Организация Next: Восстановление

Аватар пользователя Raven2000

Тема данной статьи довольно необычна для технических специалистов, но обычна для Российской действительности и освещает самые главные проблемы фирмы (нет не "дураки и дороги" хотя и от этого недалеко), а "Что делать?" Н. Г. Чернышевского и "Кому на Руси жить хорошо" Н. А. Некрасов. И так начнем своё повествование.

Однажды директора фирм M в городе N очень допекло, что компьютеры постоянно ломаются, вирусы везде, деньги из он-лайн банков крадут, и тп. Подсчитал, что выгодно нанять специалиста по информационным технологиям, который как факир преобразит их фирму и поведет к светлому будущему. До этого они экономили на этой ставке в виду того, что один мальчик там что-то может тыкать и ставить винду, но последствия этих тыков все нарастали и толстели. Точкой отсчета стало, что украли со счетов ~300 000 руб через компьютер глав. бухгалтера

"там была дискета с ключем и днем странно окошки начали прыгать и деньги на следующий день куда то делись" (c) со слов гл. бухгалтера

Это и был финальный аккорд и начало нашей пьесы.

Собственно мне эту фирму и преподнесли со словами "сделай с ней что-нибудь вменяемое, если по $ договоритесь". Ну что начнем в хронологическом порядке.

Подготовительный этап

В процессе переговоров попросил ответить на три вопроса.
1. какое кол-во клиентских компьютеров.
2. что конкретно нужно и сроки исполнения.
3. какая ставка.

Ответы.
1. компьютеров ~20 (в итоге оказалось 32)
2. по срокам и конкретным работам тоже пространственно, но чтобы было безопасно и работало как часы.
3. ставка 20к руб в месяц.

Проверка

Попросил дать мне возможность проверить техническое и организационное состояние фирмы для решения того буду ли я работать с ними.

Результаты инспекции
СКС:
1. в одном здании три офиса и они не связанны между собой + филиалы но это отдельный разговор.
2. три разных интернет провайдера с разными скоростями и качеством связи. Никто не мог сказать какие это провайдеры и как заключен договор с ними.

Оборудование:
1. Стойка забитая до отказа: набита телефонией от всего здания и максимум, что можно туда поставить это что-то размером в ~5U (стоит в приемной без вентиляции и кондиционера).
2. свич D-Link DES-1250G (все патч-корды без стикеров и пометок)
3. компьютер на котором крутятся HDD диски со старого сломанного "сервера" с базами. Чудом Windows 2003 заработал на другом оборудовании при перемещении HDD.
3.1. монитор, клавиатура с мышью подключенные к нему
3.2. много рабочих сетевых сервисов на "сервере". На нем стояла сетевая 1С 7.Х с вариациями, сетевая 1С 8.Х тоже с вариациями, Консультант +, Гарант и тд.
4. UPS Smart-UPS 2200
5. Сломанный "сервер", по его останкам я понял, что это ПК с отдаленной претензией на сервер Intel® SC5650 с мамкой S3000AH.

Клиенты:
1. пользователи работали с правами администратора, установлено ПО - черт знает какое, у кого не было антивирусов, у некоторых 2-3 одновременно (у большинства стояло по два) в дополнении этого базы были последний раз обновлены 2-8 мес. назад. У каждого ПК была своя расшаренная директория для обмена файлами.
2. Везде Windows XP без заплаток и максимальный SP - SP2, а то и SP1 или его отсутствие.
3. Железо разношерстное, примерные хар-ки 2,5ГГц 512Мб RAM.

Аэл би бэк

Вернулся и сказал, что согласен только при выполнении трех условий.
1. закупка оборудования на сумму ~100 тыс. руб (больше они не могли обеспечить по результатам переговоров).
Из расчета:

  • а. srv1.firma.local - контроллер домена, шары, wsus, master dns, антивирус и т.п. (W2k3)
  • б. srv2.firma.local - базы данных (W2k3)
  • в. thor.firma.local - обслуживание сети, slave dns, dhcp, NUT, ftp, synch (восстановлю старый сервер и там будет жить FreeBSD amd64-8.1)
  • г. сетевое оборудование - хардварный фаервол

2.выполнение обязанностей только сетевого и системного администратора т.е. только сервера, сетевое\серверное ПО, работа и общение с пользователями будет в минимальной функциональности. Это контроль работы, безопасность, элементарная тех. поддержка, и поддержка ПО, которое необходимо для работы в данной локальной сети. Максимум, что могу позволить с ПО, которое не нужно для работы с СКС - это элементарная поддержка (установка и обновление) 1С, Гарант и Консультант. В дальнейшем при закупке новых компьютеров включать в их стоимость необходимое лицензионное ПО.
3. все работы и дальнейшее администрирование проводить удаленно через VPN. И самое главное все должно быть документально оформлено все права и обязанности без всяких звездочек. И я приступаю к работе после закупки всего оборудования.

Подписал договор и сказал звоните когда закупите.
Директору показал, составленный план работ, который кстати я начал в черновом варианте составлять когда инспектировал эту организацию. Он посмотрел и спросил как будут проводится работы и дату их окончания я сказал, что сначала будут установлены и настроены сервера, удаленный доступ и т.п. - это основа вертикального подхода, а потом будет и горизонтальный подход - настройка клиентских компьютеров и их ПО с дополнительными настройками. Дата окончания работ через 4 недели с условиями поставки оборудования в срок и без форс мажора, но сразу предупредил, что после этого еще 4 недели я буду держать эту фирму в тестовом режиме т.к. будет тестироваться и обкатываться техника, ПО и выявляться проблемы и баги программного обеспечения - это самое критичное время. После этого я смогу сказать, что все в порядке и можно пускать в автопилот. Итого весь сентябрь на работы, а октябрь на обкатку и доводку до ума.

Оборудование

Я отправил им список необходимого оборудования.

Немного опишу. Выбирал исходя из цены и необходимых потребностей.
1. WAN - для интернета и удаленной работы выбрал проверенный временем хардварный фаервол D-Link DFL-210 с подпиской на обновление сигнатур IDS/IDP. DFL-210 недорогой как раз для небольших фирм, позволяет создавать VPN серверы, имеет поддержку сигнатур IDS/IDP, поддерживает так же антивирусные сигнатуры, есть система фильтрации содержимого, pipe и многое другое.

2. Сервера - до полноценных HP серверов по деньгам не доросли и я обратился к недорогим серверным платформам для до сборки фирмы Intel и подобрал 1U Intel SR1630HGP (конфигуратор системы и небольшой обзор) в поставку этой платформы отсутствует RAM, HDD, CPU и это необходимо нужно опционально докупать. А так же к нему необходимо: набор крепления в стойку, защитная морда, DVD-RW, SATA\SAS панель.

3. KVM - переключатель заказал Aten CS1734B без этой железки жизни не будет. Подключим 3 сервера в стойке к одному монитору, клавиатуре, мыши, в работе это очень удобно, особенно при возникновении проблем с железом или осью.

План работ

Роли

Перед созданием плана необходимо определится какие нужны серверы, и за что они будут отвечать. Необходимо утвердить наименование серверов их синонимы, наименование клиентских ПК, привязать MAC+IP, отметить IP и PORT подключений в свитче, диапазоны подсетей и т.д.
И вот как я распределил:

Ну начнем по пунктам:

Диапазон подсетей.

Как вы видите я разбил на четыре группы "Сервисные", "Бухгалтерия", "Общие", "VPN" и каждому выдал диапазон IP. У группы "Сервисные" и "VPN" привязка статическая без DHCP, а у группы "Бухгалтерия", "Общие" привязка к IP через DHCP по MAC. И к слову сказать последние цифры IP отображаются в имени клиентского ПК, но это позже.

Именование ПК

Здесь я указал основные сетевые серверы и группы, а так же указал их, имя, алиасы, IP, порт свича и номер по KVM.
Прошу обратить внимание на PC0050 с этого наименования начинается нумерование клиентских ПК, а так же их IP адресов. То есть ПК с именем PC0051 присваивается IP 192.168.0.51.

Советы:
  • Нумерование машин происходит по часовой стрелке от входа в помещение и так по всему зданию по часовой стрелки.
  • В начале можно IP и не присваивать, но при снятии хар-к ПК запишите MAC адрес и в будущем в DHCP укажите его с привязкой MAC+IP так будет быстрее и мягче переход.
  • На рабочем столе клиента в место надписи "Мой компьютер" укажите новое имя ПК "PC0051" так будет легче пользователю когда ты спрашиваешь его имя ПК который и является IP. Ну не будешь же ты спрашивать, а какой у вас IP =)
Характеристики серверов

Тут я расположил таблицу где указанны сервера с их внутренним распределением HDD, САТА каналами и алиасами. Это поможет вам в будущем. Я указал два новых закупленных сервера и третий который надеюсь починить.

Маркировка

Чтобы не запутаться в компьютерах, а так же кто подключен к KVM и свичу я всегда маркирую их.

Я делаю вот такую простую таблицу: разрезаю и приклеиваю на KVM и сервера. Далее я маркирую патч-корды серверов и сетевых устройств т.е. с обоих сторон патч-корда указываю IP (последние цифры). Для маркировки продаются спец. блокнотики, где уже есть номера\буквы, которые можно наклеить на кабель. Так же есть программы, которые делают маркировку и потом ты со клеишь на кабель.

Этапы

Как я уже говорил ранее уже при первом посещении фирмы я начал составлять план будущих работ - это САМОЕ ВАЖНОЕ. Этапы работ - как вы представляете свои действия и что будет являться вехой для перехода к следующему этапу. В каждом этапе есть список работ с определенными зависимостями без которого вы не сможете начать следующую работу. И укажите время на конкретную работу + 20-30% сверху и столбцом времени и готовности.

Необходимо учесть, что план может дополнятся и изменятся тк бывают нюансы которые вы может упустили или не знали.

Вот какой план работ я составил исходя из того, чтобы большинство работ я мог делать удаленно.

Рассмотрим вкратце каждый этап этого плана.

Подготовка

Все что касается сбора информации, заказа оборудования, подписания договоров. Все это должно быть тут. Но я уже заранее этот этап выполнил и можно ставить даты и степень готовности.

Нулевой этап

Этот этап важен и многие забывают о нем, а ведь при сборке может возникнуть ситуация, что чего то не хватает или может вы сами физически не можете что то сделать и требуется напарник: распутать витухи и разобраться с СКС в стойке, установить сервера, да много ли каких проблем может возникнуть.

Первый этап

Именно на этом этапе я подготавливаю себе удаленный вход, защиту сети от внешних вторжений, ограничения по работе с интернетом для пользователей и тд. Очень важно после настройки данного устройства перезагрузить его и протестировать VPN соединение с данной сетью, проверить возможность изменения правил через интернет по ssh и\или https.

Второй, Третий, Четвертый этап

Тут все понятно я собрал сервера, протестировал их работоспособность, установил ОС и сделал так чтобы они могли управляться посредством удаленного доступа. Все остальные настройки и установки специфичного ПО я уже мог делать из дому т.к. в первом этапе я обеспечил это.

Пятый этап

Это самое трудоемкое и нервное занятие - подключение к домену, конфигурирование клиентских ПК, решение ошибок ОС, контролирование что бы GP применились без ошибок, блокирование ненужных учетных данных этого ПК, объяснение пользователям как вести себя в сети, для чего нужен пароль, почему удалились все игрушки и левые программы оптимизации ПК. А так же перенос всех данных и документов пользователей в новые учетные записи. И многое другое я для этого написал небольшой Чек-лист, чтобы ничего не упустить.

