[LEOLINER]

Здравствуйте уважаемые форумчане. Месяц назад я устроился на вторую работу в одно медицинское учреждение. И к удивлению  обнаружил там сильно запущенную IT инфраструктуру. Наниматель мне уже через три дня заявил, что тут надо провести модернизацию, я немного опешил и сказал, что надо немного времени, что бы разобраться, что тут у них к чему. Вот месяц прошёл, хотя разбираться была некогда, всё время латал перманентно возникающие неполадки и сбои. Теперь я тоже убедился, что надо что то предпринимать, но опыта в модернизации у меня пока не было. Я работал в основном в сфере интернет услуг, интернет провайдинга. Я в основном настраивал активные сетевые устройства и устанавливал и администрировал биллинговые системы. А здесь больница, два филиала, флюорография и административный корпус. Я называю местную IT инфраструктуру – «зоопарком». Короче здесь 5 зданий и они находятся далеко друг от друга, два даже в другом городе. В каждом здании по одному mikrotik, которые все объединены тоннелями GRE. Маршрутизация работает нормально и пакеты при необходимости спокойно перемещаются из одного филиала в другой. Кстати эту модернизацию произвёл предыдущий админ, дай бог ему здоровья! В общем сеть  у нас одноранговая по прежнему. В трёх филиалах я уже немного подсчитал количество оборудования, а в двух иногородних пока нет, там другой админ и вроде совсем небольшие. Короче что мы имеем: Один сервер в стоичном варианте Windows Ser 2008 r2, создаёт много проблем, один раз в неделю на нём зависает процессор и приходиться перезагружать кнопкой. Там также много неустранимых ошибок в оси. На нём крутится сервер терминалов и какая то медицинская таблица самопальная. Его под замену на другой аналогичный сервак, но там будем больше оперативы и под Windows Ser 2012 Standart. К этому серваку привязаны 20 терминальных станций Kraftway с линуксоподобной прошивкой. Также к нему обращаются другие компьютеры предприятия только ради таблицы. Когда он зависает, не только серверы терминалов страдают, но и компьютеры не могут получить доступ к таблице(она очень важна.) Затем есть также три сервера в десктопном варианте, с Windows 7 на борту и на одном даже Windows XP Pro стоит. На них антивирус DrWeb, 1С, чат Спарк и ещё что то по мелочам, до конца в них не разобрался. На предприятии имеются также 35 десктопов с очень разнообразными операционными системами Windows. В основном это Windows 7 32 раз., но немало и 64 раз. Немного есть Windows XP Pro, но со слов бывшего админа есть немного Home Edition. Есть немного ноубуков с Windows 8 классической. Ну и вишенкой на торте будет 12 неттопов  с Windows 10, редакцию не помню. Итого около 60 станций, но это не точно, ибо на двух филиалах я ещё не был. В общем основная  задача мне была поставлена- установка Windows Ser 2012 на «новый» сервак, конечно он не новый, а просто запасной, но вроде бы не был в эксплуатации. Хотят также AD замутить. Вот я и не знаю с чего начать, надо поэтапно всё вводить, постепенно, что бы не шибко нарушить работу предприятия. Что в первую очередь надо делать AD или сервер терминалов? Надо ли добавочный делать контроллер домена? Ещё у меня есть мысль нагрузить стоичный сервак побольше, так как он более надёжный. Там 16 ядерный процессор и 52 гиг оперативы. Почему бы не перенести на него десктопные три сервака? Может на этот сервак накатить Hyper-V? Короче вопросов больше чем ответов, надеюсь на ваше, хотел написать, сочуствие :), конечно же поддержку.

[lugoblin]

2 hours ago, LEOLINER said:

основная  задача мне была поставлена- установка Windows Ser 2012 на «новый» сервак, конечно он не новый, а просто запасной, но вроде бы не был в эксплуатации. Хотят также AD замутить.

Кто задачи ставит?

 

Сначала сеть, возможно с реинженерией.

Потом инфраструктурные сервисы: AD, мониторинг, виртуализация.

Потом прикладные сервисы: терминалы, файлопомойка и т.д.

 

Сочувствую.

