28 марта 2024, 11:57

Цитата дня:

Монстры реальны, и привидения тоже. Они живут внутри нас и иногда побеждают. Стивен Кинг


Дженпельменский набор

Автор Const, 19 сентября 2017, 16:11

« предыдущая тема - следующая тема »

0 Пользователей и 2 Гостей просматривают эту тему.

Вниз

Const

Здравствуйте. Пока не стухли кукисы, задам вопрос:
Дано: вторая попавшая за лето в руки сетка ПК. Общее количество - от 30 до 80-90 ПК. Обе инженегроидной сферы работы
Суть в том, что обе две - находятся в зачаточной стадии развития с точки зрения ИТ
Сетки находятся в рабочей группе, домен отсутствует в принципе. Интернет раздаётся коробочно-аппаратным SOHO роутером.
В первой сети ПК просто воткнуты в один свитч на 50 портов, туда же заведён АТС Панас
В второй и того лучше - куча букварей работает по Wifi. Все сидят с полными правами администраторов
С букварями это особенно весело )) По ПО - полный зоопарк и разнобой - АМД/Интел, от XP до 10ки. Нулевое лицензирование
Некоторую радость от созерцания представляет облачная IP телефония и почта на яндексе,
Так же вынесенные в физически удалённый ЦОД с remoteapps БД с 1С, гарантом и прочим
Вырвиглазное УГ, но одной/парой заботой и заморочек меньше с внедрением и дальнейшей поддержкой * и почтового сервера

Собственно вопрос: кто какие аппаратные и программные решения применяет? И что посоветуете?
Задача - по сути пере-генерация сети заново и с нуля. От свитчей до СХД и UTM решений
Собственные мысли у меня есть, но хотелось бы послушать общественность.
Поэтому приводить свои намётки пока не буду, для объективной картины

Итак, требуется:
- контроллер домена с штатным набором (AD. DNS, DHCP, GP, Wsus, Copr KAV) Бюджет 100-150 т р
- гигабитные свитчи,
- сетевое хранилище данных. Масштабируемая ёмкость, текущая - порядка 4 Тб, бюджет до 100-150 т р
- Маршрутизатор  Аппаратное программное решение аля Ideco, Бюджет на него порядка 100-150 тысяч
Полный контроль трафика для полосы в 40 мбит и 100 юзеров.
Осложняется всё той же IP телефонией и веб-почтой - тут и отказоустойчивость и доступность и стабильность

Уваров А.С.

А в чем проблема то? Железо выбрать в бюджет?

контроллер домена с штатным набором (AD. DNS, DHCP, GP, Wsus, Copr KAV) Бюджет 100-150 т р
Куда столько? На 100 ПК контроллер за 150 тыр явно избыточен. WSUS совмещать с КД начиная с Server 2012 нельзя. Кроме того контроллеров желательно два.

Взять два сервера начального уровня, что нибудь такое под КД http://www.nix.ru/autocatalog/server_systems_supermicro/SuperMicro-1U-5018A-MLTN4-Atom-C2550-SVGA-SATA-4xGbLAN-4DDR3-200W_212215.html - можно уместиться в бюджет до 50 тыр.

И второй сервер помощнее, что нибудь на Xeon E3, можно уложиться в 70-90 тыр. На второй поднять Hyper-V и второй КД, а на сам сервер WSUS, KAV и остальное.

- Маршрутизатор  Аппаратное программное решение аля Ideco, Бюджет на него порядка 100-150 тысяч
А не кучеряво на сетку в 100 человек? Linux + Core i3 + голова и руки решают этот вопрос гораздо меньшим бюджетом.

Либо еще один сервак за ~150 тыр. и уже его набиваем дисками и делаем виртуальное хранилище, виртуальный роутер и виртуальную ATC.

Хотя если денег много...

Const

А в чем проблема то?
Малость отстал от современных тенденций и не в тренде, нет набитой на не тривиальных и не очевидных шишках и граблях рук.
Например, коллеги утверждают, что десятка ощутима менее стабильна в связке с софтороутерами относительно семёрки.
Ну и так - создать некий FAQ на текущий момент- Howto сгенерировать сеть с нуля

Железо выбрать в бюджет?
И это тоже, хотя с железом много проще.

На 100 ПК контроллер за 150 тыр явно избыточен.
Как мне кааэца ... (C) Гипервизор - HyperV для Windows, ESXi - для никсов. Соответственно, запас мощностей под виртуалки
WSUS совмещать с КД начиная с Server 2012 нельзя.
Я помню, спасибо ) Вот как раз и вынести всус в отдельный сервис либо с чем-нибудь за компанию вроде антивируса
Кроме того контроллеров желательно два.
Это как раз само собой разумеется. Кстати, один из нюансов - отказоустойчивость к возможному саботажу сотрудниками.
Как обычно: голубые московские варяги хотят извращённого, но платят и правят балом они же, Как и полагается голубому лобби
Серверное помещение физически изолированно, но у сотрудников есть полные права на буквари и доступ к розеткам
А не кучеряво на сетку в 100 человек?
Мне там так же видится кластер, кроме того, анализ трафика на всех уровнях OSI на лету и в реальном времени может потребовать отдельных мощностей.  Современная деятельность очень сильно завязана на интернет, начиная с той же веб-морды для почты. Запас лучше, чем нехватка ресурсов, иначе поднимется зловоние, скулёж и вой, админ - казёл и диверсант такой
Ну и покупается это всё на неопределенный промежуток времени, возможно лет на 10 до полной физической амортизации
Хотя если денег много...
Денег как раз мало, можно сказать что и нет, а ожидается ещё меньше в ближайшие месяцы.
Рашен бизнес в бюджетных тендерах - сначала делаешь за свой счёт, потом выбиваешь бабло с заказчика, часто такой же пере-прокладки рогов и копыт
ИТ дир озвучил бюджет, какой резон самому себе резать поляну? Премии за это не положено
Особенно с склонностью менеджмента переобуваться в прыжке в поиске крайних и назначении виноватых

