Что первым делом сделать сис админу на новом месте работы?
Всем привет, я начинающий сис админ, устроился в небольшой офис с 25-30 компами, "ДОФИГА" видеокамер, 10 видеорегистраторов ,система Hik-connect, 1с, несколькими сайтами, несколько микротиков, датчики Livicom, радиомосты Ubiqiti, 4 радиопотока. Все что тут написал входит в мои обязанности, СРАЗУ ХОЧУ НАПИСАТЬ, работодатель знает что я не профи, и дает шанс обучиться и вникнуть в весь процесс, зп не плохая, график хороший, по этому хочу попробовать.
Хочу спросить у опытных спецов, что бы вы делали на моем месте, если бы попали в такую ситуацию.
Собственно сама ситуация:
До меня были спецы видимо такого же уровня как и я, почти ничего не оставили, только не актуальную информацию с паролями, подсказками и т.д, где какие-то пароли к камерам подходят, какие-то нет, и такая ситуация с админскими учатками на сервере, компах, видеорегистраторах
В первую очередь работодатель сказал наладить работу видеокамер и видеорегистраторов, я уже начал по не многу разбираться, где что стоит и к чему подключено.
Основная проблема в том что на прогу hik-connect зарегана почта со своим доменом(Буду ее называть рабочая почта), к которому доступ утерян так как не продливали хостинг домена, я нашел этот домен зарегал его на год, добавил функцию почты с таким же именем как в проге hik-connect, но почему-то при отправке со своей личной почты на рабочую выдает ошибку "Unrouteable address"(Гуглил, особого эффекта не дало).
Кто-то скажет что возьми и просто создай акк и добавь туда все камеры, да вот к сожалению не получиться, так как камеры уже установлены, а чтоб добавить их к hik-connect нужны их данные, которых КОНЕЧНО ЖЕ нет.
Большинство камер подключены к видеорегистратору на этом же объекте, в свою очередь видеорегистратор подключен к роутеру с выходом в инет.
Так как знаний не хватает, хочу у вас узнать, как мне подключаться удаленно к этим роутерам чтоб я смог проваливаться на веб морду регистраторов и камер.
Дальше проблема с админской учеткой, не могу понять как мне создать учетку с админскими правами на всё, без AD
В ближайшие рабочие дни буду параллельно с камерами пробовать внедрить Active Directory, чтоб в ней уже сделать админскую учетку и иметь при себе данные пользаков.
Помимо разбора с видеокамерами хочу внедрить удаленку, подскажите свой опыт с настройкой прог для удаленки, желательно где больше информации есть.
Буду благодарен за любой ответ, сарказм и шутки понимаю, если они с конструктивом.
Вопрос буду обновлять по мере понимания работы и какого-то прогресса по работе UPD!!!!!!!!!
Инвентаризацию оборудования в офисе проведу на выходных, когда никто мешать не будет
но почему-то при отправке со своей личной почты на рабочую выдает ошибку "Unrouteable address"(Гуглил, особого эффекта
Нужны MX-записи. Проверьте в панели управления доменом у хостера DNS-зону. Там должны быть МХ-записи или придется создать.
Основная проблема в том что на прогу hik-connect зарегана почта со своим доменом(Буду ее называть рабочая почта), к которому доступ утерян так как не продливали хостинг домена, я нашел этот домен зарегал его на год, добавил функцию почты с таким же именем как в проге hik-connect, не дало).
У hik-connect как и у многих приложений есть функция "Забыл пароль"... Можно попробовать восстановить пароль, при условии, что привязанная почта не менялась.
самое первое что тебе нужно сделать, это забэкапить все, включая конфиги сетевого оборудования и мелкой оргтехники куда сможешь дотянуться, поскольку есть вероятность, что пока будешь разбираться можешь где то что то нечаянно навернуть, я уже не говорю что могут возникнуть непредвиденные инциденты, которые не будут зависеть от тебя (какое то зловредное по или обиженный предыдущий мудак айтишник у которого зуб на рук-во и который где-то оставил ''закладочку'' в инфраструктуре и т.п.).
