Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2016/2019 (http://forum.oszone.net/forumdisplay.php?f=119)
-   -   Настройка сервера с нуля. (http://forum.oszone.net/showthread.php?t=348318)

poisonkit 21-03-2021 00:24 2953499

Настройка сервера с нуля.
 
Доброго времени суток.
Установил сервер, добавил роли Hyper-V и Active Directory
Осталось это дело настроить и у меня тупик... Яндекс поиск не помог =( так как походу задаю неверно вопрос... Но попробую тут задать.

Домен настроил.

Пытаюсь создать виртуальную машину 1 поколения, но при установке Windows 10 выдает ошибку 0x8007025D. До этого был Windows 2012 Server и проблем с этим не возникало, а тут и место выдаю 256гб, и оперативки 8192.. Начинает ставить ОС и при копировании файлов примерно на 72% выдает ошибку... Что не так? Разные образы пробовал =(

Anton04 21-03-2021 12:56 2953536

Цитата:

Цитата poisonkit
Пытаюсь создать виртуальную машину 1 поколения, но при установке Windows 10 выдает ошибку »

А зачем для установки Windows 10 использовать VM первого поколения!? Какой в этом тайный смысл? Чем Вас не устроило 2 поколение?

poisonkit 21-03-2021 15:08 2953549

Цитата:

Цитата Anton04
А зачем для установки Windows 10 использовать VM первого поколения!? Какой в этом тайный смысл? Чем Вас не устроило 2 поколение? »

Со второго раза получилось установить во второе поколение.

Теперь следующая задача:
Стоит 3 виртуальные машины на Windows 10. Подскажите решение, что-бы они имели доступ в интернет и были изолированы от локальной сети, как это осуществить?
В организации на них будут удаленно соеденяться торговые представители через RDP.

Ageron 21-03-2021 20:59 2953584

Цитата:

Цитата poisonkit
Подскажите решение, что-бы они имели доступ в интернет и были изолированы от локальной сети, как это осуществить? »

пропишите на вирт машинах статичный ип, пропишите правильную маску подсети
или vlan настраивайте

Anton04 21-03-2021 23:08 2953592

Цитата:

Цитата poisonkit
Подскажите решение, что-бы они имели доступ в интернет и были изолированы от локальной сети, как это осуществить? »

Полностью изолированными никак,для этого нужна физически изолированная сеть.Для Вашего случая подойдёт IP адресация отличная от адресации организации и на роутере (или может управляемом свиче) заблокировать доступ из IP адресов Ваших VM в ЛВС организации.

poisonkit 21-03-2021 23:16 2953593

Цитата:

Цитата Ageron
пропишите на вирт машинах статичный ип, пропишите правильную маску подсети
или vlan настраивайте »

Если установлю статический, то что им стоит поменять на динамический? =(
или может я что-то не так понял? можно подробнее?

Ageron 22-03-2021 10:59 2953619

Цитата:

Цитата poisonkit
то что им стоит поменять на динамический? =( »

не давайте права администратора, только группа пользователи.
тогда не смогут.

poisonkit 22-03-2021 18:40 2953660

Цитата:

Цитата Ageron
не давайте права администратора, только группа пользователи.
тогда не смогут. »

Нужны права админа, так как будут устанавливать приложения...
Я подумал следующее решение:
Поднять Active Directory, завести эти виртуальные компьютеры в домен. Через груповые политики запретить сетевое обнаружение и просмотр и этого будет достаточно. Выдать локального админа... Ведь так можно сделать? Раз совсем неполучается изолировать, то хоть так =)

Ageron 23-03-2021 16:35 2953712

Цитата:

Цитата poisonkit
Через груповые политики запретить сетевое обнаружение и просмотр и этого будет достаточно. »

смысл ради этого AD делать?
это не дает изоляции от локальной сети, просто в проводнике не будут видны другие компьютеры.
по ип все будет доступно.

DJ Mogarych 25-03-2021 16:14 2953885

Цитата:

Цитата poisonkit
Hyper-V и Active Directory »

В одной операционной системе? :o

На хосте лучше оставить один Hyper-V, а на виртуалке уже поднимать контроллер домена.

poisonkit 03-04-2021 20:57 2954714

Цитата:

Цитата Ageron
смысл ради этого AD делать? »

а как тогда изолировать компьютеры друг от друга?

