» Флейм для сисадминов (часть III)

winhex
Цитата:

Хранить бэкапы на самом сервере слишком стремно.

Храните бэкапы перекрёстно, по формуле S1=>S2, S2=>S1.

goletsa

Спасибо за разяснение.
Теоритически знаю почту все то, что сказали, но практически не работал с
Цитата:

Маршрутизация 3-го уровня
64 IP-доменов
Статическая маршрутизация
RIP v1/v2
OSPF v2
IGMP v1/v2/v3
VRRP
DVMRP
агрегировать потоки, QoS, VLAN

вот по этому и такие непонятки.. Ну скажем просто не пришлось работать. Ибо нет у нас таких необходимостей..

reff

Цитата:

Не путаете с транками? Если один из коммутаторов в стеке умрет, второй-третий...-десятый не смогут самостоятельно переключить витую пару в свои свободные порты. Нужен хомо сапиенс.

Ну пусть часть сети отвалится но остальное останется работоспособным.
Но вообще фиг знает, никогда этим не пользовался.

По поводу транков - может мы понимаем разные вещи но транк это объединение нескольких портов в один общий линк для увелицения ширины канала между железками? Или чтото другое?


Добавлено:
contrafack
Самая вкусность управлямых железок что там можно разделить vlan'ами свич на несколько небольших так чтобы часть портов отвечала каждая за свой отдел. И при желании можно динамически менять сколько портов куда идет.
С точки зрения безопасности и простоты управления все на уровне - не приходится париться с переключением проводов руками если надо человека перевести в другой отдел или вообще отделить от всех.
Плюс деление на сегменты увеличит общую безопасность как от хакерских так и вирусных атак - им будет сложнее достучаться до всех хостов сети.

winhex
Цитата:

Хранить бэкапы на самом сервере слишком стремно.

да не, я имел в виду - на серваке (или в локали) хранить только "парольную" часть (т.е. маленькую)..
а сами бэкапы, с её помощью сделанные, на твоём насе, т.е. уже зашифрованными..
причём, можно и в общей куче - всё одно "парольная" часть у каждого будет своя (если это важно)..
иначе говоря - разделить "инструмент" и "результат", а "инструмент" - шифровать локально.. или на серваке..

goletsa

Цитата:

Самая вкусность управлямых железок что там можно разделить vlan'ами свич на несколько небольших так чтобы часть портов отвечала каждая за свой отдел. И при желании можно динамически менять сколько портов куда идет.

да. много читал про Vlan, но никак не могу понять как это работает
очень бы хотел видеть "в деле". столько читаю про него, все же трудно очень представить..
Такая фигня был и с VPN, когда читал и не мог понять как так можно и нафига это нужно?
а щас уже сам активно использую VPN сервисы (правда только PPTP, на IPSEC, L2TP перейти "боюсь").
На данный момент занимаюсь одним проектом(аутсорс), "мастер на все руки". И проект сделал(на бумажках) и вот монтаж делаю(почти как требует СКС), а потом Там сервера на гигабите будет видеть, синхронизация между зданиями на отптоволокне, а остальные клиенты на обычном изернете(100мбит/с).
свичи брал DES-1210-28 и DES-1210-52. там как читал - все есть вроде Вот только не знаю как использовать VLAN. хотел бы тренироваться как раз. Там все равно сам все я делал (начиная от сборок рабочих станций, заканчивая от настроек серверов)

goletsa
Цитата:

в один общий линк для увелицения ширины канала между железками? Или чтото другое?

В общем случае оно не только делает канал толще, но и резервирует его.

Цитата:

По поводу транков - может мы понимаем разные вещи но транк это объединение нескольких портов в один общий линк для увелицения ширины канала между железками? Или чтото другое?

Чтото другое, то что вы имеете ввиду называется EtherChannel (агрегация нескольких транков), а собственно транк это линк между коммутаторами по которому в отличие от обычного, одновременно передается трафик нескольких виланов.

Цитата:

Наверняка в этом и зарылась собака. Что такое 212Гб? Какие-то жалкие 5-10 ремуксов. =) Поблему можно считать исчерпанной.

Именно так... Большое спасибо за помощь и поддержку!!! Снял статистику с торреннта - скачано 193 Гб. Отдано - 113Гб.

Привет Всем!
Не подскажете как решить проблему:
у меня Server 2003 Enterprice и в Active Directory есть два пользователь которым нужно сделать кат, чтоб они не смогли менят статусы(запуск, стоп, старт) служб, и завершать процессы через диспечер задач в своих машинах. (извените если этот вопрос окажется тупым, я еще не опытный)

ofj
Цитата:

чтоб они не смогли менят статусы(запуск, стоп, старт) служб

а просто понизить им статус с админа до юзера никак не получается?

Цитата:

а просто понизить им статус с админа до юзера никак не получается?

дело в том что они устанавливают, удаляют программы, так что им нужен доступ админ.

ofj
Цитата:

дело в том что они устанавливают, удаляют программы

Зачем? Вернее, ЗАЧЕМ?

ofj
Интересно, а если прога ставит при инсталляции свою службу или драйвер, как тогда? Да и вообще, что за бред - дай права локального админа и доменного юзера.

Цитата:

дело в том что они устанавливают, удаляют программы, так что им нужен доступ админ.

ofj, т.е. часть своей работы ты безо всякой грусти переложил на пользователей? Оригинально

Цитата:

Зачем? Вернее, ЗАЧЕМ?

действительно, на кой черт тогда нужен системный администратор и чем он собственно занимается, если юзеры сами ставят себе что захотят

Цитата:

дай права локального админа

это главное зло с которым и должен бороться сисадмин

ofj
Единственная причина, когда пользователю могут понадобиться права локального админа - это наличие специфичных программ, которые без этих прав просто не работают. На даже в этих случаях есть AdmiLink и другие подобные программы.

Цитата:

это главное зло с которым и должен бороться сисадмин

В 99% случаев - да, но существуют ситуации ( тестеры софта, разработчики, использовние прог, криво работающих под runas и т.д.) когда без этого не обойтись. Но! Доступ в доменную сеть в этом случае должен быть запрещен, а еще лучше, такой комп физически изолировать от доменной сети (vlan и т.д).
Короче, без ответа на вопрос reff "ЗАЧЕМ?" судить трудно, как предлагать решение.

Цитата:

Единственная причина, когда пользователю могут понадобиться права локального админа - это наличие специфичных программ, которые без этих прав просто не работают

Да именно так.
Но эти юзеры отключают службу DeviceLock на своем машине. У них право локального админа и юзер домена.
ВОТ по этому хочется чтоб они не отключали службу DLock и не снимали задачу DLock с диспечера задач.

ofj, а что за программа-то такая специфичная? И filemon/regmon не спасают?

ofj
Цитата:

Да именно так.

http://admilink.narod.ru/ не поможет?

в групповой политике
конфигурация компьютера - конфигурация Windows - параметры безопасности - системные службы - находишь службу DLock, включаешь политику ставишь режим запуска и по кнопке "изменить безопасность" запрещаешь локальным администраторам все что нужно

но правильнее разобраться с хитрой программой и с помощью filemon/regmon определить на какие ветки реестра и файлы дать ей доступ.

Сказка-загадка с участием iperf. Схема прилагается.

Снижение скоростей происходит так (числовые значения роли не играют):
1. Вариант [5], доступ по локальной сети. Скорость упирается в сетевую карту;
2. Варианты [1] и [4], доступ по VPN-каналу. Полученные значения, тем не менее, значительно ниже скоростей выделенных каналов, соединяющих оба ПК;
3. Варианты [2] и [3], доступ через Интернет и SSH-туннель. Полученные значения будем считать практически идентичными.

Замеры скорости проводились многократно, в разное время суток, для VPN-подключений замеры проводились в обоих направлениях. Нагрузка на процессор и сетевые карты маршрутизатора не достигает максимума.

