IP-видеокамеры

Вот дом,
Который построил Джек.
А это машины,
Которые на темной стоянке хранятся
У дома,
Который построил Джек.

А это веселая птица-синица,
Которая ловко ворует бензин.. А так же царапает машины, выламывает дворники, выкидывает мусор, проезжает двор на больших скоростях, что опасно для детей этого дома и т.д.. Вот такая сука синица.

Эта присказка, а сказка будет чётко впереди.
Собрались жильцы на заседании собственников жилья и высказали мысль, что эту ловкую птицу-синицу неплохо бы выловить и открутить башку. Я как светила магии железа сказал. "Надо установить камеры видео наблюдения за домом, и парковкой автомобилей." Всем понравилась эта идея. В доме я когда то провел СКС и жильцы попросили меня интегрировать камеры в сеть.

Содержание

• Технические условия и подготовительный этап
  • План охраны
  • Необходимое оборудование
  • Выбор IP камер и доп. оборудования
  • Баллетристика (расчет уголов, линз и тп)
• Заказ и доставка к месту работы
• Монтаж
• Настройка камер и системы видеонаблюдения
  • Настройка камер
  • Программное обеспечение
• Итог

Технические условия и подготовительный этап

Список требований предъявляемый камерам:
1. камера уличного, желательно вандало-защищенного исполнения
1.1 питание через кабель (PoE)
1.2 подключение камер к локальной сети дома
1.3 возможность работ в условиях день\ночь
1.4 возможность подключения доп. видеокамер без изменения текущей архитектуры
3. просмотр камеры пользователями в режиме онлайн
3.1 запись видео, фотографирование в нужный момент и сохранение на личном ПК
4. сервер для хранения записей
4.1 сохранение видеозаписи камер в течении ~12 дней (H.264)
4.2 обнаружение движения
5. согласование плана прилегающей территории с указанием, что должны записывать камеры
6. возможность любому человеку работать с ПО камер
7. возможно необходима дополнительная подсветка (IK полсветка или доп. общий свет)

Я сразу оговорил на повторном собрании по камерам, что по этим условиям данное оборудование будет стоить денег и указал расценки которые уже собрал с фирм. А за свою работу я взял чисто условно (5к руб) в основном чтобы опыт работы приобрести.

Что в наличии:
1. дом с 3-мя подъездами в каждом подъезде на 5-м этаже свич DES-3028
2. необходимо контролировать две стороны дома - въезд на парковку и стоянку
3. полгода на сбор денег с участников проекта

План охраны

И так где и как мы будем ловить пресловутую суку синицу. Есть план дома.

Я выделил места, которые хотелось бы видеть - это проезжая дорога, карман парковки и пешеходные дорожки, а так же указал расстояния до необходимых границ видимости.

Забегая вперед расчертил согласно выбранным камерам и в зависимости от оптики, углов просмотра, расстояния. Так же отметил точки предполагаемой установки камер и транспортиром отмерил углы просмотра и пересечений поля зрения, которые я смоделировал с помощью ViewDesigner, но об этом позже.

Из рисунка видно что CAM1 должна располагаться выше всех т.к. по углу просмотра на высоте 5 метров она не покрывала необходимую площадь, а она должна покрыть весь торец дома и в связи с этим принято решение установить ее выше всех т.е. на высоте 5го этажа. Следить за номерами\лицами это была не ее задача для этого есть камеры CAM2 и CAM3, которые смотрят перекрестно и вылавливают мелкие детали. Камеры CAM1 и CAM3 с оптикой 6мм для увеличения поля зрения и покрытия большей площади просмотра. CAM2 с 12мм оптикой для лучшего зуммирования и вылавливания дальних объектов с сокращением угла обзора.

Совет
Нужно учесть как вы будете проводить кабели до камеры, и должны рассчитать сколько потребуется UTP5\6, гофры, крепежа к стене и остальное необходимое для монтажа оборудования.

Устанавливать камеру CAM1 6мм, как уже было сказано, буду на крыше к стене дома. CAM2 12мм и CAM3 6мм установлю в передней части дома с углом просмотра крест на крест для перекрытия обзора, высота установки начало второго этажа (так уже не своруют =)). Дом находится в возвышенности 1 метр над дорогой и 4 метра от фундамента и до места установки камер в сумме 5 метров над дорогой.

Необходимое оборудование

Для реализации данной системы наблюдения требуется:
1. три IP-видеокамеры
2. один сервер для хранения данных с видеокамер
3. ПО для записи на сервер данных с камер
4. витая пара UTP CAT5e (заранее рассчитал метраж необходимого кабеля +20% сверху)
4.1 коннекторы RJ-45 и колпачки для RJ-45
4.2. гофра для прокладки кабеля по улице
4.3 стяжки и хомуты для крепления кабеля и гофры.
5. три PoE адаптера (свичи у меня стоят обычные, а ток подавать нужно)
6. перфоратор, раздвижная лестница и желание все сделать.

Выбор IP камер и доп. оборудования

Камеры делятся на цифровые и аналоговые которые в свою очередь делятся на типы, но мне необходимы цифровые видеокамеры. Аналоговые камеры с их видеосерверами\регистраторами мне не подходят. Я начал выбирать камеры и сначала пробовал обычные IP камеры (типа AXIS 211M) оборудовать кожухом и креплением на стену. Пробовал разные комбинации, но выходило самозборно и некрасиво. Поискав я нашел специализированные готовые уличные камеры уже сборные с кожухом и готовые к эксплуатации зимой\летом и к слову сказать по цене выходило одинаково или чуть дороже самосборных за то качество моделей было выше. Есть много разных фирм и цена\исполнение\разнообразие у каждого разная я остановился на фирме AXIS честно сказать мне её посоветовали на форумах и один знакомый интегратор советовал как достойные и надежные камеры, но слегка дороговатые.

Теория

Виды камер

Что же смотрим, что есть на выбор. Камеры бывают несколько видов и вариаций укажу лишь основные:
1. фиксированные - обычные прямоугольные девайсы
2. купольные - в форме полусферы
3. PTZ-камеры - поворотные (купольные и PTZ-камеры)
4. гибриды 1 2 3- вариации на тему 3х пунктов

Линзы

Объектив выполняет несколько функций. Они включают в себя:

• Определение поля зрения, то есть, какая часть вида и уровень детализации будут захвачены в видеозахват.
• Управление количеством света, проходящего на датчик изображения так, чтобы изображение правильно экспозиционировалось.
• Фокусировка путем корректировки линзы в объективе или расстоянием между объективом и датчиком изображения.

Поле зрения

При выборе камеры необходимо учитывать поле зрения, то есть область охвата и степени детализации для просмотра. Поле зрения определяется фокусным расстоянием объектива и размером датчика изображения.

Фокусное расстояние линзы "определяется как расстояние между входной линзой и точкой, где все лучи света сходятся в точку (как правило это датчик изображения). Чем больше фокусное расстояние, тем уже поле зрения.

Поле зрения может быть разделено на три вида:

• Стандартный вид предлагает такое же поле зрения, как человеческий глаз.
• Телеобъектив предлагает узкое поле зрения, обеспечивает просмотр более мелких деталей, чем может уловить человеческий глаз (зуммирование). Телеобъектив используется, когда объект наблюдения либо мал, либо расположен далеко от камеры.
• Широкий угол предлагает большее поле зрения с менее нормальным видом, чем в стандартном режиме. Широкоугольный объектив в целом обеспечивает хорошую глубину резкости и неплох, при низкой освещенности. Широкоугольные объективы иногда производят геометрические искажения, такие как эффект "рыбий глаз".

Существуют три основных типа линз:

• Фиксированный объектив - такой объектив который обеспечивает фиксированное фокусное расстояние, то есть только одно поле зрения (такое как стандартное, телескопическое или широкоугольное). Общее фокусное расстояние линзы камеры 4 мм.
• Варифокальный объектив - такой объектив обеспечивает диапазон фокусных расстояний и, следовательно, разные поля зрения. Поле зрения может быть скорректировано вручную. Всякий раз, когда поле зрения изменилось, пользователь должен вручную переориентировать линзы. Варифокальные объективы для сетевых камер часто обеспечивают фокусное расстояние в диапазоне от 3 мм до 8 мм.
• Зум-объектив - такой объектив который, как и варифокальный объектив позволяет пользователю выбрать различные поля зрения. Однако в зум-объективе, нет необходимости переориентировать линзы, если поле зрения изменилось. Фокус может быть сохранен в диапазоне фокусных расстояний от 6 мм до 48 мм. Настройка может быть как ручной так и моторизованной для дистанционного управления.

Объектив датчик изображения

Выбор датчика и линзы.
На определенную линзу необходим определенный датчик изображения.
Примеры различных линз смонтированы на 1/3" - дюймовый датчик изображения.

Если линза сделана для меньших датчиков изображения, чем тот, который на самом деле установлен внутри камеры то изображение будет иметь черные угламы (см. левый рисунок). Если линза сделана для больших датчиков изображения, чем тот, который на самом деле установлен внутри камеры то поле зрения будет меньше, чем способность объектива, так как часть информации будет "потеряна" за пределами датчика изображения (см. правый рисунок). Эта ситуация создает эффект телефото, это делается для зуммирования. Средний рисунок показывает, что линза и датчик принимают и обрабатывают изображения без избытка и\или потерь.

Выбор

У каждого вида камер есть свои сильные и слабые стороны. Я выбрал купольные камеры они не так заметны и их сложнее повредить (минимальное кол-во выступающих деталей). В данном классе представлены антивандальные камеры с необходимыми функциями которые мне были необходимы. Остановился на камере AXIS P3344-VE посмотрим, что она умеет:

• Конструкция для наружного видеонаблюдения, устойчивая к широкому диапазону температур от -40 °C до +55 °C
• Качество HDTV 1MP (720p)
• Простота установки с возможностью дистанционного фокуса и зума
• Несколько видеопотоков в формате H.264 и Motion JPEG
• Круглосуточное видеонаблюдение
• Поддержка двухканального звука.
• Интеллектуальные функции обнаружения движения, звука и попыток несанкционированного воздействия на камеру, например ее накрывания или распыления краски.
• Встроенный разъем карт памяти SD/SDHC. (вкусный бонус)
• Технология Power over Ethernet (IEEE 802.3af), исключающая необходимость использования кабелей питания и сокращающая расходы на установку.
• Усовершенствованные функции управления безопасностью и сетями, такие как шифрование HTTPS без потери производительности, поддержка стандартов IPv6 и Quality of Service.
• Открытый прикладной программный интерфейс (API) для интеграции программного обеспечения, включая VAPIX ® компании Axis Communications.

Основные технические характеристики

Датчик изображения:
CMOS-матрица (1/4 дюйма), прогрессивная развертка, поддержка RGB.

Объектив варифокальный, диафрагма DC-iris, удаленный контроль фокуса и зума:
AXIS P3344/-V/-VE 6мм: 2.5-6 мм, угол обзора* 87°-40°, F1.4
AXIS P3344/-V/-VE 12мм: 3.3-12 мм, угол обзора* 70°-20°, F1.6
* горизонтальный угол обзора
Здесь можно определить физические границы углов обзора камеры. Есть еще угол поворота и наклона камеры в кожухе.

Возможность круглосуточного наблюдения:
Автоматический съемный фильтр отсечки ИК-излучения это очень помогает при минимальном освещении объекта наблюдения.

Минимальная освещенность:
AXIS P3344/-V/-VE 6mm: цветное изображение — 0,3 люкс, F1.4, черно-белое — 0,05 люкс, F1.4
AXIS P3344/-V/-VE 12 mm: цветное изображение — 0,4 люкс, F1.6, черно-белое — 0,06 люкс, F1.6

Регулировка угла установки камеры:
Панорамирование — 360°, наклон — 170°, поворот — 340°
Угол поворота и наклона камеры в кожухе.

Сжатие видеоизображения:
H.264 (MPEG-4 часть 10/AVC) и Motion JPEG
Про сжатие почитать можно здесь если вкратце H.264 записываются лишь движущиеся части, а остальное как фон остается. В Motion JPEG пишет каждый кадр и потому запись в JPEG объемней.

Безопасность:
Защита паролем, фильтрация IP-адресов, цифровая аутентификация, журнал регистрации доступа пользователей, управление доступом к сети IEEE 802.1X**, шифрование HTTPS**
Вот тут мы разрешим пользователям смотреть в камеры.

Поддерживаемые протоколы:
IPv4/v6, HTTP, HTTPS**, QoS уровня 3 DiffServ, FTP, SMTP, Bonjour,
UPnP, SNMPv1/v2c/v3(MIB-II), DNS, DynDNS, NTP, RTSP, RTP, TCP, UDP, IGMP, RTCP, ICMP, DHCP, ARP, SOCKS
Вкусно =)

Интеллектуальное видео:
Датчик движения, активное оповещение при попытке порчи камеры, детектор звука.
Это очень хорошее качество, к примеру вы можете настроить камеру чтобы она записывала лишь при каком то уровне движения в определенном месте наблюдения экономия HDD огромная. Или можно сделать как я - постоянная запись ведется при средних качествах съемки и высоком сжатии, но при движении\алерте качество записи становится максимальным. А так же оповестить если кто-то баллончиком запылит камеру.

События при срабатывании сигнала тревоги:
Отправка файлов по FTP, HTTP и электронной почте, уведомления по электронной почте, а также по протоколам HTTP и TCP.

Остальные характеристики и конструкцию камеры вы можете почитать тут технические характеристики видеокамер серии p33

А так же можете почерпнуть информацию в техническом руководстве по сетевому видео.

Адаптер PoE

В связи с тем, что у меня стояли обычные свичи, а питание камера получала по витой паре то мне были необходимы PoE адаптеры. Я взял той же фирмы Axis, но были и других фирм 3Com, D-Link и тп. Они ничем не примечательны - розетка, вход\выход для витой пары и крепления на стену.

