Daca se pricepe careva si imi poate da si mie unele indicatii la administrare de Win2kServer, please do tell! 10x!
Daca se pricepe careva si imi poate da si mie unele indicatii la administrare de Win2kServer, please do tell! 10x!
in ce context? server de aplicatie, DC, fileserver? details please.Originally Posted by rasheedkpenny
Sa zicem Domain Controller si File server... as avea nevoie de niste tips-uri si/sau recomandari de orice fel! Any idea?
ok best practices:
instalare scriptata
permisiuni file level si nu share level
swapfile pe disc separat daca se poate (performanta)
mirroring la partitia de sistem (la nivel de controller RAID daca se poate)
pentru data storage RAID 1+0 sau 0+1 (in functie de ce downtime e acceptabil)
etc.
majoritatea tipsurilor sunt strict dependente de enviromentul in care sistemul e utilizat, de numarul de useri, de security policy, downtimeuri acceptabile etc.
adica tips la obiect utilizabile poti sa-ti dau cind imi spui ceva mai exact cite ceva despre enviromentul in care vrei sa folosesti serverul
permisiuni file level si nu share level - am sa ma gandesc... oricum e in functie de nevoie de pe aici
swapfile pe disc separat daca se poate (performanta) - swap il fac pe acelasi disc, eventual schimb pe alta patitie cu spatiu mai mare, desi cam tot acolo e fiind pe acelasi disk!!!
mirroring la partitia de sistem (la nivel de controller RAID daca se poate)
pentru data storage RAID 1+0 sau 0+1 (in functie de ce downtime e acceptabil)
etc. - este deja un RAID pe server, am luat 2 HDD-uri noi Western Digital 40GB JB (stiu ca e cam putin, dar de 80 nu aveam bani la mine, iar de 60 nu aveau pe stoc).
Calculatoarele sunt intr-o retea lite un win2000server cu 6-7 workstation-uri XP(maxim 10 in urmatorul an). In prezent e File Server(share-uri personale + transfer + diferite alte foldere partajate), dar in curānd o sa fie si E-mail Server, cu host pentru o pagina web fara server-side scripting! Merge cam greu cu fisierele, dar sper ca de la trecerea pe noile HDD_uri sa mearga mai bine!
Intentionez sa pun pe server o unitate de back-up pe TAPE de 20/40GB sau mai mult... si sa mai iau un Firewall hardware! Inca ma mai gandesc!
Ce zici?
intotdeauna permisiunile trebuiesc controlate la nivel de sistem de fisiere (NTFS, UFS, whatever).permisiuni file level si nu share level - am sa ma gandesc... oricum e in functie de nevoie de pe aici
daca-i acelasi disc, cam tot pe-acolo esti. vezi sa nu mirrorui si swap area ca nu face sens.swapfile pe disc separat daca se poate (performanta) - swap il fac pe acelasi disc, eventual schimb pe alta patitie cu spatiu mai mare, desi cam tot acolo e fiind pe acelasi disk!!!
RAID hard sau soft? ca de-i soft nu-ti prea foloseste f. mult. sa zicem ca crapa discul de pe care booteaza serverul. inseamna ca trebuie sa bootezi cu o discheta ce are un loader care arata spre discul 2 (mirror), dupa care spargi mirrorul si-l refaci. deci nu scapi fara reboot. cred ca controlerele RAID (Promis?) IDE care stiu si hardware RAID 0,1,5 si stiu si hotswapping. daca in schimb e acceptabil downtime-ul, e bun si soft.este deja un RAID pe server, am luat 2 HDD-uri noi Western Digital 40GB JB (stiu ca e cam putin, dar de 80 nu aveam bani la mine, iar de 60 nu aveau pe stoc).
eu l-as face domain controller (si as face pe draq-n patru sa mai fac rost de inca un server ca backup) si as tine home-urile tuturor userilor pe server. in acest mod ai centralizat si backup-ul si nu trebuie sa backupui workstationurile regulat, plus poti sa-i lasi cu disc micut. poti rula si un mailserver pe el (daca te incapatinezi la exchange 2000 vezi macar sa aibe suficienta memorie).Calculatoarele sunt intr-o retea lite un win2000server cu 6-7 workstation-uri XP(maxim 10 in urmatorul an). In prezent e File Server(share-uri personale + transfer + diferite alte foldere partajate), dar in curānd o sa fie si E-mail Server, cu host pentru o pagina web fara server-side scripting! Merge cam greu cu fisierele, dar sper ca de la trecerea pe noile HDD_uri sa mearga mai bine!
ce n-as face nici pentru un million e, sa pun server web pe el.
