एक छोटी सक्रिय निर्देशिका आधारित स्थानीय क्षेत्र नेटवर्क की स्थापना पर अच्छा अभ्यास

अपने काम में, मुझे अक्सर प्रतीत होता है कि काम कर रहे ग्रिड से निपटना था, लेकिन जिसमें कोई भी मामूली घटना नीले रंग से बाहर निकल सकती थी। केडी मरा? इससे कोई फर्क नहीं पड़ता, हमारे पास एक दूसरा है। गेंदें कैसे नहीं खुलतीं? प्रवेश द्वार जवाब क्यों नहीं देता है? और, उस सीडी पर केवल डीएचसीपी सर्वर था और अब सभी गायब हो गए हैं।

इस लेख में, मैं अपने दृष्टिकोण से, एक छोटे उद्यम के नेटवर्क के बुनियादी ढांचे को बनाने पर निर्णय से सही, वर्णन करने का प्रयास करूंगा। और निश्चित रूप से, यह लेख लेखक के व्यक्तिगत अच्छे व्यवहार को दर्शाता है और पाठक के आदर्शों से भिन्न हो सकता है।

So. हमारे पास 100 ग्राहक हैं। सब कुछ मानक है, उपयोगकर्ता इंटरनेट पर जाते हैं, मेल भेजते हैं, फ़ाइल स्टोरेज का उपयोग करते हैं, 1s में काम करते हैं, वे एक कूलर कंप्यूटर चाहते हैं और वायरस को पकड़ने की कोशिश करते हैं। और हाँ, हम नहीं जानते कि कैसे अभी तक बादल हैं।

लगभग किसी भी बुनियादी ढांचे के खंभे की एक जोड़ी,

और फिर हम स्पष्ट और बहुत बारीकियों पर नहीं जाएंगे। वैसे, मैं दोहराता हूं, हमारे पास एक छोटा-मध्यम व्यवसाय है, जो कि तेज नहीं है।

डेटा सुरक्षा। "एक बारूदी सुरंग सर्वर रूम से टकराई।"

यदि कोई लैंडमाइन आपके सर्वर से टकराता है, तो सबसे अधिक संभावना है कि डेटा की सुरक्षा आपकी रुचि बनाएगी। यह बहुत अधिक संभावना है कि 31 दिसंबर को एक पाइप ऊपर से फट गया था, इस वजह से आग लग गई थी और फर्श गिर गया था।
- डेटा हमारा सब कुछ है। बैकअप सर्वरों में से एक सर्वर एक के बाहर स्थित होना चाहिए। यह एक जीवन है। यहां तक ​​कि अगर केवल सबसे महत्वपूर्ण चीजें उस पर झूठ बोलती हैं, तो एक या दो दिनों में आप फिर से एक सर्वर खरीद सकते हैं और एक काम कर सकते हैं। अपरिवर्तनीय रूप से खोया हुआ आधार 1 सी आप कभी भी पुनर्प्राप्त नहीं कर पाएंगे। वैसे, बूढ़ा आदमी एक ला P4-2400 / 1024 आमतौर पर ठीक से संगठित बैकअप के साथ बैकअप का प्रबंधन करता है।

की निगरानी करना। 01/01/2013 02:24 | प्रेषक: Zabbix | विषय: परमाणु प्रक्षेपण का पता चला! "

आपके पास अपने दोस्तों के साथ नए साल का जश्न मनाने का एक अच्छा समय है। वैसे, न केवल आप, भवन का चौकीदार जहां आप परिसर किराए पर लेते हैं, व्यर्थ में भी समय नहीं गंवाते हैं। इस प्रकार, पानी से भरा जला हुआ कमरा एक हैप्पी न्यू ईयर में आपके गले में एक सुखद बोनस होगा।
- अगर कुछ गलत होता है, तो आपको इसके बारे में पहले से पता होना चाहिए। महत्वपूर्ण घटनाओं के बारे में एक ही एसएमएस के मानदंड हैं। वैसे, अगर सुबह अलार्म बजने के 5 मिनट बाद भी आपको मॉनिटरिंग सर्वर नहीं मिला, तो अलार्म बजने का समय आ गया है। आखिरकार, मॉनिटरिंग सर्वर पर नज़र रखने वाले सर्वर ने भी कुछ नहीं लिखा। सामान्य तौर पर, यह ठीक है, आपके पास सर्वर एक के बाहर एक बैकअप सर्वर है, जिसने फिर भी आपको लिखा है कि उसने सभी को खो दिया था, लेकिन यह सेवा में है।