Опишу каждый пункт

  1. Заблокировать BIOS - это важно в виду того что некоторые продвинутые пользователи пытаются через биос сделать возможность загрузки с CD ну и программно сбросить пароль локального администратора с последующими выводами. Пароль (цифровой) на BIOS клиентских машин я ставлю один и тот же.
  2. Запретить в BIOS загрузку с других устройств - запуск только с HDD на котором ОС и никаких CD, USB, NET и тп загрузок.
  3. Изменить пароль для локального Администратора - я ставлю один длинный пароль на все клиентские машины.
  4. Понизить в правах существующего пользователя до прав обычного пользователя - без этого никак тк обычно пользователи работают с правами администратора или самим администратором.
  5. Сохранить старого пользователя, записать его логин и пароль, с именем ПК - это очень помогает при разборе полетов с пользователями
  6. Удалить стороннее ПО (с сохранением, закладок браузера, почты) - я поддерживаю на ПК только необходимое ПО все остальное, что мешает работе системы подлежит удалению. Нужно без фанатизма этому следовать, что то можно и оставить =)
  7. Присоединить к домену с указанием имени ПК - имя ПК уже у меня заранее зарезервировано.
  8. Установить необходимое ПО, проверить как установились MSI из групповых политик. Установить полные права на необходимое специфичное ПО для пользователей домена, например для Thunderbird, спец программ и тп. - это важно и тут могут быть некоторые проблемы и нужно быть внимательным.
  9. Установить удаленный доступ к ПК - для решения проблем через удаленный доступ. Вы можете для этого использовать "Удаленный рабочий стол", Netop, Radmin и тп.
  10. Копирование данных со старой учетной записи в новую - именно копирование старых документов, чтобы все осталось на местах и это ОЧЕНЬ ОЧЕНЬ запомните помогает при разборках в стиле "у меня была папочка, а теперь ее нет вы ее удалили, а там отчеты и тп!" а ты и говоришь вот ваша старая учетная запись покажите, где она есть? Вопросы испаряются. Дальше идут закладки IE\FF, документы с рабочего стола и из директории "Мои документы", импорт электронной почты в Thunderbird, восстановление ссылок на необходимое установленное ПО (1С и тп))
  11. Снять характеристики оборудования - это все что внутри компьютера, а так же версию BIOS, MAC адрес и тп можете воспользоваться любой программой например Everest. Сохранить характеристики в файл с таким же именем как и ПК и прикрепить в профиль данного ПК созданного в GLPI
Советы
  • Подключайте поэтапно по блоку\комнате\этажу так будет легче работать с людьми и будут выявляться все скрытые проблемы.
  • Проводите работу и подключайте ПК по возможности без пользователей, например в выходной день, чтобы не отнимать у них время, но сделайте так чтобы при приходе на работу у них было все на месте и они могли полноценно работать.
  • На следующий день когда пользователи приходят на работу будьте там, раздайте пароли, объясните как работать и какие перемены у них будут и самое главное не планируйте в этот день ничего вы должны выявить проблемы с которыми могут столкнутся пользователи и оперативно их решить, а так же рассказать как они могут получить помощь. Узнать что им не хватает или хочется реализовать к примеру я спросил какие вам нужны сетевые директории и как они по отделам должны быть разграничены и это позитивно отразилось на отношении со мной пользователей. Оставьте свои координаты, покажите как работает тикет система и е-майл поддержки. Если у вас все прошло гладко то поздравляю и можно подключать оставшихся. Если нет то проанализируйте в чем было больше вопросов и решите проблему до подключения других компьютеров.
Дополнительно

Здесь все то, что можно делать плавно и после того как все устаканится. Это перенос БД на новый сервер, создание документации которую я веду в GLPI паралельно работе и т.п.

Секретные материалы

Самое главное - это база логинов и паролей от серверов, учетных записей пользователей, баз данных и многое другое.Хранилища БД паролей нужно для:

  • удобной работы с паролями и защиты от угона файла паролей
  • структурирование БД паролей как угодно
  • генерации паролей по любому алгоритму
  • работы без привязки к ПК например с флешки
  • грамотной распечатки для работы или для архива

Я всегда делаю пароли криптостойкими и я физически не смогу запомнить подобный пароль "yAiFsx7Bw1f8p", но оно мне и не нужно. Я уже давно пользуюсь программой KeePass Password Safe. Это очень удобная программа я храню там все и пароли от сетевых устр-в и от сетевого ПО и тп. Научитесь с ней работать и вы ее полюбите!

KeePass Password Safe — это бесплатная программа с открытым исходным кодом. Она предлагает безопасное хранение всех паролей в одной базе, зашифрованной стойкими алгоритмами — AES/Rijndael с 256-битным ключом (можно дополнительно указать ключевой файл и мастер-пароль для открытия базы). Обладает многоязычным интерфейсом (русская локаль доступна для скачивания с официального сайта), обеспечивает удобный доступ к паролям (например с флэшки портативная версия). Программа работает почти со всеми версиями Microsoft Windows. Существует кросплатформенный порт — KeePassX и версии для различных мобильных платформ.

KeePass Password Safe поддерживает автозаполнение, поиск по базе, безопасную работу с буфером обмена, и многое другое. Более того — изначальная функциональность может быть расширена с помощью плагинов, которые публикуются на официальном сайте.

Советы

  • Заранее создайте все учетные записи и пароли к ним от серверов и учетных записей клиентов, а так же от сетевого оборудования, ПО, баз данных, список вендоров с контактами и тп.
  • Создайте два шаблона одинаковых данных один для серверов другой для клиентов. К примеру в шаблон могут войти одинаковый пароль от BIOS, от удаленного доступа и тп.
  • Распечатайте БД и в папку, она вам пригодится при работе на месте подключения.

Работа

Ну что же для начала соберем все сервера установим в стойку и проверим HDD и RAM тк нам нужно долго и счастливо работать.

Проверка

Для этого я использую сборку Hiren’s BootCD, в ней есть множество замечательных утилит в том числе.

  • MHDD - для проверки поверхности жеского диска и возможным ремонтом HDD
  • Memtest86+ - для теста памяти

Запускаем на трех серверах и ждем окончания работы и результатов. У меня обошлось без приключений.

Обновление

Так же я захотел обновить прошивки всех серверов для этого есть специальный загрузочный образ Intel® Deployment Assistant Wizard, который позволяет настраивать и модернизировать BIOS и встроенное ПО, а также позволяет автоматически установить ОС. Для каждой платформы необходимо закачивать свой Assistant, поэтому у меня были заблаговременно записаны два диска.
И с помощью него я обновил BIOS, настроил RAID и провёл некоторые манипуляции с сервером.

Проблемы

Сервера
При установке Windows 2003 St на сервера SR1630HGP Windows отказался видеть жеские диски хоть с драйвером хоть без него. Для этого и нужен нам Intel® Deployment Assistant Wizard он спросил, что хотим ставить, где образ системы и спросил некоторые настройки. После этого он бодро закатал себе образ и скопировал в корень Windows драйвера от контроллера и сказал, что будет перезагружаться. После перезагрузки система была уже установлена. =) Пока я до настраивал два виндовых сервера до возможности удаленной работы, третий сервер с FreeBSD уже бодро качал порты и обновления из интернета.

