Στήσιμο Windows Server σε εταιρικό δίκτυο.

[MikeG]

Καλησπέρα στη παρέα. Ελπίζω στη βοήθεια σας, όσον αφορά το θέμα που ακολουθεί.
 
Ξεκίνησα πρόσφατα δουλειά σε μια εταιρία, η οποία διαθέτει βασική δικτυακή υποδομή. Πλέον θέλει να αναβαθμιστεί, οπότε θα περάσουμε στην αγορά μηχανήματος server και επανασχεδιασμό του δικτύου.
 
Η εταιρία έχει περίπου 30 εργαζόμενους σε 3 διαφορετικά κτίρια. Επίσης όλοι οι υπάλληλοι θα πρέπει να μπορούν να χρησιμοποιήσουν ένα CRM το οποίο αγοράστηκε πρόσφατα και θα στηθεί στο server.
 
Οι σκέψεις μου λοιπόν είναι να δημιουργήσω ένα Active Directory σε πρώτη φάση και παράλληλα να εγκατασταθεί το CRM στο server.
 
Αυτή τη στιγμή η εταιρία δε διαθέτει καμία static IP. Θα στηθούν μάλλον Windows Server 2008 . Η αλήθεια είναι ότι δεν έχω ξαναδημιουργήσει AD, ούτε στήσει από την αρχή server, παρ'όλα αυτά έχω αρκετές γνώσεις γύρω από αυτά.
 
Επί του πρακτέου τώρα, έχω κάποια θέματα στο μυαλό μου που με προβληματίζουν ως πως το πως θα γίνουν.
 
Θέμα νούμερο 1
 
Αυτή τη στιγμή στην εταιρία υπάρχει ένα switch σε κάθε κτίριο όπου πάνω σκάνε όλα τα pc κάθε κτηρίου και αυτό είναι συνδεμένο με το modem router του ΟΤΕ για να υπάρχει Internet (ADSL). Τα pc τρέχουν Windows XP και ουσιαστικά ο κάθε υπάλληλος έχει το pc του - σκληρό δίσκο του.
 
Πως θα εκμεταλλευτώ και τους σκληρούς δίσκους των Pcs, αλλά και του server χρησιμοποιώντας το AD;
 
 
Θέμα νούμερο 2
 
Όπως έγραψα στο server θα στηθεί το CRM το οποίο πρέπει να μπορούν να χρησιμοποιούν όλοι, ανεξάρτητα σε ποιο κτήριο βρίσκονται. Πως θα το καταφέρω αυτό; Αγοράζουμε static IP για το server και στη συνέχει στείνω VPN? Το VPN μπορεί να δουλέψει χωρίς AD?
 
 
Θέμα νούμερο 3
 
Αυτή τη στιγμή η IP σε κάθε μηχάνημα δίνεται από το DHCP του modem-router του ΟΤΕ. Όταν στηθεί ο server και για να παίξει το AD, θα πρέπει ο server να τρέχει πλέον το DHCP και DNS ;
 
Ευχαριστώ πολύ για τη βοήθεια σας εκ των προτέρων. Αν γενικά υπάρχει κάποιος οδηγός σχετικά θα ήμουν ευγνώμων.
 
Επίσης έχω σκοπό σε αυτό το θέμα, να γράφω τη πορεία εξέλιξης των εργασιών και τις απορίες μου.
 
Ευχαριστώ και πάλι.

[konstantin1]

Καλησπέρα,

 

 

Το AD δεν είναι καμία φιλοσοφία.. Είναι μια κεντρική βάση δεδομένων με χρήστες και δικαιώματα σε αυτούς...Στα 2008 γίνεται με wizard..Αφού έχεις γνώσεις είμαι σίγουρος ότι θα τα καταφέρεις, αλλιώς πες μου για να ψάξω κανένα site how-to..

 

Αφού είναι σε διαφορετικά κτίρια σίγουρα θα χρειαστείς VPN.. Φυσικά το VPN παίζει και χωρίς το AD.. (Ερώτηση 2)

Πώς θα κάνεις το VPN ? Με τις ADSL που έχεις ? Τότε πρέπει να πάρεις ένα firewall ανά site, ζήτα για static IP στα DSL modems και σύνδεσε τα σημεία μεταξύ τους μέσω των firewalls.. Εναλλακτικά αν θέλεις να πας σε πιο αναβαθμισμένες λύσεις και πιο επαγγελματικές κάνε επικοινωνια με παρόχους για VPN υπηρεσίες..Η διαφορά είναι ότι στην δεύτερη περίπτωση (πιο ακριβή) θα γίνει η ενοποίηση μέσα από τον πάροχο σε κεντρικό switch του που δεν είναι διαθέσιμο για γενική ADSL χρήση, εξασφαλίζοντας πιο σταθερή ταχύτητα γραμμής και συνεπώς καλύτερη απόδοση του CRM..