В щитке:

Сервер

Сервер подобрал самый бюджетный, исходил из объема и скорости HDD, RAM, CPU. Но подбирать необходимо внимательно рассчитывайте с учетом следующего:

1. сколько камер будут писать на сервер
2. какое кол-во дней должна вестись запись
3. в каком формате записывать и в каких ситуациях
4. доп. объем HDD для подключения доп. камер в будущем
5. быстрый CPU и объемный RAM для своевременной обработки данных и комфортной работе с архивами видеозаписи

Для данных расчетов мне помогла замечательная утилита Калькулятор для сервера под видеокамеры. В котором вы указываете камеры, их разрешения, компрессию, время работы и кол-во дней для записи, а так же многое другое. А она вам отображает необходимые характеристики сервера и необходимую пропускную способность сети. Великолепная программа!

Исходя из этого я заказал следующий сервер.

Дешево и сердито. Запас мощности на будущее есть единственное не хватило денег еще на один HDD для обеспечивания зеркалирования.

Программное обеспечение

Исходя из того, что камерами должен управлять любой то выбор ОС был ограничен этим и тем что свое ПО AXIS в основном затачивает под Windows.

Как показала программа для расчета сервера мне необходимо закупить AXIS Camera Station One на четыре камеры.

• Просмотр и видеозапись в режиме реального времени.
• Запись, инициированная регистрацией событий: обнаружение движения или сигнал с внешнего ввода/вывода.
• Высококачественная видеозапись в форматах H.264, Motion JPEG и MPEG-4.
• Управление PTZ- и купольными камерами с помощью мыши или джойстика.
• Легко расширяемая базовая лицензия на 4 или 10 камер для программы AXIS Camera Station.

Легкий поиск данных, типов записи и многое другое касательно настройка камер. Изображения ПО будут ниже.

Баллетристика (расчет уголов, линз и тп)

Для расчета углов обзора и дальности я использовал программу ViewDesigner Необходимо указать сенсор, линзу, высоту от земли, дальность необходимого наблюдения и тп. И программа выдает наглядные данные которые можно наложить на макет и получить картину того что получится. И изменить при необходимости расположение камер для улучшения наблюдения.
Вам необходимо знать.

1. расстояние камеры от земли (куда будете вешать камеру (5 м))
2. дальность необходимой зоны наблюдения (от угла дома до края парковки)
3. угол покрытия зоны видимости (для покрытия нужного блока парковки)
4. высоту дальней части наблюдения (обычно интересно только до роста человека)
5. мертвую зону

Без этого расчета вы не сможете грамотно рассчитать какие вам нужны камеры. Здесь же вы можете спрогнозировать все условия и в голове собрать техническую модель как куда ставить, что и как будет мониторится.

Можете так же попробовать воспользоватся axis_pixel_distance_calculator

Заказ и доставка к месту работы

Вот такие расценки по счету на камеры:

На компьютер:

+ Windows 7 Home Premium OEM 32-bit Russian - 3 499 руб.
+ моя работа 5 000 руб
Итого: 167 063 руб

Заказал и пришлось подождать т.к. камеры пришли через 3 месяца, поставлялись камеры из Швеции "пешком". Пришел вот такой комплект:

Три комплекта с камерами и три PoE адаптера.

Программа AXIS Camera Station и лицензия на 4 камеры. К слову сказать в каждом комплекте камеры есть AXIS Camera Station с лицензией на одну камеру. Т.е. вы можете заказать камеру и поставить AXIS Camera Station на свой ПК эта программа идет в поставке с камерой. Но если вы захотите в это ПО добавить еще одну камеру для мониторинга и записи то вам мило предложат купить лицензию.

В коробке находилось: камера, армированный кабель, спец. отвертка (звезда давида) ей одной производится полный монтаж камеры разборка\сборка\установка и не в коем случае не потеряйте ее (не открутите потом камеру). Так же плафоны, крышка, наклейка для монтажа на стену (где куда сверлить =)), монтажный набор.

Корпус толстый металл это радует. Так же три винта изменяющие угол и строну наклона\разворота камеры.

Как видим есть сетевой порт, вход микрофона и выход для динамиков (спец опция)

С другой стороны (к сожаленю не сфотографировал) есть небольшой кулер для конвекции воздуха, мембрана для удаления влаги.

Низ камеры с удаленным монтажным диском, как мы видим можно подвести кабель через четыре входа. А так же можно убрать квадратный аппендикс если кабели будут подходить в камеру прямиком через стену.

Монтаж

Мотаж тривиален "аптека, лестница, фонарь" сверлим стены длинным буром, прокидываем кабель в гофру и монтируем на стену. Камеры развесил согласно плану CAM1 на 5й этаж гофра уходит по краю в кабелегон через чердак в щитовую к свичу на 5й этаж.

Камеры CAM2 и CAM3 установил на высоте 5 метров от дороги.

• CAM1 и CAM1 при увеличении
• CAM2
• CAM2 и CAM3
• CAM3

На фотографии CAM1 можно видеть фонарь который повесили без согласования со мной. Да подсветка в темное время нужна, но не так же это делается! И из-за того, что фонарь установили неправильно и он находится на уровне камеры и почти вплотную с ней то ночью идет постоянный световой "шум\кадрирование" и включать детекцию при движении нет возможность тк он будет постоянно работать. Фонарь "замечательно" краем мигает на камеру и на глаз это хоть и не видно, но камера это хорошо ощущает и негодует. Нужно было поставить IR подсветку (инфракрасная подсветка) или поставить фонарь ниже камеры и использовать в качестве свето элемента что нибудь другое.

Настройка камер и системы видеонаблюдения

Настройка камер

После монтажа камеры необходимо развернуть куда полагается и сфокусировать для этого необходимо два человека один на стремянке вертит камеру второй с ПК или ноутбуком (у меня был ноут и по wifi в локалку входил, а точка доступа в это время висела в окне на кухне для лучше приема ноутбуком). Человек корректировал зум и комментировал куда поворачивать и насколько. Потом камеры закручиваем и все готово. Кстати мне пришлось два раза настраивать, первый раз был в черновом варианте, а потом ювелирно до настроил.

Для начальной настройки камер я использовал веб интерфейс. Он довольно функциональный и годный. Все разложено по местам и легко в освоении.

ВСЕ ИЗОБРАЖЕНИЯ УРЕЗАННЫ В КАЧЕСТВЕ И РАЗРЕШЕНИИ

Веб интерфейс для администратора (настройка зон детекции движения):

Веб интерфейс для пользователей. Можно заметить выбор профиля в котором можно выбрать размер и качество видеопотока предустановленного администратором. А так же в низу изображения есть управляемые элементы такие как "остановить картинку", "сфотографировать","развернуть на весть экран", "записать видео". Ниже этого дополнительные ссылки которые можно привязать к другим камерам или сайтам.

Мобильная версия для просмотра с КПК.

Профиль среднего качества

Профайл хорошего качества пришлось ухудшать картинку.

Есть профиль в JPEG и там есть дополнительный функционал для пользователей.

Программное обеспечение

Для первоначальной настройки камер есть программа AXIS IP Utility она обнаруживает и отображает устройства Axis в сети.

Но я воспользовался AXIS Camera Management она не только обнаруживает камеры, но и производит их обновление (прошивку) и тонкую настройку (права пользователей, протоколы и тп).

Для записи на сервер я закупил AXIS Camera Station One на 4 камеры фото которая без проблем нашла все камеры, а с её настройкой может разобраться любой человек.

• axis_camera_station_client2
• axis_camera_station_client3
• axis_camera_station_client4
• axis_camera_station_client5
• axis_camera_station_client6
• axis_camera_station_client7

Список програмного обеспечения можно посмотреть ТУТ

Итог

Прошло с установки камер 4 месяца или больше. Когда сторонние люди узнали о камерах (слух увеличил до того, что камеры стоят со всех сторон дома и я старался не убивать данный "факт" =))

1. больше не было ущерба машинам к примеру выломанных дворников или слитого бензина
2. 4-5 мусоронарушителей наказано и униженно =D и узнали, кто выкидывает мусор у подьезда и самое странное это 3 чел. жители этого же дома.

P.S. Ну здравствуй сука синица теперь я тебе вижу. =)

Календарь - сетевой календарь с автоматической публикацией на сайте

Понадобилось одной организации иметь сетевой календарь с доступом через веб интерфейс. И использовать существующее клиентское ПО.

Что хотим

• Предоставление свободного доступа к части календаря для коллег и заинтересованным лицам. Опубликование его на веб сайте компании.
• Иметь доступ к календарю через мобильный телефон и веб интерфейсом для работы.
• Напоминать о предстоящих мероприятиях начальникам и нужным лицам по е-майл\sms.
• Отправление приглашений участникам мероприятий.
• Возможность синхронизации приложения с ПО на компьютере (Microsoft Outlook, Apple iCal и продуктами Mozilla.)

Что имеем

В наличии имелось следующее:

• Отсутствие своих серверов в интернете, где можно было развернуть своё ПО календаря.
• Нежелание вкладывать $. (дай много и на халяву)
• Использование почтового клиента Mozilla Thunderbird.
• Нежелание секретаря учиться новому ПО (если такое будет иметь место).

Что нашли

Ну что же подумав и поискав в интернете (хороший ресурс iCalShare) я сразу же определился с нужным сервисом и нужными ПО.

• В качестве сетевого календаря я выбрал Google Календарь.
• Клиент уже был определен это работающий повсеместно в организации Mozilla Thunderbird с будущим дополнением для работы с сетевыми календарями Lightning.

Вы можете использовать и Mozilla Sunbird, но помните этот проект закрывается и все силы разработчики пустят на развитие плагина Lightning для Mozilla Thunderbird.

Настройка календаря

Учетная запись

Для начала вам необходимо создать учетную запись Google. Войти под ней и создать нужные календари. В нашем случае я создал два календаря:

1. Рабочий календарь - в качестве основного рабочего календаря организации.
2. Общественные встречи - для публикации на интернет ресурсах.

Вы можете создавать сколько угодно календарей.

Уведомления

Для грамотной работы календаря необходимо создание системы уведомления нужных лиц.

Как мы видим тут присутствует три вида уведомления SMS, E-mail, всплывающее окна. Эти уведомления настраиваются элементарно и не будем заострять на них внимание.

Доступ для публикации

Для публикации календаря в сети интернет необходимо дать к нему доступ. Это настраивается во вкладке "Открыть доступ к календарю" при настройке данного календаря.

Так же вы можете добавлять нужных пользователей и задавать им права доступа к вашему календарю.

Далее во вкладке "Данные календаря" можете добавить дополнительную информацию, но самое главное ищете блоки:

• Вставить этот Календарь - вы можете настроить цвет\размер и т.п. и вставить этот код на нужную вам веб страницу.
• Адрес календаря - запомните свой "Идентификатор календаря", который необходим для клиентского ПО.

Публикация на сайте

Вот что получается при вставке данного кода на сайт.

Клиенты

Подходим к секретарю и просим выйти на 10 минут. И пока она пьет кофе мы устанавливаем плагин Lightning для Mozilla Thunderbird и проделываем следующие шаги:

Создаем нужный календарь.

Указываем расположение откуда брать и записывать информацию.

Выбираем CalDAV, указываем адрес вашего календаря (в адресе вписываете свой "Идентификатор календаря")

https://www.google.com/calendar/dav/Ваш_Идентификатор_календаря/events

Указываете имя календаря, а так же цвет и почтовый ящик по умолчанию.

Готово!

Вот что получилось:

Вывод

Теперь когда секретарь у себя в почтовом клиенте создает нужные встречи разделяя на "Рабочие" и "Общественные" руководителю приходят сообщения на телефон и почту о предстоящих мероприятиях и он всегда может сам зайти через ПО или веб интерфейс к календарю, посмотреть и\или изменить свой рабочий график, который сразу же обновится на остальных клиентах и при необходимости на веб сайте.

Проблемы

• В плагине Lightning для Mozilla Thunderbird не работают с Google календарем под модуль "Задачи"

Каскадный squid

Как то не совсем кластерное решение но всё же =)
-Цель:

• Настроить (каскадный) 2 и более прокси-серверов на локальных десктопах (т.к. на десктопах использую unixовую ОСь).

-Для чего:

• Что бы не выкачивать одно и тоже по нескольку раз из интернета тк канал от укртелеком всего 2Мбита.

-Как это работает:

• Первым делом локальный прокси ищет запрашиваемую информацию у своих соседей, если он её там находит то берёт у них из кеша., если же нет то качает и кеширует у себя. В свою очередь соседи работают аналогичным образом. То есть кем то скачанная один раз страница не будет закачиваться повторно. При условии что сосед не выключен! Если сосед выключен или к нему нет доступа это аналогично тому что у соседа этого в кеше нет.

-Что имеем:

• В наличии несколько компьютеров с установленной Ubuntu.

