ТС 50клиентов, как организовать?

Балансировка нагрузки. Отказоустойчивость терминальных серверов.
Ответить
Sanya
Сообщения: 19
Зарегистрирован: Вс июн 27, 2004 5:17 pm
Откуда: Челябинск

ТС 50клиентов, как организовать?

Сообщение Sanya »

Имеется опыт настройки и эксплуатации пары офисов, на WTare, в 1 сервер и 7клиентов и 1 сервер 4 клиента.

Сейчас стоит задача поднять 50 терминалов. Новое здание достраивается нужно принимать решение, а решение как-то не приходит в голову.

Пока надумал поставить 5 терминальных серверов (усиленная ПК), на каждом по 10клиентов.
Под 1С отдельный сервер. Уже стоит сервер на инет.

Я думаю, что за серверами будут сидеть пользователи, в целях экономии средств. Поругайте, похвалите такое решение.

Как все-таки организовать, пользователей ТС, чтоб при выходе из строя 1-2 серверов, все продолжали работать без потери данных.
Как говорят АД и ТС не самое лучшее решение.


Настраивать сервера одинаково.
Как я понимаю нужно перемещаемые профили на сетевом диске.
В настройках сервера ставить, что 1серв 1 юзер хранит профили на \share\prof\user1 и также 2серв 1 юзер хранит профиль также.
Сервера не переругаются???

Тогда как организовать отказоустойчивый сетевой диск.
Решения за 4к непрокатят. Что скажете про DFS??? и как ее реплицировать без домена?
Или NetDisk онже LanDisk и как его реплицировать?

Или я сильно загоняюсь про репликацию даных?

На клиентах планируется ставить всякие комбо машины, принтер, копир, сканер и тд.


Усиленный ПК

DIGITEX СЕТЕВОЙ ФИЛЬТР 3.0м черный
ASUS EN6200TC256 TD GEFORCE FX6200 TURBOCACHE PCI-E 64Mb DDR DVI VO Retail
ASUS DVD-+R/RW DRW-1608P2S IDE OEM
NEC FLOPPY DRIVE 1.44Mb 3.5"
SEAGATE ST-3250824АS 250Gb SATA2 7200 rpm
SEAGATE ST-3250824АS 250Gb SATA2 7200 rpm
GENIUS KB-06X КЛАВИАТУРА DIN
INWIN BD584 BTX DESKTOP 300W P4
ASUS P5GPL-X ATX S775 i915PL PCI-E SATA GIGABIT LAN SOUND
DIMM 256Mb 240-pin DDR PC2-4200 533MHz KINGSTON
DIMM 256Mb 240-pin DDR PC2-4200 533MHz KINGSTON
LOGITECH BF69 OPTICAL МЫШЬ PS/2
INTEL CELERON 4 331 2667MHz-533 256Kb EM64T LGA775 BOX
POWERMAN BACK COMPACT PLUS 500 UPS 500VA

Новый теринал.

ELITEGROUP ECS-661GX-M mATX S478 SiS661GX VGA LAN SOUND
DIMM 256Mb 184-pin DDR PC-3200 200MHz 400Mbps KINGSTON Retail
INTEL CELERON-D 310 2133MHz-533 256Kb S478 BOX
CODEGEN SPAM-1013 mATX MIDITOWER 250W P4
LOGITECH MS90 OPTICAL МЫШЬ PS/2
GENIUS KB-06XE КЛАВИАТУРА PS/2

WTware поддерживает? ELITEGROUP ECS-661GX-M mATX S478 SiS661GX VGA LAN SOUND, кто знает есть на нем PXE?
Sanya
Сообщения: 19
Зарегистрирован: Вс июн 27, 2004 5:17 pm
Откуда: Челябинск

Сообщение Sanya »

Или предложите свое решение.
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

Для сервера celeron плохое решение и 512 памяти тоже не хорошо,
я бы предложил - 2 нормальных выделеных сервера. к примеру интеловская 2х проц. мать, 2 ксеона, 2 GB ОЗУ ECC, 4 sata (2 по два в Rade) в корпусе от термолтейка, стоимость такой железки с учётом доставки из Москвы будет порядка 50-60 т.р. итого 100т. на сервера Это и дешевле и надёжней чем 5 недоделаных :) К томуж при лицензировании ПО ВООБЩЕ экономит деньги.
Терминальные компы бери безшумные с запасом, скажем 2 системника про запас на случай экстренной замены. Такие компы обсуждались в другой ветке...
Biz©
Сообщения: 74
Зарегистрирован: Ср апр 05, 2006 2:16 pm
Откуда: snz.ru
Контактная информация:

Сообщение Biz© »

просматривается решение именно с АД (отдельный сервер) для единой аутентикации и как носитель перемещаемых профилей
+ 3-4 терминальных сервера (с памятью 1 гб или выше) для которых настроить программный NLB-кластер ...

