Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Переход на AD малого предприятия

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Den1skasv

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток. Прошу помощи у системных администраторов малого и не шибко богатого бизнеса. Пригласили в небольшую организацию на роль включающую и системной администрирование. В IT не бардак но и порядока нет. Домена нет, всё крутиться в рабочих группах. Само собой всё это не критично но подглючивает. Да и админить всё централизованно не возможно. Опишу организацию:
 
1. Головной офис - 20пк, 2 сервера (1 старый HP, 1 свежий SuperMicro)
2. Филиал 1 - 10пк, 1 "сервер" (на десктоп железках) VPN с головным 1Мбит.
3. Филиал 2 - 5пк, сервера нет, VPN с головным 1Мбит.
4. Филиал 3 - 2пк, Сервера нет, VPN с головным 512Кбит.
 
Нашёл неплохой но весьма общий good practice - https://habrahabr.ru/post/158973/
 
В целом всё понятно и план война покажет. Но хотелось бы небольшие наброски от более опытных админов. Как бы вы организовали AD в подобной организации.Хотя бы тезисно. Буду признателен за помощь. Жду вопросов.

Всего записей: 11 | Зарегистр. 14-09-2012 | Отправлено: 17:47 10-08-2017
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Den1skasv Для начала выясни бюджет, дадут ли тебе бабла на серверы под 2 контроллера, и на их серверную винду с CAL лицензиями ?  
w2k16 standard с 8 лицензиями на ядро стоит порядка 45 тыр рублей, еще будут нужны CAL-ы на компы или на юзеров, пусть будет 17 Dev-CAL  по 1500 руб. Итого за всё =  72 тыр. А еще нужно серверное железо. Если бабла не будет, то придется тебе успокоиться.  
Более точно посчитать стоимость всех лицензий можно тут  http://msbuy.ru
 
Можно удешевить  лицензии для сервера взяв w2k16  essential, если у вас будет не более 25 юзеров и не более 50 устройств.

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 09:34 11-08-2017 | Исправлено: ipmanyak, 09:41 11-08-2017
Den1skasv

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Бюджет на софт выбью, но сначала нужно определиться какой он будет и где. А сервера как бы в головном уже есть, плюс в филиале 1 есть типо сервер, но собран на десктоп железе.  
 
Вопрос с двумя мелкими филиалами. Туда серверы не вижу смысла переть.Расти сильно они не будут.
 
Пока я себе рисую что то следующее:
 
Головной офис
На свежем Supermicro - 2016std и в HyperV разворачиваю:1.ДНС, КД, DHCP 2.Файловый сервер
На Старом HP - в 2012HyperV разворачиваю: 1.ДНС, КД, DHCP 2. 1С(RDP) на имеющемся 2008R2 (подумываю просто пергнать его P2V)
 
А вот что делать с филиалами не знаю. В крупном (который 1) развернуть RODC? Или оставить как и есть обычным Файлсервером?  
 
И хватит ли каналов в 1МБит для нормальной работы с доменом? Сейчас они загружены в пике процентов на 50%

Всего записей: 11 | Зарегистр. 14-09-2012 | Отправлено: 11:44 11-08-2017 | Исправлено: Den1skasv, 11:46 11-08-2017
d0r0fey



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
И хватит ли каналов в 1МБит для нормальной работы с доменом? Сейчас они загружены в пике процентов на 50%  

мне не хватало 2 мегабит, но у меня было 26 компов в подведомственной + сервера терминалов на которых они работали в головной.  
 
Добавлено:
потом нашли другого провайдера.  
512 Кбит даже в деревне "сложно" найти, какие-то скорости совсем маленькие у вас, может вам с другого провайдера поискать в филиалах?
 
Добавлено:

Цитата:
Бюджет на софт выбью


Цитата:
и не шибко богатого бизнеса

как-то не стыкуется одно с другим.
 
найти нормальный канал интернета в филиалах, второе - заменить дэсктоп на сервер, потом уже думать на что хватит денег.
БУ сервера не ксеонах недорого стоят, если это предприятие, то купят. 18000 за супермикро могут, думаю, позволить.
По интернету: оставить заявку всем мобильным операторам связи, если вышку видно из окна, или трубу подзорную, то подключат без проблем. Взять у тех, кто дешевле и быстрей предложит.
вы сейчас купите софта, но лучше не станет, а руководство будет в полной уверенности на светлое будущее, ждать от вас результата.