[LEOLINER]

Задачи ставит -  менеджер по работе с персоналом и по совместительству начальник IT отдела. Но она не из сферы IT по видимому, потому что она не сильно разбираеться во всем этом. Насчёт реинжениринга сети - смысла пока не вижу, только если частично, но проверить качество каналов наверно не помешает. Самая горящая проблема у нас это сервер терминалов. У меня мысль накатить на него виртуальную машину и установить две или три операционнки и уже на них развернуть почти всю серверную архитектуру. Только в здании администрации поставить ещё отдельный контроллер домена. Стоит ли "игра свеч" с виртуальной машиной для небольшого предприятия?

[lugoblin]

51 minutes ago, LEOLINER said:

и по совместительству начальник IT отдела. Но она не из сферы IT

Сочувствую.

 

53 minutes ago, LEOLINER said:

Стоит ли "игра свеч" с виртуальной машиной для небольшого предприятия?

Да, вполне.

[Ivan_83]

7 часов назад, LEOLINER сказал:

Месяц назад я устроился на вторую работу в одно медицинское учреждение. И к удивлению  обнаружил там сильно запущенную IT инфраструктуру.

Нашёл чем удивить, вот если бы там был идеальный порядок и секурность выше банковской - вот это были бы чудеса :)

 

Начинать надо с постановки целей, потом составлять план их достижения.

 

Чтобы вообще понять что делать тебе нужна инвентаризация этой помойки, схема сети и где какие сервисы.

Пока будешь рисовать - поймёшь где узкие места и чего делать.

Так же примерно узнаешь где у тебя какие запасы есть и что прямо щас можно пустить в дело, наверняка у старого админа что то было куплено и потом не пригодилось или по другой причине не происталено.

 

Потом тебе нужен будет бюджет, потому что потому.

И поскольку это сраная госуха, то лаг между постановкой целей и реализацией может быть больше года, ибо пока деньги дадут, пока всё закупят по тендеру...

Ну и заодно "начальницу" можно дрочить: "а где новые железки?, у меня чинить нечем!"

 

Чисто из практики: очень рекомендую WSUS заиметь, прекрасно работает и без домена, ресурсов при умелом обращении жрёт мало.

Насчёт домена - я бы раз 10 подумал. Но если будешь подымать контроллер то делай это либо в отдельных виртуалках либо на самбе - так оно хотя бы бэкапится и ресторится без проблем.

И да, домен это централизация и куча проблем при потере связи. Может оказаться так что проблем от него больше чем профита.

 

Начать всегда проще со своего шлюза в инет, где то там же свой днс который умеет раздавать нужные тебе имена.

Если есть домен - лучше сразу типа в нём имена заводить, не важно будет потом контроллер домена или это так и останется днс доменом.

Ну и вот тот же всус лучше сразу по днс имени в реестр пихать.

А дальше классика: влан для манагемента, разбивка сети на вланы, принтсервера на cups.

Те нужно создавать какое то ядро сервисов куда перетаскивать народ, а старые - непонятные - кривые тушить и хоронить в кладовке.

 

Чат спарк - хз что за говно, джаббер сервер просоди, какойнить веб клиент на сервер и конверсатион в мобилы, на венду с клиентами не очень - потом браузерный нужен, на линухах dino рулит.

 

По твоим текущим пожарам ничего не скажу, разве что так же суй всё в виртуалки - это единственное средство которое помогает не переустанавливать венду после косяков или при смене железа.

Что будет хостом виртуалок - пофик, с гиперви в виртуабокс и обратно вполне можно перетащится, возможно потрахавшись с конвертацией форматов дисков.

 

Я бы в целом изживал венду на серверах и десктопах.

[Sergey Gilfanov]

10 часов назад, LEOLINER сказал:

 в одно медицинское учреждение.

 

2 часа назад, Ivan_83 сказал:

Нашёл чем удивить, вот если бы там был идеальный порядок и секурность выше банковской - вот это были бы чудеса :)

 Есть подозрение, что поскольку это медицинские учреждение - то там есть миллион регламентов, которым это должно соответствовать.

 

Например, какое-такое 

10 часов назад, LEOLINER сказал:

В каждом здании по одному mikrotik, которые все объединены тоннелями GRE. 