वसूली योजना। "शांत हो जाओ, कज़लादोव, मूंछों के साथ बैठ जाओ!"

यह आपके अभ्यास का सबसे नया साल है। हां, एसएमएस प्राप्त करने और स्थिति का आकलन करने के बाद, अग्निशामकों को तुरंत बुलाया गया, और वे लगभग 5 मिनट में पहुंचे, और जल्दी से बाहर निकाल दिया। लेकिन बस एक ही, सर्वर का एक हिस्सा जल गया, दूसरा फोम से भर गया, और तीसरा फर्श के नीचे अंत में विफल हो गया।
- एक झूठ, बिल्कुल। यह सबसे सुखद नहीं है, लेकिन सबसे नया साल नहीं है। हां, एक व्यस्त सप्ताह आपको इंतजार कर रहा है, लेकिन एक स्पष्ट योजना के लिए धन्यवाद, आप जानते हैं कि कहां शुरू करना है और क्या करना है। आपदा वसूली के संदर्भ में, मेरा सुझाव है कि आप कंसोल कमांड सहित पूरी तरह से सब कुछ सूचीबद्ध करें। यदि आपको तीन साल पहले कॉन्फ़िगर किए गए कुछ प्रकार के MySQL सर्वर को पुनर्स्थापित करने की आवश्यकता है, तो क्या आपको कुछ महत्वहीन बारीकियों को याद रखना चाहिए जो अंत में आधा दिन बिताना होगा। वैसे, सब कुछ आपकी योजना से थोड़ा अलग होगा, शायद बिल्कुल भी नहीं, इसके लिए तैयार रहें।

अब AD पर नेटवर्किंग की मूल बातें।

मैं क्लस्टरिंग और अन्य लाइव माइग्रेशन के लाभों को चित्रित नहीं करने जा रहा हूं। हमारे पास एक छोटा सा व्यवसाय है और vMotion के लिए कोई पैसा नहीं है। हालांकि, यह आवश्यक नहीं है, अधिकांश सेवाएं "बॉक्स से बाहर" पूरी तरह से आरक्षित हैं। नीचे कोई ट्यूनिंग पता नहीं होगा, लेकिन मैं स्व-अध्ययन के लिए सही दिशा देने की कोशिश करूंगा।