Angry Demon 04-04-2021 08:01 2954727

Цитата:

Цитата poisonkit
Нужны права админа, так как будут устанавливать приложения...

Тогда теряется весь смысл организации безопасности. На рабочей станции должен быть софт, установленный Администратором, а не зоопарк с троянами, который установит пользователь.

poisonkit, коллега Ageron, совершенно верно отметил, что отключение Сетевого окружения - это не изоляция.
Тем более, как я уже отметил, устраивая огромную дыру в безопасности в виде административных привилегий, вы пытаетесь закрыть игольное ушко в виде Сетевого окружения.

Цитата:

Цитата poisonkit
а как тогда изолировать компьютеры друг от друга?

Брандмауэры никто не отменял.

RS2019 23-07-2021 13:09 2962700

Здравствуйте! Нашел тему про н0ль) Это я. Не пинайте пожалуйста, есть желание учиться)
Итак.
Есть офис на 15 пользователей. 1 сервер (самосбор, железо не серверное), WinServ 12R2 Std с 1С для 2х бухгалтеров и двух менеджеров, он же файлопомойка. Бухгалтера и один менеджер подключаются по RDP через Хамачи для работы с 1С. Остальные к своим папкам с файлами просто через Хамачи. У всех ноутбуки.

Руководство сказало: "- Хочу контролировать сотрудников, что делают. Есть подозрение, что кто-то сливает инфу. Да и вообще долго, а иногда и вообще не выполняют поручения. Хочу чтоб CRM и почта лежали у себя на сервере."
Обратился к более опытному товарищу за помощью. Было решено засунуть всех в терминал, DC с AD и всё такое. Как это поможет контролировать сотрудников пока не понимаю. Так как нужен Автокад, один вроде как что-то считает в Ревите, остальным хватит бесплатного просмотрщика. Заказали сервер с Quadro P2200.

Сервер:
HPE ML30 Gen10 Tower/ 1 x Intel Xeon E-2134 (4C/8T 8Mb)
3,5 - 4,5 GHz/ 4 x 16 Gb ECC Unbuffered RAM/ 1 x Controller HPE
S100i SATA only RAID 0,1,5,10/ 1 x Cage 8 SFF/ 5 x 240GB SATA
SSD/ 3 x 1TB SATA HDD/ 2 x 1GbE Lan/ Nо DVD/ 2 х 500W Power Supply

И лицензии:
WinSvrSTDCore 2019 SNGL OLP 16Lic NL CoreLic 1
WinSvrCAL 2019 SNGL OLP NL UsrCAL 15
WinRmtDsktpSrvcsCAL 2019 SNGL OLP NL UsrCAL 15

И вот по дороге опытный товарищ отвалился, и остался я один, в дебрях Венского леса. С большими граблями.

Что пытался делать.

Устанавливал Windows Hyper-V Server, на ВМ в нём Widows Server 2019 std. Но так и не смог в ВМ пробросить видеокарту. Снёс всё. Поставил на железо Widows Server 2019 std с ролью Hyper-V, на нём создавал виртуалки с Widows Server 2019 std и Win 10 Pro, ни туда ни туда проброс также не удался. Снёс всё. Почитал про другие гипервизоры первого типа, тоже не у всех получается проброс. Отказался от этой затеи. Решил установить роль терминального сервера, роль Hyper-V и в ней две виртуалки. Но здесь прочел http://forum.oszone.net/thread-348554.html , что вроде как это нарушение лицензии? Установил Widows Server 2019 std с ролью терминального сервера, на нем же установил лицензии. Собрал древний комп с пеньком, воткнул туда через адаптер в шину PCIe диск NVMe, установил на него Widows Server 2019 std с ролью AD и повысил до контроллера домена. Домен назвал адресом существующего сайта организации, можно так? Конфликтов не будет никаких? Как лицензировать этот комп с DC?

