Ответы пользователя по тегу Системное администрирование
  • Почему нельзя зайти в OWA пользователю на новых серверах?

    bk0011m
    @bk0011m Автор вопроса
    Системный администратор
    Сам спросил. Сам отвечаю
    Какой-то мудрый админ, ограничил учетку на вход на несколько компьютеров. Зачем?? История умалчивает.
    Буду проверять все учетки в АД через PowerShell

    6317297e17a70990642593.png

    Скрипт для поиска таких "счастливчиков":
    Get-ADUser -Filter * -Properties LogonWorkstations | ? LogonWorkstations | Ft Name, LogonWorkstations -auto

    Поправил немного скрипт. Спасибо MaxKozlov
    Ответ написан
    3 комментария
  • Подключение по VPN к RDP: почему не работает?

    bk0011m
    @bk0011m
    Системный администратор
    - RDP сервер что-либо знает про сеть 192.168.1.0 ? Маршруты есть?
    - На сервере RDP не настроены диапазоны сетей с которых можно подключаться?
    - Банально, файрвол на сервере RDP не блочит? Пробуйте отключить файрвол
    - То же самое к антивирусу. Он тоже может блокировать. Пробуйте отключить
    Ответ написан
  • Как исправить ошибку создания DAG в Exchange 2019?

    bk0011m
    @bk0011m Автор вопроса
    Системный администратор
    В общем, не нашел я в чем проблема.
    Суть в чем. DAG не создается с IP адресом
    Сам кластер создается, но при попытке добавить в него хосты или возникает ошибка, или нет кворума. IP не пингуется. Пробовал все, ничто не помогло.
    В итоге сделал DAG - без IP. Майкрософт даже рекомендует так сделать. Якобы старый вариант кластера устарел и блаблабла...
    Взлетело все на ура. Кластер работает. Жаль что не так как хотелось бы, но главное что работает.
    Ответ написан
    Комментировать
  • Как передать большой объем данных между серверами?

    bk0011m
    @bk0011m Автор вопроса
    Системный администратор
    В итоге получилось поднять скорость до 3.65Gbit/s
    В моем случае это достаточно
    Использовал связку:
    dd if=/dev/pve/vm-100-disk-1 | ssh root@IP_HOST dd of=/var/tmp/vm-100-disk-1.raw
    Ответ написан
    4 комментария
  • Как перебросить dns и dhcp c маршрутизатора на КД(он же новый dns и dhcp сервер)?

    bk0011m
    @bk0011m
    Системный администратор
    ИМХО только руками.
    DHCP точно вручную придется переносить. Если есть статика то заводить все заново, если нет статики, то не смысла переживать, новый IP раздадутся автоматически.
    DNS - можно попробовать настроить как SLAVE, чтоб он подсосал настройки с микротика, НО! Я бы рекомендовал тоже настроить все заново. Все таки CD не любит такие фокусы и DNS на нем должен быть primary.
    Не думаю что у вас там 100500 записей в DNS. И вполне можно все забить вручную
    Ответ написан
    Комментировать
  • RDP через проброшенный порт или VPN, что опаснее?

    bk0011m
    @bk0011m
    Системный администратор
    Вам нужно решить для себя, от каких угроз вы собираетесь защищаться. От внешних, внутренних или от всех.
    Если от внешних - то однозначно вам нужно настраивать VPN. Да и при любом раскладе этот способ безопаснее.
    Если от внутренних, то тут нужно включать параноика.
    Если человек из-вне, через VPN ходит на RDP сервер, то значит никуда больше ему ходить не должно. Запрещайте все остальное. Файрвол вам в руки и антивирус на каждую машину.
    Но нужно понимать, что любое подключение из вне, каким бы они не было - потенциальная дыра. И ее нужно защищать любыми способами.
    Так же нужно ограничивать серверы для внешних подключений. Так как эти серверы тоже считаются не безопасными. А значит в ДМЗ их и запретить им все по максимуму
    Ответ написан
    Комментировать
  • Какой порядок в создании корпоративной сети?

