 Автор |
Сообщение |
Arkan
Гуру
 |
|
Genbor
У меня базутьки скульные под 1С почти под 300 гигов
и я не програмер 1С что бы вдаваться в подробности что там и как, так как для этого есть 2 кодера специально обученных
Общался с одной известной "аля Новосибирской" компанией там базульки на настоящий момент более 1.5 Tb и это они постоянно подрезают
Эх смотрю я на эти сервера стоимостью килобаксы и как бы недопонимаю и на кой конторы подсели на эту 1С - да и пох... не будет 1С и Ms мы тогда без работы останемся, но разгребать вот это гуано уже достало
Кстати подключение принтаков при сеансе RDP и вправду не лучший вариант, я тут где то создавал тему немного подобную как это все чудно работает
Кстати не терминальнике заметил еще интересный глюк с лицензиями сервера терминала: В данный момент используются активны все 150 лицензий, новых компов не прибавлялось, (Лицензирование на устройство) но иногда бывает так что терминальник отказывается запускать даже старые устройства которые заходили ну допустим вчера нормально и в диспетчере лицензирования написанно что эти лицензии на эти устройства истекают еще не скоро |
|
 |
|
 |
Genbor
Крокодил Гена
 Предупреждений : 1
|
|
| noobas писал(а): |
| но товародвижение просто огромное |
Речь шла о количестве документов.
Arkan
База того завода, о котором я писал, весит под 400 гигов.
Полтора терабайта? С трудом себе представляю такого зверя, честно говоря (по содержательному наполнению). Хотя с другой стороны если период времени большой - то вполне себе.
У sql насколько я понял есть свойство снежного кома. Чем больше база, тем быстрее она наращивает объемы. |
|
| |
|
|
noobas
Эксперт
|
|
| Genbor писал(а): |
| Речь шла о количестве документов. |
а расходы/приходы/возвраты это разве не документы? |
|
| |
|
|
Genbor
Крокодил Гена
Предупреждений : 1
|
|
Поговорил вобщем с опытными товарищами, мне сказали что такой объем вполне реален.
Был неправ, самоликвидируюсь. |
|
| |
|
|
weer
Гуру
 Предупреждений : 2
|
|
| noobas писал(а): |
| weer писал(а): |
| диски мапятся под юзером, перезагрузка тут явно не при чем |
у всех и разом отваливаются
| weer писал(а): |
а) отказаться от использования локально подключаемых принтеров (usb). т.е. все принтеры должны быть сетевыми
б) запретить на сервере терминалов подключение принтеров клиента (через rdp)
в) поднять отдельный сервер печати, на который зацепить все сетевые принтеры
г) юзерам подключить принтеры с сервера печати по сети \\server\printer (можно развернуть политиками) |
к сожалению так нельзя ибо очень частые переезды и в центральном офисе более 300 машин |
с дисками нужно логи смотреть. не должно такого быть. может файервол какой нить сторонний установлен? например, из состава антивируса.
на серверах терминалов антивирус вообще отдельная песня - объективно можно только обычную проверку файлов включать по сигнатурам. все остальные проверки типа защита сети и т.д. вызывают проблемы.
у касперского и симантека есть отдельные манулы по инсталляции клиента на сервера терминалов - там подробно про енто расписано
по поводу принтеров - переезды решаются если принтер развернут через групповую политику. делаешь прям группы "принтер бухгалтерия кабинет 302", "принтер рекламщики кабинет 202" и т.д. переехал пользователь - переместил его в другую группу, принтер сам старый отключился, новый подключился.
| Arkan писал(а): |
| терминальник отказывается запускать даже старые устройства которые заходили ну допустим вчера нормально |
это вообще просто решается.
сервер терминалов на самом деле довольствуется фактом наличия сервера выдачи лицензий.
дык вот на сам сервер терминалов ставишь сервер лицензирования, но его не активируешь.
в настройка сервера терминалов указываешь 127,0,0,1 в качестве сервера лицензий.