Сеть
Как было озвучено стоял свич D-Link DES-1250G и я все три сервера воткнул в гигабитные порты вечером в воскресенье все работало, и в понедельник пришли пользователи, нагрузка на свич возросла и клиентские компьютеры стали терять интернет, сетевое соединение, доступ к расшаркам и тп.
Начал смотреть свичь, переключил сервера с портов 1Gb на 100Mb порты проблема ослабла, но не исчезла. Я сразу все понял и полез на сайт D-link за новой прошивкой и после прошивки свича все встало на место.
Так же мне пришлось ждать два дня когда фирма соединит два офиса, проведет от них СКС до свича.

Оборудование
KVM Aten CS1734B иногда после долгой работы (2-3 суток) терял монитор, клавиатуру, мышь. Лечится тоже перепрошивкой.

Клиентские ПК
Проблем было много и они были разнообразные. Начиная с того что:

  • не подсоединялись некоторые ПК в домен из за поврежденных файлов (решение sfc /scannow)
  • не зайти в safe mode системы из-за аналогичных проблем и\или были проблемы из-за вирусов (решение AVZ и sfc /scannow
  • старые SP я обновлял сразу до SP3
  • проблемы с установленным ранее ПО
  • и т.п.

Сетевая инфраструктура

Роли серверов

Каждый сервер в сети отвечает за свою часть работы и их совокупность дает полноценную работу всей инфраструктуры сети. Для повышения стабильности некоторые сервисы продублированны.

  • srv1.firma.local - контроллер домена, распространение ПО, настройка и защита клиентов.
    • Primary DNS
    • Active Directory
    • Групповые политики
    • Разворачивание ПО через AD
    • Расшаренные директории с теневыми копиями
    • Антивирусный сервер и точка распространения антивирусных политик и обновлений.
    • Система обновлений WSUS
  • srv2.firma.local - сервер баз данных, 1С, Гарант, Консультант + и т.п.
  • thor.firma.local - сервер обеспечивающий эксплуатацию СКС, подержание работоспособности серверов и сетевых ресурсов.
    • Slave DNS
    • DHCP
    • Управление питанием серверов - NUT
    • Служба технической поддержки и менеджмент ресурсов компании GLPI
    • Сетевые ресурсы - oldap, jabber, squid и тп

Структура домена

Сейчас она простая в будущем возможно будет сделана репликация Active Directory.

Групповые политики

Тут все просто я создал контейнеры для компьютеров и для пользователей с вложенными субконтейнерами.

  • PC - контейнер для компьютеров с общими GP.
    • PC_Admin - ПК админов, наделенные некоторыми привелегиями
    • PC_User - все остальные
    • Servers - сервера
  • USERS - контейнер для пользователей с общими GP.
    • Admin - администраторы (применяются ограничения группы USER)
    • Tech - технические учетные записи для оборудования и ПО (применяются ограничения группы USER)
    • User1 - пользователи группы №1 (применяются свои ограничения и группы USER)
    • User2 - пользователи группы №2 (применяются свои ограничения и группы USER)


Каждой группе присваиваются свои политики, но я упомяну некоторые из них.
Для контейнера PC я присвоил следующие политики.

  • WSUS - настройка клиентов на работы со службой WSUS работающий на этом сервера
  • Log - ограничения на кол-во записей в логах сервера по дням
  • Security - ограничения связанные с работой клиентов и того что им категорически нельзя
  • Preset - автоматически устанавливаемые программы
  • NTDP - указание сервера времени
  • Autorun - отключение автозапуска. И в дополнении я запрещаю запускать программы с USB\CD\DVD с помощью Symantec Endpoint Protection

Как вы видите я многое привязал к ПК, а не к учетным записям пользователей и это очень важно тк все довольно стандартизировано и при этом не будет постоянных изменений конфигурации и ПО. В группу пользователей я вынес только то, что должно меняться при их входе это и расшаренные директории, и закладки и некоторые ограничения характерные для определенной группы.

Советы

1. Неправильная обработка GP и присоединение к домену

Клиентом неправильно обрабатывались GP. Коды ошибок 1000, 1006, 1030 источник Userenv, UserInit. А так же неудача запроса GP и соединения с доменом.
* cmd
* rundll32.exe keymgr.dll,KRShowKeyMgr
* gpupdate /force

Для визуализации GP, применимых на клиенте, выполните
1. gpresult
2. cmd + rsop.msc

В Windows 7 можно применить следующее
1. GPRESULT /H D:/GPReport.html

2. Обновления WSUS

Если клиент не обновляется\не видно его в консоли WSUS то:
* cmd + wuauclt.exe /detectnow или Wuauclt.exe /resetauthorization /detectnow
* WindowsUpdateAgent20-x86.exe /wuforce
* WSUS client Diagnostics

3. Проблема с учетными записями клиентов домена на ПК, сетевыми директориями и тп.

Необходимо удалить кешируемые записи для устранения проблем с аутентификацией. При возникновении ошибок о не нахождении учетной записи хотя она существует и работает, и невозможности штатно подключить сетевые диски с ошибкой "Не найден пользователь" делаем:

* cmd + rundll32.exe keymgr.dll,KRShowKeyMgr
* Удаляем существующие учетные записи и перезагружаем компьютер.

4. Активное применение групповых политик

* cmd + gpupdate /force

Распространение ПО

Как вы уже видели групповая политика распространения ПО по сети это "Preset" в ней я указываю, что нужно ставить обязательно, а что по выбору пользователя. Так же как и что обновлять.

Как вы видите тут несколько программ и их обновления. Необходимо чтобы все программы были доступны по сети, те должны находится в сетевой директории после применения GP на компьютере при следующем перезапуске все это программное обеспечение будет установлено или обновлено.

Общие директории

Общие директории для офисной сети важны, а так же важно чтобы они работали хорошо, была возможность откатить до нужной даты ФС если нужно восстановить удаленный файл. А так же распределить чтобы при входе пользователя монтировалась сетевая директория нужной группы пользователей.
Так же я в свойствах нужной директории указал необходимость "Теневой копии" и включил ее создание через каждые 4 часа с ограничением общего объема до 10 Гб.
К примеру я сделал несколько сетевых директорий на сервере.

