LINUX.ORG.RU
ФорумAdmin

Какое преимущество AD сервера под управлением RHEL(или другим дистрам) перед миерософтовым решением

 ,


0

2

Самое распространенное решение в средних/крупных компаниях в настоящее время - это Микрософт+АД+Эксчендж есть где-нить статейка с проблемами, возникающими при использовании такого решения. И какие плюсы, если поднимать аналогичное на базе Linux?

cast no-dashi, помню у тебя большой опыт с LDAP-решениями. Какие у микрософт АД имеются постоянные проблемы и будут ли они исправлены с переходом на онтопик-решение?

Линк на всякий лад

★★★★★

Дёшево и сердито.

anonymous
()

Ты вопрос ставишь не так... Надо спрашивать: какие недостатки у Linux решений... Майкрософт - это целая экосистема. Помимо LDAP+kerberos - там ещё очень, очень много всего! При помощи Linux ты не построишь такого никогда. Linux решения в данный момент - представляют собой лишь LDAP+keberos+DNS - всё это обзывается samba4, которая ещё от части умеет групповые политики. Всё остальное ты костыляешь сам. В частности мы костыляем неспешно, к этому всему: squid + zimbra + alfresco. Однако, по уровню интерграции это не Майкрософт. Просто не Майкрософт вот и всё.

DALDON ★★★★★
()

AD вообще не нужен. Если учесть его падучесть и тот функционал, что в нем можно _безболезненно_ долго использовать (>5 лет в одной инсталляции), то у меня вообще вышло, что проще накостылить эмулятор AD из ~10 батников, которые дают ~90% функционала AD и 100% реально необходимого (add_wks/user_add/user_logon/user_block/mass_install). Аналогично можно костылить без лдапы что угодно, даже несовместимое. Что самое смешное, это все легко сопровождается и не падает - ибо нечему, не отваливается - ибо отдельное, и не вешает остальное - ибо само по себе.
Из проблем, пожалуйста, навскидку: увеличение времени загрузки МС серверов сразу после поднятия AD раза в два, рассинхрон PDC/BDC (иногда очень трудно восстанавливаемый), глюки с ДНС, из-за которых контроллеры домена уходят в самоволку, переполнения журналов/повреждения внутренней БД МС, самопроизвольная потеря десктопами контроллера AD (для восстановления иногда требуется переустановка ОС иногда и сервера), прилипание wks к сбойному контроллеру, перемещаемые профили (от которых больше вреда, чем пользы). Сам АД может требовать внимания больше, чем он экономит обеспечивая типа централизованное управление. Любая его фича - одновременно баг, неизвестно только как, когда и куда выстрелит. Сейчас в меня полетят тапочки - мол неправильно было приготовлено - фиг, у меня сертификаты по МС, при починке приходилось применять всякие адси, гидры, сонары и прочую лабуду, что уже и не вспомнить (до hiew, бывало доходило), дофига реестра/консоли и закрытые патчи, выдаваемые по запросу.
Ескчендж уже не помню, сильно давно его видел, про него и ису воспоминания только одни - жопа, и лучше бы я их не видел. По моей статистике вообще ~80% почтовых серверов настроено некорректно, из них exchange почти поголовно, вообще без понимания как работает почта. Дохера случаев, когда по реплаям в почте клиентов, лечил постмастеров их корреспондентов, иногда даже звонили и спасибо говорили, мол никак траблу поймать не могли, тфьу...
Единственный плюс - интеграция всего через АД, но когда оно начинает расползаться на ровном месте, думаешь, что лучше бы ее не было, а когда набирается критическая масса подпорок всего этого хлама и понимание, что надежно из всего этого можно использовать ~10%, понимаешь что в никсах свои костыли вписывались бы органично, собирая специализированные утилиты в монолитную, но гибкую систему.

handbrake ★★★
()
Ответ на: комментарий от handbrake

AD вообще не нужен. Если учесть его падучесть и тот функционал, что в нем можно _безболезненно_ долго использовать (>5 лет в одной инсталляции)

У меня оно не падает и не отваливается, домену уже лет 8, что я делаю не так? Пережил апгрейд с 2003 сервера до 2008R2 в свое время и с тех пор жив-здоров. Юзеров дофига (овер 300).

Я считаю, что всякие АД-заменители еще не доросли полноценно до уровня фич, предоставляемых микрософтовым АД. И дорастут ли - неизвестно.

blind_oracle ★★★★★
()
Ответ на: комментарий от handbrake

AD вообще не нужен. Если учесть его падучесть и тот функционал, что в нем можно _безболезненно_ долго использовать (>5 лет в одной инсталляции), то у меня вообще вышло, что проще накостылить эмулятор AD из ~10 батников,

handbrake

Правильный ник.

kernelpanic ★★★★★
()

MS AD - Легко устанавливается/настраивается/админится. Просто найти замену админу, ЗП админа - еле отрывается от плинтуса. Решение платное. Легко интегрируется с другими платными продуктами от MS.

«AD» на RHEL - Геморно устанавливается/настраивается/админится. Не просто найти замену админу, ЗП админа стремится к бесконечности. Решение бесплатное. Сложно интегрировать с другими решениями, как платными так и бесплатными.

Для меня это видится както так: возьмем экскаватор и лопату. Вроде бы картошку удобней копать лопатой, а траншею - экскаватором. Но можно и наоборот :)

black_13
()

Винду админят виндоадмины, какое нам юниксоидам до этого дело?

Пока клиенты на винде, пусть руководство платит за МС-серверную часть, нам опять же нет профита в экономии.

sdio ★★★★★
()
Последнее исправление: sdio (всего исправлений: 1)
Ответ на: комментарий от blind_oracle

У меня в эксплуатации есть еще живые 2k, и серваки, одни только диски в которых крутятся уже ~10 лет (в какой-то теме мерялись).
Версии работающих серверов - с 2k по 2k8r2, множественные инсталляции, используется почти весь набор ролей в разных сочетаниях, местами контроллеры домена, развешенные по разным филиалам в разных городах, на самом разном железе и с разной организацией сетей, на своем и арендованном железе.
Т.е. количество лесов несколько больше одного.
Когда одна-три кучки в одном месте, оно да, обычно стоит и не жужжит, вон есть 2k, который до сих пор пашет, но так не всегда.
Всякая нех всплывает когда готовишь много и разного. Когда где-то есть где развернуть pdc/bdc, а где-то просто 5 чел с буками и мининифайлопомойкой (но контроль нужен), выясняется, что костылять надежнее.
Вот, sysvinit, например являсь набором костылей, отлично с задачей справляется. ;)

handbrake ★★★
()
Ответ на: комментарий от black_13

Неа, или бесплатно и палево, или платно. Деньги или отдаешь мс + немного себе или все забираешь себе. На траншею всем пох, лишь бы к обеду.

handbrake ★★★
()
Ответ на: комментарий от black_13

Вроде бы картошку удобней копать лопатой, а траншею - экскаватором. Но можно и наоборот :)

Это в лучшем случае дадут экскаватор. Обычно дают грабли.

gh0stwizard ★★★★★
()
Ответ на: комментарий от mos

Ага, причем с недоделанной лдапой. У меня от новела тоже бумажка есть :)

handbrake ★★★
()
Ответ на: комментарий от handbrake

фиг, у меня сертификаты по МС

сертификаты не исправляют жопоруки. у других работает годами и ничего.

anonymous
()
Ответ на: комментарий от anonymous

сертификаты не исправляют жопоруки. у других работает годами и ничего.

Потому что эти другие не пользуются мелкомягкими продуктами!

anonymous
()
Ответ на: комментарий от anonymous

У меня местами уже не годами, а десятилетиями работает, причем на металлоломе с пухлыми кондерами уже показывающими свое содержимое :)
Но это не отменяет необходимость в других местах рукожопить с помощью hiew поврежденную бд мс, работающую на брендовом железе с батарейками как снаружи так и внутри :(
Ломается все. Линукс кстати тоже, но реже.

handbrake ★★★
()
Ответ на: комментарий от handbrake

Причем заметил странную закономерность, чем бинарнее формат, тем он лучше ломается.
Текстовые файлы, наоборот, портятся совсем плохо (совсем не так как жмутся, бэкапятся и переносятся). :)

handbrake ★★★
()

Самое главное преимущество - это понимание, что на самом деле происходит.

Это то, чего не достает любому MS решению (и AD не исключение).

zgen ★★★★★
()

Самое распространенное решение в средних/крупных компаниях в настоящее время - это Микрософт+АД+Эксчендж есть где-нить статейка с проблемами, возникающими при использовании такого решения

Нет. Люди склонны защищать свои ошибки :-) У собственно MSWin+AD особых проблем нет - всё работает вроде бы. Проблемы начинаются, если ты хочешь «пристегнуть внеплановую фичу» которую сделали не в MS. Или если что-то пошло «не так». Вот тогда начинается трэш, угар и мат с упоминанием родственников до третьего колена включительно.

Типичный пример проблемы в Exchange - «Привет, это Вова. У меня проблема - когда я посылаю письмо Тане, у меня падает почта. Что делать?» (чтобы не было непоняток - «падает почта» == «падает Outlook») И что тут сказать? «Ну помолитесь и винду переставьте ... Поможет ли? Нет конечно. А может и да. ХЗ. Но вы попробуйте ... Зачем это делать тогда? Ну пока вы винду и офис переустанавливаете, вы до меня дое....ться не будете»

Какие у микрософт АД имеются постоянные проблемы и будут ли они исправлены с переходом на онтопик-решение?

Никакие. Свободные решения выбирают не потому, что они «круче», а потому, что они более гибкие, и позволяют собирать конструкторы произвольного уровня сложности. И очень хорошо диагностируются. Самое трудное - «пробить» упертость пользователей, которые «привыкли». Ну а после отрыва от эксчейнджа оторваться от всего остального - раз плюнуть.

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Проблемы начинаются, если ты хочешь «пристегнуть внеплановую фичу» которую сделали не в MS.

В последнее время с приходом powershell (в т.ч. в эксчендже) в винде с прикручиванием всяких сторонних плюшек и автоматизаций всё стало сильно проще. Я долго плевался, но всё же написал пару десятков повершелл-скриптов для своих потребностей. Вполне годно, хоть и своеобразно.

И что тут сказать? «Ну помолитесь и винду переставьте ... Поможет ли? Нет конечно. А может и да. ХЗ. Но вы попробуйте ... Зачем это делать тогда? Ну пока вы винду и офис переустанавливаете, вы до меня дое....ться не будете»

У меня периодически падает тандербёрд (редко). Мне легче от того, что он опенсурсный? Не особо.

Ну а после отрыва от эксчейнджа оторваться от всего остального - раз плюнуть.

Эксчендж как раз чем-то опенсурсным заменить особо нечем. Зимбры всякие не в счёт, жалкое подобие. Поэтому я в свое время перетащил всю группу компаний с железобетонного решения на dovecot+postfix+дофигаещечего на тот самый эксчендж, ибо он умеет много чего в плане совместной работы и прочие плюшки. Да, с диагностикой проблем там сильно туже, чем в опенсурсе. Но, как ни странно, оно даже работает и особо даже не падает, несмотря на многотерабайтные базы и дофига народу.

Короче, каждому делу - свой инструмент. Есть эксчендж, но как его балансировать? Тут нам на помощь приходят друзья из мира опенсурс - HAProxy и Pound для проксирования всего и вся. Не выставлять же эксчендж голой жопой в инет? Конечно, тут нам поможет постфикс сотоварищи.

Ну и так далее. Не зацикливайтесь.

blind_oracle ★★★★★
()
Последнее исправление: blind_oracle (всего исправлений: 1)

В общем тебе тут написали много, я резюмирую так: в не очень большой конторе, Linux+samba, будет работать. У нас во всяком случае уже более десяти лет так. И ничего. Работаем как-то. MS Exchange - у нас не было никогда. Зато есть zimbra - тоже в целом работает. Всякая коллективная работа, и всё прочее - у нас планируется на alfresco. Всё же alfresco более наверно удобнее будет чем exchange. В общем выбирай от случая. Скажем, в конторе на 1000 человек, я бы выбрал MS решения. В конторе на 10-20 - samba. Хотя для мелких контор Win решения будут стоить очень, очень не дорого. Ну в общем как-то так. В зависимости от потребностей. Контрое на 10-40 чел. вполне хватит почты на Яндекс со своим доменом ИМХО. Там уже вроде есть и коллективный календарь. Да и mail.ru тоже не отстаёт. В общем всё зависит от уровня конторы.

DALDON ★★★★★
()
Ответ на: комментарий от DALDON

В пень яндкс, как и любую почту, которую нельзя контролировать - сидишь потом с ней как баран и ничего не можешь сделать, когда в/с нее письма не проходят. Своя всегда работает лучше и особых затрат не требует.

handbrake ★★★
()
Ответ на: комментарий от sdio

Винду админят виндоадмины, какое нам юниксоидам до этого дело?

Так ведь если компания рассматривает варианты перевести падучую инфраструктуру на нечно более стабильное - то тут нам, линуксоидам, дело появляется.

Siado ★★★★★
() автор топика
Ответ на: комментарий от DALDON

Не, нафиг. Юниксвей рулит, он как техника безопасности - писан кровью, когда конфиги начинает генерить что-то другое, начинаются проблемы с их ручной правкой, а бывает нужно.

handbrake ★★★
()
Ответ на: комментарий от blind_oracle

Эксчендж как раз чем-то опенсурсным заменить особо нечем. Зимбры всякие не в счёт, жалкое подобие. Поэтому я в свое время перетащил всю группу компаний с железобетонного решения на dovecot+postfix+дофигаещечего на тот самый эксчендж, ибо он умеет много чего в плане совместной работы и прочие плюшки.

Что, например есть в эксченже, чего нет в зимбре, или других аналогах?

Siado ★★★★★
() автор топика
Ответ на: комментарий от DALDON

Linux решения в данный момент - представляют собой лишь LDAP+keberos+DNS

Что перекрывает 80+% потребностей, особенно не в айти-фирмах. А так согласен, для каждого конкретного случая свое решение.

stave ★★★★★
()
Ответ на: комментарий от Siado

Например, совместная работа с документами используя MS Office. - Заметки к документам, версионность и т.п.

DALDON ★★★★★
()
Ответ на: комментарий от handbrake

Согласен конечно. Приходится по сему документировать свои костыли.

Но у zimbra реально толковый web интерфейс. Не знаю как там сейчас поживает RoundCube или как там его..? Но я думаю zimbra много проще настраивается, и в целом нравится пользователям.

DALDON ★★★★★
()
Ответ на: комментарий от stave

80+% - согласен. Однако, если поковырять Windows, то там конечно можно обнаружить много вкусностей, в частности тесную интеграцию: VPN+смарткарты+DNS+маршрутизация и так далее. - Всё в одном окне. Это первый бонус.

Второй бонус: это групповые политики. К примеру, вот мне сейчас надо всем поставить и настроить особым образом firefox. - Как Вы мне прикажете жить? Собирать свою сборку из исходных текстов? - Можно, но сложно и долго. А как потом поменять настройки? Писать своё расширение? Ещё более сложнее. - К примеру мне надо настроить 100+ человекам kerberos в firefox, при этом у меня клиенты: WinXP/7/Linux. - И половина в домене, а половина нет. Если у меня всё в домене, я просто поставлю всем ff через MSI, поколдую с групповыми политиками, и это хоть как-то будет управляться (хотя стоит признать политик для kerberos они предоставляют). - Пусть не в полном объёме, но хоть частично... - Особо других решений я сейчас не вижу кроме как или домен, или ставить руками.

DALDON ★★★★★
()
Ответ на: комментарий от Siado

Клиентов тоже переводите раз уж рассматриваете варианты. Т.к. виндоклиенты с любым не мс-решением работает до первого обновления клиента (грубо, но проверенно на себе)

sdio ★★★★★
()
Ответ на: комментарий от Siado

1. Когда я последний раз сравнивал, не было нормального десктопного клиента (сейчас вроде есть Zimbra Desktop, но не пробовал).

2. Нет встроенного механизма отказоустойчивости (DAG, хотя это всё реализуется в юниксах на уровнях ниже прикладного, но с DAG получается удобнее и нагляднее).

3. Нет многоуровнего восстановления удаленных объектов (trash->recoverable items->admin recoverable) - юзается достаточно часто.

4. Очень тугая интеграция с AD, необходимость создавать юзеров и там и там. Нет поддержки AD-сайтов (в эксчендже удобно размещать ящики поближе к пользователю).

Может что-то еще, но зимбру очень давно не юзал. В общем, в плане законченности решения, интегрируемости с АД, расширяемости (добавил сервер, перекидал туда ящики, снял нагрузку с существующих) эксчендж пока рулит.

blind_oracle ★★★★★
()
Ответ на: комментарий от DALDON

Это разные классы - zimbra это колаборейт, RC просто вебморда к почте.
Простота разная бывает, визуальная простота установки скрывает внутреннюю сложность: БД, вебсервер, вебморду, MTA, MDA, хранилище писем, SASL и их взаимоинтеграцию.
На выходе это даже по мелочи обновлять можно только целым пакетом (дуть на воду научился >15 лет назад, а отваливается же и глючит обычно только один компонент, пофиксить его с юниксвеем - раз плюнуть, а когда оно замуровано, огорожено и заминировано - приплыли, а суть то везде таже, какой-бы мс-стайл не был интегрированным он все равно будет состоять из техже компонентов, реализованных, например через кучку dll/exe, объединяемых настройками)
И возникают вопросы, как это расширить, если появляется необходимость (резервный mx, миграция хранилища, смена его формата) или банальные сжатие хранилища, миграция на другой сервер, теже бэкапы (сбэкапь ежедневно терабайт хранилища, которому тоже работать надо, да виртуализация здорово, но у неё свои проблемы). Не всегда решения собраны на оптимальных компонентах (вебморда, например, часто изкоробки жрет ресурсы и тормозит), приятно же когда ее работу можно ускорить в пару раз не меняя железа и не мигрируя прод. Юниксвей - решения дает, ms и прочие интеграшки предлают только жрать и плакать, ну и нести деньги пачками и сидеть ненужной обезъянкой. Для мелочи это дороговато, для крупняка слишком дорого, когда экономишь шестизнак в баксах - это ценят. Те кто понимают, что бренд, стабильность и прочие колебания воздуха лишь коллективная или индивидуальная иллюзия, ценят это очень сильно.
Чем больше объемы и крепче связка (плюс вендорлок), тем уже анус, привет иксченджу.

handbrake ★★★
()
Ответ на: комментарий от blind_oracle

1. Решаемо
2. Решаемо
3. Что за объекты ?
4. Инфраструктуру и без АД можно реализовать, Решаемо
Нативно без зимбр.

handbrake ★★★
()
Ответ на: комментарий от handbrake

Согласен. В ихнем стане тоже не всё ладно сейчас. Ибо им надо предлагать инновации, а их нету. Разве только анально огородить всякими магазинами приложений, и облаками.

DALDON ★★★★★
()
Ответ на: комментарий от handbrake

3. Любые - письма, записи в календарях, контакты и т.п.

1,2,4. Да оно всё решаемо ессесно, но неудобно в итоге. И требует для поддержки хренову тонну усилий и велосипедостроительство масштабное, я это проходил уже.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

3. письма решаемо, с остальным, да, если с нуля городить, то сложнее, но видимо работа по разному организована, ни разу ничего не хотели, файлы только удаляют.
У меня ровно обратное направление движения, наелся энтэпрайза по самое не могу, видимое удобство и скорость оказались видимыми, ломается все, все что непрозрачно - практически не восстановимо. Со своими костылями (зная куда солому стелить, а в энтырпрайзе зазоры маленькие, мало где постелешь), свободного времени стало больше.

handbrake ★★★
()
Ответ на: комментарий от handbrake

Удобство эксченджа в том, что в его базах все объекты грубо говоря унифицированы и ему до барабана что восстанавливать - письмо или контакт.

А так эксчендж делает много из того, что я раньше реализовывал руками (автоответы на время отпуска те же, раньше делал вебморду и sieve скрипты). В общем пока (3 года) я доволен, а там посмотрим. Может тоже обратный процесс пойдёт :) Но сомневаюсь, юзеры привыкают к хорошему быстро.

Еще автодискавер в эксчендже нравится, годная вещь. В зависимости от местоположения клиента (внутри-снаружи, на каком-то сайте АД) выдает адреса ближайших серверов и всё прочую инфу.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

ок, засекаем время до выхода следующей версии :)
какие у тебя там объемы базы, говоришь...

handbrake ★★★
()
Последнее исправление: handbrake (всего исправлений: 2)
Ответ на: комментарий от DALDON

А как потом поменять настройки? Писать своё расширение? Ещё более сложнее. - К примеру мне надо настроить 100+ человекам kerberos в firefox

Puppet смотрели?

Dfg
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.