שרידות וגיבוי

[michael770]

שרידות וגיבוי

שלום לכל הממוחים

רציתי לשאול מי יוכל לתת הכוונה\רעיון וכו' למצב הבא

יש לי שני שרתי Hyper-v שניהם יושבים במיקוממים פיזית שונים( מחוברים כרגע בציוד אלחוטי, עוד מעט הם יחובורו בסיב אופטי)

ועל כל שרת יושבות מכונות וירטואליות שונות DC ,FILE-SERVER,TS ועוד

נכון להרגע אין לי שום מערכת שרידות וגיבוי נורמלית, כרגע הגיבוי נעשה ע"י windows Bakup ולגבי שרידות אין שום מערכת.

מה הם האמצעים שיש ברשותי:

1. רישונות של מיקרוסופט ( לכל מערכת\ תוכנה שקיימת) ללא הגבלה
2. מעט כסף

3. הרבה סבלנות

אלו שרתים קיימים בכל שרת HV:

בשרת הראשון יש :
DC, file server ,ts ,PKI,TMG

בשרת השני:

DC child domains , file server, TMG, DC,file server

ה DC הנוסף הוא עבור ניהול של רשת נפרדת עבור התלמידים שאינה קשורה לצוות, וכן מאותה סיבה שרת קבצים נוסף, והTMG הנוסף עבור אותה רשת נפרדת בכדי לאפשר גישה לצוות לשרת מסוים (שרת\מחשב פיזי נוסף)שנמצא ברשת של התלמידים.( השרת קבצים הראשון הוא עבור הצוות וכן ה DC child domains)

מה הרעיון שעלה לי:

למזג את שני השרתים ולבצע cluster מלא ל שני ה HV ( אם זה אפשרי לבצע את זה באופן מלא אני לא יודע, אשמח להכוונה), כמובן לאחד את הchild domains עם ה DV הראשי עם ADMT לאחד את שני ה file server , זה עבור שרידות.
ועבור גיבוי להתקין שרת NAS כמו לדוגמא freeNAS , ולהתשמש ב DPM של מיקרוסופט עבור גיבוי ( אני יוכל להתשמש ב iscsi שיוגדר ב freeNAS)

ושאלה אחרונה מה ההבדלים העקריים בין NAS ל SAN?

אשמח לכל פיסת מידע\הכוונה

תודה

מיכאל

 

[sharonei1]

לפניי הכול אתה חייב תוכנת גיבוי נורמלית

תקנה Veeam

 

[michael770]

ברור שאני חייב

אני מסתכל על המכלול , ולכן אני גם רשמתי כ תוכנת גיבוי להשתמש ב (System Center Data Protection Manager (DPM, אם יש לי את זה בחינם למה לרכוש?

 

[F00D Is G00D]

מממ

במבט חטוף השירותים שלך לא צריכים cluster.

בד"כ cluster יתבסס על מכונת סטור'ג, שהיא בעצמה single point of failure.
ניתן לעשות זאת גם בלי. או לקנות גם תצורות אחסון שרידות במיוחד אבל לעניינך:
Dc, dns, tmg אפשר פשוט להקים נוספים מקבילים.
שרת קבצים אפשר פשוט לרפלק.
Pki הדבר היחיד ש "חשוב" לשמור אונליין זה ה crl. בשימוש פנים ארגוני אתה פשוט ייכול לשים את הקבצים על שרתי הקבצים לעייל.

גיבויים בסביבה כזו הם לא כ"כ מסובכים. למעשה המידע היחיד בעל ערך הוא המידע על שרתי הקבצים.
עוד כדאי לגבות את המבנה של ה active directory והתעודה של ה cert serv (במקום בטוח!!). את המכונות עצמן ניתן לגבות להתאוששות מהירה יותר.

לגבי שאלת ההבדלים.
Nas: smb, nfs
מאפשרים גישה ברמת הקובץ.
San: fcp, iscsi, fcoe
מאפשרים גישה ברמת הבלוק, אתה למעשה מקבל שטח בלוקים )lun( אותו אתה מפרמט עם מערכת הקבצים הנוחה לך מצד השרת.

 

[F00D Is G00D]

כמה מילים על הפרדיגמה של הפרדת הרשתות

ובמקרה להלן הפרדת הדומיניים. אני לא יודע אם העניין בשליטתך היום או לא. אבל אני "רק מניח את זה כאן" גם עבור הקוראים האחרים שאולי רואים את השרשור ומגבשים על סמך זה פרקטיקות.