• सक्रिय निर्देशिका डोमेन नियंत्रक दो होना चाहिए, शारीरिक रूप से लोहे के विभिन्न टुकड़ों पर। वैसे, Microsoft वर्चुअल मशीन में सभी सीडी करने की सिफारिश नहीं करता है (अनुशंसित नहीं), अर्थात्। कम से कम एक सीडी शुद्ध रूप से लोहे की होनी चाहिए। सामान्य तौर पर, यह बकवास है, आप विभिन्न भौतिक मेजबानों पर अलग-अलग सीडी बना सकते हैं, बस एक आभासी वातावरण में सीडी स्थापित करने के लिए सामान्य Microsoft सिफारिशों का पालन करें। वैसे, दोनों डोमेन कंट्रोलर्स पर GC स्टोर करना न भूलें।
• DNS सिर्फ नींव है। यदि डोमेन नाम सेवा आपके लिए कुटिल है, तो आप लगातार जाम को नीले रंग से बाहर निकालेंगे। कम से कम दो DNS सर्वर होने चाहिए और इसके लिए, सीडी हमारे लिए काफी उपयुक्त हैं। और सीडी पर "विश्लेषक के अनुपालन के विश्लेषक" की सिफारिशों के विपरीत, मैं आपको खुद को एक मास्टर के रूप में इंगित करने की सलाह देता हूं। और एक और बात, IP पते द्वारा क्लाइंट्स पर सर्वरों के पंजीकरण की प्रथा के बारे में भूल जाएं: यदि यह एक NTP सर्वर है, तो क्लाइंट को इसे ntp.company.xyz के रूप में जानना चाहिए, यदि यह एक प्रॉक्सी है, तो कुछ ऐसा है जैसे कि Gate.company.xyz, खैर, सामान्य तौर पर, यह स्पष्ट है। वैसे, यह srv0.domain.xyz नाम के साथ एक ही सर्वर हो सकता है, लेकिन विभिन्न CNAME के ​​साथ। सेवाओं का विस्तार या आगे बढ़ने पर, यह बहुत मदद करेगा।
• DNS के बगल में NTP सर्वर। आपकी सीडी को हमेशा सटीक समय देना चाहिए।
  टिप के लिए धन्यवाद foxmuldercp
• दो डीएचसीपी सर्वर भी होने चाहिए। इन्हीं सीडी पर, यह काफी काम करने वाली योजना है। बस इसे कॉन्फ़िगर करें ताकि आउटपुट रेंज ओवरलैप न हो, लेकिन ताकि प्रत्येक डीएचसीपी मशीनों के पूरे बेड़े को कवर कर सके। और हाँ, प्रत्येक डीएचसीपी सर्वर को पहले DNS सर्वर के रूप में भी जारी करने दें। मुझे लगता है कि यह स्पष्ट क्यों है।
• फ़ाइल सर्वर। यहां भी सब कुछ आसान है। हम उसी सीडी पर प्रतिकृति के साथ डीएफएस बनाते हैं। सामान्य तौर पर, प्रतिकृति का इससे कोई लेना-देना नहीं है, बस हमेशा डीएफएस के माध्यम से गेंदों के लिंक लिखें, सभी फ़ाइल संसाधनों के संबंध में इस अभ्यास का पालन करने का प्रयास करें। जब आपको गेंद को एक नए स्थान पर ले जाने की आवश्यकता होती है, तो बस गेंद को स्थानांतरित करें और डीएफएस में लिंक बदलें। ग्राहक को कुछ भी नजर नहीं आ रहा है।
• MSSQL सर्वर 1s। यह अब आसान नहीं है। और महंगा है। आपके पास आंशिक रूप से बड़ा आधार है, और स्टैंडबाय SQL सर्वर को पकड़ना अनुमत नहीं है। आप इस चीज़ को आरक्षित नहीं कर पाएंगे, किसी भी मामले में, आपको एक नए उदाहरण की आवश्यकता है जो पैसे खर्च करता है। बैकअप हमारे सब कुछ हैं, यह ठीक है। इस बात पर विचार करें कि आप कहाँ जल्दी से एक अस्थायी DBMS सर्वर तैनात कर सकते हैं। वैसे, डेटाबेस के आकार पर एक सीमा के साथ एक मुफ्त MSSQL एक्सप्रेस है, शायद आपको इसे रोकना बंद कर देना चाहिए।
