• Должен системный администратор знать теорию сетей?

    @1qaz2wsx3edc
    Active Directory admin
    "Должен системный администратор знать теорию сетей?"
    - Зависит от того, что вы вкладываете в понятие "системный администратор". Если "все-в-одном" - безусловно должен, если присутствует разделение по ролям - то в минимальном объеме было бы неплохо знать (для нормальной коммуникации с сетевыми инженерами).
    Ответ написан
  • Как построить супер лес Active Directory?

    @1qaz2wsx3edc
    Active Directory admin
    >>Задача: построить отказоустойчивую доменную структуру таким образом, чтобы центры могли обеспечивать работу организации самостоятельно.

    Т.е в случае падения vpn филиалы должны продолжить работу? Какая там инфраструктура ?

    В головных офисах есть разделение сети на Internal \ dmz ? Есть ли в организации ИБ? Что она думает \ какие требования предъявляет к службе каталогов?
    Ответ написан
  • Есть ли альтернатива отключению админских шар (C$ и прочие)?

    @1qaz2wsx3edc
    Active Directory admin
    Не буду никого критиковать, но большинство ответов мягко говоря странны на мой взгляд. Советовать что-то отключать \ фаерволить не имея полной доступной информации об IT ландшафте организации достаточно самонадеянно. Более всего мне близок ответ Сергея Ковалёва. Дополню обсуждение своими мыслями - на мой взгляд в данном кейсе можно выделить несколько проблем.

    1) Проблема расположения sensitive данных.

    Т.е храня данные на ноутбуках \ стационарных компьютерах, физический доступ к которым теоретически есть у многих сотрудников - это сам по себе - риск. Мой совет - перенести данные в некое центральное хранилище, организовать бекапирование, рассмотреть вопрос о настройки шифрования. (вопрос только в том на сколько эти данные ценны). Также рекомендую озаботиться принятием регламента, согласно которому пользователи не хранят рабочие данные на клиентских пк вовсе (все опять таки на серверах).

    2) Распределение задач внутри IT отдела, настройка ролевого управления.

    Если каждому системному администратору (вплоть до новичка) выдавать доменного админа, то рано или поздно можно нарваться на неприятности. Я думаю это сильно недооцененный риск, особенно на малых (до 500 человек) предприятиях (где и ИБ службы то толком нет). Считаю, что следует потратить какое-то разумное время и настроить доступа через группы (например - администраторы файловых серверов, администраторы почтовой системы, администраторы групповой политики, администраторы компьютеров Scope-A, администраторы компьютеров Scope-B. Так же необходимо произвести аудит объектов и разрешений на них в самой AD и тонко настроить тоже через группы. Единожды вложившись (в зависимости от инфраструктуры предполагаю от 3 дней до нескольких недель) вы оградите себя от массы геморроя в будущем.

    3) Я бы поставил пунктом #1 на самом деле. Судя по всему (сужу по фразе "руководство обеспокоилось тем, что администраторы домена имеют неограниченный доступ на их рабочие станции (боятся за свои файлы) и приказало отключить админские шары." налицо полное непонимание бизнесом роли IT службы в функционировании собственно этого самого бизнеса. Я бы постарался наладить некий диалог и донести ваше видение проблематики IT на предприятии до наемного менеджера \ собственника бизнеса.
    Ответ написан
    Комментировать
  • Dhcp-сервер. на маршрутизаторе или на domain controller`e?

    @1qaz2wsx3edc
    Active Directory admin
    "Вопрос 3 : Могут ли они работать в паре? Если да то какой будет основной, а какой резервный"

    Если вы не будите использовать legacy ПО, а рассмотрите вариант на 2012 R2, то там Haighly avaivable Dhcp доступен сразу "из коробки" со схемами основной-резервный (Active-Passive) и shared database (Active-Active).
    Ответ написан
    Комментировать
  • Почему зависает remoteApp?

    @1qaz2wsx3edc
    Active Directory admin
    А что говорят счетчики производительности на хосте(ах) хостящих 1с?
    Много 1с-ок - это разные инстансы платформы опубликованные в разных коллекциях или несколько открытых БД в пределах одной коллекции ?
    далее - что происходит на стыке 1с server-sql ? Или у вас файловые БД ?

