LINUX.ORG.RU

Ищу совета по построению системы почты, документооборота, резервного копирования для небольшого офиса (до 40 рабочих мест)

 ,


1

1

Здравствуйте, уважаемые!

Я занимаюсь поддержкой одной конторы (до 40 рабочих мест, контора проектировочная - рисует чертежи в автокаде - это отдельная головная боль) приходящим админом, задача такая что хотелось бы сделать переезд с виндовой почты Kerio Mail и фаерволла Kerio WinRoute на какое-то решение на базе Линукса. В офисе сейчас стоит 1 сервер с Windows 2003 Std (стандартный джентельменский набор AD+DNS+DHCP+GPO, etc.). Сложность в том, что я в скорем времени собраюсь эту контору оставить, но бросать недоделанное не привык. Опыта у меня не много, собственно по серьезному с нуля ничего и не поднимал, приходилось только разбираться теоретически, да либо саппортить то, что было поднято до меня: Привычнее мне работать с Centos (летных часов больше), но Ubuntu/Debian тоже применяю - почта (sendmail, postfix), Ldap, IpTables, Apache/nginx/php/mysql/pgsql, squid ...

На данный момент начал с малого - развернул систему заявок+учет конфигурации ОС по ИТ на базе GLPI. Сейчас оно у меня в бета-тесте работает.Скоро надо выводить в продакшн, да юзеров учить завки делать не на бумажке, а по форме :-) Еще хотелось бы поднять систему документооборота - тоже что-то бесплатное - присматриваюсь к Alfresco, а тaк же сделать систему резервного копирования для всех документов (выбрал Bacula, но говорят что он весьма комплексный), объем не особенно большой, но большое дерево каталогов. В силу того что не понятно, кого они найдут после меня и как скоро я ориентируюсь все таки на комбайн с веб-интерфейсом. Но все таки ощущаю, что мне не хватает кругозора в этих вопросах.

Учиться не боюсь, но времени на то, чтобы основательно вникнуть особо нет, основная работа - занимает все время.

Основной вопрос как лучше сделать - поставить все по-отдельности, а потом как финальнй аккорд прикрутить веб-интерфейс для управления сервисами (*MyAdmin, postfix web gui)? Собственно, я даже и толком не предствляю сколько серверов правильно надо размазать все сервисы; понимаю что почта+документооборот+бэкапы (для хранилища резервных копий подумываю купить какой-то NAS) можно сделать на одном, для фаерволла либо купить какой-то маршрутизатор, либо на старенький комп приладить уже IPTables+squid, остальное - на третий. И как правильно организовать размещение рабочей инфы: централизованно на сетевом диске, или собирать рабочие документы с рабочих станций бекап-агентом?

У кого есть какие мысли - поделитесь пожалуйста.

Заранее спасибо.

ЗЫ. разбирался с Zentyal 3.0, но как-то не вдохновило - смутила как раз то, что система на скриптах и прямого доступа в конфиги нет.



Последнее исправление: Maxroy (всего исправлений: 1)

Т.к. нет опыта, то решай проблемы по мере их поступления, ибо грамотно распланировать ИТ-сервисы ты не сможешь.

squid

Ну и как там, в начала 2000-х? Зачем это сейчас?

Turbid ★★★★★
()
Последнее исправление: Turbid (всего исправлений: 1)

GLPI это хорошо но ее надо в связке с инвентаризацией делать.

почтовку могу помочь настроить за пару вечером. стучись на почту, есть в профиле.

MikeDM ★★★★★
()

Влепи Samba 4.1 (она скоро релизнется) вторичным КД в существующем домене, потом сделаешь повышение роли и переход на схему 2k8r2.

К LDAP'у домена потом прикрутишь почту.

Админить домен можно будет вендовым mmc. Почту - веб-гуем.

Если прийдёт на смену адекватный админ, максимум что сделает — выкинет самбу и поставит 2k8r2 (если с прямыми руками, то с сохранением существующего домена), а вместо почтовика влепит MS Exchange на базе существующего домена.

То есть если он совсем не окажется идиотом, чтоб всё снести не глядя, звонить тебе с вопросами типа «Мы привели нового админа, а он всё сломал, где наша старая почта, почему я не могу войти в систему со своим логином» не будут.

anonymous
()

Зачем что то делать если собираетесь уходить? Новый человек скорее всего снесёт все ваши старания и сделает всё по своему.

prot ★★
()
Ответ на: комментарий от anonymous

Насчет покупки нового софта - директор походу не собирается покупать активно новый софт, кроме самого необходимого в ближайшее время. Поэтому я и выбрал переход на открытый софт. Безусловно что после прекращения подержки придется апгрейдиться на win2008/2012, Но есть 2 условия контора весь софт покупает официально, и нехочет связываться с ворованным софтом. Следовательно Exchange у нас не светит.

Как раз получилось так, что в начале настройки всего парка серверов лицензию на второй сервак для почты/шлюза не купили поэтому поставил нелицензионный win2003 в связке с таким же почтой/фаерволом от Керио (поставил как временное решение, которое проработало как часы с 2008 года)

Сейчас пришла пора думать о переезде на новое железо потому что текущее уже тормозит. Да и избавиться от лишнего виндового сервера - тоже польза (Директор так решил, да это и правильно, лишние риски они мало кому нужны).

Про второй LDAP заманчиво... Надо подумать. Спасибо.

Maxroy
() автор топика
Ответ на: комментарий от prot

Считай, что это свойство моей натуры: обещал - сделай. Да и признаться, самому интересно поковыряться, сделать так сказать апгрейд своим скилам. :-)

Maxroy
() автор топика
Ответ на: комментарий от MikeDM

Именно так и сделал :) В промежутках между командировками - обкатываю инвентаризацию и установку агентов. Вроде получилось, но надо чтобы все собиралось и работало без моих «пинков».

Насчет ассиста с почтой - премного багодарен, как соберусь, напишу план что надо сделать, пришлю, может что подскажешь. В принципе я представляю как это сделать, но вопрос переноса имеющихся сообщений с Керио Мэйл на постфикс - вызывает у меня не однозначное понимание процесса. Я сам как-то больше по MS Services специализируюсь, поэтому, Керио меня как-то ставит в тупик :)

Maxroy
() автор топика
Ответ на: комментарий от Maxroy

Пардон про сквид не допонял: что-то поменялось с прокси?

Какой смысл использовать squid в эпоху мегабитных анлимных интернетов?

Turbid ★★★★★
()
Ответ на: комментарий от Turbid

Какой смысл использовать squid в эпоху мегабитных анлимных интернетов?

Многие по сей день используют его как метод ограничения пользователей.

Начиная от домен-менеджера, заканчивая контент-контролем.

fraxinum
()

Если своих постоянных full-time админов в конторе не предполагается, то надо выносить всё добро на аутсорс используя максимально типовые решения, а не организовывать серверную в подсобке.

Для почты самое стандартное решение - Google/Яндекс на своем домене, ну либо что-то вроде https://mykolab.com/ для тех, кто на иглу подсаживаться не хочет.

Для своих серверов и сервисов тоже разумнее брать виртуальные сервера на хостинге, и бекапить их на там же предлагаемые бекап-площадки, чтобы не вспоминать о существовании рэйдов, сыпящихся дисков, проблем вентиляции и отключения электричества.

alpha ★★★★★
()
Ответ на: комментарий от Turbid

Как насчет блокировки фейбуков, вконтактов, одноклассников? Не ужто прогресс дошел до централизованного управления файлами c:\windows\system32\drivers\etc\hosts на рабочих станциях?

Maxroy
() автор топика
Ответ на: комментарий от Maxroy

дошел до централизованного управления файлами c:\windows\system32\drivers\etc\hosts

Да, теперь их подсети рубятся фаерволом.

Deleted
()
Ответ на: комментарий от alpha

Если своих постоянных full-time админов в конторе не предполагается, то надо выносить всё добро на аутсорс используя максимально типовые решения, а не организовывать серверную в подсобке.

Я и есть аутсорс :)

Для почты самое стандартное решение - Google/Яндекс на своем домене, ну либо что-то вроде https://mykolab.com/ для тех, кто на иглу подсаживаться не хочет.

Яндекс-почта как я почитал - гавно, сервиса ноль и если он есть то он долгий очень. Google - может быть. Но тут аргументы слабые. Основной минус для обоих случаев - налево секрет фирмы выдавать - нафик не надо. Не готово начальство на это.

Для своих серверов и сервисов тоже разумнее брать виртуальные сервера на хостинге, и бекапить их на там же предлагаемые бекап-площадки, чтобы не вспоминать о существовании рэйдов, сыпящихся дисков, проблем вентиляции и отключения электричества.

Оно хорошо. Только это упирается в деньги, в разумные конечно. Но как-то платить за это руководство не готово. Вероятно, что я тут не дорабатываю с подддержанием технологической образованности начальства, но основной минус опять в зависимости от интернета. Не будет его в конторе, а работать надо (мало ли какой фейл у провайдера).

Maxroy
() автор топика
Ответ на: комментарий от Deleted

Не разумно. Ок, сли надо зарубить 2-3 диапазона, можно. А если у тебя список сайтов с разными дапазонами, имхо лучше squid+regexp'ы. В конторе политика сложная, они и порно режут, и всячину разную.

Maxroy
() автор топика
Ответ на: комментарий от alpha

Для почты самое стандартное решение - Google/Яндекс на своем домене

Присылали мне тут зазывалку на гугляпс, так там третьим пунктом было «Узнайте, от чего вам необходимо отказаться уже сейчас». Блжат, «вы должны срочно отказаться от *** чтобы стать должны нам деньги»

no-dashi ★★★★★
()
Ответ на: комментарий от Maxroy

Если у тебя в начале 2000-ых окаменело своё собственное мнение по поводу блокировки веб-ресурсов, то зачем спрашиваешь на ЛОРе?

Проекты типа ВК и факбука имеют (могут иметь) десятки доменных имён и зон. Если тебе доставляет удовольствие еженедельно добавлять свеженайденные/свежедобавленные доменные имена и зоны, вместо того, чтоб раз и надолго внести в блокировку диапазоны IP-адресов этих проектов (вроде http://bgp.he.net/AS47541#_prefixes), you are welcome.

anonymous
()
Ответ на: комментарий от beastie

А зачем их блокировать?

Работать мешают однако.

Да и мне если честно приходить 2 раза в неделю и каждый раз отвечать, в ответ на вопрос «а почему у меня в одноклассниках игра не запускается?» говорить, «не знаю я не отвечаю за сторонние ресурсы, моя задача, чтобы работало все, что имеет прямое отношение к работе» уже порядком надоело. Если еще вопросы будут напишу политику использования интернета в конторе и согласую в директором. Прикольно наблюдать когда пользователю вот страшно хочется в соцсети посидеть, а он не может он начинает придумывать причину - мол там фото по работе выложили. Спорить не хочется, а я свое время ценю - на всякую фигню его тратить не хочется. В данном случае вижу решение - запретить.

Maxroy
() автор топика
Ответ на: комментарий от Maxroy

Недальновидно и создаёт нездоровую обстановку.

Работа работается? Сдаётся вовремя? Так пусть хоть порно на работе смотрят, анашу курят и по воскресеньям работают!

Если первые два условия не выполняются, то их не запретами, а увольнениями решать надо.

PS: по крайте мере у нас так. И все очень довольны.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от anonymous

Если у тебя в начале 2000-ых окаменело своё собственное мнение по поводу блокировки веб-ресурсов, то зачем спрашиваешь на ЛОРе?

Thanks bru, no probs. Я не закостенелый старик, я открыт для нового. Спасибо за конструктивную сслыку. Просто я давно не занимался этим. А как насчет статистики использования интернета? чем её собирать? оно конечно не сильно важно, но руководство привыкло смотреть, чем народ занимается за месяц.

Maxroy
() автор топика
Ответ на: комментарий от beastie

Недальновидно и создаёт создаёт нездоровую обстановку.

Работа работается? Сдаётся вовремя? Так пусть хоть порно на работе смотрят, анашу курят и по воскресеньям работают!

Если первые два условия не выполняются, то их не запретами, а увольнениями решать надо.

спасибо. Надо обдумать. Увы порядки в конторе не я диктую.

Maxroy
() автор топика
Ответ на: комментарий от Maxroy

Опыта у меня не много, собственно по серьезному с нуля ничего и не поднимал, приходилось только разбираться теоретически

имхо лучше squid+regexp'ы

Имха не доросла :)

Кстати, некоторые местные рубят подсетки социалочек даже у себя дома. Оказывается мощности среднего роутера на это хватает и всё работает.

Deleted
()
Ответ на: комментарий от Maxroy

но вопрос переноса имеющихся сообщений с Керио Мэйл на постфикс - вызывает у меня не однозначное понимание процесса.

не так страшен черт как его малюют. надо просто знать ряд тонкостей.

MikeDM ★★★★★
()
Ответ на: комментарий от Maxroy

Сравни фэйлы в случае поломки сети:

1) твои сотрудники временно не могут проверить почту, и не могут её отправить, потому что потеряна связь с почтовиком, который работает снаружи

2) люди извне, потенциальные клиенты, получают ошибку отправки почты тебе, потому что почтовый сервер недоступен

Второй вариант для конторы гораздо страшнее.

Плюс если добавить ещё необходимость следить за железом и отключением электричества, вероятность отключения сервера стоящего в конторе под столом у секретарши гораздо выше, чем вероятность фэйла провайдера (Да и резервный канал через какую-нибудь yota можно легко настроить в случае чего)

Только это упирается в деньги, в разумные конечно. Но как-то платить за это руководство не готово.

За что за это-то? За железный сервер готово, а за 5 виртуалок за ту же сумму - нет?

alpha ★★★★★
()
Ответ на: комментарий от alpha

Сравни фэйлы в случае поломки сети:

1) твои сотрудники временно не могут проверить почту, и не могут её отправить, потому что потеряна связь с почтовиком, который работает снаружи

2) люди извне, потенциальные клиенты, получают ошибку отправки почты тебе, потому что почтовый сервер недоступен

Второй вариант для конторы гораздо страшнее.

с этим согласен, 100%. спасибо.

За что за это-то? За железный сервер готово, а за 5 виртуалок за ту же сумму - нет?

За сервак платишь один раз, а тут каждый месяц, считай. :-)

кстати, а какого провайдера порекомендуешь для такого сценария с виртуальным хостингом?

Maxroy
() автор топика
Ответ на: комментарий от Maxroy

Как насчет блокировки фейбуков, вконтактов, одноклассников?

Специально для этого Б-г придумал firewall

Turbid ★★★★★
()
Ответ на: комментарий от Turbid

Ну и как там, в начала 2000-х? Зачем это сейчас?

Некоторым нужно предоставлять логи в соответствующие органы. Да, это не относится к ТСу, но отучаемся говорить за всех

Pinkbyte ★★★★★
()
Ответ на: комментарий от Maxroy

с этим согласен, 100%. спасибо.

а то что у админов хостера будет 100% доступ ко всем данным на виртуалках, включая почту и возможно к важной финансовой или деловой переписке ЭТО НОРМАЛЬНО???

vxzvxz ★★★
()
Ответ на: комментарий от Pinkbyte

Только чур без string/u32.

Ну вот. А почему нет?

Выше уже писали - блокировка по url - шляпа. Надо либо сетки блочить (что будет делать squid, если я пойду на сайт по ip?) или по содержимому.

Turbid ★★★★★
()
Ответ на: комментарий от Turbid

Ну вот. А почему нет?

В любом случае работа на уровне прикладного протокола в squid - это лучшее решение.

что будет делать squid, если я пойду на сайт по ip?

Всё просто - не пускать на сайты по IP. На любые. В принципе. Если у сайта нет доменного имени - владелец сайта ССЗБ

Выше уже писали - блокировка по url - шляпа.

Мне бывает нужно обратное - дать доступ только к определенному URL(а с остальным Интернетом пусть курят бамбук).

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от vxzvxz

а то что у админов хостера будет 100% доступ ко всем данным на виртуалках, включая почту и возможно к важной финансовой или деловой переписке ЭТО НОРМАЛЬНО???

Если посмотреть в целом на проблему, то я понимаю это так - прежде чем выходить с предложением переносить почту в ДЦ хостинговой компании - надо оценить риски если инфа станет доступной третьей стороне.

Решение локальной почты имеет один не оспоримый плюс: ввиду что пользователи в конторе ну скажем так, умеют работать с автокадом, но в вопросах работы с электронной почтой, например, они знают четко «чтобы написать письмо надо нажать кнопочку с конвертиком, чтобы переслать - кнопочку с 2-мя стрелочками, удалить - крестик». Дык вот когда они совершенно не специально, чистят папку с удаленными письмами, а потом выясняется что нужно письмо, которое они когда-то получали, но потом удалили его. Удобно когда ты идешь на почтовик и из бекапа поднимаешь это письмо. В случае с удаленной почтой - пока не ясен этот процесс, если почта будет на Линуксе и почтовик будет делать резервные копии? Как тут поступать?

Maxroy
() автор топика
Ответ на: комментарий от Maxroy

Почту, тем более проектной организации, нужно держать по месту дислокации данной организации, если вам важна максимальная доступность вашего mx сервера, то организуйте кластер, из пары компов (и для этого не нужно серверное железо) + можно еще для подхвата добавить вторичный mx для вашего домена.

Внешние виртуалки есть смысл использовать только для размещения веб-сервера организации для предоставления публичной информации всем интересующимся.

Почтовый клиент можно настроить так что бы он не удалял письма уже полученные пользователем, почтовые сервера и в частность postfix позволяет делать копии всех входящих и исходящих писем

vxzvxz ★★★
()
Ответ на: комментарий от vxzvxz

[qiote] если вам важна максимальная доступность вашего mx сервера, то организуйте кластер, из пары компов (и для этого не нужно серверное железо)

А какой кластер имеется в виду? Я знаком только RedHat cluster, но для него нужно дополнительно fencing device подключать к серверу + shared storage (ala NFS, iSCSI)...

Maxroy
() автор топика
Ответ на: комментарий от Maxroy

"Хочу переделать работающую инфраструктуру, как не знаю, времени разбираться нет. А еще я из этой конторы хочу свалить сразу, как все переделаю."

kernelpanic ★★★★★
()
Ответ на: комментарий от vxzvxz

И про всякие игрушки от RedHat и веб-панельки забудьте

не понял, почему? оружие разного калибра?

Maxroy
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.