Для начала ставим Squid я использую версию 3.1:

sudo apt-get update
sudo apt-get install squid3

Если вместо 3.1 стал 3.0 можно добавить следующее:

cat /etc/apt/sources.list

#deb _http://ubuntu.mirror.cambrium.nl/ubuntu/ lucid main universe
#deb _http://ubuntu.mirror.cambrium.nl/ubuntu/ oneiric main universe
#deb _http://ubuntu.mirror.cambrium.nl/ubuntu/ natty main universe

Создаём директории для Squid и даём имя юзера proxy чтобы кальмар мог в них работать.

sudo mkdir -p /home/squid3/{cache,log}
sudo chown -R proxy:proxy /home/squid3

Настраиваем конфигурацию (конфиги почти идентичные):

cat /etc/squid3/squid.conf
 
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl localnet src 192.168.1.0/24
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
http_access deny all
http_port 3128
icp_port 3130
icp_access allow all
#
###########################################
# вся разница в конфигах в этом месте 
# это ip адрес соседа
#cache_peer 192.168.1.28 parent 3128 3130
cache_peer 192.168.1.28 sibling 3128 3130
###########################################
#
hierarchy_stoplist cgi-bin ?
 
cache_dir ufs /home/squid3/cache 2196 64 256
 
coredump_dir /var/spool/squid3
access_log none
#access_log /home/squid3/log/access.log
cache_log /home/squid3/log/cache.log
cache_store_log none
shutdown_lifetime 3 second
logfile_rotate 1
cache_mgr dtulyakov@gmail.com
 
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

icp_port 3130 #порт UDP для соединения с соседями
icp_access allow all #интуитивно понятно
cache_peer 192.168.1.28 parent 3128 3130 #ip-хост родительский сосед прокси-порт icp-порт
cache_peer 192.168.1.28 sibling 3128 3130 #ip-хост равнозначный сосед прокси-порт icp-порт

пришлось поставить sockstat т.к. он по дефолту отсутствует =(

sudo apt-get install sockstat

включаем кальмара и проверяем завёлся ли он:

sudo /etc/init.d/squid3 start
sudo sockstat|grep squid
proxy    squid3    1104    udp4    *:45534    *:*    CLOSED

ps aux|grep squid
root   1101  0.0  0.0  43100  1552 ?   Ss   14:20   0:00 /usr/sbin/squid3 -YC -f /etc/squid3/squid.conf
proxy   1104  0.0  0.4  82492 18780 ?   S   14:20   0:00 (squid) -YC -f /etc/squid3/squid.conf

указываю access.log подключения:

#access_log none
access_log /home/squid3/log/access.log

потом запускаю на 2х соседях просмотр логов

sudo tail -f /home/squid3/log/access.log

При правельной настройке - в момент запроса должна появится активнасть на обоих кальмарах. Если всё в порядке, возвращаем настройки логов в none и перечитываем конфиг сквида

sudo /etc/init.d/squid3 reload

список возможных флагов:

sudo /etc/init.d/squid3
Usage: /etc/init.d/squid3 {start|stop|reload|force-reload|restart}

устанавливаем в браузере адрес прокси 127.0.0.1 порт 3128

Заходим сюда и смотрим, должно быть вроде этого:

Если так то радуемся и пользуемся.

Организация Next: Восстановление

Тема данной статьи довольно необычна для технических специалистов, но обычна для Российской действительности и освещает самые главные проблемы фирмы (нет не "дураки и дороги" хотя и от этого недалеко), а "Что делать?" Н. Г. Чернышевского и "Кому на Руси жить хорошо" Н. А. Некрасов. И так начнем своё повествование.

Однажды директора фирм M в городе N очень допекло, что компьютеры постоянно ломаются, вирусы везде, деньги из он-лайн банков крадут, и тп. Подсчитал, что выгодно нанять специалиста по информационным технологиям, который как факир преобразит их фирму и поведет к светлому будущему. До этого они экономили на этой ставке в виду того, что один мальчик там что-то может тыкать и ставить винду, но последствия этих тыков все нарастали и толстели. Точкой отсчета стало, что украли со счетов ~300 000 руб через компьютер глав. бухгалтера

"там была дискета с ключем и днем странно окошки начали прыгать и деньги на следующий день куда то делись" (c) со слов гл. бухгалтера

Это и был финальный аккорд и начало нашей пьесы.

Собственно мне эту фирму и преподнесли со словами "сделай с ней что-нибудь вменяемое, если по $ договоритесь". Ну что начнем в хронологическом порядке.

• Подготовительный этап
• Оборудование
• План работ
  • Роли
  • Этапы
  • Секретные материалы
• Работа
• Проблемы
• Сетевая инфраструктура
  • Роли серверов
  • Структура домена, GP
  • Групповые политики
  • Распространение ПО
  • Общие директории
  • WSUS
  • Помощь пользователям GLPI
  • Фаервол
  • Документация
  • Резервное копирование
• Финал

Подготовительный этап

В процессе переговоров попросил ответить на три вопроса.
1. какое кол-во клиентских компьютеров.
2. что конкретно нужно и сроки исполнения.
3. какая ставка.

Ответы.
1. компьютеров ~20 (в итоге оказалось 32)
2. по срокам и конкретным работам тоже пространственно, но чтобы было безопасно и работало как часы.
3. ставка 20к руб в месяц.

Проверка

Попросил дать мне возможность проверить техническое и организационное состояние фирмы для решения того буду ли я работать с ними.

Результаты инспекции
СКС:
1. в одном здании три офиса и они не связанны между собой + филиалы но это отдельный разговор.
2. три разных интернет провайдера с разными скоростями и качеством связи. Никто не мог сказать какие это провайдеры и как заключен договор с ними.

Оборудование:
1. Стойка забитая до отказа: набита телефонией от всего здания и максимум, что можно туда поставить это что-то размером в ~5U (стоит в приемной без вентиляции и кондиционера).
2. свич D-Link DES-1250G (все патч-корды без стикеров и пометок)
3. компьютер на котором крутятся HDD диски со старого сломанного "сервера" с базами. Чудом Windows 2003 заработал на другом оборудовании при перемещении HDD.
3.1. монитор, клавиатура с мышью подключенные к нему
3.2. много рабочих сетевых сервисов на "сервере". На нем стояла сетевая 1С 7.Х с вариациями, сетевая 1С 8.Х тоже с вариациями, Консультант +, Гарант и тд.
4. UPS Smart-UPS 2200
5. Сломанный "сервер", по его останкам я понял, что это ПК с отдаленной претензией на сервер Intel® SC5650 с мамкой S3000AH.

Клиенты:
1. пользователи работали с правами администратора, установлено ПО - черт знает какое, у кого не было антивирусов, у некоторых 2-3 одновременно (у большинства стояло по два) в дополнении этого базы были последний раз обновлены 2-8 мес. назад. У каждого ПК была своя расшаренная директория для обмена файлами.
2. Везде Windows XP без заплаток и максимальный SP - SP2, а то и SP1 или его отсутствие.
3. Железо разношерстное, примерные хар-ки 2,5ГГц 512Мб RAM.

Аэл би бэк

Вернулся и сказал, что согласен только при выполнении трех условий.
1. закупка оборудования на сумму ~100 тыс. руб (больше они не могли обеспечить по результатам переговоров).
Из расчета:

• а. srv1.firma.local - контроллер домена, шары, wsus, master dns, антивирус и т.п. (W2k3)
• б. srv2.firma.local - базы данных (W2k3)
• в. thor.firma.local - обслуживание сети, slave dns, dhcp, NUT, ftp, synch (восстановлю старый сервер и там будет жить FreeBSD amd64-8.1)
• г. сетевое оборудование - хардварный фаервол

2.выполнение обязанностей только сетевого и системного администратора т.е. только сервера, сетевое\серверное ПО, работа и общение с пользователями будет в минимальной функциональности. Это контроль работы, безопасность, элементарная тех. поддержка, и поддержка ПО, которое необходимо для работы в данной локальной сети. Максимум, что могу позволить с ПО, которое не нужно для работы с СКС - это элементарная поддержка (установка и обновление) 1С, Гарант и Консультант. В дальнейшем при закупке новых компьютеров включать в их стоимость необходимое лицензионное ПО.
3. все работы и дальнейшее администрирование проводить удаленно через VPN. И самое главное все должно быть документально оформлено все права и обязанности без всяких звездочек. И я приступаю к работе после закупки всего оборудования.

Подписал договор и сказал звоните когда закупите.
Директору показал, составленный план работ, который кстати я начал в черновом варианте составлять когда инспектировал эту организацию. Он посмотрел и спросил как будут проводится работы и дату их окончания я сказал, что сначала будут установлены и настроены сервера, удаленный доступ и т.п. - это основа вертикального подхода, а потом будет и горизонтальный подход - настройка клиентских компьютеров и их ПО с дополнительными настройками. Дата окончания работ через 4 недели с условиями поставки оборудования в срок и без форс мажора, но сразу предупредил, что после этого еще 4 недели я буду держать эту фирму в тестовом режиме т.к. будет тестироваться и обкатываться техника, ПО и выявляться проблемы и баги программного обеспечения - это самое критичное время. После этого я смогу сказать, что все в порядке и можно пускать в автопилот. Итого весь сентябрь на работы, а октябрь на обкатку и доводку до ума.

Оборудование

Я отправил им список необходимого оборудования.

• Список закупки

Немного опишу. Выбирал исходя из цены и необходимых потребностей.
1. WAN - для интернета и удаленной работы выбрал проверенный временем хардварный фаервол D-Link DFL-210 с подпиской на обновление сигнатур IDS/IDP. DFL-210 недорогой как раз для небольших фирм, позволяет создавать VPN серверы, имеет поддержку сигнатур IDS/IDP, поддерживает так же антивирусные сигнатуры, есть система фильтрации содержимого, pipe и многое другое.

2. Сервера - до полноценных HP серверов по деньгам не доросли и я обратился к недорогим серверным платформам для до сборки фирмы Intel и подобрал 1U Intel SR1630HGP (конфигуратор системы и небольшой обзор) в поставку этой платформы отсутствует RAM, HDD, CPU и это необходимо нужно опционально докупать. А так же к нему необходимо: набор крепления в стойку, защитная морда, DVD-RW, SATA\SAS панель.

3. KVM - переключатель заказал Aten CS1734B без этой железки жизни не будет. Подключим 3 сервера в стойке к одному монитору, клавиатуре, мыши, в работе это очень удобно, особенно при возникновении проблем с железом или осью.

План работ

Роли

Перед созданием плана необходимо определится какие нужны серверы, и за что они будут отвечать. Необходимо утвердить наименование серверов их синонимы, наименование клиентских ПК, привязать MAC+IP, отметить IP и PORT подключений в свитче, диапазоны подсетей и т.д.
И вот как я распределил:

• Имена, IP и конфигурация

Ну начнем по пунктам:

Диапазон подсетей.

Как вы видите я разбил на четыре группы "Сервисные", "Бухгалтерия", "Общие", "VPN" и каждому выдал диапазон IP. У группы "Сервисные" и "VPN" привязка статическая без DHCP, а у группы "Бухгалтерия", "Общие" привязка к IP через DHCP по MAC. И к слову сказать последние цифры IP отображаются в имени клиентского ПК, но это позже.

Именование ПК

Здесь я указал основные сетевые серверы и группы, а так же указал их, имя, алиасы, IP, порт свича и номер по KVM.
Прошу обратить внимание на PC0050 с этого наименования начинается нумерование клиентских ПК, а так же их IP адресов. То есть ПК с именем PC0051 присваивается IP 192.168.0.51.

Советы:

• Нумерование машин происходит по часовой стрелке от входа в помещение и так по всему зданию по часовой стрелки.
• В начале можно IP и не присваивать, но при снятии хар-к ПК запишите MAC адрес и в будущем в DHCP укажите его с привязкой MAC+IP так будет быстрее и мягче переход.
• На рабочем столе клиента в место надписи "Мой компьютер" укажите новое имя ПК "PC0051" так будет легче пользователю когда ты спрашиваешь его имя ПК который и является IP. Ну не будешь же ты спрашивать, а какой у вас IP =)

Характеристики серверов

Тут я расположил таблицу где указанны сервера с их внутренним распределением HDD, САТА каналами и алиасами. Это поможет вам в будущем. Я указал два новых закупленных сервера и третий который надеюсь починить.

Маркировка

Чтобы не запутаться в компьютерах, а так же кто подключен к KVM и свичу я всегда маркирую их.

• Маркировка KVM и серверов

Я делаю вот такую простую таблицу: разрезаю и приклеиваю на KVM и сервера. Далее я маркирую патч-корды серверов и сетевых устройств т.е. с обоих сторон патч-корда указываю IP (последние цифры). Для маркировки продаются спец. блокнотики, где уже есть номера\буквы, которые можно наклеить на кабель. Так же есть программы, которые делают маркировку и потом ты со клеишь на кабель.

Этапы

Как я уже говорил ранее уже при первом посещении фирмы я начал составлять план будущих работ - это САМОЕ ВАЖНОЕ. Этапы работ - как вы представляете свои действия и что будет являться вехой для перехода к следующему этапу. В каждом этапе есть список работ с определенными зависимостями без которого вы не сможете начать следующую работу. И укажите время на конкретную работу + 20-30% сверху и столбцом времени и готовности.

Необходимо учесть, что план может дополнятся и изменятся тк бывают нюансы которые вы может упустили или не знали.

Вот какой план работ я составил исходя из того, чтобы большинство работ я мог делать удаленно.

• План работ

Рассмотрим вкратце каждый этап этого плана.

Подготовка

Все что касается сбора информации, заказа оборудования, подписания договоров. Все это должно быть тут. Но я уже заранее этот этап выполнил и можно ставить даты и степень готовности.

Нулевой этап

Этот этап важен и многие забывают о нем, а ведь при сборке может возникнуть ситуация, что чего то не хватает или может вы сами физически не можете что то сделать и требуется напарник: распутать витухи и разобраться с СКС в стойке, установить сервера, да много ли каких проблем может возникнуть.

Первый этап

Именно на этом этапе я подготавливаю себе удаленный вход, защиту сети от внешних вторжений, ограничения по работе с интернетом для пользователей и тд. Очень важно после настройки данного устройства перезагрузить его и протестировать VPN соединение с данной сетью, проверить возможность изменения правил через интернет по ssh и\или https.

Второй, Третий, Четвертый этап

Тут все понятно я собрал сервера, протестировал их работоспособность, установил ОС и сделал так чтобы они могли управляться посредством удаленного доступа. Все остальные настройки и установки специфичного ПО я уже мог делать из дому т.к. в первом этапе я обеспечил это.

Пятый этап

Это самое трудоемкое и нервное занятие - подключение к домену, конфигурирование клиентских ПК, решение ошибок ОС, контролирование что бы GP применились без ошибок, блокирование ненужных учетных данных этого ПК, объяснение пользователям как вести себя в сети, для чего нужен пароль, почему удалились все игрушки и левые программы оптимизации ПК. А так же перенос всех данных и документов пользователей в новые учетные записи. И многое другое я для этого написал небольшой Чек-лист, чтобы ничего не упустить.