Опять же прочитав вот это http://forum.oszone.net/thread-348554.html, задумался а может вернуться к гипервизору первого типа? Хватит ли просмотрщику Автокад втроенной графики? А там клепай ВМ сколько хочешь. Или нет?
Еще вариант. Поднять роль Hyper-V, две виртуалки, в одну DC во вторую ТС? Виртуалки с линуксом считаются? А файервол уже на другую железку.
Еще вариант. Гипервизор первого типа. Виртуалка с DC, виртуалка с ТС, виртуалка Win10Pro ну или Линукс для Kickidler (и шеф доволен, картинки смотрит)), виртуалка для Kerio control например, уже мне смотреть, кто где шарится.

CRM и почту получилось уговорить оставить в облаке.

Помогите советом, кому не жалко) Спасибо!

paranoya 25-07-2021 10:59 2962805

Если нужно было контролировать юзеров, то достаточно было купить софт по контролю за юзерами, такого типа софта на каждом углу Интернета валяется.
Если есть подозрение на слив информации, то нужно настраивать разграничение доступа к информации, аудит доступа и прочее - тут одним постом не обойтись.
При подключении через RDP и виртуалки испльзуется софтверный видеодрайвер и соответственно все САПРЫ-Автокады будут тормозить, про просмотровщики ничего не скажу, так как не использовал, но если компьютер мощный, то вполне может и не тормозить.
Для того, чтобы задействовать возможности графического ускорения нужно использовать технологию Discrete Device Assignment (DDA) от МС, если гипервизор и виртуалки будут от МС. При этом надо понимать, что одна видеокарта может обслуживать только одну ВМ.
Чтобы давать какие-то ещё советы, нужно точно знать откуда, как и с чем работают юзеры, какие ресурсы (файловая помойка, почта и прочее) и программы используют.

PS. И правильнее завести отдельную тему для обсуждения проблемы.

RS2019 26-07-2021 10:38 2962847

Здравствуйте! Спасибо за ответ!

Цитата:

Цитата paranoya
Если нужно было контролировать юзеров, то достаточно было купить софт по контролю за юзерами, такого типа софта на каждом углу Интернета валяется. »

Ну вот и посматриваю в сторону Kickidler. Настораживает трафик: Граббер - Сетевой трафик с сервером: 1 Мбит/сек, Вьюер - Сетевой трафик с сервером: 10 Мбит/сек, Сервер - Сетевой трафик с юнитами: 1 Mбит/сек на каждого граббера-вьюера (итого 16Мбит/сек). В офисе скорость заявленная провайдером 20 Мбит/сек (по факту меньше). Если шеф захочет из дома понаблюдать, смогут ли остальные комфортно работать? Или это всё только методом тыка можно узнать?

Цитата:

Цитата paranoya
Если есть подозрение на слив информации, то нужно настраивать разграничение доступа к информации, аудит доступа и прочее - тут одним постом не обойтись. »

Ну видимо для этих целей и планировалось ТС с DC. Так то к папкам пользователей, на сервере, разграничил доступ.

Цитата:

Цитата paranoya
Для того, чтобы задействовать возможности графического ускорения нужно использовать технологию Discrete Device Assignment (DDA) от МС, если гипервизор и виртуалки будут от МС. »

Это всё проделывалось и не раз, и не только это. Не пробрасывается. Связывался с саппортом HPe, скинули эту же ссылку. В конце концов отправили к Мелкомягким. Обращался в саппорт Nvidia, сказали что RU сегмент такими вопросами не занимается, отправили в англоязычный сегмент. Но вот беда, при попытке что-то там спросить идёт редирект в RU сегмент) Вроде как то даже зарегался, при попытке создать вопрос пишет, что нет такого юзера. Короче плюнул.
На просторах тырнета пишут, что у NVDIA карты премиум сегмента только пробрасываются.
Поэтому и хотел вот так: Железо1>WinServ>роли ТС, Hyper-V(VM1, VM2) + Железо2>DC>AD,DHCP,DNS. Но видимо так нельзя.