лучше ессно 2 ад-контроллера ... либо 1, но с внутренним рэйдом (зеркало)
не забыть про бэкап-систему ...
Гость

Сообщение Гость »

Ejean писал(а):Для сервера celeron плохое решение и 512 памяти тоже не хорошо
Согласен с памятью и процом. п4 3200 и 4х256
Ejean писал(а):я бы предложил - 2 нормальных выделеных сервера. к примеру интеловская 2х проц. мать, 2 ксеона, 2 GB ОЗУ ECC, 4 sata (2 по два в Rade) в корпусе от термолтейка, стоимость такой железки с учётом доставки из Москвы будет порядка 50-60 т.р. итого 100т. на сервера
Это и дешевле и надёжней чем 5 недоделаных :) К томуж при лицензировании ПО ВООБЩЕ экономит деньги.
Не согласен с 2 серверами если один загнется, то второму придется не легко кол-во пользователей 50шт.
И не как не решает сохранность даных!
Кто-то юзает сетевые диски (отдельно думающие железки)

С лецензированием я думаю еще 5 лет можно подождать.
Ejean писал(а):Терминальные компы бери безшумные с запасом, скажем 2 системника про запас на случай экстренной замены. Такие компы обсуждались в другой ветке...
Если не трудно подскажи а то что-то с первого пинка не нашел.
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

Как один из вариантов http://forum.wtware.ru/viewtopic.php?t=1278&highlight=
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

Количество серверов, памяти, процесоров и прочей лабуды сильно зависит от задач которые планируется решать. Для некоторых задач вообще не подходят терминальные решения. Так что если хотите реальную рекомендацию по железу и ПО нужно описание задач!!!

Для примера: есть организация использующая ОДИН сервер (пара ксионов и 4Гб памяти хот свап диски резервное питание и т.д.) на ПЯТЬДЕСЯТ пользователей. И сервер загружен не более 50%. У пользователей нет ни Explorer ни Office 2003. Только специальзированная программа. Так что это очень специвическая задача подбор железа.
Забыл второй пример, у знакомого стоит почти такой же как сервер локальный комп. и ему НЕ ХВАТАЕТ скорости, памяти и т.д. Он занимается созданием рекламных роликов для ТВ ;)
Гость

Сообщение Гость »

Biz© писал(а):просматривается решение именно с АД (отдельный сервер) для единой аутентикации и как носитель перемещаемых профилей
+ 3-4 терминальных сервера (с памятью 1 гб или выше) для которых настроить программный NLB-кластер ...

лучше ессно 2 ад-контроллера ... либо 1, но с внутренним рэйдом (зеркало)
не забыть про бэкап-систему ...
Я вот тоже думаю что без домена не обойтись. Дополнительные расходы :(

Там еще будет 1С терминалка 1с опублекованна как приложение, тоесть если ломанутся на этот сервер то загрузится морда 1с.

Как сесия терминала1с отображается через терминал????
Тоесть загрузили WT, потом через Подключение к удаленному раб столу запустили 1с опобликованую на другом серваке. как-то кривовато помойму, ктонибуть так пользуется? Сильно тормозит???
Гость

Сообщение Гость »

Ejean писал(а):Количество серверов, памяти, процесоров и прочей лабуды сильно зависит от задач которые планируется решать. Для некоторых задач вообще не подходят терминальные решения. Так что если хотите реальную рекомендацию по железу и ПО нужно описание задач!!!

Для примера: есть организация использующая ОДИН сервер (пара ксионов и 4Гб памяти хот свап диски резервное питание и т.д.) на ПЯТЬДЕСЯТ пользователей. И сервер загружен не более 50%. У пользователей нет ни Explorer ни Office 2003. Только специальзированная программа. Так что это очень специвическая задача подбор железа.
Забыл второй пример, у знакомого стоит почти такой же как сервер локальный комп. и ему НЕ ХВАТАЕТ скорости, памяти и т.д. Он занимается созданием рекламных роликов для ТВ ;)

Там ПРОИЗВОДСТВО ПРЯНИКОВ итд, задачи full office, 1с, Будет сидеть отдел продаж, бухгалтерия, интернет итд. Вообщем комерсанты и офисные програмки.
Sanya
Сообщения: 19
Зарегистрирован: Вс июн 27, 2004 5:17 pm
Откуда: Челябинск

Сообщение Sanya »

ну вот опять залогинится забыл
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Сообщение aka »

А мне нравится идея с пятью серверами ;) Хотя на 50 производителей пряников (только дизайнера и программиста, если есть свои, к серверу не подпускай) я бы ограничился парой терминальных серверов. Да и стоимость лицензирования делает непривлекательной идею "терминальный сервер на 10 юзеров" :(

Памяти не жалей. 4 гигабайта на терминальный сервер - самое то. Больше вредно, меньше - хуже. Если терминальных серверов два и данные лежат на файловом сервере, то хотсвоп и резервное питание терминальным серверам не нужны, а нужен механизм бэкапа (предварительно удаляя профайлы) и тривиального восстановления из бэкапа.

