А вот откройте и посмотрите, что будет в журнале безопасности Windows. Даже если отбросить возможные уязвимости самого протокола, Вы уверены, что у пользователей надёжные пароли?
скинул людям файлы подключения, короткую инструкцию
Как по мне, лучше уж PPTP/L2TP и перенос PBK-файла, можно через батник, чтобы по клику всё настраивалось.
Описанное в статье, конечно, интересно, но, ИМХО, выглядит как велосипед.
Если кто-то случайно (или не случайно) догадался перевод какой статьи (уже опубликованной в интернете на текущий момент) я готовлю во второй части — пишите в комментарии.
Про TeamViewer и белые списки ПО весьма спорно. В некоторых организациях поддерживать белые списки на фаерволе/прокси может оказаться менее трудозатратным, чем админить белый список ПО
Правда что бы outlook сам настраивался тут уже нужно купить network либо костыль ввиде файлика xml держать где то
Учитывая, что большинство пользователей привыкли к Outlook и им комфортнее работать именно в нем, этот функционал весьма важен для бизнеса.
Ну или, к примеру, можно ли в Zimbra сделать отчет по пользователям, у которых настроены правила пересылки писем на внешние email-адреса? В Exchange я делаю это PS-скриптом в несколько строчек.
Есть ли катастрофоустойчивость в Zimbra, т.е. можно ли ее растянуть на несколько географически распределенных ЦОДов с возможностью переключения между ними и сколько будет стоить такое решение?
3.
может и информации больше, но она вся слишком мелкая
Что Вы имеете в виду под «мелким»? Разумеется, формат одной интернет-публикации не позволяет охватить все возможности такой системы, как Exchange, но по моему опыту при грамотном гуглении быстро находится решение для конкретной задачи. Если же нужно фундаментальное понимание — есть официальная документация и множество книг на несколько сотен страниц, которые сложно назвать мелкими.
Сравним, к примеру, по поиску на Амазоне: Exchange Server 2016 Zimbra
что то не стандартное я так и не нашел, да хотя бы как антиспам поставить на 2016 оказалось квест еще тот
Антиспам — это как раз стандартное. И базовые вещи идут из коробки и описаны в документации. К слову, настраивать фильтрацию лучше на пограничных серверах. У Exchange для этого есть решение в виде Edge-серверов, но ничто не мешает, как Вы писали ранее, спрятать Exchange за фильтрующим сервером на базе Linux. Или, например, использовать ORF. Лично у меня не было с ним проблем. А какие у Вас нестандартные задачи, которые вы не смогли решить в Exchange? И еще какой именно антиспам Вы настраивали и в чем конкретно были трудности с ним?
4.
и там и там нужен нормальный спец что бы запустить
Здесь полностью согласен.
а дальше и уборщица разберется
А здесь нет. Сомневаюсь, что уборщица сможет понять, почему база в DAG-кластере внезапно отмонтировалась или перестал работать поиcк писем у пользователя. Тряпочкой монитор протереть Сервер перезагрузить тут далеко не всегда поможет.
А вообще, я имел в виду, что Exchange будет ближе спецу по продуктам MS, а Zimbra — *NIX-специалисту, а вторые, как правило, стоят дороже.
5.
а зачем Veeam для линкуса использовать?
А какая у вас среда виртуализации и как Вы свои виртуалки бэкапите? Как восстанавливаете элементы приложения из гостевой ОС?
1. После подсчёта выяснилось, что за функционал, необходимый бизнесу, Zimbra просит сумму, сопоставимую с Exchange.
2. Инфраструктура была построена на Active Directory и Windows Server и вполне логично в качестве решения для почты использовать «родной» для них Exchange, а не плодить зоопарк.
3. Exchange на 12 лет старше Zimbra, он более популярен, поэтому по нему намного больше информации в сети (различные статьи по best practice, траблшутингу, интеграции и т.д.)
Следствия предыдущего пункта:
4. Спецов, способных админить Exchange, найти проще, чем спецов по Zimbra. И вторые скорее всего обойдутся дороже.
5. В случае интеграции с другими продуктами надо учитывать, что они с большой вероятностью будут хорошо совместимы с Exchange и скорее всего не смогут «из коробки» дружить с Zimbra. Как пример
Разумеется, всё строго индивидуально и конкретно в Вашей ситуации может быть целесообразно использовать Zimbra.
Хотелось бы теперь от Вас получить разъяснения по поводу «блеклости» Exchange.
