Звездам числа нет, бездне — дна.
Ломоносов.
Михайло Васильевич явно имел в виду невозможность адекватного решения задачи правильной комплектации и конфигурирования наполнения серверного помещения малой ЛВС при ограниченном бюджете. Но мы попытаемся.
На протяжении всей серии я неоднократно поминал про серверы и серверные задачи, выполняемые на них, и вот настало время определиться с организацией этой стороны работы. Начнём с задач, типично наиболее подходящих для запуска на сервере малой ЛВС. Определившись с выполняемым программным обеспечением и приблизительно спланировав нагрузку перейдём к аппаратной части в последующих материалах. Итак, что же за роли будет выполнять наш сервер? А, точнее, серверы, ибо мы убедимся, что «единожды — всё равно что никогда», «один в поле не воин» и т. д.
Целостность сети
Встроенные в MS Windows 2003 Server роли, направленные на поддержание целостности сети и упрощение администрирования. Да, в основном речь пойдёт именно об этой серверной ОС. Для некоторых ролей, в основном связанных с коммуникациями (на рассматриваемом уровне), наиболее подходящими продуктами являются Unix & Linux семейства ОС, но в большинстве других случаев реализация на платформе MS оптимальнее. Напомню, речь идёт о малом предприятии, а не о сборке расчетных кластеров. Кроме того, некоторые популярные прикладные приложения работают только на её основе. Или работают лучше на её основе.
Рабочая среда и приёмы работы в семействе Windows сходны, и освоить серверный продукт на базе знаний о клиентской XP несложно, особенно когда чётко знаешь, чего хочешь. Если же Вы прекрасно ориентируетесь в среде Linux & Unix и любую задачу настроите на их платформе, то читать Вам тут не о чем, в той области я разбираюсь плохо и научить ничему не смогу.
DHCP
Протокол динамического управления клиентскими машинами. Имеются в виду сетевые настройки, прежде всего главная из них — IP-адрес. Да, конечно же я буду иметь в виду сеть, основанную на протоколе TCP/IP. Варианты есть, но это семейство протоколов стало стандартом де-факто уже достаточно давно. Именно они применяются в интернет, и для параллельного существования в локальной сети других протоколов взаимодействия должны быть веские основания.
Кроме собственно раздачи адресов по запросу клиента служба имеет некоторое количество дополнительных функций. Я обхожусь без неё, статичной адресацией, о чём писал и что обсуждено в конференции очень подробно.
DNS
Служба поддержки доменных имён. Занимается сопоставлением IP-адреса и имени машины. Важность её переоценить невозможно — на ней держится весь интернет, она преобразует набранное в адресной строке браузера название сайта в его IP. В малой ЛВС делает возможным обращение к ПК не по IP, а по имени, которое многим запомнить проще. Кроме того, без DNS невозможно создание домена AD. По сути, DHCP и DNS не очень дружны между собой. Существуют разные способы примирить их, последний — Dynamic DNS, DDNS, включён в состав Server 2003. Не использую, тонкостей не знаю.
Службу лучше поднять и настроить, даже если не планируется домен и хостинг собственного сайта, просто как задел на будущее.
AD
Служба активного каталога домена. Active Directory. Основа приёмов и методов администрирования общей безопасности, разграничения доступа, пользователей, машин, текущих версий ПО и многого-многого другого. По сути основа системного администрирования. В малой ЛВС можно без неё обойтись, но во-первых, достаточно сложно, во-вторых, лучше настроить сразу, чем когда она понадобится — ломать сложившиеся привычки и конфигурации, и в-третьих — разбирайтесь и учите её, точно пригодится в дальнейшем.
Тесно интегрирована с DNS, от его неправильной настройки проистекает большая часть проблем с доменом. Ни в коем случае не собираясь здесь трогать эту огромную и сложную тему, отмечу, что если был домен, и он умер, и на его месте подняли домен с таким же названием и создали такого же пользователя, с тем же именем и паролем, то это будет абсолютно другой пользователь с точки зрения системной безопасности. Если у него были какие-то эксклюзивные права, то никто более этих прав не получит, и не получит доступа к его файлам. Так что если есть хотя бы намёки на структурирование доступа, или подняты какие-то службы AD, или… В общем, контроллеров домена всегда должно быть не менее двух. Это закон жизни.
В малой ЛВС все эти три службы не предъявляют каких-то повышенных требований ни к дисковой подсистеме, ни к оперативной памяти, ни к процессорной мощи. Сетевой трафик локально небольшой, и даже для внешних площадок, обслуживаемых по тарифицированным каналам, вполне приемлемый и настраиваемый.
Основная задача
Как правило, это база данных, построенная по архитектуре «клиент-сервер». Вот её серверная часть и есть главное приложение, под которое чаще всего удаётся убедить руководство выделить отдельную машину и даже обосновать необходимость переплатить за неё в два-три раза, чтобы она соответствовала гордому званию «сервер». Различные системы ведения баз данных отличаются по схемам использования дисковой и оперативной памяти и требовательности в процессорной мощности, так что рекомендации давать трудно. Единственное — надо предусмотреть регулярное резервное копирование, и желательно настроить второй сервер в горячем (или холодном) резерве, о чём я уже писал.
Файлопомойка
Место, где лежат файлы ;-))) Я уже писал, что там должно аккумулироваться при правильной организации процесса. Цель сбора информации в одном месте — прежде всего облегчение систематического резервного копирования (я не попугай, но повторю ещё много раз это слово).
Кроме общих данных там могут находиться ещё две большие группы файлов. Это профили пользователей домена для воссоздания привычной рабочей обстановки при входе в домен не только со своей машины, но и с любой другой, входящей в домен. И для резервирования их.
Также можно для облегчения архивирования пользовательских данных собрать вообще все их документы на сервере, просто переназначить папку с локального диска туда. Плюс — всё в одном месте, легко проверить антивирусом и сделать backup, с соответствующими правами возможен полный контроль сотрудников. Возможно использование бездисковых терминалов. Минусы тоже большие — необходимо не только огромное дисковое пространство на сервере и в резервном хранилище, но и достаточно оперативной памяти и процессорной мощи для одновременного обслуживания всех клиентов. Возрастает время, необходимое для входа в сеть и завершения работы. В это время нагрузка на сеть будет близка к предельной, особенно если все сразу будут включаться и отключаться. Вообще нагрузка на сеть будет всегда достаточно высока при такой схеме работы. Надо предусмотреть хороший коммутатор. Для работы с филиалами такая схема подходит только в случае неоплачиваемого трафика при достаточной пропускной способности канала.
Связь с внешним миром
Очень большая и ответственная группа задач, к тому же сложно формализуемая. Попробую выделить основные направления работы.
Доступ
Первый (или второй, при использовании аппаратных решений) рубеж защиты периметра ЛВС. Когда говорят о доступе в интернет, то имеется в виду прежде всего его безопасность. Этим и занимается сервер доступа. На нём могут выполняться задачи маршрутизатора, шлюза, файрволла, антивируса. Конкретика огромна и в тему статьи не укладывается. Ну и после обеспечения безопасности обеспечиваем пользователям возможность работы, попутно по каким-то правилам ограничивая их активность во всемирной сети. Учитываем трафик, протоколируем события и так далее.
Почта и иже с ней
В целом рассмотрено в одной из предшествующих статей. Т.е. полноценный либо каскадный почтовый сервер, корпоративная конференция и, возможно, пейджинг для общения сотрудников между собой, с клиентами, контрагентами и так далее. Со мной многие не согласятся, но по большому счёту достаточно будет и почты при грамотном её использовании.
Хостинг
Теперь модно иметь свой сайт. Не везде ещё он работает на бизнес, но для престижа положено его содержать, хотя бы категории «визитка». Конечно же, есть компании, весь бизнес которых крутится на основе корпоративного веб-сайта, но админы таких компаний как правило люди квалифицированные и мои статьи им не помогут. Так вот, сайт должен где-то лежать на жёстком диске с публичным доступом из внешней сети. Вариантов два: у себя в конторе или у провайдера интернет-услуг. При локальном размещении требования к безопасности подключения серьёзно возрастают, как и к квалификации обслуживающего персонала. Поэтому оптимальнее на начальном этапе воспользоваться услугами провайдера. Если же по каким-то причинам необходим локальный хостинг, то надо почитать соответствующий раздел конференции перед принятием подобного решения, мной тема рассматриваться не будет. Ключевое обозначение — DMZ, демилитаризованная зона.
Общение с филиалами
Сюда входят программные оболочки для создания туннеля VPN, обеспечения авторизации пользователей и для собственно обмена данными. Для контроля модемных соединений. Естественно, если эти методики используются и не применяются специализированные аппаратные средства. Формализуется задача сложно, надо исходить из конкретики, как я и писал уже.
Прочее
Антивирусный сервер
Не относится ни к одной из перечисленных выше категорий, но важен и нужен. Прежде всего для организации раздачи обновлений клиентам. Если каждый из них начнёт индивидуально выкачивать новые описания вирусов из внешней сети, на это будет потрачено много трафика. Кроме того, антивирусный сервер может достаточно грамотно управлять контролем «здоровья» пользовательских ПК, не только без участия оператора, но и с возможным запретом на его вмешательство в процесс. Если на локальной машине вирус может отключить известные ему антивирусные модули, то можно «вылечить» такой компьютер по сети. В общем штука удобная.
Раздача обновлений
С той же целью — снижения трафика из внешней сети — можно запустить в ЛВС службы автоматической раздачи обновлений. Пока это относится к продукции компании Microsoft, она предлагает простой и логичный способ каскадного подключения через буферный сервер к системе обновления не только ОС, но и офисных приложений. Некоторые другие программные продукты тоже могут обновляться таким же способом, но, к сожалению, через свои службы. Было бы очень приятно увидеть на основе Windows Update System единый центр для обновления всего ПО компании, но когда это произойдёт — пока не ясно. Хотя работа ведётся.
Заключение
Есть и всякие другие задачи, но они бывают не в каждой фирме. Я не хочу сказать, что всё вышеперечисленное водится в любой малой ЛВС, но примерно так организовано в плане выполняемых задач большинство из них.
На выборе платформы для всего этого мы подробнее остановимся в следующей статье, сейчас же ещё раз обращу внимание на то, что сервера по одному не живут. Должна быть минимум пара — боевой и резервный. А лучше три — на него вынести все задачи, связанные с интернет и внешними сношениями. А суровые пожилые админы твёрдо знают поговорку: «один ящик — одна задача». В свете последних модных тенденций в роли «ящика» может выступать виртуальная машина, о них на сайте есть большая и содержательная серия статей. Но и в таком случае один физический сервер в поле не воин.
На этом этапе выполняется именно инвентаризация серверных задач, оценивается приблизительно требуемая конфигурация под каждую из них и составляется план миграции на соответствующим образом подобранное «железо», о нём речь в следующем материале.
Данный материал можно и нужно критиковать в конференции, НО только предметно и конструктивно. По результатам обсуждения он может быть переработан и дополнен.
Продолжение следует…