Кроме терминальных еще понадобится сервер для AD и для хранения файлов и профайлов. Не думаю что кто-то серьезно пострадает, если и то, и другое будет делать один сервер. Очень хорошо проработая бэкап этого сервера! Вот этому серверу не помешают рейд, хотсвоп и резервное питание, т.к. именно он становится недублированной точкой отказа.
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Сообщение aka »

ЗЫ: а вот мне любопытно, "аппаратные" хранилища данных (SAN/NAS/и т.д.) развились в что-то пригодное для использования простыми смертными? Задача "хранить файлы" достаточно тупа и железка вполне должна ее осилить. А если такая железка существует, то задачу "AD для авторизации" успешно выполнит линукс с самбой.
Biz©
Сообщения: 74
Зарегистрирован: Ср апр 05, 2006 2:16 pm
Откуда: snz.ru
Контактная информация:

Сообщение Biz© »

aka писал(а):задачу "AD для авторизации" успешно выполнит линукс с самбой.
не советовал бы ... AD - достаточно аскетичный продукт, работающий на минимуме требований ос к железу + имеет немало вкусностей по управлению разными по функционалу группами пользователей и ограничению телодвижений "слишком умных"...
Sanya
Сообщения: 19
Зарегистрирован: Вс июн 27, 2004 5:17 pm
Откуда: Челябинск

Сообщение Sanya »

Sanya
Сообщения: 19
Зарегистрирован: Вс июн 27, 2004 5:17 pm
Откуда: Челябинск

Сообщение Sanya »

aka писал(а):А мне нравится идея с пятью серверами ;) Хотя на 50 производителей пряников (только дизайнера и программиста, если есть свои, к серверу не подпускай) я бы ограничился парой терминальных серверов. Да и стоимость лицензирования делает непривлекательной идею "терминальный сервер на 10 юзеров" :(

Памяти не жалей. 4 гигабайта на терминальный сервер - самое то. Больше вредно, меньше - хуже. Если терминальных серверов два и данные лежат на файловом сервере, то хотсвоп и резервное питание терминальным серверам не нужны, а нужен механизм бэкапа (предварительно удаляя профайлы) и тривиального восстановления из бэкапа.

Кроме терминальных еще понадобится сервер для AD и для хранения файлов и профайлов. Не думаю что кто-то серьезно пострадает, если и то, и другое будет делать один сервер. Очень хорошо проработая бэкап этого сервера! Вот этому серверу не помешают рейд, хотсвоп и резервное питание, т.к. именно он становится недублированной точкой отказа.
Я может что-то не догоняю что за лицензии, если мелкософта, то не смешите меня батенька :)
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Сообщение aka »

Майкрософта, майкрософта. Не вижу ничего смешного, их покупается все больше и больше.
Biz©
Сообщения: 74
Зарегистрирован: Ср апр 05, 2006 2:16 pm
Откуда: snz.ru
Контактная информация:

Сообщение Biz© »

aka писал(а):Майкрософта, майкрософта. Не вижу ничего смешного, их покупается все больше и больше.
гы ... у нас недавно присудили одному ЧП в местной газете извиниться перед фирмой MS за нелиц. использование продуктов :)
как-то нелепо выглядело такое объявление в рамочке ...
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

1с тоже разная бывает :) если МНОГО пользовательский проект, то обязательно SQL и соответственно сервер под него причём виндовый, а AD я бы поставил на терминальные сервера - один контролер другой резервный.

Мы пришли к 4 серверам :) 2 Терминальных, 1 SQL, 1 прокся.

p.s. лучше всё изначально планировать с учётом неожиданной необходимости лицензироваться. Недавно знакомые отвалили 500 т.р. штраф (взятка, штраф бы ещё больше был + иск от микрософт) и почти лимон на лицензирование, а могли обойтись примерно 400-600 т.р. если бы заранее пошевелились :)
Гость

Сообщение Гость »

aka писал(а):А мне нравится идея с пятью серверами ;) Хотя на 50 производителей пряников (только дизайнера и программиста, если есть свои, к серверу не подпускай) я бы ограничился парой терминальных серверов. Да и стоимость лицензирования делает непривлекательной идею "терминальный сервер на 10 юзеров" :(

Памяти не жалей. 4 гигабайта на терминальный сервер - самое то. Больше вредно, меньше - хуже. Если терминальных серверов два и данные лежат на файловом сервере, то хотсвоп и резервное питание терминальным серверам не нужны, а нужен механизм бэкапа (предварительно удаляя профайлы) и тривиального восстановления из бэкапа.

Кроме терминальных еще понадобится сервер для AD и для хранения файлов и профайлов. Не думаю что кто-то серьезно пострадает, если и то, и другое будет делать один сервер. Очень хорошо проработая бэкап этого сервера! Вот этому серверу не помешают рейд, хотсвоп и резервное питание, т.к. именно он становится недублированной точкой отказа.
Спасиба за подержку. с 4 ТС, +5-ый ТС и АД.
Интересно профили хранятся как?
если тебя постоянно подключает к 5-му серверу, и загибается 5 ТС+АД куда уйдет мой профиль и сответственно все доки???
В бэкап :))

Получается полюбому нужно 2 АД+ТС
так или тоже схема не очень???
Интересно как это еще все будет фунцыклировать АД+ТС Есть опыт эксплуатации может у кого?
Гость

Сообщение Гость »

Ejean писал(а):1с тоже разная бывает :) если МНОГО пользовательский проект, то обязательно SQL и соответственно сервер под него причём виндовый, а AD я бы поставил на терминальные сервера - один контролер другой резервный.