 

Η ερώτηση είναι αν το internet στα κτίρια θα παρέχεται κεντρικά ή από τις τοπικές ADSL ? Έχει σημασία γιατί πιθανά να χρειαστείς δεύτερη γραμμή ανά site αν έχεις χωριστά internet και φυσικά απαιτείται κάποια επένδυση σε firewalls για να περιορίσεις την ανεξέλεγκτη πρόσβαση στο internet και τους ιούς...

 

To AD δεν στηρίζεται στους δίσκους των PCs (Ερ. 1).. Στήνεται κεντρικά σε ένα μηχάνημα και από εκεί οι χρήστες κάνουν login στο domain που θα στήσεις λαμβάντας και τα όποια group policies βάλεις κεντρικά..

 

Το DHCP δεν είναι απαραίτητο..Αν είναι λίγοι οι χρήστες σε ένα site τους καρφώνεις συγκεκριμένη IP και δούλεψες.. Αν είναι περισσότεροι τότε μπορείς να σηκώσεις και DHCP... Μπορείς επίσης να βάλεις DHCP πχ σε 2 από τα 3 sites.. Η γνώμη μου είναι  κάθε site να έχει το δικό τους subnet πχ 10.1.1.χχχ στο site 1, 10.1.2.xxx στο site 2 κλπ..  

 

Αν στον κεντρικό server βάλεις AD, ναι θα έχει και DNS server σηκωμένο (Eρ. 3)

 

Δυστυχώς δεν υπάρχει στανταρντ "συνταγή" για τοπολογία δικτύου.. Όλα εξαρτώνται από το τί θέλεις να κάνεις.. Έτσι δεν υπάρχει συγκεκριμένος οδηγός-manual.....

 

 

 

Φιλικά,

 

 

Νίκος

[leonidas_fs]

Καλησπέρα,

Ο φίλος απο πάνω σου έδωσε μια καλη περιγραφή των πραγμάτων.

 

Για αρχή θα χρειαστεί να αγοράσεις ενα καλό hardware firewall  ( cisco, cyberoam κτλ) ωστε να δημιουργήσεις ενα ικανοποιητικό επίπεδο ασφαλέιας και εννοείται το VPN. Έπειτα θα σου πρότεινα να αγοράσετε και μια στατική ip σαν εταιρεία. Γενικά θα σε βοηθήσει πολύ στο μέλλον να έχετε μια συγκεκριμένη ip διεύθυνση.

 

Τωρα απο κει και πέρα, εγω στην θέση σου θα έστηνα το CRM σε cloud μηχάνημα και οχι σε αυτό που έχετε στην εταιρεία. Καταρχήν θα είναι πολύ εύκολο να συνδεθούν ολοι οι χρήστες και κατα δεύτερον, εχεις σκεφτεί τι θα γίνει στην εταιρεία άμα κρασαρει ο server σας? Εχετε εφεδρικό server?

 

Τι είδους server έχετε; Θέλεις να μας γράψεις μάρκα/μοντελο; Γενικά να ξέρεις οτι σε τέτοιες περιπτώσεις, πάντα να σκέφτεσαι την αρνητική πλευρά των πραγμάτων!

[MikeG]

Καλησπέρα παιδιά.

 

Σας ευχαριστώ και του 2 για τις απαντήσεις σας. Ο server είναι ένα Dell Poweredge Tii με 2 raid δίσκους και 16gb ram.

Έστησα τα Windows 2008 Server r2 και του έδωσα στατική ip εντός του δικτύου. Σήκωσα και τον MS SQL server που χρειαζόμουν για να παίξει το crm το οποίο είναι στημένο τοπικά σε κάθε μηχάνημα και απλά επικοινωνεί με τη βάση. Οπότε το σενάριο ήταν πιο απλό τελικά.

 

Domain δε σήκωσα ακόμα αλλά είναι στα σκαριά. Εφεδρικό server έχω το παλιό μηχάνημα όπου έτρεχε η βάση του CRM, στο οποίο όμως δε μπορεί να στηθεί Domain και άλλες υπηρεσίες μιας και είναι ένα απλό Windows 7 μηχάνημα.Αλλά αυτό που ενδιαφέρει την εταιρεία είναι κυρίως το CRM οπότε δε συζητάνε για 2ο εφεδρικό server παρότι το ζήτησα.

 

Από θέμα ασφάλειας είμαι ακόμα σουρωτήρι μιας και το CRM είναι πολύ καστομιά από ελληνική εταιρία και θέλει πολύ ψάξιμο στη ρύθμιση του firewall.

