Антон

1) Поддерживаю ораторов, которые говорят о разворачивании машин с нуля в виртуалке, без попыток конвертации P2V. При конвертации могут разные артефакты всплывать, ну нафиг. Грамотно спланированный перенос не потребует даже даунтайма сервисов.

2) СХД отдать только под виртуализацию, никаких бэкапов там. В вашем случае -- это примерно как из пушки по воробьям. Под бэкапы -- вытащить все винты из ваших пролиантов и сложить их на один какой-то сервак, и на его основе сделать бэкапохранилку. ESX может грузиться и по iSCSI, и с флэшки. У пролиантов есть отсек для SD-карточки, можете туда флэшку с ESX воткнуть. Иными словами -- для хостов виртуализации жёсткие диски не нужны.

3) Kerio -- фу-фу-фу! :-) Карточки вам не нужны, аппаратный роутер, в принципе, тоже. Каждого провайдера в отдельный VLAN, оба VLAN -- в виртуалку, на виртуальный сервер с FreeBSD, например. И всё, маршрутизируйте как угодно.

4) QNAP в качестве СХД -- фу-фу-фу! Уж лучше самосбор какой-нибудь (сервак с большой дисковой корзиной, или отдельно пара серверов+корзинка DAS), с FreeBSD и ZFS внутри, да даже с виндой. Оно и дешевле обойдётся, и обслуживать проще. У NAS-ов из дешёвого сегмента артефакты бывают очень разнообразные и зело причудливые. Отваливаются LUNы, слетают права, вообще из сети пропадает. Короче, нахлебались, было дело.

5) Подумайте в сторону винды. Учтите, что Windows 2012 R2 Standard в качестве хоста виртуализации (Hyper-V) даёт возможность внутри себя виртуализовать 2 виндовых сервера по этой же лицензии. Иными словами, если у вас 3 лицензионных Win2012 R2 стоят на хостах, то с их помощью вы можете виртуализовать 6 серверов с виндой, не покупая никаких доп. лицензий.

Hyper-V умеет запускать виртуалки прямо на файловых шарах SMB 3.0. То есть, не нужно iSCSI, FC и прочих модных технологий из области NAS/SAN. Достаточно Win2012 R2 и открытой файловой шарой на нём. Винда умеет технологию Storage Spaces. Которая (технология) умеет даже автоматически tiering, причём из коробки. QNAP, который это умеет, будет стоить тысяч под 300 рублей. Это без дисков.

Исходя из набора сервисов, который у вас есть в сети, вам, в принципе, СХД и не нужна. Не те скорости, не те объёмы. У вас же нет 10-гигабитных линков, правильно я понимаю? Посмотрите вместо СХД на какие-нибудь сервера с большими корзинками. Ну, допустим, от 8 до 24 дисков. 8 есть практически у всех, у Dell есть 10 и 20 дисков, у STSS есть сервера с корзиной на 24 диска (вот так оно выглядит). Либо на DAS (direct attached storage). Нужен сервер (практически любой), в сервер SAS-HBA адаптер с парой внешних портов, и корзинка DAS, которая SAS-кабелями подключается к этому адаптеру.

Примите во внимание также, что брендовые СХД (даже QNAP) -- это вещь в себе, и диагностику там провести достаточно сложно. Поэтому обычно покупается поддержка у вендора. А она стоит тоже порядком денег. А без поддержки самому лазить в потроха СХД -- чревато граблями вооооооот такого размера. Самосбор же проще диагностировать и проще чинить (менять компоненты), если вдруг что.

Именно через политики. На контроллере домена, в оснастке групповой политики создаёте новый объект и связываете его с группой, содержащей те компьютеры, на которых надо ввести запрет. В этом объекте добавляете записи
Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ -> Дополнительные правила
ПКМ, Создать правило для пути
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, уровень - Неограниченно
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%, уровень - Неограниченно
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%, уровень - Неограниченно

-> Уровни безопасности -> Запрещено, нажать кнопку "По умолчанию"

Если надо, чтобы локальные админы могли запускать программы из других папок, то
-> Применение
Применять политику для всех пользователей, кроме локальных администраторов.

