• Какая разница между типами vlan?

    @Akina
    Сетевой и системный админ, SQL-программист.
    802.1Q VLAN
    Базовый, объемлющий, протокол.
    К пакету при отправке добавляется информация (дополнительный заголовок) с номером VLAN. Такой пакет называется/является маркированным номером VLAN (тегованным). Соответственно при приёме номер VLAN сверяется с разрешённым, при несовпадении пакет отбрасывается. Мест добавления/контроля, как и способов, существует несколько.

    Port-Based VLAN
    Разновидность протокола, при котором номер VLAN жёстко связан с физическим портом устройства. Входящий нетегованный пакет маркируется именно тем номером, который зарегистрирован на порте, входящий/исходящий тегованный пакет проверяется на то, что номер соответствует зарегистрированному на порте, иначе пакет отбрасывается. К порту может быть привязано несколько номеров как разрешённые входящие/исходящие для тегованного трафика, но строго один для нетегованного трафика. Исключение - вторым может быть Voice VLAN, но эту ситуацию обслуживает отдельный протокол-надстройка (к тому же он всегда MAC-based).

    802.1Q Management VLAN
    Номер VLAN, к которому привязан IP-адрес внутреннего интерфейса управления. Из другого VLAN интерфейс по этому адресу недоступен. Внутренний интерфейс может иметь несколько адресов из разных непересекающихся подсетей, тогда каждый будет привязан к своему Management VLAN.
    Ответ написан
    1 комментарий
  • В чем отличия Windows Server 2019 и 20H2?

    Как уже было сказано выше (но разве можно считать хорошим ответом тот, в котором спрашивающему говорят "гуглите"?), Windows Server 2019 и 20H2 (а сейчас уже 21H2) - это два разных продукта.

    Windows Server 2019 на момент написания этого ответа - продукт LTSC. Он не содержит новых функций, которые могли бы появляться между большими релизами серверной ОС Microsoft, но зато гарантированно долго поддерживается, что позволяет полагаться на этот дистрибьютив системам, которые не частно обновляются или меняются.

    Windows server (XXHX) - это SAC продукт, обновляется каждые пол года или реже, чаще получает "последние доработки", долгосрочно не поддерживается, то есть используя его можно быстрее получить новые фичи (если они нужны и вы о них знаете), но обновлять сам дистрибтьютив для гарантии наличия патчей и обновлений придется чаще (целить надо на "раз в пол года").
    Ответ написан
    Комментировать
  • Как разрешить трафик между двумя локальными сетями на Mikrotik?

    @MagicGTS
    Не вполне ясна конфигурация файрволла и ожидания от его работы.
    Раз у вас два провайдера, то должен быть настроен не самый тривиальный конфиг роутинга. Предположу, что конфиг у вас был сброшен и затем как-то сделан иначе.
    Сам по себе, ответ AlexanderSuz вполне верный, однако, что у вас дальше с сетью совершенно не ясно.
    Что могу порекомендовать: постарайтесь вернуть фильтр хотя-бы к заводскому состоянию, это обеспечит адекватную защиту от интернета, затем добавьте интерфейсы провайдеров в список WAN, а клиентов в LAN.
    В таком случае, связь локалок будет работать, в фаерволле будет работать conntrack и fast forward (что полезно для правильного DNAT и производительности), а со стороны интернета вас не будут использовать в атаках типа DNS amplification.
    Как у вас при этом DualWan настроен и как возвращение к "истокам" на него повлияет - смогу ответить после того как увижу конфиг целиком.
    Ответ написан
    Комментировать
  • Почему долго разворачивает образы по WDS?

    SignFinder
    @SignFinder
    Wintel\Unix Engineer\DevOps
    Это нормальное поведение. Гуглите wds pxe Block size и увеличивайте его размер
    Ответ написан
    1 комментарий
  • 2 DNS в одной сети AD домена?

    @mezhuev
    Системный администратор
    1. В параметрах сервера DNS в AD укажите сервером пересылки ваш AdGuard.
    2. У пользователей оставьте только DNS в AD.
    Ответ написан
    4 комментария
  • Правильный алгоритм разграничения доступа к папкам пользователей в AD?

    @nApoBo3
    Папки создаются не по отделам, а по функциям-ролям.
    Можно создать отдельную папку на каждый отдел, поскольку пописать все функции-роли внутри отдела весьма затруднительно, но все папки используемые несколькими подразделениями делаются именно по функциональному принципу.
    Пример:
    Папка отделов
    ..Папка Отдела продаж
    ..Папка Бухгалтерии
    ..Папка Юридической службы
    Папка договоров
    ..Папка договора с поставщиками
    ..Папка договора с клиентами

    Папки собираются и монтируются пользователям с помощью DFS.