Всего записей: 1364 | Зарегистр. 13-03-2009 | Отправлено: 14:51 12-08-2017 | Исправлено: d0r0fey, 15:11 12-08-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Den1skasv
Давайте про софт пока забудем. Есть вполне легальный 180 (полгода!) полнофункциональный сервер. Полгода достаточно для тестирования и определения того, какой софт нужен и сколько конкретно. Есть и другие варианты быть всегда при деле.
Если говорить об инфраструктуре чуть выше AC 220 и TCP\IP, то можно и Office365 рассмотреть. Потому, уже отсюда начиная, вопрос звучит слишком обще. Но допустим, вы решили всё держать в себе.
Мне, честно говоря, не очень понятно, что вас заботит. Берём классический подход и реализуем... Тезисно говорите... Извольте.
 
Плохой тон сразу начинать с "дай денег". С деньгами любой сумеет. Необходимо чтобы услышали следующее: в течение полугода (180 дней, хотя это конечно много, но полугодовой отчётности лучше дожидаться, а вам и годовая тоже светит) будет проводится анализ того, что вам нужно. Ответ "мы уже знаем", терпеливо выслушиваем, то тем не менее, гнём нечто вроде того, что надо знать технические параметры, которые удовлетворят заявленным требованиям, вворачиваем нечто умное, типа анализ бизнес процессов. Побольше цинизма, людям это нравится (С). Анализ может потребовать минимальных вложений, но минимальны они в относительных числах, не абсолютных. Так же возможно, что в этот период они не потребуются вовсе. Обкашляв этот вопрос, оставляем бизнес-товарищей в покое до времени.
 
Далее. Сеть. Она работать должна стабильно. You must have, даже не обсуждается. Как необходимо иметь компьютеры. Удовлетворяющие требованиям ... ага... Толщина каналов, пока не важна, ибо мы вообще не знаем, что за трафик будет гулять.
Собственно, уже можно остановиться. Далее разговаривать - разговаривать ни о чём.
 
Итак, следует определиться с сервисами, которые предоставляет пользователям IT. Этого-то здесь и не видно. Нет этого в заявке в принципе. Не вижу.
Каналы... А для чего? Собственно. Наличие AD DS хоть в последней букве и звучит как Service, но признать это сервисом, предоставленным пользователям, как-то слабо получается. Вернее, не получается вовсе.
Вот видите, вы говорите каналы, а не знаете для чего. Для репликации AD достаточно и 512K, а иметь централизованный файловый сервис - очевидно мало.
Не слышу слова "почта". Все в Гугле? Тоже вариант.
Не слышу, что там с бухгалтерией и её софтом. Какой-никакой софт же у них есть. Тут уже явно прослеживается централизация, и маячит слово "терминалы"...
Вот вам и тезисы.
 
Определяйтесь с направлениями
1. Общие файлы. Где они? Они могут быть в бесплатном облаке.
2. Электронная почта. Вообще не понятно.
3. Совместная работав приложениях (как правило 1С). Вот это уже обоснование "каналам" хоть какое-то.
4. Займитесь подробной инвентаризацией всего и вся. Рабочие станции, серверное оборудование, отношения с провайдерами, регистраторами, подрядчиками etc. Всё, что когда-либо, хоть каким-то боком свешивалось на IT в вашей памяти. Вплоть до пожарников. Шейте "дело". Чем толще, тем лучше.
 
PS Хабр не читал, даже не кликнул, простите.
PPS. Чуть не забыл. Планирование AD вас ещё интересует, или вы с начала начнёте?

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 15:20 13-08-2017
d0r0fey



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick
да, лучше начать с того, что для чего нужен канал интернета.
это для примера:
 В моем случае: справочные системы запускали по сети, которые хорошо занимают канал; Общие файлы были на сервере в головной; Печать с головной конторы из терминального сервера; Адресные книги синхронизировались для thunderbird, почта была на яндекс...
 
Когда все включали свои компы и начинали работать утром, потом выслушивал, что всё медленно

Всего записей: 1364 | Зарегистр. 13-03-2009 | Отправлено: 20:07 13-08-2017
Lepar



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
"Файловый сервер" можно спокойно зеркалировать, поднимать лес или его аналог. Нагрузка на канал будет минимальная. DHCP, DNS, и то что вы называется "доменом" прекрасно можно запустить на совершенно бесплатном юниксе установленном на железе купленном за копейки на ближайшей помойке.
Можно извратится и купить что нибудь за те же копейки из микро компьютеров, их "мощи" вполне хватит для поставленных задач.

Всего записей: 510 | Зарегистр. 01-06-2017 | Отправлено: 20:19 13-08-2017 | Исправлено: Lepar, 20:21 13-08-2017
d0r0fey



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
установленном на железе купленном за копейки на ближайшей помойке.

Lepar
Вот точно, друг приходил в контору в которой проблемы с безопасностью, ломают их часто. Дык у их админа второй контроллер АД поднят на компе из помойки, который только проблемы создавал ))
Для начала надо научить готовить, а потом можно и из полена березовый сок отжимать.
 
