Comments 151
Простите, и это вы все делаете за 12 тыр? По больше бы таких людей…
Я это делаю вообще пока бесплатно (за ЗП по старой должности), приказ о переводе уже месяц лежит на подписи у руководства. Идет реорганизация, так что Самый Главный думает, но обещал подписать… верим, ждем.
Наверняка какой нибудь «федеральный университет»?
Статус федерального не дали, а так в точку!
Тогда прогнозирую что вам энтузиазма на долго не хватит: бюрократие, непонимание, консерватизм, блат, «свои люди». Итог — "ОДИН В ПОЛЕ НЕ ВОИН !!!".
Советую пока не поздно не браться за эту работу, а идти работать в более адекватную среду для ИТшников.
Советую пока не поздно не браться за эту работу, а идти работать в более адекватную среду для ИТшников.
Ненавижу в себе эту черту, но до последнего цепляюсь за призрачные шансы повернуть все по-своему. Еще месяц назад был шанс соскочить и уйти на новую работу, но под новый год это вряд ли получится. Однако заявление об уходе без даты лежит в ящике стола, посмотрим что новый год нам принесет. Спасибо за совет!
UFO just landed and posted this here
1. Это интересно! По техническому образованию я металлург, по экономическому специализация тоже металлургия. Когда-то хобби и большой интерес стали моей нынешней профессией. Я прекрасно понимаю что есть места где мне заплатят в разы больше, но это будет прекрасная контора с отлаженными процессами, сплошной рутиной, боюсь мне будет скучно.
2. Чертовски хочется осуществить задуманное и купить себе уже линейку подлиннее))
2. Чертовски хочется осуществить задуманное и купить себе уже линейку подлиннее))
Советую запастись терпением. Я с год назад вступил в должность в головном офисе регион.банка. Ситуация один в один, как у вас. Плюс экономить на IT очень любят (Cisco нам и не снилась). Моя мотивация была: вертикальный рост (т.к на горизонтальный уже головы не хватало), а-ля ДАртаньян разгрести с группой единомышленников (как я тогда думал) кучи дерьма, открыть глаза руководству на истинное положение дел в IT и добиться нормального финансирования, отстроить надежный механизм управления всей этой инфраструктурой и сидеть спокойно получать денежный профит чуть ли не до пенсии (лет мне за 35 уже, а с it рынком труда у нас не очень). Ну и очень грела мысль, что теперь я сам без спроса смогу играться в интересные мне it-игрушки (виртуализация, централизованая система бэкапов, эл.доументооборот, единая служба авторизации и т.п.). А по факту сижу жду годовой премии и готов увольняться в никуда после НГ. Ибо «единомышленники» откололись сразу (не готовы они к революции за свою зарплату), руководство регулярно режет мои сметы на it. Т.е «игрушки» лежат в стороне, а каждый день мне приходится таскать тачку с дерьмом для подержания критически важной существующей инфраструктуры в более-менее работоспособном состоянии. Максимум на что хватило сил и запала, это корпоративный jabber, система заявок GLPI с инвентаризацией (почти не используюется пользователями), и полувнедренный центр.бэкап на Bacula. В общем все оказалось не так радужно — там где кончаются железки и начинается процесс управления людьми и лежат все основные проблемы.
Ситуация 1 в 1 — не Цисок ни годовой премии — хотя и поработал отдел по полной и дохрена чего внедрили. Я пытаюсь доработать схему по мотивации — через КПЭ — но все тормозится взглядом на начальство и его методы «убеждения» В общем что хотел спросить — вы то как бороться собираетесь?
Бороться? Да даже не знаю, я восемь лет тружусь в этой организации, опыт показывает что договориться на берегу о деньгах и объемах работ не получится. Всегда делал так: доводил до более или менее рабочего состояния, показывал, если это заинтересовывало руководство, то от этого и плясали дальше. Опять же, я это все начинаю не для того чтобы поднять себе и остальным ЗП, а для того, чтобы доказать себе, что я это могу.
Логика моих рассуждений примерна такова: я это делаю т.к. это интересно. Как только сделаю, дайте мне другой интерес в виде денег.
Еще есть вариант отлаженную инфраструктуру отдать на аутсорс, сократить всех раздолбаев, но сохранить ФОТ. Это кстати хорошо согласуется с теми перспективными планами, которые озвучило руководство.
Как-то так.
Логика моих рассуждений примерна такова: я это делаю т.к. это интересно. Как только сделаю, дайте мне другой интерес в виде денег.
Еще есть вариант отлаженную инфраструктуру отдать на аутсорс, сократить всех раздолбаев, но сохранить ФОТ. Это кстати хорошо согласуется с теми перспективными планами, которые озвучило руководство.
Как-то так.
Ну по крайней мере с указанным железом вы можете неплохо наработать скиллы… Одно «но». В указанных условиях, учитывая, кто будет сопровождать это, надо постараться не выходить за рамки курса CCNA и вообще реализовать как можно более простую и прозрачную топологию (см. выше), иначе вы сильно подставите контору.
Ну вот, а я думал СберБанк. )
вроде там с ИТ на уровне все
Я, как клиент сбербанка г Челябинска, посмею утверждать, что с айти там все же куча нерешенных проблем. За последнюю неделю пытался в 5ти банкоматах оплатить ежемесячный взнос за кредитку — банкоматы тупо не дают этого сделать, они не рабоатют. Интернет банкинг то работает то не работает, объем и качество предоставляемой клиенту информаиции настолько мал, что с этим всем работать затруднительно. Постоянные баги с систмами оповещений и невозможность без обращения в отделение банка решить даже самые смешные баги. Как результат — проще работаьь с комиссией через банкоматы других банков. Получается, что стоимость владения услугами сбербанка превышает комиссии сторонних банков, вот как-то так.
Ощущение, что айтишникам в сбере тупо не дают ничего сделать. Да и осеннее падение всей системы тоже доставляет опасения. Я перестал относиться к сберу как к надежному банку, потому, как нет гарантии в доступности средст on-demand. Точнее есть высокие шансы, что ту или иную операцию провести будет затруднительно в тот момент когда это необходимо.
Все вышеописанные трудности указывают на серьезную проблему в системе внутреннего взаимодействия ит-инфраструктуры. Зачем она вообще, если в половине случаев я не могу воспользоваться услугами банка?
Ощущение, что айтишникам в сбере тупо не дают ничего сделать. Да и осеннее падение всей системы тоже доставляет опасения. Я перестал относиться к сберу как к надежному банку, потому, как нет гарантии в доступности средст on-demand. Точнее есть высокие шансы, что ту или иную операцию провести будет затруднительно в тот момент когда это необходимо.
Все вышеописанные трудности указывают на серьезную проблему в системе внутреннего взаимодействия ит-инфраструктуры. Зачем она вообще, если в половине случаев я не могу воспользоваться услугами банка?
Ну после этого все становиться понятно.
Все железо покупалось исключительно для того, что бы пустить пыль в глазах. Тоже проходил через это. Руководители это в основном старое поколение, которое не понимает плюсы. Для них важно что бы работало, а не приносило пользу. Пока не поменяется менталитет руководство все начинания будут упираться в зп 12 т.р.
Могу лишь пожелать удачи и море энтузиазма.
Все железо покупалось исключительно для того, что бы пустить пыль в глазах. Тоже проходил через это. Руководители это в основном старое поколение, которое не понимает плюсы. Для них важно что бы работало, а не приносило пользу. Пока не поменяется менталитет руководство все начинания будут упираться в зп 12 т.р.
Могу лишь пожелать удачи и море энтузиазма.
А есть реальная причина считать, что начнут платить нормальные деньги за это?
При том что бы содержать такую сеть, одного админа точно мало будет. То есть бюджет по ЗП им придется увеличивать как минимум на порядок. А когда в таких конторах идет обсуждение повышения ЗП, то первым аргументом против повышения звучит что-то вроде: раньше же работало!
Судя по всему, работа эта в Москве или области. По этому есть очень приличные шансы того, что вы продолжите хорошую традицию, бросите незаконченными решения и уйдете в обычную коммерческую структуру :)
P.S. кстати вас неплохая нагрузка, если это 10%.
При том что бы содержать такую сеть, одного админа точно мало будет. То есть бюджет по ЗП им придется увеличивать как минимум на порядок. А когда в таких конторах идет обсуждение повышения ЗП, то первым аргументом против повышения звучит что-то вроде: раньше же работало!
Судя по всему, работа эта в Москве или области. По этому есть очень приличные шансы того, что вы продолжите хорошую традицию, бросите незаконченными решения и уйдете в обычную коммерческую структуру :)
P.S. кстати вас неплохая нагрузка, если это 10%.