Обычно директора – достаточно адекватные люди. Да, в компаниях есть «миссия», «ценности», «стратегия» и «цели». И относятся к ним… В общем, «относятся».
Недавно зашёл на сайт бывшего работодателя и прямо на главной странице нашел ссылку на гимн. Причем не только текст, но ещё и послушать можно, как бодрый голос поет про эти самые миссии, ценности, стратегии и цели. Живо представил, как бывшие коллеги встают на каждой планетке и подпевают ему, положа руку на грудь и подняв голову вверх.
У меня на первой работе был кабинет на 3 человека и начальница очень любила Пугачёву и слушала ее через компьютерные колонки. Теперь я знаю наизусть весь ее репертуар.
Так что интересные задачи, позволяющие развивать скиллы, в комфортной среде российских организаций — отличное противодействие привлекательности высоких зарплат США и Европы.
И что толку? Прокачает скиллы, наберётся смелости — и всё равно потом уедет.
К слову, брокер терминальной фермы определяет доступность подконтрольных RDSH-нод с помощью пингов (кому интересно, детали описаны тут). И если неаккуратно запретить на RDSH-нодах пинги, можно положить всю инфраструктуру рабочих столов.
Про controlled folder access не знал — надо будет поковырять.
А помните Wannacry, который гулял через SMB1? SMB первой версии до сих пор является стандартным компонентом Windows Server и установлен по умолчанию в каждой редакции. Обязательно удалите этот компонент, если он все еще установлен на вашем сервере.
А вот тут я бы не стал такие радикальные заявления делать. Наверно, M$ неспроста его по умолчанию включает, а из соображений совместимости. Лично встречал легаси-системы, которые умели только по SMB1. Поэтому лучше вначале помониторить наличие SMB1-клиентов и, убедившись, что ничего бизнес-критичного на этих клиентах не завязано, отключать устаревший протокол.
Что бы вы ни делали, помните – делайте так, чтобы пацанам было не стыдно показать. Самураи учили так: если ты пишешь письмо, считай, что получатель повесит его на стену. Из этого и исхода.
Какую бы статью вы ни писали, не забудьте проверить опечатки. Завсегдатаи сети учили так: если выкладываешь что-то в интернете, помни, что это будут читать твои подписчики, а еще тысячи других людей и пытливые роботы.
Можно сделать так.
На контроллерах домена увеличиваете дефолтный максимальный размер security-лога. Можно с помощью групповых политик сделать.
В планировщик пихаете скрипт, который делает следующее.
1. С помощью командлетов Get-ADDomainController и Get-WinEvent парсит логи на всех контроллерах на предмет события с кодом 4624, учитывая последний EventID, полученный при предыдущем запуске (см. п. 2)
2. Агрегирует, сортирует по времени и сохраняет собранные данные (например, в CSV) и запоминает (сохраняет в файл) EventID для последнего полученного события для каждого из контроллеров
Максимальный размер логов и частота запуска скрипта, разумеется, подбираются исходя из ваших потребностей и особенностей ваших систем.
А вот откройте и посмотрите, что будет в журнале безопасности Windows. Даже если отбросить возможные уязвимости самого протокола, Вы уверены, что у пользователей надёжные пароли?
Как по мне, лучше уж PPTP/L2TP и перенос PBK-файла, можно через батник, чтобы по клику всё настраивалось.
Описанное в статье, конечно, интересно, но, ИМХО, выглядит как велосипед.
Может быть, этой?
Про TeamViewer и белые списки ПО весьма спорно. В некоторых организациях поддерживать белые списки на фаерволе/прокси может оказаться менее трудозатратным, чем админить белый список ПО
Это смотря что скурить...
Да хотя бы этот:
Учитывая, что большинство пользователей привыкли к Outlook и им комфортнее работать именно в нем, этот функционал весьма важен для бизнеса.
Ну или, к примеру, можно ли в Zimbra сделать отчет по пользователям, у которых настроены правила пересылки писем на внешние email-адреса? В Exchange я делаю это PS-скриптом в несколько строчек.
Есть ли катастрофоустойчивость в Zimbra, т.е. можно ли ее растянуть на несколько географически распределенных ЦОДов с возможностью переключения между ними и сколько будет стоить такое решение?
3.
Что Вы имеете в виду под «мелким»? Разумеется, формат одной интернет-публикации не позволяет охватить все возможности такой системы, как Exchange, но по моему опыту при грамотном гуглении быстро находится решение для конкретной задачи. Если же нужно фундаментальное понимание — есть официальная документация и множество книг на несколько сотен страниц, которые сложно назвать мелкими.
Сравним, к примеру, по поиску на Амазоне:
Exchange Server 2016
Zimbra
Антиспам — это как раз стандартное. И базовые вещи идут из коробки и описаны в документации. К слову, настраивать фильтрацию лучше на пограничных серверах. У Exchange для этого есть решение в виде Edge-серверов, но ничто не мешает, как Вы писали ранее, спрятать Exchange за фильтрующим сервером на базе Linux. Или, например, использовать ORF. Лично у меня не было с ним проблем. А какие у Вас нестандартные задачи, которые вы не смогли решить в Exchange? И еще какой именно антиспам Вы настраивали и в чем конкретно были трудности с ним?
4.
Здесь полностью согласен.
А здесь нет. Сомневаюсь, что уборщица сможет понять, почему база в DAG-кластере внезапно отмонтировалась или перестал работать поиcк писем у пользователя.
Тряпочкой монитор протеретьСервер перезагрузить тут далеко не всегда поможет.А вообще, я имел в виду, что Exchange будет ближе спецу по продуктам MS, а Zimbra — *NIX-специалисту, а вторые, как правило, стоят дороже.
5.
А какая у вас среда виртуализации и как Вы свои виртуалки бэкапите? Как восстанавливаете элементы приложения из гостевой ОС?
2. Инфраструктура была построена на Active Directory и Windows Server и вполне логично в качестве решения для почты использовать «родной» для них Exchange, а не плодить зоопарк.
3. Exchange на 12 лет старше Zimbra, он более популярен, поэтому по нему намного больше информации в сети (различные статьи по best practice, траблшутингу, интеграции и т.д.)
Следствия предыдущего пункта:
4. Спецов, способных админить Exchange, найти проще, чем спецов по Zimbra. И вторые скорее всего обойдутся дороже.
5. В случае интеграции с другими продуктами надо учитывать, что они с большой вероятностью будут хорошо совместимы с Exchange и скорее всего не смогут «из коробки» дружить с Zimbra. Как пример
Разумеется, всё строго индивидуально и конкретно в Вашей ситуации может быть целесообразно использовать Zimbra.
Хотелось бы теперь от Вас получить разъяснения по поводу «блеклости» Exchange.
Недавно зашёл на сайт бывшего работодателя и прямо на главной странице нашел ссылку на гимн. Причем не только текст, но ещё и послушать можно, как бодрый голос поет про эти самые миссии, ценности, стратегии и цели. Живо представил, как бывшие коллеги встают на каждой планетке и подпевают ему, положа руку на грудь и подняв голову вверх.
У меня на первой работе был кабинет на 3 человека и начальница очень любила Пугачёву и слушала ее через компьютерные колонки. Теперь я знаю наизусть весь ее репертуар.
Наверно, имелось в виду «белый» или «выделенный», а не «постоянный», т.к. смена раз в месяц — это уже не постоянный.
И что толку? Прокачает скиллы, наберётся смелости — и всё равно потом уедет.
А вот тут я бы не стал такие радикальные заявления делать. Наверно, M$ неспроста его по умолчанию включает, а из соображений совместимости. Лично встречал легаси-системы, которые умели только по SMB1. Поэтому лучше вначале помониторить наличие SMB1-клиентов и, убедившись, что ничего бизнес-критичного на этих клиентах не завязано, отключать устаревший протокол.
Какую бы статью вы ни писали, не забудьте проверить опечатки. Завсегдатаи сети учили так: если выкладываешь что-то в интернете, помни, что это будут читать твои подписчики, а еще тысячи других людей и пытливые роботы.
С самой же идеей из статьи согласен.
На контроллерах домена увеличиваете дефолтный максимальный размер security-лога. Можно с помощью групповых политик сделать.
В планировщик пихаете скрипт, который делает следующее.
1. С помощью командлетов Get-ADDomainController и Get-WinEvent парсит логи на всех контроллерах на предмет события с кодом 4624, учитывая последний EventID, полученный при предыдущем запуске (см. п. 2)
2. Агрегирует, сортирует по времени и сохраняет собранные данные (например, в CSV) и запоминает (сохраняет в файл) EventID для последнего полученного события для каждого из контроллеров
Максимальный размер логов и частота запуска скрипта, разумеется, подбираются исходя из ваших потребностей и особенностей ваших систем.