小規模なActive Directoryベースのローカルエリアネットワークのセットアップに関する優れた実践

私の仕事では、一見動作しているように見えるグリッドを頻繁に処理しなければなりませんでしたが、その場合、軽微なインシデントが発生するとアイドル時間になります。 KD死んだ？ 関係ありません、2番目があります。 ボールが開かないのはどうしてですか？ ゲートウェイが応答しないのはなぜですか？ そして、そのCDには唯一のDHCPサーバーがあり、誰もが姿を消しました。



この記事では、私の観点から、小規模企業のネットワークインフラストラクチャを作成する際の正しい決定について説明しようとします。 そしてもちろん、この記事は著者の個人的な優れた実践を反映しており、読者の理想とは異なる場合があります。



だから。 最大100人のクライアントがいます。 すべてが標準であり、ユーザーはインターネットにアクセスし、メールを送信し、ファイルストレージを使用し、1秒で作業します。コンピューターの冷却を望み、ウイルスをキャッチしようとします。 そして、はい、私たちはまだ雲にする方法を知りません。

ほとんどすべてのインフラストラクチャの2つの柱、

それから、私たちは明らかなニュアンスではなく、微妙なニュアンスを調べます。 ちなみに、繰り返しますが、私たちには中小企業があり、悪化させないでください。

データの安全性。 「地雷がサーバールームに当たりました。」

地雷がサーバーに当たった場合、おそらくデータの安全性に関心があります。 12月31日、上からパイプが破裂した可能性が非常に高くなります。これにより、火災が発生し、床が落ちました。

-データがすべてです。 バックアップサーバーの1つは、サーバーの外部に配置する必要があります。 これは救命浮き輪です。 最も重要なものだけが置かれていても、1〜2日でサーバーを再度購入してレンタルし、稼働中のインフラストラクチャを展開できます。 不可逆的に失われたベース1cを回復することはできません。 ちなみに、P4-2400 / 1024の老人は通常、適切に編成されたバックアップでバックアップを管理します。

モニタリング 01/01/2013 02:24 | From：Zabbix | 件名：核発射が検出されました！」

お友達と新年を祝う素晴らしい時間を過ごしています。 ちなみに、あなただけではなく、あなたが建物を借りる建物の見張り人も、無駄に時間を失うことはありません。 したがって、水で満たされた燃え尽きた部屋は、明けましておめでとうございます、あなたの頭痛に朝の楽しいボーナスです。

-何かがうまくいかない場合は、まずそれについて知る必要があります。 重要なイベントに関する同じSMSアラートが標準です。 ちなみに、目覚まし時計が鳴ってから5分後に朝に監視サーバーを受信しなかった場合は、アラームを鳴らします。 結局、監視サーバーを監視するサーバーも何も書き込みませんでした。 一般に、サーバーサーバーの外部にバックアップサーバーがありますが、バックアップサーバーはすべてのユーザーを失ったと書かれていますが、使用中です。

回復計画。 「落ち着いて、カズラドエフ、口ひげで座りましょう！」

これはあなたの練習で最悪の新年です。 はい、SMSを受信して​​状況を評価した後、消防士はすぐに呼び出され、ほぼ5分で到着し、すぐに消しました。 しかし、まったく同じように、サーバーの一部が燃え、2番目の部分が泡でいっぱいになり、3番目の部分が床下で失敗しました。

-もちろんうそ。 これは最も楽しいものではありませんが、最悪の新年ではありません。 はい、忙しい週があなたを待っていますが、明確な計画のおかげで、あなたはどこから始めて何をすべきかを知っています。 災害復旧の観点から、コンソールコマンドを含むすべてを完全にリストすることをお勧めします。 3年前に設定されたMySQLサーバーを復元する必要がある場合、最終的に半日を費やす必要のあるわずかなニュアンスを覚えていますか。 ちなみに、すべてはあなたが計画したものとは少し異なります。

次に、ADのネットワークの基本について説明します。

クラスタリングやその他のLiveMigrationの利点を説明するつもりはありません。 私たちには小規模なビジネスがあり、vMotionにはお金がありません。 しかし、それは必要ではありません、ほとんどのサービスは「箱から出して」完全に予約されています。 以下にチューニングのノウハウはありませんが、私は自習のために正しい方向を示すようにします。

• Active Directory ドメインコントローラは、物理的に異なる鉄片上に2つ配置する必要があります。 ところで、MicrosoftはすべてのCDを仮想マシンで実行することを推奨しません（推奨しませんでした）。 少なくとも1枚のCDは純粋な鉄でなければなりません。 一般に、これはナンセンスです。異なる物理ホストで異なるCDを作成できます。仮想環境でのCDのセットアップに関する一般的なMicrosoftの推奨事項に従うだけです。 ところで、両方のドメインコントローラにGCを保存することを忘れないでください。
• DNSは単なる基盤です。 ドメインネームサービスがあなたのために曲がっている場合、あなたは絶えず青からジャムをかき集めます。 少なくとも2つのDNSサーバーが必要です。このためには、CDが非常に適しています。 また、CD自体にある「アナライザーのコンプライアンスのアナライザー」の推奨事項に反して、自分をマスターとして指すことをお勧めします。 そしてもう1つ、IPアドレスでクライアントにサーバーを登録する方法を忘れてください。NTPサーバーの場合、クライアントはntp.company.xyzとして、プロキシの場合はgate.company.xyzのように、まあ、一般的に、それは明らかです。 ちなみに、これは、srv0.domain.xyzという名前の同じサーバーで、異なるCNAMEを持つことができます。 サービスを拡張または移動する場合、これは非常に役立ちます。
• DNSの横にあるNTPサーバー。 CDは常に正確な時間を提供する必要があります。
  