«Своим» платят хорошо и сразу. «Своим» становится не собираюсь, а вот доказывать что мы делаем нужное дело буду. Это во-первых, а во-вторых, получив в распоряжение такое мощное хозяйство и не попытаться что-то из него сделать, это преступно ИМХО. Есть еще варианты на этом добре поднять платные услуги и сервисы и стать наконец-то центром прибыли, а не затрат.
Вообще вопрос ЗП это своего рода плач Ярославны, из разряда риторических и к теме инфраструктуры имеет лишь косвенное отношение.
В худшем случае будет очень неплохой экспириенс. Я думаю в этом месте разложено 80% граблей, которые только могут встретиться. Правда зарплата — это одно из них.
Можно считать корову! :-D
Скорее наоборот. Поменьше бы таких людей, что 12 тыров платят за такую работу.
А где реанимация? пока я вижу только дефибриллятор в руках.
Сколько-сколько? За столько можно ещё и гадить.
Для руководства ИТ это черный ящик, ну не понимают они что делают эти мальчики болезного вида и чего это стоит. Сейчас работаю над тем, чтобы навесить понятные метрики для отделов и служб и под это просить деньги. Плюс к этому есть магический круг: Низкая ЗП — низкая квалификация — повышение квалификации — незначительный рост ЗП — осознание того, что где-то накололи — уход обученного сотрудника — приход нового с нулевой квалификацией на низкую ЗП. Круг замкнулся. Максимум что мне удастся добиться, это повышение ЗП до рыночного уровня, но не более.
А может просто прекратить издеваться над людьми и дать им нормально работать с компьютерами БЕЗ доменной политики? Вот так вот просто: отказаться от доменных учётных записей вообще и перейти к использованию модели «рабочих групп». Что этому мешает?
Тогда станет кромешным адом администрировать учётные записи для файловых хранилищ, 1С-ок, почтовиков, командных сайтов и прочих сервисов, заточенных под централизованную аутентификацию.
Рабочая группа на 4000 хостов? Вы уверены!?
о да!
сжечь компьютеры и выдать всем счеты и писчую бумагу:)
сжечь компьютеры и выдать всем счеты и писчую бумагу:)
Шарингов нету, принтер чуть ли не на каждом компьютере по usb, единой политики по софту тоже нет. Просто нет таких задач, для чего было бы оправданно держать домен. Только ради того что это правильно, «по учебнику», нет, спасибо. Вообще планируется использовать модель интернет-провайдеров: вот Вам точка подключения, Ваша скорость и корпоративный портал, где Вы найдете все что Вам нужно. Но опять же не претендую на истину в последней инстанции, для этого и писал этот пост, чтобы получить дельные советы.
P.S. Некоторым пользователям очень хочется выдать эти архаичные инструменты и отравить на все четыре стороны.
P.S. Некоторым пользователям очень хочется выдать эти архаичные инструменты и отравить на все четыре стороны.
Шарингов нет, бэкапов документов нет, масштабируемых профилей нет, политик нет, общих принтеров нет… а чинить компы и восстанавливать документы — не ваша проблема?
Все это мы уже проходили, мапили диски, даже писали политику по информационной безопасности, выпускали приказы и распоряжения, но специфика организации заключается в том, что даже приказы не являются для многих обязательным к исполнению. Жесткой позиции руководства по этому вопросу нет. А гонять по сети перемещаемый профиль, куда какой-нибудь лаборант запихнул фильмец, это чересчур. Сейчас задача стоит максимально упростить существующую инфраструктуру, создать непотопляемый базис, а на нем уже строить все остальное.
Я так понимаю, если Вы писали политику, а ее не исполняли, то должны были следовать санкции. Может начать с нормальной проектировки и документации. Непонятно. В политике интернет провайдера он не несет ответственность за документы, находящиеся в сети на локальных машинах. Вы несете?
Ну вот кстати, политика ИТ по компании должна утверждаться на уровне приказа.
У нас допустим, было четко описано — если юзер хранил документы на локальной машине и винт умер — виноват пользователь — у каждого есть место для хранения файла на сетевых шарах, которые регулярно бекапятся…
У нас допустим, было четко описано — если юзер хранил документы на локальной машине и винт умер — виноват пользователь — у каждого есть место для хранения файла на сетевых шарах, которые регулярно бекапятся…
Расскажите, как бекапить данные с over 1000 компьютеров в сети, разбитой на vlan'ы) Я себе, наверное, плохо представляю архитектуру той сети, которую собрался админить автор. Хотя, с учетом того, что акцент сделан на железо Cisco, он наверное сетевик и с AD мало имел дел.
Никак. именно по этому в политике написано — все файло вечером сгружать на сетевой диск.
не сгрузил и ночью винт умер — юзер сам виноват.
Кстати это можно и скриптами на шатдаун машины частично автоматизировать.
не сгрузил и ночью винт умер — юзер сам виноват.
Кстати это можно и скриптами на шатдаун машины частично автоматизировать.
Ну, юзер сам виноват это хорошо. Пока он не работает с документами от которых зависит прибыль предприятия. Убыток от потери документа на 500 млн. он вряд ли возместит.
Если этот идиот их не выгрузил после работы с ними на сетевой диск — то это реально идиот, и тут никакие политики и санкции не помогут.
Вот допустим у меня в компании почти все сотрудники открывали документы вообще с сетевого диска, >500 r/w открытых файлов для 2TB файлохранилища под 2003 виндой единовременно — вполне штатный режим работы.
Вот допустим у меня в компании почти все сотрудники открывали документы вообще с сетевого диска, >500 r/w открытых файлов для 2TB файлохранилища под 2003 виндой единовременно — вполне штатный режим работы.
Я могу так же думать про теточку-бухгалтера, которая не может найти нужную кнопку на клаве. А вы говорите — не выгрузил. В конце рабочего дня сетевой диск внезапно отвалился и она не смогла ничего скопировать. Комп ночью сгорел. На флешке копии нет — запрещена запись на USB. Кто виноват?
Не знаю, как Вам, а последние лет 8 я не видел ни одну «тупую тетку -бухгалтера». причем как от выпускниц так и до суровых теток за 40. Да, бывают те кто не шарит, но мне обычно не лениво подойти и обьяснить, что. где, как и почему, как и обычно хелпдескерам.
Обычно помогают разные житейские аналогии, более понятные простому пользвоателю.
Обычно помогают разные житейские аналогии, более понятные простому пользвоателю.
я не говорил про «тупую», это во-первых, хотя бухгалтеров повидал достаточно. И работал с ними тоже) Во-вторых: не видел пока в пользователях женщин, которые могут зайти на сетевой диск через \\%computername%. Да и мне не лениво объяснять. Я всё к тому, что случаи бывают разные и если сеть централизованно не управляется и не мониторится — беда.
У меня было в районе нескольких десятков офисов по Украине в предпоследнем месте работы, и на достаточно давнем — офисы были на разных континентах.
Кстати из вариантов — повыгонять многие офисы со слабыми каналами в RDP сессии, тогда все документы прямо на серах и будут сохраняться.
Кстати из вариантов — повыгонять многие офисы со слабыми каналами в RDP сессии, тогда все документы прямо на серах и будут сохраняться.
Когда я думал о таких сетях, я пришел к выводу, что в домене в групповых политиках надо прописывать в реестре путь к рабочему столу и личным документам на сетевую шару. Решает множество проблем с «сам виноват», но требует нормальную сеть и нормальный сервер, чтобы поддерживать всех пользователей. Но я не админ, это чисто теоретические изыскания.
Ну некоторые так и делают — какой-нить ssd чисто под систему и пользовательский кеш профиля, остальное завёрнуто на толстые файлохранилища с DFS и прочими плюшками.
Что делать, если профессор утащил ноут домой, на даче поработать?
Локальный кеш профиля же. По приезду на работу новые документы уедут на сервера.
На даче, наверно, не поработает. А вот дома, имея доступ в интернет — вполне может. OpenVPN и ключик выданный сам в офис и подключится.
Нет, по сути мы такой ответственности не несем. Если создаются документы для внутренних целей, они тут же распечатываются, подписываются и относятся адресату, если это документ выше служебки, то копия несется в канцелярию, электронная же версия используется как шаблон для последующих документов. Электронный документооборот только в планах. Если какой-то документ делает преподаватель (например, научный труд), то он носится с ним как курица с яйцом, и как правило есть несколько копий на флэшке, в почте или где еще. Поэтому если не удается восстановить данные, все делают скорбные лица, дружно плачут, на том и расходятся. На моей памяти особо тяжелые случаи с невозможностью восстановить данные были связаны с личными фото архивами и к основной деятельности предприятия отношения не имели.