• गेटवे। लिनक्स और अन्य FreeBSD। यह अप्रिय नहीं होगा, लेकिन TMG और अन्य Kerio के लिए कोई पैसा नहीं है। आपको अभी भी iptables को समझना है। यहां मैं असंदिग्ध सलाह दे सकता हूं - यदि आप ओएसआई के साथ दोस्त हैं - कोई समस्या नहीं होगी, अगर आप दोस्त नहीं हैं - केरीओ के साथ समस्याएं होंगी। वैसे, अगर आपको लगता है कि आप एक व्यवस्थापक हैं और यह नहीं जानते कि एक फ्रेम और एक फ्रेम में क्या अंतर है, तो यह आपके लिए मुश्किल होगा।
• सुरक्षा। एक बहुत व्यापक विषय, इसलिए इस अंतरंग प्रश्न के बारे में निम्नलिखित पैराग्राफ।
  उपयोगकर्ताओं को डोमेन उपयोगकर्ताओं के तहत काम करना चाहिए। कोई भी, मैं जोर देता हूं, सीमित अधिकारों वाले वातावरण में काम करने के लिए किसी भी एप्लिकेशन को कॉन्फ़िगर किया जा सकता है। कभी-कभी प्रोग्राम को निर्देशिका में लिखने की अनुमति को स्थापित करने और आंतरिक रूप से निष्पादन योग्य फ़ाइलों को लिखने से प्रतिबंधित करने के लिए पर्याप्त है। कभी-कभी, सुविधाओं का पता लगाने के लिए, आपको रजिस्ट्री और फ़ाइल सिस्टम की निगरानी करने की आवश्यकता होगी। कभी-कभी आप स्कोर करना चाहते हैं और व्यवस्थापक अधिकार जारी करना चाहते हैं। यह कभी-कभी उचित है। यह आपको चुनना है, लेकिन UAC को कभी भी बंद न करें। हां, और आपको, कार्यस्थल पर बैठे, सभी वर्कस्टेशन पर अधिकतम स्थानीय प्रशासनिक अधिकार होना चाहिए, किसी भी स्थिति में डोमेन व्यवस्थापक नहीं। यदि आवश्यक हो, टर्मिनल के माध्यम से सर्वर को चलाने।
• लेखा। मैं उपयोगकर्ताओं के बारे में कुछ नहीं कहूंगा, मुझे लगता है कि यह स्पष्ट है कि प्रति उपयोगकर्ता एक खाता है। लेकिन हर कोई यह नहीं समझता है कि प्रत्येक सेवा का अपना खाता होना चाहिए। उदाहरण के लिए, MSSQL, AD वातावरण में काम करते हुए, डोमेन व्यवस्थापक अधिकारों की आवश्यकता नहीं है। एक नियमित उपयोगकर्ता खाता बनाएँ और DBMS स्थापित करते समय इसे निर्दिष्ट करें। इंस्टॉलर स्वयं आवश्यक अधिकारों को पंजीकृत करेगा और सब कुछ ठीक काम करेगा। और इसलिए लगभग किसी भी सेवा के साथ। यदि AD से कनेक्ट करने के लिए कोई भी ओपनफ़ायर व्यवस्थापक खाते को निर्दिष्ट करने के लिए कहता है - यह एक नाम है, तो इसे केवल निर्देशिका सेवा को पढ़ने की आवश्यकता है।
• सॉफ्टवेयर अपडेट। WSUS परिनियोजित करें और कम से कम महीने के दूसरे बुधवार को दर्ज करना और नए अपडेट की जांच करना न भूलें। अपने बेड़े से 10-15 कारों का चयन करें और उन्हें परीक्षण समूह में शामिल करें। इस समूह पर नए अपडेट की जांच करें, और जब आपको जाम नहीं मिले, तो सभी को तैनात करें। वैसे, यहां WSUS के माध्यम से किसी भी सॉफ़्टवेयर को अपडेट करने का तरीका infa है ।
• एंटी वायरस। यह काम करना चाहिए, और आपको इसे नियंत्रित करना चाहिए। मैंने शुरुआत में निगरानी के बारे में लिखा था।
• एससीएस। कई संस्थानों के लिए एक बहुत ही गंभीर विषय। सलाह का केवल एक टुकड़ा है। यदि आप इसे स्वयं करते हैं, तो इसे अपने लिए करें, किसी अन्य मामले में प्रबंधन को साबित करें कि आपकी कंपनी के लिए आउटसोर्स कार्य प्रदान करना महत्वपूर्ण है। याद रखें, अगला व्यवस्थापक आसानी से आपके निवास स्थान का पता लगा सकता है।

शुरुआत के लिए, शायद पर्याप्त। यदि यह दिलचस्प था, तो मैं प्रत्येक बिंदु पर विस्तृत और पूरक होने के लिए, जारी रखने के लिए तैयार हूं। स्वस्थ आलोचना लिखें, आप सभी को धन्यवाद।