Цитата:

Цитата paranoya
Чтобы давать какие-то ещё советы, нужно точно знать откуда, как и с чем работают юзеры, какие ресурсы (файловая помойка, почта и прочее) и программы используют. »

Пока вот так:
Со мной 15 человек. Возможно (когда-нибудь) расширение. Работают все на ноутах > Windows 10 в основном Home редакции > MSOffice 365 > AutoCad or DWGTrueView > Adobe Acrobat Pro > SeCad > CRM. Почта, сайт и CRM всё в облаке (у хостера). Как писал выше, сервер на базе десктопа для работы с 1С, он же файловый сервер. К информации на сервере доступ разграничил. То что на ноутах никак не контролируется. Хоть шеф и сказал, чтоб вся инфа хранилась на сервере, добиться этого пока как-то не получается. Подключаются по Хамачи, кинул им ярлыки от их папок на Рабочий стол. На сервере стоит смена пароля каждые 90 дней. Создавать стойкий пароль им вломы, хотя предлагал несколько алгоритмов создания сложного легко запоминающегося пароля. Поэтому создаю им сам, обЪясняю как запомнить, один фиг тыкают - Запомнить. И хранят на рабочем столе в блокноте. При очередной смене естественно не могут войти (пароль то новый, а старый сохранён), после третьего раза учётка блокируется. Приходится каждый раз лазить разблокировать. Но это пол-беды. Увидел у одного на рабочем столе папку "Сервер", проверил путь > User/Desktop. Проверил на сервере, в его папке пусто. Спрашиваю: "- Где файлы храните?". Ответ: "-На сервере!" Короче с безопасностью полный швах.
Еще есть одна большая, нерешаемая, проблема. Нестабильное электропитание. Частенько (бывает надолго, запускаем свой генератор, но на это надо время) свет вырубают. Старый сервер временно вынес из офиса. Жду когда придёт шкаф. Здравый смысл подсказывает не завязывать всю работу на сервер, при такой проблеме.

Пока склоняюсь к такому варианту: Для 1С оставляем старый сервер, убираем от туда файловый сервер. На новом вот так: Windows Hyper-V Server > VM1(WinServer(фалопомойка(желательно сюда как-то NAS прикрутить))), VM2(Kerio Control(или может что-то посоветуете другое с подобным функционалом?)), VM3(Kicidler).

Цитата:

Цитата paranoya
PS. И правильнее завести отдельную тему для обсуждения проблемы. »

Если модераторы следят за темой, можно вас попросить вынести мой вопрос в отдельную тему?

paranoya 26-07-2021 14:58 2962862

Цитата:

Цитата RS2019
Железо1>WinServ>роли ТС, Hyper-V(VM1, VM2)»

Чтобы проброс видеокарты заработал нужно на железо ставить WinServ только с ролью Hyper-V, настроить там всё, затем создать ВМ второго поколения и в её настройках создать новое устройство с пробросом и включить его следуя документации.
По крайней мере так было раньше с технологией RemoteFX.

paranoya 26-07-2021 15:36 2962867

По всему остальному:
WinHome - плохо.
Хранение информации на сервере - нужен электронный документооборот и/или административный приказ о хранении информации на сервере с вытекающими наказаниями. Плюс нужны бизнес-процессы для этого. Плюс технический вариант в виде синхронизации данных ноутбука и сервера.
По паролям - лучший пароль кусочек стишка, а не куча знаков, букв, цифр и регистров. Периодическая смена пароля - так себе решение.

Насчёт выхода в Интернет, я использую PfSense и такие вещи лучше держать на железе, а не в виртуалке.

Вариант с Терминальным сервером позволит хранить файлы на сервере и чуть-чуть поможет сберечь от слива информацию, но...

Чуть позже отпишусь более подробно как можно что-то организовать на том, что есть у вас.

RS2019 26-07-2021 16:53 2962873

Цитата:

Цитата paranoya
Чтобы проброс видеокарты заработал нужно на железо ставить WinServ только с ролью Hyper-V, настроить там всё, затем создать ВМ второго поколения и в её настройках создать новое устройство с пробросом и включить его следуя документации.
По крайней мере так было раньше с технологией RemoteFX. »

Именно так и всё и делалось.
Отключаем в PowerShell видеокарту > назначаем её виртуалке > запускаем виртуалку и вместо старта ВМ получаем ошибку, что карта уже назначена другой виртуалке. Хотя других ВМ на машине нет.