похоже на планету «ШЕЛЕЗЯКА»… грустно…
К сожалению в этой шутке только доля шутки. В ближайшие 10-20 лет на бумаге работать куда как эффективнее, нежели на компьютере. Наблюдал в больнице, где недавно лежал, систему управления пациентами, и как врачи старой закалки с этой системой работают. Не созрел еще этот аленький цветочек.
сейчас больницы и поликлиники уже переводят на работу с ПК…
пока только начало — думаю да, лет 10.
не все сразу — пока мы только догоняем Европу и США по информатизации страны и отстаем на полдесятка лет.
пока только начало — думаю да, лет 10.
не все сразу — пока мы только догоняем Европу и США по информатизации страны и отстаем на полдесятка лет.
Medswiss. Все электронное. Врачи прекрасно справляются.
Это негосударственная клиника
Какая разница?
Это не мешает тем же врачам эффективно использовать современные технологии. Очень удобно: когда угодно записываюсь к какому угодно врачу в любую из клиник. В любой момент могу попросить распечатать информацию из электронной карты.
Это не мешает тем же врачам эффективно использовать современные технологии. Очень удобно: когда угодно записываюсь к какому угодно врачу в любую из клиник. В любой момент могу попросить распечатать информацию из электронной карты.
В сущности ничего не мешает, так и планируется сделать. Домен находится в полумертвом состоянии, на втором этапе мы его ликвидируем. Может быть. Просто при разворачивании портала понадобится хранилище пользователей, а админить их в GUI под виндой очень просто. Однозначно мы не будем заводить тачки в домен, ей богу, больше проблем… хотя может я не умею его готовить.
Вполне возможно Вы нашли работу своей мечты. Безумный администратор в госконторе за зарплату в 12к. Может и печеньки будут.
А вы предлагаете для работников со служебными и личными компьютерами организовать этакую цифровую «тюрьму» с «камерами и пыточными» в виде политик и санкций? Была бы воля системного администратора — так оно и вышло бы. К счастью, для людей, принимающих решения в администрации предприятий, идеалы «железных Феликсов-сисадминов» настолько глупы и беспочвенны, что всё обычно спускается на тормозах, лишь бы не мешали работать.
Зарегулированная система не имеет точек развития и в большинстве случаев неработоспособна. Попытки натянуть железный каркас на живую систему в перспективе оканчиваются провалом, так как человек не являются частью системы безопасности и никогда не был тем «слабым звеном», на который любят уповать безопасники. Предложение «в интернет по паспорту» — из той же серии абсурда зарегулированности.
Зарегулированная система не имеет точек развития и в большинстве случаев неработоспособна. Попытки натянуть железный каркас на живую систему в перспективе оканчиваются провалом, так как человек не являются частью системы безопасности и никогда не был тем «слабым звеном», на который любят уповать безопасники. Предложение «в интернет по паспорту» — из той же серии абсурда зарегулированности.
Скажу честно, такие мысли были, но что-то делая, я пытаюсь встать на сторону оппонента, тогда все встает на свои места. В лучшем случае я получу массу негативных эпитетов в свой адрес, а в худшем получу по башке от руководства и перспективу стать козлом отпущения за все провалы, так или иначе связанные с миром компьютеров.
нужно просто обьяснить рукокодству зачем Вы делаете конкретную штуку. когда руководство увдит в этом профит либо сэкономленного бабла, либо прибыли — это прекрасно прописывается в приказах по конторе, за невыполнение которых — санкции сотруднику. Особенно в случае «контрактов на миллион».
Нужно объяснить, и даже можно попытаться. Но повторюсь, мой приказ о вступлении в должность лежит на подписи уже больше месяца, пасьянсы он на нем раскладывает что ли. Здесь невольно подумаешь об адекватности, но да не будем.
Ни в коем случае не нужно навязывать руководству принятие решений о санкциях сотруднику, которые не имеет технического образования в сфере телекоммуникаций и сетей передачи данных, но хорошо выполняет свою работу. Это прежде всего непорядочно по отношению к таким работникам предприятия и неуважение к их специализации/труду — основному качеству, благодаря которому они работают на предприятии и приносят определённую пользу предприятию.
Личная ответственность каждого сотрудника не должна зависеть от технической поддержки или обеспечения, если это напрямую не относится к его непосредственному занятию. «Вконтакте» на рабочем месте должно заставить задуматься руководителя, так ли нужен служебный компьютер сотруднику. Может он обойдётся своим (конечно, если рабочего времени не жалко)?
Личная ответственность каждого сотрудника не должна зависеть от технической поддержки или обеспечения, если это напрямую не относится к его непосредственному занятию. «Вконтакте» на рабочем месте должно заставить задуматься руководителя, так ли нужен служебный компьютер сотруднику. Может он обойдётся своим (конечно, если рабочего времени не жалко)?
Эм. вы не путайте вконтактик на рабочем месте и умерший вместе с винтом контракт на миллион.
Во первых, во некоторых компаниях внешний ноутбук не то что в сеть включить, а и на территорию пронести могут не дать.
Во вторых социалки закрыть и открыть — обычно дело пары минут на переконфигурацию прокси.
В третьих — пользователю надо обьяснить, что вот давай ты будешь хранить рабочие документы на рабочем сервере, поработал над ними дома на флешке — принес утром и записал на сервер, а то вот будет жалко, если вся твоя писанина пропадёт.
А санкции — бывают разные.
Вот у нас в конторе велась такая вот рассказывательная политика, почему плохо держать рабочие документы на локальной машине а не на серверах, которые регулярно бекапятся.
Во первых, во некоторых компаниях внешний ноутбук не то что в сеть включить, а и на территорию пронести могут не дать.
Во вторых социалки закрыть и открыть — обычно дело пары минут на переконфигурацию прокси.
В третьих — пользователю надо обьяснить, что вот давай ты будешь хранить рабочие документы на рабочем сервере, поработал над ними дома на флешке — принес утром и записал на сервер, а то вот будет жалко, если вся твоя писанина пропадёт.
А санкции — бывают разные.
Вот у нас в конторе велась такая вот рассказывательная политика, почему плохо держать рабочие документы на локальной машине а не на серверах, которые регулярно бекапятся.
Может стоит с самого начала строить политику так, чтобы не было нужды применять санкции?
В вашем случае, когда необходимо хранить рабочие документы не на машине пользователя, а на сервере компании, к примеру, обеспечить рабочие места бездисковыми рабочими станциями. Этим убивается два зайца: пользователю не нужно соблюдать должностную обязанность по копированию рабочих документов с локального диска на сервер и нести ответственность за ненадлежащее исполнение этой обязанности.
В вашем случае, когда необходимо хранить рабочие документы не на машине пользователя, а на сервере компании, к примеру, обеспечить рабочие места бездисковыми рабочими станциями. Этим убивается два зайца: пользователю не нужно соблюдать должностную обязанность по копированию рабочих документов с локального диска на сервер и нести ответственность за ненадлежащее исполнение этой обязанности.
Что-то делать — AD есть, через cisco ACS авторизация на оборудовании.
ESXi в качестве серверов виртуализации, тоже умеют авторизацию по доменным учеткам. из центра управления — esx vcenter.
Если винды много — мохно hyper-v — есть редации win 2008/2012 серверов, у которых по лицензии отключены почти все роли кроме гипервизора, они бесплатны.
1с к AD тоже прикручивается.
почта — exchange или zimbra — как его очень хороший аналог, тоже прикручивается к AD,
файлопомойки -> NAS/SAN, если есть, если нет — пару виртуалок с DFS — и жестким контролем файлопомоек по отделам и квотам.
ну про тикетки, локальную вики с документацией по ит инфраструктуре то вы молодцы.
привязка мак адреса к порту делается через dot1x по доменному же логину/паролю, тогда на любой езернет порт может ключиться только авторизованный юзер. если авторизации нет — например принтер — можно статически его закрепить, да.
В случае если лезет кто-то левый — все запросы перенаправляются на страничку «Обратитесь к системному администратору — телефон такой-то, кабинет такой-то на таком-то этаже такого-то корпуса» соответтвующей настройкой гостевого влана.
К Wifi тоже вроде прикручивается.
По поводу оставленных без присмотра ПК — блокировка консоли по неактивности в 10 минут, еще из вариантов — привязка учёток к «своим» ПК.
Кстати, squid/ssh через самбу и керберос тоже привязываются к AD и соответствующим группам, в которых можно прописать кому на какие сервера по ssh ходить, и кому какой доступ в интернет давать — аськи, скайпы. социалки, ютубы и прочее.