• Чек-лист

Опишу каждый пункт

1. Заблокировать BIOS - это важно в виду того что некоторые продвинутые пользователи пытаются через биос сделать возможность загрузки с CD ну и программно сбросить пароль локального администратора с последующими выводами. Пароль (цифровой) на BIOS клиентских машин я ставлю один и тот же.
2. Запретить в BIOS загрузку с других устройств - запуск только с HDD на котором ОС и никаких CD, USB, NET и тп загрузок.
3. Изменить пароль для локального Администратора - я ставлю один длинный пароль на все клиентские машины.
4. Понизить в правах существующего пользователя до прав обычного пользователя - без этого никак тк обычно пользователи работают с правами администратора или самим администратором.
5. Сохранить старого пользователя, записать его логин и пароль, с именем ПК - это очень помогает при разборе полетов с пользователями
6. Удалить стороннее ПО (с сохранением, закладок браузера, почты) - я поддерживаю на ПК только необходимое ПО все остальное, что мешает работе системы подлежит удалению. Нужно без фанатизма этому следовать, что то можно и оставить =)
7. Присоединить к домену с указанием имени ПК - имя ПК уже у меня заранее зарезервировано.
8. Установить необходимое ПО, проверить как установились MSI из групповых политик. Установить полные права на необходимое специфичное ПО для пользователей домена, например для Thunderbird, спец программ и тп. - это важно и тут могут быть некоторые проблемы и нужно быть внимательным.
9. Установить удаленный доступ к ПК - для решения проблем через удаленный доступ. Вы можете для этого использовать "Удаленный рабочий стол", Netop, Radmin и тп.
10. Копирование данных со старой учетной записи в новую - именно копирование старых документов, чтобы все осталось на местах и это ОЧЕНЬ ОЧЕНЬ запомните помогает при разборках в стиле "у меня была папочка, а теперь ее нет вы ее удалили, а там отчеты и тп!" а ты и говоришь вот ваша старая учетная запись покажите, где она есть? Вопросы испаряются. Дальше идут закладки IE\FF, документы с рабочего стола и из директории "Мои документы", импорт электронной почты в Thunderbird, восстановление ссылок на необходимое установленное ПО (1С и тп))
11. Снять характеристики оборудования - это все что внутри компьютера, а так же версию BIOS, MAC адрес и тп можете воспользоваться любой программой например Everest. Сохранить характеристики в файл с таким же именем как и ПК и прикрепить в профиль данного ПК созданного в GLPI

Советы

• Подключайте поэтапно по блоку\комнате\этажу так будет легче работать с людьми и будут выявляться все скрытые проблемы.
• Проводите работу и подключайте ПК по возможности без пользователей, например в выходной день, чтобы не отнимать у них время, но сделайте так чтобы при приходе на работу у них было все на месте и они могли полноценно работать.
• На следующий день когда пользователи приходят на работу будьте там, раздайте пароли, объясните как работать и какие перемены у них будут и самое главное не планируйте в этот день ничего вы должны выявить проблемы с которыми могут столкнутся пользователи и оперативно их решить, а так же рассказать как они могут получить помощь. Узнать что им не хватает или хочется реализовать к примеру я спросил какие вам нужны сетевые директории и как они по отделам должны быть разграничены и это позитивно отразилось на отношении со мной пользователей. Оставьте свои координаты, покажите как работает тикет система и е-майл поддержки. Если у вас все прошло гладко то поздравляю и можно подключать оставшихся. Если нет то проанализируйте в чем было больше вопросов и решите проблему до подключения других компьютеров.

Дополнительно

Здесь все то, что можно делать плавно и после того как все устаканится. Это перенос БД на новый сервер, создание документации которую я веду в GLPI паралельно работе и т.п.

Секретные материалы

Самое главное - это база логинов и паролей от серверов, учетных записей пользователей, баз данных и многое другое.Хранилища БД паролей нужно для:

• удобной работы с паролями и защиты от угона файла паролей
• структурирование БД паролей как угодно
• генерации паролей по любому алгоритму
• работы без привязки к ПК например с флешки
• грамотной распечатки для работы или для архива

Я всегда делаю пароли криптостойкими и я физически не смогу запомнить подобный пароль "yAiFsx7Bw1f8p", но оно мне и не нужно. Я уже давно пользуюсь программой KeePass Password Safe. Это очень удобная программа я храню там все и пароли от сетевых устр-в и от сетевого ПО и тп. Научитесь с ней работать и вы ее полюбите!

KeePass Password Safe — это бесплатная программа с открытым исходным кодом. Она предлагает безопасное хранение всех паролей в одной базе, зашифрованной стойкими алгоритмами — AES/Rijndael с 256-битным ключом (можно дополнительно указать ключевой файл и мастер-пароль для открытия базы). Обладает многоязычным интерфейсом (русская локаль доступна для скачивания с официального сайта), обеспечивает удобный доступ к паролям (например с флэшки портативная версия). Программа работает почти со всеми версиями Microsoft Windows. Существует кросплатформенный порт — KeePassX и версии для различных мобильных платформ.

KeePass Password Safe поддерживает автозаполнение, поиск по базе, безопасную работу с буфером обмена, и многое другое. Более того — изначальная функциональность может быть расширена с помощью плагинов, которые публикуются на официальном сайте.

Советы

• Заранее создайте все учетные записи и пароли к ним от серверов и учетных записей клиентов, а так же от сетевого оборудования, ПО, баз данных, список вендоров с контактами и тп.
• Создайте два шаблона одинаковых данных один для серверов другой для клиентов. К примеру в шаблон могут войти одинаковый пароль от BIOS, от удаленного доступа и тп.
• Распечатайте БД и в папку, она вам пригодится при работе на месте подключения.

Работа

Ну что же для начала соберем все сервера установим в стойку и проверим HDD и RAM тк нам нужно долго и счастливо работать.

Проверка

Для этого я использую сборку Hiren’s BootCD, в ней есть множество замечательных утилит в том числе.

• MHDD - для проверки поверхности жеского диска и возможным ремонтом HDD
• Memtest86+ - для теста памяти

Запускаем на трех серверах и ждем окончания работы и результатов. У меня обошлось без приключений.

Обновление

Так же я захотел обновить прошивки всех серверов для этого есть специальный загрузочный образ Intel® Deployment Assistant Wizard, который позволяет настраивать и модернизировать BIOS и встроенное ПО, а также позволяет автоматически установить ОС. Для каждой платформы необходимо закачивать свой Assistant, поэтому у меня были заблаговременно записаны два диска.
И с помощью него я обновил BIOS, настроил RAID и провёл некоторые манипуляции с сервером.

Проблемы

Сервера
При установке Windows 2003 St на сервера SR1630HGP Windows отказался видеть жеские диски хоть с драйвером хоть без него. Для этого и нужен нам Intel® Deployment Assistant Wizard он спросил, что хотим ставить, где образ системы и спросил некоторые настройки. После этого он бодро закатал себе образ и скопировал в корень Windows драйвера от контроллера и сказал, что будет перезагружаться. После перезагрузки система была уже установлена. =) Пока я до настраивал два виндовых сервера до возможности удаленной работы, третий сервер с FreeBSD уже бодро качал порты и обновления из интернета.

Сеть
Как было озвучено стоял свич D-Link DES-1250G и я все три сервера воткнул в гигабитные порты вечером в воскресенье все работало, и в понедельник пришли пользователи, нагрузка на свич возросла и клиентские компьютеры стали терять интернет, сетевое соединение, доступ к расшаркам и тп.
Начал смотреть свичь, переключил сервера с портов 1Gb на 100Mb порты проблема ослабла, но не исчезла. Я сразу все понял и полез на сайт D-link за новой прошивкой и после прошивки свича все встало на место.
Так же мне пришлось ждать два дня когда фирма соединит два офиса, проведет от них СКС до свича.

Оборудование
KVM Aten CS1734B иногда после долгой работы (2-3 суток) терял монитор, клавиатуру, мышь. Лечится тоже перепрошивкой.

Клиентские ПК
Проблем было много и они были разнообразные. Начиная с того что:

• не подсоединялись некоторые ПК в домен из за поврежденных файлов (решение sfc /scannow)
• не зайти в safe mode системы из-за аналогичных проблем и\или были проблемы из-за вирусов (решение AVZ и sfc /scannow
• старые SP я обновлял сразу до SP3
• проблемы с установленным ранее ПО
• и т.п.

Сетевая инфраструктура

Роли серверов

Каждый сервер в сети отвечает за свою часть работы и их совокупность дает полноценную работу всей инфраструктуры сети. Для повышения стабильности некоторые сервисы продублированны.

• srv1.firma.local - контроллер домена, распространение ПО, настройка и защита клиентов.
  • Primary DNS
  • Active Directory
  • Групповые политики
  • Разворачивание ПО через AD
  • Расшаренные директории с теневыми копиями
  • Антивирусный сервер и точка распространения антивирусных политик и обновлений.
  • Система обновлений WSUS
• srv2.firma.local - сервер баз данных, 1С, Гарант, Консультант + и т.п.
• thor.firma.local - сервер обеспечивающий эксплуатацию СКС, подержание работоспособности серверов и сетевых ресурсов.
  • Slave DNS
  • DHCP
  • Управление питанием серверов - NUT
  • Служба технической поддержки и менеджмент ресурсов компании GLPI
  • Сетевые ресурсы - oldap, jabber, squid и тп

Структура домена

Сейчас она простая в будущем возможно будет сделана репликация Active Directory.

Групповые политики

Тут все просто я создал контейнеры для компьютеров и для пользователей с вложенными субконтейнерами.

• PC - контейнер для компьютеров с общими GP.
  • PC_Admin - ПК админов, наделенные некоторыми привелегиями
  • PC_User - все остальные
  • Servers - сервера
• USERS - контейнер для пользователей с общими GP.
  • Admin - администраторы (применяются ограничения группы USER)
  • Tech - технические учетные записи для оборудования и ПО (применяются ограничения группы USER)
  • User1 - пользователи группы №1 (применяются свои ограничения и группы USER)
  • User2 - пользователи группы №2 (применяются свои ограничения и группы USER)

Каждой группе присваиваются свои политики, но я упомяну некоторые из них.
Для контейнера PC я присвоил следующие политики.

• WSUS - настройка клиентов на работы со службой WSUS работающий на этом сервера
• Log - ограничения на кол-во записей в логах сервера по дням
• Security - ограничения связанные с работой клиентов и того что им категорически нельзя
• Preset - автоматически устанавливаемые программы
• NTDP - указание сервера времени
• Autorun - отключение автозапуска. И в дополнении я запрещаю запускать программы с USB\CD\DVD с помощью Symantec Endpoint Protection

Как вы видите я многое привязал к ПК, а не к учетным записям пользователей и это очень важно тк все довольно стандартизировано и при этом не будет постоянных изменений конфигурации и ПО. В группу пользователей я вынес только то, что должно меняться при их входе это и расшаренные директории, и закладки и некоторые ограничения характерные для определенной группы.

Советы

1. Неправильная обработка GP и присоединение к домену

Клиентом неправильно обрабатывались GP. Коды ошибок 1000, 1006, 1030 источник Userenv, UserInit. А так же неудача запроса GP и соединения с доменом.
* cmd
* rundll32.exe keymgr.dll,KRShowKeyMgr
* gpupdate /force

Для визуализации GP, применимых на клиенте, выполните
1. gpresult
2. cmd + rsop.msc

В Windows 7 можно применить следующее
1. GPRESULT /H D:/GPReport.html

2. Обновления WSUS

Если клиент не обновляется\не видно его в консоли WSUS то:
* cmd + wuauclt.exe /detectnow или Wuauclt.exe /resetauthorization /detectnow
* WindowsUpdateAgent20-x86.exe /wuforce
* WSUS client Diagnostics

3. Проблема с учетными записями клиентов домена на ПК, сетевыми директориями и тп.

Необходимо удалить кешируемые записи для устранения проблем с аутентификацией. При возникновении ошибок о не нахождении учетной записи хотя она существует и работает, и невозможности штатно подключить сетевые диски с ошибкой "Не найден пользователь" делаем:

* cmd + rundll32.exe keymgr.dll,KRShowKeyMgr
* Удаляем существующие учетные записи и перезагружаем компьютер.

4. Активное применение групповых политик

* cmd + gpupdate /force

Распространение ПО

Как вы уже видели групповая политика распространения ПО по сети это "Preset" в ней я указываю, что нужно ставить обязательно, а что по выбору пользователя. Так же как и что обновлять.

Как вы видите тут несколько программ и их обновления. Необходимо чтобы все программы были доступны по сети, те должны находится в сетевой директории после применения GP на компьютере при следующем перезапуске все это программное обеспечение будет установлено или обновлено.

Общие директории

Общие директории для офисной сети важны, а так же важно чтобы они работали хорошо, была возможность откатить до нужной даты ФС если нужно восстановить удаленный файл. А так же распределить чтобы при входе пользователя монтировалась сетевая директория нужной группы пользователей.
Так же я в свойствах нужной директории указал необходимость "Теневой копии" и включил ее создание через каждые 4 часа с ограничением общего объема до 10 Гб.
К примеру я сделал несколько сетевых директорий на сервере.

• Shared_1 - для пользователей группы 1
• Shared_2 - для пользователей группы 2
• Software - место дистрибьютора программ
  Administrator - специальное ПО которые которое устанавливает только администратор
  ISO - образы систем и программ
  Preset - программы в MSI формате для установки через GP домена
  Standart - все остальные программы

Для автоматического монтирования сетевых директорий при входе учетной записи в домен необходимо создать GP в контейнере нужной группы и указать параметры подключение в bat.

