Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - luha

Pages: 1 2 [3] 4 5 ... 32
31
Russian / Re: Ubuntu в домен Zentyal
« on: June 29, 2020, 09:52:14 am »
Не добавляй машины с Linux в домен. Пусть работают так, где надо софт умеет работать с АД и если пользователь обладает профелем на контроллере то получит доступ к ресурсам. Вместо добавления ОС в домен просто создавай локального пользователя такого как в домене.

Я этот этап проходил и хорошо изучил. На Ubuntu 14 было удобное средство для "добавления компьютера в домен" и работало оно следующим образом - приходит новый пользователь, вводит логин из АД и скрипты проверяют через самбу есть он или нет и всё ли верно, а потом создавали ему локального пользователя. Вот и всё. Дальше тема загнулась т.к. майки решили что АД морально устаревшая технология и начали строить облако "азур". На стороне линукс сообщества просто тихо забыли про костыль.

32
Russian / Re: Vlan's и контролер домена
« on: June 24, 2020, 10:09:25 am »
В настройках интерфейсов можно добавлять подсети и виртуальные адреса. В настройках правил файервола определяется взаимодействие между сетями (можно обмениваться, нельзя, частично). Подсети настроены на железе маршрутизаторов или как, с разделением интерфейсов? Если трафик летает по тем же проводам то можно всё настроить на одной карте, если разделено то надо будет добавить сетевых карт (если нету) и каждой смотреть в свою подсеть.

Для одного контроллера только один АД домен. Можно много доменов почты.

33
Russian / Re: Гостевой доступ samba
« on: June 10, 2020, 09:59:42 am »
Вообще-то если сравнивать то зенчал сильно удобнее и развитее. Можно сказать нет ему конкуренции. Обычно работает как надо, особенно на доделанных (более поздних) подверсиях. Не забываем что основной продукт платный, а бесплатно мы пользуемся тем что сами же себе лепим из открытых исходников, отсюда и все глюки. Сейчас пытаюсь роутер на зенчале заменить альтернативным решением и ужас насколько там менее удобно (в альтернативном). Так что не плачем, читаем английскую ветку, там часто такого рода глюки обсасывают и можно понять что не так.

34
Russian / Re: Гостевой доступ samba
« on: June 05, 2020, 10:04:48 am »
В том и прикол со всеми этими вашими графическими интерфейсами, включая веб-морды. Они ограничены функционально и невозможно с этим ничего поделать. В итоге все приходят к консоли и как следствие правильный сервер никогда не видит графики. Расценивайте веб-морду как удобное средство по быренькому что-то там глянуть, пользователя добавить/удалить и прочее при условии что изначальная настройка сервера уже произведена.

И ещё - если вы не умеете и не используете скриптов и крон то считайте что это не сервер, а деятельность ваша любительского уровня. Невозможно чтобы боевой сервер на производстве не допиливался скриптами. А в скриптах всё те же настройки шар, пользователей, обработчики логов, рапорты, рутинные вычисления. Кто вам всё это в каком интерфесе персонально для каждого случая будет делать? Невозможно охватить необъятное и не нужно.

Шары ваши ведь работают, если через строку? Так какие вопросы?! Было бы странно если бы было наоборот, а так считаю всё корректно. Возможно ошибка в веб-морде в скрипте конфигуратора. Это уже 100 раз встречал в зенчале.

35
Для почты и прочего надо чтобы на исходном сервере и на "получателе" эти компоненты присутствовали и были близки. Тоесть желательно чтобы версии совпадали и это был тот же компонент на том же движке. Сервер подключаем как slave (второй ведомый) к домену первого. Происходит репликация АД и должна появиться таблица пользователей. Дальше надо настройки перенести, но лучше не использовать механизм встроенного бэкапа, а ручками пробежаться по интерфейсам и привести в однородное состояние. Если на первом сервере что-то допиливалось и правились руками конфиги то повторяем на втором... естественно не всё будет одинаковое - такие настройки как название сервера и не забываем что он "ведомый" в этой связке. Почту физически вместе со всеми настройками папок и фильтрами тупо копируем с сервера на сервер в то же место. Сетевые папки так же. Можно по сети через rsync.