к NAT'у можно привязать прозрачный прокси по WCCP, кажется. который даже с телефона по Wifi отправит трафик на прокси и всякое непотребство будет блокироваться.
телефоны — дело такое — тикетка как документирование задач ИТ отдела и выполнение пользовательских запросов самое лучшее — доказано практикой моей работы в многих организациях — правило по конторе «без тикета в хелпдеск сотрудник саппорта» что-то делает только у VIP/TOP персон.
кстати, да, логи от цисок и серверов тоже лучше куда-то в syslog собирать. плюс snmp мониторинг каким-нить заббиксом.
Это навскидку быстро вспомненное за мои годы работы от хелпдеска, до старшего системного администратора и компаниях от мелкого офиса на 30 человек до транснациональных корпораций с офисами по всему миру.
ESXi в качестве серверов виртуализации, тоже умеют авторизацию по доменным учеткам. из центра управления — esx vcenter.
Если винды много — мохно hyper-v — есть редации win 2008/2012 серверов, у которых по лицензии отключены почти все роли кроме гипервизора, они бесплатны.
1с к AD тоже прикручивается.
почта — exchange или zimbra — как его очень хороший аналог, тоже прикручивается к AD,
файлопомойки -> NAS/SAN, если есть, если нет — пару виртуалок с DFS — и жестким контролем файлопомоек по отделам и квотам.
ну про тикетки, локальную вики с документацией по ит инфраструктуре то вы молодцы.
привязка мак адреса к порту делается через dot1x по доменному же логину/паролю, тогда на любой езернет порт может ключиться только авторизованный юзер. если авторизации нет — например принтер — можно статически его закрепить, да.
В случае если лезет кто-то левый — все запросы перенаправляются на страничку «Обратитесь к системному администратору — телефон такой-то, кабинет такой-то на таком-то этаже такого-то корпуса» соответтвующей настройкой гостевого влана.
К Wifi тоже вроде прикручивается.
По поводу оставленных без присмотра ПК — блокировка консоли по неактивности в 10 минут, еще из вариантов — привязка учёток к «своим» ПК.
Кстати, squid/ssh через самбу и керберос тоже привязываются к AD и соответствующим группам, в которых можно прописать кому на какие сервера по ssh ходить, и кому какой доступ в интернет давать — аськи, скайпы. социалки, ютубы и прочее.
к NAT'у можно привязать прозрачный прокси по WCCP, кажется. который даже с телефона по Wifi отправит трафик на прокси и всякое непотребство будет блокироваться.
телефоны — дело такое — тикетка как документирование задач ИТ отдела и выполнение пользовательских запросов самое лучшее — доказано практикой моей работы в многих организациях — правило по конторе «без тикета в хелпдеск сотрудник саппорта» что-то делает только у VIP/TOP персон.
кстати, да, логи от цисок и серверов тоже лучше куда-то в syslog собирать. плюс snmp мониторинг каким-нить заббиксом.
Это навскидку быстро вспомненное за мои годы работы от хелпдеска, до старшего системного администратора и компаниях от мелкого офиса на 30 человек до транснациональных корпораций с офисами по всему миру.
Спасибо за наводку! Обязательно отчитаюсь по мере воплощения всего этого в жизнь.
Помимо этого.
У Cisco есть замечательный мегакомбайн — Prime. Там и проводная, и беспроводная инфраструктуры мониторятся. Рекомендую присмотреться. При таком зоопарке средства автоматизации пригодятся. Хотя говорят, что он пока чуть сыроват, но уж через полгода детские болячки точно вылечатся. А для контроля доступа к сети пригодится ISE (упомянутый выше ACS, кстати, то ли уже кансельнули, то ли скоро кансельнут в пользу ISE). В случае университета тема «BYOD» является весьма животрепещущей.
Шеститонник один? Это проблема. Нужно два. Не стоит полагаться на кажущееся полное резервирование супов и линейных карт.
Оформите сервисные контракты как на шеститонники, так и на хотя бы несколько 35ХХ-х, в идеале еще и на wifi контроллеры. У Cisco первоклассная поддержка. И учитывая то, какой квалификации будет человек, согласный работать за 12к рублей — она наверняка пригодится. Стоит поддержка недорого.
У Cisco есть замечательный мегакомбайн — Prime. Там и проводная, и беспроводная инфраструктуры мониторятся. Рекомендую присмотреться. При таком зоопарке средства автоматизации пригодятся. Хотя говорят, что он пока чуть сыроват, но уж через полгода детские болячки точно вылечатся. А для контроля доступа к сети пригодится ISE (упомянутый выше ACS, кстати, то ли уже кансельнули, то ли скоро кансельнут в пользу ISE). В случае университета тема «BYOD» является весьма животрепещущей.
Шеститонник один? Это проблема. Нужно два. Не стоит полагаться на кажущееся полное резервирование супов и линейных карт.
Оформите сервисные контракты как на шеститонники, так и на хотя бы несколько 35ХХ-х, в идеале еще и на wifi контроллеры. У Cisco первоклассная поддержка. И учитывая то, какой квалификации будет человек, согласный работать за 12к рублей — она наверняка пригодится. Стоит поддержка недорого.
Второй шеститонник есть, выключенный в резерве, сколько себя помню он в таком состоянии. Надо сходить на свидание с ним, он по-моему даже без супервизора, только шасси.
Ну что же — вам везет. Обкатанный годами софт, никаких изменений, лишь самый базовый и поддерживаемый десятилетия функционал, лишнее нейтрино в память не било. Но все-таки разумнее исходить из того, что прямо завтра железка встанет раком. Фейловер не произойдет. Или произойдет, но и резервный суп отъедет. Или еще что.
Как вы, наверное, понимаете, «до сих пор не падало» не является аргументом ни при каких обстоятельствах. Все когда-либо случалось впервые. Cat6500 вовсе не является эталоном надежности, это не неубиваемый 2960-й…
На ядре лучше два резервирующих друг друга шасси, в каждом по одному супу, чем одно шасси с двумя супами.
Ну и холодный резерв — это отвратительно.
Как вы, наверное, понимаете, «до сих пор не падало» не является аргументом ни при каких обстоятельствах. Все когда-либо случалось впервые. Cat6500 вовсе не является эталоном надежности, это не неубиваемый 2960-й…
На ядре лучше два резервирующих друг друга шасси, в каждом по одному супу, чем одно шасси с двумя супами.
Ну и холодный резерв — это отвратительно.
да. не всегда есть возможность его быстро включить — лучше два свича в стеке.
а «неубиваемых» 2960 у товарища в конторе штук 5 разно-планово горелых лежит.
а «неубиваемых» 2960 у товарища в конторе штук 5 разно-планово горелых лежит.
лучше два свича в стеке.
Два шеститонника? Во-первых, я сомневаюсь, что там стоят sup720-10G. Во-вторых, идея VSS и вообще любого вида стекирования мне тоже не нравится, так как у них единой точкой отказа остается control plane, один на двоих…
Раз уровень доступа построен на L3 свитчах — пусть будет по VLANу на каждый, а от них два независимых L3 линка до двух шеститонников в ядре. И чтоб ни один VLAN не спанился более чем по одному свитчу. Такая топология будет простой, производительной и неубиваемой. И не нужен VSS для избежания блокируемых STP линков.
а «неубиваемых» 2960 у товарища в конторе штук 5 разно-планово горелых лежит.
У меня сотни 2960-х. Ни один не умер. Никогда. И ни одного глюка на них не припомню.
И за последние пару месяцев где-то у 20-и 2811-х роутеров, раскиданных по всей стране, сгорела память…
Вы больше в циско разбираетесь, чем я, поэтому спорить не буду. Я видел только стекированные 35хх с простейшей маршрутизацией, и то, я тогда только впервые про циско узнал.
35ХХ не стекуются вообще. Стекуются 3750 и выше, и вроде современные 2960-е.
Стек на десять и более устройств — полнейшее безумие. Да и в случае автора это невозможно не только по причине отсутствия поддержки со стороны аксессных свитчей, но и потому что stackwise кабели довольно короткие, а свитчи наверняка по всему корпусу разбросаны.
Нет, серьезно, с подобным железом все дороги ведут к routed access и двум независимым шеститонникам в ядре.
Стек на десять и более устройств — полнейшее безумие. Да и в случае автора это невозможно не только по причине отсутствия поддержки со стороны аксессных свитчей, но и потому что stackwise кабели довольно короткие, а свитчи наверняка по всему корпусу разбросаны.
Нет, серьезно, с подобным железом все дороги ведут к routed access и двум независимым шеститонникам в ядре.
