Виртуалка, диски на СХД. Основная файлопомойка центрального офиса. Там же - рабочие столы и "Мои документы" всех пользователей.
Слава б-гу, слетела только разметка разделов, данные все на месте. Что бы я делал с 10-терабайтным VMDK файлом - ума не приложу.
Поменьше работы вам в праздники, коллеги.
Это вообще удивительная программа: полное отсутствие графического интерфейса и лаконичный текстовый интерфейс прекрасно дополнены огромным функционалом.
Она просто делает своё дело.
Может пост о ней написать? Вдруг кто не знает о ней?
касперский - это резак бабла по сути. помню когда работал криптором - (но это в прошлом) - он убивался либо антиэмулятором - то есть изменением мусорной трассы на точке входа, либо импортом. либо и тем и другим и другими модификациями - но это поработать минут 20 и всё. из всех аверов был реально одной из днарских контор. таже авира имела на тот момент уже нелинейную нейросеть детекта, и доставляла самые большие проблемы, если цеплялась. сейчас хз как у них. каспер это тупо разлеркламленный бред имхо.
Тем не менее как убиватор говна, которое накачивает юзеры - он реально хорош. С тех пор, как мы перешли на касперский, у нас на 1500+ машин было 2 случая заражения вирусами, в обоих случаях - через машину, на которой касперский был отключен.
Однако, ни один инструмент защиты не работает, если он один, и любой можно сломать, если этим заниматься. Если комбинировать инструменты защиты - то получается вроде недурственно.
У меня те же скорости.
качал буквально вчера юзеру рабочий стол по сети, взамен безвременно почившего. 90 гигабайт часа три лилось. Скорость 11 Мбайт/сек.мы действительно сначала почистили кучу мусора с рабочих столов и моих документов юзеров
тут сразу вопрос. Как чистили? У меня в шаре полная жопа. Пихают все что можно и нельзя. Многих уже нет с нами, а папки вроде как нужны.
есть какие-то принципы хранения, правила, там, для хомячков или что-то такое?
некоторые юзеры вообще дубовые, к тому же руководители, с ними вообще не понятно что делать. Соло того, что тупые, так ещё и делают всё как хотят. А что хотят - сказать не могут.
Powershell, ответственный за каждую шару, и распоряжения сверху.
Договариваемся с управляющим, учредителями, и т.п., что или они будут серьезно говорить с похуистами, или будут закладывать еще дополнительный лям в год на расширение хранилища.
Каждая шара вменяется в ответственность конкретному лицу, например, начальнику отдела, который пользуется этой шарой. Он должен ответить на вопрос, нужно ли это говно и что оно тут делает. Иначе говно удаляется.
На каждую шару выдаются конкретные права доступа. Если у вас сейчас полный бардак и ахтунг, имеет смысл начать инвентаризацию силами пользователей: создаете еще одну структуру папок - для начала, в соответствии со штатным расписанием предприятия, и раскидываете права на них. жестко. Ну, потребуются еще папки-обменники, с условием - файлики в обменниках удаляются через 2 недели после создания, например. А на некоторые папки нужно будет дать перекрестные права на чтение, но в целом чем жестче, тем лучше. В идеале при этом права еще назначать на основе должности человека, а не имени учетной записи.
Ну и управляющий командует перенос, с помощью вашей инструкции. И что все неперенесенное будет УДАЛЕНО, ГРОБ, ГРОБ, КЛАДБИЩЕ ПИДОР. Пускай переносят файлы в свои разделы, пускай просят дополнительно открыть доступ, создать дополнительный обменник, еще там чего может им понадобиться.
Отчеты винды по дупликациям и большим файлом помогут выделить первые проблемы на этом поприще, powershell - удалять файлы, принадлежащие несуществующим уже учетным записям (если, к примеру, на них ни у кого другого прав не было), и профили уже несуществующих учеток на терминалках, ну и вообще,
Ну вот так, в общих чертах. С нуля это все делается довольно тяжко, но в итоге эта вот хрень работает практически самостоятельно. Главное - заручиться поддержкой учредителей в этом вопросе. Обычно, для этого стоит рассказать, сколько стоит компании вот это вот бытовое распиздяйство юзеров - не говоря уже о том, что такой бардак и самим юзерам затрудняет работу, на самом-то деле.
Ну, наши регулярно пытаются выгрузки складировать на терминальной ферме. При том, что доступ к серверам собственным, разрабовским у них есть.
С терминалками у меня вообще разговор короткий. Я просто не расширяю на них диски. Максимум чтобы было 10 гигов свободно, ну, чтобы обновления раскатывались без проволочек... Когда мне говорят, что им нужно, я им говорю что им не нужно, и пускай пользуются файловым хранилищем. Профит.
Небольшие проблемки доставляют терминалки с высокой текучестью юзеров разве что - чего я только в загрузках там не находил.
вы хоть представляете что по всему сектору облака хотя бы битдефендера по всему голубому шарику требуется всего один специалист, чтобы снять детект на протяжении всего четверти часа?) и дальше, как стаб залетает, - также)
одно дело держать подменный фонд запчастями (при нормальной организации инфраструктуры, и отсвствии зоопарка в железе) - содержать норм.
другое дело - содержать "собранный" холодный фонд с стартом "ща прям вот 5 минут" - это другие деньги
Хм. Не понял. Вот у меня например бэкапятся все виртуальные машины, имеется пустая резервная корзина, а содержимое текущей позволяет отключить два любых блейда одновременно без проблем для полезной нагрузки. От чего именно я не защищен без возможности восстановления в течении часа? Вроде бы только от физической аннигиляции серверных со всем содержимым.
TestDisk мне, кстати, и помог. Дольше гуглил что умеет этим заниматься с всферовскими дисками, нежели восстанавливал.
Мне вот интересно от чего слетела разметка. Может, что-то экстраординарное. Чтоб знать чего опасаться.
Не уловил мысль, мб потому как засыпаю... Парк персоналок, парк тонких клиентов, с десяток терминальных серверов. Из профиля перемещается только декстоп и мои документы. Перемещаются на файлопомойку. Ну, да, она на том же датасторе, что и терминалки. Но так их у меня всего два и есть, блин. Так-то конечно может быть, но куда же мне еще их складывать? Потом, бэкапы делаются (на локальные диски).
Вот и отрываем. С последнего случая год назад запихнули всю неведомую лабуду безопасников в отдельный влан и закрыли доступ из других - как раз в рамках отрывания рук... Тем не менее, сеть обслуживает не только админ, но и эникеи, а значит, и такие казусы будут иметь место. Да и, чего греха таить, ну кто порты не путал? =)
Во-первых, без дхцп не очень удобно, во-вторых, это не решение проблемы (дхцп и так не раздаст занятый кем-то айпишник, и не помешает настроить на интерфейсе любой вручную), а в третьих действительно, почти все сервера имеют статику, разумеется вне пула раздачи дхцп.
Я имею в виду, что мне сначала в любом случае придется смотреть, где именно находится нужная папка, куда выдавать доступ. Проще уж разбить на несколько виртуалок, без всякого даже DFS. В принципе даже ничего сложного в этом и нету, структуру же трогать не будем. Рабочие столы с моими документами - на одну виртуалку, автоматизированные сервисы на другую, папки отделов на третью. Перенастроить перенаправление, договориться по каждому сервису о переносе, пробежаться скриптом и ярылки все поменять. В принципе это даже не очень сложно, действительно. Просто я мало смысла в этом вижу. Разве что в виде дфс, с распределением и минимум двумя сорсами для всего содержимого - но так нет у меня лишних 15 терабайт на хранилках. Кстати, тоже косяк.
Да и так он по группам раздается по большей части. Более того, частично группы эти даже автоматически корректируются в соответствии со штатной структурой предприятия. Однако доступы все равно придется выдавать и в обход них, и чаще быстрее выдать, чем разбираться, а нельзя ли какой-нибудь группе доступ дать... В общем, это хорошая идея, и она хорошо сработала бы если бы так делалось изначально, и как основа прав доступа это реально работает, однако на полное избравление от проблем не тянет.
Да вообще бывает всякое. Кто-нибудь там зайпишник займет какой-нибудь хуйней типа веб-камеры, которую зачем-то в серверный влан ткнули. Какая-нибудь служба не стартанет после ребута. Описанная в после херь, например. Да мало ли еще что... Это все не то чтобы часто случалось - но так файловый сервер это ж одна из самых важных вещей во всей инфраструктуре, им пользуются тупо все тупо каждый день. И закономерно предположить, что с увеличением количества машин, увеличится и количество подобных проблем.
С вирусней Касперский справляется прямо-таки с фантастической эффективностью, я блин нарадоваться не могу. Да и на самой файлопомойке вирус будет запустить некому. Плюс, отсутствие админских прав в 95% пользователей на своих машинах очень сильно помогает... =)
Кластер помогает только в случае отказа хоста, ну или датастора, В случае проблем с самой машиной он не поможет. А проблемы случаются. Я не говорю, что они нерешаемые, но любой простой ведь плох.
Ну допустим, но что ж мне, сначала каждый раз в права дфс лазить, когда потребуется доступ открыть? Или есть более интересное решение? Не особо интересовался этим вопросом, если честно.
А какой у вас общий объем баз почты? Вообще тоже думал над этим...
Кластер помогает только в случае отказа хоста, ну или датастора, В случае проблем с самой машиной он не поможет. А проблемы случаются. Я не говорю, что они нерешаемые, но любой простой ведь плох.
Ну допустим, но что ж мне, сначала каждый раз в права дфс лазить, когда потребуется доступ открыть? Или есть более интересное решение? Не особо интересовался этим вопросом, если честно.
А какой у вас общий объем баз почты? Вообще тоже думал над этим...
Ну да.
Veeam'ом, в основном маишны целиком. В некоторых случаях бэкапятся данные - например здоровенные SQL базы, echange сервер...
Windows Server Storage reports гуглить, если что.
Ну что тут скажешь. Нужно аргументировать свою позицию "ебанашка не права, я - прав" чем-то серьезным, например, произвести расчеты впустую занимаемого места, показать, как пара строк да пара ребутов избавит от трат на жесткие диски на годик, и спросить, чем это плохо. Потому как если не плохо, так давайте запилим, йопта! Или у вас откаты с закупок жестких дисков?..
В каком смысле "не собирали"? На складе валяется, что ли? ну так имейте в виду, что чем больше дисков вы заполняете сейчас, тем сложнее будет их все в нормальное хранилище запихивать, экспоненциально.
Касперский? Боже, а что им ещё пользуется и зачем? Есть же решения уровня предприятия, а не soho, хотя бы trend micro
Возможно, зависит от почтаря. Мои полтора терабайта вим со свистом чекает, и умеет восстанавливать ящики и письма отдельно - но на эксчендже. А человек о каких-то файлах говорит...
Если вооружить его регламентом, что можно, а что нельзя, то польза может и выйти. Ну и, справится с этим - можно подкинуть других задач. И выращивать кадры под себя.
Ну а квоты - наши разрабы выгрузки 1С по десятку другому гигов любят разбрасывать где ни попадя.
Ну вообще да, но я сомневаюсь что эникей будет экномить места ежемесячно на свою зарплату. Впрочем, зависит от количества пользователей...
На данном этапе я раз в месяц строю дерево каким-то файловым менеджером, который наглядно показывает занимаемое место в папках, паралельно запускаю скриптец, который считает разницу по папкам за текущий и предыдущий запуск и выдает отсортированным. Очень удобно зерна от плевел отхерачивать, по крайней мере в рамках одной файлопомойки.
На счет разрабов - они всегда будут раскидывать свое дерьмо, пока могут, но с другой стороны - блин, может им таки надо эти выгрузки куда-то девать, а злой эникей не дал лишней полсотни гигов, вот они и крутятся как могут =Р
Ну так можно посадить какого-нибудь эникея на это. Сложность то не великая.
У нас, например, разрабы любят десятки гигов в профиле насрать. Так никакого места не напасешься.
Дык все что будет делать этот эникей это расширять квоты. Ему скажут - надо, он и расширит. Будет он де разбираться, нужно ли прогерам 100 гигов на рабочем столе, или 90 хватит... Максимум проверит, не порнуху ли он там скачал, а то вдруг интересная.
Павершелловский скрипт, опять-таки, зарплату не требует.
Плюс, это дополнительный инструмент давления в выбивании денег под хранилища.
Я обычно в таком случае стараюсь переделать все заново, по возможности. Чтобы не зависеть от чёрного ящика.
К слову, на нынешней работе я в основном и стараюсь построить все по уму. Только сдвинуть многотысячную контору с места тяжеловато.
Разумеется, программисты себе поставили задачу всю эту хуйню переписать, задокументировать, сохранить исходники и вообще. И они эту задачу вроде даже сделали.
Однако от нас ждут не только верных стратегических решений, а еще и чтобы вот эта хуйня заработала вот прям сейчас =С
Как вариант, можно написать. Описать все подробно, на сколько возможно и известно. У меня тоже было, что бэкапы на забитый сторедж пытались делаться, но я просто получал фэйлы от вима.
Я бы не стал делать параллельно бэкапы и репликацию. Хотя современный вим может это как-то определенным образом научили обрабатывать. Но вот на 5м виме я бы точно не стал делать такого, там, на сколько помню, не было это предусмотрено (хотя могу и ошибаться).
Это да, конечно будет падать производительность. По суди это же виртуальное хранилище, которое монтируется к esx'у по nfs и с него идет чтение.
Там запись идет в другой виртуальный диск, вроде по принципу Copy-On-Write. Как когда снапшот есть и пишется все в снапшот, а читается с диска. Поэтому потом слить новую инфу с восстановленным бэкапом технически возможно, но вот было ли в вип 5 реализовано это я не помню, а как в более свежих версиях не знаю.
Я бы тоже бы не стал, но, блин, нужно "мягко" переезжать на удаленное хранилище, и бэкапы тоже нужны, как бы. Декабрь все-таки. Вот одолжил бы мне кто-нибудь штук пять пролиантовских лезвий текущего поколения...
И мы действительно сначала почистили кучу мусора с рабочих столов и моих документов юзеров перед тем как это внедрять.Дай бог здоровья тому, кто придумал квоты. :-)
Ну, veeam, насколько я понимаю технологию его работы, не монтирует непосредственно сами диски.
Работа происходит со снапшотами. Уровня ВМ или СХД - это уже нюансы.
Я просто вот буквально недавно закупил пару массивов на 35 терабайт сырой емкости. Для метрокластера.
Один массив обошелся даже дешевле 40K. Собственно, в планах ближе к концу внедрения написать пост на тему закупа.
Почему несейфово?
А это как раз на случай ядреной войны. Потому что локальные 50 Тб на площадке с серверами никто не отменял.
Т.е. схема такая. Сначала бэкапим локально. Потом локальный бэкап реплицируем в офсайт. У нас получается две копии географически разнесенные на 2500 км...
Пустая резервная корзина? А зачем? Как бы питание в корзине резервируется, модули тоже... Просто место в стойке занимает...
Пускай будет, я считаю. Я не специалист в вопросе "что может сломаться в корзине", но не продавать же на авито ее.
* на самом деле, я не знаю, чего она на складе валяется. Надо будет проверить, работает ли хоть %)
Да, проблема с псевдо-неконсолидированным диском мне известна, и в том числе и она там возникала на других машинах в этот момент, но не на проблемной. Серьезно, что именно привело к поехавшим разделам - совершенно непонятно. Тикет что ли в вим написать... Хотя я даже не знаю с чего начать такой опус. "Бэкапя на хранилище с переполненным диском, на фоне репликации с помощью прокси, смонтированной на этом переполненном диске, которая по этой причине встала на паузу..."
Репликация там запущена для опять-таки довольно специфической цели. Собственно, она идет параллельно с основным бэкапом. Тем же вимом. фулки по выходным, инки по ночам.
При запуске прямо с бэкапницы падает производительность по дискам. Это, в принципе, хорошее и главное быстрое решение, но подходит только для точечных случаев. Кстати по-моему там "окончание восстановления" подразумевает просто ухуячивание этой виртуалки. Нужна, дескать - так клонируй всферой перед этим. Не нужна - ну и хуй с ней.
с текущим курсом доллара и жмотовством на всем - держать еще и "холодный" резервный фонд - это только к совсем крупняку, или бюджетникам. когда кормишься с оборота а не с госбюджета - это БОЛЬШАЯ редкость. со знанием дела говорю, как топ-ит в нескольких крупных коммерческих структурах за последние 10 лет.
в моем случае - будем гасить и жертвовать некритичными сервисами и переразворачивать "пострадавший" прод.
+ разделение бакапилок + мониторинг бакапов и инфраструктуры в целом.
складывание яичек в одну корзинку - прямой путь к серпом по яцам. причем в самом прямом смылсе. 2-3 дня простоя нормальной коммерческой структуры - ипотека покажется раем
Ну вообще я хз, зачем нужен холодный резервный фонд, если есть виртуализация. На данный момент у меня ~2 любых хоста в корзине могут выйти из строя безопасно для полезной нагрузки. А вот с физикой да, проблема - но тем сильнее аргументы для отказа от физики.
Я сразу так и сказал - в худшем случае через двое суток. Однако сетевое расположение рабочих столов в этом случае играет очень плохую шутку. Впрочем, можно было бы сначала восстановить самое важное, там рабочих столов от силы на терабайт.
Ну проблема не столько с бэкапами, сколько с восстановлением из них... Может, имеет смысл растащить не на разные машины, а на разные диски, но это первый, и надеюсь последний такой случай. 10 машин создавать - это создавать еще 10 точек отказа. К тому же, это добавит путаницы. В принципе можно например выделить отдельные сервисы на другие машины, но это не очень большой выхлоп даст. Большая часть данных - пользовательские. А вот путаницы добавит.
Регулярно заставляю. У меня даже скрипт накорябан, который за меня считает дельту между размерами папок при предыдущем и текущем запуске... Вот например вчера кто-то очень умный решил туда свою физическую машину бэкапить средствами винды. 0.5ТБ. Но вообще юзеры у нас довольно сознательные, в том числе потому что мы к ним приебываемся - а зачем эта папка нужна? А сколько нужно хранить эти данные? и так далее.
100 Мбит. Общий объем реплицируемого бэкапа около 50 Тб. Дневной инкремент в сыром виде порядка 400 Гб. Сколько там в сжатом, пережатом, дедублицированном, кешированном и etc. - даже и не скажу точно. Но за день, т.е. между окнами ночного бэкапа, оно пролетает.
Там были довольно странные обстоятельства. Если коротко, то имела место репликация VEEAM, на фоне бэкапа на полностью заполненное хранилище, и оно так висело несколько дней. Мне не удалось установить, что именно из этого всего привело в такой ситуации. Но походу, если раз в полчаса примаунчивать-отмаунчивать диск, это в итогеможет плохо кончиться.
Года полтора назад я битых полчаса уговаривал касперский таки разрешить мне запуск mimikatz. Ну очень нужно было узнать пароль к учетке, не меняя его при этом.
А вот что делать с исполняемыми скриптами по сети - вопрос открытый, но я думаю, если будут получены кредсы уровня администратора домена, злоумышленник и так что хочешь сделает, поэтому я думаю что с этим бороться нет смысла особого. Главное самим не пользоваться из-под админской учетки.
Конечно с. И это действительно успокаивает, но не слишком. 10 терабайт восстанавливать с медленных дисков - такое себе удовольствие.
Лига Сисадминов
2.3K поста18.8K подписчиков
Правила сообщества
Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.