Только этот ответ правильный, бекапить все, можно камеры, программы восстановить, переустановить, но потерянные данные взять откуда-нибудь невозможно. прочитай правило 3-2-1 и не думай, что там что-то избыточно.
say_not,
1. любой вопрос задаем в гугл
2. любой вопрос можно задать нейросети(тольлко ответ проверяй если это важный вопрос)
3. Я люблю например R drive Image... ключик на торрентах есть
Еще говорят AOMEI нелох...
Если массово - то Veeam - опять же на торрентах есть, на сетевую шару может лить бэкапы спокойно
1я заповедь
Работает? - пока не разобрался - не трогай!
2я заповедь
Бэкап, бэкап и ещё раз бэкап
3я заповедь
Спрашивай. Согласовывай И не только здесь. А ещё у руководства. Т.е. предупреждай
Типа "буду разбираться с камерами в этом сегменте - возможные последствия - временно не будут работать камеры там-то и там то"
4я заповедь
Документируй и фотографируй
А теперь по тексту
Для начала - не усложняй себе жизь заведением каких либо инвентарных программ
Старый добрый excel и бумажная тетрадь для сбора информации
Записывай пароли - в блокноте, телефоне, компе. Есть отличная программ keepass для их хранения
Не торопись выставлять управление роутерами (микротиками?) наружу
пока не научился настраивать VPN самое простое и быстрое решение - вечно включенный комп с запароленным Anydesk.
"Дальше проблема с админской учеткой, не могу понять как мне создать учетку с админскими правами на всё, без AD" - на каждом компе ручками создать нового пользователя (типа sysadmin) с одинаковым паролем и дать ему права локального администратора
"Unrouteable address" - мало информации
Домен зарегистрировал где? Управление записями DNS где? Хостинг почтовый поднял где?
Бонусная заповедь
"Грамотно сформулированный вопрос содержит в себе половину ответа"
TheBigBear, вновь нанятому эникею на руинах инфраструктуры никто не даст исполнять первую заповедь.
Наоборот, у него будет "все сломалось, ничего не работает, нужно починить еще позавчера".
Даже если оно на самом деле работает и трогать его незачем.
У переводчиков это называется "обучение полным погружением". То есть тебя без знания скажем, японского, закидывают в Японию - изучай :)
Метод фантастически эффективный, но еще более фантастически жесткий :)
Первое дело - восстановление доступа ко всем обьектам (камерам, принтерам, серверам, свитчам и еще-там-чему) и бэкап настроек. С занесением в список всех обьектов, доступ к которым восстановить не удалось.
Если в этот список входят критичные узлы - согласование с руководством, чтение манов и создание в голове плана, как сбросить их к заводу и как потом заново настраивать. Некритичные узлы можно просто сбрасывать - ну отвалится, потом настроить заново.
Потом - инвентаризация и построение карты сети. Изучение вопроса, что куда включено, что откуда и зачем. Четкое представление о том, как построена сеть, из чего она состоит, как подключена к тырнету
как мне создать учетку с админскими правами на всё, без AD
Никак. И даже с AD никакой "админской учетки" на камерах, свитчах, принтерах - не будет. Табличка в документе со списочком паролей, пошифрованная конечно же - или просто однообразная учетка всюду.
Сперва стоит выделить критические и проблемные места. Если руководство решило, что это камеры, то, видимо, особых проблем-то и нет)
Нет доступа к камерам/регистраторам - сбрасывать пароли и настраивать с нуля. Учитывая, что десяток регистраторов, то ставили не особо задумываясь просто добавляя количество и увеличивая себе же проблемы.
По видеонаблюдению уже лучше бы какой-то сервер ставить и туда загонять все камеры.