ival

Добрый день.

Я почитал, мне кажется вы оба упустили лицензии WS + CAL. Для 100 пользователей цена будет ощутима.

Как мне кааэца ... (C) Гипервизор - HyperV для Windows, ESXi - для никсов. Соответственно, запас мощностей под виртуалки
Зачем в одной сети два разных гипервизора?? Не вижу смысла использовать в боевой сети бесплатный ESXi.
Мне там так же видится кластер, кроме того, анализ трафика на всех уровнях OSI
Мне кажется маловато 100-150. UTM и NGFW продаются в базе, а все остальное наворачивается годовыми лицензиями (по крайней мере у известных производителей так). Лично я не знаю полноценного UTM (NGFW) на 100 пользователей за 100 тысяч. и при всех обертках. Вернее возможно на первый год покупка + лицензии и будет столько стоить. Но на следующий вам придется еще заплатить минимум 30 за обертки.

Уваров А.С.

Я как-то вот стесняюсь спросить, а зачем в обычную контору инженерной направленности анализ трафика на всех уровнях OSI?

Const

мне кажется вы оба упустили лицензии WS + CAL
Нет, я не упустил. Бюджет на это по остаточному принципу, к счастью или к сожалению. У меня отсутствует позитивный опыт покупки ПО и лицензий, а руководство нужно ставить уже перед отстоявшимся и устоявшимся парком железа и списка ПО.
Как уже писал ранее, пока даже нет понимая, какая будет платформа по умолчанию и преобладающей.
Серверные Ос, как и всё остальное пока поживёт в триальном режиме без активации ближайший пол-года-год
Для 100 пользователей цена будет ощутима.
На практике это не ощутимость, а импульс для принятия волевого решения и выделения бюджетов.
Пока что нужны PDC/SDC да на ещё одна платформа на то, что не совместимо/не желательно с DC.
Не самые большие деньги. Тот же месячный ФОТ - это несколько миллионов рублей в месяц, не считая всех прочих расходов
Серверная стоит 30-40К руб в старте, при том, что свежий огрызок - 70-120 и ни то ни другое не несут реальной пользы
 
Зачем в одной сети два разных гипервизора??
Почему нет?
Не вижу смысла использовать в боевой сети бесплатный ESXi.
А какой смысл использовать платный, если можно бесплатный? Что Hyper-V, что ESXi
Перезаложиться в запас железа лучше в суровых реалиях, чем покупать воздушные электроны
Мне кажется маловато 100-150
Мне тоже ) Нет предела совершенству. )) УГМК в своё время покупал железный-коробочный более чем на миллион $
Как врут очевидцы: красивая обёртка из тачскринов и голосового меню. Говоришь и тыкаешь - что, куда, как, чем...
Внутри всё те же рабы в кандалах на галерах с вёслами и парусами, успешно имитирующие спейс-шатл
Лично я не знаю полноценного UTM (NGFW)
Я тоже. Притом в принципе, без относительно бюджетов. Можете что-то посоветовать?
Это один из волнующих вопросов, так как винтел почти всё, а с линуксом не всё так хорошо, как обещается и ожидается

Const

#6
21 сентября 2017, 06:55 Последнее редактирование: 21 сентября 2017, 07:01 от Const
зачем в обычную контору инженерной направленности анализ трафика на всех уровнях OSI?
Так сейчас каждый первый сайт умеет https и каждый первый браузер - VPN
Всё как обычно: раздрай между аборигенами и варягами. Правда у одних, а бабло и должности с полномочиями - у других.
Вытекающий параноидальный режим работы местного начальника СБ и его руководства, желающих знать как можно больше о жизнедеятельности сотрудников, включая установку стахановца; телекамеры с микрофонами в офисе + СКУД на КПП
Тревожно-депрессивный маразм и шиза  - да, оно такое. Это они ещё полиграф не осиливают )) Да и юризд профан
С другой стороны: когда работал в проектной шараге, проектная документация на достаточно типовой объект легко стоит несколько миллионов, а то и десятков миллионов рублей даже без особых попилов, при окладе инженера тысяч 30.
Просто несколько месяцев существования проектной конторы в белую - от ЗП до ПО, не обязательно с каким либо результатом на выходе
Выглядит как пачка бумаги и рулонов чертежей ну и электронный формат в архиве.  Соответственно, конкуренту легко предложить пачку нарезанной бумаги в виде стопки денег либо долю здания в виде квартиры за доступ к проекту и его электронную копию. Одной больше, одной меньше, количество халявщиков принципиально не меняется
Так что тут у каждого правда своя, когда гуляют шальные и часто наличные деньги.