работает вечно 
кстати, совершенно на легальных основаниях. на одном сервере допускается использовать комбинацию лицензий на машину и пользователя - в этом случае никакой учет корректно работать не может. если в MS по этому вопросу обратиться (как учитывать лицензии в случае комбинации машина и пользователь) - они то же самое что и я скажут - сервер лицензий поставьте, но не активируйте )))
если сейчас сервер лицензий уже установлен - удалить роль и поставить заново - записи в реестре удаляются при удалении роли |
|
| |
|
|
Arkan
Гуру
|
|
Друзья
Если кого еще интересует вопрос по поводу тормазов на терминальном сервере для 1С
Как выше говорил:
На терминальном сервере установленно несколько сетевых карточек
Две из которых в одной подсети и смотрят на разные шлюзыв инет
Два шлюза в инет обьединяют разные филиалы
На одном шлюзе крутится *nix а на другом винда в Керио
Вот так в общем получается что когда народ из филиалов наваливается на терминальникглавного офиса через Керио VPN и начинаются тормаза, при чем лечится только перезагрузкой терминального сервера
Так же терминальному серверу становится плохо когда подключаются обыкновенные удаленные пользователи именно через КериоVPN
Проделал огромный труд что бы избавиться в удаленных филиалах от лицензионной Керио, поставил *nix и уже как 2 недели все работает как часики
Отдельная благодарность weer за информацию о неактивации лицензирования сервера терминалов, вход по RDP к сожалению подольше но работает |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| Arkan писал(а): |
| вход по RDP к сожалению подольше но работает |
что-то не то, длительность логина не меняться не должна
| Arkan писал(а): |
| Керио VPN и начинаются тормаза |
ага, верно подмечено )))
либо используйте обычный vpn из состава винды (нативно, либо TMG/ISA).
либо циски
openvpn вариант плохой - мобильные девайсы с ним почти не работают. |
|
| |
|
|
Arkan
Гуру
|
|
| weer писал(а): |
openvpn вариант плохой - мобильные девайсы с ним почти не работают. |
Может и работают (не проверяли) но к огромному сожалению принцип работы OpenVPN практически такойже как у KerioVPN но там добавляются дополнительные глюки по обьединению удаленных офисов
Остановились на старом проверенном IPSEC на базе FreeBSD/Debian
Киски покупать когда есть идентичные альтернативы по функционалу не имеет смысла - лучше отдать эти мани сисадминам |
|
| |
|
|
Arkan
Гуру
|
|
| weer писал(а): |
либо используйте обычный vpn из состава винды (нативно, либо TMG/ISA).
либо циски
|
Тогда уж лучше MPD5 настроил еще с пол года назаддля удаленки IT отдела, но пользуются редко
Достоинств MPD5 вразы больше виндовой недоподелки
weer
уметь админить разные оси это в разы выгоднее для компании чем пытаться найти универсала и под винды и под *так далее*
Вспоминаю вашу фразу примерно годичной давности на данном форуме
"'это идиотизм заставлять работать сисадмина на разных платформах"
суть фразы примерно такая но смысл тот
Лично я считаю
* Это идиотизм заставлять покупать работодателя всевозможный СОФТ когда есть бесплатные альтернативы, но их надо просто уметь готовить*
P.S.
Заработал в последнем месяце на целых 5 тыс рубликов больше но оказалось что до меня какой то там хрен напокупал Kerio стоимостью почти под 40к каждая аж 8 штук
АФИГЕТЬ - мне дали премию 5к в противовес выброшенным 480к
Блин, устал, праздник, надо отдыхать, а я как обычно мыслей на работе |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| Arkan писал(а): |
| напокупал Kerio стоимостью почти под 40к каждая аж 8 штук |
маркетинг у этого керио на высоте
это получается что софт дороже циски 1800 серии стоит ))))
в данном случае учитывая кол-во офисов без вариантов надо циски ставить. скорее всего будет достаточно обычных GRE на цисках 800 серии. они стоят как системник по цене.
это я к тому, что даже если софт бесплатный - дешевле специализированный девайс купить в некоторых случаях.
под дешевле имеется ввиду стоимость владения. разовые затраты можно вообще не считать |
|
| |
|
|
Arkan
Гуру
|
|
| weer писал(а): |
| Arkan писал(а): |
| напокупал Kerio стоимостью почти под 40к каждая аж 8 штук |
маркетинг у этого керио на высоте
это получается что софт дороже циски 1800 серии стоит ))))
в данном случае учитывая кол-во офисов без вариантов надо циски ставить. скорее всего будет достаточно обычных GRE на цисках 800 серии. они стоят как системник по цене.