Цитата:

Цитата paranoya
WinHome - плохо. »

Почему?

Цитата:

Цитата paranoya
По паролям - лучший пароль кусочек стишка, а не куча знаков, букв, цифр и регистров. »

Этим методом и пользуюсь) С вариациями.

Цитата:

Цитата paranoya
Периодическая смена пароля - так себе решение. »

Ну так учат в академии Cisco.

Цитата:

Цитата paranoya
Чуть позже отпишусь более подробно как можно что-то организовать на том, что есть у вас.»

Буду очень признателен!

Jula0071 26-07-2021 17:19 2962879

Цитата:

Цитата RS2019
Ну так учат в академии Cisco. »

Учили. Последние лет 5 2FA must have, но не на сиськах. Разве что через внешний радиус.

paranoya 26-07-2021 17:29 2962880

Цитата:

Цитата RS2019
менно так и всё и делалось.
Отключаем в PowerShell видеокарту > назначаем её виртуалке > запускаем виртуалку и вместо старта ВМ получаем ошибку, что карта уже назначена другой виртуалке. Хотя других ВМ на машине нет. »

Можно попробовать воспользоваться RemoteFX технологией используя Hyper-V 2016

RS2019 26-07-2021 17:55 2962881

Цитата:

Цитата Jula0071
Учили. Последние лет 5 2FA must have, но не на сиськах. Разве что через внешний радиус. »

Ну это может в ССNA, в IT Essentials всё по старому.

Jula0071 26-07-2021 17:58 2962882

Цитата:

Цитата RS2019
Ну это может в ССNA, в IT Essentials всё по старому. »

Да не суть, главное что двухфактор секурнее, чем смена паролей. Его правда юзеры не любят, но иногда можно заставить, ну или хардварные ключи купить.
Кстати, некоторое время назад PCI DSS убрали требование смены паролей при наличии двухфактора. Точно не помню в какой редакции, давно аудитом не занимался.

RS2019 26-07-2021 17:58 2962883

Цитата:

Цитата paranoya
Можно попробовать воспользоваться RemoteFX технологией используя Hyper-V 2016 »

Ну может и можно. Но ведь его убрали из-за проблем с безопасностью. Зачем самому лишнюю дыру делать?

Цитата:

Цитата Jula0071
двухфактор секурнее, чем смена паролей. »

Бесспорно. Но пока не дорос.

RS2019 26-07-2021 18:29 2962886

Цитата:

Цитата paranoya
Насчёт выхода в Интернет, я использую PfSense и такие вещи лучше держать на железе, а не в виртуалке. »

О. Прикольная штука и даже Open Source, в отличии от Kerio Control. А мануал для чайников по настройке есть? А то только на Хабре нашел, шестилетней давности.

Jula0071 26-07-2021 18:34 2962887

Цитата:

Цитата RS2019
А мануал для чайников по настройке есть? »

Он не нужен, там всё делается через веб-интерфейс, а там всё просто для тех, кто хотя бы начала акакдемии циски изучил и сдал.

RS2019 26-07-2021 18:49 2962888

Цитата:

Цитата Jula0071
Он не нужен, там всё делается через веб-интерфейс, а там всё просто для тех, кто хотя бы начала акакдемии циски изучил и сдал. »

Ну вот, сразу мордой об стол)

Jula0071 26-07-2021 19:01 2962890

Цитата:

Цитата RS2019
Ну вот, сразу мордой об стол) »

Документация подробная есть https://docs.netgate.com/pfsense/en/latest/

RS2019 27-07-2021 06:56 2962906

Из документации:

"Выбор оборудования

Использование операционных систем с открытым исходным кодом с непроверенным оборудованием может привести к возникновению аппаратно-программных конфликтов. Настройка оборудования и устранение неполадок предлагают советы по решению различных проблем.

Предотвращение аппаратных головных болей

Используйте Подлинное Оборудование Netgate
Лучше всего использовать оборудование из магазина Netgate. Оборудование Netgate было разработано для того, чтобы гарантировать, что конкретные аппаратные платформы были тщательно протестированы и валидированы.