Очевидно, что взять MIB можно у производителя железа. Если на сайте нет, то следует обратиться в техподдержку. Часто бывает так, что присылают только по требованию. А иной раз вообще жопят :)

используйте утюг

Буду жесток...
Это как ни странно и то и другое...
Думаете у нас мало "профи" которые "способны решать задачи самостоятельно" ?
Уверяю их достаточно, так же как и бездарностей и новичков которые ничего не понимают и не умеют.
НО! Эти люди уже организовали свой бизнес или на пути к этому.
А работодатели хотят как всегда "профи" за "фикс". Что бы так сказать "бери больше - кидай дальше" за фикс.
Теперь понимаете откуда дефицит? Да да... Всё правильно, работодатели ищут "профи" которые не умеют руководить... Которые на каждое данное задание будут говорить "я буду рад выполнять этот проект для вас"...
Смешно да?
И вся эта ерунда которая происходит на собеседованиях это просто пси-садизм, что бы опустить человека и тот был бы согласен вкалывать за меньший фикс.
Думаете "профи" этого не понимают? Ещё как понимают. Поэтому и дефицит. Дефицит "профи-лохов".
Теперь о работодателях... Зачем вообще создаются предприятия? Что бы решать большие и сложные задачи с помощью малых ресурсов. Если менеджмент не способен организовать работу и осуществить некий проект с помощью специалистов начального уровня разделяя сложную задачу на простые, значит это плохой менеджмент и он будет искать "профи-лохов".

А вы посмотрите на те вопросы, которые тут люди задают, посмотрите, какие проблемы люди пытаются решить. 30% вопросов об одном и том же: как начать что-то делать. На другие 60% вопросов ответ можно найти самостоятельно. 10% вопросов действительно чего-то стоят. А ведь все эти вопросы как раз и задают такие вот "специалисты".
Люди не хотят самостоятельно думать, самостоятельно решать задачи. Даже не то чтобы решать, а просто найти ответ в интернете, так как 99% проблем уже решено кем-то другим. Люди не хотят просто хоть немного напрячься. Чтобы где-то работать программистом, не нужно много ума: достаточно уметь искать информацию в интернете. Но и на это не все способны. Люди не умеют работать. Поэтому на фриланс-биржах так много откликов, поэтому заказчики постоянно обжигаются на таких откликах и поэтому изо всех сил держатся за одного хорошо разработчика.
Любого человека, который что-то делает, который самостоятельно решает задачи, в любой компании с руками оторвут и деньгами завалят. Людей много, а способных работать — единицы.

деревянные роутеры крайне неохотно пробрасывают вебморду доступную из локали в туннели с другой адресацией. видимо особенности прошивки и безопасности. часто такое встречаю

0_о это ж сколько нужно было выпить чтоб задать такой вопрос. И с каких пор нат стал фильтровать трафик вообще?

NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.
---------------------------------------------------------------------------------------------------------------
Межсетево́й экра́н, сетево́й экра́н, файерво́л, брандма́уэр — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

Я надеюсь у вас не высшее образование? А то вашему преподу стоит повеситься от горя.

Ввести новый сервер в старый домен в качестве вторичного контроллера, затем старому первичному контроллеру роль понизить, а новому - повысить.

Изменился способ работы NAT, теперь у вас этим занимается тот модем, а не микроитк, соответственно либо раньше работал встроенный в MK механизм поддержки SIP (IP - FireWall - Service port), а теперь его нет, либо модем режет какое-либо соединение. Нужно крутить настройки NAT в телефонах и\или настройки NAT в свистке.

Из коробки - используйте готорые и платные решения от gmail, yandex и иже с ними.
Не из коробки - postfix (сам агент на сервер) + dovecot (ради imap, "как exchange") + spamassasin (антиспам) + sasl (модуль аутентификиции, зависит от того, как будет атворизация у вас) + clamav (антивирь) + dkim (подписи) + в DNS прописать spf для вашего домена.
При этом придется следить за обновлениями софта, как почтового так и вспомогательного (например openssl) и самого сервера. И съесть пару собачек на конфигурировании написанного.

Так же замечу, что указанному софту есть альтернативы: postfix - exim, dovecot - courrier как минимум. Еще надо будет ставить дополнительный софт в виде fail2ban, и самописных скриптов, есть f2b вам мало и у вас открыт ipv6. И до кучи правильно настроить iptables и ip6tables.

Для того, чтобы файлов - поставить samba и сделать некое подобие правил пользователям.

Свой мейлсервер вам нужен если вы понимаете для чего он вам нужен. Плагинов тьма на каждого любителя. "Вытаскивать сервер из блеклистов" - бейте по пользователям (если у вас будет политика смены паролей пользователями и пароли будут от 8 символов в разном регистре и с цифрами не придется) и пишите правильные конфиги (запретите relay, введите белые-серые-черные списки).

Однажды я сталкивался с таким заказчиком. Мой сайт использовался, заказчик им хвастался, а вместо оплаты я получил еще и негативные отзывы с выдуманными проблемами.

В итоге заказал "продвижение сайта прогоном по каталогам" у школьника. 10 баксов и домен забанен навсегда.