это я к тому, что даже если софт бесплатный - дешевле специализированный девайс купить в некоторых случаях.
под дешевле имеется ввиду стоимость владения. разовые затраты можно вообще не считать |
Мы уже решили совершенно точно
в каждом удаленном офисе ставим простенький сервачек на базе FreeBSD/Debian. точнее в большинстве уже поставили, возможностей на таком сервачке шлюзе вразы больше чем на кисках
У меня домашний шлюз уже 3 года стоит на базе Atom под FreeBSD, точнее я к нему не подхожу уже 3 года, блин я даже и пароль рутовский от него не помню и киски покупать не собираюсь, вообще не понимаю зачем покупать киски если можно сделать все и даже вразы больше на *nix |
|
| |
|
|
ProFfeSsoRr
Гуру
 |
|
| Цитата: |
openvpn вариант плохой - мобильные девайсы с ним почти не работают. |
почему же? На андроид нативный, с эпплами чуть похуже, но тоже можно замутить.
| Цитата: |
но там добавляются дополнительные глюки по обьединению удаленных офисов |
а какие? У меня все по OpenVPN и соединено (+quagga для динамической маршрутизации внутри сети, ospfd из её набора), работает |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
Arkan
срок жизни у сервера и циски совершенно разный. и количество обращений (трудозатрат по настройке и обслуживанию) тоже.
сервер работает ну максимум 3 года до первого отказа железа
циска работает по 7-10 лет.
циска без ребута работает 4-5 лет. говорят, что и больше - я лично максимум 5 лет аптайма видел
про аптаймы у псевдо-серверов не буду писать
стоимость у циски 800 серии как у системника
поддержка ipv6 есть
функционал циски даже 800 серии шире чем на обычных ОС
и так далее - перечислять можно долго.
у меня недавно такая задача была - принято было решение в офисы ставить циски 800 серии, а в центре исходя из экономии поставить программный маршрутизатор. но этот вариант был рассмотрен исходя из невозможности отказа железа на центральной точке - у нас там все зарезервировано.
| Arkan писал(а): |
| У меня домашний шлюз уже 3 года стоит на базе Atom под FreeBSD |
повезло
а) винт мог навернутся
б) ИБП потребен
в) в разы больше на осях не получится. простейшая циска 800 серии имеет функционал принципиально шире, чем iptables (ipfw, netsh
| ProFfeSsoRr писал(а): |
| Цитата: |
openvpn вариант плохой - мобильные девайсы с ним почти не работают. |
почему же? На андроид нативный, с эпплами чуть похуже, но тоже можно замутить.
|
нокия, бада, блекберри, айпл, винда - не работают с openvpn без настройки со стороны телефона (планшета)
| ProFfeSsoRr писал(а): |
| Цитата: |
но там добавляются дополнительные глюки по обьединению удаленных офисов |
а какие? У меня все по OpenVPN и соединено (+quagga для динамической маршрутизации внутри сети, ospfd из её набора), работает |
это все и на winxp можно сделать
более сложный вопрос (пример):
в 2-х офисах есть 2 канала в инет шириной 10Мбит. обычный интернет. QoS там никакой не работает.
задача: обеспечить приоритет айтпи телефонии при звонках между офисами |
|
| |
|
|
Arkan
Гуру
|
|
| weer писал(а): |
функционал циски даже 800 серии шире чем на обычных ОС
и так далее - перечислять можно долго.
в) в разы больше на осях не получится. простейшая циска 800 серии имеет функционал принципиально шире, чем iptables (ipfw, netsh
нокия, бада, блекберри, айпл, винда - не работают с openvpn без настройки со стороны телефона (планшета)
более сложный вопрос (пример):
в 2-х офисах есть 2 канала в инет шириной 10Мбит. обычный интернет. QoS там никакой не работает.
задача: обеспечить приоритет айтпи телефонии при звонках между офисами |
weer. вы просто нифига не разбираетесь в *NIX подобных системах
установите пожалуйста на вашу хвалебную киску тот же самый простецкий portsentry, я уже не буду говорить о таких монстрах как Wireshark, Snort, да блин допустим самые ходовые Iftop, Trafshow
А по поводу приоретизации трафика вы просто наверное не слышали что есть шейперы ?
