15 Сентябрь 2019, 20:59

Цитата дня:

Ум заключается не только в знании, но и в умении прилагать знание на деле. Аристотель


Совет по распределению ролей серверов в организации.

Автор FloXtoN, 13 Сентябрь 2019, 12:02

« предыдущая тема - следующая тема »

0 Пользователей и 2 Гостей просматривают эту тему.

Вниз

FloXtoN

Нужен совет по оптимизации домена AD.

В данный момент являюсь сотрудником муниципальной организации состоящей из двух разнесенных филиалов. Связь между филиалами через VPN. Для компьютеров связь "прозрачна", т.е. все компьютеры находятся в одном адресном пространстве.
К сети подключены примерно 140 компьютеров (примерно состав по операционным системам: 85 Windows XP, 40 Windows 7, 10 Windows 8.1, плюс сервера), 2 Nas`a фирмы Thecus, 15 МФУ и сетевых принтеров.
Всего в наличии 3 лицензии на Windows Server 2008 Standart и 2 на Windows Server 2003 Standart. Все сервера установлены на "офисное" железо.

Windows Server 2008 Standart:
DC-Prime: контроллер домена AD, DNS, DHCP, WINS (подымался из появившийся проблем с сетевым окружением), WSUS, сервер времени, Kaspersky Security Center и почтовый микросервер на основе Office Mail Server (для сбора и передачи сообщений о состоянии жестких дисков, NAS, и выполнении резервного копирования)
Железо:
  • Материнская карта: Giga-byte H67MA-USB3-B3
  • Процессор: Intel(R) Core(TM) i3-2100 CPU @ 3.10GHz
  • Память: 4096MB
  • Накопитель: Seagate ST31000524AS (1Тб)

Aserver: сервер баз данных MS SQL 2012 Standart, информационая база "Техэксперт"
Железо:
  • Материнская карта: Giga-byte PH67-DS3-B3
  • Процессор: Intel(R) Core(TM) i7-2600 CPU @ 3.40GHz
  • Память: 4x8192MB
  • Накопители: WDC WD10EFRX (1Тб, система и Техэксперт), LSI MegaRAID SAS 9240-4i из 4xFUJITSU MBD2147RC (147Гб) составлен RAID10 для баз MS SQL, SSD PLEXTOR PX-64M2S (64Гб, под tempdb)

Mserver: сервер баз данных PostgreSQL, резервный контроллер AD, резервный DNS
Железо:
  • Материнская карта: Giga-byte H67MA-USB3-B3
  • Процессор: Intel(R) Core(TM) i7-2600 CPU @ 3.40GHz
  • Память: 3x4096MB (было 4, но одна планка вышла из строя)
  • Накопители: Seagate ST31000524AS  (1Тб, система и база данных), WDC WD2500HHTZ (250 Гб, серия VelociRaptor, для файлов выдаваемых по запросу базы данных PostgreSQL)

Windows Server 2003 Standart:
Cserver: файловое хранилище, информационая база "Консультант", сервер лицензий
Железо:
  • Материнская карта: Gigabyte GA-PH67-DS3-B3
  • Процессор: Intel(R) Core(TM) i3-2100 CPU @ 3.10GHz
  • Память: 4096MB
  • Накопитель: WDC WD20EFRX (2 ТБ, система и файловое хранилище), WDC WD20EFRX (2 ТБ, файловое хранилище) Seagate ST32000641AS (2 ТБ, файловое хранилище)

Еще одна лицензия освободилась, т.к. раньше использовалась под сервер бухгалтерской программы Parus. При обновлении программного комплекса пришлось менять операционную систему на Windws 7, т.к. новая версия требовала не ниже Windows 7.
Собираюсь его использовать для шлюза, который в данный момент сделан на компьютере с Windows XP, кроме прокси сервера 3proxy на нем установлены DavMail (для доступа к почтовой части Exchange сервера вышестоящей организации), почтовый сервер HMailServer (используется как шлюз для доступа к почтовым ящикам нескольких сотрудников). Компьютер использовался на Windows т.к. использовалось программное обеспечение VipNet.
В качестве роутера используется MikroTik, думаю сервер времени перевести на него.
Кроме того планируется создание двух, по одному на филиал, файловых серверов для хранения файлов сотрудников на базе Linux.
Т.к. организация муниципальная, то покупка неотечественного ПО теперь запрещена. Соответственно можно использовать только имеющиеся лицензии.
Как более рационально произвести распределение функционала по серверам?

ival

У меня три вопроса:

1. Зачем держать Office Mail Server, если в IIS есть smtp который может отправлять письма от nas
2. Зачем PostgreSQL держать на винде?
3. Зачем NTP держать на Mikrotik?

