что такое доменная сеть организации
Преимущества использования доменной сети
Преимущества использования доменной сети
Доменная сеть – способ взаимодействия компьютеров между собой. Такая сеть позволяет управлять компьютерами централизованно.
В доменной сети всегда есть главный компьютер – Контроллер Домена. В специальной программе на контроллере домена создаются учетные записи пользователей– имя пользователя и пароль. Например, для сотрудника Ивана Петрова создана учетная запись i.petrov. С её помощью Иван может выполнить вход в свой рабочий компьютер, работать с общими файлами и печатать на сетевом принтере.
Контроллер домена отвечает ещё и за права доступа к файлам и ресурсам. Например, Иван Петров может иметь доступ только к определенным принтерам и общим папкам, а директор – к любым.
Нужна ли Вам доменная сеть
Вам стоит задуматься о доменной сети, если хотя бы одно утверждение для Вас верно:
Как изменится работа в офисе с введением доменной сети?
Доменная сеть требует выполнения правил безопасности и единообразия.
Учетные записи сотрудников уникальны. Учетная запись сотрудника в доменной сети – универсальный пропуск к рабочему пространству компании. При входе в систему пользователь получает доступ к сетевым принтерам, общим файлам, серверу 1С, почте или общему чату.
Пароли сотрудников уникальны и периодически меняются. Никто кроме самого сотрудника не должен знать его пароль. Ответственность за секретность пароля лежит на самом сотруднике, он отвечает за все действия, совершенные с помощью его учетной записи. Это правило упрощает разбирательства внутри компании, например когда были удалены важные данные.
Учетные записи сотрудников не имеют прав администратора на компьютере. Пользователи не могут самостоятельно устанавливать программы и вносить изменения в системные настройки. Благодаря этому пользователь не сможет случайно запустить вирус или удалить настройки принтера. Для установки программ лучше обратиться к системному администратору.
Управление пользователями в доменной сети
Учетные записи в доменной сети создаются только на Контроллере Домена. Контроллер домена сообщает всем компьютерам сети об имеющихся учетных записях сотрудников. Сотрудник Иван может использовать свою учетную запись i.petrov для работы за любым компьютером доменной сети. Файлы других сотрудников на этом компьютере Иван не увидит.
Единая точка создания учетных записей помогает избежать беспорядка. На компьютерах нет лишних учетных записей, а права администратора есть только у администраторов доменной сети.
Доменная сеть объединяет все ресурсы компании в единое рабочее пространство. В домен можно ввести хранилище файлов, сервер 1С или сервер для удаленной работы. Войдя в систему своего компьютера, сотрудник автоматически получит доступ к ресурсам сети. Вводить пароль для сервера 1С не придется – сервер уже знаком с учетной записью сотрудника.
Если сотрудник уволится, его учетную запись придется заблокировать только на контроллере домена, все компьютеры узнают об этом запрете моментально.
Безопасность доменной сети
К уязвимым частям информационной структуры доступ имеют только квалифицированные сотрудники. Доступ к важным документам разграничен, обычно ни один сотрудник не может повредить все данные. Разграничение доступа усложняет работу вирусов и снижает вероятность диверсии со стороны сотрудников.
Даже если документы были удалены или повреждены, все действия пользователей записываются в специальный журнал. Найти источник проблемы и избежать её в будущем не составляет труда.
Контроллер домена знает какие компьютеры должны быть в сети. В доменной сети можно установить правило запрещать всю активность «незнакомых» компьютеров или даже оповещать службу безопасности об их появлении.
Автоматизация в доменной сети
Групповые политики — набор настроек операционной системы. Эти настройки определяют отображение элементов Windows – окно входа, панели инструментов. Групповые политики позволяют запретить запуск определенных программ или автоматическую установку программ для новых пользователей. Можно даже запретить работать с внешними накопителями флешками или съемными дисками.
В доменной сети групповыми политиками компьютеров централизованно управляет контроллер домена. Благодаря доменной сети и групповым политикам новый компьютер настроится автоматически: будут установлены все необходимые программы, параметры безопасности, подключены принтеры и папки с общими документами. Сотруднику нужно будет только зайти в систему с помощью своих учетных данных – и можно работать.
А можно без доменной сети?
Использование доменной сети не обязательно, но значительно упрощает администрирование больших или сложных ИТ-инфраструктур. Если Вы хотите, чтобы Ваши компьютеры были настроены единообразно и администрирование было максимально автоматизировано, а безопасность сохранялась на современном уровне – без доменной организации сети Вам не обойтись.
Статью подготовил менеджер отдела проектов Заболотский Андрей.
Хотите получить более подробную консультацию по доменной сети?
Доменная сеть. Возможности и реализация.
Руководители компаний, являясь прогрессивной аудиторией, активно интересуются актуальными технологиями и стараются, по мере необходимости, внедрять их в свои компании. Технологии снимают нагрузку с людей, освобождая время сотрудников для более важных для бизнеса задач. Однако вместе с сетями и технологиями приходят не самые однозначные вопросы, которыми задаются не все руководители в силу тех или иных причин. Например, какой тип логической вычислительной сети предпочесть для своего офиса, стоит ли использовать одноранговую сеть или озадачить технический отдел построением доменной сети, а также, какое выбрать оборудование и программное обеспечение для своей компании.
Начнем с простейшей реализации локальной одноранговой сети. Несколько компьютеров объединяются кабелем или беспроводным способом между собой, каждый компьютер в отдельности друг от друга является независимым и хранит данные о доступе ко всем остальным компьютерам в сети. Такая сеть насколько проста, настолько и небезопасна, так все компьютеры в этой сети выполняют функцию каталога с данными, к которым есть доступ у каждого пользователя с каждой машины.
Параллельно с одноранговыми сетями, активно внедряются и успешно доказывают свою состоятельность, особенно в бизнес среде, доменные сети. Доменная сеть — это тип компьютерной сети, в которой существует как минимум один главный компьютер, называемый контроллером домена и к нему, – через локальное или удаленное соединение, – подключаются для работы все остальные компьютеры в сети. Примечательно то, что подчиненный компьютер использует собственные вычислительные мощности при удаленной работе, вместо ресурсов сервера, в сравнении с одноранговой сетью, где основная нагрузка ложится на оборудование сервера. Так, контроллер домена несет в себе ряд существенных отличий, от других компьютеров в доменной сети. Основной функцией контроллера домена является глобальный каталог, в котором хранятся все данные о пользователях, компьютерах и устройствах, имеющих доступ к этой сети. Контроллер домена работает как агрегатор всех компьютерных и сетевых настроек устройств, подключенных к сети. Разумеется, это не все функции, которые может предоставить доменная сеть, далее в тексте мы опишем его основные возможности и преимущества перед одноранговой сетью, а также вы определитесь необходима ли вам доменная реализация сети или вашей организации будет достаточно одноранговой локальной сети.
Рисунок 1. Принципиальная схема организации доменной сети.
Основные преимущества доменной сети:
Подводя итоги, стоит сказать, что подобный функционал актуален лишь тогда, когда имеется минимум 3-5 компьютеров, и предъявляются требования к безопасности данных, находящихся в рабочей сети.
Специалисты Firewall-Service компетентны в вопросах организации сетей, способны спроектировать, проконсультировать (приобретение недостающего сетевого оборудования, системных блоков и расходных материалов) и полностью организовать доменную сеть в вашей компании (установка, настройка и подготовка сервера и компьютеров для работы в сети.) В настоящий момент, при организации домена, компании предпочитают закрытые решения от корпорации Microsoft. Однако, существуют и альтернативные способы организации домена, например, в Linux-системах широко распространена сетевая файловая система Samba, аналогичная по функционалу, реализованному в Windows 2000, способная выступать в качестве контроллера домена и сервиса Active Directory. Реализация доменной сети с использованием сетевой файловой системы Samba является перспективным направлением, которое будет развиваться силами наших специалистов и в будущем внедряться в существующую структуру компьютерных сетей организаций.
Домен в локальной сети
В некоторых случаях возникает необходимость вывести компьютеры локальной сети из рабочих групп и подключить их к локальному домену. Это дает возможность устанавливать групповые политики, управлять доступом пользователей, распределять между ними ресурсы, пользоваться своей учетной записью с любого компьютера в сети и другие полезные для системного администратора преимущества.
Что такое домен в локальной сети
Под доменом локальной сети принято понимать такую сеть, которая объединяет компьютеры под одной общей политикой безопасности и управляется централизовано. Таким образом при объединении компьютеров сети в рабочие группы взаимодействие машин основывается на принципе «клиент-клиент», а в домене это уже «клиент-сервер». В качестве сервера выступает отдельная машина, на которой хранятся все учетные записи пользователей сети. Так же можно хранить и профиль каждого пользователя.
Целесообразность организации такого доступа обусловлена несколькими факторами:
При организации доступа на основе рабочих групп, такой контроль организовать просто невозможно. Однако, когда сеть состоит из всего нескольких компьютеров, то совершенно не имеет никакого смысла ставить отдельный сервер домена, это просто экономически нецелесообразно.
Если ЛВС организована на основе Microsoft Windows Server, то служба, которая отвечает за контролер домена называется AD (Active Directory), если под управлением *nix (Unix, Linux, FreeBSD) служба управляющая пользователями имеет название LDAP (Lightweght Directory Access Protocol).
Создание контроллера домена под Windows Server 2003/2008
Теперь разберемся, как создать домен в локальной сети. После того, как на сервер установлена операционная система и проведены предварительные настройки, можно приступить к конфигурации службы Active Directory:
Это все действия, которые надлежит проделать для настройки домена в локальной сети. После того как мастер завершит работу, желательно будет перегрузить машину и войти в домен под учетной записью администратора для дальнейшей конфигурации пользователей и политик безопасности.
Иногда происходит такая ситуация, что компьютер не определяет сеть, вернее ставит статус «Неопознанная сеть». Ситуация возникает из-за того, что сервер замыкает DNS сам на себя, т.е. на петлю с адресом 127.0.0.1. Чтобы избавиться от этого, необходимо в настройках соединения указать в качестве DNS адрес сервера в локальной сети.
Организация работы ЛВС в доменной зоне процесс не сложный, но хлопотный. После настройки сервера не забываем ввести все рабочие станции в доменную зону. Дальнейшие действия по организации сети зависят от текущих нужд, но значительно упростят работу администратору и снимут ряд вопросов от пользователей.
[Конспект админа] Домены, адреса и Windows: смешивать, но не взбалтывать
Для преобразования имени в IP-адрес в операционных системах Windows традиционно используются две технологии – NetBIOS и более известная DNS.
Дедушка NetBIOS
NetBIOS (Network Basic Input/Output System) – технология, пришедшая к нам в 1983 году. Она обеспечивает такие возможности как:
регистрация и проверка сетевых имен;
установление и разрыв соединений;
связь с гарантированной доставкой информации;
связь с негарантированной доставкой информации;
В рамках этого материала нас интересует только первый пункт. При использовании NetBIOS имя ограниченно 16 байтами – 15 символов и спец-символ, обозначающий тип узла. Процедура преобразования имени в адрес реализована широковещательными запросами.
Широковещательным называют такой запрос, который предназначен для получения всеми компьютерами сети. Для этого запрос посылается на специальный IP или MAC-адрес для работы на третьем или втором уровне модели OSI.
Для работы на втором уровне используется MAC-адрес FF:FF:FF:FF:FF:FF, для третьего уровня в IP-сетях адрес, являющимся последним адресом в подсети. Например, в подсети 192.168.0.0/24 этим адресом будет 192.168.0.255
Интересная особенность в том, что можно привязывать имя не к хосту, а к сервису. Например, к имени пользователя для отправки сообщений через net send.
Пример работы кэша для разрешения имени узла «хр».
Что происходило при этом с точки зрения сниффера.
В крупных сетях из-за ограничения на количество записей и срока их жизни кэш уже не спасает. Да и большое количество широковещательных запросов запросто может замедлить быстродействие сети. Для того чтобы этого избежать, используется сервер WINS (Windows Internet Name Service). Адрес сервера администратор может прописать сам либо его назначит DHCP сервер. Компьютеры при включении регистрируют NetBIOS имена на сервере, к нему же обращаются и для разрешения имен.
В сетях с *nix серверами можно использовать пакет программ Samba в качестве замены WINS. Для этого достаточно добавить в конфигурационный файл строку «wins support = yes». Подробнее – в документации.
В отсутствие службы WINS можно использовать файл lmhosts, в который система будет «заглядывать» при невозможности разрешить имя другими способами. В современных системах по умолчанию он отсутствует. Есть только файл-пример-документация по адресу %systemroot%\System32\drivers\etc\lmhost.sam. Если lmhosts понадобится, его можно создать рядом с lmhosts.sam.
Сейчас технология NetBIOS не на слуху, но по умолчанию она включена. Стоит иметь это ввиду при диагностике проблем.
Стандарт наших дней – DNS
DNS (Domain Name System) – распределенная иерархическая система для получения информации о доменах. Пожалуй, самая известная из перечисленных. Механизм работы предельно простой, рассмотрим его на примере определения IP адреса хоста www.google.com:
если в кэше резолвера адреса нет, система запрашивает указанный в сетевых настройках интерфейса сервер DNS;
сервер DNS смотрит запись у себя, и если у него нет информации даже о домене google.com – отправляет запрос на вышестоящие сервера DNS, например, провайдерские. Если вышестоящих серверов нет, запрос отправляется сразу на один из 13 (не считая реплик) корневых серверов, на которых есть информация о тех, кто держит верхнюю зону. В нашем случае – com.
после этого наш сервер спрашивает об имени www.google.com сервер, который держит зону com;
Наглядная схема прохождения запроса DNS.
Разумеется, DNS не ограничивается просто соответствием «имя – адрес»: здесь поддерживаются разные виды записей, описанные стандартами RFC. Оставлю их список соответствующим статьям.
Сам сервис DNS работает на UDP порту 53, в редких случаях используя TCP.
DNS переключается на TCP с тем же 53 портом для переноса DNS-зоны и для запросов размером более 512 байт. Последнее встречается довольно редко, но на собеседованиях потенциальные работодатели любят задавать вопрос про порт DNS с хитрым прищуром.
Также как и у NetBIOS, у DNS существует кэш, чтобы не обращаться к серверу при каждом запросе, и файл, где можно вручную сопоставить адрес и имя – известный многим %Systemroot%\System32\drivers\etc\hosts.
В отличие от кэша NetBIOS в кэш DNS сразу считывается содержимое файла hosts. Помимо этого, интересное отличие заключается в том, что в кэше DNS хранятся не только соответствия доменов и адресов, но и неудачные попытки разрешения имен. Посмотреть содержимое кэша можно в командной строке с помощью команды ipconfig /displaydns, а очистить – ipconfig /flushdns. За работу кэша отвечает служба dnscache.
На скриншоте видно, что сразу после чистки кэша в него добавляется содержимое файла hosts, и иллюстрировано наличие в кэше неудачных попыток распознавания имени.
При попытке разрешения имени обычно используются сервера DNS, настроенные на сетевом адаптере. Но в ряде случаев, например, при подключении к корпоративному VPN, нужно отправлять запросы разрешения определенных имен на другие DNS. Для этого в системах Windows, начиная с 7\2008 R2, появилась таблица политик разрешения имен (Name Resolution Policy Table, NRPT). Настраивается она через реестр, в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DnsClient\DnsPolicyConfig или групповыми политиками.
Настройка политики разрешения имен через GPO.
При наличии в одной сети нескольких технологий, где еще и каждая – со своим кэшем, важен порядок их использования.
Порядок разрешения имен
Операционная система Windows пытается разрешить имена в следующем порядке:
проверяет, не совпадает ли имя с локальным именем хоста;
смотрит в кэш DNS распознавателя;
если в кэше соответствие не найдено, идет запрос к серверу DNS;
если имя хоста «плоское», например, «servername», система обращается к кэшу NetBIOS. Имена более 16 символов или составные, например «servername.domainname.ru» – NetBIOS не используется;
если не получилось разрешить имя на этом этапе – происходит запрос на сервер WINS;
если постигла неудача, то система пытается получить имя широковещательным запросом, но не более трех попыток;
Для удобства проиллюстрирую алгоритм блок-схемой:
Алгоритм разрешения имен в Windows.
То есть, при запуске команды ping server.domain.com NetBIOS и его широковещательные запросы использоваться не будут, отработает только DNS, а вот с коротким именем процедура пойдет по длинному пути. В этом легко убедиться, запустив простейший скрипт:
Выполнение второго пинга происходит на несколько секунд дольше, а сниффер покажет широковещательные запросы.
Сниффер показывает запросы DNS для длинного имени и широковещательные запросы NetBIOS для короткого.
Отдельного упоминания заслуживают доменные сети – в них запрос с коротким именем отработает чуть по-другому.
Active Directory и суффиксы
Active Directory тесно интегрирована с DNS и не функционирует без него. Каждому компьютеру домена создается запись в DNS, и компьютер получает полное имя (FQDN — fully qualified domain name) вида name.subdomain.domain.com.
Для того чтоб при работе не нужно было вводить FQDN, система автоматически добавляет часть имени домена к хосту при различных операциях – будь то регистрация в DNS или получение IP адреса по имени. Сначала добавляется имя домена целиком, потом следующая часть до точки.
При попытке запуска команды ping servername система проделает следующее:
если в кэше DNS имя не существует, система спросит у DNS сервера о хосте servername.subdomain.domain.com;
При этом к составным именам типа www.google.com суффиксы по умолчанию не добавляются. Это поведение настраивается групповыми политиками.
Настройка добавления суффиксов DNS через групповые политики.
Настраивать DNS суффиксы можно также групповыми политиками или на вкладке DNS дополнительных свойств TCP\IP сетевого адаптера. Просмотреть текущие настройки удобно командой ipconfig /all.
Суффиксы DNS и их порядок в выводе ipconfig /all.
Однако утилита nslookup работает немного по-другому: она добавляет суффиксы в том числе и к длинным именам. Посмотреть, что именно происходит внутри nslookup можно, включив диагностический режим директивой debug или расширенный диагностический режим директивой dc2. Для примера приведу вывод команды для разрешения имени ya.ru:
Из-за суффиксов утилита nslookup выдала совсем не тот результат, который выдаст например пинг:
Это поведение иногда приводит в замешательство начинающих системных администраторов.
Лично сталкивался с такой проблемой: в домене nslookup выдавал всегда один и тот же адрес в ответ на любой запрос. Как оказалось, при создании домена кто-то выбрал имя domain.com.ru, не принадлежащее организации в «большом интернете». Nslookup добавляла ко всем запросам имя домена, затем родительский суффикс – com.ru. Домен com.ru в интернете имеет wildcard запись, то есть любой запрос вида XXX.com.ru будет успешно разрешен. Поэтому nslookup и выдавал на все вопросы один ответ. Чтобы избежать подобных проблем, не рекомендуется использовать для именования не принадлежащие вам домены.
При диагностике стоит помнить, что утилита nslookup работает напрямую с сервером DNS, в отличие от обычного распознавателя имен. Если вывести компьютер из домена и расположить его в другой подсети, nslookup будет показывать, что всё в порядке, но без настройки суффиксов DNS система не сможет обращаться к серверам по коротким именам.
Отсюда частые вопросы – почему ping не работает, а nslookup работает.
В плане поиска и устранения ошибок разрешения имен могу порекомендовать не бояться использовать инструмент для анализа трафика – сниффер. С ним весь трафик как на ладони, и если добавляются лишние суффиксы, то это отразится в запросах DNS. Если запросов DNS и NetBIOS нет, некорректный ответ берется из кэша.
Если же нет возможности запустить сниффер, рекомендую сравнить вывод ping и nslookup, очистить кэши, проверить работу с другим сервером DNS.
Кстати, если вспомните любопытные DNS-курьезы из собственной практики – поделитесь в комментариях.
Организация ИТ малого предприятия часть 3: домен, хостинг и виртуальный/реальный сервер
Сперва коротко о хостинге. Хостинг — выделенные ресурсы сервера в сети, которые позволяют разместить что-либо.
«Хостинг против сервера» (плюсы):
— нет нужды в администраторе;
— настраивается как угодно (в рамках квалификации администратора);
— больший доступный объем диска.
Теперь о доменах. Итак, что такое домен (доменное имя), сколько стоит и зачем оно нужно.
Сперва будет краткая техническая информация что это такое, потом сколько стоит и зачем нужно. Если техническая информация не нужна — следующий раздел помечен полужирным.
Для рассмотрения понятия нужно так же знать, что такое URI и URL:
Итак рассмотрим полные URI адреса. В один, к сожалению, не получится:
Читаем адрес правильно:
.com — домен первого (или как некоторые говорят верхнего) уровня. Выделяются соответственно ICANN.
example — домен второго уровня. Выделяется регистратором который договорился с ICANN на выделение имен в соответствующей зоне.
aaa — домен 3-го уровня. Выделяется владельцем домена второго уровня.
bbb — домен 4-го уровня. Выделяется владельцем домена третьего уровня.
ccc — домен 5-го уровня. Выделяется владельцем домена четвертого уровня.
:8080 — порт на который происходит подключение. Остановимся на понятии «порт» поподробнее. Дело в том, что к одному серверу может быть одновременно подключено несколько клиентов к разным программам запущенным на сервере. Так вот чтобы данные клиентов и программ не пересекались с данными других клиентов и программ данные маркируются особой меткой которая и называется «порт». Порты с номерами до 1024 зарезервированы для «стандартных» программ.
http — протокол передачи данных.
/file — каталог/папка на сервере в которой лежит
/example.php — файл на сервере, который получает:
?login=admin&pass=admin — параметры login и pass со значением admin.
Пересечения с первым описывать не буду, отмечу только отличия: логин и пароль выведены в URI и сменен протокол.
Итак, под доменом обычно понимают доменную зону второго уровня т. е. символьное имя которое однозначно идентифицирует какой-либо сервис в сети.
Цены на домены устанавливают регистраторы доменных имен. Стоимость домена 2 уровня начинается (для ru/рф зоны) от 95 рублей. Различные регистраторы предлагают различные цены, но для клиента важно только одно — верификация домена (привязка имени к конкретному физическому или юридическому лицу). Внимание! Некоторые регистраторы раздают домены бесплатно, но при этом или регистрируют их на себя или оставляют управление доменом за собой. Если сайт раскрутится, то регистратор может просто продать раскрученный домен конкурентам.
Доменная зона второго уровня, это престиж, выгода и удобство. Согласитесь, что почта boss@example.ru гораздо солидней выглядит, чем boss_example@mail.ru. Выгода заключается в том, что владелец зоны второго уровня может «открыть миру» свой сайт, почтовый сервис, обмен сообщениями, файловое хранилище и т. п. При этом указанные сервисы могут быть монетизированы и приносить прибыль (Mail.ru начинался как простой почтовик).
А вот на теме удобства стоит остановиться поподробней.
Во-вторых это корпоративная электронная почта и какие у неё преимущества думаю знает и понимает каждый. Для своего домена корпоративная почта это прежде всего свобода. «На старте» свободными являются все имена в домене, то есть можно выбрать любое красивое и звучное имя, а не регистрировать после перебора всех красивых вариантов vasya9999@yandex.ru.
В-третьих URI позволяет твердо зафиксировать документ или ресурс. Это значит, что все типовые коммерческие предложения, презентации, буклеты и т. п. можно выложить на сервере/хостинге и рассылать не письма, а ссылки на них. В особо продвинутых организациях есть грамотно настроенная (если нет человека который все грамотно сделает, то не делайте — иначе взлом Вашей сети станет обыденностью) адресация по типу: сотрудник.отдел.домен, при правильной настройке подключения это позволяет во-первых обращаться к компьютерам напрямую (в т.ч. из локальной сети), а во-вторых сотруднику работать за компьютером из любого места где есть интернет.
В-четвертых обсуждение корпоративных вопросов через публичные мессенджеры может быть скомпрометирована. Корпоративный сервер обмена сообщениями делает переписку гораздо более приватной и контролируемой.
В-пятых домен позволяет создавать сеть между удаленными точками (VPN). В единый домен могут быть включены разные офисы и удаленные рабочие места.
В-шестых можно организовать свою аудио-визуальную связь (свой скайп). Опять же, все гораздо более приватно, чем публичные сервисы.
Тут еще много пунктов, но общая мысль одна — доменная зона, это контролируемая Вами частичка глобальной сети, где можно делать все, что есть в «большой» сети.
Баянометр опять сломался.
P.S. Извиняюсь за сумбурность, позавчера (хотя узнал недавно) на 29-м году жизни внезапно не стало моего коллеги Димы и данный пост был написан как отдушина, потому как в такие моменты нужно просто отвлечься.
«В-пятых домен позволяет создавать сеть между удаленными точками (VPN).»
Наоборот, сначала делается сетевая инфраструктура, потом поверх всего этого прекрасно работает контролер домена.
Читаю и плачу. Домен нужен для организации VPN, мессенджера, серьезно? Домен нужен только для сайта и внешней почты, не более. Корпоративные вопросы как правило обсуждаются через внутреннюю почту.
Компьютерный мастер. Часть 163. Слышишь слово микротик, то беги и не оборачивайся)))
Ну вот не бывает у меня всё гладко с клиентами, которым просто надо настроить интернет на микротике))) всегда какая-то муть, и у меня даже не к оборудованию проблемы, а к людям что его закупают, используют, админят. но обо всём по порядку:
Звонок: нам нужен мастер настроить микротик, мы небольшая фирма, переехали из другого города, перевезли с собой сервер, у нас есть свой it-шник в другом городе, и ему надо чтобы просто к микротику интернет подключили и ему доступ дали, а дальше он сам. все доступы к него есть.
Слыша три слова микротик+сервер+переезд в одной фразе, предлагаю оплату выезда + каждый час работы, клиент соглашается, приезжаю, это оказывается офис в обычной квартире, где люди живут и работают, сервер стоит на кухне, роутер покоится на полу:
и железное снизу это не стол, а сервер лохматых годов))) на 4 диска
Ещё за 30 минут, я настроил роутер, пробросил указанные порты на сервер, казалось бы вот и сказочке конец, забирай денежки за час работы и беги, но нет. оказалось они забыли подключить у провайдера белый ip адрес, дозвон в ростелеком, восстановление логинов и паролей от личного кабинета, ещё на полчаса трудов.
И пока ждём активации белого ip, думаю давай запущу сервер)))
И тут естественно сюрприз, знакомая до боли на черном экране надпись, что грузиться не откуда, идём в bios:
Понимаем, что сервер норм, но ему лет так 10 не меньше.
изучая меню Boot видим, что никаких хардов в нем не видно, предполагаю, что стоит отдельная RAID плата, которая из 4-х физических HDD создает один виртуальный диск.
Грузим с флешки Windows PE, традиционно я использую Strelec. и вижу в системе два террабайтных харда, и на них какие-то данные, но никакой windows там и не пахнет.
Вырубаем всю эту конструкцию, вскрываем крышку, и видим как нам кажется причину: в двух слотах прикручены как положено два HDD, а в двух других просто лежат два SSD intel на 250 гигов, никак не прикрученные, и как следствие просто вылетели из sata портов при переезде, вставляем их обратно и кажется всё понятно, RAID контролер использует диски попарно SSD под систему и HDD под данные, каждую пару объединяет в один виртуальный диск и система должна запуститься. но вот хер опять тажа надпись, про отсутствие загрузочного девайса, и самая боль, что ты через bios видишь просто RAID контролер, но не можешь понять что у него внутри и сколько дисков видит он.
Опять грузимся в windows PE, и очень странная ситуация aida и crystal disk видят интеловские SSD, но данные с них не доступны. очевидно заcбоил raid контролер, видимо сбросилась конфигурация.
Параллельно общаюсь и их it-шником по телефону, но видимо он совсем не настроен на решение проблемы и даёт банальные советы зайти в raid и посмотреть что там, но вот загвоздка, в нормальной ситуации ты заходишь в контролер по комбинации «ctrl+i» или «ctrl+h» и там уже мышкой и клавиатурой крутишь настройки, но здесь железо старое глючное и попытка зайти в интерфейс raid контролера приводит к зависанию. Час перезагружаю систему пытаясь всё таки попасть в интерфейс RAID. но всё тщетно. попутно у нас пропадает интернет, это называется ростелеком подключил белый статический адрес и попутно сломал интернет, ещё 30минут висения на проводе с 1-й, 2-й линией тех поддержки убеждая их, что роутер мы уже перезагружали не раз и проблема на их стороне, видимо с кривой маршрутизацией до статики.
Параллельно мне клиенты(семейная пара) рассказывают историю своей фирмы, что у них было 30-ть сотрудников, но из-за короновируса и 4-х месяцев закрытой Москвы не работали все поставщики, и пришлось всех сотрудников уволить, отказаться от офиса. и вот сейчас они начинают дело сначала на съемной квартире в виде офиса, а в серваке жизненно важная CRM в которой почти 19 000 клиентов и все заказы за 5 лет работы.
И тут мне в голову приходит, идиотская но практически рабочая идея, а что если в RAID контролере нормально работают только два канала из 4-х. я выдергиваю HDD и оставляю только два SSD и Windows загружается. а это уже успех. параллельно общаясь с клиентами понимаю, что на отключённых хардах нет в принципе полезной информации, и их использовали сотрудники для обмена файлами, и как общую папку.
А сама CRM стоит локально на компах, а на SSD лишь стандартная firebird база данных.
Всё остается только донести эту информацию, до их it-шника, чтобы он прописал, новые адреса в CRM на локальных компах и оля-ля всё заработало. клиенты просто счастливы, ибо они каждый день простоя теряли десятки тысяч на рекламе.
Суммарно всё заняло практически 4-часа... А ведь ехал просто настраивать роутер, а в итоге и в серваке покопался и raid оживил, да не идеально с потерей диска D, но для клиента это и не важно оказалось. И клиент оказался на редкость адекватный оплатил всё по полной ставке без вопросов.
В Страсбурге сгорел дата-центр OVH SBG2
10 марта в 02:42 по московскому времени облачным провайдером OVH было опубликовано оповещение о деградации сервиса в дата-центре SBG1 в Страсбурге, которое позже было дополнено информацией о пожаре в здании SBG2:
«В настоящее время в нашем центре обработки данных в Страсбурге произошел серьезный инцидент, связанный с пожаром в здании SBG2. Пожарные немедленно прибыли на место происшествия, но не смогли справиться с возгоранием в SBG2. Все здание было изолировано, что влияет на все наши услуги на SBG1, SBG2, SBG3 и SBG4. Если ваш сервис хостится в Страсбурге, мы рекомендуем активировать План аварийного восстановления. Все наши бригады полностью мобилизованы вместе с пожарными. Мы будем держать вас в курсе по мере поступления дополнительной информации.»
SBG2 является частью кампуса SBG, состоящего из 4 ЦОД. В SBG2 предоставлялись услуги аренды выделенных серверов (dedicated) и облачные сервисы. И если облачным сервисам OVH должен был обеспечивать резервное копированием своими силами, то для арендаторов выделенных серверов эта ситуация в отсутствии резервных копий может быть фатальной.
Тем временем real-time мониторинг доступности выделенных серверов в SBG2 рапортует о полной доступности всего оборудования в ЦОД. Вероятно, сервера мониторинга располагались в том же дата-центре.
Среди облачных провайдеров, не входящих в «большую тройку» (AWS, Azure и Google Cloud), OVH является одним из наиболее популярных. Большинство из 27 дата-центров OVH расположены в Европе. Последняя крупная авария у OVH также произошла в кампусе SBG в 2017 году. В результате отключения электроэнергии весь кампус SBG был отключен. Сорок минут спустя другой кампус RBX (Рубе, Франция) потерял связь из-за несвязанной ошибки программного обеспечения в сетевом оборудовании.
Сочувствуем всем проектам, у кого сервера находились в данном дата-центре, а остальным напоминаем про давно известный чек-лист:
Храните бекапы в (сберегательных кассах) отдельных дата-центрах;
Периодически проверяйте работоспособность своих бекапов;
Имейте наготове план аварийного восстановления доступности сервиса.
UPD: В 9:20 по московскому времени пожар закончился. Судя по сообщениям Octave Klaba (основателя и владельца OVH) в Twitter, в связи с близким расположением зданий дата-центров SBG1, SBG3 и SBG4 к сгоревшему SBG2, пожарным пришлось их «охлаждать», в связи с чем в настоящий момент отсутствует доступ в эти здания и работа данных ЦОД сегодня восстановлена быть не может.
Shodan.io | Как спастись, куда бежать начинающему разработчику/сис.админу?
Сей материал будет полезен новичкам в вопросе настройки своих серверов и сетевой безопасности. Прошу разбирающихся не бить ссанными тряпками, пост писался из благих побуждений и в некоторых вопросах я могу быть не совсем корректен.
Кратко о shodan. Это поисковый сервис который рандомным образом генерирует IP адресы и проверяет что по ним расположено, в следствии неправильной настройки сервера некоторые данные могут утечь (shodan не щадит никого) либо к серверу может быть получен несанкционированный доступ. К примеру, есть такой пакет для linux совместимых систем как ProFTPD (FTP сервер, что логично) и в нём есть (был?) эксплоит (CVE-2019-12815) позволяющий выполнять код и доставать «секретную» информацию БЕЗ авторизации. Актуально для версии пакета 1.3.5b.
Патч на гитхаб: https://github.com/lcartey/proftpd-cve-2019-12815
Чем опасен этот эксплоит помимо очевидного «выполнять код»? Да всё очень просто, если у вас к серверу привязан домен и не стоит патч на proftpd, то последний любезно предоставит информацию о нём.
Опасно это в первую очередь для тех у кого не самые мощные сервера и нет защиты от DDoS атак. Рекомендую установить патч либо использовать SFTP чтобы не спалить данные о домене. Если ваш IP таки был связан доменом (раскрыт), вам стоит обратиться к провайдеру для его смены, т.к он является скомпрометированным, исправить сие невозможно.
Если вы используете услуги аренды VDS серверов, крайне не рекомендую вообще указывать реальный домен при начале аренды (актуально как минимум для firstvds).
Также крайне не рекомендую при наличии домена, разрешать доступ к серверу через IP.
Для себя я решил проблему с доступом через добавление в конфигурацию nginx’а следующих строк:
return 444; # вернёт пустой ответ.
Для своих сайтов я использую Cloudflare который прекрасно справляется с экранированием запросов и инициатор запросов никогда не получит ваш реальный IP адрес.
Не стоит думать что если между IP адресом вашего сервера и доменом была установлена связь, вас никогда не затронет проблема безопасности. У каждого разные причины для тех или иных поступков, будь то просто зависть или попытка устранить конкурента. Будьте бдительней, господа!
Ну а я после этого поста готовлюсь огребать минусы от «знатоков». Тем не менее, я сообщил о том о чём знал и теперь моя совесть чиста, надеюсь кому-нибудь да поможет.
Будни копирайтера. Новый развод в интернете.
У меня закончился домен, встал в свободный сток, но спустя несколько месяцев я его решил купить еще раз. Купил, несколько времени спустя приходит письмо:
Если кто читает с телефона:
Вы почти у цели, теперь Вам лишь требуется добавить XXXXXX в крупнейшие поисковые системы интернета. Оплатить эту заявку необходимо до 29.07.2019.
Ого, думаю, за регистрацию в поисковиках теперь платить надо.
Для «регистрации в поисковиках» можно выбрать Яндекс и Гугл, их же с Бингом и Яху, а можно шикануть и заказать все поисковики планеты. Шутки? Выбираю оплату и.
Вводим фальшивые данные, и нам тут же выдает:
То есть, какие-то хлопчики парсят регистраторов доменов, рассылают письма с предложением зарегистрировать домен в поисковых системах, причем берут деньги через серьезный и уважающий себя сервис. Что делать?
Готовлю пост на Пикабу по мошенническим действиям с Вашим сервисом.
Некоторые товарищи предлагают зарегистрировать домен в поисковых системах посредством сервиса subme.su
Вы что-то об этом знаете?
Получаем номер обращения и ждем.
Какая хитроумная схема, не находите? Говорить всем владельцев доменов про необходимость регистрации в ПС, ссылаясь на великий и ужасный Роскомнадзор.
После чего я пишу письмо хостеру со ссылкой на этот пост.
Рег.ру опустились до откровенного мошенничества
Несколько дней назад приходит письмо от того о ком нельзя писать на пикабу:
Немного охреневаю от письма, дело в том, что домен был переведен к другому регистратору более полу года назад и оплачен до 05.2020 года. Захожу в личный кабинет того о ком нельзя писать на пикабу и вижу, что домен они вернули обратно в личный кабинет (после переноса он был удален):
При переходе на страницу продления просят оплатить:
Уже сильно охреневая от происходящего пишу в техподдержку куда я переводил свой домен, не совсем сразу, но получаю ответ:
Выходит, что те о ком нельзя писать на пикабу спустились до откровенного мошенничества. В данной ситуации обыватель которому делали сайт на заказ, не стал вникать в происходящее и просто оплатил домен к которому те о ком нельзя писать на пикабу по сути не имеют никакого отношения.
Ошибка при подключении по RDP (CreedSSP encryption oracle remediation)
8 мая 2018 года компания Microsoft выпустила новое обновление устраняющее уязвимость в удалённом выполнении кода в незакрепленных версиях CredSSP (поставщик проверки подлинности, который обрабатывает запросы проверки подлинности для других приложений). Злоумышленники, использующие эту уязвимость, могли передавать данные пользователя для выполнения кода в целевой системе, включая установку и удаление произвольного программного обеспечения, удаление или изменение данных на сервере, создание учётных записей с любыми правами. При этом, после обновления, многие пользователи, при попытке подключения к удалённому рабочему столу, столкнулись с ошибкой «CredSSP encryption oracle remediation»:
На самом деле это не является ошибкой, это является уведомлением о проблеме безопасности давно не обновлённого сервера.
Microsoft отреагировала на уязвимость и приступила к устранению проблемы, поделив шаги на 3 этапа.
Результат первого этапа – обновление от 13 марта 2018 года, для CredSSP и RDP, которое закрывает дыру в безопасности и добавляет новый пункт в групповые политики.
Результат второго этапа – обновление от 17 апреля 2018 года, которое предупреждает о небезопасном соединении, если у сервера или клиента будет уязвимые CredSSP или RDP.
Результат третьего этапа – как раз обновление от 8 мая 2018 г.
Для решения проблемы требуется на время отключить на компьютере, с которого Вы пытаетесь подключиться, данное блокирующее уведомление о проблеме безопасности.
Политика должна располагаться по пути:
Политика имеет 3 опции:
1. Vulnerable (оставить уязвимость) – клиенты смогут подключаться как раньше, не зависимо от того, пропатчены они или нет. Это уязвимый уровень безопасности.
2. Mitigated (уменьшить риск) – клиенты не смогут подключаться к непропатченым серверам, в свою очередь серверы смогут принимать непропатченных клиентов. Средний уровень безопасности.
3. Force Updated Clients (принудительно принимать обновленные клиенты) – безопасный уровень взаимодействия клиентов – соединение установлено не будет, если один из пары клиент-сервер имеет не пропатченный RDP.
Необходимо включить политику, выбрав «Enabled» (Включено) и установить значение параметра в выпадающем списке на «Vulnerable» (Оставить уязвимость).
После проделанных действий, Вы сможете подключаться к серверу также, как и раньше.
Как только вы подключились к серверу, установите последние обновления Windows. Если возникает ошибка, при попытке установки обновления, проверьте запущена ли служба «Windows Update» (Центр обновления Windows).
Служба располагается по пути:
Если служба не запускается, проверьте, разрешён ли её запуск – статус не должен быть «Disabled» (Отключена).
Для Windows Server 2008 R2 SP1 или Windows Server 2012 R2 мы можете установить не все обновления, а только одно, которое устраняет эту уязвимость, сокращая время на решение проблемы подключения к серверу.
Скачать обновление можно с сайта Microsoft на странице описания уязвимости ( https://portal.msrc.microsoft.com/en-us/security-guidance/ad. ):
После того, как сервер будет обновлен, необходимо в политике «Encryption Oracle Remediation» (Исправление уязвимости шифрующего оракула) будет изменить опцию с Vulnerable (оставить уязвимость), на Force Updated Clients (принудительно принимать обновленные клиенты), но в этом случае все клиенты должны быть так же обновлены или на Mitigated (уменьшить риск), что даст возможность подключаться к серверу непропатченным клиентам.
Все образы операционных систем Windows Server, предлагаемые облачными сервисами МАРС Телеком, содержат все последние обновления и после создания нового или пересоздания сервера проблем подключения к нему с ошибкой «CredSSP encryption oracle remediation» уже не будет.
О мошенниках
Просрочила, вот, оплату хостинга и на почту посыпались «письма счастья» от хостера, регистратора домена и. мошенников.
Само письмо, адрес замаскирован:
А вот и страница оплаты:
Как видим, обезличенное обращение, нет номера договора, оплата со стороннего сайта (по доставке линз О_о).
То есть, мошенники мониторят освобождающиеся домены, заполучают адрес электронной почты (у меня адрес на сайте был, так что, наверное, оттуда и узнали), и шлют вот такие письма. Выглядит кустарно, и все же.
Может, это и распространено, но в первые сталкиваюсь с подобным, решила написать.
Так вот, куда можно реально и просто пожаловаться, если ты не пострадавший?
Насколько велик youtube?
Да, все в стиле google, но каждый цвет обозначает свой хим. состав. Сервера например погружены в диэлектрическую жидкость она не проводит ток и безопасна для электронных компонентов, в то же время как сказано температура составляет ровно 15 градусов C*.
Всю инфу искал я, не копипаст, если что-то было похожее на мой пост то простите баянометр выдал мне пост «Кажется моя кошка сломалась» так что вроде ничего похожего нету. Всем желаю счастья и добра!
Т.к в моей стране интернет считается роскошью я смотрю видосы в 144p и то трафика не хватает на месяц, если надо подробнее, читайте мой пост на тему интернета http://pikabu.ru/story/internet_u_vas_i_u_nas_4641499
Плавленный сервер
День добрый, такая проблема: после компиляции «апача» наблюдается большая потеря пакетов, а температура корпуса повышается. Весь гугл излазил — не могу решить проблему самостоятельно.
Сотрудники техподдержки отвечают на удивление оперативно:
Уважаемый господин %name%, вы всё сделали абсолютно верно, а настройки при компиляции выставили оптимальные. Тут проблема с нашей стороны: в датацентре пожар. Мы постараемся устранить проблему в ближайшее время.
Виды хостинга
Работаю в хостинге: размещаем сайты пользователей на своих серверах.
Ввиду гигантского количества вопросов, которые нам задают и начинающие, и опытные пользователи, при помощи Пикабу хочу разъяснить некоторые принципы, аспекты и особенности этого ответвления IT-сферы. Не уверен, что количество вопросов от наших пользователей уменьшится, но попытаться стоит.
Даже если вы не пользуетесь хостингом, предположу, что эта информация может быть познавательна.
Сегодня попробую объяснить разницу между видами хостинга. Объяснять буду на примере трёх самых популярных в РФ:
1. Виртуальный (shared) хостинг.
3. Выделенный (dedicated) сервер.
Виртуальный (shared) хостинг.
Самый простой хостинг с точки зрения пользователя. Приобретая услуги такого хостинга, пользователь получает учётную запись, готовую к работе сразу после регистрации. Набор ресурсов огромного сервера, логины и пароли для управления этими ресурсами.
Таким образом, shared-хостинг напоминает аренду меблированной комнаты в большой коммунальную квартире: у вас есть некоторая жил. площадь, недоступнай другим жителям. Все остальные удобства «на этаже»: общая кухня, сан. узел и душевая, один вайфай на всех. Это, может быть, и ничего страшного. В обычном течении жизни всё работает хорошо. Всем всего хватает. Но у такой схемы нет запредельного запаса прочности. То есть всё хорошо ровно до тех пор, пока нескольким жителям одновременно не понадобится кухня/туалет/душ.
Или, вдруг, к кому-то начали ломиться некие недоброжелатели. Имеющие цель за какие-то прегрешения покарать одного жителя. Своими действиями они мешают нормальной жизни всем жителям квартиры.
Плюсы: дешевизна, удобство использования неискушённому пользователю, что называется «заплати и живи».
Минусы: крайняя зависимость работоспособности проекта пользователя от нагруженности сервера проектами соседей пользователя по этому серверу.
Следующий вид, который рассмотрим — VDS или VPS хостинг.
Для начала расшифрую обе аббревиатуры:
VDS — virtual dedicated server.
VPS — virtual private server.
По сути своей — это два понятия, описывающие одну и ту же услугу: виртуальный сервер. А виртуальный сервер — это кусочек одного большого физического сервера, который настроен определённым образом. Он умеет создавать внутри себя выделенную область, со своей собственной операционной системой, со своими ресурсами, которые, естественно выделяются «сверху» этим большим сервером. Разница между VDS и VPS только в способе выделения ресурсов. Но для вас, как пользователя, эта разница видна не будет.
Полученные мощности вы используете так, как вам заблагорассудится. Но для этого вы сначала должны настроить сервер. После регистрации вы получаете административный логин и пароль к «голому» серверу, на который установлена лишь операционная система. То есть, для работы с таким хостингом, уже нужны какие-то навыки администрирования серверов. Либо наличие денег на специалиста, который будет делать за вас как настройку, так и последующее администрирование этого сервера.
Используя ранее выбранную метафору с жилищем, VDS(VPS) можно сравнить с многоквартирным домом: один большой дом, с отдельными квартирами, имеющими свой собственный набор коммунальных услуг: электричество, телефон, интернет, вода. В таком доме зависимость от соседей возникает только в крайне редких случаях. При при аренде такой квартиры, вам нужно обставить её нужной вам мебелью и нужной техникой, либо воспользоваться услугами специалиста.
Плюсы: независимость от других пользователей (в подавляющем большинстве случаев)
Минусы: чуть большая цена аренды, необходимость самостоятельной настройки и администрирования сервера.
Выделенный (dedicated) сервер.
Последним в нашем списке будет выделенный сервер. Как понятно из названия, он представляет собой выделенный физический сервер, все ресурсы которого отданы в ваше полное распоряжение. И здесь возможности сервера находятся в прямой зависимости от ваших денежных возможностей и возможностей текущего технического прогресса.
Возвращаясь к метафорам, выделенный сервер — это, собственно, дом. А его размер: небольшая дача или огромный каменный замок, а также количество и качество ресурсов внутри дома: мощность подключаемого электричества, водяных труб и толщина интернета, зависят только от вашего кошелька.
Плюсы: это всё ваше (пока вы платите за это).
А напоследок, небольшой бонус.
Какой хостинг выбрать для вашего проекта?
Начнём с того, что подавляющее большинство проектов удовлетворяет требования обычного shared-хостинга. Нет смысла переплавичать за хостинг сайта-визитки или небольшого интернет-магазина. Современные хостеры выполняют тонкую настройку серверов для shared-хостинга таким образом, чтобы пользователи в процессе работы не замечали друг-друга.
Если вам нужно какое-то специфичное программное обеспечение, или у вас есть определённые навыки администрирования серверов и желание самостоятельно настроить сервер под свои нужды, то можно выбрать и VDS-хостинг. Зачастую его цена примерно равна самым дорогим тарифам для shared-хостинга, но даёт уже описанную выше долю свободы.
Обычно, к выделенному серверу приходят постепенно. То есть, выделенный сервер подойдёт для проектов, которые уже некоторое время просуществовали в Сети как на шаред-хостинге, так и на вдс. Во всяком случае на нашем хостинге несколько проектов вырасло именно так: проходя все тарифы с самого низа. Если из shared-хостинга вы уже выросли, а ресурсов, выделяемых на VDS, вам уже не хватает — добро пожаловать на выделенный физический сервер.
Всегда готов ответить на ваши вопросы по теме поста в комментариях.
Организация ИТ малого предприятия часть 2: сопутствующий софт
Итак, в первой части был рассмотрен вопрос установки ОС, офисного пакета и сервера малого офиса. Перечитав первую часть увидел важное упущение — я не расписал почему применяется сочетание «малый офис». Малый офис — это офис компании, где нет штата ИТ-специалистов. Почему именно такая градация — потому что у каждого уважающего себя админа есть свой набор софта и навыки по его использованию, а давать советы такому специалисту — только портить. Второй момент — модераторы Пикабу очень ревностно относятся к конкретным решениям, поэтому традиционно без наименования конкретных программ.
Итак вторая часть — сопутствующий софт.
Хранение паролей. Деятельность любой нормальной организации связана с регистрацией на массе сайтов. Продажники сидят в соцсетях и на досках объявлений, бухгалтеры сдают отчетность и смотрят текущие веяния на профильных сайтах и т. п. Все это приводит к тому, что нормальный специалист должен иметь как минимум несколько десятков аккаунтов на разных сервисах. При этом бытовое (и очень правильное и эффективное) «хранение паролей на бумаге» в организации не приемлимо. Во-первых правила безопасности говорят, что из учетной записи нужно выходить после использования, во-вторых листок с паролем может быть «случайно» захвачен увольняющимся сотрудником. Чтобы не иметь проблем с корпоративными данными нужно заводить программу для хранения паролей. Ключевой особенностью такого ПО является не простое хранение данных, а режим ввода пароля. В отличии от хранения паролей в тектовых файлах вытащить данные из специализированной программы намного сложнее, а копия файла на сервере — гарантия что с паролями ничего «случайного» не произойдет.
Защищенные хранилища данных. Данные в организации можно разделить на 2 категории — текучка и критически важные данные. Если от повреждения/кражи текучки вред будет небольшой, то кража данных по продажам и коммерческая документация могут привести к смерти бизнеса. Да и хранить некоторые данные в доступном для контролирующих органов формате — большой риск (мне известны как минимум 2 случая когда после «экспертизы» у конкурентов внезапно появлялись данные организации). Для предотвращения подобных «казусов» существуют защищенные хранилища данных. Не зная ключи можно только удалить хранилище, но не взломать (особенно если пароль длинный и хранится в программе хранения паролей).
Список контактов. Сотрудники организации — люди. Даже не имея злого умысла сотрудник может заболеть, попасть в ДТП и т. п. При этом зачастую нужно связаться с контрагентом «вотпрямщас». Если в организации нет софта который хранит и синхронизирует список контактов/контрагентов предприятия, то организация может потерять деньги.
Почтовые клиенты. Подавляющее большинство пользователей смотрит почту через веб-интерфейс, но ввиду того, что помимо данных писем загружается сам интерфейс, реклама и т. д. канал подключения к интернету быстро «тает», что приводит к задержкам в работе (следовательно объективно снижает эффективность сотрудника). Почтовый клиент позволяет увеличить скорость работы (особенно с несколькими почтовыми ящиками).
Списки задач. Весьма печально бывает смотреть на должностные инструкции сотрудников. Встретить ДИ на 20-30-40 пунктов не редкость. За каждым пунктом стоят какие-либо обязанности, а ограничения человеческого мозга не позволяют держать объем данных в голове. Решить эту задачу и призваны списки задач. Единственно хочу посоветовать выбирать софт который может сортировать задачи по датам. Забиваем задания, периодически сверяемся со списком и не получаем головняки из-за пролюбленных сроков или забытых дел.
Календарь. В целом решает те же задачи что и списки задач, но с другой стороны — это программа для календарного планирования работы, встреч и т.п.
Дальше идет класс программ которые делают разное, но зачастую встречаются как элементы одной программы. Важно отметить, что данные решения возникли еще в 90-е годы на западе, где в нормальных рыночных отношениях во главу угла ставится эффективность бизнеса. Эффективный бизнес в меньшей степени страдает от кризисов, приносит более высокую прибыль и более конкурентоспособный. Итак:
Системы управления организацией (планирование ресурсов предприятия, ERP). Система объективного контроля отражающая все процессы в организации и в режиме он-лайн показывает текущее состояние. Для хозяина бизнеса или руководителя — наглядное решение показывающее (при должном контроле) объективную картину работы бизнеса. Наглядно выявляются халявщики, идиоты и т. п. Хотя именно по этим причинам внедрение подобных решений в России повсеместно саботируется.
Системы управления взаимоотношениями с клиентами (или как часто говорят «продажами», CRM). Система объективного контроля и автоматизации взаимодействия с клиентами. Позволяет собирать и накапливать данные и объективно оценивать различные технологии позволяющие повысить удовлетворенность клиентов и как следствие — продажи. В России часто используется не для качественного результата, а для количественного, в результате теряется около 75% эффективности.
Системы оценки эффективности (KPI). Вот это решение у нас во-первых реально ненавидят, а во-вторых специалистов способных его внедрить почти не найти. KPI – объективная математическая модель организации позволяющая (при правильном внедрении) в течении периода (обычно года) выявить ключевых сотрудников (на которых все держится), всех нахлебников и кто в действительности чего стоит. Универсальных решений не существует, пишется только на заказ. Если кратко — на первом этапе создается во-первых математическая модель организации (кто и как влияет на прибыль), а во-вторых создается план экономического развития организации, на втором этапе на основании полученных данных строится информационная модель организации и запускается в работу. Каждый сотрудник вносит первичные данные в систему и в итоге система считает эффективность сотрудника. На западе такая система используется как основание для премирования и увольнения сотрудников, у нас… Никак не используется даже при видимом внедрении. Пример из жизни: один «Продажник» обзвонил 100 клиентов и получил 2 заказа, второй обзвонил 10 клиентов и получил 5 заказов, но организация провела только 3 сделки — 2 у первого и 1 у второго. Кто эффективней? Второй, потому что у него заказы сорвались из-за личной неприязни сотрудника ответственного за закупки. Второго сотрудника уволили. Организация в первый год потеряла 20% самых выгодных клиентов… Правильно составленный KPI наглядно показывает все «узкие места» организации, выявляет внутренние «подставы». За что собственно его и ненавидят.