    "Я подозреваю, что remoteapp на одного юзера выделает какой то лимит по памяти и процессору."

    c 2008R2 появилась такая фича как fair share
    https://technet.microsoft.com/en-us/library/dd560667(v=ws.10).aspx#BKMK_4
    https://social.technet.microsoft.com/Forums/window...
    Ответ написан
  • На какую зарплату можно рассчитывать системному администратору в не IT-шной компании?

    @1qaz2wsx3edc
    Active Directory admin
    плохой старт. как уже отписались господа выше - в IT аутсорс либо крупную компанию (от 1000 чел) либо банк.
    Ответ написан
    Комментировать
  • Как управлять терминальными сессиями Windows server 2012 в рабочей группе?

    @1qaz2wsx3edc
    Active Directory admin
    проще застрелиться, чем делать то, что вы предлагаете.

    (на самом деле проще купить 2008R2, 2012 разрабатывалась как cloud os для крупных предприятий)

    На самом деле ответ вам не понравится - WMI запросы.
    Ответ написан
  • Как добавить мастер-пароль для группы пользователей в windows server 2012?

    @1qaz2wsx3edc
    Active Directory admin
    1. Если у вас централизованная аутентификация на базе AD, то можно посредством Group Plicy распространить сервисную учетную запись, вложив ее в лок. админы необходимых машин. При этом ей можно от туда же GP Preferences задать пароль. Однако этот способ - потенциальная дыра в безопасности.

    2. Можно распространить только аккаунт, пароль к нему задать посредством лого скрипта - так более безопасно.
    Ответ написан
    Комментировать
  • Как построить работу отказоустойчивой доменной сети с 2 контроллерами домена?

    @1qaz2wsx3edc
    Active Directory admin
    "3. Делаю КД2 вторым сервером глобального каталога"

    Поднимаете роль контроллера домена, получаете входящую репликацию с #1. Далее - указываете, что новый кд является еще и глобальным каталогом.

    "4. ... настраиваю репликацию"

    репликацию "настраивать" вам не придется - у вас наипростейшая структура

    "Вопрос:
    1. Правильно ли я понимаю топологию сети?"

    Без вменяемой схемы сложно понять, что именно и куда вы собираетесь подключать.

    "2. Как мне реализовать отказоустойчивость файлового сервера, чтобы файлы были доступны при отключении одного из КД?"

    Есть штатная роль - Failover Cluster, при этом предполагается, что ваша машина не кд (т.к для кд этот функционал избыточен). До кластеров вам с такой инфраструктурой, к сожалению, как до луны, поэтому:

    1) Есть вариант организовать через DFS, однако есть ряд подводных камней (технология не предназначена именно для репликации данных)

    2) Скрипт \ robocopy etc - будет работать, но это костыли.
    Ответ написан
    Комментировать
  • Мониторинг нескольких серверов (<10)

    @1qaz2wsx3edc
    Active Directory admin
    в PRTG теперь 100 сенсоров free
    Ответ написан
    Комментировать
  • Есть ли варианты удаленного управления Hyper-V?

    @1qaz2wsx3edc
    Active Directory admin
    Ответ написан
    Комментировать
  • Как правильно лицензировать CAL RDS User 2012?

    @1qaz2wsx3edc
    Active Directory admin
    "Смогут ли сейчас подключаться 4 человека одновременно, если мы не активируем CAL RDS 2012 User?"

    да, у вас в любом случае grace period 180 дней (или 120 не помню точно)

    "Потому, что как я знаю CAL User 2012 - это чисто юридическое подтверждение. "

    для клиентских OS - да, для терминальных подключений - нет

    пример: у вас в компании 20 человек, 4-ре из них работают на терминальном сервере.

    итого:
    4 user cal + 4 RDS cal
    16 user CAL
    Ответ написан
  • Порядок перехода со старого сервера Windows Server 2003 на новый Windows Server 2003?

    @1qaz2wsx3edc
    Active Directory admin
    " В это время я настраиваю Сервер №2 (контроллер домена, AD, DHCP, DNS) и "завожу" на него новые рабочие станции. "

    Зачем? Я не понимаю чего вы пытаетесь достигнуть.