Там сертифицированного криптошлюза с российской криптографией не должно быть? А ОС-ы и ПО на машинах? Тоже, поди, конкретных билдов конкретных программ, которые когда-то были так же сертифицированы для использования и ставить другие нельзя под страхом всяческих наказаний. Хотя они уже насквозь дырявые.

[Sergey Gilfanov]

2 часа назад, Ivan_83 сказал:

По твоим текущим пожарам ничего не скажу, разве что так же суй всё в виртуалки - это единственное средство которое помогает не переустанавливать венду после косяков или при смене железа.

Что будет хостом виртуалок - пофик, с гиперви в виртуабокс и обратно вполне можно перетащится, возможно потрахавшись с конвертацией форматов дисков.

Причем даже на локальных рабочих местах. Всякий древний специализированный софт, который исключительно на  Windows XP работает (и любой другой не новой ОС) загоняешь в образ и запускаешь в Virtual Box (при известном желании - с Linux в качестве хоста) прямо на рабочем месте (конвертируешь, разумеется, не руками, а купив что-нибудь вроде такого). Тут может быть сложности, если софт хочет низкоуровнего доступа к какому-нибудь железу. Но все что можно так перенести - надо переносить. И бакапить прямо этими образами.

 

2 часа назад, Ivan_83 сказал:

Я бы в целом изживал венду на серверах и десктопах.

Иван, ты когда-нибудь софтины от вендоров дорогих не-IT-ных железок видел? Никуда ты винду не денешь. Так и будет жить до физической смерти той железки, которая ей управляться должна. Т.е. ешё лет 15-20.

[jffulcrum]

@LEOLINER Учреждение гос или частное? Если гос - сильно инвестировать бабло и время в текущую инфраструктуру нецелесообразно, ибо заставят переделывать или воообще придет интегратор, выигравший тендер.

 

По остальному:

11 часов назад, LEOLINER сказал:

Там 16 ядерный процессор и 52 гиг оперативы.

Можете поточнее о железе? Ставить Ws2012 сейчас бесполезно, ему жизни осталось год с небольшим. Только если железо старое для 2019, тогда лучше бесплатный VmWare ESX попробовать. Однозначно виртуализация необходима. Имеющиеся железные сервера перегоняются в виртуальные или бесплатным конвертером от MS или Starwind, или банально утилитой Disk2vhd. 

 

11 часов назад, LEOLINER сказал:

К этому серваку привязаны 20 терминальных станций Kraftway с линуксоподобной прошивкой.

Тут надо в поддержку вендора стукаться, ибо в таких решениях запросто может быть древний RDP клиент и новые версии служб терминалов может не поддерживать (особенно в свете перехода на SHA-2 для сертификатов). В лучшем случае клиентов удастся перепрошить на новую версию, в худшем - виртуалку терминалного сервера придется на 2008 так и тащить.

 

12 часов назад, LEOLINER сказал:

чат Спарк

Это клиент, серверная часть, скорее всего, называется OpenFire. Вам надо ее найти и посмотреть размер базы данных, если больше 4 Гб - надо будет менять на что-то еще, или ставить заново, старый оставив как архив.

 

12 часов назад, LEOLINER сказал:

Надо ли добавочный делать контроллер домена?

Обязательно нужны два контроллера. Желательно, не на одном физ.сервере, или можно получить проблему курицы и яйца (не включайте хост Hyper-V в домен хотя бы). Если будут контроллеры в филиалах - делать сайты в AD по IP-подсетям.

 

 

 

[Ivan_83]

6 часов назад, Sergey Gilfanov сказал:

Иван, ты когда-нибудь софтины от вендоров дорогих не-IT-ных железок видел? Никуда ты винду не денешь. Так и будет жить до физической смерти той железки, которая ей управляться должна. Т.е. ешё лет 15-20.

Я же написал где можно там и изживать, а где низя - ну и ладно.

Я даже не предложил упарыватся с вайном на линухе, подозреваю не тот уровень :)

Вендора можно спросить, может чего получше уже написали.

 

17 часов назад, LEOLINER сказал:

Там 16 ядерный процессор и 52 гиг оперативы.

Тек себе сервер, у меня дома десктоп с 8 ядрами и 64 гб оперативы %)

Через год-полтора будет как раз 16 ядер :)

Конечно такое потянет с десяток лёгкиких виртуалок, но нужно иметь какой то запас на случай когда этот Галлиаф помрёт :)

[Sergey Gilfanov]

10 минут назад, Ivan_83 сказал:

Вендора можно спросить, может чего получше уже написали.