Мы пришли к 4 серверам :) 2 Терминальных, 1 SQL, 1 прокся.

p.s. лучше всё изначально планировать с учётом неожиданной необходимости лицензироваться. Недавно знакомые отвалили 500 т.р. штраф (взятка, штраф бы ещё больше был + иск от микрософт) и почти лимон на лицензирование, а могли обойтись примерно 400-600 т.р. если бы заранее пошевелились :)
Спасибо за коментарий с 1с все понятно, кроме того как всетаки из одной сесии будет смотрется другая сесия?
Biz©
Сообщения: 74
Зарегистрирован: Ср апр 05, 2006 2:16 pm
Откуда: snz.ru
Контактная информация:

Сообщение Biz© »

Ejean писал(а): а AD я бы поставил на терминальные сервера - один контролер другой резервный.
настоятельно НЕ рекомендую !
Sanya
Сообщения: 19
Зарегистрирован: Вс июн 27, 2004 5:17 pm
Откуда: Челябинск

Сообщение Sanya »

Всетаки интересно как будут вести себя ТС-ра при хранении перемещаемых профилей в одном месте, на сетевой железке.
Гость

Сообщение Гость »

Biz© писал(а):
Ejean писал(а): а AD я бы поставил на терминальные сервера - один контролер другой резервный.
настоятельно НЕ рекомендую !
А можно с аргументами или с отзывами итд...
Заранее благадарен
Biz©
Сообщения: 74
Зарегистрирован: Ср апр 05, 2006 2:16 pm
Откуда: snz.ru
Контактная информация:

Сообщение Biz© »

Anonymous писал(а):
Biz© писал(а):
Ejean писал(а): а AD я бы поставил на терминальные сервера - один контролер другой резервный.
настоятельно НЕ рекомендую !
А можно с аргументами или с отзывами итд...
Заранее благадарен
основной аргумент - безопасность ... не надо "пускать козла в огород" ...
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Сообщение aka »

Sanya писал(а):Всетаки интересно как будут вести себя ТС-ра при хранении перемещаемых профилей в одном месте, на сетевой железке.
На сетевой железке не пробовали, на файловом сервере пробовали. Нормально ведут. Надо только аккуратно относиться к профайлу. Папку "мои документы" из профайла вынести на отдельный сетевой диск (правый клик по ней, или через реестр) и не класть фильмы на рабочий стол.
Biz©
Сообщения: 74
Зарегистрирован: Ср апр 05, 2006 2:16 pm
Откуда: snz.ru
Контактная информация:

Сообщение Biz© »

aka писал(а):Папку "мои документы" из профайла вынести на отдельный сетевой диск (правый клик по ней, или через реестр
в АД это мона задать для всех жёстко и единообразно на раз-два :)
Гость

Сообщение Гость »

Biz© писал(а):
Anonymous писал(а):
Biz© писал(а): настоятельно НЕ рекомендую !
А можно с аргументами или с отзывами итд...
Заранее благадарен
основной аргумент - безопасность ... не надо "пускать козла в огород" ...
Козел это юзер??? если да, то разве нельзя ограничить его учетную запись?
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Сообщение aka »

Так я ведь не спорю что AD рулез. У AD на мой взгляд два недостатка - неочевидность бэкапа/восстановления (это я с юниксовыми текстовыми конфигами сравниваю) и то, что кривыми руками очень просто все испортить :)
Гость

Сообщение Гость »

А еще где то видел сравнительные таблицы, по лицензионому ПО, в вариантах ТС и класическая схема на ПК.
Может кто подскажет?
Sanya
Сообщения: 19
Зарегистрирован: Вс июн 27, 2004 5:17 pm
Откуда: Челябинск

Сообщение Sanya »

Anonymous писал(а):А еще где то видел сравнительные таблицы, по лицензионому ПО, в вариантах ТС и класическая схема на ПК.
Может кто подскажет?
Да и офис на ТС придется один покупать? что-то не понятно?
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Сообщение aka »

Офисов надо покупать столько, сколько будет пользователей. Учет - полностью на вашей совести :)
Sanya
Сообщения: 19
Зарегистрирован: Вс июн 27, 2004 5:17 pm
Откуда: Челябинск

Сообщение Sanya »

aka писал(а):Офисов надо покупать столько, сколько будет пользователей. Учет - полностью на вашей совести :)
Как говорится совесть у нас чиста мы ей не пользуемся.

В лицензии это как то ограничено, не использовать на ТС и не запускать 50 пользователям одновременно?

XP хоме можно для работы использовать, ее продают организациям?

И что-то меня заинтересовали всякие смал бизнес сервер, ценой.
На них в теории тоже можно поднять ТС и залецензировать его.