FloXtoN

1. Отправка идет не только от NAS, а Office Mail Server занимает 1Мб памяти.
2. PostgreSQL устанавливали для написанной для нас сетевой версии программы, до этого использовался так же MS SQL, но из-за некоторых особенностей разработчики перешли на PostgreSQL. Причины перехода мне не известны, т.к. данный компьютер один из самых мощных в организации по процессору и памяти, то установлено было опять же на нем, переустановку операционной системы соответственно не производили. В данный момент общаемся с разработчиками по вопросу возможности перевода на Linux для данного сервера, но пока безрезультатно.
3. NTP, хочу перевести на Mikrotik чтобы повысить надежность, т.е. чтобы при выключении DC-Prime, сервер времени продолжал работать, тем более данный функционал и так есть в прошивке устройства.

Уваров А.С.

Связь между филиалами через VPN. Для компьютеров связь "прозрачна", т.е. все компьютеры находятся в одном адресном пространстве.
Уже плохо, разносите в разные подсети, уменьшите количество широковещания и ускорите работу сети. Второй контроллер отправляете в филиал и делаете сайты в AD.

Mserver: сервер баз данных PostgreSQL, резервный контроллер AD, резервный DNS
Постгрес с контроллера убрать. Вообще на нем другим ролям не место, особенно СУБД, потому как при роли контроллера домена система выключает кеширование записи на диск с системным разделом, что для производительности СУБД очень плохо.

3. NTP, хочу перевести на Mikrotik чтобы повысить надежность, т.е. чтобы при выключении DC-Prime, сервер времени продолжал работать, тем более данный функционал и так есть в прошивке устройства.
Задача в общем и целом бесполезная, так как в домене рабочие станции синхронизируют время на контроллере домена, через который вошли, а КД синхронизируют его с PDC. Так что синхронизироваться с Микротиком может только PDC, но зачем?

Собираюсь его использовать для шлюза, который в данный момент сделан на компьютере с Windows XP, кроме прокси сервера 3proxy
Зачем строить шлюз на ПК? Может лучше переложить эту задачу на Микротик?


FloXtoN

Уже плохо, разносите в разные подсети, уменьшите количество широковещания и ускорите работу сети.
Это было сделано для удобства пользователей, чтобы все имели доступ друг к другу. Кроме того основная работа с документацией идет через приложение использующее оба сервера баз данных, при создание подсетей не будет ли проблема с доступом к нему?

Второй контроллер отправляете в филиал и делаете сайты в AD.
Мысль понятна, насколько я понимаю контроллер нужен на базе Windows 2008, как и основной?
И насколько я понимаю необходим и второй контроллер в качестве резервного, а это уже к сожалению мало выполнимо, т.к. закупка лицензий невозможна, в связи с требованием использовать только отечественное ПО.
Но по настройке сети в таком режиме буду искать и читать документацию, насколько я помню у Вас в блоге есть статья на эту тему.

Постгрес с контроллера убрать. Вообще на нем другим ролям не место, особенно СУБД, потому как при роли контроллера домена система выключает кеширование записи на диск с системным разделом, что для производительности СУБД очень плохо.
Переговоры с разработчиками ведутся, спасибо за дополнительный довод в споре. Надеюсь это ускорит переговоры.

Задача в общем и целом бесполезная, так как в домене рабочие станции синхронизируют время на контроллере домена, через который вошли, а КД синхронизируют его с PDC. Так что синхронизироваться с Микротиком может только PDC, но зачем?
Понял значит с сервером времени заморачиваться смысла нет.

Зачем строить шлюз на ПК? Может лучше переложить эту задачу на Микротик?
Шлюз делается на основе ПК из-за плохого знания работы и функционала Микротик, требования наличия отчетов о посещении сайтов сотрудниками и необходимости почтовых шлюзов к ящикам расположенных у провайдера и Exchange у вышестоящей организации.

Уваров А.С.

#5
13 Сентябрь 2019, 15:43 Последнее редактирование: 13 Сентябрь 2019, 15:45 от Уваров А.С.
Это было сделано для удобства пользователей, чтобы все имели доступ друг к другу. Кроме того основная работа с документацией идет через приложение использующее оба сервера баз данных, при создание подсетей не будет ли проблема с доступом к нему?
Настроите маршрутизацию - не будет. Проблемы могут быть только с плоскими именами, но для домена это не актуально.