orice-ai face:
1. tine serverul web pe un calculator separat (nici macar sa nu fie membru in domeniu)
2. fa-ti o zona demilitarizata unde tii serverul web. adica iei un router/firewall cu minim 3 network devices din care unul e uplinkul catre net, al doilea-i catre LAN-ul in care-s userii si al 3-lea-i catre zona demilitarizata unde sta webserverul. acu poti defini reguli separate pe firewall pentru LAN si nu trebuie sa faci compromisuri de securitate pentru conexiuni inbound catre serverul de web (habar n-am ce vei rula pe el de aceea generalizez).
depinde de firewall. daca nu-i pentru acasa (eu am un router/firewall de la Draytek care-mi ajunge cu 10 reguli configurabile) as zice pune un linux sau un BSD pe un PII mai vechiut si fa-ti firewallul tau dupa necesitatile tale proprii. plus softul e free (daca nu te-ncapatinezi sa cumperi un checkpoint).Intentionez sa pun pe server o unitate de back-up pe TAPE de 20/40GB sau mai mult... si sa mai iau un Firewall hardware! Inca ma mai gandesc!
chestia cu tape-driveul e intr-adevar necesara. vezi sa-ti verifici din cind in cind backupurile daca se mai pot citi. cel mai bine-i sa ai un calculator de rezerva (ce seamana cu serverul) pe care macar o data pe luna incerci sa faci un full-restore al serverului. poti numi ziua "monthly backup day". desi daca ai date importante e imperativ sa faci periodic asa ceva, mai nimeni nu se-arunca oricit as predica
//intotdeauna permisiunile trebuiesc controlate la nivel de sistem de fisiere (NTFS, UFS, whatever).
- Adica?
RAID hard sau soft?
- RAID-ul e hard... e un controller pe PCI
//eu l-as face domain controller (si as face pe draq-n patru sa mai fac rost de inca un server ca backup) si as tine home-urile tuturor userilor pe server. in acest mod ai centralizat si backup-ul si nu trebuie sa backupui workstationurile regulat, plus poti sa-i lasi cu disc micut. poti rula si un mailserver pe el (daca te incapatinezi la exchange 2000 vezi macar sa aibe suficienta memorie).
- E domain Controller, si home-urlie userilor sunt pe server... totusi nu pot impiedica lumea sa nu-si salveze chestii pe calculatorul personal, si nici nu ma incanta prea mult incarcarea serverului!
E pus deja exchangeul si am 512 MB de memorie... probabil voi upgrada la 1024 ca sa fie!
//ce n-as face nici pentru un million e, sa pun server web pe el.
orice-ai face:
1. tine serverul web pe un calculator separat (nici macar sa nu fie membru in domeniu)
2. fa-ti o zona demilitarizata unde tii serverul web. adica iei un router/firewall cu minim 3 network devices din care unul e uplinkul catre net, al doilea-i catre LAN-ul in care-s userii si al 3-lea-i catre zona demilitarizata unde sta webserverul. acu poti defini reguli separate pe firewall pentru LAN si nu trebuie sa faci compromisuri de securitate pentru conexiuni inbound catre serverul de web (habar n-am ce vei rula pe el de aceea generalizez).
- ma gandesc la ce ai propus tu... desi daca fac un site simplu-simplu oare se baga baietii sa-l sparga??? Nu pun date sensibile in spate! Ma mai gandesc...
//depinde de firewall. daca nu-i pentru acasa (eu am un router/firewall de la Draytek care-mi ajunge cu 10 reguli configurabile) as zice pune un linux sau un BSD pe un PII mai vechiut si fa-ti firewallul tau dupa necesitatile tale proprii. plus softul e free (daca nu te-ncapatinezi sa cumperi un checkpoint).
- Am deja un firewall Linux si e ok... cred! Dar m agandeam si al un firewall hardware fiind mai greu de trecut! Cred!
//chestia cu tape-driveul e intr-adevar necesara. vezi sa-ti verifici din cind in cind backupurile daca se mai pot citi. cel mai bine-i sa ai un calculator de rezerva (ce seamana cu serverul) pe care macar o data pe luna incerci sa faci un full-restore al serverului. poti numi ziua "monthly backup day"
- Aha... am bagat la cap! Un calc de rezerva ce seamana cu serverul mai greu de gasit, dar o sa ma descurc eu cumva!
Alte sugesti mai ai? 10x a lot... so far!
Last edited by rasheedkpenny; 2nd December 2003 at 14:53.
adica nu-ti fa viata usoara lasind permisiunile NTFS pe disk RWXD la everybody si RX pe share.//intotdeauna permisiunile trebuiesc controlate la nivel de sistem de fisiere (NTFS, UFS, whatever).