Shared_user.bat

net use * /delete /yes
net use X: "\\SRV1\Shared"

Расшаренные директории в FIRMA.LOCAL

В сети существует несколько типов директории:
Пользовательский
o Сетевой путь: \\SRV1\Shared

Административный
o Сетевой путь: \\SRV1\Software

Резервные копии
o Сетевой путь: \\SRV1\Backup

Пользовательский
Сетевой путь: \\SRV1\Shared
Права:
o Администраторы домена чтение\запись
o Пользователи домена чтение\запись в своих директориях
Структура:
o FIRMA
+ Shared-1
+ Shared-2 (для пользователей по фамилиям)

На диске D на сервере SRV1.FIRMA.LOCAL, где находится директория Shared включена поддержка "Теневых копий".
Расписание:
o Ежедневно с 08:00 до 17.00 через каждые 4 часа

Административный
Сетевой путь: \\SRV1\Software
Права:
o Администраторы домена чтение\запись
o Пользователи домена чтение
Структура:
o Software
+ Administrator - Программы для установки только администратором в виду наличния лицензий или тонкостей в установке
+ Drivers - Драйвера
+ Backup - резервные образы систем
+ ISO - Образы необходимых ОС и программ
+ Preset - Программы для распространения через GP
+ Standart - Сборник стандартных программ для возможной установки

Резервные копии
Сетевой путь: \\SRV1\Backup
Права:
o Администраторы домена чтение\запись
o Пользователи домена чтение
Структура:
o License
+ New_install - Образы новых инсталяций систем.
++ Servers - Сервера
++ Hosts - Клиенты
+ Work - резервные образы работающих систем
++ Servers - Сервера
++ Hosts - Клиенты
o Config - конфигурационные файлы устройств

Автоматическое подключение
Директории подключаются средствами GP согласно группы учетной записи.

Admins
net use * /delete /yes
net use X: "\\SRV1\Shared"
net use Y: "\\SRV1\Software"

Users
net use * /delete /yes
net use X: "\\SRV1\Shared"

WSUS

Windows в интернете без заплаток это как голой попой на ежа. Я всегда разворачиваю службу WSUS в домене это позволяет повысить безопасность работы клиентов и повысить устойчивость работы ПО.
Советы

• При большом и разнообразном парке ПО от Microsoft выделяйте большой раздел жесткого диска под WSUS
• Создайте хотя бы две группы, к примеру "Test" и "PC" в первую группу поместите 30% компьютеров, во вторую 70%. И при появлении новых заплаток сначала примените в группу "Test" и если после применения (1-2 дня) все прошло успешно то можете разворачивать данные заплатки в группу "PC". В больших группах компьютеров ~200-500 и тп я рекомендую распределять так если по процентам то 10% 15% 30% 45% или блочно отдел, этаж, здание. Так вы избежите больших проблем.

Помощь пользователям GLPI

Для своего удобства в работе я заставляю пользователей переходить от звонков к тикет системе и отправкой е-майл в суппорт систему. И необходимо показать как с этим работать, а так же проследить чтобы они под вашим присмотром смогли сами сделать свой первый запрос в поддержку. И в дальнейшем принудительно переводите на ее использование всех пользователей. Невсегда это получается , но стремитесь к своей цели.
Как уставновить и настроить GLPI см тут.

• GLPI - Менеджер ресурсов компании

Фаервол

Всегда ведите документацию по всем работам и в том числе о том какие порта разрешены для работы в интернете, а какие запрещены. Вот к примеру небольшая выдержка из моей документации по фаерволу из базы знаний GLPI.

Разрешенные порты:
Сетевые сервисы
o DNS: 53 (UDP)
o Ping - ICMP
Веб
o HTTP: 80
o HTTPS: 443
Почта
o POP3: 110
o SMTP: 25
o SMTPS: 465/TCP,UDP
o IMAP: 143
o (IMAPS): 993/TCP
Внешние сервисы
o SSH: 22 (remote access)
o Telnet: 23 (remote access)
o FTP: 21, 20 для команд и для данных
o NTP: 123 (UDP)
o XMPP: 5222/5223 - клиент-сервер, 5269 - сервер-сервер (Jabber), 5298, 9090,9091 - веб админка.
o ICQ: 5190
o # Torrent: 45678 (6969, 6881—6889) - закрыт
o cvsup: 5999
o PPTP: 1723/TCP,UDP, 47
Рабочие программы
o MSSQL: 3306
Из VPN в WAN [DNS суффикс firma.local]
o Ping: ICMP
o SSH: 22 (lannet)
o WEB: 80:443 (lannet)

Все остальные порты отключены.

Документация

Главное в работе и последующей эксплуатации - грамотное ведение документации. Вы можете записывать все, что посчитаете нужным для того чтобы эксплуатация всего комплекса, даже у замещающего вас человека, не вызывало вопросов. В документации может быть и структура сети, и правила применимые в этой СКС, и сборник ответов на вопросы по проблемам и faq для пользователей и список устройств с IP и многое другое. И желательно сделать бумажные варианты документации со списком паролей и сложить в папку так иногда на месте проще решать проблемы.

Резервное копирование

Тут я поступил просто я настроил:

• Windows 2003 - NTBackup
• FreeBSD - dump\restore

И каждые две недели по cron\планировщику проводится бекап полного образа систем. Как вы заметили в пункте Роли есть документ Имена, IP и конфигурация и там я под каждый сервер зарезервировал отдельный диск Backup на который и сохраняются бекапы.

Финал

После всех работ и фиксирования когда и что сделал я получил следующий вид плана.

• Реализованный план

Итого все работает и не требует вмешательства, FreeBSD и ПО серверов Itel шлют отчеты о состоянии работы. И я захожу иногда проверить логи, разрешить новые заплатки в WSUS, и добавить новое ПО для обновления программ. И при возникновении проблемы с пользователями я могу заходить удаленно на их компьютер и быстро решать проблемы а не ехать за 200 км к ним. И следующий этап работы с предприятием это создание для них корпоративной почты и веб сайта.

Переход организации на свободное ПО с благоустройством сетевой инфраструктуры.

Досталась мне под крыло небольшая организация с парком машин около 100. Все выглядело очень "весело" ни одного сервера и соответственно домена тоже нет на ~60% стоит лицензионный Windows XP пользователи работают под правами администраторов. Антивирусы если и стоят то разные и разнообразные (т.е. "опытные" пользователи сами установили что хотели) Интернет работает без лимитов и статистики. В общем картина ясная рай для пользователей и ад для администраторов. Ну что же необходимо все это разрулить =).

Содержание:

• Что имеем
• Первая неделя
• Сетевая инфраструктура
• Сервера и серверное программное обеспечение
• ПК клиентов
• Программное обеспечение клиентов
• Документация
• Заключение
• >>ВЕТКА ФОРУМА<<

Что имеем

И так пройдемся что есть в наличии:

• Оборудование:
  • 98 персональных компьютера
  • Два стекируемого комутатора 3Com серии 4200 50-Port
  • Два 3Com OfficeConnect Wireless 11g Access Point
  • Два "сервера" в кавычках потому что это не специализированные, а собранные ПК с мощной начинкой =))
• Программное обеспечение:
  • 68 установленных лицензионных Windows XP
  • Две специализированных легально закупленных программ. А остальное дополнительное ПО не лицензионное это архиваторы, почтовое ПО, офисные пакеты, фотошоп, переводчики, запись дисков Nero и тп.
  • Отказ работодателя от полной закупки лицензионного софта. И возможно лишь частичная закупка (одна-две программы).
• Чего хотят:
  • Обезопасить работу предприятия и разобраться с потерей данных (всплывает у конкурентов)
  • Все, что возможно переводится под свободное ПО. (кризис\нежелание платить\и тп)
  • Указ работодателя чтобы часть управления сетевой инфраструктуры управлялось Windows, а не только указанной мною FreeBSD (боятся они UNIX, но ничего подсажу ;))
  • Улучшить инфраструктуру предприятия ее защиту и расширить каталог сервисов и удобство работы.
  • Перевести по возможности весь документооборот в электронную форму.

Первая неделя

Опишу в очень кратком виде.
Обдумав обьем работы и нежеланимем издохнуть на рабочем месте одному я связался с начальством и выбил себе помощника (хороший парень хоть и только по электрикие шарит, но ничего обучим это же не менеджер =))

Далее затребовал закупить:
1. Windows 2003 St - в ручную мне нехочется управлять этим зоопарком и все привык делать на автомате это и GPO, установка по сети систем и программ и тп. А желания кувыркатся с Samba нет тем более начальство попросило один управляющий сервер на Windows.

2. Symantec Endpoint Protection - Это грамотный антивирус, персональный фаервол и защита от сетевых атак разного типа, управлением доступа любых внешних устройств к ПК. И самое главное это единая.

3. Стоечный UPC Smart-UPS 1500 - для серверов, свичей, wifi.

4. D-Link Firewall DFL-210 - корпоративный брандмауэр, VPN доступ и многое другое.

Сетевая инфраструктура

LAN

Для начала убедился, что розетки есть и кабеля подводятся к серверной стойке, но маркировки небыло или была частичная =(. И так пару дней с помощником маркировали розетки и кабели в серверной. В помещениях начали маркировать так с лева от входа на право маркировали с параллельным прозваниванием цепи (работает\не работает) тестером для LAN соединений.
В серверной я помечал так этаж/кабинет/№розетки (пример 1/14/56) И наклеивал на провод его данные. В магазинах специализирующихся по сетям есть типа блокнота с буквами и цифрами отмеренных чтобы можно было спокойно оторвать, обмотать провод и намертво приклеить к нему. А так же спец. мягкие хомуты-липучки для обвязки проводов.
Обязательно необходимо составить схему сети (для этого удобно использовать Visio) и схему паролей и адресов всех сетевых устройств с распечаткой на бумаге.

Коммутаторы

С ними все просто:

• Установил криптостойкий пароль администратора (стоял пароль администратора по умолчанию) добавил своего, а так же корректно настроил устройство
• Объединил в стек (до этого они просто были соединены =))
• Создал два VLAN и в первый загнал всех, а во второй два порта для управления
• Забегая в перед расскажу, что я привязал IP+MAC+Port для всех сетевых устройств
• Отключил неиспользуемые порты кроме двух висящих на отдельном VLAN
• Сохранил конфигурационный файл

Wi-Fi

С этим была маленькая "хохма". Выяснилось, что в LAN предприятия все, кто имел девайс с wi-fi модулем заходили без аутентификации. Когда на мой вопрос зачем вы так настроили мне ответили, что так очень удобно и не надо заморачиваться. Пришел с любым девайсом и все работает %0.
На пальцах объяснил, что это очень плохо и чем это грозит безопасностью предприятия в том числе куда могут уходить данные.
Список работ с двумя wi-fi точками:

• Окончательно решили какие ноутбуки могут иметь вход через wi-fi.
• Установил криптостойкий пароль администратора (стоял пароль администратора 123 =)) и добавил своего, а так же корректно настроил устройство.
• Убрал Broadcast SSID.
• Установил WPA ключ на 40 символов.
• Для соединения указал список из необходимых MAC адресов для возможности подключения, а остальные указал не принимать.
• Сохранил конфигурационный файл.

Firewall

C D-Link Firewall DFL-210 мне довольно часто приходится сталкиваться в этой железки есть свою плюсы и минусы. Но на ней в принципе можно все сделать вот к примеру:

• Создал VPN точку доступа в сеть предприятия (можете создать как PPTP сервер так и с L2TP)
• Пользователей для доступа через VPN к ресурсам компании так же урегулировал с таким же ограничением по паролям и конкретными устройствами.
• Нарезал труб в Traffic Shaping и раздал скорости по группам
• Оставил для внешнего мира минимум рабочих портов (http, https, dns, jabber, vpn, ping и тп). Остальное заблокировал.
• Так же для запаса создал правило (но не активировал) для доступа в интернет с аутентификацией через браузер. =)

Сервера и серверное программное обеспечение

Как я озвучил в начале есть два "сервера" на которые мне предлагалось установить ОС и серверное ПО. Характеристики у обоих одинаковые и как говорится без комментариев.
"Cервер":
Тип ЦП - Intel Pentium 4 630, 3000 MHz (15 x 200)
Системная плата - Asus P5LD2 Deluxe (3 PCI, 1 PCI-E x1, 2 PCI-E x16, 4 DDR2 DIMM, Audio, Gigabit LAN, IEEE-1394)
Чипсет системной платы - Intel Lakeport i945P
Системная память - 2048 Мб (OCZ Value Pro OCZ25331024VP DDR2-533 DDR2 SDRAM)
Контроллер IDE - Intel(R) 82801G (ICH7 Family) Ultra ATA Storage Controllers - 27DF
Контроллер хранения данных - Intel(R) 82801GR/GH SATA RAID Controller
Сетевой адаптер - Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller
HDD - 2х Western Digital 160GB 7200RPM ATA-300 8MB Cache WD1600JS-00MHB0
Ну что же пусть будет тазеги у меня дома намного хуже «сервера» по характеристикам работают =)

Windows Server

Windows Server 2003 R2, Standard Edition нашли\закупили быстро и я пошел устанавливать на нее следующее:

• Active Directory:
  • Установил домен и Active Directory
  • Создал контейнеры для конкретных типов пользователей
  • Установил основные ограничивающие GPO
  • Создал GPO для установки msi программ включил в необходимые контейнеры и добавил программы
• Пользователи:
  • Создал список пользователей согласно штатного расписания с полным ФИО, должностью, контактными данными
  • Создал каждому с генерированный пароль (5 знаков) и указал, что каждые 3 месяца пароли будут меняться.
• Серверное ПО:
  • Установил Windows Server Update Services с тестированием заплаток на отдельном ПК в течении недели
  • Закупили Symantec Endpoint Protection установил Консоль Symantec Endpoint Protection Manager, сервер Symantec Endpoint Protection, с сервером и консолью центрального карантина. А так же Symantec Network Access Control. Настроил политики работы клиентов, сервера, обновлений, контроля доступа, персонального брандмауэра и пакетов автоматической установки клиентов в домене.
  • DNS и DHCP
  • Shared folder - специально созданные директории для единого доступа и работе по сети всех компьютеров с файлами. С созданием теневых копий 2 раза в день (8.00 и 17.00) и чисткой каждый месяц.

FreeBSD

Классика жанра комментарии излишне то что я люблю =) Исходя из процессора поставил FreeBSD 7.2-RELEASE-p3 i386. И дальше необходимо как основу устанавливать классическую связку BAMP
B - *BSD (FreeBSD, OpenBSD, NetBSD)
A - web сервер Apache с vhosts и вариациями если необходимо Fast_CGI и тп.
M - MySQL
P - PHP5

Разберемся с необходимым программным обеспечением. В принципе все это ПО уже стало де факто на таких серверах с некоторыми изысками (по крайней мере у меня)

• Програмное обеспечени для IT службы:
  • GLPI - ПО для управления ресурсами предприятия, поддержка пользователей (helpdesk), FAQ, база знаний, расходных материалов, и многое другое
  • phpMyAdmin - веб интерфейс к MYSQL
  • Установил основные ограничивающие GPO
  • phpldapadmin - веб интерфейс к OpenLDAP
• Мониторинг работы сети:
  • Cacti - для сбора посредством SNMP статистических данных за определённый временной интервал и отображения их в графическом виде. (Аунтификация посредством AD)
  • Nagios - для мониторинга компьютерных систем и сетей.
  • Network UPS Tools - интерфейс для мониторинга и администрирование UPS оборудования.
• Данные:
  • Amanda - клиент-серверное программное обеспечение, позволяющее управлять резервным копированием.
  • FTP - хранение данных, программ и тп.
• Рабочие сервисы:
  • NauDoc - Система автоматизации бизнес-процессов и электронного документооборота
  • Openfire - Jabber/XMPP сервер для работы мессенджера.
  • OpenLDAP - открытая реализация LDAP на нем делается общая адресная книга и тп
  • Squid - кеширующий прокси
    • Rejik - Блокирование баннеров сайтов и тп.
    • Sarg - статистика работы пользователей
    • Sqstat - статистика работы пользователей в режиме реального времени
    • Clam AntiVirus - антивирусная защита от заразы веб контента
  • Exim & dovecot - почтовая система (вторая очередь плана - почтовый сервер и веб сервер)

Програмное обеспечени для IT службы

GLPI - Система инвентаризации компьютерной и оргтехники - Проект предназначен для работы с базой данных IT и телекоммуникационного оборудования, установленного на предприятии. Также имеется возможность ведения учета расходных материалов и организации службы технической поддержки по расписанию и по заявкам пользователей. GLPI русифицирована, создана на PHP и использует СУБД MySQL, лицензия GPL.
При использовании совместно с продуктом OCS-Inventory возможно создание максимально автоматизированной системы инвентаризации. OCS-Inventory основан на распределяемых модулях, устанавливаемых на инвентаризируемые машины, которые отсылают подробную информацию о системе и подключенных устройствах в выделенную базу данных.
Список работ по внедрению системы:

• Провел инвентаризацию всего IT имущества - ПК, оргтехнику, телефоны, и тп внес в систему с привязкой к ответственному лицу и тех. специалисту.
• Внес все расходные материалы (картриджи, диски и т.п.) с назначением тех. специалиста который будет получать еженедельно автоматически письмо с уведомлением о необходимом заказе р/м.
• Параллельно писал FAQ для администраторов и пользователей (база знаний).
• Указал человека который будет ответственен за заявки пользователей (helpdesc копия заявок идет по е-майл обоим сторонам).
• Внес все договора и поставщиков работающие с этой организацией. А так же сроки пролонгации договоров и уведомления по продлению.
• Создал html страницу которая загружается в качестве домашней страницы в Mozilla Firefox и Mozilla Thunderbird в ней несколько пунктов. Поддержка и FAQ (GLPI - helpdesc и faq), Справочник по организации (ФИО, тел, должность, е-майл и тп, внутренний сайт, и Nagios (да да именно он входят в качестве гостя и видят сами что пашет, что нет не дергая админов(в большинстве случаев админы сами туда смотрят =))))
• И еще многое подобное.

Системы электронного документооборота СЭД

С этим прошлось поморочится. У нас в Росии не очень любят работать с такими системами и пользователям все кажется, что лучше и надежней бумаги нет ничего. Ну чтоже попытаемся вкратце разобратся. Я рассматривал с десяток подобных систем и опирался на уже работающие системы в других организациях (привет всем руководителям IT отделов разных организаций которые меня знают и работали вместе =)). И так раскинем, что я имею на этот счет.

БОСС-Референт - разработана для автоматизации управленческого документооборота и делопроизводства. Замечательный продукт, но платный и за каждое пользовательское место нужно платить и разработан как дополнение к Lotus Domino которое тоже стоит денег, но Lotus более мягче относится к лицензии те можно поставить хоть на все рабочие места, а лицензии закупать по мере необходимости. Далее не очень внятная настройка и работа данного продукта. Но в целом можно сказать, что это хорошее ПО, но довольно дорогая система и требовательна к IT специалистам лотусникам.

NauDoc - разработана чтобы организовать единое структурированное корпоративное хранилище информации, автоматизировать бизнес-процессы обработки и поиска документов, автоматизировать процесс подачи поручений и контроля исполнительской дисциплины на предприятии. То есть сократить время рутинной работы с документами и повысить эффективность работы персонала. Меня давно привлекал этот проект и в нем довольно интересные вещи и самое главное работает на UNIX имеет полноценный web-интерфейс. Я давно все перевожусь в веб среду отказываясь от стационарного ПО.

• низкая стоимость приобретения и внедрения системы
• открытый код системы
• бесплатные обновления
• бесплатная версия NauDoc Free
• бесплатное дистанционное обучение пользователей
• полноценный web-интерфейс
• отсутствие затрат на дополнительные компоненты
• значительный опыт реализованных проектов (более 200 внедрений СЭД)
• полный спектр услуг по обучению и технической поддержке системы электронного документооборота NauDoc обеспечивают успешное внедрение и качественное сопровождение системы

Alfresco - open source система управления контентом уровня предприятия, с открытыми стандартами, для платформ Microsoft Windows и Unix. Система характеризуется дизайном с высокой степенью модульности и масштабируемой производительностью. Alfresco включает в себя такие модули как репозиторий контента, готовый к использованию веб-портал, фреймворк для управления и использования стандартным содержимым портала, интерфейс CIFS, предоставляющий совместимость с файловыми системами Microsoft Windows и Unix ОС через интернет, систему управления веб-контентом с возможностью виртуализации веб-приложений и статичных сайтов через Apache Tomcat, а также предлагает механизм индексирования и поиска Lucene и jBPM workflow. Система Alfresco разработана с использованием Java технологий. Из минусов плохая локализация, долго пилить под себя и не люблю я java.

DocsVision - хорошо, но на работает на M$ сервере.

Directum - Хорошо, но дешевле похоже БОСС-Референт =) Описание позже.

Система «ДЕЛО», разработанная компанией «Электронные Офисные Системы» (ЭОС) - комплексное промышленное решение, обеспечивающее автоматизацию процессов делопроизводства, а также ведение полностью электронного документооборота организации. Советую приглядется.

Directum - полноценная ECM-система, обеспечивающая прозрачность управления компанией и повышающая эффективность работы всех ее сотрудников.
DIRECTUM поддерживает полный жизненный цикл управления документами, при этом традиционное "бумажное" делопроизводство органично вписывается в электронный документооборот. Таким образом обеспечивается "безболезненный" переход компании на электронный документооборот и быстрая адаптация сотрудников.

В итоге остановился на NauDoc по нескольким для меня важным параметрам. Более подробно я освещу если вам захочется =) в отдельной статье.

Удобства для FreeBSD

Для удобства работы я делаю некоторою унификацию в работе с системными сервисами.
Например создаю отдельного пользователя (serv) который ограничен для работы только с веб сервисами. Все необходимые для работы веб сервисы линкую на домашнюю директорию этого пользователя, а не добавляю каждый сервис в конфигурационный файл Apache. Главное не нужно вспоминать что у тебя стоит и чем можешь пользоваться (единая точка работы) и удобно когда один технический адрес с которого можешь запускать все что ты установил и\или слинковал. Так же безопасность те все переходы на нужное ПО проходят обязательно через SSL с запрашиванием пароля и принимаются только те IP которые я указал для приемы в эту зону.

ПК клиентов

И так начинем прибираться в клиентской помойке единственное благо что все ПК одной комплектации (все разом закупили) Единственная проблема в hardware было то, что на всех ПК один разъем USB на фронт панели был не рабочим. Лечилось открыванием корпуса и переворачиванием контактов кабеля. И так начнем что я сделал для каждого клиента (Про выбор ПО укажу в следующем разделе):

• В BIOS убрать все ненужные компоненты (звук и тп) установил запрет на загрузку со всего кроме HDD. Поставить унифицированный (одинаковый для всех машин) пароль на BIOS.
• Сохранить все данные. Это и документы и почта (сразу экспортировал в UNIX ящик).
• Очистить весь диск С: от мусора.
• Удалил все нелегальные программы.
• Удалил локальные учетные запись кроме администратора. У локального администратора сменил на унифицированные пароль (одинаковый для всех машин).
• Создать образ лицензионного Windows XP и скопировал по LAN на сервер
• Подключил к домену. Все что могло из программ по GPO установилось остальное ставил сам (1-2 программы).
• Подключил WSUS автоматически обновился Windows (те заплатки которые я одобрил например SP3).
• Symantec Endpoint Protection автоматически установился.
• Перенести все документы и письма в новые учетные записи.
• Обучить пользователя как работать с общей адресной книгой и почтовой программой, браузером, мессенджером, openoffice, системой поддержки, jabber сервиса, офисным пакетом, расшаренными папками и тп (некоторых придется обучать более длительное время. Во время второй стадии обучения как уже договорился с начальником).

На все это хозяйство ушло достаточно времени и сил моих и помощника, но мы были довольны проделанной работой. И так приступаем к разбору клиентского ПО.

Программное обеспечение клиентов

Вот и началось самое интересное. Определимся, что пользователям необходимо и как пользователей можно классифицировать. Для начала разберемся с тем, что всем пользователям необходимо:

• Работать с сетью Интернет.
• Работать с IMAP почтой с использованием общей адресной книгой.
• Использовать мессенждер для быстрой внутренней переписки.
• Совместно работать с документами и архивами документов.
• Работать в специализированном ПО организации.
• Выход документов организовывать в PDF.
• Быстро решать тех. проблемы мешающих работать.
• Иметь хорошую защиту систему от вирусов и других напастей во избежания потери данных.
• Резервный бекап данных.

Для начала определимся какие у нас есть пользователи и что им необходимо из типов ПО. В моем случае было довольно просто:

Необходимо было разобраться с ПО, что было нужно и в каком качестве, а для себя поставил задачу чтобы было все свободным - бесплатным и кроссплатформенным.

Операционная система

Как было сказанно 68 установленных лицензионных Windows XP а остальные 30 не лицензионные ОС. Я поступил так:

• Определился, кто пользуется ПК в качестве User_easy и перенес туда ПК с нелицензионной ОС
• Удалил старую ОС и поставил OpenSolaris (позже начал подумывать про Linux..)
• Все что необходимо из программ установил.
• Далее требоволась более длительное обучение, но тк они пользовались в конторе одним и тем же ПО то проблем не возникло.

Браузер

Долго я думал и сравнивал разные браузеры в итоге остановился на Mozilla Firefox в виду того что:

• Простой для освоения (вкладочный интерфейс, проверка орфографии, поиск по мере набора, «живые закладки», менеджер закачек, поисковая система и тп).
• Функционально расширяемый.
• Оперативно залатывают дыры в браузере.
• Быстро отрабатывает веб контент.
• Автоматическое обновление браузера, так и его расширений.
• Встроенные инструменты для веб-разработчика.
• Безопасное хранение паролей для сайтов и сертификатов.
• Кроссплатформенный.
• Установка в AD посредством msi пакета..
• И многое другое.

FAQ Firefox

В. Некоторые сайты отображаются неправильно или не так работают.
О. Из возникших вопросов о кривом отображении или неправильном открытие некоторых сайтов которые подгонялись только под IE в виду безграмотности web разработчика существует плагин IE Tab.

В. Как убрать ненужные баннеры и тп.
О. Для блокировки мелочёвки и рекламы которую пропустил squid я ставлю Adblock Plus. Остальное по вкусу.

В. Как сохранить закладки, пароли т.п.
О. Для Mozilla Firefox и Mozilla Thunderbird существует утилита для сохранения всех их настроек, ссылок и тп. Это MozBackup она легко сохранит и восстановит данные. К слову сказать Firefox сам может резервировать свои закладки.

Почтовая программа

С почтовой программой вопросов не возникло и выбрал Mozilla Thunderbird тк я знал чего мне нужно и что хочу видеть:

• Грамотную работу с IMAP.
• Уметь правильно работать с LDAP каталогом (общая адресная книга).
• Иметь хороший персональный спам фильтр.
• Работать через SSL/TSL.
• Создавать правильные html письма (с этим был презабавнейший курьез =)).
• Быть простым в обучении и удобным в работе.
• Иметь возможность расширятся плагинами.
• Быть кроссплатформенный и работать даже с флешки.

С TheBAT! к сожалению не срослось. У меня от старого предприятия остались пару лицензий на этот продукт и решил привязать к общей адресной книге OpenLDAP. День повозился и корректно заставить работать TheBAT! у меня вышло пробовал гонять с бубном OpenLDAP тоже не прошло. Связался с разработчиками и в выводе оказалось, что у них это тоже в новых версиях нормально не хочет работать и им нечего мне сказать. С письмами в html вообще занятно получилось попробуйте создать чего-нибудь разноцветно написанное с разными шрифтами и отправить на другой майл клиент ;) Так же мене не нравится, что после выхода релиза TheBAT! я частенько нахожу косяки разработчиков которых не было в предыдущих версиях и они через 2-5 дней опять выкладывают релиз =(. И еще я целюсь на Thunderbird 3 в виду будущей работы данного продукта с сетевым календарем.

FAQ Thunderbird

В. Как импортировать письма из почтового ящика The Bat в Thunderbird?
О. В The Bat! в списке писем необходимо выделить все письма, которые хотите экспортировать. Затем в меню The Bat! нажмите "Инструменты", в нём "Экспортировать письма", а в нём UNIX-ящик...". Появится обычное окно сохранения файла. Сохраните его куда-нибудь, но только не забудьте куда. Скажу несколько слов об имени сохраняемого файла: советую ставить по принципу Название_ящика-Название_папки_в_ящике. Таким манером экспортируете письма из всех нужных папок нужных ящиков. После этого можете закрывать The Bat!
Затем скопируйте файлы в папку Mail/Local Folders вашем каталоге профиля. Перезапустив Thunderbird увидите письма в папке, которая не является каким-либо электронным ящиком. Можете перемещать письма А если в меню Thunderbird Вы щёлкните по "Инструменты", а в нём по "Параметры учетной записи...", то откроется окно с заголовком "Параметры учетной записи", и там будут настройки Ваших электронных ящиков, а в нижнем конце списка ящиков будет особенный ящик, в котором из всех настроек только его название (я его переименовал в "Архив"). Вот в этом-то ящике и появятся папки с Вашими импортированными письмами.

В. Как сохранить письма и адресные книги, пароли т.п.
О. Для Mozilla Firefox и Mozilla Thunderbird существует утилита для сохранения всех их настроек, ссылок и тп. Это MozBackup она легко сохранит и восстановит данные.

Мессенджер

Тут уже на вкус и цвет =) в среде Windows использую Miranda IM т.к. он мал и легок. В FreeBSD можно использовать Kopete. Для меня важно чтобы мессенджер был:

• "Легким" и функциональным.
• Хорошо работал с jabber сервером
• Использовал TSL или SSL шифрование
• Была возможность удобной работы с комнатами и файлами.
• Быть простым в использовании (нам ехать, а не шашечки)
• Иметь возможность расширятся плагинами.

В этой организации я разрешил передавать файлы только внутри своей сети. А во внешнюю сеть дал выход только определенным пользователям без возможности отправки файлов.

Офисный пакет

Традиционно и безоговорочно выбран OpenOffice я его давно на себе испытал и работаю на нем. Да есть свои минусы, но как говорится дареному коню в зубы не смотрят. =) И так какие плюсы в нем:

• Использование стандарта ODF.
• Прямая работа с PDF форматом.
• Кроссплатформенный.
• Установка в AD посредством msi пакета.
• Расширям плагинами.
• И многое другое.

В. В каком виде лучше сохранять файлы в формате ODF или MSO?
О. Есть несколько видов решения:

1. Сохранять файлы в формате MS Office (не лучший вариант).
2. MS Office 2007 при установки SP2 отлично открывает ODF и PDF типы файлов.
3. Для открытия файлов формата ODF в Microsoft Office Word 2003/2007 существует бесплатный пакет\плагин Sun ODF Plugin 3.1 for Microsoft Office.
4. Использовать ODF и при необходимости сохранять или отправлять данные в формате MSOffice.

Что касается третьего варианта то в любом документе можно сделать так:
Файл - Сохранить как... - Microsoft Word 97/2000/XP (.doc)

Или отправив по е-майл в нужном формате MS Word или PDF:
Файл - Отправить - Электронной почтой как Microsoft Word

Так же вы можете сделать иконку отправки е-майл в нужном формате:
Сервис - Панели инструментов кнопка Добавить категория Документы и выбираете Электронной почтой как Microsoft Word с последующим нажатием Добавить. Далее можете добавить иконку (кнопка изменить - Выбрать значек) чтобы была иконка без длинного текста

Я остановился на открытом формате ODF с договоренностью что все отправляемые документы были в формате PDF и при необходимостью экспортированы в формат MS Word. Так же можно для мягкости перехода с начало настроить для сохранения в MS формате с последующим переключением в ODF формат по всему предприятию с отработкой моментом отправки документом.

Архиватор

Тут безоговорочно победил 7-zip в виду того что:

• Кроссплатформенное ПО и cуществует версия для 32 разрядных и 64 разрядных систем.
• msi инсталятор
• Сильное шифрование в форматах 7z и ZIP
• Высокая степень сжатия благодаря новому формату 7z с компрессией LZMA
• Возможность самораспаковки для формата 7z
• Для форматов ZIP и GZIP, архиватор 7-Zip предлагает сжатие которое в 2-10 % лучше чем сжатие предоставляемое архиваторами PKZip и WinZip
• Архивирование / разархивирования: 7z, ZIP, GZIP, BZIP2 и TAR
• Только разархивирование: ARJ, CAB, CHM, CPIO, DEB, DMG, HFS, ISO, LZH, LZMA, MSI, NSIS, RAR, RPM, UDF, WIM, XAR и Z.

Создание PDF

Мне был задан вопрос как преобразовать изображение или чертеж в PDF файл в Windows среде минуя специализированное ПО. И я предложил им doPDF. Основные преимущества использования данного PDF конвертера:

• Он бесплатный - как для коммерческого, так и для личного использования
• Поддерживает 64-бит - может быть установлен на 64-битной операционной системе
• Не Ghostscript - не требуется сторонних программ для создания PDF файлов (как Ghostscript)
• Настраиваемое разрешение - вы можете выбрать любое разрешение от 72 dpi до 2400 dpi
• Установленный/настраиваемый размер страницы
• Поиск в PDF - вы можете искать текст в созданном PDF файле (поисковый механизм также проиндексирует текст из PDF)
• Многоязычный

Просмотр PDF

Есть множество программ для просмотра PDF файлов. Я остановился на Adobe Reader, он так же кроссплатформенный и есть возможность получить msi пакет.

FAQ Adobe Reader

В. Как получить msi пакет?
О. Для этого вам необходимо:

1. Загрузить последнюю версию Adobe Reader и сохранить на диске C:\
2. Нажать Пуск > Выполнить и в вести: C:\AdbeRdr910_ru_RU.exe -nos_ne
3. После декомпресси вам необходимо перейти в директорию %UserProfile%\Local Settings\Application Data\Adobe\Reader 9.1
4. Переместите директорию Reader 9.1 куда хотите и используйте на здоровье.

Подобранное мною программное обеспечение в табличном варианте:

* - msi пакеты распостраняются через GPO в Active Directory.
** - если необходимо можно поставить (OpenOffice великолепно работает с PDF).

Так же необходимо отпределить с какими форматами файлов в основном будет работать организация.

Стандарты типов документов:

Документация

Так же по мере работы я создал точную схему сети, схему сетевых розеток в здании, телефонных линий, список ПО работающего на предприятии. С помощью бухгалтеров провел инвентаризацию и вбил все в GLPI с привязкой имущества к конкретным лицам или материально ответственного лица Весь расходный материал внес и назначил человека который будет отвечать за него (еженедельно автоматически приходит письмо от GLPI о том чего не хватает и нужно заказать). Так же начал писать руководящие документы об работе сети, использования компьютеров пользователями и тп. Если будет необходимости напишу отдельную статью и приложу шаблоны.

Заключение

В заключении хочется сказать, что статья по мере написании пошла не совсем по тому маршруту о чем хотел сказать =), но ничего позже дополню. И так в конце всей этой модернизации предприятия все остались довольны кропе пользователей =)) так как им пришлось много сначало думать и привыкать, а это им соовсем не нравится (особенно для них тяжким бременем оказался формат ODF и освоение OpenSolaris).
И так я остался доволен всем сделанным и попутно будем решать возникшие проблемы которые возможно я упустил. И далее будет закупаться сервер для почты и сайта, регистрироваться домен и вешаться в DMZ на DFL-210, но это потом в будущем. =) На сим заканчиваю, а то буков как то много получилось =)

>>ВЕТКА ФОРУМА<<

Подбор паролей к ноутбукам и HDD

Принесли мне ноутбук Hewlett-Packard с запароленным биосом и HDD и просят чтобы я вскрыл. В сервис центре запросили немалую сумму. Я согласился, все таки можно опыт приобрести по данной тематике и немного материальных благ ;).

Предыстория

Поискав в интернете я наткнулся на несколько вариантов развития событий:

BIOS

• Сбросить BIOS (пароль) методом съема батарейки с материнской платы (далеко не у всех ноутбуков можно так просто это сделать в моем случае это было непросто).
• Подобрать инженерный пароль.
• Сдать в сервисный центр (700-1500 руб).

HDD

• Сбросить слейв пароль мастер паролем.
• Подобрать инженерный пароль.
• Сдать в сервисный центр (1500-2500 руб без гарантии на результат).

Сбросить BIOS съёмом батарейки не вышло, а сбросить пароль HDD не получилось в виду того, что человек запорол мастер пароль. Остается найти\подобрать\сгенерировать инженерный пароль.

Инженерный пароль

Это то, что в сервис центрах используют для разблокирования запароленных ноутбуков и жестких дисков. И как правило в BIOS хранится контрольная сумма пароля, а не он сам. Обычно эту сумму BIOS выводит при блокировании на экран, при этом пишет что-то вроде:

System disabled
Error code
Checksum Error

Поискав в интернете я нашел утилиты которые созданы и распространяются фирмой НР совместно с другими утилитами написанными программистами. Архив с программами прикреплен к статье.
Они подходят ко многим ноутбукам фирм HP, Fujitsu-Siemens, Compaq, Samsung и ко многим другим.

Программы

В данном архиве содержится следующее:
BIOS_PW.EXE - для сброса пароля BIOS (он же unlock6.exe).
HDD_PW.EXE - для сброса пароля HDD.

Остальное для новых моделей ноутбуков [программа - фирма ноутбука- тип контрольной суммы].
pwgen-5dec.exe - Compaq, Fujitsu-Siemens, Hewlett-Packard, Phoenix(generic) [12345]
pwgen-fsi-hex.exe - Fujitsu-Siemens [DEADBEEF, AAAA-BBBB-CCCC-DEAD-BEEF]
pwgen-fsi-5x4dec.exe - Fujitsu-Siemens [1234-4321-1234-4321-1234]
pwgen-samsung.exe - Samsung [07088120410C0000]

Сброс

Воспользуемся штатными BIOS_PW.EXE и HDD_PW.EXE:
Запоминаем код ошибки ноутбука обычно он появляется после трех попыток ввода.
На Windows машине входим в консоль [cmd] переходим в директорию ПО и вводим имя необходимого программного обеспечения, через пробел - код ошибки и через пробел - цифру "0" и нажимаем "Enter". ПО сгенерирует несколько паролей, один из них должен разблокировать ноутбук.

Пример

HDD
Код ошибки HDD данного ноутбука был 11108.

C:\DOCUME~1\A205~1>C:\biosgen\HDD_PW 11108 0
unlock6.exe  v1.1  2 May 2003
 
Choice what kind of the password to be genereted:
0.) Exit....
1.) Scan Code
2.) Upper case ASCII Code
3.) Lower case ASCII Code
Enter your choice:2
4BQ6FKY
6XK89MG
KWMPXGK

BIOS
BIOS вскрывается аналогично три попытки ввода и запоминаем код ошибки потом по той же схеме запускаем BIOS_PW.EXE. И добро пожаловать в BIOS да и незабываем сбросить существующий пароль на BIOS.

ПО
Другие программы [pwgen-5dec.exe, pwgen-fsi-hex.exe, pwgen-fsi-5x4dec.exe, pwgen-samsung.exe]:
Так же по схеме запускаем нужное ПО в консоли и вводим код ошибки которую выдает ноутбук при неправильно введенном пароле, и держим в руках инженерный пароль.

Вот и все человеку отдал рабочий ноутбук, а сам с $ и experience +1. =)

Предыдущие статьи

В свободное от работы время я пишу статьи по UNIX технологиям для новичков и профессиональных администраторов. Пишу по их просьбе и/или для себя, чтобы не забыть. =) Статьи постоянно добавляются и расширяются. Моё авторское имя Raven2000

• Все статьи автора
  • Настройка AWStats
  • Установка CDMA
  • Jabber - OpenFire
  • make.conf
  • Работа с HDD
  • Quake III Arena
  • Десктоп c FreeBSD
  • Бронированный FreeBSD
  • CMS - TYPO3
  • phpBB-2/3
  • Counter-Strike 1.6
  • TeamSpeak
  • CVSUP и софт через Proxy
  • Установка OpenBSD
  • NFS & Win2k3
  • Pax
  • Proxy Auto Configuration
  • GLPI
  • OpenBSD src & ports
  • Upgrading OpenBSD
  • Оптимизация хоста для CMS
  • Network UPS Tools
  • И т.д.

Здесь приведены не все статьи и далеко не все о чем бы я хотел написать. 

Чёртова ОС

FreeBSD - свободная Unix-подобная операционная система из семейства *BSD относительно молодая система корнями идущими из Калифорнийского университета Беркли и исходных текстов 4.3BSD-Lite и 386BSD. Поддерживает большое количество платформ - архитектуры x86-amd64/Alpha/AXP/IA-64/UltraSPARC/ARM. Это многозадачная 32-х или 64-х разрядная операционная система и разрабатывается как целостная операционная система.
FreeBSD стала популярной благодаря хорошему стеку TCP/IP, многозадачности, бесплатности и стабильности в работе и хорошо зарекомендовала себя как система для построения интранет и Интернет серверов.
Так же FreeBSD популярна и благодаря своей лицензии, которая существенно отличается от лицензии GNU GPL и относиться к числу наиболее демократичных она позволяет использовать код не только в свободном ПО, но и в проприетарном. Вы можете делать с этим ПО всё что угодно - копировать, изменять, продавать кроме одного - не говорите что всё это написано вами.

