Ответы пользователя по тегу Системное администрирование
  • Как вывести время последнего онлайна хоста в Zabbix?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Похоже заббикс такого не умеет, для графаны есть вот такой вопрос на SO: https://stackoverflow.com/questions/77682714/last-... возможно его решение вам подойдет.
    Ответ написан
    Комментировать
  • Как дать общий доступ к папке только одному подразделению в AD?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Создайте группу, запихните туда всех из отдела и выдайте права на группу. К сожалению, добавить по OU в динамическую группу не выйдет, максимум по атрибутам типа department и подобного, если у вас в AD они заданы для всех, можно построить динамическую группу вместо обычной. А вот подключить сам диск можно через групповую политику, создаете и вешаете на OU, все получают подключенный сетевой диск.
    Ответ написан
  • Правильно ли сделаны VLAN?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    1. Лучше всего выставить DHCP-сервер в подсеть к пользователям, вместо использования ip address-helper. Уже потом пользователи (если ПК с виндами, или если настроена DNS-регистрация) пойдут на DC за регистрацией своего IP-адреса и всем остальным от домена. Если у вас DHCP на роутере, то да, в каждый vlan нужно назначить один пул адресов вместе с остальными конфигами (gateway, DNS, что ещё требуется в сети). Хотя в серверной подсети держать DHCP малость некорректно в самом деле, но можно его там иметь на случай если кто-то левый подключится по DHCP, а сервер хоп и алерт пошлет, вида "у вас завелся враг!!11!". Ну или если конфиг на адаптере слетит, можно будет добраться до сервера и починить.
    2. Нет, если vlan10 там ни одному устройству не требуется на уровне L2, а по схеме там ни одного устройства с vlan10 нет. Но добавить в транк - можно, "хуже не будет", свитчи знают, на каком порту у них какие устройства, и трафик по vlan10 в сторону свитча полетит только тогда, когда будет куда его отправлять.
    3. То же самое
    4. Работать будет, а понятие "правильно" тут не особо применимо. Вам понадобится разрешить на роутере доступ к принт-серверу из vlan пользователей и серверов (если в серверах есть RDP, с которых нужна печать), плюс со станции управления.
    5. А так и пишете, iptables -A FORWARD -s 172.16.16.0/23 -d 172.16.30.1 -j ACCEPT (опционально фильтровать дополнительно порты, нужен 445 для SMB и могут понадобиться динамические порты, давно уже нет у меня принт-сервера). Все равно меж-влановым доступом управляет роутер на уровне L3/L4.
    Ответ написан
  • (Теория) В каких случаях принято ставить L3 в центре?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Фиолетово, при современном оборудовании. Если на файрволле много правил, или планируется/установлен программный, правильнее ставить L2 в центр коммутации, все равно трафик упрется во внешний канал, а при центральном L3 теоретически возможна деградация производительности, если упереться в правила фильтрации трафика. А так, логичнее ставить L2 в центр всегда, основная задача backbone - пересылка трафика, а всё остальное лучше делать вне его.
    Ответ написан
    5 комментариев
  • Как настроить firewalld для 2-х интерфейсов?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Выставь мускул слушать на 10.0.0.1, должно хватить.
    Ответ написан
  • 2 роутера через коммутатор/свич?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Задача понята так: Есть два подключения к Интернету через два независимых роутера, нужно настроить сеть так, чтобы ПК, который подключен в свитч, имел оба выхода как доступные и был доступен из Интернета через оба роутера, где второй нужен для резервной связи. На ПК запущена некая служба (сайт, ssh, неважно), использующая известный порт.

    Делаете так:
    - На свитче создаете два VLAN, скажем с номерами 10 и 20, в один включаете порт с ПК (tagged, порт соответственно в trunk), и порт с роутером (untagged), во второй порт с ПК (tagged) и порт второго роутера (untagged);
    - На ПК настраиваете два виртуальных сетевых адаптера (eth0.1, eth0.2) под оба VLAN, на обоих настраиваете DHCP;
    - На роутерах выдаете известному мак-адресу ПК конкретный статический IP-адрес (лучше из разных подсетей, чтобы при работе с ПК не путаться) и настраиваете проброс требуемого порта на этот IP;
    - На ПК проверяете доступность Интернета через каждую из сетевых карт путем отключения их поочередно (ifdown eth0.2 например, и пингуете 8.8.8.8, потом ifup eth0.2; ifdown eth0.1 и опять пингуете);
    - Настраиваете службу так, чтобы она слушала на 0.0.0.0 или на обоих IP-адресах, выданных роутерами;
    - Настраиваете DynDNS на оба IP-адреса, с которыми ПК выходит в Интернет, для обеспечения доступа снаружи;
    - Проверяете доступ снаружи путем отключения каждого из каналов по очереди и ожидания обновления DynDNS.
    Ответ написан
    2 комментария
  • Как запустить msc от админа в windows 7 corp?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Странно, что у вас не открывается. Запускаете cmd, если надо запустить от админа, а UAC не вылезает, делаете shift+RMB - Run as different user, вводите креды админа, получаете админский cmd. в нем запускаете mmc compmgmt.msc и вперед. А вот если надо панель управления запустить, тут сложнее, запуск control из-под админа лезет в существующий explorer-процесс.
    Ответ написан
    Комментировать
  • Виртуализация контроллера домена, как правильно?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Если нужен просто виртуальный DC, поднимайте новый, перекидывайте роли и выводите старый - вуаля, контроллер домена на виртуалке. Главное потом заморочиться на синхронизацию времени, чтобы не было такого, что КД получает время от хоста, а хост от КД.
    Ответ написан
    5 комментариев
  • Как правильно внедрить контроллер домена в существующую одноранговую сеть?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    "Внедрять" относительно просто - поднимаешь, настраиваешь DNS и форвардинг, создаешь всех пользователей, начинаешь включать компы в домен. Чтобы комп в домен вошел, надо его DNS-клиент настроить на контроллер домена, иначе он домена не увидит.
    После ввода ПК в домен локальное ПО будет доступно, профили пользователей придется мигрировать, включая потенциальные возможности roaming profile для доменных пользователей.
    Ответ написан
    1 комментарий
  • Есть 4 хоста обединенных в vsan и RAID на каждом хосте?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    По-хорошему, ни к чему настраивать дополнительный уровень RAID на уровне хоста, достаточно в самом vSAN настроить корректно избыточность распределенного хранения данных с требующейся по техзаданию надежностью, и потом гонять перф-тесты с целью выяснить предел нагрузки, который сей vSAN потянет, так как он зависит от метода обеспечения надежности.
    Ответ написан
    1 комментарий
  • Так можно ли использовать Zookeeper + Clickhouse на одном сервере?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    По меньшей мере очень нежелательно. Clickhouse обожает есть процессор, а Zookeeper критичен к задержкам, т.е. если кликхаус съест всё процессорное время, зукипер начнет падать. "К задержкам" - значит обработки запросов типа keepalive итп, т.е. процессорным.
    Ответ написан
  • Потерял доступ к некоторым сетевым папкам. Интересно, как оно так получилось?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Скорее всего вы нарвались на проблему работы уже с самбой версии 2/3, а не 1, детали тут: https://devanswers.co/network-error-problem-window...
    Обходной вариант: использовать net use drive: \\server\share /user:whatever_user для подключения. Если это не сработает, смотрите, что за сервер "server", если он в самом деле 2003R2, то проблема в отключенном SMBv1.
    Ответ написан
    Комментировать
  • Что должен знать linux администратор?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    "Знать линукс" это уже довольно растяжимое понятие. Или ты знаешь, как его запускают и основную работу с файлами из комстроки (ls, rm, cp вот это всё), или ты можешь настроить на нем функционал из десятка-другого связанных нетривиальными конфигами пакетов (RADIUS/sssd/xl2tpd, скажем, это то, что мне пришлось настраивать) - оба варианта это "знать линукс" в своём роде, и обычно по мене появления задач из второго списка становится понятно, что линукс-то ты как раз и не знаешь, но узнаёшь по мере их решения.

    А что касается работы сисадмином - чаще всего помимо линукса нужно знать сети (хотя бы TCP/IP стек с протоколами DHCP/DNS/ICMP), Windows AD (мало кто работает чисто на линуксах), работу с офисным пакетом, общие сведения о серверном оборудовании, принципы работы систем бэкапа, что куда можно втыкать и т.п., с таким багажом можно искать место младшего админа в конторе с парой айтишников на офис, и постараться нахвататься опыта у старших товарищей, пока они не сбежали, оставив на тебя всю инфраструктуру. Потом потребуется подтягивать прикладные знания по используемому ПО, чем его больше, тем будет интереснее и тем больший уровень сможешь занять потом. Чаще всего это гипервизоры со своими заморочками, замена оборудования, простые конфигурации железных свитчей/роутеров, прикладные проблемы с печатью, VDI/RDSH/Xen/что-там-где из разделяемых сред, возможно, работа с СХД по FC или iSCSI, локальное спец-легаси-ПО, бэкапы всех вариантов, концепции HA/DR, кластеры разных типов со своими протоколами и т.д. Для начала хватит.

    PS: читай Хабр, особенно тематические статьи по технологиям, и таки учись гуглить неизвестные или нестандартные проблемы - как ни странно, но поиск помогает иной раз свести странности до понятного уровня, да и решения в чистом виде попадаются. Но заучи наизусть, что надо делать, если гугл недоступен, особенно если ты в серверной и мобила не ловит, а выйти нельзя.
    Ответ написан
    Комментировать
  • DNS Как исправить ошибку петлевого IP при одном DNS?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Сразу - почему сеть 20.0/8? Кто-то не сможет попасть на конкретные узлы Интернета!
    Партнеры репликации - это другие контроллеры домена, которых у вас похоже нет, в этом случае ошибку можно игнорировать, главное настроить корректно DNS forwarders на стороне службы DNS-сервера. Если есть, пишите адрес одного из них.
    Ответ написан
  • Как выполнить systemctl daemon-reload внутри Docker контейнера?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    По-моему, у вас XY-проблема. Вам хочется запустить некий сервис в докере, но вместо поиска вариантов запустить его докером вы хватаетесь за systemctl. Соберите для сервиса отдельный контейнер и запускайте.
    Ответ написан
  • Подключение к удаленному рабочему столу, так чтоб не мешать пользователю за этим пк?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Ставить вместо клиентской ОС серверную. С клиентской ОС такой трюк не пройдет, если не нарушать лицензии.
    Ответ написан
    Комментировать
  • Установщик не видит основной жесткий диск, в чем может быть причина?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Драйверов вам к вашему SATA-контроллеру не хватает. QubesOS под капотом имеет Xen hypervisor, который весьма вероятно не рассчитан на запуск на десктопах. Если найдете драйвер, попробуйте подсунуть, но сломаете сам концепт - а ну как драйвер **небезопасен**?
    Ответ написан
    5 комментариев
  • Какое выбрать HCI решение на 2 ноды?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Две ноды мало, поймаете split brain, получите пи* всем данным. Либо если есть третий ПК с виндой, или SAN-хранилка, можно реализовать двухнодовый кластер Microsoft, Hyper-V server 2012R2 и выше умеет быть кластерной нодой. А если раздобудете третий сервер, можете поставить Nutanix Community Edition, на трех нодах замечательно работает, тем более all-flash.
    Ответ написан
    Комментировать
  • StrongSwan как пересылать пакеты из подсети клиента 1, в подсеть клиента 2?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    По результатам обсуждения - входит довольно большой комплекс изменений. Во-первых, нужно изменить настройки подсетей в обоих туннелях: на сервере 10.0.1.1 для подключения каждого клиента нужно добавлять подсети всех остальных клиентов (сейчас один, но мало ли, может, вам понравится), т.е. дополнительно leftsubnet=192.168.20.0/24 для 10.1.1.1 и 10.0/24 для 10.1.1.2. Такая же настройка должна быть на стороне клиентов, так как они теперь должны в туннель пропихивать пакеты для нелокальных подсетей, т.е. если leftsubnet=192.168.10.0/24, то rightsubnet должен также содержать 192.168.20.0/24, и зеркально для второго клиента.
    Во-вторых, на каждом клиенте нужно добавить маршрут до удаленной сети через 10.0.1.1. Сервер, по идее, при поднятии соединений добавит себе маршруты до их rightsubnet'ов самостоятельно. Проверить стоит, ip route show table all должен показать в таблице 220 (по умолчанию именно в неё strongswan складывает VPN-маршруты) корректные маршруты внутрь каждого туннеля.
    Ответ написан
  • Реплика или iscsi?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Перенесите второй контроллер (домена) на второй хост как ВМ, репликация останется, и если что, сразу два хоста "не выйдут из строя".
    Ответ написан
    Комментировать