Мысль понятна, насколько я понимаю контроллер нужен на базе Windows 2008, как и основной?
Нет, контроллер должен соответствовать уровню домена, если уровень домена 2003 - то можно использовать контроллеры на Win 2003.

И насколько я понимаю необходим и второй контроллер в качестве резервного
Зачем? В AD нет понятия "резервных" контроллеров, все контроллеры равнозначны, но некоторые из них могут также являться владельцами ролей FSMO. Два контроллера вполне достаточно чтобы обеспечить необходимую отказоустойчивость домена. Если сделать оба глобальными каталогами (а это рекомендуется), то ваша инфраструктура вполне может жить с одним контроллером весьма продолжительное время.

требования наличия отчетов о посещении сайтов сотрудниками
Тогда проще поднять в отдельной виртуалке squid и настроить всем прокси через WPAD, а шлюз оставить на Микротике. Либо полностью переводить его на Linux, освободите одну лицензию. Да и Linux для этих целей гораздо более подходит и удобен.
 
необходимости почтовых шлюзов к ящикам расположенных у провайдера и Exchange у вышестоящей организации.
А какая необходимость в этих шлюзах? Почему нельзя непосредственно использовать вышестоящие сервера?

ival

А какая необходимость в этих шлюзах?
Я так понимаю у них Outlook нет, а POP3 и IMAP не включен на Exchange, поэтому и костыли такие сделаны.

FloXtoN

Настроите маршрутизацию - не будет. Проблемы могут быть только с плоскими именами, но для домена это не актуально.
Ясно значит буду изучать документацию.

Нет, контроллер должен соответствовать уровню домена, если уровень домена 2003 - то можно использовать контроллеры на Win 2003.
К сожалению уровень домена 2008.

Зачем? В AD нет понятия "резервных" контроллеров, все контроллеры равнозначны, но некоторые из них могут также являться владельцами ролей FSMO. Два контроллера вполне достаточно чтобы обеспечить необходимую отказоустойчивость домена. Если сделать оба глобальными каталогами (а это рекомендуется), то ваша инфраструктура вполне может жить с одним контроллером весьма продолжительное время.
Т.е. в случае выключения сервера в головном офисе, то тот который находится в филиале сможет выполнять роль контролера и для головного?

Тогда проще поднять в отдельной виртуалке squid и настроить всем прокси через WPAD, а шлюз оставить на Микротике. Либо полностью переводить его на Linux, освободите одну лицензию. Да и Linux для этих целей гораздо более подходит и удобен.
Скорей всего действительно попробуем поднять шлюз на основе Линукс.

А какая необходимость в этих шлюзах? Почему нельзя непосредственно использовать вышестоящие сервера?
Я так понимаю у них Outlook нет, а POP3 и IMAP не включен на Exchange, поэтому и костыли такие сделаны.
Да, на Exchange доступ только по протоколу MAPI, по другим протоколам доступа не предоставляют. Outlook имеется, но при использовании постоянно требуется вводить пароль, ни смотря на сохранения пароля в хранилище паролей Windows, плюс низкая скорость работы. В данный момент в качестве почтового клиента используется Seamonkey и DavMail для доступа. Плюс есть несколько ящиков предоставленных провайдером, без Web интерфейса, для доступа к ним установлен Hmailserver, также в режиме релея.


P.s. Все работы будут производится только на зимних каникулах, сейчас я хочу с Вашей помощью понять куда двигаться и что надо делать, за оставшееся время более тщательно подготовиться чтобы при проведении работ не возникло больших проблем.

ival

#8
13 Сентябрь 2019, 17:47 Последнее редактирование: 13 Сентябрь 2019, 17:51 от ival
Какой exchange, какой outlook, какой сертификат на exchange (самоподписной или нормальный)? У outlook нет проблем с mapi, обычно все проблемы либо из-за плохого обновления, либо при отсутствии обновлений. Смотрите на technet там куча проблем с запросом паролей и целый список отозванных или решающих проблему обновлений. Низкая скорость работы обычно бывает при отключённом кеширавании. По провайдерскому ящику, тоже не совсем понятно. Зачем Вам релей для него?

Уваров А.С.

К сожалению уровень домена 2008.
Ну так у вас же есть "резервный" контроллер, убирайте с него Postgres и отправляйте в филиал. Либо забирайте с него лицензию, такое железо под КД избыточно. Postgres переносите на Линукс, он там лучше себя чувствовать будет.

