💘 🤙 🍺 MS製品に基づくインフラストラクチャの構築 🌐 👀 🎆

彼の最初の投稿「Why I Love Microsoft。 Zombie Notes」似たようなリクエストのある手紙をたくさん受け取りました-使用した製品についてもっと書いてください。

尋ねた-それを取得します。記事を書くとき、私は自分自身に目標を設定しました-メインルートを説明すること。複雑なインストールと構成を描くことは意味がありません-インターネット上で十分です。この投稿を読んだ後、管理者が製品と技術の名前、それらが何のためにあるのかを知って、それから私は他のすべてを巧みにグーグルで検索できるようにしました。検索を容易にするために、キー名は英語になります。いくつかの略語がなじみのない場合-これはそれについて読む機会です。そして、はい、Microsoftのソリューションについて説明します。その中の何かしか理解していないからです。トピックが非常に簡潔であることをすぐに警告したいと思います。

始める前に-ヘルプとアピール:)

最初の記事の後、彼らは何度も私に間違っていると書いてくれました。キックは合法です、それは高価です。質問-私たちは答えます。大体、この方法で評価できます。EnterpriseAgreementライセンス（250台のPCから購入できます）は、職場ごとに1000 uevかかります。サーバーがすべてに入ります。つまり、非常に大雑把に言うと、300台のPCの手錠のインフラストラクチャのライセンスは30万ドルかかります。 3年間、年間10万を支払う必要があります。この期間中に、購入したソフトウェアの最新バージョンをすべて置くことができます。

これは、最も高価でガスを使用しないライセンス方法であり、他の方法はより安価です。ちなみに、このような規模でMicrosoftソフトウェアを購入する場合は、交渉することをお勧めします。

あなたが決めるのはどれくらい高価ですか。特に私の組織では、Project Serverの実装のみが、プロジェクトに取り組んでいる従業員の効果的な計画のために、既存の40人に別の7人の従業員を雇わず、したがって約7 * 1300 $ * 12を節約できました。ソリューションの有効性に関する明白な議論。

すぐに予約したいです。マイクロソフトのソフトウェアを盗んだり、逆に購入したりすることはお勧めしません。私は別のことを求めます：あなたがフリーソフトウェアのファンであるかプロプライエタリであるかは関係ありません-基本的なサービスのみを提供するインフラストラクチャ以上のものを構築する方法を考えてください。人に優しい優れたインフラストラクチャを構築し、オフィス内の紙の量を最小限に抑え、森林の世話をし、カルマを明るいピークに登らせます。

以下は非常に簡潔な手順です。それでも、トピックは大きすぎることが判明しましたが、私はそれを分割したくありません。

物事が特定の段階にあるべき方法は斜体になります。以下の順序ですべてを実装できるとは考えられません。一貫性を保つためです。以下に説明するインフラストラクチャは、約50〜500人のユーザーを持つ企業に関連しています。

だから、実際にはマニュアル。 始めます。

0. Hyper-Vが大好きです。 Server 2008をコアモードにし、その他すべての条件が同じであれば、インフラストラクチャを仮想マシンに展開します。

0.1バックアップバックアップ。バックアップを実行する方法を理解せずにシステムを稼働させているわけではありません。

1.サーバーを配置し、Active Directoryを持ち上げます。 DNS、DHCPの基本サービスを上げます。最初の機会に、2台目のサーバーを配置します。このサーバー上でADも上げます。多くの小さな組織ではこれを無視していますが、非常に重要です。なぜなら、単一のドメインコントローラーが死んだ場合、非常に悲しいことになるからです。 <update 12.04.10 10:15> 2番目のドメインコントローラーもグローバルディレクトリサーバーに割り当てます。 /更新参照時刻の外部ソースを使用して、ドメインコントローラーで時刻同期を構成します。 NTP

1.1 DNS。名前が以前の名前と一致するか、または異なるかどうか、ドメインがどのように呼び出されるかについて事前に考えてください。スプリットDNSについて読んでください。サービスの一般的な住所を覚えておくと便利です。たとえば、mail.yourdomain.ru-従業員が会社のネットワークの外で働いているか外で働いているかにかかわらず、常にメールである必要があります。外部ネットワークと内部ネットワークのDNS名が異なる場合-ネットワーク内でyourdomain.ruゾーンを上げます

1.2 DHCP。固定アドレスはありません。デバイスのMACアドレスに予約を使用します。これは、ネットワーク上のアドレスの配布に関する完全な情報をいつでも所有できるようにするために必要です。

1.3 ADのすべてのユーザーを取得します。各ユニットには、組織の階層に従って組織ユニットが割り当てられます。ユーザーをOUにプッシュします。各OUに対して、すべてのユーザーを含むグループを作成します。各ユーザーに-アカウントによる。同時に12人のストアキーパーの「ストアキーパー」エントリはありません。コンピューターアカウントの場合、組織階層に従って個別のOU階層を持つことも望ましいです。すべての部門PCのグループポリシーをバインドする方が簡単です。

