Рубрика: Сервер

Openvpn сервера бесплатные: Free OpenVPN — Бесплатный VPN-доступ без ограничений!

Openvpn сервера бесплатные: Free OpenVPN — Бесплатный VPN-доступ без ограничений!

Free OpenVPN — Бесплатный VPN-доступ без ограничений!

Free OpenVPN — Бесплатный VPN-доступ без ограничений!

29 августа 2020 года — ВНИМАНИЕ!!! Новый мощный и быстрый сервер с поддержкой торрентов в локации РОССИЯ-3!

Советуем! Обращайте внимание на дату обновления файлов конфигурации и своевременно заменяйте их.

Бесплатный VPN-доступ без ограничений!

Анонимное пребывание в Сети Интернет, безопасное соединение, полная свобода действий без географической привязки к стране пребывания (пользуйтесь ресурсами, доступными только для России, США, Европы или стран Азии) — все эти возможности вы можете получить благодаря технологии OpenVPN и нашему сервису. Ежедневные обновления списка серверов при появлении новых данных, множество стран на выбор, отсутствие ограничений — и все это совершенно бесплатно для посетителей нашего сайта!

США*

Англия*

Россия*

Россия-2*

Россия-3*

Германия*

Нидерланды*

* Премиум-сервераОбновлено (МСК)

Россия

США

Япония

Южная Корея

Таиланд

Бесплатные VPN-серверы от нашего партнёра

Канада

Франция

Швеция

Россия

Украина

OpenVPN и PPTP, а также частные L2TP/IPsec сервераи бесплатные прокси


Бесплатные VPN-серверы в различных локациях, а также полная информация о вашем IP-адресе и точный тест скорости Интернета!

Список серверов OpenVPN | Losst

Технология OpenVPN позволяет организовать виртуальную частную сеть между несколькими компьютерами, которые физически могут находиться в разных частях мира и использовать для подключения к сети различные технологии и провайдеров. Это программное обеспечение с открытым исходным кодом, поэтому любой желающий может создать свой сервер. В одной из предыдущих статей мы рассматривали как настроить OpenVPN на Ubuntu.

Но вам необязательно создавать свой сервер, другие пользователи и компании уже сделали это и некоторые из них предоставляют доступ к своим серверам совершенно бесплатно. В этой статье мы собрали список серверов OpenVPN, которые вы можете использовать для решения своих задач. Важно отметить, что вам нужно быть аккуратными с данными, которые вы собираетесь пропускать через чужой VPN, желательно всегда где это возможно использовать HTTPS. А теперь перейдем к списку.

Содержание статьи:

Как подключится?

Для начала в вашей системе должен быть установлен OpenVPN. Например, в Ubuntu его можно установить выполнив команду:

sudo apt install openvpn

Дальше нужно скачать файл настроек OpenVPN клиента, который можно получить на сайте сервиса, который вы выбрали. Обычно такие файлы распространяются в zip архивах и имеют расширение *.ovpn.

Последний шаг, это запуск сервиса OpenVPN с этим конфигурационным файлом. Для этого можно использовать такую команду терминала в Linux:

sudo openvpn -config /путь/к/скачанному/файлу

Возможно, для аутентификации на сервере OpenVPN вам нужно будет ввести логин и пароль. После этого, если все прошло успешно, утилита заменит маршруты системы по умолчанию на выбранный OpenVPN сервер. Теперь можно проверить ваш ip адрес с помощью любого онлайн сервиса.

Лучшие OpenVPN серверы

Дальше рассмотрим лучшие серверы OpenVPN, которые вы можете использовать в своей системе.

1. vpnbook.com

 

Это полностью бесплатный VPN сервис, который предоставляет возможность доступа к VPN через PPTP или OpenVPN. По заявлению разработчиков сервис обеспечивает максимальную защиту ваших данных с помощью шифрования AES и современных технологий.

Сервис не блокирует никаких сайтов. Серверы OpenVPN доступны на таких портах TCP 80, 443, а из UDP на 53 и 25000. Для доступа необходим логин и пароль. На данный момент это: vpnbook и VMdc6PJ. Торренты не поддерживаются. Можно выбрать один из серверов, которые расположены в разных странах. Скачать файл конфигурации для сервера нужно сервера можно на официальном сайте.

2. freevpn.me

Это еще один полностью бесплатный VPN сервис, который дает вам еще больше свободы. Как и в предыдущем варианте, здесь используется шифрование AES SSL, поэтому ваш провайдер не сможет узнать что вы делаете в сети и какие данные передаете. Вам доступны TCP порты 80, 443 и UDP — 53, 40000. Трафик не ограничен, а пропускная способностью с резервом в 10 Гбит/сек. К тому же здесь разрешена загрузка и раздача торрентов.

Сервер доступа только один, но для доступа к нему необходимо кроме конфигурационного файла логин и пароль. На данный момент логин freevpnme, а пароль RD9PNBE3iNu. Конфигурационный файл и адреса серверов OpenVPN доступны на этой странице.

3. www.freevpn.se

Бесплатный OpenVPN сервис, очень похожий по характеристикам на freevpn.me. Поддерживаются те же возможности, отрыты те же самые порты и есть возможность работать с торрентами. По заявлениям разработчиков, этот сервис обеспечивает максимальную защиту обычным пользователям, от перехвата их данных и атак злоумышленников.

Вы можете безопасно подключаться к любым WiFi сетям. Логин freevpnse, пароль для доступа — uJCks3Ze. Конфигурационный файл вы можете скачать на этом сайте.

4. vpnme.me

Это бесплатный OpenVPN сервис, который, как и все другие обеспечивает защиту вашего контента от посторонних глаз с помощью шифрования AES. Разработчики уверяют, что логгирование запросов не ведется, а сервис обеспечивает максимальную анонимность. Серверы OpenVPN доступен на портах 443 TCP и 1194 UDP. Параметры аутентификации вы можете посмотреть на официальной странице.

5. securitykiss.com

 

Securitykiss — отличный выбор среди других OpenVPN сервисов. Здесь, кроме бесплатного тарифа есть несколько платных планов. Вы можете выбрать один из серверов, расположенных в Великобритании, США, Франции, Германии. Подключение к интернету не ограничено. Логин и пароль пользователя не требуется, нужно только настроить конфигурационный файл для OpenVPN. Инструкцию по установке и настройке вы можете найти на официальном сайте. Сервис использует TCP порт 123.

6. cyberghostvpn.com

Это бесплатный надежный сервис OpenVPN, который позволяет создать шифрованный туннель с шифрованием AES 256-бит. Серверы размещены в 15 странах и всего доступно 58 серверов. Также есть платные тарифные планы, которые работают гораздо быстрее, без рекламы и имеют приложения для Android и iOS.

Выводы

В этой статье мы рассмотрели список серверов OpenVPN, которые можно использовать полностью бесплатно для увеличения своей безопасности. А какие OpenVPN серверы вы используете? Какие вам известны из тех, что нет в списке? Напишите в комментариях!

Оцените статью:

Загрузка…

Free VPN for You — Список бесплатных прокси-серверов

Free VPN for You — Список бесплатных прокси-серверов

15 апреля 2020 — Новое программное обеспечение на OpenVPN-сервере в КАНАДЕ! Обновите файлы конфигурации.


Безопасное соединение, анонимность и свобода!

Бесплатные VPN-серверы в различных локациях, а также полная информация о вашем IP-адресе и точный тест скорости Интернета!

Широкий выбор бесплатных VPN-серверов от партнёра нашего проекта

США

Англия

Россия

Германия

Нидерланды

Япония

Южная Корея

Таиланд

Список бесплатных прокси-серверов

Только быстрые прокси с минимальным временем отклика

Обнавлено 02.10.2020 в 08:00 (МСК)


Страна

IP-адрес

Порт

Протоколы

Пинг

Анонимность


Russian Federation

46.188.82.11

54136

SOCKS4

100 мс

высокая


Russian Federation

95.84.141.162

3629

SOCKS4

100 мс

высокая


Germany

46.4.96.137

8080

HTTP

240 мс

высокая


United States

161.35.70.249

3128

HTTP

220 мс

высокая


Russian Federation

78.110.154.177

51676

SOCKS4

260 мс

высокая


Russian Federation

81.200.243.228

3629

SOCKS4

220 мс

высокая


Ukraine

91.200.114.243

44550

SOCKS4

160 мс

высокая


Latvia

195.123.212.199

42116

SOCKS4

180 мс

высокая


Poland

185.81.106.52

3629

SOCKS4

260 мс

высокая


Russian Federation

89.250.149.114

59599

SOCKS4

160 мс

высокая


Ukraine

178.215.190.240

44202

SOCKS4

240 мс

высокая


Russian Federation

83.234.206.200

51327

SOCKS4

220 мс

высокая


Russian Federation

82.147.120.30

49823

SOCKS4

120 мс

высокая


Ukraine

91.203.25.28

4153

SOCKS4

240 мс

высокая


Russian Federation

185.27.44.23

10801

SOCKS4

120 мс

высокая


Ukraine

62.122.201.241

33704

SOCKS4

200 мс

высокая


Russian Federation

92.255.193.156

4145

SOCKS4

60 мс

высокая


Russian Federation

176.62.185.72

49780

SOCKS4

120 мс

высокая


Netherlands

83.96.237.121

80

HTTP

240 мс

высокая


Germany

46.4.96.137

8080

HTTP

220 мс

высокая


Germany

176.9.75.42

3128

HTTP

220 мс

высокая


Germany

46.4.96.137

3128

HTTP

240 мс

высокая


Russian Federation

95.141.193.14

80

HTTP

0 мс

высокая


Ukraine

109.86.153.157

30237

HTTP
SOCKS4 SOCKS5

140 мс

высокая


Russian Federation

95.141.193.35

80

HTTP

0 мс

высокая


Bulgaria

95.87.219.216

15070

HTTP
SOCKS4 SOCKS5

240 мс

высокая


Netherlands

95.174.67.50

18080

HTTP
HTTPS SOCKS5

260 мс

высокая


Germany

83.97.23.90

18080

HTTP
HTTPS SOCKS5

260 мс

высокая


Russian Federation

80.237.20.20

42559

SOCKS4

260 мс

высокая


Ukraine

195.211.84.104

4145

SOCKS4

140 мс

высокая



Также для вас бесплатные VPN сервера в Канаде, Франции, Швеции, России и Украине!

Free OpenVPN — Доступ к бесплатному VPN-серверу в России

Free OpenVPN — Доступ к бесплатному VPN-серверу в России

29 августа 2020 года — ВНИМАНИЕ!!! Новый мощный и быстрый сервер с поддержкой торрентов в локации РОССИЯ-3!

Помните! Пароль доступа к бесплатному VPN-серверу может меняться до двух раз в сутки.

Бесплатные VPN-серверы от нашего партнёра

Канада

Франция

Швеция

Россия

Украина

OpenVPN и PPTP, а также частные L2TP/IPsec сервераи бесплатные прокси


Бесплатные VPN-серверы в различных локациях, а также полная информация о вашем IP-адресе и точный тест скорости Интернета!

Имейте в виду! Активированный блокировщик рекламы препятствует выводу пароля доступа к бесплатному VPN-серверу.

Внимание! При обнаружении любых форм незаконной деятельности (хакерские атаки, различного рода мошенничество, спам и т.п.),
об этом факте будут незамедлительно проинформированы правоохранительные органы.

Скачать: UDP | TCP (обновлено 24.02.2020)

Имя пользователя: freeopenvpn

!

Во избежание злоупотреблений со стороны пользователей, пароль к бесплатному
VPN-серверу будет периодически меняться.

Пароль был изменен 01.10.2020 в 20:04 (московское время) и действителен не менее 7 часов.
Следующая смена пароля будет произведена не ранее, чем 02.10.2020 в 03:04.

Free OpenVPN — Доступ к бесплатному VPN-серверу в России-2

Free OpenVPN — Доступ к бесплатному VPN-серверу в России-2

29 августа 2020 года — ВНИМАНИЕ!!! Новый мощный и быстрый сервер с поддержкой торрентов в локации РОССИЯ-3!

Помните! Пароль доступа к бесплатному VPN-серверу может меняться до двух раз в сутки.

Бесплатные VPN-серверы от нашего партнёра

Канада

Франция

Швеция

Россия

Украина

OpenVPN и PPTP, а также частные L2TP/IPsec сервераи бесплатные прокси


Бесплатные VPN-серверы в различных локациях, а также полная информация о вашем IP-адресе и точный тест скорости Интернета!

Имейте в виду! Активированный блокировщик рекламы препятствует выводу пароля доступа к бесплатному VPN-серверу.

Внимание! При обнаружении любых форм незаконной деятельности (хакерские атаки, различного рода мошенничество, спам и т.п.),
об этом факте будут незамедлительно проинформированы правоохранительные органы.

Скачать: UDP | TCP (обновлено 02.03.2020)

Имя пользователя: freeopenvpn

!

Во избежание злоупотреблений со стороны пользователей, пароль к бесплатному
VPN-серверу будет периодически меняться.

Пароль был изменен 01.10.2020 в 20:04 (московское время) и действителен не менее 7 часов.
Следующая смена пароля будет произведена не ранее, чем 02.10.2020 в 03:04.

Free VPN for You — Бесплатный VPN-сервер в России

Free VPN for You — Бесплатный VPN-сервер в России

15 апреля 2020 — Новое программное обеспечение на OpenVPN-сервере в КАНАДЕ! Обновите файлы конфигурации.


Безопасное соединение, анонимность и свобода!

Бесплатные VPN-серверы в различных локациях, а также полная информация о вашем IP-адресе и точный тест скорости Интернета!

Широкий выбор бесплатных VPN-серверов от партнёра нашего проекта

США

Англия

Россия

Германия

Нидерланды

Япония

Южная Корея

Таиланд

Бесплатный VPN-сервер в России Online

Внимание! Всю административную и уголовную ответственность при неправомерном
использовании нашего сервиса несёт пользователь.

OpenVPN

Файлы конфигурации: UDP TCP ZIP

PPTP

Имя хоста: rus1.freevpn4you.net

Имя пользователя*: freevpn4you

Пароль к бесплатному VPN может меняться
в зависимости от загруженности сервера.


* Имя пользователя и пароль действительны для обоих протоколов.

Также для вас бесплатные VPN сервера в Канаде, Франции, Швеции и Украине!

Free OpenVPN — Доступ к бесплатному VPN-серверу в России-3

Free OpenVPN — Доступ к бесплатному VPN-серверу в России-3

29 августа 2020 года — ВНИМАНИЕ!!! Новый мощный и быстрый сервер с поддержкой торрентов в локации РОССИЯ-3!

Посещайте форум! Там вы можете найти ответы на большинство интересующих вас вопросов.

Бесплатные VPN-серверы от нашего партнёра

Канада

Франция

Швеция

Россия

Украина

OpenVPN и PPTP, а также частные L2TP/IPsec сервераи бесплатные прокси


Бесплатные VPN-серверы в различных локациях, а также полная информация о вашем IP-адресе и точный тест скорости Интернета!

Имейте в виду! Активированный блокировщик рекламы препятствует выводу пароля доступа к бесплатному VPN-серверу.

Внимание! При обнаружении любых форм незаконной деятельности (хакерские атаки, различного рода мошенничество, спам и т.п.),
об этом факте будут незамедлительно проинформированы правоохранительные органы.

Скачать: UDP | TCP (обновлено 29.08.2020)

Имя пользователя: freeopenvpn

!

Во избежание злоупотреблений со стороны пользователей, пароль к бесплатному
VPN-серверу будет периодически меняться.

Пароль был изменен 01.10.2020 в 20:04 (московское время) и действителен не менее 7 часов.
Следующая смена пароля будет произведена не ранее, чем 02.10.2020 в 03:04.

Free OpenVPN — бесплатный VPN-доступ без ограничений!

Free OpenVPN — бесплатный VPN-доступ без ограничений!

29 августа 2020 г. — ВНИМАНИЕ !!! Новый мощный и быстрый сервер с поддержкой торрентов в локации РОССИЯ-3 !

Помните! Пароли для доступа к бесплатным VPN-серверам могут меняться до двух раз в день.

Бесплатный VPN-доступ без ограничений!

Оставайтесь анонимными в Интернете, имейте безопасное соединение, получите полную свободу и доступ к региональным онлайн-ресурсам (доступ к ресурсам которые доступны только в России, США, Европе и Азии).Все эти функции доступны через технологию OpenVPN и наш сервис. Ежедневные обновления списка серверов, огромное количество серверов в разных странах, никаких ограничений, и все это абсолютно бесплатно для пользователей нашего сайта.

США *

Англия *

Россия *

Россия-2 *

Россия-3 *

Германия *

Нидерланды *

* Серверы премиум-класса Обновлено (UTC)

Россия

США

Япония

Южная Корея

.

Free OpenVPN — Файлы конфигурации для бесплатных серверов VPN в России

Free OpenVPN — Файлы конфигурации для бесплатных серверов VPN в России

29 августа 2020 г. — ВНИМАНИЕ !!! Новый мощный и быстрый сервер с поддержкой торрентов в локации РОССИЯ-3 !

Посетите наш форум! Здесь вы можете найти ответы на большинство интересующих вас вопросов.

Бесплатные VPN-сервера от нашего партнера

Канада

Франция

Швеция

Россия

Украина

OpenVPN и PPTP, частные серверы L2TP / IPsec и бесплатные прокси


Бесплатные серверы VPN в разных местах, а также полная информация о вашем IP-адресе и точном тесте скорости интернета!

Конфигурационные файлы для VPN-серверов, расположенных в России, предоставляются частными лицами на добровольной основе.
Стабильность, производительность и работа такого сервера находится в компетенции вышеупомянутых лиц.

Также мы предлагаем бесплатные Premium VPN-серверы, расположенные в США , Англии , Россия , Россия-2 , Россия-3 , Германия и Нидерланды . , ряд частных VPN-серверов в США , Японии , Южной Корее и Таиланде .

.

Free OpenVPN — Файлы конфигурации для бесплатных серверов VPN в США

Free OpenVPN — Файлы конфигурации для бесплатных серверов VPN в США

29 августа 2020 г. — ВНИМАНИЕ !!! Новый мощный и быстрый сервер с поддержкой торрентов в локации РОССИЯ-3 !

Считай! Скорость интернета после подключения к VPN-серверу будет зависеть от вашего текущего местоположения.

Бесплатные VPN-сервера от нашего партнера

Канада

Франция

Швеция

Россия

Украина

OpenVPN и PPTP, частные серверы L2TP / IPsec и бесплатные прокси


Бесплатные серверы VPN в разных местах, а также полная информация о вашем IP-адресе и точном тесте скорости интернета!

Файлы конфигурации для серверов VPN, расположенных в США, предоставляются частными лицами на добровольной основе.
Стабильность, производительность и работа такого сервера находится в компетенции вышеупомянутых лиц.

Также мы предлагаем бесплатные Premium VPN-серверы, расположенные в США , Англии , Россия , Россия-2 , Россия-3 , Германия и Нидерланды . , ряд частных VPN-серверов в Россия , Япония , Южная Корея и Таиланд .

.

Free OpenVPN — Доступ к бесплатному VPN-серверу в Англии

Free OpenVPN — Доступ к бесплатному VPN-серверу в Англии

29 августа 2020 г. — ВНИМАНИЕ !!! Новый мощный и быстрый сервер с поддержкой торрентов в локации РОССИЯ-3 !

Помните! Пароли для доступа к бесплатным VPN-серверам могут меняться до двух раз в день.

Бесплатные VPN-сервера от нашего партнера

Канада

Франция

Швеция

Россия

Украина

OpenVPN и PPTP, частные серверы L2TP / IPsec и бесплатные прокси


Бесплатные серверы VPN в разных местах, а также полная информация о вашем IP-адресе и точном тесте скорости интернета!

Имейте в виду! Приложение для блокировки рекламы может мешать вашему подключению к бесплатному VPN-серверу.

Внимание! Любое незаконное использование (например, взлома, мошенничества, спама
и т. Д.) С использованием наших технологий и / или услуг
будет немедленно сообщено в правоохранительные органы.

Загрузить: UDP | TCP (обновлено 17 декабря 2019 г.)

Имя пользователя: freeopenvpn

!

Чтобы избежать неправильного использования нашей технологии пользователем, пароль для бесплатного сервера VPN будет периодически изменяться.

Пароль был изменен на 1 октября 2020 г. at 17:04 (UTC) и будет действовать не менее 7 часов .
Следующая смена пароля будет произведена не ранее 2 октября, 2020 at 12:04 (UTC).

Также мы предлагаем бесплатные Premium VPN-серверы, расположенные в США , Россия , Россия-2 , Россия-3 , Германия и Нидерланды .Кроме того, вам доступен ряд частных VPN-серверов в Россия , США , Япония , Южная Корея и Таиланд .

.
Как создать ftp сервер с динамическим ip: Установка и настройка ftp сервера на ПК с динамическим IP

Как создать ftp сервер с динамическим ip: Установка и настройка ftp сервера на ПК с динамическим IP

Установка и настройка ftp сервера на ПК с динамическим IP

Расскажу как поднять ftp-сервер на своем ПК с динамическим IP-адресом. Итак, приступим, шаг за шагом.

Чтобы каждый раз не нажимать OK в окне авторизации можно поставить опцию «Always connect to this server». И еще: пароль к админке вашего сервера хранится в ключе «Admin Password» XML-файла «FileZilla Server.xml», который расположен в каталоге с программой. С установкой покончено, приступим к настройке.

Настройка FTP-сервера, в простейшем виде, сводится к созданию аккаунта пользователя и настройке расшаренного ресурса. Создадим аккаунт пользователя. На панели инструментов FileZilla Server выбираем «Users» и получаем вот такое окно.

В группе «Users» («пользователи») кликаем на «Add» («добавить») и вводим имя нового пользователя (как видно, у меня это «asus» — планшет, с которого я буду получать доступ к моему ftp). Теперь в группе «Account settings» («настройки аккаунта») устанавливаем опцию «Enable account» («включить аккаунт») и опцию «Password» («пароль») и в поле справа вводим пароль. Пароль придется запомнить или записать, т.к. он нам пригодится в дальнейшем. С настройками нового пользователя закончили, перейдем к настройке ресурсов.

Здесь можно настроить существующий домен или добавить новый.
Для синхронизации IP-адреса с доменным именем необходимо установить на ПК программу No-IP DUC (Dynamic Update Client). Скачиваем и устанавливаем. При первом запуске необходимо указать логин и пароль от аккаунта no-ip. Обратите внимание, хотя первое поле называется «E-mail Adress» указывать нужно именно логин, а не адрес электронной почты!

Окно авторизации программы No-IP DUC


После авторизации видим вот такое окно.

Главное окно программы No-IP DUC


Нажимаем «Edit Hosts» (редактировать хосты) и в появившемся окне отмечаем наше доменное имя. Нажимаем «Save» (сохранить).

Окно выбора хоста

При этом клиент выполнит синхронизацию текущего IP-адреса с доменным именем (в моем случае это itkladovka.sytes.net). После синхронизации главное окно клиента должно выглядеть примерно так.

Главное окно программы No-IP DUC после синхронизации

Уф! С настройкой доменного имени и привязки его к нашему IP адресу покончено. Держитесь, немного осталось : ) 

Итак, мы установили и настроили ftp-сервер. Зарезервировали доменное имя, для обращения к нашему ftp из сети интернет и привязали домен к нашему изменчивому IP-адресу. Что же еще нужно? Совсем немного — настроить роутер. У меня это dLink DIR-300.

4. Настройка роутера DIR-300

4.1 Настройка Dynamic DNS

Заходим в админку роутера. В браузере набираем адрес 192.168.0.1 и попадаем на страницу авторизации роутера. Вводим имя пользователя и пароль, по умолчанию логин: admin пароль: admin . Если у вас задан пароль по умолчанию желательно придумать свой, тем более с учетом того, что вы открываете доступ к странице авторизации модема из интернет по доменному адресу. После авторизации необходимо выбрать раздел «Maintenance» (поддержка) и слева выбираем пункт «DDNS Setting».

Настройка динамического DNS на роутере DIR-300 

Сначала устанавливаем опцию «Enable DDNS» (Включить динамический DNS). Поле «Server Address» можно пропустить, а в поле «Host Name» (Имя хоста) прописываем доменное имя, которое указывали на сайте noip.com. В поля Username (имя пользователя) и Password (пароль) записываем логин и пароль от вашего аккаунта на сайте noip.com. Нажимаем «Save Settings» (сохранить настройки). Теперь если введете ваш новый адрес в адресную строку браузера, то попадете на страницу авторизации роутера. 

4.2 Пробрасываем порты (Port Forwarding)

Для того, чтобы ваш ftp-сервер был доступен по адресу ftp://ваше_доменное_имя необходимо выполнить еще одну настройку — пробросить 21 порт на роутере. Переходим на вкладку «Advanced» (расширенные настройки) и слева выбираем пункт «Port Forwarding» (перенаправление портов).

Перенаправление FTP-портов для dLink DIR-300 

Отмечаем новое правило и в поле «Name» (имя) пишем «ftp». В поле «Public Port» вводим 21. Если не знаете, какой адрес написать в поле «IP Address», выберите из выпадающего списка сетевое имя своего ПК и нажмите кнопку  Указываем 21 порт. Сохраняем изменения.

4.3 Контролируем выдачу IP адресов роутером

Пунктом выше мы описали правила перенаправления трафика, поступающего на порт 21 на конкретный IP-адрес. Но здесь есть одно но. Роутер выдает адреса в ЛС из определенного диапазона и по порядку. К примеру, если вы сначала включили планшет, то он получит адрес 192.168.0.100, а ноутбук получит адрес следующий по порядку 192.168.0.101. Получилось, что адрес ноутбука, для которого мы производили настройки изменился. Для того, чтобы наш сервер получал всегда один и тот же адрес необходимо определить правила выдачи IP адресов роутером для устройств в локальной сети.

Переходим на закладку «Setup» (установки) и слева выбираем пункт «LAN Setup» (установки локальной сети).

Резервируем выдачу IP-адресов

В разделе «DHCP Reservation» устанавливаем для нашего сервера фиксированный IP адрес, отмечаем созданное правило галочкой и сохраняем изменения. Перезагружаем роутер.

С настройками разного рода закончили. Теперь смотрим что-же у нас получилось.

5. Улыбаемся и машем

Убедитесь, что FTP-сервер запущен. Открываем проводник Windows и вводим адрес ftp-сервера «ftp://ваше_доменное_имя». Если все настроено правильно появится окно авторизации FTP-сервера. Вводим учетные данные, которые мы указывали в п. 2 данной статьи при добавлении пользователя и … радуемся …

Авторизация на сервере FTP

Помимо проводника Windows существует бессчетное число FTP клиентов. Ну вот, собственно и все. Вы проделали большую работу и я надеюсь она увенчалась успехом. Спрашивайте, постараюсь ответить. 

Сервер на динамическом ip или как сделать статический ip адрес из динамического

Часто бывают случаи когда необходимо получить доступ к домашнему компьютеру через интернет, но из-за того что ваш домашний провайдер выдает вам динамический ip адрес, непонятно по какому ip адресу на этот раз искать ваш компьютер в сети, не говоря уже о том чтобы поднять например web сервер или ftp сервер на динамическом ip  адресе на вашем компьютере.

Есть решение этой проблеме под названием DynDNS – динамический DNS-сервер.

Теперь расскажу подробнее как получить удаленный доступ до вашего сервера на динамическом IP адресе.

Заходим на DynDNS.com и регистрируем новый поддомен

Там есть 2 способа регистрации  для вашего динамического IP адреса:

1 способ Free Domain Name – БЕСПЛАТНОЕ, но ваш адрес будет иметь вид ВАШДОМЕН.dyndns.org или ВАШДОМЕН.dyndns-ip.com или какое-нибудь другое имя из этого рода. Одним словом ваш домен будет располагаться на одном из имен сервиcа DynDNS

2 способ Start Your Company & Domain — платный, здесь вы можете привязать ваш домен к сервису.

Рассмотрим бесплатный способ.

В окне Free Domain Name вписываем желаемый поддомен, выбираем имя и нажимаем кнопку Add

Открывается окно регистрации

Вводим регистрационные данные, со всем соглашаемся и завершаем процедуру регистрации. На ваш ящик, который вы указали при регистрации должно прийти письмо с ссылкой, заходим по ссылке и в открывшемся окне выбираем

Далее удаляем из корзины с помощью кнопки remove все лишние пункты кроме вашего домена и нажимаем Proceed to checkout

Вновом окне с помощью кнопки «Activate Services» Активируем ваш домен.

Теперь необходимо привязать ваш домен DynDNS к вашему динамическому внешнему IP.

Рассмотрим 2 типа настроек

  • Для ADSL модема, если ваш сервер получает интернет через модем (на примере D-link 2600U)
  • С помощью программы DynDNS Updater, если ваш сервер подключен к сети интернет напрямую.

 

Для ADSL модема

Заходим через браузер в настройки вашего ADSL модема, скорее всего их можно увидеть по адресу http://192.168.1.1

Находим пункт Dynamic DNS и добавляем учетную запись DynDNS

D-DNS Provider выбираем DynDNS.org

Hostname вписываем имя вашего домена вида ВАШДОМЕН.dyndns.org

Username, Password данные вашей учетной записи в DynDNS

 

С помощью программы DynDNS Updater

Последнюю версию для Windows можно скачать с сайта DynDNS.com

При запуске программы видим окно с регистрационными данными, вводим данные учетной записи на DynDNS.com

Появляется окно с нашим адресом, отмечаем его галочкой и жмем Apply

Поздравляю, теперь до нашего сервера можно получить доступ по доменному имени вида ВАШДОМЕН.dyndns.org

На DNS серверах DynDNS.com всегда будет храниться ваш текущий динамический IP.

Используя ваш новый домен можно к примеру управлять рабочим столом через интернет  используя программу Radmin или UltraVNC.

FTP-сервер из вашего ПК | DIM565.RU

В этой статье я хочу рассказать как сделать абсолютно бесплатно из компьютера полноценный FTP-сервер, используя программу FileZilla Server и DUC (Dynamic Update Client). В этой статье рассматриваются DUC-клиенты DynDNS Updater и No-IP DUC.
Вообще, можно настроить FTP и только через FileZilla Server, без всяких DUC, но это только в том случае, если ваш провайдер предоставил постоянный (фиксированный) IP. Если же у вас динамический IP — настройка FTP будет немного сложнее, но, благодаря этой инструкции, за 15 минут можно все сделать 🙂
Скачивание и настройка FileZilla Server

  1. Скачиваем FileZilla Server: http://filezilla-project.org/download.php?type=server (на момент публикации статьи, последняя версия была 0.9.37b)
  2. Устанавливаем (параметры установке обычно ничего не нужно изменять)
  3. После установки появится такое окошко:

    Ставим галочку «Always connect to this server», чтобы больше это окошко не беспокоило. В поле «Administration password» можно ничего не вводить
  4. В появившемся окне FileZilla Server идем в «Edit»-«Users» — добавляем нового пользователя и устанавливаем пароль для него (в будущем будем подсоединяться к FTP, используя эти данные!)

    Переходим в «Shared Folders» («3» на скриншоте).

    Здесь нажимаем кнопку «Add» — выбираем папку, к которой можно будет получить доступ в будущем через FTP. Справа выбираем права для файлов в этой папке и папок. Нажимаем «OK».
  5. Теперь проверим, все ли правильно мы сделали: в браузере вводим: ftp://127.0.0.1
    Вводим логин=тот, что установили ранее (Test)
    Вводим пароль=тот, что установили ранее
    Если все правильно, увидим содержимое папки, к которой был открыт общий доступ. Если же не заходит — проверяем, все ли было сделано на предыдущих шагах.
DDNS-Сервисы

С удаленной машины мы можем подключиться к вашему серверу таким образом:
ftp://ваш_текущий_ip-адрес
Такие же логин и пароль введете и увидите ту же папку.
Но, если у вас динамический IP, то возникает неудобство — все время меняется IP, соответственно и к FTP подключиться не всегда получится.
Наша цель — получить доменное имя, которое будет соответствовать вашему текущему IP-адресу. Технология DDNS позволяет связать внешний динамический ip-адрес и постоянное доменное имя.
Самые известные сервисы, которые предлагают подобные решения — No-IP.com и DynDNS.com. Вы можете выбрать любой из них. Я выбрал No-IP, т.к можно получить 5 доменов бесплатно, а не 2, как у DynDNS

Регистрация на No-IP.com

  1. Открываем страницу регистрации. Заполняем все поля, кроме «ZIP/Postal code». Примечание: почтовый ящик Mail.ru не захотел приниматься. Пришлось ввести ящик на gmail.com
  2. Проверяем почту, активируем аккаунт.
  3. Открываем https://www.no-ip.com/members/. Щелкаем на «Add a Host»
  4. Заполняем «Hostname» — будущее имя домена, поле «IP Address» уже будет заполнено, жмем «Create Host»
  5. Скачиваем программу No-IP DUC Client отсюда (выбираем вашу ОС). Устанавливаем.
  6. Запускаем программу. Вводим логин и пароль, которые были использованы при регистрации на сайте No-IP. Открывается главное окно:

    Щелкаем на Select Hosts и выбираем тот домен, который создали ранее.
  7. Проверяем, чтобы везде были зеленые галочки (как на скриншоте). Если они есть — поздравляю, вы настроили No-IP DUC 🙂
Проверка работоспособности

В браузере вводим ftp://имя_созданного_домена (в моем примере: ftp://testdim565ru.zapto.org). Вводим логин и пароль, которые задавали в настройках пользователя в FileZilla Server (в моем примере логин Test). Если открывается папка — все нормально. Вы создали FTP-сервер!
При этом, как только кто-либо подключиться к нашему FTP, иконка FileZilla Server в трее станет зеленой:

А открыв FileZilla Server, мы увидим, кто, с какого IP, когда подключился и текущие действия.


Регистрация на DynDNS.com
В случае, если вас чем-то не устраивает No-IP.com, есть еще один известный сервис — DynDNS.com

  1. Заходим на dyndns.com. Справа жмем на «Sign In», потом «Create an Account»
  2. На новой странице, думаю, сможете ввести все данные — там все стандартно
  3. Активируем письмо, которое придет на почтовый ящик
  4. Заходим сюда. HostName — будущий адрес, по которому будут подключаться к вашему FTP. Напротив «IP Adress:» — введите свой текущий IP (можно нажать на ссылку ниже и поле заполнится само):

    Жмем на «Add To Cart» и попадаем сюда:
  5. Как видим, общая стоимость $0, т.е бесплатно. Но платить не придется только за 2 домена на сервисе. Больше не дадут нахаляву создать :)Жмем «Proceed to checkout». Переходим далее:

  6. Кликаем на Activate Service…все. На этом работа с регистрацией домена завершена
Скачивание и настройка DynDNS Updater

Теперь нужно скачать программу, которая будет следить за сменой IP и автоматически связывать его с созданным ранее доменом.

  1. Заходим сюда. Находим кнопку «Download NowDynDNS® Updater». На момент публикации статьи, последняя версия программы была 4.1.6
  2. Устанавливаем программу (ничего не изменяем при установке)
  3. Запускаем программу. Вводим логин и пароль, которые были использованы при регистрации на сайте DynDNS. Видим следующее:

    Сверху убедитсь, что напротив «Updater Status:» написано «On». Ставите галочку слева от вашего домена. Нажимаем «Ok»
  4. Настройка закончена. При успешном подключении к вашему FTP, иконка FileZilla Server в трее станет зеленой

Автор статьи: Dim565
При копировании материалов, ссылка на источник (dim565.ru) обязательна!

FTP-сервер для домашнего пользователя / Программное обеспечение

Проблема обмена данными, когда нужно оперативно передать коллегам, друзьям или знакомым какие-то объемные материалы (которые по почте не отправишь), знакома многим пользователям. Скажем, вам регулярно необходимо предоставлять рабочие материалы (презентации, изображения и т.п.) другим сотрудникам для их обсуждения. Или срочно захотелось поделиться с друзьями своими фотографиями, MP3-файлами или даже видеороликом с недавней вечеринки. Или потребовалось передать кому-то из знакомых дистрибутив некого приложения и т.п. Как поступить в таком случае? Вариантов множество — можно воспользоваться услугами фото- или видеохостинговых сервисов, разместить файлы в онлайновом хранилище либо обратиться к файлообменным сервисам. Но есть и другой вариант — создать свой FTP-сервер, который позволит сделать обмен данными более быстрым, безопасным и удобным. С помощью FTP-сервера можно будет не только открывать доступ к определенным папкам на собственном компьютере, но и гибко управлять объемами трафика, а также списками доступных файлов и пользователей. При этом пользователям, для которых предназначены материалы, также станет гораздо удобнее их получить, ведь они смогут использовать для скачивания файлов привычные FTP-клиенты, обеспечивающие докачку и умеющие проводить скачивание в несколько потоков. Ничего хитрого в создании такого FTP-сервера нет (ну, если вы, конечно, ограничитесь утилитой, рассчитанной на широкого пользователя). Технология такой настройки довольно проста. Достаточно просто инсталлировать соответствующую утилиту, создать в ней нужный набор учетных записей (скажем, по числу пользователей, для которых вы планируете открыть доступ к серверу), определить для каждого из пользователей права доступа и указать домашний каталог (под ним понимается каталог, который вы выделите на жестком диске для обмена данными). Ну и, разумеется, потребуется сообщить утилите внешний (интернетовский) IP-адрес — то есть тот самый адрес, по которому ваши друзья и будут попадать на ваш FTP-сервер. Последнее, впрочем, может и не потребоваться, поскольку часть утилит данный адрес могут установить самостоятельно. Понятно, что спектр настроек любого FTP-сервера этим не ограничивается, и сразу оговоримся, что мы не ставим задачей при знакомстве с той или иной конкретной утилитой все их перечислять. Но в целом, указанных действий уже вполне достаточно для того, чтобы открыть доступ к серверу вашим друзьям, которые, указав в FTP-клиенте IP-адрес вашего FTP-сервера, смогут получить доступ к домашнему каталогу на вашем жестком диске. Правда, тут стоит отметить один нюанс — если у вас IP-адрес статический, то никаких проблем не возникнет. А вот если динамический — дело иное, поскольку динамический IP при каждом вашем подключении к интернету будет уже другим. Конечно, и с динамическим адресом FTP-сервер заработает как миленький, но в таком случае каждый раз после входа в сеть вам придется сообщать друзьям (например, по почте) новый адрес вашего FTP-сервера. Раз на десятый вам это уж точно надоест, поэтому разумнее воспользоваться одним из сервисов Dynamic DNS, среди которых можно найти и бесплатные. В частности, возможность бесплатного получения доменного имени предоставляется на No-IP.com. На этом сервисе вашему FTP-серверу присвоят постоянное доменное имя, а вас снабдят клиентской программой, которая будет непрерывно отслеживать ваш динамический IP и сопоставлять его со статичным доменным именем. После этого вам останется лишь инсталлировать вышеупомянутую клиентскую программу, указать FTP-серверу доменное имя и сообщить его тем пользователям, для которых вы создали учетные записи.

Gene6 FTP Server v3.10.0.2

Разработчик: Gene6 SARL
Размер дистрибутива: 4,01 Мб
Распространение: условно бесплатная Gene6 FTP Server — один из лучших FTP-серверов с расширенным администрированием и высоким уровнем безопасности передаваемых данных. Программа позволяет открывать доступ к данным для конкретных пользователей или групп пользователей через их учетные записи, управлять правами доступа для файлов и каталогов и ограничивать доступ по IP-адресам. При этом может быть создано нескольких виртуальных узлов FTP и ограничено число соединений (для IP, домена, пользователя), а также установлены сроки действия учетных записей. Предусмотрена и возможность более тонкой настройки прав доступа конкретных пользователей, для которых несложно, например, определить максимальный размер закачиваемых на FTP-сервер файлов, сделать какие-то файлы в открытой папке заблокированными или наоборот, доступными, определить лимиты скорости при скачивании и закачивании файлов, установить интервалы времени доступности FTP-сервера и т.д. Имеется поддержка ODBC баз данных, возможно сжатие передаваемых данных (MODE Z), а для обмена важными файлами может использоваться 128-битное SSL-шифрование. В реальном времени ведется подробная статистика активности на FTP-сервере, записываемая в log-файлы и визуально отображаемая в текстовом и графическом виде. Предусмотрены средства удаленного администрирования, позволяющие добавлять, изменять, удалять учетные записи пользователей, а также изменять все доступные настройки доменов удаленно (как если бы администратор находился у компьютера, на котором запущен сервер). Существует возможность делегировать администрирование другому администратору посредством создания новой учетной записи пользователя с ограниченными правами администратора. Подключение удаленного администрирования шифруется при помощи SSL и запускается на собственном настраиваемом порте. Программа (имеется русскоязычная версия) представлена в двух редакциях: Standard и Professional. На домашних пользователей рассчитана стандартная редакция, допускающая использование двух доменов с 25 параллельными соединениями. Демо-версия программы полностью функциональна в течение 30 дней, стоимость коммерческой версии Standard edition составляет 59,95 долл. На сайте разработчика можно скачать русскоязычную документацию. Программа включает два модуля — движок FTP-сервера и FTP-Администратор. Движок FTP-сервера работает как системная служба (то есть на автомате запускается при загрузке Windows), интерфейса не имеет и отвечает за включение/отключение сервера, FTP-Администратор обеспечивает доступ к настройкам сервера и запускается через меню Пуск. Значок FTP-сервера всегда находится в системном трее, и по виду этого значка несложно понять, когда сервер включен, когда отключен, и когда на него зашел какой-нибудь пользователь. Для настройки FTP-сервера требуется запустить FTP-Администратор и ввести пароль администратора (он указывается при установке программы). Окно администратора включает две панели — на левой содержится перечень настраиваемых элементов, на правой раскрывается структура выбранного элемента. Первым делом нужно создать домен, активировав на левой панели вкладку «Домены», вызвав из контекстного меню на правой панели команду «Новый домен» и введя имя домена. Если внешний IP-адрес в интернете является статичным и ему присвоено доменное имя, то в качестве имени домена его и рекомендуется ввести, в противном случае можно указать любое имя. Здесь же можно ограничить максимальное число клиентов, подключенных одновременно к FTP-серверу (например, пятью) и количество соединений от одного из них (обычно рекомендуют ограничивать одним либо двумя соединениями с одного IP-адреса). В следующих двух окнах, где будет идти речь об IP-адресе (по умолчанию там стоит «*», что означает для всех IP), используемом порте (по умолчанию задействован 21-й порт) и типах журналов, в случае динамического IP-адреса нужно оставить настройки по умолчанию. Однако при наличии статичного IP-адреса необходимо ввести его вместо символа «*» — именно этот адрес и будет использоваться доменом. Если вы не знаете своего IP-адреса, то его можно посмотреть с помощью команды ipconfig, которая запускается из командной строки (Пуск > Выполнить > cmd, нажать клавишу Enter, а затем ввести команду). Если в поле IP-адреса останется «*», то при каждом старте FTP-сервер будет автоматически определять адрес и присваивать ему 21-й порт для работы. Что касается последнего окна, то если вы планируете открыть анонимный доступ к FTP-серверу, следует указать в нем домашний каталог — то есть каталог на вашем компьютере, который увидят анонимные пользователи. Теоретически сразу после этого FTP-сервер уже будет готов к приему анонимных пользователей. Вместе с тем, можно провести и более тонкую настройку сервера. В частности, для него несложно определить список персональных пользователей (либо групп пользователей) с паролями, логинами и расширенными правами доступа. Осуществляется это с помощью команды «Новый пользователь», вызванной из контекстного меню после активации вкладки «Пользователи» — по минимуму для пользователя вводится имя с паролем и указывается домашний каталог. При необходимости, для отдельных пользователей можно также ограничить срок жизни их учетных записей, установить права доступа, определить время доступа и скорость передачи, ввести маску на доступные и заблокированные файлы, в целях безопасности указать IP-адреса, с которых данные пользователи будут подключаться, и т.д. Кроме того, можно воспользоваться поддержкой виртуальных папок и помимо домашнего каталога разрешить пользователю доступ в ряд других ваших папок (они могут находиться и на разных дисках), которые в таком случае копировать в домашний каталог не потребуется — достаточно просто установить для них виртуальный и реальный пути. В итоге, входящий на ваш FTP пользователь увидит все доступные для него папки так, как если бы они все лежали в одной домашней папке. При желании, несложно также настроить для отдельных пользователей блокирование доступа к определенным типам файлов. В плане безопасности может иметь смысл включить блокирование трансфера между двумя FTP-серверами (для конкретных пользователей — раздел «Дополнительно» на вкладке «Пользователи»), ограничить число попыток входа и настроить использование SSL для шифрования передаваемых данных (через свойства конкретного домена). А также запретить доступ к FTP-серверу с конкретных IP-адресов («Информация » > «Временный запрет») и др. Ну а если у вас IP-динамический, и вас не вдохновляет каждый раз после подключения к интернету сообщать друзьям свой новый IP, то придется зарегистрироваться на одном из сервисов Dynamic DNS (например, No-ip.com). А затем создать там хост, который будет указывать на ваш FTP-сервер — пусть это будет, serghome.myftp.org, поскольку и сам домен мы назвали сходным образом. Также придется скачать, установить и настроить клиента динамического обновления (данная операция будет на автомате предложена в ходе регистрации). На следующем этапе придется скорректировать настройки сервера, подправив в свойствах домена («Домен» > «Свойства» > «Привязка IP») параметр «Перенаправить PASV IP», где потребуется ввести полученное доменное имя и задать диапазон портов пассивного режима. После этого пользователи смогут попасть на ваш FTP-сервер, указывая в FTP-клиенте в качестве адреса строку вида serghome.myftp.org. Активность пользователей четко протоколируется и сохраняется в логах — так, можно проверить, кто в данный момент подключен к серверу, и что он делает, оценить трафик домена, просмотреть историю подключений и т.п. Все эти данные представлены на вкладке «Информация».

Serv-U 8.0.0.7

Разработчик: Rhino Software, Inc.
Размер дистрибутива: 8,76 Мб
Распространение: условно бесплатная Serv-U — мощный, стабильный и относительно несложный в установке и настройке FTP-сервер, обеспечивающий гибкое администрирование. Программа позволяет открывать доступ к FTP-серверу конкретным пользователям или группам пользователей, устанавливать для них права на запись/чтение/изменение для каталогов и файлов, а также контролировать доступ по IP-адресам. Возможна одновременная работа нескольких пользователей, максимально допустимое число которых нетрудно ограничить. Для каждого из подключений несложно задать максимальную скорость операций upload/download. Предусмотрена поддержка компрессии «на лету» Zlib, обеспечивающая увеличение скорости передачи данных, и поддерживается функция Dynamic DNS, что позволяет автоматически определять внешний IP-адрес и менять его для псевдосерверов. Ведется подробная статистика активности на FTP-сервере, записываемая в логи, где можно узнать имя, под которым зашел пользователь, IP-адрес его компьютера, интересующие его папки, осуществленные операции и др. Программа (имеется русскоязычная локализация) представлена в нескольких редакциях, среди которых для домашнего пользователя интерес может представлять лишь редакция Bronze. Демо-версия программы полностью функциональна в течение 30 дней, после чего за нее придется заплатить 199,95 долл., либо использовать бесплатно как версию Personal, но тогда уже придется ограничиться одним доменом, двумя параллельными соединениями и пятью пользовательскими учетными записями, что, в принципе, достаточно, например, для обмена данными с друзьями. В редакции Bronze домен может быть также только один, но возможно уже 25 параллельных соединений и до 50 учетных записей. Программа включает два модуля — агент FTP-сервера и консоль управления. Агент интерфейса не имеет, работает как служба и отвечает за включение/отключение сервера, что производится через системный трей. Панель управления обеспечивает настройку параметров FTP-сервера и запускается через меню Пуск. После запуска Агента значок FTP-сервера появляется в системном трее и своим видом сигнализирует о состоянии сервера (включен/отключен) и наличии либо отсутствии на нем пользователей. Настройка FTP-сервера проходит под контролем мастера (он запускается автоматически после установки и первого запуска программы), что позволит избежать ошибок. Первым делом программа спросит имя домена — если внешний IP-адрес в интернете является статичным и ему присвоено доменное имя, то рекомендуется ввести его, в противном случае поле можно оставить пустым или написать любое название. Если адрес динамический, а это не устраивает, то разработчики рекомендуют воспользоваться системой динамического изменения DNS на сайте Dns4me.com. После ее настройки FTP-сервер научится автоматически менять выданный провайдером IP-адрес и сопоставлять его с доменным именем. Затем нужно будет определить протоколы и порты, которые будут использоваться данным доменом, и ввести IP-адрес сервера. На следующем этапе программа поинтересуется, не желает ли владелец FTP-сервера сразу создать аккаунты пользователей, и если да, то нужен ли для этой цели мастер. В случае выбора в пользу мастера в открывшемся окне потребуется указать имя пользователя, пароль и доступный ему каталог вкупе с правами доступа в отношении этого каталога — тут возможны только два варианта: «доступ только для чтения» и «полный доступ». После выполнения всех указаний мастера FTP-сервер Serv-U автоматически запустится. Естественно, что добавить пользователей можно и позже — непосредственно из консоли управления, активировав раздел «Пользователи» и щелкнув на кнопке «Добавить». При этом потребуется указать не только все вышеперечисленные данные, но также можно будет уточнить еще множество разнообразных параметров. Например, запретить/разрешить запись, добавление, удаление и запуск файлов из каталога, ограничить размер содержимого каталога и установить для данного пользователя доступ только с определенного IP-адреса. Настроить виртуальные пути доступа к каталогам, находящимся вне домашнего каталога пользователя, ввести приветствие, посылаемое ему после авторизации и др. Настройки параметров групп пользователей осуществляются примерно таким же образом. Помимо добавления пользователей и регулирования их прав, в консоли управления также корректируется множество других параметров. Так, в разделе «Лимиты и настройки сервера» можно установить разного рода ограничения, которые могут действовать в определенное время суток либо определенный день недели: ограничить максимальное число сессий, скорость загрузки/выгрузки данных (общую либо для конкретного пользователя), блокировать методы анти-таймаута и слишком часто подключающихся пользователей и т.п. В ходе работы FTP-сервера ведется подробная статистика активности пользователей — в частности, учитывается информация о текущем состоянии пользователя, файлах или каталогах, к которым он обращался, длительности сессий, скорости загрузки/выгрузки и т.п. Стоит отметить, что на наш субъективный взгляд, предыдущие версии Serv-U были удобнее, интуитивно понятнее и шустрее в работе. Последняя версия, протестированная нами в ходе подготовки материала, особого восторга не вызвала. Точнее, не порадовала новая консоль управления, капитально тормозящая и имеющая совершенно иной и, как нам показалось, не очень хорошо продуманный интерфейс, нежели старые версии.

FileZilla Server 0.9.31

Разработчик: Tim Kosse
Размер дистрибутива: 2,72 Мб
Распространение: бесплатная FileZilla Server представляет собой FTP-сервер с поддержкой SSL-шифрования и расширенным администрированием. Он обеспечивает создание анонимного либо парольного (для отдельных пользователей или групп) доступа к данным и позволяет управлять правами доступа для файлов и каталогов, а также ограничивать доступ по IP-адресам. Предусмотрено введение ограничений на доступ к FTP-серверу в целом, либо для каждого пользователя по отдельности, а также ограничение общего количества подключений и максимальной скорости скачивания. Имеется поддержка сжатия передаваемых данных (MODE Z), а для обмена важными файлами может использоваться 128-битное SSL-шифрование. В реальном времени ведется подробная статистика активности на FTP-сервере, по которой несложно контролировать имевшие место подключения, что позволит всегда быть в курсе того, что конкретно делали на сервере подключившиеся к нему пользователи. Возможно удаленное администрирование. Программа совершенно бесплатна и, как и большинство прочих FTP-серверов, она состоит из двух основных компонент. Первая — это сам FTP-сервер, работающий как системная служба (то есть он не имеет собственного интерфейса), настраивающаяся при установке на автоматический запуск. Вторая представляет собой консоль управления, предназначенную для настройки параметров FTP-сервера. При первом старте программа предложит ввести данные сервера, к которому предполагается подключиться — следует оставить предложенный IP-адрес (127.0.0.1 — это IP-адрес, с помощью которого компьютер может обратиться по сети к самому себе) и номер порта без изменений. Для того чтобы пользователи смогли заходить на ваш FTP-сервер, первым делом необходимо создать хотя бы одну учетную запись — например, для анонимного доступа к серверу (то есть для пользователя с именем anonymous). Сделать это можно через меню Edit > Users. В открывшемся окне редактора учетных записей вначале следует щелкнуть на кнопке Add и ввести имя пользователя. Для предоставления пользователю доступа к конкретным папкам требуется активировать вкладку Shared folders, щелкнуть по кнопке Add, указать домашнюю папку и определить права доступа к ней. При этом ее нужно определить в качестве корневого каталога для пользователя, нажав кнопку Set as home dir. Этого уже достаточно для посещения анонимными пользователями вашего FTP. Создание учетной записи для конкретного пользователя ничем принципиальным не отличается за исключением того, что для него придется указать не только логин, но и пароль. На доступ к серверу несложно ввести ограничения — как в целом, так и для каждого отдельного пользователя. Общесерверные ограничения устанавливаются в окне настроек сервера Edit > Settings, ограничения для отдельных пользователей — в окне настроек учетных записей Edit > Users. Например, для отдельных пользователей на вкладке Speed limits можно установить ограничения по скорости доступа (отдельно на скачивание и закачку) — постоянные либо по расписанию. А на вкладке IP Filter несложно установить ограничения по разрешению/запрещению на доступ в отношении конкретных IP-адресов. Указывать можно как отдельные IP-адреса, так и их диапазоны, что позволяет, например, запретить доступ сразу целой подсетке, разрешив его, тем не менее, отдельному доверенному пользователю внутри нее. Аналогичные установки могут быть заданы и в отношении всех пользователей в целом, но уже в окне настроек сервера. Для сервера в целом (Edit > Settings) на вкладке General settings можно установить ограничение на количество подключающихся одновременно пользователей, задать таймауты для разрыва соединения в случаях, когда подключившийся пользователь не отвечает, и установить ограничения в отношении конкретных IP-адресов. На вкладке Security settings — заблокировать межсерверные передачи файлов без участия пользователя, на вкладке Speed limits ограничить общую скорость скачивания/закачки, а на вкладке Autoban — блокировать множественные подключения пользователя в короткий промежуток времени. В случае динамического IP-адреса для сопоставления его с доменным именем в настройках сервера (Edit > Settings) потребуется активировать вкладку Passive mode settings, включить на ней флажок Use the following IP и указать в соответствующем поле имя домена. Активность пользователей фиксируется и отражается в главном окне программы, где можно увидеть имена подключавшихся пользователей, их IP-адреса, время подключения и произведенные ими операции.

zFTPServer Suite 3.3

Разработчик: Nicklas Bergfeldt
Размер дистрибутива: 4,29 Мб
Распространение: условно бесплатная zFTPServer Suite — удобный и очень многофункциональный FTP-сервер с поддержкой 256-битного SSL-шифрования, который прост в настройке, быстр в работе и предъявляет минимальные требования к системным ресурсам. С помощью этой программы совсем несложно организовать анонимный либо парольный доступ отдельных пользователей либо целых групп пользователей, установив для них требуемые ограничения на работу с информацией на FTP-сервере. Поддерживаются параллельные соединения, число которых несложно ограничить. Возможно автоматическое выявление и блокирование многократных попыток соединиться в короткий промежуток времени, а также блокирование определенных учетных записей при наступлении указанного срока. Предусмотрен контроль доступа по IP-адресам и ограничение числа соединений для отдельных пользователей и IP-адресов. Реализована возможность ограничения полосы пропускания, а также ограничение дискового пространства, предоставляемого пользователю для докачки. Имеется поддержка пассивного режима FTP (PASV), что актуально для настройки сервера при динамическом IP. Возможно удаленное администрирование FTP-сервера. Программа (имеется русскоязычная версия) представлена в нескольких редакциях, среди которых для домашних пользователей интерес представляют редакции Free, Personal и Personal Pro. Первая совершенно бесплатна, две другие могут бесплатно использоваться лишь в течение 10 дней. Стоимость коммерческой версии Personal составляет 9,9 евро, версии Personal Pro — 19,9 евро. В бесплатной версии допускается использование 10 параллельных соединений, в Personal — 25, а в Personal Pro количество соединений не ограничено. zFTPServer Suite включает два модуля, один из которых работает как FTP-сервер (может запускаться как служба автоматически при запуске Windows, если это было указано при инсталляции программы), а второй используется как административная консоль для настройки конфигурации сервера. Настройка сервера производится без использования мастера — то есть вручную. Начать стоит с создания учетных записей пользователей, для чего нужно воспользоваться командой «Настройка» > «Учетные записи» и щелкнуть на кнопке «Добавить нового пользователя». В случае анонимного пользователя, следует отказаться от ввода логина и пароля, ввести в качестве его имени anonymous, на вкладке «Домашний каталог» определить домашний каталог, щелкнув на кнопке «Добавить ресурс», и при необходимости подкорректировать права доступа. Создание пользователя с конкретным именем производится точно так же, за исключением необходимости указания логина и пароля. При определении доступных отдельным пользователям ресурсов, необязательно копировать все их в домашний каталог — можно создать виртуальную структуру папок непосредственно в административной консоли и указать ресурсы, которые должны оказаться доступными в этих папках. Для пользователей несложно настроить систему ограничений (вкладка «Ограничения» в учетной записи). К примеру, ограничить срок жизни учетной записи, ввести лимиты на загрузку/выгрузку, игнорировать глобальное ограничение скорости (если таковое было назначено серверу) и др. В целях безопасности имеет смысл разрешить либо запретить пользователям вход с конкретных IP-адресов и при необходимости разрешить использование SSL для шифрования передаваемых данных. Возможно создание групп пользователей, что упрощает настройку прав доступа и ограничений. На следующем этапе приступают к настройке самого FTP-сервера (команда «Настройка» > «Настройка сервера») — это может производиться в нормальном либо расширенном режимах. Для включения последнего придется активировать флажок «Настройка» > «Показывать расширенные настройки». Все настройки распределены по девяти группам, самыми важными из которых являются группы «Общие», Speed Scheduler и Security. В группе «Общие» регулируются базовые настройки FTP-сервера — здесь можно ограничить число параллельных подключений, установить общие ограничения на загрузку/выгрузку, указать адрес для пассивного режима и установить диапазоны портов и др. Группа Speed Scheduler обеспечивает возможность корректировки ограничений скачивания и закачки в зависимости от дня недели. Группа Security позволяет изменять некоторые параметры работы сервера, связанные с безопасностью. В частности, здесь несложно запретить трансфер между двумя FTP-серверами, установить защиту от DDOS-атак и назойливых клиентов путем запрета на создание множественных подключений клиента в короткий промежуток времени и установить запрет либо наоборот — разрешить соединения с конкретных IP-адресов. В ходе работы FTP-сервера ведется статистика активности пользователей, отображаемая в главном окне административной консоли. Здесь может быть представлена информация об именах подключавшихся пользователей, их IP-адресах, датах и времени подключений и выполняемых операциях. При желании, от части этих данных можно отказаться через меню «Вид» > «Информация».

Cerberus FTP Server 2.49a

Разработчик: Cerberus, LLC.
Размер дистрибутива: 3,92 Мбайт
Распространение: условно бесплатная Cerberus FTP Server представляет собой компактный и нетребовательный к системным ресурсам FTP-сервер с поддержкой SSL/TLS-шифрования. С помощью данной программы несложно превратить свой компьютер в FTP-сервер, доступный как для всех, так и только для избранных пользователей, установив для них список доступных папок и файлов и определив права доступа. А также ограничить допустимое число параллельных соединений и предоставляемый для доступа к FTP-серверу лимит времени. Допускается управление доступом через IP-адреса путем создания списков адресов, с которых доступ к серверу будет либо всегда разрешен, либо запрещен. Имеется функция блокирования множественных подключений клиента в короткий промежуток времени в целях защиты от назойливых клиентов и DDOS-атак. Ведется статистика установленных соединений. Cerberus FTP Server можно скачать и в персональных целях использовать бесплатно. В случае коммерческого применения период бесплатного ознакомления ограничивается 30-ю днями, по истечении которых потребуется заплатить 59,99 долл. в случае одного года свободного обновления либо 89,90 долл. — и тогда можно будет бесплатно обновлять программу в течение двух лет. Программа представлена одним модулем, запускается из меню Пуск (хотя может работать и как служба, но после соответствующих настроек) и во время работы постоянно находится в системном трее. Именно из системного трея и производится включение/выключение FTP-сервера. При первом запуске она вежливо поинтересуется, в каких целях будет использоваться, и обрадует, что в случае персонального применения оплачивать программу не требуется. После этого мастер сразу же предложит создать анонимную учетную запись и указать для нее домашний каталог — естественно, от создания анонимного доступа можно отказаться. Затем программа самостоятельно вычислит ваш IP-адрес и задаст вопрос об использовании SSL/TLS и, наконец, создаст желанную учетную запись. После этого анонимные пользователи уже вполне смогут попасть на ваш сервер. Если анонимного доступа вам недостаточно — то есть нужно настроить персональный доступ, — то придется воспользоваться командой Configuration

Хостинг на домашнем сервере Open Server, DDNS и динамический IP-адрес

В предыдущей статье я уже писал о планах сделать домашний хостинг, используя свой домашний интернет, чтобы размещать на нем сайты, которые делаю. Но вот беда. В тот же вечер я пришел домой, а интернет не работает. Вывод только один: это очень ненадежно! Нужно иметь какой-то дополнительный канал Интернета для подстраховки. Иначе пользователи не попадут на ваш сайт.

Совсем недавно я запустил свой новый проект, где предполагается размещение большого количества видео информации. Использование Ютуба отпало сразу, так как посмотрев ролик на вашем сайте из ютуба, пользователь может и не вернуться больше на него. YouTube предложит пользователю еще ролики и затянет его к себе. Поэтому нужно было искать решение.

Использовать платный хостинг для этих целей очень дорого. Поэтому я сделал свой собственный домашний хостинг на сервере. В заключении я попробую описать все нюансы и недостатки. Конечно же они есть, ведь все это бесплатно!

Динамический DNS

На сегодняшний день в сети есть огромное множество сервисов DDNS, которые предоставляют вам уникальный домен третьего уровня. Сервисов много, а бесплатных не очень. Я остановился на этом — hldns.ru Создатели сервиса уверяют, что он будет бесплатный всегда!

Заходим на сайт hldns.ru и регистрируемся. Всё очень просто! Очень важно указать верный электронный адрес, так как на него придет письмо с подтверждением о регистрации, а также инструкции с уникальной ссылкой, которую потом мы будем использовать.

В письме с инструкциями есть ссылка на программу hldns.ru updater для операционной системы Windows. Скачайте ее, поставьте в автозагрузку, укажите время обновления, а также свою уникальную ссылку обновления.

На этом этапе вы уже можете подключаться с своему домашнему роутеру по выбранному вами DDNS (домену третьего уровня).

Сервер

Можно использовать свой основной компьютер, но я решил, что это должен быть отдельный сервер. Поэтому я взял старенький ПК с характеристиками:

Я не знал, что получится, да и получится ли вообще! Поэтому старался использовать то, что есть уже в наличие. Одноядерный процессор Celeron(R) D 3.46GHz, конечно же, слабоват! Но всё получилось и работа всей этой системы меня полностью удовлетворяет. У меня уже есть материнская плата с камнем core i3. Поэтому скоро будет переезд хостинга на новый сервер.

Настройки, которые нужно сделать на нашем будущем сервере минимальны! Просто присвойте этому компьютеру статический IP-адрес, я выбрал 192.168.0.200 и шлюз 192.168.0.1, думаю не нужно писать как это сделать

Open Server

Open Server Panel — это портативная серверная платформа и программная среда, созданная специально для веб-разработчиков с учётом их рекомендаций и пожеланий. Цитата с их сайта

Отличное программное обеспечение и полностью бесплатное! Заходите на сайт ospanel.io и скачиваете дистрибутив. Я выбрал OSPanel Ultimate 5.2.9 (1198 Мб). Хочу предупредить, что бесплатно скачать дистрибутив Open Server не так уж быстро. Но можно внести пожертвование и скачать на максимальной скорости. Рекомендую именно так и сделать, если ждать не хотите несколько часов.

Итак, дистрибутив Open Server скачался — устанавливаем его. Рекомендую распаковать архив на диск, где больше всего места После распаковки дополнительная установка не требуется. После запуска Open Server в системном трее будет присутствовать флажок: красный — сервер остановлен, желтый — сервер запускается или перезагружается, зеленый — сервер запущен (работает).

Давим на флажок и заходим в настройки. Во вкладке Основные рекомендую поставить Open Server на автозапуск. Если ваш сервер поддерживает автоматическое включение после возобновления подачи питания — тоже включите.

По умолчанию Open Server использует папку domians, там находится сайт localhost. Рекомендую сразу изменить директорию. Я создал папку www, в ней папку video и копировал туда файл index.php из localhost.

Во вкладке Сервер изменяем корневую папку доменов на новую www, изменяем IP-адрес сервера с 127.0.0.1 на IP-адрес нашего сервера 192.168.0.200 и давим кнопку сохранить. Если оставить корневую папку domians, Open Server не даст нам поменять IP-адрес сервера.

Во вкладке Алиасы нужно добавить алиас. В моем случае
Исходный домен: host.hldns.ru
Конечный домен: video

Домашний роутер (маршрутизатор)

Настройки в роутере тоже очень простые! У меня роутер TP-Link N450 Wi-Fi модель TL-WR940N.

Заходим в роутер и первым делом нам нужно изменить порт веб управления в настройках безопасности, так как по умолчанию он 80. Этот 80 порт мы будем использовать для подключения к серверу, поэтому меняем его на другой, например, 8080.

Далее заходим в Переадресацию, там есть Виртуальные серверы. Указываем порт сервиса 80 и внутренний порт 80, IP-адрес нашего сервера 192.168.0.200 и протокол TCP.

Всё готово! Теперь если мы зайдем по адресу нашего DDNS с другого интернета, мы увидим веб страницу с надписью Добро пожаловать!

Заключение

Всё супер! Дешево и сердито! Такой домашний и, можно сказать, бесплатный хостинг можно использовать как хранилище файлов, которые подключаются к сайту, например, видео или музыка. Я бы не рекомендовал использовать этот хостинг целиком для сайта, потому что имеют место быть редкие, но всё же отключения интернета. Поисковые системы не любят, если сайт время от времени не работает. И еще, когда происходит смена IP-адреса роутера, хостинг некоторое время не доступен через интернет. Должно пройти немного времени, минут 5-10. Это тоже минус такой системы. Но он решается покупкой белого статичного IP-адреса. Однако это уже дополнительные затраты.

Конечно, если есть возможность приобрести статический IP-адрес и сделать резервный канал интернета, то все эти проблемы уходят. Да, и еще лишним не будет поставить источник бесперебойного питания для сервера и роутера. В ближайшее время, я планирую переместить свой хостинг на новый сервер и уже его подключить к ИБП.

Так как я использую свой домашний хостинг для хранения видео файлов, была вероятность того, что одномоментное подключение большого количества пользователей к одному видеоролику вызовут тормоза. Это я проверил как смог. Попросил друзей одномоментно начать просмотр фильма (1.5 Гб) с разных устройств. Общее количество подключений было 15-20 и не было даже малейшего намека на зависание или подвисание видео. Для моих целей этого пока достаточно. А с новым процессором core i3, я думаю, сервер сможет выдержать очень большие нагрузки. Посмотрим!

Вроде ничего не забыл! Всем удачи и добра!

FileZilla FTP Server для домашней или офисной сети.

Что такое FTP Server ?.

&nbsp &nbsp Аббревиатура FTP происходит от английского File Transfer Protocol ( протокол передачи файлов ) — протокол прикладного уровня для обмена файлами по транспортному протоколу TCP/IP между двумя компьютерами, FTP-клиентом и FTP-сервером. Это один их старейших , и тем не менее, по-прежнему активно используемый протокол.

Протокол FTP предназначен для решения следующих задач :

  • доступ к файлам и каталогам на удаленных хостах
  • обеспечение независимости клиента от типа файловой системы удаленного компьютера
  • надежная передача данных
  • использование ресурсов удаленной системы.
  • Протокол FTP поддерживает сразу два канала соединения — один для передачи команд и результатов их выполнения, другой — для обмена данными . При стандартных настройках FTP — сервер использует TCP порт 21 для организации канала передачи и приема команд и TCP порт 20 для организации канала приема/передачи данных.

    FTP-сервер ожидает подключения от FTP-клиентов на TCP порт 21 и, после установления соединения, принимает и обрабатывает команды FTP, представляющие собой обычные текстовые строки. Команды определяют параметры соединения, тип передаваемых данных и действия по отношению к файлам и каталогам. После согласования параметров передачи, один из участников обмена становится в пассивный режим, ожидая входящие соединения для канала обмена данными, а второй — устанавливает соединение на данный порт и начинает передачу. По завершении передачи, соединение для обмена данными закрывается, но управляющее соединение остается открытым, позволяя продолжить FTP — сессию и создать новый сеанс передачи данных.

    . Протокол FTP может использоваться не только для передачи данных между клиентом и сервером, но и между двумя серверами. В данном случае, клиент FTP устанавливает управляющее соединение с обоими FTP — серверами, переводит один из них в пассивный режим, а второй — в активный, создавая между ними канал передачи данных.

    FTP- клиент является программой, которая выполняет подключение к FTP- серверу и выполняет необходимые операции для просмотра содержимого каталогов сервера, приема, передачи и удаления файлов или папок. В качестве такой программы может использоваться обычный браузер, компоненты операционной системы или специально разработанные программные продукты, как , например, популярный менеджер закачек Download Master или многофункциональный бесплатный FileZilla FTP Client.