- Adica?
atunci uita ce-am zis de mirroruit-ul swap-ului, daca n-ai un al 3-lea disk oricum nu conteaza.- RAID-ul e hard... e un controller pe PCI
ii poti impiedica, setind permisiunile pe workstation-uri ca atare, dar poate-i suficient sa le zici, ce nu-i pe server nu se backupuie si de pierd datele salvate local, ghinionul lor. totul e sa ai suficient spatiu pe server. data-store-ul parca nu l-as mirrorui daca uptime-ul nui critic, mai degraba l-as pune pe un raid 0 (cistig spatiu+viteza) impreuna cu un backup agressiv.- E domain Controller, si home-urlie userilor sunt pe server... totusi nu pot impiedica lumea sa nu-si salveze chestii pe calculatorul personal, si nici nu ma incanta prea mult incarcarea serverului!
E pus deja exchangeul si am 512 MB de memorie... probabil voi upgrada la 1024 ca sa fie!
512 la 10 useri ar trebuie sa ajunga. chiar si cu exchange 2000.
depinde de firewall. eu nu prea-s fan firewalluri hard, paraca-i mai flexibil un linux. am totusi unul acasa din motive de economie de curent (tot timpul pornit, fara sursa ventilata).- Am deja un firewall Linux si e ok... cred! Dar m agandeam si al un firewall hardware fiind mai greu de trecut! Cred!
cind te sparge script-kiddie-ul nu te sparge ca vrea raportul EBITA pe cvartal al companiei inainte sa se publice la bursa ca sa stie daca sa vinda sau sa cumpere actiuni. te sparge ca-i trebuie unul sau mai multe calculatoare de pe care sa faca prostii. crede ma, nu vrei ca de pe IP-ul tau sa-ncerce unul sa sparga whitehouse.gov.- ma gandesc la ce ai propus tu... desi daca fac un site simplu-simplu oare se baga baietii sa-l sparga??? Nu pun date sensibile in spate! Ma mai gandesc
daca netcraft ii spune IIS e ca si cum ai umbla cu un afis pe care scrie "kick me" pe spate. acu daca tot pui IIS, netcraft o sa spuna "IIS" chit ca-i in LAN sau in DMZ, dar macar poti defini alte policy-uri pentru LAN pe firewall.
oricum pe serverul de web n-as pune IIS fara un motiv al draq' de intemeiat.
faptul ca site-ul e simplist si ca nu-i nimic important acolo nu te protejeaza cu nimic. l-au spart si pe IIS-ul nostru de craciuni anu' trecut (n-ascultat nimeni cind am zis "hai sa-l inlocuim cu un BSD") si au folosit spatiul pe disc ca storage pt. warez. daca alt bai n-au facut a fost sificient sa incarce factura de internet prin traffic aditional (8G de warez is 8G traffic minim).
adica nu-ti fa viata usoara lasind permisiunile NTFS pe disk RWXD la everybody si RX pe share.
ok.. am bagat la cap!
ii poti impiedica, setind permisiunile pe workstation-uri ca atare, dar poate-i suficient sa le zici, ce nu-i pe server nu se backupuie si de pierd datele salvate local, ghinionul lor. totul e sa ai suficient spatiu pe server. data-store-ul parca nu l-as mirrorui daca uptime-ul nui critic, mai degraba l-as pune pe un raid 0 (cistig spatiu+viteza) impreuna cu un backup agressiv.
512 la 10 useri ar trebuie sa ajunga. chiar si cu exchange 2000.
la workstation am lasat userii drept admini... de fapt asa erau cand am preluat eu toata chestia! cred ca ar trebui sa o schimb!
Despre useri... o sa fie sensibil mai multe adrese de e-mail... eu zpreciez ca o sa ajunga pe la vreo 15-16, desi asta nu schimba cu mult datele problemei!
depinde de firewall. eu nu prea-s fan firewalluri hard, paraca-i mai flexibil un linux. am totusi unul acasa din motive de economie de curent (tot timpul pornit, fara sursa ventilata).
si eu am aici tot un linux ca firewall... totusi ma gandeam la ceva de care sa ma pot apropia mai repede(stiu 0 linux... ca sa sa-ti faci o idee!); Firewall-ul asta are o interfata http destul de intuitiva, deci nu pune totusi probleme deosebite!
cind te sparge script-kiddie-ul nu te sparge ca vrea raportul EBITA pe cvartal al companiei inainte sa se publice la bursa ca sa stie daca sa vinda sau sa cumpere actiuni. te sparge ca-i trebuie unul sau mai multe calculatoare de pe care sa faca prostii. crede ma, nu vrei ca de pe IP-ul tau sa-ncerce unul sa sparga whitehouse.gov.
daca netcraft ii spune IIS e ca si cum ai umbla cu un afis pe care scrie "kick me" pe spate. acu daca tot pui IIS, netcraft o sa spuna "IIS" chit ca-i in LAN sau in DMZ, dar macar poti defini alte policy-uri pentru LAN pe firewall.
oricum pe serverul de web n-as pune IIS fara un motiv al draq' de intemeiat.
faptul ca site-ul e simplist si ca nu-i nimic important acolo nu te protejeaza cu nimic. l-au spart si pe IIS-ul nostru de craciuni anu' trecut (n-ascultat nimeni cind am zis "hai sa-l inlocuim cu un BSD") si au folosit spatiul pe disc ca storage pt. warez. daca alt bai n-au facut a fost sificient sa incarce factura de internet prin traffic aditional (8G de warez is 8G traffic minim).