Дальше в зависимости от цели.
- Если надо чтобы работало два сервера то озаботиваемся вопросами синхронизации пользовательских данных т.к. АД сама синхронизируется, а вот почта нет. В любом случае только один сервер будет боевым, второй это считай горячий бэкап... нельзя почту крутить одновременно на двух, нельзя АД одновременно обслуживать на двух - один пашет, второй на подхвате в случае ЧП.
- Если надо всё перенести и старый выключить, то убеждаемся что всё получилось и инициализируем перехват ролей, после чего переключаем слэйв в мастера, если ОК выключаем старый мастер, но не сразу выкидываем, а пусть ещё постоит.
- Если надо забрать часть работы, например почту, то после переноса просто переключаем клиентов на новый сервер, разрешаем ему высылать и принимать, а на старый забиваем. Удалять почту при этом на старом не надо и если он дальше остаётся главным АД то аккаунты придётся как то делать на нём, потом на втором подшаманивать... не удобно.
- Ну и сами придумайте следующий сценарий себе по аналогии.

Как что делать из описанного по отдельности уже обсуждалось на форуме. Могут быть различия в зависимости от используемой версии и компонентов. Всего я сам не знаю т.к. у нас тут зенчал 3.5 с почтой на постфиксе и роундкубе, а дальше вроде как эксченжи попёрли с дикой вебмордой. Но думаю всё так же должно быть.

36
Russian / Re: Гостевой доступ samba
« on: June 01, 2020, 11:46:44 am »
В последних линях так же как и в виндях актуализировали сетевые протоколы и по умолчанию теперь устаревшие отключены. В итоге в локальной сети компьютер не виден и его ресурсы недоступны. Надо в настройках самбы задействовать устаревшие протоколы, но это теоретически не безопасно и не рекомендуется. У себя включал и сетевые ресурсы начинали работать.

P.S. Учитесь задавать вопросы т.к. из топика темы вытекает другое.

37
Russian / Re: Гостевой доступ samba
« on: May 29, 2020, 12:08:34 pm »
Если нужно с одного компьютера в сети (который в домене) зайти на другой компьютер в сети (который не в домене) то это конечно возможно. А то будет ли просить пароль или нет зависит от операционной системы и её настроек как на одном так и на другом компьютерах.

Я сам сталкиваюсь с тем что часть компьютеров в сети заходят на такие ресурсы без пароля, а для некоторых компьютеров надо минимум один раз указать какой-нибудь (любой) логин:пароль и тогда пускает. Можно в процессе обозначить чтобы запомнило этот аккаунт и тогда ватоматически проскакивает. Это по стороне первого компьютера, который подключается... удалённому без разницы, он ничего у него не требует на гостевую папку.

Также для Windows 10 бывает необходимо включить обслуживание старого протокола SMBv1 в компонентах системы. Иначе компьютеры могут быть даже не видны в сети.

Ещё для Windows 10 случается нужно включить "гостевые входы". Иначе не будет подключаться ни с паролем ни без с ошибками типа 0х80070035 какими-нибудь... В редакторе локальных групповых политик в настройках сети для рабочей станции Lanman задействовать параметр "Включить небезопасные гостевые входы".

И вообще. Постоянно проблемы с Windows 10 в основном. Причём с каждым новым большим обновлением новые проблемы. Такое впечатление что для майков локальных сетей не существует, люди не ходят по шарам, всё это небезопасно и должно быть уничтожено и заблокировано. А то что ты сам лично своими руками включил гостевой доступ к папке это ничего не значит, ты сам не знаешь что тебе нужно, майкам лучше знать и они за тебя решают как оно должно работать.

Короче. Это не АД проблема, а локальные настройки в виндоусах.

38
Привет. Почту и самбу это ты имеешь в виду учётные записи в АД? Сейчас они на MS сервере или на зенчале?

39
Можно конечно. Зависит от величины фирмы.

40
LDAP с того что знаю (и как понимаю эту технологию сам для себя), придуман для централизованного доступа и хранения учёток. Это значит что разные программки, сервисы и компьютеры шлют запросы на общий узел. Ну... тоесть не заливают себе копию всей таблички, а просто сверяются по протоколу. Можешь настраивать прокси на отдельном внешнем сервере, единственное надо саму прокси настроить на работу с LDAP. Даже на выбор имеешь любой прокси сервис какой захочешь. Не надо для этого настраивать слэйв.

В рамках одной машины зенчал с прокси и АД на борту точно также реализовано, разве что настройки автоматически делаются скриптами.

41
Backup у зенчала вроде как есть свой, но я когда только начинал с ним разбираться тестировал и выяснил что он неработоспособный. Поэтому резервную копию делаю через rsync по старинке.

Для одного контроллера домена естественно можно использовать несколько серверов, если надо - один мастер и остальные слейвы. Всё как и с МS серверами. Я эту функцию в частности использовал для того чтобы перекинуть конфигурацию и заменить старый контроллер. Сначала подключил к нему слейвом зенчал, среплицировал всё что было можно и потом переназначил роли, а старый выключил. Короче можно, если нужно, но сам не использую. Дело в том что в зенчале АД это один из модулей, а есть и другие, которые с этим АД через грабли подключены и в итоге имеем то что развернуть на слейве только почту или что-то ещё не получится без того чтобы гарадить тоже самое и на мастере. Дичайшая недоработка.

Модули это беда... ой беда... то они есть, то их убирают, то одним образом реализовано, то другим... а потом из-за них настройки невозможно перенести, актуализировать тоже нельзя. Подружить разные версии не всегда получается. И ещё неизбежно приходится всё допиливать самому, но это у никсов в порядке вещей.

Лучше всего не городить мастер-слейвы, а ставить независимые сервера. Почту и АД лучше всего объединять на одном сервере, а остальное можно выносить, в частности роутер и при этом к АД совершенно не обязательно подрубать. Ну и не плохо бы было учесть что время идёт, прогресс на месте не стоит. АД в классической реализации по факту это морально устаревшая технология. Майкрософт запустили азура-облако и вся эта ваша АД теперь там, десятая винда... сервисы с подпиской... всё такое.

42
Так я же написал - несколько фирм и у каждой свой домен. Это же и есть AD. А у зенчала правило - один сервер, один AD (домен).

Если про почтовые домены и странички, то их множество и каждый сервер как почтовик обслуживает много доменных зон. Странички обслуживаются на веб-серверах, там всё очень сложно, не буду описывать т.к. к теме не относится.

Внешние провайдеры разные. Сделано с целью увеличения надёжности. Тоесть специально подводили две независимые линии оптики, от совершенно разных сетей и провайдеров. Оптика приходит на две разные коробки с двумя разными электрическими линиями с двух разных электростанций даже, но на один роутер в разные сетевые карты. И это, кстати, ещё одна причина почему роутер на зенчале будет ликвидирован. Нет механизма создания кластера. На том же pfSense можно поставить два роутера и они будут синхронизироваться. Но с роутером как раз не было никогда проблем и вообще - зенчал за всё время показал себя как очень хорошая платформа. Подумывали когда-то пересесть на коммерческую версию, однако чёт там не сложилось.

Балансировку пробовал делать, но у зенчала она очень плохо реализована, на практике не применима. Сейчас жёстко прописано что почтовик выходит каждый через свой канал и IP, сервера через свои IP, пользователи через специально выделенный для них IP (чтобы вдруг не засрали почтовые IP если кто вирус подхватит) и т.д. Исторически потихоньку шлифовалось по мере необходимости и развития.

Есть у нас vlan-ы и свои станции телефонные. Собственно для них и нужны эти vlan-ы. Это вообще никаким боком к роутеру не имеет отношение и настраивалось на внутренних DNS-ах. Для роутера чтобы запретить из сети в сеть ходить или наоборот разрешить vlan-ы не нужны. Тоже самое и на смарт-свичах - там чтобы определить какие порты куда смотрять и что там ходит vlan-ы зачем строить?!