Добавлено:
как оказалось потом, контроллер прям сетевым интерфейсов в Интернет смотрел, шлюзом был... для экономии ресурсов ..

Всего записей: 1364 | Зарегистр. 13-03-2009 | Отправлено: 11:12 14-08-2017 | Исправлено: d0r0fey, 11:18 14-08-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Lepar

Цитата:
их "мощи" вполне хватит для поставленных задач

А какие задачи поставлены?

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 08:02 15-08-2017
Lepar



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick Ответ дан выше.

Всего записей: 510 | Зарегистр. 01-06-2017 | Отправлено: 11:03 15-08-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Выше только гордыня.
Так какие задачи у бизнеса?
 
Добавлено:
История одной заточки
Взят на работу прекрасный человек, гуру своего дела. Только вот, насколько оно своё в буквальном понимании - становится ясно позже.
Прекрасно, человеку платят деньги, он собирает на помойках железо на котором строится бизнес. Возможно, что он готов работать за идею. Ибо идея запхнуть за пояс весь мир, живуча как человечество. Бизнесу всё обходится весьма дёшево и без лицензий, ибо не нужно.
Постепенно бизнес обрастает всякими нужными рюшками, файлами, контактами, и прочей бухгалтерией, без которых он - ноль.
В один прекрасный, или наоборот, день, великий гуру "забухал". Ага, забухал. Или хуже - умер.
По совпадению - умер "главный хост".
Всё, собственно. Кроме мертвецки пьяного или совсем мёртвого, с главными бизнес инструментами никто разобраться не может. Никто даже не может понять, что такое главный хост, ибо всё настолько гениально, что не понять. Директору остается только вбухать в десять раз больше, чем он сэкономил, на построение нормального велосипеда. Как у всех. А паролем от главного хоста подтереться, сам же хост выкинуть туда, где ему самое место - на помойку.
Жаль, но вкладывание денег не помогает, конкуренты занимают нишу и директор идёт торговать арбузами.
Скупой платит дважды. Народное.


----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 14:14 15-08-2017
igor me v2

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
никто разобраться не может

не бывает таких гениев, чтобы они создали ТАКОЕ, что НИКТО больше не сможет разобраться принципиально. Всегда найдётся кто-то. Просто этот кто-то ещё не найден. Возможно не там ищут. Возможно даже стоит на время нанять человека из "столицы", с оплатой командировки. Я почти уверен, что даже ЭТО будет дешевле, чем покупать КУЧУ нового железа и софта, и строить всё ЗАНОГО. Да и для кого? Для местных "хомячковых админов", которые могут работать тока с Win Server 2016 , а 2008 или тем более 2003-2000 их уже ставят в ступор? Нормальный квалифицированный админ должен с равной лёгкостью управлять железом и софтом, выпущенным как минмум за последние 10-15 лет примерно и ещё в Линуксе разбираться, хотя бы базово. А ещё должен иметь хорошие способности к самообразованию. Ну чё я это говорю, сами же всё знаете... Иначе он ХОМЯК, так ему и передайте
Я не поэл, за чё вааще разговор? Чтобы все делали только так, как рекомендует "дядюшка Майкрософт" и только на последней версии ВинСервер? Неа, это не наш метод, мы за разнообразие и эффективность! Спасибо.

Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 16:40 15-08-2017 | Исправлено: igor me v2, 16:41 15-08-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Флейм. Удалил.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:59 15-08-2017 | Исправлено: Paromshick, 17:08 15-08-2017
d0r0fey



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
igor me v2
 

Цитата:
Всегда найдётся кто-то. Просто этот кто-то ещё не найден. Возможно не там ищут. Возможно даже стоит на время нанять человека из "столицы", с оплатой командировки.

 
В бизнесе должно быть  - что будем делать, если наступит такое событие. КОнечно всё невозможно предусмотреть, но в данном случае, о котором писал Paromshick, должен быть номер телефона с фамилией именем и отчеством ещё одного админа, который точно сможет разобраться в этой сети. Искать, как ты предлагаешь, - это затея несовместимое с жизнью этого бизнеса. Хорошо если руководитель только арбузами отправится торговать без долгов/кредитов по старому бизнесу.

