么叫公司。公司实质上是一个法人组织，是有独立生命意志的。中国公司的成长过程很大程度上就是一个进入市场经济规律的过程。那公司如何才能做大做强呢？最重要的因素就是客户价值，公司的战略思想就是如何为客户提供最好的价值，如何以此为基点来设计公司的组织结构、营销系统、人力资源体系。沃尔玛、GOOGLE、戴尔、宝洁等，不都是这样的吗？以消费者的利益为第一位，公司就是为客户提供价值的经济组织，这就是所谓的做大做强。做大做强是结果，以客户为中心是路径。明确了这一点，公司也就完成了战略的调整。

　　接着就是公司治理结构回归本源。法人意味着公司的老板实际上就是公司的代理人、所有者或者监督者。公司是有自己独立意志的，所有者是指公司收益归你是受法律保护的，但不代表你可以随便处置它。按照公司的法人治理结构来设计并严格遵循，这本身是对公司生命的一种尊重。

　　营销系统回归本源，企业就应当投资消费者的未来，帮助他们成熟。人力资源系统回归本源，企业应做“法治”上的流程系统，强调权利和义务对等之上的团队合作。

　　回归商业社会的本源，加之中国经济环境的酝酿，中国企业不仅能像日韩一些企业那样迅速国际化，更会成为国际管理的领导者。

GHOST参数大全

rockern@tom.com(rockern) — Wed,10 Sep 2008 09:26:44 +0800

1.-rb　本次Ghost操作结束退出时自动重启。这样，在复制系统时就可以放心离开了。
　 2.-fx　本次Ghost操作结束退出时自动回到DOS提示符。
　 3.-sure　对所有要求确认的提示或警告一律回答“Yes”。此参数有一定危险性，只建议高级用户使用。
　 4.-fro　如果源分区发现坏簇，则略过提示强制拷贝。此参数可用于试着挽救硬盘坏道中的数据。
　 5.@filename　在filename中指定txt文件。txt文件中为Ghost的附加参数，这样做可以不受DOS命令行150个字符的限制。
　 6.-f32将源FAT16分区拷贝后转换成FAT32（前提是目标分区不小于2G）。WinNT 4和Windows95、97用户慎用。
　 7.-bootcd　当直接向光盘中备份文件时，此选项可以使光盘变成可引导。此过程需要放入启动盘。
　 8.-fatlimit　将NT的FAT16分区限制在2G。此参数在复制Windows NT分区，且不想使用64k/簇的FAT16时非常有用。
　 9.-span　分卷参数。当空间不足时提示复制到另一个分区的另一个备份包。
　 10.-auto　分卷拷贝时不提示就自动赋予一个文件名继续执行。
　 11.-crcignore　忽略备份包中的CRC ERROR。除非需要抢救备份包中的数据，否则不要使用此参数，以防数据错误。
　 12.-ia　全部映像。Ghost会对硬盘上所有的分区逐个进行备份。
　 13.-ial　全部映像，类似于-ia参数，对Linux分区逐个进行备份。
　 14.-id　全部映像。类似于-ia参数，但包含分区的引导信息。
　 15.-quiet　操作过程中禁止状态更新和用户干预。
　 16.-s cript　可以执行多个Ghost命令行。命令行存放在指定的文件中。
　 17.-span　启用映像文件的跨卷功能。
　 18.-split=x　将备份包划分成多个分卷，每个分卷的大小为x兆。这个功能非常实用，用于大型备份包复制到移动式存储设备上，例如将一个1.9G的备份包复制到3张刻录盘上。
　 19.-z　将磁盘或分区上的内容保存到映像文件时进行压缩。-z或-z1为低压缩率（快速）；-z2为高压缩率（中速）；-z3至-z9压缩率依次增大（速度依次减慢）。
　 20.-clone　这是实现Ghost无人备份/恢复的核心参数。
　使用语法为：-clone,MODE=(operation),SRC=(source),DST=(destination),[SZE(size),SZE(size)......]
　此参数行较为复杂，且各参数之间不能含有空格。
　其中operation意为操作类型，值可取：copy：磁盘到磁盘；load：文件到磁盘；dump：磁盘到文件；pcopy：分区到分区；pload：文件到分区；pdump：分区到文件。Source意为操作源，值可取：驱动器号，从1开始；或者为文件名，需要写绝对路径。Destination意为目标位置，值可取：驱动器号，从1开始；或者为文件名，需要写绝对路径；@CDx，刻录机，x表示刻录机的驱动器号，从1开始。