Ну а так-то всё выглядит не особо сложно. Особенно при условии, что не распрощаются после настройки и начала стабильной работы всего остального
1. Составить план здания
2. Нанести на него расположение устройств и по возможности кабельную трассу, что к чему подключено
3. Составить список ip адресов оборудования, все различные сети и подсети, логины\пароли
4. По максимуму сделать резервные копии. В большинстве устройств это делает через настройки путем сохранения файла конфигурации.
5. Можно так же составить список моделей оборудования. Например чтобы знать, где какая модель камеры висит, чтобы иметь какой-то подменный фонд в случае выхода ее из строя. Так же железо в компах, чтобы оперативно можно было заменить\улучшить. Так не плохо знать где располагаются блоки питания камер, какие они и какие камеры запитывают. Или там вообще POE
Это лишь этапы знакомства, которые пришли в голову.
После всего хорошо бы иметь хоть какую нибудь систему логирования. В камерах есть уведомления о потере видео (настраивается в самой камере), например если камера вышла из строя или потеряла связь, это поможет определить плохую камеру или плохой линк на кабеле\коннекторе. Иначе такая камера может вести не стабильную запись видео и это обнаружится только когда будешь архив смотреть.
1. Разобраться досканально что где стоит, что к чему подключено, чтобы знать что от чего зависит (хотя бы общая картина)
2. По возможности узнать все доступы, проверить их, изучить, забэкапить настройки оборудования
3. Погружаться глубже и глубже в изучении и нормализации исправлении, сразу все не менять, а лучше постепенно
PS:
1. HIK сбрасывается через SADP токены по e-mail-у, путь прекрастно описан в гугле
2. AD на 30 компов не нужен, ну если только компания не планирует в ближайшее время лавионообразный рост в 3-4 раза. Т.к. AD он на то и АД, что его нужно уметь готовить.
3. По видеонаблюдению: 10 регистраторов, особенно на одной площадке - слишком дофига, нужно укрупнять
3. Если регистраторы 4-х канальные, то это не так и много получается. Можно сократить их количество) А если они 16-х канальные, то камер уже действительно получается дофига
Константин, 4*10=40 - если все камеры IP, совместимых вендоров, то хватит 2х стандартных 32 канальных на вырост.
Если там 16*10=160 - то уже нужно подумывать о кластерном решении из 3х серваков по 64 канала на каждый
Цель свести все камеры в единую систему, думаю у руководства какраз и стоит вопрос, что прикодится к каждому регику отдельно подключаться, а не смотреть все в единой точке
AntHTML, Все в одной точке можно смотреть через фирменную утилиту. Там на экран можно вывести 16 камер одновременно. И при желании отдельно просматривать каждый регистратор и его камеры
1. Бэкап того что есть.
2. Создать и задокументировать схему сети - где что, и за что отвечает.
3. Проверить доступы к нужным сервисам - админкам сетевого оборудования, камерам.
Как только будете уверены что сеть полностью под вашим контролем и есть резервные копии всех критически важных данных тогда можно начинать что-то внедрять.
Ни в коем случае не стоит начинать внедрение AD не имея полного доступа ко всем сетевым сервисам и понимания функционирования и зависимостей всех критически важных серверов. Я бы рекомендовал отложить такие телодвижения на полгода минимум - пока полностью не разберетесь во всех ньюансах.
По поводу камер - берем и по одной камере начинаем отвязывать от недоступной учетки hik-connect.
Если знаете пароль администратора - делается очень просто и быстро.
Если не знаете, делается немного посложнее и дольше.
Ну и пароль можно попробовать вытащить из приложений.
Для работы камер hik-connect использовать не обязательно. Это закрытый сервис, используйте страндартные протоколы доступа.
Большинство камер подключены к видеорегистратору на этом же объекте, в свою очередь видеорегистратор подключен к роутеру с выходом в инет.
Для начала нужно проверить есть ли у вас логины и пароли от учеток, подключившись напрямую.
Если есть - тогда прописать маршруты, если нет - восстанавливать, или сбрасывать.
Простой