1.4秘書に、ADの電話番号のフィールドを変更する権利を付与します。トレーニングします。現在、このデータを最新の状態で満たし、維持することが彼らの義務です。彼らまたはHRは、すべての従業員のADの役職と部門の名前を最新に保つ必要があります。また、従業員を異動させるとき、管理者はアカウントを目的のOUにドラッグし、グループメンバーシップを変更します。ルールを作成します-求人に応募する際にユーザーがどのようにネットワークに入るか、解雇されたとき、別の部門に移るときどうするか。ログイン名と従業員の住所の形成基準を導入します。

2.ユーザーのコンピューターをドメインに送り込みます。

3.可能であれば、ユーザーから管理者権限を奪います。通常の作業中のソフトウェアの一部は、デフォルトで禁止されている場所にデータを書き込みたいと考えています-Process Monitorなどの特別なソフトウェアを使用してデータをキャッチし、権限を微調整します。プログラムを理解したら、アクセスする必要があるレジストリブランチとディレクトリを書き出し、設定を行い、グループポリシーを使用して適切なOUに配布します。 GPの助けを借りて、私たちは人々に次のプリンターにしがみつきます。 PCでデータを収集するログインスクリプトソフトウェアに追加します。名前、ログインした人、ハードウェア、IPアドレス、MACアドレスなどを追加し、これらすべてをサーバーに配置します。

4.必要に応じて、たとえばデバイスロックを使用して、外部ドライブへのアクセスを制限します。

<update 04/09/10 15:55>グループポリシーを使用してこれを構成することもできます。 /アップデート

5.企業のウイルス対策を構成し、その更新を監視します。

6. WSUSを上げて構成します。恐れることなく、あなたによって承認された更新のみが投稿されます。

7.サーバー上のファイルリソースを共有します。個人の従業員ではなくグループでリソースが共有されるように、私たちは致命的な戦闘で戦います。そうでなければ、すぐに権利システムが混乱に変わり、すでに働いている他の従業員と同様の新しい従業員に権利を与えることは不可能です。なぜそれをする必要があるのかを経営陣に伝え、この点に関する権利の変更の申請を彼らから受け取ることは非常に重要です。

8. SQLサーバーを上げます。 1Cベースをそこに保存するために必要で、一般的には良いことです。

すべてのユーザーは、サーバー上の共有リソースを使用します。 ウイルスの侵入から十分に保護されています。 したがって、私たちは多かれ少なかれ従業員の職場を整えました。

9.インターネットにアクセスできるようにISAサーバーを作成して構成します。現在、後継製品であるForeFront TMGは、まだ実装されていません。プロキシの自動検出を構成し、グループポリシーでIEのすべてのプロキシを登録し、例外アドレスに内部ネットワークを登録します-プロキシによるアクセス。ラップトップがネットワーク外でどのように機能するかを考えて確認することを忘れないでください。彼らはprokiを通してインターネットに侵入しようとしませんか？

9.1ユーザーが外部にアクセスするためのルールを設定します。従業員のIPアドレスに基づいてどこからでもアクセスを許可するルール-最低でも、ディレクターのコミュニケーターのみ。アクセスの種類に応じてADにグループを作成します。たとえば、「ホワイトリストのみ」、「任意の場所」です。ユニットのグループをこれらのグループに入れます。たとえば、WarehouseグループをWhitelist Onlyグループにプッシュします。 ISAのサイトのホワイトリスト、サイトのブラックリストを作成し、ADグループとサイトリストに従ってアクセス権を使用してルールを構成します。サーバーへのログイン方法がわからないクライアントバンクやその他のソフトウェアについては、ISAでモニターをオンにし、ITが中断する場所を調べ、ユーザーアカウントではなくコンピューターのIPに基づいて、クライアントバンクのサーバーIPへのすべてのトラフィックを許可します。プロトコルも規定しています。

ISAのルールの一般的なロジックは、例外がほとんどないすべてのトラフィックが、ユーザーのドメインアカウントに関連付けられているルールに従ってゲートウェイを通過することです。

個人的に、私はISA Firewall Clientが好きではありません。私たちはいつもそれなしでやっています。サーバー上のすべての設定は一元化されています。

9.2ブランチがある場合-ISAサーバー間のトンネル、リモートユーザーがある場合-ネットワークへのVPNアクセス。

9.3ユーザーに適切な制限が必要な場合-たとえば、Ivanovは1日あたり200MB以下しかダウンロードできない-Bandwith Splitter

9.4もちろん、7日間ではなく、すべてのログをSQLサーバーに保存しますが、少なくとも45日間-いつかは、1か月あたりのダウンロード数のレポートを作成する必要があります。