 

Προς το παρόν αυτό που με καίει, θέλω μέχρι αύριο να είναι στημένο, είναι αυτό που περιγράφω και στο παρακάτω link : http://www.insomnia.gr/topic/516552-philips-router-conx-port-forwarding/

 

Αν γνωρίζεται το τρόπο θα είμαι ευγνώμων.

 

Σας ευχαριστώ και πάλι.

[leonidas_fs]

Καλό θα ήταν να αναβαθμιστεί ο server με εναν πιο επαγελματικό.  Πρήξτους να στο αλλάξουν, γιατι στην τελική αν γίνει κάτι (χτυπα ξύλο) εσυ θα τρεχεις και δεν θα φτάνεις. Προτείνω HP DL530 G5 για να έχεις το κεφάλι σου ήσυχο.  Επίσης να αγοράσετε οπωσδήποτε hardware firewall γιατι θα σου λύσει τα χερια σε πολλά πράματα.

 

ΥΓ: Σου απάντησα στο άλλο θέμα που έκανες.

[The_Judas]

Το active directory θέλει αρκετή δουλειά και αρκετό σχεδιασμό προτού το στήσεις, ειδικά όσον αφορά το group policy.

 

Ειδικά αν το crm είναι custom θα σε δυσκολέψει κάπως περισσσότερο. Ελπίζω να μην είναι από αυτά τα λογισμικα που θέλουν να είναι ο χρήστης admin για να δουλέψει!

Το DNS είναι πολύ βασικό, χωρίς αυτό δεν δουλεύει το AD. Τα xp είναι λιγότερο αυστηρά όσον αφορά το dns.

 

Μπορείς να στήσεις το AD και να κάνεις δοκιμές αρχικά σε ένα pc. Οταν δεις ότι δουλεύει προχωράς και στα υπόλοιπα.

 

Τι είδους VPN έχεις στήσει; Hardware ή software;

 

Ο SQL server καλό είναι να στηθεί ξεχωριστά από τον dns-ad server, π.χ σε virtual περιβάλλον.

[MikeG]

Το active directory θέλει αρκετή δουλειά και αρκετό σχεδιασμό προτού το στήσεις, ειδικά όσον αφορά το group policy.

 

Ειδικά αν το crm είναι custom θα σε δυσκολέψει κάπως περισσσότερο. Ελπίζω να μην είναι από αυτά τα λογισμικα που θέλουν να είναι ο χρήστης admin για να δουλέψει!

Το DNS είναι πολύ βασικό, χωρίς αυτό δεν δουλεύει το AD. Τα xp είναι λιγότερο αυστηρά όσον αφορά το dns.

 

Μπορείς να στήσεις το AD και να κάνεις δοκιμές αρχικά σε ένα pc. Οταν δεις ότι δουλεύει προχωράς και στα υπόλοιπα.

 

Τι είδους VPN έχεις στήσει; Hardware ή software;

 

Ο SQL server καλό είναι να στηθεί ξεχωριστά από τον dns-ad server, π.χ σε virtual περιβάλλον.

 

 

Σε ευχαριστώ για την απάντηση.

 

Έχεις δίκιο στο ότι καλό θα ήταν να στηθεί ο MS SQL server σε VM και αυτή ήταν η σκέψη μου, αλλά στη πορεία και με τη βιασύνη που υπάρχει εδώ, αποφάσισα να μη σηκώσω καθόλου VMs. Και δυστυχώς ναι, είναι από αυτά τα CRM που είναι εντελώς custom γραμμένο με makro σε access ουσιαστικά και δε μπορείς να κάνει 100% σωστή δουλειά όσον αφορά το policy.

 

Προς το παρόν παραμένω σε Workgroup μιας και όλα παίζουν. Σκέφτομαι μήπως να σήκωνα ένα linux μηχάνημα για firewall - antivirus για όλο το δίκτυο και έτσι τουλάχιστον να έχω ασφαλίσει το δικτυάκι εξωτερικά και όσον αφορά το εσωτερικό κάποια στιγμή θα ασχοληθώ με το domain.

 

Σήμερα ολοκλήρωσα τις ρυθμίσεις του Licencing Server για τους χρήστες που θα συνδέονται με RemoteDesktop ώστε να δουλεύουν το CRM και πλέον μου μένει να δημιουργήσω τους χρήστες και να τους βάλω στο Users Group και RemoteDesktopUsers . Εγκαθιστώ μετά στο profil κάθε χρήστη το CRM και το client για τη βάση και μετά πρέπει να κάνω τις δοκιμές από τα απομακρυσμένα μηχανήματα. Ξέρω δεν είναι 100% σωστή η λογική, αλλά δυστυχώς δεν είναι στο χέρι μου όλα όσα πρέπει.

 

Σας ευχαριστώ.

[MikeG]

Μια γρήγορη ερώτηση.

 

Συνδέομαι με remote desktop από το pc μου στο server στο τοπικό δίκτυο και μόλις βλέπω ότι από τις 20 άδειες που έχω, τώρα έχω 19. Από ότι βλέπω η 1 που "λείπει" εκδόθηκε για μένα σαν administrator στο pc μου. Είναι λογικό; Ο license server δε τσεκάρει μόνο όσες remote connections έρχονται από εξωτερικό δίκτυο; Επίσης από όσο γνωρίζω υπάρχουν 2 δωρεάν άδειες. Συν ότι συνδέθηκα σαν admin.

 

Κάτι δε μου πάει καλά.

[leonidas_fs]

Το οτι είσαι admin, δεν λέει κάτι. Σαν χρήστη σε βλέπει το σύστημα! Χρήστης είσαι πάλι, απλα με περισσότερα δικαιώματα απο τους άλλους!

[MikeG]

Το οτι είσαι admin, δεν λέει κάτι. Σαν χρήστη σε βλέπει το σύστημα! Χρήστης είσαι πάλι, απλα με περισσότερα δικαιώματα απο τους άλλους!

 

Σύμφωνοι σε αυτό.

Αλλά και χωρίς τον licensing server έμπαινα με RD από τοπικό pc, συν ότι είναι τοπικό συν αυτές τις 2 free άδειες που διαβάζω..

[Επισκέπτης]

Σβήστα όλα και ξεκίνα από το 0.

 

Βάλε ένα Server 2012 R2 (900 ευρώ) , σήκωσε ένα VM με AD + SQL αφού δε θα έχεις άδειες και ένα VM με RDS 2012 R2 ,βάλε ένα RD Gateway για να μπαίνεις από την 443 και όχι από την 3389 που είναι απαράδεκτο, βάλε τα PC στο Domain και τέλος κάνε ένα VPN με οτιδήποτε για να μπεις στο δίκτυο σωστά από τα άλλα 3 κτίρια.

 

Ο Server που έχεις μάλλον είναι ο Dell T110 οπότε έχεις μια βασική ασφάλεια. Αγόρασε και ένα δίσκο εξωτερικό και κάνε Export τα VM για να έχεις και ένα Backup και τέλος.

[konstantin1]

Καλησπέρα και πάλι... Στο θέμα το virtual machine υπάρχουν πολλά ερωτηματικά και δεν το προτείνω ειδικά για server-host που είναι entry level.. Συμφωνώ ότι είναι πολύ βολικό, αλλά στο θέμα της ταχύτητας υπάρχει αμφιβολία.. Άλλωστε ο server κατά βάση υπάρχει ως database server αφού αγοράστηκε για το CRM  και όχι ως domain controller. Φοβάμαι ότι θα έχεις πρόβλημα στην απόδοση της εφαρμογής.

 

 

Η ερώτηση που έκανε ο The_Judas είναι σημαντική.. Πώς έκανες το VPN? Μέσω firewalls στα 3 sites? Κάποιος πάροχος ? Me VPN client στα PCs των χρηστών? Έχει σημασία, ως προς τον τρόπο που θα συνδέονται οι clients με το server... Γιατί θέλεις να συνδέονατι όλοι με remote desktop? Αν συνδέονται τοπικά από το PC είναι τραγική ταχύτητα?

 

 

Για το AD ίσως και να μην είναι προτεραιότητα..Αν οι απαιτήσεις σου είναι μόνο το CRM παίξε με workgroup..

 

To θέμα του backup είναι σημαντικό.. Μπράβο giotis1982 γιατί το θυμήθηκες ενώ όλοι το ξεχάσαμε......

Ο εξωτερικός δίσκος είναι η πιο απλή λύση, ειδικά για 30 χρήστες... Μπορείς επίσης να πάρεις ένα μικρό NAS που μπαίνουν με ethernet στο δίκτυο και να παίρνεις και backup και στους χρήστες .

[platongr]

Το AD δεν είναι wizard.

 

Από την στιγμή που είναι ένα μηχανάκι μόνο, δώσε πολύ βάση στον σωστό σχεδιασμό του AD γιατί θα τον βρεις μπροστά σου σε ότι και να κάνεις.

Το να τα θέλουν όλα γρήγορα - φτηνά - λειτουργικά χωρίς να υπάρχει σχεδιασμός είναι μεγάλο λάθος. Από την στιγμή που υπάρχει ήδη υποδομή που παίζει, δεν βρίσκω τον λόγο που βιάζονται.

 

Και γιατί 2008 και όχι 2012 ?

 

Ακολούθησε την τακτική με τα VMs που προτάθηκε πιο πάνω. Θα βγεις κερδισμένος, έστω και αν χάσεις λίγο σε performance.