Т.е. в случае выключения сервера в головном офисе, то тот который находится в филиале сможет выполнять роль контролера и для головного?
Да, только медленнее вход в систему будет.

А про почтовые шлюзы совсем непонятно, зачем они нужны и почему все сделано именно так.


FloXtoN

Какой exchange, какой outlook, какой сертификат на exchange (самоподписной или нормальный)? У outlook нет проблем с mapi, обычно все проблемы либо из-за плохого обновления, либо при отсутствии обновлений.
Тут не могу не могу ничего толком объяснить, т.к. сервер у вышестоящей организации, на контакт, после смены руководителя не идут и информацию предоставляют неохотно. Проблема с паролями возникает только на машинах с Windows XP, но почти все пользователи данных ящиков пользуются компьютерами именно с этой операционной систему, замена их на другие не возможно из-за запрета на покупку не отечественного ПО.

По провайдерскому ящику, тоже не совсем понятно. Зачем Вам релей для него?
Доступ в интернет предоставляется не всем сотрудникам, а только по определенному списку, поэтому для тех сотрудников за которыми закреплены почтовые ящики и не разрешен интернет, установлен почтовый сервер в режиме релея.

Ну так у вас же есть "резервный" контроллер, убирайте с него Postgres и отправляйте в филиал. Либо забирайте с него лицензию, такое железо под КД избыточно. Postgres переносите на Линукс, он там лучше себя чувствовать будет.
Скорей всего так и поступим, договоримся о переносе сервера на линукс, а КД поставим на другую машину.

А про почтовые шлюзы совсем непонятно, зачем они нужны и почему все сделано именно так.
По шлюзу к Exchange. Раньше у вышестоящей организации был другой начальник. Так же был установлен Exchange, но доступ был сделан не только по MAPI, но и POP3 и IMAP.  В качестве клиентов был установлен Seamonkey. Все было настроено, все работало.
Пришел новый начальник, пошло большое количество нововведений, в том числе был установлен Exchange более новой версии, но доступ к нему теперь только через MAPI, открывать другие порты отказываются, но пользоваться ящиками мы обязаны, т.к. они являются официальными и внесены в официальные документы. При работе через Outlook, есть проблемы авторизацией, при каждом соединении требуется вводить логин и пароль, плюс скорость работы невысока. Поэтому был найден следующий вариант DavMail POP/IMAP/SMTP/Caldav/Carddav/LDAP Exchange and Office 365 Gateway, с помощью него происходит связь с сервером Exchange.

Про HMailServer в режиме релей. Кроме почтовых ящиков находящихся на Exchange, нам выделено несколько ящиков у провайдера. Они тоже являются официальными и имеют ряд преимуществ, в них нет фильтрации по спаму, а иногда из-за этого мы не можем получить почту от некоторых организаций, и ограничение на размер письма тоже гораздо больше, что тоже весьма важно. Для работы данных ящиков на шлюзе установлен почтовый сервер, на который приходит почта снаружи и распределяется по нескольким виртуальным ящикам принадлежащим отделам организации, те которые небыли отсортированы правилами, поступают к нам. Периодически проверяем содержимое ящика, если попадаются письма предназначенные другим отделам, но не переданные в автоматическом режиме, то перебрасываем на нужный ящик, ну и отвечаем на оставшиеся письма не являющиеся спамом.

ival

А домен который хостится у провайдера под вашим управлением? Почему нельзя к exchange обращаться через owa? Это лучше чем использовать прослойку между клиентом и сервером. Вообще какие-то страсти рассказываете.

FloXtoN

А домен который хостится у провайдера под вашим управлением? Почему нельзя к exchange обращаться через owa? Это лучше чем использовать прослойку между клиентом и сервером. Вообще какие-то страсти рассказываете.
У нас нет домена у провайдера. DavMail как раз через OWA  и работает с Exchange.

ival

#13
14 Сентябрь 2019, 12:56 Последнее редактирование: 14 Сентябрь 2019, 13:02 от ival
Так смысл тогда DevMail если пользователь напрямую может обращаться к owa используя броузер? Почему нельзя попросить создать субдомен у головного офиса, направить mx субдомена на себя, поднять у себя почтовик и на exchange настроить пересылку с ящиков которые вам нужны на ваш почтовик?

Уваров А.С.