Вспоминается, вы что-то писали про 2960 выпадающую в роммон при загрузке и еще что-то подобное. В какой-то из тем, где обсуждался в том числе персонал в филиалах — квалификация, зп…
вы что-то писали про 2960 выпадающую в роммон при загрузке и еще что-то подобное.
Я где-то писал про 6500-й, который после штатного ребута ушел в роммон. Беспроблемный флеш, не битый иос, корректная настройка bootvar (и по образу, и по конфрегу), и вообще полный порядок с железом. Но железка запустилась только с толкача. Проверка всего, контрольный ребут — и снова не завелась. Ну а так как я всегда завожу кейс по любым примерам непонятного мне поведения железа, этот случай не стал исключением. TAC посоветовал изменить конфрег на что угодно, сделать write, вернуть его обратно, снова сделать write и попробовать еще один ребут. Железка завелась без проблем. Объяснение: иногда у шеститонника где-то что-то слегка залипает, по всем выводам любых команд конфигурация bootvar одна, а по факту может быть и слегка другая :)
персонал в филиалах — квалификация, зп…
Их квалификации должно быть достаточно, чтобы предоставить нам консольное подключение к пропавшей железке — чтобы мы могли либо исправить проблему, либо констатировать смерть. Обычно справляются. Вы думаете, мы пускаем региональщиков к cli? Зачем? :)
В большинстве филиалов вообще нет местного IT. Обычно один-два человека на регион, изредка аж один на город. Они вступают в дело только там, где удаленно решить проблему нельзя никак.
Да пусть хоть спанится. Главное, если влан будет спаниться, петли по этому влан-у не допустить, но если это будет полностью L3 сеть, то и между ядрами будет L3, а не L2 линк. Таким образом спанящийся влан приводит к невозможности прямого общения в сегменте (но на разных свичах), а не к петле. Но мое глубокое имхо — это и не нужно в нормально устроенной корп. лвс. Я бы еще и на каждом свиче в каждом сегменте это задушил.
Главное, если влан будет спаниться, петли по этому влан-у не допустить
А еще нежелательно делать так, чтобы STP что-то там блокировал в штатном режиме.
Ну и да, лупы — это неприятно.
если это будет полностью L3 сеть, то и между ядрами будет L3, а не L2 линк.
Само собой. Причем этот линк в идеале должен простаивать и после выдергивания любой другой оптики, а то и нескольких.
спанящийся влан приводит к невозможности прямого общения в сегменте (но на разных свичах), а не к петле. Но мое глубокое имхо — это и не нужно в нормально устроенной корп. лвс.
В любой ЛВС нет ни одной объективной причины, по которой конечные устройства должны находиться в одном L2 сегменте. Но если вы не оператор, то выдавать по VLANу на порт слишком трудоемко, потому есть компромиссы: один VLAN на один свитч / линейную карту. Ну хорошо, еще один для голоса, и третий, скажем, для точек доступа. Суть не меняется. VLAN не выходит за пределы своего коммутатора.
Общение между любыми двумя устройствами, сидящими на одном свитче, будет идти напрямую, а не через аплинки. Это все-таки routed access.
Трафик между устройствами на разных свитчах без вариантов пойдет через аплинки. Хоть так, хоть этак.
Я бы еще и на каждом свиче в каждом сегменте это задушил.
Private vlan'ы делать? Но зачем? Трафик, не выходящий за пределы свитча — лучший трафик из всех. Если нет связанных с жесточайшими требованиями безопасности причин — пусть общаются на здоровье.
«Private vlan'ы делать?»
Зачем? Если влан за пределы свича не выходит — порт протектед.
Или, если нужно чуть больше гибкости — одинаковый и крайне простой L3 PACL на все порты доступа. Для усложнения L2 мухоморств — дхп снупинг + арп инспект.
Зачем? Если влан за пределы свича не выходит — порт протектед.
Или, если нужно чуть больше гибкости — одинаковый и крайне простой L3 PACL на все порты доступа. Для усложнения L2 мухоморств — дхп снупинг + арп инспект.
порт протектед
Port-security в терминах циски? Значит, я немного неправильно вас понял. Ну данный функционал даже не обсуждается, как и DHCP snooping. DAI — чуть более спорно (ломает связь с сетью у вполне легитимных систем со статическим адресом), но обычно тоже рекомендован к применению.
Гибкость — это ISE :)
На интерфейсе — switchport protected, в терминах других вендоров — изоляция портов
Погуглил. Сильно устаревшая версия Private VLAN'ов. Запретит общение между хостами на портах с этой настройкой. Полностью запретит. Попутно сломав и голосовую связь между ними (основная причина, по которой от этой фичи давно отказались, ведь сейчас на одном порту сидят и компьютер, и телефон, и вот телефоны обязаны уметь общаться напрямую друг с другом).
Как я уже говорил — в большинстве случаев private vlan'ы — перебор.
Как я уже говорил — в большинстве случаев private vlan'ы — перебор.
Ну устаревшая — не устаревшая — а она работает и крайне проста, до безобразия. Знаю, что полностью запретит (L2 в том числе), что и надо (лично мне). Кому-то неприемлемо, согласен. Но у нас ип телефонов нет. Обычная телефония на базе цифровой авайи, выход на ип телефонию через e1 стыки атс с соотв. железом.
PVLAN — тоже не шибко сложно, и при этом куда гибче.
Серьезно — зачем запрещать общение между хостами? Требования безопасности?
Серьезно — зачем запрещать общение между хостами? Требования безопасности?
В том числе. Я бы поставил вопрос так — а зачем разрешать? Имхо, чем больше контроля над информационными потоками — тем лучше. Тот же обмен через шару. Сколько угодно из практики примеров, когда требуется понять, че они там гоняли между собой. Когда у юзеров один выход обмена — файловый сервер или иные централизованные сервисы, где все подробно логгируется, может и DLP даже какая-то имеется, все становится проще. Ну и вирусные инциденты легче изолировать.
Сколько угодно из практики примеров, когда требуется понять, че они там гоняли между собой.
В пределах свитча — как-то без разницы… И всегда есть IDS сенсоры. Тем более что все машины в обязательном порядке стандартизированы, а любые нестандартные машины получат ну очень ограниченный доступ к сети (смотря как настроить). Ну покачают они что-то между собой. И?
Логи есть, но обычно их столько, что ручной просмотр не по инциденту даже выборочно редко когда проводят.
DLP ставится там, где данные могут уйти наружу. Компьютер пользователя таким местом быть не должен.
Вирусные инциденты? Тот же conficker запросто угоняет сервера…
При правильно построенной сетевой инфраструктуре, что называется «от печки» — может быть. Я работаю в условиях, когда недостаток порядка приходится компенсировать телекомом. Это может и не правильно, но и не так уж страшно и напряжно. Сервера — их хоть и много, но все же меньше существенно, чем раб. станций и за ними плотный централизованный пригляд, там порядок блюсти легче. Типичная картина при 0-дэй заразе. Юзер заражет сервер вне зависимости от прав юзера и его хоста, сервер заражет пользовательские сегменты. Опять же у нас лечится телекомом. Большинству (подавляющему) серверов не нужно исходящего тсп в юзерские вланы. Запрещаем через ацл, получаем а-ля простая ДМЗ. Конфликеро-подобным вещам существенно тяжелее становится жить, проверено практикой.
Опять же у нас лечится телекомом
В моей текущей компании ни разу не было эпидемий.
А вот в предыдущей конфикер здорово попортил всем нервы. Скакал с сервера на сервер, умудрившись угнать токен сессии с правами enterprise admin. Макафи орал в бессильной злобе. Ну как тут лечить на уровне телекома? Блокировать связь по RPC между виндовыми серверами? Тогда уж проще им порты заглушить, и через iLo заразу изгонять…
Большинству (подавляющему) серверов не нужно исходящего тсп в юзерские вланы. Запрещаем через ацл
В рамках небольшой организации такой подход может работать. А вот в крупной… Целый отдел будет днями и ночами актуализировать ACLи. И постоянно будут ошибки, из-за которых кто-то куда-то не может достучаться.
Будет время — пощупаю trustsec и SGT в частности. Это куда более простой способ ограничивать перемещение пакетов по сети, без лишних ACLей и более-менее централизованно.
Сервера, которым надо между собой RPC в одном сегменте. Всякая АД помойка. Там да, выводы верны. Но есть и другие. Они для простоты могут быть в одном влан-е, но изоляция при этом между ними практикуется. Cisco SAFE и то об этом упоминает (как элементе безопасного дизайна), если не ошибаюсь.