    Права пользователей делаются по модели AGDLP. На каждый объект доступа( как вариант папку, но это может быть и не папка ) создается access группа, являющаяся локальной доменной группой, для нее прописываются права. На каждую бизнес роль создается глобальная доменная группа. Пользователи включаются в глобальные доменные группы, глобальные доменные группы включаются в локальные доменные группы( access группы ).

    Пример:
    Папка отдела продаж
    Локальная доменная группа saledepread( назначены права доступа к папке отдела продаж на чтение )
    Локальная доменная группа saledepwrite( назначены права доступа к папке отдела продаж на запись )
    Глобальная группа saledep( включена в локальные группы saledepread и saledepwrite )
    Пользователь Василий Пупкин( включен в глобальную группу saledep ).
    Ответ написан
    8 комментариев
  • Правильный алгоритм разграничения доступа к папкам пользователей в AD?

    SignFinder
    @SignFinder
    Wintel\Unix Engineer\DevOps
    Здесь Описание прав групп безопасности? я расписывал простую структуру групп безопасности для выдачи прав, привязанную именно к структуре папок.
    Ответ написан
    8 комментариев
  • Правильный алгоритм разграничения доступа к папкам пользователей в AD?

    firedragon
    @firedragon
    Не джун-мидл-сеньор, а трус-балбес-бывалый.
    На каждый отдел создать OU и в нем группу пользователей Администраторы и Пользователи
    В соответствии с правами добавлять туда пользователей
    Кроме этого создать группы Администраторы и Пользователи для всей организации

    \\company\fileshare - разрешения Администраторы и Пользователи уровня организации добавлять только нижележащие группы по отделам, не пользователей

    \\company\fileshare\Отдел 1\Папка 1 -
    \\company\fileshare\Отдел 1\Папка 2 - сброс разрешений и добавление группы Администраторы Отдел 1 и Пользователи Отдел 1
    Ответ написан
    2 комментария
  • Разделить два провайдера на разные (коммутаторы) сети?

    @graf_Alibert
    Настраиваете PPPoE Client для ISP1 и для ISP2, создаете bridge1 и bridge2 для будущих подсетей, добавляете в них необходимые порты и NAT-ите ISP1 в первый bridge, а ISP2 во второй.
    DHCP server так же настраивается для каждого bridge, а при необходимости можно добавить и vlan.
    Ответ написан
  • Разделить два провайдера на разные (коммутаторы) сети?

    @Drno
    Александр. Моё лично мнение такое.
    DHCP - всё на микротике. создаем неск подсетей, и оттуда управляем. На srv1 сотавляем всё кроме dhcp и шлюза.

    srv1 с AD и nas (для бэкапа) должны иметь доступ к бухам и их вилану.
    (для возможности удалённой помощи)

    Этот вопрос решается ip>routes на самом Микротике. доступы поп подсетям.

    Нафиг Вланы -накладные расходы. просто поделите сети на микротике, в роутах сделайте нужные маршруты...
    допустим - с SRV и компов админа доступ разрешен, с других IP - запрещен(если надо так прям жестко разграничить безопасность)

    Т.к. имеете разные подсети, 2 провейдера - задайте маркировкой тарффика движение в инет. по модели - подсеть 192.168.0.1 >>> маркировка>>>ISP1
    подсеть 192.168.0.2 >>> маркировка >>>ISP2

    Имеем - доступность серверов с любой подсети\пк(ограничения сами поставите_), разделения инетов для разных подразделений, управление всем с микротика...
    Ответ написан
    2 комментария
  • Разделить два провайдера на разные (коммутаторы) сети?

    jamakasi666
    @jamakasi666
    Просто IT'шник.
    Что то вы мудрите слишком сильно. Тут сейчас будет количество людей= количеству вариантов, так же все сильно зависит от рассадки персонала\кабинетов\планировки кабинетов.
    С моей колокольни и реалий рассадки я бы разделил так:
    Как предпосыл, яб набрал побольше железа пусть и более дешевого.
    1) все все все, что связанно с бухами в свою подсеть, на свой свитч. Т.е. компы\принтеры\сервер бухов.
    2) отдельная сеть для прочих серверов которые юзают все или всё.
    3) отдельная сеть для wifi, отдельно для видеонаблюдения.
    4) отдельная сеть "прочая" где все остальные.
    Между всем этим тупое разграничение правилами фаирвола или фаирволов в идеале(т.е. каждой сетью рулит своя железка, даже микротик).
    Но опять же, это мой случай. У нас все бухи сидят на одном этаже в 3х соседних кабинетах как пример. Если у вас 1 кабинет на одном этаже , второй на 5 этажей выше а еще пара рандомно находится то тут однозначно вланы. Главное помнить что чем сложнее схема, особенно с вланами, тем сложнее потом будет это контролировать, искать проблемы, прокидывать, особенно если люди обслуживающие это меняются и особенно не документируют. В этом плане раздельные подсети гораздо проще.
    Ответ написан
    1 комментарий