Исторический очерк

Чтобы понять и оценить систему и почему ее выбирают многие нужно сначала посмотреть на историю возникновения проекта. Проект FreeBSD возглавляемый Джорданом Хабардом, Нэтом Вильямсом и Родом Гримесом, стартовал в 1993г. отделившись от проекта "Unofficial 386BSD Patchkit" который был так и не завершён. Автор Билл Джолицем отверг предложении об совместной разработке без объяснений, но к счастью лицензия BSD позволяла дорабатывать систему без его согласия. Объединив 4.3BSD-lite ("Net/2") c 386BSD и подключив Free Software Foundation к концу 1993г. создали полноценный дистрибутив получивший название FreeBSD (Free как раз подчеркивает свободу его использования). Следующий шаг был маркетинговый - распространение на CD носителях это было очень актуальным в то время. Были проблемы с частью кода которые не принадлежал им и был из 4.3BSD-lite дальше изымались критические куски кода, что задержало выход FreeBSD 2.0 который вышел в 1994г. который не содержал ни строчки чужого кода от правообладателей оригинального кода UNIX систем приемником которого стал Novell. Дальнейшее развитие проходило постепенно и без осложнений. До этого проекта все начиналось с 1970 года с системы MULTICS (1969г.) вы можете проследить всю историю в википедии она довольна интересна.

Основные преимущества

FreeBSD качественно отличается своей разработкой от большинства операционных систем таких как Linux или Windows. Исходный код ядра, драйверов устройств и базовых пользовательских программ таких как командные оболочки и т. п., содержится в одном дереве системы управления версиями SVN. Именно это отличает целостность разработки операционной системы FreeBSD от разнородной разработки Linux в которой много цветных кирпичиков которые иногда плохо стыкуются к напримеру ядро разрабатывается одной группой разработчиков, а набор пользовательских программ — другими (например, проект GNU) и многочисленные группы собирают это всё в единое целое и выпускают в виде различных дистрибутивов Linux. Целостность разрабатываемой системы положительно сказывается на эффективность работы с аппаратной частью и стабильностью работой самой ОС в целом и за счет этого поддерживаться целостность и непротиворечивость всей операционной системы. Системные утилиты имеют четкие и понятные имена и единообразные флаги что положительно отражается в эксплуатации системы.

И к слову говоря система вам не навязывает ненужное ПО и в ней установлено минимально необходимое для полноценной работы сервера, а все остальное вы можете установить из системы портов или пакетом. Linux же напротив ставит все что показалось создателем дистрибутива "необходимым пользователю" это и GUI, дополнительные утилиты и другое ПО которые по разумению разработчиков должны "улучшить/упростить" управление системой не спрашивая вас о необходимости всего этого на сервере причем у разных производителей это разный набор ПО и бывает так что для управления одним устройством создаются разные утилиты разными разработчиками, что вносит путаницу. У большинства систем даже установка выполнена в графическом виде и это не случайно тк чем сложней внутренняя работа системы тем необходимо лучше ее прикрывать всякими визардами и т.п. Чего нет в *BSD системах в том же OpenBSD - это просто классика простоты установки. Да Linux активен, он быстрей подхватывает новые технологии, новое оборудование и под него пишут много драйверов разного качества в связи с этим Linix чаще болеет "детскими" болезнями. Качество дистрибутивов Linux так же варьируется и зависит от группы создателей дистрибутива, бывает отличного качества и бывает так, что новый дистрибутив N с громким именем через пол года загибается и все о нем забывают. В случае с *BSD все наоборот я согласен, что драйвера есть не под все железо и пишется не столь быстро, но не забывайте, что вся работа ведется в отсутствие денежных вливаний в разработку, разработчиков немного, но работа ведется со строгой иерархией. Работа с *BSD это системами компромисс между корпоративной рутиной и интересной работой.

Сравнивать с Windows как-то не спортивно. Windows изначально разрабатывалась Уильямом Генри Гейтс III и Полом Алленом для десктопов, а выход на рынок серверных систем это уже чересчур. Windows так и остается как сервер для своих же Windows систем. И только единицы используют её как Интернет и интранет серверы. Сравнивать с UNIX системами некорректно это как сравнивать теплое с мягким абсолютно - разные идеологии, направление движения разработки, поведения на рынке систем. В случае с Windows это агрессивный маркетинг и реклама, а так же разнообразные меры воздействия на потенциальных покупателей у Linux тоже промелькивают подобные черты.

Необходимо понять что:
*BSD == Unix clone
FreeBSD это клон и он вышел из переписанного 4.3BSD-Lite и 386BSD которые были разработаны в научных институтах для мейнфремов (к истокам мы как раз начинаем возвращаться старые блюда в новой обертке "Облачные вычисления") и изначально задумывались как надежные и мощные сетевые ОС.

Linux == Unix like
Все Linux Unix подобны. Когда Тровальд был молодым и активным финским студентом и начал писать свое ядро у него не было даже стандарта POSIX и писалось на "коленке". Разрабатывал по такому сценарию - автор заново создавал колеса, прохожие добавлял приблуды, а навесы для велосипедов продолжили писать разношерстные разработчики. Знатные как я вам скажу колеса у него вышли, а уж навесы...
Но благодаря эффекту толпы и активному пиару помноженному на сотни тысяч энтузиастов все же нужно признать, что у Linux выходит очень даже неплохо и сервера на этих системах могут дать фору другим системам особенно это видно на корпоративном рынке возьмем тот же RedHat и т.п. Но незабываем, что за качество и поддержку нужно платить.

Windows !== Server
No comment.

Документация и исходные тексты

Документация

Возьмем аспект документации во FreeBSD подход разработчиков к документации очень серьезен вот регулярно обновляемый Handbook и оперативно обновляемые man страницы все аспекты освещены и структурированы, за качеством технической документации внимательно следят разработчики. В Linux все проблематично нет единого центра документации и не может быть ведь для каждого дистрибутива она своя и разного качества так же её пишут разные авторы. Многие нововведения ядра не документируются вовсе, для которых документация существует, не обновляются или обновляются нерегулярно. Зачастую бывает сложно узнать информацию о нужном драйвере. Любой кто заглядывал в /usr/src/linux/Documentation, знает что там твориться и как трудно там что то найти. В итоге документации много, но она слишком разнообразная и напоминает цветные детальки конструктора если не брать в расчет платные дистрибутивы и в результате берет только количеством, а не качеством. В Windows с документацией намного лучше, но за это вы платите свои деньги или проходите курсы опять за деньги ну или же звоните в поддержку хотя и тут всё за деньги и к слову сказать корпоративный Linux уже приблизился к такому-же поведению.

Исходные тексты

В отличие от Windows тот же *BSD и Linux имеют открытые исходные коды и любой желающий может посмотреть и изучить и оценить качество кода, а так же изменить его и поискать там ошибки это очень помогает разработкам так как грамотные люди иногда находят ошибки или предлагают улучшения посмотрев данный код. Но есть нюансы к примеру во FreeBSD вы свободны и вольны с исходным кодом делать все что захотите вплоть до создание своего продукта и его продаже и вам никто не посмеет указать чтобы вы показать код. Именно это защищает разработчиков ведь им тоже нужно есть. В Linux свобода добровольно принудительная да вы сможете изменить, но никак не защитить свое творение и вы обязаны предоставить код любому кто это пожелает, что делает разработку под GPL лицензию "неудобной" для разработчиков.

Во FreeBSD есть деление на группы разработчиков которые влияют на развитие системы:
Коммиттеры - это люди, которые имеют доступ на запись к главному дереву CVS, и имеют право вносить изменения в главное дерево исходных текстов FreeBSD.

Core-группа FreeBSD - главная задача этой группы гарантировать, что проект в целом в хорошем состоянии и движется в правильном направлении. Приглашение постоянных и ответственных разработчиков присоединиться к группе коммиттеров одна из функций Core-группы, так же, как и приглашение новых членов в Core-группу по мере того, как другие уходят. Состав команды выбирается из рядов коммиттеров путем общего голосования выборы проходят каждые 2 года. Некоторые члены Core-группы имеют особые области ответственности, то есть, они являются ответственными за работу отдельной большой части системы.

Каждый человек может помочь разработчикам проекта можно отправлять комментарии и исправления обнаруженных ошибок по почте разработчикам это очень помогает им.

Windows коммерческий продукт и его код за семью печатями, он тщательно охраняется так что сложно сказать какое качество кода у этой системы. Да и реверс-инжинирингом никто не собирается заниматься ибо это как неуловимый Джо, а неуловимый потому, что он нафиг никому не нужен.

Безопасность работы

Вспомните какая самая безопасная система? Правильно OpenBSD это тщательный контроль кода, проверка кода ПО, и отсеивается всего того что может быть сломано или может чем нибудь скомпрометировать систему. Следом за ней идет FreeBSD вы можете установить систему сразу же публиковать в Интернете и вряд ли в ближайшее время система будет кем нибудь испорчена. Возьмите любую *BSD систему и каждая сможет за себя постоять ведь код выверен десятилетиями и разработка ведется очень серьезная. К примеру у OpenBSD (проект с 1995г.) вот такое основание:

Only two remote holes in the default install, in a heck of a long time!

Linux тоже неплохо справляется с работой сети и связка LAMP лидирует по миру, но вот с безопасностью не все так гладко в виду тех же деталек, но дыры так же как и в любой системе закрываются только нужно следить за обновлениями, а их достаточно много.

Кто нибудь пробовал Windows 2003 без заплаток пускать в интернет ну а с заплатками? Правильно никто не хочет восстанавливать, а в большинстве случаев переустанавливать систему заново. Конечно если вы докупите фаервол, систему резервирования данных, антивирус, ограничите все и все же не стоит ее выпускать из кухни ведь ее могут и поломать! «А знаете сколько мне стоило денег чтобы она стала чуть более защищенной!» © Windows администратор

Ломают любые системы какие то взламываются проще другие тяжелей, но идеально защищенных нет и не будет на это особенно влияет человеческий фактор и руки администратора. Проще сломать систему за которой не присматривают и вовремя не обновляют для закрытие брешей и тем более не обновляют ПО ведь через программы бывает много разнообразных взломов. Резюмируя скажу присматривайте за вашими системами и ухаживайте и они вам прослужат очень долго верой и правдой (они живые я знаю и у одной системы есть в душе чертенок с вилами который присмотрит за демонами на вашем сервере).

Программное обеспечение

Программное обеспечение это как свита для короля без свиты нет и короля. Рассмотрим некоторые аспекты работы с ПО в разных системах. Чем больше качественных программ может работать в данной системой тем лучше это и определяет более 50% успеха системы.

FreeBSD даёт две технологии для установки программного обеспечения это коллекция портов (тысячи приложений) и бинарные пакеты. В первом случает очень легко найти нужную программу собрать и установить порт с нужным набором различных опций, с возможностью добавить собственные патчи, или изменить пути и тд, а во втором случает собирать ничего не нужно и пакет просто закачивается на сервер с дальнейшей установкой.

Обновление программного обеспечения происходит просто и централизованно сначала синхронизируете локальное дерево портов потом сравниваются установленные версии ПО с новым деревом портов и при необходимости вы может обновить как единичное приложение так и все сразу. Порты это очень удобно и просто к тому же FreeBSD снисходителен как король и дает возможность поддержки приложений от других систем к примеру:

• Двоичная совместимость с большинством программ, созданных для Linux, SCO, SVR4, BSDI и NetBSD.
• Тысячи других легко адаптируемых приложений доступны в Интернете. FreeBSD совместима по исходным текстам с большинством популярных коммерческих UNIX®-систем и, таким образом, большинство приложений требуют лишь небольших изменений для сборки (или не требуют вообще).

Linux системы используют разнообразные системы это аналоги дерева портов, специальные репозитории и разнообразнейшие типы пакетов на любой вкус и цвет. Часто разные дистрибутивы Linux не могут работать с пакетами созданными для других дистрибутивов и приходиться проявлять чудеса программирования или пользоваться пакетом Alien. В целом, что бы не применяли эти системы в качестве установки программ Linux так же хорошо справляется с модифицированием нужного пакета, установкой и единого центра обновления всех установленных программ.

Windows теперь каждая домохозяйка может...
Существует множество программ которые разработано для этой системы всех не перечесть и они легко устанавливаются и это хорошо. Программы распространяются в виде готовых исполняемых файлов которые легко установить, но это и отрицательный момент в них уже ничего нельзя изменить. Обновление программ происходит по разному, но главное нет единой централизации проверки обновлений и все делать приходится вручную те необходимо проверить каждую программу на новую версию которую необходимо скачать и установить вручную. В последнее время разработчики пытаются встраивать в программы разные костыли типа самообновления и тп, но всё это из-за ограничения системы. Про гибкую установку по сети, репозитария или аналога дерева портов забудьте этого нет и не будет.

Заключение

Мир *BSD систем разнообразен и достаточно дружелюбно настроен к профессионалам. В отличие от Linux, технология которая тесно смешана с пропагандой, а конструктивные огрехи затыкаются идеологическими подоплеками. FreeBSD держит свою нишу и подаянием не занимается и тем более не пытается "объять необъятное" Пока Linux стремительно пытается догнать и превратиться в Windows перенимая худшие качества и теряя свои преимущества. *BSD с годами только развивается и становиться лучше, комфортнее и удобнее тем кто разбирается в этом. Windows тем временем продает свои системы для домохозяек.

И так, где же *BSD системы незаменимы? В связи со своей надежностью и стабильностью работы их лучше использовать в критических системах — массовых почтовых системах, для организации публичных сервисов и хостинга и тд. Они бесплатны, поставляются в открытых исходных текстах с правом доработки и модификации, отлично маштабируються и находятся там, где необходимо выдерживать большую загрузку и обслуживать большое количество запросов. Именно *BSD системы системы портированы на множество платформ от суперкомпьютеров до «контроллеров лифта» позволяя устанавливать себя на скромные компьютеры обслуживающий десятки тысяч пользователей одновременно. *BSD не прихотливы, но для работы с ней требуется грамотный специалист и они будут вам служить десятилетиями.

Надеюсь эта небольшая статья позволит вам понять, кто на самом деле хранитель дата-центров и король хостинга. Приходите в мое подземелье http://www.ignix.ru и я вам расскажу еще много интересных историй и научу управлять всеми вашими новыми демонами...

% uname -a
FreeBSD madcat.local 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Tue Apr 19 19:52:19 MSD 2011
Raven2000@madcat.local:/usr/obj/usr/src/sys/GENERIC  amd64
% uptime
23:07  up 67 days, 47 mins, 1 user, load averages: 5.50, 4.32, 3.92