[Dmitriy_Kolesnikov]

Есть сеть из нескольких десятков сегментов и десяти серверов (Windows-based), на каждом из которых поднята служба Computer Browser... Всё это хозяйство работает корректно, но поддерживать всё это хозяйство стоит больших усилий. Чувствуется, что решение с сетевым окружением немасштабируемое. Хочется поиметь масштабируемую замену сетевому окружению, клиент-серверную, самое главное - очень хочется, чтобы клиентская часть интегрировалась в проводник Windows. Ну а если она будет кросс-платформенной, то вообще прелесть.

Знаю пока только NetView, отличная вещь, но последним двум требованиям не удовлетворяет.

Что ещё?

[Shiva]

Dmitriy_Kolesnikov,

но поддерживать всё это хозяйство стоит больших усилий

В чём заключается поддержка, а то я особых причин не вижу.

[sekuz]

У себя в сети хотели навести порядок с обменом файлов, но руки не дошли, но концепцию выработали.... :)

Организовать контроллер домена с помощью SAMBA

Клиенты будут при загрузке своей машины авторизоваться на контроллере домена. При этом не будет никаких широковещаний по поводу разрезольвивания имен машин и можно на компах каждого настроить политики разграничения доступа на основе имен машин в сети. Это все интегрированные в Windows сервисы. Имена машин прписываются на контроллере домена и не могут быть изменены самими пользователями. они могут конечно прописать себе "левое" имя, но тогда не смогут попасть в домен и не смогут меняться файлами с другими.

По теории можно даже не устраивать в сети FTP-сервер, а по Сетевому окружению раздавать файлы. Кстати, можно запускать удаленно, к примеру, фильм, не скачивая его полностью на свой комп. У клиента все лишь будет появляться сетевой диск. Не знаю насколько это надежно, но придумывалось именно для этого.

Все это позволяет сделать SAMBA.

 

Можно будет организовывать сервисы, в которых буду только имена клиентов, без IP-адресов, потому что контроллер домена работает как DNS сервер

 

Кто смог внедрить такое? Поделитесь мыслями...

[Dmitriy_Kolesnikov]

sekuz,

Извините, вы предлагаете включить всех клиентов в домен? А как же безопасность? Ведь я, как администратор, написав logon script, смогу получить полный контроль над юзерской машиной!

Второй вопрос: каким образом вы предлагаете запретить клентам менять имена компов? Какой механизм? Разве имя доменного компьютера невозможно сменить?

[POMbI4]

Сети распределены физически? А логически?

Может имеет смысл сделать один общий файловый сервер...

В любом случае тут нужно от бизнес процессов вашей компании отталкиваться.

[Dmitriy_Kolesnikov]

Это домашняя сеть, в домене только серверы, клиенты в рабочей группе.

 

Вопрос ещё актуален.

[sekuz]

Самое главная задача контроллера домена это авторизация клиентов (юзерей и машин юзерей). Войдя в домен единожды генерятся определенные ключи, по которым контроллер может опознать машину юзера. Про взлом этих виндовых протоколов обмена данными я не слышал - там довольно все надежно. Если юзер поменяет имя машины, то не сможет войти в домен (там при загрузке нужно пароль вводить), а значит и остальные члены домена никогда не "увидят" нарушителя.

При этом контроллер домена можно научить хранить у себя сетевые папки юзеров (к примеру "Мои документы") и все настройки рабочих столов и тд. Но можно и отключить все это.

Можно поставить несколько таких контроллеров и они будут по их протоколам меняться инфой, то есть будет для пользователей один домен логический, а физически серверов много.

 

как все происходит:

1 Имеем уже настроенный контроллер домена. Юзер в свойствах компьютера меняет имя домена. После ОК, комп лезет в сеть и пытается найти контроллер домена, который согласен его обслужить в ЭТОМ домене.

2 Домен отвечает и генерит ключи доступа к домену, которые на время каждой сессии генерятся новые.

3 Комп юзера говорит, что все ОК и просит перегрузиться.

4 После перегрузки вместо обычного входа в систему появляется подключение к домену, спрашивают пароль, нужно ввести пароль, который заранее был прописан в контроллере домена.

5 Если имя юзера, имя машины и пароль совпали, что прописано в домене, то Вы в домене.

Теперь в настройках доступу, к примеру, к какой-нибудь папки, появляется кнопочка запроса имен пользователей и домен возвращает все имена пользователей домена. вы выбираете все что кому можно, соверешенно не заботясь об IP-адресах и тд. Просто контроллер домена не допустит подделки имени в домене.

 

При этом контроллер домена можно натсроить так, что он не даст доступа к компу вообще без него самого и паролей. Помогает только новая перестановка Винды. Там широкие настройки.

 

При этом к домену можно присоединить сервер, как удаленная папка, там разрулить прова на доступ и использовать как FTP и тд.

Насколько я знаю, есть модули к Apache, которые атентифицируют поьзователя через контроллер домена и тд.

 

Вроде ничто не мешает при входе в домен, подключать услугу ИНТЕРНЕТ. Наподобие VPN получиться. Надо еще структуру пакетов смотреть.

 

Все это недокументировано и не является стандартом. Сугубо Мелкософт для себя это изобрел.

Для Линукса есть проект, называется SAMBA. Там ребята копаются и разбираются с этими протоколами. уже 3 релиз вышел. Все серьезно. Я его ставил. БД можно выбрать MySQL - там пользователей хранит. Руки не дошли все настроить, но док много читали. Как ДНС и WINS сервер работал.

После подключения к контроллеру домена "Сеть Микрософт" работает довольно шустро. К примеру у нас в офисе нет контроллера, всего 5 машин, а глючит мама не горюй. А в домашней сети поставил контроллер, входишь в Сетевое окружение юзеры моментально находяться. При этом ПО полностью бесплатное. представляю сколько стоит ПО от Мелкософта, чтоб организовать контроллер домена.

[Harmer]

Чета я не понял. При чем тут контроллер домена? Вроде как для этих целей WINS обычно юзают...

[Solo]

Для Линукса есть проект, называется SAMBA. Там ребята копаются и разбираются с этими протоколами. уже 3 релиз вышел.

Уже есть 4. Которая практически повторяет доменную структуру Майкрософт. http://www.opennet.ru/opennews/art.shtml?num=6853

[sekuz]

Microsoft уже сама начинается отказываться от WINS в пользу DNS

[mr.Scamp]

DirectConnect в качестве внутреннего файлообменника.

 

Есть ещё адская утила под названием NetLook, но я её никому не советую. Просто упоминаю, что такая есть ;-)

[mr.Scamp]

Только подумал о нескольких самбах, каждая в своём jail, обслуживающие в качестве винсов и мастербраузеров свои подсети и рабочие группы.

 

Осталось выяснить две вещи:

1. Целесообразна ли моя забота о работоспособности "Сетевого окружения".

2. Как работает samba в jail.

 

О 1м. могу сказать то, что остались ещё юзера, которые воспрнимают сеть, как сетевое окружение Винды и начинают либо задалбывать сапорт, либо обзывать оператора последними словами только потому, что "не видно компов в сети" (а проблема по большей части не наша: может, мастербраузер пропал из сети, может гостевой доступ на нём прикрыт, может с широковещалкой в сегменте плохо).