  ヒントをありがとうfoxmuldercp
• 2台のDHCPサーバーも必要です。 これらの同じCDでも、非常に有効なスキームです。 出力範囲が重複しないように設定するだけで、すべてのDHCPがマシン群全体をカバーできるようにします。 そして、はい、各DHCPサーバーが自身を最初のDNSサーバーとしても発行できるようにします。 理由は明らかだと思います。
• ファイルサーバー。 ここでもすべてが簡単です。 同じCDで、レプリケーションを使用してDFSを作成します。 一般に、レプリケーションはそれとは何の関係もありません。DFSを介してボールへのリンクを常に記述し、すべてのファイルリソースに関してこのプラクティスに従うようにしてください。 ボールを新しい場所に移動する必要がある場合は、ボールを転送してDFSのリンクを変更するだけです。 クライアントはまったく気付かない場合があります。
• MSSQLサーバー1。 これはもはや簡単ではありません。 そして高価。 部分的に大きなベースがあり、スタンバイSQLサーバーを保持することは許可されません。 このものを予約することはできません。いずれにしても、お金がかかる新​​しいインスタンスが必要です。 バックアップがすべてです。大丈夫です。 一時DBMSサーバーをすばやく展開できる場所を検討してください。 ところで、データベースのサイズに制限のある無料のMSSQL Expressがあります。たぶん、中断をやめるべきでしょう。
• ゲートウェイ Linuxおよびその他のFreeBSD。 それは不快ではありませんが、TMGや他のKerioにはお金がありません。 あなたはまだiptablesを理解する必要があります。 ここで私は明確なアドバイスをすることができます-あなたがOSIと友達なら-問題はありません、あなたが友達でなければ-Kerioには問題があります。 ところで、あなたが管理者だと思っていて、フレームとフレームの違いがわからない場合、それはあなたにとって難しいでしょう。
• 安全性 非常に広範なトピックなので、この親密な質問に関する次の段落。
  
  ユーザーはドメインユーザーの下で作業する必要があります。 任意のアプリケーションは、制限された権限を持つ環境で動作するように構成できます。 プログラムがインストールされているディレクトリに書き込み権限を追加するだけで十分な場合があり、実行可能ファイルの書き込みを内部的に禁止します。 機能を見つけるために、レジストリとファイルシステムを監視する必要がある場合があります。 管理者権限を獲得して発行したい場合があります。 これは時々推奨されます。 選択するのはあなた次第ですが、UACをオフにしないでください。 はい、そしてあなたは、職場に座って、ドメイン管理者ではなく、すべてのワークステーションに対して最大のローカル管理者権限を持っている必要があります。 必要に応じて、ターミナルを介してサーバーを操作します。
• アカウント ユーザーについては何も言いません。ユーザーごとに1つのアカウントがあることは明らかだと思います。 しかし、各サービスに独自のアカウントが必要であることを誰もが理解しているわけではありません。 たとえば、AD環境で動作するMSSQLはドメイン管理者権限を必要としません。 通常のユーザーアカウントを作成し、DBMSのインストール時に指定します。 インストーラー自体が必要な権限を登録し、すべてが正常に機能します。 そして、ほぼすべてのサービスで。 ADに接続するためのopenfireが管理者アカウントの指定を要求する場合-これは1つの名前であり、ディレクトリサービスを読み取るだけで済みます。
• ソフトウェアの更新。 WSUSを展開し、少なくとも月の第2水曜日を入力して、新しい更新プログラムを確認することを忘れないでください。 フリートから10〜15台を選択し、テストグループに含めます。 このグループの新しい更新を確認し、妨害が見つからない場合は全員に展開します。 ちなみに、WSUSを使用してソフトウェアを更新する方法は次のとおりです。
• アンチウイルス。 それは動作するはずであり、あなたはそれを制御する必要があります。 最初に監視について書きました。
• SCS。 多くの機関にとって非常に痛いテーマです。 アドバイスは1つだけです。 自分でやるなら、自分でやる。それ以外の場合は、あなたの会社がアウトソーシングされた仕事を提供することが重要であることを経営者に証明する。 次の管理者があなたの居住地を簡単に見つけることができることを忘れないでください。

手始めに、おそらく十分。 おもしろかった場合は、各ポイントを詳細に補足して、続ける準備ができています。 健康的な批判を書いてください、あなたのすべてに感謝します。