Отвечу вечером. В настройках тика Local address мне кажется излишним - у меня его нигде нет. И DH группу можно брать послабее - у меня стоит modp1024 - но это все смотрится по логам швана - прошла фаза 2 или нет.
На закладке Installed SAs в колонке Encr должен быть выбранный алгоритм, на закладке Auth - выбранный метод подписи (там может быть none), счетчики в Current Bytes должнеы обновляться, когда пинг проходит. И на закладке Policies в столбце PH2 State если фаза 2 прошла успешно - стоит established
trjflash, Не знаю, как работает GRE, но вот IPSec проходит тик дважды - как впрочем и iptables тоже - первый раз зашифрованный, второй раз расшифрованый. Поэтому фактически для IPSec маршрутизация не нужна - ее заменяет policy. Там главное NAT-ом пакет не поломать :) потому что у IPSec есть контрольная сумма, а после NAT - она сходиться перестает и пакет отбрасывается :)
Примеры есть. Я целую тестовую сеть строил - тик, за которым тачка, центос, за которым тачка.
RigidStyle, Вы теоретическую работу о шифровании в идеальном сферическом мире пишете, да? Без модели нарушителя (без принятия решения - от кого Вы защищаетесь) - все Ваши выкладки - это просто блабла. От абстрактного нарушителя - абстрактная защита. Конкретная защита всегда включает в себя оценку конкретной необходимости защиты. И как правило, чем выше защита - тем она дороже.
Вы чего в этот винрар уперлись? Когда я говорю - нормальное шифрование - это значит как минимум AES-256. Идите, считайте, сколько будете брутить :)
Вы бы сначала модель нарушителя сказали что ли... От соседа-жены-работодателя сгодится и такая защита. От государства. ..Видите ли - паяльник в #опе - очень неприятная вещь...
Владислав Лысков, так смысл был в том, чтобы погрузиться в среду - то есть делать ежедневные действия. Хочешь например, порнушку - изволь узнать, как оно пишется на родном языке ;) и результаты поиска читать придется тоже на нем.
Мне например нормально заходило читать ВН на английском. Причем, на русский перевода просто нет :)
maniac_by, Метод. Не нужно ходить к компу юзера. Подцепился и оболочка сама может поставить клиента, если его нет. Причем, если клиента настроить заранее, его можно поставить в "тихом" режиме - когда юзер не видит, что за ним наблюдают. А если использовать не DMRC, а DMNT - там вообще например можно зашатдаунить комп с сообщением юзеру - я например так тачку ребенку гашу, когда он буракосит и спать не идет...
rPman, плюс стопицот. Тут все практически (исключая 1С) можно сделать на линухе (1С тоже, но она все равно будет платная) - и AD - там целых два варианта! - и файлопомойку и терминальный сервер. И хосты виртуализации сделать на proxmox или KVM. Но это же надо мозгом шевелить :)
Илья Кириллов, vCenter - один на проект, к нему будут подключены оба сервера. Ставится он на один из серверов либо на еще стороннюю машину, кстати ресурсов жрать ни разу не любит.
Про бэкапы.
Фразу "Кроилово ведет к попадалову" слышали? Так это про вас. Вот развернете Вы проект, все поставите, все настроите, все взлетает - и вдруг...упс и хост завис! (видел такое). Перезапустили - упс, AD не стартует. Надо восстанавливать. А Ваша полка она настолько хилая, что на ней приличная программа бэкапа не запустится от слова совсем.
vCenter - это среда управления VMWare, в которой можно управлять всем, что туда входит. Это собственно сервер - программа для винды либо готовая ВМ на зюзе. Она покупается одна.
vSphere processor - это по-процессорная лицензия на хост - на хост покупается столько лицензий, сколько у хоста сокетов. Они бывают разных типов, дешевле и дороже, чем дороже, чем больше фич (пиратку понятно не рассматриваем - там все и сразу :) ) Вам таких нужно будет две.
User CAL - это лицензия для пользователя на подключение к AD. Не для терминального сервера - там свои собственные лицензии. А просто для того, чтобы юзер мог работать в домене. Это нигде не прописывается и работать будет конечно же и без них - но закон будет нарушен.
Зачем 10Тб? А Вы машины AD и файлопомойки бэкапить не собираетесь? Собираетесь их подымать заново если вдруг все нае..хало на камень? Если у Вас в филиалах идет какая-никакая обработка инфы - Вас на тряпочки разошьют, пока Вы заново AD подымете :D Бэкап непосредственно ВМ, в несколько поколений, с возможностью файлового восстанвления (то есть достать отдельный файл)...
На закладке Installed SAs в колонке Encr должен быть выбранный алгоритм, на закладке Auth - выбранный метод подписи (там может быть none), счетчики в Current Bytes должнеы обновляться, когда пинг проходит. И на закладке Policies в столбце PH2 State если фаза 2 прошла успешно - стоит established