Просто предложение готовлю по ПО, в принцепе не чего страшного, WTware впереди планеты всей.
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

Anonymous писал(а):
Biz© писал(а):
Anonymous писал(а): А можно с аргументами или с отзывами итд...
Заранее благадарен
основной аргумент - безопасность ... не надо "пускать козла в огород" ...
Козел это юзер??? если да, то разве нельзя ограничить его учетную запись?
Я использую AD на терминальных серверах не один год, ни разу не было проблем. Какие проблемы с безопасностью могут быть? попрошу конкретики, заодно расскажу как проблему решить ;) Зачем плодить сервера попусту? AD имеет смысл выделять в отдельный сервер если у Вас СОТНИ или ТЫСЯЧИ компов. Для убедительности моих слов каждый может сам поставить TMeter и посмотреть какой трафик идёт через AD.
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

По поводу лицензирования:
Я использую Windows 2003 Server Standart Edition OEM 18т.р.
Вместо MS Office (самая затратная хрень) Open Office. Но есть вариант поставить и то и другое, ни одна проверка не придерётся, что не хватает лицензий ;)

По сути для ЧЕСТНОЙ работы требуются терминальные лицензии, примерно 2300р. за шт.
Sanya
Сообщения: 19
Зарегистрирован: Вс июн 27, 2004 5:17 pm
Откуда: Челябинск

Сообщение Sanya »

Ejean писал(а):
Anonymous писал(а):
Biz© писал(а): основной аргумент - безопасность ... не надо "пускать козла в огород" ...
Козел это юзер??? если да, то разве нельзя ограничить его учетную запись?
Я использую AD на терминальных серверах не один год, ни разу не было проблем. Какие проблемы с безопасностью могут быть? попрошу конкретики, заодно расскажу как проблему решить ;) Зачем плодить сервера попусту? AD имеет смысл выделять в отдельный сервер если у Вас СОТНИ или ТЫСЯЧИ компов. Для убедительности моих слов каждый может сам поставить TMeter и посмотреть какой трафик идёт через AD.
Тоесть вы за ТС+АД в одном флаконе :)
По пводу плодить сервера, это как я понел ко мне не относится? (по поводу 5 крутых ПК)
А у Вас на предрприятии как сделано, за ТС+АД и сидит за этой железкой обычный пользователь?
Sanya
Сообщения: 19
Зарегистрирован: Вс июн 27, 2004 5:17 pm
Откуда: Челябинск

Сообщение Sanya »

Ejean писал(а):По поводу лицензирования:
Я использую Windows 2003 Server Standart Edition OEM 18т.р.
Вместо MS Office (самая затратная хрень) Open Office. Но есть вариант поставить и то и другое, ни одна проверка не придерётся, что не хватает лицензий ;)

По сути для ЧЕСТНОЙ работы требуются терминальные лицензии, примерно 2300р. за шт.

Если речь идет о лицензионном софте!
При класической организации компов шанс больше что заметят нелицензионый софт в часности офис.


Дык у когонибуть есть лицензия на офис под рукой кто изучал ее, там сказано что НЕЛЬЗЯ ИСПОЛЬЗОВАТЬ НА ТС, ЛИБО КАК_ТО ПОДРУГОМУ ОГРАНИЧЕННО?

Расчет по лицензионному ПО, произвел с офисом, попосже могу выложить.
Еще осталось накидать план перехода на ТС и WTware.
Может кто уже дела, или босновывал дайте плиз для шаблона ChelSanya@mail.ru заранее СПАСИБО!!!
Biz©
Сообщения: 74
Зарегистрирован: Ср апр 05, 2006 2:16 pm
Откуда: snz.ru
Контактная информация:

Сообщение Biz© »

Ejean писал(а):Я использую AD на терминальных серверах не один год, ни разу не было проблем. Какие проблемы с безопасностью могут быть? попрошу конкретики, заодно расскажу как проблему решить ;) Зачем плодить сервера попусту? AD имеет смысл выделять в отдельный сервер если у Вас СОТНИ или ТЫСЯЧИ компов. Для убедительности моих слов каждый может сам поставить TMeter и посмотреть какой трафик идёт через AD.
могу сказать только то, што узковата специализация вашей конторы ... конкретику ? лехко ... дайте ка узеру на таком сервере права локального админа ... некоторый софт для работы желает прав "power user": обеспечьте ка мне это ...
или предложите вооружиться регмоном и заняться поиском всех веток реестра, требуемых той или иной програмулине на запись ? пардон, эт не вин9x, тут на фоне стока всякого работает и постоянно лазит в реестр, што устанете отсеивать ...
ну а про скрупулёзное отслеживание пермиссий на системный диск уже не говорю ... это вам будет "не простой сервер подломили" ... даже пермиссия просто на чтение некоторых веток этого диска может в опытных руках оказаться для вас полной неожиданностью ... (извините, но позвольте не обнародовать эти фичи по этическим админским соображениям)
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