А то как же. И новую железку придумали. И то и то много-много денег стоит. И его с удовольствием продадут. Но пока запланированный срок службы у железки не выйдет и пока она окончательно не умрет- никто ничего заменять не будет. Legacy, завязанное на агрегат, который в физическом мире что-то умеет - оно самое злобное. Потому что прибор денег стоит.

[LEOLINER]

10 часов назад, Ivan_83 сказал:

Я бы в целом изживал венду на серверах и десктопах.

Там просто бюджетное медицинское учреждение. Там на декстопах невозможно полностью изжить винду. Там в основном работают женщины, даже старушки есть. Они дальше рабочего стола виндоус не понимают.

[LEOLINER]

Спасибо за ответы уважаемые жители форума. Но сегодня, я узнал новость которая оказалась для меня сюрпризом. Пока я тут, всеми силами пытаюсь оживить старое железо, словно некромант. Я вдруг узнаю в последнюю очередь, что через неделю в нашем зоопарке пополнение скоро будет. Через неделю должен прибыть новый сервак, с нихрена неизвестной конфигурацией. И якобы там будет уже предустановленная ОС Windows 2019, неизвестно какой редакции. Вот  так сюрприз. Также прибывают 7 десктопов с предустановленной отечественной осью РЕД.  Пока только семь, а почему не 70? Что бы раз и навсегда заменить, на что то однообразное. так нет же будет долго и мучительно больно. Кстати 12 неттопов с Windows 10, оказались Home, вроде бы их нельзя добавить в домен. Да сдаётся мне с доменом нам не светит. Может какие нибудь аналогиии есть?

[TriKS]

Ран Форест, ран оттуда!

Медконтора - бюджетная. То что происходит с новым сервером - попил госбабла. Смотри чтоб на тебя потом не списали растрату госбабла.

[sdy_moscow]

1 час назад, TriKS сказал:

... Смотри чтоб на тебя потом не списали растрату госбабла.

Главное ничего не подписывать, кроме зарплатной ведомости :-).

[lugoblin]

2 hours ago, LEOLINER said:

Через неделю должен прибыть новый сервак, с нихрена неизвестной конфигурацией. И якобы там будет уже предустановленная ОС Windows 2019, неизвестно какой редакции.

О, повод для внутреннего расследования! Постарайтесь выяснить, кто покупал, когда, зачем, по каким критериям выбирал. Это поможет понять, куда бы его половчее приспособить.

 

[jffulcrum]

2 часа назад, LEOLINER сказал:

Кстати 12 неттопов с Windows 10, оказались Home, вроде бы их нельзя добавить в домен. Да сдаётся мне с доменом нам не светит.

Членами домена быть не смогут. Но доступ к ресурсам домена с них получать возможно.

 

2 часа назад, LEOLINER сказал:

Через неделю должен прибыть новый сервак, с нихрена неизвестной конфигурацией. И якобы там будет уже предустановленная ОС Windows 2019, неизвестно какой редакции. Вот  так сюрприз. Также прибывают 7 десктопов с предустановленной отечественной осью РЕД.  Пока только семь, а почему не 70? Что бы раз и навсегда заменить, на что то однообразное. так нет же будет долго и мучительно больно.

Ну, я про это первым делом и предупредил - не инвестируйте много сил и средств, завтра поступят новые вводные. Радуйтесь, что что-то дают. 

 

ОС РЕД - https://redos.red-soft.ru/ .Судя по всему, клон Red Hat. Не известно, насколько порезанный, но в целом норм, опять же можно использовать совместно с доменом AD - клиент есть или можно относительно безболезненно доставить.

[Ivan_83]

21 час назад, Sergey Gilfanov сказал:

А то как же. И новую железку придумали. И то и то много-много денег стоит. И его с удовольствием продадут.

Это не означает что нужно сидеть и молча жрать с лопаты что есть.

Спрашивать надо, всякое бывает, в том числе контракты на поддержку с обязательствами тоже могут быть, как и бесплатные апдейты.