  • Shared_1 - для пользователей группы 1
  • Shared_2 - для пользователей группы 2
  • Software - место дистрибьютора программ
    Administrator - специальное ПО которые которое устанавливает только администратор
    ISO - образы систем и программ
    Preset - программы в MSI формате для установки через GP домена
    Standart - все остальные программы

Для автоматического монтирования сетевых директорий при входе учетной записи в домен необходимо создать GP в контейнере нужной группы и указать параметры подключение в bat.

Shared_user.bat

net use * /delete /yes
net use X: "\\SRV1\Shared"

В GLPI я так описал для потомков.

Расшаренные директории в FIRMA.LOCAL

В сети существует несколько типов директории:
Пользовательский
o Сетевой путь: \\SRV1\Shared

Административный
o Сетевой путь: \\SRV1\Software

Резервные копии
o Сетевой путь: \\SRV1\Backup

Пользовательский
Сетевой путь: \\SRV1\Shared
Права:
o Администраторы домена чтение\запись
o Пользователи домена чтение\запись в своих директориях
Структура:
o FIRMA
+ Shared-1
+ Shared-2 (для пользователей по фамилиям)

На диске D на сервере SRV1.FIRMA.LOCAL, где находится директория Shared включена поддержка "Теневых копий".
Расписание:
o Ежедневно с 08:00 до 17.00 через каждые 4 часа

Административный
Сетевой путь: \\SRV1\Software
Права:
o Администраторы домена чтение\запись
o Пользователи домена чтение
Структура:
o Software
+ Administrator - Программы для установки только администратором в виду наличния лицензий или тонкостей в установке
+ Drivers - Драйвера
+ Backup - резервные образы систем
+ ISO - Образы необходимых ОС и программ
+ Preset - Программы для распространения через GP
+ Standart - Сборник стандартных программ для возможной установки

Резервные копии
Сетевой путь: \\SRV1\Backup
Права:
o Администраторы домена чтение\запись
o Пользователи домена чтение
Структура:
o License
+ New_install - Образы новых инсталяций систем.
++ Servers - Сервера
++ Hosts - Клиенты
+ Work - резервные образы работающих систем
++ Servers - Сервера
++ Hosts - Клиенты
o Config - конфигурационные файлы устройств

Автоматическое подключение
Директории подключаются средствами GP согласно группы учетной записи.

Admins
net use * /delete /yes
net use X: "\\SRV1\Shared"
net use Y: "\\SRV1\Software"

Users
net use * /delete /yes
net use X: "\\SRV1\Shared"

WSUS

Windows в интернете без заплаток это как голой попой на ежа. Я всегда разворачиваю службу WSUS в домене это позволяет повысить безопасность работы клиентов и повысить устойчивость работы ПО.
Советы

  • При большом и разнообразном парке ПО от Microsoft выделяйте большой раздел жесткого диска под WSUS
  • Создайте хотя бы две группы, к примеру "Test" и "PC" в первую группу поместите 30% компьютеров, во вторую 70%. И при появлении новых заплаток сначала примените в группу "Test" и если после применения (1-2 дня) все прошло успешно то можете разворачивать данные заплатки в группу "PC". В больших группах компьютеров ~200-500 и тп я рекомендую распределять так если по процентам то 10% 15% 30% 45% или блочно отдел, этаж, здание. Так вы избежите больших проблем.

Помощь пользователям GLPI

Для своего удобства в работе я заставляю пользователей переходить от звонков к тикет системе и отправкой е-майл в суппорт систему. И необходимо показать как с этим работать, а так же проследить чтобы они под вашим присмотром смогли сами сделать свой первый запрос в поддержку. И в дальнейшем принудительно переводите на ее использование всех пользователей. Невсегда это получается , но стремитесь к своей цели.
Как уставновить и настроить GLPI см тут.

Фаервол

Всегда ведите документацию по всем работам и в том числе о том какие порта разрешены для работы в интернете, а какие запрещены. Вот к примеру небольшая выдержка из моей документации по фаерволу из базы знаний GLPI.

Разрешенные порты:
Сетевые сервисы
o DNS: 53 (UDP)
o Ping - ICMP
Веб
o HTTP: 80
o HTTPS: 443
Почта
o POP3: 110
o SMTP: 25
o SMTPS: 465/TCP,UDP
o IMAP: 143
o (IMAPS): 993/TCP
Внешние сервисы
o SSH: 22 (remote access)
o Telnet: 23 (remote access)
o FTP: 21, 20 для команд и для данных
o NTP: 123 (UDP)
o XMPP: 5222/5223 - клиент-сервер, 5269 - сервер-сервер (Jabber), 5298, 9090,9091 - веб админка.
o ICQ: 5190
o # Torrent: 45678 (6969, 6881—6889) - закрыт
o cvsup: 5999
o PPTP: 1723/TCP,UDP, 47
Рабочие программы
o MSSQL: 3306
Из VPN в WAN [DNS суффикс firma.local]
o Ping: ICMP
o SSH: 22 (lannet)
o WEB: 80:443 (lannet)

Все остальные порты отключены.

Документация

Главное в работе и последующей эксплуатации - грамотное ведение документации. Вы можете записывать все, что посчитаете нужным для того чтобы эксплуатация всего комплекса, даже у замещающего вас человека, не вызывало вопросов. В документации может быть и структура сети, и правила применимые в этой СКС, и сборник ответов на вопросы по проблемам и faq для пользователей и список устройств с IP и многое другое. И желательно сделать бумажные варианты документации со списком паролей и сложить в папку так иногда на месте проще решать проблемы.

Резервное копирование

Тут я поступил просто я настроил:

И каждые две недели по cron\планировщику проводится бекап полного образа систем. Как вы заметили в пункте Роли есть документ Имена, IP и конфигурация и там я под каждый сервер зарезервировал отдельный диск Backup на который и сохраняются бекапы.

Финал

После всех работ и фиксирования когда и что сделал я получил следующий вид плана.