Так смысл тогда DevMail если пользователь напрямую может обращаться к owa используя броузер? Почему нельзя попросить создать субдомен у головного офиса, направить mx субдомена на себя, поднять у себя почтовик и на exchange настроить пересылку с ящиков которые вам нужны на ваш почтовик?
Я подозреваю, что это нереализуемо по политическим причинам. Хотя вариант неплохой, можно поднять Zimbra, а почту с тех же провайдерских ящиков забирать через fetchmail, при необходимости можно и с Exchange соединить, насколько я помню, она в бесплатной версии вроде бы умеет такое. Либо через DavMail.

FloXtoN

Так смысл тогда DevMail если пользователь напрямую может обращаться к owa используя броузер? Почему нельзя попросить создать субдомен у головного офиса, направить mx субдомена на себя, поднять у себя почтовик и на exchange настроить пересылку с ящиков которые вам нужны на ваш почтовик?
Я подозреваю, что это нереализуемо по политическим причинам. Хотя вариант неплохой, можно поднять Zimbra, а почту с тех же провайдерских ящиков забирать через fetchmail, при необходимости можно и с Exchange соединить, насколько я помню, она в бесплатной версии вроде бы умеет такое. Либо через DavMail.
Можно было бы просто, как было ранее, открыть возможность подключения через IMAP, но как и сказал уважаемый модератор, руководитель IT отдела вышестоящей организации на контакт идти не хочет.

FloXtoN

Только сегодня начальнику довел информацию о
потому как при роли контроллера домена система выключает кеширование записи на диск с системным разделом,
Теперь у него возник можно ли как нибудь протестировать уровень потери производительности от отключения кеширования.
И можно ли, пока не будет произведен перенос PostgreSQL, поставить неактивированный сервер и на него перевести роли контроллера, на случай аварийных ситуаций?
Можно конечно, насколько я понимаю, просто в свойствах диска включит кеширование и переживать. Но думаю это будет неправильно.
Поэтому думаю поднять Microsoft Server Hyper-V 2012, просто есть комплект (материнка, процессор и память) на которых минимально что запускается Windows 8.1 (проблема с драйверами по USB), а уже поверх развернуть сервер c 2008 в виртуалке, на нем поднять роли контроллера домена, естественно, придется несколько раз переустанавливать, т.к. работы раньше чем в новогодние праздники проводится не будут, а это дольше чем возможно число дней которые сервер сможет проработать без активации.

Уваров А.С.

Можно конечно, насколько я понимаю, просто в свойствах диска включит кеширование и переживать. Но думаю это будет неправильно.
Это будет работать до первой перезагрузки, потом контроллер снова отключит кеш, это архитектурная особенность связана с обеспечением целостности базы AD, кеширование может привести к потенциальному повреждению базы.

Поэтому думаю поднять Microsoft Server Hyper-V 2012
Берите уже 2016, зачем ставить заведомо старую версию.

естественно, придется несколько раз переустанавливать, т.к. работы раньше чем в новогодние праздники проводится не будут, а это дольше чем возможно число дней которые сервер сможет проработать без активации.
Зачем? Без активации он будет только писать предупреждение в углу экрана, при этом ничего не ограничивается и не блокируется. При этом можно три раза официально сбросить тестовый период командой:

slmgr -rearm

с последующей перезагрузкой.

FloXtoN

Зачем? Без активации он будет только писать предупреждение в углу экрана, при этом ничего не ограничивается и не блокируется. При этом можно три раза официально сбросить тестовый период командой:
Потому и придется 3х30=90, а надо чуток дольше.

Берите уже 2016, зачем ставить заведомо старую версию.
Не подумал, согласен.

Еще один вопрос, можно как-нибудь сохранить список резервирования DHCP, т.е. список компьютеров с их IP и MAC адресами? Так как, в отличии от DNS, выдавать адреса в одном пространстве может выдавать только один DHCP сервер, и в случае его "падения" этот список может потеряться. У нас через него выданы адреса для компьютеров чьим сотрудникам разрешен выход в интернет, плюс сетевые принтеры, сервера и NAS, также в нем находятся. Просто сейчас приходится дополнительно вести список этого оборудования в текстовом файле, что не совсем правильно.

Уваров А.С.

Потому и придется 3х30=90, а надо чуток дольше.
Немного не так, 30 дней - начальный срок активации, еще три раза можно сбросить - итого 120 дней.

Еще один вопрос, можно как-нибудь сохранить список резервирования DHCP
Выполните архивацию штатным инструментом.

FloXtoN

Большое спасибо, значит завтра и начну. После прочтения материала, возможны еще вопросы, буду, если не возражаете, продолжать задавать в этой теме.

Вверх