Пока у меня два вопроса:
1. Почему скорость доступа извне максимальна при использовании VPN?
2. Как повысить скорость? Разумеется, интересуют безопасные варианты — VPN и SSH.

reff
трудно сказать не зная настройки роутера, а значит как и в какой последовательности он анализирует проходящий через него трафик

reff
VPN не OpenVPN случаем? На нем у мну было так же, кроме того, его драйвер не расчитан на скорости выше 10мбит. Поднять скорость выше 10мбит даже по локалке (100) ни при каких конфигах железа и софта (ни tun, ни tape) не получилось. Мне кажется, что собака может быть закопана в 2х вещах:
- MTU "несущего" канала и MTU VPN-канала
- сам софт VPN сознательно снижает скорость передачи, чтобы ни при каких условиях не прегрузить проц, и тем обеспечить гарантированную доставку пакетов. + к этому, возможно, софт как-то анализирует время задержки и TTL.

Valery12
Дело не в маршрутизаторе. Соседний сервер ISA при подключении iperf'ом (без VPN, SSH) выдает аналогичные показатели.

andrejvb
Цитата:

VPN не OpenVPN случаем?

Нет, "обычный" VPN. Пока у меня своеобразная нелюбовь к OpenVPN.
Цитата:

- MTU "несущего" канала и MTU VPN-канала

Была такая мысль.
Цитата:

- сам софт VPN сознательно снижает скорость передачи

Напомню, что при работе через VPN я получаю максимальную скорость (из измеренных).

reff

Цитата:

2. Варианты [1] и [4], доступ по VPN-каналу. Полученные значения, тем не менее, значительно ниже скоростей выделенных каналов, соединяющих оба ПК;

Цитата:

Напомню, что при работе через VPN я получаю максимальную скорость (из измеренных).

Многоуважаемый сэр! Вы, всё-таки, определитесь, а?

andrejvb
Цитата:

Вы, всё-таки, определитесь, а?

Запросто. Следите за руками буквами.
Я перечислил (цитирую) "снижение скоростей". То бишь, забыв про тесты из локальной сети, VPN-канал показывает максимальные значения. Ваш совет о розыске собаки в значениях MTU я попробую прогуглировать и отъяндексировать.

reff
Продолжу докапываться

Цитата:

Полученные значения, тем не менее, значительно ниже скоростей выделенных каналов, соединяющих оба ПК

Это написал ты.
Цитата:

сам софт VPN сознательно снижает скорость передачи, чтобы ни при каких условиях не прегрузить проц, и тем обеспечить гарантированную доставку пакетов. + к этому, возможно, софт как-то анализирует время задержки и TTL

А это -я. Где ты видишь несоответствие?
Про п.3 я вообще не понял Несущий канал не является каналом с Инетом? Ты сам выделенный канал тестил?

Попробуй погонять iperf с разными MTU или просто попинговать с разными длинами пакетов и посмотреть на время отклика.

ofj
Цитата:

Да именно так

ваще-то, есть ещё "запуск от имени".. так не пробовал?

прав коллега Valery12, локальный юзверо-админ в натуре
Цитата:

главное зло с которым и должен бороться сисадмин

колись соопчеству, чё это за прога такая "списсфисская", шо её никак не объехать?..

---

..а тем временем в штабном вагоне бронепоезда тихо играло [more="Админское танго"]на манер "утомлённое солнце нежно с морем прощалось"..

[size=1]пум-пум пу-пум-бум..
пум-пум пу-пум-бум..
Красно-жёлтый зака-а-ат догорал над водо-о-ой..
И вечерний тума-а-ан тихо плыл на реко-о-ой..
А усталый Адми-и-ин всё возился с виндо-о-ой..
Потому что нельзя быть на свете глюка-а-а-авой такой!
пум-пум пу-пум-бум..
пум-пум пу-пум-бум..

ну, и т.д., грустная песня, вопчем..[/more].. ;)[/size]

TheBarmaley


Цитата:

..а тем временем в штабном вагоне бронепоезда тихо играло "Админское танго"..

да. тема ))))
-------

to all

Коллеги, если есть время, гляньте Сюда, может кто-то когда-то решил такую задачу?