    У вас есть:

    1 лес
    1 КД (где отказоустойчивать?)
    Старые клиенты домена, введенные в домен.
    Вы вводите в эксплуатацию новые клиенты домена - вы хотите подключить их к старому инстансу AD или речь идет о параллельном развертывании второго леса?
    Ответ написан
  • Где брать опыт для вакансии сис. администратора?

    @1qaz2wsx3edc
    Active Directory admin
    Прежде чем устроиться на свою первую официальную работу - помощником системного администратора, я потратил 2 года на поиски дателя который меня бы взял. Все это время работал (бегал высунув язык) на доширакеров-аутсорсеров в черную. Вот так я и начал....свою карьеру.
    Ответ написан
    Комментировать
  • Как изолировать проблему производительности 1с 8.2 в режиме RemoteApp (win2012r2)?

    @1qaz2wsx3edc Автор вопроса
    Active Directory admin
    Удалось отследить №2 - "Ошибка печати". При подключении принтеров через GP (причем не важно как - через административные шаблоны или через GPP), по истечению некоторого времени 1С "теряет" принтер(-ы), помогает удаление и повторное подключение. Более детально логи не смотрел.

    upd.

    Проблема потери производительности ушла сама собой, отследить кто именно являлся виновником - не удалось.
    После около полугода эксплуатации можно отметить, что с 2012R2 возникают проблемы только при использовании 1c8+печать. Пробовал распространять - офис, браузеры, 1с8, гарант, консультант, разного рода самописный web софт

    Проблема с 1с8 сейчас.

    При вызове окна печати (ctrl-p) система думает секунд 19. На 2008R2 - моментально открывается.
    Принтеры на 2012R2 приезжают по политикам (с фильтрацией по группе), в 2008R2 - установлены вручную.
    Ответ написан
    Комментировать
  • Как прокачать скиллы по Active Directory?

    @1qaz2wsx3edc
    Active Directory admin
    В принципе уже ответили. Могу свои пять копеек вставить - я бы посоветовал развернуть свой собственный кластер (или standalone гипервизоры), развернуть _несколько лесов, несколько сайтов в каждом лесе и пытаться отрабатывать сценарии близкие к реальным. Лабы от MS убоги да и опыта ты на них не получишь.
    Ответ написан
    Комментировать
  • Easy Print и совместимость принтеров - где проверить?

    @1qaz2wsx3edc
    Active Directory admin
    побуду кэпом

    1) настроить Easyprint политиками, доустановить на клиенты необходимые фреймворки
    2) Попечатать
    Ответ написан
    Комментировать
  • Можно ли переносить winserver2003+AD+DNS на друге железо?

    @1qaz2wsx3edc
    Active Directory admin
    Я вопрос честно говоря не понял....особенно про резервный КД
    Ответ написан
    Комментировать
  • Как применить групповую политику к пк, подключенному к домену?

    @1qaz2wsx3edc
    Active Directory admin
    "Что мне нужно сделать, чтобы групповая политика применялась к пользователю (лям)??"

    1) Создать объект GPO, описать в нем параметры, применяемые к пользователю
    2) Прилинковать созданный GPO на контейнер / домен / сайт (в зависимости от ваших требований)
    3) Выждать таймаут применения GPO (дефолтный) - 60 + рандомное число от 0 до 30 минут ИЛИ если у вас Windows Server 2012 - запустить обновление учетных записей в OU через консоль ИЛИ при помощи powershell инвокаций выполнить gpupdate /force на необходимых компьютерах.
    Ответ написан
    Комментировать
  • Remoteapp. Как монтировать диски профилей?

    @1qaz2wsx3edc
    Active Directory admin
    "Нужно сделать авторизацию в домене и, чтобы при входе в домен пользователю монтировался этот диск. "

    А смысл ? Вы же таким образом заблокируете vhdx - при логоне на терминальный сервер получите temp профиль.

    "The simpler way is user profile disks. User profile disks store user and application data on a single virtual disk that is dedicated to one user’s profile. One of the key challenges to pooled virtual desktop deployments is easily maintaining the user settings and data; this is because this information is discarded at logoff when a pooled virtual desktop image is rolled back to its initial state. User profile disks provide an easy way to store the user settings and data on a separate virtual disk that is reattached at logon, so the user data isn’t discarded when the virtual machine rolls back"

    blogs.msdn.com/b/rds/archive/2012/11/13/easier-use...
    Ответ написан
    1 комментарий