[Ugnich Anton]

Ugnich Anton, Чем нагружать? Расскажите. Чтобы получить объективные результаты.

Нужна программа, которая сможет полностью забить гигабитный канал мелкими пакетами. Mikrotik не подходит. На 100 мбитах ещё ничего, а на гигабите пишет фигню всякую, даже не рядышком.

Одной программы мало будет. Надо флудить с нескольких компьютеров, на каждом из которых канал не уже, чем у сервера. Если на сервере 1Гбит, то и на компьютерах должны быть 1Гбит.

В качестве источника флуда - вирусы, всякие сканнеры, DoS-еры. Главное, чтобы думало меньше, а отсылало больше.

 

З.Ы. Очень интересно было бы посмотреть, если в момент какой-нить DoS-атаки на ваш роутер, вы бы пытались что-то сделать фаерволом, а ваш виндовз пытался хоть как-то обрабатывать пакеты и в муках рожать очередное окошко с настройками фаервола. :)

З.Ы.Ы. Ничего плохого в ваш адрес! ;)

[jab]

З.Ы. Очень интересно было бы посмотреть, если в момент какой-нить DoS-атаки на ваш роутер, вы бы пытались что-то сделать фаерволом, а ваш виндовз пытался хоть как-то обрабатывать пакеты и в муках рожать очередное окошко с настройками фаервола. :)

З.Ы.Ы. Ничего плохого в ваш адрес! ;)

 

Ну если учесть что в 2003 - немного покоцанный ip-стек от freebsd,

и ipfw есть для желающих, то ничего страшного. :-)

[jab]

А вот если на него каким-то rdesktop-ом ходить и активно там таскать окошки - то тогда

да. :-) Тогда оно колом встает.

[Dmitriy_Kolesnikov]

А вот если на него каким-то rdesktop-ом ходить и активно там таскать окошки - то тогда  

да. :-) Тогда оно колом встает.

А это смотря какие приоритеты у процессов... Если у RRAS будет приоритет ниже среднего, а у службы RDP - выше среднего, то окошки будут весьма резво таскаться...

[jab]

А это смотря какие приоритеты у процессов... Если у RRAS будет приоритет ниже среднего, а у службы RDP - выше среднего, то окошки будут весьма резво таскаться...

 

Ага, окошки за счет форвардинга. :-)

[Dmitriy_Kolesnikov]

Почему бы и нет. Я RDP редко пользуюсь, но когда я на сервере, конфигурирую его через удалённый рабочий стол, производительность маршрутизации можно временно снизить.

[Ugnich Anton]

Почему бы и нет. Я RDP редко пользуюсь, но когда я на сервере, конфигурирую его через удалённый рабочий стол, производительность маршрутизации можно временно снизить.

Позвонить флудерам, попросить перерыв сделать? :)

 

Завязывайте с этими виндовсами... Как бы хороша ни была их техническая реализация, они идеологически не подходят для нужд провайдинга.

[Dmitriy_Kolesnikov]

Идеологически виндовсы ничем не хуже юниксов, просто имеют дополнительные возможности, которые в ДС мало используются.

 

А у нас, например, единая аутентификация на базе Active Directory (доступ в инет, доступ на файл-серверы, чат Jabber, почтовый сервер...) Без крайнего гимора то же на юниксе не настроишь.

[jab]

Идеологически виндовсы ничем не хуже юниксов, просто имеют дополнительные возможности, которые в ДС мало используются.

 

А у нас, например, единая аутентификация на базе Active Directory (доступ в инет, доступ на файл-серверы, чат Jabber, почтовый сервер...) Без крайнего гимора то же на юниксе не настроишь.

 

:))))))))))))))))))))))

На юниксе все это без гимора настраивается лет десять как. :-)

[jab]

А вот держать 10-20 тысяч аккаунтов на винде - это да, это весело. :-)

[Dmitriy_Kolesnikov]

jab, Дыразве? Единая аутентификация? На основе OpenLDAP, наверное?

[Disease]

Ugnich Anton, Чем нагружать? Расскажите. Чтобы получить объективные результаты.

Нужна программа, которая сможет полностью забить гигабитный канал мелкими пакетами. Mikrotik не подходит. На 100 мбитах ещё ничего, а на гигабите пишет фигню всякую, даже не рядышком.

 

на nix: ping -f [ip]

[jab]

jab, Дыразве? Единая аутентификация? На основе OpenLDAP, наверное?

 

В том числе и LDAP. :-)

[jab]

Про керберос видать виндузятники ничего не слышали. :-)

[jab]

Вот только одна загвоздка, при единой аутентификации скомпроментировав аккаунт

злоумышленник получает доступ ко _ВСЕМ_ данным пользователя. :-) А при дискретной

аутентификации - только к одному сервису.

[ShumBor]

ShumBor, Чтобы увязать, рекомендую использовать схему с NBMA-маршрутизаторами. Работает отлично. В режиме же Broadcast определяет соседей не всегда.

Да вот проблема в том что квагга у нас на мультикасте пашет и переписывать некогда/работает - не трож!/. Точнее сказал напарник: "Я ради этого поделия переписывать конфиги не буду. Пусткай ставять кошку либо нормальную ось." Я конечно поставил себе винду в виртуалье поковыряться, но я лучше линух/фрю воткну чем буду иметь гимор с виндовым rasом. Просто он уже надоел своими глюками. То интерфейс сам по себе пропадет вместе с маршрутами, то еще что-то. В 2003 так и не сделали ната по адресам :( К тому же в *nix можно из консоли сделать, что очень хорошо при ssh мидлете на телефоне. А вот как RDP поднять на сотике, да еще при этом трафика сколько в трубу улетит....

[Ugnich Anton]

Идеологически виндовсы ничем не хуже юниксов, просто имеют дополнительные возможности, которые в ДС мало используются.

Приведите список востребованых дополнительных возможностей.

 

Идеология у них неправильная, потому что виндовс не настраивается. И не надо мне про окошки с настройками рассказывать и ключи реестра. Возможности по настройке должны ограничиваться только уровнем ваших знаний, а не желанием разработчиков. Это не домашний компьютер, где должно быть все понятно. Задача в нормальных сетях - дать максимальную производительность и максимальный uptime. Тут люди стараются лишний процент по производительности из железа выжать, а вы на роутере "Рабочий стол" отрисовываете.

 

А у нас, например, единая аутентификация на базе Active Directory (доступ в инет, доступ на файл-серверы, чат Jabber, почтовый сервер...) Без крайнего гимора то же на юниксе не настроишь.

Доступ в инет через AD ?! "Без крайнего гимора" полазить в инете нормальным юзерам у вас не получится. :)

[Dmitriy_Kolesnikov]

jab, А при дискретной аутентификации - только к одному сервису. Давайте сравнивать плюсы и минусы единой аутентификации. Про минусы вы уже сказали. Контраргумент - протокол Kerberos хорошо защищен, поэтому "скомпрометировать" аккаунт можно лишь придя домой к жертве (знакомому или другу) и посмотрев пароли на бумажке под стеклом. Но таким же образом можно узнать и полный набор дискретных паролей. Утюгом погладишь его - он ещё и не такое расскажет... Плюсы - удобство, причем как для пользователя, так и для администратора, и при увеличении количества пользователей и сервисов, к которым необходимо обеспечить доступ, удобство возрастает в геометрической прогрессии. Следствие - масштабируемость.

ShumBor, квагга у нас на мультикасте пашет

Пожалуйста, прокомментируйте последнюю фразу. Что такое "квагга"?

поставил себе винду в виртуалье поковыряться, но я лучше линух/фрю воткну чем буду иметь гимор с виндовым rasом. Просто он уже надоел своими глюками.

А вы не задумывались, почему у вас она глючит, а у других нет? Может быть, не в системе дело, а в чем-то ещё? Например, в том, кто её администрирует?

К тому же в *nix можно из консоли сделать, что очень хорошо при ssh мидлете на телефоне. А вот как RDP поднять на сотике, да еще при этом трафика сколько в трубу улетит....В Windows из командной строки можно делать то же, что и через GUI. За подробностями отсылаю вас к книге Д. Харалсона "Microsoft Windows Server 2003: администрирование из командной строки". GUI сейчас является полезным дополнением к командной строке, администратор Windows может выбирать ту среду конфигурирования сервера, которая ему удобнее. В отличие от администратора других ОС.

Ugnich Anton, Приведите список востребованых дополнительных возможностей

Буду говорить только за себя:

1. Единая аутентификация на основе Active Directory

2. Гибкое разграничение прав доступа к файловым ресурсам на файл-сервере (за счет ACL файловой системы NTFS)

3. DFS

4. Сервер Exchange позволяет нашим сотрудникам обмениваться заданиями, планировать события, встречи, быть в курсе дел друг друга.

5. Служба Computer Browser на всех серверах позволяет всем компьютерам многосегментной сети (несколько десятков сегментов) корректно отображать сетевое окружение.

6. Служба DHCP, зарегистрированная в AD, позволяет для некоторых сегментов создавать сразу несколько DHCP-серверов и не бояться проблем, связанных с повторным назначением адресов, выданных другим сервером.

Идеология у них неправильная, потому что виндовс не настраивается Пожалуйста, приведите полный список тех модулей ОС, которые настраиваются в Unix, но не настраиваются в Windows.

Доступ в инет через AD ?! "Без крайнего гимора" полазить в инете нормальным юзерам у вас не получится Прошу вас не разбрасываться словами и не говорить того, о чем не имеете представления. Про Unix я вас послушаю, а про Windows учить меня не надо. Не верите - добро пожаловать, приезжайте к нам в Воронеж и посмотрите. Доступ в интернет реализован на базе отечественной биллинговой системы Traffic Inspector (www.smart-soft.ru), используется доменная аутентификация.

[jab]

поэтому "скомпрометировать" аккаунт можно лишь придя домой к жертве (знакомому или другу) и посмотрев пароли на бумажке под стеклом. Но таким же образом можно узнать и полный набор дискретных паролей.

 

А так же вирусом, трояном, rdesktopом, и т.п. :-)

При разных паролях на сервисы - придется ждать пока юзер введет

их с клавиатуры.

 

Утюгом погладишь его - он ещё и не такое расскажет... Плюсы - удобство, причем как для пользователя, так и для администратора, и при увеличении количества пользователей и сервисов, к которым необходимо обеспечить доступ, удобство возрастает в геометрической прогрессии. Следствие - масштабируемость.

 

:-) Это намек, что пора меряться количеством

серверов/роутеров/юзеров на одного админа ? Я подозреваю что

винда у вас официально куплена с необходимым количеством

лицензий ?

[jab]

Доступ в интернет реализован на базе отечественной биллинговой системы Traffic Inspector (www.smart-soft.ru), используется доменная аутентификация.

 

Это тот биллинг который Blue Screen of Death выдает ? :-)

[jab]

В отличие от администратора других ОС.

 

А это ничего, что я под X-Window на удаленных серверах

сижу больше десяти лет ? :-)

На винде я так понимаю удаленное администрирование началось

с PC Anywhere ? :-) Есть что сравнивать.

[ShumBor]

ShumBor, квагга у нас на мультикасте пашет

Пожалуйста, прокомментируйте последнюю фразу. Что такое "квагга"?

Это демон отвечающий за протоколы маршрутизации.

поставил себе винду в виртуалье поковыряться, но я лучше линух/фрю воткну чем буду иметь гимор с виндовым rasом. Просто он уже надоел своими глюками.

А вы не задумывались, почему у вас она глючит, а у других нет? Может быть, не в системе дело, а в чем-то ещё? Например, в том, кто её администрирует?

Поверь я винду админю со времен 3.11. И У меня есть машины где она работает нормально. Но когда не стого не ссего в ras пропадает интерфес после перезагрузки когда он фактически есть в в системе и ras говорит что новый интерфейсов нет. Это чтол-то не так. и вылечилось это только полной перенастройкой ras.

 

К тому же в *nix можно из консоли сделать, что очень хорошо при ssh мидлете на телефоне. А вот как RDP поднять на сотике, да еще при этом трафика сколько в трубу улетит....В Windows из командной строки можно делать то же, что и через GUI. За подробностями отсылаю вас к книге Д. Харалсона "Microsoft Windows Server 2003: администрирование из командной строки". GUI сейчас является полезным дополнением к командной строке, администратор Windows может выбирать ту среду конфигурирования сервера, которая ему удобнее. В отличие от администратора других ОС.

 

ДААААА. Блин. А я могу запустить сервак без видеокарты, с консолью на ком порте? 80% серверов у меня так пашут. Мне так удобно. К тому же винда так и не умеет сколько не смотрел нат по ip а не по интерфесам, роутинг по источнику (это мне необходимый минимум). К тому же чтобы понять в коносле виндовой что к чему голову сломать можно. Консольно посмотреть списко процессов, загрузку можно? Не прибегая к сторониим приложениям? К тому же меня не устраивает размер системы. У меня образ роутера занимает 32-64 метра (в зависимости от комплектации машины и служебных программ). Винда на этот объем встанет? Нет? Ставить винт в роутер я не хочу, лишняя причина отказа.

 

Я не спорю в винде админить удобно. Сам админил небольшой диалап узел в конторе(2 rasa по 4 и 3 модема соответственно) . Но блин когда приспичило сделать 4 линии исключительно ночными, то встал вопрос как это сгородить на маздае: либо гасить ras, что нереально ибо линии были 2 на одной и 1 на другом поменять никак :(, разные концы офисного здания, телефонные линии начальство отказалось передвигать, можно было только 1 линию прокинуть туде где уже есть 2 ночные. Надыбал четверку и стал городить на ней линух. Правда это была моя первая настройка линуха и я думал что вообще ничего не заработает... В результате все заработало как надо. Пришлось почитать мануалов немного.

[jab]

У меня образ роутера занимает 32-64 метра (в зависимости от комплектации машины и служебных программ). Винда на этот объем встанет? Нет?

 

WinCE встанет.

[ShumBor]

У меня образ роутера занимает 32-64 метра (в зависимости от комплектации машины и служебных программ). Винда на этот объем встанет? Нет?

 

WinCE встанет.

Ну это не серверный продукт :) И я недумаю что там можно рулить из консоли будет :)

[jab]

WinCE встанет.

Ну это не серверный продукт :) И я недумаю что там можно рулить из консоли будет :)

 

Ну не с консоли - так с телефона. :-) Везде где есть например

голубозуб - уже серверная платформа.