Hmm... si cum trece de firewall? Eu setez acces de pe firewall pe porturile pe care vreau eu! Momentan e doar mail! Daca pun si portul de http ma hack-uieste cu un script zici? Explica-mi mai bine procesul asta, daca poti! ok? 10x!
Tu unde locuiesti? In State sau in Ro? Vad ca esti fac hochei! Right?
http://www.koreworks.com/text/online/worm.htmlHmm... si cum trece de firewall? Eu setez acces de pe firewall pe porturile pe care vreau eu! Momentan e doar mail! Daca pun si portul de http ma hack-uieste cu un script zici? Explica-mi mai bine procesul asta, daca poti! ok? 10x!
citeste articolul, se explica principul cum functioneaza un worm de tip code red.
e scris mai bine decit as putea explica eu.
in europa (germany).Tu unde locuiesti? In State sau in Ro? Vad ca esti fac hochei! Right?
fan Pittsburgh Penguins (desi e cam greu deocamdata)
http://www.koreworks.com/text/online/worm.html
citeste articolul, se explica principul cum functioneaza un worm de tip code red.
e scris mai bine decit as putea explica eu.
am citit... ce pot sa zic decat ca e interesant! Imi da de gandit putin!
in europa (germany).
fan Pittsburgh Penguins (desi e cam greu deocamdata)
I see... si e bine in Germania? In ce oras stai?
De ce e greu sa fii fan Pittsburg Penguins? Nu mai joaca asa de bine? Lemieux mai joaca la ei?
Mi-am dat seama ca mai am 2 intrebari:
1) Care e faza cu adresa de mail: postmaster@numedomeniu.ro creata automat pentru contul de Admin? Eu am inteles ca e o adresa care trebuie sa existe in caz ca cineva face spam de pe o adresa a domeniului meu.
2) Dupa cumpararea, inregistrarea domeniului, configurarea Exchange-ului pot sa trimi si sa primesc mail-uri interne, pot sa trimit mail-uri externe, dar nu pot sa primesc mail-uri externe! Sa fie oare ca inca nu s-a propagat domeniul? Hmm...
10x a lot man... Iti sunt dator bigtime! Daca mai am alte intrebari sa le postez aici?
Mainz/RheinI see... si e bine in Germania? In ce oras stai?
De ce e greu sa fii fan Pittsburg Penguins? Nu mai joaca asa de bine? Lemieux mai joaca la ei?
merge prost deocamdata. alaltaieri l-au vindut pe Straka, ultimul jucator de calibru NHL in afara de Lemieux (care-i accidentat), payroll-ul e la 22 mil. cel mai mic din NHL si tot vor avea 3 mil. pierderi anu' asta. dar vine la anu' CBA nou si sa vedem ce se poate dupa aceea...
1. nu stiu sigur ca nu-s specialist de exchange 2000 dar uita-te in lista de mailboxuri si vezi acolo daca exista vreun cont "postmaster" sau nu.Mi-am dat seama ca mai am 2 intrebari:
1) Care e faza cu adresa de mail: postmaster@numedomeniu.ro creata automat pentru contul de Admin? Eu am inteles ca e o adresa care trebuie sa existe in caz ca cineva face spam de pe o adresa a domeniului meu.
2) Dupa cumpararea, inregistrarea domeniului, configurarea Exchange-ului pot sa trimi si sa primesc mail-uri interne, pot sa trimit mail-uri externe, dar nu pot sa primesc mail-uri externe! Sa fie oare ca inca nu s-a propagat domeniul? Hmm...
nu cred ca-i obligatoriu sa ai o adreasa (obligatoriu-i daca exista vreo lege romanesca altfel e optional) de mail valida pt. complaints. dar daca ai una, de obicei e listata in SOA cind se creaza zona pentru domeniul respectiv pe nameserver.
2. pot fi mai multe motive dar presupun ca mail exchanger-ul (nu exchangE!!) zonei bate undeva in neant. fa din internet(vezi sa nu-ti intrebi nameserverul intern) un nslookup cu set type=MX si vezi daca MX-ul zonei domeniului respectiv bate pe IPul serverului de mail (sau al routerului in cazul in care faci port forwarding).
alternativ zi-mi numele domeniului si ma uit eu.
Ti-am trimis un mesaj...
Can u help me?
Posting Permissions
Reply With Quote