    bk0011m
    @bk0011m
    Системный администратор
    1. Начинать надо с шлюза, он же роутер. Тут все зависит от финансов. В идеале это что-то вроде cisco ASA, но подойдет и небольшой сервер на базе FreeBSD (в качестве файрвола рекомендую только PF) или Linux(тут достаточно встроенного iptables/netfilter). Windows в качестве шлюза тоже работает, НО я считаю что это моветон, и рано или поздно проблем огребете.
    Рекомендую на шлюзе ничего кроме файрвола не поднимать, любая служба - потенциальная дыра.
    2. Настраивать DHCP На роутере - моветон. Нет, можно конечно, но рано или поздно придете к мнению что это было ошибкой, и достаточно на роутере обычного dhcprelay
    3. DHCP и DNS - Должны быть на одном сервере. Если планируется контроллер домена - то лучше на нем. И эти службы должны работать в связке, иначе стандартной будет ситуация, когда клиент получил IP, а DNS ничего про это не знает.
    4. Серверы, комутаторы, точки wifi, телефоны, юзеры - все должны быть в разных vlan-aх. Лучше сразу разделите, потом спасибо скажете. Много раз сталкивался с тем что в конторах IP не хватает, так как все оборудование было в одной подсети. Ну и небезопасно это. Серверы надо защищать любым способом, отдельный VLAN - уже хорошо.
    5. Если буду принтеры, а они скорее всего будут - запланируйте принтсервер. Это может быть железка, ну или служба. Желательно на отдельном сервере.
    6. Контроллеры домена должны заниматься только доменом. Никаких шар, никаких почтовых серверов, FTP, WEB на них быть не должно.
    7. нарисуйте схему своей будущей сети. Она будет меняться по мере создания, но вам все равно будет проще. Запланируйте диапазоны IP, количество свободных IP должно быть как минимум одинаковым с кол-вом занятых. Лишними IP не бывают.

    А вообще если у вас нет хоть небольшого опыта, вам будет очень непросто. Проблем огребете и от руководства достанется. Лучше всего нанять специалиста.
    Ответ написан
    6 комментариев
  • Как мониторить нагрузку интернета на работе?

    bk0011m
    @bk0011m
    Системный администратор
    Большинство комутаторов позволяют снимать показания с интерфейсов по snmp. Далее все это прикручиваете к zabbix и вуаля! У вас и графики красивые и нагрузка в реальной времени.
    У меня так, по крайней мере.
    Ответ написан
    Комментировать
  • С чего начать когда Руководитель ИТ отдела уволился без отработки и дела не передал?

    bk0011m
    @bk0011m
    Системный администратор
    Все руководители ИТ разные. Одни специалисты в работе, другие специалисты в налаживании отношений.
    Кто-то хороший организатор, а кто-то наоборот.
    В любом случае, в вашей ситуации все сугубо индивидуально. Вам нужно понять чем он занимался, и начать с того, что продолжить его работу.
    Но судя по тому что Вы пишите, ваш директор был очень неплохим специалистом. И поэтому у вас вариант один. Или вырасти до его уровня, или плыть дальше по течению
    Ответ написан
    1 комментарий
  • Как запретить пользователю менять доменный пароль на конкретном компьютере?

    bk0011m
    @bk0011m
    Системный администратор
    У вас же домен!
    Вынесите этот компьютер в отдельную OU и создайте для него индивидуальную политику
    Ответ написан
    3 комментария
  • Какой почтовый сервер выбрать под Debian?

    bk0011m
    @bk0011m
    Системный администратор
    Странный вопрос. Exim конечно. Он уже стоит в системе, нужно только допилить немного и будет вам неубиваемый шустрый почтовый сервер.
    Всякие Postfix-ы по функционалу и возможностям и рядом не валялись
    Вот такое: www.lissyara.su/articles/freebsd/mail/exim+dovecot... уже 3 года использую, правда на FreeBSD. Под Debian особой разницы в настройках нет
    Ответ написан
    Комментировать
  • Как защитить рабочую станцию от сброса пароля администратора в windows?

    bk0011m
    @bk0011m
    Системный администратор
    Минимальный расклад (как писалось выше):
    1. Отключение загрузки с любых носителей, кроме HDD
    2. Пароль на БИОС + опечатывание корпусов.
    3. Отключить локального админа. Включить можно потом с любого загрузочного диска. Пароль от БИОС вы знаете
    4. Администратривные меры. То есть, пойманного с поличным наказать лишением премии или других бонусов. ИМХО самый действенный метод.
    Но сначала нужно убедить руководство в необходимости этих мер. Иначе могут возникнуть проблемы, уже у вас.
    Шифровать я бы не стал. Это очень большой гемморой. Возни много, есть риск потери данных. Дополнительная нагрузка на рабочие станции итд
    Ответ написан
    Комментировать
  • Почему произошел откат?

    bk0011m
    @bk0011m
    Системный администратор
    А вы уверены что для восстановления надо не так:
    $ mysql -u root -p db_name < /tmp/db_name.sql

    Обратите внимание на скобку, перед путем к дампу
    Ответ написан
    Комментировать
  • Как клонировать DNS запросовы на внешние сервисы?

    bk0011m
    @bk0011m
    Системный администратор
    А для чего все это? Вы хотите за пользователями следить? Так поставьте прокси.
    Если был ДНС-запрос - это еще не означает что по адресу кто-то пошел. Всего-лишь запрос и только
    Ответ написан
  • Как в Hyper-V объединить виртуалки в нормальную локальную сеть?

    bk0011m
    @bk0011m
    Системный администратор
    если виртуалки в одной сети, то трафик между ними идет напрямую, а не через шлюз.
    Скорее всего у вас хосту ресурсов не хватает, вот и тормоза.
    Ответ написан
  • Как настроить трафик на шлюзе между двумя сетями?

    bk0011m
    @bk0011m
    Системный администратор
    А можно поинтересоваться, зачем такой гемморой?? Два IP из одной подсети, на разных сетевых картах? Вы же закольцевали фактически сеть на своем шлюзе. Проблем наловите вагон.
    В этом на самом деле есть необходимость, или просто по незнанию так вышло?
    ИМХО логично было бы что-бы на каждом интерфейсе был IP из разных подсетей.
    Скажем на первом 10.10.10.0/24: 10.10.10.1
    тогда на втором: 10.10.2.0/24: 10.10.2.1
    Ответ написан
  • Как работает Link aggregation через беспроводную сеть?

    bk0011m
    @bk0011m
    Системный администратор
    А разве LACP настраивают между хостами? На сколько я в теме это делается между хостом и комутатором.. Не?
    Ответ написан
  • Как зайти в интернет с другого ip?

    bk0011m
    @bk0011m
    Системный администратор
    А где вы берете другой IP? Из головы, или вам его провайдер выдал?
    А шлюз меняете каждый раз, когда меняете IP?
    А как вы его (IP) меняете?
    Ответ написан
  • Системный администратор. Нет опыта и как с этим бороться?

    bk0011m
    @bk0011m
    Системный администратор
    Чуда не будет, пока вы будете ерундой заниматься. Это все равно что бросить курить. Можно вечно об этом рассуждать, при этом ничего не делая.
    В интернет полно курсов, полно информации и только ваша лень не дает вам развиваться.
    Признайте - вы лодырь!
    Или смиритесь с этим, или начните со своей ленью бороться. Других вариантов нет
    Ответ написан
  • Как правильно настроить доменную зону внутри локальной сети?

    bk0011m
    @bk0011m
    Системный администратор
    в прямой зоне, вторая строка. уберите точку после dev

    Далее IN то зачем?
    Вот так надо:
    ns				A			192.168.1.4
    test				A			192.168.1.7
    test2			A			192.168.1.7

    Вы же хосты описываете
    Ответ написан