下面举例说明：
　命令行参数：ghostpe.exe -clone,mode=copy,src=1,dst=2
　完成操作：将本地磁盘1复制到本地磁盘2。

　命令行参数：ghostpe.exe -clone,mode=pcopy,src=1:2,dst=2:1
　完成操作：将本地磁盘1上的第二分区复制到本地磁盘2的第一分区。

　命令行参数：ghostpe.exe-clone,mode=load,src=g:\3prtdisk.gho,dst=1,sze1=450M,sze2=1599M,sze3=2047M
　完成操作：从映像文件装载磁盘1，并将第一个分区的大小调整为450MB，第二个调整为1599MB，第三个调整为2047MB。

　命令行参数：ghostpe.exe -clone,mode=pdump,src2:1:4:6,dst=d:\prt246.gho
　完成操作：创建仅具有选定分区的映像文件。从磁盘2上选择分区1、4、6。了解了这些参数后，我们就可以轻松地实现Ghost的无人备份/复制/恢复了。冲杯咖啡吧。

注意事项
　 1.在备份系统时，单个的备份文件最好不要超过2GB。
　 2.在备份系统前，最好将一些无用的文件删除以减少Ghost文件的体积。通常无用的文件有：Windows的临时文件夹、IE临时文件夹、Windows的内存交换文件。这些文件通常要占去100多兆硬盘空间。
　 3.在备份系统前，整理目标盘和源盘，以加快备份速度。
　 4.在备份系统前及恢复系统前，最好检查一下目标盘和源盘，纠正磁盘错误。
　 5.在恢复系统时，最好先检查一下要恢复的目标盘是否有重要的文件还未转移，千万不要等硬盘信息被覆盖后才后悔莫及啊。
　 6.在选择压缩率时，建议不要选择最高压缩率，因为最高压缩率非常耗时，而压缩率又没有明显的提高。
　 7.在新安装了软件和硬件后，最好重新制作映像文件，否则很可能在恢复后出现一些莫名其妙的错误。

Ghost的命令行参数一览表
具体如下：
/?或/H：查看帮助。
-CLONE：克隆。
-IA：对所有分区中的扇区进行映象。
-ID：对整个磁盘（包括未分区空间）进行复制。
-IR：和ID一样，但不将分区调整为扇区界限。
-IB：只复制磁盘的启动扇区。
-IAL：对LINUX分区进行整个复制，对其它分区则用正常方法。
-OR：覆盖空间并进行完整性检查。
-NOLILO：复制后不要试图去修正LILO启动调入器。
-BOOTCD：当使用-SURE直接制作CD-R映象时，期望找到可启动软盘。
-FDSZ：清除目标磁盘上的标志性字节。
-FDSP：保留目标磁盘上的标志性字节。（优先级高于-FSSZ）
-LPM：LPT主并行连接模式。
-LPS：LPT从并行连接模式。
-TCPM：TCP/IP主连接模式。
-TCPS：TCP/IP从连接模式。
-USBM：自动进入USB主模式。
-USBS：自动进入USB从模式。
-JL：记录多点传送会话诊断消息到文件。
-JS：设置最大的多点传送值。
-JA：设置多点传送会话的名称。
-AUTO：不要提示输入文件名，使用默认值。
-CHKIMG：检查映象文件的完整性。
-PWD：指定密码。
-SKIP：指定需要跳过的FAT文件系统中的文件或目录。
-PMBR：当进行任何磁盘复制操作时，保留目标磁盘中的主引导记录。
-SPAN：允许存取多个卷。
-SPLIT：当创建映象时将映象分成数块。
-Z：压缩映象文件。
-F64：当调入旧映象文件时允许64K的簇大小。
-FATLIMIT：防止FAT分区大小超过2兆。
-F32：将FAT16转换为FAT32。
-NTD：允许NTFS内部诊断检查。
-NTC-：禁止NTFS连续簇分配。
-NTCHKDSK：强制CHKDSK在下一个NTFS卷启动。
-NTIC：忽略NTFS卷上的CHKDSK位。
-NTIL：忽略非空的NTFS日志文件检查位。
-NTIID：忽略分区系统标识符的复制。
-TAPEBUFFERED：默认的磁带模式。
-TAPESAFE：当使用旧的或不可靠的磁带时有用。
-TAPESPEED：允许控置磁带速度。
-TAPEUNBUFFERED：强制非缓冲的磁带输入输出。
-TAPEEJECT：强制磁带操作完后弹出。
-TAPEBSIZE：磁带块大小。
-RB：强制复制完成后自动重新启动。
-FX：当完成复制后退出程序。
-QUIET：安静模式。
-SURE：和-CLONE选项一起使用来避免提问。
-BATCH：批处理模式，一切操作由程序自动完成。
-NOFILE：禁止文件询问。
-SCRIPT：自动按照脚本文件中的命令来运行程序。
-DL：指定存在的硬盘号。
-FIS：使用检测出的硬盘最大值。
-FNX：禁止扩展13号中断支持。
-FFX：使用扩展13号中断。
-FNI：禁止直接IDE硬盘存取支持。
-FFI：使用直接IDE硬盘存取。
-FNS：禁止直接ASPI/SCSI硬盘存取支持。
-FFS：使用直接ASPI/SCSI硬盘存取。
-NOSCSI：禁止使用ASPI存取SCSI设备。
-BFC：处理坏的FAT簇。
-VDM：写入前使用使用磁盘校验命令来检查磁盘上的每个扇区。
-FRO：强制即使有坏的簇也继续复制。
-CRC32：使用CRC32校验。
-CRCIGNORE：尽量忽略映象文件中的错误。
-FCR：当建立文件时创建校验文件。
-AFILE：使用指定的中止记录文件。
-DI：显示诊断。
-MEMCHECK：诊断内存。
-DD：记录磁盘信息到GHSTSTAT.TXT
-DFILE：使用指定的信息日志文件。
-FINGER：显示详细的指纹信息。
-VER：显示程序版本号。

布署外部RAID时如何从DAS与SAN结构中选取？

rockern@tom.com(rockern) — Fri,05 Sep 2008 16:12:40 +0800

布署外部RAID时如何从DAS与SAN结构中选取？
单RAID控制卡性能综述

内容：

外部RAID DAS或SAN决定因素

为应用服务器部署外部RAID业已是大势所趋。现在要关心的是到底将外部RAID直接连接到服务器上（DAS）抑或采用网络存储的形式。尽管这似乎是个相当简单的决定，但它无论是对预算还是对管理都将产生相当的影响。

本文着力于部署DAS和SAN RAID的意义和购买标准，探讨决定的步骤。要点如下：

在未来的24个月内是否将有2个以上服务器共享外部RAID？
共享存储器所连接的服务器有 Microsoft Windows NT 或 Windows 2000平台吗？
服务器与外部RAID存储之间的相关位置？
存储安全的重要性如何？
可管理RAID数量？
业务持续性程度？
具有光纤通道SAN的专业人员有多少？
预算事宜，资金或运转成本？
什么是DAS？
DAS是"直接附属存储"的缩写。它表示一个或数个服务器物理连接到外部RAID的非共享端口上。这些端口可以使任何标准的，SCSI或光纤通道皆可。每个端口只能由一个服务器来访问。
必须清楚的一点是，DAS并非意味着无法共享外部RAID。它只是不能共享外部RAID的端口。

什么是SAN ？
SAN 是"存储局域网"的缩写。它代表多个服务器在交换的网络中既能共享存储也能共享端口。它的特色还体现在这种交换网络中一个或多个服务器能够访问多个外部RAID及存储设备。

作出决定要点

是否共享RAID？
在未来的24个月内是否将有2个以上服务器共享外部RAID？如果不是，则选择DAS较好。SAN连接RAID需要额外的硬件，软件，以及服务，它们都会显著增加投入。假如回答是肯定的，SAN是更好的选择。SAN扩展了存储的功效，它让多个服务器能够访问和分享同一存储设备。

假如RAID将被用来共享，下一个问题是共享RAID的服务器中是否存在微软Windows NT, Windows 2000,或 Windows XP环境? Windows服务器在共享RAID环境不是很好的公民。如果某个存储LUN（逻辑单元号码）被它们的文件系统看见，每个Windows服务器都将会自认为它拥有这一LUN，并试图将其格式化，而根本不会理睬外部RAID认为这个LUN应当归哪个服务器所管辖。这些Windows服务器会强行控制这个LUN，而且覆盖掉上面的数据。这种作法在SAN环境中将导致灾难性的后果。数据将无法挽回的丢失。

UNIX 服务器没有同样的毛病。只要SAN结构，或者外部RAID通知UNIX服务器哪些LUN它们有权访问，另外一些则属于别的服务器，UNIX服务器不会越轨。
管理Windows SAN缺点在于需要在RAID控制卡，主机总线适配卡（HBA）采用LUN－掩码，或者在光纤通道交换机中采用硬件加强的全球域名（WWN）分区制。LUN掩码避免Windows服务器能看到除了指派给它的LUN之外其他的LUN。光纤通道交换机硬件加强的WWN分区制将把Windows服务器的视野仅限于特定端口上的LUN。这不是个理想的解决办法，它受限于RAID控制卡的端口数量。所有三种Windows解决方案增加投入和营运成本。

服务器与外部RAID存储之间的相对位置关系？
假如管辖RAID存储的服务器与外部存储的距离在25米以内，则倾向于选用DAS。如果超过25米，还是选DAS较好；不过接口更应该采用准SAN技术，如光纤通道。光纤通道能直接以点对点的形式连接服务器与外部RAID。使用单模光纤和大功率激光转发器，光纤通道可传输30公里，用单模光纤和标准转发器可达10公里，用多模光纤和LED转发器不超过3公里，而使用铜转发器为30米。（转发器是光纤通道端口与介质之间的界面）波分多路（WDM）或密集波分多路能将光纤通道在单模光纤的传输距离延长到120公里。应当牢记的是，即使采用了SAN的技术，是否采用SAN也并非取决于距离。

存储安全的重要性如何？
对于组织而言，存储安全的重要性有多高？假如安全是极为重要的考虑，则DAS是最安全的答案。在DAS体系中，服务器无法看到（不归它们管辖的）LUN，或者假扮为另一个服务器以便让RAID子系统控制卡相信它就是主控服务器，因为他们根本没有物理通路。

SAN目前还无法抵御WWN伪装。安全有可能受到侵犯。ANSI T11光纤通道标准团体有一个工作组在将来会处理此事。因此，假如安全是首位的，当前的抉择应当是DAS。

要管理的RAID数量?
需要管理的RAID存储单元的数量要考虑的是存储管理员的工作效率问题。工业研究表明，SAN让存储管理员能管理比DAS多出3～4倍的存储量。大部分总拥有成本（TCOI）分析都基于此观点。如果只有寥寥数个RAID需要管理，那么工作效率的讨论就变得无足轻重了。假如存在多个RAID或者数量呈指数增长，则选择SAN较佳。

业务持续性程度？
业务持续性一直是IT业的一个关键考虑。从911之后，它变更加重要。问题是需要何种程度的业务持续能力？假如是通过城域网和广域网将数据以某种形式的复制或者远程镜像到远端的RAID。选择DAS或SAN取决于各个外部RAID的技术和实现方式。仅当外部RAID只能在光纤通道中复制或镜像时，才必须采用SAN。如果RAID能通过TCP/IP和以太网复制和/或镜像，DAS和SAN是并无分别。

假如是业务的持续性要求备份到磁带，问题变为应用服务器和局域网的带宽。如果带宽很小，SAN具有免局域网备份。假如应用服务器带宽充足，就要考虑存储或者应用服务器的问题。很多人都谈到基于SAN的免服务器备份；可是当前免服务器备份仍需要一个能支持SAN或者DAS的存储或RAID应用设备。SAN的真正的优势体现在当需要对多个RAID单元进行备份或者复制操作时，SAN会简化过程并缩短时间。

掌握光纤通道SAN知识的管理员有多少？
实施和管理一个光纤通道SAN需要光纤通道专业知识。具备这类知识的员工在多数机构中都寥若晨星。这意味着要实施一个SAN需要额外开支用于专业服务和培训。

资金和运作预算？
如前所述，SAN与DAS相比确实有可估算的优势。同时也带来比DAS更高的成本。这些这些成本包括额外的资金投入，（SAN硬件，SAN软件，RAID硬件，和RAID软件，）以及额外的运作成本（维护，培训，以及可能要增加人手）。选择将RAID配置成DAS抑或SAN的关键，是SAN所产生的可估量的利益是否会超过额外的开支。

总结

决定将外部RAID部署为DAS抑或SAN结构，有赖于您对下面各个问题的答案：

在未来24个月内是否有两个以上服务器共享外部RAID？
--超过2个服务器共享RAID= SAN
--少于2个服务器共享RAID= DAS

所连接的服务器是否包括 Windows NT 或2000?
--假如分享RAID的任一服务器为Windows NT
或 2000 = DAS 或者配备RAID LUN掩码或光纤通道交换机硬件加强的分区制 SAN
服务器与RAID存储器的相对位置？
--假如距离超过25米= 两者皆可，只要采用光纤通道技术
--距离小于25米 = DAS
存储安全的重要性如何？
--安全性房子首位 = DAS
--安全性较为重要= 两种皆可
要管理的RAID数量有多少?
--假如要管理的外部RAID数量超过3个 = SAN
--如果要管理的外部RAID数量少于3个 = DAS
业务持续性程度多高?
--假如业务持续性需要多个外部RAID = SAN
--如果业务持续性仅需一个外部RAID = DAS
掌握光纤通道SAN知识的员工有多少？
--假如有光纤通道知识的员工稀少且预算紧张 = DAS
预算事宜，资金投入或者运作成本高低？
--如果SAN的收益大于额外开销 = SAN
--如果SAN 的成本超过额外收益 = DAS

上述回答并非为您提供完美的决择，但它们有助于您更容易作出决策。