    Протокол FTP разрабатывался еще в те времена, когда клиент и сервер взаимодействовали напрямую, без каких-либо промежуточных преобразований TCP- пакетов, и в стандартном режиме предполагает возможность создания TCP — соединения не только по инициативе клиента, но и по инициативе сервера от TCP порта 20 на TCP — порт клиента , номер которого передается в процессе создания сеанса передачи данных.

    Реалии же сегодняшнего дня таковы, что подобное TCP — соединение от сервера к клиенту в подавляющем большинстве случаев невозможно, или очень непросто реализовать по причине того, что в большинстве случаев, для подключения к Интернет используется технология с трансляцией сетевых адресов NAT ( Network Address Translation ) , когда клиент не имеет сетевого интерфейса, доступного для создания прямого TCP- соединения из Интернет. Типовая схема стандартного подключения к Интернет выглядит следующим образом:

    Подключение к Интернет выполняется через специальное устройство — Router ( маршрутизатор с функцией NAT ), имеющее, как минимум два сетевых порта — один подключенный к сети провайдера, имеющий сетевой интерфейс с маршрутизируемым IP-адресом ( так называемый, «белый IP» ), например 212.248.22.144, и порт с сетевым интерфейсом для подключения устройств локальной сети с приватным, немаршрутизируемым IP-адресом, например 192.168.1.1 ( «серый IP» ). При создании соединений от сетевых устройств локальной сети к внешним сетевым узлам, IP-пакеты направляются на маршрутизатор, который выполняет трансляцию адресов и портов таким образом, чтобы, адресом отправителя стал его белый IP-адрес. Результаты трансляции сохраняются и при получении ответного пакета, выполняется обратное преобразование адреса. Таким образом, маршрутизатор обеспечивает пересылку TCP/IP — пакетов от любых устройств локальной сети во внешние сети и обратную пересылку полученных ответных пакетов. Но в тех случаях, когда на вход сетевого интерфейса, подключенного к сети провайдера, принимается пакет, который не имеет отношения к ответным TCP-пакетам, возможны следующие варианты реакции программного обеспечения маршрутизатора:

    — пакет игнорируется, так как нет сетевой службы, которая могла бы его обработать.

    — пакет принимается и обрабатывается сетевой службой самого маршрутизатора, если такая служба существует и ожидает ходящее соединение («слушает») порт, номер которого указан в принятом пакете.

    — пакет пересылается серверу в локальной сети, ожидающему данный вид входящих соединений в соответствии с правилами перенаправления портов ( port mapping ) заданными настройками маршрутизатора.

    Поэтому, в настоящее время, основным режимом работы по протоколу FTP стал так называемый «пассивный режим», при котором TCP — соединения выполняются только от клиента на TCP-порт сервера. Активный же режим, используется в тех случаях, когда существует возможность TCP — подключения от сервера на порты клиентов, например, когда они находятся в одной локальной сети. Выбор режима FTP-соединения производится специальными командами:

    PASV — клиент передает команду, чтобы выполнить обмен данными в пассивном режиме. Сервер вернет адрес и порт к которому нужно подключиться чтобы принимать или передавать данные. Пример фрагмента FTP- сессии с установкой пассивного режима:

    PASSV — команда на переключение в пассивный режим, передаваемая FTP — клиентом FTP-серверу

    227 Entering Passive Mode (212,248,22,144,195,89) — ответ FTP-сервера, где 227 — код ответа, текстовое сообщение о переходе в пассивный режим и в скобках IP-адрес и номер порта, которые будут использованы для создания канала передачи данных. Адрес и номер порта отображаются в виде десятичных чисел, разделяемых запятой. Первые 4 числа — это IP-адрес ( 212.248.22.144), оставшиеся 2 числа задают номер порта, который вычисляется по формуле — первое число умножается на 256 и к результату прибавляется второе число, в данном примере номер порта 195*256 +89 = 50017

    PORT IP адрес клиента номер порта — клиент передает команду, чтобы организовать сеанс в активном режиме. IP-адрес и номер порта задаются в том же формате, как и в предыдущем примере, например PORT 212.248.22.144,195,89 Для организации передачи данных сервер сам подключается к клиенту на указанный порт.

    Установка и настройка FileZilla FTP Server.

    Скачать инсталляционный пакет FileZilla Server для вашей версии операционной системы можно на странице проекта SourceForge

    Установка сервера выполняется стандартным образом, за исключением пункта с выбором настроек панели управления сервером FileZilla Server Interface:

    FileZilla Server Interface — это основное средство управления сервером, через которое выполняются все необходимые настройки. По умолчанию, панель управления работает на петлевом интерфейсе без доступа по паролю. При необходимости, например, если потребуется удаленное управление FTP-сервером, эти настройки можно будет изменить.

    После завершения установки откроется окно приглашения для подключения к серверу:

    После ввода IP-адреса, номера порта и пароля ( если вы задавали их в процессе установки ) открывается панель управления FileZilla Server: В верхней части окна находится основное меню и кнопки панели управления. Ниже располагаются две области — информационных сообщений сервера и статистической информации. В целом, панель управления FTP FileZilla Servver довольно простая и удобная в использовании. Пункты основного меню:

    File — режимы работы панели управления FTP-сервером. Содержит подпункты

    — Connect to Server — подключиться к серверу
    — Disconnect — отключиться от сервера
    — Quit — завершение работы панели управления.

    Server — управление FTP-сервером. Содержит подпункты:

    Active — запустить/остановить FTP-сервер. При установленной галочке FTP-сервер запущен, при снятой — остановлен.
    Lock — запретить/разрешить подключения к серверу. При установленной галочке новые подключения к серверу запрещены.

    Edit — редактирование настроек. Подпункты:

    Settings — основные настройки сервера.
    Users — настройки пользователей FTP-сервера
    Groups — настройки групп пользователей.

    В качестве примера, выполним настройки сервера для следующих условий:

  • сервер находится за NAT, имеет приватный IP-адрес, но должен быть доступен из Интернет, поддерживает пассивный режим и использует нестандартные TCP порты. Использование нестандартных портов позволяет уменьшить вероятность хакерских атак, и кроме того, некоторые провайдеры используют фильтрацию трафика и блокируют стандартные 20 и 21 порты.
  • пользователи имеют возможность скачивать с сервера , закачивать на сервер, удалять и переименовывать файлы и папки.
  • в случае использования динамического IP-адреса, требуется обеспечить доступность сервера по DNS-имени.
  • сервер будет функционировать на рабочей станции в среде ОС Windows 7 / Windows 8.
  • Другими словами, нужно создать доступный из Интернет FTP-сервер для обмена файлами между пользователями, разумеется бесплатно. Вполне понятно, что кроме создания необходимой конфигурации самого FTP — сервера, потребуется изменение некоторых настроек маршрутизатора, параметров брандмауэра Windows, решение проблемы динамического IP-адреса, чтобы сервер был доступен по имени, независимо от смены IP-адреса.

    Решение проблемы динамического IP-адреса.

    &nbsp &nbsp Данная проблема не требует решения в тех случаях, когда при подключении к интернет используется статический IP — адрес, или же динамический, но в соответствии с настройками провайдера, практически всегда один и тот же. В противном случае, можно воспользоваться технологией, получившей название Динамический DNS ( DDNS ) . Данная технология, позволяет почти в реальном масштабе времени обновлять информацию об IP-адресе на DNS-сервере, и получать доступ к маршрутизатору ( и службам за ним) по зарегистрированному имени, не обращая внимание на изменение динамического IP.

    Для бесплатной реализации данной технологии потребуется регистрация на каком-нибудь сервисе динамического DNS и установка клиентского программного обеспечения для обновления записи DNS в случае изменения соответствующего IP-адреса. Поддержку динамического DNS, как правило, осуществляют производители сетевого оборудования (D-Link, Zyxel и др.), некоторые хостинговые и специализированные компании, как например, широко известная DynDNS . Однако, после того, как во второй половине 2014 года, все услуги, которые предоставлялись зарегистрированным пользователям бесплатно для некоммерческого использования, стали платными, наиболее популярным решением, пожалуй, стало использование динамического DNS на базе сервиса No-IP.com, который в бесплатном режиме предоставляет услуги по поддержке 2-х узлов с динамическим IP. Для бесплатного использования сервиса потребуется регистрация, и периодическое (приблизительно 1 раз в месяц) посещение сайта для обновления информации об используемых узлах с динамическим IP. Эсли пропустить обновление данных об узле, то услуга приостанавливается, и соответственно, подключиться к узлу по имени станет невозможно. При платном использовании сервиса обновление не требуется.

    &nbsp &nbsp Практически все современные маршрутизаторы ( модемы ) имеют встроенную поддержку динамического DNS-клиента. Его настройка обычно очень простая, — заполняются поля с именем пользователя и паролем, а также с именем узла, полученные при регистрации на сервисе DDNS . Пример для Zyxel P660RU2

    &nbsp &nbsp Использование клиента DDNS, встроенного в маршрутизатор/модем предпочтительнее по сравнению с утилитой обновления данных DNS, работающей в среде ОС, поскольку позволяет реализовать дополнительные возможности, как например, управление маршрутизатором через Интернет при выключенном компьютере и удаленное включение электропитания компьютеров за NAT по технологии Wake On Lan.

    В тех же случаях, когда нет возможности использования встроенного клиента DDNS, придется обходиться прикладным программным обеспечением — программой-клиентом поддержки динамического DNS. Такая программа периодически подключается к серверу, поддерживающему зарегистрированное доменное имя, связанное с маршрутизатором, через который выполняется подключение к Интернет, и вызывает процедуру обновления IP, при его изменении. Настройки сервера выполнены таким образом, что сопоставление DNS-имени и IP-адреса интернет-подключения выполняется за очень короткое время, и динамический характер адреса практически никак не сказывается на работоспособности сервисов, связанных с DNS-именем.

    Порядок действий следующий:

  • Идем на сайт No-IP.com. Для работы с уже имеющейся или новой учетной записью используется кнопка «Sign In» (в верхней правой части страницы).

  • Создаем, если она еще не создана, свою учетную запись — жмем «Create Account». Форма регистрации периодически меняется, но обязательными являются ввод желаемого имени пользователя, пароля и вашего E-mail. На указанный при регистрации e-mail приходит письмо с ссылкой для подтверждения регистрации. При регистрации выбираем бесплатный доступ — жмем кнопку Free Sign Up после заполнения всех требуемых полей формы.
  • После успешной регистрации входим на сайт и добавляем запись для своего узла — жмем кнопку «Add Hosts»

    Фактически, необходимо ввести только выбранное имя узла, в данном случае — myhost8.ddns.net. Остальные параметры менять не нужно. Затем необходимо скачать и установить специальное программное обеспечение — Dynamic Update Client ( DUC), ссылка на который размещена на главной странице сайта. После завершения установки DUC выполнится его запуск и откроется окно авторизации, где нужно ввести имя пользователя или E-mail и пароль, полученные при регистрации на сайте no-ip.com. Затем нажать кнопку Edit Hosta и поставить галочку напротив созданного ранее имени узла ( myhost8.ddns.net ) . Теперь, выбранному имени узла будет постоянно соответствовать «белый IP-адрес» вашего подключения к Интернет. При возникновении проблем с обновлением IP-адреса, проверьте, не блокируется ли сетевая активность клиента DUC брандмауэром.

    Настройка FTP-сервера

    &nbsp &nbsp Использование нестандартных номеров портов для FTP-сервера совсем не обязательно, если провайдер не использует фильтрацию трафика, или вам безразлично сканирование портов на уязвимости и попытки подбора паролей. В данной статье, использование FTP-сервера с нестандартными TCP-портами, представлено в качестве одного из возможных вариантов.

    Настройки FileZilla Server выполняются через меню «Edit» -«Settings»

    Окно General Settings предназначено для общих настроек FTP-сервера.

    В поле «Listen on this port» можно указать номер порта для входящих TCP-соединений. По умолчанию в данном поле установлено значение 21, и для использования нестандартного номера нужно указать выбранное значение, например — 12321. Использование нестандартного TCP-порта имеет некоторое неудобство, поскольку требует обязательное указание его значения при создании сеанса:

    ftp://myhost8.ddns.net — вид ссылки для случая с использованием стандартных номеров портов.
    ftp://myhost8.ddns.net:12321 — вид ссылки для случая с использованием номера порта 12321.

    Если сервер планируется использовать как с доступом из Интернет, так и в локальной сети, есть смысл оставить стандартное значение 21, а нестандартный номер порта использовать для подключений из Интернет, настроив перенаправление пакетов, пришедших на порт 12321 маршрутизатора, на порт 21 FTP-сервера в локальной сети. При такой настройке, для FTP-сессий внутри локальной сети указывать номер порта не нужно.

    Прочие параметры предназначены для настройки производительности и таймаутов сессий. Их можно оставить без изменений. Остальные разделы общих настроек можно также оставить по умолчанию:

    Welcome Message — текст, который передается клиенту при подключении.

    IP Binding — на каком сетевом интерфейсе будут ожидаться клиентские подключения. По умолчанию — на любом, но можно указать конкретный, например — 192.168.1.3.

    IP Filter — настройка правил фильтрации IP-адресов клиентов. По умолчанию — разрешены подключения для любых IP.

    Раздел Passive mode settings служит для настроек пассивного режима FTP и потребует изменения практически всех параметров, принятых по умолчанию.

    Номера портов, которые будут использоваться для передачи данных в пассивном режиме, нужно задавать вручную, поскольку потребуется настройка маршрутизатора для перенаправления их на слушаемый сервером сетевой интерфейс. Поэтому нужно установить галочку на разрешение режима «Use custom port range» и задать диапазон — например от 50000 до 50020. Количество портов, слушаемых сервером, определяет предельное число одновременных сеансов передачи данных.

    Подраздел IPv4 specific определяет IP — адрес, который будет отправляться сервером в ответ на команду PASV. В данном случае, это должен быть не собственный IP сервера 192.168.1.3, а «белый IP» нашего подключения к Интернет. Поэтому нужно установить режим «Use the following IP» и вместо IP-адреса ввести имя, полученное при регистрации на сервисе динамического DNS — myhost8.ddns.net. В качестве альтернативы, можно использовать режим определения внешнего IP-адреса средствами проекта FileZilla, включив. «Retrieve external IP Address from:». Данный вариант можно выбрать в тех случаях, когда нет возможности использовать средство динамического DNS. Если предполагается использование FTP — сервера в своей локальной сети, нужно установить режим «Don’t use external IP for local connections» (не использовать внешний IP-адрес для соединений внутри локальной сети)

    Остальные настройки сервера можно оставить без изменений или, при необходимости, выполнить позже: Security settings — настройки безопасности. По умолчанию — запрещены соединения, которые могут быть использованы для реализации DDoS-атак

    Miscellaneous — настройки размеров буферов и прочих параметров журналов и некоторых команд FTP.

    Admin Interface settings — настройки панели управления сервером. Можно указать сетевой интерфейс, номер слушаемого порта, IP-адреса, с которых разрешено подключение к панели управления и пароль.

    Logging — настройки журнала событий сервера. По умолчанию, запись в файл не выполняется.

    Speed Limit — настройки ограничения скорости передачи данных. По умолчанию — без ограничений.

    Filetransfer compression — настройки сжатия файлов при передаче. По умолчанию — без сжатия.

    SSL/TLS settings включение режима шифрования передаваемых данных. По умолчанию — без шифрования.

    Autoban — включение автоматической блокировки пользователей, подбирающих пароль для подключения. По умолчанию, автоматическая блокировка выключена.

    Настройка перенаправления портов и брандмауэра

    Для того, чтобы FTP-сервер был доступен из Интернет, необходимо выполнить настройки маршрутизатора таким образом, чтобы входящие соединения, пришедшие на определенные TCP-порты внешнего интерфейса, перенаправлялись на TCP — порты, слушаемые FTP-сервером внутренней сети. Для различных моделей маршрутизаторов настройки могут отличаться терминологией, но смысл их один и то же — принятый на внешнем (WAN) интерфейсе TCP-пакет с определенным номером порта переслать в локальную сеть на нужный IP-адрес и порт. Пример настроек маршрутизатора D-Link DIR-320NRU для перенаправления портов, используемых для пассивного режима FTP :

    Пакеты, принятые на интерфейсе с «белым IP» и имеющие номера портов в диапазоне 50000-50020 будут перенаправляться на IP-адрес, задаваемый полем «Внутренний IP» ( в нашем случае — 192.168.1.3 ). Аналогичным образом создается перенаправление для порта 50021, если вы изменили номер стандартного порта, или на порт 21 FTP-сервера, если вы оставили его без измененния.

    После применения данных настроек, FTP-сервер будет доступен по URL ftp://myhost8.ddns.net:50021 или, для соединения внутри локальной сети:

    ftp://192.168.1.3 — если вы не изменяли стантартный номер порта ( 21 ) в настройках FTP-сервера.

    ftp://192.168.1.3:50021 — если используется нестандартный номер порта.

    Вместо IP-адреса можно использовать имя компьютера, если оно может быть разрешено в IP-адрес

    ftp://comp1

    ftp://comp1.mydomain.ru

    Диагностика проблем

    Если подключение к FTP — серверу не происходит, то возможно, возникли проблемы с блокировкой брандмауэром соединений, необходимых для работы созданного FTP-сервера. Если используется встроенный брандмауэр Windows, то необходимо добавить правило, разрешающее сетевую активность для службы «FileZilla FTP server». Если используется сторонний брандмауэр или антивирус с фильтрацией трафика, то необходимо создать соответствующее правило имеющимися средствами настроек для разрешения сетевых соединений. Возможны варианты, когда настройки делаются для разрешения любой сетевой активности конкретной программы, или для разрешения выбранных адресов и портов, применяемых ко всем программам.

    Начать диагностику лучше всего на самом FTP-сервере. В качестве средства диагностики, можно использовать стандартный telnet — клиент (утилита telnet.exe ) . Все брандмауэры не блокируют соединения на петлевом интерфейсе и для проверки правильности настроек сервера можно подключиться к нему введя команду:

    telnet localhost 21 — если используется стандартный номер порта.

    telnet localhost 50021 — если был изменен стандартный номер порта.

    При выполнении данной команды происходит подключение к FTP-серверу по петлевому интерфейсу и в окне telnet должно отобразиться приглашение сервера ( Welcome Message ). Если этого не происходит, возможно, сервер остановлен, имеет место конфликт портов, или слушается не порт 21 (50021) . Для диагностики можно использовать команду netstat:

    netstat –nab

    Параметры командной строки означают:

    n — использовать числовые номера портов и адреса IP

    a — отображать все соединения и слушаемые порты

    b — отображать имена программ, участвующих в создании соединений.

    Пример отображаемых результатов выполнения команды:

    Активные подключения

    Имя &nbsp &nbsp Локальный адрес &nbsp &nbsp Внешний адрес &nbsp &nbsp Состояние
    TCP &nbsp &nbsp &nbsp &nbsp 0.0.0.0:21 &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp 0.0.0.0:0 &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp LISTENING
    [FileZilla Server.exe]
    TCP &nbsp &nbsp &nbsp &nbsp 0.0.0.0:135 &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp 0.0.0.0:0 &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp LISTENING
    RpcSs

    В колонке Локальный адрес имеется значение 0.0.0.0:21, которое говорит о том, что программа с именем FileZilla Server.exe слушает ( состояние LISTENING) TCP порт с номером 21 на всех сетевых интерфейсах. Если в настройках FTP-сервера был указан конкретный интерфейс и другой номер порта, то это значение будет содержать IP:порт, например – 192.168.1.3:50021

    Для вывода результатов в постраничном режиме, можно воспользоваться командой:

    netstat -nab | more

    Или использовать поиск результатов по номеру порта: netstat -nab | find «:21»

    Если сервер недоступен на непетлевом интерфейсе , и доступен на петлевом — нужно разбираться с настройками брандмауэра.

    Настройка пользователей и групп.

    Настройка пользователей и групп выполняется через меню «Edit» — «Users» ( «Groups» ). Группы создавать необязательно, но иногда удобно, для тех случаев, когда имеется большое количество пользователей, и их права по отношению к FTP-серверу различаются. Настройки и групп и пользователей практически идентичны:

    В данном примере отображен результат добавления пользователя FTP-сервера с именем user1 имеющего полные права на запись, чтение, удаление и слияние файлов, а также на просмотр содержимого, удаление и создание подкаталогов в каталоге C:\ftp\public

    На странице General выполняется добавление, удаление и изменение свойств пользователей.
    На странице Shared Folders выполняются настройки, определяющие перечень каталогов файловой системы, которые будут использоваться FTP-сервером для предоставления доступа к ним по протоколу FTP. Каждому пользователю или группе пользователей может предоставлен свой каталог с определенными правами по отношению к его содержимому.
    На странице Speed limits можно задавать ограничения по скорости обмена данными.
    На странице IP Filter можно задать правила фильтрации для IP — адреса пользователя, указав адреса с которых запрещено или разрешено подключение к серверу .

    Список основных команд FTP

    ABOR — Прервать передачу файла
    CDUP — Сменить директорию на вышестоящую.
    CWD — Сменить текущую директорию.
    DELE — Удалить файл (DELE filename).
    HELP — Выводит список команд принимаемых сервером.
    LIST — Возвращает список файлов директории. Список передается через соединение данных (20 порт).
    MDTM — Возвращает время модификации файла.
    MKD — Создать директорию.
    NLST — Возвращает список файлов директории в более кратком формате чем LIST. Список передается через соединение данных (20 порт).
    NOOP — Пустая операция
    PASV — Войти в пассивный режим. Сервер вернет адрес и порт к которому нужно подключиться чтобы забрать данные. Передача начнется при введении команд RETR, LIST и т.п.
    PORT — Войти в активный режим. Например PORT 12,34,45,56,78,89. В отличие от пассивного режима для передачи данных сервер сам подключается к клиенту.
    PWD — Возвращает текущую директорию сервера.
    QUIT — Отключиться
    REIN — Реинициализировать подключение
    RETR — Скачать файл. Перед RETR должна быть команда PASV или PORT.
    RMD — Удалить директорию
    RNFR и RNTO — Переименовать файл. RNFR — что переименовывать, RNTO — во что.
    SIZE — Возвращает размер файла
    STOR — Закачать файл на сервер. Перед STOR должна быть команда PASV или PORT.
    SYST — Возвращает тип системы(UNIX, WIN,)
    TYPE — Установить тип передачи файла(A- текстовый ASCII, I — двоичный)
    USER — Имя пользователя для входа на сервер

    Пример FTP-сессии

    FTP-клиент подключается к серверу с именем пользователя user1, пустым паролем и скачивает файл с именем cpu-v. Красным цветом выделены сообщения FTP-сервера, синим — FTP-клиента. Обмен директивами и параметрами может незначительно отличаться для разных версий программного обеспечения FTP-клиента и FTP-сервера.

    После подключения, сервер передает клиенту сведения о себе:
    220-FileZilla Server version 0.9.45 beta
    220-written by Tim Kosse ([email protected])
    220 Please visit http://sourceforge.net/projects/filezilla/
    Клиент передает имя пользователя:
    USER user1
    Сервер запрашивает ввод пароля:
    331 Password required for user1
    Клиент передает пустой пароль:
    PASS
    Сервер проверяет учетную запись пользователя и сообщает о начале сеанса:
    230 Logged on
    Клиент запрашивает тип операционной системы на сервере:
    SYST
    Сервер сообщает, что тип Unix, эмулируемый Filezilla-сервером:
    215 UNIX emulated by FileZilla
    Клиент запрашивает перечень параметров, поддерживаемых сервером:
    FEAT
    Сервер отвечает перечнем поддерживаемых параметров:
    211-Features:
    MDTM
    REST STREAM
    SIZE
    MLST type*;size*;modify*;
    MLSD
    UTF8
    CLNT
    MFMT
    211 End
    Клиент запрашивает текущий каталог сервера:
    PWD
    Сервер сообщает, что текущий каталог – корневой («/»):
    257 «/» is current directory.
    Клиент сообщает, что будет передавать двоичные данные:
    TYPE I
    Сервер подтверждает тип передаваемых данных:
    200 Type set to I
    Клиент сообщает, что будет использовать пассивный FTP-режим:
    PASV
    Сервер сообщает о переходе в пассивный режим и передает IP и порт для пассивного FTP-режима.
    227 Entering Passive Mode (212,248,22,114,195,97)
    Клиент запрашивает прием файла с именем cpu-v из текущего каталога сервера
    RETR cpu-v
    Сервер сообщает о начале передачи данных:
    150 Opening data channel for file download from server of «/cpu-v»
    По завершении, сервер сообщает об успешной передаче:
    226 Successfully transferred «/cpu-v»

    В заключение добавлю, что проект Filezilla включает в себя не только разработку и поддержку качественного бесплатного FTP-сервера, но и популярного бесплатного FTP-клиента

    Установка и настройка Filezilla FTP Client статья с кратким описанием бесплатного FTP клиента для Linux, Mac OS и Windows. Данный FTP клиент поддерживает множество прикладных протоколов передачи данных — FTP, FTP поверх SSL/TLS (FTPS), SSH File Transfer Protocol (SFTP), HTTP, SOCKS и FTP-Proxy. Другими словами, Filezilla FTP Client — это универсальное программное обеспечение для приема и передачи файлов по всем современным прикладным протоколам между узлами на различных платформах.

    Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

    В начало страницы &nbsp &nbsp | &nbsp &nbsp На главную страницу сайта

  • Детальная настройка FTP (ФТП) сервера на Windows Server 2016

    В инструкции описан процесс установки и настройки FTP сервера на виртуальных машинах под управлением операционной системы Windows Server 2016, настройки работы брандмауэра и разделением области доступа для разных пользователей.

    Что это такое?

    FTP (File Transfer Protocol) — это аббревиатура для протокола передачи файлов. Как следует из названия, FTP используется для передачи файлов между машинами в сети. Вы можете использовать FTP для обмена файлами между локальным ПК и удаленным сервером, доступа к онлайн-архивам программного обеспечения.

    В нашей инструкции будет рассмотрен вариант установки FTP сервера как роли web-сервера IIS, в качестве альтернативы можно использовать другое программное обеспечение, например — FileZilla Server, Titan FTP Server, Home Ftp Server, Ocean FTP Server.

    Установка FTP-сервера на сервер Windows

    Откройте панель управления сервером Windows и найдите Add roles and features (Добавить роли и компоненты).

     

     

    В качестве типа установки укажите Role-based or feature-based installation (Установка ролей и компонентов).

     

     

    Выберете ваш сервер из пула серверов.

     

     

    В следующем окне отметьте веб-сервер IIS.

     

     

    В открывшемся окне нажмите Add features (Добавить компоненты).

     

     

    В следующем окне Features (Компоненты) ничего не выбираем.

    Далее в окне Role services (Службы ролей) отметьте FTP сервер.

     

     

    Установите все выбранные компоненты на сервер с помощью кнопки Install (Установка).

     

     

    Создание FTP сайта на сервере Windows

    Откройте диспетчер служб IIS. Правой кнопкой мыши нажмите Sites и в меню выберите Add FTP Site (Добавить FTP сайт).

     

     

    Введите имя сайта и путь до директории.

     

     

    Далее выберите ваш IP-адрес в выпадающем списке. В качестве шифрования отметьте No SSL.

     

     

    В следующем окне в качестве аутентификации выберите Basic (Обычная). Авторизация — Specified roles or groups (Указанный роли или группы пользователей), введите имя группы FTP-пользователей (пример создания далее). Отметьте галочкой нужные разрешения чтения и записи и кликните кнопку Finish (Готово).

     

     

    Ваш сайт появится древовидной структуре веб-сервера Windows.

     

     

    Создание группы пользователей

    Создание группы Windows необходимо для определения пользователей, которые будут иметь доступ к ftp серверу. Откройте Computer Management (Управление компьютером). В меню слева выберите Groups (Группы). С помощью правой кнопки мыши создайте новую группу (New Group).

     

     

    В открывшемся окне введите имя группы, описание при необходимости. Чтобы добавить пользователя нажмите Add (Добавить).

     

     

    Введите имя в поле ввода, для проверки нажмите Check Names (Проверить имена). Если пользователи Windows существуют, нажмите Ok.

     

     

    После того, как все добавлены, создайте группу с помощью клавиши Create (Создать).

    Изоляция пользователей

    Для того чтобы после подключения к серверу каждый пользователь попадал в свою директорию и не имел доступ к чужим файлам, необходимо настроить изоляцию. Для этого откройте настройки вашего ftp сайта и выберите FTP User Isolation (Изоляция пользователей).

     

    Выберите User name directory (Каталог имени пользователя) и нажмите Apply (Применить).

     

     

    Далее с помощью правой кнопки мыши откройте меню вашего ftp-сайта и выберите Add Virtual Directory (Добавить виртуальный каталог).

     

     

    В поле Alias (Псевдоним) введите псевдоним или имя, в поле с путем введите путь до каталога пользователя, для этого создайте поддиректорию в каталоге ftp-сайта на вашем сервере Windows. Кликните Ok.

     

     

    Для настройки прав доступа в Диспетчере служб IIS разверните иерархическую структуру вашего ftp сервера. С помощью правой кнопки мыши откройте меню виртуального каталога Windows и выберите Edit Permission (Редактировать разрешения).

     

     

    Откройте вкладку Security (Безопасность) и нажмите кнопку Advanced (Дополнительно).

     

     

    В открывшемся окне нажмите кнопку Disable inheritance (Отключение наследования), в новом окне выберите первую опцию, затем кликните Apply (Применить)Ok.

     

     

     

    Вернитесь во вкладку Security (Безопасность) и нажмите кнопку Edit (Изменить).

     

     

    Выделите группу Users, в которой находятся все пользователи и нажмите кнопку Remove (Удалить). Это необходимо для того, чтобы только владелец директории имел к ней доступ.

     

     

    Теперь добавим пользователя Windows, который будет иметь полный доступ к каталогу. Кликните кнопку Add (Добавить).

     

     

    Введите имя пользователя виртуальной директории в поле ввода, для проверки нажмите Check Names (Проверить имена). Если пользователи существуют, нажмите Ok.

     

     

    Далее нужно добавить права на полный контроль каталога. Выберите созданного пользователя и отметьте галочкой все поля Allow (Разрешения).

     

     

    Далее нажмите Apply (Применить)Ok.

    Настройка Брандмауэра

    Для внешнего подключения к ftp-серверу необходимо настроить firewall. Для этого откройте Windows Firewall with Advanced Security (Брандмауэр Windows в режиме повышенной безопасности). В вертикальном меню слева выберите Inbound rules (Правила для входящих подключений), затем в вертикальном меню справа New Rule (Создать правило).

     

     

    В открывшемся окне отметьте тип Predefined (Предопределенные) и в выпадающем списке выберите FTP Server (FTP-сервер). Нажмите Next (Далее).

     

     

    Отметьте галочками все строки и нажмите Next (Далее).

     

     

    На следующем шаге выберите Allow the connection (Разрешить подключение) и нажмите Finish (Готово). Чтобы данные правила вступили в силу — перезагрузите сервер.

     

     

    Подключение к FTP-серверу

    Подключиться к FTP-серверу можно несколькими способами, например через стандартную утилиту Windows — Проводник, или через программу FileZilla.

    Рассмотрим подключение через Проводник. В адресной строке введите:
    ftp://ip-адрес

    Например,
    ftp://188.227.16.74

    Откроется окно ввода логина и пароля, укажите данные для подключения из панели управления сервером.

     

     

    Примечание: веб-сервер IIS позволяет гибко настраивать подключение к FTP-серверу, например разделять видимость пространства для разных пользователей, включать анонимный доступ и настраивать права.

    В итоге вы увидите содержимое папки FTP сервера:

     

     

    Примечание: встроенный ftp сервер web-сервера IIS обладает широкими возможностями, например, такими как: изоляция пользователей, поддержка SSL, ограничение попыток входа на сервер, ведения журнала с различными параметрами.

     

    P. S. Другие инструкции:

    Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

    Размещение FTP-сервера на динамическом IP

    Настройка FTP-сервера может быть одним из самых удобных способов передачи файлов с одного компьютера на другой. Вы можете настроить папку на своем сервере Windows или компьютере в качестве FTP-репозитория с помощью бесплатной программы под названием FileZilla и разместите сервер FileZilla на своем локальном компьютере. Другие люди могут подключиться к папке и получить доступ к файлам через FTP-клиент или браузер с ваше имя хоста Dynu DDNS.
    Шаг 1. Установите сервер FileZilla на локальный компьютер

    Вам нужно сначала скачать FileZilla Server и установите его со всеми настройками по умолчанию. Обратите внимание, что порт 14147 — это только порт, на котором работает интерфейс FTP-сервера, а не порт FTP, используемый FTP-клиентами. Вам будет предложено установить пароль администратора.Запишите пароль, так как он понадобится вам при добавлении новых пользователей, которые могут получить доступ к вашим файлам или добавлять / удалять файлы. из общей папки.
    Шаг 2. Настройте пользователей и общие папки

    Войдите в интерфейс сервера FileZilla и перейдите к редактировать тогда Пользователи тогда Общие папки .
    Оказавшись там, нажмите добавлять кнопка в Пользователи раздел. Введите имя пользователя для учетной записи, которую другой компьютер будет использовать для доступа к общей папке. После добавления пользователя нажмите на Общее вкладка в Страница раздел к также установите свой пароль.

    Затем вернитесь к Общие папки раздел и нажмите добавлять кнопка внизу. Как только вы это сделаете, Появится окно просмотра папки, в котором вы сможете выбрать каталог, который вы хотите использовать в качестве FTP-репозитория. Каталог может быть отдельной папкой или даже целым диском, в зависимости от того, чем вы делитесь.После выбора каталога вы можете назначить пользователю права доступа к этому репозиторию с помощью флажков.


    После настройки общей папки и пользователя мы закончили настройку сервера FileZilla. Возможно, вам придется вернуться к этому шагу позже, если вам нужно добавить других пользователей или изменить содержимое общей папки.
    Шаг 3. Откройте порт клиента FTP (порт 25) в брандмауэре Windows.

    Перейти к Панель управления вашего компьютера, а затем в Система и безопасность а потом Брандмауэр Windows .Нажмите Расширенные настройки с левой стороны. Затем нажмите Входящие правила слева, чтобы добавить а Новое правило чтобы разрешить подключение из всех публичных / частных / доменов к TCP-порту 21. Обратите внимание, что если вы используете на своем компьютере дополнительные брандмауэры, вы также должны открыть порт 21 в этом брандмауэре.

    Шаг 4. Настройте переадресацию портов (трансляцию портов) в маршрутизаторе

    Пожалуйста, войдите на сайт маршрутизатора (обычно http://192.168.1.1 или http://192.168.0.1) и перейдите в раздел «Переадресация портов». Добавьте новое правило «Переадресация портов» для TCP-порта 21, который будет перенаправлен на внутренний IP-адрес вашего компьютера. Чтобы получить внутренний IP-адрес устройства, вы можете ввести ipconfig в «cmd.exe ». Обычно он имеет вид« 192.168.1. ** ».
    Чтобы проверить, правильно ли настроена переадресация портов, вы можете использовать наш Проверка порта сетевой инструмент, чтобы узнать, открыт ли соответствующий порт. Введите свой публичный IP-адрес и порт 21 в инструменте. Если вы получили ответ «Успешно» при проверке порта, значит, переадресация портов настроена правильно.
    ШАГ 4. Сопоставьте динамический IP-адрес со статическим именем хоста

    Интернет-провайдеры регулярно меняют ваш IP-адрес, но с помощью динамического DNS вы можете сохранить в своем домене текущий IP-адрес вашего домашнего сервера или других устройств.

    Вы можете регистр собственное доменное имя (name.com) или используйте а бесплатное доменное имя Dynu (name.dynu.com). Вы можете сослаться на это Начиная учебник для получения дополнительной информации.

    Скачать и запустите клиент обновления IP-адреса на компьютере, на котором работает FTP-сервер, чтобы имя хоста было сопоставлено с вашим динамическим IP-адресом.

    ШАГ 5. Используйте имя хоста Dynu DDNS для удаленного доступа к файлам

    Попросите пользователей, которые хотят получить доступ к вашей общей папке, скачать соответствующий клиент FileZilla на свое устройство. Теперь они должны иметь доступ к файлам в общей папке, подключившись к name.dynu.com.
    Пользователи также смогут получить доступ к общей папке, набрав ftp: // имя.dynu.com в окне браузера.
    .

    Настройка FTP-сервера на домашнем компьютере

    FTP-серверы или серверы протокола передачи файлов позволяют совместно использовать или размещать на вашем компьютере данные, которые могут быть слишком большими для передачи по электронной почте.

    Вы можете создать и использовать имя хоста без IP для запуска FTP-сервера. Если у вас еще нет учетной записи, вам нужно будет создать учетную запись, выполнив действия, описанные в нашем руководстве по началу работы.

    После того, как вы создали имя хоста на No-IP, вам нужно будет загрузить и запустить FTP-сервер.Есть несколько различных вариантов, которые вы можете использовать для создания FTP-сервера, но в этом руководстве мы будем использовать FileZilla, который является бесплатным.

    Шаг 1
    Сначала вам нужно загрузить сервер FileZilla.

    Step 2
    Вам необходимо установить сервер FileZilla на свой компьютер. Процесс установки стандартный. Вы увидите возможность выбрать, какой порт должен отображать интерфейс администратора для сервера FileZilla. Я рекомендую оставить его на стандартном порту 14147.Если вы все же решили изменить порт, убедитесь, что это необычный порт, обычно 1024-65535.

    Шаг 3
    После установки сервер FileZilla должен открыться. Убедитесь, что порт правильный. Если вы хотите установить административный пароль, введите его сейчас и нажмите «ОК».

    Step 4
    После запуска вы можете теперь настроить FTP-сервер с различными группами для пользователей. Чтобы настроить группы на сервере FileZilla, выберите «Изменить», затем «Группы», затем нажмите «Добавить» под окном группы.Теперь вы можете создать имя группы и установить разрешения группы.

    Шаг 5
    После создания группы вам нужно будет создать пользователя, выбрав «Изменить», затем «Пользователи», затем «Добавить». Введите желаемое имя пользователя и выберите группу, которой должен быть назначен пользователь

    .Домен

    указывает на динамический IP для FTP-сервера

    Переполнение стека
    1. Около
    2. Продукты
    3. Для команд
    1. Переполнение стека Общественные вопросы и ответы
    2. Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
    3. Вакансии Программирование и связанные с ним технические возможности карьерного роста
    4. Талант Нанимайте технических специалистов и создавайте свой бренд работодателя
    5. Реклама Обратитесь к разработчикам и технологам со всего мира
    .

    Free Dynamic DNS: руководство по началу работы

    Вы пытаетесь создать веб-сайт, FTP-сервер, почтовый сервер или какой-либо другой онлайн-сервис? Вы хотите, чтобы люди могли получить к нему доступ через Интернет? Ваш интернет-провайдер предоставляет вам только динамический IP-адрес (который время от времени меняется и не является статическим)? Вот несколько простых шагов, которые нужно выполнить, чтобы настроить себя и выйти в Интернет с помощью бесплатной службы динамического DNS No-IP. Это позволит вам запускать свои серверы дома или в офисе без статического IP-адреса.

    Шаг 1 : Создание учетной записи

    Чтобы создать учетную запись без IP, просто нажмите ссылку «Зарегистрироваться» вверху страницы или нажмите здесь. Заполните обязательные поля в форме новой учетной записи. Обратите внимание, что наши Условия использования требуют наличия действительной контактной информации в файле, чтобы поддерживать вашу учетную запись у нас. Любые учетные записи, обнаруженные с неполной или мошеннической информацией, будут удалены.

    После того, как вы заполнили необходимую информацию и согласились с нашими Условиями обслуживания, нажмите кнопку «Бесплатная регистрация» внизу страницы.

    Шаг 2 : Подтвердите свой счет

    После того, как вы введете информацию о своей учетной записи в форму регистрации, мы отправим электронное письмо с подтверждением на указанный вами адрес. Вам нужно будет проверить эту учетную запись и найти письмо от No-IP. В электронном письме содержится ссылка, которую вы должны нажать, чтобы подтвердить свою учетную запись.

    (для клиентов Yahoo и Hotmail нажмите здесь)

    Шаг 3 : Войдите в свою учетную запись

    Теперь, когда вы подтвердили свою учетную запись, вы можете войти в систему.В верхней части домашней страницы без IP нажмите «Войти» в правом верхнем углу страницы. После этого вы увидите область для ввода вашего адреса электронной почты / имени пользователя и пароля.

    .
    Сертификатов сервер: Обзор развертывания сертификата сервера | Microsoft Docs

    Сертификатов сервер: Обзор развертывания сертификата сервера | Microsoft Docs

    Обзор развертывания сертификата сервера | Microsoft Docs

    • Чтение занимает 5 мин

    В этой статье

    Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

    В этом разделе содержатся следующие подразделы.This topic contains the following sections.

    Компоненты развертывания сертификата сервераServer certificate deployment components

    Это руководством можно использовать для установки служб сертификатов Active Directory (AD CS) в качестве корневого центра сертификации (ЦС) предприятия, а также для регистрации сертификатов серверов на серверах, на которых выполняется сервер политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS) или как NPS, так и RRAS.You can use this guide to install Active Directory Certificate Services (AD CS) as an Enterprise root certification authority (CA) and to enroll server certificates to servers that are running Network Policy Server (NPS), Routing and Remote Access service (RRAS), or both NPS and RRAS.

    При развертывании SDN с проверкой подлинности на основе сертификата серверы должны использовать сертификат сервера, чтобы доказать свои удостоверения другим серверам, чтобы обеспечить безопасную связь.If you deploy SDN with certificate-based authentication, servers are required to use a server certificate to prove their identities to other servers so that they achieve secure communications.

    На следующем рисунке показаны компоненты, необходимые для развертывания сертификатов сервера на серверах в инфраструктуре SDN.The following illustration shows the components that are required to deploy server certificates to servers in your SDN infrastructure.

    Примечание

    На рисунке выше показаны несколько серверов: DC1, CA1, WEB1 и многие серверы SDN.In the illustration above, multiple servers are depicted: DC1, CA1, WEB1, and many SDN servers. В этом учебнике содержатся инструкции по развертыванию и настройке CA1 и WEB1, а также для настройки DC1, в которой предполагается, что в вашей сети уже установлено приложение.This guide provides instructions for deploying and configuring CA1 and WEB1, and for configuring DC1, which this guide assumes you have already installed on your network. Если вы еще не установили домен Active Directory, это можно сделать с помощью основного сетевого каталога для Windows Server 2016.If you have not already installed your Active Directory domain, you can do so by using the Core Network Guide for Windows Server 2016.

    Дополнительные сведения о каждом элементе, показанном на рисунке выше, см. в следующих статьях:For more information on each item depicted in the illustration above, see the following:

    CA1, выполняющий роль сервера AD CSCA1 running the AD CS server role

    В этом сценарии корневой центр сертификации (ЦС) предприятия также выдает выдающий ЦС.In this scenario, the Enterprise Root certification authority (CA) is also an issuing CA. ЦС выдает сертификаты на серверные компьютеры, имеющие правильные разрешения безопасности для регистрации сертификата.The CA issues certificates to server computers that have the correct security permissions to enroll a certificate. Службы сертификатов Active Directory (AD CS) установлены в CA1.Active Directory Certificate Services (AD CS) is installed on CA1.

    Для более крупных сетей или в случаях, когда вопросы безопасности обеспечивают обоснование, можно разделить роли корневого центра сертификации и выдачу ЦС, а также развернуть подчиненные ЦС, выдающие ЦС.For larger networks or where security concerns provide justification, you can separate the roles of root CA and issuing CA, and deploy subordinate CAs that are issuing CAs.

    В наиболее безопасных развертываниях корневой ЦС предприятия переключается в автономный режим и физически защищаются.In the most secure deployments, the Enterprise Root CA is taken offline and physically secured.

    Файл CAPolicy. INFCAPolicy.inf

    Перед установкой служб AD CS необходимо настроить файл CAPolicy. INF с конкретными параметрами развертывания.Before you install AD CS, you configure the CAPolicy.inf file with specific settings for your deployment.

    Копия шаблона сертификата серверов RAS и IASCopy of the RAS and IAS servers certificate template

    При развертывании сертификатов сервера необходимо создать одну копию шаблона сертификата серверов RAS и IAS , а затем настроить шаблон в соответствии с вашими требованиями и инструкциями в этом разделе.When you deploy server certificates, you make one copy of the RAS and IAS servers certificate template and then configure the template according to your requirements and the instructions in this guide.

    Вы используете копию шаблона, а не исходный шаблон, чтобы конфигурация исходного шаблона сохранилась для использования в будущем.You utilize a copy of the template rather than the original template so that the configuration of the original template is preserved for possible future use. Вы настраиваете копию шаблона RAS-и IAS-серверов , чтобы центр сертификации мог создавать сертификаты серверов, которые он выдает группам, в Active Directory пользователи и компьютеры, которые вы указали.You configure the copy of the RAS and IAS servers template so that the CA can create server certificates that it issues to the groups in Active Directory Users and Computers that you specify.

    Дополнительная конфигурация CA1Additional CA1 configuration

    ЦС публикует список отзыва сертификатов (CRL), который должен проверить компьютеры, чтобы убедиться, что сертификаты, представленные им в качестве подтверждения личности, являются действительными сертификатами и не были отозваны.The CA publishes a certificate revocation list (CRL) that computers must check to ensure that certificates that are presented to them as proof of identity are valid certificates and have not been revoked. Необходимо настроить центр сертификации, указав правильное расположение списка отзыва сертификатов, чтобы компьютеры могли узнать, где искать список отзыва сертификатов в процессе проверки подлинности.You must configure your CA with the correct location of the CRL so that computers know where to look for the CRL during the authentication process.

    WEB1, выполняющий роль сервера веб-служб (IIS)WEB1 running the Web Services (IIS) server role

    На компьютере, на котором работает серверная роль веб-сервера (IIS), WEB1, необходимо создать папку в проводнике Windows для использования в качестве расположения для списка отзыва сертификатов и AIA.On the computer that is running the Web Server (IIS) server role, WEB1, you must create a folder in Windows Explorer for use as the location for the CRL and AIA.

    Виртуальный каталог для списков отзыва сертификатов и AIAVirtual directory for the CRL and AIA

    После создания папки в проводнике Windows необходимо настроить ее в качестве виртуального каталога в диспетчере службы IIS (IIS), а также для настройки списка управления доступом для виртуального каталога, чтобы разрешить компьютерам доступ к AIA и списку отзыва сертификатов после их публикации.After you create a folder in Windows Explorer, you must configure the folder as a virtual directory in Internet Information Services (IIS) Manager, as well as configuring the access control list for the virtual directory to allow computers to access the AIA and CRL after they are published there.

    DC1 с ролью AD DS и DNS-сервераDC1 running the AD DS and DNS server roles

    DC1 — это контроллер домена и DNS-сервер в сети.DC1 is the domain controller and DNS server on your network.

    групповая политика политики домена по умолчаниюGroup Policy default domain policy

    После настройки шаблона сертификата в центре сертификации можно настроить политику домена по умолчанию в групповая политика, чтобы сертификаты автоматически подписываются на серверы NPS и RAS.After you configure the certificate template on the CA, you can configure the default domain policy in Group Policy so that certificates are autoenrolled to NPS and RAS servers. Групповая политика настраивается в AD DS на сервере DC1.Group Policy is configured in AD DS on the server DC1.

    Запись ресурса псевдонима DNS (CNAME)DNS alias (CNAME) resource record

    Необходимо создать запись ресурса псевдонима (CNAME) для веб-сервера, чтобы убедиться, что другие компьютеры могут найти сервер, а также AIA и список отзыва сертификатов, которые хранятся на сервере.You must create an alias (CNAME) resource record for the Web server to ensure that other computers can find the server, as well as the AIA and the CRL that are stored on the server. Кроме того, использование записи ресурса псевдонима CNAME обеспечивает гибкость, чтобы можно было использовать веб-сервер для других целей, например для размещения веб-узлов и сайтов FTP.In addition, using an alias CNAME resource record provides flexibility so that you can use the Web server for other purposes, such as hosting Web and FTP sites.

    NPS1, выполняющий службу роли сервера политики сети для роли сервера «политика сети и службы доступа»NPS1 running the Network Policy Server role service of the Network Policy and Access Services server role

    Сервер политики сети устанавливается при выполнении задач в сетевом каталоге Windows Server 2016 Core, поэтому перед выполнением задач в этом разделе необходимо, чтобы в сети уже было установлено одно или несколько НПСС.The NPS is installed when you perform the tasks in the Windows Server 2016 Core Network Guide, so before you perform the tasks in this guide, you should already have one or more NPSs installed on your network.

    групповая политика применены и сертификат зарегистрирован на серверахGroup Policy applied and certificate enrolled to servers

    После настройки шаблона сертификата и автоматической регистрации можно обновить групповая политика на всех целевых серверах.After you have configured the certificate template and autoenrollment, you can refresh Group Policy on all target servers. В настоящее время серверы регистрируют сертификат сервера из CA1.At this time, the servers enroll the server certificate from CA1.

    Обзор процесса развертывания сертификата сервераServer certificate deployment process overview

    Процесс настройки регистрации сертификата сервера выполняется на следующих этапах:The process of configuring server certificate enrollment occurs in these stages:

    1. В WEB1 установите роль веб-сервера (IIS).On WEB1, install the Web Server (IIS) role.

    2. На компьютере DC1 создайте запись псевдонима (CNAME) для веб-сервера WEB1.On DC1, create an alias (CNAME) record for your Web server, WEB1.

    3. Настройте веб-сервер для размещения списка отзыва сертификатов из центра сертификации, затем опубликуйте список отзыва сертификатов и скопируйте сертификат корневого ЦС предприятия в новый виртуальный каталог.Configure your Web server to host the CRL from the CA, then publish the CRL and copy the Enterprise Root CA certificate into the new virtual directory.

    4. На компьютере, где планируется установить AD CS, назначьте компьютеру статический IP-адрес, переименуйте компьютер, Присоедините компьютер к домену, а затем войдите в систему, используя учетную запись пользователя, который является членом групп «Администраторы домена» и «Администраторы предприятия».On the computer where you are planning to install AD CS, assign the computer a static IP address, rename the computer, join the computer to the domain, and then log on to the computer with a user account that is a member of the Domain Admins and Enterprise Admins groups.

    5. На компьютере, где планируется установить AD CS, настройте в файле CAPolicy. INF параметры, характерные для вашего развертывания.On the computer where you are planning to install AD CS, configure the CAPolicy.inf file with settings that are specific to your deployment.

    6. Установите роль сервера AD CS и выполните дополнительную настройку ЦС.Install the AD CS server role and perform additional configuration of the CA.

    7. Скопируйте список CRL и сертификат ЦС из CA1 в общую папку на веб-сервере WEB1.Copy the CRL and CA certificate from CA1 to the share on the Web server WEB1.

    8. В центре сертификации Настройте копию шаблона сертификата Серверы RAS и IAS.On the CA, configure a copy of the RAS and IAS Servers certificate template. ЦС выдает сертификаты на основе шаблона сертификата, поэтому необходимо настроить шаблон для сертификата сервера, прежде чем ЦС сможет выдать сертификат.The CA issues certificates based on a certificate template, so you must configure the template for the server certificate before the CA can issue a certificate.

    9. Настройте автоматическую регистрацию сертификата сервера в групповая политика.Configure server certificate autoenrollment in Group Policy. При настройке автоматической регистрации все серверы, указанные в Active Directory членства в группах, автоматически получают сертификат сервера при обновлении групповая политика на каждом сервере.When you configure autoenrollment, all servers that you have specified with Active Directory group memberships automatically receive a server certificate when Group Policy on each server is refreshed. Если позднее добавить серверы, они также будут автоматически получить сертификат сервера.If you add more servers later, they will automatically receive a server certificate, too.

    10. Обновите групповая политика на серверах.Refresh Group Policy on servers. При обновлении групповая политика серверы получают сертификат сервера, основанный на шаблоне, настроенном на предыдущем шаге.When Group Policy is refreshed, the servers receive the server certificate, which is based on the template that you configured in the previous step. Этот сертификат используется сервером для подтверждения его подлинности клиентским компьютерам и другим серверам в процессе аутентификации.This certificate is used by the server to prove its identity to client computers and other servers during the authentication process.

      Примечание

      Все компьютеры, входящие в домен, автоматически получают сертификат корневого ЦС предприятия без настройки автоматической регистрации.All domain member computers automatically receive the Enterprise Root CA’s certificate without the configuration of autoenrollment. Этот сертификат отличается от сертификата сервера, настроенного и распространяемого с помощью автоматической регистрации.This certificate is different than the server certificate that you configure and distribute by using autoenrollment. Сертификат ЦС автоматически устанавливается в хранилище сертификатов доверенных корневых центров сертификации для всех компьютеров-членов домена, чтобы они доверяли сертификатам, выданным этим ЦС.The CA’s certificate is automatically installed in the Trusted Root Certification Authorities certificate store for all domain member computers so that they will trust certificates that are issued by this CA.

    11. Убедитесь, что все серверы зарегистрировали действительный сертификат сервера.Verify that all servers have enrolled a valid server certificate.

    Настройка автоматической регистрации сертификата сервера

    • Чтение занимает 2 мин

    В этой статье

    Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

    Примечание

    Перед выполнением этой процедуры необходимо настроить шаблон сертификата сервера с помощью оснастки «Шаблоны сертификатов» консоли управления (MMC) в центре сертификации, где выполняется AD CS.Before you perform this procedure, you must configure a server certificate template by using the Certificate Templates Microsoft Management Console snap-in on a CA that is running AD CS. Членство в группах «Администраторы предприятия » и «Администраторы домена корневого домена» является минимальным требованием для выполнения этой процедуры.Membership in both the Enterprise Admins and the root domain’s Domain Admins group is the minimum required to complete this procedure.

    Настройка автоматической регистрации сертификата сервераConfigure server certificate auto-enrollment

    1. На компьютере, где установлен AD DS, откройте Windows PowerShell ® , введите MMCи нажмите клавишу ВВОД.On the computer where AD DS is installed, open Windows PowerShell®, type mmc, and then press ENTER. Откроется консоль управления (MMC).The Microsoft Management Console opens.

    2. В меню Файл выберите Добавить или удалить оснастку.On the File menu, click Add/Remove Snap-in. Откроется диалоговое окно Добавление или удаление оснасток .The Add or Remove Snap-ins dialog box opens.

    3. В окне Доступные оснасткипрокрутите вниз до и дважды щелкните редактор «Управление групповыми политиками».In Available snap-ins, scroll down to and double-click Group Policy Management Editor. Откроется диалоговое окно Выбор объекта Групповая политика .The Select Group Policy Object dialog box opens.

      Важно!

      Убедитесь, что выбраны редактор «Управление групповыми политиками» и не Групповая политика управления.Ensure that you select Group Policy Management Editor and not Group Policy Management. Если выбрать Групповая политика управления, конфигурация с использованием этих инструкций завершится ошибкой, а сертификат сервера не будет автоматически зарегистрирован в НПСС.If you select Group Policy Management, your configuration using these instructions will fail and a server certificate will not be autoenrolled to your NPSs.

    4. В Групповая политика объектнажмите кнопку Обзор.In Group Policy Object, click Browse. Откроется диалоговое окно » Поиск объекта Групповая политика «.The Browse for a Group Policy Object dialog box opens.

    5. В области домены, подразделения и связанные групповая политика объекты выберите Политика домена по умолчанию, а затем нажмите кнопку ОК.In Domains, OUs, and linked Group Policy Objects, click Default Domain Policy, and then click OK.

    6. Нажмите кнопку Готово, а затем — кнопку ОК.Click Finish, and then click OK.

    7. Дважды щелкните Политика домена по умолчанию.Double-click Default Domain Policy. В консоли разверните следующий путь: Конфигурация компьютера, политики, Параметры Windows, Параметры безопасностии политики открытого ключа.In the console, expand the following path: Computer Configuration, Policies, Windows Settings, Security Settings, and then Public Key Policies.

    8. Щелкните политики открытого ключа.Click Public Key Policies. На панели подробностей дважды щелкните параметр Клиент службы сертификации: автоматическая регистрация.In the details pane, double-click Certificate Services Client — Auto-Enrollment. Откроется диалоговое окно Свойства .The Properties dialog box opens. Настройте следующие элементы и нажмите кнопку ОК.Configure the following items, and then click OK:

      1. В окне Модель конфигурации выберите параметр Включено.In Configuration Model, select Enabled.
      2. Установите флажок обновлять сертификаты с истекшим сроком действия, обновить отложенные сертификаты и удалить отозванные сертификаты .Select the Renew expired certificates, update pending certificates, and remove revoked certificates check box.
      3. Установите флажок Обновлять сертификаты, использующие шаблоны сертификатов.Select the Update certificates that use certificate templates check box.
    9. Нажмите кнопку ОК.Click OK.

    Настройка автоматической регистрации сертификата пользователяConfigure user certificate auto-enrollment

    1. На компьютере, где установлен AD DS, откройте Windows PowerShell ® , введите MMCи нажмите клавишу ВВОД.On the computer where AD DS is installed, open Windows PowerShell®, type mmc, and then press ENTER. Откроется консоль управления (MMC).The Microsoft Management Console opens.

    2. В меню Файл выберите Добавить или удалить оснастку.On the File menu, click Add/Remove Snap-in. Откроется диалоговое окно Добавление или удаление оснасток .The Add or Remove Snap-ins dialog box opens.

    3. В окне Доступные оснасткипрокрутите вниз до и дважды щелкните редактор «Управление групповыми политиками».In Available snap-ins, scroll down to and double-click Group Policy Management Editor. Откроется диалоговое окно Выбор объекта Групповая политика .The Select Group Policy Object dialog box opens.

      Важно!

      Убедитесь, что выбраны редактор «Управление групповыми политиками» и не Групповая политика управления.Ensure that you select Group Policy Management Editor and not Group Policy Management. Если выбрать Групповая политика управления, конфигурация с использованием этих инструкций завершится ошибкой, а сертификат сервера не будет автоматически зарегистрирован в НПСС.If you select Group Policy Management, your configuration using these instructions will fail and a server certificate will not be autoenrolled to your NPSs.

    4. В Групповая политика объектнажмите кнопку Обзор.In Group Policy Object, click Browse. Откроется диалоговое окно » Поиск объекта Групповая политика «.The Browse for a Group Policy Object dialog box opens.

    5. В области домены, подразделения и связанные групповая политика объекты выберите Политика домена по умолчанию, а затем нажмите кнопку ОК.In Domains, OUs, and linked Group Policy Objects, click Default Domain Policy, and then click OK.

    6. Нажмите кнопку Готово, а затем — кнопку ОК.Click Finish, and then click OK.

    7. Дважды щелкните Политика домена по умолчанию.Double-click Default Domain Policy. В консоли разверните следующий путь: Конфигурация пользователя, политики, Параметры Windows, Параметры безопасности.In the console, expand the following path: User Configuration, Policies, Windows Settings, Security Settings.

    8. Щелкните политики открытого ключа.Click Public Key Policies. На панели подробностей дважды щелкните параметр Клиент службы сертификации: автоматическая регистрация.In the details pane, double-click Certificate Services Client — Auto-Enrollment. Откроется диалоговое окно Свойства .The Properties dialog box opens. Настройте следующие элементы и нажмите кнопку ОК.Configure the following items, and then click OK:

      1. В окне Модель конфигурации выберите параметр Включено.In Configuration Model, select Enabled.
      2. Установите флажок обновлять сертификаты с истекшим сроком действия, обновить отложенные сертификаты и удалить отозванные сертификаты .Select the Renew expired certificates, update pending certificates, and remove revoked certificates check box.
      3. Установите флажок Обновлять сертификаты, использующие шаблоны сертификатов.Select the Update certificates that use certificate templates check box.
    9. Нажмите кнопку ОК.Click OK.

    Next StepsNext Steps

    Обновить групповая политикаRefresh Group Policy

    🗝️ Как создать CA и генерировать сертификаты и ключи SSL / TLS — Information Security Squad

    В этом руководстве объясняется процесс создания ключей и сертификатов CA и их использования для создания сертификатов и ключей SSL / TLS с использованием таких утилит SSL, как openssl и cfssl.

    Терминологии, используемые в этой статье:

    1. PKI – Public key infrastructure
    2. CA – Certificate Authority
    3. CSR – Certificate signing request
    4. SSL – Secure Socket Layer
    5. TLS – Transport Layer Security

    Рабочий процесс создания сертификата

    Ниже приведены шаги, необходимые для создания сертификатов CA, SSL / TLS.

    CA ключ и создание сертификата

    • Создайте файл закрытого ключа CA с помощью утилиты (OpenSSL, cfssl и т. д.)
    • Создайте корневой сертификат CA, используя закрытый ключ CA.

    Процесс создания сертификата сервера

    • Сгенерируйте закрытый ключ сервера с помощью утилиты (OpenSSL, cfssl и т. д.)
    • Создайте CSR, используя закрытый ключ сервера.
    • Создайте сертификат сервера, используя ключ CA, сертификат CA и CSR сервера.

    В этом руководстве мы объясним шаги, необходимые для создания сертификатов CA, SSL / TLS с использованием следующих утилит:

    1. openssl
    2. cfssl

    Данное руководство посвящено созданию собственных сертификатов CA, SSL / TLS.

    Он предназначен для разработки или использования во внутренней сети, где каждый может установить предоставленный вами сертификат корневого УЦ.

    Для использования в общедоступных (интернет) службах, вы должны рассмотреть возможность использования любых доступных сторонних служб CA, таких как Digicert и т. д.

    Генерация сертификатов с использованием CFSSL и CFSSLJSON

    CFSSL и CFSSLJSON являются инструментами PKI от Cloudflare. Это делает вашу жизнь проще для создания CSR и ключей сертификатов.

    Установите CFSSL и CFSSLJSON на Linux

    1. Загрузите исполняемые файлы и сохраните их в /usr/local/bin

    curl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 \
           -o /usr/local/bin/cfssl
    curl https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 \
           -o /usr/local/bin/cfssljson
    curl https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 \
           -o /usr/local/bin/cfssl-certinfo

    2. Добавьте права на выполнение для загруженных исполняемых файлов.

    chmod +x /usr/local/bin/cfssl \

             /usr/local/bin/cfssljson \

             /usr/local/bin/cfssl—certinfo

    3. Проверьте установку, выполнив команду cfssl:

    Создайте сертификат CA и его ключ

    Шаг 1: Создайте папку с именем cfssl для хранения всех сертификатов и перейдите в папку.

    mkdir cfssl
    cd cfssl

    Шаг 2: Создайте файл ca-csr.json с необходимой информацией.

    cat > ca-csr.json <<EOF
    {
    "CN": "Demo CA",
    "key": {
    "algo": "rsa",
    "size": 2048
    },
    "names": [
    {
    "C": "US",
    "L": "California",
    "ST": "Milpitas"
    }
    ]
    }
    EOF

    Вы можете проверить поддерживаемые значения для csr и config, используя следующие команды:

    cfssl print-defaults config
    cfssl print-defaults csr

    Шаг 2. Создайте ключ CA и файл сертификата (ca-key.pem и ca.pem) с помощью файла ca-csr.json.

    cfssl gencert -initca ca-csr.json | cfssljson -bare ca –

    Шаг 3: Создайте ca-config.json с подписью и данными профиля.

    Это будет использоваться для создания сертификатов сервера или клиента, которые можно использовать для настройки аутентификации на основе SSL / TSL.

    cat > ca-config.json <<EOF 
    {
    "signing": {
    "default": {
    "expiry": "8760h"
    },
    "profiles": {
    "web-servers": {
    "usages": [
    "signing",
    "key encipherment",
    "server auth",
    "client auth"
    ],
    "expiry": "8760h"
    }
    }
    }
    }
    EOF

    Генерация сертификатов SSL / TLS

    Шаг 1: Создайте server-csr.json с данными вашего сервера.

    2

    3

    4

    5

    6

    7

    8

    9

    10

    11

    12

    13

    14

    15

    16

    17

    18

    19

    20

    cat > server—csr.json <<EOF

    {

    «CN»: «scriptcrunch»,

    «hosts»: [

    «scriptcrunch.com»,

    «www.scriptcrunch.com»

    ],

    «key»: {

    «algo»: «rsa»,

    «size»: 2048

    },

    «names»: [

    {

    «C»: «US»,

    «L»: «CA»,

    «ST»: «San Francisco»

    }

    ]

    }

    EOF

    Примечание: запись hosts в json должна содержать DNS или публичный / частный IP-адрес сервера, имена хостов, локальный DNS и т. д. В зависимости от интерфейса, гп который вы хотите получать запросы на аутентификацию. Например, у вас может быть сервер с аутентификацией TLS через общедоступные сети и частная сеть внутри организации.

    Шаг 2: Теперь создайте SSL-сертификаты сервера, используя ключи CA, certs и csr сервера.

    Это создаст файлы server-key.pem (закрытый ключ) и server.pem (сертификаты).

     cfssl gencert \
    -ca=ca.pem \
    -ca-key=ca-key.pem \
    -config=ca-config.json \
    -profile=web-servers \
    server-csr.json | cfssljson -bare server
    
    

    Генерация сертификатов с использованием OpenSSL

    Утилита Openssl присутствует по умолчанию во всех системах на базе Linux и Unix.

    Создайте сертификат CA и его ключ

    Шаг 1: Создайте каталог openssl и CD к нему.

    mkdir openssl && cd openssl

    Шаг 2: Сгенерируйте файл секретного ключа CA.

    openssl genrsa -out ca.key 2048

    Шаг 3: Сгенерируйте файл сертификата CA x509, используя ключ CA.

    Вы можете определить срок действия сертификата в днях.

    Здесь мы указали 1825 дней.

    Следующая команда запросит детали сертификата, такие как имя команды, местоположение, страна и т. д.

    openssl req -x509 -new -nodes \
         -key ca.key -sha256 \
         -days 1825 -out ca.crt

    Или вы можете передать эту информацию в команду, как показано ниже.

    openssl req —x509 —new —nodes \

          —key ca.key —subj «/CN=scriptcrunch/C=US/L=CALIFORNIA» \

          —days 1825 —out ca.crt

    Генерация сертификатов SSL / TLS

    Шаг 1. Создайте закрытый ключ сервера

    openssl genrsa -out server.key 2048

    Шаг 2. Создайте файл конфигурации с именем csr.conf для генерации запроса на подпись сертификата (CSR), как показано ниже.

    Замените значения в соответствии с вашими потребностями.

    cat > csr.conf <<EOF
    
    [ req ]
    
    default_bits = 2048
    
    prompt = no
    
    default_md = sha256
    
    req_extensions = req_ext
    
    distinguished_name = dn
    
    [ dn ]
    
    C = US
    
    ST = California
    
    L = San Fransisco
    
    O = Scriptcrunch
    
    OU = Scriptcrunch Dev
    
    CN = scriptcrunch.com
    
    [ req_ext ]
    
    subjectAltName = @alt_names
    
    [ alt_names ]
    
    DNS.1 = scriptcrunch
    
    DNS.2 = scriptcrunch.com
    
    IP.1 = 10.34.12.5
    
    IP.2 = 10.34.12.5
    
    [ v3_ext ]
    
    authorityKeyIdentifier=keyid,issuer:always
    
    basicConstraints=CA:FALSE
    
    keyUsage=keyEncipherment,dataEncipherment
    
    extendedKeyUsage=serverAuth,clientAuth
    
    [email protected]_names
    
    EOF

    alt_names должен содержать DNS ваших серверов, где вы хотите использовать SSL.
    Также добавьте все IP-адреса, связанные с сервером, если клиенты используют этот IP-адрес для подключения к серверу по протоколу SSL.

    Шаг 3: Сгенерируйте CSR, используя закрытый ключ и файл конфигурации.

    openssl req -new -key server.key -out server.csr -config csr.conf

    Шаг 4. Создайте SSL-сертификат сервера, используя ca.key, ca.crt и server.csr

    openssl x509 —req —in server.csr —CA ca.crt —CAkey ca.key \

    —CAcreateserial —out server.crt —days 10000 \

    —extensions v3_ext —extfile csr.conf

     

    Настройка шаблона сертификата сервера | Microsoft Docs

    • Чтение занимает 2 мин

    В этой статье

    Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

    Эту процедуру можно использовать для настройки шаблона сертификата, который Active Directory ® служб сертификации (AD CS) используется в качестве основания для сертификатов сервера, зарегистрированных на серверах в сети.You can use this procedure to configure the certificate template that Active Directory® Certificate Services (AD CS) uses as the basis for server certificates that are enrolled to servers on your network.

    При настройке этого шаблона можно указать серверы по Active Directory группе, которые должны автоматически получить сертификат сервера из AD CS.While configuring this template, you can specify the servers by Active Directory group that should automatically receive a server certificate from AD CS.

    Приведенная ниже процедура содержит инструкции по настройке шаблона для выдаче сертификатов для всех следующих типов серверов:The procedure below includes instructions for configuring the template to issue certificates to all of the following server types:

    • Серверы, на которых выполняется служба удаленного доступа, включая серверы шлюзов RAS, входящие в группу Серверы RAS и IAS .Servers that are running the Remote Access service, including RAS Gateway servers, that are members of the RAS and IAS Servers group.
    • Серверы, на которых выполняется служба сервера политики сети (NPS), входящие в группу серверов RAS и IAS .Servers that are running the Network Policy Server (NPS) service that are members of the RAS and IAS Servers group.

    Членство в группах «Администраторы предприятия » и «Администраторы домена корневого домена» является минимальным требованием для выполнения этой процедуры.Membership in both the Enterprise Admins and the root domain’s Domain Admins group is the minimum required to complete this procedure.

    Настройка шаблона сертификатаTo configure the certificate template

    1. В CA1 в диспетчер сервера выберите Сервис, а затем щелкните центр сертификации.On CA1, in Server Manager, click Tools, and then click Certification Authority. Откроется консоль управления (MMC) центра сертификации.The Certification Authority Microsoft Management Console (MMC) opens.