אני מניח כי בארץ התפיסה הזו יותר רווחת בעיקר בקרב יוצאי צבא וכ'ו שרגילים להפרדות ועוד הפרדות ועוד הפרדות.
זו לא הגישה הרווחת בעולם. שם מנסים לרכז דווקא את הניהול לפלטפורמות אחידות ולחסוך הניהול של רשתות נפרדות, כך בעצם מתאפשר להשקיע ביותר פלטפורמות במקום באלו המקבילות.
ניהול שני דומיניים, שני שרתי קבצים, שני פאיירואלים. על כל המשתמע כולל הפצת פאצים וכ'ו בא על חשבון משאבים שיוקצו למשל לגיבויים, התאוששות מאסון, ובולט מכך; פרויקטי אבטחת מידע אחרים בעלי פוטנציאל הגנה טוב בהרבה.
זאת בעוד ההפרדה הזו לא באמת מספק הגנה אמיתית, ולעתיים אפילו לא עוד מכשול. האם יש הבדל ממשי בין שני שרתי קבצים נפרדים על אותה רשת כאשר האלטרנטיבה היא פשוט שרת אחד עם הרשאות שונות ?
לתוקף מחוץ לאותם שרתי קבצים - אני לא מוצא שום הבדל ! (אשמח לדוגמאות).

מעניין למשל לקרוא את הדיון הבא, האם יש ייתורנות ל chaild domain ?
http://social.technet.microsoft.com...tegy-child-domain-versus-ou?forum=winserverDS

 

[yossik111]

ב"אותו" ענין , יש איזה דעה רווחת

לגבי הפרדות Vlans ? קיים אגב איזה סוג של "כלל אצבע" (כמות יוזרים וכ'ו ) ?
אני מדבר כמובן על המקרה של ארגונים "רגילים" בהיבט של סקיוריטי (כלומר לא צבאיים ו/או כאילו שמחזיקים פטנטים/ סודות מקצועים שמורים וכ'ו)
האם (קונצפטואלית) לא ניתן לסמוך על מערכת ההרשאות של מיקרוסופט (בארגונים מבוססי מקרוסופט כפלטפורמת עבודה / דטה וכ'ו)
כמובן , יש המון ניואנסים וצרכים / דרישות לכול ארגון וארגון , אך בכול זאת הייתי מעוניין לשמוע תובנות בנושא , מה הדעה הרווחת היום וכ'ו .
בתודה מראש.
יוס.

 

[orell]

לשאלתך

אחת הסיבות שאני הייתי עושה VLAN ים בארגון היא לדוגמא הבאה :

נגיד ויש לך רשת בנקאית שאתה נגיד עושה מסחר בבורסה או לחליפין אתר עם מידע מאוד רגיש של העסק שלך שאתה לא רוצה שיכנסו כל מני חברים נחמדים מהאינטרנט "ללכלך" לך את הרשת
אז אתה יוצר רשת אחת פנימית למה שאתה צריך
וסיגמנט אחר בvlan אחר שהוא יכול להיות רק לאינטרנט ומייל חיצוני נגיד .

אם אין לך משהו מיוחד בארגון שלא דורש סביבה מיוחדת אין לך מה לעשות VLAN ים , למה? כדי שמחלקת שכר לא תוכל לדבר תקשורתית עם מחלקת שירות לקוחות?
תיתן הרשאות וכאן זה נגמר ...
מקווה שהצלחתי להסביר את עצמי..

אם יש עוד שאלות אשמח לעזור

 

[Pv07]

מה קשר לVLANS ותקשורת בין מחלקות?

VLANS עושה שני דברים עיקריים - הגדלת כמות של brodcast domain
וצימצום אפשרויות לsniffing של פקטוט שלא מיועדות לך. כמובן אם אתה לא מחבר את המחשב לNATIVE VLAN.
מה שמחבר בין שני רשתות האלו זה ROUTER או בדרך כלל SWITCH LAYER 3.
כמובן אפשר גם לחבר פיירוול בינהם או לא לחבר אותם בכלל - תלוי בדרישות.
אישית הייתי מעדיף לפחות 3 VLANS - רשת לשרתים , רשת למשתמשים וNATIVE VLAN שהוא לא 0.
כמובן כל אחד והבחירה שלו.

 

[orell]

חבר

אני יודע מה VLAN עושה,
אני נתתי דוגמא לאיזה מטרה עושים VLAN זה הקשר לתקשורת בין מחלקות כי נשאלה שאלה למעלה,
אז לרשום טכנית מה VLAN עושה זה לא חוכמה זה לא קורס CCNA כאן , חוכמה שמי ששאל יבין את השאלה שהוא שאל (לאיזה מטרה עושים VLAN ,אם לא הבנתי את שאלתו נכון אז אני אשמח שיסביר יותר לעומק ויקבל תשובה . )
וזאת התשובה שהוא קיבל ממני.
אם אתה רוצה להתחכם ולהראות שאתה יודע מה קורה מאחורי הקלעים אז בבקשה תסביר לבחור .