Поиск опыта других

Опыт других людей является ценным источником знаний, которые можно найти, исследуя совместимость программного и аппаратного обеспечения pfSense в Интернете, особенно на форуме Netgate"

https://docs.netgate.com/pfsense/en/...selection.html

Исходя из вашего опыта использования, что бы порекомендовали из железа?

Iska 27-07-2021 08:19 2962910

Цитата:

Цитата paranoya
По паролям - лучший пароль кусочек стишка, а не куча знаков, букв, цифр и регистров. »

Вот здесь большой-большой плюс.

Цитата:

Цитата paranoya
Периодическая смена пароля - так себе решение. »

А здесь минус :(.

paranoya 27-07-2021 09:20 2962912

Цитата:

Цитата Iska
А здесь минус »

С чего бы минус? Если кусочек стишка длиннее 15 символов, то его поломать можно только с использованием социальной инженерии, баги и дыры в ОС в этом случае в расчёт не идут, так как при наличии дыры абсолютно неважно сколько раз на день юзеры меняют пароль. Проблема периодичности смены пароля лежит чисто в социальной области - юзеры ленивы и не любят запоминать что-то новое, поэтому новый пароль будет тем-же стишком и очередной цифрой в конце, при этом на вторую или третью замену длинного пароля люди сразу придумают лайфхак в виде хранения исходного пароля в блокноте. Плюс к этому стоит вопрос периода смены - 30, 60, 90, 120 дней, сколько в год таких замен паролей нормально для безопасности, для юзеров и для компании в целом? Ведь если запретить хранение паролей в блокноте (если вдруг кто-то такой умный и смог это реализовать) то набор длинного пароля в 10-15% случаев проходит не сразу и тогда юзеры начинают тревожит ИТ-отдел из-за заблокированной учётки или забытой последней цифрой в новом старом пароле.

Iska 27-07-2021 09:44 2962913

Именно из-за того, что:
Цитата:

Цитата paranoya
поломать можно »

Потому плановые периодические смены паролей таки необходимы. Иначе единожды скомпроментированная учётная запись будет использоваться вечно.

paranoya 27-07-2021 10:14 2962916

Согласен, я неправ.

Jula0071 28-07-2021 16:03 2963042

Цитата:

Цитата paranoya
Если кусочек стишка длиннее 15 символов, то его поломать можно только с использованием социальной инженерии, баги и дыры в ОС в этом случае в расчёт не идут, так как при наличии дыры абсолютно неважно сколько раз на день юзеры меняют пароль. »

Воот! И смысл тогда гемороиться со сменой паролей?

Цитата:

Цитата paranoya
юзеры ленивы и не любят запоминать что-то новое »

Тут самое печальное то, что юзеры ленивы до такой степени, что ленятся не то что менять пароли, но и используют один и тот же в разных местах. Все известные лично мне инциденты со взломом были не брутфорсом, не с использованием дыр, а утекшей связкой логин-пароль из совершенно другого места.

Цитата:

Цитата paranoya
Ведь если запретить хранение паролей в блокноте (если вдруг кто-то такой умный и смог это реализовать) »

Есть же парольные менеджеры. Хотя, п о своему опыту, даже айтишники их часто не признают или вообще не знают о существовании.

Повторю, 2FA на порядок повышает безопасность, хотя и тут возможны проблемы с утечкой - TOTP генерятся из сида, утёк сид - утёк двухфактор. Хардварные ключи в этом плане понадёжнее, но их тоже надо внедрять, обучать юзеров, юзеры их будут забывать дома, терять и всё такое. Но в любом случае, без 2FA сегодня нет жизни.

RS2019 28-07-2021 18:13 2963053

Цитата:

Цитата Jula0071
Есть же парольные менеджеры. Хотя, п о своему опыту, даже айтишники их часто не признают или вообще не знают о существовании. »

Пользуюсь KeePass, лежит на флешке. Подключаю только когда надо ввести (если вдруг забыл) пароль. Из недостатков - надо куда-то бекапить базу, на случай смерти флешки. Постепенно перехожу на архаику - бумажная записная книжка.

Jula0071 28-07-2021 18:31 2963055

Цитата:

Цитата RS2019
надо куда-то бекапить базу, на случай смерти флешки »

Оно ж шифрованное, в последних версиях аж AES512. Бекапить можно куда угодно, хоть в облако, главное не пролюбить пароль или ключ.

Iska 28-07-2021 20:13 2963061

Цитата:

Цитата Jula0071
Воот! И смысл тогда гемороиться со сменой паролей? »

Смысл таковой.

Цитата:

Цитата Jula0071
Все известные лично мне инциденты со взломом были не брутфорсом, не с использованием дыр, а утекшей связкой логин-пароль из совершенно другого места. »

Так таких 99.9% случаев.

Цитата:

Цитата Jula0071
Есть же парольные менеджеры. Хотя, п о своему опыту, даже айтишники их часто не признают или вообще не знают о существовании. »

А смысл их в чём? Скомпроментировать все логины/пароли зараз? :)

Jula0071 28-07-2021 20:23 2963063

Цитата:

Цитата Iska
Смысл таковой. »

Каковой?
Цитата:

Цитата Iska
Так таких 99.9% случаев. »

И?
Цитата:

Цитата Iska
А смысл их в чём? Скомпроментировать все логины/пароли зараз? »

Я давно знаю, что вы не большого ума, но тут не стану помогать, попытайтесь подумать сами.

Iska 28-07-2021 21:04 2963064

Цитата:

Цитата Jula0071
Каковой? »

Ыыыы…
Цитата:

Цитата Iska
Именно из-за того, что:
Цитата:

Цитата paranoya
поломать можно »

Потому плановые периодические смены паролей таки необходимы. Иначе единожды скомпроментированная учётная запись будет использоваться вечно.»

Цитата:

Цитата Jula0071
И? »

Социальной инженерии и банальному рас3.14…йству без разницы, насколько сложен пароль.

Цитата:

Цитата Jula0071
Я давно знаю, что вы не большого ума, но тут не стану помогать, попытайтесь подумать сами. »

Ну, как знаете. Я своё мнение озвучил: профукали один пароль:
Цитата:

Цитата Jula0071
главное не пролюбить пароль или ключ. »

— считай, профукали все.

P.S. Зазнайство — грех, коллега.

RS2019 28-07-2021 21:23 2963065

Ну хорошо. С паролями разобрались)
Если есть сервер с такими лицензиями:

WinSvrSTDCore 2019 SNGL OLP 16Lic NL CoreLic 1
WinSvrCAL 2019 SNGL OLP NL UsrCAL 15
WinRmtDsktpSrvcsCAL 2019 SNGL OLP NL UsrCAL 15

и контроллер домена на другой железке, какую нужно на него покупать лицензию, и нужно ли?

И второе. Для контроллера домена по железу какие требования?

paranoya 29-07-2021 09:27 2963078

Насчёт не выноса информации - есть только один вариант :)
1. Все юзеры работают в офисе.
2. При входе в офис у них изымаются все устройства умеющие снимать фото-видео и любые устройства имеющие возможность хранить информацию, даже пресловутые mp3-плееры.
3. Всех юзеров при входе и при выходе обыскивают (смотрим видео обыска заключенных).
4. На всей площади офиса используются видеокамеры.
5. Постоянная замена охраны, чтоб не было сговора.
6. В офисе нет Интернета.
7. При выходе из офиса у юзера изымаются любые бумаги и материалы на которых можно записать вручную любыми ручками или карандашами.

По поводу реальной организации работы, то на железо ставится WinServ с роль Терминального сервера и всё. Домен не нужен, информация будет всё равно сливаться, так как есть выход в Интернет и почта с CRM.

RS2019 29-07-2021 11:36 2963085

Приветствую!
Единственное, что соответствует вашему списку это пункт 4. Остальное невозможно, ну по крайней мере в этой организации.

Цитата:

Цитата paranoya
По поводу реальной организации работы, то на железо ставится WinServ с роль Терминального сервера и всё. Домен не нужен, информация будет всё равно сливаться, так как есть выход в Интернет и почта с CRM. »

Хорошо. VPN, для удалённого доступа, какими средствами лучше всего организовывать? pfSense или OpenVPN, или для доступа к файлопомойке хватит и Хамачи?

RS2019 29-07-2021 12:59 2963087

Вложений: 1
http://forum.oszone.net/attachment.p...1&d=1627552350

В Кинетике вот такой функционал есть

Angry Demon 29-07-2021 15:15 2963089

Цитата:

Цитата RS2019
VPN, для удалённого доступа, какими средствами лучше всего организовывать?

Средства Windows Server вас чем-то не устраивают? Зачем огород городить?

RS2019 29-07-2021 19:45 2963100

Цитата:

Цитата Angry Demon
Средства Windows Server вас чем-то не устраивают? Зачем огород городить? »

Отсутствие опыта, помноженное на отсутствие времени для траты этого времени на эксперименты, заставляет задавать, возможно, глупые вопросы.

Angry Demon 30-07-2021 06:27 2963126

RS2019, там всё просто и гибко, мануалов полно в Сети.

paranoya 30-07-2021 09:31 2963132

Цитата:

Цитата RS2019
VPN, для удалённого доступа, какими средствами лучше всего организовывать? pfSense или OpenVPN, или для доступа к файлопомойке хватит и Хамачи? »

Если есть Хамачи, и уже всё настроено, и юзеры привыкли, то зачем менять?

RS2019 30-07-2021 12:18 2963149

Цитата:

Цитата paranoya
Если есть Хамачи, и уже всё настроено, и юзеры привыкли, то зачем менять? »

Это безопасно? На Хабре встречал комментарии, что для организаций Хамачи не безопасен, инфу через свои серверы гонят и тд и тп.
Есть один недостаток. Если сервер не в локальной сети, то-есть вынесен, как в моём случае, туннель не создаётся, пока кто-нибудь не войдёт локально на сервер. Ставил Тим Вивер, тоже самое.

Angry Demon 30-07-2021 12:53 2963154

Цитата:

Цитата RS2019
Это безопасно?

Не очень. Ещё и тормознее нормального VPN.

Цитата:

Цитата RS2019
инфу через свои серверы гонят

Верно.

Цитата:

Цитата RS2019
туннель не создаётся, пока кто-нибудь не войдёт локально на сервер

Естественно, т.к. приблуда запускается под пользователем, а не как служба, но есть костыли, позволяющие сделать из неё службу.

RS2019 30-07-2021 13:19 2963160

Цитата:

Цитата Angry Demon
Ещё и тормознее нормального VPN »

Кстати да. Нормальный VPN пока не юзал, сравнивать не могу, но через Хамачи тормоза бывают жуть.

RS2019 19-08-2021 12:46 2964580

Цитата:

Цитата Angry Demon
Средства Windows Server вас чем-то не устраивают? Зачем огород городить? »

Ну вроде как просто. Но не ясны некоторые моменты.

1. а) Это всё настраивать на отдельной железке с WinSrver?
1. б) На VM с гостевой WinSrver?
2. Или же можно там же где и TS?

Если вариант 1, то как то жирно получается.

P.S
Попробовал настроить VPN L2TP/IPsec в Keenetic. Всё отлично, подключаюсь к iLO, RDP без проблем. НО! Если подключается второй юзер, с этого же роутера, связь рвётся. На help.keenetic пишут, что это норм.
P.S 2
Обнаружил у Хамачи интересную особенность. Есть комп на котором он установлен, но выключен. В роутере же видно, что Хамачи с этого компа пробрасывает порты.

Angry Demon 19-08-2021 14:34 2964586

Цитата:

Цитата RS2019
1. а) Это всё настраивать на отдельной железке с WinSrver?
1. б) На VM с гостевой WinSrver?
2. Или же можно там же где и TS?

Как вам удобнее. Обладаете жирным бюджетом - делайте 1. а), не обладаете, но сервер настолько могуч, что напрягается на полпроцента - делайте 1. б). Иначе - 2.

RS2019 31-08-2021 20:07 2965513

Цитата:

Цитата paranoya
Домен не нужен »

К сожалению с лицензиями "на пользователя" как раз таки нужен. Сегодня столкнулся с этой проблемой. В рабочей группе только "на устройство" работает.


Время: 08:21.

Время: 08:21.
© OSzone.net 2001-