Всего записей: 1364 | Зарегистр. 13-03-2009 | Отправлено: 10:36 16-08-2017 | Исправлено: d0r0fey, 10:38 16-08-2017
igor me v2

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Искать, как ты предлагаешь, - это затея несовместимое

Совместимая вполне, только на период поисков бухи должны уметь перестроится на ручной документоооборот (в первую очередь по ним ударит глобальное падение компьютерной системы). Инет - можно временно пользовать через мобилы и Wi-FI или позвать человека от провайдера. Всё остальное менее критично. Доки можно носить на флешках между компами, если вся сеть упала и т. п... А если это распространить шире - по возможности "все должны уметь страховать всех". В старые времена было так. А сейчас, на американский манер, плодят узких специалистов. Универсал - сейчас всё больше и больше становится исключением, чем правилом, к сожалению. Во многих профессиях, не только в компах...А почему - да патамушта ключевым понятием и хотением стал
Цитата:
бизнес
, а не что-то типа "мы все одна большая дружная семья и если кто-то заболел  или ещё что пострашнее - должны взять на себя его работу на время его отсутствия".

Цитата:
админа, который точно сможет разобраться в этой сети

Любой квалифицированный должен суметь в течении одного-двух дней. Я выше писал. Если нет - там одни хомячки...

Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 17:18 16-08-2017 | Исправлено: igor me v2, 17:21 16-08-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
d0r0fey
igor me v2
ПродОлжите во Флейме, а? Всё ж уже понятно - холивар.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 17:24 16-08-2017
Den1skasv

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 all
 
Прошу прощения за отсутствие. В пятницу вечером разыгралась гроза и добавила дополнительной работы. Слава богу IT часть отделалась только погоревшим свичём, а вот видео-наблюдение выгорело всё. Пришлось работать и в этом ключе)
 
Как обстоят дела сейчас:
 
Головной офис
 
20 пк, все относительно свежие.
 
Сеть после грозы уже 1Гбит.Обычный неуправляемый свитч.Инет через LTE. VPN к филиалам через ADSL.
 
Есть два сервера. Старый HP(DL180G6) на нём крутилась в терминале 1Ска. Я пришёл когда в нём исдох контроллер дисков. Заказали свежий SuperMicro, восстановил всё как росло раньше. Сейчас 1ска крутиться на нём. Недавно пришёл контроллер в HP. Он сейчас в простое.
 
Рабочая группа со всеми вытекающими.
 
 
Филиал 1
 
10 пк, есть 1 старый на складе, обеспечивает работу принтера и сапёр)
 
Сеть 100Мбит. Инет ADSL, но вскоре вроде можно будет сесть на оптику. VPN ADSL - скорость к головному 1Мбит, вполне стабильный.
 
"Сервер" - обычный системник но с дисками в Raid1
 
Рабочая группа. Активных пользователей 1С - 5 человек, в пике забивают половину канала.Работают через терминал.
 
 
Филиал 2 и 3
 
5 и 2 ПК соответственно.
 
Сеть 100Мбит. Инет и VPN ADSL. VPN так же с большего стабилен.
 
Соответственно ничего кроме компов там нет. Так же пользуются 1Ской. Так же каналов хватает с головой.
 
 
В целом у всех всё стандартно. 1С, Почта (свой домен есть), офис,скайп. После восстановления сервера всё крутиться и все счастливы. Однако разграничения доступа нет, на сервере сложена только критичная инфа, и то что сотрудникам вздумалось туда закинуть. Сетевое окружение головного офиса иногда подглючивает по понятным причинам.
 
 
Хочется правильно организовать всю IT составляющую фирмы. Домен, различные права и поражения в правах (чтоб не выковыривать потом всякие маил агенты), автоматическое хранение всех доков сотрудников на сервере, стабильную работу и быстрый и удобный обмен инфой. С головным офисом всё понятно, а вот с остальными думаю. В крупный филиал действительно можно выбить какой Б.У. сервер на роль RODC. Но вот в мелкие не вижу смысла. Опять таки прошу просто тезисных набросков как организовали бы это вы...
 
 
Paromshick
 

Цитата:
то можно и Office365 рассмотреть.


Уже согласовал 5 пользователей на тест


Всего записей: 11 | Зарегистр. 14-09-2012 | Отправлено: 17:27 16-08-2017
Sanscho

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В данной конфигурации нет особого смысла выходить с рабочей группы. Настроить удаленку на компы и хватит. Если есть желание потренироваться то или облачные сервисы типа офиса 365 или заказать виртуалку на хостинге под домен и пробросить оттуда ВПНы.

Всего записей: 104 | Зарегистр. 07-06-2004 | Отправлено: 09:29 17-08-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Смысла, кроме "хочется", действительно, особого нет.
Но раз хочется - делайте.
1. Виртуализация.
2. RODC не надо, достаточно кешировать пароли. По умолчанию - 10 входов.
3. Разные подсети, разные сайты, пусть и без присутствия DC в них.
Да и всё. Ну если есть опыт. Типа сразу забэкапить политики по умолчанию и не править их... Мелочи.
Вообще, форум это всё же не guide

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:36 17-08-2017
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Переход на AD малого предприятия


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru