Посоветуйте, домен или все таки нет?

[gardarea51]

Привет всем!
Работаю в филиале университета как бы админом (большая часть работы - эникей и возня с компами). Компов около 50 штук, понемногу количество растет, но не особо сильно. Примерно 10 компьютеров - это компьютеры сотрудников учебной части. Раньше все документы валялись в сетевых шарах и по сути каждый студент мог их оттуда покикать. Посмотрев на это безобразие я не стал ждать часа Х, а заказал 3 терабайтных диска и бесперебойник на новый комп, который сейчас уже выполняет роль файлпомойки для сотрудников учебной части. Он также заменил собой и старый шлюз/роутер/проксю/DNS/DHCP/Ejabberd... То есть сейчас стоит у нас на входе шлюз-файлпомойка, шлет пакеты, хранит файлы, держит сеть (естественно с ИБП).

Дак вот.. когда я задумал делать файлпомойку я подумал: а нужен ли мне домен? Поразмыслив некоторое время я сделал все без домена. Итак, сейчас все сделано следующим образом. Поднят LDAP, самба (и жабер) берет учетки из него.  Несмотря на то, что есть ldap, самба работает как файловый сервер, а не как домен. ldap в общем-то банально был нужен для того, чтобы дергать оттуда учетки в жабер-лист (давно приучил сотруднико вобщаться по жаберу). Есть пара скриптов, которые добавляют юзеров и создают им личный каталог. Прописаны некоторые шары. Все как бы автоматизировано.

Естественно, что юзеры имеют пароли, а доступ на шары происходит после авторизации по логину/паролю/группе. Именно этого я в общем-то и добивался: чтобы никто лишний просто не смог попасть на шару. Однако.. то, что реально юзеры имеют пароли по факту знаю только я. Как это выглядит.. Для того, чтобы создать новому сотруднику личный каталог и дать доступ к общей шаре сотрудников - я добавляю его в samba/ldap под определенным именем с паролем. Затем на компе нового сотрудника просто подключаю шары, прохожу авторизацию под его учетными данными в самбе и щелкаю "запомнить пароль". То есть для юзеров как бы паролей нет, а по факту они конечно есть. Что удобно - сотрудники никогда не меняют рабочие места, то есть каждый имеет свой компьютер, за которым всегда и работает. Это в принципе тоже попособствовало тому, что получилась такая схема.

Схема конечно на коленке (хотя как посмотреть), но все работает. И вот сегодня меня спрашивают навроде "вот нам придет чудо-юдо комп" (дорогой, но просто комп, не сервер стоечный) и наверное "он нам будет нужен под какие то базы, огогооо!", ну я так понял что они имеют ввиду сервак любого типа. А нам по сути вообще ничего ненадо... кроме того что есть. Однако, тут я опять подумал: а может быть реально нужно было сделать домен? И удобнее вроде и проще и даже профили можно сделать перемещаемые и броадкаста не будет такого (хотя он и так не особо заметен), но идеологически... Но опять если делать домен, то надо тогда менять уж сразу и мои глупые свитчи, хоть они и 24-портовые, но совсем неуправляемые. То есть уж делать дак делать.. и тут опять возникает вопрос: а надо ли оно. К тому же у нас внутренняя установка руководства - никаких паролей, чтобы мол сел за комп и все сделал, нашел документы сотрудника, который в отпуске и т.д. С одной стороны по логике - надо, к тому же тут вышла стабильная самба 4, хотелось бы попробовать использовать ее, а может быть даже поставить винсерв.. прям незнаю. С другой стороны - все и так работает и текущие нужды покрывает.

В общем кто что думает по данному вопросу? Это этакий топик размышлений. =)

[xbsd]

То есть сейчас стоит у нас на входе шлюз-файлпомойка, шлет пакеты, хранит файлы, держит сеть (естественно с ИБП).

Ужоснах! Уходите от такой схемы. Это в корне не верно. У вас одна точка отказа. К тому же располагать на шлюзе кучу других сервисов плохая практика.

меня спрашивают навроде "вот нам придет чудо-юдо комп"

Я не совсем уловил. У вас сервера заказывает без вашего ведома чтоли?

просто комп, не сервер стоечный

сервер не обязательно должен быть стоечный. Малый и средний бизнес покупают сервера FullTower. А что делать, если выделенного помещения под серверную нет. А если и есть, то либо свомещает функции с кладовкой, либо слишком мала чтобы поставить стойку, подвести отдельную линию 220 + резервную и обеспечить охлаждение.

А нам по сути вообще ничего ненадо... кроме того что есть.

Не правильный подход. Должно быть постоянно что-либо нужно. Иначе может сложиться впечатление у руководителя, что вы ничерта не делаете (:

Но опять если делать домен, то надо тогда менять уж сразу и мои глупые свитчи

как это связано между собой? и что вы подразумеваете под доменом?

а может быть даже поставить винсерв..

как оффтоп:
ms переходят на новую схему лицензирования. 1 лицензия покрывает 1 сокет на сервере. т.е. для 2х процессорных систем надо будет покупать 2 лицензии. С другой стороны одна серверная лицензия покрывает 2 виртуальных машины.
Огласите как у вас обстоят дела с финансированием. А то сейчас насоветуем, а у вас ни гроша. (;

[gardarea51]

На самом деле с финансами обстоит так, что "то густо, то пусто", а когда густо они тратятся на покупку "мультимедиа техники, принтеров картриджей и прочей расходки". "Мощный компьютер" не совсем покупают, получают у головной организации, он будет что-то типа "для работы с базой". То есть по факту для методиста, который работает в экселе и на внутренних сайтах, но раз компьютер игровой и "Мощный", то начальство думает что это будет крутой сервер.

Ужоснах! Уходите от такой схемы. Это в корне не верно. У вас одна точка отказа. К тому же располагать на шлюзе кучу других сервисов плохая практика.

Вроде бы все так говорят, а на деле все так делают. У меня нет реально мыслей как "сзеркалировать" эту точку отказа. В любом случае это очень важная точка и я постарался сделать так, чтобы она не отказала: RAID1, ИБП, автоматическое выключение при отсутствии электричества более 10 минут. Что касается шлюза.. в принципе логично разделить, но с другой стороны слишком жирно на отдельном компе держать самбу просто под шару и на отдельном держать шлюз просто для роутинга инета, прокси, DNS и DHCP и еще пары важных, но мелких сервисов. Почему бы им не работать вместе, они прекрасно уживаются.

как это связано между собой? и что вы подразумеваете под доменом?

Под доменом я подразумеваю домен вместо рабочих групп и только. Шары, пользователи, профили. Свитчи тут связаны просто полетом мысли, если делать все чики-поки, то надо менять и их. Как минимум нужно банально железку, которая будет держать Инет, КИС и роутить пакеты (микротик к примеру), сейчас это делает тот же шлюз. ))

[xbsd]

Вроде бы все так говорят, а на деле все так делают.

я так не делаю. Если уж нет желания ставить отдельную машину под задачи гетвэя, можно приобрести железку. в данный момент как раз настраиваю D-Link DFL260E. Модель конечно старенькая уже. Но для организаций с ограниченным бюджетом вполне адекватное решение; и стоит недорого (для Сталинграда порядка 12т.р.) и функционал на уровне. Настройка на первый взгляд запутанная, но если прочитать мануал, все становится ясно и понятно. Единственный минус в моем случае, один ван порт.

У меня нет реально мыслей как "сзеркалировать" эту точку отказа.  В любом случае это очень важная точка и я постарался сделать так, чтобы она не отказала: RAID1, ИБП, автоматическое выключение при отсутствии электричества более 10 минут.

Ничто не совершенно. А в случае поломки ваша сеть окажется неработоспособной полностью: ни инета, ни документов. Ибо все завязано на одной единственной машине.

Под доменом я подразумеваю домен вместо рабочих групп и только.

И все же не смотря на очевидное преимущество юниксов перед виндовсами, для администрирования виндовой сети нет ничего лучше Active Directory. Тем более с Вашим количеством компов.

[ogost]

согласен с xbcd.
гэйтвэй можно поднять на железяке. RAID - хорошая штука, но не панацея. Поднять на отдельной машине DC с Active Directory, который попутно будет раздавать и DHCP и DNS - для линуксоида не составит труда. Прокси вам обязателен? Если да, то можно на второй машине его совместить с файлопомойкой и с файрволлом.

хмм, как то в сторону оффтопика меня потянуло...

[gardarea51]

Ну вот и думаю, надо ли оно. Конечно там бы и WSUS сразу раз серверная ОСЬ. Кстати да, может быть удастся заполучить ВинСерв с головной организации. Скоро нужно будет задуматься о переходе на семерку, у нас до сих пор XP.

Насчет резервирования важного узла есть пара мыслей. Это либо LVM-снапшоты, но как бы не запутаться с составлением схемы восстановления (сама система на LVM). Либо зеркалить диск работающей системы скажем раз в 1-3 месяца. При покупке дисков для массива я заказал 3 штуки: 2 в сам массив + 1 запасной ибо в случае чего быстро купить запасной мы не сможем (счета, безнал, наличие денег), так что взял сразу. Можно попробовать зеркалировать систему на него. Система сама по себе неизменна месяцами, меняются только каталоги шар пользователей, а это уже важные данные. Их можно банально бэкапить на внешний USB-диск каждую ночь по расписанию. С этим все понятно, а вот с резервированием самой системы нужно подумать.

Насчет железяк тоже все не совсем уж просто, но по логике конечно шлюз/роутер должен быть нормальной железкой. До меня в организации была куча мелких свитчей, никаких роутингов не было. Пользователи банально перетыкали кабеля в сетевой карте (до нужных компов шло 2 кабеля: локалка и КИС) и они либо отключали сетевые карты, либо тыкали провода (ну на самом деле звали бывшего админа и тыкал он). Соединение с Инетом было сделано бредово, но гениально. На компе секретаря, которая каждое утро включала его и проверяла outlook, который и запускал соединение с инетом. В общем кошмар был. Посмотрев на это все я с начальством поговорил и сказал что надо бы 3 24-портовых коммутатора с парой гигабитных портов в каждом и надо все это вообще переделывать. Когда назвал цену за простые свитчи, кажется это было 7к или 9к за штуку - начальство схватилось за сердце. =) Когда сказал о цене управляшек - упало в обморок. Естественно купили простые.

В общем наверное пока задумаюсь о резервировании. Железо позже. Начиная эту тему я в принципе хотел узнать скорее то, какие проблемы ждут при использовании домена, а не рабочих групп (забытые пароли, возмущения пользователей о потеряном профиле..). Все таки 50 компьютеров уже не очень мало, но пока при моей схеме я с ними особых трудностей не испытваю. Так есть ли смысл?

ps: простите за много лирических отступлений =)

[ogost]

Начиная эту тему я в принципе хотел узнать скорее то, какие проблемы ждут при использовании домена, а не рабочих групп (забытые пароли, возмущения пользователей о потеряном профиле..). Все таки 50 компьютеров уже не очень мало, но пока при моей схеме я с ними особых трудностей не испытваю. Так есть ли смысл?

смысл есть, админство/эникейство резко упрощатся. сам админил парк из 300+ компов, винегрет из хрюшек, семерок и бубунт (штук 10 программеров, если не ошибаюсь), разбросанных по филиалам в разных частях города. причем переводил всех в домен, кроме бубунт - они сами и так разбираются. сами понимаете, на компе, подключенном к домену, без прав локального/доменного админа много не поинсталлируешь, соответственно вирусни всякой и захламленности клиентских машин в разы меньше.
Подводные камни - перенос документов и почты юзверей в новый, доменный профил. Там заморочки с доступом к файлам и "утерянной" почте, но можно сварганить на коленке простенький батник или скрипт, который при подключении к домену будет разбираться с permissions каждого файла, переносить их на отдельный раздел (диск D:,  в смысле), попутно меняя пути к ним (то есть переназначать ярлыки типа "мои документы"). И жестоко расправляться с теми, кто хранит документы на рабочем столе - таким орбазом переустановка внезапно упавшей винды упрощается в разы.

Про забытые пароли - можно не слишком заморачиваться с политикой паролей в домене и не ставить такие ограничения, как *дцать символов разных регистров и смена пароля каждые N дней/недель/месяцев.

раз уж такая пляска пошла, гэйтвэй с проксей и DHCP можно оставить на отдельной старой машине под управлением любого линукса, ей особо много не надо. управляемые свитчи вам тоже в принципе особо не надо, можно развернуться на том, что имеем. на машинке поновее можно поднять DC с AD и DNS и далее по вкусу/потребностям. (тут замечу, что по крайней мере в windows server 2008 и ранее DC должен быть проинсталлирован в связке на одной машине с DNS, а настройки DHCP должны быть явно указаны DC-у, что-де там-то есть такая машинка с DHCP, у него спрашивай).

Поскольку я давно ушел с винды и их админства (хотя, скорее эникейства), я много подзабыл, но если Вам потребуется какая помощь, можете обращаться.
Сообщение объединено: 25 января 2013, 11:37:49

[xbsd]

Когда назвал цену за простые свитчи, кажется это было 7к или 9к за штуку

хм. за 7т.р. можно взять управляемый свитч Zyxel MES3500-24 Киньте чтоли ссылок на ваши железки по такой цене. Очень уж интересно (:

Начиная эту тему я в принципе хотел узнать скорее то, какие проблемы ждут при использовании домена, а не рабочих групп (забытые пароли, возмущения пользователей о потеряном профиле..). Все таки 50 компьютеров уже не очень мало

Проблемы.... ну хз. Проблемы разные бывают. У нас 4 контроллера домена в сети (сеть около 6тыс. пользователей, там где-то 5900 с копейками). 2 железных на HP Proliant G4 и 2 виртуальных. Вчера вчера выводили второй DC из домена, чтобы заменить его виртуальным. После понижения роли и вывода из домена отвалился корень dfs. хз почему. Просто на всех остальных КД в настройках dfs  статус переключился в "Отключено". Может наш косяк, может МС. Вот как можно предугадать такую ситуацию? Потому не знаю даже как Вам ответить, какие проблемы могут Вас ожидать при использовании доменной структуры. Разные) Как настроите. А вообще  с пользователями особо сильных проблем нет. В основном звонят по забытым паролям (после отпуска или коммандировкии и т.д.). Профили у всех локальные. Документы хранятся на сервере. Если пользователь хранит документы локально на ПК, то он сам за них и отвечает. В случае поломок или утере никто заниматься восстановлением не будет. ССЗБ как говорится.

Так есть ли смысл?

Если Вы хотите заниматься администрированием, а не созданием костылей, то смысл есть. В противном случае дело конечно хозяйское. Ну и еще стоит все же подумать о том, что когда-нибудь Вы так или иначе покините данную организацию. Каково будет новому админу разгребать Ваши дебри, если Вы, к примеру, настроите подобие домена на самбе 4 (:

[gardarea51]

Хм.. ну как ни крути получается, что по нормальному для управления виндовыми машинками домен таки нужен. Насчет прокси, DHCP и гейтвея вы, ogost, сказали в точку. Года полтора здесь это крутилось на однодисковом компьютере с linux, который пережил ремонт на этаже и кучу отключений по питанию, когда я его менял текущим компьютером мне было жалко на него смотреть (пыль кругом). С переустановками винды тоже поначалу помучался, но после 4й или 5й винды с нуля рещил что так не катит. Сейчас заливаю образом с уже вшитым паком драйверов, образ подходит на все компьютеры разных производителей. После раскатки образа - кидаю полный бэкап раздела на 3й том под ext4, пользователи его не видят, но он есть и в случае чего "переустановка" винды со всем софтом и обновлениями занимает не более 5-10 минут.

В общем наверное буду смотреть по ситуации с финансированием и если представится случай - будем готовиться к переходу на доменную структуру.

Насчет железок я похоже сам ошибся, железки D-link DES-1026G (3-4к за штуку), может быть они встали нам в 9 все вместе, а по 7-9 были как раз управляшки, но факт остается-фактом - начальство схватилось за сердце.

Слава богу у меня не 6000 пользователей, а гораздо меньше. Насчет хочу ли я заниматься администрированием вопрос довольно интересный. Я в этом плане сам не могу ничего сказать, вроде когда-то и хотел, а сейчас уже постарел для этого, упустил время (мне уже 27). Городок у нас маленький, администва нет нигде, грубо говоря только эникей в небольших масштабах.

Новый админ я думаю справится нормально, в конце концов когда я буду уходить я постараюсь передать все дела как полагается и в любом случае буду на связи. Не хочу, чтобы кому-то хозяйство досталось в том же виде, что и мне 2 года назад. Пришел.. компы. Админ показал "вот компы, вот свитч, вроде все.." что как да вроде ничего особого. А потом началось. Парк принтеров штук 15 и все разные, заправки, чипы, тонеры, картриджи. Сеть клубком не пойми как. Откуда связь приходит слава богу спросил сразу. Лицензий на ОС и ПО нет и не видели. Телефоны тоже не пойми как куда и откуда. Пиратские автокады, игры на компах. Но это еще ладно.. Хорошо, что я сразу обошел компы и списал все пароли с диспетчера паролей Мозилы. Потому что через некоторое время пользователи пошли с вопросом "Как мне попасть в базу нагрузки" и пр. ко мне. Логин/пароль от инета вообще доставал программкой multi password recovery (кажется так называется). Кароче по честному ничего мне не передал админ, а я сам по себе человек не настолько злой. =)

[ogost]

DC должен быть проинсталлирован в связке на одной машине с DNS

здесь, кажется, я погорячился, емнип немного не так - DNS должен быть установлен на компе, под виндой, который включен в домен.

Хм.. ну как ни крути получается, что по нормальному для управления виндовыми машинками домен таки нужен

это да, пока что замены нормальной нет. хотя, с другой стороны, может не сильно и надо этой самой замены. винда на клиентах + DC, линь на всем остальном.

[gardarea51]

здесь, кажется, я погорячился, емнип немного не так - DNS должен быть установлен на компе, под виндой, который включен в домен.

Да, если не ошибаюсь, то там заместо Netbios используется DNS в связке с ldap, сама структура сети в DNS и хранится, все сильно перевязано, отдельно на bind скажем люди поднимали, но там жесть.

[rayanAyar]

В любом случае это очень важная точка и я постарался сделать так, чтобы она не отказала: RAID1, ИБП, автоматическое выключение при отсутствии электричества более 10 минут.

Можно сказать, что не сделано практически ничего. Самое первое, и самое главное что нужно делать - бекап. Всё остальное - второстепенные плюшки. RAID (даже первый) может развалиться. ИБП может не спасти. Сервак вобще может сгореть вместе с кладовкой. А при наличии бекапа (системы и данных) восстановление работоспособности = времени восстановления из бекапа.

Насчет резервирования важного узла есть пара мыслей. Это либо LVM-снапшоты

Да, этого вполне достаточно. Резервирование "на горячую". Отлично работает.

Их можно банально бэкапить на внешний USB-диск каждую ночь по расписанию

Надеюсь имеется в виду USB-диск подцепленный к другой машине, а не к серверу. Иначе... нет защиты от варианта "кладовка с серваком сгорела к едренефене".

[PbI6A]

Напишу всего лишь вариант.
Оставить сервер как есть, а когда появится "крутой сервак", выделить на него файлопомойку 1 в 1, как на этом. С этого файлопомойку сразу убрать, а сделать монтирование бэкапной директории этого сервака к файловому по ssh (или вам больше по вкусу nfs?) под именем какого-нибудь бесправного backup юзера. Написать зацикленный скрипт, который будет бэкапить все папочки файлопомойки в отдельные .7z архивчики с хорошим длинным паролем в режиме обновления и как только архивчик обновился, тут же сбрасывать его для хранения на старый сервак в заветную бэкапную папочку. Организовать хранение истории бэкапов - по 1 числам месяца, - по воскресеньям, - полуночных, - последних N шт в зависимости от вместимости винта. Если паранойя ещё не отпустит, сделать в скрипте монтирование директорий каких-нибудь компов юзеров с заливкой бэкапа и к ним тоже.
По поводу "рабочей группы". Памятник бы я поставил человеку, который удалённо администрит XPень в рабочей группе. Что же, всё vnc? Если не сильно напрягают косяки с раскладками, то можно бы и так оставить. Насчёт авторизации локальных юзеров на сервере - это же просто делается. У каждого юзера свой логин и пароль на рабочей станции [под которыми он автологинится в мастдай] и точно такие же - на сервере. При подключении к серваку мастдай обычно пытается коннектиться под именем юзера и с его паролем, так что скрипт подключения может выглядеть как-то так:
net use M: \\server\common[ /user:server\%username% password]
net use N: \\server\GROUPNAME
net use O: \\server\GROUPNAME\%username%
net use P: \\server\prg
не помню точно, %username% ли эта переменная окружения называется - можно посмотреть командой set.
Права раздать поюзерно, погруппно при небольшой ротации народа из отдела в отдел смысла делать нет. Службы server, remote registry и подобные на всех компах, которые не расшаривают свои принтеры, отключить. Фаер включить и настроить правильно. Обновления везде настроить на специально поставленный инстанс сквида, который пускает только на серверы обновлений и без паролей. FF, SeaMonkey или Chrom* настроить на другой инстанс сквида, который будет пускать в инет. Если через IE будет пускать только на M$, народ вряд ли будет лазить им на куда попало. Покопаться в политиках и запретить менять настройки IE. Получится на 2 копейки безопаснее. В основной браузер поставить плагины типа Adblock plus, flashblock, ghostery, WOT и подобные, но перечисленные - обязательно. При любом случае внушать народу не открывать WOT-красные сайты. Настроить обновление антивирусов и сканирование по расписанию. Дефрагментацию винта при простое.
По базовой настройке - наверно всё.
***
У нас на 4 админов (из нас 2 как бы программисты) ~350 компов только в городе и ~150 в территориальных подразделениях. Эникея - море Начиналось тоже примерно с 30 или 40 человек... Сейчас два домена и поддомен, серваков - десятки. Всяких разных.
Сообщение объединено: 25 января 2013, 18:46:49
...если зеркала, то провести "учения". Выдернуть один винт из зеркала и попробовать -достать из него инфу, -восстановить сервер на подобной железке из вытащенного винта, -переставить систему без убивания данных. Описать всё в подробных инструкциях "чтобы другой админ смог" или на случая собственной амнезии.

[xbsd]

Дефрагментацию винта при простое.

qwerty

[PbI6A]

Дефрагментацию винта при простое.

qwerty

Обычно на рабочих станциях ставлю MyDefrag и настраиваю его запуск при 10-минутном простое компа. Не знаю тонкостей насчёт "дырок" и Speeddisk под Win2k, но после того как я обычно "чищу" компы, люди иногда говорят, что я "волшебник". Обычно "чистка" включает в себя ~10-15 разных "мелких" ручных операций, и дефрагментация - лишь одна из них.