всего навсего одну единственную строчку в ядро системы
options DUMMYNET
а далее можно трафиком рулить как угодно
Так что киска это просто хороший маркетинг
P.S.
я много лет назад работал в управе РЖД и как раз во время очень хорошей грозы сгорела фронтальная главная киска за много много килобаксов
Для того что бы найти и привести аналог потребовалось ровно 5 дней
Кстати несмотря на то что киску привезли на 5 день она еще пол года валялась в загашнике так как безопасник ее не пропустил
И как вы думаете как же несколько тысяч юзверей работали в это время ? |
|
| |
|
|
Arkan
Гуру
|
|
weer
Вам как любителю кисок интересная загадка
В главном офисе стоят более 30 принтеров (принтаки хорошие сетевые)
Надо запретить этим принтакам ходить самостоятельно в инет (не буду напоминать что в нормальной конторе так надо делать и для чего такое делается)
На каждом принтаке стоит свой IP и разумеется указан шлюз для того что бы из удаленных офисов подключенных туннелями народ мог печатать
Как запретить на шлюзе (киске) принтерам лазать в инет на все IP и все порты но в то же время что бы удаленные филиалы могли печатать ?
Неужели будете десятки если не сотни правил писать ? а если и будете то как ? |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
Arkan
по поводу принтеров - элементарно: загоняем их в один влан, у влана маршрут по умолчанию отсутствует, а маршруты до остальных сетей есть.
| Arkan писал(а): |
| во время очень хорошей грозы сгорела фронтальная главная киска за много много килобаксов |
| Arkan писал(а): |
| привезли на 5 день |
нехрен было дилетантам доверять установку и покупку оборудования
а) не понятно какой дегенерат грозозащиту не обеспечил
б) не понятно какой дегенерат купил подобный девайс без сервисного контракта с гарантией замены оборудования за пару часов
РЖД, чего тут говорить )))
по вопросу DUMMYNET - не смешите. это попытка заменить трактор велосипедом. этот т.н. "шейпер" годен только для работы в условиях тестовой среды для эмуляции модемного подключения.
втыкните 2 сетевые карты по 1Гбит, настройте маршрутизацию L3 между ними, дайте нагрузку и затем попробуйте обеспечить перемаркировку dscp меток на уровне L4. например, стандартная задача по телефонии: маркировать RTP трафик. учтите, что RTP по определению может использовать любые порты, и задачу можно решить только и лишь только реально проверяя содержимое пакета, т.е. производя анализ протокола.
ваш сервер загнется. ибо решение такой задачи на скорости 1Гбит не под силу процу x86 и многозадачной операционной системе.
если сервер будет более менее современным - может быть вы сможете 100Мбит прокачать в такой тестовой среде.
на атоме вы даже до 20Мбит не доберетесь
portsentry и wireshark вообще к функционалу аппаратных маршрутизаторов никакого отношения не имеют, не понятно причем они тут |
|
| |
|
|
Arkan
Гуру
|
|
| weer писал(а): |
по поводу принтеров - элементарно: загоняем их в один влан, у влана маршрут по умолчанию отсутствует, а маршруты до остальных сетей есть.
|
И локальные пользователи будут отправлять на печать через Китай ?
или вы на каждом локальном десктопе в главном офисе собираетесь еще прописывать дополнительный IP или какое там еще извращенство ?
задача что можно печатать на всех принтерах во всех удаленных офисах но в то же время запретить выходу в инет самим принтакам
Ну в общем понятно....
| weer писал(а): |
РЖД, чего тут говорить )))
|
Ну как бы согласен
| weer писал(а): |
по вопросу DUMMYNET - не смешите. это попытка заменить трактор велосипедом. этот т.н. "шейпер" годен только для работы в условиях тестовой среды для эмуляции модемного подключения.