Biz© писал(а):
Ejean писал(а):Я использую AD на терминальных серверах не один год, ни разу не было проблем. Какие проблемы с безопасностью могут быть? попрошу конкретики, заодно расскажу как проблему решить ;) Зачем плодить сервера попусту? AD имеет смысл выделять в отдельный сервер если у Вас СОТНИ или ТЫСЯЧИ компов. Для убедительности моих слов каждый может сам поставить TMeter и посмотреть какой трафик идёт через AD.
могу сказать только то, што узковата специализация вашей конторы ... конкретику ? лехко ... дайте ка узеру на таком сервере права локального админа ... некоторый софт для работы желает прав "power user": обеспечьте ка мне это ...
или предложите вооружиться регмоном и заняться поиском всех веток реестра, требуемых той или иной програмулине на запись ? пардон, эт не вин9x, тут на фоне стока всякого работает и постоянно лазит в реестр, што устанете отсеивать ...
ну а про скрупулёзное отслеживание пермиссий на системный диск уже не говорю ... это вам будет "не простой сервер подломили" ... даже пермиссия просто на чтение некоторых веток этого диска может в опытных руках оказаться для вас полной неожиданностью ... (извините, но позвольте не обнародовать эти фичи по этическим админским соображениям)
На мой взгляд, именно раздача прав локальных админов и есть непростительная ошибка. До сих пор я пользовался Вами описанными методами и другими для того чтобы разобраться с прогой ДО ТОГО как ставить на ТС. Для меня одно из главных правил: МАКСИМАЛЬНО урезать права пользователей. Есно он должен работать без проблем :) но не более. У меня пользователь даже не может запускать приложения из профиля, только из системных каталогов, куда доступа на запись у него нет ;) т.е. скачать из ИНета игру и запустить он не может. Но это не мешает ему работать :)
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

Sanya писал(а):Дык у когонибуть есть лицензия на офис под рукой кто изучал ее, там сказано что НЕЛЬЗЯ ИСПОЛЬЗОВАТЬ НА ТС, ЛИБО КАК_ТО ПОДРУГОМУ ОГРАНИЧЕННО?
http://www.microsoft.com/Rus/Licensing/ ... 3_box.mspx
http://www.microsoft.com/Rus/Licensing/ ... 3_oem.mspx
Цитата:
3. Предоставление лицензии на удаленный доступ к программному обеспечению. Для доступа к своей лицензионной копии программного обеспечения и ее использования вы можете использовать технологии удаленного доступа (например, Remote Desktop в Microsoft Windows или NetMeeting), но при условии, что с помощью средств удаленного доступа к программному обеспечению обращается и использует его только основной пользователь устройства, к которому происходит удаленный доступ. Данные права удаленного доступа не позволяют вам одновременно использовать программное обеспечение на устройстве, где создан сеанс Remote Desktop, и на устройстве удаленного доступа.

Поэтому я использую OpenOffice, Иногда и то и другое

По поводу вопроса работают ли мои пользователи на контролере:
http://forum.wtware.ru/viewtopic.php?p=6490#6490
Но я не рекомендую вообще работать в консоле! Есть много различных нюансов. К примеру: Если для автоматизации некоторых процессов используются скрипты работающие в 0 сессии, то работающий пользователь в консоле (0 сеанс) будет блокировать запуск некоторых приложений. Например 1С. Это связано с распространение прав. Два пользователя работающих в одном сеансе с разными правами недопустимы.
Biz©
Сообщения: 74
Зарегистрирован: Ср апр 05, 2006 2:16 pm
Откуда: snz.ru
Контактная информация:

Сообщение Biz© »

Ejean писал(а): На мой взгляд, именно раздача прав локальных админов и есть непростительная ошибка. До сих пор я пользовался Вами описанными методами и другими для того чтобы разобраться с прогой ДО ТОГО как ставить на ТС. Для меня одно из главных правил: МАКСИМАЛЬНО урезать права пользователей. Есно он должен работать без проблем :) но не более. У меня пользователь даже не может запускать приложения из профиля, только из системных каталогов, куда доступа на запись у него нет ;) т.е. скачать из ИНета игру и запустить он не может. Но это не мешает ему работать :)
ещё раз вам намекаю, что у вас просто неширок набор задач и мало развитый комплекс ... если на сервере крутится серьёзный прогр. комплекс, в котором админ. домена ни бум-бум, то необходимо предоставить права прикладному админу, но указанная вами спарка даст ему и права админа домена ...
то что вы пишите это несомненно верно и правильно, но далеко не всегда применимо ... + немаловажна квалификация админа => не раздавать совет направо-налево, т.к. неопытному админу можете свинь. подложить ...
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

Biz© писал(а):ещё раз вам намекаю, что у вас просто неширок набор задач и мало развитый комплекс ... если на сервере крутится серьёзный прогр. комплекс, в котором админ. домена ни бум-бум, то необходимо предоставить права прикладному админу, но указанная вами спарка даст ему и права админа домена ...
то что вы пишите это несомненно верно и правильно, но далеко не всегда применимо ... + немаловажна квалификация админа => не раздавать совет направо-налево, т.к. неопытному админу можете свинь. подложить ...
Не буду спорить... но и не согашусь :) Хотелось бы узнать о какой системе идёт речь. Все серьёзные системы которые я настраивал хранили свои данные в различных SQL. SQL всегда отдельно и нет проблем с правами. И между прочим можно легко разрулить и Вашу ситуацию, (если нельзя использовать права poweruser) запретить локальному админу становиться владельцем объектов и отобрать права на запись на файлы AD.
Biz©
Сообщения: 74
Зарегистрирован: Ср апр 05, 2006 2:16 pm
Откуда: snz.ru
Контактная информация:

Сообщение Biz© »

Ejean писал(а):
Biz© писал(а):ещё раз вам намекаю, что у вас просто неширок набор задач и мало развитый комплекс ... если на сервере крутится серьёзный прогр. комплекс, в котором админ. домена ни бум-бум, то необходимо предоставить права прикладному админу, но указанная вами спарка даст ему и права админа домена ...
то что вы пишите это несомненно верно и правильно, но далеко не всегда применимо ... + немаловажна квалификация админа => не раздавать совет направо-налево, т.к. неопытному админу можете свинь. подложить ...
Не буду спорить... но и не согашусь :) Хотелось бы узнать о какой системе идёт речь. Все серьёзные системы которые я настраивал хранили свои данные в различных SQL. SQL всегда отдельно и нет проблем с правами. И между прочим можно легко разрулить и Вашу ситуацию, (если нельзя использовать права poweruser) запретить локальному админу становиться владельцем объектов и отобрать права на запись на файлы AD.
вы про которого локального админа ? который запрещён доменом ? ;)
и предлагаете на уйму объектов ставить deny всем этим нежданным членам domain admins ? не, спасибо ... :)
ну а продуктов много: увесистые продукты cad, cam, cae, fea, plm - направлений, в том числе клиент-серверные реализации ... ну а некоторые продукты жить не могут без встроенной группы administrators ... тот же оракел, к примеру ..
Ejean
Сообщения: 403
Зарегистрирован: Сб апр 16, 2005 9:30 am
Контактная информация:

Сообщение Ejean »

Я про того локального админа который назначается в домене. Oracl я не рекомендовал ставить на ТС ;)
Это бесполезный спор. Каждый настраивает так как ему нравится :)
Biz©
Сообщения: 74
Зарегистрирован: Ср апр 05, 2006 2:16 pm
Откуда: snz.ru
Контактная информация:

Сообщение Biz© »

на контроллере AD нет _локального_ админа ... любой его админ - админ домена ...
вы правы ... завязываем ...
Sanya
Сообщения: 19
Зарегистрирован: Вс июн 27, 2004 5:17 pm
Откуда: Челябинск

Сообщение Sanya »

aka писал(а):А мне нравится идея с пятью серверами ;) Хотя на 50 производителей пряников (только дизайнера и программиста, если есть свои, к серверу не подпускай) я бы ограничился парой терминальных серверов. Да и стоимость лицензирования делает непривлекательной идею "терминальный сервер на 10 юзеров" :(

Памяти не жалей. 4 гигабайта на терминальный сервер - самое то. Больше вредно, меньше - хуже. Если терминальных серверов два и данные лежат на файловом сервере, то хотсвоп и резервное питание терминальным серверам не нужны, а нужен механизм бэкапа (предварительно удаляя профайлы) и тривиального восстановления из бэкапа.

Кроме терминальных еще понадобится сервер для AD и для хранения файлов и профайлов. Не думаю что кто-то серьезно пострадает, если и то, и другое будет делать один сервер. Очень хорошо проработая бэкап этого сервера! Вот этому серверу не помешают рейд, хотсвоп и резервное питание, т.к. именно он становится недублированной точкой отказа.

Както она тебе нравится что, ты сразу предладаешь, 2 терминальных сервера :))) Но проехали.

Не очень укладывается в голове. Помогите проработать схему.

Понятно что при класической схеме.
Если отдельно АД и ПК, то при поломке АД, все пользователи грузят свой профиль из локальной копии.

Если ТС+АД в одном флаконе, то нужен еще и файл сервет??? для хранения профилей???

Как я понимаю если 2 севера ТС+АД ведущий и ТС+АД резервный, то профили как-то будут между собой реплицировать? Ведь хранятся они на ТС+АД но не локально на ПК, и при выходе из строя 1 серв, Все пользователи переключаются на 2 серв откуда он возьмет профиля???
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Сообщение aka »

При поломке AD пользователь не загрузит профайт. Потому что он просто не пройдет авторизацию, т.к. пароли проверяет именно AD.

Классическая сехма - это отдельная машина AD (плюс отдельная машина для резервного контроллера), отдельная машина - файловый сервер, отдельные машины терминальных серверов. Также на отдельных машинах ставятся SQL, шлюз в инет, Exchange и что-там-еще понадобится ;)

AD не связан с профилями. Профили не реплицируются. Единственная операция, которую винда умеет проделыывать с профилями - это скачивать их с сетевой шары.
Sanya
Сообщения: 19
Зарегистрирован: Вс июн 27, 2004 5:17 pm
Откуда: Челябинск

Сообщение Sanya »

aka писал(а):При поломке AD пользователь не загрузит профайт. Потому что он просто не пройдет авторизацию, т.к. пароли проверяет именно AD.

