Изменился адрес Архивача в сети Tor — arhivachqqqvwqcotafhk4ks2he56seuwcshpayrm5myeq45vlff44yd.onion. Установите Tor Browser для беспрепятственного доступа!

Эникеев и сисадминов тхреад

 Аноним 03/08/15 Пнд 15:23:03 #1 №1330872 
14386045838450.jpg
Вы тут в конец охуели? Ничего кроме анального зонда 10 не обсуждаете.

Устроился тут в одну фирму - 20 офисов, компов 100 в сумме.
Повсюду полная анархия, бизнес рос из оче маленького постепенно, человеку что был до меня было на всё похуй.

В качестве шлюзов в офисах стоят чуть ли не dir320, постоянно зависающие. Все работают под админскими учетками. АМИГО вперемешку с прочим говном на всех рабочих станциях.

Задача: привести всё в нормальное состояние. Сделать возможным обслуживание офисов полностью удалённо. Закрыть доступ к вконтактам и прочим одноклассникам, попутно наставив анальных зондов, по указанию гендира.

Поэтому накопилась куча вопросов, по которым хотелось бы услышать мнение анона.
Loading...
Аноним 03/08/15 Пнд 15:25:39 #2 №1330885 
>>1330872 (OP)
Переведи все на линукс. Когда на следующий день все наебнется - создашь тред о том, что тупые спермобляди тебя уволили.
Аноним 03/08/15 Пнд 15:27:31 #3 №1330892 
14386048512800.jpg
Прежде всего по железной части: закупаю микротики в качестве шлюзов. За такую цену аналогов с подобным функционалом нет.

А может всё таки есть?

>>1330885
Думаю линукс еще долго не будет готов к тому, чтобы заменить шиндоус на рабочих местах. Разве что в качестве тонких клиентов. Сам сижу на арче если что.
Аноним 03/08/15 Пнд 15:33:27 #4 №1330909 
>>1330872 (OP)
Потом по организации VPN туннелей.
Какой протокол для VPN выбрать?
Нихуя не понятно с безопасностью. Выпускать в интернет незашифрованный трафик даже этой никому нахуй не нужной конторы не хочу.
Остановился сейчас на L2TP+IPsec туннеле. Как приятный бонус нативная поддержка Шиндоуса для удалённых сотрудников.
Но уж больно заморочная настройка IPsec туннелей получается.

PPTP получается вообще не безопасен?
SSTP - ебля с сертификатами.

Какие еще могут быть варианты?
Аноним 03/08/15 Пнд 15:35:38 #5 №1330919 
>>1330892
>на рабочих местах.
Как раз на рабочих местах rdp-клиента достаточно запустить из любой ОС, а вот на сервере...
> заморочная настройка IPsec
Так ты не ставь линукс, и проблем не будет. В винсервер все делается тремя кликами мышки.
Аноним 03/08/15 Пнд 15:36:15 #6 №1330921 
14386053750870.jpg
>>1330872 (OP)
И по поводу анархии. Решение - поднять в головном офисе контроллер домена и подключить к нему компьютеры всех офисов. Разрешенный софт настраивать политиками.

А что будет, если упадёт интернет в одном из офисов? Компы вообще залогиниться что ли блядь не смогут?
Аноним 03/08/15 Пнд 15:36:44 #7 №1330922 
>>1330892
>микротики в качестве шлюзов
Чем это лучше длинков? Кроме возможности пердолиться в консолечку - да и на длинке со сторонней прошивкой в нее тоже можно пердолиться.
Аноним 03/08/15 Пнд 15:43:14 #8 №1330946 
14386057941800.png
А теперь то, вы все любите - анальные зонды.

Первая часть касаемо закрытия доступа к сайтам.
Одно из условий - наличие групп с разными доступами. Например гендиру и главбуху нужен доступ чтобы смотреть котиков вконтакте, а менеджерам продаж закрутить всё, кроме сайта компании.

Можно было бы пустить всё через прокси, но нынче почти везде используется https. Его тоже нужно фильтровать. На ум приходит фильтрация адресов на уровне DNS.

А как это реализовано у провайдеров, которые блокируют наш любимый харкач?

>>1330922
Возможность реализовать хотспоты в офисах продаж, напердолить резервирование канала и прочие мокрописьки, типа описанных выше.
Аноним 03/08/15 Пнд 15:47:13 #9 №1330962 
14386060332130.jpg
>>1330946
Анальные зонды часть вторая.

VNC. Решено установить на все машины VNC серверы. Чтобы подключаться без всякой ебли с "запустите тимвьювер".
А вместе с настроенным wake on lan позволит проводить профилактику удалённо в нерабочее время.

Какая-то принципиальная разница между VNC серверами есть? Сейчас тестирую с TightVNC - вроде бы всё что нужно.
Аноним 03/08/15 Пнд 15:53:06 #10 №1330975 
14386063864630.jpg
14386063864661.jpg
Ну и напоследок, какую систему мониторинга вы используете?

Zabbix - слишком наворочен, да и неохота поднимать на отдельной машине линукс-сервер исключительно для него.

Попробовал The dude - всё заебись, но он заброшен уже как 5 лет, да и в основном для мониторинга сетевых ресурсов предназначен, агентов для рабочих станций не имеет.
Аноним 03/08/15 Пнд 15:55:48 #11 №1330980 
14386065487990.jpg
В общем-то решение для каждого вопроса найдено, но хочется услышать что анон уже использует в своей работе, чтобы не наткнуться на подводные булыжники.
Аноним 03/08/15 Пнд 16:46:03 #12 №1331108 
Подключаюсь к треду, интересно кто чем пользуется.
Про себя расскажу немного. В небольшой фирме где я работаю до меня проработало много людей и каждый нахуевертит и съебётся. И хуй пойми что они делали и как оно все работало. Лучшим вариантом для меня было поднять сеть почти с нуля, зато знаешь где что и как. И оборудование старое все на помойку к херам, ибо модемы ,например, при работе 24/7 не живут годами. Ну и машины почистил, само собой. Как то так.
Аноним 03/08/15 Пнд 17:04:25 #13 №1331138 
А есть годная прога для мониторинга без установки всяких агентов на все машины?
Аноним 03/08/15 Пнд 17:16:48 #14 №1331171 
>>1330946
>напердолить
Все это можно напердолить в openwrt, так нахуя нужен микротик?
Аноним 03/08/15 Пнд 19:18:12 #15 №1331435 
>>1330872 (OP)
Отвечу про то, что знаю и что сам юзаю.

>20 офисов, компов 100 в сумме
Можно делать домен в каждом офисе, если есть уверенность в том, что через 2-3 года в каждом офисе будет 100+ компов и свой местный админ. Иначе делать более централизовано - два контролера одного домена в разных офисах с хорошим интернетом, все остальные ходят в эти офисы по VPN.

>закупаю микротики
Не уверен, что ты правильно поступаешь. Cisco - стандарт де факто, циска предсказуема и гарантированно не подведет с микротиками ты точно здорово наебешься.

>Какой протокол для VPN выбрать?
Любой. А на самом деле это зависит от того, что и в каком объеме будут поддерживать твои железки. У меня вообще впн на винде крутится и порт проброшен со шлюза, т.к. нормальную железку с поддержкой впн на шлюз так и не купили (денег нет). Впн, соответственно, pptp с авторизацией mschap и обязательным 128 битным шифрованием. У этого костыля одно преимущество - можно с любой винды штатными средствами подцепиться к сети.

>PPTP получается вообще не безопасен?
Это просто протокол точка точка, труба, соединяющая две сети, что в этой трубе - отдельный вопрос, если шифрованный трафик, то мы имеем впн, если не шифрованный, то непонятно зачем вообще пптп тут нужен.

>если упадёт интернет в одном из офисов? Компы вообще залогиниться что ли блядь не смогут?
По умолчанию кешируются учетные записи пользователей на компах, если домен не доступен, то пока кеш жив - люди будут входить в свои учетки, не замечая проблемы. Время жизни кеша можно настроить на контроллере.

>наличие групп с разными доступами
Решений много. Самое простое - hosts.txt, который ты настраиваешь политиками. Самое сложное - аппаратный фаервол, который умеет ходить на контроллер домена, можно настроить авторизацию пользователей по доменному паролю в веб форме или через сертификаты, из преимуществ - учет трафика для каждого пользователя и индивидуальные настройки кому куда можно и нельзя ходить.

>фильтрация адресов на уровне DNS
Тогда ты и у начальника тоже порежешь котов, ведь DNS то у всех клиентов сети общий!

>А как это реализовано у провайдеров
У нормальных? Начать с того, что у них впн от каждого пользователя к железке, закончить тем, что там железки такие, какие нам с тобой даже не снились. У провайдеров - самое серьезное оборудование по части производительности и функционала обычно.

>установить на все машины VNC серверы
Можно, но зачем? На всех же машинах винда! Я настроил у себя удаленное подключение к сеансу пользователя прямо средствами винды. Увы, не работает в 2012, поэтому приходится держать 2008 виртуальный сервак, чтобы ходить смотреть на пользователей. Зато не нужно никому ничего устанавливать - просто спустил нужные настройки через гпо и по имени компа можешь подключаться к сеансам. дмваре и внц тоже нормальные решения, но требуют установки клиента каждому, кроме того, они, вроде, не бесплатные.

>какую систему мониторинга вы используете?
Никакой. Если сервер недоступен, то это заметит касперский и сообщит на почту, а если это будет сервак с 1ской, то бухгалтера прямо ночью могут позвонить - они удаленно (через впн на терминальный сервер ходят) часто работают прямо из дома. Важнее не заметить, а быстро понять что случилось и знать что в каком случае делать. Так что ежедневные резервные копии и еженедельные бекапы крайне тебе рекомендую начать делать как можно скорее. Алсо важно иметь запасное железо для развертывания из резервной копии и удаленный доступ к серверам на уровне биоса (ip kvm или iDRAC, iLO какие-нибудь). Также можно решить этот вопрос виртуализацией, но тут нужна СХД с производительной фабирокой, дисковой полкой и минимум двумя весьма недешевыми серверами. Зато если что-то упало - оно само поднимается на соседнем сервере (гугли availability). Рядовые рабочие станции отлично мониторятся тем же каспером и всусом. Заббикс и прочие монстры реально нужны, только для мониторинка всякого сетевого оборудования, ИБП и т.п. (особенно, если у тебя количество единиц оборудования исчисляется сотнями, а не единицами) но там придется много чего дописываться для них ручками, это долго и сложно, т.е. не есть задача первостепенной важности.
Аноним 03/08/15 Пнд 19:25:06 #16 №1331445 
14386191060290.png
>>1330892
>микротики в качестве шлюзов
Возьми wdr3600 и накати openwisp. Это прошивочка на основе openwrt с централизованным управлением, vpn и radius.
Аноним 03/08/15 Пнд 19:27:50 #17 №1331454 
>>1331171
>openwrt
Можно. Но ты ведь понимаешь, что нищеебское решение и если уж дают денег на железки, то лучше на шлюзы купить таки циски и нормально их настроить.

>>1331138
>прога для мониторинга без установки всяких агентов
У винды есть ряд технологий для подобного. Но они работают не лучшим образом и имеют ограничения. Так что считай, что нет.