Итого все работает и не требует вмешательства, FreeBSD и ПО серверов Itel шлют отчеты о состоянии работы. И я захожу иногда проверить логи, разрешить новые заплатки в WSUS, и добавить новое ПО для обновления программ. И при возникновении проблемы с пользователями я могу заходить удаленно на их компьютер и быстро решать проблемы а не ехать за 200 км к ним. И следующий этап работы с предприятием это создание для них корпоративной почты и веб сайта.

ВложениеРазмер
Закупка.png29.05 КБ
План.pdf53.76 КБ
Наклейки.pdf40.59 КБ
Имена, IP и конфигурация.pdf31.82 КБ
Сheck_list.pdf35.95 КБ
Реализованный план.pdf55.03 КБ
Дополнительные материалы
Ваша оценка: Нет Средняя: 4.9 (23 голоса)

Спасибо, очень интересная

Спасибо, очень интересная статья.
Хотелось бы чтобы вы пояснили следующие моменты:
1. Использовалось ли лицензионное ПО? Допустим проводим переговоры с директором компании и выясняется, что повсеместно используется пиратское ПО. Как его мотивировать лицензироваться? Пугать статьями из УК?
2. Распространение ПО. Хотелось бы более полно рассмотреть этот вопрос касательно создания необходимых msi пакетов.
3. Бекапы. Где хранятся? Смею предположить, что полные образы дисков занимают достаточно много места.

Хороший план, но я для

Хороший план, но я для конторы в 30 компов раньше ограничился бы одним сервером и маршрутизатором.
Из задач возложенных на FreeBSD
- squid прекрасно работает на Windows
- для инвентаризации и техюподдержки - http://www.spiceworks.com/ (но сам еще не пробовал - не было необходимости)

Сейчас - поставил бы все виртуальными серверами. Уж очень трудоемко может оказаться восстановление физического Windows Server.

RE: Спасибо, очень интересная и Хороший план

to storm
1. Пугать не нужно и это бесполезно. Необходимо договорится, чтобы все последующие вновь закупленные ПК были закуплены с нужным ПО и ОС обычно это Windows 7 Профессиональная Russian 6800 руб + Office для дома и бизнеса 2010 6469 руб = 13269 руб. Мотивации должна быть простыми - проверки отдела "К" заказанного на них конкурентами, отсутствие тех. поддержки производителя (при проблемах уже можно разводить руками и кивать на лицензию =)) По возможности заменять\удалять пиратский контент на свободные аналоги. И самое главное договориться с ним, что вы отправите ему письмо о состоянии ПО в фирме и в нем вы укажите какие нужны закупать лицензии их кол-во и цена. И то, что это крайне важно и необходимо. Дальше сохраните это письмо и в случае разборок (как я делал) вы показываете его и говорю "вот видите я же вас предупреждал, а вы проигнорировали теперь сами разбирайтесь" Вопросы испаряются. =) Главное в этом деле документ в котором вы всех предупредили и сделали все что от вас зависит.

2. Полно рассмотреть распространение или создание msi пакетов?

3. Для этого я использую отдельные диски или отдаю большую часть под бекапы. Я немного расписал тут Резервное копирование

to Гость
Я не хотел все "яйца в одну корзину складывать" и поэтому разделил на два Win сервера как домен и сервер баз данных тк это очень было важно для них. А FreeBSD как бесплатное дополнение в качестве бонуса тк я на нем кручу много уже дополнительного ПО для них хотя бы тот же openfire, и horde.

И всех прошу подобные вопросы писать в >>ВЕТКА ФОРУМА<< - Организация Next: Восстановление

Если хочешь разобраться... Так иди и разбирайся!
[ igNix.ru | Технология жизни - технологии будущего ] [ Forum.igNix.ru ]

Организация Next: Восстановление

>> На рабочем столе клиента в место надписи "Мой компьютер" укажите новое имя ПК
>> "PC0051" так будет легче пользователю когда ты спрашиваешь его имя ПК который и
>> является IP. Ну не будешь же ты спрашивать, а какой у вас IP =)

Как это можно сделать?

>> 3. ставка 20к руб. Ты

>> 3. ставка 20к руб.
Ты пошутил?

RE:>> 3. ставка 20к руб. Ты

to fm2clipper
to Гость

Ответил в ветке форума Организация Next: Восстановление

Если хочешь разобраться... Так иди и разбирайся!
[ igNix.ru | Технология жизни - технологии будущего ] [ Forum.igNix.ru ]

>>> 3. ставка 20к руб. >Ты

>>> 3. ставка 20к руб.
>Ты пошутил?

Не все живут в мааськве. Это приличная зарплата для тех, кому не нужно 2 часа в метро ехать на работу, платить десятки тысяч за съёмную квартиру. Ну и администь 30 компов по удалёнке - тоже работа не самая сложная, таких фирмочек можно штуки три админить.

RE: >>> 3. ставка 20к руб. >Ты

to Гость

Ответил в ветке форума Организация Next: Восстановление

Если хочешь разобраться... Так иди и разбирайся!
[ igNix.ru | Технология жизни - технологии будущего ] [ Forum.igNix.ru ]

Имена компьютеров

Не совсем понимаю, зачем городить огород с именами компьютеров заканчивающимися на последний октет IP, плюс еще система нумерации "по часовой стрелке" и резервация IP, и т.п.
У вас же есть домен и DNS в нем, компьютеры можно именовать как угодно и ip адреса могут у них быть какие угодно (за исключением компов со всякими экзотическими клиент-банками и прочими супер-системами отправки отчетности разношерстной, для которых нужно открывать порты на шлюзах). Подключившись по vpn (любому) вы прекрасно можете обращаться к любому компьютеру/серверу по его dns-имени и вам должно быть наплевать какой там у него адрес, - этим рулит DHCP без участия человека. Тоже самое касается всяческих сетевых принтеров, к ним тоже можно обращаться по имени. Вся ваша система именования компьютеров рухнет при закупке новой техники и при перемещениях рабочих мест сотрудников.

имхо.

ЗЫ: ну про использование виртуализации молчу пока :)

Небольшие замечания

Хорошая статья, было бы неплохо, сели бы еще указали следующие моменты:

1.Реализация распространения ПО в сети (реализовать можно по разному, технологий много, но хотя бы ссылки кинули на самые ходовые системы ;) Тем более, что настройка msi, если ей тщательно заниматься, может сильно упростить сопровождение всей системы в целом).
2.Организация бекапов (тем более что любые проблемы с продуктами фирмы 1с вызывают панический ужас у всех бухгалтеров обычно). Так же можно было бы тщательней расписать групповые политики, которые были использованы для настроек безопасности.
3.Мое субъективное мнение - именование ПК лучше делать по комнатам (что-то типа такого BUH-03-K-13). Тогда легко понять и где расположен комп, и какое его предназначение.
4.Жаль что не расмотрены аналоги решений тех или иных возникших ситуаций при помощи Свободного ПО.
5.В конце следовало бы еще и просветительскую работу относительно учета и хранения лицензионного ПО провести на предприятии, а то обычно пока жаренный петух не клюнет - отношение к этому вопросу аховое.

Знакомая ситуация

До боли знакомая проблема, поэтому возьму смелость покритиковать. Ваша проблема, уважаемый автор, что вы не удосужились поинтересоваться функциональным назначением рабочих мест. Отсюда и проблемы. Надо было бы вместо переговоров по стоимости, поинтересоваться: "На хрена вам вообще компьютеры?" Более чем уверен, что кроме 1С и Гарантов-Консультантов вам бы ничего не назвали. Проще говоря, юзвери приходят на работу потрепаться через социальные сети, поиграть в сетевые игры, ну может быть напечатать докладную записку на компьютере. И за это им еще деньги платят! А вы их покрываете, не стыдно? Так вот, отталкиваясь от тех сведений, что вы указали в статье, там и одного сервера много. Возможно я и не прав, но если фирмочка из 32 компьютеров не держит сисадмина, то скорее всего ей кроме бухгалтерских задач больше ничего и не нужно. А если у главбуха "с компьютера" крадут деньги, его надо переводить в уборщицы. Извините, но мне кажется, что проблемы, которые вы затрагиваете в статье высосаны из пальца. Еще раз повторюсь, что исходя из назначения рабочих мест можно выстроить и бессерверную (распределенную систему, очень надежную кстати) и терминальный вариант, вариант с виртуальными серверами и дестопами, ну и наконец традиционную (тут тоже масса вариантов: на винде, на линухе или БЗД). Извините, но получилось, что вы из пушки разгоняли воробьев, причем умудрились еще споткнуться.

net use

>> Shared_user.bat
>> net use * /delete /yes
>> net use X: "\\SRV1\Shared"

братан, дай пять )
у меня вфирме подключение дляфайлового серва тоже называется X:
уже лет 10

не знаю почему )))

Знакомая ситуация

>> Проще говоря, юзвери приходят на работу потрепаться через
>> социальные сети, поиграть в сетевые игры, ну может быть
>> напечатать докладную записку на компьютере. И за это им
>> еще деньги платят! А вы их покрываете, не стыдно?

Видете ли коллега, в таких компаниях приходящий админ делает то, что хотят юзвери а не директор, потому что если этим козлам, просиживающим жопы в быдлоклассниках, что то не понравится, они бегут жаловацо директору- "нахера нам такой админ?"- это тоже ситуация знакомая

И эта ситуация знакома

Вы несколько заблуждаетесь, так как платит работодатель (читай руководитель). Мне лично, наплевать на желания и наезды юзверей, важен результат МОЕЙ деятельности. А если вернуться к теме, то у вас получается ИТ ради ИТ, то есть нет никакого обоснования для использования Вынь2003 (кстати три сервака, две Выни2003 с 32 пользователями в 100 тыр не лезет!?), АД, DHCP, WSUS и пр. То есть вы проехались по ушам руководителя ради удовольствия пользователей? Кстати о птичках, когда делал фотографию рабочего времени сисадмина, то получилось, что большую часть своего рабочего времени он тратит на общение с пользователями ("Ой, я чего-то нажала и у меня текст стирается" или "О ужас, у меня компьютер не включается"). В вашей схеме администрирования такого общения нет.

=)

какая разница? кто и где просиживает и т.д.
вопрос в том как всё делалось, какой вариант построения сети.
лично мне пофигу кто и где сидит - это я про юзверей

RE: ALL

2 Burmuley
Это один из вариантов построения сети в разных случаях я могу применять разные варианты. Например в одной орг-ции у меня машины называются по их статусу к примеру (architect, agent и тд) В этот раз я сделал так как считал нужным ибо расширяться компания не намерена и для меня они все одинаковы. Нумерация по часовой стрелке это реверанс в сторону построения СКС когда тянули много разного в здания. И я люблю привязывать к IP машине, а вот сетевые девайсы привязываю к имени тк IP может меняться если будет перестроение сети и к слову сказать мне ничего не помешает изменить IP адреса компов и мне все равно на их имена (просто иногда удобно). =) Вот уж много лет ничего не падает в других конторах и этой в частности и как там и кто перемещается мне неинтересно и это все метафизически. =)

Виртуализация это очень хорошо и я уже присматриваюсь в будущем делать на VmWare ESXi (к примеру)

2 Гость
Я распространю ПО через домен написал в Распространение ПО там все просто. Группе ПК присваиваю политику и указываю там сетевой путь до директории с ПО и само ПО и назначаю как ставить. И там же для обновления добавляю софт и указываю, что надо обновлять если софт туповат. Даже не знаю что именно вызывает затруднение. Отпишитесь в форум пожалуйста.
Бекапы, политики - это уже отдельная статья для каждой темы должна быть тк там довольно много моментов которые нужно осветить. Уж повертеть =)
Про именование я уже говорил "на вкус и цвет все фломастеры разные" главное чтобы Вам было удобно админить.
Свободное ПО как же я что то немного писал на подобную тематику Переход организации на свободное ПО с благоустройством сетевой инфраструктуры , но это требует бОльшего и специального описания. Если есть конкретные предложения о написании статьи прошу в форму можно рассмотреть =)
Лицензионное ПО - как хранить и учитывать... думаю это к предыдущему вопросу можно суммировать. Это думаю интересно будет. Я несколькими способами пользуюсь.