 

 

20 часов назад, LEOLINER сказал:

Там просто бюджетное медицинское учреждение. Там на декстопах невозможно полностью изжить винду. Там в основном работают женщины, даже старушки есть. Они дальше рабочего стола виндоус не понимают.

 

19 часов назад, LEOLINER сказал:

Также прибывают 7 десктопов с предустановленной отечественной осью РЕД.

Что дадут - то и будут использовать. :)

Если основная работа делается через браузер - научатся и линуксу.

[LEOLINER]

2 часа назад, Ivan_83 сказал:

Что дадут - то и будут использовать. :)

Если основная работа делается через браузер - научатся и линуксу.

Это будет ещё то веселье! Там в инструкции к пользователям РЕД ос предлагается пользователю использовать интерпретатор, вот будет ржака. А скорее всего мне будет не до веселья, буду бегать по юзерам ,на клавиши им жмакать.

[Ivan_83]

Видосики на ютубе посмотрят как куда нажимать, а то так можно дожить что и уколы тебе ставить придётся пациентам, и полы мыть и операции делать.

[LEOLINER]

В 10.11.2020 в 14:33, Ivan_83 сказал:

"И если это вторая работа и с таким графиком посещения, то сомневаюсь, что вы вывезете такой объем."

Да вы полностью правы, там надо два или три человека, что бы всё это потянуть на первоначальном этапе. Короче всё время в основном занимался настройкой VPN каналов для удалёнщиков и настройкой доступа к ресурсам. Настраивал удалёнку по UltraVNC, а также систематизировал сохранение паролей и логинов и ip адреса немного разложил по полочкам, но не до конца. Так же постоянно ломались принтеры, я замучился их таскать. оказалось, что ЛВС функционирует очень плохо, она постоянно флудит и штормит слегка. В каждой серверной по одному умному коммутатору, а дальше какой то хелл из неуправляемых свитчей, скотч-локов, скруток и повторителей. Несколько раз уже приходилось проводить траблшутинг и никаких тебе бирок в помощь. Из стратегических задач, во время затишья, запасной сервак Kraftway, успел привести в порядок. Пыль сдул с него, проверил четыре винта викторией(состояние новых), накатил на него Hyper-V 2019, настроил естественно, но ни одну ось не удалось установить, опять началось всё сыпаться. Сегодня наконец прибыло много нового оборудования: сервак Dell с Windows 2019 Stadart, 10 моноблоков с RED OS(вместо пяти) , один дали на изучение, 5 системников с Windows 10 Pro. Один системник дали мне, там 6 ядер, 16 гиг оперативы, ssd 256 гиг и винт на терабайт. Я уже начал на него устанавливать нужные мне утилиты и проги, но потом его забрали, сказали это для руководства. А мне так компа не выдали, бегаю с нетбуком своим. Сегодня у моей начальницы были наполеоновские планы, я должен был не только в кратчайшие сроки решить текущие задачи. но и должен был проверить сервак на работоспособность, я его даже распаковать не успел, начать менять терминалы в лаборатории на моноблоки с RED OS, но ей этого было мало и она всё грузила меня дополнительной: надо говорит пробежаться по всем филиалам и кабинетам и обнаружить все неуправляемые свитчи. В итоге я текущие задачи выполнил, а на самое интересное время не осталось. В итоге эта дура начала меня прессовать, скорость говорит включай, а сказал ей просто, что мне надо давать чёткие задачи, а не размытые формулировки. После этого её переклинило и она уволила меня с психу. Короче три дня дорабатываю и всё. Единственное, что за эти три дня хочу сделать, это установить сервер терминалов на виртуальную машину и ознакомится с РЕД ос и новым серваком.

[Ivan_83]

Это же госуха, уволить просто так - не просто, там трудовая инспекция и тп.

 

И та цитата - не моего авторства.

[LEOLINER]

Это цитата с киберфорума, всё верно, но меня просто не оформляли

[Ivan_83]

2 минуты назад, LEOLINER сказал:

Это цитата с киберфорума, всё верно, но меня просто не оформляли

Так это тоже нарушение.

[edo]

что-то мне кажется, что если с этим нарушением пойти в суд, то бывшее начальство будет бегать и взятку предлагать )))

[jffulcrum]

@LEOLINER Соболезную.