>>1331108
>поднять сеть почти с нуля
Это, конечно, круто, но на прошлой работе у меня было 500+ компов в 10 зданиях, на текущей 200+ компов в двух - если бы переконфигурил сеть с нуля в одиночку (да и даже если в команде), это бы заняло дохуя времени и привело бы к недопустимому простою. Домен и эксчендж тоже уже были запущены. Короче, иногда, хочешь не хочешь, а приходится разгребать дерьмо за другими.
Аноним 03/08/15 Пнд 19:46:13 #18 №1331492 
Хороший тред.

Оп, у тебя есть образование?

Как изучить блядскую ай-пи адресацию: шлюзы, маки, пакеты, модели, уровни, вот это вот всё. Всё пытался понять - да как-то очень скудно.

Как долго нужно ебаться, чтобы уметь делать сети? Я конечно могу соеденить компьютеры в свитчи, хабы, протянуть кабеля и даже обжать витую пару - но в плане настройки - мутно представляю, что там настраивать (кроме заблокированных контактов и одноклассников).

Как заблокировать одноклассников и котиков только некоторым пользователям? Например всем, кроме директора - как это делается? Я могу заблокировать всем. В быдлоконторке пользуют ДИР300 + пара свитчей компании(?) "Switch".
Аноним 03/08/15 Пнд 19:48:45 #19 №1331500 
14386205253450.jpg
>>1331435
>через 2-3 года в каждом офисе будет 100+ компов и свой местный админ
Точно не будет, скорее 100 офисов с 3-10 компами.
>Тогда ты и у начальника тоже порежешь котов, ведь DNS то у всех клиентов сети общий!
Тут больше всего вариантов у меня есть:
1) поднять навороченный DNS сервер, дающий разные ответы разным IP. Но поднимать такое в каждом офисе негде, а ходить на DNS через vpn в центральный офис так себе идея.

2) Фаерволом заворачивать все обращения к сторонним DNS на мой собственный, на котором прописаны статические маршруты на localhost для неугодных сайтов. А с привилегированных IP адресов заворачивать на DNS гугла, например.
Минус: мы или фильтруем всё или не фильтруем ничего.

3) Снифать траффик на 53 порту(DNS) и дропать обращения с неугодными адресами. Наиболее пердольный вариант, зато позволит реализовать подобие групп.

+обмазаться скриптами, чтобы время от времени актуализировать списки IP адресов для неугодных доменов, и допать обращения к ним тоже, чтобы не заходили по IP.

>но зачем?
Чтобы беспалевно смотреть, что происходит на экране. :3

>Важнее не заметить, а быстро понять что случилось и знать что в каком случае делать
Ну вот мне иногда звонят, и говорят что НИЧЕГО НЕ РАБОТАЕТ. Приходится проверять снизу-вверх: есть ли интернет в офисе, включен ли компьютер, настроена ли на нём сеть, есть ли интернет в серверной, включен ли сервер, работает ли терминальный сервер, работает ли база 1C, не зависла ли сессия пользователя.
А система мониторинга скажет мне что прозошло еще до того, как позвонит пользователь.
Аноним 03/08/15 Пнд 19:50:42 #20 №1331504 
14386206427860.jpg
>>1331492
>Оп, у тебя есть образование?
Закончил институт не по телекоммуникационной специальности, но смежной.
>шлюзы, маки, пакеты, модели, уровни, вот это вот всё
Уложилось в курс одного семестра.
Аноним 03/08/15 Пнд 19:54:09 #21 №1331515 
14386208496870.jpg
>>1331435
>У провайдеров - самое серьезное оборудование по части производительности и функционала обычно.
Но при этом они всё равно не могут заглядывать внутрь https.
А внутри ssl сессии не зашифрованным ходит только адрес сервера. Url же тоже зашифрованы.
И как они это обходят?
Аноним 03/08/15 Пнд 19:55:14 #22 №1331518 
Продолжаю невфаг-вопросы:

Почему то всегда в мануалах и всяких книжках встречаю оборудование от ЦИСКО - что, других оборудований не существует?

Правда ли, что у свитча есть свой ай-пи адресс и он имеет такой-же веб-настройщик (ололо 192.168.1.1) и является автономным клиентом сети? Всегда думал, что это что-то типа "тройника".

Подскажите фриварный "СИМУЛЯТОР СЕТЕЙ", чтобы "поразбразывать" свитчи, протянуть сети, и научиться настраивать эти ай-пи адреса.

Что же такое прокси и нахуй он нужен в офисе?

Представьте, что в компании Х есть сервер на каком-нибудь XEON Е5*/8 Gb RAM/1Tb HDD на линукс-дистрибутиве "Дебиан" без графического окружение (только консоль).
Может ли этот сервер иметь "почтовый сервер" (не знаю как называется)? Слышал что то типа "орпоративной почты".
Как это работает? Где берется "домен" адреса (запись после @ в электронном адресе)? Для этого нужен статический айпи от провайдера?
Аноним 03/08/15 Пнд 19:55:26 #23 №1331521 
>>1331492
Заблокировать определённый контент только некоторым пользователем можно через модем, если там есть такая опция. По мак адресу ставишь блокировку или с помощью родительского контроля ставишь ограничения. Ну это самые лёгкие варианты.
Аноним 03/08/15 Пнд 20:04:58 #24 №1331558 
>>1331521
А как осуществляются "сложные" варианты?
Аноним 03/08/15 Пнд 20:08:04 #25 №1331566 
14386216843520.jpg
>>1331435
>Самое простое - hosts.txt
Не катит, нужно делать на уровне оборудования - в офисах поднят вайфай.
>>1331518
>Почему то всегда в мануалах и всяких книжках встречаю оборудование от ЦИСКО - что, других оборудований не существует?
ЦИСКИ практически стали стандартном при построении сетей сложнее домашней. Но так-то есть еще ДЖУНИПЕР, ХУАВЕЙ и прочие МИКРОТИКИ для бомжей.
>Подскажите фриварный "СИМУЛЯТОР СЕТЕЙ", чтобы "поразбразывать" свитчи, протянуть сети, и научиться настраивать эти ай-пи адреса.
GNS3 же, других и нету по сути.
>Что же такое прокси и нахуй он нужен в офисе?
Прослойка между конечным клиентом и интернетом.
Гугли же.
>Может ли этот сервер иметь "почтовый сервер" (не знаю как называется)?
Конечно может. Может просто почтовый сервер с доступом по pop3/imap, может и web-интерфейс хостить.
>Где берется "домен" адреса (запись после @ в электронном адресе)?
Покупается у регистратора доменов.
>Для этого нужен статический айпи от провайдера?
Есть сервисы вроде DynDNS. Но чтобы всё было серьёзно - нужен.
Аноним 03/08/15 Пнд 20:50:17 #26 №1331785 
>>1331566
Спасибо тебе. Успехов.
sageАноним 03/08/15 Пнд 21:30:31 #27 №1331977 
>>1331566
Сестра знает, что ты ходишь в ее колготках?
Аноним 03/08/15 Пнд 22:12:21 #28 №1332136 
>>1330946
Walled Garden на микротике.
Аноним 04/08/15 Втр 00:14:43 #29 №1332415 
>>1331500
>100 офисов с 3-10 компами
Не завидую. В 100 офисов нормальные железки купить тебе не дадут, а на длинк дир-100 жить, конечно, невозможно - конкретно у этой модели дхцп самопроизвольно включается (даже если прошить на последнюю прошивку и отключить его в настройках в явном виде!) со всеми вытекающими последствиями в виде поездки в удаленный офис... Мы когда это говно во втором здании обнаружили сразу все железки поменяли на более или менее приличные.

>навороченный DNS сервер
DNS нужен для того, для чего нужен, изобретать велосипед я бы не стал.

>Фаерволом
Уже лучше. Только совсем хорошо прямо фильтрацию адресов и урлов на фаерволе и сделать, а начальство и прочую элиту поместить в подсеть к которой не применять жеских правил. Правда для реализации этой идеи помимо фаервола на границе (при том в каждом офисе) нужно будет еще умное железо, которое может во вланы и хотя бы статическую маршрутизацию.

>беспалевно смотреть, что происходит на экране
Еще раз - это можно сделать встроенными средствами виндовс, может, если мне будет не лень, завтра на работе тебе запилю видео того, как оно реализовано у меня. Алсо можешь смайлики не ставить - ничего интересного в подсматривании за пользователями нет, по крайней мере я для себя ничего в этом не нашел - использую только, чтобы не бегать по этажам из-за всякой ерунды.

>звонят, и говорят что НИЧЕГО НЕ РАБОТАЕТ
Когда я был юн и зелен, тоже бросался сразу разбираться, что же случилось. Потом с опытом понял, что в 50% случаев НИЧЕГО не случилось. Еще в 40% случаев достаточно спокойно расспросить пользователя о том, что именно произошло, чтобы он сам решил проблему с моей подсказкой. Еще в 9% случаев проблема решается сама собой, если ничего не предпринимать (это когда пользователь объяснить что случилось не способен, но на самом деле ничего не случилось). И лишь в 1% случаев требуется оперативное вмешательство, т.к. действительно произошло что-то непредвиденное и может быть даже страшное.

>система мониторинга скажет
Правда в том, что она скажет, если только сеть работает. Если же сеть легла где-то, то только об этом ты и узнаешь, но никак не о причинах, хуже того, если нет сети - удаленно проблему уже не решить. Так что мониторинг множества мелких удаленных офисов интересная задача и весьма сложная в решении.

>Url же тоже зашифрованы
Внутри ssl? Не знал, если честно (а можно пруф, кстати?). Но на самом деле это всё равно бесполезно, ведь ты всё равно через DNS прогоняешь каждый урл перед тем как на него зайти. Даже если у тебя сторонний резольвер (типа 8.8.8.8) провайдеру не составит никакого труда перехватить твой трафик к нему и подменить ответ. Думаю, именно так они и делают.

>>1331518
>ЦИСКО
Вот тебе пример из жизни - у нас HP коммутаторы во всем здании (достались нам вместе со зданием). Сервер был в дефолтном влане, а клиенты в разных других. Всё работало замечательно, кроме одной программы - с ней tcp соединение у клиентов неожиданно разрывалось. Три недели мы меняли прошивки, железки, переставляли серверную часть на другое железо, сидели с вайршарком изучали каждый пакет, пригласили разработчиков ПО к себе - ничто не помогало! В итоге кто-то случайно поставил серверную часть на своей машине, которая была не в дефолтном влане - проблема ушла. Так как весь пул серверов мы тогда еще не были готовы перевести в свой отдельный влан, то перевели только один, тот, который в дефолтном не работал. Что это за хуйня была до сих пор никто не знает... Нужны тебе эти мистические проблемы? Используй железки от рандомных вендоров - рано или поздно наткнешься.

>у свитча есть свой ай-пи адресс
У свитча нету адреса. У коммутатора - есть. Свитч - глупая железка, которая просто повторяет пакеты во все порты. Коммутатор смотрит от кого и кому пакет, знает кто на каком порту и шлет пакет только в нужный порт. Коммутатором можно управлять и для этого у него есть админка (web, tlenet, ssh) доступ к которой ты получаешь по ип адресу (можно и по com порту, конечно, тогда не нужен IP, лол). А еще есть маршрутизаторы - устройства третьего уровня (гугли модель ISO/OSI), они реализуют уже очень сложные алгоритмы и протоколы, в частности маршрутизируют трафик между себе подобными узлами в соответствии с метриками и правилами настроенными администраторами. В самом сложном случае есть шасси - это такая коробка, в которую можно втыкать самые разные железки: коммутаторы, маршрутизаторы, аппаратные фаерволы - это позволять динамически маштабировать мощность системы: наращивать или адаптировать к изменяющимся требованиям инфраструктуры (например, заменить оптику на медь и т.п.). Но при этом шасси имеет централизованное управление и нет нужды настраивать каждую железку по отдельности. Подобные штуки стоят десятки миллионов рублей и требуют специально обученных людей для настройки.

>прокси и нахуй он нужен в офисе?
Прокси пропускает весь твой трафик через себя. Нужен, например, чтобы подменять трафик и не пускать тебя на запрещенные админом страницы. Ну или для того, чтобы отдавать из кеша страницы к которым часто обращаются пользователи и снижать нагрузку на внешний канал связи. Сейчас прокси в офисах уже особо не используются.

>без графического окружение (только консоль)
На linux без графического окружения можно сделать что угодно. Более того, большая часть веб-серверов (тех самых, которые отдают веб страницы тебе в броузер) и почтовых серверов крутится именно на unix-серверах без всякого графического интерфейса. Настраиваются они только через консольные команды и конфигурационные файлы.
Аноним 04/08/15 Втр 01:06:52 #30 №1332503 
14386396123490.jpg
>>1332415
>Внутри ssl? Не знал, если честно (а можно пруф, кстати?)
http://stackoverflow.com/questions/499591/are-https-urls-encrypted

Получается незашифрован только DNS запрос из которого можно вычленить только домен, а не сам url.
Потом устанавливается ssl соединение с сервером, который пришел в DNS ответе, и всё последующее общение идёт внутри ssl.

>Думаю, именно так они и делают.
Но они как-то блокируют https по url, а не по домену.
(Хотя в этом не уверен, может они и не могут по полному url блокировать.
Аноним 04/08/15 Втр 01:43:42 #31 №1332546 
>>1330872 (OP)
Если фирма постоянно растет и развивается то могу посоветовать только пересадить всех на толстые клиенты, и закупить нормальных серверов. Сервера обойдутся дорого, но это того стоит. Зато потом для админа полная халява, такую систему очень легко наращивать и администрировать но на серверах экономить нельзя. Если сервер наебнется то наебывается работа всей компании. Лол. Мне для того чтоб открыть новый офис с 20 рабочими станциями нужно всего 3 часа времени на создание новых учеток и установку оборудования, сейчас я один справляюсь с 400+ рабочими станциями и 6 вспомогательными серверами. До меня эту работу выполняли 6 админов и еще в каждом офисе сидел аникейщик. Экономия на персонале колоссальная, за счет больших вливаний в инфраструктуру.
Аноним 04/08/15 Втр 01:54:09 #32 №1332565 
>>1332546
Тьфу ты блжадь. Думаю о тонких пишу о толстых. Тонкие клиенты конечно же.
Аноним 04/08/15 Втр 04:14:57 #33 №1332646 
>>1332565
По терминалу цепляются к серверу?
Аноним 04/08/15 Втр 05:04:45 #34 №1332649 
>>1330909
Я объединяю офисы опенвпном. Похуй что не нативно, зато позволяет реализовывать самые извращенные фантазии. К тому же, так как протокол реализован на прикландом уровне, то работает везде (с l2tp/ipsec и pptp были проблемы из-за провайдера, который жопил организациям выдавать белые ip и просто всех натил и это при конских тарифах для юриков). Еще одна плюшка опенвпна - автоматическое переподключение при обрыве. В спермореализации л2тп с этом тоже были проблемы, правда не частые.
Аноним 04/08/15 Втр 05:09:31 #35 №1332652 
>>1330962
VNC ссань полная, практически независимо от реализации, оно умудряется тормозить даже на гигабитной локалке. Про доступ через инет это вообще... ну ты понял
Аноним 04/08/15 Втр 09:25:40 #36 №1332749 
>привести всё в нормальное состояние
Шиндовс ставь, АД с забором админки - по усмотрению.

>Сделать возможным обслуживание офисов полностью удалённо
Едва ли возможно при таком количестве машин. Ну откроешь rdp.

>Закрыть доступ к вконтактам и прочим одноклассникам
Касперский решает эту задачу, forefront tmg (или что там вместо него сейчас), либо белый список адресов на нате. Иначе анонимайзеры не прибить.

>наставив анальных зондов, по указанию гендира
тут проблем не вижу
Аноним 04/08/15 Втр 09:52:40 #37 №1332772 
14386711607680.png
>>1331515
Никак не обходят. Но в конторе, где все компы под контролем, можно заюзать squid с плюшкой ssl-bump, предварительно раскидав свои сертификаты по рабочим станциям.
Пикрелейтед лог сквида с трафиком https и http
Аноним 04/08/15 Втр 10:03:48 #38 №1332790 
>>1330962
Знаю ее
Аноним 04/08/15 Втр 10:15:06 #39 №1332809 
>>1332415
>У свитча нету адреса. У коммутатора - есть. Свитч - глупая железка, которая просто повторяет пакеты во все порты.
Ты по-моему путаешь хаб с управляемым/неуправляемым l2-свитчом/коммутатором. Хабов уже и нет почти нигде.
Аноним 04/08/15 Втр 10:26:00 #40 №1332827 
>>1331454
> лучше на шлюзы купить таки циски
Эй, микротикодебил, при чем тут циски? Тебя спрашивают - нахуя нужен микротик, когда есть божественный опенврт?
Аноним 04/08/15 Втр 11:15:42 #41 №1332864 
14386761426881.png
>>1332827
>божественный опенврт
Ты, наверно, из той когорты, что вланами не пользуется, а дхцп раздает клиентам с единственного контроллера домена, а шлюз на тазике с опенврт держит. Так вот, любое софтверное решение того для чего есть специальная железка - говно по определению.

>>1332809
Насколько знаю, неуправляемый коммутатор шлет таки во все порты разом. Его я и называю свтичом. Хабы же - это совсем древние железки, тупо пассивные коробки, коммутирующие провода. Впрочем, это вопрос номенклатуры и истории - неуправляемых коммутаторов в природе, считай, уже нет.

>>1330962
Как и обещал вебм и политика для настройки компов. Всё только штатными средствами винды - никаких сторонних клиентов на компах пользователей. Тут два недостатка: оснастка "Диспетчер служб удаленных рабочих столов" есть только в 2008/R2 винде, из 2012й ее убрали почему-то. Второй недостаток - пользователь должен быть залогинен и активен, чтобы подсоединиться к его сессии - если он залочит экран, подключиться уже не удастся (впрочем, в таком случае уже гораздо удобнее рдп).
Аноним 04/08/15 Втр 14:40:33 #42 №1333208 
>>1332864
>Насколько знаю, неуправляемый коммутатор шлет таки во все порты разом.
Идиот сраный. Нашелся эксперт бля уровня Б.

>шлет во все порты разом
Хаб.
Их только в музее можно найти.

Свитч же посылает пакеты только тому, кому нужно.
Бегом читать компьютерные сети.

Управляемый свитч - продвинутая железка с функциями управления потоком данных и мониторинга.
Аноним 04/08/15 Втр 15:02:39 #43 №1333234 
>>1333208
>Бегом читать компьютерные сети.
А конкретно про про ARP?
Аноним 04/08/15 Втр 15:04:23 #44 №1333237 
>>1333208
>Бегом читать компьютерные сети.
Да ты прав, спросил местного гуру - он мне разъяснил. Вообще сети не моя специализация, так что извиняй.
Аноним 04/08/15 Втр 17:31:06 #45 №1333533 
14386986668250.png
>>1332864
>14386761426340.webm
>2015 год
>дергать мышкой по сети под носом у пользователя
Неужели вам так и не завезли мини терминальный сервер, чтобы администрировать все через гуй прозрачно для пользователя или хотя бы curtain, чтоб заблокировать ему экран?
Аноним 04/08/15 Втр 18:03:41 #46 №1333611 
>>1331492
Берешь книжку https://play.google.com/store/books/details?id=HjRIsBjFUtkC
Вдумчиво читаешь
Профит
Аноним 04/08/15 Втр 18:51:02 #47 №1333718 
>>1333533
Не понимаю как и чем тебе поможет терминальный сервер. Но даже если и поможет, во многих фирмах уже есть сотни толстых клиентов и на тонкие никто переходить не собирается (и вообще если кто думает, что это дешевле, то он сильно ошибается - за удоства надо платить!), а поддерживать пользователей бывает нужно вот прямо сейчас.

Раньше у меня был эникей с телефоном и компом. Звонил юзер, эникей брал трубку, просил назвать имя компа (bginfo + GPO), подключался, смотрел и помогал решить проблему. Сейчас пользователей не так много, поэтому эникея мне не дают, так что иногда приходится и самому смотреть.
Аноним 04/08/15 Втр 19:53:32 #48 №1333834 
14387072129910.jpg
По поводу свитчей, хабов и хуябов.
Хабы не умеют в нихуя, они принимают отовсюду и раздают везде. Сейчас уже нахуй никому не нужны.

Обычные свитчи (или коммутаторы, это одно и то же), или глупые свитчи, или свитчи 2-го уровня (по OSI), они умеют в адресацию, но не по IP, а по MAC-адресам. Это уже получше.

Умные же свитчи, или свитчи 3-го уровня по OSI, умеют в дохуя всего, и в маки, и в айпи, и вланы, хуяны, даже небо, даже Аллаха. На самом деле, охуенная штука.

мимопроходимец
Аноним 04/08/15 Втр 20:14:59 #49 №1333882 
>>1333834
Давайте посмотрим, сколько здесь спецов.
Есть небольшой офис, комната, 5 на 4 метра, 8 компов, у каждого по одной сетевой карте. Из стены торчит кусок витухи с локалочкой.
У вас есть только нож, и кусок витой пары, метров на 50. Коннекторов - полный карман.
Задача: за час подключить 8 компов к торчащей локалочке, используя только нож и кусок витухи. Справитесь?
Аноним 04/08/15 Втр 20:41:02 #50 №1333927 
>>1333882
>Спец без оборудования.
Подключу 1 комп управлявшего офисом и поеду за оборудованием.
Нахуй мне ножом обжимать? Так и порезаться можно.
Времянки не нужны - их заебешься потом обслуживать.
На прошлой неделе 2 часа потратил бегая из подвала на 2 второй этаж из-за того, что какой-то мудак пустил по 1 кабелю 2 сети, а по второму такому же 4 телефона.
Аноним 04/08/15 Втр 20:49:29 #51 №1333954 
>>1333927
Умный, но дурак. Следующий?
Аноним 04/08/15 Втр 20:54:57 #52 №1333963 
>>1333882
Правильный ответ: спецы не работают в быдлоконторах, где нет денег на оборудование, и нужно лепить костыли из говна и палок.
Аноним 04/08/15 Втр 20:55:05 #53 №1333964 
>>1333718 Речь как раз об администрировании толстых клиентов и о том что делать это следует через отдельную учетную запись, не отвлекая пользователя от работы. И если хочется это делать через гуй, то сам толстый клиент должен иметь функционал терм. сервера.
>>1333882 Отрезаем 8 хвостов и скручиваем все проводники одного цвета зеленой и оранжевой пар. На расстоянии пары метров может быть и заработает. На одной из машин поднять dhcp или прописать ip вручную. Вот только все равно потребуется хоть одна дополнительная сетевушка - провайдеры редко позволяют использовать хабы, да и длина кабеля опять же.
Аноним 04/08/15 Втр 20:58:15 #54 №1333979 
>>1333963
>"спецы" недостаточно компетентны для такой низкоуровневой задачи, "спецы" не понимают как работает их оборудование
Ясно-понятно.
Аноним 04/08/15 Втр 21:01:32 #55 №1333987 
>>1333964
>Отрезаем 8 хвостов и скручиваем все проводники одного цвета зеленой и оранжевой пар. На расстоянии пары метров может быть и заработает
Верно, но неэффективно. Есть способ увеличить расстояние на порядок.
>На одной из машин поднять dhcp или прописать ip вручную
Не обязательно - раз есть локалка, где-то там есть и dhcp
>Вот только все равно потребуется хоть одна дополнительная сетевушка - провайдеры редко позволяют использовать хабы, да и длина кабеля опять же.
В локалке не обязательно.
Аноним 04/08/15 Втр 21:05:06 #56 №1333999 
>>1333979
Задача уровня /b/.
Аноним 04/08/15 Втр 21:09:05 #57 №1334012 
>>1333987
>Верно, но неэффективно. Есть способ увеличить расстояние на порядок.
Разве что постараться соединять их гирляндой, а не звездой.
Аноним 04/08/15 Втр 21:10:04 #58 №1334016 
>>1333987
>Верно, но неэффективно. Есть способ увеличить расстояние на порядок.
А потом через неделю тебе звонят и говорят "ой что-то наш %printer_name% не печатает иногда".
И ты в первую очередь переделываешь всё согласно стандартам,
А если пошлёшь кого нибудь другого, то он еще и охуеет от твоей вермишели, прежде чем начнет переделывать всё с нуля.
Аноним 04/08/15 Втр 21:10:50 #59 №1334023 
Блять, тут постоянно трутся какие то мутные "спецы" из днищезажопинска с опенврт, хабами, 97 офисом и ножом вместо обжимки.
Гоните их, насмехайтесь над ними.
Аноним 04/08/15 Втр 21:25:42 #60 №1334077 
>>1333999
С которой, тем не менее, справляются не все, хотя это основы.
>>1334012
Кольцом, да.
Будет ли оно работать, если хотя бы один компьютер окажется выключен?
>>1334016
А это в задачу не входит. Главное чтоб через час все работало, и кроме ножа и проводов тебе ничего не дадут. Представь, что ты в армии, лол, теперь ты в армии.
Аноним 04/08/15 Втр 21:33:35 #61 №1334105 
>>1334077
>Кольцом, да.
Такое кольцо без гальваноразвязки и фильтров будет охуительной антенной. Как бы хуже не стало.
>Будет ли оно работать, если хотя бы один компьютер окажется выключен?
Почему нет?
Аноним 04/08/15 Втр 21:50:31 #62 №1334168 
>>1334077
>Главное чтоб через час все работало, и кроме ножа и проводов тебе ничего не дадут.
Предложи им возвести 20и этажку за неделю имея в распоряжении лишь газельку.
Выйти провести IPO для компании с уставным капиталом 10000 рублей.
Или там обслужить клиента в ресторане, когда из посуды одни чайные ложки.

>А это в задачу не входит.
Нахуя только нужна такая инфраструктура?
Съездить за хабом и кримпером - дело двух часов.
Тем более задача ебанутая - если в офисе нету протянутой сети, значит это новый офис?
А хули компы с мебелью привезли, а сетевое оборудование позабыли?
А хули тогда ты его заказать забыл?
А хули людей на работу выпускают в неподготовленное помещение?
Аноним 04/08/15 Втр 22:00:51 #63 №1334192 
>>1334168
Чего нос воротишь? Ты исполнитель: скажут копать - копаешь, скажут не копать - не копаешь.
Аноним 04/08/15 Втр 22:25:51 #64 №1334253 
>>1334192
>Ты исполнитель
Ты ж выше говорил, что ты спец. Ты озабочен тем, чтобы обеспечить надежную инфраструктуру.
Например избежав простоя этого вновьоткрывшегося и оттого незагруженного офиса в течении пары часов сегодня, ты можешь попасть на простой в самый разгар работы в будущем.
Даже в моей обоссаной конторе 1 продажа приносит больше прибыли, чем стоит кримпер и говносвич в ближайшем магазине.
>скажут копать - копаешь, скажут не копать - не копаешь.
Скажу, что нужно оборудование. Даже, если есть существует возможность нахуевертить скруток или еще какой хуйни.
Так-то вероятно есть теоретическая возможность подавать воду в квартиры через канализационные трубы, за счет разности в плотности.
Аноним 05/08/15 Срд 00:59:41 #65 №1334584 
Заебись топик, поясните за свичи и vlan'ы.
На каком уровне работают vlan?
Если есть самый простой свич за 3 копейки, он же будет пропускать всё и везде независимо от vlan'ов?

И вот еще - в свич воткнуты 2 девайса, между которыми нужно запретить возможность связи. Я так понимаю это как раз задача для vlan'ов?и
Нужны свичи с поддержкой vlan'ов? Или они все их поддерживают?

Ну и еще: если в свич воткнуты клиенты, с разными IP адресами, из например 3 подсетей. Без всяких vlan. Всё будет работать?
Аноним 05/08/15 Срд 09:24:44 #66 №1334749 
>>1333964
>и скручиваем все проводники одного цвета зеленой и оранжевой пар.
Посоны, подкиньте где можно матчасть почитать на эту тему? Я сейчас понял, что если бы мне на собеседовании задали этот вопрос, то я вероятнее всего обосрался бы.
Аноним 05/08/15 Срд 10:43:40 #67 №1334806 
>>1334749
Если бы мне на полном серьезе задали этот вопрос на собеседовании я бы съебал бы в ужасе из такой конторы.
Это значит что у них почти вся инфраструктура из говна и палок, и за все косяки,включая косяки мудаков с ножами(твоих предшественников) будут ебать тебя лично.
>>1334168>>1334253 всё правильно написал.
Аноним 05/08/15 Срд 11:30:46 #68 №1334861 
>>1334806
> съебал бы в ужасе из такой конторы.
А по-моему очевидно, что никто никого не будет заставлять обжимать витуху ножом и скручивать гирлянду на 8 компов из-за отсутствия свитча за 500 рублей. Тут сам вопрос про другое.

Алсо
>>1334105
Гальваноразвязка на современных сетевухах есть по идее.
Аноним 05/08/15 Срд 11:44:03 #69 №1334879 
>>1334584
>На каком уровне работают vlan?
На L2, лол. Не проще гуглить такие вещи? Про то как ethernet-фреймы тегируются для определения к какому влану они принадлежат сходу мало кто из присутствующих расскажет.

>Если есть самый простой свич за 3 копейки, он же будет пропускать всё и везде независимо от vlan'ов?
Да. Можно и в управляемом свитче сделать один влан, тогда он будет работать как "простой за 3 копейки".

>И вот еще - в свич воткнуты 2 девайса, между которыми нужно запретить возможность связи. Я так понимаю это как раз задача для vlan'ов?
В принципе да.

>Нужны свичи с поддержкой vlan'ов? Или они все их поддерживают?
Честно говоря, я не видел управляемых свитчей, которые не умели бы влан, лол

>Ну и еще: если в свич воткнуты клиенты, с разными IP адресами, из например 3 подсетей. Без всяких vlan. Всё будет работать?
Пакеты будут ходить между клиентами одной подсети. Если настроена маршрутизация на шлюзах, то и между подсетями.

Поправьте, если я где-то ступил.
Аноним 05/08/15 Срд 11:44:22 #70 №1334881 
>>1334584
Вланы - это логическое сегментирование сети. Например, широковещательные пакеты не могут выйти за предел влана. Соответственно у каждого влана своя адресация, а между вланами существует какая-то маршрутизация. Проще говоря, если раньше у тебя были адреса 192.168.1.-192.168.5. с маской 255.255.0.0 и шлюзом 192.168.0.1, то теперь у тебя будут те же адреса но с маской 255.255.255.0 и шлюзом в каждой подсети вида 192.168.*.1 Очевидно, что внутри каждого влана придется делать и свой дхцп сервер (железки могущие во вланы, могут и в дхцп, конечно).

>свич за 3 копейки
Если он не может во вланы, то максимум куда ты его можешь поставить - это в комнату, где надостаточно точек, чтобы подключить больше компов. Т.е. в рамках одного из уже сущеуствующих вланов.

>в свич воткнуты 2 девайса, между которыми нужно запретить возможность связи
Да, это можно сделать вланами. Так поступают, например, для управляющего влана из которого доступны админки сетевого оборудования, всякие ipmi модули, внутренние служебные сервера и т.п. - доступ к этому влану кроме оборудования имеют компьютеры админов, а все остальные пользователи нет, т.е. они просто не могут даже попробовать подключиться к коммутатору или модулю ipmp сервера.

>в свич воткнуты клиенты, с разными IP адресами, из например 3 подсетей. Без всяких vlan. Всё будет работать?
Будет. Но в случае с вланами клиент не может сменой у себя адреса получить доступ к другим вланам, а в твоем случае - сможет. Кроме того, как у тебя будет работать тот же дхцп при такой схеме? Никак. Будешь ручками всем клиентам разные адреса ходить прописывать?

Аноним 05/08/15 Срд 11:44:51 #71 №1334883 
>>1334879
>маршрутизация на шлюзах
или на самом свитче
Аноним 05/08/15 Срд 11:49:21 #72 №1334891 
>>1334881
>Кроме того, как у тебя будет работать тот же дхцп при такой схеме? Никак.
Можно при желании держать базу маков или использовать опцию 82.

мимокрок
Аноним 05/08/15 Срд 11:58:02 #73 №1334894 
>>1333964
>Речь как раз об администрировании толстых клиентов и о том что делать это следует через отдельную учетную запись, не отвлекая пользователя от работы. И если хочется это делать через гуй, то сам толстый клиент должен иметь функционал терм. сервера.

Что за хуйню ты несешь? У клиента не важно тонкого или толстого по определению нет никакого серверного функционала и уж тем более нет "терминального сервера" - загугли значение, чтобы больше так не позориться.

Алсо задача именно в том, чтобы посмотреть на проблему пользователя и показать ему как она решается в интерактивном режиме. Если же нужно сделать что-то не мешая пользователю, то есть масса способов: групповые политики, удаленная консоль (psexec \\192.168.2.22 cmd), различные оснастки, которые могут подключаться к удаленным компам и управлять почти чем угодно, средства централизованного развертывания софта на клиентах и т.д.
Аноним 05/08/15 Срд 11:59:53 #74 №1334897 
>>1334891
А какая разница ходить на клиентах прописывать IP или ходить на дхцп сервер прописывать маки, которые ты всё равно предварительно посмотрел на самих компах?
Аноним 05/08/15 Срд 12:05:44 #75 №1334903 
>>1334897
Ты написал что дхцп работать не будет, я предложил тебе два варианта при которых он будет работать.
Не пиши хуйни, не придётся оправдываться.
Аноним 05/08/15 Срд 12:09:11 #76 №1334907 
>>1334903
Без древних костылей - не будет.
Аноним 05/08/15 Срд 12:20:41 #77 №1334928 
>>1334907
Прекрати, ты дважды обосрался.
Аноним 05/08/15 Срд 12:21:44 #78 №1334932 
>>1334897
> предварительно посмотрел на самих компах
Открой для себя арп-пинг и таблицу маков управляемого свича по портам. Более того, иди скажи провайдерам, что их сети говно оказывается и им надо к каждому клиенту домой приходить, чтоб авторизовать его потом на своём биллинге.
> какая разница ходить на клиентах прописывать IP или ходить на дхцп
Разница в удобстве. Понадобилось тебе шлюз сменить дефолтный ты что будешь ногами потом бегать и всем менять? А ДНС?
Аноним 05/08/15 Срд 12:31:15 #79 №1334953 
14387670751850.gif
>>1334928
Анон накатал большой пост, описал несколько best practice, не углубляясь в тонкости технологий, как тут же мимокроки указали на тонкости, использование которых выпадает из best practice. Пиздец.

>>1334932
>арп-пинг
Ты всю ветку обсуждений в треде прочитал? Вопрос видел? Задача была на одном коммутаторе сделать разную адресацию без использования вланов. Чем тебе тут арпинг поможет, когда у компов еще нет никаких адресов и с дхцп они их получать нормально не могут, т.к. разным макам надо разные адреса отдать? Или ты по одному маку сразу способен определить в какую "подсеть" нужно забросить комп?

>Разница в удобстве
Это правда. Как правда и то, что лучше сразу делать на коммутаторе вланы с нормальными дхцп в каждом из них.
Аноним 05/08/15 Срд 12:52:01 #80 №1335000 
>>1334749
Ну хуй знает, я бы не стал такого кузьмича на работу брать. Если ему норм с такой сеточкой, значит он это просто не в курсе какой пиздец там будет происходить при минимальной нагрузке, шлюз пинганулся и похуй.
Аноним 05/08/15 Срд 14:00:39 #81 №1335112 
>>1335000 >>1334861
Аноним 05/08/15 Срд 17:48:46 #82 №1335658 
>>1330909
плюсую openvpn. особенно если по udp
Аноним 05/08/15 Срд 17:49:48 #83 №1335661 
>>1330921
сделай ad через samba 4.2.X. В офисах подними дочерние контроллеры домена и наладь репликацию.
Аноним 05/08/15 Срд 17:51:58 #84 №1335671 
>>1330980
сейчас сдаю сложный проект по технологическому видеонаблюдению. виндовая часть построена на ad, причем в свободной реализации на базе samba. сами сервера домена запущены в контейнерах lxc. работает норм, хоть и поебаться на этапе разработки пришлось по неопытности.
Аноним 05/08/15 Срд 20:18:53 #85 №1336051 
>>1330872 (OP)
Начальник ИТ отдела из 2,5 долбоёбов включая себя ИТТ.
Сколько готовы потратить на лицензии? Исповедуете ли правовой нигилизм?
Могу пояснить как сделать отказоустойчивую систему, в которой юзверь даже ВИРОС толком словить не может.
Аноним 05/08/15 Срд 21:07:45 #86 №1336156 
>>1336051
Есть три сервера 2012 и на всех компах закуплены вин7 про.
Тратиться собирались лишь на маршрутизаторы.
Аноним 05/08/15 Срд 21:17:16 #87 №1336183 
>>1330962
Удалённое управление можно реализовать через winrm.
Аноним 05/08/15 Срд 22:22:03 #88 №1336381 
14388025231760.jpg

Вы пиздаболы, сидитиде на шее у мамки.Вы никому нинужны.
Вон иди грибы собирай, больше пользы будет.
Аноним 05/08/15 Срд 22:49:29 #89 №1336484 
>>1336156
Я бы на вашем месте потратился на VDI. Суть в полной изоляции юзеропараш и возможности откатиться на начало рабочего дня даже если юзверь словил криптотроян. Понадобятся лицензии, возможно еще парочка серверов и SAN. Зато юзверские компы в ближайшие 5 лет можно не апгрейдить даже если они уже старые.
В качестве банилки втентаклика можно использовать виртуальный роутер на линуксах, решение спорное с точки зрения архитектуры, но мощное и почти бесплатное (стоит половинку ядра, 512 мозгов и 10Гб стораджа). Ну или ставь микротик и постигай его дзен.
Если VDI не получится, осиливай групповые спермополитики и насилуй ими юзверей. Про АД, домен и прочее сам догадаешься, надеюсь.
Аноним 06/08/15 Чтв 07:57:48 #90 №1336966 
>>1334953
> Или ты по одному маку сразу способен определить в какую "подсеть" нужно забросить комп
Если делить по вендорам - то вполне. Яблоки к пораше, десктопы - мужики и стремящиеся, вёдра - черти, чуханы и козлы.
> Задача была на одном коммутаторе сделать разную адресацию без использования вланов
> Вопрос видел?
Я-то видел. Открою тебе старшный секрет - маки светятятся даже без присваивания валидных (с точки зрения твоей сети) адресов. Технически, на портах коммутаторов, будут арп-таблицы с приватными адресами. Дальше больше, арп запросы/ответы массово рассылаются по всему широковещательному домену. Достаточно анализировать это на интерфейсе дхцп сервера и составлять таблицы шкрептом на коленке за пять минут по ойпимаку. Ну и последнее, ты проигнорировал, что можно просто зайти в морду управляемого свича и посмотреть его текущую таблицу кто, с каким маком, к какому порту подрубился.
Удобно это? Нет. Придётся пердолиться? Ещё как! Но это возможно - иметь разную адресацию без использования вланов и без необходимости хождения по пользователям с целью переписывания их маков.
Аноним 06/08/15 Чтв 08:29:46 #91 №1336987 
>>1336966
>Придётся пердолиться? Ещё как!
Рассказываю, как это будет на самом деле, а не в твоих фантазиях. Приходишь ты и видишь 50+ рандомных компов с разными версиями винды, использующиеся неизвестно кем и неизвестно для чего. Твоя задача - обойти их все и понять какой комп в какую подсеть заводить. Чуть более оптимистичный сценарий, ты приходишь и видишь 100+ совершенно новых и абсолютно одинаковых компов от одного производителя. Известно как и между кем они будут распределены - твоя задача в случае отсутствия нормального дхцп и вланов та же самая - ручками узнать мак какждого компа и записать какой мак где будет стоять.

В случае с нормальными вланами и дхцп - ты просто кидаешь каждый этаж/кабинет/подразделение в свой влан, раздаешь во всех вланах адреса и не имеешь никаких проблем с сегментированием сети. Винду разворачиваешь по сети с автоматическим заведением в домен (если компы старые и не в домене, тогда по-любому ходить заводить в домен и переносить профили пользователей, но для этого уже эникей есть).

>>1336484
У ОПа же 20+ офисов по 3 компа, представь себе насколько хуево всё будет работать при медленном интернете (грузить профили по сети - это пипец долго же) или проблемах с инетом (люди вообще не смогут работать). Алсо стоимость VDI решения достаточно высока, одна только дисковая полка и фабрика будут стоит миллионы рублей. А еще ведь нужны физические достаточно мощные по памяти и процам сервера, ПО для виртуализации и ПО для VDI. Старые компы в качестве тонких клиентов также никто не использует, т.к. поддерживать подобный зоопарк нереально при большом числе клиентов. Выгода от такого решения бывает только если тонких клиентов реально много ну хотя бы от 1000 штук и при этом они все в одной достаточно быстрой сети. И выгода от внедрения не в том, что это дешевле, а в том, что позволяет сократить армию эникеев до 2-3 человек. В случае проблем на стороне клиенты, ему просто приходят и меняют коробочку на новую. Запорол винду - накатывают новый образ, а документы всё равно в переносимом пользовательском профиле. Проебал документ - есть бекап профиля за прошлые дни. Абсолютно всё, кроме замены тонкого клиента можно сделать не вылезая из-за своего компа.

>>1336156
Физические характеристики серверов то у тебя какие? Надеюсь, не на тазиках всё крутится? Бекапиться как и куда собираешься?
Аноним 06/08/15 Чтв 11:41:21 #92 №1337148 
>>1333611
Старое издание -- новое http://www.ozon.ru/context/detail/id/31336455/

>>1331518
>равда ли, что у свитча есть свой ай-пи адресс и он имеет такой-же веб-настройщик
Если он управляемый и ему назначить ип.

>Подскажите фриварный "СИМУЛЯТОР СЕТЕЙ", чтобы "пораз
cisco packet tracer, gns3

>>1332415
Пока не прочитал это все было нормально
>Свитч - глупая железка
Свич=коммутатор, лол, а то, что ты написал это хаб и хабов счас не продают.


Аноним 06/08/15 Чтв 12:19:20 #93 №1337184 
>>1332565
Что ты вкладываешь в понятие "тонкий" и "толстый". Грубо говоря разница в наличии жесткого диска (который может быть впаян в мать) с образом системы.
Аноним 06/08/15 Чтв 13:38:44 #94 №1337263 
>>1337184
В том, что толстый клиент предполагает выполнение программ на нём. Ну там офис, аутлук и всё это запущено локально на компьютере.

На тонком же клиенте запускается лишь клиент удалённого доступа, и пользователь дальше работает в удалённом доступе, его сессия с программами крутится на сервере.
Аноним 06/08/15 Чтв 21:05:30 #95 №1337988 
>>1337263
>толстый клиент предполагает выполнение программ на нём.
Это ПЭКа уже? "Толстый клиент" это, как правило, как я уже написал миникоробка в формате "тонкого", но с диском для запуска образа системы.
Аноним 06/08/15 Чтв 23:00:20 #96 №1338212 
>>1337988
Образ можно по сети подтягивать
Аноним 07/08/15 Птн 03:20:35 #97 №1338485 
Посоны, а где микрософт выкладывает образы своих операционок?
Есть ли возможность накатывать win7 максимально актуальную на сегодняшний день, чтобы новый пользователь потом не ебался трое суток с обновлениями?
Мне же только ключ и наклейка нужны.
Аноним 07/08/15 Птн 04:33:30 #98 №1338522 
>>1338485
Если ключ есть, то можешь качнуть
http://www.microsoft.com/en-us/software-recovery
Аноним 07/08/15 Птн 07:39:47 #99 №1338554 
>>1338212
В таком случае необходимость встроенного жд отпадает, это и будет "тонкий клиент".
>>1338485
>Посоны, а где микрософт выкладывает образы своих операционок?
https://msdn.microsoft.com
>чтобы новый пользователь потом не ебался трое суток с обновлениями?
Образов таких нет, раньше были апдейт-паки, чтобы не качать все время по-новой, но сейчас интернет достаточно быстр, чтобы подтянуть 300-400 мб данных.
Аноним 07/08/15 Птн 08:27:13 #100 №1338565 
>>1337988
>"Толстый клиент" это, как правило, как я уже написал миникоробка в формате "тонкого", но с диском для запуска образа системы.
Что за хуйню ты несешь? Толстый клиент - это любой, который может хоть как-то работать без обслуживающего его сервера. Тонкий без сервера работать не может, например, профиль пользователя и специализированное ПО работает на сервере, а на тонком клиенте полноценная винда на жестком. Такой тонкий клиент без сервера бесполезен, т.к. можно только загрузиться и куковать.
Аноним 07/08/15 Птн 08:48:23 #101 №1338571 
>>1330909
За пределами openvpn - жизни нет.
L2TP это круто ибо L2, нативная поддержка и прочее. Но нахуй это кому-то нужно в 2015 openvpn на клиенте настраивается в два клика, даже самому тупому работнику опенвпн дома настроить будет проще. Сервер можно поднять на любой платформе, в общем это лучший вариант.
Аноним 07/08/15 Птн 08:49:21 #102 №1338572 
>>1335661
Удваиваю адеквата.
Аноним 07/08/15 Птн 09:02:20 #103 №1338578 
>>1335661
>>1338572
Вы ебанулись оба - 20 офисов по 3 компа и в каждом делать дочерний домен? ОП также сказал, что офисов будет становиться только больше, развертывать каждый раз дочерний домен ради нескольких новых человек - это абсолютно лишняя работа. Алсо как будет вести себя система в целом с таким огромным количеством дочерних доменов тоже хороший вопрос, прозреваю, постоянные поломки репликации или как минимум необходимость время от времени ее чинить...
Аноним 07/08/15 Птн 09:05:03 #104 №1338580 
>>1338578
>20 офисов по 3 компа
Это я неподумавши.
Аноним 07/08/15 Птн 09:06:45 #105 №1338581 
>>1338580
Но для 3-5 средних офисов идея была бы очень годная. А для крупных уже пришлось бы лес мутить нехилый - в одиночку не справиться.
Аноним 07/08/15 Птн 12:03:12 #106 №1338763 
>>1338565
Если без сервера он может загрузиться, то это уже не тонкий клиент. Иди нахуй, маня.
Аноним 07/08/15 Птн 12:05:36 #107 №1338767 
>>1338763
В чем проблема загрузиться то? Ось может по сети раздаваться с одного сервера (или стартовать локально с флеш-памяти), а данные и сервера приложений недоступны, т.к. они на других серверах.
Аноним 07/08/15 Птн 12:07:58 #108 №1338771 
>>1338767
Проблема в наименовании очевидных вещей. Вы путаете терминологию.
Идите почитайте матчасть.
Аноним 07/08/15 Птн 12:13:36 #109 №1338773 
>>1338771
Съеби на википеди, даун:

Толстый:
https://ru.wikipedia.org/wiki/%D0%A2%D0%BE%D0%BB%D1%81%D1%82%D1%8B%D0%B9_%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82

>в архитектуре клиент-сервер — это приложение, обеспечивающее (в противовес тонкому клиенту) расширенную функциональность независимо от центрального сервера. Часто сервер в этом случае является лишь хранилищем данных, а вся работа по обработке и представлению этих данных переносится на машину клиента.

Тонкий:
https://ru.wikipedia.org/wiki/%D0%A2%D0%BE%D0%BD%D0%BA%D0%B8%D0%B9_%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82

>компьютер или программа-клиент в сетях с клиент-серверной или терминальной архитектурой, который переносит все или большую часть задач по обработке информации на сервер.
Аноним 07/08/15 Птн 12:17:57 #110 №1338775 
>>1338773
Ты ебанутый? Я тебе написал, что все разница в наличии жд. Ты свою то ссылку сам читал?
>Тонкий клиент в большинстве случаев обладает минимальной аппаратной конфигурацией, вместо жёсткого диска для загрузки локальной специализированной ОС используется DOM (DiskOnModule) [модуль с разъёмом IDE, флэш-памятью и микросхемой, реализующей логику обычного жёсткого диска — в BIOS определяется как обычный жёсткий диск, только размер его обычно в 2-3 раза меньше]. В некоторых
Аноним 07/08/15 Птн 12:19:53 #111 №1338776 
>>1338775
Тебе уже сказали, что способ загрузки тонкого клиента абсолютно неважен. Можно образ по сети подтянуть, а можно с флешки, один хуй, если ты потом пошел на терминальный сервер работать - ты тонкий клиент, а если не пошел, а подгрузил данные к себе и начал их обрабатывать - толстый. Единственное что важно - где именно идет обработка данных.
Аноним 07/08/15 Птн 12:29:28 #112 №1338779 
>>1338776
Указал дауну в его же ссылке то, что он не дочитал. ]ВСЕ ВРЕТИ
Аноним 07/08/15 Птн 12:42:56 #113 №1338787 
>>1338581
с лесом тоже много трахаться приходиться.
проще в удалённые офисы RODC накидать. единственная проблема: данные реплицируются относительно долго. приходится минут по 10-20 ждать после созданию юзера в AD до заведения его же в Exchange.
хотя, если в каждом домене есть свой полноценный админ или, хотя бы, толковый эникейщик - то можно.
к слову, джва года ждал такой тред! а то одни спермо-прыще-срачи.
Аноним 07/08/15 Птн 12:44:51 #114 №1338790 
>>1338787
Я как-то создавал подобный тред, но не заехало
Аноним 07/08/15 Птн 18:45:48 #115 №1339228 
>>1338554
>Образов таких нет, раньше были апдейт-паки, чтобы не качать все время по-новой, но сейчас интернет достаточно быстр, чтобы подтянуть 300-400 мб данных.
Так сами апдейты ищутся и ставятся ёбаную вечность.
Сейчас готовлю новую рабочую станцию, установил win7 sp2 из msdn образа.
Раньше отдавал компьютеры без обновлений и не парился, а сейчас решил накатить все обновления.
Уже 8 часов прошло с момента, как я нажал на кнопку "поиск обновлений". Установлено 130 из 140 обновлений. И это еще при ребуте будет их "настройка" на пару часов.
Получается что целый рабочий день уходит только на установку обновлений на новом компьютере.
Аноним 07/08/15 Птн 18:46:17 #116 №1339230 
>>1339228
>win7 sp1
Быстрофикс.
Аноним 07/08/15 Птн 19:08:22 #117 №1339269 
>>1339228
Накатывай систему из мсдн, обновляйся, устанавливай софт, настраивай, снимай образ системы с отвязкой от железа.
PROFIT.
Аноним 07/08/15 Птн 19:13:43 #118 №1339279 
>>1339269
>снимай образ системы с отвязкой от железа
Поясни как.
Через sysprep, а потом снять образ диска каким нибудь арконисом?
Аноним 07/08/15 Птн 19:59:06 #119 №1339374 
>>1339279
Обычно галка есть (зависит от софта которым пользуешься), акронис по-моему делает это по-умолчанию (не спрашивая тебя).
Аноним 07/08/15 Птн 20:58:30 #120 №1339495 
Пагни, тут какие-то поехавшие предлагают делать леса доменов для каждого офиса на 10 человек не слушайте этих наркоманов. У нас в компании-лидере своей отрасли один домен на 30 тысяч юзеров и всё заебись пашет.
Опять же дали кошерный совет про VDI. В нашей конторе тыщи человек лезут на VDI, который физически может быть расположен за сотни километров. Естественно, никакого бреда вроде "VPN на DIR-300". Все компы сидят в сети 10.x.x.x, работающей на цисках.
В итоге местных админов разогнали, оставили только эникеев для задач уровня подключения клавиатуры и перезагрузки принтера.
мимо пердолю vdi-инфрастуктуру на несколько тыщ персон
Аноним 07/08/15 Птн 22:50:40 #121 №1339764 
>>1330946
>Можно было бы пустить всё через прокси, но нынче почти везде используется https. Его тоже нужно фильтровать. На ум приходит фильтрация адресов на уровне DNS.

Файрволл же на домене. В живую видел Comodo парашу с настроенными правилами.
Аноним 07/08/15 Птн 22:53:37 #122 №1339767 
>>1331435
>Не уверен, что ты правильно поступаешь. Cisco - стандарт де факто, циска предсказуема и гарантированно не подведет с микротиками ты точно здорово наебешься.
А вот и лояльная манька пожаловала. С дивана слазь давай.
Аноним 07/08/15 Птн 23:01:39 #123 №1339779 
>>1332864
>Насколько знаю, неуправляемый коммутатор шлет таки во все порты разом.
Хуёво знаешь. Неуправляемый коммутатор (свитч) шлёт пакеты в соответствии с автоматически составленной arp таблицей. Управляемый уже можно крутить и эту самую таблицу пердолить. А во все порты срёт хаб.
Аноним 07/08/15 Птн 23:05:58 #124 №1339787 
>>1339495
Поссал в литсо нюфане.
Леса и сайты запиливались для случаев когда необходимо было обьединить кучу офисов с хуевыми каналами связи.
Хотя откуда тебе знать, сыну шлюхи, про репликации по smtp. Ты же дитя 2010-х когда кудпокпок цыскахциска 10 гбит между офисами.
Обоссал нюфаню
Аноним 07/08/15 Птн 23:24:53 #125 №1339838 
>>1338787
В воркаче есть нормальный тред сисадминов, хотя там правда больше обсуждают зарплату и кто где работает, всё же тематика.

>>1338790
Тут же одни сперма-дети и прыще-подростки, чего ты хотел?

>>1339228
Очень странно. У меня 7-ка с сп1 все обновы накатывает где-то за час с парой перезагрузок. Но! Я ставлю через свой всус сервер только обновления безопасности и критические обновления. А также выборочные обновы, вроде часовых поясов. Кроме того, никогда не ставлю дотнет - его обновления реально занимают просто дохуя времени, а на медленных компах (1-2 Гб памяти) это может длиться больше суток при 100% загрузке памяти и проца. Вообще если есть домен и всус нормально настроен, то можно отдавать пользователям компы без обнов - они сами накатятся в течение пары дней в фоновом режиме. Разумеется, пользователь также должен получить под роспись инструкцию в которой объясняют, что нельзя выключать комп, выдергиванием вилки из розетки.

>>1339269
Это вредных советов тред? Образ делать даже с отвязкой от железа нельзя, т.к. некоторые внутренние виндозные идентификаторы генерятся только в момент установки и позднее уже не обновляются. В том числе идентификатор необходимый для работы со всус сервером. Итог - клонированные машины не видятся на всус сервере. Исправить это очень тяжело - нужно писать политику в которой обновлять внутренние идентификаторы - в свое время у меня ушла масса времени, чтобы нагуглить как же правильно это делать, но это было во времена XP, может в 8-10-ках получше с этим.

Единственно правильный вариант установки винды (помимо офицального образа записанного на DVD) - это создание образа установки через AIK и его распространение по сети через WDS (службы развертывания windows). Но в случае со старым парком, а точнее зоопарком, приходится помучаться с драйверами и всё равно рано или поздно выявляются/появляются компы драйевра для которых в образ не вошли, а пересобирать этот образ каждый раз тот еще геморрой.
Аноним 08/08/15 Суб 00:45:01 #126 №1339928 
Ставлю апдейты пакетами через сккм. Всус хуйня еще та.
Аноним 08/08/15 Суб 04:00:58 #127 №1340063 
>>1331435
Посоветуй что-нибудь почитать по тунелям, шифрованию, бэкапам, ну и всего, что тебе пригодилось в жизни.

Сам я работаю в организации где только тунельчики настроены, да и то там такой человек, что я не хочу с ним общаться, но хочется шарить в сетях.
Аноним 08/08/15 Суб 04:17:55 #128 №1340068 
>>1340063
В дополнении к своему вопросу прошу подсказать: есть инет в офисе с динамикой, дома настроил динднс, можно ли организовать тунель между компами и как? По сути нужен только ссх.

Сейчас идей никаких нет, коллега по работе посоветовал юзать ssh -R до компа с динднс, потом запилить скрипт на баше проверяющий наличие ссх в процессах (если что перезапускающий его) и запилить это все в cron.

Особо интересна безопасность тунеля.
И делиться своими NAS или ещё чем-нибудь в сторону офиса не хочется
Аноним 08/08/15 Суб 04:26:59 #129 №1340069 
>>1340068
>В дополнении к своему вопросу прошу подсказать: есть инет в офисе с динамикой, дома настроил динднс, можно ли организовать тунель между компами и как?

ОП итт
Хочешь из дома получить доступ в офисную сеть?
Настрой на шлюзе в офисе впн. Или openvpn или IPsec+L2TP.
На шлюзе же, настрой связь с dynDNS.

Схуяли ты дома это всё настраиваешь?
Аноним 08/08/15 Суб 04:31:33 #130 №1340070 
>>1340069
>Настрой на шлюзе в офисе впн. Или openvpn или IPsec+L2TP.
IPsec ту хард фор ми. Или ты предлагаешь настраивать его на роутере?
Опять же, если настраивать впн - оба компа должны иметь статику?

>На шлюзе же, настрой связь с dynDNS
РОУТЕР БИЛАЙН. Организация уровня /b. Наверно можно опять же пилить какой-нибудь скрипт в крон с машины за натом, которая каким-нибудь образом узнаёт свою внешку и связывает её с dyndns.

>Схуяли ты дома это всё настраиваешь?
Дома я делаю что хочу, а на работке нужно все это согласовывать и я не хочу общаться с начальником.

Аноним 08/08/15 Суб 04:40:19 #131 №1340071 
>>1340069
И да, раз уж я удалюсь спать скоро - расскажи пожалуйста разницу между pptp, l2tp, ipsec, ipip, gre. Просто я не вижу никакой, лол. Гре вроде как инкапсулирует пакеты в какую-то шифрованную штуку (или нет) и это все что я знаю.
Аноним 08/08/15 Суб 04:53:30 #132 №1340074 
>>1340070
>Опять же, если настраивать впн - оба компа должны иметь статику?
>скрипт в крон с машины за натом, которая каким-нибудь образом узнаёт свою внешку и связывает её с dyndns
Ты уж определись, тебе NAT мешает или динамический IP?

В случае с NAT - впн сервер за натом поднять не выйдет - провайдер же не будет тебе порты прокидывать. За нат ты можешь только исходящее соединение инициировать.
Если динамический IP - это решается dynDNS или еще каким костылём, который бы оповещал тебя, какой IP адрес сейчас присвоен.


>Или ты предлагаешь настраивать его на роутере?
По уму VPN настраивается на шлюзе - если в твоём случае роутер выступает в качестве шлюза - да.
Хотя можешь прокинуть необходимые для выбранного тобой протокола VPN порты на компьютер, на котором поднимешь сервер.

>Дома я делаю что хочу, а на работке нужно все это согласовывать и я не хочу общаться с начальником.
Так и попроси его поднять VPN сервер. А то за несанкционированный туннель из корпоративной сети могут и выебать.

Ну и как бы исходя из здравого смысла сервер поднимается в той сети, к которой нужно подключиться. В обратном варианте тоже конечно работать будет, но нахуя?

>разницу между pptp, l2tp, ipsec, ipip, gre
Примерно так:
>pptp
Поддерживает шифрование, но дырявый до невозможности. MS рекомендует его не использовать, поскольку не безопасен в связи с найденными уязвимостями.
>ipsec
Обеспечивает шифрование, но не обеспечивает vpn.
То есть просто позволяет шифровать любой траффик между двумя узлами.
Зато внутри шифрованного канала уже можно поднимать vpn.
Является де факто стандартом отрасли.
>l2tp, ipip, gre
Протоколы для создания vpn туннелей. Со своими + и -, ни один из них не подразумевает возможности шифрования(как я понимаю), так что если нужна безопасность - нужно поднимать их поверх того же IPsec.

Аноним 08/08/15 Суб 05:12:28 #133 №1340083 
>>1340074
>Схуяли ты дома это всё настраиваешь?
Нат мне мешает узнать мою внешку. Дома, например, у меня микротик, куда я впилил скрипт для no-ip.org и не парюсь. А на работке
>еще каким костылём, который бы оповещал тебя, какой IP адрес сейчас присвоен.
но уже на машину, а не на БИЛАЙН РОУТЕР.

>А то за несанкционированный туннель из корпоративной сети могут и выебать.
Да не, там вопрос не в том, что я делаю что-то нелегальное у себя в организации.

За объяснение разницы между протоколами спасибо.

На твоем опыте - если я абсолютно нулевой сложно ли мне будет настраивать ipip/gre+ipsec? Читал что гре тунели довольно легко настраиваются, но вот айписек...
Аноним 08/08/15 Суб 05:27:04 #134 №1340091 
>>1340083
>Нат мне мешает узнать мою внешку.
>Дома, например я впилил скрипт для no-ip.org
Мимо проходил, на всякий пощу пасту. А то мне кажется, ты из этих.
-
Серый (неанонсированный, внутренний, локальный, частный) = адрес в частных сетях 10.X.X.X, 172.16.X.X, 192.168.X.X. Ты не можешь принимать внешние подключения на этот адрес, т.к. он не маршрутизируется вне твоей локальной сети.
Белый (анонсированный, внешний, реальный) = адрес в сети Интернет, на который ты можешь принимать подключения.
Статический адрес — адрес, выдающийся тебе на продолжительный промежуток времени.
Динамический адрес — адрес, выдающийся тебе на неопределённый (часто небольшой) промежуток времени; может быть сменён без уведомления.
Адрес может быть серым статическим, серым динамическим, белым статическим, белым динамическим.
Аноним 08/08/15 Суб 05:43:53 #135 №1340097 
>>1340091

>Нат мне мешает узнать мою внешку.
Если скрипт работает методом "беру айпишник интерфейса и отдаю его сервису dyndns" (а он так и работает, ведь в нем указан мой l2tp интерфейс) то с машиной за натом я пососу немного, а со шлюзом не пососу. Микротик дома поддерживает такие вещи, билайн в офисе не думаю.

>Дома, например я впилил скрипт для no-ip.org
Дома порт форвардинг на 22 порт моей машины.

Серый - нат. Белый - внешка. Статический - статика. Динамика - dhcp.

Может ты меня неправильно понял?
Аноним 08/08/15 Суб 05:53:37 #136 №1340101 
>>1340097
Добавлю.

Может быть тебя смутил вопрос
>Опять же, если настраивать впн - оба компа должны иметь статику?

Это отдельный вопрос, мне интересно возможно ли вообще построение тунелей если у 1 компа статика, а у другого нет. Получается впн вида клиент-сервер.
GRE, IPIP исходя из моего понимания - точка-точка, поэтому и спросил про другие.

Аноним 08/08/15 Суб 07:59:10 #137 №1340138 
>>1339787
>КО-КО-КО ДА Я ЛИЧНО ТАСКАЛ БАЙТЫ ПОД ОГНЁМ НЕМЕЦКО-ФАШИСТСКИХ ЗАХВАТЧИОВ
Пошёл ты на хуй, а репликация по smtp пусть бежит перед тобой. Я в своё время наелся всего этого говна и очень рад, что забыл его как страшный сон. Ебал я тебя и твои перфокарты, пидорас-ретроград.
Аноним 08/08/15 Суб 09:19:00 #138 №1340175 
>>1334894
>psexec
>2015
Мда.
>>1336484
>VDI
И канал на 1 гбит, как минимум, видал я клованов, которые его на 100 мбит поднимали, а потом удивлялись, почему так хуево работает.
>>1339495
>один домен на 30 тысяч юзеров
Ты же не хочешь сказать, что у тебя один контроллер домена?
>кошерный совет про VDI
Не нужно в мелких и средних конторах, тем более, никто в здравом уме не будет поднимать vdi с одной точкой отказа. Проще говоря, дороговато.
>>1339764
>Файрволл же на домене
Огнестена нужна только на границе. Если хочешь сегментацию без затрат, делай вланы, а не городи костыли.
>>1339928
>сккм
Хорошая штука, но, к сожалению, цена удручает.
>>1340101
>возможно ли вообще построение тунелей если у 1 компа статика, а у другого нет
Попробуй включить логику и подумать. Роль сервера на себя берет хост со (за) статикой, к нему идет подключение. Смекаешь?
Аноним 08/08/15 Суб 09:24:01 #139 №1340177 
>>1340175
>Ты же не хочешь сказать, что у тебя один контроллер домена?
Нет, конечно. Их примерно полтора десятка, распределённых по всей стране.
Аноним 08/08/15 Суб 09:32:33 #140 №1340180 
>>1330872 (OP)
Вводи домен, поднимай групповые политики. Приводи инфраструктуру к одной экосистеме постепенно разворачивая одну ось на компах. Пользователям запретить всё, что не разрешено.
Шлюзы на микротиках - аппаратный VPN между офисами
Аноним 08/08/15 Суб 09:35:31 #141 №1340183 
>>1330962
Гугли dameware вместо vnc
Аноним 08/08/15 Суб 13:29:11 #142 №1340459 
>>1340063
>Посоветуй что-нибудь
>по тунелям, шифрованию, бэкапам
Нужно не читать, а решать реальные задачи. Лучше всего решать их в команде, где есть кто-то более опытный, чем ты сам, чтобы набраться хороших идей и паттернов, которые в будущем пригодятся.

Тунели и шифрование обычно годятся любые, главное, чтобы тебе было удобно с ними работать. Особые требования только у госкомпаний (там нужны алгоритмы и железки сертефицированные в ФСБ, а таких мало и их функционала зачастую не хватает), а также у банков, но там тоже свои спецы и свои требования.

Бекапы - тема вообще необъятная. Главное правило: несколько копий в разных местах (например, лента с еженедельным бекапом может храниться у директора дома в сейфе, еще одна в сейфе в офисе и еще одна в серверной). Также не путай снапшоты, резервные копии и бекапы - это три принципиально разных инструмента резервирования нужные для разных целей. Инструментарий же бекапов в основном платный, особенно если речь идет о бекапах виртуальных машин.

>>1340071
pptp - это ppp овер tcp
l2tp - этот работает на канальном уровне
Оба они обеспечивают тунелирование, без шифрования.
ipsec - этот уже шифрует IP пакеты, но ты заебешься его внедрять и настраивать.
ipip не работает через нат, т.е. нужны белые адреса на обоих концах тунеля.
gre еще один протокол сетевого уровня не дружащий с натом.
последние два также сами по себе ничего не шифруют, а являются просто способом соединения двух точек.
Аноним 08/08/15 Суб 19:39:16 #143 №1341224 
14390519565460.png
Спрошу, пожалуй, здесь.
Сделал сеть из виртуалок, пикрелейтед. В неё входят 2 компа в общем домене и один без.
Проблема состоит в том, что клиентские компы не пингуют друг друга, при том что с dns'а пинг спокойно проходит, как и в обратную сторону. Фаерволы везде отключены. В чём может быть проблема?
Аноним 08/08/15 Суб 19:43:12 #144 №1341229 
>>1341224
Маршрутизация не настроена.
Подробнее с такими вводными нихуя не сказать.
Аноним 08/08/15 Суб 19:48:42 #145 №1341241 
>>1341224
мОЖЕТ ОНИ У ТЕБЯ В РАЗНЫХ ПОДСЕТЯХ ЖИВУТ?
Аноним 08/08/15 Суб 20:12:44 #146 №1341269 
>>1340175
Ты какой-то даун.
sageАноним 08/08/15 Суб 20:45:28 #147 №1341334 
14390559284150.png
>>1341229
хм, маршрутизация действительно не настроена была. включение проблему не решило.
>>1341241
В общем ситуация такая. Справа комп, находящийся в домене, слева простой. Подсети действительно разные выходят (по маске же можно об этом судить?) и клиент без домена почему-то не видит мой внутренний dns, только провайдерский. как так-то?
sageАноним 08/08/15 Суб 20:49:36 #148 №1341341 
>>1341334
бля, то есть наоборот, слева доменный, справа - нет
sageАноним 08/08/15 Суб 20:50:36 #149 №1341343 
>>1341341
деб, как он тебе пинговать будет если, они друг о друге не знают.
Аноним 08/08/15 Суб 20:58:37 #150 №1341352 
>>1341343
вот я и задал вопрос в последнем посте, почему подести разные получились и почему с одного компа мой dns сервер не виден
Аноним 08/08/15 Суб 21:04:30 #151 №1341363 
>>1341352
Напиши статический маршрут и все проблемы решены.
Аноним 08/08/15 Суб 23:53:09 #152 №1341550 
>>1341334
А почему у тебя на левом скрине не написан основной шлюз? Сместилась строка?
И зачем разные маски?
Аноним 09/08/15 Вск 02:33:36 #153 №1341620 
>>1341352
Потому что твой dhcp хуйни наделал.

ip 10.0.2.10
mask 255.255.0.0
range 10.0.0.1-10.0.255.255

ip 10.0.2.15
mask 255.255.255.0
range 10.0.2.1-10.0.2.255

Первая подсеть включает в себя вторую, так что работать будет. Но у первого компа почему-то нету основного шлюза.
На нём интернет вообще работает-то?
Аноним 09/08/15 Вск 09:55:54 #154 №1341746 
>>1341620
Всё, настроил подсеть как надо - оказывается, это я с сетевыми адаптерами проебался. Но основной шлюз у компов не появился, интернет с них не пашет. Как вообще включить автоматическую настройку шлюза?
sageАноним 09/08/15 Вск 11:46:36 #155 №1341880 
И кто таких уебков на работу берет? Ничего не знают, а говна из них лезет вагон.
Аноним 09/08/15 Вск 12:21:39 #156 №1341930 
>>1341746
В настройках dhcp сервера.
Аноним 09/08/15 Вск 13:14:27 #157 №1342065 
>>1341880
Никто не идеален в этом бренном мире. А работу работать кому-то надо. Так что выстраиваем инфраструктуру из подножного корма. Чтобы жить.
Аноним 10/08/15 Пнд 11:17:00 #158 №1343913 
Микротикоебы есть итт? Я очень хочу на dhcp привязать ip-адреса к конкретным компам не по маку, а по нетбиос имени. Слышал что это вроде как возможно. Подскажете как?
Аноним 10/08/15 Пнд 17:04:37 #159 №1344449 
Где образы msdn для виндовс сервер 2008р2. Нет ебучей подписки на мсдн.
Аноним 10/08/15 Пнд 17:31:03 #160 №1344504 
>>1330872 (OP)
Анон, расскажи про свою работу, чем доволен, а чем нет?
11_класс_уже_не_школьник
Аноним 10/08/15 Пнд 17:32:37 #161 №1344506 
>>1344504
[delete][code]Здесc была шутка про твою маму[/code][/delete]
Аноним 10/08/15 Пнд 18:51:13 #162 №1344671 
>>1333208
Как-раз таки коммутатор, если у него таблица мак-адресов пустая, шлёт фреймы во все порты, кроме того, откуда он пришел (ну ещё всякие фишки типа rstp в более-менее продвинутых железках есть)
Аноним 10/08/15 Пнд 18:52:42 #163 №1344675 
>>1344506
54016540
165
Аноним 10/08/15 Пнд 18:54:27 #164 №1344681 
>>1333834
Хабы как повторители збс у говнопровайдеров, чтобы для одного клиента не тянуть оптику.
Аноним 12/08/15 Срд 13:39:43 #165 №1347518 
Bump годному треду.
Аноним 12/08/15 Срд 14:25:18 #166 №1347553 
>>1344681
что ты несешь лол
в 2015 году хабов нет уже нигде

провайдер без вланов это же мечта мамкиного кулхаксора
Аноним 12/08/15 Срд 15:45:06 #167 №1347623 
>>1330872 (OP)
Посоны, напомните как там выводить информацию о воспроизводимом видео в mpc-hc? Хочу поиграться с фильтрами, настроить HWA, нужно видеть реальный фпс, биттрейт и прочее прочее. Оно там обычно красным шрифтом на всё окно понаписано. Забыл как эту хуйню вообще назвать-то для гуглежа.
Аноним 12/08/15 Срд 16:55:41 #168 №1347724 
Братишки, я вам вопросов с собеседований принес
http://mymemory.dp.ua/2012/12/voprosyi-na-sobesedovanie-linux-admin/
http://mymemory.dp.ua/2013/09/voprosyi-na-sobesedovanie-linux-admin-v3-chast-2/
http://mymemory.dp.ua/2013/09/voprosyi-na-sobesedovanie-linux-admin-v3-chast-1/
Сам на таком собеседовании может и не совсем жидко обосрался бы, но в целом от таких вопросов у меня FORVARD.
Аноним 12/08/15 Срд 17:20:39 #169 №1347766 
>>1347724
Я не линуксовый админ я noc, но считаю, что эбольшинство из этого должен знать каждый кто решил связать себя с ит индустрией, ероме весьма специфичных и узкоспециализировнных вопросов.
Аноним 12/08/15 Срд 17:24:55 #170 №1347769 
>>1347766
Ну, так-то ты прав, да. А еще теперь я знаю чем себя занять, когда скучно.
Аноним 15/08/15 Суб 12:17:49 #171 №1352232 
>>1347724
Странный опросник. Вопросы резко различаются от совсем общих, до каких-то узкоспециализированных, ответы на которые не узнать, если не было нужды заниматься этим вопросом. Хотя ответы гуглятся за минуту.

Вон например динамический шейпинг в freebsd/linux или по mysql вопрос.
Аноним 19/08/15 Срд 12:29:47 #172 №1358204 
Бамп.
Аноним 19/08/15 Срд 17:03:36 #173 №1358615 
Sublime text начал раздавать лицухи под мак и винду
http://sublimetexttips.com/giveaways/win-sublime-text/?lucky=395256
Аноним 19/08/15 Срд 17:04:07 #174 №1358617 
Sublime text начал раздавать лицухи под мак и винду
http://sublimetexttips.com/giveaways/win-sublime-text/?lucky=395256
Аноним 19/08/15 Срд 17:14:36 #175 №1358633 
>>1358617
> начал раздавать лицухи под мак и винду
> 1 WINNER
Аноним 19/08/15 Срд 18:42:52 #176 №1358790 
>>1330921
Один раз залогинишься в домене - потом можно будет без сети подключаться.
Можешь проверить
Аноним 23/08/15 Вск 07:51:08 #177 №1362739 
Bump.
Аноним 23/08/15 Вск 11:25:13 #178 №1362861 
>>1347724
>B чем различия 5NAT и DNAT?
>5NAT
Пиздец.
Аноним 23/08/15 Вск 13:05:37 #179 №1362958 
>>1347724
>12. Как в консоли посмотреть МАС адрес другого сервера без доступа к нему по ssh.
Ну охуеть вообще. И как же, если он не в одной подсети с доступным тебе?
>14. Web-сервер не пингуется.
Ясно.
>У Вас выгорел жесткий диск на Linux сервере, Вы заменили диск, восстановили систему из бэкап стартует. Почему?
>восстановили систему из бэкап стартует. Почему?
Потому что сразу же после этого я банку кока-колы.
>От чего удалось и переходе на 64-битные системы.
Ой, всё.
Аноним 23/08/15 Вск 13:51:12 #180 №1363020 
>>1338522
На OEM не распространяется, жаль. На сайте Packard Bell нельзя скачать образы, их там просто нет.
Аноним 29/08/15 Суб 23:30:18 #181 №1369637 
>>1347724
Четверть вопросов на дурачка. Либо задавали дурачки.
Аноним 30/08/15 Вск 02:59:55 #182 №1369772 
14408927957610.jpg
>>1332864
>Насколько знаю, неуправляемый коммутатор шлет таки во все порты разом. Его я и называю свтичом

Аноним 30/08/15 Вск 03:13:53 #183 №1369777 
>>1334077
>С которой, тем не менее, справляются не все, хотя это основы.
>Кольцом, да.

Пиздец, бля. Электрик, что ли? У меня на старой работе в одном ящике такие "спецы" напроектировали Ethernet через какой-то мудацкий 3 МГц разъем. Потом удивлялись, смотря сигналы осциллом, какое говно получилось. Что Link Test Pulses - и те превращались в кашу из-за отражений. Немного купировали отрезком витухи, да так и спихнули. Все равно там говна было еще дофига, и ящики возвращались не раз и не два
Аноним 30/08/15 Вск 03:16:52 #184 №1369779 
>>1334749

EIA/TIA-568, IEEE802.{1,3}
Аноним 30/08/15 Вск 03:20:46 #185 №1369781 
>>1334861
>Гальваноразвязка на современных сетевухах есть по идее

Возьми как-нибудь дохлую сетевуху, и вскрой черную коробку с 16 выводами. Это легко, внутри найдешь 4 трансформатора. Это и есть гальваническая развязка.
Аноним 30/08/15 Вск 03:25:19 #186 №1369783 
>>1334879
Про то как ethernet-фреймы тегируются для определения к какому влану они принадлежат сходу мало кто из присутствующих расскажет.

802.3Q Там ничего особо сложного нет.
Аноним 30/08/15 Вск 03:36:10 #187 №1369786 
>>1334883

На нем коммутация. Я, помню, делал всю маршрутизацию на шлюзе (потому что там реальная маршрутизация с NAT'ом нужна была). Шлюз у меня сидел в 3 VLAN'ах и все теги обрабатывал сам
Аноним 30/08/15 Вск 03:38:32 #188 №1369787 
>>1334897
>маки, которые ты всё равно предварительно посмотрел на самих компах?

Посмотрел их, допустим, в логах DHCP сервера. Или tcpdump
Аноним 30/08/15 Вск 12:48:04 #189 №1370081 
>>1347724
Примитивные вопросы.

>У Вас выгорел жесткий диск на Linux сервере, Вы заменили диск, восстановили систему из бэкап стартует. Почему?
>От чего удалось и переходе на 64-битные системы.
> Назовите широковещательный адрес для подсети 192 1680 1/32

Стекломой?


>фaйловыми системами нового типа (BTRFS, XFS)
XFS 100 лет в обед
Аноним 30/08/15 Вск 15:23:23 #190 №1370208 
>>1330872 (OP)
Сетку вначале в порядок приведи, поставь в филиалах хоть что-нибудь, что может в ВПН
Объединение для бога объединения, чтобы в усть-зажопинске директор мог печатать на днищепринтер.
Потом насильно всех перетараканить на тонкие клиенты, хоть те же тв-приставки на ведроиде оче даже норм (на некоторые есть даже норм линух, только придется клонзилой или еще как-нибудь массово пихать) и вендосервак по желтую пизду
и будет тебе только пиздец с виндосервером.
Аноним 02/09/15 Срд 22:40:03 #191 №1374377 
Какие минимальные навыки нужны эникею без опыта работы?
Аноним 02/09/15 Срд 22:46:16 #192 №1374383 
>>1330872 (OP)
>dir320
Обладатель оного. Начал виснуть, я его просто сбросил кнопкой, не виснит от уже джва года. Не выебывайся и лепи из того что есть
Аноним 03/09/15 Чтв 00:00:05 #193 №1374493 
14412276053180.jpg
>>1370081
> При стандартных настройках Apache, как установить из консоли другого работает ли он?
> Web-сервер не пингуется.
> Стекломой?
Скорее пикрелейтед.
comments powered by Disqus

Отзывы и предложения