Классическая сехма - это отдельная машина AD (плюс отдельная машина для резервного контроллера), отдельная машина - файловый сервер, отдельные машины терминальных серверов. Также на отдельных машинах ставятся SQL, шлюз в инет, Exchange и что-там-еще понадобится ;)

AD не связан с профилями. Профили не реплицируются. Единственная операция, которую винда умеет проделыывать с профилями - это скачивать их с сетевой шары.
Начнем с малого, заранее извеняюсь за свою не компетентность.

Давайте расмотрим схему АД+ТС и приемущества и недостатки перед класической схемой.
Как мне известно при АД профиль хранится на АД сервере и скачивается на ПК, при выходе, локальный профиль заливается на АД? Также хранятся папка "Мои Документы" на АД? тк она в профиле?
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Сообщение aka »

При AD профиль может храниться на любой сетевой шаре. Не обязательно на AD. AD позволяет задать настройку "путь к профилю" для юзера.

Если профиль хранится на сетевой шаре, то он действительно при входе скачивается на ПК (в нашем случае на терминальный сервер), при выходе заливается обратно.

Содержимое папки "Мои документы" по умолчанию хранится в профиле и копируется вместе с ним. Настойчиво рекомендую изменять это и хранить документы в специальной отдельной сетевой папке. Делается просто - клик правой кнопкой по иконке на десктопе - свойства - Папка назначения.
Biz©
Сообщения: 74
Зарегистрирован: Ср апр 05, 2006 2:16 pm
Откуда: snz.ru
Контактная информация:

Сообщение Biz© »

aka писал(а):При AD профиль может храниться на любой сетевой шаре. Не обязательно на AD. AD позволяет задать настройку "путь к профилю" для юзера.
но профили на АД могут автоматически реплицироваться, что повышает отказоустойчивость ... минус - нагрузка на сеть и соответствующая ёмкость системного диска на АД ...
Dron
Сообщения: 8
Зарегистрирован: Сб ноя 11, 2006 1:03 am

Сообщение Dron »

Стоит примерно такая же задача. Создается сетка примерно из 30 машин. 1С. Нужно обеспечить отказоустойчивость.

Также планирую поставить два сервера. Должно работать в полном автомате - один сервер сдох, второй подхватил - юзеры ничего не заметили.

Как это реализуется? Опишите вкратце по шагам. Опыта у меня в таких делах мало.
gserg
Сообщения: 351
Зарегистрирован: Вс мар 05, 2006 12:19 pm
Откуда: рядом с Москвой
Контактная информация:

Сообщение gserg »

aka писал(а):ЗЫ: а вот мне любопытно, "аппаратные" хранилища данных (SAN/NAS/и т.д.) развились в что-то пригодное для использования простыми смертными? Задача "хранить файлы" достаточно тупа и железка вполне должна ее осилить. А если такая железка существует, то задачу "AD для авторизации" успешно выполнит линукс с самбой.
Перечитывал темы, вставлю свои пять копеек. FreeNAS отлично прикручивается к домену MS www.freenas.org . А самое главное не нужно Free BSD знать :) все по HTTP настраивается :)
Harris21
Сообщения: 1
Зарегистрирован: Пт июл 27, 2007 10:29 am

Сообщение Harris21 »

aka писал(а):Памяти не жалей. 4 гигабайта на терминальный сервер - самое то. Больше вредно, меньше - хуже.
а почему больше вредно?
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Сообщение aka »

32-битная машина и 32-битная ОС не совсем адекватно работают с памятью сверх линейно адресуемых 4Гб...

Для 64-битных систем это уже не актуально.
gserg
Сообщения: 351
Зарегистрирован: Вс мар 05, 2006 12:19 pm
Откуда: рядом с Москвой
Контактная информация:

Сообщение gserg »

aka писал(а):32-битная машина и 32-битная ОС не совсем адекватно работают с памятью сверх линейно адресуемых 4Гб...

Для 64-битных систем это уже не актуально.
Немного офтоп :( 32-битная ХР не может работать с процессами более 2 Гиг. Касается ли это и сервера 2003_32 бит? Просто 1с81 часто стала валится "жалуясь" что не может работать, так как процесс занимает более 2 Гиг. Пришлось в кластере 1с на рабочем сервере создать 5 :) процессов. Но чего-то мне кажется, что до бесконечности процессы не удастся увеличивать. Может 64 битный 2003 спасет?

Есть мнения? Может кто сталкивался.


ЗЫ Сервер приложений и SQL на одном физическом сервере 2,8 ксеон/4гиг/скази райд5, база 8 Гиг. За 10 месяцев с начала перехода на 1с8 выросла с 3,5 Гиг до 8 Гиг. Пользователей около 50 человек, работают с 2 терминальных серверов (с ТС все нормально, мощности хватает).
Ответить

Вернуться в «Кластеры.»