2 Коллега
У меня проблем не было, были только нюансы =) И там 80% все же работаю, что то чертят, считают и для меня главное, что для них работа была безопасной и необходимые сервисы всегда были доступны. А что они будут делать мне все равно тк они мне ничего не напортят (у меня жёсткие огр-я в работе в домене) и все данные постоянно бекапятся, базы на отдельном сервере и тд.
Да кстати бухгалтер не должен быть администратором =) Главное они поняли свою ошибку и пофиксили - наняли человека ответственного за эту работу.
Мне нужна управляемая среда для автономной работы и без серверов тут не обойтись. И я не буду бегать к каждому ПК что то там потом обновлять(ПО, антивирусной политики, шар и тп) Я делаю все в одном месте на сервере и остальные ПК принимают к действию. Налицо нет беготни и заморочек. И каждый сервер делает то что должен. Где тут споткнулся непонятно.

2 light
Нет вы неправы. Я делаю то что указанно в договоре и решаю это непосредственно с директором. Были терки с юзверями я их просто на х*й в договор посылал и показывал за что я отвечаю. Были и те кто визжал "напишу заявку и вас уволят!!" и тп я опять спокойно на* те в договор отсылал и говорил пройдем к директору погорим. Еще ни разу ни одна твар* упс пользователь после этого не возникал (в основном это начальники безумных отделов) =)

Если хочешь разобраться... Так иди и разбирайся!
[ igNix.ru | Технология жизни - технологии будущего ] [ Forum.igNix.ru ]

Так что же за необходимые сервисы

К несчастью о чертежниках знаю только со слов жены брата (она конструктор), поэтому с трудом могу представить библиотеку шаблонов, значков и прочего, как она организована, какие сетевые службы для их работы нужны. Вы, как я вижу, тоже особо не вникали в особенности работы, поэтому даже не рассматривали другие варианты. Я правильно понял? Так вот я совсем не хотел сказать, что нужно бегать от компьютера к компьютеру, и очень рад за вас, что пользователи достаточно грамотны и ваше постоянное присутствие на работе не обязательно. И все же (про то, где споткнулись), по приблизительным вычислениям получается, что фирма с вашей подачи купила только оборудование, а лицензионное ПО купить не удосужилось (денег не хватило, авось пронесет или еще какие-то причины), а именно вы его поставили, и именно вам оно нужно (чтобы не админить удаленно). А теперь ответьте на вопрос: кто понесен административное (или не дай боже уголовное) наказание в случае проверки (вылезаем за полтинник, но не особо крупный размер). Руководитель? Ему эти сервера до одного места, он может и не знает что это такое и нафига ему такое счастье надо. Дальше намекать?

Хочу себе тулзы на винду

Хочу себе тулзы на винду такие как в актив диретори... а то тулзы которые предлагает сам мелкософт, что-то не работают адекватно, либо я ими не умею пользоваться =)

Перечитал все, что Вы

Перечитал все, что Вы написали и задался себе вопросом: а что тут полезного?
Ровным счетом ничего :)
Без обид.
1. 2003 форточки - когда на рынке уже 2008 которые по параметрам делают 2003 :)
2. железный фаер от длинка убил - секлаб вам в руки :) только пзавчера как раз решал подобную граблю - ломанули соседа и даже не поперхнулись :)
3. сервера - я не совсем понял, апдейт делался для старых? иль это новые? сорь, я просто по рос ценам и рублям не очень, но сложилось мнение, что новые. так вот вопрос: гемор, ибо виртуализация как раз в вашем случае рулит и то сильно рулит :) тем более, что старое железо в этом случае идельно пойдут под тазик для прокси и т.д. :) ну и последнее - бюджет Вы просили сразу, это гемор, бюджет нужно делать на "вырост", ибо как раз не увидел решений на случай, если контора будет расти :)
З.Ы. я не увидела упоминания о бекапах:)
4. сата винты - сас? почему? цена приблизительно одинаковая.
5. не увидел, как вы решили проблему с "Стойка забитая до отказа: набита телефонией от всего здания" :)

Без обид, но ничего интересного или толкового я в Вашей статье не увидел, ибо это стандартная работа админа :) Прошу без обид, просто не понимаю тогда смысла в этом написании :) Откроете глаза?

З.Ы. Вопрос о бекапах

З.Ы. Вопрос о бекапах снимается, увидел :) Не внимательно читал :)

Спасибо за полезную статью.

Спасибо за полезную статью.
Может она и не без огрехов, но полезная. Частью из этих методик пользуюсь, часть считаю правильным использовать, но не всегда получается.
Всё это должен делать всякий нормальный Админитратор, но у нас не учат систематизировать, упорядочивать, аптимизировать. На сисадмина не учат. Основная масса администраторов - самоучки. Потому, все эти методики собранные вместе очень полезны для начинающих администраторов, как учебное пособие, и как проверочное пособие для опытных. Совместно с добавлениями и коментариями оно нужно многим.
Ещё раз спасибо :)

Спасибо! очень полезно!

Спасибо! очень полезно!

"странно окошки начали

"странно окошки начали прыгать" - вот точь-в-точь от нашего бухгалтера такую фразу слышал!)

Отправить комментарий

Содержание этого поля является приватным и не предназначено к показу.
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступны HTML теги: <a> <p> <span> <div> <h1> <h2> <h3> <h4> <h5> <h6> <img> <map> <area> <hr> <br> <br /> <ul> <ol> <li> <dl> <dt> <dd> <table> <tr> <td> <em> <b> <u> <i> <strong> <font> <del> <ins> <sub> <sup> <quote> <blockquote> <pre> <address> <code> <cite> <embed> <object> <param> <strike> <caption>
  • Строки и параграфы переносятся автоматически.
  • Вы можете использовать подсветку исходного кода следующими тегами: <code>, <blockcode>, <apache>, <bash>, <c>, <cpp>, <mysql>, <perl>, <php>, <python>, <text>. The supported tag styles are: <foo>, [foo].
  • Glossary terms will be automatically marked with links to their descriptions. If there are certain phrases or sections of text that should be excluded from glossary marking and linking, use the special markup, [no-glossary] ... [/no-glossary]. Additionally, these HTML elements will not be scanned: a, abbr, acronym, code, pre.

Подробнее о форматировании

CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
9 + 4 =
Решите эту простую математическую задачу и введите результат. Например, для 1+3, введите 4.

Последние статьи

Theme by Danetsoft and Danang Probo Sayekti inspired by Maksimer