Всё крутится на железных серверах по причине высокой нагруженности. Причём часто приходится для одной задачи ставить несколько серверов. Всё зависит от нагрузки.

43
Нет никаких проблем с пробросом портов. На роутере указываешь с какой сетевой карты с какого внешнего IP какие порты куда должны пойти и всё. Я настроил как из вне с двух внешних каналов так и с внутренних сетей (у нас несколько) кто через какой IP и какой канал должен выходить в мир. У нас две входящие линии, каждая со своим пулом адресов, каждая на своей сетевой. Также несколько сетевых смотрят внутрь и у них свои подсети для нескольких независимых фирм.

Зато у каждой фирмы можно настроить их отдельный зенчал с почтой, доменом и зонами DNS. А как это прикажешь реализовывать на одной машине, которая сразу и роутер в придачу?

Сейчас занимаюсь проектированием новой структуры этой сети с поддержкой ip6. Скорее всего роутер на зенчале придётся ликвидировать т.к. он не отвечает необходимым требованиям. И опять же - внутренняя структура не страдает, почта, домены, DNS... каждый на отдельном сервере. Удобно. Потом возьмусь за модернизацию почты и по одному буду заменять или актуализировать.

44
Привет!
Лучше делить. Логично контроллер с почтой DHCP и DNS сделать отдельной машиной, а роутер с прокси и VPN отдельной. Это совершенно разные задачи и разные нагрузки которые мешают друг-другу. Если есть нужда в файловом хранилище то я бы тоже отделил. Цель - улучшение стабильности, лучшая отказоустойчивость и более простой сервис.

Пример. Почта и внутренняя сеть настроены на отдельном сервере, роутер отдельно. Актуализируем настройки роутера, в процессе применения изменений сервер может запнуться, бывает даже на минуту с потерей интернета... внутренняя сеть при этом не страдает никак. Если актуализируется домен или надо обработать почту то опять же нагрузка сервера не сказывается на работе роутера, который и так загружен VPN-ами на четырёх гигабитных каналах.

45
Ну так вот именно - из версии в версию модули то убирают, то обратно добавляют, настройки ломают, а в итоге обновить систему не представляется возможным. Бэкап настроек это вообще не понятно для чего сделано, если их вкатить можно только на идентичную во всех смыслах оболочку. Если уж надо переделать или обновить то проще с нуля разворачивать и руками сидеть калдыбашить как мамонт. Интерфейс графический? Это сделано чтобы сервер дольше грузился, жрал оперативку и больше тупил, при этом машина где-нибудь торчит без монитора/клавиатуры/мыши, управляется через вебку или консоль и вот нафиг там иксы впёрли. А потом как начинаются глюки люди мучаются с установкой старых версий т.к. разработчики же продумали такой сценарий. Нет? Как удивительно, всё же для людей, коммерческий продукт, все дела.

Про VPN и объекты. Их удалить нельзя, они там непонятно зачем вообще указываются (то что на твоём скрине). На самом деле эта настройка находится в другом месте, там где происходит объявление (рекламирование) подсетей для VPN подключений ( VPN => Servers => Advertised networks ). Но не уверен что это будет работать так как ты ожидаешь, хотя и переживать по этому поводу тоже не стоит, ведь речь идёт о доступности активных сетей, не активные априори не будут доступны и так, не важно что там в объектах.

На всякий случай ещё раз хочу заметить что жизнь течёт, всё меняется. Использовать старую версию программного обеспечения для сетевой структуры не целесообразно. Появляются новые методы, шифрования, сертификаты, протоколы и прочее. Взять тот же OpenVPN - новые версии клиента ругаются на старую конфигурацию, которую генерирует третий зенчал, а старые версии не работают на новых операционных системах и это лишь самая незначительная из проблем. Если надо для сети, для VPN, для проксей, то не трать время на старый зенчал. Это такой совет.

Pages: 1 2 [3] 4 5 ... 32