Я работаю в небольшом ветеринарном бизнесе, и, поскольку я единственный, у кого есть технический опыт, я по умолчанию стал нашим жалким предлогом для системного администратора. Я недостаточно разбираюсь в сетевых технологиях, но стараюсь быстро это освоить.
Мы получили новый сервер от поставщика нашего программного обеспечения для управления практикой (PM). Теперь, когда сервер установлен, я становлюсь более параноидальным по поводу остальной части нашей настройки; Я знаю, что это не очень хорошо, но я не знаю достаточно, чтобы исправить это должным образом. У меня есть несколько конкретных вопросов о том, что делать.
Брандмауэр: В настоящее время у нас есть модем DSL, подключенный непосредственно к нашему единственному маршрутизатору / точке беспроводного доступа. Я думаю, что нам нужен межсетевой экран (больше, чем то, что доступно на маршрутизаторе) между ними, но я не на 100%. Маршрутизатор потребительского класса, и, вероятно, его необходимо обновить до бизнес-класса. Учитывая, что наш веб-сайт размещен на внешнем сервере, и почти весь наш трафик является внутренним (хотя нам нужен доступ в Интернет), какой тип межсетевого экрана мне следует искать?
Вай-фай: Наш новый сервер работает под управлением Windows Server 2012 R2 как виртуальная машина Hyper-V. Виртуальная машина - это в основном просто SQL-сервер для нашего программного обеспечения PM, но она также была настроена как контроллер домена (раньше мы просто использовали рабочую группу), DHCP-сервер, DNS и несколько общих ресурсов, настроенных для того, что немного не -SQL файлообменник нам нужен. Я установил все наши ~ 10 рабочих станций (проводных и беспроводных) в новом домене, и они работают нормально. Не работают различные беспроводные устройства персонала. Им разрешено выходить в Интернет, и они были ранее подключены через гостевую сеть Wi-Fi на маршрутизаторе. Поскольку я отключил DHCP маршрутизатора в пользу сервера, гостевая сеть больше не имеет большого значения. Кажется, что некоторые телефоны получают IP-адреса, но даже они не могут просматривать их. Я временно исправил это, зарезервировав статические IP-адреса вне пула IP-адресов DHCP-сервера для телефонов непосредственно на маршрутизаторе и настроив телефоны на использование этого IP-адреса и использование 8.8.8.8 для DNS. я считать более долгосрочным решением этой проблемы является отдельный маршрутизатор / точка доступа для устройств, не относящихся к домену. Это правильно, или я могу что-то сделать, чтобы этого избежать (наш маршрутизатор не поддерживает VPN), используя нашу текущую настройку? Если я делать получить новую точку доступа, что мне искать? У нас есть несколько доменных Surface Pro, которые также используют Wi-Fi, поэтому мне нужно разделить их.
ВМ и подсети: У нас есть еще один физический сервер для наших цифровых рентгеновских снимков. Это очень сервер с низким трафиком. В настоящее время он не является частью нашей области, как и рабочая станция для получения рентгеновских снимков. Рабочие станции PM имеют доступ к этому серверу для просмотра рентгеновских снимков. Я бы хотел избавиться от этой физической машины и перенести ее на новую серверную машину. Если я это сделаю, следует ли разместить его на той же виртуальной машине, что и наш основной сервер SQL, или настроить его как новую виртуальную машину (мы ограничены двумя виртуальными машинами Hyper-V). Если я сделаю последнее, как мне настроить сеть для второй виртуальной машины? Я склонен создать новую подсеть для этого сервера и рабочей станции, просто чтобы регулировать их отдельно, но я недостаточно знаю о сети, чтобы понять, имеет ли это смысл. Если он не на отдельной виртуальной машине, можно ли настроить его в отдельной подсети? Было бы разумнее просто создать отдельные группы в домене для машин управления практикой по сравнению с рентгеновскими аппаратами?
Принтеры: У нас есть несколько принтеров, которые подключаются к сети напрямую через Wi-Fi, и один более старый, используемый одной из рабочих станций. Я зарезервировал IP-адреса для Wi-Fi-принтеров в настройке DHCP и убедился, что принтеры получают ожидаемые IP-адреса, но доступность принтеров с точки зрения рабочих станций была нестабильной с момента переключения на домен. Я почти ничего не знаю о настройке сервера печати, но должен ли я это делать для этих принтеров? Можно ли, чтобы сервер печати находился на той же виртуальной машине, что и сервер AD / DHCP / DNS? Принтер, физически подключенный к рабочей станции, работал отлично. Если я настраиваю сервер печати, нужно ли мне включать и этот принтер?
Заранее благодарим вас за любую помощь, и я постараюсь предоставить все необходимые дополнительные сведения. У меня много общих вопросов, но я стараюсь оставить их конкретными. Любые рекомендации для приличного справочника системного администратора для начинающих тоже были бы замечательными (особенно в форме книги, которая, как я знаю, устарела).
1) Выделенный брандмауэр, вероятно, будет возможен только в том случае, если вы общаетесь с внешними серверами через множество разных портов, помимо HTTP (порт 80) и HTTPS (порт 443). Код межсетевого экрана в вашем маршрутизаторе, вероятно, в порядке, если он был недавно исправлен. Посетите сайт производителя - там будут размещены все исправления уязвимостей безопасности.
Имейте в виду, что «модем DSL», скорее всего, также сам по себе является маршрутизатором / межсетевым экраном / точкой доступа и, в зависимости от поставщика, может предлагать функции, которые вы можете использовать. Он также может вызвать проблемы, если он также включает в себя DHCP-сервер (поскольку он может распределять адреса в том же диапазоне, что и ваш основной маршрутизатор / DHCP-сервер). Ваш внутренний маршрутизатор, вероятно, уже разработал маршрутизацию через это устройство, поэтому вам не нужно возиться с этим. Второй брандмауэр может вызвать проблемы, если вы открываете какие-либо порты для специального трафика, так как вам также нужно будет открыть их на модеме.
2) Проблемы с WiFi / DHCP: см. Выше. Если вы делегировали задачи DHCP своему серверу, вам может потребоваться зайти в настройки маршрутизатора и настроить прокси-службу DHCP для предоставления DHCP устройствам, подключенным через Wi-Fi. Это просто ретранслирует запросы DHCP (которые обычно «транслируются» в локальной подсети) в другую систему в другой подсети. Подключение WiFi к проводному может быть разными подсетями, а может и не быть - это зависит от того, как настроен ваш маршрутизатор / точка доступа. Вы также можете отключить Wi-Fi и DHCP на модеме DSL, если он имеет такую возможность, потому что, если он принимает соединения, он также может передавать IP-адреса, которые конфликтуют с существующими назначениями. Это приведет к отключению подключения, поскольку конфликты IP-адресов приведут к отключению соответствующих сетевых адаптеров.
3) Виртуальная машина против физического сервера - этот вопрос относится к проблеме «управления рисками». С одной стороны, ваша база данных, DC, DHCP-сервер и т. Д. Все работают в одной виртуальной системе на одном и том же хосте, поэтому, если он или хост выйдет из строя, вся ваша операционная сеть будет в значительной степени тостом. Поэтому добавление рентгеновской системы в качестве еще одной виртуальной машины на самом деле не изменит правила игры по сравнению с тем, чем она является сейчас. Однако, как физическая система, я предполагаю, что, если остальная часть сети (вся на вашем сервере Hyper-V) выйдет из строя, сервер X Ray по-прежнему сможет сканировать, печатать и управлять рентгеновскими лучами. Вам также необходимо выяснить, совместимы ли драйверы сканера с виртуальной машиной, работающей под Hyper-V. В противном случае вы не сможете виртуализировать сканер.
Что касается различных подсетей / доменных групп, это, вероятно, тривиальный вопрос для размера офиса - я бы посоветовал не вводить сложностей, если вам это абсолютно не нужно.
4) Принтеры ... по WiFi. В медицинском кабинете с множеством мокрых стен, радиационной защитой для рентгеновского оборудования, шлакоблоками и металлическими клетками для домашних животных. Ой. Не говоря уже о проблемах с маршрутизацией, которые у вас уже есть на планшетах, и о статическом IP-кластере, который вы использовали для работы телефонов, наличие устройств по требованию, таких как принтеры, подключающиеся через Wi-Fi в этой среде, заставляет меня задаться вопросом, как они вообще работают. Шутки в сторону. Подключите их к проводной сети, даже если для этого потребуется проложить Ethernet внутри стен и через подвесной потолок. Они будут намного надежнее. Что касается сервера печати, я бы сказал да. Это значительно упростит управление вашими принтерами (плюс вы можете объединить их так, чтобы, если в одном из них закончилась бумага, тонер или еще что-то, задания можно было отправлять на другой). Вы можете назначить эту роль либо основной виртуальной машине, либо использовать недоработанный рентгеновский сервер в качестве сервера печати.