 

[F00D Is G00D]

בבקשה הימנעו מניסוחים לגופו של גולש.

 

[Pv07]

 

[For Martha]

לחבר firewall בין vlan?

משהו פסול קצת בהבנה שלך, תתעמק קצת מעבר לקורס CCNA.

ובמקביל לשואל השאלה,
גם לנו בארגון גדול יש מספר רב של VLAN's שמיועדות בעיקר לתחנות שמחוץ לדומיין, מדפסות ולאורחים.

(יש עוד כמה vlan's אבל זה מחולק לפי דרישות מחלקות פיתוח וכדומה).

 

[Pv07]

חחחח ... סבבה

 

[yossik111]

תודה ראשית לכול העונים

באמת שאין צורך להיכנס ל"מריבות" ומחלוקות בעלות פן אישי , מיותר מכול בחינה שהיא , אני אגב בעד "מכול מלמדי השכלתי " וגם מתשובות (שעל פניו) לא עונות ישירות על השאלה (בוודאי ובוודאי מתשובות שעונות ישירות על השאלה

)
אגב , מה הרציו שעומד מאחורי vlan למדפסות ? סינון פאקטים לא רצויים ? (בכדי להוריד עומס על הקווים ?)
שוב תודה !
יוס .

 

[sharonei1]

 

[michael770]

המממ

אנסה לרדת קצת יותר לפרטים ולשאול לגבי מה שכתבת ולהעלות רעיונות תוך כדי:

ראשית הבעיה העיקרית שלי או יותר נכון הסיבה העיקרית שאני ניגש לבצע את כל זה , זה מאחר שלפי כחצי שנה לערך הלוח אם של השרת "נפח את נשמתו" , ואז נאלצתי ללכת לאותו שרת להוציא ממנו את הדיסקים קשיחים לצרף אותם לשרת הנוסף שנמצא במיקום פיזית שונה , ולהגדיר את כל המכונות וכו'... זמן יקר שהשבית את המערכת לכמה שעות, לכן אני מנסה למצוא פתרון שבמקרה שאכן יקרה כזה דבר השרת השני יעלה במקומו... או כל רעיון אחר שיחסוך את הזמן השבתה היקר הזה.

לגוף התשובה שלך:

DC אכן כפי שכתבתי הרעיון הוא "למזג" את ה Chaild child ל דומיין האב, האם לכך התכוונת?

לגבי שרת הקבצים גם כתבתי שאכן נראה לי "למזג" גם אותם, השאלה למה כוונתך להשתמש ב DFS?

מה לגבי שרת ה TS? יש לנו עליו תוכנות חשובות של הנהלת חשבונות , מערכת של פתיחת קריאות וכו'

שחכתי להזכיר בשאלה שלי לפני כן שיש לנו גם מכונה וירטואלית שמחזיקה SQL עם system center 2012 ועוד כמה דברים חשובים

לגבי ה TMG, להקים עוד אחד? איפה להריץ אותו?, אני יסביר יותר את השאלה :
אסביר בקצרה איך זה בנוי , כפי שכתבתי בהתחלה אלו שני מבנים, לצורך העניין נקרא להם שרת A ו B שרת B כעקרון מקבל משרת A את האינטרנט כך שאם אני יקים על שרת B עוד TMG לא נראה לי שזה ייתן הרבה מאחר וכל הכבילה הפיזית מודם, נתב וכו' נמצא על שרת A ( אולי לרכוש עוד קו גיבוי על שרת B זה יעזור לרעיון שלך)

או שאני יכול פשוט להתקין מכונה "ולשמור" אותה בצד , אחרי הכל אין ממש שיונים שאני מבצע שם ויתר מכך אפשרי לבצע מידי פעם גיבוי להגדרות.

לכן אני מנסה להגיע למצב שבו שכמה שיותר מכונות יבצעו רפליקה בצורה כזו או אחרת, ועל כן שאלתי היא( אחרי תובנות נוספות) אם קיימת אפשרות לבצע מיזוג ברמה של hyper v ולא לבצע את העבודה בצורה שאני צריך למצוא פתרון לכל מכונה ומכונה?

האם זה רעיון טוב ליצור אחסון מרכזי וכל המכונות ירוצו משם ( זה בסה"כ לא כל כך הרבה מחשבים ותעבורה אני מדבר על לא יותר מ 50 מחשבים ולא מעבירים קבצים גדולים וכו' רק עבודה שוטפת),ואם הרעיון אכן מתקבל על הדעת באיזה מערכת איפשר להשתמש בשביל כך?
או שגם אז יצרתי לעצמי בעייה שגם את האחסון הזה אני צריך להכפיל

בשביל שרידות?

ומה לגבי גיבוי ? מה הדרך הכי נכונה לגבות את הכל ? אני מגיע לגוף התשובה שלך לגבי גיבוי המכונות איך לבצע את הגיבוי יש הרבה הגדרות,תוכנות וכו' בכל מכונה ומכונה , הרעיון שהעלתי בשאלה הוא להשתמש ב system center data protection manager'ת השאלה היא איך הגיבוי עצמו יתבצע על NAS? או יש דרך אחרת לבצע את זה?
אחרי הכל בטח כאן אני יצטרך מינימום RAID1

תודה על העזרה

מיכאל

 

[F00D Is G00D]

אוקי

Dc - כן, דומיין אחד, שני dc ו dns בכל אתר

File - כו, שני שרתים ו dfsr

Sql - פה אתה בקצת בעייה, צריך מוצר גיבוי ייעודי. גם גיבוי של המכונה ברמת ה hyper-v עלול להייות פגום בלי לגבות את ה sql כמו שצריך. אם האפליקציות והמידע לא חיוניים אפשר לשקול אולי הקמת שרת דומה "רדום" בצד השני או שפשוט להרים את אותה מכונה ולקוות לטוב, או להתחיל את ה db מ 0.

Ts אפשר להקים נוסף, ואולי לחשוב גם על connection broker ולהשתמש בשניהם כל הזמן מכדי לא לאבד משאבים, ולא להגיע ליום הדין בלי בדיקה על רטוב.

Tmg. מה מונע ממך להעביר גם את הסגמנט של האינטרנט (מודם-בזק) אל הצד השני ?

לגבי אחסון. כן תצטרך לקנות עוד חומרה, אני חושב שכרגע אתה ייכול גם בלי.

אני לא מכיר את ה dpm צריך לזכור שגיבוי רק של ה vm עלול לגרום לצרות כמו שהוסבר עם ה sql ו ה ad והפלטפורמות האחרות שלא מתוכננים לכך. וההתאוששות לא תהיה כ"כ קצרה. אם אפשר לשמור שירותים חיים משני האתרים בו"ז יהיה לך יותר וודאות לגבי איך ייראה התרחיש וגם תוכל לתרגל אותו (מה שבמצב אחר כנראה יישב במגירה ולא ייבדק אף פעם ) שמירה של גיבויים כדאי שייתבצע לא לעוד שרת vm. אלא לדיסק חיצוני, טייפ או משאב חיצוני ("ענן")

 

[michael770]

אין משהו לתמיכה במקרה של " נפילה" ל SQL?

ראשית תודה על כל העזרה

לגבי SQL האם אין משהו לעשות במקרה של נפילה? זה בסיסי נתונים מאוד חשובים, בפרט שיש לנו מערכת של טלפוניה שמחוברת לבסיסי נתונים האלו , לפתיחת דלתות ושערים ועוד... חוץ מזה שיושב SCCM serever על אותו SQL, כוונתי היא לגבי מה שכתבתי "לעשות במקרה של נפילה" היא failover, אני צריך מענה לשרידות...

לבצע גיבוי ה DPM יכול לעשות את זה היטב, הוא יודע לשחזר גם ברמה של (ILR(Item-Level Recovery גם אם זו מכונה וירטואלית כך שלגבי גיבוים יש לי פתרון ארכוש ציוד נוסף ואשתמש ב freenas וב DPM אוכל להגדיר iscsi על ה freeNAS ולהגדיר ב DPM את ה- iscsi כיעד לגיבוי , וכמובן שיהיה raid

לגבי TMG אכן כנראה זה מה שאני יעשה ארכוש עוד קו לצד השני...

לגבי ה TS, האם אכול להגדיר שני שרתים "זהים" ובכך ברגע ששרת יפול השני יוכל לעבוד ( אני מדבר על דברים שקרו מסיבות כאלו או אחרות) ועד שאשחזר מהגבוי או מה שלא יקרה עם השרת שרת אחר יתפקד במקומו, אכן הצעת connection broker , אך שוב מה לגבי כל התוכנות ( לא ממשתי אף פעם את connection broker , לכן אני שואל) צריך להתקין את הכל בצד השני ? איך בעצם זה מתבצע?

כך שבעיקר אני כרגע מנסה להתמקד בשרידות ( אחרי כל התשובות והמענות וכו' והחלטתי איך אני הולך לבצע גיבוי)

שוב תודה על כל העזרה

מיכאל

 

[skepper]

Free Backup License for Hyper-V‏

http://www.datamanage.co.il/#!phd-promo/c1si3