Что касается отдела — пока его заменяю я один :) А вообще очень часто реализуется следующий сценарий. Из центра лезут в филиал ынтырпрайз серверные админы че-то подкрутить. Заносят малварь, иногда даже ни разу не 0дэй, чисто за счет своих прав. Антивирь не всегда спасает. Дальше RPC помойка, заразившись, начинает долбить юзеров опять же с соотв. правами. Совершенно рабочий сценарий пошагового заражения ЛВС, наблюдаемый мной не раз. Именно для изоляции малвари в той самой RPC-помойке и помогает указанная мера.
ACL-и конечно от бедности. Но с другой стороны
1. сетевой обмен всегда в разрешенных рамках
2. при появлении чего-то нового узнаешь об этом первый, т.к. сначала оно не работает и заработает только через твой отдел
3. неприятности от воплей пользователей минимизированы их привычкой, что просто так ничего работать не будет, это как бы уже для них само собой и поддержкой руководства :)
Что касается отдела — пока его заменяю я один :) А вообще очень часто реализуется следующий сценарий. Из центра лезут в филиал ынтырпрайз серверные админы че-то подкрутить. Заносят малварь, иногда даже ни разу не 0дэй, чисто за счет своих прав. Антивирь не всегда спасает. Дальше RPC помойка, заразившись, начинает долбить юзеров опять же с соотв. правами. Совершенно рабочий сценарий пошагового заражения ЛВС, наблюдаемый мной не раз. Именно для изоляции малвари в той самой RPC-помойке и помогает указанная мера.
ACL-и конечно от бедности. Но с другой стороны
1. сетевой обмен всегда в разрешенных рамках
2. при появлении чего-то нового узнаешь об этом первый, т.к. сначала оно не работает и заработает только через твой отдел
3. неприятности от воплей пользователей минимизированы их привычкой, что просто так ничего работать не будет, это как бы уже для них само собой и поддержкой руководства :)
Вы упомянули ранее влан на юзера. Я же вспомнил именно порт протектед, т. к. мы тут обсуждаем дизайн с одним влан-ом на свич, а раз так, то порт протектед дает тот же эффект, что и влан на юзера, при этом мы не городим кучу влан-ов и L3 сегментов, не боремся с кучей L3 сегментов каким-нибудь ип аннамберед и согласитесь, одна команда на интерфейсе — это несколько проще, чем полноценные приват влан. Но если бы влан был растянутым, то да, от полноценных приват влан не уйти.
порт протектед дает эффект влан на юзера
Не совсем. Если не отключать proxy arp — они вполне смогут между собой общаться.
Я вообще привел vlan-per-user в качестве примера административного кошмара, на практике так лучше не делать.
одна команда на интерфейсе — это несколько проще, чем полноценные приват влан.
По одной команде на каждый интерфейс. Допустим, их 40. Получаем 40 команд.
Private vlan настраивается вроде 4-мя командами глобально.
Ну если быть совсем точным, должен быть включен для этого local-proxy-arp. Обычный proxy arp не даст ответа на арп-запрос для своей же подсети. А local-proxy-arp как раз по умолчанию отключен.
Кстать, если без всяких прокси-арп арп записи ручками создать на хостах, и при этом в точке терминации Л3 нет ацл или чего-то сильно нестандартного на интерфейсе — тоже будет работать :) Поэтому в целом вы правы, этот вариант надо предусматривать.
Ну их arp записи должны указывать не на мак получателя, а на первый хоп. Теоретически, может сработать. Хотя мне почему-то кажется, что роутер отбросит такой пакет по соображениям безопасности. При случае потестирую, аж интересно стало :)
Ну конечно это должен быть мак шлюза. Работает, проверял. 2960 на доступе и 3560 л3 терминация. Причем работает и когда мак шлюза — это мак hsrp-виртуального ип. Правда не до конца понял ньюансы. Когда включаешь локал-прокси-арп автоматом на интерфейсе включается что-то про запрет ицмп редирект (вроде), что и логично. Когда же ручками задавал арп-записи на хостах, с интерфейса убирал все лишнее и странно, ицмп — редиректами шлюз не пытался объяснить клиенту, что как бэ надо напрямую. Все работало.
ицмп — редиректами шлюз не пытался объяснить клиенту, что как бэ надо напрямую.
Логичное поведение, если на int vlan прописано ip unnumbered. Черт его знает, в том же VLANе находится получатель пакета или в другом. Если в другом, то от редиректа лучше не станет.
Я кажется попутал. Какая-то ассоциация ложная сработала.
На самом деле там включается ip route-cache same-interface, когда включаешь ip local-proxy-arp. Но суть не в этом, оно работало. И с указанной командой на интерфейсе, и когда арп кэш сконфигурирован на клиентах вручную.
На самом деле там включается ip route-cache same-interface, когда включаешь ip local-proxy-arp. Но суть не в этом, оно работало. И с указанной командой на интерфейсе, и когда арп кэш сконфигурирован на клиентах вручную.
Ой, я дважды попутал.
Еще no ip redirects включается на интерфейсе, так что ни разу не ложная ассоциация.
Но все равно, даже без этой команды роутило между изолированными клиентами нормально.
Еще no ip redirects включается на интерфейсе, так что ни разу не ложная ассоциация.
Но все равно, даже без этой команды роутило между изолированными клиентами нормально.
С картинками вообще прелесть была бы!!!
А ещё можно обратиться к системным интеграторам, которые всё сделают, чтобы было хорошо, обучат персонал и пропатчат мозг начальству. Раз не скупятся на железо, значит найдут денег и на это.
Автор конечно хочет всё сделать сам, но с такой денежной мотивацией и без поддержки со стороны руководства ИМХО это просто невозможно.
Автор конечно хочет всё сделать сам, но с такой денежной мотивацией и без поддержки со стороны руководства ИМХО это просто невозможно.
для госконтор это аукционы с космическими откатами, и бабла на это все редко в каких министерствах есть.
могу сказать как работавших в ИТ отделах нескольких украинских министерств.
могу сказать как работавших в ИТ отделах нескольких украинских министерств.
Ошибаетесь, как раз бабла у «таких» университетов хватает, и на попил и на закупку. Тем более когда к процессу подключаются крупные интеграторы, они мозги руководству вправляют серьёзно и в нужном направлении.
Именно из-за нежелания связываться с госзакупками стараемся все делать своими силами и на СПО. Откаты вещь понятная, но связываться с ними совесть не позволяет, да проклянет меня жена. С другой стороны новое руководство так и ждет, чтобы мы объявили конкурс, чтобы изучать нас под микроскопом. Для них мы, если из старой команды, то априори откатчики.
Соглашусь, это как раз тот случай, когда интегратор может сослужить очень неплохую службу.
Но с другой стороны, очень понимаю ваше желание разгрести всё своими руками :)
Но с другой стороны, очень понимаю ваше желание разгрести всё своими руками :)
UFO just landed and posted this here
А в чем проблема с портсекьюрити? Можно более одного мак-а к порту привязать. Лимит там может быть более 1. Причем можно и что бы мак-и автоматом «приклеивались». Если люди в чужие порты свои ноуты подключают — приклеивать не получится (точнее будет не эффективно), ну и ладно. 3 мак-а на порт без жесткой привязки и забыли. В конце-концов портсекьюрити необходим хотя бы для того, что бы исключить атаку на переполнение fdb (и даже в первую очередь для этого). Если цель была контролировать несанкционированные подключения к сети — то одного портсекьюрити явно недостаточно.
Dot1x и парольная авторизация, тогда на порт придёт нужный влан с нужной сетью
Да это понятно. Только вот 1х вещь такая. Учитывая их зоопарк арм-ов ака рабочих мест могут и проблемы возникнуть (а может и нет). Если везде нормальная относительно чистая винда, не доломанная пользователями с админскими правами — взлетит.
Админ права должны быть только у тех пользователей. которым они _реально_ нужны — например сервис инженеры, которые мобильники прошивают, хелп деск и администраторы. На одной из моих прошлых работ, например, админские права были только у двух администраторов и локальные права админа на машинах у хелпдескера, плюс кто-то из бухгалтерии для пары клиентбанков на выделенной машине — ни директор, ни тех директор, хотя были достаточно продвинутыми ИТшниками, от них отказались «ты админ — ты и развлекайся».
У остальных офисных пользователей — админ права — ненужное зло.
У остальных офисных пользователей — админ права — ненужное зло.
Ну кто же спорит. Описан некий зоопарк. А в зоопарках часто права есть, что бы админа за 12 т. р. меньше напрягали. Правда это потом дороже обходится, но…
Некий компромиссный вариант, без 1х, но достигающий определенных целей — в сети дхцп, свободных пулов нет, ип к мак-ам биндятся. Процесс привязки может быть несложно автоматизирован. В сети дхцп снупинг + арп инспект + ип сурс гуард. Как результат — да, можно поменять мак у левого девайса и он заработает. Но это было возможно и при изначальной схеме у автора. При описываемой же — пожалуйста, подключай хоть три ноута. Если дхцп выдаст адрес — работать будет. Не выдаст — описанные связки технологий не дадут заработать ип адресу, например выставленному вручную. Таким образом, что бы наши три ноута зарботали — заявку в техотдел, далее настройка дхцп. Дополнительные немаловажные бонусы — защита от арп-спуфинга, несанкционированного присвоения адресов.
Некий компромиссный вариант, без 1х, но достигающий определенных целей — в сети дхцп, свободных пулов нет, ип к мак-ам биндятся. Процесс привязки может быть несложно автоматизирован. В сети дхцп снупинг + арп инспект + ип сурс гуард. Как результат — да, можно поменять мак у левого девайса и он заработает. Но это было возможно и при изначальной схеме у автора. При описываемой же — пожалуйста, подключай хоть три ноута. Если дхцп выдаст адрес — работать будет. Не выдаст — описанные связки технологий не дадут заработать ип адресу, например выставленному вручную. Таким образом, что бы наши три ноута зарботали — заявку в техотдел, далее настройка дхцп. Дополнительные немаловажные бонусы — защита от арп-спуфинга, несанкционированного присвоения адресов.
А если он полезет в конфигурации что-то менять или переставлять винду самостоятельно — тоже получит пистонов — это не обязанность пользователя, не важно кто он, инженер СЦ или тех директор. Даже поставив винду самотоятельно на dot1x он её не настроит. а некоторые еще могут всяких звер-сд пиратских влепить не смотря на наклейку официального серийника «Так же проще — сразу всё», таких умников вообще надо больно бить по карману — после одного из таких красавцев товарищу пришлось полторы недели вычищать почтовый сервер из разнообразных блеклистов, куда он после спам рассылки с такой машины влетел. Хорошо хоть корпоративный симантек и всус не допустил заразы остальных >400 машин.
Годная статья. Спасибо :)
Несколько вопросов:
1. скажите, будет ли продолжение? Интересны реализации этапов, какие-нибудь тонкости, ход мыслей.
2. как люди отнеслись к пункту «ненавижу «Вконтакт»! Дает более 50% трафика»? Много споров было?
Несколько вопросов:
1. скажите, будет ли продолжение? Интересны реализации этапов, какие-нибудь тонкости, ход мыслей.
2. как люди отнеслись к пункту «ненавижу «Вконтакт»! Дает более 50% трафика»? Много споров было?
В некоторых компаниях социалки разрешены только менеджерам-пиарщикам.
В некоторых — всем, но в обед. У всех разные взгляды.
Я, как админ, могу их себе разрешить, но вот честно скажу — то, что у меня fb/twi/vk открыты в закреплённых вкладках — при большом наплыве интересных задач — просто некогда туда лазить и что-то там смотреть, разве что пока что-то жую и руки заняты. Тоже самое касалось, как ни странно всей бухгалтерии на прошлой работе — вроде социалки и открыты некоторым — а лазить по ним некогда.
В некоторых — всем, но в обед. У всех разные взгляды.
Я, как админ, могу их себе разрешить, но вот честно скажу — то, что у меня fb/twi/vk открыты в закреплённых вкладках — при большом наплыве интересных задач — просто некогда туда лазить и что-то там смотреть, разве что пока что-то жую и руки заняты. Тоже самое касалось, как ни странно всей бухгалтерии на прошлой работе — вроде социалки и открыты некоторым — а лазить по ним некогда.
Продолжение будет, буду раскладывать все по полочкам, вести путевые заметки. А на счет контактика, то пока не трогали, копим статистику, чтобы показать руководству и запретить официально.
Поделюсь своим опытом админства. Сразу скажу, админ я хреновый, я больше программер. Но приходилось.
AD не использовал по той же причине — дискомфорт (острая боль в области ягодиц) у юзеров. Ну и самому всех админить напрягает.
У меня была распределенная структура — центральный филиал и куча удаленных филиалов и отдельных машин с постоянным или непостоянным входом в сеть. Удобнее всего всем этим хозяйством рулить с помощью TWD Remote Anything — волшебная штука, но застряла в своем развитии. Надеюсь, сейчас есть что-то подобное. Ну и обычный RDP или радмин для управления серверами. Каждый филиал был автономен, сам чинил и настраивал технику, я требовал от них только наличие постоянного доступа к серверу и «личинки» для удаленного стола на рабочих машинах. А еще просил на системники, роутеры и модемы скотчем клеить бумажку с настройками. Чтобы мне не звонили и не спрашивали.
Очень хорошо помогает сервер терминалов — снимает сразу огромное количество проблем, но стоит денег. Впрочем, старые версии 2000 и 2003 прекрасно работают и на временных лицензиях.
С принтерами много косяков. У Канонов дурные дрова — ловят вирусню и насаждают ее по всей сети, показывают всякие дурацкие окошки и диалоги. ХП-шки с родного диска ставят какие-то хитрые утилиты и веб-сервисы. Для них нужно качать дрова из инета. Епсоны тоже какую-то хрень ставят. Главное — не пускать эту хрень на сервера. Есть универсальные дрова, которые расшаривают установленные принтеры без заморочек, но я о них поздно узнал.
Антивирусы? Зараза все равно лезет. Нужно отключить автозапуск с флешек, в эксплорере выставить защиту на максимум, а сам эксплорер спрятать и на его место поместить что-то получше. И чтобы автологин был в юзера, а не в админа. Обновления и твики по мере возможностей.
Вообщем я советую не пытаться вывести всю сеть на один экран и задокументировать каждый свич, а продумать простой регламент для филиалов, чтобы они самостоятельно поддерживали свои сегменты в рабочем состоянии.
AD не использовал по той же причине — дискомфорт (острая боль в области ягодиц) у юзеров. Ну и самому всех админить напрягает.
У меня была распределенная структура — центральный филиал и куча удаленных филиалов и отдельных машин с постоянным или непостоянным входом в сеть. Удобнее всего всем этим хозяйством рулить с помощью TWD Remote Anything — волшебная штука, но застряла в своем развитии. Надеюсь, сейчас есть что-то подобное. Ну и обычный RDP или радмин для управления серверами. Каждый филиал был автономен, сам чинил и настраивал технику, я требовал от них только наличие постоянного доступа к серверу и «личинки» для удаленного стола на рабочих машинах. А еще просил на системники, роутеры и модемы скотчем клеить бумажку с настройками. Чтобы мне не звонили и не спрашивали.
Очень хорошо помогает сервер терминалов — снимает сразу огромное количество проблем, но стоит денег. Впрочем, старые версии 2000 и 2003 прекрасно работают и на временных лицензиях.
С принтерами много косяков. У Канонов дурные дрова — ловят вирусню и насаждают ее по всей сети, показывают всякие дурацкие окошки и диалоги. ХП-шки с родного диска ставят какие-то хитрые утилиты и веб-сервисы. Для них нужно качать дрова из инета. Епсоны тоже какую-то хрень ставят. Главное — не пускать эту хрень на сервера. Есть универсальные дрова, которые расшаривают установленные принтеры без заморочек, но я о них поздно узнал.
Антивирусы? Зараза все равно лезет. Нужно отключить автозапуск с флешек, в эксплорере выставить защиту на максимум, а сам эксплорер спрятать и на его место поместить что-то получше. И чтобы автологин был в юзера, а не в админа. Обновления и твики по мере возможностей.
Вообщем я советую не пытаться вывести всю сеть на один экран и задокументировать каждый свич, а продумать простой регламент для филиалов, чтобы они самостоятельно поддерживали свои сегменты в рабочем состоянии.
То, что вы делаете, называется «причинять добро», а как известно, ни одно доброе дело не останется безнаказанным. Одному, и даже небольшой группе с этим оооочень трудно справиться. К сожалению, понадобиться административный ресурс, который будет осуществлять анальную кару всех (ВСЕХ! без исключения!) саботирующих, а при вашем кол-ве саботёров каралка может не выдержать.
Я один не справился и с компанией в 20+ человек. Непонимание и саботаж был на уровне директора.
Одна моя история: начальник отдела (уже другой компании) решил в своём отделе (7 чел) навести порядок во взаимодействии между сотрудниками. И не он был моим союзником, а я его. Подняли, для начала, простейший баг-трекер пользуя его как систему раздачи и контроля исполнения заданий. Часть сопротивлялась, а часть с воодушевлением приняли и просили расширить функционал. Те, кто приняли, те на самом деле и работали за весь отдел. Запретили вконтактоклассники и прочие жжурналы. Потом начальника отдела уволили «за самодеятельность» (скорее всего руководство поняло, что этот человек больше чем начальник отдела, он имел задатки предпринимателя). Начинание было похерено.
Желаю Вам в вашем начинании огромнейшей удачи и сил. Разрешите вам гордиться.
Я один не справился и с компанией в 20+ человек. Непонимание и саботаж был на уровне директора.
Одна моя история: начальник отдела (уже другой компании) решил в своём отделе (7 чел) навести порядок во взаимодействии между сотрудниками. И не он был моим союзником, а я его. Подняли, для начала, простейший баг-трекер пользуя его как систему раздачи и контроля исполнения заданий. Часть сопротивлялась, а часть с воодушевлением приняли и просили расширить функционал. Те, кто приняли, те на самом деле и работали за весь отдел. Запретили вконтактоклассники и прочие жжурналы. Потом начальника отдела уволили «за самодеятельность» (скорее всего руководство поняло, что этот человек больше чем начальник отдела, он имел задатки предпринимателя). Начинание было похерено.
Желаю Вам в вашем начинании огромнейшей удачи и сил. Разрешите вам гордиться.
UFO just landed and posted this here
Мдя, а что делать собрались так и не написали. Кремация и санитария конечно хорошо, только конфиги и бекапы сохраните. Хотя судя по описанию строили сеть стандартно под l2 доступ и l3 ядро. Странная ситуация с использованием компов — везде где я работал компы были личными. Попробуйте гостевые обрезанные аккаунты и таймаут на блокировку для обычных. А юзеров надо образовывать по мере сил — большую часть проблем создают как раз необразованные.
По ситуации конечно прикольно. Я поставил для себя вопрос — для кого я все делаю. Если в качестве набраться опыта — то быстро сделать, собрать шишки, исправить и свалить когда все устаканиться. Если в качестве навести порядок для дальнейшей работы — то стоит сразу и сейчас поднимать вопрос зарплаты, да и услуги построения и перестройки сети вообще-то стоит хороших денег. При том что на железо деньги нашлись — это вопрос исключительно мотивации начальства — это очень правильный скил обосновывать свою зарплату и расходы. На крайний случай, если начальство не убеждается стоит оставить все как есть и найти другую работу, потому что потом все будет хуже.
И последнее, насчет вконтакта, а точнее более широко — IT — это сервис, его задача предоставлять пользователям услуги, а запрещать — пререгатива начальства. Конечно тупое начальство сначала будет что-то запрещать, чем решать проблему, но люди из IT ведь умнее?
В частности по вконтакту — если люди в нем сидят, то значить они либо там работают либо от работы увиливают и проблема либо в плохом канале(ах) либо в организации работы либо в мотивации сотрудников. Техническим из этого является только первое — его и надо решать. При этом, закрытие вконтакта не решает ни одну из проблем.
По ситуации конечно прикольно. Я поставил для себя вопрос — для кого я все делаю. Если в качестве набраться опыта — то быстро сделать, собрать шишки, исправить и свалить когда все устаканиться. Если в качестве навести порядок для дальнейшей работы — то стоит сразу и сейчас поднимать вопрос зарплаты, да и услуги построения и перестройки сети вообще-то стоит хороших денег. При том что на железо деньги нашлись — это вопрос исключительно мотивации начальства — это очень правильный скил обосновывать свою зарплату и расходы. На крайний случай, если начальство не убеждается стоит оставить все как есть и найти другую работу, потому что потом все будет хуже.
И последнее, насчет вконтакта, а точнее более широко — IT — это сервис, его задача предоставлять пользователям услуги, а запрещать — пререгатива начальства. Конечно тупое начальство сначала будет что-то запрещать, чем решать проблему, но люди из IT ведь умнее?
В частности по вконтакту — если люди в нем сидят, то значить они либо там работают либо от работы увиливают и проблема либо в плохом канале(ах) либо в организации работы либо в мотивации сотрудников. Техническим из этого является только первое — его и надо решать. При этом, закрытие вконтакта не решает ни одну из проблем.
Привет, коллега. Точно такая же ситуация, немаленький универ, такие же попытки что-то изменить в течение четырех лет, и OTRS мы тоже пытались внедрять :-) Что изменилось? Качественно — ничего. И перемен не ожидается. К сожалению вся система организации в сфере высшего образования сводит на нет все попытки повышения эффективности работы и вообще перехода от ситуативного администрирования к оптимизации. Про целевое финансирование и аукционы я вообще молчу.
Приветствую, коллега! Наш вуз имеет «признаки неэффективности». Сейчас идут работы по созданию дорожной карты по преодолению озвученных в отчетах минобра проблем. Хотят даже внедрять некое подобие системы сбалансированных показателей, пока правда для ППС, но и до нас доберутся. Согласитесь, на техническую службу навесить метрики не так сложно. А когда работа измеряется не субъективным хорошо или плохо, а конкретными цифрами, гораздо проще построить систему мотивации. Посмотрим куда кривая выведет, опять же повторюсь, что меня в большей степени интересует техническая составляющая поднятой мною проблемы.
А вот такой простой вопрос. Сетка-то (именно она, речь не о сервисах прикладных) как работает? Глючит, падает? Я тоже работал в ВУЗе. Объемы поменьше немного, оборудование попроще. Оно работает до сих пор и никто менять ничего не будет. Как это обосновать, если нет проблем? Но их реально нет или они незначительные. А там длинки, а не каталисты. А неоптимальная нарезка влан-ов или еще какие-то подобные моменты — так это удел технарей и удобства сопровождения. Если это не приводит к инцидентам (любым), кого из руководства это будет волновать?
Сеть работает очень стабильно и без падений. Был случай когда прорвало трубу отопления и залило цыску, с нее пряма вода стекала, просушили, пашет уже более двух лет. Единственный косяк, это медленный интернет. Ввиду того, что в сети бардак, очень сложно настроить приоритезацию трафика. Руководство ощущает это на своей шкуре в тот момент, когда не может посмотреть онлайн трансляцию выступлений государственных лидеров. Буквально вчера поднял снифер, и выяснилось что http трафик, это лишь 60% всего канала. Потенциально можно улучшить качество даже на существующей пропускной способности канала. По поводу обоснования. Нужно делать упор на общемировые и российские тенденции. Нельзя повсеместно внедрить информационно-коммуникационные технологии в учебный процесс на «бюджетной» инфраструктуре, на ней обязательно будут возникать инциденты. Другой момент: что купить, одно устройство Cisco, которое в два раза производительнее D-link за 2 условные денежные единицы или два устройства d-link за одну дененую единицу. Здесь нужно смотреть на совокупную стоимость владения. Могу лишь предположить что D-link вылетит быстрее и в итоге получится дороже. Если взять где-нибудь статистику эксплуатации оборудования, то просчитать совокупную стоимость владения можно. С этими расчетами можно идти к руководству. Опять же при специфики бюджетного финансирования ВУЗов, эти аргументы могут не возыметь действия. Как мне кажется, нам просто повезло, что сеть начала развиваться на оборудовании Cisco (шеститонники, если я не ошибаюсь нам были отданы когда-то то-ли в дар, то-ли с огромной скидкой).
Нда… выделить бюджет на:
Коммутаторы уровня доступа: Cisco Catalyst 35xx (~2500 портов)
В центре оптический коммутатор Cisco Catalyst 6500
Беспроводные точки доступа Cisco разных моделей (~1500 клиентов ежедневно) под управлением контроллера Cisco 44xx
В интернет выпускает маршрутизатор Cisco 38xx
и платить 12 тыщ з/п. Не вижу логики. Другое дело если бы везде д-линк не управляемый да роутеры на писюках, тогда да, а так — вбухать миллионы в железо и похоронить его.
Коммутаторы уровня доступа: Cisco Catalyst 35xx (~2500 портов)
В центре оптический коммутатор Cisco Catalyst 6500
Беспроводные точки доступа Cisco разных моделей (~1500 клиентов ежедневно) под управлением контроллера Cisco 44xx
В интернет выпускает маршрутизатор Cisco 38xx
и платить 12 тыщ з/п. Не вижу логики. Другое дело если бы везде д-линк не управляемый да роутеры на писюках, тогда да, а так — вбухать миллионы в железо и похоронить его.
Работа в стиле «понедельник начинается в субботу». Увы и ах, мне хватило аспирантуры. Но если работать за идею, то задачка очень даже чумовая. Когда «всем этим смогут управлять пара толковых админов», то можно рисовать звезду на борту и искать новую Задачу. Могу лишь пожелать удачи! )))
Sign up to leave a comment.
Реанимация ИТ инфраструктуры