|
Или вы вообще не в курсе как работает шейпер или вам надо просто проконсультироваться у знающий провайдеров или для начала почитать про шейпер на *NIX
| weer писал(а): |
portsentry и wireshark вообще к функционалу аппаратных маршрутизаторов никакого отношения не имеют, не понятно причем они тут |
это я о том что на сервачке под *NIX можно вразы больше чем просто пакетики гонять из одной сетки в другую
У киски есть аналоги типа Snort но у нас в Новосибирске даже самым богатым компаниям это не по корману да и смысла нет такой функционал держать на кисках и тем более на оборудовании с закрытой спецификацией и закрытыми исходниками |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
Arkan
принтеры - влан1, локальных юзеров в влан2
vpn в влан3
на каждый влан своя подсеть, между ними маршруты L3
маршрут до 0.0.0.0/0 только для влан2
вот так вот просто решается эта "мегасложная" задача при наличии маршрутизатора ^)
по поводу реализации этого функционала на базе ОС. дело не в линуксе или фряхе.
а в том, что любой супер-мега совершенный сервер не справится с задачами доступными аппаратному маршрутизатору за 15тр. у сервера него тупо быстродействия не хватит.
в винде, например, именно по этой причине VLAN не реализован на уровне ОС и требует аппаратной поддержки на уровне сетевой карты. ибо не может сервер без поддержки со стороны сетевой карты расставлять метки на скоростях 1Гбит. не успевает - хоть там винда, хоть линукс, хоть фряха.
сама по себе идея программного маршрутизатора лежит в плоскости псевдоэкономии (!!! псевдо) финансов в виде разовых затрат.
на практике аппаратные маршрутизаторы обходятся в десятки раз дешевле - они не требуют обслуживания, т.е. затрат рабочего времени. |
|
| |
|
|
Arkan
Гуру
|
|
| weer писал(а): |
принтеры - влан1, локальных юзеров в влан2
vpn в влан3
на каждый влан своя подсеть, между ними маршруты L3
маршрут до 0.0.0.0/0 только для влан2
вот так вот просто решается эта "мегасложная" задача при наличии маршрутизатора ^)
|
После такого извращенства мне больше сказать нечего (не ожидал это лично от Вас)
Что только виндузятники не придумают...
Та задача с принтерами между прочим решается одной единственной строчкой на фаерволе (это если IP адреса принтеров в строго определенном пуле последовательно)
И кстати это на кисках то же реализуется, но на кисках не за 15 т.р. (хотя может и можно)
| weer писал(а): |
по поводу реализации этого функционала на базе ОС. дело не в линуксе или фряхе.
а в том, что любой супер-мега совершенный сервер не справится с задачами доступными аппаратному маршрутизатору за 15тр. у сервера него тупо быстродействия не хватит.
в винде, например, именно по этой причине VLAN не реализован на уровне ОС и требует аппаратной поддержки на уровне сетевой карты. ибо не может сервер без поддержки со стороны сетевой карты расставлять метки на скоростях 1Гбит. не успевает - хоть там винда, хоть линукс, хоть фряха.
сама по себе идея программного маршрутизатора лежит в плоскости псевдоэкономии (!!! псевдо) финансов в виде разовых затрат.
на практике аппаратные маршрутизаторы обходятся в десятки раз дешевле - они не требуют обслуживания, т.е. затрат рабочего времени. |
Вы повидимому не видели как через 4 ядерный одноголовый обыкновенный сервачек работает более 14000 Vlan (Такое кстати было у одного из наших Новосибирских провайдеров лет этак 6 назад)
за 15000 рублей можно купить минимум 2 хороших компика для шлюзов в удаленные офисы
P.S. у меня сейчас на главном шлюзе маршрутизаторе под *NIX разумеется на фаерволе более 1300 правил, попробуйте хотя бы 600 правил запихать на киску среднего уровня, а у меня еще помимо самого фаервола там еще с десяток приложений крутится и логирование и OpenVPN и MPD5 и так далее
Выбирайте или киска за 250 тыс рублей или компик за 15 |
|
| |
|
|
noobas
Эксперт
|
|
Arkan
на работе только винда. никсы начальство не признает никаким боком, не так давно шла речь про автономную систему с использованием никсов но как то не очень хорошо восприняли
| Arkan писал(а): |
| Что только виндузятники не придумают... |
сильно. что дают с тем и работаем.
если палитика партии заключается только в винде то что делать?менять работу? |
|
| |
|
|
|