    2. В консоли управления (MMC) дважды щелкните имя ЦС, щелкните правой кнопкой мыши шаблоны сертификатов, а затем выберите пункт Управление.In the MMC, double-click the CA name, right-click Certificate Templates, and then click Manage.

    3. Откроется консоль Шаблоны сертификатов.The Certificate Templates console opens. Все шаблоны сертификатов отображаются в области сведений.All of the certificate templates are displayed in the details pane.

    4. В области сведений выберите шаблон сервер RAS и IAS .In the details pane, click the RAS and IAS Server template.

    5. В меню действие выберите пункт дублировать шаблон.Click the Action menu, and then click Duplicate Template. Откроется диалоговое окно Свойства шаблона.The template Properties dialog box opens.

    6. Перейдите на вкладку Безопасность .Click the Security tab.

    7. На вкладке Безопасность в поле имена групп или пользователейщелкните Серверы RAS и IAS.On the Security tab, in Group or user names, click RAS and IAS servers.

    8. В области разрешения для серверов RAS и IASв разделе Разрешитьубедитесь, что выбран параметр Регистрация , а затем установите флажок Автоматическая регистрация .In Permissions for RAS and IAS servers, under Allow, ensure that Enroll is selected, and then select the Autoenroll check box. Нажмите кнопку ОКи закройте оснастку MMC «Шаблоны сертификатов».Click OK, and close the Certificate Templates MMC.

    9. В консоли MMC центр сертификации щелкните шаблоны сертификатов.In the Certification Authority MMC, click Certificate Templates. В меню действие наведите указатель на пункт создатьи выберите пункт Выдаваемый шаблон сертификата.On the Action menu, point to New, and then click Certificate Template to Issue. Откроется диалоговое окно Включение шаблонов сертификатов .The Enable Certificate Templates dialog box opens.

    10. В окне Включение шаблонов сертификатовщелкните имя только что настроенного шаблона сертификата и нажмите кнопку ОК.In Enable Certificate Templates, click the name of the certificate template that you just configured, and then click OK. Например, если вы не изменили имя шаблона сертификата по умолчанию, щелкните Копия RAS-сервера и IAS-сервер, а затем нажмите кнопку ОК.For example, if you did not change the default certificate template name, click Copy of RAS and IAS Server, and then click OK.

    Установка центра сертификации на предприятии. Часть 1 / Блог компании Microsoft / Хабр

    Привет, Хабр! Мы начинаем новую серию статей. Она будет посвящена развертыванию службы сертификатов на предприятии на базе Windows Server 2016 с практическими примерами. Сегодня обозначим вступительные моменты и поговорим о типовых схемах развёртывания иерархии PKI: двухуровневой и многоуровневой. Обо всем этом читайте под катом.

    Вторая часть серии

    Третья часть серии


    Введение


    Целевая аудитория

    ИТ-администраторы, ИТ-инженеры и специалисты по безопасности, имеющие основные понятия о цифровых сертификатах.
    Словарь терминов

    В этой части серии использованы следующие сокращения и аббревиатуры:
    • PKI (Public Key Infrastructure) — инфраструктура открытого ключа (ИОК), набор средств (технических, материальных, людских и т. д.), распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей. Поскольку аббревиатура ИОК не является распространённой, здесь и далее будет использоваться более знакомая англоязычная аббревиатура PKI.
    • X.509 — стандарт ITU-T для инфраструктуры открытого ключа и инфраструктуры управления привилегиями.
    • ЦС (Центр Сертификации) — служба, выпускающая цифровые сертификаты. Сертификат — это электронный документ, подтверждающий принадлежность открытого ключа владельцу.
    • CRL (Certificate Revocation List) — список отзыва сертификатов. Подписанный электронный документ, публикуемый ЦС и содержащий список отозванных сертификатов, действие которых прекращено по внешним причинам. Для каждого отозванного сертификата указывается его серийный номер, дата и время отзыва, а также причина отзыва (необязательно). Приложения могут использовать CRL для подтверждения того, что предъявленный сертификат является действительным и не отозван издателем.
    • SSL (Secure Sockets Layer) или TLS (Transport Layer Security) — технология, обеспечивающая безопасность передачи данных между клиентом и сервером поверх открытых сетей.
    • HTTPS (HTTP/Secure) — защищённый HTTP, являющийся частным случаем использования SSL.
    • Internet PKI — набор стандартов, соглашений, процедур и практик, которые обеспечивают единый (унифицированный) механизм защиты передачи данных на основе стандарта X.509 по открытым каналам передачи данных.

    Зачем нужен частный PKI?


    Шифрование, цифровые подписи и сертификаты всё плотнее входят в нашу повседневную интернет-жизнь. Если об этих терминах 10 лет назад говорили мало, и далеко не всем ИТ специалистам был известен смысл этих слов, то сейчас они у многих на слуху. И этот процесс длится не год и не два, а добрый десяток лет. Сейчас мы находимся в активной фазе развития клиент-серверных веб-сервисов (привет мейнфреймам!), и значительная доля коммуникации людей и устройств перекладывается на компьютерные сети и интернет. Как следствие, новые условия диктуют новые требования к защите данных. Крупные производители ПО активно продвигают идеологию «безопасного интернета», требуя поддержки цифровых сертификатов, начиная от серверов с конфиденциальными данными, облачных служб, вплоть до кухонного чайника или бельевого утюга (IoT).

    Некоторые компании делают это весьма настойчиво. Так, начиная с 2017 года, компания Google считает все сайты без поддержки HTTPS небезопасными: Moving towards a more secure web. И это весьма ощутимо влияет на интернет-индустрию. Во-первых, предупреждение в браузере (Google Chrome) явно не будет радовать ваших потенциальных клиентов и просто посетителей. Во-вторых, сайты без поддержки HTTPS опускаются в поисковой выдаче. Mozilla и другие крупные вендоры также не отстают от Google: Deprecating Non-Secure HTTP. С одной стороны, компании давят на интернет-индустрию, толкая организации на дополнительные расходы, связанные с цифровыми сертификатами. С другой стороны, это — вынужденный шаг, и всем нужно идти в ногу со временем.

    Однако текущее положение Internet PKI не позволяет решать эти вопросы достаточно гибко и удобно, требуя существенных затрат. Например, один сертификат SSL для публичного веб-сервера вам обойдётся в сумму порядка $100, а если хотите сертификат с зелёной полосой, это вам будет стоить ещё дороже. И это только за один сертификат! При этом автоматизация процессов находится в самом зачаточном состоянии.

    Для решения этих проблем крупнейшие вендоры ПО объединились и совместными усилиями наводят порядок с цифровыми сертификатами в Internet PKI. Во-первых, создан единый стандартизирующий орган — CAB Forum (CA/Browser Forum), который определяет стандартные практики для коммерческих CA, производителей веб-ПО и потребителей сертификатов. Во-вторых, активное продвижение некоммерческого CA (но глобально доверенного) Let’s Encrypt для обеспечения бесплатными сертификатами с возможностью автоматического продления.

    Казалось бы, это решает все проблемы безопасной коммуникации, и частные PKI (разворачиваемые в пределах организации) стали сразу ненужными. В какой-то, да, если частный PKI занимался обслуживанием внешних серверов (веб, VPN и т.д.). Но сервисы наподобие Let’s Encrypt в настоящее время покрывают лишь узкий спектр корпоративных потребностей в сертификатах. Например, не покрываются сертификаты для шифрования документов, почты, цифровых подписей. Часть задач, как аутентификация клиентов не покрывается совсем. Ещё одним ограничением является то, что для использования публичных сертификатов, выданных коммерческими CA вам необходимо иметь публичный домен. Получить сертификат для веб-сервера на имя domain.local от Let’s Encrypt технически невозможно. Именно поэтому актуальность частных PKI остаётся на очень высоком уровне. Пример использования частных PKI в корпоративной среде изображён на следующем рисунке:

    Если компания решает использовать частный PKI в пределах организации, встаёт другой насущный вопрос: как же правильно его организовать, чтобы он отвечал современным практикам и стандартам хотя бы в пределах организации. В интернете можно найти многочисленные статьи о том, как развернуть PKI в компании на основе Active Directory Certificate Services (ADCS). Но в большинстве своём они изобилуют ошибками, исходят из неверных предпосылок и нередко являются копированием какого-то исходного (не всегда удачного) материала, а к имеющимся фундаментальным ошибкам привносят ещё и свои. Как следствие, многочисленные провалы в развёртывании PKI. Об этом можно судить по количеству соответствующих тем на форумах (в частности, TechNet Server Security). Качественной документации на английском языке не хватает, а на русском… Этот цикл статей призван восполнить этот пробел и систематизировать современные наработки.

    Общие положения


    PKI является технологией безопасности, которая основывается на стандарте X.509 и использует цифровые сертификаты. Целью PKI является повышение безопасности ИТ инфраструктуры предприятия за счёт предоставления механизмов по защите данных от несанкционированного доступа и незаконного изменения данных (подделка данных). Это достигается двумя основными криптографическими механизмами:
    • Шифрование – защищает данные от несанкционированного доступа третьих лиц путём шифрования данных криптографическими ключами. Только пользователи, имеющие необходимые ключи, могут получить доступ к данным. Шифрование обеспечивает секретность данных, но не защищает от их подмены.
    • Цифровая подпись – защищает данные от несанкционированного изменения или подделки путём применения к данным специальных алгоритмов, которые образуют цифровую подпись. Любые манипуляции по изменению данных будут немедленно обнаружены при проверке цифровой подписи. Цифровая подпись обеспечивает не конфиденциальность данных, а их целостность. Путём комбинирования шифрования и цифровой подписи можно организовать обеспечение конфиденциальности и защиты данных от несанкционированных изменений.

    Типичная инфраструктура PKI состоит из следующих компонентов:
    • Центр Сертификации (ЦС) – служба, предоставляющая цифровые сертификаты потребителям и обеспечивающая функционирование PKI.
    • Сервер отзыва – служба, предоставляющая информацию о списках отозванных (скомпрометированных или недействительных) сертификатов, выпущенных конкретным ЦС.
    • Клиент – получатель заверенного цифрового сертификата от центра сертификации. Клиентами могут выступать люди, устройства, программное обеспечение, а также другие ЦС.

    Структура ЦС и сертификатов выстраиваются в древовидную иерархию. Каждый ЦС может выполнять одну или несколько (совмещать) ролей:
    • Корневой ЦС – специальный тип ЦС, который имеет самоподписанный сертификат и является корнем дерева (отсюда и название). Этот тип ЦС является стартовой точкой доверия ко всем сертификатам в данной иерархии (дерева). Иными словами, клиент должен явно доверять конкретному корневому сертификату (а именно, комбинации: издатель и открытый ключ), чтобы доверять сертификатам, находящимся в остальной части дерева. Важно отметить, что доверие транзитивно. Клиент при проверке конечного сертификата будет выстраивать цепочку (путь) от конечного сертификата до вершины иерархии (корневого сертификата). И если клиент доверяет вершине, то будут и основания доверять конечному сертификату на правах транзитивности.
    • ЦС политик – технически, это такой же ЦС, как и все остальные (в разрезе иерархии), с тем отличием, что дополняется внешними политиками и ограничениями по выдаче и использования цифровых сертификатов.
    • Издающий ЦС – это ЦС общего назначения, который выполняет подпись и выдачу цифровых сертификатов потребителям.

    Для понимания процесса построения цепочек сертификатов рекомендую прочитать следующую статью: Certificate Chaining Engine — how it works. Данная статья ориентирована на платформу Microsoft CryptoAPI, она также справедлива (за некоторыми исключениями) и для других реализаций криптографических платформ.

    Поскольку ЦС выстраиваются в древовидную иерархию, возможно организовать многоуровневую иерархию, где на каждом уровне ЦС будет выполнять как роль издающего ЦС, так и дополнительные функции. В самом простом случае один ЦС может совмещать все роли, т.е. быть корневым, обеспечивать какие-то политики выдачи и выдавать сертификаты конечным потребителям. Более крупные компании и/или с более зрелой организацией ИТ-процессов уже используют разделение ЦС по ролям. Например, в головном офисе держат корневой ЦС, выдающий сертификаты только другим ЦС, которые уже на себе накладывают политики выдачи. Они могут не обслуживать напрямую конечных потребителей, а выдавать сертификаты другим подчинённым ЦС, которые, в свою очередь, и будут обслуживать конечных потребителей. В каждом подходе есть свои плюсы и минусы, которые будут рассмотрены ниже.

    Отзыв сертификатов

    Помимо задач по выпуску сертификатов, каждый ЦС периодически выпускает списки отзыва (Certificate Revocation List, CRL). Как и сертификаты, целостность списков отзыва обеспечивается цифровой подписью. CRL содержит серийные номера сертификатов, действие которых прекращено по какой-либо причине до официального истечения срока действия сертификата. Таким образом ЦС обеспечивает своевременное изъятие недействительного сертификата из оборота.

    Каждый клиент после установки доверия сертификата через цепочку должен убедиться, что ни один сертификат в цепочке не был отозван своим издателем. Для этого клиент перебирает каждый сертификат в цепочке, выбирает CRL предоставленный издателем и проверяет наличие/отсутствие текущего сертификата в списке CRL. Если текущий сертификат находится в CRL, то доверие к сертификату (и всем ветвям дерева под ним) автоматически обрывается.

    Фактически, если корневой ЦС отозвал все свои непосредственно изданные сертификаты, то ни один сертификат под этим корнем не будет доверенным вне зависимости от высоты иерархии. Здесь следует отметить один крайне важный и принципиальный момент: невозможно отозвать корневой (самоподписанный) сертификат. Т.е. если по какой-то причине он был скомпрометирован, его можно отозвать только принудительным удалением сертификата из хранилища сертификатов каждого клиента. Дело в том, что ЦС не определяет списки отзывов для самого себя, это делает издатель. В случае самоподписанного сертификата, ЦС является издателем самого себя. И при попытке включить себя в свой же список отзыва получается неопределённость: сертификат ЦС включен в CRL, который подписан ключом этого же ЦС. Если предположить, что сертификат ЦС недействителен, то и цифровая подпись на CRL является недействительной. Как следствие, невозможно достоверно утверждать, что сертификат корневого ЦС отозван. Причём, отзыв корневых сертификатов не предусмотрен и основным регламентирующим стандартом, RFC 5280, параграф §6.1 которого гласит:

    When the trust anchor is provided in the form of a self-signed certificate, this self-signed certificate is not included as part of the prospective certification path.

    А на отзыв проверяется только проспективная цепочка. Если говорить в контексте Microsoft ADCS, то тут ситуация усугубляется ещё больше. В частности, вы технически можете отозвать корневой сертификат при помощи certutil.exe или CryptoAPI. Но как только вы это сделаете, ЦС не сможет подписать ни один CRL, как следствие, сертификат ЦС никогда не попадёт в CRL. Более того, даже если использовать различные утилиты (тот же certutil.exe), можно насильно включить сертификат ЦС в CRL, но это мало чем поможет. Дело в том, что конфигурация по умолчанию CryptoAPI даже не пытается проверить корневой сертификат на отзыв.

    Проблема отзыва корневых сертификатов во многих случаях будет одним из решающих факторов в выборе подходящей для компании иерархии ЦС. А также будет диктовать дополнительные меры безопасности для корневых ЦС, чтобы предельно снизить риск компрометации корневого ЦС.

    Типовые схемы развёртывания иерархии PKI


    В этом разделе мы рассмотрим типовые (или классические) схемы развёртывания иерархии PKI в условиях предприятия и проводятся оценки каждой схемы и рекомендации. Следует отметить, что ни одна из них не является универсальной, и каждая может иметь смысл в своих пределах.
    Одноуровневая иерархия

    Одноуровневая иерархия является самой простой в реализации и имеет следующий вид:

    Такая иерархия является самой простой и экономичной как по ресурсам (лицензиям), так и по расходам на обслуживание и управление. Достаточно развернуть один такой ЦС в лесу Active Directory, и он будет обеспечивать сертификатами всех потребителей. Из неочевидных, но немаловажных достоинств можно отметить очень короткую цепочку сертификатов. Т.е. время на проверку доверенности и отзыва сертификата будет тратиться гораздо меньше, чем в любых других иерархиях.

    Однако одноуровневая иерархия обладает рядом достаточно существенных недостатков. Самый крупный из них – низкий уровень безопасности. Поскольку ЦС в такой схеме должен быть постоянно включенным в сеть, чтобы клиенты могли запрашивать сертификаты, значительно увеличивается риск его компрометации. Последствия компрометации могут быть чудовищными, вплоть до полной потери контроля над Active Directory и краху ИТ систем. Это может быть вызвано как недостаточными мерами безопасности, наличием не закрытых уязвимостей ОС или компонентах системы, которые позволяют удалённое исполнение кода и т.д. Как отмечалось выше, отозвать нормальным способом такой сертификат уже нельзя, и последствия будут действительно тяжёлыми.

    Другой момент связан с гибкостью разделения ЦС на функциональные уровни (делегирование). Например, невозможно организовать несколько различных политик выдачи, разделить на классы (например, один ЦС издаёт сертификаты только машинам и устройствам, другой только для пользователей) и т.д., потому что он всего один.

    Недостатки одноуровневой иерархии заметно перевешивают её преимущества в лёгкости и компактности. Именно поэтому такая конфигурация имеет смысл лишь в каких-то небольших и изолированных сетях с низкими требованиями по безопасности. Например, это может быть какая-то тестовая среда. В бизнес-среде такое решение использовать не рекомендуется.

    Двухуровневая иерархия

    Двухуровневая иерархия уже подразумевает как минимум два ЦС в дереве, в котором один строго корневой, а остальные — подчинённые. Схема такой иерархии представлена ниже:

    Примечание: здесь пунктирными линиями отмечен ручной (неавтоматизированный) процесс получения сертификата. Сплошными линиями отмечен автоматизированный процесс получения сертификатов.

    В двухуровневой иерархии уже возможно решить недостатки одноуровневой иерархии. Здесь корневой ЦС выпускает сертификаты только для подчинённых ЦС, а уже подчинённый ЦС выдаёт сертификаты конечным потребителям. Поскольку издающие ЦС развёртываются не так часто, и срок их действия достаточного велик, это позволяет изолировать корневой ЦС от сети. Это автоматически сводит к нулю шанс компрометации такого ЦС, поскольку без сети к нему не добраться. Более того, основное время жизни он может (и должен) проводить в выключенном состоянии. Включать его нужно только для обновления собственного сертификата, подчинённого ЦС или для публикации нового CRL. В остальное время он никому не нужен.

    Другим достоинством двухуровневой иерархии является улучшенная гибкость в разбиении подчинённых ЦС на какие-то классы. Тот же типичный сценарий, когда два ЦС управляются разными подразделениями ИТ, и каждый ЦС выпускает сертификаты для своих групп потребителей. Например, для машин отдельно, для пользователей отдельно. Можно для корпоративных разработчиков (которые обычно живут в своих средах) выделить свой подчинённый ЦС.

    Именно здесь уже можно начинать задумываться о разделении ЦС по политикам выдачи (или классам). Например, можно выделить один ЦС для выдачи сертификатов с повышенными требованиями к сертификатам (например, сертификаты для аутентификации и цифровой подписи) и ЦС общего назначения. Управлять ими могут различные команды ИТ-администраторов. При этом каждый подчинённый ЦС будет совмещать задачи ЦС политики и издающего ЦС. Это вполне допустимо, если предположить, что количество ЦС на каждый класс не более одного.

    Из недостатков можно выделить лишь некоторое увеличение как административных, так и финансовых издержек (требуется дополнительная лицензия). К административным издержкам добавятся контроль за сроком действия каждого ЦС и списка отзыва корневого ЦС, а также их своевременное обновление. Кроме того, несколько увеличится время построения и проверки цепочек сертификатов, поскольку добавляется ещё один уровень. На практике это время практически не ощутимо.

    Для небольших и средних предприятий такая схема является наиболее оптимальной, поскольку она позволяет обеспечить должный уровень безопасности и приемлемый уровень гибкости разделения ЦС на определённые функции.

    Трёх- и более уровневые иерархии

    В более крупных компаниях со сложной организацией сетей может случиться, что двухуровневая иерархия не может обеспечить необходимый уровень гибкости управления ЦС. Например, когда компания использует географический принцип разделения с относительной автономией ИТ отделов в каждом регионе. Представьте международную компанию с региональными офисами в разных странах. В них может действовать своё законодательство в вопросах безопасности, например, при обработке персональных данных. Для соблюдения подобных юридических формальностей на каждый такой регион выделяется свой собственный ЦС политик (при этом, размещается он, как правило, в головном офисе компании). В в своём сертификате он указывает поддержку (и ссылку на соответствующий документ) тех или иных нормативных документов и выпускает сертификаты для издающих ЦС, действующих в рамках тех политик, которые обозначены в сертификате (грубо говоря, в данном регионе).

    В таких иерархиях корневой ЦС и ЦС политик изолируют от сети, а к сети уже подключаются только издающие ЦС:

    Здесь также пунктиром отмечен ручной процесс получения сертификата для ЦС и сплошными линиями автоматизированный процесс получения сертификата для клиентов.

    К плюсам такой схемы можно отнести гибкость полученной PKI с возможностью адаптации под практически любые условия. Правда, за это придётся платить. Во-первых, многоуровневые иерархии удорожают стоимость развёртывания и сопровождения PKI. Во-вторых, клиентам требуется больше времени на построение и проверки на отзыв полных цепочек сертификатов, что может вызывать отказы из-за превышения таймаутов верхних протоколов передачи данных. И на практике такие схемы зачастую являются избыточными. Поэтому при выборе подходящей иерархии ЦС следует искать баланс между гибкостью и практической целесообразностью с учётом капитальных и операционных затрат на содержание PKI.

    В рамках этой серии статей рассматривается наиболее популярная (в большинстве случаев) двухуровневая иерархия.

    Об авторе


    Вадим Поданс — специалист в области автоматизации PowerShell и Public Key Infrastructure, Microsoft MVP: Cloud and Datacenter Management с 2009 года и автор модуля PowerShell PKI. На протяжении 9 лет в своём блоге освещает различные вопросы эксплуатации и автоматизации PKI на предприятии. Статьи Вадима о PKI и PowerShell можно найти на его сайте.

    Требования к сертификатам для серверов федерации

    • Чтение занимает 4 мин

    В этой статье

    В любой службы федерации Active Directory (AD FS) ( AD FS ) необходимо использовать различные сертификаты для защиты обмена данными и упрощения проверки подлинности пользователей между Интернетом и серверами федерации.In any Active Directory Federation Services (AD FS) design, various certificates must be used to secure communication and facilitate user authentications between Internet clients and federation servers. Каждый сервер федерации должен иметь сертификат связи службы и сертификат подписи маркера, — прежде чем он сможет участвовать в AD FS связи.Each federation server must have a service communication certificate and a token-signing certificate before it can participate in AD FS communications. В следующей таблице описаны типы сертификатов, связанные с сервером федерации.The following table describes the certificate types that are associated with federation server.

    Тип сертификатаCertificate type ОписаниеDescription
    Сертификат для подписи токена -Token-signing certificate Сертификат для — подписи маркера — это сертификат X509.A token-signing certificate is an X509 certificate. Серверы федерации используют связанные / пары открытого закрытого ключа для цифровой подписи всех выдающихся маркеров безопасности.Federation servers use associated public/private key pairs to digitally sign all security tokens that they produce. Сюда относится подписывание опубликованных метаданных федерации и запросов на разрешение артефактов.This includes the signing of published federation metadata and artifact resolution requests.

    Можно — настроить несколько сертификатов подписи маркера в оснастке управления AD FS — в, чтобы разрешить смену сертификатов, когда срок действия одного из сертификатов близок к истечению.You can have multiple token-signing certificates configured in the AD FS Management snap-in to allow for certificate rollover when one certificate is close to expiring. По умолчанию все сертификаты в списке публикуются, но только основной — сертификат для подписи маркера используется AD FS для фактического подписания маркеров.By default, all the certificates in the list are published, but only the primary token-signing certificate is used by AD FS to actually sign tokens. Все выбранные сертификаты должны иметь соответствующий закрытый ключ.All certificates that you select must have a corresponding private key.

    Дополнительные сведения см. в статьях Сертификаты подписи токенов и Добавление сертификата подписи токенов.For more information, see Token-Signing Certificates and Add a Token-Signing Certificate.

    Сертификат взаимодействия службService communication certificate Серверы федерации используют сертификат проверки подлинности сервера, который также называется связью службы для ( Windows Communication Foundation ) безопасности сообщений WCF.Federation servers use a server authentication certificate, also known as a service communication for Windows Communication Foundation (WCF) Message Security. По умолчанию это тот же сертификат, который используется сервером федерации в качестве SSL ( SSL- ) сертификата в службы IIS ( IIS ) .By default, this is the same certificate that a federation server uses as the Secure Sockets Layer (SSL) certificate in Internet Information Services (IIS). Примечание. Оснастка управления AD FS — в относится к сертификатам проверки подлинности сервера для серверов федерации в качестве сертификатов связи служб.Note: The AD FS Management snap-in refers to server authentication certificates for federation servers as service communication certificates.

    Дополнительные сведения см. в разделе сертификаты связи служб и Настройка сертификата связи службы.For more information, see Service Communications Certificates and Set a Service Communications Certificate.

    Так как сертификат связи служб должен быть доверенным для клиентских компьютеров, рекомендуется использовать сертификат, подписанный ЦС доверенного центра сертификации ( ) .Because the service communication certificate must be trusted by client computers, we recommend that you use a certificate that is signed by a trusted certification authority (CA). Все выбранные сертификаты должны иметь соответствующий закрытый ключ.All certificates that you select must have a corresponding private key.

    SSL ( SSL- ) сертификатSecure Sockets Layer (SSL) certificate Серверы федерации используют сертификат SSL для обеспечения безопасности трафика веб-служб при обмене данными SSL с веб-клиентами и прокси-серверами федерации.Federation servers use an SSL certificate to secure Web services traffic for SSL communication with Web clients and with federation server proxies.

    Поскольку сертификату SSL должны доверять клиентские компьютеры, рекомендуется использовать сертификат, подписанный доверенным центром сертификации.Because the SSL certificate must be trusted by client computers, we recommend that you use a certificate that is signed by a trusted CA. Все выбранные сертификаты должны иметь соответствующий закрытый ключ.All certificates that you select must have a corresponding private key.

    -Сертификат расшифровки маркераToken-decryption certificate Этот сертификат используется для расшифровки токенов, полученных этим сервером федерации.This certificate is used to decrypt tokens that are received by this federation server.

    Можно использовать несколько сертификатов расшифровки.You can have multiple decryption certificates. Это позволяет серверу федерации ресурсов расшифровывать маркеры, выпущенные с помощью старого сертификата, после того как новый сертификат будет установлен в качестве основного сертификата расшифровки.This makes it possible for a resource federation server to be able to decrypt tokens that are issued with an older certificate after a new certificate is set as the primary decryption certificate. Для расшифровки можно использовать все сертификаты, но — в метаданных федерации фактически публикуется только сертификат расшифровки основного маркера.All certificates can be used for decryption, but only the primary token-decrypting certificate is actually published in federation metadata. Все выбранные сертификаты должны иметь соответствующий закрытый ключ.All certificates that you select must have a corresponding private key.

    Дополнительные сведения см. в разделе Добавление сертификата для расшифровки маркера.For more information, see Add a Token-Decrypting Certificate.

    Вы можете запросить и установить сертификат SSL или сертификат связи службы, запросив сертификат связи службы с помощью ( оснастки MMC консоли управления ) — для IIS.You can request and install an SSL certificate or service communication certificate by requesting a service communication certificate through the Microsoft Management Console (MMC) snap-in for IIS. Дополнительные общие сведения об использовании SSL-сертификатов см. в разделе iis 7,0: настройка SSL в iis 7,0 и IIS 7,0: Настройка сертификатов сервера в IIS 7,0 .For more general information about using SSL certificates, see IIS 7.0: Configuring Secure Sockets Layer in IIS 7.0 and IIS 7.0: Configuring Server Certificates in IIS 7.0 .

    Примечание

    В AD FS можно изменить уровень SHA для алгоритма безопасного хэширования ( ) , который используется для цифровых подписей: SHA — 1 или SHA — 256 ( ) .In AD FS you can change the Secure Hash Algorithm (SHA) level that is used for digital signatures to either SHA-1 or SHA-256 (more secure). AD Фсдоес не поддерживает использование сертификатов с другими методами хэширования, например MD5 — ( алгоритм хэширования по умолчанию, используемый в — средстве командной строки Makecert.exe ) .AD FSdoes not support the use of certificates with other hash methods, such as MD5 (the default hash algorithm that is used with the Makecert.exe command-line tool). По соображениям безопасности рекомендуется использовать SHA — 256, ( который по умолчанию задан ) для всех подписей.As a security best practice, we recommend that you use SHA-256 (which is set by default) for all signatures. SHA — 1 рекомендуется использовать только в сценариях, в которых необходимо взаимодействовать с продуктом, который не поддерживает обмен данными с помощью SHA — 256, например, не от — продукта Майкрософт или AD FS 1.SHA-1 is recommended for use only in scenarios in which you must interoperate with a product that does not support communications using SHA-256, such as a non-Microsoft product or AD FS 1. x.x.

    Определение стратегии центра сертификацииDetermining your CA strategy

    AD FS не требует, чтобы сертификаты выдавались центром сертификации.AD FS does not require that certificates be issued by a CA. Однако сертификат SSL, ( который также используется по умолчанию как сертификат связи служб, ) должен быть доверенным для клиентов AD FS.However, the SSL certificate (the certificate that is also used by default as the service communications certificate) must be trusted by the AD FS clients. -Для этих типов сертификатов не рекомендуется использовать самозаверяющие сертификаты.We recommend that you not use self-signed certificates for these certificate types.

    Важно!

    Использование самозаверяющих — сертификатов SSL в рабочей среде может позволить злонамеренному пользователю в организации партнера по учетным записям получить контроль над серверами федерации в организации партнера по ресурсам.Use of self-signed, SSL certificates in a production environment can allow a malicious user in an account partner organization to take control of federation servers in a resource partner organization. Такая угроза безопасности существует, поскольку самозаверяющие — сертификаты являются корневыми.This security risk exists because self-signed certificates are root certificates. Они должны быть добавлены в доверенное корневое хранилище другого сервера федерации, ( например, на сервере федерации ресурсов ) , который может оставить этот сервер уязвимым для атак.They must be added to the trusted root store of another federation server (for example, the resource federation server), which can leave that server vulnerable to attack.

    После получения сертификата из центра сертификации необходимо убедиться, что все сертификаты импортированы в хранилище личных сертификатов на локальном компьютере.After you receive a certificate from a CA, make sure that all certificates are imported into the personal certificate store of the local computer. Сертификаты можно импортировать в личное хранилище с помощью оснастки MMC «сертификаты» — в.You can import certificates to the personal store with the Certificates MMC snap-in.

    В качестве альтернативы использованию оснастки «сертификаты» — в можно также ИМПОРТИРОВАТЬ SSL-сертификат с помощью оснастки «Диспетчер IIS» — в момент назначения сертификата SSL веб сайту по умолчанию.As an alternative to using the Certificates snap-in, you can also import the SSL certificate with the IIS Manager snap-in at the time that you assign the SSL certificate to the default Web site. Дополнительные сведения см. в разделе Импорт сертификата проверки подлинности сервера на веб-сайт по умолчанию.For more information, see Import a Server Authentication Certificate to the Default Web Site.

    Примечание

    Перед установкой AD FS программного обеспечения на компьютер, который станет сервером федерации, убедитесь, что оба сертификата находятся в хранилище личных сертификатов локального компьютера и что сертификат SSL назначен веб-сайту по умолчанию.Before you install the AD FS software on the computer that will become the federation server, make sure that both certificates are in the Local Computer personal certificate store and that the SSL certificate is assigned to the Default Web Site. Дополнительные сведения о порядке задач, необходимых для настройки сервера федерации, см. в разделе Контрольный список: Настройка сервера федерации.For more information about the order of the tasks that are required to set up a federation server, see Checklist: Setting Up a Federation Server.

    В зависимости от требований безопасности и бюджетных ограничений необходимо тщательно продумать, какие из сертификатов будут присваиваться публичным или корпоративным центром сертификации.Depending on your security and budget requirements, carefully consider which of your certificates will be obtained by a public CA or a corporate CA. На рисунке ниже показаны рекомендованные издатели (центры сертификации) определенных типов сертификатов.The following figure shows the recommended CA issuers for a given certificate type. Эта рекомендация отражает оптимальный — подход к безопасности и затратам.This recommendation reflects a best-practice approach regarding security and cost.

    Списки отзыва сертификатовCertificate revocation lists

    Если у какого-либо используемого сертификата есть списки отзыва сертификатов (CRL), сервер с настроенным сертификатом должен иметь возможность связаться с сервером, распространяющим CRL.If any certificate that you use has CRLs, the server with the configured certificate must be able to contact the server that distributes the CRLs.

    См. также:See Also

    Руководство по разработке служб федерации Active Directory в Windows Server 2012AD FS Design Guide in Windows Server 2012

    Авторизация клиентов в nginx посредством SSL сертификатов / Хабр

    Введение:

    Потребовалось мне тут как-то написать небольшой API, в котором необходимо было помимо обычных запросов принимать запросы с «высокой степенью секретности».
    Не я первый с этим столкнулся и мир давно уже использует для таких вещей SSL.

    Поскольку на моём сервере используется nginx, то был установлен модуль SSL
    Гугл не выдал ни одного работоспособного howto, но информация в сети есть по частям.

    Итак, пошаговое руководство по настройке nginx на авторизацию клиентов через SSL-сертификаты.

    Внимание! В статье для примера используются самоподписанные сертификаты!

    Перед стартом создадим папку в конфиге nginx, где будут плоды наших трудов:

    cd /path/to/nginx/config/
    mkdir ssl && cd ssl
    Шаг 1. Создание собственного самоподписанного доверенного сертификата.

    Собственный доверенный сертификат (Certificate Authority или CA) необходим для подписи клиентских сертификатов и для их проверки при авторизации клиента веб-сервером.
    С помощью приведенной ниже команды создается закрытый ключ и самоподписанный сертификат.

    openssl req -new -newkey rsa:1024 -nodes -keyout ca.key -x509 -days 500 -subj /C=RU/ST=Moscow/L=Moscow/O=Companyname/OU=User/CN=etc/[email protected] -out ca.crt

    Описание аргументов:

    req Запрос на создание нового сертификата.
    -new Создание запроса на сертификат (Certificate Signing Request – далее CSR).
    -newkey rsa:1023 Автоматически будет создан новый закрытый RSA ключ длиной 1024 бита. Длину ключа можете настроить по своему усмотрению.
    -nodes Не шифровать закрытый ключ.
    -keyout ca.key Закрытый ключ сохранить в файл ca.key.
    -x509 Вместо создания CSR (см. опцию -new) создать самоподписанный сертификат.
    -days 500 Срок действия сертификата 500 дней. Размер периода действия можете настроить по своему усмотрению. Не рекомендуется вводить маленькие значения, так как этим сертификатом вы будете подписывать клиентские сертификаты.
    -subj /C=RU/ST=Moscow/L=Moscow/O=Companyname/OU=User/CN=etc/[email protected]
    Данные сертификата, пары параметр=значение, перечисляются через ‘/’. Символы в значении параметра могут быть «подсечены» с помощью обратного слэша «\», например «O=My\ Inc». Также можно взять значение аргумента в кавычки, например, -subj «/xx/xx/xx».

    Шаг 2. Сертификат сервера

    Создадим сертификат для nginx и запрос для него
    openssl genrsa -des3 -out server.key 1024
    openssl req -new -key server.key -out server.csr

    Подпишем сертификат нашей же собственной подписью

    openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

    Чтобы nginx при перезагрузке не спрашивал пароль, сделаем для него беспарольную копию сертификата

    openssl rsa -in server.key -out server.nopass.key
    Конфиг nginx
    listen *:443;
    ssl on;
    ssl_certificate /path/to/nginx/ssl/server.crt;
    ssl_certificate_key /path/to/nginx/ssl/server.nopass.key;
    ssl_client_certificate /path/to/nginx/ssl/ca.crt;
    ssl_verify_client on;
    
    keepalive_timeout 70;
    fastcgi_param SSL_VERIFIED $ssl_client_verify;
    fastcgi_param SSL_CLIENT_SERIAL $ssl_client_serial;
    fastcgi_param SSL_CLIENT_CERT $ssl_client_cert;
    fastcgi_param SSL_DN $ssl_client_s_dn;

    теперь сервер готов принимать запросы на https.
    в переменных к бекенду появились переменные с информацией о сертификате, в первую очередь SSL_VERIFIED (принимает значение SUCCESS).

    Однако если вы попытаетесь зайти на сайт, он выдаст ошибку:

    400 Bad Request
    No required SSL certificate was sent

    Что ж, логично, в этом-то и вся соль!

    Шаг 3. Создание клиентских сертификатов
    3.1 Подготовка CA

    Создадим конфиг
    nano ca.config

    со следующим содержимым:

    [ ca ]
    default_ca = CA_CLIENT # При подписи сертификатов # использовать секцию CA_CLIENT
    
    [ CA_CLIENT ]
    dir = ./db # Каталог для служебных файлов
    certs = $dir/certs # Каталог для сертификатов
    new_certs_dir = $dir/newcerts # Каталог для новых сертификатов
    
    database = $dir/index.txt # Файл с базой данных подписанных сертификатов
    serial = $dir/serial # Файл содержащий серийный номер сертификата (в шестнадцатеричном формате)
    certificate = ./ca.crt # Файл сертификата CA
    private_key = ./ca.key # Файл закрытого ключа CA
    
    default_days = 365 # Срок действия подписываемого сертификата
    default_crl_days = 7 # Срок действия CRL
    default_md = md5 # Алгоритм подписи
    
    policy = policy_anything # Название секции с описанием политики в отношении данных сертификата
    
    [ policy_anything ]
    countryName = optional # Поля optional - не обязательны, supplied - обязательны
    stateOrProvinceName = optional
    localityName = optional
    organizationName = optional
    organizationalUnitName = optional
    commonName = optional
    emailAddress = optional

    Далее надо подготовить структуру каталогов и файлов, соответствующую описанной в конфигурационном файле

    mkdir db
    mkdir db/certs
    mkdir db/newcerts
    touch db/index.txt
    echo "01" > db/serial
    3.2. Создание клиентского закрытого ключа и запроса на сертификат (CSR)

    Для создания подписанного клиентского сертификата предварительно необходимо создать запрос на сертификат, для его последующей подписи. Аргументы команды полностью аналогичны аргументам использовавшимся при создании самоподписанного доверенного сертификата, но отсутствует параметр -x509.

    openssl req -new -newkey rsa:1024 -nodes -keyout client01.key -subj /C=RU/ST=Moscow/L=Moscow/O=Companyname/OU=User/CN=etc/[email protected] -out client01.csr

    В результате выполнения команды появятся два файла client01.key и client01.csr.

    3.3. Подпись запроса на сертификат (CSR) с помощью доверенного сертификата (CA).

    При подписи запроса используются параметры заданные в файле ca.config

    openssl ca -config ca.config -in client01.csr -out client01.crt -batch

    В результате выполнения команды появится файл клиентского сертификата client01.crt.

    Для создания следующих сертификатов нужно повторять эти два шага.

    3.4. Создание сертификата в формате PKCS#12 для браузера клиента

    Это на тот случай, если к вашему серверу подключаются не бездушные машины, как в моём случае, а живые люди через браузер.
    Запароленный файл PKCS#12 надо скормить браузеру, чтобы он смог посещать ваш сайт.
    openssl pkcs12 -export -in client01.crt -inkey client01.key -certfile ca.crt -out client01.p12 -passout pass:q1w2e3
    3.5 Подключение к полученному ssl cерверу с помощью curl
    curl -k --key client.key --cert client1.crt --url "https://site.com"

    Использована опция -k, потому что сертификат в примере самоподписанный

    Использованное ПО

    Ubuntu Server 10.10 (Linux 2.6.35-22-server #35-Ubuntu SMP x86_64 GNU/Linux)
    nginx 0.9.3
    OpenSSL 0.9.8o 01 Jun 2010
    Полезные ссылки

    Надеюсь, был кому-то полезен.

    P.S. Этот пост был моей первой публикацией 16 января 2011 года, старая копия удалена (по желанию администрации сайта и потому, что она не была привязана к моему аккаунту).

    сертификатов сервера | Документы Microsoft

    • На чтение 9 минут

    В этой статье

    Применимо к: Windows Server 2012 R2, Windows Server 2012

    Используйте страницу Сертификаты сервера для просмотра имен сертификатов, полных доменных имен (FQDN) хостов, которым были выданы сертификаты, и FQDN серверов, выдавших сертификаты.

    Связанные сценарии

    В этом документе

    Элементы пользовательского интерфейса для сертификатов сервера

    В следующих таблицах описаны элементы пользовательского интерфейса, доступные на странице функций и на панели Действия .

    Элементы страницы функций

    Имя элемента

    Описание

    Имя

    Отображает имена сертификатов, выданных клиентам, работающим на узлах Интернета или интрасети.

    Примечание

    Сертификаты не обязательно должны иметь имена. Возможно, вам придется просмотреть другие столбцы, чтобы получить информацию о сертификатах.

    Кому выдан

    Отображает полные доменные имена узлов Интернета или интрасети, которым были выданы сертификаты.

    Кем выдан

    Отображает полные доменные имена серверов, выдавших сертификаты клиентам, работающим на узлах Интернета или интрасети.

    Срок годности

    Отображает дату истечения срока действия сертификата.

    Хеш сертификата

    Отображает двоичные данные, полученные с помощью алгоритма хеширования. Хотя эти данные однозначно идентифицируют сертификат, хеш-данные нельзя использовать для отслеживания сертификата, поскольку хеширование — это односторонний процесс.

    Магазин сертификатов

    Отображает имя поставщика, хранящего сертификат.

    Элементы панели действий

    Имя элемента

    Описание

    Импорт

    Открывает диалоговое окно Импорт сертификата. для восстановления утерянного или поврежденного сертификата, для которого вы ранее создали резервную копию, или для установки сертификата, отправленного вам другим пользователем или центром сертификации (ЦС).

    Создать запрос на сертификат

    Открывает мастер Запросить сертификат , чтобы предоставить информацию о вашей организации внешнему центру сертификации.

    Полный запрос на сертификат

    Открывает диалоговое окно Полный запрос сертификата для установки сертификатов, полученных от центра сертификации.

    Создать сертификат домена

    Открывает мастер создания сертификата , чтобы предоставить информацию о вашей организации внутреннему центру сертификации.

    Создать самоподписанный сертификат

    Открывает диалоговое окно « Создать самоподписанный сертификат». для создания сертификатов для использования в средах тестирования серверов и для устранения неполадок с сертификатами сторонних производителей.

    Посмотреть

    Открывает диалоговое окно Сертификат , в котором можно просмотреть сведения о сертификате. Выберите сертификат, чтобы увидеть эту опцию.

    Экспорт

    Открывает диалоговое окно Экспорт сертификата для экспорта сертификатов с исходного сервера, если вы хотите применить тот же сертификат к целевому серверу или когда вы хотите создать резервную копию сертификата и связанного с ним закрытого ключа.Выберите сертификат, чтобы увидеть эту опцию.

    Удалить

    Удаляет элемент, выбранный из списка на странице функций. Выберите сертификат, чтобы увидеть эту опцию.

    Диалоговое окно импорта сертификата

    Используйте диалоговое окно «Импорт сертификата » для восстановления утерянного или поврежденного сертификата, для которого вы ранее создали резервную копию, или для установки сертификата, отправленного вам другим пользователем или центром сертификации (ЦС).

    Имя элемента

    Описание

    Файл сертификата (.pfx)

    Введите имя файла в поле Файл сертификата (.pfx) или нажмите Обзор , чтобы перейти к имени файла, в котором хранится экспортированный сертификат.

    Пароль

    Введите пароль в поле Пароль , если сертификат был экспортирован с паролем.

    Выбрать магазин сертификатов

    Отображает имя поставщика, хранящего сертификат.

    Разрешить экспорт этого сертификата

    Выберите Разрешить экспорт этого сертификата , если вы хотите иметь возможность экспортировать сертификат, или снимите флажок Разрешить экспорт этого сертификата , если вы не хотите разрешать дополнительный экспорт этого сертификата.

    Мастер запроса сертификата

    Используйте мастер Запросить сертификат , чтобы запросить сертификат у центра сертификации (ЦС).

    Мастер свойств отличительного имени, страница

    Используйте диалоговое окно Distinguished Name Properties , чтобы предоставить информацию о вашей организации внутреннему или внешнему центру сертификации.

    Имя элемента

    Описание

    Общее название

    Введите имя сертификата.

    Организация

    Введите название организации, для которой используется сертификат.

    Организационная единица

    Введите название отдела или подразделения организации, в которой используется сертификат.

    Город

    Введите полное название города или населенного пункта, в котором находится ваша организация или подразделение.

    Штат / провинция

    Введите полное название штата или провинции, где находится ваша организация или подразделение.

    Страна / регион

    Введите название страны или региона, где находится ваша организация или подразделение.

    Мастер свойств поставщика криптографических служб, страница

    Используйте страницу мастера поставщика криптографических служб , чтобы выбрать Microsoft RSA SChannel Cryptographic Provider или Microsoft DH SChannel Cryptographic Provider , чтобы предоставить сертификаты, которые могут шифровать передачи между вашим сервером и клиентами.Кроме того, вы можете настроить уровень безопасности для своей передачи, изменив длину в битах, связанную с поставщиком криптографических услуг.

    Имя элемента

    Описание

    Поставщик криптографических услуг

    Выберите либо Microsoft RSA SChannel Cryptographic Provider , либо Microsoft DH SChannel Cryptographic Provider .Поставщик службы шифрования по умолчанию — Microsoft RSA SChannel Cryptographic Provider .

    Примечание

    Выберите Microsoft DH SChannel Cryptographic Provider , если вам необходимо обменяться секретным ключом по незащищенной сети, и вы ранее не общались с другой стороной.

    Длина долота

    Выберите длину в битах, которую использует выбранный вами провайдер.По умолчанию поставщик RSA SChannel использует длину в битах 1024, а поставщик DH SChannel использует длину в битах 512.

    Примечание

    Чем больше длина в битах, тем выше уровень шифрования. Однако это может снизить производительность, поскольку требует передачи дополнительных битов.

    Мастер имени файла Страница

    Используйте диалоговое окно File Name для присвоения имени и сохранения сертификатов в соответствующем месте хранения.

    Имя элемента

    Описание

    Укажите имя файла для запроса сертификата

    Введите имя файла в поле Укажите имя файла для поля запроса сертификата.

    Перейдите к имени файла, под которым следует сохранить сертификат.

    Диалоговое окно полного запроса сертификата

    Используйте диалоговое окно Полный запрос сертификата для установки сертификатов, полученных от вашего центра сертификации (ЦС). Кроме того, укажите понятное имя для сертификата, который вы хотите установить, чтобы завершить процесс установки сертификата.

    Имя элемента

    Описание

    Имя файла, содержащего ответ центра сертификации

    Введите путь к файлу, который содержит ответ от центра сертификации, в поле Имя файла, содержащего ответ центра сертификации , или щелкните Обзор , чтобы перейти к месту, в котором хранится файл из центра сертификации.

    Важно

    Завершите этот процесс, чтобы установить сертификат на свой сервер.

    Дружественное имя

    Введите имя в поле Понятное имя , чтобы завершить процесс установки сертификата.

    Выберите хранилище сертификатов для нового сертификата

    Выберите из списка доступных поставщиков сертификатов.

    Мастер создания сертификата

    Используйте мастер создания сертификата для создания сертификата домена. Сертификат домена — это внутренний сертификат, который не выдается внешним центром сертификации (ЦС).

    Мастер свойств отличительного имени, страница

    Используйте диалоговое окно Distinguished Name Properties , чтобы предоставить информацию о вашей организации внутреннему или внешнему центру сертификации.

    Имя элемента

    Описание

    Общее название

    Введите имя сертификата.

    Организация

    Введите название организации, для которой используется сертификат.

    Организационная единица

    Введите название отдела или подразделения организации, в которой используется сертификат.

    Город

    Введите полное название города или населенного пункта, в котором находится ваша организация или подразделение.

    Штат / провинция

    Введите полное название штата или провинции, где находится ваша организация или подразделение.

    Страна / регион

    Введите название страны или региона, где находится ваша организация или подразделение.

    Мастер онлайн-сертификации Стр.

    Используйте страницу мастера Online Certification Authority Wizard, чтобы определить сервер онлайн-центра сертификации (CA) в вашем домене Windows. Кроме того, предоставьте серверу CA, который вы хотите использовать, понятное имя , чтобы завершить работу мастера Create Domain Certificate Wizard.

    Имя элемента

    Описание

    Укажите онлайн-центр сертификации

    Введите путь к серверу CA, который находится в вашем домене Windows, или щелкните Выберите , чтобы найти сервер CA, который находится в вашем домене, и отобразить диалоговое окно Select Certification Authority .

    Примечание

    Сертификаты домена не подходят для использования с внешними клиентами, которые не являются членами вашего внутреннего домена Windows.

    Дружественное имя

    Введите имя сервера CA, который вы хотите использовать, в поле Friendly name . Введите имя в поле Понятное имя , чтобы завершить работу мастера создания сертификата домена .

    Диалоговое окно выбора центра сертификации

    Используйте диалоговое окно Select Certification Authority , чтобы выбрать внутренний центр сертификации (CA), который вы хотите использовать.

    Имя элемента

    Описание

    Выберите центр сертификации, который вы хотите использовать

    Перечисляет понятные имена ЦС и полное доменное имя (FQDN) компьютера, на котором размещен ЦС.Выберите центр сертификации, который вы хотите использовать.

    Диалоговое окно «Создание самозаверяющего сертификата»

    Используйте диалоговое окно Create Self-Signed Certificate для создания сертификатов для использования в средах тестирования серверов и для устранения неполадок сторонних сертификатов.

    Вы можете просмотреть свойства своего самозаверяющего сертификата на странице Сертификаты сервера .

    Имя элемента

    Описание

    Укажите понятное имя для сертификата

    Введите понятное имя в поле Имя , чтобы создать самозаверяющий сертификат.

    Примечание

    Сертификаты, которые вы создаете с помощью этой функции, получены не из надежного центра сертификации (ЦС). Поэтому используйте самозаверяющие сертификаты только для защиты передачи данных между сервером и клиентами в тестовой среде.

    Диалоговое окно экспорта сертификата

    Используйте диалоговое окно «Экспорт сертификата » , чтобы экспортировать сертификаты с исходного сервера, если вы хотите применить тот же сертификат к целевому серверу или если вы хотите создать резервную копию сертификата и связанного с ним закрытого ключа.

    Примечание

    Если вы связываете пароль с сертификатом, тот, кто импортирует сертификат, должен знать пароль, прежде чем сертификат может быть применен к целевому серверу.

    Имя элемента

    Описание

    Экспорт в

    Введите имя файла в поле Экспорт в или щелкните Обзор , чтобы перейти к имени файла, в котором будет сохранен сертификат для экспорта.

    Пароль

    Введите пароль в поле Пароль , если вы хотите связать пароль с экспортированным сертификатом.

    Подтвердите пароль

    Введите пароль еще раз в поле Подтвердите пароль , а затем нажмите ОК .

    Мастер обновления существующего сертификата

    Используйте мастер Продлить существующий сертификат , чтобы обновить сертификат, срок действия которого скоро истечет.

    Важно

    Вы не можете продлить сертификат, срок действия которого уже истек. Если вы попытаетесь обновить сертификат, срок действия которого истек, центр сертификации (ЦС) отклонит запрос, и вы увидите сообщение об ошибке, подобное «Ошибка проверки подписи запроса или сертификата подписи. Требуемый сертификат не соответствует сроку действия при проверке. против текущих системных часов или отметки времени в подписанном файле «. Это сообщение также отображается в узле «Неудачные запросы» выдающего ЦС.Если срок действия вашего сертификата уже истек, запросите новый сертификат вместо обновления существующего.

    Имя элемента

    Описание

    Продлить существующий сертификат

    Выберите этот параметр, чтобы обновить существующий сертификат внутреннего центра сертификации (ЦС) в вашем домене.

    Создать запрос на продление сертификата

    Выберите этот вариант, чтобы упаковать информацию о продлении для последующей отправки в центр сертификации.

    Полный запрос на продление сертификата

    Выберите этот параметр, чтобы завершить запрос на обновление сертификата с использованием сертификата, полученного от центра сертификации.

    .Обзор развертывания сертификата сервера

    | Документы Microsoft

    • 5 минут на чтение

    В этой статье

    Применимо к: Windows Server (полугодовой канал), Windows Server 2016

    Этот раздел содержит следующие разделы.

    Компоненты развертывания сертификата сервера

    Это руководство можно использовать для установки служб сертификации Active Directory (AD CS) в качестве корневого центра сертификации (ЦС) предприятия и для регистрации сертификатов серверов на серверах, на которых работает сервер политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS). или и NPS, и RRAS.

    Если вы развертываете SDN с аутентификацией на основе сертификатов, серверы должны использовать сертификат сервера для подтверждения своей идентичности другим серверам, чтобы обеспечить безопасную связь.

    На следующем рисунке показаны компоненты, необходимые для развертывания сертификатов серверов на серверах в вашей инфраструктуре SDN.

    Примечание

    На приведенной выше иллюстрации показано несколько серверов: DC1, CA1, WEB1 и множество серверов SDN.В этом руководстве представлены инструкции по развертыванию и настройке CA1 и WEB1, а также по настройке DC1, который в этом руководстве предполагается, что вы уже установили его в своей сети. Если вы еще не установили домен Active Directory, вы можете сделать это с помощью Руководства по основной сети для Windows Server 2016.

    Для получения дополнительной информации о каждом элементе, изображенном на иллюстрации выше, см. Следующее:

    CA1 с ролью сервера AD CS

    В этом сценарии корневой центр сертификации (ЦС) предприятия также является выдающим ЦС.ЦС выдает сертификаты серверным компьютерам, которые имеют правильные разрешения безопасности для подачи заявки на сертификат. Службы сертификатов Active Directory (AD CS) установлены на CA1.

    Для более крупных сетей или в тех случаях, когда соображения безопасности оправдывают себя, можно разделить роли корневого ЦС и выдающего ЦС и развернуть подчиненные ЦС, которые выдают ЦС.

    В наиболее безопасных развертываниях корневой центр сертификации предприятия отключается и физически защищен.

    CAPolicy.инф

    Перед установкой AD CS необходимо настроить файл CAPolicy.inf с определенными параметрами для вашего развертывания.

    Копия RAS и IAS-серверов шаблона сертификата

    При развертывании сертификатов серверов вы делаете одну копию шаблона сертификата RAS и серверов IAS , а затем настраиваете шаблон в соответствии с вашими требованиями и инструкциями в этом руководстве.

    Вы используете копию шаблона, а не исходный шаблон, так что конфигурация исходного шаблона сохраняется для возможного использования в будущем.Вы настраиваете копию шаблона RAS и IAS-серверов , чтобы центр сертификации мог создавать сертификаты сервера, которые он выдает группам в Active Directory Users and Computers, которые вы укажете.

    Дополнительная конфигурация CA1

    ЦС публикует список отзыва сертификатов (CRL), который компьютеры должны проверить, чтобы убедиться, что сертификаты, представленные им в качестве подтверждения личности, являются действительными сертификатами и не были отозваны. Вы должны настроить свой центр сертификации с правильным расположением CRL, чтобы компьютеры знали, где искать CRL в процессе аутентификации.

    WEB1 с ролью сервера веб-служб (IIS)

    На компьютере, на котором выполняется роль сервера веб-сервера (IIS), WEB1, необходимо создать папку в проводнике Windows для использования в качестве расположения для CRL и AIA.

    Виртуальный каталог для CRL и AIA

    После создания папки в проводнике Windows необходимо настроить папку в качестве виртуального каталога в диспетчере служб IIS, а также настроить список управления доступом для виртуального каталога, чтобы разрешить компьютерам доступ к AIA и CRL после они там публикуются.

    DC1 с ролями AD DS и DNS-сервера

    DC1 — это контроллер домена и DNS-сервер в вашей сети.

    Политика домена по умолчанию групповой политики

    После настройки шаблона сертификата в ЦС можно настроить политику домена по умолчанию в групповой политике, чтобы сертификаты автоматически регистрировались на серверах NPS и RAS. Групповая политика настраивается в AD DS на сервере DC1.

    Запись ресурса псевдонима DNS (CNAME)

    Вы должны создать запись ресурса псевдонима (CNAME) для веб-сервера, чтобы другие компьютеры могли найти сервер, а также AIA и CRL, которые хранятся на сервере.Кроме того, использование записи ресурса CNAME псевдонима обеспечивает гибкость, так что вы можете использовать веб-сервер для других целей, таких как размещение веб-сайтов и FTP-сайтов.

    NPS1, на котором запущена служба роли сервера политики сети для роли сервера служб политики сети и доступа

    NPS устанавливается при выполнении задач, описанных в Руководстве по работе с основными сетями Windows Server 2016, поэтому перед выполнением задач, описанных в этом руководстве, у вас уже должен быть установлен один или несколько NPS в вашей сети.

    Групповая политика применена и сертификат зарегистрирован на серверах

    После настройки шаблона сертификата и автоматической подачи заявок вы можете обновить групповую политику на всех целевых серверах. В это время серверы регистрируют сертификат сервера от CA1.

    Обзор процесса развертывания сертификата сервера

    Процесс настройки регистрации сертификата сервера происходит в следующие этапы:

    1. На WEB1 установите роль веб-сервера (IIS).

    2. На DC1 создайте запись псевдонима (CNAME) для вашего веб-сервера WEB1.

    3. Настройте свой веб-сервер для размещения CRL от CA, затем опубликуйте CRL и скопируйте сертификат Enterprise Root CA в новый виртуальный каталог.

    4. На компьютере, на котором вы планируете установить AD CS, назначьте компьютеру статический IP-адрес, переименуйте компьютер, присоедините компьютер к домену, а затем войдите на компьютер с учетной записью пользователя, которая является членом Группы администраторов домена и администраторов предприятия.

    5. На компьютере, на котором вы планируете установить AD CS, настройте файл CAPolicy.inf с параметрами, специфичными для вашего развертывания.

    6. Установите роль сервера AD CS и выполните дополнительную настройку CA.

    7. Скопируйте CRL и сертификат CA из CA1 в общую папку на веб-сервере WEB1.

    8. В центре сертификации настройте копию шаблона сертификата серверов RAS и IAS. ЦС выдает сертификаты на основе шаблона сертификата, поэтому вам необходимо настроить шаблон для сертификата сервера, прежде чем ЦС сможет выдать сертификат.

    9. Настройте автоматическую регистрацию сертификатов сервера в групповой политике. Когда вы настраиваете автоматическую регистрацию, все серверы, которые вы указали для членства в группах Active Directory, автоматически получают сертификат сервера при обновлении групповой политики на каждом сервере. Если вы добавите больше серверов позже, они также автоматически получат сертификат сервера.

    10. Обновить групповую политику на серверах. При обновлении групповой политики серверы получают сертификат сервера, основанный на шаблоне, который вы настроили на предыдущем шаге.Этот сертификат используется сервером для подтверждения своей личности клиентским компьютерам и другим серверам в процессе аутентификации.

      Примечание

      Все компьютеры, входящие в домен, автоматически получают сертификат Enterprise Root CA без настройки автоматической регистрации. Этот сертификат отличается от сертификата сервера, который вы настраиваете и распространяете с помощью автоматической подачи заявок. Сертификат ЦС автоматически устанавливается в хранилище сертификатов доверенных корневых центров сертификации для всех компьютеров-членов домена, так что они будут доверять сертификатам, выданным этим ЦС.

    11. Убедитесь, что все серверы зарегистрировали действительный сертификат сервера.

    .Планирование развертывания сертификата сервера

    | Документы Microsoft

    • 6 минут на чтение

    В этой статье

    Применимо к: Windows Server (полугодовой канал), Windows Server 2016

    Перед развертыванием сертификатов сервера необходимо запланировать следующие элементы:

    План базовой конфигурации сервера

    После установки Windows Server 2016 на компьютеры, которые вы планируете использовать в качестве центра сертификации и веб-сервера, вы должны переименовать компьютер, а также назначить и настроить статический IP-адрес для локального компьютера.

    Дополнительные сведения см. В Руководстве по основной сети Windows Server 2016.

    План доступа к домену

    Для входа в домен компьютер должен быть членом домена, а учетная запись пользователя должна быть создана в AD DS перед попыткой входа. Кроме того, для большинства процедур в этом руководстве требуется, чтобы учетная запись пользователя была членом групп «Администраторы предприятия» или «Администраторы домена» в Active Directory «Пользователи и компьютеры», поэтому вы должны войти в ЦС с учетной записью, имеющей соответствующее членство в группе.

    Дополнительные сведения см. В Руководстве по основной сети Windows Server 2016.

    Спланируйте расположение и имя виртуального каталога на вашем веб-сервере

    Чтобы предоставить доступ к списку отзыва сертификатов и сертификату ЦС другим компьютерам, вы должны сохранить эти элементы в виртуальном каталоге на своем веб-сервере. В этом руководстве виртуальный каталог находится на веб-сервере WEB1. Эта папка находится на диске «C:» и называется «pki». Вы можете разместить свой виртуальный каталог на своем веб-сервере в любой папке, которая подходит для вашего развертывания.

    Планирование записи псевдонима DNS (CNAME) для веб-сервера

    Записи ресурсов псевдонима (CNAME) также иногда называют записями ресурсов канонических имен. С помощью этих записей вы можете использовать более одного имени для указания на один хост, что упрощает выполнение таких задач, как размещение как сервера протокола передачи файлов (FTP), так и веб-сервера на одном компьютере. Например, хорошо известные имена серверов (ftp, www) регистрируются с использованием записей ресурсов псевдонима (CNAME), которые сопоставляются с именем хоста системы доменных имен (DNS), например WEB1, для серверного компьютера, на котором размещены эти службы.

    Это руководство содержит инструкции по настройке вашего веб-сервера для размещения списка отзыва сертификатов (CRL) для вашего центра сертификации (CA). Поскольку вы также можете использовать свой веб-сервер для других целей, например, для размещения FTP или веб-сайта, рекомендуется создать запись ресурса псевдонима в DNS для вашего веб-сервера. В этом руководстве запись CNAME называется «pki», но вы можете выбрать имя, подходящее для вашего развертывания.

    План настройки CAPolicy.инф

    Перед установкой AD CS необходимо настроить CAPolicy.inf в центре сертификации, указав правильную информацию для вашего развертывания. Файл CAPolicy.inf содержит следующую информацию:

      [Версия]
    Подпись = "$ Windows NT $"
    [PolicyStatementExtension]
    Политики = InternalPolicy
    [InternalPolicy]
    OID = 1.2.3.4.1455.67.89.5
    Notice = "Заявление о правовой политике"
    URL = https: //pki.corp.contoso.com/pki/cps.txt
    [Certsrv_Server]
    RenewalKeyLength = 2048
    RenewalValidityPeriod = Годы
    RenewalValidityPeriodUnits = 5
    CRLPeriod = недели
    CRLPeriodUnits = 1
    LoadDefaultTemplates = 0
    AlternateSignatureAlgorithm = 1
      

    Для этого файла необходимо запланировать следующие элементы:

    • URL .Пример файла CAPolicy.inf имеет значение URL-адреса https://pki.corp.contoso.com/pki/cps.txt . Это связано с тем, что веб-сервер в этом руководстве называется WEB1 и имеет запись ресурса DNS CNAME pki. Веб-сервер также присоединен к домену corp.contoso.com. Кроме того, на веб-сервере есть виртуальный каталог с именем «pki», в котором хранится список отзыва сертификатов. Убедитесь, что значение, указанное вами для URL-адреса в файле CAPolicy.inf, указывает на виртуальный каталог на вашем веб-сервере в вашем домене.

    • RenewalKeyLength . Длина ключа обновления по умолчанию для AD CS в Windows Server 2012 составляет 2048. Длина ключа, которую вы выбираете, должна быть как можно большей, при этом обеспечивая совместимость с приложениями, которые вы собираетесь использовать.

    • RenewalValidityPeriodUnits . В примере файла CAPolicy.inf значение RenewalValidityPeriodUnits равно 5 годам. Это связано с тем, что ожидаемая продолжительность жизни CA составляет около десяти лет. Значение RenewalValidityPeriodUnits должно отражать общий срок действия CA или максимальное количество лет, на которое вы хотите предоставить регистрацию.

    • CRLPeriodUnits . В примере файла CAPolicy.inf значение CRLPeriodUnits равно 1. Это связано с тем, что примерный интервал обновления для списка отзыва сертификатов в этом руководстве составляет 1 неделю. При значении интервала, которое вы указываете с помощью этого параметра, вы должны опубликовать CRL в CA в виртуальном каталоге веб-сервера, где вы храните CRL, и предоставить к нему доступ для компьютеров, находящихся в процессе аутентификации.

    • Алгоритм альтернативной подписи .Этот CAPolicy.inf реализует улучшенный механизм безопасности за счет реализации альтернативных форматов подписи. Не следует применять этот параметр, если у вас все еще есть клиенты Windows XP, которым требуются сертификаты от этого ЦС.

    Если вы не планируете добавлять какие-либо подчиненные ЦС к своей инфраструктуре открытого ключа в дальнейшем и если вы хотите предотвратить добавление каких-либо подчиненных ЦС, вы можете добавить ключ PathLength в свой файл CAPolicy.inf со значением из 0. Чтобы добавить этот ключ, скопируйте и вставьте в свой файл следующий код:

      [BasicConstraintsExtension]
    PathLength = 0
    Критический = Да
      

    Важно

    Не рекомендуется изменять какие-либо другие параметры в CAPolicy.inf, если у вас нет особой причины для этого.

    Плановая конфигурация расширений CDP и AIA на CA1

    При настройке точки распространения (CDP) списка отозванных сертификатов (CRL) и параметров доступа к информации центра сертификации (AIA) на CA1 вам потребуется имя вашего веб-сервера и имя вашего домена. Вам также потребуется имя виртуального каталога, который вы создаете на своем веб-сервере, где хранятся список отзыва сертификатов (CRL) и сертификат центра сертификации.

    Расположение CDP, которое необходимо ввести на этом этапе развертывания, имеет формат:

    http: \ / \ / * DNSAlias ​​\ (CNAME \) RecordName *. * Domain * .com \ / * VirtualDirectoryName * \ / .crl.

    Например, если ваш веб-сервер называется WEB1, а ваша запись DNS-псевдонима CNAME для веб-сервера — «pki», ваш домен — corp.contoso.com, а ваш виртуальный каталог — pki, расположение CDP:

    http: \ / \ / pki.corp.contoso.com \ / pki \ / .crl

    Местоположение AIA, которое необходимо ввести, имеет формат:

    http: \ / \ / * DNSAlias ​​\ (CNAME \) RecordName *. * Domain * .com \ / * VirtualDirectoryName * \ / \ _ .crt.

    Например, если ваш веб-сервер называется WEB1, а ваша запись DNS-псевдонима CNAME для веб-сервера — «pki», ваш домен — corp.contoso.com, а ваш виртуальный каталог — pki, расположение AIA:

    http: \ / \ / pki.corp.contoso.com \ / pki \ / \ _ .crt

    Планирование операции копирования между центром сертификации и веб-сервером

    Чтобы опубликовать CRL и сертификат CA из CA в виртуальный каталог веб-сервера, вы можете запустить команду certutil -crl после настройки расположений CDP и AIA в CA. Убедитесь, что вы настроили правильные пути на вкладке CA Properties Extensions , прежде чем запускать эту команду, используя инструкции в этом руководстве.Кроме того, чтобы скопировать сертификат Enterprise CA на веб-сервер, вы должны уже создать виртуальный каталог на веб-сервере и настроить папку как общую папку.

    Спланируйте настройку шаблона сертификата сервера на CA

    Чтобы развернуть автоматически зарегистрированные сертификаты сервера, необходимо скопировать шаблон сертификата с именем RAS и IAS Server . По умолчанию эта копия называется Копия RAS и IAS Server . Если вы хотите переименовать эту копию шаблона, спланируйте имя, которое вы хотите использовать на этом этапе развертывания.

    Примечание

    Последние три раздела по развертыванию в этом руководстве, которые позволяют настроить автоматическую регистрацию сертификатов сервера, обновить групповую политику на серверах и убедиться, что серверы получили действительный сертификат сервера от центра сертификации, не требуют дополнительных действий по планированию.

    .

    Настроить шаблон сертификата сервера

    • 2 минуты на чтение

    В этой статье

    Применимо к: Windows Server (полугодовой канал), Windows Server 2016

    Эту процедуру можно использовать для настройки шаблона сертификата, который службы сертификации Active Directory® (AD CS) используют в качестве основы для сертификатов серверов, которые регистрируются на серверах в вашей сети.

    При настройке этого шаблона вы можете указать серверы по группе Active Directory, которая должна автоматически получать сертификат сервера от AD CS.

    Приведенная ниже процедура включает инструкции по настройке шаблона для выдачи сертификатов всем из следующих типов серверов:

    • Серверы, на которых запущена служба удаленного доступа, включая серверы шлюза RAS, которые являются членами группы RAS и IAS-серверов .
    • Серверы, на которых работает служба сервера политики сети (NPS), которые являются членами группы RAS и IAS-серверов .

    Членство в группе Enterprise Admins и Domain Admins корневого домена является минимумом, необходимым для выполнения этой процедуры.

    Для настройки шаблона сертификата

    1. На CA1 в диспетчере серверов щелкните Инструменты , а затем щелкните Центр сертификации . Откроется консоль управления Microsoft Management Console (MMC) центра сертификации.

    2. В MMC дважды щелкните имя CA, щелкните правой кнопкой мыши Шаблоны сертификатов , а затем щелкните Управление .

    3. Откроется консоль шаблонов сертификатов. Все шаблоны сертификатов отображаются на панели сведений.

    4. На панели сведений щелкните шаблон RAS и IAS Server .

    5. Щелкните меню Action , а затем щелкните Duplicate Template . Откроется диалоговое окно «Свойства шаблона » .

    6. Щелкните вкладку Безопасность .

    7. На вкладке Безопасность в разделе Группа или имена пользователей щелкните Серверы RAS и IAS .

    8. В Разрешения для серверов RAS и IAS в разделе Разрешить убедитесь, что выбран Регистрация , а затем установите флажок Автоматическая регистрация . Щелкните OK и закройте MMC шаблонов сертификатов.

    9. В центре сертификации MMC щелкните Шаблоны сертификатов . В меню Action укажите на New , а затем щелкните Certificate Template to Issue .Откроется диалоговое окно Включить шаблоны сертификатов .

    10. В Включить шаблоны сертификатов щелкните имя шаблона сертификата, который вы только что настроили, а затем щелкните ОК . Например, если вы не меняли имя шаблона сертификата по умолчанию, щелкните Копия RAS и IAS Server , а затем щелкните ОК .

    .
    1С администрирование серверов 1с предприятия: Консоль администрирования сервера 1С 8.3

    1С администрирование серверов 1с предприятия: Консоль администрирования сервера 1С 8.3

    Консоль администрирования сервера 1С 8.3

    Как многим наверное известно, система 1С Предприятие поддерживает два варианта работы. Это:

    • клиент–сервер;
    • файловый вариант работы.

    Для клиент-серверного режима необходимо установить Сервер 1С: Предприятия.

    В данной статье рассмотрим, как администрировать этот сервер с помощью утилиты Консоль администрирования серверов 1С 8.3 (8.2).

    Сразу сервисное отступление — если при запуске консоль выдает сообщение «Различаются версии клиента и сервера (8.3.х.х-8.3.х.х), клиентское приложение: Консоль кластера», Вам необходимо пройти регистрацию с помощью соответствующего ярлыка из меню «Пуск»:

    Консоль администрирования серверов 1C Предприятия

    У сервера 1С нет собственного интерфейса для управления. Администрирование ведется при помощи консоли серверов 1С. Консоль входит в поставку 1С Платформы и устанавливается локально на компьютер пользователя. Сами Информационные базы могут размещаться как локально, так и на удаленных компьютерах или серверах.

    Создание, редактирование и удаление баз на Сервере 1С

    Если вы только начинаете программировать в 1С или просто хотите систематизировать свои знания — попробуйте Школу программирования 1С нашего друга Владимира Милькина. Пошаговые и понятные уроки даже для новичка с поддержкой учителя.
    Попробуйте бесплатно по ссылке >>

    Чтобы создать информационную базу на Сервере 1С, необходимо сначала создать Центральный сервер и Кластер, к которому будет принадлежать база. На строке 1C:Enterprise 8.3 Central Servers нужно «кликнуть» правой кнопкой мыши и выбрать в контекстном меню пункт «Создать». В открывшемся окне вводим имя сервера и номер порта.

    Теперь создадим Кластер. Также воспользуемся контекстным меню и выберем пункт «Создать». Заполним параметры кластера.

    В ветке «Информационные базы» с помощью контекстного меню добавляем новую базу. После заполнения ее параметров нажимаем «Ок». Информационная база готова к работе.

    С помощью контекстного меню базу можно удалить или отредактировать свойства.

    Действия в консоли

    Чем может быть полезна нам консоль администрирования? Часто случается так, что у пользователя «зависает» компьютер,  и при этом программа 1С у конкретного пользователя не запускается. Выходит сообщение, что под данным пользователем уже кто-то работает. Все дело в том, что на сервере 1С остаются «нерабочие» сеансы. Эти пользователи даже остаются в разделе «Активные пользователи». И когда в программе нужно сделать операции, требующие монопольного режима (например, удаление помеченных на удаление объектов), то если попросить всех пользователей выйти, операцию все равно не всегда получается осуществить.

    В консоли администрирования очень удобно посмотреть такие «зависшие» сеансы и скинуть их.

    В контекстном мену строки с сеансом можно выбрать три пункта: «Удалить», «Свойства» и «Справка».

    Также из консоли можно управлять блокировками.

    К сожалению, мы физически не можем проконсультировать бесплатно всех желающих, но наша команда будет рада оказать услуги по внедрению и обслуживанию 1С. Более подробно о наших услугах можно узнать на странице Услуги 1С или просто позвоните по телефону +7 (499) 350 29 00. Мы работаем в Москве и области.

    Установка сервера администрирование кластера серверов 1С:Предприятия

    В данной статье познакомимся с сервером администрирования кластера серверов, а конкретно с утилитами rac.exe и ras.exe, а также программы deployka с помощью которых становится возможным администрирование кластера серверов 1С:Предприятие из командной строки.

     

     

     

    По традиции, всем кому лень читать, предлагаю посмотреть вебинар на указанную тему

     

    Ну а остальным добро пожаловать под кат:

    0. Оглавление

    1. Общие сведения
    2. Установка компонент сервера администрирования
    3. Запуск сервера администрирования
    4. Запуск сервера администрирования в качестве службы Windows
    5. Администрирование кластера серверов с помощью утилиты rac.exe
    6. Программные обертки для работы с сервером администрирования
    7. Установка и настройка с программы deployka

    1. Общие сведения

    Управлять кластером серверов 1С:Предприятие версии 8.3 возможно как с помощью консоли администрирования серверов 1С, так и из командной строки. Для этих целей служит Сервер администрирования кластера серверов, который состоит из двух утилит: непосредственно самого сервера — программы rac.exe и  утилиты командной строки rac.exe, которая обращаясь к запущенному прежде серверу ras позволяет выполнять различные операции с кластером серверов 1С:Предприятия.

    Подробно про данный механизм можно прочитать в поставляемой вместе с платформой книге «Руководство администратора. Клиент-серверный вариант» (или, соответственно, на сайте ИТС).

    А общая схема работы данной связки выглядит следующим образом:

    Сервер администрирования должен быть той же версии, что и версия кластера серверов 1С:Предприятия, причем одновременно к одному кластеру серверов могут быть подключены несколько серверов администрирования, но конкретный сервер администрирования может взаимодействовать только с одним агентом сервера.

    И сервер администрирования и утилита командной строки могут работать в любой поддерживаемой платформой 1С:Предприятия ОС. Но в данной статье мы ограничимся только ОС семейства Windows.

    2. Установка компонент сервера администрирования

    И сам сервер и утилита администрирования входят в состав компонент сервера 1С:Предприятия. Соответственно, на компьютере с запущенной службой агента сервера 1С:Предприятия они уже должны быть установлены по умолчанию.

    Чтобы убедиться в этом, достаточно перейти в каталог с файлами сервера 1С:Предприятия и найти в нем соответствующие утилиты (для удобства файлы можно сгруппировать по типу).

    Подробно про установку сервера 1С:Предприятия я писал здесь.

    Для установки сервера администрирования на компьютере, где ранее не был установлен сервер 1С:Предприятия, необходимо запустить дистрибутив установки сервера 1С и в составе компонент выбрать пункт «Сервер 1С:Предприятия 8».

    Причем, при выбранной данной компоненте на следующем шаге мастер установки предложит установить сервер 1С:Предприятия как службу Windows. От этого пункта конечно же следует отказаться сняв соответствующий флаг.

    После установки необходимо убедиться в наличии всех необходимых компонент описанным выше способом.

    3. Запуск сервера администрирования

    Для получения подробной информации по утилите ras.exe можно вызвать справку выполнив команду

    ras help

    Из справки видно, что сервер администрирования может работать как в режиме приложения, так и как служба Windows (параметр service ). Также с мы можем задать сетевой порт, на котором будет работать сервер администрирования (параметр port, по умолчанию используется порт 1545), а для режима администрирования кластера используется режим claster. Вызвать справку к данному режиму можно командой:

    rac help cluster

    После чего увидим, что у данного режима в качестве аргумента указывается адрес агента кластера серверов 1С:Предприятия. По умолчанию это localhost:1540.

    Таким образом, если сервер администрирования запускается на той же машине, где запущен и агент сервера 1С:Предприятия, достаточно выполнить команду

    rac cluster 

    Ну а если необходимо подключиться к агенту сервера, запущенном, например, на компьютере с сетевым именем Server1C, причем агент работает на нестандартном порту 2540, то команда будет следующей:

    rac cluster server1c:2540

    4. Запуск сервера администрирования в качестве службы Windows

    Конечно же, чтобы не запускать сервер администрирования каждый раз руками, удобно запустить его единожды в качестве службы Windows. Но, к сожалению, разработчики платформы не реализовали возможность автоматической регистрации соответствующей службы в системе, как, например, это сделано для агента сервера 1С. Для добавления службы предлагается воспользоваться системной утилитой sc. Давайте рассмотрим этот процесс чуть более детально.

    Для начала, я рекомендую для создаваемой службы создать отдельного пользователя Windows. Подробно как это сделать я описывал здесь.

    Пусть это будет локальный пользователь с именем USR1CV8_RAS и паролем Pass123

    Далее, необходимо создать и выполнить bat-файл, который будет регистрировать соответствующую службу. Содержания файла следующее:

    Файл register-ras.bat:

    @echo off
    rem %1 - полный номер версии 1С:Предприятия
    set SrvUserName=.\USR1CV8_RAS
    set SrvUserPwd="Pass123"
    set CtrlPort=1540
    set AgentName=localhost
    set RASPort=1545
    set SrvcName="1C:Enterprise 8.3 Remote Server"
    set BinPath="\"C:\Program Files\1cv8\%1\bin\ras.exe\" cluster --service --port=%RASPort% %AgentName%:%CtrlPort%"
    set Desctiption="1C:Enterprise 8.3 Remote Server"
    sc stop %SrvcName%
    sc delete %SrvcName%
    sc create %SrvcName% binPath= %BinPath% start= auto obj= %SrvUserName% password= %SrvUserPwd% displayname= %Desctiption%

    В файле указываем:

    • имя пользователя и пароль из под которого будет запускаться служба — переменные SrvUserName и SrvUserPwd
    • адрес и порт агента сервера, который мы собираемся администрировать — переменные AgentName и CtrlPort
    • А также имя службы и сетевой порт на котором будет работать сервер администрирования — переменные RASPort и  SrvcName. Имеет смысл менять эти параметры только если вы хотите запустить параллельно несколько серверов администрирования, например для обслуживания разных серверов 1С.

    В качестве единственного параметра bat-файла выступает текущая версия платформы 1С:Предприятия. Таким образом, для создания службы запускаем командную строку с правами администратора и запускаем созданный ранее файл register-ras.bat, не забыв указать нужную версию платформы.

    Проверяем, что в системе появилась служба с указанным именем. И сразу запускаем ее, выбрав соответствующий пункт в контекстном меню.

    На этом установка сервера администрирования в качестве службы завершена.

    5. Администрирование кластера серверов с помощью утилиты rac.exe

    Итак, сервер администрирования мы установили. Взаимодействием с сервером осуществляется с помощью специальной консольной утилиты rac.exe. Выполним команду

    rac help

    чтобы получить справку данной программы.

    Как видно из справки, утилита имеет один общий аргумент, задающий адрес сервера администрирования (по умолчанию localhost:1545) и множество режимов работы: для администрирования агента кластера серверов, самого кластера, менеджера кластера, рабочих процессов и т. д. Справку по каждому режиму можно вызвать соответствующей командой.

    Описывать все режимы работы, очевидно, нет никакого смысла. Приведу лишь несколько примеров работы.

    Получение списка информации о кластерах:

    Получение списка информационных баз на заданном кластере серверов:

    Получение списка соединений с указанной информационной базой:

    Утилита администрирования позволяет выполнить весь объем работ, необходимый для администрирования кластера серверов, за исключением аутентификация ОС для администраторов кластера серверов, рабочего сервера и информационной базы.

    6. Программные обертки для работы с сервером администрирования

    Как видно из примеров, работать из командной строки с утилитой rac то еще удовольствие. Но данный механизм и не создавался для ручного управления. Например, на сайте ИТС есть Java-архивов, который позволяет взаимодействовать с сервером администрирования из программы на языке Java, без помощи консольной утилиты администрирования. Скачать данный пакет можно здесь.

    Главное, мы имеем возможность выполнять различные инструкции на кластере серверов 1С из командной строки. А это значит, что можно добавлять необходимые функции по взаимодействию с кластером серверов 1С:Предприятия в различные программы, обработки или же скрипты.

    Например, среди прочего, работать с сервером администрирования может написанная на языке OneScript программа deployka.

    О скиптовом движке OneScript я уже рассказывал здесь.

    О программе deployka можно подробнее узнать здесь.

    Ну а максимально полный обзор всех имеющихся библиотек и приложений написанных на OneScript приведен в этой статье.

    7. Установка и настройка с программой deployka

    Алгоритм установки OneScript и deployka довольно подробно разобран в статьях по указанным в предыдущем пункте ссылкам. Ну а если коротко, он состоит из следующих пунктов:

    1. Скачиваем дистрибутив OneScript с официального сайта.

    2. Устанавливаем, следуя инструкциям мастера.

    3. Перелогиниваемся в системе, чтобы применились новые переменные среды.

    4. Запускаем командную строку с правами администратора, проверяем, что предыдущие пункты выполнены корректно командной

    oscript -help

    5. Устанавливаем программу deployka с помощью пакетного менеджера opm, выполнив команду

    opm install deployka

    6. Проверяем, что все работает, вызвав справку «деплойки» командой

    deployka help

    7. Вот в общем то и все. Все режимы работы программы видны на экране. Далее читаем справку на сайте или в консоли, вызывав подсказку для каждого режима соответствующей командой:

    Вот так, например, можно завершить все сеансы в указанной информационной базе с последующей установкой блокировки начала сеансов.

    deployka session kill -db Accounting_Demo -rac "C:\Program Files\1cv8\8.3.11.2867\bin\rac.exe" -db-user "АбрамовГС (директор)"

    8. Теперь можно использовать «деплойку» в своих скриптах. Например скрипт обновления информационной базы из хранилища, с отключением пользователей и обновлением базы данных может выглядеть так:

    @echo on
    
    rem Устанавливаем значения переменных
    set ServerName="1CAPP:2541"
    set RacPath="C:\Program Files\1cv8\8.3.11.2954\bin\rac.exe"
    set uccode="123"
     
    set BaseName="ERP_Test"
    set UserName="Admin"
    set UserPass="Pass123"
    set ConStr="/1CAPP:2541\ERP_Test"
     
    set RepoPath="tcp://1CAPP/ERP_DEV"
    set RepoUserName="test"
    set RepoUserPass="123"
    
    rem Завершаем работу пользователей
    call deployka session kill -db %BaseName% -db-user %UserName% -db-pwd %UserPass% -rac %RacPath% -lockuccode %uccode%
    
    rem Обновляем конфигурацию базы из хранилища
    call deployka loadrepo %ConStr% %RepoPath% -db-user %UserName% -db-pwd %UserPass% -storage-user %RepoUserName% -storage-pwd %RepoUserPass% -uccode %uccode%
    
    rem Обновляем конфигурацию базы данных
    call deployka dbupdate %ConStr% -db-user %UserName% -db-pwd %UserPass% -uccode %uccode%
    
    rem Снимаем блокировку сеансов
    call deployka session unlock -db %BaseName% -db-user %UserName% -db-pwd %UserPass% -rac %RacPath% -lockuccode %uccode%

    Всем спасибо, кто дочитал до конца. Пишите, если у вас остались вопросы.

    Смотрите также:

    • Конфигурация сервера (серверов) для работы в 1С:ERP

      Каким должны быть сервера (или сервер) для комфортной работы пользователей в системе 1С:ERP? Давайте попробуем разобраться вместе.         В нашей компании начинается новый проект внедрения 1С:ERP в…

    • Установка системы 1С:Предприятие 7.7 в Windows x64

      Установка платформы 1С:Предприятие 7.7 на 64-х битную операционную систему сопряжена с некоторыми трудностями. Дело в том, что установить 1С через обычный установщик не получится, даже если запускать программу в режиме…

    • Установка веб-сервера IIS 8 в Windows 8

      IIS (Internet Information Services) – один из немногих штатных инструментов Windows, которым можно пользоваться, не ища более приемлемых альтернатив от других разработчиков. Веб-сервер IIS с поддержкой языка PHP можно использовать…

    Администрирование 1С для самых маленьких. Часть первая — разделяй и властвуй

    Дисклеймер

    В этой статье выражено личное мнение автора, его видение мира, его путь, и это все не претендует на абсолютную верность и объективность. Автор не несет никакой ответственности за последствия использования данной информации, он только надеется что эта информация поможет сделать кому-то жизнь проще.

    Предисловие

    Сначала я просто хотел написать небольшую статью о том, как мы разносили базы по службам, но в ходе углубления в этот процесс мы добавляли всякие разные штуки (мониторинг служб, потом мониторинг пользователей внутри 1С, потом прикрутили заббикс, и, наконец, пришли к CI/CD на базе 1С). В итоге я понимаю что пихать это в одну статью будет слишком — решил разделить на несколько. Ну а название навеяно циклом статей «сети для самых маленьких», которые принесли мне много приятных минут и к которым я отсылаю всех, кто «хочет изучить сети». Итак, мы приступаем!

    Когда ты признаешь проблему, значит ты на половину уже вылечился (с) один знакомый психиатр

    В этой статье я хочу поделиться своим опытом администрирования большого числа 1С в корпоративном секторе. Базы все разные, есть разработка, есть тестовые, все как у всех. Но их просто достаточно много. И все было хорошо, но в определенный момент проводить какие-то админские работы стало крайне тяжело и рискованно.

    Какие у нас были сложности:


    1. Подвисшая база тянула за собой перезапуск службы, а значит страдали невинные (пользователи других баз)
    2. Было тяжело понять кто сегодня «герой дня» — какая база заняла все ресурсы
    3. Обновление релизов — обновление одной тянуло за собой автоматическое обновление всех баз на этой службе
    4. Ручное подключение баз пользователям, ручное изменение в случае переездов
    5. Мониторинг
      И только сейчас я понимаю что это была только вершина айсберга…

    Акт первый, действие нулевое

    Небольшое отвлечение на основные постулаты, осознание которых далось большой кровью и болью.


    1. Старые версии 1С (до 8.3.11+) имеют просадку по производительности при работе в виртуализированной среде. (Источник — Гилев и собственные тесты)
    2. Кластер есть, но с ним все крайне не просто. Возможно его доработают потом, но пока он в основном для галочки. (источник — собственный опыт)
    3. При выборе процессора смотрите только на частоту. Процессор в 6 ядер по 3,4Ггц порвет в куски процессор на 20 ядер по 2Ггц. Проблема в том, что 1С вообще ничего не знает про параллельные вычисления. По сути это работает так — у нас есть определенное число воркеров для каждой службы, их раскидывают по процессорам, и если в каком то воркере пользователь запустил какой-то тяжелый отчет то в системе будет загружено только одно ядро процессора. Именно то, на котором работает воркер с запущенным заданием… Для БД ситуация кстати ровно обратная. (источник — Гилев, собственный опыт, опыт коллег)
    4. Не используйте логи в «новом» формате (запись в SQLLite) — вы очень быстро столкнетесь с тем, что производительность этого решения еще хуже чем файлового варианта. (Источник — собственный опыт, опыт коллег).
      По подсказкам из комментариев есть вариант вынести логи на отдельный инстанс.
      В 8.3.12 обещали логи в нормальный скуль!!!
    5. 1С оооочень не любит IPv6. На всех серверах с 1С лучше сразу понижать приоритет IPv6 до минимума. (Источник — Гилев, собственный опыт)
    6. Используйте для виртуальных серверов виртуальные сетевые карточки E1000. С остальными проблема по производительности (Источник — Гилев, но на собственном опыте не подтвердилось, хотя особо и не тестили)
    7. Обслуживание баз дает хороший прирост производительности, особенно периодический пересчет итогов, а так же обслуживание индексов SQL (Источник — собственный опыт, Гилев)
    8. Поиск причин падения 1С сродни поеданию неочищенного кактуса. Выяснить что-то толком можно только через боль, унижения и страдания. (Источник — собственный опыт)
    9. Нет ни одного официального образа ни под один гипервизор. Про докер я вообще молчу. (Источник — сайт 1С)
    10. Программная лицензия для сервера привязывается к — сюрприз, сюрприз — серийному номеру процессора (и еще огромному количеству параметров сервера). В эпоху повсеместной виртуализации ход потрясающий. Поясняю — активировали сервер, переехали на другую ноду, перезагрузили машину — 1С не запуститься. Расчехляйте новый активационный код. (Источник — собственный опыт, болтливая техническая поддержка 1С =))
    11. 1С — это учетная система, а не отчетная. Хотите много нормальных жирных отчетов и быстро — выводите это за рамки 1С. (Источник — собственный опыт)
    12. У 1С есть два неоспоримых достоинства, за счет которых она будет процветать еще долго:
      • стоимость самого продукта/разработчиков
      • скорость разработки
        и к сожалению для российского бизнеса они являются первоочередными. А зачастую и единственными, на что вообще смотрят. (Источник — печальная реальность)
    13. Никогда не используйте файловую шару как место под хранилище конфигураций 1С. Только службу. Иначе маты со стороны разработки о упавшем черт знает когда хранилище станут вашим неизменным спутником по жизни. (Источник — собственный опыт, опыт коллег)

    Акт первый, действие первое

    Первая короткая сценка из корпоративной жизни

    На сцене — Админ (А), программист 1С (П1С) и представитель бизнеса (ПБ)
    ПБ — У нас медленно работает программа!
    А — у меня в системе все хорошо!
    П1С — я все написал правильно, у меня на компьютере все работает быстро!
    ПБ (робко и растерянно) — но она же долго…
    А и П1С хором — у нас все хорошо, проблема на вашей стороне!

    Проблемы всегда случаются не вовремя (с) (5-летний философ)

    И вот в одно прекрасное солнечное утро (на самом деле это была глубокая зимняя ночь) мы поняли что завтра надо запустить новую базу. Завтра наступал тот прекрасный день, который уже много раз описывался тысячами авторов и имя ему — легион! Тьфу, простите, занесло. Имя этому дню был дедлайн. Час ночи, завтра на 200 компах должна запуститься новая база.» Да не проблема, у нас же все компы в домене! Сейчас быстренько сделаем логин-скрипт и дело в шляпе!» подумаете вы. И будуте правы — так же подумали и мы. И сделали. Только, как обычно это бывает, погорели на мелочи — я в логон-скрипте я прописал %filename%.bat а коллега выложил %filename%.cmd.

    Ну и понятное дело с утра хелпдеск побежал делать все руками, а мне было очень стыдно за такой тупой фейл. Извинялся перед парнями тортиком.

    Но мысль автоматизации этого процесса у меня в голове засела очень крепко и стал даже вырисовываться план внедрения.

    В итоге мы пришли к следующей идеологии:


    • Все раздается через AD — создаются группы вида 1cbases-%версия платформы%-%имя базы% и туда силами хелпдеста добавляются пользователи, которым нужна база.
      • одна группа — одна база
      • 1cbases — это префикс по которому удобно искать группы
      • версия платформы 81, 82 и 83 (релиз не принципиален)
      • название базы соответствует имени файла с настройками
    • выделяется общая файловая шара где выкладываются все файлы с настройкой подключения к базам (одна база — один файл)
    • при блокировании компьютера вызывается скрипт, который считывает группы пользователя и на их основании добавляет пользователям нужные базы 1С

    Как мы это делали:


    1. Через групповые политики добавляется новое задание в планировщик (задача планировщика прописать пользователю путь к файлу подключения базы):
      • запускать от имени пользователя
      • событие — разблокировка компьютера
      • действие — запуск нашего скрипта
    2. Создаем нужные группы в АД и заполняем их пользователями
    3. Создаем нужные файлы для запуска самих 1С. Тут остановлюсь чуть поподробнее. Изначально мы долго мучили интернет своими запросами и нашли полное описание структуры файлов *.v8i. Но потом нашелся способ проще и гениальнее.
      • запускаем 1С
      • настраиваем подключение к базе
      • проверяем что все работает
      • кликаем правой клавишей по названию базы и выбираем пункт — «Сохранить ссылку в файл»


    Код скрипта:
    #Первым шагом создаем место для логов
    if (Test-Path "$env:HOMEDRIVE\!script_report\add_1c_bases_report.txt")
        {
            Remove-Item "$env:HOMEDRIVE\!script_report\add_1c_bases_report.txt" -Force -ErrorAction SilentlyContinue;
        }
    New-Item "$env:HOMEDRIVE\!script_report\add_1c_bases_report.txt" -ItemType file -Force -ErrorAction SilentlyContinue;
    Add-Content -Value ("Дата последнего запуска: " + (Get-Date -Format F)) -Path "$env:HOMEDRIVE\!script_report\add_1c_bases_report.txt";
    
    if ( (gwmi Win32_OperatingSystem | select Caption, CSDVersion) -notlike "*server*") # запрет запуска на серверных ОС
        {
            Add-Content -Value "Операционная система распознана как клиентская" -Path "C:\!script_report\add_1c_bases_report.txt";
    
            if (!(Test-Path "$env:APPDATA\1C\1CEstart\ibases.v8i")) #если нет этого файла 1С подтягивает данные из списка баз 8.1 и игнорирует список баз 8.2
                {
                    New-Item "$env:APPDATA\1C\1CEstart\ibases.v8i" -ItemType file -Force; # Создаем этот файл если его нет
                    Add-Content -Value "Файл $env:APPDATA\1C\1CEstart\ibases.v8i не найден, создали его" -Path "C:\!script_report\add_1c_bases_report.txt";
                }
            if (Test-Path "$env:APPDATA\1C\1CEstart\1CEStart.cfg")
                {
                    Remove-Item "$env:APPDATA\1C\1CEstart\1CEStart.cfg" -Force #-ErrorAction SilentlyContinue #удаление старого конфигурационного файла для 8.1
                }
    
            New-Item "$env:APPDATA\1C\1CEstart\1CEStart.cfg" -ItemType file -Force #создание нового конфигурационного файла для 8.2
    
            $GroupList = ([ADSISEARCHER]"samaccountname=$($env:USERNAME)").Findone().Properties.memberof -replace '^CN=([^,]+).+$','$1' # Создание списка групп пользователя
            foreach ($Group in $GroupList) # генерация списка общих баз на основе имени группы
                {
                    if ($Group.Length -gt 6) # Проверка длины имени группы
                        {
                            If ($Group.Substring(0,7) -eq "1cbases") # вычисление группы указывающей на базу 1С
                                {
                                    Switch ($Group.Substring(8,2)) # выбор платформы 8.1 или 8.2
                                        {
                                            "81" {Add-Content "$env:APPDATA\1C\1Cv81\ibases.v8l" -Value ("\\gold585.int\TechFiles\CommonBases\" + $Group.Substring(11) +".v8i")} # Создание строчки из файла со списком общих баз для 8.1
                                            "82" {Add-Content "$env:APPDATA\1C\1CEstart\1CEStart.cfg" -Value ("CommonInfoBases=\\gold585.int\TechFiles\CommonBases\" + $Group.Substring(11) +".v8i")} # Создание строчки из файла со списком общих баз для 8.2
                                            "83" {Add-Content "$env:APPDATA\1C\1CEstart\1CEStart.cfg" -Value ("CommonInfoBases=\\gold585.int\TechFiles\CommonBases\" + $Group.Substring(11) +".v8i")} # Создание строчки из файла со списком общих баз для 8.3
                                        }
                                    Add-Content -Value ("Пользователь принадлежит групп $Group") -Path "C:\!script_report\add_1c_bases_report.txt";
                                    Add-Content -Value ("Добавлено значение: CommonInfoBases=\\gold585.int\TechFiles\CommonBases\" + $Group.Substring(11) +".v8i") -Path "C:\!script_report\add_1c_bases_report.txt";
                                }
                        }
                }
        }
    else
        {
            Add-Content -Value "Операционная система распознана как серверная" -Path "C:\!script_report\add_1c_bases_report.txt";
        }

    Что получили:


    1. Добавление баз теперь не было морокой — просто делали группу, добавляли файл с настройками — дальше все происходило автоматом
    2. Могли спокойно переносить базы куда угодно, просто меняя конфигурацию в файле с настройками подключения к базе (как показала практика — очень удобно)
    3. Сберегли обувь хелпдеску

    Акт первый, действие второе

    Вторая короткая сценка из корпоративной жизни

    На сцене — Админ (А), программист 1С (П1С), разговор после ухода представителя бизнеса
    А — Ваш этот 1С — $#%но!!! Сколько можно решать железом проблемы архитектуры и уровня разработчиков!
    П1С — да это ваши сервера #[email protected]но! У меня на локальной файловой базе все летает! Настройте уже ваше хозяйство по нормальному!
    Спорщики удаляются со сцены сыпля взаимными обвинениями, опускается занавес, свет гаснет.

    И с этой стороны ни чуть не лучше… (с) печальный ослик Иа-Иа в свой собственный день рождения

    Вот представьте себе — сидите вы в удобном кресле, в одной руке чашка вкусного чая, в другой пышущая жаром и свежестью булочка из кулинарии ближайшего магазина, за окном приятно пахнет весной… И это, конечно же, самое подходящие время для звонка с проблемой! Коллега — Байконур, у нас %@па!

    Я — я так понимаю что стадию Хьюстона с проблемами мы уже успешно пролетели?
    Коллега — да. База %имя базы% подвисла, вообще не отвечает, ТОПы уже рвут и мечут. 3 раза мне уже звонили. Надо перезагружать службу.
    Я — так там же еще пачка баз на этой службе!!!
    Коллега — да, поэтому вторая половина ТОПов тоже рвет и мечет что их отключат…

    В итоге конечно все согласовали, перезапустили, но осадочек остался.

    Идеология:


    1. В продуктовой среде мы должны следовать правилу — одна база — одна служба с разнесением по портам
    2. Запускаться службы должны исключительно из-под доменных учеток. Одна служба — одна учетка. Это удобно для раздачи прав на шары, доступ в скуль и прочее. Так же, если у вас внедрена RBAC то вы можете очень оперативно посмотреть куда имеет доступ конкретный экземпляр 1С
    3. Логи нужно вынести на отдельный диск и включить на эти папки сжатие (при разбитии по дням это очень сильно экономит место и ускоряет (незначительно) поиск по логам)
    4. Каждой службе выдается alias в DNS для того, чтобы отвязать разработку от ip и/или dns сервера (в этом случае разработка вообще не волнуется на предмет того, где фактически находится сервер — физика, виртуальная машина в приватном облаке или вообще в публичном облаке)
    5. На каждую службу мы выделяем 500 портов для пользовательских соединений (наше внутреннее решение)

    Как мы это делали (для нового сервера. для уже существующего часть шагов не актуальны):


    1. Создаются учетки под каждую службу
    2. На машине, где они будут работать им выдаются права на «запуск как службе»
    3. Ставиться MS офис, обязательно с активацией по MAK-ключу
    4. Ставится sqlncli — утилита из набора MS SQL Native Client. На данный момент выше 2012 не появлялось
    5. Создается папка C:\Windows\SysWOW64\config\systemprofile\Desktop — в противном случае есть проблемы с выгрузками в Word/Excel
    6. Для Windows 2016 и 1С 8.1 нужно скопировать старую версию dll (В папке C:\Program Files\Common Files\System\Ole DB надо заменить два файла sqloledb.dll и sqloledb.rll взятых со старых серверов)
    7. Ставятся дополнительное ODBC драйверы, если нужно подключатся к MySQL/PostgreSQL

    Настройка папки для службы и логов:


    1. Создается папка на отдельном диске называется в формате 1CServer%basename% (в стандартном случае это делает сама служба, ибо у нее есть в настройках запуска путь к логам)
    2. Если внутрь каталога только что созданной службы переносятся данные из другого каталога (другой службы, другого сервера), то необходимо заменить владельцев (иначе служба не получит к ним доступа) с заменой владельца подконтейнеров
    3. Владельцем папки делается учетная запись службы

    Описание настройки службы
    @echo off
    chcp 1251
    установка кодировки
    set base=%base_name%
    название базы без пробелов на английском – для каталога с логами
    
    set dsce=%base name%
    название базы с пробелами на английском – для имени службы
    
    set dscr=%Имя базы%
    название базы на русском – для представления службы
    
    set sver=8.3
    краткая версия – для имени и представления службы
    
    set fver=1cv8\8.3.9.2170
    часть пути к нужной нам версии платформы 1С
    set port=8040
    управляющий порт
    set regp=8041
    основной порт
    set rnge=8060:8491
    диапазон портов для службы
    
    set name="1C:Enterprise %sver% Server Agent (x86-64) %dsce%"
    имя службы (для реестра) по аналогии с типовыми, только добавляется название базы для уникальности названий
    
    set bpth=\"C:\Program Files\%fver%\bin\ragent.exe\" -srvc -agent
    путь к исполняемому файлу для запуска службы
    
    set logs=D:\1C_Server_%base%
    каталог для логов
    
    set user="%login%@%domain_name%"
    такой формат позволяет использовать логины длиннее 20 символов
    
    пароль нигде не указывал при создании, потому что потом всё равно надо его заново указать, только тогда у пользователя будут права на запуск служб;
    
    set view="Агент сервера 1С:Предприятия %sver% (x86-64) %dscr%"
    представление службы в оснастке
    
    sc create %name% binPath= "%bpth% -regport %regp% -port %port% -range %rnge% -d \"%logs%\"" type= "own" start= "auto" error= "severe" depend= "Tcpip/Dnscache/lanmanworkstation/lanmanserver" obj= %user%DisplayName= %view%
    тут:
    type= "own" – тип службы, какие бывают еще сам посмотри
    start= "auto" – автоматический запуск
    error= "severe" – не помню что значит, но устанавливает правильное значение ключа в реестре ErrorControl = 2
    depend= "Tcpip/Dnscache/lanmanworkstation/lanmanserver" – зависимости (на четвертой вкладке указаны, вручную не настраиваются)
    
    sc description %name% %view%
    задает представление в оснастке, сразу при создании не указывается
    
    sc failure %name% reset= 0 actions= "restart/0"
    настройка на вкладке восстановление – перезапуск во всех случаях, через 0 минут; сброс счетчика через 0 дней
    
    То же самое без комментариев:
    
    @echo off
    chcp 1251
    set base=%base_name%
    set dsce=%base name%
    set dscr=%Имя базы%
    set sver=8.3
    set fver=1cv8\8.3.9.2170
    set port=8040
    set regp=8041
    set rnge=8060:8491
    
    set name="1C:Enterprise %sver% Server Agent (x86-64) %dsce%"
    set bpth=\"C:\Program Files\%fver%\bin\ragent.exe\" -srvc -agent
    set logs=D:\1C_Server_%base%
    set user="%login%@domain.company"
    set view="Агент сервера 1С:Предприятия %sver% (x86-64) %dscr%"
    
    sc create %name% binPath= "%bpth% -regport %regp% -port %port% -range %rnge% -d \"%logs%\"" type= "own" start= "auto" error= "severe" depend= "Tcpip/Dnscache/lanmanworkstation/lanmanserver" obj= %user% DisplayName= %view%
    
    sc description %name% %view%
    
    sc failure %name% reset= 0 actions= "restart/0"

    Нюансы:


    1. Для того, чтобы в службах не было кроказябр
      • в cmd ввести команду chcp 1251
      • файл надо сохранить в ANSI кодировке
    2. Обязательно надо проверить на отсутствие дублирующих ключей в строке запуска — служба с ними не стартует!!!
    3. Для того, чтобы удалить службу, можно воспользоваться командой — sc delete «Имя заданное в переменной name»
    4. Добавить порты используемые 1С в разрешения в firewall
    5. Нужен всего один физический ключ на сервер — все службы будут активироваться им

    После проведения всех мероприятий в итоге мы пришли к:


    1. Базы можно спокойно перезагружать, не трогая другие базы
    2. Всегда можно найти «героя» — базу, которая съедает все ресурсы
    3. Любые работы с базой касаются только одной конкретной базы

    В следующих статьях я планирую рассказать (если эта статья народу зайдет):


    • как мы перевели авторизацию в MSSQL на kerberos и вообще оптимизировали доступы
    • как мы сделали мониторинг служб — кто сколько занял ресурсов
    • как мы сделали мониторинг внутри службы 1С выявления блокировок пользователями быстрее, чем они позвонят
    • как мы пытались внедрить CI для 1С и что из этого вышло

    UPD. Дополнил кое-что по комментариям

    Особенности использования консоли администрирования серверов 1С:Предприятие разных версий

    21/03/2016

    Особенности использования консоли администрирования серверов 1С:Предприятие разных версий

    Введение

    В продолжение ранее опубликованной статьи, описывающей возможность запуска нескольких служб 1С на одном сервере, хотели бы рассказать об особенностях использования консоли администрирования северов 1С:Предприятия разных версий. Дело в том, что при штатной установке данной консоли администрировать получится только сервер 1С одной версии. Если установлено несколько версий платформы на одном сервере и работает несколько служб 1С, встает вопрос о том, как же администрировать сервера 1С разных версий в рамках одного сервера?

    Регистрация консоли 1С

    Для регистрации консоли администрирования серверов 1С:Предприятие фирма 1С предлагает использовать исполняемый файл RegMSC.cmd, расположенный в папке bin каталога сервера 1С. Данный файл можно запустить из меню «Пуск» в Windows: «1С Предприятие 8 -> Дополнительно -> [нужная версия платформы 1С] -> Регистрация утилиты администрирования серверов 1С Предприятия».

    Файл RegMSC.cmd содержит следующий скрипт:

    regsvr32 /n /i:user radmin.dll

    Цель данного скрипта состоит только в том, чтобы зарегистрировать компоненту radmin.dll. На практике использовать данный скрипт неудобно, так как каждый раз перед запуском консоли администрирования серверов 1С:Предприятие нужной версии приходится запускать соответствующий файл RegMSC.cmd. Плюс ко всему данный скрипт неработоспособен и нуждается в доработке (скорее всего, при его выполнении вы получите сообщение об успешной регистрации компоненты, но работать консоль не будет).

    Итак, мы хотим получить работоспособный скрипт, который нам позволит автоматизировать и выполнять в один клик следующие действия:

    1. Регистрация компоненты radmin.dll нужной версии;
    2. Запуск консоли кластера 1С.

    Предлагаем изменить вышеуказанный скрипт и создать основной универсальный скрипт регистрации компоненты и запуска оснастки (консоли), а также создать «скрипты-стартеры» консолей нужных версий. Вот, что у нас получилось:

    rem %1 – полный номер версии 1С:Предприятия

    @echo off

    start /wait regsvr32 /s «C:\Program Files (x86)\1cv8\%1\bin\radmin.dll»

    start «C:\Windows\System32\mmc.exe» «C:\Program Files (x86)\1cv8\common\1CV8 Servers.msc»

    Данный скрипт следует сохранить в исполняемый файл формата .bat (например, «start_console.bat»). Разберем данный скрипт поподробнее. За корректную регистрацию компоненты radmin.dll отвечает строка:

    start /wait regsvr32 /s «C:\Program Files (x86)\1cv8\%1\bin\radmin.dll»

    В качестве параметра (%1) в неё передается номер версии платформы 1С. Следующая строка отвечает за запуск консоли MMC с оснасткой для администрирования серверов 1С:Предприятие:

    start «C:\Windows\System32\mmc.exe» «C:\Program Files (x86)\1cv8\common\1CV8 Servers.msc»

    Далее создадим «скрипт-стартер», который позволит запустить консоль для администрирования сервера 1С:Предприятие, например, версии 8.3.7.1873. Выглядеть он будет следующим образом:

    start_console 8.3.7.1873

    Этот скрипт также нужно сохранить в исполняемый файл с расширением .bat и назвать соответствующим образом с указанием версии платформы 1С.

    Так как регистрация компоненты radmin.dll не оказывает влияния на работу уже запущенных консолей администрирования серверов 1С:Предприятие, то с помощью данного подхода и предложенных скриптов мы можем запускать одновременно консоли администрирования серверов 1С:Предприятие разных версий и успешно в них работать, с кластером своей версии в каждой. Готово, теперь вы можете администрировать несколько версий сервера 1С на одном сервере.

    Обратите внимание, что в предложенных скриптах используются 32-разрядные версии компонентов. При попытке аналогичным образом зарегистрировать 64-разрядной компоненту, вы получите сообщение о том, что она успешно зарегистрирована, однако затем при запуске консоли администрирования серверов 1С:Предприятие вероятнее всего увидите ошибку вида:

    MMC could not create the snap in, Name: 1C:Enterprise (x86-64) Servers, CLSID:…

    Пока данная проблема не решена, использование нескольких 64-разрядных консолей администрирования серверов 1С:Предприятие в рамках одного сервера не представляется возможным. Если у вас есть другая информация и вы знаете, как можно решить эту проблему – пишите нам, с радостью обновим статью.

    Заключение

    Ошибка консоли администрирования серверов 1С:Предприятие 8.3

    1c:1c-enterprise-server-administration-console-8-3-mmc-could-not-create-the-snap-in

    Ошибка консоли администрирования серверов 1С:Предприятие 8.3 — MMC could not create the snap-in

    После установки 1С:Предприятие 8.3 с компонентами администрирования на сервере Windows Server 2012 R2 при попытке запуска консоли администрирования «Администрирование серверов 1С Предприятия» (вызываемая оснастка C:\Program Files (x86)\1cv8\common\1CV8 Servers.msc) мы можем получить ошибку MMC could not create the snap-in.

    Решение проблемы

    В стартовом меню ОС находим ярлык с именем «Регистрация утилиты администрирования серверов (<версия платформы>)», ссылающийся на командный файл «C:\Program Files (x86)\1cv8\<версия платформы>\bin\RegMSC.cmd», и запускаем его с правами Администратора.

    В результате выполнения командного файла мы получим сообщение об успешной регистрации библиотеки, необходимой для работы консоли управления 1С.

    После этого повторно запускаем консоль управления и убеждаемся в её работоспособности.


    Проверено на следующих конфигурациях:

    Версия ОС Версия 1С:Предприятие
    Microsoft Windows Server 2012 R2 Standard EN (6.3.9600) 8.3.12.1567 32-bit

    Автор первичной редакции:
    Алексей Максимов
    Время публикации: 18.10.2018 06:08

    1c/1c-enterprise-server-administration-console-8-3-mmc-could-not-create-the-snap-in.txt · Последнее изменение: 18.10.2018 11:44 — Алексей Максимов

    Про кластер серверов 1С / Блог компании 1С / Хабр

    Кластер — это разновидность параллельной
    или распределённой системы, которая:
    1. состоит из нескольких связанных
    между собой компьютеров;
    2. используется как единый,
    унифицированный компьютерный ресурс

    Gregory F. Pfister, «In search of clusters».

    Дано: есть бизнес-приложение (например, ERP-система), с которым работают одновременно тысячи (возможно, десятки тысяч) пользователей.

    Требуется:

    1. Сделать приложение масштабируемым, чтобы при увеличении количества пользователей можно было за счёт наращивания аппаратных ресурсов обеспечить необходимую производительность приложения.
    2. Сделать приложение устойчивым к выходу из строя компонентов системы (как программных, так и аппаратных), потере связи между компонентами и другим возможным проблемам.
    3. Максимально эффективно задействовать системные ресурсы и обеспечить нужную производительность приложения.
    4. Сделать систему простой в развертывании и администрировании.

    Чтобы решить эти задачи, мы в платформе 1С:Предприятие используем кластерную архитектуру.

    К желаемому результату мы пришли не сразу.

    В этой статье расскажем о том, какие бывают кластеры, как мы выбирали подходящий нам вид кластера и о том, как эволюционировал наш кластер от версии к версии, и какие подходы позволили нам в итоге создать систему, обслуживающую десятки тысяч одновременных пользователей.



    Как писал автор эпиграфа к этой статье Грегори Пфистер в своей книге «In search of clusters», кластер был придуман не каким-либо конкретным производителем железа или софта, а клиентами, которым не хватало для работы мощностей одного компьютера или требовалось резервирование. Случилось это, по мнению Пфистера, ещё в 60-х годах прошлого века.
    Традиционно различают следующие основные виды кластеров:

    1. Отказоустойчивые кластеры (High-availability clusters, HA, кластеры высокой доступности)
    2. Кластеры с балансировкой нагрузки (Load balancing clusters, LBC)
    3. Вычислительные кластеры (High performance computing clusters, HPC)
    4. Системы распределенных вычислений (grid) иногда относят к отдельному типу кластеров, который может состоять из территориально разнесенных серверов с отличающимися операционными системами и аппаратной конфигурацией. В случае grid-вычислений взаимодействия между узлами происходят значительно реже, чем в вычислительных кластерах. В grid-системах могут быть объединены HPC-кластеры, обычные рабочие станции и другие устройства.

    Для решения наших задач (устойчивость к выходу из строя компонентов системы и эффективное использование ресурсов) нам требовалось объединить функциональность отказоустойчивого кластера и кластера с балансировкой нагрузки. Пришли мы к этому решению не сразу, а приближались к нему эволюционно, шаг за шагом.

    Для тех, кто не в курсе, коротко расскажу, как устроены бизнес-приложения 1С. Это приложения, написанные на предметно-ориентированном языке, «заточенном» под автоматизацию учётных бизнес-задач. Для выполнения приложений, написанных на этом языке, на компьютере должен быть установлен рантайм платформы 1С:Предприятия.

    1С:Предприятие 8.0


    Первая версия сервера приложений 1С (еще не кластер) появилась в версии платформы 8.0. До этого 1С работала в клиент-серверном варианте, данные хранились в файловой СУБД или MS SQL, а бизнес-логика работала исключительно на клиенте. В версии же 8.0 был сделан переход на трехзвенную архитектуру «клиент – сервер приложений – СУБД».

    Сервер 1С в платформе 8.0 представлял собой СОМ+ сервер, умеющий исполнять прикладной код на языке 1С. Использование СОМ+ обеспечивало нам готовый транспорт, позволяющий клиентским приложениям общаться с сервером по сети. Очень многое в архитектуре и клиент-серверного взаимодействия, и прикладных объектов, доступных разработчику 1С, проектировалось с учетом использования СОМ+. В то время в архитектуру не было заложено отказоустойчивости, и падение сервера вызывало отключение всех клиентов. При падении серверного приложения СОМ+ поднимал его при обращении к нему первого клиента, и клиенты начинали свою работу с начала – с коннекта к серверу. В то время всех клиентов обслуживал один процесс.

    1С:Предприятие 8.1


    В следующей версии мы захотели:
    • Обеспечить нашим клиентам отказоустойчивость, чтобы аварии и ошибки у одних пользователей не приводили авариям и ошибкам у других пользователей.
    • Избавиться от технологии СОМ+. СОМ+ работала только на Windows, а в то время уже начала становиться актуальной возможность работы под Linux.

    При этом мы не хотели разрабатывать новую версию платформы с нуля – это было бы слишком ресурсозатратно. Мы хотели по максимуму использовать наши наработки, а также сохранить совместимость с прикладными приложениями, разработанными для версии 8.0.

    Так в версии 8.1 появился первый кластер. Мы реализовали свой протокол удаленного вызова процедур (поверх ТСР), который по внешнему виду выглядел для конечного потребителя-клиента практически как СОМ+ (т.е. нам практически не пришлось переписывать код, отвечающий за клиент-серверные вызовы). При этом сервер, реализованный нами на С++, мы сделали платформенно-независимым, способным работать и на Windows, и на Linux.

    На смену монолитному серверу версии 8.0 пришло 3 вида процессов – рабочий процесс, обслуживающий клиентов, и 2 служебных процесса, поддерживающих работу кластера:

    • rphost – рабочий процесс, обслуживающий клиентов и исполняющий прикладной код. В составе кластера может быть больше одного рабочего процесса, разные рабочие процессы могут исполняться на разных физических серверах – за счёт этого достигается масштабируемость.
    • ragent – процесс агента сервера, запускающий все другие виды процессов, а также ведущий список кластеров, расположенных на данном сервере.
    • rmngr – менеджер кластера, управляющий функционированием всего кластера (но при этом на нем не работает прикладной код).

    Под катом – схема работы этих трёх процессов в составе кластера.

    Клиент на протяжении сессии работал с одним рабочим процессом, падение рабочего процесса означало для всех клиентов, которых этот процесс обслуживал, аварийное завершение сессии. Остальные клиенты продолжали работу.

    1С:Предприятие 8.2


    В версии 8.2 мы захотели, чтобы приложения 1С могли запускаться не только в нативном (исполняемом) клиенте, а ещё и в браузере (без модификации кода приложения). В связи с этим, в частности, встала задача отвязать текущее состояние приложения от текущего соединения с рабочим процессом rphost, сделать его stateless. Как следствие возникло понятие сеанса и сеансовых данных, которые нужно было хранить вне рабочего процесса (потому что stateless). Был разработан сервис сеансовых данных, хранящий и кэширующий сеансовую информацию. Появились и другие сервисы — сервис управляемых транзакционных блокировок, сервис полнотекстового поиска и т.д.

    В этой версии также появились несколько важных нововведений – улучшенная отказоустойчивость, балансировка нагрузки и механизм резервирования кластеров.

    Отказоустойчивость


    Поскольку процесс работы стал stateless и все необходимые для работы данные хранились вне текущего соединения «клиент – рабочий процесс», в случае падения рабочего процесса клиент при следующем обращении к серверу переключался на другой, «живой» рабочий процесс. В большинстве случаев такое переключение происходило незаметно для клиента.

    Механизм работает так. Если клиентский вызов к рабочему процессу по какой-то причине не смог исполниться до конца, то клиентская часть способна, получив ошибку вызова, этот вызов повторить, переустановив соединение с тем же рабочим процессом или с другим. Но повторять вызов можно не всегда; повтор вызова означает, что мы отправили вызов на сервер, а результата не получили. Мы стараемся повторить вызов, при этом при выполнении повторного вызова мы оцениваем, каков результат на сервере был у предшествующего вызова (информация об этом сохраняется на сервере в данных сеанса), потому что если вызов успел там «наследить» (закрыть транзакцию, сохранить сеансовые данные и т.п.) – то просто так повторять его нельзя, это приведет к рассогласованию данных. Если повторять вызов нельзя, клиент получит сообщение о неисправимой ошибке, и клиентское приложение придется перезапустить. Если же вызов «наследить» не успел (а это наиболее частая ситуация, т.к. многие вызовы не меняют данных, например, отчеты, отображение данных на форме и т.п., а те, которые меняют данные – пока транзакция не зафиксирована или пока изменение сеансовых данных не отправлено в менеджер – следов вызов не оставил) — его можно повторить без риска рассогласования данных. Если рабочий процесс упал или произошел обрыв сетевого соединения – такой вызов повторяется, и эта «катастрофа» для клиентского приложения происходит полностью незаметно.

    Балансировка нагрузки


    Задача балансировки нагрузки в нашем случае звучит так: в систему заходит новый клиент (или уже работающий клиент совершает очередной вызов). Нам надо выбрать, на какой сервер и в какой рабочий процесс направить вызов клиента, чтобы обеспечить клиенту максимальное быстродействие.

    Это стандартная задача для кластера с балансировкой нагрузки. Есть несколько типовых алгоритмов её решения, например:

    • Round-Robin (циклический) – серверам присваиваются порядковые номера, первый запрос отправляется на первый сервер, второй запрос – на второй и т. д. до достижения последнего сервера. Следующий запрос направляется на первый сервер и всё начинается с начала. Алгоритм прост в реализации, не требует связи между серверами и неплохо подходит для «легковесных» запросов. Но при балансировке по этому алгоритму не учитывается производительность серверов (которая может быть разной) и текущая загруженность серверов.
    • Weighted Round Robin – усовершенствованный Round-Robin: каждому серверу присваивается весовой коэффициент в соответствии с его производительностью, и сервера с бо́льшим весом обрабатывают больше запросов.
    • Least Connections: новый запрос передается на сервер, обрабатывающий в данный момент наименьшее количество запросов.
    • Least Response Time: сервер выбирается на основе времени его ответа: новый запрос отдаётся серверу, ответившему быстрее других серверов.

    Для нашего кластера мы выбрали алгоритм, близкий по сути к Least Response Time. У нас есть механизм, собирающий статистику производительности рабочих процессов на всех серверах кластера. Он делает эталонный вызов каждого процесса сервера в кластере; эталонный вызов задействует некоторое подмножество функций дисковой подсистемы, памяти, процессора, и оценивает, насколько быстро выполняется такой вызов. Результат этих измерений, усредненный за последние 10 минут, является критерием — какой сервер в кластере является наиболее производительным и предпочтительным для отправки к нему клиентских соединений в данный период времени. Запросы клиентов распределяются таким образом, чтобы получше нагрузить наиболее производительный сервер – грузят того, кто везет.

    Запрос от нового клиента адресуется на наиболее производительный на данный момент сервер.

    Запрос от существующего клиента в большинстве случаев адресуется на тот сервер и в тот рабочий процесс, в который адресовался его предыдущий запрос. С работающим клиентом связан обширный набор данных на сервере, передавать его между процессами (а тем более между серверами) – довольно накладно (хотя мы умеем делать и это).

    Запрос от существующего клиента передается в другой рабочий процесс в двух случаях:

    1. Процесса больше нет: рабочий процесс, с которым ранее взаимодействовал клиент, более недоступен (упал процесс, стал недоступен сервер и т.п.).
    2. Есть более производительный сервер: если в кластере есть сервер, отличающийся по производительности в два и более раза по сравнению с сервером, где запушен текущий рабочий процесс, то платформа считает, что даже ценой миграции клиентского контекста нам выгоднее выполнять запросы на более производительном сервере. Переноситься клиенты с одного сервера на другой будут постепенно, по одному, с периодической оценкой результата – что в плане производительности стало с серверами после переноса каждого из клиентских процессов. Цель этой процедуры – выравнивание производительности серверов в кластере (т.е. равномерная загрузка серверов).

    Резервирование кластеров


    Мы решили повысить отказоустойчивость кластера, прибегнув к схеме Active / passive. Появилась возможность конфигурировать два кластера – рабочий и резервный. В случае недоступности основного кластера (сетевые неполадки или, например, плановое техобслуживание) клиентские вызовы перенаправлялись на резервный кластер.

    Однако эта конструкция была довольно сложна в настройке. Администратору приходилось вручную собирать две группы серверов в кластеры и конфигурировать их. Иногда администраторы допускали ошибки, устанавливая противоречащие друг другу настройки, т.к. не было централизованного механизма проверки настроек. Но, тем не менее, этот подход повышал отказоустойчивость системы.

    1С:Предприятие 8.3


    В версии 8.3 мы существенно переписали код серверной части, отвечающий за отказоустойчивость. Мы решили отказаться от схемы Active / passive кластеров ввиду сложности её конфигурирования. В системе остался только один отказоустойчивый кластер, состоящий из любого количества серверов – это ближе к схеме на Active / active, в которой запросы на отказавший узел распределяются между оставшимися рабочими узлами. За счет этого кластер стал проще в настройке. Ряд операций, повышающих отказоустойчивость и улучшающих балансировку нагрузки, стали автоматизированными. Из важных нововведений:
    • Новая настройка кластера «Уровень отказоустойчивости»: число, указывающее, сколько серверов может выйти из строя без последствий в виде аварийного завершения сеансов подключенных пользователей. Исходя из этой настройки кластер будет тратить определённый объём ресурсов на синхронизацию данных между рабочими серверами, чтобы иметь всю необходимую для продолжения работы клиентов информацию на «живых» серверах в случае выхода из строя одного или нескольких серверов.
    • Количество рабочих процессов не задается вручную, как раньше, а автоматически рассчитывается исходя из описаний требований задач по отказоустойчивости и надежности.
    • Появился ряд настроек, связанных с максимальными объемами памяти, которые разрешается потреблять рабочим процессам, а также настройки, определяющие что делать, если эти объемы превышены:

    Главная идея этих наработок – упростить работу администратора, позволяя ему настраивать кластер в привычных ему терминах, на уровне оперирования серверами, не опускаясь ниже, а также минимизировать уровень «ручного управления» работой кластера, дав кластеру механизмы для решения большинства рабочих задач и возможных проблем «на автопилоте».

    Три звена отказоустойчивости


    Как известно, даже если компоненты системы по отдельности надёжны, проблемы могут возникнуть там, где компоненты системы вызывают друг друга. Мы хотели свести количество мест, критичных для работоспособности системы, к минимуму. Важным дополнительным соображением была минимизация переделок прикладных механизмов в платформе и исключение изменений в прикладных решениях. В версии 8.3 появилось 3 звена обеспечения отказоустойчивости «на стыках»:


    1. Связь между клиентом, работающим по HTTP(S), и веб-сервером. В случае веб-клиента этот механизм стандартно реализуется веб-технологиями. В случае тонкого клиента, работающего по HTTP с веб-сервером, или мобильного клиента (мобильный клиент всегда работает по HTTP) мы используем библиотеку libcurl с открытым исходным кодом.
    2. Отслеживание разрывов соединений, механизм балансировки нагрузки и механизм повторов вызовов позволяют как можно раньше узнать о возникшей проблеме и предпринять действия по её устранению.
    3. Связь между ТСР-клиентом и рабочим процессом. Клиентом ТСР может выступать либо клиент 1С, либо расширение веб-сервера при работе клиента через НТТР. При выполнении каждого НТТР-вызова происходит выбор наиболее подходящего соединения с рабочим процессом и отправка этого вызова. Наиболее подходящее соединение выбирается исходя из того, в какой рабочий процесс отправлялся предыдущий вызов данного клиента. Если следующий вызов клиента можно отправить в тот же рабочий процесс, куда ушел предыдущий вызов – мы так и поступаем. Только если по какой-то причине в данный рабочий процесс вызов отправить нельзя (потому, что рабочий процесс стал недоступен, либо мы знаем, что есть другой рабочий процесс с существенно лучшей производительностью) – мы отправляем новый клиентский вызов в более подходящий рабочий процесс.
    4. Связь между рабочими процессами сервисами кластера, реализованными в процессах rmngr. Сервисов кластера около 20 (в зависимости от версии платформы) — сервис сеансовых данных, сервис транзакционных блокировок и т.д. На этом уровне существенную роль играют механизм распределения сервисов по серверам и репликация данных сервисов кластера. Балансировка нагрузки на уровне 1С:Предприятия позволяет получать приблизительно одинаковую лучшую производительность от всех рабочих серверов.

    В заключение


    Благодаря механизму отказоустойчивости приложения, созданные на платформе 1С:Предприятие, благополучно переживают разные виды отказов рабочих серверов в кластере, при этом бо́льшая часть клиентов продолжают работать без перезапуска.

    Бывают ситуации, когда мы не можем повторить вызов, или падение сервера застает платформу в очень неудачный момент времени, например, в середине транзакции и не очень понятно, что с ними делать. Мы стараемся обеспечить статистически хорошую выживаемость клиентов при падении серверов в кластере. Как правило, средние потери клиентов за отказ сервера – единицы процентов. При этом все «потерянные» клиенты могут продолжить работу в кластере после перезапуска клиентского приложения.

    Надежность кластера серверов 1С в версии 8.3 существенно повысилась. Уже давно не редкость внедрения продуктов 1С, где количество одновременно работающих пользователей достигает нескольких тысяч. Есть и внедрения, где одновременно работают и 5 000, и 10 000 пользователей — например, внедрение в «Билайне», где приложение «1С: Управление Торговлей» обслуживает все салоны продаж «Билайн» в России, или внедрение в грузоперевозчике «Деловые Линии», где приложение, самостоятельно созданное разработчиками ИТ-отдела «Деловых Линий» на платформе 1С:Предприятие, обслуживает полный цикл грузоперевозок. Наши внутренние нагрузочные тесты кластера эмулируют одновременную работу до 20 000 пользователей.

    В заключение хочется кратко перечислить что ещё полезного есть в нашем кластере (список неполный):

    • Настройки безопасности, ограничивающие прикладному решению потенциально опасные для функционирования кластера операции. Например, можно ограничить доступ к файловой системе сервера или запретить прикладному решению запускать приложения, установленные на сервере.
    • Требования назначения функциональности – механизм, позволяющий администратору указать, какие сервисы кластера, прикладные решения (или даже отдельные функции прикладных решений – отчёты, фоновые и регламентные задания и т.д.) должны работать на каждом из серверов. Например, если заранее известно, что с конкретным прикладным решением (например, бухгалтерией) будет работать существенно меньше пользователей, чем с ERP, возможно, имеет смысл настроить более мощный сервер на работу исключительно с ERP.
    • Управление потреблением ресурсов – механизм, отслеживающий потребление кластером ресурсов (память, процессорное время, вызовы СУБД и т.д.). Он позволяет, в частности, выставлять пользователям квоты ресурсов, которые они не могут превысить, и прерывать операции, выполнение которых влияет на производительность сервера в целом.

    Администрирование сервера 1с

    Автоматизированная система 1С Предприятия позволяет осуществлять управленческий, торговый, бухгалтерский учет, получать необходимые отчеты. Предусмотрены два типа работы программы:

    • Файловый – 1С устанавливается только на один компьютер, работать с базами данных не может ни один менеджер. Этот вариант подходит для малых компаний с небольшим торговым оборотом.
    • Клиент-версия. В работе с 1С задействована система пользователей, базы данных расположены на одном компьютере, с которым связаны все остальные. Вариант работы имеет трехуровневую архитектуру, состоящую из клиентского приложения, сервера 1С Предприятия и баз данных в формате MS SQL Server или PostgreSQL. В этом случае применяется администрирование серверов 1С, чтобы обеспечить правильную настройку.

    Консоль администрирования серверов 1С: основные функции

    У сервера 1С отсутствует встроенный интерфейс для осуществления администрирования, поэтому используется консоль. Она входит в стандартный пакет поставки соответствующей версии 1С Предприятия. Эта стандартная утилита устанавливается на каждый локальный компьютер, при этом базы данных могут размещаться здесь же или на удаленном сервере.

    При помощи консоли для администрирования сервера 1С Предприятия можно решить следующие задачи:

    • Вносить изменение в функционирование сервера, создавать новые, удалять ненужные. На них можно размещать базы данных, определять взаимодействие между различными пользователями.
    • Создавать администраторов. Это пользователи, которые имеют права доступа для внесения изменений серверов. Каждый администратор может управлять только закрепленным сервером. Если не добавить ни одного администратора, администрированием сервера 1С может заниматься любой зарегистрированный пользователь.
    • Создание рабочих процессов кластера 1С. Добавление рабочих процессов позволяет оказывать влияние на производительность конкретного пользователя в системе. В свойствах можно установить максимальное значение производительности (до 1000). Запускаемые сеансы присоединяются к процессу с максимальной производительностью. Систематически система самостоятельно проводит анализ и перераспределяет эти значения для оптимизации.
    • Создание баз данных в 1С Предприятии. Можно установить возможность подключения к ней пользователей или разрешить работу только локально.
    • Принудительное завершение сеансов. Иногда сообщение сервера информирует о том, что под указанным именем пользователя уже производится работа. Система не всегда самостоятельно прекращает этот процесс, поэтому администрирование позволяет принудительно завершить сеанс для любого пользователя.

    Как начать работу в 1С?

    Клиентское приложение 1С Предприятия – это пустая платформа. Чтобы она начала функционировать, необходимо выполнить несколько последовательных действий:

    • Инсталлируется консоль. Она позволяет осуществлять последующее администрирование серверов 1С.
    • Создание Центрального сервера. После на его основе можно создавать подотчетные ему структуры. Для этого при помощи контекстного меню вводится имя, используемый протокол, номер применяемого для связи порта.
    • Создание кластера. В этом случае также поможет контекстное меню. Необходимо заполнить запрашиваемую информацию (имя кластера, используемого компьютера, порт для соединения, не обязательно совпадающий с портом, указанным ранее).
    • Создание информационной базы данных. В соответствующей ветке необходимо также воспользоваться контекстным меню. В нем вводятся требуемые параметры (наименование, описание, тип соединения, место дислокации, тип СУБД, имя пользователя и его пароль). После подтверждения правильности введенных данных база создана. Теперь в нее можно вносить необходимые данные.

    На первый взгляд, администрирование 1С Предприятия – процесс несложный, но без правильных настроек система не будет работать правильно, пользователь не сможет использовать ее возможности максимально. Также возможны дополнительные технические проблемы.

    Администрирование профессионалами: основные преимущества

    Клиент-версию 1С используют компании среднего и крупного бизнеса, которым необходимо связать в единую систему все компьютеры, включая удаленные структурные подразделения. Это позволяет принимать управленческие решения, получать консолидированные отчеты, вести общую бухгалтерию.

    Важную роль играет правильная настройка и постоянное поддержание работоспособности платформы, создание пользователей, кластеров, администраторов, внесение изменений в базы данных. Для этого нужно иметь определенный штат специалистов. Для этого можно нанять новых сотрудников, постоянно обучать имеющихся людей или отдать услугу на аутсорсинг. Каждая компания сама решает, какой из методов целесообразен в конкретных условиях функционирования.

    Администрирование платформы 1С, выполняемое профессиональными специалистами, имеет ряд преимуществ:

    • Правильная настройка системы, которая позволяет гарантировать 1С адекватную работу, без технических сбоев.
    • Постоянное внесение изменений, контроль безопасности. Деятельность компании динамична, она ставит перед автоматизированной системой новые задачи для принятия управленческих, стратегических решений.
    • Установка новых модулей, правильное распределение прав доступа, создание подсистем. Особенно важно для крупных компаний, имеющих филиалы, удаленные подразделения.
    • Контроль загруженности системы, распределение нагрузки на разные серверные компьютеры.

    1С работает с различным расположением компонентов архитектуры, они могут находиться на одном или разных компьютерах. Для обеспечения максимальной системы защиты рекомендуется каждый элемент размещать на разных компьютерах.

    1С: Предприятие 8.3. Клиент-серверный режим. Руководство администратора. Глава 4. Запуск компонентов системы

    ГЛАВА 4. ЗАПУСК КОМПОНЕНТОВ СИСТЕМЫ

    При установке 1С: Предприятия папка с именем 1С Enterprise 8 создается в меню Пуск — Программы. В этой папке будет меню конструкция, аналогичная показанной на рис. 26:

    Рис. 26. Структура меню

    Товаров

    Назначение

    1С Предприятие

    Запускает программу запуска (1CEStart.exe)

    8.3.3.658

    8.3.3.659

    Папки со ссылками для запуска компоненты конкретной версии (в примере установлено две версии: 8.3.3.658 и 8.3.3.659)

    Установите драйвер устройства HASP

    Запускает установку драйвера безопасности

    Удаление драйвера устройства HASP

    Запускает удаление драйвера безопасности

    1С Предприятие 8 (тонкий клиент)

    Запускает программное обеспечение в системе 1С: Предприятие. клиентский режим

    1С: Предприятие (толстый клиент)

    Запускает программное обеспечение в системе 1С: Предприятие. клиентский режим

    Дизайнер

    Запускает программу в режиме конструктора

    ReadMe — Дополнительная информация

    Дополнительная информация, не включенная в документация

    1С Предприятие 7.7 Конвертер IB

    Программа конвертации информационной базы 1С: Предприятие 7.7 (устаревшая версия)

    Администрирование 1С Предприятие Сервер

    Сервер утилита администрирования кластера (при доступе к кластеру серверов 1С: Предприятия компоненты установлены)

    Запуск сервера 1С Предприятия

    Работает на сервере 1С: Предприятия. как службу Windows (если установка сервера 1С: Предприятия как служба Windows была проверена на сервере установки) или как приложение (если Установить сервер 1С: Предприятия как Служба Windows была не проверяется при установке сервера).В этом случае сервер отключается как обычное приложение

    Остановить сервер 1С Предприятия

    Остановите 1С: Предприятие сервер, работающий как служба Windows (если Флажок «1С: Предприятие как услуга Windows» установлен, когда сервер установлено)

    Регистрация консоли MSC

    Регистры 1С: Предприятие утилита администрирования серверов (radmin.dll) для конкретной версии. После регистрации серверы этой версии могут быть подключены к этому утилита администрирования

    4.1. ЗАПУСК СЕРВЕРНОГО АГЕНТА

    Для запуска кластера серверов 1С: Предприятия необходимо запустить агент сервера (ragent). Все последующие действия будут выполнять система автоматически. При запуске агент сервера ищет список кластеры, зарегистрированные на этом компьютере.

    Если список находится, агент сервера запускает указанный кластерные менеджеры. Эти менеджеры предоставляют агенту информацию о рабочие процессы, выполняемые в каждом кластере, и агент запускает эти процессы самостоятельно или с помощью агентов, запущенных на других рабочих серверы кластера.

    Если список кластеров не найден, агент сервера создает кластер по умолчанию. Параметры кластера по умолчанию следующие:

    Сеть номер порта — 1541;

    Сеть диапазон портов — 1560: 1591;

    Поддержка отключено несколько рабочих процессов;

    А единый рабочий процесс, номер порта выбирается из указанного диапазона.

    4.1.1. Окна

    4.1.1.1. Запуск как приложение

    Агент сервера может быть запущен как приложение. Для этого выполните следующую команду:

     ragent -debug
    -port <порт> -regport <порт> -диапазон <диапазон>
    -seclev <уровень> -d <каталог> 

    ВАЖНО!

    Имена параметров и их значения должны быть Разделены пробелами.

    Команда запуска может использовать следующие параметры:

    -порт <порт>

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Номер сетевого порта агента сервера (ragent).Этот порт используется консолью кластера для отправки запроса на центральный сервер. Порт кластера агентов также указывается как сетевой порт рабочего сервера. Значение по умолчанию: 1540.

    -регистр <порт>

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Номер сетевого порта главного диспетчера кластера (rmngr) создается по умолчанию при первом запуске ragent. Значение по умолчанию: 1541.

    -seclev <уровень>

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Уровень безопасности процесса агента кластера.Это определяет уровень безопасности соединений с агрессивным процессом. Возможное значения для уровня:

    0 (автор по умолчанию) — незащищенные соединения;

    1 — безопасные соединения только на время аутентификации пользователя; 2 — постоянно защищенный соединения.

    -диапазон <диапазоны>

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Диапазоны сетевых портов для динамического распределения. Кластер сервисные порты процессов выбираются из этих диапазонов, когда они не могут быть выбирается исходя из настроек соответствующего рабочего сервера.По умолчанию значение: 1560: 1591. Примеры значений диапазонов: «45:49», «45: 67,70: 72,77: 90».

    -отладка

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Запуск кластера серверов в режиме отладки конфигурации.

    -d <каталог>

    Каталог, в котором будут храниться служебные файлы кластера серверов. находятся или находятся в настоящее время (включая список кластеров и список информационных баз кластеров). Если опция не указана, используется каталог по умолчанию. % USERPROFILE% \ Local Настройки \ Данные приложения \ 1С \ 1Cv8 (% LOCALAPPDATA% \ 1C \ 1Cv8 для Windows Vista и выше).Если путь к каталогу содержит пробелы, весь путь должен быть заключен в кавычки, т.е.

    -d «c: \ Данные сервера \ кластер 2»

    ПРИМЕЧАНИЕ

    Имя каталога не должно заканчиваться на «\», если оно цитируется. Правильно: «c: \ my path», неверно: «c: \ my path \».

    Подробнее об уровне безопасности подключения см. Стр. 48.

    Агент сервера, запущенный как приложение, можно закрыть с помощью Ctrl + C ярлык.

    4.1.1.2. Работает как служба

    Если вы выбрали запуск агента центрального сервера в качестве службы при установке кластера серверов эта служба будет запущена автоматически и запускается каждый раз при запуске операционной системы.

    Если агент центрального сервера установлен как приложение, вы можете зарегистрировать сервис вручную, а затем запустить его.

    Название службы отличается в 32- и 64-битной версиях 1С: Предприятие.

    1С: Предприятие версия

    Сервис название

    32-битная версия

    1С: Предприятие 8.3 Агент сервера

    64-битная версия

    Агент сервера 1С: Предприятие 8.3 (x86-64)

    Служба регистрируется с помощью следующей команды:

     ragent -instsrvc | -rmsrvc -usr <имя> -pwd <пароль>
    -start | -stop -debug
    -port <порт> -regport <порт> -диапазон <диапазон>
    -seclev <уровень> -d <каталог> 

    ВАЖНО!

    Имена опций и их значения должны быть Разделены пробелами.

    ПРИМЕЧАНИЕ

    Такие операции, как регистрация, отмена регистрация, запуск и завершение работы службы кластера агентов (ragent) должны быть выполняется под учетной записью администратора. Необходимые для работы привилегии: проверяются во время работы, и если они недоступны, система запрашивает для повышения привилегий.

    -instsrvc

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Регистрация агента кластера в качестве службы Windows. Если ярость запускается с этой опцией, он зарегистрируется в списке служб Windows и будет неисправность.

    Ключ -instsrvc несовместим с -rmsrvc.

    -rmsrvc

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Отмена регистрации агент кластера как служба Windows. Если ragent запускается с этой опцией, он отменяет регистрацию агент в списке служб Windows и будет выключен.

    Ключ -rmsrvc не совместим с -instsrvc.

    — начало

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Запуск ragent, зарегистрированного как служба Windows. Бежит ярость уже зарегистрирован как служба Windows и отключается.

    — остановка

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Stop ragent зарегистрирован и запущен как служба Windows. Останавливает ярость уже зарегистрирован и запущен как служба Windows и отключается.

    -отладка

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Запуск кластера серверов в режиме отладки конфигурации.

    ТИП

    Поскольку в режиме отладки производительность сервера ниже, мы рекомендую использовать режим отладки только для отлаживаемых серверов.

    -usr <имя>, -pwd <пароль>

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Имя и пароль учетной записи пользователя Windows ragent должен запускаться как служба Windows под. Их можно использовать только вместе с -instsrvc вариант при ярости зарегистрирован как служба Windows.

    -порт <порт>

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Номер сетевого порта агента сервера (ragent). Этот порт используется консолью кластера для отправки запросов на центральный сервер.Порт кластера агентов также указывается как сетевой порт рабочего сервера. Значение по умолчанию: 1540.

    -регистр <порт>

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Номер сетевого порта главного диспетчера кластера (rmngr) создается по умолчанию при первом запуске ragent. Значение по умолчанию: 1541.

    -диапазон <диапазоны>

    Диапазоны сетевых портов для динамического распределения. Кластер сервисные порты процессов выбираются из этих диапазонов, когда они не могут быть выбирается исходя из настроек соответствующего рабочего сервера.По умолчанию значение: 1560: 1591. Примеры значений диапазонов: «45:49», «45: 67,70: 72,77: 90».

    -seclev <уровень>

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Безопасность уровень процесса агента кластера. Он определяет уровень безопасности для связи с агрессивным процессом. Возможны следующие значения для уровень:

    0 (автор по умолчанию) — незащищенные соединения;

    1 — безопасные соединения только на время аутентификации пользователя; 2 — постоянно защищенный соединения.

    -d <каталог>

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Каталог, в котором будут храниться служебные файлы кластера серверов. находятся или находятся в настоящее время (включая список кластеров и список информационных баз кластеров). Если опция не указана, используется каталог по умолчанию:% USERPROFILE% \ Local Настройки \ Данные приложения \ 1С \ 1Cv8 (% LOCALAPPDATA% \ 1C \ 1Cv8 для Windows Vista и выше).

    ПРИМЕЧАНИЕ

    Имя каталога не должно заканчиваться на «\», если оно цитируется.Правильно: «c: \ my path», неверно: «c: \ my path \».

    Пример:

    ярость -instsrvc -usr usr1cv8 -pwd SuperSecurePassword

    Подробнее об уровне безопасности подключения см. Стр. 48.

    Служба по умолчанию запущена автоматически при запуске компьютера. Запуск службы также можно выполнить с помощью Функции Windows: Мой компьютер — Управление — Компьютер

    Менеджмент — Услуги и Приложения — Услуги — Агент сервера 1С: Предприятия 8.Отключение также выполняется с использованием функций Windows.

    Для отмены регистрации услуги:

    ярость -rmsrvc

    4.1.2. Linux

    Программа установки настраивает процессы сервера так, чтобы они запускаются в режиме демона, т.е. без привязки к терминалу управления. Это дает возможность запускать серверные процессы 1С: Предприятия при операционной системе запускается без входа пользователя в систему.

    При необходимости агент сервера может быть запущен командой параметры линии.

    4.1.2.1. Запуск агента сервера

    Следующие параметры командной строки используются для запуска агент сервера:

     ./ragent –daemon –debug
    -port <порт> -regport <порт> -диапазон <диапазоны>
    -seclev <уровень> -d <каталог> 

    ВАЖНО!

    Имя опции и ее значение должны быть разделены пространство.

    -демон

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Этот ключ можно использовать для запуска агента сервера в демоне. режим, т.е.е., как фоновое приложение, которое не взаимодействует с терминал, с которого запускается это приложение. Запуск агента сервера с этот ключ не означает, что он будет автоматически выполнен после того, как система перезапускается.

    -отладка

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Запускает кластер серверов в режиме отладки конфигурации.

    -порт <порт>

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Номер сетевого порта агента сервера (ragent). Этот порт используется консолью кластера для отправки запросов на центральный сервер.Порт кластера агентов также указывается как сетевой порт рабочего сервера. Значение по умолчанию: 1540.

    -регистр <порт>

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Номер сетевого порта главного диспетчера кластера (rmngr) создается по умолчанию при первом запуске ragent. Значение по умолчанию: 1541.

    -диапазон <диапазоны>

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Диапазоны сетевых портов для динамического распределения. Кластер сервисные порты процессов выбираются из этих диапазонов, когда они не могут быть выбирается исходя из настроек соответствующего рабочего сервера.По умолчанию значение: 1560: 1591. Примеры значений диапазонов: «45:49», «45: 67,70: 72,77: 90».

    -seclevel <уровень>

    Необязательно. Уровень безопасности процесса агента кластера. Это определяет уровень безопасности соединений с процессом ragent. Возможное значения для уровня:

    0 (автор по умолчанию) — незащищенные соединения;

    1 — безопасные соединения только на время аутентификации пользователя; 2 — постоянно защищенный соединения.

    Подробнее об уровне безопасности подключения см. Стр. 48.

    -d <каталог>

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Каталог, в котором хранятся служебные файлы кластера серверов. расположены (или будут расположены), включая список кластеров и список кластерные информационные базы. Если параметр не указан, каталог по умолчанию используется: ~ / .1cv8. Если путь к каталогу содержит пробелы, вставьте его в кавычки, например:

    -d «~ / данные кластера»

    Агент сервера, запущенный как приложение, может быть остановлен нажатие Ctrl + С.

    4.1.2.2. Запуск агента сервера с помощью сценария

    Для управления 1С: Предприятием предназначен специальный скрипт. агент сервера: /etc/init.d/ srv1cv8. Скрипт всегда регистрирует сервер в режиме демона. В сценарии используются следующие параметры командной строки:

    /etc/init.d/srv1cv8 начало | стоп | перезапуск | информация | статус

    — начало

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Запускает сервер. Скрипт позволяет запустить единый экземпляр сервера 1С: Предприятия.

    — остановка

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Останавливает сервер. При этом останавливается только сервер который ранее был запущен скриптом (см. начало).

    -перезапуск

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Перезапускает сервер. Эквивалентно последовательности остановки и команды запуска.

    -инфо

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Отображает информацию о настройках сервера: порты указывается при запуске, каталог кластера, состояние режима отладки конфигурации, уровень безопасности соединений.

    — статус

    1C:Enterprise 8.3. Client/Server mode. Administrator Guide. Chapter 4. System components startup

    Отображается информация о состоянии сервера (есть ли запущен или нет, и работает ли он в данный момент времени, если начал).

    Для настройки параметров запуска сервисного агента 1С: Предприятия, вы можете использовать файл конфигурации / etc / sysconfig / srv1cv8 (если продукт был установлен для системы RPM) или /etc/init.d/srv1cv8 файл конфигурации (если продукт был установлен для системы DEB).За Описание параметров конфигурационного файла см. в «1С: Предприятие 8.3. Руководство администратора ».

    Пример файла конфигурации:

     # ------------------------------------------------ ------------
    # 1С: Параметры конфигурации Enterprise Сервера
    # ------------------------------------------------- -----------
    # 1С: Файл ключевой таблицы Сервера Предприятия.
    # по умолчанию - файл usr1cv8.keytab в 1С: Предприятие Сервер
    # каталог установки
    # SRV1CV8_KEYTAB =
    # Номер порта кластера, созданного по умолчанию при первом
    # запуск ragent
    # по умолчанию - 1540
    SRV1CV8_PORT = 1540
    # Номер основного порта агента кластера.Этот порт используется
    # кластерная консоль для обращения к центральному серверу. Агент кластера
    # порт также указывается как IP-порт рабочего Сервера.
    # по умолчанию - 1541
    SRV1CV8_REGPORT = 1541
    # Диапазон портов для пула соединений
    # пример значений:
    # 45:49
    # 45: 67,70: 72,77: 90
    # по умолчанию - 1560: 1691
    SRV1CV8_RANGE = 1560: 1691
    # 1С: Режим отладки конфигурации Enterprise Сервера
    # 0 - по умолчанию - выключено
    # 1 - на
    SRV1CV8_DEBUG = 0
    # Путь к каталогу с данными кластера
    # по умолчанию - $ HOMEDIR /.1cv8 / 1C / 1cv8
    SRV1CV8_DATA = $ HOMEDIR / .1cv8 / 1C / 1cv8
    # Уровень безопасности:
    # 0 - по умолчанию - незащищенные соединения
    # 1 - защищенные соединения только на время пользователя
    # аутентификация
    # 2 - постоянно защищенные соединения
    SRV1CV8_SECLEV = 0
    # ------------------------------------------------- -----------
    # конец конфигурации
    # ------------------------------------------------- ----------- 

    4.1.2.3. Установка 1С: Предприятия Автозапуск Сервера

    Для автоматического запуска сервера 1С: Предприятия, когда ваша ОС запускается, выполните одну из следующих команд:

    Для систем RPM:

    chkconfig -добавить srv1cv8

    Для систем DEB:

    update-rc.d srv1cv8 по умолчанию

    Эти команды добавляют скрипт запуска сервера 1С: Предприятия (подробности см. на стр. 100) в список автоматически запускаемых служб. В в этом случае параметры сервера будут получены из конфигурационного файла / etc / sysconfig / srv1cv8 (если продукт был установлен для системы RPM) или файл /etc/init.d/srv1cv8 (если продукт был установлен для системы DEB). Для описания параметры конфигурационного файла см. «1С: Предприятие 8.3. Администратор. Руководство».

    4.2. ПОДДЕРЖКА НЕСКОЛЬКИХ СОВМЕСТНЫХ СЕРВЕРНЫХ ПРОЦЕССОВ

    В большинстве случаев один серверный агент работает на одном рабочем сервере.

    Если один серверный агент создает несколько кластеров, он предотвращает конфликты сетевых портов. Если кластеры созданы другим сервером агентов, вам нужно будет предотвратить конфликты сетевых портов менеджеров кластера вручную.

    Всегда помните о предотвращении конфликтов сетевых портов рабочие процессы на сервере (если этот сервер используется в разных кластерах), даже если такие кластеры работают под управлением одного агента сервера.

    Ситуация, когда два или более серверных агента работают одновременно на одном компьютере управлять своими собственными наборами кластеров вполне нормально, хотя редкий и специфический. Это может быть необходимо, например, когда разные На одном компьютере должны использоваться серверные версии 1С: Предприятия.

    Для обеспечения параллельной работы двух серверов агентов, управляющих разными кластерами, должны выполняться следующие условия:

    Сервер агенты должны иметь разные сетевые порты;

    Сервер агенты должны иметь доступ к разным каталогам служебных файлов;

    Сервер кластеры, созданные для каждого агента сервера, должны иметь разные сетевые порты;

    Сеть диапазоны портов, используемые рабочими процессами на сервере, не должны перекрываться (если сервер используется в разных кластерах).

    4.2.1. Для ОС Windows

    Ниже приводится описание операций, которые необходимо выполнить для запустить на компьютере второй экземпляр сервера 1С: Предприятия.

    ТИП

    Любой второй экземпляр сервера 1С: Предприятия будет устанавливается как приложение, а не как служба Windows. При необходимости сервер может быть зарегистрирован как сервис позже, указав необходимые параметры при регистрации.

    ПРИМЕЧАНИЕ

    Такие операции, как регистрация, отмена регистрация, запуск и завершение работы службы кластера агентов (ragent) должны быть выполняется под учетной записью администратора.Необходимые для работы привилегии: проверяются во время работы, и если они недоступны, система запрашивает для повышения привилегий.

    Следует помнить, что программа установки не позволяет изменить сетевые порты сервера и, следовательно, новый экземпляр сервера не будет работать после установки.

    Будет предоставлено

    примеров для запуска 1С: Предприятия. сервер в операционной системе аналогичной разрядности (т. е. 32-разрядный сервер в 32-битная ОС или 64-битный сервер в 64-битной ОС).Если 32-битный сервер 1С: Предприятия запускается в 64-битной ОС Windows, путь C: \ Program Files должен быть заменен на C: \ Program Files (x86) во всех приведенных ниже примерах.

    4.2.1.1. Одновременная работа разных версий Сервера 1С: Предприятия

    Как услуга

    Для запуска и запуска 1С: Предприятия Сервер 8.3 под Windows сервиса одновременно с работой 1С: Предприятия Сервер 8.1 выполните следующие действия:

    Навигация в корзину каталог только что установленной версии Сервера 1С: Предприятия.В примере используется 1С: Предприятие 8.3.1.150.

     с:
    cd "c: \ Program Files \ 1cv8 \ 8.3.1.150 \ bin" 

    Удалить регистрация 1С: Предприятия Сервер 8.3.

    ярость -rmsrvc

    Удалите содержимое каталога реестра кластера. В расположение каталога определяется методом установки 1С: Предприятие Server 8.3 (подробнее см. Стр. 58).

    rmdir -s -q «c: \ Program Files \ 1cv8 \ srvinfo»

    Зарегистрироваться сервис с другими настройками сетевого порта.

    ярость -instsrvc -port 2540 -regport 2541 -range 2560: 2590 -usr. \ usr1cv8 -pwd UsrPwd8 -d «d: \ DbData \ srvinfo»

    В примере показана регистрация сервера с следующие настройки порта:

    ○ Сеть номер порта агента сервера — 2540.

    ○ Сеть номер порта менеджера кластера — 2541.

    ○ Порт диапазон для динамического выбора — 2560: 2590.

    ○ Кластер данные реестра находятся в каталоге d: \ DbData \ srvinfo.

    ○ Пользователь учетная запись, под которой работает серверная служба 1С: Предприятия — usr1cv8.

    ○ Пароль учетной записи пользователя, под которой Работает сервис сервера 1С: Предприятия — UsrPwd8.

    ○ Чтобы включить отладку для сервиса зарегистрирован, ключ -debug будет добавлен в командную строку.

    Запуск сервер 1С: Предприятия.

    ярость -старт

    Как приложение

    Если сервер 1С: Предприятия запущен как приложение, для изменения сетевых портов выполните следующие действия:

    Выйти экземпляра сервера, нажав Ctrl + C в окне консоли с рабочим сервер.

    Навигация в корзину каталог только что установленной версии сервера 1С: Предприятия. В примере используется 1С: Предприятие 8.3.1.150.

     с:
    cd "c: \ Program Files \ 1cv8 \ 8.3.1.150 \ bin" 

    Удалите содержимое каталога реестра кластера. В расположение каталога определяется методом установки 1С: Предприятие Server 8.3 (подробнее см. Стр. 58).

    rmdir -s -q «% USERPROFILE% \ Local Settings \ Application Data \ 1C \ 1cv8»

    Запуск сервер 1С: Предприятия с новыми настройками сетевого порта и другими параметрами.

    ярость -port 3540 -regport 3541 -range 3560: 3590 -d «d: \ DbData \ srvinfo»

    В примере показана регистрация сервера с следующие настройки порта:

    ○ Сеть номер порта агента сервера — 2540.

    ○ Сеть номер порта менеджера кластера — 2541.

    ○ Порт диапазон для динамического выбора — 2560: 2590.

    ○ Кластер данные реестра находятся в каталоге d: \ DbData \ srvinfo.

    ○ Чтобы включить отладку для сервиса зарегистрирован, ключ -debug будет добавлен в командную строку.

    ○ Та же командная строка запуска будет использоваться в последующие пусковые операции. Чтобы упростить это, его можно вставить в Windows командный файл.

    4.2.1.2. Запуск одной версии сервера 1С: Предприятия на нескольких серверах одновременно

    Как услуга

    1С: Предприятие не предоставляет инструментов по умолчанию для зарегистрировать несколько экземпляров одной и той же серверной службы 1С: Предприятия версия. Используйте утилиту sc.exe для завершения такой регистрации.пожалуйста различать имена служб, номера сетевых портов и каталог кластеров адреса.

    Давайте рассмотрим пример командного файла, который регистрирует серверная служба.

    файл register-service.bat:

     @echo off
    rem% 1 - полный номер версии 1С: Предприятие
    rem% 2 - первые две цифры номеров портов. Используйте 15 для портов 1540,1541,1560: 1591
    rem% 3 - каталог, в котором хранятся данные реестра кластера.
    
    установить SrvUserName = <имя пользователя>
    установить SrvUserPwd = <пароль пользователя>
    установить RangePort =% 260:% 291
    установить BasePort =% 241
    установить CtrlPort =% 240
    
    установить SrvcName = "1С: Предприятие 8.3 Агент сервера% CtrlPort%% 1 "
    установить BinPath = "\" C: \ Program Files \ 1cv8 \% 1 \ bin \ ragent.exe \ "-srvc -agent -regport% BasePort% -port% CtrlPort% 

    -range % RangePort% -d \ «% ~ 3 \» -debug «

     set Desctiption = "Агент сервера 1С: Предприятия 8.3. Параметры:% 1,% CtrlPort%,% BasePort%,% RangePort%"
    
    если не существует "% ~ 3" mkdir "% ~ 3"
    
    sc stop% SrvcName%
    sc stop% SrvcName%
    sc create% SrvcName% binPath =% BinPath% start = auto obj =% SrvUserName% password =
    % SrvUserPwd% displayname =% Desctiption% depends = Dnscache / Tcpip6 / lanmanworkstation / lanmanserver 

    Перед применением этого командного файла подробные сведения (имя пользователя и пароль) реальной учетной записи, под которой будет запускаться служба кластера серверов (набор SrvUserName = и установить SrvUserPwd = strings) следует указать в этом файл.В этом командном файле регистрируется указанная версия 1С: Предприятия. сервер. Имя службы — это строка, содержащая следующую информацию:

    1С: Предприятие 8.3 Агент сервера,

    Сеть номер порта главного диспетчера кластера, Полный номер версии 1С: Предприятие.

    Если вы регистрируете сервер 8.3.1.100, который использует сетевой порт главный менеджер кластера 2540, название сервиса будет выглядеть так: 1С: Предприятие 8.3 Агент сервера 2540 8.3.1.100.

    Пример:

     служба регистрации 8.3.1.100 25 "c: \ cluster_data \ cluster 1"
    register-service 8.3.1.100 35 "c: \ cluster_data \ cluster 2" 

    В этом сценарии первая строка регистрирует сервер сервис со следующими параметрами:

    Имя услуги: 1С: Предприятие 8.3 Агент сервера 2540 8.3.1.100.

    Сервер порты: 2540, 2541, 2560: 2591.

    А каталог, содержащий данные реестра кластера: c: \ cluster_data \ cluster 1.

    Описание услуги: 1С: Предприятие 8.3 серверный агент. Параметры: 8.3.1.100, 2540, 2541, 2560: 2591.

    Во второй строке регистрируется служба сервера с следующие параметры:

    Имя услуги: 1С: Предприятие 8.3 Агент сервера 3540 8.3.1.100.

    Сервер порты: 3540, 3541, г. 3560: 3591.

    А каталог, содержащий данные реестра кластера: c: \ cluster_data \ cluster 2.

    Описание услуги: 1С: Предприятие 8.3 серверный агент. Параметры: 8.3.1.100, 3540, 3541, 3560: 3591.

    Если вам необходимо отменить регистрацию серверной службы, вы можно использовать следующий командный файл:

    unregister-service.bat файл:

     @echo off
    rem% 1 - полный номер версии 1С: Предприятие
    rem% 2 - первые две цифры номеров портов. Используйте 15 для портов 1540,1541,1560: 1591
    set SrvcName = "Агент сервера 1С: Предприятия 8.3% 240% 1"
    sc stop% SrvcName%
    sc stop% SrvcName% 

    Пример:

    отмена регистрации 8.3.1.100 25

    Этот командный файл останавливает службу и отменяет ее Регистрация. Название сервиса создается по тем же правилам, что и применяется при регистрации новой (настраиваемой) серверной услуги 1С: Предприятия.

    Как приложение

    Для запуска той же версии сервера 1С: Предприятия работая как приложение, используйте командную строку. В этом случае командная строка опции должны отличаться не только номерами сетевых портов, но и адресами каталогов кластера:

     запустить "Сервер 1" "C: \ Program Files \ 1cv8 \ 8.3.1.100 \ bin \ ragent.exe "-port 2540 -regport 2541
    -диапазон 2560: 2590 -d d: \ ClusterData \ Srv1
    запустить "Сервер 2" "C: \ Program Files \ 1cv8 \ 8.3.1.100 \ bin \ ragent.exe" -port 3540 -regport 3541
    -range 3560: 3590 -d d: \ ClusterData \ Srv2 

    В этом примере два экземпляра сервера 1С: Предприятия запущен со следующими параметрами:

    Первая сервер имеет сервер 1 в заголовке окна, работает на 25хх сетевых портах и хранит данные кластера в d: \ ClusterData \ Srv1.

    Секунда сервер имеет сервер 2 в заголовке окна, работает на 35хх сетевых портах и хранит данные кластера в d: \ ClusterData \ Srv2.

    4.2.1.3. Изменение сетевых портов

    Сервера 1С: Предприятия Текущий экземпляр

    Изменение сетевых портов действующей 1С: Предприятия экземпляр сервера не поддерживается. Если возникнет такая необходимость, сделайте следующее:

    Создать новый экземпляр сервера с желаемыми настройками сетевого порта и другими параметры.

    Зарегистрироваться существующие информационные базы на новом сервере.

    Передача клиентов на новый сервер.

    Выйти и удалите предыдущий экземпляр сервера 1С: Предприятия (с данными кластера).

    4.2.2. Для ОС Linux

    Ниже приводится описание операций, которые необходимо выполнить, чтобы запустить на компьютере второй экземпляр сервера 1С: Предприятия.

    Вы следует помнить, что утилита установки не позволяет изменять сетевые порты сервера, поэтому новый экземпляр сервера не будет работать после установка.

    ПРИМЕЧАНИЕ

    Сервер 1С: Предприятия в ОС Linux всегда установлен в режиме демона.

    Допускаются только разные версии серверов 1С: Предприятия. одновременно работать под ОС Linux.

    4.2.2.1. Как демон

    Чтобы изменить сетевые порты работающего экземпляра сервера, сделать следующее:

    Выйти сервер 1С: Предприятия.

    /etc/init.d/srv1cv83 остановка

    Удалить каталог кластера.

    пог.м -rf /home/usr1cv8/.1cv8

    Изменить настройки запуска сервера 1С: Предприятия, указав соответствующую сеть настройки порта и другие параметры (включая каталог реестра кластера). См. «1С: Предприятие 8.3. Руководство администратора» для описания файл конфигурации.

    Запуск сервер 1С: Предприятия.

    /etc/init.d/srv1cv83 начало

    4.2.2.2. Как приложение

    Если сервер 1С: Предприятия работает как приложение, выполните следующее для изменения сетевых портов:

    Выйти экземпляр сервера, нажав Ctrl + C в окне консоли с работающим сервер.

    Удалить содержимое каталога реестра кластера. Как обычно, это .1cv8 каталог домашнего каталога учетной записи пользователя, под которой работает сервер.

    пог.м -rf /home/<ÏîëüçîâàòåëüCåðâåðà>/.1cv8

    Навигация в каталог с бинарными файлами 1С: Предприятия.

    Для 32-разрядной версии:

    кд /opt/1C/v8.3/i386

    Для 64-битной версии:

    кд / opt / 1C / v8.3 / x86_64

    Запустить сервер 1С: Предприятия с новыми настройками сетевых портов и другие параметры.

    . / Агент -port 2040 -regport 2041 -range 2060: 2090 -d /home/usr1cv8/dbinfo/.1cv8

    В примере показан запуск сервера со следующим настройки порта:

    ○ Сеть номер порта агента сервера — 2040.

    ○ Сеть номер порта менеджера кластера — 2041.

    ○ Порт диапазон для динамического выбора — 2060: 2090.

    ○ Кластер данные реестра находятся в каталоге /home/usr1cv8/dbinfo/.1cv8.

    ○ Чтобы включить отладку для сервиса зарегистрирован, ключ -debug будет добавлен в командную строку.

    ○ Та же командная строка запуска будет использоваться в последующие пусковые операции. Чтобы упростить это, его можно вставить в Linux командный файл.

    .Утилита администрирования кластера

    для Windows

    Утилита администрирования серверов 1С: Предприятия для Windows предназначена для выполнения следующих задач:

    • Создание, изменение и удаление кластеров серверов
    • Модификация кластеров: создание и удаление рабочих серверов, изменение их параметров и указание их требований к функциональности назначения
    • Определение уровня отказоустойчивости кластера
    • Ручная балансировка нагрузки между рабочими серверами
    • Управление списком администраторов центрального сервера в кластере и списком администраторов кластера
    • Мониторинг подключений пользователей к информационным базам и служебных подключений
    • Отключение пользователей от информационных баз
    • Мониторинг блокировок объектов 1С: Предприятия и блокировок клиентских подключений
    • Анализ блокировок транзакций СУБД в реальном времени
    • Управление блокировками соединения пользователя с информационной базой
    • Управление блокировками выполнения запланированных заданий

    Утилита реализована в виде оснастки MMC (Microsoft Management Console), вы можете запустить ее на любом компьютере, на котором установлено это программное обеспечение.

    Все возможности администрирования серверов 1С: Предприятия также доступны в скрипте 1С: Предприятия.

    Требования к функциональному назначению

    Администратор управляет кластером, указывая список компьютеров (рабочих серверов), составляющих кластер. При необходимости они также могут указать требования к серверам: какие службы и подключения к информационной базе доступны на каждом рабочем сервере. Менеджеры кластеров и рабочие процессы запускаются автоматически в соответствии с заданными требованиями.Уточнять требования к работающим серверам можно в интерактивном режиме с помощью консоли администрирования кластера или скрипта 1С: Предприятия.

    Уровень отказоустойчивости

    Уровень отказоустойчивости кластера можно указать как количество отказов рабочего сервера, не прерывающих работу пользователя. Службы резервного копирования, необходимые для обеспечения желаемой отказоустойчивости, запускаются автоматически, а репликация каждой активной службы в резервные выполняется в режиме реального времени.

    Ручная балансировка нагрузки

    Балансировка нагрузки между рабочими серверами основана на анализе их производительности в реальном времени. Также доступна ручная балансировка нагрузки, что включает ограничение количества информационных баз и соединений, обрабатываемых одним рабочим процессом на определенном сервере.

    Ограничение объема памяти, выделяемой для рабочих процессов

    Доступно ограничение объема памяти, выделяемой для рабочих процессов.Это включает ограничение общего объема памяти для всех рабочих процессов, а также ограничение объема памяти для одного вызова рабочего процесса. Это увеличивает отказоустойчивость кластера от сбоев, инициированных человеком.

    Служба лицензирования и служба внешнего управления сеансами

    Служба лицензирования рассылает лицензии на программное обеспечение, необходимое для запуска клиентских приложений и серверов 1С: Предприятия, чтобы администраторы могли свободно настраивать любой из рабочих серверов кластера или развертывать кластеры на виртуальных серверах, параметры которых подвержены динамическим изменениям.

    Служба внешнего управления сеансами ограничивает количество пользователей, подключенных к каждой информационной базе. Он уведомляет внешние системы, когда пользователи подключаются к информационным базам или отключаются от них, и получает ответы, разрешающие или запрещающие подключения. Взаимодействие с внешними системами осуществляется с помощью веб-сервиса, который предоставляет определенный набор методов.

    Профили безопасности

    Профили безопасности предотвращают выполнение прикладными решениями потенциально небезопасных операций, которые могут повлиять на работу кластера серверов.

    Администратор кластера может назначить любой из профилей безопасности, доступных в кластере, информационной базе. Это ограничивает набор потенциально небезопасных операций теми, которые разрешены профилем безопасности.

    Вновь созданный профиль с настройками по умолчанию запрещает все потенциально небезопасные операции:

    Это включает в себя:

    • Доступ к файловой системе сервера
    • Запуск COM-объектов
    • С помощью надстроек 1С: Предприятия
    • Запуск внешних отчетов и процессоров данных
    • Запуск приложений, установленных на сервере
    • Доступ к Интернет-ресурсам

    Таким образом, когда вы запускаете прикладное решение, которое вы еще не очень хорошо знаете, вы можете избежать всех рисков, просто создав пустой профиль безопасности и назначив его информационной базе.Затем вы можете при необходимости настроить профиль безопасности, добавив разрешенные операции.

    Следующая страница: Обновление конфигурации

    См. Также:

    .

    Добро пожаловать в 1С: Предприятие

    Эта книга представляет собой руководство, которое поддерживает быстрое освоение техник развития и адаптация приложений с помощью программы «1С: Предприятие 8».

    На основе примеров из реального приложения демонстрируется структура различных системных объектов, их функций и использования.Процедуры, написанные в встроенный язык, включая те, которые включают язык запросов, содержат подробные Комментарии.

    Книга рассчитана как на начинающих разработчиков, не знакомых с 1С: Предприятием. программное обеспечение, а также для тех, кто уже создал или поддерживал приложения с помощью этого программного обеспечения.

    Книгу можно использовать как практическое пособие и как справочник. Заключительный главы содержат ссылки на методы разработчика, описанные в книге с ссылки на соответствующие разделы.

    Приложение, используемое в этой книге, учитывает накопленный опыт в разработке для 1С: Предприятие 8.

    .
    Debian сервер: Debian настройка сервера | serveradmin.ru

    Debian сервер: Debian настройка сервера | serveradmin.ru

    Debian настройка сервера | serveradmin.ru

    После установки нового сервера приходится выполнять один и тот же набор стандартных настроек. Сегодня мы займемся базовой настройкой сервера под управлением операционной системы Debian. Я приведу практические советы по небольшому увеличению безопасности и удобству администрирования, основанные на моем личном опыте.

    Если у вас есть желание освоить Linux с нуля, не имея базовых знаний, рекомендую познакомиться с онлайн-курсом Administrator Linux.Basic в OTUS. Курс для новичков, для тех, кто хочет войти в профессию администратора Linux. Подробности по .

    Данная статья является частью единого цикла статьей про сервер Debian.

    Введение

    Любая работа с сервером после установки чаще всего начинается со стандартных обязательных действий, без которых либо не получится продвинуться дальше, либо будет неудобно работать. Например, вам в любом случае необходимо выполнить сетевые настройки, желательно обновить систему и установить часовой пояс. Рекомендуется сразу настроить автообновление времени, подрихтовать параметры sshd, установить midnight commander и выполнить другие настройки.

    Об этом я хочу рассказать в статье. Я буду делиться своим реальным опытом работы. Это не значит, что нужно делать так, как я. Я могу в чем-то ошибаться, что-то делать не так удобно, как можно было бы сделать. Это просто советы, которые кому-то помогут узнать что-то новое, а кто-то возможно поделится со мной чем-то новым для меня, либо укажет на мои ошибки. Мне бы хотелось, чтобы это было так. Своими материалами я не только делюсь с вами знаниями, но и сам узнаю что-то новое в том числе и из комментариев и писем на почту.

    Указываем сетевые параметры

    Итак, у нас в наличии только что установленная система. Узнать или проверить ее версию можно командами:

    # uname -a
    Linux debian10 4.19.0-5-amd64 #1 SMP Debian 4.19.37-5 (2019-06-19) x86_64 GNU/Linux
    
    # lsb_release -a
    No LSB modules are available.
    Distributor ID:	Debian
    Description:	Debian GNU/Linux 10 (buster)
    Release:	10
    Codename:	buster

    Очень подробно про настройку сети в Debian я написал в отдельной статье. Рекомендую с ней ознакомиться. Здесь же кратко выполним основное. Для настройки сети, необходимо отредактировать файл /etc/network/interfaces. Сделаем это:

    # nano /etc/network/interfaces

    Для получения IP адреса по dhcp достаточно будет следующего содержания:

    allow-hotplug eth0
    iface eth0 inet dhcp

    Если у вас статический адрес, то его настроить можно следующими параметрами в файле:

    allow-hotplug eth0
    iface eth0 inet static
    address 192.168.1.24
    netmask 255.255.255.0
    gateway 192.168.1.1
    dns-nameservers 192.168.1.1

    Сохраняем файл. Теперь нужно выполнить перезапуск сети. В Debian это делается командой:

    # systemctl restart networking.service

    В системном логе /var/log/syslog при этом будут записи:

    debian10 systemd[1]: Stopping Raise network interfaces...
    debian10 systemd[1]: networking.service: Succeeded.
    debian10 systemd[1]: Stopped Raise network interfaces.
    debian10 systemd[1]: Starting Raise network interfaces...
    debian10 systemd[1]: Started Raise network interfaces.

    Будьте аккуратны при настройке и перезапуске сети, если подключаетесь к серверу удаленно. Обязательно должен быть доступ к консоли на случай, если где-то ошибетесь и потеряете доступ к серверу.

    К сетевым настройкам я отношу установку пакета net-tools, в состав которого входят старые и привычные утилиты для работы с сетью — ifconfig, netstat, route и другие. В современных дистрибутивах их заменили одной командой ip, но лично мне вывод некоторых старых команд, конкретно, netstat, нравится больше, поэтому я иногда ими тоже пользуюсь.

    # apt install net-tools

    На этом настройка сети закончена.

    Обновление системы, отличие apt upgrade от dist-upgrade и full-upgrade

    Сеть настроили, теперь можно обновить систему и пакеты. В Debian это делается достаточно просто. Воспользуемся несколькими командами. Сначала обновим локальный индекс пакетов до последних изменений в репозиториях:

    # apt update

    Посмотреть список пакетов, готовых к обновлению, можно с помощью команды:

    # apt list --upgradable

    Теперь выполним простое обновление всех пакетов системы:

    # apt upgrade

    Ключ upgrade выполняет только обновление одной версии пакета на другую, более свежую. Он не будет устанавливать или удалять пакеты, даже если это необходимо для обновления других. Это наиболее безопасный и надежный вариант обновления, но он может обновить не все. Например, с ее помощью не обновить ядро до более свежей версии.

    Ключ dist-upgrade или full-upgrade (это одно и то же) в дополнение к upgrade обрабатывает все изменения зависимостей для новых пакетов и во время работы может удалять ненужные и ставить необходимые пакеты для обновления. Вот выдержка из документации по поводу этих двух ключей.

    Так что после обычного обновления, делаем еще full-upgrade.

    # apt full-upgrade
    Reading package lists... Done
    Building dependency tree       
    Reading state information... Done
    Calculating upgrade... Done
    The following packages were automatically installed and are no longer required:
      dh-python guile-2.0-libs libbind9-140 libdns162 libicu57 libisc160 libisccc140 libisccfg140 liblvm2app2.2 liblvm2cmd2.02 liblwres141 libperl5.24
      libpython3.5-minimal libpython3.5-stdlib linux-image-4.9.0-3-amd64 python3-distutils python3-lib2to3 python3.5 python3.5-minimal rename sgml-base tcpd
      xml-core
    Use 'apt autoremove' to remove them.
    0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
    

    Мне предлагается удалить старые пакеты, которые больше уже не нужны. Это зависимости от старых версий софта, который уже обновился и получил новые пакеты из зависимостей, а эти ему больше не нужны. Очистим их командой:

    # apt autoremove

    Рекомендую делать это регулярно после обновлений, чтобы старые пакеты не занимали лишнее место на диске.

    На этом обновление системы закончено. Если вы хотите обновить версию релиза, например Debian 9 обновить до Debian 10 Buster, то читайте отдельный материал.

    Настройка ssh

    Теперь внесем некоторые изменения в настройки сервера ssh. Я рекомендую его запускать на нестандартном порту для исключения лишних общений с ботами, которые регулярно сканируют интернет и подбирают пароли пользователей по словарям.

    Существует расхожее мнение, что менять порт ssh это наивность, а не защита. Надо просто настроить сертификаты, fail2ban или еще каким-то образом защитить ssh порт, к примеру, с помощью ограничений iptables, и т.д. Тем не менее, я все же рекомендую порт сменить на нестандартный. Даже если у вас все защищено от подбора паролей, так как вы используете сертификаты, лишние запросы к ssh порту тратят ресурсы сервера, хоть и не очень большие. Идет установка соединения, обмен рукопожатиями и т.д. Зачем вам это нужно?

    По-умолчанию в Debian, впрочем как и в любом другом дистрибутиве Linux, ssh сервер работает на 22 порту. Изменим этот порт, к примеру, на 23331. Так же я еще изменяю конфигурацию для разрешения подключения по ssh пользователя root с использованием пароля. В Debian из коробки пользователь root по ssh паролем авторизовываться не может. Изменим и это. Открываем файл настроек:

    # nano /etc/ssh/sshd_config

    И изменяем там следующие строки. Приводим их к виду:

    Port 23331
    PermitRootLogin yes

    Сохраняем изменения и перезапускаем сервер ssh следующей командой:

    # service sshd restart

    Проверяем изменения:

    # netstat -tulnp | grep ssh
    
    tcp 0 0 0.0.0.0:23331 0.0.0.0:* LISTEN 925/sshd
    tcp6 0 0 :::23331 :::* LISTEN 925/sshd

    Все в порядке, сервер слушает 23331 порт. Теперь новое подключение будет осуществлено только по порту 23331. При этом, после перезапуска ssh, старое подключение не будет разорвано.

    Я знаю, что многие возражают против подключения рутом к серверу. Якобы это небезопасно и т.д. и т.п. Мне эти доводы кажутся не убедительными. Не понимаю, в чем может быть проблема, если у меня нормальный сложный пароль на root, который не получится подобрать или сбрутить. Ни разу за всю мою работу системным администратором у меня не возникло проблем с этим моментом. А вот работать так значительно удобнее, особенно, когда необходимо оперативно куда-то подключиться по форс мажорным обстоятельствам.

    Отдельно тему подключения к серверу под root я рассмотрел в статье про sudo. Кому интересно, переходите в нее и делитесь своим мнением на этот счет.

    Установка утилит mc, htop, iftop

    Следующим шагом я настраиваю некоторые полезные утилиты, которыми регулярно пользуюсь в повседневной работе. Первая из них это всем известный двухпанельный файловый менеджер Midnight Commander. Установим mc на наш сервер:

    # apt install mc

    И сразу же для него включаю подсветку синтаксиса всех файлов, которые не обозначены явно в файле /usr/share/mc/syntax/Syntax синтаксисом для sh и bash скриптов. Этот универсальный синтаксис нормально подходит для конфигурационных файлов, с которыми чаще всего приходится работать на сервере. Перезаписываем файл unknown.syntax. Именно этот шаблон будет применяться к .conf и .cf файлам, так как к ним явно не привязано никакого синтаксиса.

    # cp /usr/share/mc/syntax/sh.syntax /usr/share/mc/syntax/unknown.syntax

    Я сразу же ставлю редактором по-умолчанию mcedit. Для этого просто выбираю его из меню при первом редактировании какого-нибудь файла. Если у вас такое меню не появляется, можете вызвать его сами и выбрать необходимый редактор по-умолчанию:

    # select-editor
    
    Select an editor. To change later, run 'select-editor'.
     1. /bin/nano <---- easiest
     2. /usr/bin/mcedit
     3. /usr/bin/vim.tiny
    
    Choose 1-3 [1]: 2

    Так же я рекомендую очень удобный диспетчер задач — htop. Мне он помог, к примеру, решить проблему Взлома сервера CentOS. Ставим его на сервер:

    # apt install htop

    Полезной утилитой, позволяющей смотреть сетевую загрузку в режиме реального времени, является iftop. Очень рекомендую. Более простого и удобного инструмента мне не попадалось, хотя я много перепробовал подобных вещей. Устанавливаем iftop на сервер:

    # apt install iftop

    Настройка и обновление времени в Debian 

    Теперь проверим установленный часовой пояс, время и включим автоматическую синхронизацию времени с удаленного сервера. Очень подробно этот вопрос я рассмотрел в отдельной статье — настройка времени в Debian.

    Узнать дату, время, часовой пояс можно командой date:

    # date
    
    Mon 12 Aug 2019 02:29:03 PM MSK

    Если все указано верно, то менять ничего не нужно. Если же у вас неправильное время или указан часовой пояс не соответствующий вашему, то настроить это можно следующим образом. Сначала обновим часовые пояса:

    # apt install tzdata

    Теперь выберем правильный часовой пояс с помощью команды:

    # dpkg-reconfigure tzdata

    Выбирая соответствующие пункты визарда, указываете свой часовой пояс.

    Дальше синхронизируем время с сервером времени в интернете. Для разовой или ручной синхронизации понадобится отдельная утилита. Установим ntpdate на сервер:

    # apt install ntpdate

    И синхронизируем время:

    # ntpdate-debian
    
    12 Aug 14:30:21 ntpdate[8688]: adjust time server 89.109.251.21 offset 0.004529 sec

    Если получаете ошибку:

    12 Aug 14:30:21 ntpdate[8688]: the NTP socket is in use, exiting

    Значит у вас уже работает служба ntp. Ее нужно остановить и обновить время вручную. Хотя если она работает, то у вас и так должно быть все в порядке.

    Для того, чтобы время автоматически синхронизировалось без вашего участия с определенной периодичностью, используется инструмент ntp. Установим его:

    # apt install ntp

    После установки он сам запустится и будет автоматически синхронизировать часы сервера. Проверим, запустился ли сервис ntpd:

    # netstat -tulnp | grep ntp
    
    udp        0      0 10.20.1.16:123          0.0.0.0:*                           8855/ntpd           
    udp        0      0 127.0.0.1:123           0.0.0.0:*                           8855/ntpd           
    udp        0      0 0.0.0.0:123             0.0.0.0:*                           8855/ntpd           
    udp6       0      0 fe80::cce1:23ff:fe4:123 :::*                                8855/ntpd           
    udp6       0      0 ::1:123                 :::*                                8855/ntpd           
    udp6       0      0 :::123                  :::*                                8855/ntpd

    Настройка firewall (iptables) в Debian

    В качестве firewall в Debian по-умолчанию используется iptables, его и будем настраивать. Изначально фаервол полностью открыт и пропускает весь трафик. Проверить список правил iptables можно следующей командой:

    # iptables -L -v -n
    
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination         
    

    Обращаю пристальное внимание на то, что настраивать firewall без прямого доступа к консоли сервера не следует. Особенно, если вы не очень разбираетесь в этом и копируете команды с сайта. Шанс ошибиться очень высок. Вы просто потеряете удаленный доступ к серверу.

    Создадим файл с правилами iptables:

    # mcedit /etc/iptables.sh

    Очень подробно вопрос настройки iptables я рассмотрел отдельно, рекомендую ознакомиться. Хотя в примере другая ОС linux, принципиальной разницы нет, настройки iptables абсолютно одинаковые, так как правила одни и те же.

    Добавляем набор простых правил для базовой настройки. Все необходимое вы потом сможете сами открыть или закрыть по аналогии с существующими правилами:

    #!/bin/bash
    #
    # Объявление переменных
    export IPT="iptables"
    
    # Активный сетевой интерфейс
    export WAN=ens18
    export WAN_IP=10.20.1.16
    
    # Очистка всех цепочек iptables
    $IPT -F
    $IPT -F -t nat
    $IPT -F -t mangle
    $IPT -X
    $IPT -t nat -X
    $IPT -t mangle -X
    
    # Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
    $IPT -P INPUT DROP
    $IPT -P OUTPUT DROP
    $IPT -P FORWARD DROP
    
    # разрешаем локальный траффик для loopback
    $IPT -A INPUT -i lo -j ACCEPT
    $IPT -A OUTPUT -o lo -j ACCEPT
    
    # разрешаем пинги
    $IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
    $IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
    $IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
    $IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
    
    # Разрешаем исходящие соединения самого сервера
    $IPT -A OUTPUT -o $WAN -j ACCEPT
    
    # Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
    # Пропускать все уже инициированные соединения, а также дочерние от них
    $IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
    # Пропускать новые, а так же уже инициированные и их дочерние соединения
    $IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
    # Разрешить форвардинг для уже инициированных и их дочерних соединений
    $IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    # Включаем фрагментацию пакетов. Необходимо из-за разных значений MTU
    $IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    
    # Отбрасывать все пакеты, которые не могут быть идентифицированы
    # и поэтому не могут иметь определенного статуса.
    $IPT -A INPUT -m state --state INVALID -j DROP
    $IPT -A FORWARD -m state --state INVALID -j DROP
    
    # Приводит к связыванию системных ресурсов, так что реальный
    # обмен данными становится не возможным, обрубаем
    $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
    $IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
    
    # Открываем порт для ssh (!!!не забудьте указать свой порт, который вы изменили ранее!!!)
    $IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT
    # Открываем порт для web сервера
    $IPT -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT
    $IPT -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT
    
    # Записываем правила в файл
    /sbin/iptables-save > /etc/iptables_rules

    Даем файлу права на запуск:

    # chmod 0740 /etc/iptables.sh

    Запускаем скрипт:

    sh /etc/iptables.sh

    Проверяем правила:

    # iptables -L -v -n

    Проверяем, что правила записались в файл /etc/iptables_rules. Если их там нет, то записываем их вручную.

    # /sbin/iptables-save > /etc/iptables_rules

    Правила применились и произошла их запись в файл /etc/iptables_rules. Теперь нужно сделать так, чтобы они применялись при загрузке сервера. Для этого делаем следующее. Открываем файл /etc/network/interfaces и добавляем в него строку pre-up iptables-restore < /etc/iptables_rules Должно получиться вот так:

    # cat /etc/network/interfaces
    
    allow-hotplug eth0
    iface eth0 inet dhcp
    pre-up iptables-restore < /etc/iptables_rules

    Для проверки перезагрузите сервер и посмотрите правила iptables. Должен загрузиться настроенный набор правил из файла /etc/iptables_rules.

    Настройка логов cron

    По-умолчанию, в Debian нет отдельного лог файла для событий cron, они все сыпятся в общий лог /var/log/syslog. Лично мне это не очень нравится, я предпочитаю выводить эти события в отдельный файл. Об этом я написал отдельно — вывести логи cron в отдельный файл. Рекомендую пройти по ссылке и настроить, если вам это необходимо. Там очень кратко и только по делу, не буду сюда копировать эту информацию.

    Установка и настройка screen

    Я привык в своей работе пользоваться консольной утилитой screen. Изначально она задумывалась как инструмент, который позволяет запустить что-то удаленно в консоли, отключиться от сервера и при этом все, что выполняется в консоли продолжит свою работу. Вы сможете спокойно вернуться в ту же сессию и продолжить работу.

    Первое время я именно так и использовал эту утилиту. Редко ее запускал, если не забывал, когда выполнялся какой-то длительный процесс, который жалко было прервать из-за случайного обрыва связи или необходимости отключить ноутбук от сети и куда-то переместиться.

    Позже я решил подробнее ознакомиться с этим инструментом и обнаружил, что там есть несколько удобных моментов, которые можно использовать в ежедневной работе. Вот как использую утилиту screen я. При подключении к серверу у меня запускается screen с тремя окнами 1, 2, 3. Первое окно автоматически переходит в каталог /, второе в /etc, третье в /var/log. Я осмысленно назвал эти окна: Main, etc, logs соответственно. Внизу находится строка состояния, в которой отображен список всех открытых окон и подсвечено активное окно.

    С помощью горячих клавиш я очень быстро переключаюсь между окнами в случае необходимости. Вот как выглядит мое рабочее окно ssh подключения:

    Переключаюсь между окнами с помощью стандартных горячих клавиш screen: ctrl+a 1,  ctrl+a 2, ctrl+a 3. Я специально изменил нумерацию, чтобы она начиналась не с 0 по-дефолту, а с 1. Так удобнее на клавиатуре переключать окна. Кнопка 0 находится слишком далеко от 1 и 2.

    Чтобы настроить такую же работу screen, как у меня, достаточно выполнить несколько простых действий. Сначала устанавливаем screen:

    # apt install screen

    Создаем в каталоге /root конфигурационный файл .screenrc следующего содержания:

    # mcedit /root/.screenrc
    #Выводим строку состояния
    hardstatus alwayslastline "%-Lw%{= BW}%50>%n%f* %t%{-}%+Lw%<"
    
    # Добавляем некоторые настройки
    startup_message off
    defscrollback 1000
    defutf8 on
    shell -$SHELL
    
    # Создаем несколько окон
    chdir
    screen -t Main 1
    chdir /etc
    screen -t etc 2
    chdir /var/log
    screen -t logs 3
    
    # Активное первое окно после запуска
    select 1

    Для знакомства с настройками, горячими клавишами и вариантами применения утилиты screen можно по адресу http://itman.in/ssh-screen/ Мне помог этот материал. Написано кратко, по делу и доходчиво.

    Заключение

    Не понравилась статья и хочешь научить меня администрировать? Пожалуйста, я люблю учиться. Комментарии в твоем распоряжении. Расскажи, как сделать правильно!

    Теперь можно перезагрузить сервер и проверить, все ли в порядке. У меня все в порядке, проверил 🙂 На этом базовая настройка сервера debian окончена. Можно приступать к конфигурации различных сервисов, под которые он настраивался. Об этом я рассказываю в отдельных статьях.

    Напоминаю, что данная статья является частью единого цикла статьей про сервер Debian.

    Онлайн курс по Linux

    Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Administrator Linux. Professional» в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и установке Linux на виртуалку. Обучение длится 5 месяцев, после чего успешные выпускники курса смогут пройти собеседования у партнеров. Что даст вам этот курс:
    • Знание архитектуры Linux.
    • Освоение современных методов и инструментов анализа и обработки данных.
    • Умение подбирать конфигурацию под необходимые задачи, управлять процессами и обеспечивать безопасность системы.
    • Владение основными рабочими инструментами системного администратора.
    • Понимание особенностей развертывания, настройки и обслуживания сетей, построенных на базе Linux.
    • Способность быстро решать возникающие проблемы и обеспечивать стабильную и бесперебойную работу системы.
    Проверьте себя на вступительном тесте и смотрите подробнее программу по .
    Помогла статья? Подписывайся на telegram канал автора
    Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

    Настройка домашнего сервера на базе Debian / Хабр

    Привет.

    Хочу рассказать вам о том, как я реализовал дома серверное решение 🙂
    Прошу строго не судить, т.к. это первая моя публикация на хабрахабр, и русский — не родной мне язык.
    Так что все исправления приветствуются.

    Речь пойдет о:
    Старом компьютере на базе VIA Ezra с 256 мегабайт оперативной памяти, работающем на базе Debian Etch, выполняющем функции музыкального плеера, торрент-клиента, web+ftp+nfs сервера.

    Дополнительное оборудование: 2 ноутбука (Dell, Asus) на базе Ubuntu, Fedora и Wi-Fi рутер/DSL-модем D-link DSL-2640u.


    Один мой друг на Новый Год подарил мне сие творение инженеров прошлого века:

    Было решено, что тазик простаивать зря не должен. Debian потому, что дистрибутив стабильный и простой в настройке/использовании.
    Процесс установки ОС описывать не буду — задача понятная, да и в интернете достаточно помощи по этому делу. Сразу перейду к настройке.

    Настройка

    Т.к. ноутбуки у меня подключены через wi-fi, а сервер я подключил через витую пару — все компьютеры находятся в локальной сети.
    Первым делом я установил ssh и отключил монитор, разместив машину в укромном месте, чтоб не мешалось.

    Необходимо на рутере пробросить порты для доступа к серверу извне.
    Я сделал DHCP-резервацию по MAC-адресам, и мой сервер всегда будет иметь локальный адрес 192.168.1.2

    Скриншот из админки рутера:

    Вы видите, что я открыл порты для web, ftp, shoutcast и ssh.
    Тут важно знать, что внешние адреса для некоторых (и моей в часности) моделей рутеров не будут работать из локальной сети.
    Т.е. если я наберу на ноутбуке мой_внешний_айпи_адрес:21 — то я ничего не увижу.
    Теперь сервер виден из сети.

    Подключимся по ssh и проведем настройку.
    По умолчанию Debian использует Gnome как оконный менеджер, но он кушает оперативную память, поэтому мы его отключим.
    Делается это очень легко:

    Вариант от gribozavr
    apt-get install sysv-rc-conf
    sysv-rc-conf

    UPD: либо так, предложил Greignar
    update-rc.d -f gdm remove

    Сохраняем, перезагружаемся.
    Вуаля! Gnome отключен.
    Таким образом можно поотключать ненужные нам сервисы.

    Так получилось, что мой домашний провайдер не предоставляет мне статического айпи-адреса, поэтому пришлось искать решение.
    Я остановился на dyndns.com. Сервис, который бесплатно предоставляет домен третьего уровня + возможность серверным софтом обновлять айпи для данного домена, при изменении оного.
    Регистрируемся, добавляем новый аккаунт, качаем inadyn, ставим в автозагрузку с помощью update-rc.d

    update-rc.d inadyn defaults

    Теперь мы имеем домен, который всегда будет привязан к нашему серверу!

    Настройка screen + rtorrent

    Решение пало на эту связку, т.к. rtorrent — не демонической природы, а нужно, чтоб он работал в фоне.
    Если вы еще не знаете, что такое screen, зайдите на сайт GNU Project.
    Установим нужные нам пакеты:

    apt-get install screen rtorrent

    Я создал скрипт автозагрузки:

    nano /etc/init.d/screen

    #!/bin/sh
    screen -d -m rtorrent
    echo "Started..."

    И добавил его, опять же, через update-rc.d
    Поясню: при загрузке сервера в фоновом режиме запускается screen с запущенным внутри rtorrent.

    Немного подправим конфиг:

    nano /home/username/.rtorrent.rc

    directory = /data/downloads/
    schedule = watch_directory,5,5,load_start=/data/torrents/*.torrent

    Теперь наш торрент-клиент складывает закачки в папку /data/downloads/, и каждые 5 секунд проверяет папку /data/torrents/ на наличие новых torrent-файлов.

    Настройка apache, ftp, nfs

    Для работы с веб-клиентами mpd нужен веб-сервер. Я выбираю apache. Для работы с веб-клиентами плеера нам еще потребуется php.
    Также, nfs для монтирования сетевых дисков, и ftp для просто доступа к файлам.
    Тут все очень просто:

    apt-get install apache2 libapache2-mod-php5 php5-cli php5-common php5-cgi proftpd nfs-kernel-server

    Отлично, все пакеты установлены, демоны запускаются автоматически.
    В конфиге proftpd нужно добавить одну строчку для того, чтобы пользователи локальной системы могли логиниться как ftp-пользователи:

    nano /etc/proftpd/proftpd.conf

    DefaultRoot ~

    При логине на ftp-сервер пользователь попадает в домашнюю директорию.

    Для nfs-сервера я расшарил одну папку /data:

    nano /etc/exports

    /data 192.168.1.1/24(rw,no_root_squash,async)

    Это говорит о том, что пользователи локальной сети имеют право на чтение и запись папки /data на сервере.
    Перезагружаем демоны:

    /etc/init.d/proftpd restart
    /etc/init.d/nfs-kernel-server restart

    Все, NetFileSystem и FTP готовы к работе.

    Настройка клиентских машин

    Для удобной работы с nfs я сделал запись в fstab:

    sudo nano /etc/fstab

    192.168.1.2:/data /server/data nfs rw,hard,intr 0 0

    После достаточно написать

    sudo mkdir /server/data
    sudo mount /server/data

    И мы увидим папку из файловой системы сервера!

    Настройка mpd + relaxxplayer + icecast

    Mpd — отличный плеер-демон, для которого есть множество gui. Как и Qt, GTK+, так и web-based.
    Остановимся на веб-интерфейсе, т.к. мне это показалось наилучшим вариантом.

    Установим пакеты:

    apt-get install mpd icecast2

    Для установки клиента для плеера нужно скачать исходники с домашнего сайта и распаковать их в /var/www
    Apache у нас уже запущен, поэтому набрав адрес 192.168.1.2 мы увидим собственно плеер.
    Немного из настройки mpd:

    nano /etc/mpd.conf

    music_directory "/mnt"

    Я указываю плееру, что мои музыкальные файлы лежат в директории /mnt сервера.

    А теперь самое интересное!
    Я решил пойти путем монтирования на сервере nfs-директории лептопа, в которой содержится музыка.
    Установив на ноутбуке nfs-kernel-server и расшарив папку /home/romantik/music я подмонтировал ее на сервере в директорию /mnt/music

    Теперь, обновив базу даных mpd

    mpd --create-db

    мы увидим в ней музыку с лептопа 🙂
    При воспроизведении байты данных риал-тайм несутся по локальной сети.
    Удобнее и не придумаешь, теперь я практически независим от проводов 🙂

    И немного об icecast.

    В настройках mpd раскомментировав блок shoutcast мы получаем вещание в сеть стрим-потока прямо из плеера.
    Доступно оно по адресу 192.168.1.2:8000

    Заключение

    Для меня это было серьезным шагом в мир полнофункциональной консоли. Скажу вам, испытываю только удобство от проделанных процедур 🙂
    А что посоветуете реализовать на сервере вы?

    Установка Debian 10 на сервер

    Любая работа по администрированию сервера начинается с самого очевидного и обязательного процесса — инсталляции необходимой ОС, чем мы и займемся. Скачаем и установим Debian 10 в минимальной конфигурации с загрузочной флешки на обычный диск или raid раздел. Перед этим выполним небольшую подготовительную работу и познакомимся с подробностями нашего дистрибутива, которые могут быть полезны в будущем.

    Если у вас есть желание освоить Linux с нуля, не имея базовых знаний, рекомендую познакомиться с онлайн-курсом Administrator Linux.Basic в OTUS. Курс для новичков, для тех, кто хочет войти в профессию администратора Linux. Подробности по .

    Цели статьи

    1. Кратко рассказать о системе Debian 10.
    2. Объяснить различия установочных образов.
    3. Показать, как сделать загрузочную флешку с Debian для установки с флешки или по сети.
    4. Подробно описать все этапы установки Debian 10 Buster на сервер.
    5. Объяснить смысл различной разметки диска.
    6. Показать установку Debian 10 на программный рейд mdadm на тех серверах, где нет физического рейд контроллера. Продемонстрировать выход из строя и замену одного из дисков.

    Данная статья является частью единого цикла статьей про сервер Debian.

    Введение

    Debian один из старейших дистрибутивов Linux. Последнее время, как мне кажется, он немного потерял популярность за счет Ubuntu, которая построена на кодовой базе Debian и не может без него существовать. И тем не менее, за счет более свежих пакетов и каких-то своих небольших фич Ubuntu набрал популярность, а Debian немного потерял.

    Традиционно считается, что Debian более надежный, чем Ubuntu за счет более взвешенной политики принятия пакетов и новых версий. Если говорить простым языком, то в Debian более старые пакеты. Обновлений версий обычно не дождешься. В связи с этим лично я почти не использую Debian.

    В качестве надежной и стабильной системы c 10-ти летним сроком поддержки я выбираю Centos, а когда нужно все новое, современное, молодежное, использую Ubuntu, так как под нее сейчас затачивается весь современный web стек. Все новье чаще всего доступно под Ubuntu. Debian получается такой середнячок. Ни то, ни се.

    И все же дистрибутив известный и популярный. Его использует proxmox и многие другие продукты. Так что не обхожу его стороной. Скорее по старой памяти. Под Ubuntu так и не создал раздел на сайте, а вот для Debian он есть.

    Так что приступаем к установке последней версии Debian 10 Buster. В сети полно инструкций на эту тему, но чаще всего их пишут любители ставить linux на десктопы. Я же сделаю упор именно на серверную установку под типовые серверные задачи. Если кому интересно, то основные отличия 10-й версии я уже упоминал в статье про обновление debian c 9-й на 10-ю версию.

    Системные требования

    Начнем с системных требований. Debian, как и любой linux дистрибутив в минимальной установке, требует очень мало системных ресурсов. Согласно официальной документации, минимальные системные требования для установки Debian 10 следующие.

    Рекомендуемые минимальные требования к системе
    Тип установки Память (минимум) Память (рекомендуется) Жесткий диск
    без приложений 128 Мб 512 Мб 2 Гб
    с приложениями 256 Мб 1 Гб 10 Гб

    На практике, я обычно начинаю с виртуалок c 1 CPU,  512 Мб и 20 Гб диска для небольших задач (web сайт, шлюз, и т.д.) Дальше уже смотрите по загрузке и потребностям. Такие же минимальные значения системных ресурсов обычно стоят в начальных VDS или VPS хостеров.

    Загрузка дистрибутива (iso образа)

    Существует 3 формата дистрибутива, различающиеся по типу носителя:

    1. CD образы.
    2. DVD образы.
    3. BD (Blu-Ray) образ (только для версии Debian Edu)

    Я лично использую только CD образы:

    • netinst.iso — Минимальный по объему образ, который содержит только самое необходимое для запуска установщика debian. Все остальное в процессе установки загружается из интернета. Без доступа к интернету, возможна установка голой системы с минимальным набором системных утилит.
    • xfce-CD-1.iso — Стандартный iso образ, который подходит для offline установки минимальной конфигурации сервера с графическим окружением xfce (хотя зачем он на сервере?). По размеру сопоставим с обычным cd диском. Можно записать на флешку и устанавливать с нее.

    Название образа netinst вводит в заблуждение, намекая на то, что для установки нужен интернет. На самом деле это не так. Базовую установку с минимальным набором программ, которые включают в себя основные системные утилиты, можно выполнить даже без наличия интернета.

    Есть еще так называемые live дистрибутивы. Набор live образов позволяет попробовать систему дебиан без установки на железо. Отличаются друг от друга эти образы графической оболочкой. Данные iso образы актуальны для проверки работы системы на десктопах у обычных пользователей. Для системных администраторов, которые ставят систему на серверы, они вряд ли представляют интерес. Так что, если вам хочется просто посмотреть на работу системы, не устанавливая ее, можете воспользоваться live образами.

    Для установки Debian на сервер, можно использовать любой дистрибутив, так как вам фактически нужна только голая система. Все остальное устанавливается отдельно по мере необходимости. Для жителей России удобно использовать зеркало яндекс для загрузки дистрибутива Debian — https://mirror.yandex.ru/debian-cd/current/amd64/iso-cd/ Скорость будет выше, чем с официального сайта. Я и потом использую этот репозиторий для установки пакетов и обновлений.

    Запись образа на флешку

    Обычные CD диски сейчас уже становятся редкостью. Для меня не понятно, почему размеры iso образов до сих пор частенько подгоняют под размер CD или DVD диска. Я уже много лет использую загрузочные флешки для установки систем на железо. С ними быстрее, удобнее, проще обновлять образ.

    Есть много способов записать образ debian на флешку для последующей установки. У меня в комплекте есть несколько популярных программ для создания загрузочных usb:

    1. Rufus.
    2. Unetbootin.
    3. Win32DiskImager.
    4. Etcher.

    Это все бесплатные программы под Windows. Чаще всего пользуюсь первыми двумя. Иногда бывают ситуации, когда инсталлятор не может установить систему, записанную на флешку той или иной программой. Не знаю, по какой причине это бывает. Тогда приходится пробовать разные версии.

    В данном случае нам подойдет программа Rufus. Вы без проблем найдете ее на просторах интернета, не буду приводить ссылки. Сам всегда держу ее под рукой. Никаких особенных настроек не надо. Просто запускаете программу, выбираете флешку, образ и вперед.

    Если у вас система Linux, то для создания загрузочной флешки с Debian 10 используйте программу Etcher.

    Установка Debian 10 Buster

    К установке системы Debian 10 у нас все готово. Вставляйте флешку в сервер, если будете ставить на голое железо, либо подключайте iso образ к виртуальной машине и приступайте. Нас встречает традиционное первоначальное меню загрузочного образа.

    Я лично предпочитаю использовать консольный (Install), а не графический (Graphical Install) установщик. У меня в нем быстрее получается выбирать необходимые разделы. В целом, это вопрос личных предпочтений. Все этапы установки и варианты выбора настроек идентичны при любом способе. Я продолжаю в консольном.

    Не буду приводить скриншоты всех этапов установки Debian 10. Не вижу в этом смысла. Там все достаточно очевидно. Буду останавливаться только на ключевых моментах и давать советы. Итак, после запуска установки системы, вам предложат выбрать язык. На серверах я всегда выбираю английский язык и английскую раскладку. Не вижу тут никаких альтернатив. Язык современной техносферы — английский и глупо идти поперек. Если вам понадобятся другие языки, то можете их настроить потом, по мере работы с системой.

    После выбора языка необходимо выбрать географическое расположение. На этом этапе я всегда задумываюсь, по какому принципу группируются возможные варианты.

    На первом экране представлены такие популярные и известные страны, как Замбия, Нигерия, Филлипины, Зимбабве, Ботсвана, но пропущены почти все (или все?) европейские страны. Для того, чтобы выбрать Россию, нужно пройти в other, выбрать Europe, а потом уже Russian Federation. Может быть такая группировка не случайна и есть какая-то байка на этот счет. Если кто-то в курсе, прошу поделиться.

    После выбора страны нам предлагают указать кодировку и раскладку клавиатуры. Я всегда выбираю en_US.UTF-8 и American English. Если понадобится дополнительный язык, его всегда можно добавить позже. Далее необходимо подождать некоторое время, пока установщик не подгрузит следующие компоненты, необходимые для установки дебиан. После этого он попытается настроить сеть. Если у вас все в порядке с сетевой картой, и в сети работает dhcp-сервер, на моменте настройки сети не будет остановки, и она пройдет без каких-либо ваших действий. Если же у вас нет dhcp-сервера, то вам будет предложено вручную указать все сетевые параметры:

    • ip адрес
    • маску сети
    • ip шлюза и dns сервера

    После сетевых параметров нас попросят указать имя сервера и его домен. Можете указывать что угодно. Если у вас нет никакого домена, можете оставить поле пустым, либо указать домен local.

    Далее надо задать пароль root, потом создать обычного пользователя с произвольным именем и указать пароль к нему. По-умолчанию, после установки, войти удаленно по ssh пользователем root на сервер невозможно. Для этого нужно использовать учетную запись обычного пользователя и через него выполнять административные действия. Поэтому при установке debian нужно обязательно создать обычного пользователя.

    После создания паролей и пользователя, выбираем часовой пояс. На следующем этапе установки переходим к разметки диска. Это важный момент, поэтому рассмотрим его отдельно.

    Разметка жесткого диска

    Тема разметки диска раньше была достаточно спорной и вызывала много дискуссий и споров. Делали отдельно разделы под корень /, домашнюю директорию /home, под логи /var/logs и т.д. Мне кажется, что сейчас все это стало неактуально. Сервера общего назначения переехали в виртуальные среды, а там можно и дополнительный диск выделить под образовавшиеся нужды, либо увеличить текущий. Нет необходимости заранее продумывать на много шагов вперед, можно без проблем потом добавить дисковое пространство.

    Если же вы настраиваете железный сервер, то скорее всего четко знаете для чего он нужен и разбиваете уже в зависимости от его прямого назначения. Я сам лично, если нет каких-то особых требований к серверу, создаю только один общий раздел / на lvm.

    Если у вас есть свое мнение по поводу разбивки диска, предлагаю поделиться соображениями в комментариях. Переходим к разметке диска для нашего debian сервера. Выбираем Guided — user entire disk and set up LVM.

    Далее нужно выбрать жесткий диск, на который будет установлена система. Если у вас он только один, как у меня, то выбирать не из чего. Дальше выбираем схему разбивки диска. Как я уже сказал ранее, все будет храниться в одном корневом разделе, так что выбираем All files in one partition.

    Затем вас спросят, записать ли изменения — соглашайтесь. Далее надо указать размер группы томов LVM. По-умолчанию указан весь размер диска, можно с этим согласиться. Далее увидите окончательный вариант разбивки диска.

    В принципе, можно с ним согласиться. Но лично мне не нравится swap на отдельном lvm томе. Я люблю хранить swap в файле прямо на файловой системе. Теоретически, это чуть медленнее, чем отдельный раздел, но практически это не важно. В современных серверах swap редко используется, нужен больше для стабильности работы системы, нежели для скорости. Со swap в отдельном разделе не получится гибко работать, как с обычным файлом. Я на серверах ставлю минимальный размер свопа в 1 Гб, увеличиваю по мере необходимости. Когда своп это обычный файл, с этим нет проблем.

    Так что изменения не записываем, выбираем No. Вы попадаете в раздел управления разметкой диска. Необходимо удалить LV раздел под swap, затем удалить LV раздел root и создать его заново максимального размера. Потом на нем же еще раз создать корневую систему в точке монтирования /. Должно получиться вот так.

    В принципе, раздел /boot тоже можно было бы разместить в корне, но в целом можно оставить и так. Я сталкивался с неожиданными проблемами, когда /boot раздел был на lvm. Так что не буду вам рекомендовать его куда-то переносить.

    Когда будете соглашаться с новой разметкой, получите предупреждение, что забыли про swap. Не обращайте на него внимание. Дальше пойдет непосредственно установка Debian 10 в виде копирования системных файлов на диск.

    На следующем этапе установки системы, вам будет задан вопрос по поводу дополнительного диска с пакетами. Вам будет предложено проверить другой диск для установки дополнительных пакетов. Отказываемся и идем дальше. Теперь нужно выбрать зеркало, с которым будет работать пакетный менеджер apt. Выбираем свою страну и подходящее зеркало. Я выбираю Russian Federation и зеркало mirror.corbina.net. Раньше всегда выбирал зеркало Яндекса, но в Debian 10 его почему-то нет для выбора.

    Далее нас просят указать прокси. Скорее всего вы им не пользуетесь, поэтому строку можно оставить пустой. Если это не так, то укажите адрес proxy сервера. На следующем этапе установки debian 10 вопрос о том, хотим ли мы делиться анонимной статистической информацией об использовании различного ПО на сервере. Я обычно не делюсь.

    Дальше выбираем набор дополнительного ПО, которое будет установлено на сервер debian 10 вместе с основной системой. Я никогда не ставлю ничего, кроме ssh сервера и системных утилит.

    Все остальное можно установить потом. На последнем этапе установки нас спрашивают про загрузчик grub — установить ли нам его. В подавляющем большинстве случаев это нужно сделать. Если вы не знаете, нужно или нет, значит 100% нужно. Без загрузчика можно обойтись в очень специфических ситуациях, которые мы рассматривать не будем в этой инструкции по установке debian. Так что устанавливаем  grub на единственных жесткий диск.

    Перезагружаем сервер. Установка завершена, он полностью готов к работе. Не забывайте, что по-умолчанию, на сервер нужно подключаться под учетной записью обычного пользователя, не root. После установки системы, предлагаю выполнить предварительную настройку сервера.

    Установка по сети (netinstall)

    С сетевой установкой Debian есть определенная путаница. Как я уже ранее говорил, название iso образа netinst.iso вводит в заблуждение. На самом деле, с этого образа можно установить минимальную систему даже без наличия локальной сети. Но в то же время, при наличии интернета можно загрузить любой дополнительный пакет.

    Настоящее руководство по netinstall представляет из себя совсем другую процедуру. Подробно она описана в официальном мануале — Подготовка файлов для загрузки по TFTP. Смысл сетевой установки в том, что вы со своего компьютера, на который хотите установить систему Debian, подключаетесь по технологии PXE к TFTP серверу и с него начинаете загружать установочные файлы.

    При такой процедуре, вам для установки системы на компьютер не нужно ничего, кроме локальной сети и настроенного tftp сервера. Кроме этого, сетевая карта компьютера должна поддерживать технологию PXE. Такой вариант сетевой установки дебиан будет удобен, если вам необходимо развернуть систему на большое количество машин.

    Мне приходилось настраивать TFTP сервер для отдачи файлов при загрузке по PXE. Изначально кажется, что все это слишком сложно, но на самом деле ничего сложного нет. Я без особых проблем смог настроить бездисковые станции для запуска linux системы. Но это отдельная история, выходящая за рамки данной инструкции.

    Установка Debian 10 на raid

    Рассмотрим вариант установки debian на софтовый рейд mdadm. Эта актуальная ситуация, когда вы разворачиваете систему на железе, а не виртуальной машине. К примеру, такая конфигурация будет полезна для установки proxmox. В этой статье я уже рассматривал установку debian на raid1. Но там более старая версия Debian. Так что рассмотрю еще раз эту тему уже на примере Debian 10.

    Итак, начинаем установку системы по приведенной ранее инструкции. Доходим до этапа разбивки диска и выбираем режим Manual.

    Выбираем любой из дисков и перемещаемся в раздел конфигурации дисков. Нам нужно, чтобы получилась следующая картина:

    1. Массив raid1, объединяющий оба диска.
    2. /boot раздел прямо на mdadm рейде.
    3. Поверх массива LVM том на всем остальном пространстве, кроме /boot.
    4. Корневой раздел по всему lvm.

    В конечном итоге, в конфигураторе это выглядит так:

    Последовательность действий для этой конфигурации следующая:

    1. На каждом диске создаете по 2 раздела — один под /boot 500 Мб и второй все остальное пространство.
    2. Объединяете эти разделы в 2 raid1 mdadm. Один массив под /boot, второй под остальную систему.
    3. На массиве под /boot сразу же делаете раздел /boot и файловую систему ext2.
    4. Создаете volume group на весь второй массив, потом в этой группе создаете logical volume под корневой раздел.
    5. В logical volume создаете корневой раздел / и файловую систему ext4.

    В итоге у вас должно получиться то же, что и у меня на картинке. Дальше ставите debian 10 как обычно. После установки на raid нужно выполнить несколько важных действий.

    1. Зайти в систему и создать swap.
    2. Установить загрузчик на оба диска. Во время установки он был установлен только на один диск.
    3. Протестировать отказ одного из дисков.

    Думаю, с созданием swap вопросов быть не должно. По ссылке все подробно описано. Установим загрузчик на оба жестких диска, чтобы в случае выхода любого из них, система смогла загрузиться. Для этого выполняем команду:

    # dpkg-reconfigure grub-pc

    Выскочат пару запросов на указание дополнительных параметров. Можно ничего не указывать, оставлять все значения по-умолчанию. А в конце выбрать оба жестких диска для установки загрузчика.

    Смотрим теперь, что с дисками.

    Картина такая, как и было задумано. Выключим сервер, отсоединим один диск и включим снова. При запуске, нормально отработал grub, дальше посыпались ошибки в консоль.

    Тем не менее, сервер через некоторое время загрузился. Смотрим, в каком состоянии диски.

    В целом, все в порядке, система полностью работает. Просто не хватает одного диска. Теперь снова выключим сервер и воткнем в него чистый диск такого же объема. То есть имитируем замену сломанного диска на новый. Запускаем сервер и проверяем список дисков в системе.

    # fdisk -l | grep /dev
    Disk /dev/sda: 10 GiB, 10737418240 bytes, 20971520 sectors
    /dev/sda1  *      2048   999423   997376  487M fd Linux raid autodetect
    /dev/sda2       999424 20969471 19970048  9.5G fd Linux raid autodetect
    Disk /dev/sdb: 10 GiB, 10737418240 bytes, 20971520 sectors
    Disk /dev/md1: 9.5 GiB, 10215227392 bytes, 19951616 sectors
    Disk /dev/md0: 475 MiB, 498073600 bytes, 972800 sectors
    Disk /dev/mapper/vg00-root: 9.5 GiB, 10213130240 bytes, 19947520 sectors
    

    Старый диск sda c двумя разделами и новый диск sdb без разделов. Нам нужно на новый диск скопировать структуру диска sda. Делаем это следующей командой.

    # sfdisk -d /dev/sda | sfdisk /dev/sdb

    Проверяем результат:

    # fdisk -l | grep /dev
    Disk /dev/sda: 10 GiB, 10737418240 bytes, 20971520 sectors
    /dev/sda1  *      2048   999423   997376  487M fd Linux raid autodetect
    /dev/sda2       999424 20969471 19970048  9.5G fd Linux raid autodetect
    Disk /dev/sdb: 10 GiB, 10737418240 bytes, 20971520 sectors
    /dev/sdb1  *      2048   999423   997376  487M fd Linux raid autodetect
    /dev/sdb2       999424 20969471 19970048  9.5G fd Linux raid autodetect
    Disk /dev/md1: 9.5 GiB, 10215227392 bytes, 19951616 sectors
    Disk /dev/md0: 475 MiB, 498073600 bytes, 972800 sectors
    Disk /dev/mapper/vg00-root: 9.5 GiB, 10213130240 bytes, 19947520 sectors
    

    То, что надо. Теперь добавляем новый диск в деградированные массивы mdadm.

    # mdadm --add /dev/md0 /dev/sdb1

    Дожидаемся окончания ребилда массива под boot. Это будет быстро. И возвращаем диск в корневой раздел.

    # mdadm --add /dev/md1 /dev/sdb2

    Не забываем добавить загрузчик на новый диск.

    # dpkg-reconfigure grub-pc

    После окончания ребилда можно перезагрузить сервер, чтобы убедиться, что все порядке. Я рекомендую всегда делать подобные проверки при настройке серверов. Не важно, какой у вас рейд контроллер. Надо имитировать поломку диска и выполнить его замену. При необходимости, процесс восстановления можно записать, чтобы при поломке диска точно знать, как действовать.

    На этом иснтрукция по установке Debian 10 на софтовый рейд массив закончена. По-моему, получился очень функциональный вариант. Дальше на этот сервер можно установить proxmox и получить устойчивый к отказу дисков гпервизор. Причем по надежности он будет не хуже, чем железный рейд, а возможно и лучше.

    Заключение

    Не понравилась статья и хочешь научить меня администрировать? Пожалуйста, я люблю учиться. Комментарии в твоем распоряжении. Расскажи, как сделать правильно!

    Как я уже говорил, Debian в чистом виде я почти не использую. Лично мне он в основном интересен, как базовый дистрибутив под гипервизор proxmox. Именно поэтому я не обхожу его стороной и пишу статьи про установку. Вариант с установкой debian на софтовый рейд как раз актуален именно для proxmox. Получается бюджетное надежное решение под виртуализацию.

    Буду рад советам и замечаниям по существу в комментариях. Напоминаю, что данная статья является частью единого цикла статьей про сервер Debian.

    Онлайн курс по Linux

    Если у вас есть желание освоить операционную систему Linux, не имея подходящего опыта, рекомендую познакомиться с онлайн-курсом Administrator Linux. Basic в OTUS. Курс для новичков, адаптирован для тех, кто только начинает изучение Linux. Обучение длится 4 месяца. Что даст вам этот курс:
    • Вы получите навыки администрирования Linux (структура Linux, основные команды, работа с файлами и ПО).
    • Вы рассмотрите следующий стек технологий: Zabbix, Prometheus, TCP/IP, nginx, Apache, MySQL, Bash, Docker, Git, nosql, grfana, ELK.
    • Умение настраивать веб-сервера, базы данных (mysql и nosql) и работа с сетью.
    • Мониторинг и логирование на базе Zabbix, Prometheus, Grafana и ELK.
    • Научитесь командной работе с помощью Git и Docker.
    Смотрите подробнее программу по .
    Помогла статья? Подписывайся на telegram канал автора
    Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

    Настройка сервера Debian: установка, локальный, ssh

    Установка debian на живой сервер или на виртуалку Virtual Box, настройка сети

    Начнём с VirtualBox. Установка виртуальной машины стандартная, о ней уже рассказывалось в статье Установка Debian 9.3 — пошаговая инструкция

    При установке имеется небольшая разница относительно того, какая операционная система установлена — Windows или unix системы.

    Итак, создаем виртуальный сервер, на живом установка будет аналогичная, только в некоторых случаях бывает дольше.

    Указываем имя Debian сервер, virtualbox сам выбирает операционную систему Linux Debian (он по названию определит).

    Заходим в настройки и загружаем образ предварительно скачанные с сайта — www.debian.org/distrb/

    Скачивать нужно дистрибутив net Install, что означает установка по сети, дистрибутив весит около 250 МБ, он достаточно быстро скачивается. Пакеты и программное обеспечение будет доустанавливаться по сети. Т.е. если у вас нет интернета, дистрибутив net Install вам не подойдёт, и нужно скачивать полную версию.

    Заходим в настройке, выбираем накопители, и в контроллере IDE 10 монтируется образ ISO. Далее стартуем сервер. В открывшемся меня нажимаем Install. Подробная установка Debian рассмотрена здесь.  После завершения установки перезагружаем сервер.

    Установка SSH

    SSH (от англ. Secure Shell «безопасная оболочка») представляет собой сетевой протокол для соединения по сети Internet, который позволяет выполнять удалённое управление системой. Имеется бесплатная модификация SSH, которая именуется OpenSSH и включена в пакет ssh Debian.

    sudo apt-get install ssh

    Подключиться к серверу через ssh (с компьютера под управлением unix подобной операционной системы)

    ssh [email protected]

    Знакомство с командной строкой и протоколом ssh, sftp, настройка доступов по ключам (вместо паролей), root доступ

    Базовые утилиты: su ls pwd cp scp locate updatedb which

    Команда cd означает change directory (сменить директорию)

    su – Superuser (суперпользователь).

    Если мы находимся под логином текущего пользователя, то прописав su + имя пользователя, можно зайти в систему с правами root. Root имеет доступ ко всем папкам, может запускать и удалять всё что угодно, поэтому от имени суперпользователя необходимо работать внимательно и осторожно.

    ls – показывает содержимое папки.

    Указанные команды необходимо хорошо знать или иметь шпаргалку по ним, потому что без них вы ничего не сможете сделать.

    Сочетание клавиш

    Ctrl+c  отменяет запущенный процесс

    Ctrl+d  разлогиниться

    Настройка сети

    Для того, чтобы наш сервер стал доступен из нашей операционной системы, например, для того, чтобы из Windows зайти на свой сервер, через пути или просто пинговать его, или просто зайти в браузер. Выключаем сервер правильным способом (команда halt). Включаем питание в виртуально машине, идем в настройки – сеть — включаем режим моста, выбираем подключение.

    Сейчас IP адрес у сервера будет такой же, как и у компьютера.

    Вводим ip a —  посмотреть все интерфейсы и их IP адреса.

    Таким образом можно сделать пинг со своего компьютера. Теперь можно заходить на сервер с компьютера. Система запросит подтверждение на добавление публичного ключа сервера в систему. Теперь консоль от virtualbox уже не нужна и ее можно просто свернуть, теперь можно заходить в систему через ssh клиент, как будто бы выполняется заход на сервер удаленно.

    Потребуется отредактировать следующий файл:

    # nano /etc/network/interfaces

    Пример config для ручной настройки IP:

    # The loopback network interface

    auto lo

    iface lo inet loopback

     

    # The primary network interface

    allow-hotplug eth0

    iface eth0 inet static

            address 10.0.0.10

            netmask 255.0.0.0

            network 10.0.0.0

            broadcast 10.255.255.255

            gateway 10.0.0.1

            # dns-* options are implemented by the resolvconf package, if installed

            dns-nameservers 10.0.0.1

            dns-search debian

    Публичные ключи

    Для начала нам нужно сгенерировать ключ уже на нашем же сервере с помощью утилиты ssh-keygen. Ключи нужны чтобы каждый раз не вводить пароль.

    На сервер нужно загрузить публичный ключ (приватный ключ хранится только у нас на компьютере).

    Если ключ, который вы желаете использовать, уже имеется перейдите к разделу «Копирование публичного ключа».

    Для создания пары (pair) ключей, пропишите команду в терминале вашего компьютера:

    ssh-keygen

    Ключ будет сгенерирован в текущем каталоге пользователя в папке …/.ssh/id_rsa.

    Этот файл необходимо держать у себя на компьютере.

    Чтобы зайти на аккаунт под публичным ключом нужно создать файл .ssh/authorized_keys

    Необходимо скопировать публичную часть ключа в этот файл.  После создания пары SSH-ключей, пропишите команду в терминале на локальной машине для вывода публичного ключа:

    cat ~/.ssh/id_rsa.pub

    Закрываем файл сочетанием клавиш ctrl+x. Сохраняем – y.

    Теперь попробуем зайти на сервер:

    ssh имя_пользователя@ip-адрес-сервера

    Теперь мы на сервер можем сколько угодно раз заходить без всяких паролей.

    Псевдонимы в Unix ssh/config

    Это относится опять же к операционным системам на базе unix. К Windows это никакого отношения не имеет. Но если вы будете с одного Debian сервера заходить на другой Debian сервер, тогда это вам пригодится или если ваш домашний компьютер будет Debian и вы будете администрировать удаленный компьютер Debian, то вам это в принципе поможет.

    В папке ssh создается файл config, в нем прописывается хост, придумывается псевдоним. Теперь можно сразу заходить с помощью псевдонима под логином и паролем.

    Знакомство с менеджером пакетов apt и принципом установки приложений

    Что такое .deb пакеты в Debian?

    Это файлы, подобные MSI файлам в Windows. То есть это набор файлов и мета-данных для установки того или иного определённого приложения. Там хранится скомпилированный бинарник уже сразу под вашу операционную систему. Например, если установлена 64 битная Debian версия 9.3, то значит в этом в пакете будет именно этот бинарный файл для установленной системы.

    Вся установка deb пакетов означает скопировать бинарник в одну папку, config в другую папку, ну и попросить какие-то зависимости, без которых эта программа не запустится.

    В Debian по умолчанию установлена системная программа dpkg, которая при установке системы ставит приложения. Существует принципиальное отличие dpkg и apt.

    Утилита dpkg просто устанавливает бинарники, и предупреждает о зависимостях, которые нужны для этой программы, при этом она эти зависимости устанавливать не будет.

    Утилита apt автоматически всё продумывает, необходимые зависимости она установит.

    apt-get – это менеджер пакетов, который устанавливает deb пакеты и автоматически устанавливает все нужные зависимости. То есть если нужен, к примеру, PHP с поддержкой xml или ещё с чем-то, то apt-get автоматически устанавливает целый комплект нужных программ (это своего рода как AppStore для для iOS).

    Установка утилит mc

    Попробуем установить полезную утилиту mc, она часто используется для работы сервера. Она представляет собой популярный 2х-панельный файловый менеджер Midnight Commander.

    Установка mc на сервер:

    # apt-get -y install mc

    Добавляем пользователя в группу root

    Выполнение команд от суперпользователя:

    sudo command

    Установка и настройка окружения nginx, php-fpm, mysql;

    Устанавливаем nginx php5 и mysql-server:

    sudo apt-get install nginx

    sudo apt-get install php5-fpm php5-mysql

    Настройка nginx

    sudo cp /etc/nginx/sites-available/default

     

    Установка и настройка домашнего сервера на Debian

    Когда домашний «зоопарк» электронных девайсов разрастается от простого десктопа до ноутбука, десктопа, планшета, смартфона, телевизора с поддержкой SmartTV и т.д., появляется желание не просто объединить их в одну локальную сеть, а и иметь доступ к необходимым файлам с любого устройства, плюс, возможность администрировать каждое (ну почти) устройство сети, находясь в любой точке мира. В таком случае в сети нужно выделить главный ПК, который и будет заведовать всеми остальными. О том, как установить и настроить домашний сервер на Debian, вы узнаете из этого материала.

    Intro

    Зачастую, подобные домашние сервера собираются из устаревшего железа, которое либо стало не нужным после апгрейда основного ПК, либо уже давно просто пылится на полке. Да и в такой области применения не нужны разнообразные серверные навороты вроде контроллера домена, Active Directory, управления лесом и т.д. А потому сразу же, как операционная система, отпадает Windows Server ввиду прожорливости и перегруженности (как для нас) разнообразными функциями. И остается только один вариант – Debian. Для тех, кто еще не знаком с миром Linux, загляните в Википедию (https://ru.wikipedia.org/wiki/Linux), ознакомьтесь с историей, а также базовыми принципами работы в linux-системах.

    Почему не Ubuntu Server, спросите вы? А потому что, первое – Debian это синоним слова «стабильность», и второе – в репозиториях Debian лежит более 43000 пакетов ПО. Из этих двух причин появляется третья – гиперпопулярность Debian-а, огромное комьюнити и неисчерпаемое количество информации по ОС.

    Установка

    Идем на https://www.debian.org/, и на странице «Где взять Debian» выбираем, что хотим скачать: маленький установочный образ netinst (для установки по сети), или же полные образы для CD или DVD. В первом случае получаем iso размером примерно в 300 МБ, во втором же – все торренты суммарно потянут на 12.5 ГБ. Я выбрал первый.

    С помощью Win32DiskImager (http://sourceforge.net/projects/win32diskimager/) или другой аналогичной утилиты для записи образов на USB-диски, закидываем Debian на флешку (в той же Win32DiskImager это делается очень просто – выбираем диск, месторасположение образа, жмем «Write», соглашаемся на запись и ждем).

    Для верности съемный диск стоит предварительно отформатировать в FAT32, потому что некоторые старые материнские платы не умеют загружаться с NTFS-флешек. 

    Небольшой совет: что бы не перетыкать флешку по несколько раз из одного ПК в другой, для проверки корректности записи образа можно воспользоваться улиткой Xboot (http://www.pendrivelinux.com/xboot-multiboot-iso-usb-creator/), в которую встроен эмулятор QEMU.

    Итак, вставляем «прожжённую» флешку в будущий сервер и включаем его. Но предварительно зайдем в BIOS, выставим порядок загрузки, переместив съемные диски на первое место. Сохраняем изменения, перезагружаемся. В появившемся меню жмем «Install».

    Сразу выбираем язык, страну и раскладку клавиатуры. Когда загрузятся необходимые компоненты, нам будет предложено ввести сетевое имя ПК и имя домена, которое мы оставим пустым. 

    Следующим пунктом будет ввод пароля для суперпользователя (root). Из соображений безопасности стоит придумать достаточно сложный пароль (kv_by_forever_2015, например). Подтверждаем, введя его еще раз. 

    Далее необходимо создать основную учетную запись, от имени которой мы будем работать большую часть времени. Вводим полное имя пользователя, имя учетной записи (логин), и дважды пароль. Ждем, пока подтянется сеть и загрузятся нужные файлы.

    Теперь нам предложат разметить диск и сконфигурировать менеджер логических томов LVM. Поскольку у нас не серьезный сервер крупной корпорации, выберем автоматическую разметку с настройкой LVM.

    Далее выбираем диск для разметки (скришоты делались в виртуальной машине с одним жестким диском).

    В следующем окне предстоит выбор: сложить все фалы в один раздел, установить систему в /boot, а пользовательские файлы в /home, или то же, но еще с /var и /tmp. Выберем второе, так как пока что var и tmp нам не нужны, а в первом случае, при возможной переустановке системы, мы потеряем все свои файлы. А если отвести под наши нужды отдельный раздел home, то при переустановке или установке любого другого дистрибутива, достаточно будет просто подмонтировать /home, и все файлы снова будут доступны. Соглашаемся на внесение изменений,  смотрим, что и как будет размечено, соглашаемся, и еще раз соглашаемся.

    Пока устанавливается базовая система, приведу конфигурацию моего тестового сервера:

    • Процессор AMD Sempron [email protected] GHz
    • Материнская плата Foxconn 6100K8MB
    • 1.5 GB RAM (одна планка Samsung M3 68L6523CUS-CCC 512 MB DDR, вторая – Hexon неопределенной модели 1 GB DDR)
    • Жесткий диск Samsung 040GJ на 40 GB SATA 2
    • Интегрированная видеокарта NVIDIA GeForce 6100

    «Динозавр классический» получился .

    Базовая система установлена, нам предлагают настроить менеджер пакетов apt. Указываем страну, в которой размещено зеркало, с которого мы хотим качать пакеты, собственно само зеркало, и, при необходимости, вводим адрес используемого прокси-сервера. Ждем пока закачается еще одна порция пакетов.

    После нам предложат поучаствовать в программе сбора статистики использования пакетов . Тут выбираем по собственному желанию. Я ответил «нет».

    А вот теперь нам заманчиво предлагают выбрать, какой дополнительный софт необходимо установить. Но, поскольку у нас сервер, то снимаем звездочку с окружения рабочего стола, ну и заодно с сервера печати (потом все необходимое доустановим уже в системе), оставив только стандартные утилиты.

    Когда притянутся и настроятся стандартные утилиты, соглашаемся на установку загрузчика , и указываем, куда его ставить . Еще полминуты настроек и, как только увидим сообщение об удачном завершении установки, вынимаем флешку и жмем «Продолжить». Система установлена.

    Первый вход

    После перезагрузки первое, что мы увидим –  это менеджер загрузки GRUB.

    Первый пункт меню «Debian GNU/Linux» загрузится автоматически через 2 секунды, потому просто ждем. И видим приветствие. Входим, введя свой логин и, по запросу, пароль. Далее делать скриншоты бессмысленно, потому я ограничусь вводом и выводом терминала.

    Sudo

    Что бы иметь возможность запускать программы от имени администратора, необходимо установить утилиту под названием sudo. Выполняем в терминале:

    su

    по запросу вводим пароль. Теперь мы работаем от имени суперпользователя и сейчас самое главное – думать, что мы делаем, ведь одно неосторожное удаление, и система может больше не загрузиться. Для установки sudo пишем:

    apt-get install sudo

    Когда sudo установится, добавим нашего пользователя в группу sudo:

    adduser username sudo

    Перезагружаемся:

    reboot

    Перед дальнейшей настройкой примем за данность, что в интернет все наши устройства ходят через роутер. В моем случае это Huawei HG532e.

    Для удобства в дальнейшем, присвоим MAC-адресам наших устройств статические ip-адреса. MAC-адрес можно узнать в свойствах сетевого адаптера в Windows, или выполнив (в Debian):

    sudo ifconfig

    MAC-адрес будет отбражен в поле HWaddr.

    SSH

    По идее, сервер должен тихо и неприметно выполнять свою работу, стоя, например, в кладовке или подвале (если частный дом). Но сервером все так же нужно управлять. Лучший и общепринятый способ – это терминал через сетевой протокол SSH. Для этого нам понадобится SSH-сервер. Выполняем:

    sudo apt-get install ssh

    И соглашаемся на установку. Теперь надо правильно настроить сервер SSH. Открываем файл настроек во встроенном редакторе nano:

    sudo nano /etc/ssh/sshd_config

    И начинаем с самого начала. Поскольку планируется, что мы сможем получить доступ к системе из любого места на планете, сразу сменим стандартный 22-й порт, к примеру, на 2020:

    Port 2020

    Поскольку на пост-советском пространстве с IPv6 все еще плохо, ограничим подключения только протоколом IPv4. Сразу после порта вставляем новую строку:

    AddressFamily inet

    Возвращаемся в начало. Поскольку мы уже настроили sudo, запретим вход через SSH под root-ом. Правим строку:

    PermitRootLogin no

    Идем дальше. Поскольку мы не будем использовать графическую среду, отключим форвардинг сервера окон X11 через ssh:

    X11Forwarding no

    По умолчанию, аутентификация по паре логин/пароль отключена, и это правильное решение. Гораздо безопаснее входить по RSA-ключу. Для этого сначала на клиентских машинах нужно сгенерировать по паре ключей (приватный и публичный), а потом скопировать публичный на сервер. Для Windows существует просто отличный клиент для работы с SSH под названием PuTTY. Скачиваем zip-файл (http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html) со всеми необходимыми утилитами сразу, распаковываем и запускаем PuTTYgen. Жмем «Generate», и хаотично «мотыляем» мышкой по окну, пока процесс генерации не закончится. После, жмем «Save public key» и «Save private key», и сохраняем куда-нибудь.

    Однако, чтобы скопировать свой публичный ключ на сервер, войти один раз по логину/паролю все же придется. Для этого удаляем # перед строкой:

    PasswordAuthentication yes

    Снимаем комментарий и правим строку на:

    AuthorizedKeysFile .ssh/authorized_keys

    Жмем Ctrl+O, Enter и Ctrl+X. Перезапускаем сервис ssh:

    sudo systemctl restart ssh

    Запускаем PuTTY, в поле «Host» пишем ip-адрес сервера, указываем порт, в поле «Saved Sessions» вводим имя подключения, жмем «Save» и «Open». Соглашаемся с предупреждением, вводим по предложению логин и пароль. 

    Теперь надо завести файл с публичными ключами. Создаем в каталоге профиля папку .ssh:

    mkdir .ssh

    Переходим в нее, потом на нашем ПК открываем блокнотом файл с публичным ключом и копируем собственно сам ключ (строки между «comment…» и «—-end—-»), создаем файл authorized_keys и вписываем в него (последовательность команд сохранена):

    cd .ssh

    nano authorized_keys

    ssh-rsa AAAAA…..(key)…..== [email protected]

    Примечание: когда вставите в окно PuTTY с открытым файлом authorized_keys, ключ (просто жмите ПКМ) нужно удалить переходы на новую строку (чтобы весь ключ был в одну строчку).

    Жмем Ctrl+O, Enter и Ctrl+X. Перезапускаем сервис ssh:

    sudo systemctl restart ssh

    Возвращаемся в окно новой сессии PuTTY, выбираем сохраненную сессию, нажимаем «Load», слева в панели с деревом настроек выбираем «SSH», а в нем подпункт «Auth». Жмем «Browse», указываем файл с приватным ключом (с расширением .ppk), возвращаемся в сайдбаре в пункт «Session», клацаем «Save» и «Open». Вводим логин, если все хорошо, нас авторизуют. Снова открываем /etc/ssh/sshd_config и отключаем вход по паролю:

    sudo nano /etc/ssh/sshd_config

    Правим:

    PasswordAuthentication no

    Жмем Ctrl+O, Enter и Ctrl+X. Перезапускаем сервис ssh:

    sudo systemctl restart ssh

    С ssh разобрались, едем дальше.

    Samba

    Самое первое, что нам нужно – это возможность расшаривания файлов в нашей локальной сети. Для этой цели идеально подходит протокол Samba. В репозиториях восьмого Debian-а уже лежит новая Samba 4, потому просто устанавливаем (соглашаемся на установку всех дополнительных пакетов):

    sudo apt-get install samba

    Теперь настраиваем Samba. Открываем файл конфигурации:

    sudo nano /etc/samba/smb.conf

    Итак, значение параметра workgroup определяет название рабочей группы, в которую входит наш сервер. Имя должно быть одинаковое на ВСЕХ ПК нашей сети. Я оставил WORKGROUP. Поскольку наш «парк» состоит и из windows-ПК, нужно поднять WINS-сервер для того, что бы все компьютеры нормально работали через NetBIOS-имена (папка Сеть в Windows 7/8/10), а не только через «голые» ip-адреса. Для этого раскомментируем и поправим строку:

    wins support = yes

    И сразу под ней укажем приоритет нашего сервера (99 будет достаточно, максимально 255):

    os level = 99

    Далее перемещаемся почти в самый конец конфига, в раздел «Share Definitions». Именно тут нужно указать все папки и принтеры, которыми мы хотим поделиться в локальной сети. А потому, например, после подсекции [printers], вписываем примерно такие строки:

    [share]

    comment = public folder

    browseable = yes

    path = /home/username/share

    guest ok = yes

    read only = no

    create mask = 0777

    Параметров общих ресурсов в Samba на самом деле гораздо больше, потому и на этих я не буду детально останавливаться, все это отлично описано в документации (https://www.samba.org/samba/docs/). Как обычно, сохраняем, выходим. Теперь главное не забыть создать ту папку, которую мы прописали в конфигурационном файле. А потому:

    cd ~

    mkdir share

    chmod 0777 share

    Стоит сказать пару слов касательно поддержки Samba в Windows 7/8/8.1 и, возможно, 10. Их тоже можно сделать серверами Samba, выполнив пару скриптов в PowerShell-е. Но нам нужно активировать только клиент для Samba. Запускаем командную строку от имени администратора и выполняем по очереди:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi

    sc.exe config mrxsmb20 start= auto

    Без этого вы с большой долей вероятности получите ошибку 0x80070035. Также может потребоваться выход всех ПК из Домашней группы Windows. Вообще сеть в Windows 8 это повод для отдельного материала, потому просто загляните сюда https://support.microsoft.com/en-us/kb/2696547. После всех манипуляций, не забудьте перезапустить Samba:

    sudo systemctl restart smbd

    CUPS

    Следующей областью применения для домашнего сервера, которая приходит в голову – это сервер печати. Для этого установим CUPS:

    sudo apt-get install cups

    Ждем, когда все притянется из сети. По умолчанию веб-интерфейс CUPS доступен по адресу http://localhost:631. Но у нас не localhost, потому придется подправить файлик с конфигом. Открываем:

    sudo nano /etc/cups/cupsd.conf

    Поскольку в роутере мы задали привязку MAC-адресов к ip-адрес

    Безопасный и шустрый веб-сервер на Debian 7 / Хабр

    Статья, находится в процессе написания, но я готов выслушать дельные советы и комментарии, а затем доплнить или поправить материал.
    Прежде всего, данный материал ориентирован на новичков и тех, кто держит на одном VPS сразу несколько сайтов, при этом хочет иметь как безопасный, так и шустрый веб-сервер.
    В качестве веб-сервера у нас будет выступать связка:

    Apache 2.2 + PHP 5.4.4 + MySQL 5.5 + NGINX 1.2.1 + eAccelerator + memcached + vsftpd 3.0.2 + exim.

    Все это чудо будет крутиться на Debian 7.

    Начнем.


    Итак, прежде всего после установки ОС, выполняем:

    apt-get update
    apt-get dist-upgrade

    Затем одной командой ставим весь необходимый софт:

    apt-get install htop atop vsftpd exim4-base exim4-daemon-light mailutils rcconf apache2 apache2-mpm-itk nginx mysql-server-5.5 mysql-client-5.5 php5 php5-dev memcached libmysqlclient-dev apache2-utils libexpat1 ssl-cert libapache2-mod-php5 libapache2-mod-ruby php5-curl php5-gd php5-intl php-pear php5-imagick php5-imap php5-mcrypt php5-memcache php5-common php5-ming php5-mysql php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl make automake checkinstall gcc gzip libreadline-dev libssl-dev libncurses5-dev zlib1g-dev

    В процессе установки система попросит вас придумать и ввести пароль для пользователя root БД MySQL, вводим.
    После полной установки софта, приступаем к настройке. Все сайты у нас будут лежать в директории /home/директория_пользователя/директория_сайта, но вы можете разместить их в любой удобной для вас директории. В директории сайта у нас будут 3 поддиректории: tmp (для временных файлов и файлов сессий), logs (логи сайта), public_html (директория сайта).

    Создаем пользователя dapf с одноименной группой, домашним каталогом и запретом на использование консоли:

    useradd dapf -b /home -m -U -s /bin/false

    Устанавливаем пароль пользователя dapf:

    passwd dapf 

    Создаем каталоги пользователя с выставлением прав и группы:

    mkdir -p -m 755 /home/dapf/dapf.ru/public_html
    mkdir -p -m 777 /home/dapf/dapf.ru/logs
    mkdir -p -m 777 /home/dapf/dapf.ru/tmp
    chmod 755 /home
    chmod 755 /home/dapf
    chmod +t /home/dapf/dapf.ru/logs
    chmod +t /home/dapf/dapf.ru/tmp
    chown -R dapf:dapf /home/dapf

    Запретим консоль пользователю www-data:

    usermod -s /bin/false www-data

    Теперь приступим к настройке Apache.
    Включаем необходимые нам модули:

    a2enmod ssl
    a2enmod rewrite
    a2enmod suexec
    a2enmod include


    Правим конфиг портов в файле /etc/apache2/ports.conf:
    nano /etc/apache2/ports.conf

    Необходимо заменить 80 порт на 81 (т.к. на 80м у нас будет nginx):

    NameVirtualHost *:81
    Listen 81

    Поскольку у нас VPS слабенький (256 мб ОЗУ), то нам необходимо настроить /etc/apache2/apache2.conf

    nano /etc/apache2/apache2.conf

    Устанавливаем следующие значения:

    KeepAlive Off
    StartServers 1
    MinSpareServers 3
    MaxSpareServers 6
    ServerLimit 24
    MaxClients 24
    MaxRequestsPerChild 3000
    

    Теперь создадим новый VirtualHost (сайт):

    nano /etc/apache2/sites-available/dapf.ru
    <VirtualHost *:81>
    ServerName www.dapf.ru
    ServerAlias dapf.ru
    ServerAdmin [email protected]
    DocumentRoot "/home/dapf/dapf.ru/public_html"
      <Directory />
      Options FollowSymLinks
      AllowOverride None
      </Directory>
      <Directory /home/dapf/dapf.ru/public_html/>
      Options Indexes FollowSymLinks MultiViews
      AllowOverride All
      Order allow,deny
      allow from all
      </Directory>
      ErrorLog /home/dapf/dapf.ru/logs/errors.log
      LogLevel warn
      CustomLog /home/dapf/dapf.ru/logs/access.log combined
      AssignUserId www-data dapf
      php_admin_value open_basedir "/home/dapf/:."
      php_admin_value upload_tmp_dir "/home/dapf/dapf.ru/tmp"
      php_admin_value session.save_path "/home/dapf/dapf.ru/tmp"
    </VirtualHost>

    Благодаря apache2-mpm-itk мы имеем возможность использовать в конфигах виртуалхоста директиву AssignUserId www-data dapf, которая позволяет запретить web-шеллу, править файлы нашего проекта, кроме тех, на которых стоят права o+w. Т.е. apache сможет спокойно прочитать php-файл, выполнить его и отдать в браузер, но не сможет внести изменения в его содержимое, что создаст определенные проблемы для хэкеров. Если хотите разрешить апачу править файлы, то используйте вместо www-data dapf, значение dapf dapf. Директивы open_basedir, upload_tmp_dir, session.save_path исключают получение сессий с соседнего сайта и переходы выше пользовательской директории.

    Включаем сайт:

    a2ensite dapf.ru

    И перезагружаем апач:

    service apache2 restart

    С апачем закончили, теперь настроим nginx.
    Для начала настроим gzip сжатие, назначим пользователя www-data и установим 1 ядро процессора.

    nano /etc/nginx/nginx.conf
    user www-data;
    worker_processes 1;
    pid /var/run/nginx.pid;
    error_log /var/log/nginx/error.log;
    events {
      worker_connections 768;
      # multi_accept on;
    }
    http {
      ##
      # Basic Settings
      ##
      sendfile on;
      tcp_nopush on;
      tcp_nodelay on;
      keepalive_timeout 65;
      types_hash_max_size 2048;
      # server_tokens off;
      # server_names_hash_bucket_size 64;
      # server_name_in_redirect off;
      include /etc/nginx/mime.types;
      default_type application/octet-stream;
      ##
      # Logging Settings
      ##
      access_log /var/log/nginx/access.log;
      error_log /var/log/nginx/error.log;
      ##
      # Gzip Settings
      ##
      gzip on;
      gzip_disable "msie6";
      # gzip_vary on;
      gzip_proxied any;
      gzip_comp_level 7; #Level Compress
      gzip_buffers 16 8k;
      gzip_http_version 1.1;
      gzip_types text/plain text/css application/json application/x-javascri$
      ##
      # Virtual Host Configs
      ##
      include /etc/nginx/conf.d/*.conf;
      include /etc/nginx/sites-enabled/*;
    }
    

    После создадим новый конфиг нашего виртуалхоста:

    nano /etc/nginx/sites-enabled/dapf.ru
    server {
    listen 80;
    server_name dapf.ru www.dapf.ru;
    access_log /var/log/nginx.access_log;
    location ~* .(jpg|jpeg|gif|png|ico|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|mid|midi|wav|bmp|rtf|js|swf|flv|html|htm|mp3|docx|xlsx)$ {
    root /home/dapf/dapf.ru/public_html/;
    error_page 404 = @fallback;
    index index.html index.php;
    access_log off;
    expires 30d;
    }
    location ~ /.ht { deny all; }
    location / {
    proxy_pass http://127.0.0.1:81/;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-for $remote_addr;
    proxy_set_header Host $host;
    proxy_connect_timeout 60;
    proxy_send_timeout 90;
    proxy_read_timeout 90;
    proxy_redirect off;
    proxy_set_header Connection close;
    proxy_pass_header Content-Type;
    proxy_pass_header Content-Disposition;
    proxy_pass_header Content-Length;
    }
    location @fallback {
      proxy_pass http://127.0.0.1:81;
      proxy_set_header Host $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_set_header X-Real-IP $remote_addr;
      }
    }  

    Теперь за всю динамику отвечает апач, а за статику nginx, при появлении ошибки 404, которая может возникнуть при использования mod_rewrite(ЧПУ), будет вызываться функция @fallback, которая перенаправит запрос на апач для проверки.

    Перезагружаем nginx: service nginx restart

    Для настройки FTP правим файл конфига vsftpd

    nano /etc/vsftpd.conf

    Удаляем всё и вставляем следующие настройки:

    listen=YES
    anonymous_enable=NO
    local_enable=YES
    write_enable=YES
    pasv_min_port=50000
    pasv_max_port=60000
    dirmessage_enable=YES
    xferlog_enable=YES
    file_open_mode=0644
    local_umask=022
    connect_from_port_20=YES
    ascii_upload_enable=YES
    ascii_download_enable=YES
    ftpd_banner=Welcome to our FTP service.
    chroot_local_user=YES
    allow_writeable_chroot=YES
    secure_chroot_dir=/var/run/vsftpd
    pam_service_name=vsftpd
    rsa_cert_file=/etc/ssl/certs/vsftpd.pem

    Это позволит запретить вход анонимным пользователям, разрешить использование старых FTP клиентов, а также ограничить перемещение пользователей только их домашним каталогом.

    Затем необходимо поправить файл /etc/pam.d/vsftpd, чтобы включить возможность авторизации FTP пользователям, не имеющим доступ к консоли.

    nano /etc/pam.d/vsftpd

    Находим и комментируем строку: auth required pam_shells.so

    #auth  required  pam_shells.so

    Перезагружаем vsftpd и пробуем войти:

    service vsftpd restart

    Если у вас возникла ошибка: 500 OOPS: vsftpd: refusing to run with writable root inside chroot(), не расстраиваемся — это баг vsftpd, и решается он простым обновлением, для этого выполняем:

    echo "deb http://ftp.us.debian.org/debian jessie main contrib non-free" >> /etc/apt/sources.list
    aptitude update
    aptitude upgrade vsftpd
    echo "allow_writeable_chroot=YES" >> /etc/vsftpd.conf
    service vsftpd restart

    Возможно, вам придется заново поправить конфиги vsftpd, но после перезапуска сервиса всё будет работать нормально.

    Настраиваем MySQL.

    nano /etc/mysql/my.cnf
    

    Устанавливаем следующие значения директив:

    key_buffer = 16K
    max_allowed_packet = 1M
    thread_stack = 64K
    table_cache = 4
    sort_buffer = 64K
    net_buffer_length = 2K

    Если вы не используете таблицы InnoDB, можно добавить директиву skip-innodb

    Далее создадим пользователя и его БД, выполнив команду:

    echo "CREATE USER 'база_данных'@'localhost' IDENTIFIED BY 'пароль_пользователя'; GRANT USAGE ON * . * TO 'база_данных'@'localhost' IDENTIFIED BY 'пароль_пользователя' WITH MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0; CREATE DATABASE IF NOT EXISTS база_данных DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci; ; GRANT ALL PRIVILEGES ON база_данных . * TO 'база_данных'@'localhost';" | mysql --user=root --password=пароль_рута_мускула mysql
    

    Значения база_данных, пароль_пользователя, пароль_рута_мускула указываем свои.

    Основную часть работы мы закончили, теперь необходимо настроить PHP+ eAccelerator+ exim.

    Начнем с настройки exim, выполняем:

    dpkg-reconfigure exim4-config

    Выбираем ОК, потом internet site; mail is sent and received directly using SMTP, указываете ваш System mail name (у меня это dapf.ru), IP-addresses to listen on for incoming SMTP connections можно оставить просто 127.0.0.1, далее по вкусу, пока не дойдете до Root and postmaster mail recipient, там указываем ваш email, на который будут возвращаться письма.

    Выполняем для проверки:

    echo "test" | mail -s Test ваш@email.com

    Если письмо пришло, значит все отлично, если нет, то возвращаемся и перенастраиваем exim.
    Теперь установим eAccelerator.

    Качаем последнюю на данный момент версию и распаковываем:

    wget https://codeload.github.com/eaccelerator/eaccelerator/legacy.tar.gz/master -O ea.tar.gz
    tar xvfz ea.tar.gz

    Переходим в директорию с исходниками eaccelerator(у меня это eaccelerator-eaccelerator-42067ac) и устанавливаем:

    cd eaccelerator-eaccelerator-42067ac
    phpize
    ./configure
    make
    make install

    Создадим директорию для кеша eAccelerator

    mkdir -p /var/cache/eaccelerator
    chmod 0777 /var/cache/eaccelerator

    Редактируем файл php.ini

    nano /etc/php5/apache2/php.ini

    Здесь нам необходимо добавить настройки eAccelerator, sendmail, в качестве которого у нас exim, настройки безопасности и т.д.
    Добавляем перед [ PHP ] настройки для eAccelerator

    ; eAccelerator configuration
    ; Note that eAccelerator may also be installed as a PHP extension or as a zend_extension
    ; If you are using a thread safe build of PHP you must use
    ; zend_extension_ts instead of zend_extension
    extension  = "eaccelerator.so"
    eaccelerator.shm_size  = "16"
    eaccelerator.cache_dir  = "/var/cache/eaccelerator"
    eaccelerator.enable  = "1"
    eaccelerator.optimizer  = "1"
    eaccelerator.check_mtime  = "1"
    eaccelerator.debug  = "0"
    eaccelerator.filter  = ""
    eaccelerator.shm_max  = "0"
    eaccelerator.shm_ttl  = "0"
    eaccelerator.shm_prune_period  = "0"
    eaccelerator.shm_only  = "0"
    eaccelerator.compress  = "1"
    eaccelerator.compress_level  = "9"
    eaccelerator.allowed_admin_path = "/var/www/eaccelerator"

    Теперь раскомментируем sendmail_path и укажем путь до exim

    sendmail_path = /usr/sbin/exim -t

    Далее выставим следующие настройки:

    ;Отключаем вывод ошибок и включаем их запись в файл
    display_errors =Off
    log_errors=On
    ;Отключаем опасные функции
    disable_functions = exec,ini_get,ini_get_all,parse_ini_file,passthru,php_uname,popen,proc_open,shell_exec,show_source,system,dl, show_source, readfile, popen, cwd,getcwd
    ;По вкусу можно отключить и функции: diskfreespace, disk_free_space, disk_total_space, eval, fileperms, fopen, opendir, phpinfo, phpversion, posix_getpwuid, posix_getgrgid, posix_uname, но не рекомендуется.
    ;Прочие настройки
    error_reporting = E_ALL & ~ E_NOTICE
    

    Остальные настройки PHP делайте по вашему желанию, на эту тему в сети имеется куча мануалов.

    Настройку SSH я рассматривать не буду, а остановлюсь на фаерволе, т.к. в Debian по умолчанию разрешены все подключения.

    Создаем файл my.iptables.rules

    nano /etc/my.iptables.rules
    *filter
    -A INPUT -i lo -j ACCEPT
    -AINPUT -d 127.0.0.0/8 -jREJECT
    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A OUTPUT -j ACCEPT
    -A INPUT -p tcp --dport 80 -j ACCEPT
    -A INPUT -p tcp --dport 443 -j ACCEPT
    -A INPUT -p tcp --dport 20 -j ACCEPT
    -A INPUT -p tcp --dport 21 -j ACCEPT
    -A INPUT -p tcp --dport 50000 -j ACCEPT
    -A INPUT -p tcp --dport 60000 -j ACCEPT
    -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
    -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
    -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
    -A INPUT -j REJECT
    -A FORWARD -j REJECT
    COMMIT
    

    Активируем и сохраняем правила:

    iptables-restore < /etc/my.iptables.rules
    iptables-save > /etc/iptables.rules
    

    Проверяем командой iptables –L

    Прописываем загрузку в файле /etc/network/interfaces

    nano /etc/network/interfaces

    После iface lo inet loopback добавляем

    pre-up iptables-restore < /etc/iptables.rules

    Сохраняем и перезагружаем VPS.

    Debian Server для новичка | Блог Линуксоида

    Как-то обеспокоился наличием собственного FTP-сервака. Тем более под это дело «на помойку» был отдан комп этак десятилетней давности. Так как я человек хоть и виндовый, но начинал с чистого ДОСа (про книжки тов. Фигурнова кто помнит?), то я решил сделать все на линуксе. В линуксе я был ноль полный. Еще и усложнил задачу — только консоль, никаких исков (как же — это ж линукс). Дистрибутивом был выбран Debian. Так получилось, что надобность в 2Тб личном хранилице отпала через год и комп был отдан в хорошие руки, а хард пристроен в нужное место. Но был накоплен неплохой опыт стопроцентного новичка. Какие только глупые ошибки я не совершал поначалу!

    Что и как хотим получить в результате:

    • консольная установка ОС с флешки;
    • навыки консольного управление;
    • создание собственного репозитория;
    • обеспечение удаленного доступа по протоколу FTP/SFTP;
    • обеспечение удаленного управления по протоколу SSH;
    • дистанционное включение сервера, находящегося за маршрутизатором;
    • создание условий работы веб-сервера (в идеале связка nginx+apache).

    В инете куча всяких пошаговых инструкций. Порой там бывают досадные ошибки, а если еще линуксоид и сопливый еще покамест, то можно пару часов потратить только на то, что бы понять, что не нужна лишняя палочка или точечка — в линуксе важно все! Нижеизложенное делается для практических целей поставленных задач — не надо воспринимать все как серьезную инструкцию для создания серьезного сервера. Тем более в процессе «восстановления опыта» могут и ошибки тоже быть и у меня…

    Итак, имеется пустой комп с подключенной периферией.

    Для начала нужно установить саму ОС. Имеется так же образы всех дисков Debian 6.0.0 stable. От лазерных носителей я давно отказался, т.е. для установки нужно изготовить загрузочную флешку. Флешка нашлась на 2Gb. После поисков оказалось, что изготовить можно, но из самой линуксовой среды. Пришлось установить с образа первого диска дебиан на виртуальную машину (подключаем образ к виртуалке в качестве виртуального CD-ROM и установка выполняется «честно» как бы с лазерного диска). Устанавливал «оптом» — т.е. и GUI тоже (в 6 версии был только GNOME). Тем не менее, после того, как все сделалось, грузим деабиан, подключаем флешку к виртуалке и открываем консоль.

    Выполняем команду:

    # dmesg

    Видим что-то типа этого:

    [373982.581725] sd 8:0:0:0: [sdc] 4001760 512-byte hardware sectors (2049 MB)
    [373982.582718] sd 8:0:0:0: [sdc] Write Protect is off
    [373982.582718] sd 8:0:0:0: [sdc] Mode Sense: 03 00 00 00
    [373982.582718] sd 8:0:0:0: [sdc] Assuming drive cache: write through
    [373982.584152] sd 8:0:0:0: [sdc] 4001760 512-byte hardware sectors (2049 MB)
    [373982.585718] sd 8:0:0:0: [sdc] Write Protect is off
    [373982.585718] sd 8:0:0:0: [sdc] Mode Sense: 03 00 00 00
    [373982.585718] sd 8:0:0:0: [sdc] Assuming drive cache: write through
    [373982.585718] sdc:
    [373982.589280] sd 8:0:0:0: [sdc] Attached SCSI disk

    Это значит, что флешка определилась в системе.

    Скачиваем файл boot.img.gz (debian.org) для нужной архитектуры (в моем случае i386) и копируем его в какую-нибудь директори. Далее выполняем команду из этой директории:

    # zcat boot.img.gz > /dev/sdc

    Теперь надо вытащить и воткнуть обратно USB флешку, чтобы новая структура/таблица разделов распозналась. Это обновит таблицу разделов, хранимую udev. Для проверки выполняем следующие команды:

    # mkdir /mnt
    # mount /dev/sdс /mnt/
    # ls /mnt

    и видим инсталляционные файлы, такие как syslinux.cfg, setup.exe, и так далее. Значит все нормально — флешку примонтировали.

    Далее скачиваем ISO образ netinstall (debian.org) размером 150-180MB для соответствующей архитектуры (в моем случае i386). Netinstall устанвливает базовую систему, сеть не нужна. Копируем этот образ в какую-нибудь директорию и из этой директории выполняем и отмонтируем флешку:

    # cp debian-6.0.1a-i386-netinst /mnt
    # umount /dev/sdс

    Уф. Теперь при себе есть всегда флешка для установки.

    Если же необходимо включить такой инсталлятор на флешку с другими ОСами, то можно обратиться к загрузчику grub. У меня уже имеется загрузочная флешка с grub4dos. Создаем папку debian в корне флешки и кидаем туда: debian-6.0.1a-i386-netinst.iso, initrd.gz, initrdg.gz, linux — последние 3 файла можно выдернуть с первого установочного диска Debian 6.0.0 stable или скачать (debian.org). А в меню grub’a (menu.lst) нужно добавить следующее:

    title Debian 6.0.1a - Netinstall (Basic System, VGA Install)
    kernel /debian/linux video=vesa:ywrap,mtrr vga=788 -- quiet
    initrd /debian/initrdg.gz

    title Debian 6.0.1a - Netinstall (Basic System, TXT Install)
    kernel /debian/linux -- quiet
    initrd /debian/initrd.gz

    Теперь втыкаем флешку в наш импровизированный сервак, через BIOS выбираем загрузку с флешки и штатно устанавливаем Debian. При установке ничего особого я не обнаружил: выбираем установку с графическим интерфейсом и далее диалоговый режим. Разметить файловую систему можно автоматом — на первый раз сойдет. После установки и перезагрузки, а так же входа в систему мы будем радостно лицезреть черный экран с приглашением командной строки — базовая установка выполнена!

    Далее необходимо настоить доступ и управление по протоколу SSH.

    Так же, что бы особо не париться с консолью нужно бы установить mc (Midnight Commander) — аналог nc (Norton Commander) в DOS или tc (TotalCommander) в Windows. Но для установки нужно скопировать из сети пакет и установить его. Сети же нет. В то же время практически весь хоть сколько-то нужный софт есть на дисках Debian 6.0.0 stable (дисков, кажется, 6). Но я отказался от работы с дисками. Можно настроить сеть и воспользоваться официальным сетевым репозиторием — способ проще некуда. Однако это решение не для нас — нужна широкая автономность на первом этапе. Да и с каких пор мы идем по легкому пути — знакомство носит все же больше исследовательский характер. Значит нужно сделать свой локальный репозиторий.

    1) подготовка…

    Придется опять еще раз вернуться в виртульную машину. Входим в консоль под root’ом (на сервере мы в будущем настроим sudo, что бы по каждой ерунде не светить root’а). Создаем директории:

    # mkdir debian/pool
    # mkdir debian/pool/contrib
    # mkdir debian/pool/main

    В эти директории копируем содержимое одноименных директорий со всех дисков. Получится одна папочка объемом этак с 30Гб. После того, как содержимое всех дисков скопировано, создаём директории для хранения информации об находящихся в репозитарии пакетах:

    # cd /debian
    # mkdir -p debian/dists/stable/contrib/binary-i386
    # mkdir -p debian/dists/stable/main/binary-i386

    Далее все команды выполняются исходя из текущего каталога debian — за его пределы никуда не выходим! Собираем списки пакетов:

    # apt-ftparchive packages pool/main/ > dists/stable/main/binary-i386/Packages
    # apt-ftparchive packages pool/contrib/ > dists/stable/contrib/binary-i386/Packages

    Сжимаем списки:

    # gzip -c dists/stable/contrib/binary-i386/Packages > dists/stable/contrib/binary-i386/Packages.gz
    # gzip -c dists/stable/main/binary-i386/Packages > dists/stable/main/binary-i386/Packages.gz

    Создаём файлы Release:

    # apt-ftparchive release pool/contrib/ > dists/stable/contrib/binary-i386/Release
    # apt-ftparchive release pool/main/ > dists/stable/main/binary-i386/Release
    # cd /debian/pool/dists/stable
    # apt-ftparchive release. > Release

    Теперь папку /debian можно скопировать на жесткий диск и при желании подключать и организовывать локальные репозитории в других системах. Что и делаем — копируем папку на съемных USB-хард.

    2) подключение… заходим на сервер под root’ом

    Подключаем USB-хард к серверу. Далее соображаем как определился хард:

    # dmesg

    Монтируем его и сливаем все что натворили раньше:

    # mount /dev/sda1 /mnt/
    # mkdir /dpool
    # cp -r /mnt/* /dpool

    Правим файл /etc/apt/sources.list — комментим все репозитории и прописываем наш:

    deb file:/debian/ stable contrib main

    Тут надо сделать краткое отступление. Как поправить файл, если одна консоль? Для этого есть редактор vi:

    # cd /etc/apt
    # sudo vi sources.list

    Далее делаем что нужно: передвигаем курсор в нужную позицию и жмем «i». Это режим ввода. Делаем что нужно. Сделали и жмем ESC для возврата в командный режим. Далее — все по новой. После того как все завершено жмем последовательность «ESC: w! Enter» — это команда возврата с сохранением изменений. Страшно? После установки mc жизнь упростится…

    Делаем апдейт:

    # apt-get update
    # apt-cache gencaches

    Готово наше локальное хранилище!

    Теперь наконец-то добрались до SSH вплотную почти.

    1) не всю же жизнь под root’ом работать…

    Но сначала немного облегчим себе жизнь — настроим sudo. Sudo — система позволяющая делегировать те или иные привилегированные ресурсы пользователям с ведением протокола работы. Проще говоря user сможет выполнять действия, которые изначально предполагалось выполнять только от root’а.

    Заходим на сервер под root’ом и открываем файл /etc/sudoers. Используем опять же редактор vi:

    # cd /etc
    # vi sudoers

    Ищем строку:

    root ALL=(ALL) ALL

    И под ней дописываем:

    user ALL=(ALL) ALL

    Выходим с сохранением. Готово! Теперь можно заходить под user’ом, но при выполнении критических команд просто перед командой добавлять «sudo». В первый раз система запросит текущий пароль для идентификации. Выходим из системы и заходим под user’ом. Пароль от root’а можно отныне записать на бумажке — пользоваться будем сильно редко, можно и забыть)

    2) замучила консоль и vi…

    Ставим пакет:

    # sudo apt-get install mc

    После установки введя команду

    # mc

    Теперь можно радоваться и забыть про команды mkdir, cp, ls, cd, а так же консольное управление в vi. Править файлы теперь можно по F4. Ностальгия по 2000ым — тогда я на 386ом только нортом и пользовался…

    3) наконец-то SSH…

    Ставим пакет:

    # sudo apt-get install ssh

    После успешной установки нужно добавить в конец файла /etc/ssh/sshd_config строку для ограничения доступа:

    AllowUsers root, user

    Выполняем:

    # sudo mc

    Далее идем по указанному пути и правим файл. После правки проблем с сохранением не будет — mc запущен под root’ом же. После правки нужно обновить сервис ssh — выходим в консоль и выполняем рестарт сервиса:

    # sudo /etc/init.d/ssh restart

    Для последнего штриха перед переходом на удаленное управление нужно только настроить сеть.

    У меня ситуация простая: комп подключен к маршрутизатору проводом. Так как на маршрутизаторе включен DHCP, то интернет получим от него автоматом.

    Настройки сетевых интерфейсов хранятся в файле: /etc/network/interfaces

    Вот пример рабочего содержимого файла:

    # The loopback network interface
    auto lo
    iface lo inet loopback

    # The primary network interface
    allow-hotplug eth0
    iface eth0 inet static
    address 10.0.0.10
    netmask 255.0.0.0
    network 10.0.0.0
    broadcast 10.255.255.255
    gateway 10.0.0.1
    # dns-* options are implemented by the resolvconf package, if installed
    dns-nameservers 10.0.0.1
    dns-search debian

    Запускаем mc через sudo и правим этот файл в соответствии с теми сетевыми настройками, которые справедливы для вашей сети.

    Настройка имени сервера и хостов находятся: /etc/hostname, /etc/hosts
    Если наш сервер называется «debian», то проверяем:
    В hostname значится только:

    debian

    А в host первые строчки:

    127.0.0.1 localhost debian
    10.0.0.10 debian.localhost debian

    После всего этого гасим компьютер:

    # sudo poweroff

    2) удаленное управление…

    Отключаем все кабели, тянем наш сервер в самый дальний угол и подключаем его в розетку и к сети. При этом надо заранее позаботится что бы на этапе загрузки BIOS не ждал нажатия кнопки с названием «any» после того как он с удивлением обнаружит, что клавиатура и мышь не обнаруживаются. Нажимаем кнопку питания и возвращаемся к рабочему компьютеру. На этом компе у меня винда. Как же теперь подключиться к серверу?

    Есть такая программа putty. Добыть ее можно в интернете. После ее запуска во вкладке «Session» прописываем IP адрес нашего сервера, в качестве порта оставляем значение 22 (это стандартный порт для Shell). Проверяем, что во вкладке «Translation» выставлено UTF-8, что бы неогрести крякозяблев при отображении кириллицы. Возвращаемся в «Session» и открываем канал: «Open». После соединения нас попросят подтвердить создание ключей соединения с нами — подтверждаем. Вводит логин: user. Далее вводим пароль — пароль при вводе не отображается, т.е. это нормально. После соединения видим приглашение сервера и родную консоль, только не на всем мониторе, а в маленьком окошке, которое можно и подрястянуть мышкой. Это значит «Ура, товарищи!».

    В принципе, для досутпа к файловой системе можно использовать WinSCP.

    Это даст возможность копировать файлы между машинами. Но это будет не очень правильно, т.к. после авторизации SSH будет открыт доступ ко всей системе. В идеале хотелось бы просто сделать одну сетевую папку на сервере и открыть доступ к ней. И решение для этого есть.

    Ставим пакет:

    # sudo apt-get install samba

    Теперь редактируем файл /etc/samba/smb.conf. Вот пример рабочего содержимого:

    [global]

    workgroup = WORKGROUP
    server string = %h server
    dns proxy = no

    log file = /var/log/samba/log.%m
    max log size = 1000
    syslog = 0
    panic action = /usr/share/samba/panic-action %d

    security = share
    encrypt passwords = true
    passdb backend = tdbsam

    obey pam restrictions = yes

    unix password sync = yes
    passwd program = /usr/bin/passwd %u
    passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    pam password change = yes

    [homes]
    comment = Home Directories
    browseable = no
    read only = yes
    create mask = 0700
    directory mask = 0700
    valid users = %S

    [printers]
    comment = All Printers
    browseable = no
    path = /var/spool/samba
    printable = yes
    guest ok = no
    read only = yes
    create mask = 0700

    [print$]
    comment = Printer Drivers
    path = /var/lib/samba/printers
    browseable = yes
    read only = yes
    guest ok = no

    [user]
    path = /ftp/pub
    readonly = no
    guest ok = yes

    В качестве комментария можно заметить следующее:
    — необходимо указать рабочую группу, в которой работают виндовые машины;
    — параметр security должен быть установлен в share;
    — в секции «user» нужно указать реальный путь и разрешить гостевой доступ — собственно именно эту секцию мы в файл и добавляем.

    После всего этого дела создаем указанные каталоги:

    # mkdir /ftp
    # mkdir /ftp/pub

    И разбираемся с правами на эти папки:

    # sudo chmod 0755 /ftp
    # sudo chmod 0777 /ftp/pub
    # sudo chown -R root /ftp

    В таком случае доступ будет осуществлен к папке ftp, но в ней изменить ничего нельзя будет. А вот в папке pub — делаем что угодно. Естественно, можно все упростить выкинув папочку pub и поправив права для ftp…

    Ну и напоследок перезагружаем сервис, что бы все настройки заработали:

    # sudo /etc/init.d/samba restart

    Теперь пора выпустить нашего малыша в сеть.

    Для начала неплохо было бы сделать сетевой файловый доступ и управление из любой точки сети. Но что мы имеем по топологии?

    У нас должен быть выход в интернет с статичным реальный IP-адресом. Т.е. доступ из вне должен осуществляться напрямую, а не через коммутацию сетей провайдера. Например, пользователи сети Рамнет все сидят за большим NAT’ом, т.к. выходят в сеть через несколько пулов. Это значит, что IP выданный при регистрации вовсе и не совпадает с тем IP, который «отпечатывается», например, при посещении сайтов. Реальный IP — это однозначно тот IP, который прописан в сетевых настройках драйвера сетевой платы. Узнать реальный IP или нет можно воспользовавшись каким-нибудь сетевым сервисом в интернете, который показывает ваш IP-адрес. Допустим у нас имеется реальный IP.

    Далее, если сетевой провод напрямую заведен на сервер, то проблем особых уже и нет — сервер уже в сети. А если стоит какое-то маршрутизирующее устройство (маршрутизатор, или промежуточный разветвитель-коммутатор на базе того же линукса)? В таком случае мы оказываемся уже за своим NAT’ом, который нужно немного настроить: осуществить проброс портов. Для каждой сетевой службы на машине имеется свой порт: SSH — 22, FTP — 21. Т.е., маршрутизатор нужно настроить так, что бы при обращении к порту по нашему реальному IP осуществлялось обращение именно к серверу по этому порту. Если наш сервер имеет адрес 10.0.0.10, а провайдером выдан реальный IP 172.122.34.89, то в маршрутизаторе необходимо выполнить проброс портов (Port Forwarding) 21 и 22 из вне (172.122.34.89) на сервер (10.0.0.10). Просто настраивается пара строчек в админке маршрутизатора или правится таблица маршуртизации промежуточного линукса-коммутатора. Допустим это тоже все сделали.

    В таком случае для досутпа по SSH через putty необходимо просто будет указать реальный IP-адрес, порт 22 (см. выше, где описана небольшая настройка клиента putty). Осуществляем вход и получаем доступ к консоли сервера.

    А файловый доступ? Тут чуть сложнее. Можно использовать WinSCP, но как уже упоминалось, это не наш метод. Samba работает только в локалке. Придется настроить FTP доступ…

    Для FTP используем сервис proftpd. Ставим пакет:

    # sudo apt-get install proftpd

    Файл конфигурации находится здесь: /etc/proftpd/proftpd.conf. Вот пример рабочего файла:

    Include /etc/proftpd/modules.conf

    ServerName "Debian"
    ServerType standalone
    DeferWelcome off

    MultilineRFC2228 on
    DefaultServer on
    ShowSymlinks on

    TimeoutNoTransfer 600
    TimeoutStalled 600
    TimeoutIdle 1200

    DisplayLogin welcome.msg
    DisplayChdir .message true
    ListOptions "-l"

    DenyFilter \*.*/

    DefaultRoot ~

    RequireValidShell off

    Port 21

    <IfModule mod_dynmasq.c>
    # DynMasqRefresh 28800
    </IfModule>

    MaxInstances 10

    User nobody
    Group nogroup

    Umask 022 022
    AllowOverwrite on

    TransferLog /var/log/proftpd/xferlog
    SystemLog /var/log/proftpd/proftpd.log

    <IfModule mod_quotatab.c>
    QuotaEngine off
    </IfModule>

    <IfModule mod_ratio.c>
    Ratios off
    </IfModule>

    <IfModule mod_delay.c>
    DelayEngine on
    </IfModule>

    <IfModule mod_ctrls.c>
    ControlsEngine off
    ControlsMaxClients 2
    ControlsLog /var/log/proftpd/controls.log
    ControlsInterval 5
    ControlsSocket /var/run/proftpd/proftpd.sock
    </IfModule>

    <IfModule mod_ctrls_admin.c>
    AdminControlsEngine off
    </IfModule>

    <Anonymous /home/ftp/pub>
    User user1
    Group nogroup
    UserAlias anonymous user1
    #RequireValidShell off
    MaxClients 10
    TransferRate RETR,STOR 4096

    <Limit LOGIN>
    AllowAll
    </Limit>
    <Limit READ>
    AllowAll
    </Limit>
    <Limit WRITE>
    AllowAll
    </Limit>
    </Anonymous>

    <Anonymous /home/ftp/pub>
    User user2
    Group nogroup
    #UserAlias anonymous user2
    #RequireValidShell off
    MaxClients 3
    #TransferRate RETR,STOR 4096

    <Limit LOGIN>
    AllowAll
    </Limit>
    <Limit READ>
    AllowAll
    </Limit>
    <Limit WRITE>
    AllowAll
    </Limit>
    </Anonymous></code>

    Комментарии:
    — сервер FTP запускаем отдельным процессом «standalone», хотя для слабых компов это и не будет оптимальным;
    — секции «Anonymous» прописываем сами: для user1 будет открыт анонимный доступ с ограничением скорости в 4МБ/с и ограничением количества запускаемых серверов 10, для user2 ограничения скорости нет, а ограничение запускаемых таких серверов установлено в 3.

    Перезапускаем ftp-сервер:

    # sudo /etc/init.d/proftpd restart

    В таком случае мы сможем подключиться к нашему серверу используя любой FTP-клиент из любой точки сети. Учитываем, что порт 21 мы уже пробросили через маршрутизатор ранее. При этом можно использовать анонимный доступ или введя логин/пароль для авторизации снять лимит скорости скачивания/отправки. Но для авторизации нужно иметь зарегистрированные учетные записи на сервере. Создадим пользователей без создания для них домашних каталогов:

    # sudo useradd user1
    # sudo useradd user2

    И зададим им пароли:

    # sudo passwd user1
    # sudo passwd user2

    Ну вот теперь появилось уже что-то более-менее полезное)))

    В идеале хотелось бы настроить защищенный SFTP доступ. Для proftpd существует модуль mod_sftp. Я очень долго (3 вечера) курил мануалы по этой теме и кое как сумел настроить. Но сервер нещадно резал скорость на уровне 10мегабит как при доступе внутри сети, так и снаружи. Ничего с этим не поделав пришлось отказаться пока от этого решения.

    Так же SFTP можно настроить через SSH — в нем уже имеется такая возможность. Однако при такой организации у меня никак не получалось нормально запереть пользователя в нужной директории, т.к. иначе ему, после авторизации, открывался доступ сразу ко всей системе.

    SFTP идея гораздо полезнее (при FTP пароли вообще в открытом виде передаются, если это не анонимный доступ), но пока ее пришлось забросить.

    Может быть будет кому-то интересно подключение mod_sftp. Я реализовывал так, что бы ключи авторизации цеплялись с SSH:

    <source lang="bash"><IfModule mod_sftp.c>
    SFTPEngine on
    SFTPLog /var/log/proftpd/sftp.log
    TransferLog /var/log/proftpd/xferlog-sftp.log
    Port 2220
    SFTPHostKey /etc/ssh/ssh_host_rsa_key
    SFTPHostKey /etc/ssh/ssh_host_dsa_key
    SFTPAuthorizedUserKeys file:~/.sftp/authorized_keys
    SFTPCompression delayed
    MaxLoginAttempts 6
    </IfModule>

    Это дело вставляется в proftpd.conf и доступ осуществляется через порт 2220. Но при этом mod_sftp должен быть установлен вместе с proftpd. В штатном репозитории proftpd собран без mod_sftp. Его придется «дособирать» самостоятельно. «Впатчивал» я по какой-то английской инструкции — уже не помню. Процесс это не менее творческий, чем сборка своего репозитория, а результат все равно не порадовал, поэтому это все описывать не буду.

    Итак, мы настроили FTP.

    Теперь хотелось бы уметь включать сервер когда надо. Например, нужно что-то взять из сетевой папки.

    Тут есть одна тонкость. К нашему серверу подключено только электропитание и сеть. Но сетевые карты давно научились «будить» компьютер: достаточно только включить такую поддержку в BIOS компьютера и послеать не него «магический» пакет (Magic packet). Читаем в wikipedia:

    Magic packet — это специальная последовательность байтов, которую для нормального прохождения по локальным сетям можно вставить в пакеты UDP или IPX. Обычно для WOL пакеты протоколов верхнего уровня рассылают широковещательно, так как в случае динамического присвоения адресов неизвестно, какой, скажем, IP-адрес соответствует какому MAC-адресу. Однако, для корректного прохождения через маршрутизатор, запрещающий широковещательные пакеты, можно послать пакет по какому-то определённому адресу.

    Состав magic packet

    Вначале идет так называемая «цепочка синхронизации»: 6 байт, равных 0xFF. Затем — MAC-адрес сетевой платы, повторённый 16 раз. То есть, если бы адрес платы выглядел как 01:02:03:04:05:06, то магический пакет оказался бы таким:

    FFFFFFFFFFFF010203040506010203040506010203040506010203040506
    010203040506010203040506010203040506010203040506010203040506
    010203040506010203040506010203040506010203040506010203040506
    010203040506010203040506

    Есть куча программ, половина из которых работает, а другая нет, которые формируют и отсылают такие пакеты по указанному IP. Но это справедливо только в локальной сети. Но ведь у нас реальный IP — значит можно попробовать просто отослать пакет на него, а маршрутизатор настроить на ретрансляцию этого пакета серверу. Пакеты на «побудку» рассылаются обычно по портам 7 или 9. Прокидываем их через маршрутизатор на IP сервера. Далее проще всего воспользоваться сетевым ресурсом wakeonlan.ru: забиваем свой реальный адрес IP и MAC адрес сетевой платы сервера. Жмем кнопочку «Включить компьютер!». После пары отправок система вполне может и написать о неудаче включения — сервер-то все же за NAT’ом, а отклик на пингование маршрутизатора разумнее выключить в настройках маршрутизатора. Такой способ включения удобен, правда придется выучить наизусть IP и MAC. Но у нас же память хорошая — мы же задаем и помним правильные пароли составом не менее 14 символов?) Зато теперь сервер можно включить с сотового телефона (при наличии в нем браузера и GPRS доступа).

    Интересная так же штука вышла с маршрутизатором. Дело в том, что пока сервер включен маршрутизатор точно знает к какому его порту этот сервер подключен. Но как только сервер выключаем маршрутизатор, через некоторое время, начисто забывает этот факт. Заставить делать широковещательную рассылку «магического» пакета по всем портам я не сумел его заставить. Пришлось на разбирательство потратить приличное время. В результате на маршрутизатор установил прошивку от DD-WRT (на базе линукса). Прошивка по сравнению с штатными прошивками от производителей просто блещет функционалом. Он явно избыточен) Однако и она забывала порт, хотя широковещательно пакеты рассылать уже могла (только комп почему-то не включался). Если был бы вместо маршрутизатора коммутатор-комп на линукс, то можно было бы просто подредактировать таблицу маршрутизации и делов-то… Аналогично и тут — нужно внести изменения в таблицу ARP маршрутизатора. В данной прошивке есть некая консоль и можно при загрузке маршрутизатора добавить скрипт запуска. Что и делаем, скрип таков:

    ip neigh change 10.0.0.10 lladdr 00:10:20:1F:C4:57 nud permanent dev br0
    ip neigh add 10.0.0.10 lladdr 00:10:20:1F:C4:57 nud permanent dev br0

    Подразумевается, что на физическом аппаратном уровне порты маршрутизатора и платы друг друга «узнают» по своим MAC-адресам (они же с собой постоянно общаются при наличии питания) и маршрутизатор «догадается» что вышеуказанный IPшник будет принадлежать именно этому адресату (пока комп не включен это знание маршрутизатору недосутпно ибо еще нет никакого интерфейса сетевого уровня — однако эта знание мы и заложили при загрузке в ARP) после включения.

    Ну вот — на этом и закончивается мое первое знакомство с линуксом. Если кому-то это помогло — всегда пожалуйста.

    Взято тут

    Загрузка образов CD / DVD Debian через HTTP / FTP

    Пожалуйста, не загружайте образы CD или DVD с помощью веб-браузера. вы скачиваете другие файлы! Причина в том, что если ваша загрузка прерывается, большинство браузеров не позволяют возобновить работу с того места, где не смогли.

    Вместо этого используйте инструмент, поддерживающий возобновление — обычно описывается как менеджер загрузок . Есть много плагинов для браузера которые выполняют эту работу, или вы можете захотеть установить отдельный программа.В Linux / Unix вы можете использовать aria2, wxDownload Fast или (на командная строка) wget -c URL или curl -C — -L -O URL . Там есть еще много вариантов, перечисленных в сравнении менеджеров закачек.

    Следующие образы Debian доступны для скачать:

    См. Также:


    Чтобы установить Debian на машину без подключения к Интернету, можно использовать образы CD (650 МБ каждый) или DVD (4,4 ГБ каждый). Загрузите первый файл образа CD или DVD, запишите его с помощью записывающего устройства CD / DVD (или USB-накопитель на портах i386 и amd64), а затем перезагрузитесь с него.

    Первый CD / DVD диск содержит все необходимые файлы. для установки стандартной системы Debian.
    Чтобы избежать ненужных загрузок, пожалуйста, сделайте , а не загрузок другие файлы образов CD или DVD, если вы не знаете, что вам нужны пакеты на их.

    CD

    Следующие ссылки указывают на файлы изображений размером до 650 МБ. по размеру, что делает их пригодными для записи на обычные носители CD-R (W):

    DVD

    Следующие ссылки указывают на файлы изображений, количество которых не превышает 4.4ГБ по размеру, что делает их пригодными для записи на обычные DVD-R / DVD + R и аналогичные СМИ:

    Обязательно ознакомьтесь с документацией перед установкой. Если вы читали только один документ перед установкой, прочтите наш Инструкции по установке, быстрое пошаговое руководство по установке. Другая полезная документация включает:


    Обратите внимание, что некоторые зеркала устарели — перед загрузкой проверьте номер версии изображений. такой же, как на этом сайте! Кроме того, обратите внимание, что многие сайты не отражают полный набор образы (особенно образы DVD) из-за их размера.

    Если есть сомнения, используйте первичный Сервер образов компакт-дисков в Швеции, или попробуйте экспериментальный автомат селектор зеркала, который автоматически перенаправит вас к ближайшему зеркало, имеющее текущую версию.

    Вы заинтересованы в размещении образов компакт-дисков Debian на своем зеркало? Если да, см. Инструкции на как установить зеркало изображения компакт-диска.

    • Аргентина: debian.xfree.com.ar: HTTP
    • Армения: mirrors.asnet.am: HTTP
    • Австралия: debian.mirror.digitalpacific.com.au: HTTP
    • Австралия: mirror.overthewire.com.au: HTTP
    • Австралия: mirror.rackcentral.com.au: HTTP
    • Австралия: mirror.waia.asn.au: HTTP
    • Австрия: debian.anexia.at: HTTP
    • Австрия: debian.inode.at: HTTP
    • Беларусь: ftp.byfly.by: HTTP
    • Беларусь: mirror.datacenter.by: HTTP
    • Бельгия: mirror.as35701.net: HTTP
    • Бразилия: debian.c3sl.ufpr.br: HTTP
    • Бразилия: debian.pop-sc.rnp.br: HTTP
    • Канада: debian.mirror.estruxture.net: HTTP
    • Канада: debian.mirror.iweb.ca: HTTP
    • Китай: mirror.lzu.edu.cn: HTTP
    • Китай: mirrors.163.com: HTTP
    • Китай: mirrors.hust.edu.cn: HTTP
    • Коста-Рика: mirrors.ucr.ac.cr: HTTP
    • Хорватия: debian.carnet.hr: HTTP
    • Чешская Республика: debian-cd.mirror.web4u.cz: HTTP
    • Чешская Республика: debian.ignum.cz: HTTP
    • Чехия: debian.superhosting.cz: HTTP
    • Чехия: mirror.dkm.cz: HTTP
    • Дания: mirror.asergo.com: HTTP
    • Дания: mirror.one.com: HTTP
    • Дания: mirrors.dotsrc.org: HTTP
    • Дания: mirrors.rackhosting.com: HTTP
    • Эквадор: mirror.cedia.org.ec: HTTP
    • Эквадор: mirror.ueb.edu.ec: HTTP
    • Эквадор: mirror.uta.edu.ec: HTTP
    • Франция: debian.univ-lorraine.fr: HTTP
    • Франция: ftp.crifo.org: HTTP
    • Франция: ftp.iut-bm.univ-fcomte.fr: HTTP
    • Грузия: debian.grena.ge: HTTP
    • Германия: debian-cd.repulsive.eu: HTTP
    • Германия: debian.inf.tu-dresden.de: HTTP
    • Германия: debian.uni-duisburg-essen.de: HTTP
    • Германия: ftp.fau.de: HTTP
    • Германия: ftp.gwdg.de: HTTP
    • Германия: ftp.halifax.rwth-aachen.de: HTTP
    • Германия: ftp.hosteurope.de: HTTP
    • Германия: ftp-stud.hs-esslingen.de: HTTP
    • Германия: ftp.uni-bayreuth.de: HTTP
    • Германия: ftp.uni-hannover.de: HTTP
    • Германия: ftp.uni-stuttgart.de: HTTP
    • Германия: mirror.23media.de: HTTP
    • Германия: mirror.checkdomain.de: HTTP
    • Германия: mirror.daniel-jost.net: HTTP
    • Германия: mirror.de.leaseweb.net: HTTP
    • Германия: mirror.netcologne.de: HTTP
    • Греция: debian.noc.ntua.gr: HTTP
    • Гонконг: mirror.xtom.com.hk: HTTP
    • Венгрия: ftp.bme.ху: HTTP
    • Индонезия: kartolo.sby.datautama.net.id: HTTP
    • Индонезия: mirror.poliwangi.ac.id: HTTP
    • Израиль: debian.co.il: HTTP
    • Италия: debian.connesi.it: HTTP
    • Италия: giano.com.dist.unige.it: HTTP
    • Италия: mirror.crazynetwork.it: HTTP
    • Япония: ftp.jaist.ac.jp: HTTP
    • Япония: ftp.kddilabs.jp: HTTP
    • Япония: ftp.nara.wide.ad.jp: HTTP
    • Япония: ftp.riken.jp: HTTP
    • Япония: ftp.yz.yamagata-u.ac.jp: HTTP
    • Япония: hanzubon.jp: HTTP
    • Корея: ftp.harukasan.org: HTTP
    • Корея: ftp.kaist.ac.kr: HTTP
    • Корея: ftp.lanet.kr: HTTP
    • Латвия: debian.koyanet.lv: HTTP
    • Латвия: debian.linux.edu.lv: HTTP
    • Литва: debian.mirror.vu.lt: HTTP
    • Литва: mirror.litnet.lt: HTTP
    • Люксембург: debian.mirror.root.lu: HTTP
    • Нидерланды: debian.mirror.cambrium.nl: HTTP
    • Нидерланды: debian.snt.utwente.nl: HTTP
    • Нидерланды: mirror.duocast.net: HTTP
    • Нидерланды: mirror.nl.datapacket.com: HTTP
    • Нидерланды: mirror.nl.leaseweb.net: HTTP
    • Новая Каледония: debian.lagoon.nc: HTTP
    • Новая Каледония: debian.nautile.nc: HTTP
    • Норвегия: ftp.no.debian.org: HTTP
    • Норвегия: ftp.uio.no: HTTP
    • Филиппины: mirror.pregi.net: HTTP
    • Польша: ftp.icm.edu.pl: HTTP
    • Польша: ftp.ps.pl: HTTP
    • Португалия: debian.uevora.pt: HTTP
    • Португалия: ftp.pt.debian.org: HTTP
    • Португалия: ftp.rnl.tecnico.ulisboa.pt: HTTP
    • Португалия: mirrors.up.pt: HTTP
    • Румыния: mirrors.pidginhost.com: HTTP
    • Румыния: mirrors.xservers.ro: HTTP
    • Россия: ftp.psn.ru: HTTP
    • Россия: mirror.corbina.net: HTTP
    • Россия: mirror.mephi.ru: HTTP
    • Россия: mirror.truenetwork.ru: HTTP
    • Сингапур: зеркало.0x.sg: HTTP
    • Южная Африка: debian.mirror.ac.za: HTTP
    • Южная Африка: debian.saix.net: HTTP
    • Южная Африка: ftp.is.co.za: HTTP
    • Испания: debian.uvigo.es: HTTP
    • Испания: ftp.caliu.cat: HTTP
    • Испания: ftp.cica.es: HTTP
    • Швеция: cdimage.debian.org: HTTP
    • Швеция: ftp.acc.umu.se: HTTP
    • Швейцария: debian.ethz.ch: HTTP
    • Тайвань: debian.cs.nctu.edu.tw: HTTP
    • Тайвань: ftp.ncnu.edu.tw: HTTP
    • Тайвань: ftp.ntou.edu.tw: HTTP
    • Тайвань: ftp.tku.edu.tw: HTTP
    • Турция: ftp.linux.org.tr: HTTP
    • Украина: debian.volia.net: HTTP
    • Соединенное Королевство: debian-iso.mirror.anlx.net: HTTP
    • Соединенное Королевство: ftp.ticklers.org: HTTP
    • Соединенное Королевство: mirrorservice.org: HTTP
    • Великобритания: mirrors.m247.com: HTTP
    • Соединенное Королевство: mirror.sov.uk.goscomb.net: HTTP
    • Соединенное Королевство: mirror.sucs.swan.ac.uk: HTTP
    • Великобритания: зеркало.vorboss.net: HTTP
    • США: debian.mirrors.pair.com: HTTP
    • США: debian.osuosl.org: HTTP
    • США: mirror.cogentco.com: HTTP
    • США: mirror.keystealth.org: HTTP
    • США: mirrors.advancedhosters.com: HTTP
    • США: mirrors.bloomu.edu: HTTP
    • США: mirrors.gigenet.com: HTTP
    • США: mirror.sjc02.svwh.net: HTTP
    • США: зеркала.lug.mtu.edu: HTTP
    • США: mirrors.ocf.berkeley.edu: HTTP
    • США: mirrors.syringanetworks.net: HTTP
    • США: mirror.steadfast.net: HTTP
    • США: mirror.us.leaseweb.net: HTTP
    .

    Debian — универсальная операционная система

    Скачать Debian 10.6 (сетевой установщик для 64-битного ПК)

    Debian — это бесплатная операционная система (ОС) для вашего компьютера. Операционная система — это набор основных программ и утилит, которые делают ваш компьютер работает.

    Debian — это больше, чем просто ОС: в нем более 59000 пакетов, предварительно скомпилированное программное обеспечение в комплекте в удобном формате для легкой установки на вашем компьютере. Подробнее …

    Последним стабильным выпуском Debian является 10.6. Последнее обновление этого выпуска было выполнено 26 сентября 2020 г. Подробнее о наличии версии Debian.

    Начало работы

    Используйте панель навигации в верхней части этой страницы для доступа к большему содержанию.

    Кроме того, пользователи, говорящие на языках, отличных от английского, могут проверить международный раздел, и, люди, которые используют другие системы чем Intel x86 следует проверить раздел портов.


    Новости

    [26 сен 2020] Обновленный Debian 10: 10.6 выпущено
    [30 августа 2020] DebConf20 online закрывается
    [01 августа 2020] Обновленный Debian 10: выпущен 10.5
    [18 июля 2020] Обновленный Debian 9: выпущен 9.13
    [09 июля 2020] Debian 8 Срок службы долгосрочной поддержки истекает
    [16 июня 2020] Ampere жертвует серверное оборудование Arm64 для Debian для укрепления экосистемы Arm

    Более старые новости см. На странице новостей. Если вы хотите получать почту всякий раз, когда появляются новые новости Debian, подпишитесь на Список рассылки debian-announce.


    Рекомендации по безопасности

    [28 сен 2020] DSA-4768 firefox-esr — обновление безопасности
    [25 сен 2020] DSA-4767 mediawiki — обновление безопасности
    [24 сен 2020] DSA-4766 rails — обновление безопасности
    [18 Сен 2020] DSA-4765 modsecurity — обновление безопасности
    [18 сен 2020] DSA-4764 inspircd — обновление безопасности
    [14 сен 2020] DSA-4763 teeworlds — обновление безопасности
    [7 сен 2020] DSA -4762 limonldap-ng — обновление безопасности
    [7 сен 2020] DSA-4761 zeromq3 — обновление безопасности
    [6 сен 2020] DSA-4760 qemu — обновление безопасности
    [4 сен 2020] DSA-4759 ark — обновление безопасности
    [4 сен 2020] DSA-4758 xorg-server — обновление безопасности

    Более старые рекомендации по безопасности см. Страница безопасности.Если вы хотите получать советы по безопасности сразу после их объявления, подпишитесь на дебиан-безопасность-объявление список рассылки.

    .

    Debian — установщик Debian

    [16 марта 2020] Программа установки Debian Bullseye Alpha 2, выпуск
    [05 дек 2019] Программа установки Debian Bullseye Alpha 1, выпуск
    Старые новости

    Для официального установочного носителя Debian 10.6 и информация , см. страница бастера.

    Все изображения, указанные ниже, относятся к версии установщика Debian. разработан для следующего выпуска Debian и установит тестирование Debian ( bullseye ) по умолчанию.

    Для установки Debian testing мы рекомендуем использовать выпуск установщика Bullseye Alpha 2 после проверки его опечатки. Следующие изображения доступны для Bullseye Alpha 2:

    Официальный релиз

    netinst (обычно 180-450 МБ) образы компакт-дисков другие образы (netboot, USB-накопитель и т. Д.)

    Или установите текущий еженедельный снимок тестирования Debian который использует ту же версию установщика, что и последний выпуск:

    Текущие еженедельные снимки

    Текущие дневные снимки

    netinst (обычно 150-280 МБ) образы компакт-дисков образов компакт-дисков netinst (через jigdo) мультиархитектурные образы компакт-дисков netinst других образа (netboot, USB-накопитель и т. Д.))

    Если какое-либо оборудование в вашей системе требует, чтобы прошивка была загруженный с драйвером устройства, вы можете использовать один из tar-архивы распространенных пакетов прошивки. Инструкции по использованию архивов и общая информация о загрузке прошивки во время установки может можно найти в Руководстве по установке (см. документацию ниже).

    Банкноты

    • Архитектура может быть (временно) исключена из обзора ежедневных созданные образы, если ежедневные сборки недоступны (надежно).
    • Для установочных образов файлы проверки (SHA512SUMS и SHA256SUMS) доступны в тот же каталог, что и изображения.
    • Для загрузки полных образов CD и DVD используйте jigdo Рекомендовано.
    • Только ограниченное количество образов из полных наборов DVD доступны в виде файлов ISO для прямой загрузки. Большинству пользователей не нужны все программное обеспечение доступно на всех дисках, поэтому для экономии места на серверы загрузки и зеркала полные наборы доступны только через jigdo.
    • Образ multi-arch netinst CD поддерживает i386 / amd64; то установка аналогична установке из netinst с единой архитектурой образ.

    После использования Debian-Installer отправьте нам отчет об установке, даже если бы не было никаких проблем.

    Если вы читали только один документ перед установкой, прочтите наш Установка Howto, краткое описание процесса установки. Другое полезное документация включает:

    Debian-boot список рассылки является основным форумом для обсуждения и работы над Установщик Debian.

    У нас также есть канал IRC, # debian-boot на irc.debian.org. Эта канал используется в основном для разработки, но иногда и для поддержки. Если вы не получили ответа, попробуйте вместо этого воспользоваться списком рассылки.

    .

    Debian — Информация об установке Debian «jessie»

    Для установки Debian 8.11 ( jessie ), загрузите любой из следующих образов (все i386 и amd64 Образы CD / DVD также можно использовать на USB-накопителях):

    образ компакт-диска netinst (обычно 150-280 МБ)

    другие образы (сетевая загрузка, гибкий USB-накопитель и т. Д.)

    Если для какого-либо оборудования в вашей системе требуется несвободная прошивка. загруженный с драйвером устройства, вы можете использовать один из tarballs с общими пакетами прошивок или загрузите неофициальный образ , включая эти несвободных прошивок .Инструкции по использованию архивов и общая информация о загрузке прошивки во время установки может можно найти в Руководстве по установке (см. документацию ниже).

    netinst (обычно 240-290 МБ) несвободно Образы компакт-дисков с прошивкой

    Банкноты

    • Для загрузки полных образов CD и DVD используйте BitTorrent или jigdo. Рекомендовано.
    • Для менее распространенных архитектур только ограниченное количество изображений из наборов CD и DVD доступен как файл ISO или через BitTorrent.Полные наборы доступны только через jigdo.
    • Образы multi-arch CD поддерживают i386 / amd64; установка аналогична установке из единого образа netinst архитектуры.
    • Образ multi-arch DVD поддерживает i386 / amd64; то установка аналогична установке из единой архитектуры полной Образ компакт-диска; DVD также включает исходный код для всех включенных пакетов.
    • Для установочных образов файлы проверки (SHA256SUMS, SHA512SUMS и другие) доступны из того же каталога, что и изображений.

    Если вы читали только один документ перед установкой, прочтите наш Инструкции по установке, быстрое пошаговое руководство по установке. Другая полезная документация включает:

    Это список известных проблем в установщике, поставляемом с Debian 8.11. Если у вас возникла проблема устанавливаете Debian и не видите здесь свою проблему, отправьте нам отчет об установке описание проблемы или проверьте вики для других известных проблем.

    Исправление к выпуску 8.11

    pkgsel не устанавливает обновления с изменениями ABI (по умолчанию)
    Ошибка № 908711: во время установки с включенными сетевыми источниками установленные обновления безопасности не включают обновления, зависящие от нового двоичный пакет из-за изменения ABI ядра или библиотеки.
    Статус: Это было исправлено в установщике, включенном для новых выпусков (Debian 9 stretch). Для установок Debian 8, поскольку новых Предоставляется установщик Debian, обновления безопасности, зависящие от новых пакетов необходимо установить вручную:
    — Запустить apt-get upgrade --with-new-pkgs
    — Перезагрузитесь, чтобы завершить обновление.
    APT был уязвим для атаки типа «злоумышленник посередине»
    Ошибка в методе транспорта HTTP APT. (CVE-2019-3462) может быть использован злоумышленником, находящимся посередине между APT и зеркало, чтобы вызвать установку дополнительных вредоносных пакетов.
    Это можно смягчить, отключив использование сети во время первоначальная установка и последующее обновление, следуя инструкциям в DLA-1637.
    Статус: Это было исправлено в 8.11,1

    Исправление для выпуска 8.0

    Настольные установки могут не работать с использованием только компакт-диска №1
    Из-за нехватки места на первом компакт-диске не все ожидаемые пакеты рабочего стола GNOME помещаются на компакт-диск №1. Для успешного установки, используйте дополнительные источники пакета (например, второй компакт-диск или сетевое зеркало) или используйте вместо него DVD.
    Статус: Вряд ли можно приложить больше усилий, чтобы поместите больше пакетов на компакт-диск №1.
    Сообщения загрузки Powerpc устарели
    Ошибка № 783569: компакт-диски powerpc по-прежнему говорят об использовании командной строки ядра для выберите рабочий стол, который сейчас устарел — используйте меню задач вместо.
    Статус: Исправлено в 8.1
    Проблемы при установке нескольких задач на рабочем столе одновременно
    Ошибка № 783571: Невозможно установить одновременно GNOME и Xfce. время. Конфликт в зависимостях приводит к тому, что package установки выйти из строя.
    Статус: Исправлено в 8.1
    .
    Ssd для 1с сервера: актуальные в 2020 году накопители

    Ssd для 1с сервера: актуальные в 2020 году накопители

    Выбор ssd для сервера 1С на vm Proxmox? Мой вариант десктопной машины под сервер?

    Хочу купить Компьютер под 1С сервер.
    Процессор AMD FX-8370
    Материнская плата ASUS SABERTOOTH 990FX R3.0
    Оперативная память Kingston HyperX Savage [HX324C11SRK4/32] 32 ГБ
    Блок питания Corsair CX 650m [CP-9020103-EU]

    Почему старый сокет и процессор старой линейки? Из-за кол-во ядер. Цены. И потому что у RYZEN на данном этапе, совсем плохо с совместимостью. Все везде жалуются, боюсь.
    Вот хочется завести всё это на proxmox, потому и процессор с 8 ядрами по 4000 МГц.
    Сервер будет 1С 8.3 на linux c postgresql, потому и 4000 МГц на ядро.
    Под эту vm будет выделено 4 ядра и 16 гиг озу. (другие ядра и память останутся для других vm и задач.)
    В 1С будет пользователей около 10. Реально работающих 5 человек.
    База меньше 5 гигов.

    И вот два вопроса для экспертов.
    1). Будет ли данная машина жизнеспособной?
    2). Какой ssd выбрать?
    Plextor M8SeY pci-e[PX-256M8SeY
    или
    Samsung 850 Pro SATA III[MZ-7KE256BW]

    Наверно без рейд 1. Будут регулярные бэкапы vm на другую машину.
    Нагрузка на диск небольшая. свободного места останется больше 50%. Думаю ресурса должно хватить надолго.
    Потом просто докуплю аналогичный диск и пложу на полку на запас.
    Посему поставлю пока какой то 1 ssd без рейда.

    P.S. В общем наверно щас польётся море критики. А может кто и скажет что всё будет нормально работать.
    Написал для того что-бы что-то под черпнуть для себя из комментариев, и услышать чьё то мнение.

    Что думаете о такой реализации и о этих двух ssd?

    ……………..
    Почему proxmox? он тут выглядит не вполне логично.
    Ну из-за реализации бэкапов. Всей вирт машины, снапшоты, и много всягих вариантов открывает для быстрого восстановления.
    Ну и второе то что останется чуток место для ещё одной vm. Есть там надобность.

    ……………..
    Работает трим и в виртуальных машинах и везде!
    how do i enable trim?
    НО! Огромное спасибо АртемЬ за наводку… Не придавал этому значения.
    Ты заметил, я почитал. Теперь знаю.

    ……………..
    Находил страничку vk люди используют proxmox, для разных задач.

    Вопросы по SSD NVMe для 1С? — Хабр Q&A

    Добрый день!

    Камрады, поделитесь, пожалуйста, опытом/знаниями насчет использования SSD NVMe для 1С.

    1. Как сделать RAID 1 на SSD NVMe в ESXi?
    Мысли:
    а) Raid контроллеры получается смысла использовать в этом случае нет, т.к. в случае с NVMe мы как раз и пытаемся избавиться от посредников с проводами, замедляющими скорость, переходя на PCIe с прямым обращением к процессору.
    б) Остается только проброс 2 SSD NVMe в ВМ и создание уже внутри софтового рейда? (для процессоров, поддерживающих PCI-passthrough)
    в) А вот простенький Raid-контроллер нужен будет только Raid 1 для самой ESXi и ВМ без особых нагрузок на диск. Без Raid-контроллера ведь нельзя сделать Raid 1 для ESXi?

    2. Для SSD NVMe нужен получается только raid 1 для надежности, а остальные рейды экономически не обоснованны?
    Мысли:
    а) Для производительной работы с серверной 1С на много пользователей нужна в первую очередь случайная скорость чтения большого количества мелких блоков, во-вторую очередь случайная скорость записи большого количества мелких блоков. Или наоборот? В пиковую нагрузку — что обычно является бутылочным горлышком в первую очередь?
    б) Все уровни рейдов дают только преимущество в линейной скорости чтения/записи, которые в нашем случае практически не нужны. Поэтому рейд нужен только для надежности (зеркало) или увеличения массива (хотя что мешает делать много Raid1, если прям не нужно единое большое пространство?)

    3. Т.к. SSD NVMe Hi Ентерпрайз уровня довольно дорогие, можно ли как-то сэкономить, но при этом иметь надежность?
    Например, как-то использовать более медленные SSD, но более дешевые во много раз.
    Raid 1 отпадает, т.к. более медленные SSD будет узким горлышком.
    А есть ли какое-то решение, когда SSD NVMe идет первым диском и выдает максимальную производительность всегда (и в обычную работу и с кратковременными пиковыми нагрузками), а на другие SSD идет дозапись c очередью в только пиковые нагрузки? (в остальное время они будут работать синхронно, т.к. пиковая нагрузка возникает лишь в 5% времени от всей работы дисков.).
    Если SSD NVMe умирает, то из буфера (RAM диск какой-нибудь допустим) дозаписывается текущая очередь данных на другой SSD и система продолжает работать на SSD с меньшей производительностью, пока не будет вставлен новый SSD NVMe.

    Не очень технично описал, но примерно так. Одномоментно изнашиваться будут не 2 дорогущих диска, а лишь 1, второй диск в запасе лежит на быструю замену. Менее дорогие SSD пусть изнашиваются, будут меняться, они все равно в разы дешевле.
    Или смысла в этом нет, т.к. у Hi Ентерпрайз SSD TBW запредельные и мы за его срок жизни сменим кучу более дешевых SSD, что по стоимости выйдет в итоге тоже самое?

    4. Как хотсвапить SSD NVMe?
    У Intel есть U.2. У SuperMicro тоже есть решения в коробке.
    Есть ли какие-то переходники для горячей замены, но в тоже время без потери производительности из-за проводов/переходника?

    5. Заработает ли SSD NVMe на старенькой X9DRi-LN4F+ https://www.supermicro.com/products/motherboard/xe… ?
    Может есть у кого опыт?

    Особенности выбора твердотельных накопителей (SSD) для серверов и RAID-массивов

    Как и было обещано в публикации «Целесообразность и преимущества применения серверных накопителей, построение RAID-массивов, стоит ли экономить и когда?», остановимся более подробно на проблеме выбора твердотельных накопителей. Но в начале немного теории.

    Твердотельные накопители (Solid State Drives, SSD) — накопители, ориентированные на обеспечение минимальной latency (задержки до начала непосредственно операции чтения или записи) и большого количества IOPS (Input/Output Operations per Second, операций ввода/вывода в секунду). Выбирая SSD пользователь ориентируется прежде всего на то, на сколько быстрым будет накопитель для решения его задачи и на сколько надежным будет хранение данных на нем.

    Твердотельные накопители состоят из NAND-микросхем, которые образуют массив памяти, они лишены недостатков HDD-дисков, так как нет движущихся частей и механического износа, за счет чего и достигается высокая производительность и минимальная latency (в жестких дисках основная задержка связана с позиционированием головки). Каждая ячейка памяти может быть перезаписана определенное количество раз. Операции чтения не оказывают влияния на износ SSD. В основном применяют три основных типа чипов NAND: SLC (Single Level Cell), MLC (Multi Level Cell) и TLC (Three Level Cell) — чипы с одноуровневыми, многоуровневыми и трехуровневыми и ячейками. Соответственно ячейки в SLC могут использовать два значения напряжения 0 или 1 (могут хранить 1 бит информации), в MLC 00, 01, 10 или 11 (хранят 2 бита информации), в TLC 000, 001, 010, 011, 100, 101, 110 или 111 (хранят 3 бита). Становится понятно, что чем больше значений может принимать ячейка, тем больше увеличивается вероятность некорректного считывания этого значения, тем больше времени требуется на коррекцию ошибок, тем больше информации может хранить накопитель. Именно по этой причине TLC требует большего объема ECC (Error Correction Code). В то же время, количество циклов перезаписи падает с увеличением плотности хранения информации и максимально в SLC и потому эта память самая быстрая, так как считывать одно из двух значений гораздо проще.

    Теперь немного об особенностях самих микросхем. Память NAND, в отличии от NOR, применяемой во флешках, является более экономически выгодной и имеет ряд преимуществ и недостатков. Преимущества заключаются в гораздо большей емкости массива, возможности более эффективного последовательного чтения. Недостатки заключены в режиме постраничного доступа, отсутствии случайного доступа к данным, появлении дополнительных ошибок за счет большой плотности записи данных в ячейки. Каждая NAND-микросхема разделена на страницы 512 или 256 КБ, те же в свою очередь на блоки размером 4КБ. Возможно осуществлять чтение с отдельных страниц и запись, при условии, что они пусты. Однако, как только информация была помещена, ее невозможно перезаписать, пока не будет стерт весь блок страниц. В этом и состоит основной недостаток, оказывающий огромное влияние на эффективность записи и износ накопителя, так как NAND-микросхема имеет ограниченное количество циклов перезаписи. Для обеспечения равномерного износа всех ячеек, равномерной утилизации накопителя, контроллер перемещает записываемые данные с места на место при записи, тем самым увеличивая влияние WAF (Write Amplification Factor) на работу SSD, благодаря которому количество действительно записываемой информации гораздо больше, нежели логической, записываемой пользователем, в следствии чего уменьшается показатель случайного чтения. По сути данные перемещаются с места на место более одного раза, так как информация в памяти должна быть стерта перед повторной записью и чем более эффективно реализован алгоритм WAF, тем дольше проживет накопитель.

    Технология Over-Provisioning позволяет оптимизировать основной недостаток, связанный с записью / перезаписью и улучшить производительность, увеличить срок жизни накопителя. Она заключается в том, что на каждом из накопителей выделяется область, недоступная для пользователя, которую использует контроллер для перемещения данных, тем самым выравнивая показатели износа ячеек, так как для стирания ячейки 4КБ требуется стереть всю строку ячеек (на 256 или 512 КБ), что логичнее выполнять в фоновом режиме, используя для записи в первую очередь неразмеченную область. Легко понять, что чем больше область ОР, тем проще контроллеру будет выполнять возложенные на него функции, тем меньше будет WAF и эффективнее будет случайная запись и случайное чтение. Производитель закладывает под ОР от 7% до 50% от объема накопителя, за счет чего значительно увеличивается скорость записи, что видно с графиков, представленных ниже (ОР 0%, 12%, 25%, 50%).




    Как видим из графиков, производительность значительно повышается уже при ОР 25% и выше. Большинство производителей SSD позволяют управлять этим параметрам, у того же Samsung есть полезная утилита для этих целей:

    В чем же отличие серверного и desktop-накопителя? Самое важное отличие заключается в том, насколько эффективна работа с операциями записи в непрерывном режиме, а это, в основном, определяется типом чипа, применяемыми алгоритмами и областью Over-Provisioning, которая выделена производителем. К примеру для Intel 320 серии Over-Provisioning составляет 8% от емкости его микросхем, а для Intel 710, накопителя вроде бы как с идентичным типом чипа — 42%. Более того, Intel рекомендует еще минимум 20% оставить неразмеченными при создании раздела, чтоб они также автоматически могли быть использованы под Over-Provisioning, даже на серверных накопителях, где уже выделено 42%. Это удлинит срок жизни накопителя до 3-х раз, так как уменьшится WAF, и повысит производительность записи до 75%.

    Но чем же принципиально отличаются декстопные накопители от серверных? Возьмем для примера накопители Intel 320 и 520 — хорошие десктопные твердотельные накопители, в последнем применена «хитрость» в виде контроллера LSI SandForce, который сжимает записываемые данные и передает их на накопитель уже в сжатом виде, таким образом увеличивая скорость записи. И сравним их с серверным накопителем Intel 710 серии.

    Inte отличается от других производителей тем, что пишет технические характеристики довольно подробно и честно и мы всегда можем знать производительность в разных режимах использования накопителя, что как раз очень полезно в нашем случае. Именно потому мы выбрали их для сравнения, пусть, какие-то уже сняты с производства и есть более новые модели, но не в этом суть. Наша цель — понять отличия и принципы выбора, которые, вне зависимости от апдейтов, сильно не изменились.

    http://ark.intel.com/ru/products/56563/Intel-SSD-320-Series-120GB-2_5in-SATA-3Gbs-25nm-MLC — cмотрим и видим, что:

    Случайное чтение (участок 8 ГБ) — 38000 IOPS
    Случайное чтение (участок 100%) — 38000 IOPS
    Случайная запись (участок 8 ГБ) — 14000 IOPS
    Случайная запись (участок 100%) — 400 IOPS

    То есть, если мы занимаем на нашем SSD-накопителе на 120 ГБ всего лишь 8, отводя более 90% емкости под Over-Provisioning, то показатели случайной записи довольно хороши и составляют 14 KIOPS, если же мы используем все пространство — всего лишь 400 IOPS на случайную запись, производительность падает в 35 раз и оказывается на уровне пары хороших SAS-дисков!

    Теперь рассмотрим http://www.intel.com/content/dam/www/public/us/en/documents/product-specifications/ssd-710-series-specification.pdf, как видим, что даже при 100% заполнении доступной емкости, скорость на запись довольно прилична — 2700 IOPS, а при наличии 20% от емкости под Over-Provisioning возрастает до 4000 IOPS. Это следствие немного, но все же другой памяти, с High Endurance Technology (HET), если по-простому — это применение отборной памяти. Также применяется иная прошивка с другим алгоритмом записи, которая позволяет снизить количество ошибок и продлить жизнь накопителя. И что очень важно — используется иной алгоритм очистки свободного пространства. За счет этого производительность поддерживается при НЕПРЕРЫВНОЙ работе практически всегда на достойном уровне, на диске постоянно проходит фоновая очистка и оптимизация распределения данных. В десктопном же Intel 320 — она может несколько падать при непрерывной работе, так как процессы очистки идут не постоянно.

    Вывод — десктопный диск будет жить довольно долго на небольших объемах данных и по скорости может обеспечить довольно хорошие результаты в случае наличия большого пространства под Over-Provisioning. Когда это выгодно? Допустим есть база данных, та же 1С, к которой требуется доступ 10-20 пользователям. База имеет объем 4 ГБ. Более 90% емкости накопителя отводим под Over-Provisioning и размечаем только необходимое, с небольшим запасом, скажем, 8 ГБ. В результате имеем довольно хорошую производительность и экономичность решения с очень хорошим показателем надежности. Конечно, в случае 40-50 пользователей 1С, все же лучше будет использовать серверный накопитель, так как при непрерывной нагрузке показатели все же будут падать у десктопного SSD.

    Теперь остановимся более подробно на накопителях с контроллерами типа SandForce. Просмотрев характеристики http://download.intel.com/newsroom/kits/ssd/pdfs/intel_ssd_520_product_spec_325968.pdf, приходим к выводу, что Intel 520 — очень хороший вариант в случае компрессируемых данных, обеспечивает до 80 000 IOPS на запись, однако в случае несжимаемых данных, таких, как видео, показатели падают значительно — до 13 KIOPS и менее. Помимо прочего, в небольшой сноске (под номером 2) указано, что такие фантастические скорости на запись (80 KIOPS) достижимы только в случаях, когда размечено только 8 ГБ, что в случае 180-гигабайтного накопителя составляет всего лишь порядка 3% его емкости, остальное отводится под Over-Provisioning, в результате опять же можно сделать вывод, что этот диск будет хорошо работать с небольшими базами данными и текстовыми файлами, а в случае необходимости быстрой записи несжимаемых данных, таких, как видео — все же лучше использовать полноценные серверные накопители.

    Стоит также отметить, что серия 320, хоть и считается десктопной, но на самом деле является полусерверной, так как помимо прочего накопитель содержит суперконденсатор, который в случае отключения питания позволяет сохранить данные из кеша самого диска. А вот 520-ка этого не имеет. Потому очень важно обращать внимание и на такие особенности при выборе накопителей. Таким образом, серия 320 будет хоть и медленнее, нежели 520, но зато надежнее.

    Справедливо будет поговорить и о накопителях от других популярных производителей — Seagate и Kingston. Чем они отличаются? Seagate Pulsar, в отличии от рассматриваемых накопителей выше, имеет интерфейс SAS, а не SATA и это является его основным преимуществом. У твердотельных накопителей с интерфейсом SATA есть контроллер сохранности данных на накопителе, есть контроллер сохранности данных на самом контроллере, но вот то, что происходит с данными на этапе их передачи, отслеживается недостаточно хорошо. Интерфейс SAS решает эту проблему и полноценно контролирует канал передачи и в случае какой-то ошибки из-за той же наводки — исправит ее, SATA-интерфейс — нет. Кроме того, тут используются преимущества надежности самого интерфейса SAS, когда вместо 512 пишется 520 байт, вместе с 8 байтами четности. Помимо прочего можем использовать преимущества дуплекса SAS-интерфейса, но где это может быть использовано — лучше будет осветить в отдельной публикации.

    Что же касается серии накопителей Kingston — это не только надежные накопители, но и весьма производительные. До недавнего времени их серверная серия была одной из самых быстрых, пока на рынке не появился Intel 3700. При этом цена на эти накопители довольно приятна, соотношение цена / производительность / надежность, является, пожалуй, наиболее оптимальными. Именно по этой причине в «новой» нашей линейке серверов в Нидерландах, с которыми мы начали распродажу, мы предложили именно эти накопители, обеспечив тем самым довольно интересное ценовое предложение, в результате которого, серверов c этими накопителями, осталось совсем немного:

    В этих накопителях 8 чипов по 32 ГБ, образуют суммарный объем в 256 ГБ, около 7% емкости выделено под Over-Provisioning, чистая квота одного накопителя выходит равной 240 ГБ. SandForce контроллер оказывает положительное влияние на прирост производительности в случае работы с компрессируемыми данными, а именно базами данных и зачастую удовлетворяет потребности в IOPS для 95% наших клиентов. В случае же некомпрессируемых данных или данных с большой энтропией, таких как видео, пользователи в основном используют его больше для раздачи контента, нежели для записи, а на чтение производительность не падает столь значительно, что также удовлетворяет потребности большинства пользователей, а если требуется обеспечить большую производительность на запись — достаточно увеличить Over-Provisioning. Как видно из графика, прирост производительности для данных с нулевой компрессией (энтропия 100%) при росте Over-Provisioning, максимальный:

    Стоит отметить еще честность производителя, тесты очень консервативны. И зачастую реальные результаты оказывались выше гарантируемых на 10-15%.

    А для тех, кто нуждается в большей емкости, мы приготовили спец. предложение:


    Трафик можно увеличить, также, как и канал, апгрейды доступны по очень приятным ценам:

    1 Gbps 150TB — +$99.00
    1 Gbps Unmetered — +$231.00
    2 Gbps Unmetered — +$491.00

    Что же касается использования твердотельных накопителей в RAID-массивах, не будем повторятся об особенностях их использования в RAID, существует волшебная авторская статья amarao, которую я рекомендую к прочтению SSD + raid0 — не всё так просто и которая поможет сформировать полноценное понимание. В этой же статье расскажу немного о SSD-накопителях с интерфейсом PCI-Express, в котором уже используется встроенный RAID-контроллер. В случае задачи построения очень быстрого решения, скажем, для нагруженной биллинговой системы, такие накопители незаменимы, так как способны обеспечить сотню KIOPS на запись и более, а также, что очень важно, очень низкую латентность. Если латентность большинства твердотельных накопителей находится в пределах 65 микросекунд, что в 10-40 раз лучше показателей латентности жестких дисков, то у топовых SSD PCI-Express достигаются значения 25 микросекунд и менее, то есть практически скорость RAM. Конечно, за счет самого интерфейса PCI-Express идет снижение быстродействия, по сравнению с RAM, тем не менее, в скором времени ожидаются заметные улучшения в плане латентности.

    Емкость накопителя с интерфейсом PCI-Express набирается «банками памяти», на плате уже имеется SandForce чип, а также аппаратный RAID-контроллер. То есть это уже зеркало со скоростью реакции 25 микросекунд со скоростью записи более 100 KIOPS, которое имеет очень высокую надежность. Эффективная емкость таких накопителей, как правило невелика и может составлять 100ГБ. Цена — также довольно внушительна (7000-14000 евро). Но в случае, как уже отмечалось, нагруженных биллинговых систем, совсем нагруженных баз данных, а также с целью быстрого формирования бухгалтерских отчетов 1С в крупных компаниях (скорость построения возрастает почти на 2 порядка, в 100 раз быстрее) — такие решения незаменимы.

    Пока что мы можем предложить такие решения лишь в custom-built серверах при гарантии долгосрочной аренды, так как спрос довольно ограничен и далеко не каждый будет согласен платить столь внушительные деньги за производительность, к слову, не для каждого это и целесообразно. Возможно позднее, в отдельной публикации, мы рассмотрим подобные решения более обширно, если будет соответствующий интерес от бизнес-абонентов.

    Выбираем NVMe SSD-накопитель для сервера

    Что выбрать для сервера — HDD или SSD? HDD-диски дешевле и больше объемом, но они вибрируют, шумят и работают медленнее. SSD-диски дороже и меньше по объему, но дают более быстрый отклик.

    Надежность, безотказная работа, производительность и время отклика — это четыре ключевых параметра хорошего сервера. Эти же параметры важны и для серверных жестких дисков.

    SSD в сервере должны обрабатывать многочисленные запросы с минимальным уровнем задержки, обеспечивая высокий уровень сохранности данных. В высоконагруженных серверах жёсткие диски годами работают интенсивно и безостановочно. Перечисленные ниже модели жестких дисков разработаны именно таким образом, чтобы выдерживать долгую, интенсивную и непрерывную нагрузку.

    Еще один важный фактор — тип памяти, MLС или TLC. Память MLC быстрее и долговечнее, но дороже. TLC, соответственно, медленнее и выдерживает меньше циклов перезаписи, что может быть важно для сервера.

    Отдельно стоит выделить накопители серии Optane — в них используется память 3D XPoint с практически неограниченным ресурсом записи, перекрывающий гарантийный срок в несколько раз.

    Все рассмотренные ниже модели работают с интерфейсом подключения PCIe NVMe — это разновидность SSD накопителей, которая подключается по шине PCI Express. NVMe SSD-накопители примерно в 2-3 раза быстрее обычных SSD и отличаются высокой стоимостью.

    PCIe NVMe 3.0 x4

    Intel Optane DC P4800X SSDPED1K375GA01 и SSDPE21K375GA01 обладают схожими характеристиками: емкость 375GB, тип памяти 3D XPoint, скорость чтения/записи 2400/2000 Mb/s, IOPS произвольного чтения/записи 550000/500000 IOPS.

    Они отличаются только форматом: первая модель выполнена в формате PCI-E, вторая — в формате U.2 (2.5″ / 15mm).

    Intel DC P3600 SSDPEDME400G401 отличается немного большей емкостью — 400GB. Эта модель работает с типом памяти MLC, диск выполнен в формате PCI-E на базе контроллера Intel Ch39AE41AB0. Скорость чтения/записи 2100/550 Mb/s, IOPS произвольного чтения/записи 320000/30000 IOPS.

    Intel Optane DC P4800X SSDPE21K750GA01 и SSDPED1K750GA01 также похожи: емкость 750GB, тип памяти 3D XPoint, скорость чтения/записи 2500/2200 Mb/s, IOPS произвольного чтения/записи 550000/550000 IOPS.

    Они отличаются форматом: первая модель выполнена в формате PCI-E, вторая — в формате U.2 (2.5″ / 15mm).

    Следующие две модели также обладают идентичными параметрами: Intel Optane DC P4800X SSDPED1K015TA01 и SSDPE21K015TA01 емкостью 1.5TB с типом памяти 3D XPoint, скорость чтения/записи 2500/2200 Mb/s, IOPS произвольного чтения/записи 550000/550000 IOPS.

    Отличие в форм-факторе: первая модель выполнена в формате PCI-E, вторая — в формате U.2 (2.5″ / 15mm).

    Наибольший объем SSD-накопителя с таким интерфейсом подключения — 1.6TB. Это модель Intel DC P3700 SSDPEDMD016T401 выполнена в формате PCI-E на базе контроллера Intel Ch39AE41AB0. Скорость чтения/записи 2800/1900 Mb/s, IOPS произвольного чтения/записи 450000/150000 IOPS.

    PCIe NVMe 3.1 x4

    Наименьший объем диска с таким интерфейсом подключения — 512GB. Это модель Intel DC P4101 SSDPEKKA512G801 с типом памяти 3D TLC, выполненная в формате M.2 2280. Скорость чтения/записи 2550/550 Mb/s, IOPS произвольного чтения/записи 219000/11400 IOPS.

    Следующий доступный объем — 1TB. В таком объеме представлены три модели:

    — Intel DC P4500 SSDPE2KX010T701 и P4510 SSDPE2KX010T801 выполнены в формате U.2 (2.5″ / 15mm).

    Скорость чтения/записи первой модели 3200/600 Mb/s, IOPS произвольного чтения/записи 279500/30500 IOPS. Скорость чтения/записи второй модели 2850/1100 Mb/s, IOPS произвольного чтения/записи 465000/70000 IOPS.

    — Intel DC P4101 SSDPEKKA010T801 выполнен в формате M.2 2280, скорость чтения/записи 2600/660 Mb/s, IOPS произвольного чтения/записи 275000/16000 IOPS.

    Все три модели работают с типом памяти 3D TLC.

    Intel DC P4600 SSDPE2KE016T701 и SSDPE2KE016T801 обладают емкостью 1.6TB, типом памяти TLC, выполнены в формате U.2 (2.5″ / 15mm).

    Скорость чтения/записи первой модели 3200/1325 Mb/s, IOPS произвольного чтения/записи 559550/176500 IOPS. Скорость чтения/записи второй модели — 3200/2100 Mb/s, IOPS произвольного чтения/записи 620000/200000 IOPS.

    Следующие шесть моделей обладают одинаковым типом памяти TLC и одинаковым объемом 2TB. Основное отличие между ними — формат и скорость работы:

    — Intel DC P4501 SSDPE7KX020T7 выполнен в формате 2.5″. Скорость чтения/записи 3100/860 Mb/s, IOPS произвольного чтения/записи 362000/36000 IOPS.

    — Intel DC P4101 SSDPEKKA020T801 выполнен в формате M.2 2280. Скорость чтения/записи 2600/840 Mb/s, IOPS произвольного чтения/записи 275000/16000 IOPS.

    — Intel DC P4510 SSDPE2KX020T801, P4600 SSDPE2KE020T701 и P4500 SSDPE2KX020T701 выполнены в формате U.2 (2.5″ / 15mm).

    Скорость чтения/записи первой модели 3200/2000 Mb/s, IOPS произвольного чтения/записи 637000/81500 IOPS. Скорость чтения/записи второй модели 3200/1575 Mb/s, IOPS произвольного чтения/записи 610000/196650 IOPS. Скорость чтения/записи третьей модели 3200/1050 Mb/s, IOPS произвольного чтения/записи 490000/38000 IOPS.

    — Intel DC P4600 SSDPEDKE020T701 выполнен в формате PCI-E. Скорость чтения/записи 3290/1650 Mb/s, IOPS произвольного чтения/записи 650000/205000 IOPS.

    — Intel DC P4610 SSDPE2KE032T801 и P4600 SSDPE2KE032T701 выполнены в формате U.2 (2.5″ / 15mm).

    Скорость чтения/записи первой модели 3200/3000 Mb/s, IOPS произвольного чтения/записи 640000/200000 IOPS. Скорость чтения/записи второй модели 2850/1900 Mb/s, IOPS произвольного чтения/записи 636500/223260 IOPS.

    Следующие четыре модели обладают емкостью 4TB и типом памяти TLC:

    — Intel DC P4500 SSDPE2KX040T701 и P4510 SSDPE2KX040T801 выполнены в формате U.2 (2.5″ / 15mm).

    Скорость чтения/записи первой модели 3200/1800 Mb/s, IOPS произвольного чтения/записи 645000/48000 IOPS. Скорость чтения/записи второй модели 3000/2900 Mb/s, IOPS произвольного чтения/записи 625500/113500 IOPS.

    — Intel DC P4500 SSDPEDKX040T701 и P4600 SSDPEDKE040T701 выполнены в формате PCI-E.

    Скорость чтения/записи первой модели 3270/1860 Mb/s, IOPS произвольного чтения/записи 687000/62000 IOPS. Скорость чтения/записи второй модели 3290/2100 Mb/s, IOPS произвольного чтения/записи 710000/68000 IOPS.

    Модели Intel DC P4600 SSDPE2KE064T701 и SSDPE2KE064T801 обладают емкостью 6.4TB и типом памяти TLC, выполнены в формате U.2 (2.5″ / 15mm).

    Скорость чтения/записи первой модели 3200/2100 Mb/s, IOPS произвольного чтения/записи 617500/238000 IOPS. Скорость чтения/записи второй модели — 3000/2900 Mb/s, IOPS произвольного чтения/записи 640000/220000 IOPS.

    Наибольшая емкость — 7.68TB. Модель Intel P4320 SSDPE2NV076T801 обладает типом памяти QLC и форматом U.2 (2.5″ / 15mm). Скорость чтения/записи 3200/1000 Mb/s, IOPS произвольного чтения/записи 427000/36000 IOPS.

    Видео обзор SSD-накопителя Intel Optane DC P4800X

    Проектирование сервера под 1С ⋆ Главный системный администратор ™ ™

    Выбирая сервер под 1С, любой владелец хотел бы избежать узких мест. С другой стороны, сегодня мало кто покупает серверы избыточной мощности, «на вырост». Хорошо если профиль нагрузки удается снять заранее — тогда и проектировать сервер под конкретную конфигурацию приложений компании проще. А избыточность в сервере должна присутствовать обязательно. Иначе незначительная экономия на этапе покупки сервера, через небольшое время, увеличит стоимость сервера значительно.

    Для наглядности, возмем платформу «1С:Предприятие 8.2» и популярне базовые конфигурации «Бухгалтерский учет», «Торговля и склад», «Зарплата и Управление Персоналом», «Управление Торговым Предприятием» и, отчасти, «Управление Производственным Предприятием». Исходим из того, что для предприятий с 10 и более сотрудниками, работающими в 1С, используется «1С:Предприятие 8.2. Сервер приложений». Учтем вариант работы в режиме удаленного рабочего стола (Remote Desktop), с количеством одновременных пользователей базы данных до 100-150. Рекомендации будут применимы и для более «тяжелых» БД 1С, но «тяжелые случаи» всегда требуют индивидуального подхода.

    Процессоры и оперативная память

    Если компания совсем маленькая (2-7 пользователей в системе), база невелика (до 1GB), а «1С:Предприятие 8.2» работает в файловом режиме на пользовательском компьютере, то мы получаем классическую реализацию файл-сервера. С такой задачей по нагрузке на CPU справится даже Intel Core i3, тем более Intel Xeon . Объем необходимой оперативной памяти (RAM) считается совсем просто: 2GB под операционную систему и 2GB под системный файловый кеш.

    Если в компании 5-25 пользователей 1С, размер базы данных до 4GB, то приложению «1С:Предприятие 8.2» должно хватить 4-х ядерного Intel Xeon . Кроме 2GB оперативной памяти под ОС, необходимо выделить 1-4GB под «1С:Предприятие 8.2. Сервер приложений» и еще столько же под MS SQL Server в качестве кеша — итого 8-12GB RAM.

    Известен (хотя и не особо афишируется) факт: «1С:Предприятие 8.2. Сервер приложений» очень не любит, когда операционная система выгружает его в swap-файл на жесткий диск, и склонно при этом иногда терять отклик. Поэтому на сервере, где запущен «Cервер приложений», всегда должен быть запас свободного пространства в оперативной памяти — тем более она сегодня недорога.

    В компаниях побольше пользователи 1С обычно работают через удаленный доступ к приложению (Remote Desktop) — то есть в терминальном режиме. Как правило, при10-100 пользователях 1С с базой данных от 1GB и выше, «1С:Предприятие 8.2. Сервер приложений» и пользовательское приложение «1С:Предприятие 8.2» запускается на одном и том же сервере. По возможности необходимо запуск клентов 1С делать на локальных машинах пользователей, и только потом рассматривать «Remote Desktop».

    Для определения необходимых процессорных ресурсов исходят из того, что одно физическое ядро может эффективно обрабатывать не более 8 пользовательских потоков — это связано с внутренней архитектурой процессоров. Как показывает практика, под задачи 1С + Remote Desktop не стоит брать серверные процессоры младших линеек с низкими частотами расчетных ядер и урезанной архитектурой. Если пользователей немного (до 15-20), хватит одного процессора из высокочастотных Intel Xeon . При этом минимум одно его физическое ядро (2 потока) уйдет под нужды SQL Server, еще одно (2 потока) — под «1С:Предприятие 8.2. Сервер приложений», а оставшиеся 2 физических ядра (4 потока) — под ОС и терминальных пользователей. При количестве пользователей 1С более 20 или при объемах БД более 4GB пора переходить к 2-х процессорным системам на Intel Xeon E5-26xx или AMD Opteron 62xx.

    Расчет нужного объема оперативной памяти относительно прост: 2GB надо отдать ОС, 2GB и больше — MS SQL Server в качестве кеша (не менее 30% БД) , 1-4GB — под «1С:Предприятие 8.2. Сервер приложений», остальной памяти сервера должно хватать под терминальные сессии. Один терминальный пользователь, в зависимости от конфигурации, потребляет в приложениях «Бухгалтерский учет», «Торговля и склад» — 100-120MB, «Зарплата и Управление Персоналом», «Управление Торговым Предприятием» — 120-160MB, «Управление Производственным Предприятием» — 180-240MB. Если пользователь запускает дополнительно на сервере MS Word, MS Excel, MS Outlook, то на каждое приложение надо выделить еще порядка 100MB. Как правило, минимум для сервера терминалов — 12GB RAM.

    К примеру, для сервера 1С со всем пакетом ПО, 50 терминальными пользователями в конфигурации «Управление Торговым Предприятием», и базой данных в 8GB оптимальной будет вычислительная мощность двух процессоров Intel Xeon E5-2650 (8 ядер, 16 потоков, 2.0 GHz). Оперативной памяти понадобится минимум 2 (ОС) + 4(SQL) + 4(1C-сервер) + 8 (160 «УТП» * 50 пользователей) = 18GB, а лучше 24-32GB(6-8 каналов DIMM по 4GB). Но это минимум, не забываем про избыточность.

    Дисковая подсистема

    Большинство жалоб на медленную работу серверов 1С:Предприятие 8 связано с непониманием, какие на них выполняются типы операций ввода-вывода, над какими данными и с какой интенсивностью. Зачастую, именно дисковая подсистема является ключом к обеспечению достаточной производительности сервера в целом — ведь для нагруженных БД самой большой проблемой является блокировка таблиц при одновременной работе с ними множества пользователей или при массовых загрузках/выгрузках/проводках.

    У 1С есть 5 потоков данных для дисковой подсистемы, с которыми она работает:

    • таблицы баз данных;
    • индексные файлы;
    • временные файлы tempDB;
    • log-файл SQL;
    • log-файл пользовательских приложений 1С.

    Структура данных в 1С — объектно-ориентированная, со множеством объектов и связей между ними. Для работы с таблицами данных чрезвычайно важно количество операций чтения и записи, которые способна проделать дисковая подсистема за промежуток времени (Input Output Operation per Second, IOPS). При этом ее способность выдать высокую потоковую скорость передачи данных (в MBp/s) куда менее важна. Очень скромная база объемом 200-300MB с 3-5 пользователями может генерировать в пиках до 400-600 IOPS. База на 10-15 пользователей и объёмом в 400-800MB способна выдать 1500-2500 IOPS, 40-50 пользователей БД 2-4GB порождают5000-7500 IOPS, а базы под 80-100 пользователей легко достигают 12000-18000 IOPS.

    3-5 польз., 300 MB 10-15 польз., 800 MB 40-50 польз., 4 GB 80-100 польз., 20 GB
    400-600 IOPS 1500-2500 IOPS 5000-7500 IOPS 12000-18000 IOPS

    Разумеется, средняя нагрузка на дисковую подсистему может составлять и 10-15%от пиковой. Только в реальности важна именно производительность в период пиковых нагрузок: автоматических загрузок данных из других систем, обмена данных распределённой системы или перепроведения периода.

    Современные диски в операциях чтения и записи со случайным доступом (Random Read/Write) в одиночку справляются с такими нагрузками:

    7200 rpm SATA 15000 rpm SAS Intel 320 160GB Intel 710 200GB Intel 910 400 GB
    read 100-120 IOPS 200-220 IOPS 35 000 IOPS 35 000 IOPS 90 000 IOPS
    write 80-100 IOPS 180-200 IOPS 600-8600 IOPS 2400 – 8600 IOPS 38 000 IOPS

    Хорошо видно, что:

    • узким местом и для HDD, и для SSD является запись;
    • традиционные HDD — не конкуренты SSD по скорости чтения в IOPS даже теоретически, разница превышает два порядка;
    • даже не самый современный десктопный SSD в 3-40 раз (в зависимости от конфигурирования) превосходит по скорости записи в IOPS любой HDD, серверный SSD — в 12-40 раз быстрее HDD;
    • максимальную производительность в IOPS дают PCIe SSD класса Intel 910 или LSI WarpDrive.

    Стоит сказать, что это усредненные параметры, для каждой БД количество необходимых IOPS нужно рассчитывать отдельно. Все зависит от того как работают пользователи с БД. В моей практике были  БД объемом 50 ГБ и средней нагрузкой 500 IOPS, а в пике 1024 IOPS. Особо актуально подсчет IOPS критичен в виртуальных средах, когда дисковая система хранится на СХД, когда приходится выбирать недорогой протокол iSCSI или более дорогой вариант Fiber Chennal Protocol.

    Одиночные диски в серверах БД не используются, только RAID-массивы. Для дальнейшего расчета реальной производительности дисковой подсистемы нужно учесть затраты («штраф») на запись в IOPS, которые несет дисковая группа в RAID:

    RAID 0 RAID 1 (or 10) RAID 5 RAID 6
    Read 1 1 1 1
    Write 1 2 4 6

    Если собрать 6 дисков в RAID 10, то на каждую запись в 1 IOPS данных будет потрачено 2 IOPS физических дисков, а если в RAID 6 — то 6 IOPS дисков. Таким образом, при расчете нагрузочных возможностей дисковой группы на запись нужно вначале сложить IOPS всех дисков RAID-группы, а затем разделить их на «штраф».

    Пример 1: 2 HDD SATA 7200 в RAID 1 обеспечат на запись: (100 IOPS *2) / 2 = 100 IOPS.

    Пример 2: 4 SATA 7200 в RAID 5 обеспечат на запись: (100 IOPS *4) / 4 = 100 IOPS.

    Пример 3: 4 SATA 7200 в RAID 10 обеспечат на запись: (100 IOPS *4) / 2 = 200 IOPS.

    Примеры 2 и 3 наглядно демонстрируют, почему для хранения баз данных, у которых типовое распределение чтение/запись составляет 68/32, предпочтителен RAID 10.

    Из данных трех таблиц понятно, по какой причине производительности типового «джентльменского набора» 2 HDD SATA 7200 в RAID 1 серверу недостаточно: при пиковых нагрузках растет очередь обращений к диску, пользователи ожидают ответа системы, иногда по многу часов.

    Как увеличить производительность дисковой подсистемы на запись? Наращивают количество дисков в RAID-группе, переходят к дискам с большей скоростью вращения, выбирают уровень RAID c меньшим штрафом на запись. Хорошо помогает кеширование RAID-контроллером с включенным режимом отложенной записи Write back. Данные пишутся не напрямую на диски (как в режиме Write Through), а в кеш контроллера, и только затем, в пакетном режиме и упорядоченном виде — на диски. В зависимости от специфики задачи, производительность записи удается поднять на 30-100%.

    Под слабо нагруженные или относительно небольшие БД (до 20GB) подойдет недорогой способ «добычи IOPS» — гибридный RAID из SSD/HDD. Большего и не нужно филиальной БД на 3-15 пользователей в распределённой структуре вроде сети кафе или СТО.

    Для объемных (200GB и более) БД с длинным историческим шлейфом данных, либо для обслуживания нескольких объемных БД эффективным может оказаться SSD-кеширование (технологии LSI CacheCade 2.0 или Adaptec MaxCache 3.0). По опыту эксплуатации таких систем, именно в задачах 1С с их помощью можно относительно недорого и без существенных изменений в инфраструктуре хранения ускорить дисковые операции на 20-50%.

    Чемпионом по быстродействию в IOPS предсказуемо являются RAID-массивы на серверных SSD — как традиционные, с использованием SAS RAID-контроллера, так и PCIe SSD. Мешают их популярности два ограничителя: технологический (производительность RAID- контроллеров или необходимость радикально ломать структуру хранения) и цена реализации.

    Отдельно следует сказать о хранении индексных файлов и TempDB. Индексные файлы обновляются очень редко (обычно 1 раз в сутки), зато читаются очень и очень часто (IOPS). Таким данным просто необходимо храниться на SSD, c их показателями по чтению! TempDB, используемые для хранения временных данных, как правило, невелики по объему (1-4-12GB), зато очень требовательны к скорости записи. Индексные и временные файлы объединяет то, что их потеря не приводит к потере реальных данных. А значит, они могут размещаться на отдельном (еще лучше — на двух отдельных томах) SSD. Хотя бы и на бортовом контроллере SATA материнской платы. С точки зрения надежности и быстродействия, под TempDB желательно отдать зеркало (RAID1) из SSD, можно на бортовом контроллере, но с обязательным выключением всех кешей на запись. С этой ролью справятся и десктопные SSD — вроде Intel 520-серии, где аппаратная компрессия данных при записи в TempDB будет как раз уместной. Вынос этих задач с общей системы хранения на выделенную скоростную подсистему положительно сказывается на производительности системы в целом, особенно в моменты пиковых нагрузок.

    В случаях, когда есть возможность обеспечить максимально быструю реакцию администраторов при сбоях, и когда имеются сложные расчетные задачи (складская или транспортная логистика, производство в УПП, объемные обмены в УРБД), TempDB выносят на RAMDrive. Такое решение позволяет выиграть иногда до 4-12% общей производительности системы. Некоторое неудобство возникает только в случае рестарта сервера: если автоматически RAMDrive не запустится, потребуется вмешательство администратора для ручного старта — иначе станет вся система.

    Еще один важный компонент — log-файлы. Они имеют неприятную для любой дисковой подсистемы особенность — генерировать почти постоянный поток мелких обращений на запись. Это незаметно при средних нагрузках, но сильно ухудшает быстродействие сервера 1С при пиковых нагрузках. Разумно выносить log-файл (в особенности, log-файл SQL) на отдельный физический том, к которому нет высоких требований по IOPS, и на который будет идти практически линейная запись. Для спокойствия можно создать зеркало из недорогих и объемных SATA/NL SAS (для Full log), либо недорогих десктопных SSD все той же Intel 520-й серии (Simple log, или Full log, с ежедневным его Backup и очисткой).

    В целом можно сказать, что приход SSD в серверы открыл новые возможности увеличения производительности массовых серверов — за счет многоуровневого хранения данных и разумного конфигурирования дискового ввода/вывода.

    Дисковая подсистема «идеального сервера под 1С» выглядит так:

    1. Таблицы базы данных размещены на RAID 10 (или RAID 1 для малых БД) из надежных серверных SSD с обязательным аппаратным RAID-контроллером. При высоких требованиях по IOPS можно рассмотреть вариант PCIe SSD. Для БД большого объема эффективно SSD-кеширование массивов HDD. Если используемая конфигурация 1С и структура данных не слишком требовательны к IOPS, а количество пользователей невелико — хватит традиционного массива из HDD SAS 15K rpm.

    2. Индексные файлы вынесены на быстрый и недорогой одиночный SSD, TempDB — на 1-2 (RAID 1) SSD или RAMDrive.

    3. Под log-файлы SQL (а желательно и 1С) отведен выделенный том (одиночный физический диск или RAID-1) на SATA/NL SAS HDD или недорогих SSD, либо логический диск на RAID-массиве, на котором расположена операционная система сервера и пользовательские файлы/папки.

    4. Операционная система и пользовательские данные хранятся на RAID 1 из HDD или SSD.

    Если IT-инфраструктура виртуализирована, крайне желательно, чтобы SQL Server был установлен не как виртуальная машина, а непосредственно на физический сервер, на «голое железо». Цена вопроса — от 15 до 35% производительности дисковой подсистемы (в зависимости от оборудования, драйверов, средств виртуализации и способов подключения тома). В виртуализированной среде SQL-сервера подключение томов с таблицами БД, индексными файлами и TempDB к VM обязательно в монопольном режиме по Direct Access.

    Не забываем про регламентные задания средствами SQL, рекомендованные службой Техподдержки 1С . Особенности эксплуатации SQLServer 2005-2008 для 1C-Предприятие 8

    Сетевые интерфейсы

    При построении систем 1С:Предприятие 8 для малых и средних предприятий (до 100-150 активных пользователей одновременно) следует минимизировать потери на сетевых операциях через интерфейс Ethernet. В идеале — обслуживать и SQL Server, и «1С:Предприятие 8 Сервер приложений х64», и пользовательские сессии 1С в Remote Desktop одним физическим сервером. Спорная с точки зрения обеспечения отказоустойчивости, такая рекомендация позволяет выжать максимум из оборудования и ПО, а за счет применения виртуализации дает определенный уровень безопасности и «повторяемость среды» на другом оборудовании.

    Зачем исключать Ethernet из цепочки SQL-сервер —> Сервер приложений 1С:Предприятие 8 —> пользовательская сессия 1С:Предприятие 8? Сетевой интерфейс Ethernet, с его упаковкой данных в относительно небольшие блоки для передачи, всегда будет создавать дополнительные задержки: и при упаковке/распаковке трафика, и при самой передаче (высокая латентность). В 1С:Предприятие 8 довольно большие массивы данных передаются для обработки и отображения по всей цепочке, в некоторых ситуациях — в обе стороны. При прямой же передаче данных от одного процесса другому в рамках оперативной памяти сервера (на одном сервере без виртуализации), или же через виртуальный сетевой интерфейс (в рамках все того же одного физического сервера, при хороших серверных сетевых адаптерах с переносом блоков RAM между VM) задержки намного ниже. Современные двухпроцессорные серверы с большой оперативной памятью и дисковой подсистемой на SSD позволяют комфортно обслужить БД 1С на 100-150 активных пользователей.

    Если для нагруженных БД использование нескольких физических хостов неизбежно, желательно связать все серверы по 10Gb Ethernet. Или, как минимум, 2-4агрегированными соединениями 1Gb Ethernet с аппаратным ускорением TCP/IP (TCP/IP Offloader) и аппаратной поддержкой виртуализации.

    Больше всего от потерь производительности на портах Ethernet страдают бюджетные решения. Не секрет, что сетевые адаптеры 1Gb, распаиваемые на большинстве серверных материнских плат, не предназначены для обслуживания интенсивного сетевого трафика. Даже если на плате есть 2 или 3 порта GbE, они, как правило, реализованы на десктопных чипах. Достаточные для управления, они порождают дополнительные накладные расходы по обслуживанию сетевых обменов, особенно в виртуализированной среде. Весь процесс передачи данных через такой чип обеспечивается за счет ресурсов процессора, оперативной памяти и нагрузки на внутренние шины. Никакого ускорения передачи IP-трафика такие чипы не дают, каждый принимаемый и передаваемый Ethernet-пакет требует отдельного прерывания на процессор. В виртуализированой среде потери производительности сетевого интерфейса могут достигать 25-30%. Самое неприятное, что перегрузки именно сетевого интерфейса средствами мониторинга можно и не заметить. За него отдувается центральный процессор, а если не работает, то простаивает в ожидании ответа от сетевой карты. Порты на десктопных чипах желательно исключить из потока данных в виртуализированных средах, оставив их под задачи управления сервером. Под интенсивный сетевой трафик стоит добавить дискретную сетевую карту на серверном чипсете.

    Отказоустойчивость или допустимое время простоя?

    Обсуждение производительности серверов почти всегда сопровождается спорами об их надежности. Обеспечение отказоустойчивости всегда требует дополнительных затрат, в особенности при поддержке непрерывных производственных процессов. Не принижая роли и места 1С, можно сказать, что большая частью ее пользователей дилемму «производительность/надежность» решает в разных плоскостях: за первую борются оптимизацией аппаратных решений, за вторую — организацией процессов и процедурами. Когда приложения умеренно критические, основное внимание в поддержании работоспособности уделяют не средствам индивидуальной защиты серверов, а минимизации простоя инфраструктуры в целом.

    Разумеется, для предприятий с относительно большим количеством одновременно подключенных пользователей (25-150) и размещением всех приложений на одном сервере обязательно применение источников бесперебойного энергоснабжения, избыточных блоков питания самих серверов, корзин горячей замены дисков и RAID-массивов с горячим резервированием. Но никакие аппаратные средства не заменят планового резервирования самих данных. Имея ежедневный (точнее, еженощный) backup и оперативный файл с Full SQL log, можно полностью восстановить БД 1С за относительно короткий промежуток.

    Допустимое время простоя центральной системы 1С для малых и средних предприятий — 1-2 аварии в месяц, продолжительностью 1-4 часа. На самом деле, это огромный запас времени — если к восстановлению быть готовыми заранее. Необходимым условием быстрого рестарта является наличие образов всех виртуальных и физических серверов в виде VM на отдельном хранилище/томе — для восстановления самой инфраструктурной части на резервном сервере. Обязателен ежедневный backup (а также еженедельный и по закрытию периода) на другое физическое устройство и Full SQL log для случаев, когда потеря данных «с начала рабочего дня» критична и трудно восстановима вручную. При наличии подменного оборудования можно уложиться в 1-2 часа для восстановления работоспособности в целом, пусть и с меньшей производительностью. Ну а там, где требуется непрерывность работы 24×7, первоочередными задачами будут выбор соответствующей архитектуры, оборудования с минимальным количеством точек отказа и полноценных технологий кластеризации. Но это уже совсем другая история.
    Может быть интересно по этой теме:

    Регламентные задачи SQL для 1С
    Параметры сервера для работы в 1С

    Источник


    SSD 1-

    ,.

    :

    SSD (,!)

    SSD:

    LinkedIn «Специалисты по хранению данных» (LinkedIn,):
    Частота отказов SSD-дисков
    « (- -).
    Я работаю подрядчиком в банке на Среднем Западе, и у нас есть твердотельные накопители в EMC VMAX примерно на 9 месяцев. Мы еще не видели никаких сбоев.
    Однажды я предпринял многонедельную попытку сжечь твердотельные накопители различных производителей. Я прогнал их на 100% случайную запись в течение месяца. Операции ввода-вывода Fusion составляют около 30 тыс. Операций ввода-вывода в секунду на диск, STEC / Intel — около 7 тыс. Операций. Никогда не удавалось заставить ни одного из них потерпеть неудачу.
    Fusion IO сделал в этом месяце столько операций записи, сколько один диск SAS может сделать за более чем десятилетие.

    У нас примерно 150 твердотельных накопителей, и за последние 12 месяцев произошел 1 сбой.
    Я использую твердотельные накопители в cx4-960 clariion чуть менее 12 месяцев без сбоев (охватывает большие ms sql tempdb).
    По моему собственному опыту (первые системы SSD были поставлены 2 с половиной года назад), частота отказов SLC SSD находится в том же диапазоне, что и у вращающихся дисков.

    . , SSD , SSD, Корпоративные флэш-накопители USB- Kinqston.

    http://blog.aboutnetapp.ru


    1-


    : (495) 250-6383, 250-6393, 223-0404

    ()


    .

    в магазине ssd для сервера — суперскидки на ssd для сервера на AliExpress

    Отличные новости! Вы находитесь в правильном месте для ssd для сервера. К настоящему времени вы уже знаете, что что бы вы ни искали, вы обязательно найдете это на AliExpress. У нас буквально тысячи отличных продуктов во всех товарных категориях. Ищете ли вы товары высокого класса или дешевые и недорогие оптовые закупки, мы гарантируем, что он есть на AliExpress.

    Вы найдете официальные магазины торговых марок наряду с небольшими независимыми продавцами со скидками, каждый из которых предлагает быструю доставку и надежные, а также удобные и безопасные способы оплаты, независимо от того, сколько вы решите потратить.

    AliExpress никогда не уступит по выбору, качеству и цене.Каждый день вы будете находить новые онлайн-предложения, скидки в магазинах и возможность сэкономить еще больше, собирая купоны. Но вам, возможно, придется действовать быстро, так как этот лучший SSD для сервера в кратчайшие сроки станет одним из самых востребованных бестселлеров. Подумайте, как вам будут завидовать друзья, когда вы скажете им, что получили свой ssd для сервера на AliExpress. Благодаря самым низким ценам в Интернете, дешевым тарифам на доставку и возможности получения на месте вы можете еще больше сэкономить.

    Если вы все еще сомневаетесь в выборе SSD для сервера и думаете о выборе аналогичного продукта, AliExpress — отличное место для сравнения цен и продавцов.Мы поможем вам решить, стоит ли доплачивать за высококлассную версию или вы получаете столь же выгодную сделку, приобретая более дешевую вещь. И, если вы просто хотите побаловать себя и потратиться на самую дорогую версию, AliExpress всегда позаботится о том, чтобы вы могли получить лучшую цену за свои деньги, даже сообщая вам, когда вам будет лучше дождаться начала рекламной акции. и ожидаемая экономия.AliExpress гордится тем, что у вас всегда есть осознанный выбор при покупке в одном из сотен магазинов и продавцов на нашей платформе.Реальные покупатели оценивают качество обслуживания, цену и качество каждого магазина и продавца. Кроме того, вы можете узнать рейтинги магазина или отдельных продавцов, а также сравнить цены, доставку и скидки на один и тот же продукт, прочитав комментарии и отзывы, оставленные пользователями. Каждая покупка имеет звездный рейтинг и часто имеет комментарии, оставленные предыдущими клиентами, описывающими их опыт транзакций, поэтому вы можете покупать с уверенностью каждый раз. Короче говоря, вам не нужно верить нам на слово — просто слушайте миллионы наших довольных клиентов.

    А если вы новичок на AliExpress, мы откроем вам секрет. Непосредственно перед тем, как вы нажмете «купить сейчас» в процессе транзакции, найдите время, чтобы проверить купоны — и вы сэкономите еще больше. Вы можете найти купоны магазина, купоны AliExpress или собирать купоны каждый день, играя в игры в приложении AliExpress. Вместе с бесплатной доставкой, которую предлагают большинство продавцов на нашем сайте, вы сможете приобрести ssd for server по самой выгодной цене.

    У нас всегда есть новейшие технологии, новейшие тенденции и самые обсуждаемые лейблы. На AliExpress отличное качество, цена и сервис всегда в стандартной комплектации. Начните самый лучший шоппинг прямо здесь.

    .

    קנה ssd для сервера — מבצעים נהדרים של ssd для сервера ב- AliExpress

    מבצעים חמים ב- ssd для сервера: העסקאות והנחות המקוונות הטובות ביותר עם ביקורות של לקוחות אמיתיים.

    ות טובות! תה נמצא במקום הנכון עבור ssd для сервера. עכשיו אתה כבר יודע את זה, מה שאתה מחפש, אתה בטוח למצוא את זה aliexpress.אנחנו ממש יש אלפי מוצרים מעולים בכל קטגוריות המוצרים. ין אם אתה מחפש high-end תוויות ו זול, כ רכישות בכמות גדולה, אנו מבטיחים כי זה כאן aliexpress. תוכלו למצוא חנויות רשמיות עבור שמות מותגים לצד מוכרים הנחה עצמאית קטנה, כולם מציעים משלוח מהיר ואמיר.

    ולם לא יוכה על בחירה, איכות ומחיר.כל יום תוכלו למצוא הצעות חדשות, מקוונות בלבד, הנחות בחנויות והזדמנות לשמור עוד יותר על ידי איסוף קופונים. י ייתכן שיהיה עליך לפעול מהר כמו זה העליון ssd for server מוגדר להיות אחד המבוקשים ביותר המבוקשים ביותר בתוך זמן קצר. תחשוב כמה י אתה חברים יהיה כאשר אתה אומר להם שיש לך ssd для сервера aliexpress. עם ירים הנמוכים ביותר באינטרנט, מחירי משלוח זול ואפשרויות אוסף מקומי, תה יכול לעשות חיסכון גדול עוד יותר.

    תה עדיין נמצא בשני מוחות לגבי ssd for server וחושבים על בחירת מוצר דומה, ‘אלכס’ הוא מקום מצוין להשוות מחירים ומוכרים.ו נעזור לך להבין אם זה שווה ת תוספת עבור גירסת high-end או אם אתה מקבל רק עסקה טובה על ידי מקבל ת הפריט זול יותר. Номер и, אם אתה רק רוצה לטפל בעצמך ו להתיז על הגרסה היקרה ביותר, תמיד יהיה תמיד לוודא שאתה יכול לקבל את המחיר הטוב ביותר עבור הכסף שלך, אפילו לתת לך לדעת מתי אתה תהיה טוב יותר מחכה קידום להתחיל, ואת החיסכון שאתה יכול לצפות לעשות.

    Aliexpress וקח גאווה ולוודא כי תמיד יש לך בחירה מושכלת כאשר אתה קונה מאחד מאות חנויות ומוכרים על הפלטפורמה שלנו.כל ות ומוכר מדורגות עבור שירות לקוחות, יר ואיכות על ידי לקוחות אמיתיים. וסף אתה יכול למצוא את החנות או דירוגי המוכר הפרט, כמו גם להשוות מחירים, הנחוח והנחות מציעה על ותו וצר על יי רוי רות וצר על יאי רוי רי ר כל רכישה מדורגת בכוכבים ולעתים קרובות יש הערות שנותרו על ידי לקוחות קודמים המתארים את חוויית העסקה שלהם, כך ת י וי. בקיצור, תה לא צריך לקחת את המילה שלנו על זה — רק להקשיב למיליוני לקוחות מאושרים שלנו.

    וגם, ת חדש י aliexpress, ו מאפשרים לך על סוד.רק לפני שתלחץ על ‘קנה עכשיו’ בתהליך העסקה, הקדש רגע כדי לבדוק את הקופונים — ותחסוך עוד יותר. תה יכול למצוא קופונים החנות, ופונים aliexpress או שאתה יכול לאסוף קופונים כל יום על ידי משחק ים על יקציה aliexpress. וכפי שרוב המפיצים שלנו מציעים משלוח חינם — אנחנו חושבים שתסכים לכך שאתה מקבל את זה ssd for server באחד המחירים הטובים ביותר באינטרנט.

    תמיד יש לנו את הטכנולוגיה העדכנית ביותר, את המגמות החדשות ביותר, ואת התוויות המדוברות ביותר.על aliexpress, איכות מעולה, יר ושירות מגיע כסטנדרט — בכל פעם. התחל את חוויית הקנייה הטובה ביותר שתהיה לך אי פעם, ממש כאן.

    .
    Dns сервер какой лучше: Лучшие DNS-серверы | Losst

    Dns сервер какой лучше: Лучшие DNS-серверы | Losst

    Лучшие DNS-серверы | Losst

    В разговорах об обеспечении безопасности подключения к интернету или доступа к заблокированному контенту в вашей географической области, вы, наверное, слышали о DNS. Несмотря на то, что все провайдеры поставляют свой DNS-сервер по умолчанию, вы можете использовать альтернативный.

    Служба DNS используется для определения IP-адресов сайтов по их домену. Всё очень просто — на самом деле в интернете не существует никаких буквенных адресов вроде losst.ru, все связи и сообщения между компьютерами осуществляются по IP-адресу. Вот для его определения по доменному имени и используются сервера DNS, в которых хранится огромная таблица соответствия доменных имён и IP-адресов.

    Использование альтернативного DNS-сервера предоставляет несколько преимуществ:

    • Чем ближе вы находитесь к DNS-серверу, тем быстрее будет выполняться определение имён.
    • Если DNS провайдера не очень надёжны, альтернативный DNS улучшит стабильность.
    • Вы избавитесь от ограничений доступа к контенту на основе географического положения.

    Если эти причины, или хотя бы одна из них заинтересовали вас, пришло время настроить DNS-сервер в своей системе. В этой статье мы поговорим о том, как настроить DNS-сервер в Linux, как узнать его скорость работы, а также рассмотрим лучшие DNS-серверы. Вы можете выбрать лучший в зависимости от ваших потребностей.

    Содержание статьи:

    Настройка DNS в Linux

    Поскольку сайт наш всё-таки о Linux, рассмотрим, как настроить DNS-серверы Linux. Настройки DNS-сервера в любом Linux-дистрибутиве находятся в файле /etc/resolv.conf. Адрес DNS-сервера указывается в следующем формате:

    nameserver 192.168.137.1

    Здесь 192.168.137.1 — это адрес DNS-сервера. Но настройка в этом файле будет работать только до перезагрузки, поскольку этот файл перегенерируется при каждой загрузке системы. Чтобы настройки работали и после перезагрузки, надо настраивать DNS с помощью NetworkManager или Systemd. Об этом смотрите статью Настройка DNS в Ubuntu.

    Протестировать скорость работы DNS-сервера можно с помощью утилиты nsloockup. Например:

    time nslookup losst.ru 208.67.222.222
    time nslookup losst.ru 8.8.8.8

    Первый параметр — адрес сайта, который будем измерять, второй — адрес DNS-сервера. Команда time замеряет время выполнения nslookup в миллисекундах. Как видите, первый DNS сервер от гугла медленнее по сравнению с вторым. А теперь перейдём непосредственно к списку «хорошие DNS-серверы».

    Лучшие DNS-серверы

    1. Google Public DNS

    Первый DNS сервер в нашем списке — сервер от Google — Google Public DNS. Он работает с декабря 2009 и его цель — сделать работу пользователей в интернете быстрее, безопаснее и удобнее. В настоящее время это крупнейшая государственная DNS-структура в мире. Для использования Google Public DNS достаточно использовать IP-адрес DNS сервера 8.8.8.8 или 8.8.4.4.

    При переходе на Google Public DNS повышается безопасность и оптимизируется скорость работы, поскольку Google действительно использует Anycast-маршрутизацию для нахождения ближайшего сервера. Кроме того, он устойчив к атакам DNS Cache, а также DoS.

    2. OpenDNS

    Если вы ищете не просто замену обычному DNS, а расширенную версию, которая даст вам больше контроля, попробуйте OpenDNS. Как говорится в сообщении этой компании, вы сделаете ещё один шаг на пути к безопасности путем внедрения этой службы. Есть два варианта OpenDNS — домашний и корпоративный. Домашняя версия поставляется с родительским контролем, защитой от фишинга и улучшенной скоростью. Корпоративная версия OpenDNS имеет полную функциональность для защиты сети предприятия. Для домашнего использования вы можете получить OpenDNS бесплатно. Чтобы настроить   DNS-серверы Linux просто установите следующие адреса DNS: 208.67.222.222 и 208.67.220.220. OpenDNS также поддерживает Anycast.

    3. DNS.WATCH

    DNS.WATCH — это минималистичная служба DNS, которая позволяет вам иметь быстрый доступ в интернет без цензуры. Поскольку эта служба построена по принципам свободы, вы можете быть уверены ,что ваш запрос достигнет цели и не будет использовано никаких перенаправлений. Сервер работает быстро и стабильно. Если вы живете в стране с цензурой, это будет отличным решением. Сервера DNS-службы: 82.200.69.80 и 84.200.70.40.

    4. Norton ConnectSafe

    Norton ConnectSafe — ещё одна служба DNS, предназначенная для усиленной защиты вашего интернета. Следует отметить, что Norton занимается аспектами безопасности многих устройств в течение длительного времени. Поэтому вы можете быть уверены в качестве Norton ConnectSafe. Сервис предлагает три различных варианта защиты: защита от вредоносных программ, фишинга и жульничества, защита от порнографии и других угроз. Для каждого вида используются разные IP-адреса. Для защиты всей домашней сети достаточно просто настроить маршрутизатор.

    5. Level3 DNS

    Level3 DNS — это отличная служба DNS, если вы ищете надежный DNS-сервер с отличной производительностью. Хотя и Level3 не такой большой, как Google, у него впечатляющая инфраструктура. Вы можете быть уверенны, что скорость будет на высшем уровне. IP-адреса DNS сервера: 209.244.0.3, 209.244.0.4 , 4.2.2.1, 4.2.2.2 , 4.2.2.3 и 4.2.2.4.

    6. Comodo Secure DNS

    Comodo Secure DNS — ещё одна служба, сочетающая в себе скорость, надёжность и безопасность. Comodo использует огромную сеть, которая включает в себя большое количество DNS-серверов. Скорость будет оптимизирована путём выбора сервера в зависимости от вашего местоположения. Кроме того, Comodo заботится о безопасности, поставляя список опасных сайтов, а служба DNS убедится, что вы не посещаете ни один из них. IP-адреса Comodo Secure DNS: 8.26.56.26 и 8.20.247.20.

    7. OpenNIC DNS

    Хотя OpenNIC DNS находится последним в списке, он будет отличным решением, если вам нужен свободный доступ в интернет без цензуры, налагаемой властями. У OpenNIC DNS очень большая инфраструктура сети, и поэтому, скорее всего, будет найден DNS-сервер, находящийся недалеко от вашего физического местоположения. Просто выберите нужный сервер из списка.

    8. Яндекс DNS

    Не только у Google есть свои DNS серверы. У Яндекса тоже есть бесплатный сервис DNS, которые вы можете использовать. Сервера яндекса могут быть ближе для некоторых районов России, чем сервера Европы, поэтому такой DNS может быть более предпочтительным. У яндекса есть три вида DNS — обычные, без фишинговых и мошеннических сайтов, и третий тип — без сайтов для взрослых. Адреса обычного DNS от яндекса — 77.88.8.8 и 77.88.8.1.

    Выводы

    Как видите, одни из этих серверов обеспечивают обычный DNS в обход запретов провайдера, другие же имеют дополнительные возможности — защиту от атак, фишинга и опасных программ. Все они — лучшие DNS-серверы, и вы можете выбрать один из них в зависимости от ваших потребностей.

    Правильно выбираем DNS / Хабр

    У многих, наверное, используется DNS, предложенный провайдером. Однако вы же наверное слышали про открытие доступа к своим серверам Google? Да и другие проекты(OpenDNS, UltraDNS и т.д.) вполе себе существуют. Так давайте попробуем разобраться, зачем оно нам надо и есть ли вообще смысл рядовому юзеру пользоваться альтернативными DNS?

    Речь пойдет о программе namebench(Win, Mac,*nix), которая представляет собой средство для тестирования текущих и выбора оптимальных DNS-серверов. Что любопытно, обошлось не без содействия корпорации Google.

    Програмка определит DNS, использующиеся у вас по умолчанию(можно добавить любые вручную) и протестирует их наравне с публичными доступными серверами. Для определения оптимального именно для вас сервера берется история из вашего браузера. Поддерживаются Firefox, Chrome, Opera, Safari и IE. Так же можно скормить для теста Alexa Top 10000. Задаем параметры(чем больше количество запросов тем достовернее результат, теоретически), запускаем и оставляем на некоторое время в покое.

    Ну и самое интересное, результаты тестирования:



    Итак, что же мы видим? В моем случае(в статье я использовал скриншоты со странички проекта) прирост в скорости отклика для лучшего из найденных серверов по сравнению с используемым(один крупный Московский провайдер) составил порядка 70..100% У кого-то может быть больше, у кого-то меньше. Но что это нам дает? Чисто субьективно могу сказать, странички стали открываться немного быстрее при прочих равных. А может быть это просто эффект плацебо. Интересно ваше мнение.

    Какой dns лучше выбрать и использовать?

    Система доменных имен DNS — это фундаментальный инструмент интернета. Сам по себе DNS — это протокол в рамках набора стандартов (TCP/IP) для обмена информацией в частной и глобальной сетях. Проще говоря, это своеобразный язык, на котором компьютеры общаются между собой в интернете, система сопоставления имен с номерами. Основная цель такого протокола — конвертация доменных имен в IP-адрес, который машины используют для идентификации в сети.

    Компьютеры и другие сетевые устройства в интернете используют IP-адрес для направления запроса на сайт, к которому пытается перейти пользователь. Для этого идет подключение через сервер доменных имен, то есть DNS-сервер, который управляет огромной базой данных, сопоставляющей доменные имена с IP-адресами. Для любых действий в интернете компьютер использует DNS-сервер для поиска доменного имени, к которому идет обращение. Правильный термин для этого процесса — разрешение имен Domain name system.

    Какой DNS лучше использовать, от чего зависит скорость и на какие параметры обратить внимание? На вопросы отвечают специалисты «Смарт Офис».

    Что такое DNS и какой лучше?

    DNS-серверы требуют большого количества ресурсов, их работоспособность во многом зависит от параметров сети и интернет-протоколов. Часть эффективности IP заключается в том, что каждый компьютер в сети имеет уникальный IP-адрес как в стандарте IPv4, так и в стандарте IPv6. Такие стандарты назначает управление по присвоению номеров в интернете (IANA).

    Первое, что нужно знать, чтобы выбрать лучший DNS-сервер для своих целей, — это его назначение в сети. Основными задачами могут быть:

    • содержание небольшой базы данных доменных имен и IP-адресов, которые чаще всего используются в частной сети. Делегирование разрешений всех остальных имен другим DNS-серверам в интернете;
    • сопряжение IP-адресов со всеми хостами и поддоменами, для которых этот DNS-сервер имеет полномочия.

    DNS-серверами, которые выполняют первую задачу, обычно управляет поставщик услуг (провайдер). Он является частью конфигурации сети, которую пользователь получает от DHCP как только выходит в интернет. Физические машины для этой цели размещают в ЦОД провайдера.

    Вторая категория связана с хостингом в интернете. DNS-сервер, который управляет конкретным доменом, называется началом полномочий (SOA) для этого домена.

    Что учесть при выборе DNS-сервера?

    Какой DNS-сервер лучше? Чтобы ответить на этот вопрос, необходимо определить приоритетные возможности. Например, если основным приоритетом является безопасность, лучше выбрать такой сервер, для которого конфиденциальность в приоритете. Такие системы бывают платными и бесплатными. Самым популярным считается общедоступный DNS-сервер Google, который хорошо защищен от хакерских атак, имеет высокие показатели обеспечения конфиденциальности и при этом отличается хорошей скоростью.

    Если приоритетом является тонкая настройка, обратите внимание на OpenDNS, который лучше всего подойдет для фильтрации нежелательного контента.

    В тройке лидеров лучших DNS для бизнеса продукт от компании Cisco — Cisco Umbrella, которая включает в настройки специальные службы безопасности для бизнеса.

    Скорость

    Как понять, какой DNS-сервер быстрее? Можно запустить один из бесплатных тестов, который проверит все подходящие варианты и отфильтрует результаты по скоростному параметру.

    Скорость будет зависеть от трех основных факторов:

    • географического положения;
    • интернет-провайдера;
    • расстояние до ближайшей физической машины.

    Все три фактора — это переменные. Именно поэтому нельзя однозначно рекомендовать самый лучший и быстрый DNS, не проведя тест.

    Проверить скорость можно, например, с помощью одной из бесплатных программ DNS Jumper. При всей своей компактности программа простая, с интуитивно понятным интерфейсом.

    Защита от вредоносных программ

    Если основной приоритет — безопасность и родительский контроль (который применяют и для бизнеса), обратите внимание на продукты OpenDNS Home, Neustar DNS и Norton ConnectSafe.

    Neustar DNS достаточно быстрый, блокирует вредоносные программы и ограничивает доступ на сайты. Единственный минус — спорное соглашение о конфиденциальности, в котором не прописан запрет передачи данных третьим лицам.

    Если конфиденциальность важна, используйте OpenDNS Home, который отличается расширенными настройками доступа. Можно создать черные и белые списки в зависимости от типа сайта или web-домена.

    Топ-5 лучших DNS

    Если вы не хотите проводить тестирование, обратите внимание на наш список пятерки лучших DNS, которые подойдут для дома и бизнеса.

    Cloudflare

    Высокий рейтинг доставки контента сделал DNS от Cloudflare одним из самых популярных. Тесты показали, что это и одна из самых быстрых общедоступных служб.

    Основной особенностью является максимальная конфиденциальность — данные пользователей не передают третьим лицам, не используют для показа рекламы, не записывают IP-клиента.

    Работает со всеми ОС: Linux, Mac OS, Windows, iOS, Android. Можно настроить прямо на маршрутизаторе. Для мобильных девайсов есть WARP, который дополнительно защитит интернет-трафик.

    Есть некоторые не принципиальные ограничения: Cloudflare фильтрует контент для вредоносных программ и блокирует службы сайтов 18+.

    Если возникли сложности с подключением и настройкой, можно обратиться напрямую к службе поддержки или задать вопрос на специализированном форуме — часто комьюнити отвечает быстрее.

    OpenDNS

    Лучший публичный DNS от Cisco. Есть бесплатное и коммерческое подключение. Примечательно, что бесплатный вариант отвечает высоким стандартам: низкий процент отказа, высокая стоимость работы, блокировка фишинговых сайтов по умолчанию, блокировка по типу контента. Служба поддержки бесплатной версии оперативно решает вопросы по e-mail.

    При покупке платной версии, пользователь получает:

    • просмотр истории интернет-активности за год;
    • тотальное ограничение доступа — можно заходить только на определенные сайты.

    Такие дополнительные опции хорошо зарекомендовали себя для бизнеса, например, когда нужно оптимизировать затраты на трафик.

    Quad 9

    У Quad9 есть собственный черный список, который программа собирает из государственных и частных источников. Этот список используется для блокировки подозрительных доменов. Компания не разглашает свои источники, поэтому рекомендуем проверять домены вручную, иногда туда попадают безобидные и полезные ресурсы.

    Quad9 работает медленнее, чем Cloudflare и OpenDNS, но входит в десятку бесплатных DNS с лучшей скоростью (седьмое место). Еще один недостаток — отсутствие официальной инструкции для установки на подобные Linux ОС.

    Установить Quad9 на Windows и Mac OS последних версий достаточно легко с помощью руководства пользователя, а вот со всеми остальными ОС придется потратить время. Профильного форума у компании нет, но тематические обсуждения всегда можно найти на IT-ресурсах.

    Google Public DNS

    Неплохие условия конфиденциальности: личные сведения хранятся всего 1-2 суток, Google обещает использовать их только для устранения возможных неполадок. Сведения о месторасположении фиксируются только на уровне города, а через 2 недели полностью удаляются из журнала. Это довольно неплохие условия для бесплатного продукта.

    Основной недостаток — сложная настройка параметров. У Google нет руководства пользователя по установке и настройке параметров, но можно воспользоваться открытыми обучающими материалами от OpenDNS, нужно будет только изменить серверы имен.

    Verisign DNS

    Основные преимущества: конфиденциальность, стабильность, безопасность. Десятое место в мировом рейтинге производительности — это хороший результат для бесплатного управляемого DNS.

    Почему продукт попал в пятерку лучших DNS, находясь на 10 месте в мировом рейтинге? Компания предоставляет подробное руководство пользователя, с помощью которого установка и настройка доступна любому человеку. Это удобно, если вы не хотите привлекать IT-персонал. Есть специальные учебники для Windows 7 и 10, Linux, Mac, мобильных устройств, маршрутизатора.

    Comodo Secure DNS

    Comodo уделяет повышенное внимание безопасности:

    • блокирует фишинговые сайты;
    • предупреждает о нежелательной рекламе;
    • сигнализирует об обнаружении вредоносных и шпионских программ;
    • блокирует всплывающие окна.

    Основное преимущество — сервис Comodo Dome Shield, который выявляет попытки войти на неиспользуемые, заброшенные домены и перенаправляет на актуальные.

    К сожалению, заявленная как еще одно преимущество интеллектуальная маршрутизация фактически снижает среднее время запроса до 72 мс. Это тот случай, когда необходимо выбирать между безопасностью и производительностью. Впрочем, если вы не занимаетесь облачными вычислениями и иными емкими и скоростными операциями, такой DNS отлично подойдет для работы и дома.

    Заключение

    Список лучших DNS в этой статье основан на мировом рейтинге и личных наблюдениях. Это не значит, что нужно выбирать только один из рекомендуемых продуктов. Лучше всего определить свои цели и основные требования к серверу, провести тест на скорость (включая предложение от вашего провайдера) и принять решение на основании полученных данных.

    Как выбрать самый быстрый первичный и альтернативный DNS сервер


    Оптика в дом, гигабитные интерфейсы, тарифы со скоростью доступа 100 Мегабит в секунду — современный пользователь гонится за всё большей скоростью работы в Интернете. Но копаясь в расширенных настройках и мучая свой роутер в попытках выжать хоть на килобит, хоть на миллисекунду быстрее многие пользователи попросту забывают, что скорость открытия страницы может зависеть и от выбора DNS-сервера тоже. Причем в некоторых случаях — в немалой степени.
    Если говорить простым языком, то DNS это специальный сервер в Интернете, который сопоставляет доменное имя сайта с его IP-адресом в сети . Когда Вы вводите имя сайта в адресной строке браузера — например, nastroisam.ru — компьютер первым делом отправляет запрос на ДНС-сервер, который ищет в своей базе IP- адрес нужного узла и затем уже компьютер обращается к искомому узлу уже по IP-адресу.


    У большинства крупных провайдеров адреса DNS подцепляются автоматически. Большинство пользователей их не знает и даже не задумывается об этом. А зря. Во-первых, как показывает практика провайдерские серверы не всегда быстро и стабильно работают. Причем иногда это случается даже у крупнейших операторов большой тройки. Во-вторых — многие провайдеры намеренно блокируют сайты, в том числе любимые пользователями торрент-трекеры, путем подмены IP-адреса на 127.0.0.1.

    Более подвинутые пользователи частенько используют бесплатные альтернативные DNS-ы. Самые популярные — это публичные серверы Гугл. На втором месте по популярности в России — сервис Яндекс.DNS. Помимо этого есть ещё ряд крупных сервисов — UltraDNS, SkyDNS,  Level 3.

    Но когда есть выбор, возникают и сложности. Как определить какой сервер будет быстрее в условиях конкретного провайдера? В этом нам помогут специальные тестовые утилиты.

    1. DNS Benchmark (Скачать).

    После установки и запуска Вы увидите вот такое окно:

    На вкладке «Nameservers» будет таблица серверов. Первыми в нем будут те, что используются у Вас. Ниже будут приведены зарубежные публичные DNS. К сожалению, российских серверов здесь нет, но их можно добавить, нажав на кнопку  «Add/Remove»:

    После этого кликаем на кнопку «Run Benchmark» и ждем результатов теста:

    Программа автоматически отсортирует результаты по скорости и качеству работы. В итоге первый ставим как первичный DNS-сервер, а второй — как альтернативный.

    2. Namebench (Скачать).

    Лично мне эта программа понравилась больше, несмотря на то, что она значительно проще и  у нее нет красочных графиков.
    Главное окно выглядит вот так:

    В строке «Nameservers» будут указаны используемые Вами в текущий момент ДНС-ы. При необходимости в эту строку Вы можете дописать ещё адреса серверов, которых Вы хотите включить в тестирование. После этого нажимаем кнопку Start Bechmark, запускаем тест  и ждем результата.  Он будет выведен в отдельный отчет:

    В правом верхнем углу будут приведены рекомендуемые к использованию серверы. Их нужно будет прописать как первичный и альтернативный DNS сервер.

    Что такое ДНС-сервер, как узнать предпочитаемый адрес провайдера, заменить на Google Public DNS или альтернативные варианты

    Многие владельцы домашних ПК, ноутбуков и планшетов пользуются интернетом, совершенно не понимая принципов его функционирования. Можно получить намного более стабильную связь, чем нам обычно предоставляет провайдер, уделив время для изучения этого вопроса. Одной из возможностей, позволяющих улучшить комфорт при пользовании сетью, является замена адреса DNS, используемого по умолчанию, на альтернативный вариант.

    Что такое DNS и для чего он нужен

    Для начала давайте разберёмся: в чём заключается смысл буквенного сочетания DNS. Полное название Domain Name System, а в переводе на русский язык означает «служба доменных имён». У каждого сайта в интернете есть своё доменное имя, его мы видим каждый день в адресной строке браузера. Например, для известной социальной сети Facebook он будет иметь такой вид https://www.facebook.com. Кроме этого, у каждого сайта существует свой IP адрес в виде цифрового значения, наподобие такого: 31.13.65.36.

    DNS сервер транслирует доменное имя сайта в IP адрес

    Функция DNS заключается в хранении данных об адресах и доменных именах сайтов. При поступлении буквенного запроса имени сайта, сервер DNS отдаёт числовое значение адреса ресурса.

    Как узнать, какой DNS предоставляется провайдером

    Если у вас периодически возникают сложности со входом в интернет, лучше использовать установку конкретного адреса DNS, а не автоматическую настройку. Подобное соединение работает стабильней. Для этого необходимо узнать адрес своего провайдера. Самый простой способ — позвонить оператору организации, поставляющей вам услугу интернета. Если такой возможности нет, узнайте адрес DNS используя средства Windows. Для этого нужно вызвать командную строку.

    Вы должны произвести следующие действия:

    1. Откройте меню «Пуск», дальше «Все программы», на вкладке «Стандартные» кликните «командная строка».

      Войдите в «Меню пуск» выберите пункт «Командная строка»

    2. Альтернативный способ: одновременно нажмите сочетание клавиш Win и R — в появившейся вкладке наберите команду «cmd» и нажмите «ОК»

      На вкладке выполнить введите команду «cmd» и нажмите «ОК»

    3. В появившемся окне введите команду «nslookup» и нажмите «Enter».

      В Командной строке наберите «nslookup» и нажмите «Enter»

    4. Таким образом, вы получите значение адреса DNS провайдера.

      В окне «Командная строка» появятся данные об IP адресе вашего провайдера

    Альтернативные серверы DNS в интернете, обзор, плюсы и минусы

    У каждого интернет-провайдера есть собственная служба DNS, но иногда имеет смысл подключиться к альтернативному серверу. Причины могут быть разные:

    • провайдер не в состоянии обеспечить стабильную работу DNS;
    • пользователь стремится повысить уровень защиты своего компьютера;
    • владелец ПК хочет увеличить быстродействие сети;
    • желание избавится от ограничений доступа к информации на основе территориального положения.

    Рассмотрим лучшие варианты и попытаемся выбрать наиболее подходящий.

    Google Public DNS

    Сервис запущен в декабре 2009 года, как экспериментальная служба. В данный момент является крупнейшей публичной службой DNS в мире, обрабатывая в среднем более 70 миллиардов запросов в день. Он использует способ передачи информации CDN (сети распространения контента). Сервера Google Public DNS осуществляют поддержку протокола интернета IPv 6.

    Видео: подробное и доступное описание установки альтернативного DNS от Googl

    Его неоспоримыми преимуществами являются:

    1. Высокая скорость — обеспечена использованием новейших технических разработок.
    2. Надёжность — получена благодаря применению мощных серверов и разветвлённой инфраструктуре.
    3. Безопасность — основана на использовании собственного программного обеспечения.

    Единственный минус связан с деятельностью сервиса — сбор данных о пользователях для заработка на рекламе. Это нельзя назвать серьёзным нарушением безопасности, но потенциально, возможно, раскрытие вашей личной информации.

    Open DNS

    Open DNS крупнейший, самый надёжный DNS сервис в интернете. Имеет 12 глобальных дата-центров. Использует технологию маршрутизации Anycast, благодаря этому он отвечает на DNS запросы быстрее других провайдеров. Веб-сайты будут загружаться быстрее, вам не придётся беспокоиться о сбоях DNS, зависящих от вашего интернет-провайдера. Более чем 50 настраиваемых категорий фильтрации позволяют родителям контролировать сайты, посещаемые детьми. Open DNS блокирует сайты, которые пытаются украсть вашу конфиденциальную информацию и пароли, делая вид, что они являются законными сайтами.

    Видео: как настроить Open DNS на домашнем компьютере

    Его преимущества:

    1. Быстрая реакция на запросы благодаря использованию новых технологий и разветвлённой сети серверов.
    2. Высокая степень надёжности, достигнутая благодаря применению новейшего оборудования.
    3. Возможность остановить интернет-атаку прежде, чем она произойдёт — сервис производит фильтрацию трафика, он имеет собственную базу данных вредоносных сайтов.
    4. Базовые возможности предоставляются на бесплатной основе.
    5. Настройка занимает буквально минуты.

    Недостатком можно назвать необходимость регистрации на сервисе.

    DNS WATCH

    Если вам необходима полная конфиденциальность — DNS WATCH для вас. Он не требует регистрации и предоставляет дополнительную защиту. Никто не сможет указывать, какие веб-сайты вы не должны посещать. Используя услуги DNS WATCH, вам больше не нужно полагаться на своего провайдера при поисках в интернете. Вы можете быть уверены, что никакие запросы DNS не подвергаются цензуре. Сервис не производит регистрацию интернет-запросов, вы всегда остаётесь анонимным пользователем. Недостаток один — невысокая скорость.

    Страница сервиса DNS WATCH, предоставляющего услуги DNS

    Norton Connect Safe

    Norton ConnectSafe обеспечит защиту вашего компьютера от вредоносных и нежелательных ресурсов интернета. Не требует установки дополнительного оборудования и программного обеспечения. Достаточно ввести IP-адреса DNS сервиса. Является бесплатным для некоммерческого использования.

    Видео: установка защиты на входящий интернет-трафик, настройка Norton ConnectSafe

    Помогает обезопасить просмотр веб-страниц:

    1. Являясь продуктом компании Norton, специализирующейся на программном обеспечении в области интернет-безопасности, поставит надёжный барьер на пути вредоносных, мошеннических сайтов.
    2. Блокирует сайты с материалами откровенного сексуального характера.
    3. Даёт возможность ограничить просмотр детьми сайтов с сомнительным содержанием.

    Сервис не является полноценной заменой антивирусной программе, устанавливаемой на компьютере пользователя. Norton ConnectSafe — первый уровень вашей защиты.

    Level 3 DNS

    Сервис занимает третье место по популярности. Кроме услуг DNS, предлагает большое количество других продуктов. Постоянно разрабатывает новые сервисы, призванные помочь бизнесу. Передовой поставщик услуг DNS c гибкой и надёжной сетью серверов оперативно реагирует на нужды клиентов. Использует комбинацию возможностей публичного и частного подключения через оптоволокно или облако. Они сочетаются с решениями безопасности уровня 3, включают необходимые приложения, службы и функции DNS. Level 3 DNS позволяет создать идеальную гибридную сетевую среду с уровнем 3.

    Описание возможностей сервиса Level 3 DNS

    Необходимо учитывать факт регистрации сервисом всех запросов, поступающих с вашего компьютера.

    Comodo Secure DNS

    Comodo Secure DNS — это служба разрешения доменных имён, которая обрабатывает запросы DNS через свою сеть избыточных DNS-серверов. Она обеспечит гораздо более надёжное соединение, чем сервера вашего интернет-провайдера. Если вы решите использовать Comodo Secure DNS, сетевые настройки вашего ПК будут изменены так, чтобы все приложения, которые обращаются к интернету, будут использовать серверы Comodo Secure DNS.

    Описание возможностей, предоставляемых пользователям Comodo Secure DNS

    Comodo Secure DNS даёт вам более безопасный, умный и быстрый интернет. Он использует:

    • надёжную серверную инфраструктуру;
    • высоко структурированную систему DNS и справочные страницы Comodo;
    • функции фильтрации доменных имён;
    • Secure DNS ссылается на список блокировок опасных сайтов.

    Большинство дополнительных функций предоставляются на платной основе.

    Open NIC DNS

    Некоммерческий проект, не берёт плату за доступ к услугам DNS. Полностью управляющийся добровольцами, и свободный для пользователей. Ни одно правительство не сможет запретить вам посещать любимые сайты. Начав использовать серверы DNS OpenNIC, предоставленные волонтёрами, вы будете уверены — ваше подключение не подвергнется цензуре. У сервиса огромная инфраструктура сети, вы можете подключиться к серверу, находящемуся наиболее близко к вам. Достаточно просто выбрать его из списка.

    Описание целей и политики сервиса Open NIC DNS

    Настройка DNS

    Ознакомившись с возможностями сервисов, предоставляющих свои сервера, выберите наиболее подходящий, на ваш взгляд. Для настройки альтернативного DNS воспользуйтесь таблицей с IP адресами.

    Таблица: IP адреса альтернативных DNS серверов

    Выбрав подходящий сервис, можно приступать к изменению настроек DNS:

    1. Наведите курсор мыши на значок «Сеть» и кликните левой кнопкой.

      Значок «Сеть» показывает наличие подключения к интернету

    2. В появившейся вкладке «Текущие подключения» выбираете «Центр управления сетями и общим доступом» и нажмите левую кнопку мыши.

      Нажмите левой кнопкой мыши на пукт «Центр управления сетями и общим доступом»

    3. В новом окне выберите пункт «Подключение по локальной сети».

      На вкладке «Просмотр основных сведений о состоянии сети» кликнете левой кнопкой мыши пункт «Подключение по локальной сети»

    4. Появится новая вкладка, нажмите пункт «Свойства».

      На появившейся вкладке нажмите «Свойства»

    5. Выберите «Протокол интернета версии 4 (TCP/IP 4)», опять нажмите кнопку «Свойства».

      Выбирете пункт «Протокол интернета версии 4 (TCP/IP 4)» и нажмите «Свойства»

    6. В новой вкладке в пункте «Использовать следующие адреса DNS серверов» заполните: «Предпочитаемый DNS сервер» и «Альтернативный DNS сервер».

      Заполните пункты «Предпочитаемый DNS-сервер» и «Альтернативный DNS-сервер», нажмите «ОК»

    7. Отметьте «Подтвердить параметры при выходе».
    8. Нажимаете кнопку «ОК», перезагружаете компьютер.

    Часто встречающиеся ошибки DNS и способы их устранения

    Есть несколько распространённых ошибок DNS, с которыми периодически сталкиваются пользователи:

    1. DNS сервер не отвечает, не удаётся найти DNS адрес сервера.
    2. Windows не удаётся связаться с устройством или ресурсом.
    3. Нет доступа к DNS серверу.

    При возникновении ошибки, в первую очередь необходимо проверить не выпал ли кабель интернета из компьютера. Если все нормально, попробуйте подключить его напрямую, минуя маршрутизатор. Если без роутера все работает — попробуйте его перезагрузить. Разновидностей этих устройств много, но в общих чертах настройки у всех почти одинаковые. Как это сделать рассмотрим на примере одной из моделей известной марки TP-Link:

    1. Введите в адресную строку браузера 192.168.0.1 и нажмите поиск.

      Введите в адресную строку браузера IP адрес роутера

    2. В появившемся окне введите логин и пароль (по умолчанию «admin», если пароль был изменён вы должны его помнить).

      Правильно введите логин и пароль

    3. Нажмите кнопку «Войти».
    4. В появившейся панели управления маршрутизатором выберите пункт «Системные инструменты».

      В открывшемся меню выберите пункт «Системные инструменты»

    5. Откроется следующее окно, в нём нажмите пункт «Перезагрузка».

      В разделе «Системные инструменты» кликните пункт «Перезагрузка»

    6. В следующей вкладке появится сообщение «Нажмите на эту кнопку, чтобы перезагрузить устройство», нажимаете кнопку, подтверждаете перезагрузку, ожидаете.

      Нажмите кнопку «Перезагрузка», ожидайте пока устройство перезагрузится

    После перезагрузки маршрутизатора ошибка должна пропасть. Элементарные сбои устройства случаются довольно часто, не спешите паниковать, любую проблему можно решить своими силами.

    Довольно часто причиной возникновения различных ошибок DNS являются неполадки серверов вашего поставщика интернет-услуг. Если вы уже предприняли перечисленные выше действия, но сообщение об ошибке не пропало — позвоните своему провайдеру, возможно, причина кроется в некорректной работе его сервера DNS.

    Если оборудование провайдера работает, роутер исправен, сеть доступна, а браузер продолжает выдавать ошибку, помогут такие действия:

    • попросите у знакомых и скачайте на съёмный носитель антивирусную утилиту KVRT, проведите сканирование компьютера, уберите вредоносные коды;
    • установите адрес DNS, как рассказано в предыдущей части статьи;
    • обновите драйверы сетевой карты.

    Как определить IP-адрес сайта по доменному имени

    Иногда возникают ситуации, при которых необходимо выяснить IP-адрес сайта. В этом нет ничего сложного. Простейший из способов — установка дополнений в браузер. В качестве примера возьмите браузер Mozilla Firefox.

    Ваш порядок действий:

    1. Заходите в настройки браузера, выбираете пункт «дополнения».

      Откройте меню настроек браузера, нажмите «дополнения»

    2. В разделе «расширения», в окошке «поиск среди дополнений» пишете IP finder, нажимаете найти.

      Нажмите левой кнопкой мыши на значок расширения IP finder

    3. Ещё раз нажмите «Добавить в Firefox».

      В окне установки расширений нажмите кнопку добавить в Firefox

    Значок в форме земного шара появится в графе поиска верхней панели браузера. Чтобы определить IP адрес нужного сайта, достаточно открыть его страницу. Наведите курсор мыши на значок и нажмите левую кнопку.

    Вы узнаете IP адрес сайта, нажимая на значок IP finder

    Ещё один способ установить адрес сайта — использование средств Windows:

    1. Одновременно нажимая клавиши Win и R, вызовите вкладку «Выполнить».
    2. В появившемся окне введите команду «cmd» и нажмите «ОК».

      В появившейся вкладке наберите команду «cmd»

    3. Откроется окно, в самом конце находящегося в нём текста, впишите команду «ping», поставьте пробел и напишите название нужного сайта.

      Впишите команду «ping» поставьте пробел, дальше набирайте название сайта

    4. Нажмите клавишу «Enter». Через несколько секунд система выдаст требуемую информацию.

      Через некоторое время система выдаст ответ на запрос

    Оба способа довольно просты в исполнении, но во втором варианте, будьте внимательны — не спешите, правильно вводите команду и названия ресурсов.

    Комфорт и удобство при пользовании интернетом в значительной степени зависит от вас самих. Приложив минимум усилий, вы избавитесь от множества проблем и получите возможность выйти на новый, более высокий уровень сетевого серфинга. Уйти от недостатков, которые распространены среди DNS серверов наших провайдеров, очень легко. Переходите на альтернативные DNC.

    10 лучших общедоступных DNS-серверов, о которых вы должны знать

    WhatsaByte может получать долю от продаж или другую компенсацию за ссылки на этой странице.

    Что такое DNS-сервер?

    DNS (или также известная как система доменных имен) — это система, которая сопоставляет доменные имена, такие как Google.com или Yahoo.com, с правильными IP-адресами.

    Эта система представляет собой базу данных доменных имен и IP-адресов. Он использовался для ведения каталога доменных имен и помогает переводить эти доменные имена на правильные IP-адреса.

    Очень важно, правда? Вот почему в этой статье мы обсудим 10 лучших DNS-серверов !

    Я отвлекся.

    Доменные имена — это удобочитаемые адреса, которые мы используем каждый день. Например, доменное имя Yahoo — yahoo.com. Если вы хотите посетить веб-сайт Yahoo, просто введите Yahoo.com в адресную строку браузера.

    Но ваш компьютер не знает, где находится «yahoo.com». За кулисами ваш компьютер свяжется с DNS-серверами и спросит, какой IP-адрес связан с Yahoo.com.

    После этого он подключится к этому веб-серверу, загрузит содержимое и отобразит его в вашем веб-браузере.

    В данном случае Yahoo.com находится по IP-адресу 206.190.36.45 в Интернете. Вы можете ввести этот IP-адрес в своем браузере, чтобы посетить веб-сайт Yahoo. Однако мы используем yahoo.com вместо 206.190.36.45, потому что его легче запомнить.

    Без DNS весь Интернет будет недоступен. Мы вернемся в то время, когда Интернет еще не родился.А ваш компьютер можно использовать только для создания документов или игры в офлайн-игры.

    Конечно, это простое объяснение, на самом деле оно немного сложное. Для получения дополнительной информации я бы порекомендовал вам прочитать эту статью или посмотреть видео ниже.

    Различные поставщики интернет-услуг (ISP) используют разные DNS-серверы. По умолчанию, если вы не настроили определенные DNS-серверы на своем компьютере (или маршрутизаторе), будут использоваться DNS-серверы по умолчанию от вашего интернет-провайдера.

    Если эти DNS-серверы нестабильны, возможно, у вас возникли проблемы при использовании Интернета на вашем компьютере.Например, не удается полностью загрузить веб-сайты или нет доступа к Интернету.

    Чтобы избежать нежелательных ошибок DNS, переключитесь на общедоступные DNS-серверы, такие как DNS Google и OpenDNS.

    Вот несколько распространенных ошибок, связанных с DNS, которые вы, возможно, захотите посмотреть:

    • Исправить ошибку поиска DNS в Google Chrome
    • Как исправить ошибку Err_Connection_Timed_Out
    • Как исправить ошибку Err_Connection_Refused
    • Исправить ошибку Dns_Probe_Finished_Nxdomain
    • Исправить DNS-сервер, не отвечающий на Windows

    Вы можете исправить эти ошибки, перейдя на сторонние DNS-серверы в списке ниже.

    Преимущества использования общедоступных DNS-серверов

    Вы можете задаться вопросом, если у вашего интернет-провайдера уже есть DNS-серверы по умолчанию, зачем вам эти общедоступные DNS-серверы? Вот причины, по которым вам следует использовать эти альтернативные DNS-серверы:

    • Некоторые DNS-серверы по умолчанию работают недостаточно быстро, и иногда они выходят из строя. Из-за этого ваше интернет-соединение нестабильно. Переход на эти самые быстрые DNS-серверы поможет повысить скорость вашего Интернета.
    • Использование этих общедоступных DNS-серверов поможет повысить стабильность.
    • Некоторые сторонние DNS-серверы имеют функции защиты и фильтрации. Эти функции помогут защитить ваш компьютер от фишинговых атак.
    • Это поможет вам пройти через ограничения содержания и веб-проверки по географическому признаку. Например, вы можете легко смотреть видео на YouTube, если там написано: «Это видео недоступно в вашей стране».
    Список 10 лучших общедоступных DNS-серверов

    Прочитав объяснение того, что такое DNS-сервер, преимущества сторонних DNS-серверов, ознакомьтесь со списком ниже.Это список 10 лучших сторонних DNS-серверов:

    1. Общедоступный DNS-сервер Google

    Это один из самых быстрых DNS-серверов, которые многие пользователи используют на своих компьютерах. Используя DNS-серверы Google, вы получите более высокий уровень безопасности и удобство просмотра на вашем компьютере.

    Чтобы использовать общедоступные DNS-серверы Google, настройте параметры сети со следующими IP-адресами:

    8.8.8.8 в качестве предпочитаемого DNS-сервера

    8.8.4.4 в качестве альтернативного DNS-сервера

    Посетите здесь, чтобы узнать больше о Google Public DNS.

    2. OpenDNS

    Наряду с DNS-серверами Google OpenDNS является одним из лучших облачных DNS-серверов. Это поможет защитить ваш компьютер от вредоносных атак.

    Чтобы использовать OpenDNS, давайте настроим вашу сеть со следующими IP-адресами:

    208.67.222.222

    208.67.222.220

    OpenDNS также предлагает два бесплатных решения для частных клиентов: OpenDNS Family Shield и OpenDNS Home.

    OpenDNS Family Shield будет поставляться с предварительно настроенной блокировкой контента для взрослых. Чтобы использовать его, в настройках вашей сети необходимо настроить различные DNS-серверы со следующими IP-адресами.

    Предпочитаемый DNS-сервер: 208.67.222.123

    Альтернативный DNS-сервер: 208.67.220.123

    Между тем, OpenDNS Home поставляется с настраиваемой системой фильтрации, защиты от кражи и фишинга. Щелкните здесь, чтобы узнать больше об OpenDNS.

    3. Norton ConnectSafe

    Norton не только предоставляет антивирусные программы и программы для обеспечения безопасности в Интернете.Он также предлагает службу DNS-сервера под названием Norton ConnectSafe. Этот облачный DNS-сервис поможет защитить ваш компьютер от фишинговых сайтов.

    Norton ConnectSafe поставляется с тремя предопределенными политиками фильтрации содержимого. Это безопасность, безопасность + Порнография и безопасность + Порнография + прочее.

    Вы можете взглянуть на изображение ниже, чтобы получить более подробную информацию о каждой предварительно определенной политике. Посетите dns.norton.com для получения дополнительной информации.

    4. Comodo Secure DNS

    Comodo Secure DNS — это служба сервера доменных имен, которая разрешает ваши DNS-запросы через множество глобальных DNS-серверов.Он обеспечивает гораздо более быстрый и лучший просмотр Интернета, чем использование DNS-серверов по умолчанию, предоставляемых вашим интернет-провайдером.

    Если вы хотите использовать Comodo Secure DNS, не нужно устанавливать какое-либо оборудование или программное обеспечение. Просто измените свой первичный и вторичный DNS-серверы на 8.26.56.26 и 8.20.247.20.

    Посетите здесь, чтобы узнать больше о Comodo Secure DNS.

    5. Уровень3

    Level3 — следующая бесплатная служба DNS в этом списке. Он управляется Коммуникациями Уровня 3.Чтобы использовать эту бесплатную услугу, просто настройте параметры сети, указав следующие IP-адреса DNS:

    209.244.0.3

    208.244.0.4

    Посетите level3.com для получения более подробной информации.

    6. DNS Advantage

    Это один из самых быстрых DNS-серверов, обеспечивающих максимальную производительность при работе в Интернете. Это поможет вам загружать сайты быстрее и безопаснее. Чтобы использовать DNS Advantage, настройте предпочтительный / альтернативный DNS-сервер, указав следующие данные:

    156.154.70.1

    156.154.71.1

    Подробнее о DNS Advantage? Посетите здесь, чтобы прочитать.

    7. OpenNIC

    Как и многие другие DNS-серверы, указанные выше, OpenNIC является хорошей альтернативой для замены DNS-серверов по умолчанию. Он защитит ваш компьютер от правительства и сохранит вашу конфиденциальность. Чтобы использовать эту службу DNS, установите предпочитаемый и альтернативный DNS-серверы:

    46.151.208.154

    128.199.248.105

    Посетите веб-сайт OpenNIC, чтобы найти более надежные DNS-серверы.

    8. Dyn

    Dyn — следующий лучший бесплатный сторонний DNS-сервер в списке. Он обеспечивает потрясающий веб-интерфейс и защищает вашу информацию от большинства фишинговых атак. Настройте параметры сети с указанными ниже IP-адресами DNS, чтобы использовать DNS-сервер Dyn.

    216.146.35.35

    216.146.36.36

    Посетите www.dyn.com, чтобы узнать больше о Dyn DNS, и учебные материалы, чтобы узнать, как начать работу.

    9. SafeDNS

    SafeDNS — еще один DNS-сервис, основанный на облаке.Это поможет вам защитить ваш компьютер, а также улучшить работу в Интернете. Чтобы использовать SafeDNS, используйте следующую информацию DNS ниже:

    195.46.39.39

    195.46.39.40

    Узнайте больше о бесплатных и дополнительных услугах DNS от SafeDNS.

    10. DNS.Watch

    DNS.Watch — последняя бесплатная общедоступная служба DNS в этом списке. Он обеспечивает быстрый и надежный просмотр веб-страниц без цензуры бесплатно.Чтобы настроить ваш компьютер или маршрутизатор с помощью «DNS.Watch», используйте два IP-адреса DNS ниже:

    84.200.69.80

    84.200.70.40

    Посетите здесь, чтобы узнать больше о DNS.Watch.

    Иногда, если вы не можете просматривать веб-страницы должным образом, вы можете попробовать изменить DNS-серверы по умолчанию на вашем компьютере или маршрутизаторе на эти DNS-серверы. Это обеспечит вам лучший опыт просмотра веб-страниц, а также защитит вас от возможных атак.

    Не знаете, как изменить DNS-серверы на Windows, Mac или Android? Просто прочтите эту статью.

    Если вы используете какие-либо другие общедоступные DNS-серверы, которые должны быть включены в этот список 10 лучших, не стесняйтесь поделиться с нами, и мы обновим эту публикацию.

    Популярные сообщения:

    Сводка

    Название статьи

    10 лучших общедоступных DNS-серверов, о которых вы должны знать

    Описание

    Полное сравнение — мы проанализировали каждый публичный DNS-сервер от Norton ConnectSafe до Google Public, чтобы помочь вам найти лучший DNS-сервер !

    Автор

    Whatsabyte

    .

    10 лучших публичных DNS-серверов и самых быстрых DNS-серверов 2020

    Опубликовано Автор Amit Kumar

    Какой лучший бесплатный общедоступный DNS-сервер рядом со мной? Ознакомьтесь со списком 10 лучших общедоступных DNS-серверов и самых быстрых DNS-серверов в 2020 году, выберите лучшие DNS-серверы для использования и самый быстрый DNS-сервер в мире.

    Система доменных имен (DNS) сервер — это система, которая используется для перевода запоминающихся человеком доменных имен, таких как zerodollartips.com и такие имена хостов, как support.zerodollartips.com, в соответствующие числовые IP-адреса, а также для идентификации и поиска компьютерных систем и ресурсов в Интернете.

    Для доступа в Интернет вам необходимы DNS-серверы. Все веб-сайты, к которым вы получаете доступ в Интернете, имеют DNS-сервер, который отвечает за обработку всех запросов, поступающих на него через компьютер.

    Существуют различные серверы DNS (система доменных имен), которые назначаются компьютерам разными интернет-провайдерами.Итак, если вы не можете открывать некоторые веб-сайты на своем компьютере, возможно, возникла проблема с DNS-сервером интернет-провайдера, которого вы используете.

    Оцените самые быстрые DNS-серверы 2020 года. Какой самый быстрый DNS-сервер в мире? (Изображение предоставлено keycdn)

    Вы всегда можете использовать общедоступные DNS-серверы, поскольку доступно множество бесплатных общедоступных DNS-серверов. В сегодняшнем руководстве по лучшим бесплатным DNS-серверам мы собираемся поделиться полным списком из 10 лучших общедоступных DNS-серверов для использования и самого быстрого DNS-сервера в мире.

    Итак, без дальнейших задержек, давайте проверим лучшие в мире общедоступные DNS-серверы и самые быстрые DNS-серверы 2020 года.

    10 лучших общедоступных DNS-серверов в мире 2020

    Большинство из вас может подумать, что если ваш интернет-провайдер (ISP) поставляется с DNS-сервером по умолчанию, то какова реальная потребность в поиске и использовании альтернативного DNS-сервера или общедоступных DNS-серверов?

    Если подобные вопросы постоянно возникают у вас в голове, вот несколько наиболее подходящих причин:

    ⭐ Скорость интернета зависит от расстояния между вашим местом и DNS-сервером, поэтому, если вы измените DNS-серверы, скорость будет улучшена.

    ⭐ Если DNS-серверы вашего интернет-провайдера не совсем надежны, очевидно, что использование альтернативного DNS-сервера или лучших бесплатных общедоступных DNS-серверов повысит стабильность.

    ⭐ В случае, если вы используете старую операционную систему на своем ПК без регулярных обновлений безопасности, то использование стороннего DNS-сервера или безопасных DNS-серверов будет отличной защитой от фишинговых атак.

    ⭐ И последнее, но самое главное, вы сможете избавиться от ограничений контента по географическому признаку и веб-цензуры.Например, вы можете легко смотреть видео на YouTube, недоступные в вашей стране.

    Итак, теперь, если вы хорошо понимаете такие термины, как DNS-сервер? Зачем вам менять DNS-сервер? и как изменить DNS-сервер на устройствах Windows, Mac и Android? затем давайте взглянем на список 10 лучших общедоступных DNS-серверов и самых быстрых DNS-серверов в 2020 году:

    Общедоступный DNS-сервер Google

    Один из самых быстрых DNS-серверов, который вы можете использовать на своем компьютере, — это Google Public DNS server .Используя общедоступный DNS-сервер Google, вы улучшите работу в Интернете и улучшите безопасность своего компьютера. Подробная информация о DNS-сервере Google представлена ​​ниже:

    • Предпочитаемый DNS-сервер: 8.8.8.8
    • Альтернативный DNS-сервер: 8.8.4.4

    Norton ConnectSafe

    Norton не только предоставляет лучшие программы обеспечения безопасности в Интернете и антивирусные программы, но также имеет самые быстрые DNS-серверы. Вы всегда можете использовать Norton Connectsafe , который является их облачной службой.Norton Connectsafe поможет вам защитить себя от вредоносных веб-сайтов и веб-сайтов с оскорбительным содержанием.

    В Norton ConnectSafe для домашнего и личного использования доступны три предопределенные политики фильтрации содержимого:

    Политика 1: Безопасность

    • Предпочитаемый DNS-сервер: 199.85.126.10
    • Альтернативный DNS-сервер: 199.85.127.10

    Политика 2: Безопасность + Порнография

    • Предпочитаемый DNS-сервер: 199.85.126.20
    • Альтернативный DNS-сервер: 199.85.127.20

    Политики 3: Безопасность + Порнография + Другая

    • Предпочитаемый DNS-сервер: 199.85.126.30
    • Альтернативный DNS-сервер: 199.85.127.30

    OpenDNS

    OpenDNS — еще один облачный самый быстрый DNS-сервер 2020, который нацелен на максимальную защиту от злонамеренных атак, отправляемых злоумышленниками через Интернет.OpenDNS — один из лучших общедоступных DNS-серверов, так как простои случаются редко.

    • Предпочитаемый DNS-сервер: 208.67.222.222
    • Альтернативный DNS-сервер: 208.67.220.220

    Comodo Secure DNS

    Если вы ищете общедоступный DNS-сервер 2020, который обеспечит лучший опыт просмотра по сравнению с вашим интернет-провайдером, вам необходимо попробовать Comodo Secure DNS . Вы сможете безопасно и легко просматривать все веб-сайты, используя Comodo Secure DNS.

    • Предпочитаемый DNS-сервер: 8.26.56.26
    • Альтернативный DNS-сервер: 8.20.247.20

    Уровень3

    Следующие бесплатные DNS-серверы, которые входят в наш список лучших бесплатных общедоступных DNS-серверов, — это Level3 . Сервер DNS управляется Коммуникациями Уровня 3. Чтобы использовать Level3, бесплатные DNS-серверы, вы можете использовать указанные ниже DNS-адреса в настройках.

    Предпочитаемый DNS-сервер: 209.244.0.3
    Альтернативный DNS-сервер: 208.244.0.4

    Преимущество DNS

    DNS Advantage — это самые быстрые DNS-серверы, которые предоставят вам лучшую информацию о маршрутизации для веб-сайта, который вы открываете. Вы не только сможете открывать все веб-сайты с самыми быстрыми DNS-серверами, но это также поможет вам получить защиту от вредоносных веб-сайтов и атак. Подробная информация о лучших DNS-серверах представлена ​​ниже:

    • Предпочитаемый DNS-сервер: 156.154.70.1
    • Альтернативный DNS-сервер: 156.154.71.1

    OpenNIC

    OpenNIC — лучшая альтернатива лучшим регистраторам доменов, так как это самые быстрые DNS-серверы в мире. Используя OpenNIC, вы сможете защитить все свои данные от правительства, а также сохранить свою конфиденциальность. Вы можете добавить нижеприведенные детали, чтобы использовать OpenNIC.

    • Предпочитаемый DNS-сервер: 46.151.208.154
    • Альтернативный DNS-сервер: 128.199.248.105

    дин

    Следующий лучший бесплатный общедоступный DNS-сервер — Dyn . Одна из причин, по которой Dyn входит в наш список бесплатных общедоступных DNS-серверов, — это потрясающий веб-интерфейс, предлагаемый DNS-серверами. Вся ваша информация будет в безопасности с лучшими DNS-серверами Dyn.

    • Предпочитаемый DNS-сервер: 216.146.35.35
    • Альтернативный DNS-сервер: 216.146.36.36

    SafeDNS

    Следующее имя, которое входит в наш список лучших DNS-серверов, — SafeDNS .SafeDNS — это еще один облачный сервис, который поможет вам улучшить работу в Интернете. SafeDNS обеспечивает надежную сеть для обмена и доступа к вашим данным.

    • Предпочитаемый DNS-сервер: 195.46.39.39
    • Альтернативный DNS-сервер: 195.46.39.40

    DNS.Watch

    Последний сервис, который входит в наш список лучших DNS-сервисов, — это DNS.Watch . Самый быстрый в мире DNS-сервис обеспечит вам быстрый и надежный просмотр без цензуры бесплатно.

    • Предпочитаемый DNS-сервер: 84.200.69.80
    • Альтернативный DNS-сервер: 84.200.70.40

    Какой самый быстрый DNS-сервер 2020?

    Если вы не можете выходить в Интернет должным образом, вам необходимо изменить DNS-серверы. Используя приведенный выше список из самых быстрых DNS-серверов в мире , вы получите лучший опыт просмотра, и эти DNS-серверы также защитят вас от любых возможных атак.

    Пожалуйста, не стесняйтесь поделиться с нами через раздел комментариев, если вы используете любой высоконадежный DNS-сервер или самые быстрые DNS-серверы для ускорения просмотра, повышения вашей безопасности в Интернете и получения ожидаемых результатов без перенаправления .

    Вас также может заинтересовать оформление заказа: