Saboteur, речь идёт о сетевом Медке. Есть предположение, что интерфейс Медка на клиентах может работать отзывчивей по гигабиту. Всего лишь предположение, я не проверял.
На сегодняшний день гигабит нужен (и достаточен) как минимум сисадмину в лице меня, чтобы быстро гонять по сети бекапы, образы виртуалок и прочие крупные файлы. Сегодня я сижу в одном кабинете, а через год - в другом. Также гигабит желателен пользователям тормознутого ПО вроде Медка. Это на сегодняшний день. Что будет через 10 лет, прогнозировать сложно, но может оказаться, что гигабита будет уже мало, и нужен мультигигабит. Так есть ли смысл сегодня закладывать в здание 5-ю категорию витой пары, для которой гигабит - потолок?
Алексей Черемисин, интересно! Ещё пара вопросов, если Вас не затруднит:
4. Умеет ли KVM завершать работу Windows внутри виртуальной машины?
5. Как Вы обновляете Linux+KVM, как часто, вручную или автоматически по расписанию? Спокойно ли Вы спите во время / после очередного обновления, не беспокоитесь ли о том, что обновление что-то поломает и завтра виртуальные сервера будут лежать? У меня Hyper-V обновляется раз в неделю с ночной перезагрузкой, и я сплю спокойно :)
Программный RAID хорошо, но у меня есть вопросы:
1. Умеет ли он делать ребилд в низком приоритете, чтобы восстановление нескольких терабайт HDD-зеркала не остановило работу с данными на полдня? HBA H240 умеет, там эта настройка называется "Rebuild priority" (или как-то так).
2. На сервере нужен не только RAID, но и система виртуализации. Если рассматривать программный RAID, то Hyper-V отпадает. Какую систему тогда посоветуете? Сколько она стоит? (Hyper-V бесплатен, если на нём крутятся виртуалки с Windows Server)
3. Умеет ли система виртуализации пробрасывать PCI-E устройства внутрь виртуальной машины? Hyper-V умеет, благодаря чему можно, например пробросить USB-порты сервера, назначив виртуалке целый USB-контроллер.
Действительно, в этой старой оснастке обновления безопасности отображаются. Я и раньше в неё заглядывал, но не увидел там слова "Накопительное" (как в WSUS), поэтому решил, что здесь их тоже нет. Короче, нужно искать по номеру KB. Спасибо за подсказку!
Drno, купили точку доступа MikroTik LHG LTE6 kit (с пораболической 4G-антенной). Отправили в горы, там человек пытался поймать сигнал, но так и не смог. Координаты ближайших базовых станций известны, так что он направлял антенну на БС - никакого толку. Как выяснилось, причина банальна: горы, холмы и деревья перекрывают сигнал. Нету прямой видимости.
Также есть другая проблема. Я игрался в офисе с этой точкой доступа, направлял на ближайшую базовую станцию, добился максимального соотношения сигнал/шум, скорость downstream по тестам достигала 70Мбит/с. И даже в этих условиях IP-видеокамера не смогла передавать стабильно видео-поток со скоростью больше 3 Мбит/с (хотя по тестам upstream показывал около 10 Мбит/с). Короче, мобильный интернет = медленный upstream.
Спасибо за информацию, будем экспериментировать.
Камера Reolink Go PT, штатная антенна одна. А с внешней антенной я тестировал камеру в офисе, всё работало отлично. Кабель короткий, около 2 метров.
jenyasafronov, у любого роутера есть два IP-адреса: локальный и глобальный. Вам нужно каким-то образом избавиться от глобального адреса на тех двух роутерах, которые будут использоваться в роли свитчей:
1. Перевести роутер в режим "точки доступа", если в нём есть такая функция;
2. Прописать глобальный IP-адрес фейкового диапазона, например пусть кинетик будет 192.168.254.2, а сяоми 192.168.254.3.
jenyasafronov, верно. Кроме этого, нужно освободить "внешние" разъёмы свитчей, переключив кабели к "внутренним" разъёмам. Внешним разъёмом я называю тот, к которому обычно подключается кабель от интернет-провайдера.
IP-адреса можно присвоить свитчам, например, такие:
основной модем 192.168.100.1
кинетик 192.168.100.2
xiaomi 192.168.100.3
А диапазон DHCP сделать, например, 192.168.100.100-192.168.100.254.
DHCP оставить включённым только на основном модеме.
Drno, к сожалению, этот вариант не подойдёт, потому что это не антенна, а модем: я не смогу его подключить к камере, т. к. у неё нету ни вай-фая, ни ethernet. У неё есть только выход на внешнюю антенну (коаксиал).
Drno, повторюсь, облако конкретно этого производителя (Reolink) работает отлично, когда камера стоит в городе. В горах иногда удаётся добиться видеопотока и при этом в приложении отображается скорость сотни килобит в секунду. Для Full HD потока, нужны мегабиты (1-2 Мбит/с должно хватить). Но в таких условиях этого не удаётся добиться. Сейчас камера вообще не может перейти на 4G-режим, пишет "Edge". Есть предположение, что базовая станция перекрыта деревьями или даже каким-нибудь холмом.
Константин Фролов, а антенну куда подключать? В камере 4G-модуль встроенный и есть разъём для внешней антенны. Мы подключили планшетную направленную антенну, но этого оказалось недостаточно.
Дело не в пропускной способности: в городе эта камера работает идеально даже на максималках и без внешней антенны. В горах же очень плохо со связью: даже обычный звонок совершить не всегда удаётся. Внешняя антенна немного улучшает ситуацию, но не достаточно. Что касается настроек камеры, то в ней всего два режима: low и high. И в горах она не может отдавать даже low-поток нормально. Поток получаем через облако производителя.
MaxKozlov, не знал, спасибо за наводку! Но я просмотрел статью по Вашей ссылке: все способы, которые там перечислены, требуют либо CredSSP, либо пароль, либо выполнение специальной настройки на контроллере домена. А вот способа разрешить "двойной прыжок" на самой рабочей станции, не зная пароль, я не увидел. Поправьте меня, если ошибаюсь.
Роман Безруков, если целевая рабочая станция заражена (случайно или намеренно), то при открытии сессии доменного администратора на такой машине, зловред получит полный доступ ко всем компьютерам в домене.
Схема, которую Вы предлагаете - уязвима и мало чем отличается от использования учётки доменного администратора. При Вашей схеме злоумышленник получит доступ ко всем рабочим станциям следующим образом:
1. Вскрыв свой рабочий ноутбук, он подключит накопитель к личному устройству и "пропатчит" системные файлы, включая powershell.exe;
2. В один прекрасный день админ запустит удалённую powershell-сессию под "УЗ, не имеющую прав домен-админа, но имеющую права локального админа на целевых ПК";
3. Заражённый на локальной машине powershell.exe получит админский доступ ко всем ПК по сети и сможет сделать с ними всё что угодно.
По-этому, у меня на всех рабочих станциях пароли локальных администраторов - разные. Если утечёт один из них - пострадает только один ПК.
Должен быть способ открыть удалённую powershell-сессию под локальным админом.
Спасибо, как-нибудь проверю. На данный момент все машины в области досягаемости обновлены. Когда появится в офисе кто-то из удалёнщиков, проверю и отпишусь (удалёнщики прячут нотбуки в тумбочки, отключив питание, поэтому обновление сборки не ставится).