ival

#7
21 сентября 2017, 14:00 Последнее редактирование: 21 сентября 2017, 14:01 от ival
Бюджет на это по остаточному принципу
Пока что нужны PDC/SDC
Это плохо, так как у Вас это выйдет в цену сервера. Device CAL обойдется в 1500, User CAL в 2000. Простая арифметика Цена ОС + CAL * на пользователя. Цена не большая, но в масштабах примерной стоимости которую Вы описали выше ощутима.

Почему нет?
Цитата: ival от 20 Сентябрь 2017, 17:58

    Не вижу смысла использовать в боевой сети бесплатный ESXi.

А какой смысл использовать платный, если можно бесплатный?
Зоопарк не очень хорошо. В таком варианте я бы выбрал Hyper-V. Почему? Да только потому, что в последствии можно купить еще одну ноду и развернуть HA, со всем вытекающими. Создать аналогичную конфигурацию на WMware обойдется дороже, потому что минимум нужна Essentials plus kit. Cравнив MS окажется дешевле чем VWware. Опять же HV от MS всеяден, а вот VMWare требователен к железу, ему подавай только оборудование с которым он дружит. В бредовых платформах обычно всегда Hyper-V, VMware Ready, а вот в самосборе может оказаться проблемой.

Я тоже. Притом в принципе, без относительно бюджетов. Можете что-то посоветовать?
В любом адекватном бюджете я бы смотрел в сторону CheckPoint, Barracuda, Fortinent, Palo Alto. Правда с Palo Alto мое знаковство быо не долгим (2 месяца), но в целом мне понравилась железка (PA-500)

В Вашем варианте я бы сделал так:
1. Два сервера, один под КД другой под виртуализацию (набив дисками). На платформе asus или supermicro, если по деньгам по лучше взял dell или HP. Сервер для виртуалок набил бы sas 10k
2. Хранилище, что нибудь из Synology
3. Коммутаторы из-за бюджета взял бы D-link, с поддрежкой VLAN и LACP
4. Т.к. не особо дружу с Linux, рассматривал либо что-то на подобии Kerio, либо обычный маршрутизатор аля Microtik, либо железные МСЭ Zyxel USG или Huawei USG
5. Виртуализацию выбрал бы от MS
6. Ну и контроллер Wi-Fi + точки

Вытекающий параноидальный режим работы местного начальника СБ и его руководства
Паранойя легко лечится суммами. Как вариант можно посчитать NGFW из перечисленного выше, DLP Infowach или Symantec, предложить разделить сеть по феншую на Access и Distribution взяв за основу продукцию от известного и варварского вендора с его замороченной схемой лицензирования... и о чудо, все хотелки у таких компаний сразу отпадают.

Const

Это плохо, так как у Вас это выйдет в цену сервера. Device CAL обойдется в 1500, User CAL в 2000.
Согласен, что не хорошо. Но до покупки лицензий надо:
а) ещё дожить
б) покупать нужное, в смысле понимать, что оно будет реально использоваться в деле. Оплатить счёт успеется почти всегда
Спустя десять+ лет практики я уже не столь неровно дышу в сторону лицензий,
минусы сильно превалируют над плюсами в реалиях России
Сейчас же пока просто непонятно, какая из платформ взлетит - 2008? 2012, 2016?
В теории - чем новее - тем лучше. На практике - часто ровно наоборот
Зоопарк не очень хорошо.
Согласен. Но, как я представляю, серванты рисуются почти одинаковые, во всяком случае в МП. Перегнать всегда можно

Создать аналогичную конфигурацию на WMware обойдется дороже
Опять же HV от MS всеяден, а вот VMWare требователен к железу
Вот, об этом я как-то малость подзабыл и не подумал. Веский аргумент на чашу MS - прайс и особенно геморрой
CheckPoint, Barracuda, Fortinent, Palo Alto. Правда с Palo Alto мое знаковство быо не долгим (2 месяца), но в целом мне понравилась железка (PA-500)
Спасибо, пороюсь в поисковиках

2. Хранилище, что нибудь из Synology
3. Коммутаторы из-за бюджета взял бы D-link, с поддрежкой VLAN и LACP
+1 Так и планировал, т к пресейл мне сказал, что нормальные новые полки IBM в бюджете до 150 - точно не бюджет

.к. не особо дружу с Linux, рассматривал либо что-то на подобии Kerio, либо обычный маршрутизатор аля Microtik, либо железные МСЭ Zyxel USG или Huawei USG
Керио сейчас тоже переходит на линукс. Шифровальщики-с и прочий хакерский риск
За продуктами на платформе MS в основном один большой плюс - это совместимость в интеграции и более адекватный биллинг, если речь не идёт о тяжёлом железе операторского класса, хотя и там тоже всё не очень ровно
Микротик: при всём уважении - периодически лезут глючки. Насколько хороший вариант для SOHO, настолько сильно начинает хромать в промышленном использовании. Разве что аргумент, что проблемы есть везде, в отличие от счастья за скромные деньги
Zyxel был когда то. Он аппаратный, так же ТП производителя в те времена категорически отсоветовала трогать прошивку )
Паранойя легко лечится суммами.
Увы, если бы... Мы тогда не проживали весь тот горький катаклизм. Но это полуофф )

Ещё раз спасибо за ценные советы )

Уваров А.С.

Соответственно, конкуренту легко предложить пачку нарезанной бумаги в виде стопки денег либо долю здания в виде квартиры за доступ к проекту и его электронную копию.
Как-то вот не клеится оно: с одной стороны проекты, за вынос которых на сторону ключи от квартиры вручают, а с другой стороны бюджеты, которых в обрез на самосбор и микротики.

Уваров А.С.

В таком варианте я бы выбрал Hyper-V.
Я бы вообще в этой ценовой категории ESXi не рассматривал, потому как в бесплатном варианте он сугубо для "побаловаться", все остальное за деньги, причем достаточно немалые. Hyper-V бесплатен (либо обходится по цене ОС, с бесплатными виртуалками бонусом), но позволяет собрать полноценный кластер с живой миграцией и прочими плюшками, всеяден, неприхотлив, работает как с виндой, так и с линуксом внутри.

Const

с одной стороны проекты, за вынос которых на сторону ключи от квартиры вручают, а с другой стороны бюджеты, которых в обрез на самосбор и микротики.
Це ж клятi москалi и понаехавших тут))Никогда не сталкивались с столичной Шахеризадой? Так они заполоняют планету и страну
Налево - 150 метровый небоскрёб с люкс-отелем 5* для избранных, направо - норы гномов и фавелы орков

Я не обрисовываю и сотой части той наркомании сотрудников и шабаша педерастии минетжмента
Стойкое ощущение: в должностной инструкции пункт №1 - "закинься веществами до упоротости. торкнуло?! Приступай к работе!" Зазеркалье, где розовый Единорог, бегущий по радужной мостовой  - не самое чудное существо
Остальные, что в своём уме, твёрдой памяти, используют IQ, чтобы одновременно сидеть в трёх креслах и не сидеть ни на одном Наглядно и понятно, как случаются федеральные события тип опа полная.
Как и то, что даже весьма странно, что они не случаются при таком звездецовом ахтунге и хаосе броуновского движения

Если про бюджеты и самосбор: файлопомойка - инфицированный типа сервер из десктопа с серверной виндой
Из отказоустойчивости -  RAID 1, деградировавший, так как один из дисков битый и едва живой
Попытка просканировать привела к смерти БП в весовой категории "перо" Электронный архив всего предприятия

Ничего нового и удивительного, всё как обычно - позади у павлина обычный куриный зад.
Не первые и не последние, только лет ндцать не встречаемые. Ещё в 7 году мудаки в руководстве выдавали чёрное за белое:
положить на неделю эксчендж не эпик фейл воинствующего ламера, а инициативность радеющего за дело ценного сотрудника.
Его не расстрелять, а премировать и повысить в должности! По результату работы в духе "помощь зала" и "звонок другу"   

Зато в почту сыпется переписка с копией на всю Европу и пол России межу Африкой и Испанией на счёт трансконтинентальных планов покорения всея, заботливо с копией английской версии на русском для не разумеющих "фейсом об тейбл"

Const

Я бы вообще в этой ценовой категории ESXi не рассматривал, потому как
Спасибо за предупреждение о граблях и разьяснение костылей. Поменяем в плане на установку Hyper-V

Const

#13
25 сентября 2017, 21:30 Последнее редактирование: 25 сентября 2017, 21:40 от Const
Опять же HV от MS всеяден
Hyper-V ...всеяден, неприхотлив
Огорчу, не всё так радужно, как это представляется в теории, хотя, конечно, всё относительно и познаётся в сравнении. Тестовый системный блок на гигабайт Z77 под Hyper-V

2008R2 - не найдена сетевая карта

2012R2 - не найдена сетевая карта. При установке 19"монитор  - диапазон вне сети. Пришлось цеплять к 27"

2016R2 - карта таки найдена. Локальный вход почему-то после смены пароля невозможен, типа неверный пароль, хотя он же по RDP принимается на ура. M$ сделали максимум возможного  в рамках добровольно-принудительного использования домена, так как установка доверия в рабочей группе требует ещё более танцев с бубном, чем 2008. Одобрите тут, разрешите там,  разрешите тут, одобрите там.. Любопытно, как они представляют ввод в домен, если он ещё планируется в VM на этом же хосте?
В итоге пока ни доверия для оснастки hyper-v, ни управление через альтернативные утилиты ( не удаётся создать виртуальный коммутатор и виртуалки не имеют доступ в сеть).
Аргумент "колхозный нищеброд и посему ССЗБ" не проходит. Установка PCI сетевой карты Intel за 30$ пользы успеха для 2008 и 2012 не имела. Где-то ещё был PCI-E четырёх-портовый... 



Уваров А.С.

#14
25 сентября 2017, 23:16 Последнее редактирование: 25 сентября 2017, 23:20 от Уваров А.С.
не найдена сетевая карта
Все вопросы к Intel, которые таким нехитрым образом препятствуют использованию настольных плат в серверах. Hyper-V в плане совместимости с железом ничем не отличается от Windows Server. Есть драйвера под Server - будет работать, нет - не будет.

С сетевухами в принципе решаемо, надо руками воткнуть дрова от серверной сетевой карты на чипе этого же семейства.

Но есть еще очень неприятные закидоны с видюхами, которые кроме как на Windows 10 / Server 2016 не работают (для Hyper-V некритично, а вот если планируется терминальный сервер, то будет крайне неприятно).
 
ам.. Любопытно, как они представляют ввод в домен, если он ещё планируется в VM на этом же хосте?
Элементарно, подняли виртуалку с КД и ввели в него гипервизоры, кластер взлетает и без доступных КД. Без кластера гипервизорам домен не нужен.

Одобрите тут, разрешите там,  разрешите тут, одобрите там
Если ничего не помогает - прочтите наконец инструкцию, можно эту: https://interface31.ru/tech_it/2016/12/ustanovka-i-nastroyka-hyper-v-server-2012-r2.html

Const

#15
25 сентября 2017, 23:41 Последнее редактирование: 25 сентября 2017, 23:43 от Const
Если ничего не помогает - прочтите наконец инструкцию
эту,а так же ещё пара тройка аналогичных, конкретно под 2016. Которые лучше/ больше подходят тем, что:
а) учитывают локализацию/язык. Не все настолько владеют PS, чтобы из консоли выцеплять наименования объектов
б) Наличием инструкций для более старших ОС. В моём случае - 7ка. Что, вероятно, основной затык
Требовать и держать конкретную дополнительную реальную железку и 10-ку только под оснастку как-то несколько жирновато
Это ещё один минус в сторону конкретно 2016. Окружающая инфраструктура одного периода, конечно, хорошо. В лабораторных условиях, где встречаются и сферические кони. В реальных же условиях консервативных (и бюджетных) сред, например банковская или строительная а так же торговли автоЗП, можно и XP встретить. А у телефонистов-связистов и 98SE видел, ибо  DOS 


Const

#16
26 сентября 2017, 00:18 Последнее редактирование: 26 сентября 2017, 00:25 от Const
Все вопросы к Intel, которые таким нехитрым образом препятствуют использованию настольных плат в серверах.
В 2016-й завелось, притом "искаропки" определились обе-две: QualComm AR8151 и Intel Pro/100 S
Если первая может быть оправдана тем, что чипсет вышел позже дистрибутива, то вторая такая же древняя, как и релиз 2008
К тому же дистрибутив от 2012 был так же скачанный и свежий. Да и 2008, не говоря уже про 2012, работает, если ручками установить драйвера
Недоумение про автоматическое распознавание, тем более для Core-версий и достаточно специализированной карты 

Уваров А.С.

Недоумение про автоматическое распознавание, тем более для Core-версий и достаточно специализированной карты 
Еще раз - Intel прибивает железо на уровне версий и редакций ОС. Т.е. может быть прибивка только к настольным версиям ОС или прибивка к Win10/Server2016. На Atom мы встречались с тем, что один и тот-же SoC в разных редакциях работал только c Win7 или только с Win8, или поддерживал только x32 системы.


Наличием инструкций для более старших ОС. В моём случае - 7ка. Что, вероятно, основной затык
Требовать и держать конкретную дополнительную реальную железку и 10-ку только под оснастку как-то несколько жирновато
Вы уж определитесь, то ли вам бюджеты выделяют по 100-150 тыр на сервер, то ли у вас нет денег на одну лицензию Win 10. Есть официальный список совместимых версий:

https://docs.microsoft.com/ru-ru/windows-server/virtualization/hyper-v/manage/Remotely-manage-Hyper-V-hosts


Либо смотрите на сторонние решения, скажем 5nine Manager

ival

В моём случае - 7ка. Что, вероятно, основной затык
К сожалению, Windows 7 для управления HV на безе 16/12 сервера не подойдет, без использования сторонних программ, например 5nine

Любопытно, как они представляют ввод в домен, если он ещё планируется в VM на этом же хосте?
Хоть и MS и утверждает что DC могут быть все виртуальными, я бы все-таки сделал физический. В случае одного HV, я бы не привязывал его к домену вообще.

Const

#19
26 сентября 2017, 20:43 Последнее редактирование: 26 сентября 2017, 20:48 от Const
то ли вам бюджеты выделяют по 100-150 тыр на сервер, то ли у вас нет денег на одну лицензию Win 10.
Одно другому не противоречит ) В автобизнесе это называют впаривать допы. Наличие полумиллиона не означает наличие ещё пол ста тысяч, как и желания/возможности их потратить дополнительно сверх запланированного и утверждённого бюджета

150 тысяч это ещё не много. Запускали серверную завода, в 11 году закупили 2 или 3 сервера по 200 тысяч, при тогдашней цене валюты в 2 раза ниже. Сейчас аналоги стоят 300-400 тысяч - 2 процессорные 2U, в почти максимальной комплектации
Начальник программистов 1ц там перестраховщик и кодер-рукожоп, SQL не хватало 96 Гб ОЗУ для ~100+ пользователей
Каждая отгрузка полудюжиной операторов или расчёт дюжиной бухгалтеров по дебиторской задолженности был затык в ОЗУ

Windows 7 для управления HV на безе 16/12 сервера не подойдет
Спасибо, я уже заметил эти грабли  путём наступления на них :)
В некоторых статьях авторам удавалось авторизовать, даже в разных рабочих группах и сетях. Пока что наименьшим сопротивлением и злом стало накатывание полной триальной версии. В худшем случае, потратить раз в пол-года полчаса на переустановку можно. Много лет назад аналогично переставляли ISA Server и за ночь по 3 раза мигрировали AD+DC
Всё равно внедрение и устаканивание взвеси, спеси и подонков займёт не менее полугода

5nine Manager
5nine
ни управление через альтернативные утилиты ( не удаётся создать виртуальный коммутатор).
Это оно и есть. Роясь в поисковиках, невольно подумал, что судя по частоте упоминания рекомендаций, подобные программы ничуть не страдают от пиратства. Захочешь чего-то бесплатно, так находится не раньше пятой страницы поиска

Хоть и MS и утверждает что DC могут быть все виртуальными, я бы все-таки сделал физический. В случае одного HV, я бы не привязывал его к домену вообще.
+1.
На том же заводе для AD и маршрутизатора изначально выдали обычный десктоп, только с парой дисков в зеркальный массив )
Только потом уже сначала перегнали в 1U, а затем и в виртуальный сервер

Уваров А.С.

Хоть и MS и утверждает что DC могут быть все виртуальными, я бы все-таки сделал физический.
Могут, на практике проверяли, кластер нормально стартует из полностью выключенного состояния и без наличия доступных КД. Но все яйца складывать в одну корзину явно не стоит и хотя бы один КД следует иметь физическим.

ival

Все-таки интересно услышать, что в итоге выбрано из оборудования

Const

Все-таки интересно услышать, что в итоге выбрано из оборудования
СХД: Synology RS816, VM на samba с zentyal

PC- i3-7100/8/WinX.

Свитч(и) - D-Link 1210/1510

Сервант c Hyper-V : Xeon E5-2620v4 *2/32/2*2 Tb Sata RAID-1.
По возрастанию нагрузки и необходимости добью до 64 Гб ОЗУ с заменой на SAS

Сейчас один из самых сложных с административной точки зрения этапов: зачистка РС с вводом в домен.
Займет это, по прикидкам, пару-тройку месяцев борьбы нанайских мальчиков в грязи, с заделом на пассивный саботаж

Дальше внедрение UTM, административный и технический ресурсы меняются местами.  В планах pfsense,
ideco и тем более X-server вызывают большие сомнения, слишком много и обильно зарыто грабель и подпорок костылей

Уваров А.С.

#23
29 сентября 2017, 11:51 Последнее редактирование: 29 сентября 2017, 11:56 от Уваров А.С.
А IO зеркала с двумя обычными SATA для системы с виртуалками хватит?

В планах pfsense,
ideco и тем более X-server вызывают большие сомнения, слишком много и обильно зарыто грабель и подпорок костылей
pfsense - спорно, очень спорно, разве что вы являетесь хорошим спецом по FreeBSD.

Остальное перечисленное есть не что иное, как Linux с веб-мордами и скриптами разной степени извращенности. Linux + прямые руки делают тоже самое, но понятнее, прозрачней и дешевле.

Const

#24
29 сентября 2017, 15:01 Последнее редактирование: 29 сентября 2017, 15:06 от Const
А IO зеркала с двумя обычными SATA для системы с виртуалками хватит?
пока много и не надо, скорей больше памяти, так как VM пассивны, где там активность будет у пары DC и сопутствующего обвеса?
Затем
с заменой на SAS
Задача - запустить процесс, пресечь анархию, броуновское движение, помесь бардака и маскирующегося под него левака.
Забрать права и получить, насколько возможно, полный контроль над сетями
pfsense - спорно, очень спорно,
Согласен, а ваш вариант? Кроме кайла для добычи руды, а то и вовсе разработки шахты
Остальное перечисленное есть не что иное, как Linux с веб-мордами и скриптами разной степени извращенности.
Знаю, согласен. Опять же - ваш вариант?
 
Linux + прямые руки делают тоже самое
А вот тут спорное и возражу. Во-первых, это утверждение сферического коня.  Да и вообще, холливар
У меня нет навыков CCNP да и вообще с линукс на вы, выделенный сетевик, как и скорее всего, бюджет на хардкор, не предусмотрен. Не тот масштаб и уровень. Хотели/могли бы того - обратились в системную интеграцию
Сейчас или летом, может быть и дали, к НГ не успеваем, много зависит от оплаты и перечисления денег за работы фирме
Во-вторых, напоминает анекдот, мудрый филин: "Как же вам мышам стать ежами? Да хрен его знает как тактически! Стратегическое направление вам указал"
В-третьих: это почти всегда компромисс, баланс цены вопроса вхождения и владения, находящихся в обратной зависимости
Допиливание прямыми руками, при условии их наличия, приведёт к тому же самому: такое же коробочное решение, только кастомизированное под заказчика. Либо зависимость от настойщика, если это закрытый чёрный ящик
Вообще, как написал выше, это наиболее сложный этап в силу не документированности и административного влияния, можно сказать даже доминирования над технической частью. Строительство забора по заказу шизофреников с 7 голосами в голове и пятницами на неделе имеет много вопросов и нюансов всего диапазона, от административно-юридического до технического
Даже при условии успешного внедрения глубоко эшелонированной пограничной полосы, при наличии в ней метровой дыры в заборе имеет мало практического смысла. Затраты могут стремиться к бесконечности, при околонулевой эффективности. При отсутствии в принципе ТЗ и бюджета, позволяющего привлекать внешнюю интеграцию, шанс на это весьма велик, что будет не только дыра, но и сам забор похож на сито и решето от этих дыр
Предприятие не режимное, ничто не мешает приносить личный ноутбук и сидеть с 4G

Уваров А.С.

А вот тут спорное и возражу. Во-первых, это утверждение сферического коня. 
А тут и так у вас сферический конь. Что именно надо от шлюза? Может там какого нибудь Микротика или вообще Длинка будет выше крыши.

Const

#26
29 сентября 2017, 21:45 Последнее редактирование: 29 сентября 2017, 21:57 от Const
Что именно надо от шлюза?
Так писал же ранее : проверять трафик на лету, он-лайн мониторинг и отчётность.
Т е DLP и IPS на всех уровнях трафика,  OpenVPN с центральной сетью в Мск.
Грубо: некий идеальный Ideco, без глюков, присущих свалке кучи скриптов. Головной офис в Мск использует pfsense и их оно устраивает

Может там какого нибудь Микротика или вообще Длинка будет выше крыши.
Точно не вариант.  Аппаратный и ограниченный функционал, заведомое наличие глюков у микротик и тем более - длинк
Сотрудники будут использовать скайп как корпоративный мессенджер. И текст и видео конференции
Что еще придётся использовать кроме этого - х з, любой может завопить, что именно без аськи и до телеграмма - ни жить ни быть, именно там вся работа

Cам не могу добиться ясного представления, как шизики сами себе видят и оценивают. Какие матрицы угроз моделировать; а без этого махание кулаками слепо на ощупь - попал - не попал.
Так как кроме чёрных списков отсечения тех же социальных сетей и возможно мессенджеров, надо ещё и белые, иначе всё сведётся к логированию и мониторингу пост-факт. Возможно, это устроит, возможно - думают затыкать дыры по ходу пьесы и постановки перед фактами. Что без белых списков попытка перебанить интернет, а в белый список - туда все внесут половину интернет; не сразу, так в ближайшем будущем под флагом "ну работать же надо, а поисковик закрыт!". Избежание требует воли и железа с сталью в организме; параноики, шизики и педики в этом списке не значатся, как и наоборот - сисадмин в руководстве )

Уваров А.С.

Головной офис в Мск использует pfsense и их оно устраивает
pfsense осуществляет  DLP и IPS на всех уровнях трафика? Похоже я что-то пропустил в этой жизни...

ival

#28
30 сентября 2017, 12:39 Последнее редактирование: 30 сентября 2017, 12:53 от ival
Так писал же ранее : проверять трафик на лету, он-лайн мониторинг и отчётность.
Т е DLP и IPS на всех уровнях трафика,  OpenVPN с центральной сетью в Мск.
Грубо: некий идеальный Ideco, без глюков, присущих свалке кучи скриптов. Головной офис в Мск использует pfsense и их оно устраивает
Точно не вариант.
Коллега, dlp не удасться реализовать средствами шлюза. Это не dlp, а обычный маркетинг. Обычный разворот пакета, заглядыванием ему под хвос и сравнение с каким-то преднастроеным шаблоном и действие триггера. Что в итоге? Вы получаете миллион оповещений, которые ни как не систематизированны, скорее всего проблемы с https и большую утилизацию мощности. Это нельзя назвать dlp, откажитесь от этой затеи. Никаких плюсов вы не получите. Я всегда сторонюсь железок на которых пишут ngfw+dlp или utm+Dlp. Это маркетинг за который приходиться переплачивать. Ещё надо понимать, что нельзя "раз и ввёл dlp", для это нужно создать юридическую базу виде приказов и распоряжений по организации, провести огромную работу по первоначальной адаптации шаблонов ИБ, развернуть агентов, найти человеческий ресурс который будет анализировать и постоянно проводить работу по модификации шаблонов и ещё много много чего. А по поводу ips/ids при Ваших желаниях цена железного решения на 100 человек будет начинаться от 300к до бесконечности + ежегодно 30% за обвязку. Pfsense как уже писал Уваров ничего этого не может, к сожалению или к счастью))

И ещё вопрос, почему используется openVPN для связки site-to-site? Почему не использовать IPSec, это правильно и логично.

Const

pfsense осуществляет  DLP и IPS на всех уровнях трафика?
)) К вопросу о той наркомании и шизофрении, с которой приходится бороться в среде руководства
Ещё руки не дошли изучить этот вопрос. Если нет - тогда всё намного печальней, чем представлялось.
Придётся похоронить сей нюанс либо внедрять дополнительные/альтернативные решения, если руководство будет упорствовать в своём желании иметь тотальный контроль над работой сотрудников

Const

Вы получаете миллион оповещений, которые ни как не систематизированны, скорее всего проблемы с https и большую утилизацию мощности
Так оно и есть
Это нельзя назвать dlp, откажитесь от этой затеи.
Я б вообще не работал и не внедрял, но за это не платят  :) А так полезный опыт за чужие деньги,  даже если неудачный

Ещё надо понимать, что нельзя "раз и ввёл dlp",
В отличие от руководства с огрызками на перевес, я это знаю. Пусть в несколько ограниченном теорией размере
для это нужно создать юридическую базу виде приказов и распоряжений по организации, провести огромную работу по первоначальной адаптации шаблонов ИБ, развернуть агентов, найти человеческий ресурс который будет анализировать и постоянно проводить работу по модификации шаблонов и ещё много много чего
Спасибо, про это я тоже в курсе. С этим тоже идёт борьба. 
Почти пару месяцев выбивал распоряжения о выделении серверной, так как там же находилась раздевалка с вешалкой, СВЧ печь с водяным кулером и в комнату ходил народ толпой, включая сезонных рабочих
Нач юр отдела от взаимодействия технично слился. Но оно к лучшему, учитывая качество труда. Не имея юридического образования, просто из практики знаю и вижу много прорех, огрехов и откровенных дыр в филькиных грамотах
Тот случай, 2 юризда - 3 мнения, оба негодные. Диплом, если не купленный/липовый, то наверное, заочно/вечерне на платной основе
А по поводу ips/ids при Ваших желаниях цена железного решения на 100 человек будет начинаться от 300к до бесконечности + ежегодно 30% за обвязку.
Не самые большие деньги в бюджетах за безопасность ) Но за информацию ещё раз спасибо
почему используется openVPN для связки site-to-site?
Так многие используют, ну и в головном офисе уже используют и точно вряд ли будут прогибаться.
Почему не использовать IPSec, это правильно и логично.
Х з. Ит дир, хоть и из экс-сисадминов, но давно уже ссучившийся проявляющий гибкость решений, лояльность боссам
и опустившийся пришедший к успеху и обвесу огрызками. Скорее всего, не знал- не знал, да забыл об этом
Раз с pfsense так, то можно представить уровень распоряжений,  а противоречить - себе дороже, да и смысла нет
И так в расстрельных списках рядах подозрительных, этих гнилых интеллигентов, за которыми надо приглядывать
А то ходют тут всякие, симпатизируют натуралам, айфончика опять же нет.  Одним словом - мутный и подозрительный типок ))

Уваров А.С.

Ни pfsence, ни айдеко и т.п. ни DLP, ни IPS не умеют. Как выше уже заметили, DLP и шлюз - вещи принципиально разные.

Но тут встает иной вопрос. Что DLP, что IPS выдают информацию требующую дальнейшей обработки специалистами. Причем специалистами по безопасности, представляющими реальный уровень угроз и критерии реагирования на те или иные сигналы. В любом случае руководству эту информацию не положишь, оно просто ничего там не поймет. А без грамотной настройки фильтров вы получите на выходе ворох всевозможных сигналов, по большинству бесполезных, в которых просто утонет действительно важная информация. Как в старой притче про мальчика, который кричал "Волки!"

Что касается собственно шлюза, то и  pfsence, и айдеко - всего лишь надстройки над стандартным BSD\Linux. Если вы не знаете BSD, то внедрять pfsence - это очень плохая идея. Время этой системы, к сожалению, давно прошло и в случае чего поддержку получить будет довольно проблематично. Linux в этом плане гораздо предпочтительнее, огромное сообщество и большинство проблем кем нибудь да описано.

Если есть желание разобраться и прокачать скилл  - берите Ubuntu или Debian и в путь. Возможности ограничены знаниями и умения. Если надо быстро, тогда смотрите на тот же Айдеко и т.п. Как вариант можно взять лицензию на RouterOS, на мой взгляд достаточно неплохое соотношение цена/возможности.

Но в этом случае готовьтесь к разного рода ограничениям и прочим радостям коммерческих надстроек над Linux. В нашей практике был случай, переносили в виртуальную среду некий ITC-сервер (аналог Айдеко), его место занял шлюз на Debian, а его решили поставить на гостевую сеть (для столовой и небольшого общежития для командированных).

После переноса в Hyper-V выяснили, что ни один сетевой интерфейс недоступен. Поддержка запела песню о лицензировании (хотя лицензировались там клиенты), что надо писать письма с обоснованием замены оборудования и т.д. и т.п. Доступа root у нас не было и дать его нам отказались, однако имея физический доступ к серверу это не проблема.

Получив root мы сразу нашли "защиту", сетевые интерфейсы оказались тупо прибиты к MAC-адресам. Через минуту все снова работало, но осадочек остался.

Вверх