ユーザーはインターネットで作業しています。 インターネットアクセスは明らかにルールによって区切られています。 後続の分析のために記録したすべての動き。 リモートユーザーは、ネットワーク内で接続して作業することができます。

10.ターミナルサーバーを上げます。私たちは、在宅勤務のユーザー、リモートブランチのリソースを積極的に使用しているユーザー、場合によってはオフィスのユーザーを駆り立てます。

11.証明機関を提起します。必要になります。

12. Exchange Serverを持ち上げます。ユーザーメールは個人用フォルダではなく、その上にある必要があります-古いアーカイブのみ。ユーザーの作業-Outlookを介して。組織がセキュリティにこだわっている場合-別のアドレスへのメールのメッセージミラーは、それをどのくらいの頻度で消去し、その内容をどこにアーカイブするかを考えます。グローバルアドレス一覧の動作を確認し、オフラインバージョンを作成します。レター、メールボックスなどのサイズに制限を設定します。サーバーでウイルス対策とスパム対策を構成します。タイプsupport@yourdomain.ruの集合メールボックスを設定し、責任者にサポートに代わって書き込む権利を与え、トレーニングします。パブリックフォルダーを設定し、会議室の一般的なカレンダー、デモボードなどを配置しますが、まだ集合的なものがあると思います。便利な場合は、個人用カレンダーをOutlookに保存し、当局と共有します。 Outlookタスクに基づく一般的なタスクシステムを実行する必要はありません-Outlookタスクはチームワークには不便です。

13. ISAを介してExchangeを公開し、両方向の外部メールの通過を確認し、オープンリレーを忘れずに、証明書で必要なすべてに署名し、Outlook Web Accessの動作を確認し、OMAを有効にし、HTTP経由のRPCを公開します。ラップトップユーザーの場合、HTTPS、キャッシュ、およびオフラインアドレス帳を介してRPCにOutlookを構成します。パブリックフォルダーの内容をキャッシュする必要がある場合は、それらをOutlookのお気に入りに追加してから、お気に入りに追加する必要があります。

メールがあり、人々はOutlookを使用してネットワークの内側と外側の両方から接続できます。インターネットアクセスだけで十分です。 Webインターフェイスを使用して作業することも、モバイルデバイスから作業することもできます。 どこからでも、ボックスの同じ内容が見えます。

Support@yourdomain.ruのようなアドレスで共同作業することを学びました

14.ユニファイドコミュニケーションについてお読みください。 Office Communications Serverを構成します。私たちはオフィスPBXと友達です。ルーティングおよび番号計画を構成します。 ADからのユーザーのリストで彼の友情を構成します。

Office Communicatorの関心のあるユーザーを手配し、ヘッドセットを配布します。

オフィスコミュニケーターを介して他のオフィスコミュニケーター、社内電話、市に電話をかけます。 すべて追加のプレフィックスなし。 コミュニケーターは、ADのすべてのユーザーと、内部電話および携帯電話を知っています。

15. Sharepointサーバーを上げます。私たちは、従業員の美しいリスト、従業員の誕生日に関するデータを入れましたが、会社のニュースではありませんでした。次に、構造化された情報ストレージの作成を開始します。ガベージダンプの大部分がスムーズに移動するようにします。後で、作業プロセス、アプリケーションなどを引き出します。そこで、会議室の予約や、パブリックフォルダに保管されていたその他のものを転送します。

16.プロジェクトを積極的に使用している場合-Project Serverを展開する

社内ポータル-参照情報、基本的なワークフロー、構造化されたファイルストレージのための単一の場所があります。

<9.04.10更新14:25>組織が成長すると、ポータルにアプリケーション処理システムを実装します。これは、SharePointのワークフローを使用して行います。 InfoPathおよびSharepoint Designerについてお読みください。アプリケーションは従業員に割り当てられた単一の場所に来る必要があり、アプリケーションの作成者は現在のステータスを確認し、通知を受け取る必要があります。 /アップデート

インフラストラクチャを使用する基本的な方法を説明し、ビデオコースを改善します。私たちはそれを公共の場所（私はサーバーについて話している）に広め、ポータルのアラートでそこを見るように人々を訓練します-そこで、彼らは新しいサービスを扱う方法を説明します。新入社員の仕事初日の必須項目の1つとして、これらのドキュメントに精通しています。

説明されているアクションは、このトピックで示されているすべての使用例を実装するのに十分なはずです。何かを忘れた場合-書き込みます。 Microsoft System Centerのテーマはまだ点灯していません。必ず読んでください。ただし、この製品は、一般ユーザーではなくシステム管理者に利益をもたらすことを目的としています。

<更新04/09/10 14:25>コメントをありがとう。一般に、組織のこのような規模で、IT部門の生活を楽にすることを考える時が来ました。これには必要な技術がすべて揃っているからです。 System Centerについてお読みください。 /アップデート

がんばって。

MS製品に基づくインフラストラクチャの構築

More articles: