Ищу совета по построению системы почты, документооборота, резервного копирования для небольшого офиса (до 40 рабочих мест)

Т.к. нет опыта, то решай проблемы по мере их поступления, ибо грамотно распланировать ИТ-сервисы ты не сможешь.

squid

Ну и как там, в начала 2000-х? Зачем это сейчас?

GLPI это хорошо но ее надо в связке с инвентаризацией делать.

почтовку могу помочь настроить за пару вечером. стучись на почту, есть в профиле.

Влепи Samba 4.1 (она скоро релизнется) вторичным КД в существующем домене, потом сделаешь повышение роли и переход на схему 2k8r2.

К LDAP'у домена потом прикрутишь почту.

Админить домен можно будет вендовым mmc. Почту - веб-гуем.

Если прийдёт на смену адекватный админ, максимум что сделает — выкинет самбу и поставит 2k8r2 (если с прямыми руками, то с сохранением существующего домена), а вместо почтовика влепит MS Exchange на базе существующего домена.

То есть если он совсем не окажется идиотом, чтоб всё снести не глядя, звонить тебе с вопросами типа «Мы привели нового админа, а он всё сломал, где наша старая почта, почему я не могу войти в систему со своим логином» не будут.

Пардон про сквид не допонял: что-то поменялось с прокси?

Зачем что то делать если собираетесь уходить? Новый человек скорее всего снесёт все ваши старания и сделает всё по своему.

Насчет покупки нового софта - директор походу не собирается покупать активно новый софт, кроме самого необходимого в ближайшее время. Поэтому я и выбрал переход на открытый софт. Безусловно что после прекращения подержки придется апгрейдиться на win2008/2012, Но есть 2 условия контора весь софт покупает официально, и нехочет связываться с ворованным софтом. Следовательно Exchange у нас не светит.

Как раз получилось так, что в начале настройки всего парка серверов лицензию на второй сервак для почты/шлюза не купили поэтому поставил нелицензионный win2003 в связке с таким же почтой/фаерволом от Керио (поставил как временное решение, которое проработало как часы с 2008 года)

Сейчас пришла пора думать о переезде на новое железо потому что текущее уже тормозит. Да и избавиться от лишнего виндового сервера - тоже польза (Директор так решил, да это и правильно, лишние риски они мало кому нужны).

Про второй LDAP заманчиво... Надо подумать. Спасибо.

Считай, что это свойство моей натуры: обещал - сделай. Да и признаться, самому интересно поковыряться, сделать так сказать апгрейд своим скилам. :-)

Именно так и сделал :) В промежутках между командировками - обкатываю инвентаризацию и установку агентов. Вроде получилось, но надо чтобы все собиралось и работало без моих «пинков».

Насчет ассиста с почтой - премного багодарен, как соберусь, напишу план что надо сделать, пришлю, может что подскажешь. В принципе я представляю как это сделать, но вопрос переноса имеющихся сообщений с Керио Мэйл на постфикс - вызывает у меня не однозначное понимание процесса. Я сам как-то больше по MS Services специализируюсь, поэтому, Керио меня как-то ставит в тупик :)

Пардон про сквид не допонял: что-то поменялось с прокси?

Какой смысл использовать squid в эпоху мегабитных анлимных интернетов?

Какой смысл использовать squid в эпоху мегабитных анлимных интернетов?

Многие по сей день используют его как метод ограничения пользователей.

Начиная от домен-менеджера, заканчивая контент-контролем.

Если своих постоянных full-time админов в конторе не предполагается, то надо выносить всё добро на аутсорс используя максимально типовые решения, а не организовывать серверную в подсобке.

Для почты самое стандартное решение - Google/Яндекс на своем домене, ну либо что-то вроде https://mykolab.com/ для тех, кто на иглу подсаживаться не хочет.

Для своих серверов и сервисов тоже разумнее брать виртуальные сервера на хостинге, и бекапить их на там же предлагаемые бекап-площадки, чтобы не вспоминать о существовании рэйдов, сыпящихся дисков, проблем вентиляции и отключения электричества.

Как насчет блокировки фейбуков, вконтактов, одноклассников? Не ужто прогресс дошел до централизованного управления файлами c:\windows\system32\drivers\etc\hosts на рабочих станциях?

дошел до централизованного управления файлами c:\windows\system32\drivers\etc\hosts

Да, теперь их подсети рубятся фаерволом.

Если своих постоянных full-time админов в конторе не предполагается, то надо выносить всё добро на аутсорс используя максимально типовые решения, а не организовывать серверную в подсобке.

Я и есть аутсорс :)

Для почты самое стандартное решение - Google/Яндекс на своем домене, ну либо что-то вроде https://mykolab.com/ для тех, кто на иглу подсаживаться не хочет.

Яндекс-почта как я почитал - гавно, сервиса ноль и если он есть то он долгий очень. Google - может быть. Но тут аргументы слабые. Основной минус для обоих случаев - налево секрет фирмы выдавать - нафик не надо. Не готово начальство на это.

Для своих серверов и сервисов тоже разумнее брать виртуальные сервера на хостинге, и бекапить их на там же предлагаемые бекап-площадки, чтобы не вспоминать о существовании рэйдов, сыпящихся дисков, проблем вентиляции и отключения электричества.

Оно хорошо. Только это упирается в деньги, в разумные конечно. Но как-то платить за это руководство не готово. Вероятно, что я тут не дорабатываю с подддержанием технологической образованности начальства, но основной минус опять в зависимости от интернета. Не будет его в конторе, а работать надо (мало ли какой фейл у провайдера).

Как насчет блокировки фейбуков, вконтактов, одноклассников?

А зачем их блокировать?

Не разумно. Ок, сли надо зарубить 2-3 диапазона, можно. А если у тебя список сайтов с разными дапазонами, имхо лучше squid+regexp'ы. В конторе политика сложная, они и порно режут, и всячину разную.

Для почты самое стандартное решение - Google/Яндекс на своем домене

Присылали мне тут зазывалку на гугляпс, так там третьим пунктом было «Узнайте, от чего вам необходимо отказаться уже сейчас». Блжат, «вы должны срочно отказаться от *** чтобы стать должны нам деньги»

Если у тебя в начале 2000-ых окаменело своё собственное мнение по поводу блокировки веб-ресурсов, то зачем спрашиваешь на ЛОРе?

Проекты типа ВК и факбука имеют (могут иметь) десятки доменных имён и зон. Если тебе доставляет удовольствие еженедельно добавлять свеженайденные/свежедобавленные доменные имена и зоны, вместо того, чтоб раз и надолго внести в блокировку диапазоны IP-адресов этих проектов (вроде http://bgp.he.net/AS47541#_prefixes), you are welcome.

А зачем их блокировать?

Работать мешают однако.

Да и мне если честно приходить 2 раза в неделю и каждый раз отвечать, в ответ на вопрос «а почему у меня в одноклассниках игра не запускается?» говорить, «не знаю я не отвечаю за сторонние ресурсы, моя задача, чтобы работало все, что имеет прямое отношение к работе» уже порядком надоело. Если еще вопросы будут напишу политику использования интернета в конторе и согласую в директором. Прикольно наблюдать когда пользователю вот страшно хочется в соцсети посидеть, а он не может он начинает придумывать причину - мол там фото по работе выложили. Спорить не хочется, а я свое время ценю - на всякую фигню его тратить не хочется. В данном случае вижу решение - запретить.

Недальновидно и создаёт нездоровую обстановку.

Работа работается? Сдаётся вовремя? Так пусть хоть порно на работе смотрят, анашу курят и по воскресеньям работают!

Если первые два условия не выполняются, то их не запретами, а увольнениями решать надо.

PS: по крайте мере у нас так. И все очень довольны.

Если у тебя в начале 2000-ых окаменело своё собственное мнение по поводу блокировки веб-ресурсов, то зачем спрашиваешь на ЛОРе?

Thanks bru, no probs. Я не закостенелый старик, я открыт для нового. Спасибо за конструктивную сслыку. Просто я давно не занимался этим. А как насчет статистики использования интернета? чем её собирать? оно конечно не сильно важно, но руководство привыкло смотреть, чем народ занимается за месяц.

Недальновидно и создаёт создаёт нездоровую обстановку.

Работа работается? Сдаётся вовремя? Так пусть хоть порно на работе смотрят, анашу курят и по воскресеньям работают!

Если первые два условия не выполняются, то их не запретами, а увольнениями решать надо.

спасибо. Надо обдумать. Увы порядки в конторе не я диктую.

Опыта у меня не много, собственно по серьезному с нуля ничего и не поднимал, приходилось только разбираться теоретически

имхо лучше squid+regexp'ы

Имха не доросла :)

Кстати, некоторые местные рубят подсетки социалочек даже у себя дома. Оказывается мощности среднего роутера на это хватает и всё работает.

но вопрос переноса имеющихся сообщений с Керио Мэйл на постфикс - вызывает у меня не однозначное понимание процесса.

не так страшен черт как его малюют. надо просто знать ряд тонкостей.

Сравни фэйлы в случае поломки сети:

1) твои сотрудники временно не могут проверить почту, и не могут её отправить, потому что потеряна связь с почтовиком, который работает снаружи

2) люди извне, потенциальные клиенты, получают ошибку отправки почты тебе, потому что почтовый сервер недоступен

Второй вариант для конторы гораздо страшнее.

Плюс если добавить ещё необходимость следить за железом и отключением электричества, вероятность отключения сервера стоящего в конторе под столом у секретарши гораздо выше, чем вероятность фэйла провайдера (Да и резервный канал через какую-нибудь yota можно легко настроить в случае чего)

Только это упирается в деньги, в разумные конечно. Но как-то платить за это руководство не готово.

За что за это-то? За железный сервер готово, а за 5 виртуалок за ту же сумму - нет?

Сравни фэйлы в случае поломки сети:

1) твои сотрудники временно не могут проверить почту, и не могут её отправить, потому что потеряна связь с почтовиком, который работает снаружи

2) люди извне, потенциальные клиенты, получают ошибку отправки почты тебе, потому что почтовый сервер недоступен

Второй вариант для конторы гораздо страшнее.

с этим согласен, 100%. спасибо.

За что за это-то? За железный сервер готово, а за 5 виртуалок за ту же сумму - нет?

За сервак платишь один раз, а тут каждый месяц, считай. :-)

кстати, а какого провайдера порекомендуешь для такого сценария с виртуальным хостингом?

Как насчет блокировки фейбуков, вконтактов, одноклассников?

Специально для этого Б-г придумал firewall

Ну и как там, в начала 2000-х? Зачем это сейчас?

Некоторым нужно предоставлять логи в соответствующие органы. Да, это не относится к ТСу, но отучаемся говорить за всех

Специально для этого Б-г придумал firewall

И как там у вас iptables, уже научился блокировать отдельные URL-ы?

с этим согласен, 100%. спасибо.

а то что у админов хостера будет 100% доступ ко всем данным на виртуалках, включая почту и возможно к важной финансовой или деловой переписке ЭТО НОРМАЛЬНО???

И как там у вас iptables, уже научился блокировать отдельные URL-ы?

У нас - да. Хреново вам там, в 90-х.

У нас - да.

Пример команды в студию? Только чур без string/u32. И без внешних модулей, жрущих проц

Только чур без string/u32.

Ну вот. А почему нет?

Выше уже писали - блокировка по url - шляпа. Надо либо сетки блочить (что будет делать squid, если я пойду на сайт по ip?) или по содержимому.

Ничего не трогай.

Ну вот. А почему нет?

В любом случае работа на уровне прикладного протокола в squid - это лучшее решение.

что будет делать squid, если я пойду на сайт по ip?

Всё просто - не пускать на сайты по IP. На любые. В принципе. Если у сайта нет доменного имени - владелец сайта ССЗБ

Выше уже писали - блокировка по url - шляпа.

Мне бывает нужно обратное - дать доступ только к определенному URL(а с остальным Интернетом пусть курят бамбук).

а то что у админов хостера будет 100% доступ ко всем данным на виртуалках, включая почту и возможно к важной финансовой или деловой переписке ЭТО НОРМАЛЬНО???

Если посмотреть в целом на проблему, то я понимаю это так - прежде чем выходить с предложением переносить почту в ДЦ хостинговой компании - надо оценить риски если инфа станет доступной третьей стороне.

Решение локальной почты имеет один не оспоримый плюс: ввиду что пользователи в конторе ну скажем так, умеют работать с автокадом, но в вопросах работы с электронной почтой, например, они знают четко «чтобы написать письмо надо нажать кнопочку с конвертиком, чтобы переслать - кнопочку с 2-мя стрелочками, удалить - крестик». Дык вот когда они совершенно не специально, чистят папку с удаленными письмами, а потом выясняется что нужно письмо, которое они когда-то получали, но потом удалили его. Удобно когда ты идешь на почтовик и из бекапа поднимаешь это письмо. В случае с удаленной почтой - пока не ясен этот процесс, если почта будет на Линуксе и почтовик будет делать резервные копии? Как тут поступать?

Ничего не трогай.

почему?

Почту, тем более проектной организации, нужно держать по месту дислокации данной организации, если вам важна максимальная доступность вашего mx сервера, то организуйте кластер, из пары компов (и для этого не нужно серверное железо) + можно еще для подхвата добавить вторичный mx для вашего домена.

Внешние виртуалки есть смысл использовать только для размещения веб-сервера организации для предоставления публичной информации всем интересующимся.

Почтовый клиент можно настроить так что бы он не удалял письма уже полученные пользователем, почтовые сервера и в частность postfix позволяет делать копии всех входящих и исходящих писем

[qiote] если вам важна максимальная доступность вашего mx сервера, то организуйте кластер, из пары компов (и для этого не нужно серверное железо)

А какой кластер имеется в виду? Я знаком только RedHat cluster, но для него нужно дополнительно fencing device подключать к серверу + shared storage (ala NFS, iSCSI)...

"Хочу переделать работающую инфраструктуру, как не знаю, времени разбираться нет. А еще я из этой конторы хочу свалить сразу, как все переделаю."

drbd + heartbeat. И про всякие игрушки от RedHat и веб-панельки забудьте.

И про всякие игрушки от RedHat и веб-панельки забудьте

не понял, почему? оружие разного калибра?