Microsoft Server vs. linux server

sa pyrim. len si bud vedomy, ze ziadne hands-on skusenosti s MS nemam (nastastie, snad to tak ostane)

Strucne povedane: Alternativa ku group policy ako ich implementuje Active Directory neexistuje.

Mozes si sice pustit OpenLDAP na centralizovanu spravu pouzivatelskych uctov a potom sa do zblbnutia bavit s PAM modulmi a nastavovanim mrte dalsich aplikacii aby sa overovali proti ldapu. Takmer urcite ti vsak vo vyslednom rieseni bude chybat kerberos, ktory zvysuje bezpecnost komunikacie medzi jednotlivymi hostami a sluzbami v Active Directory a tiez odstranuje neustale pisanie hesla.

Microsoft ma v tomto pripade oproti inym operacnym systemom jasnu vyhodu. Je na svojej platforme vsetko integruje a jeho produkty su "AD aware".

Ak nieco stoji za zmienku tak je to snad iba RedHat Directory i ked si nie som isty ci sa tiez neobmedzuje iba na spravu pouzivatelov.

Samozrejme linuxove servery su skvela vec. Vynikajuce firewally, vynikajuce postove servery o web serveroch ani nehovorim. Sam ich nasadzujem a nemozem si vynachvalit. Ale co sa tyka enterprise spravy pouzivatelov a klientskych stanic, myslim, ze este dlho nebude mat AD konkurenciu. I ked zaznamenal som uz nejaku aktivitu aj zo strany Canonicalu. V kazdom pripade vsak stracaju dlhe roky vyvoja.

Nazor uid0-a je podla mna v tomto pripade plne zanedbatelny, kedze ako sam povedal "ziadne hands-on skusenosti s MS nemam ". Z toho mi hned vyplyva, ze nevie s cim chce porovnavat. A taktiez si dovolim tvrdit, ze prevazna vacsina ludi v tejto diskusii (cest vynimkam) si pod win serverom predstavi small business server s ISS. Infrastruktura AD so sajtami po celom kontinente a efektivita spravy takehoto molochu im bohuzial asi nic nehovori.

Ocakavam negativne reakcie. Ale ludia zamyslite sa skor nez nieco napisete a nezabudnite k prispevku pripojit pocet klientskych stanic, ktore bez problemu z vasej teplej stolicky spravujete. U mna je to 2000 a zvladame to dvaja. Samozrejme neratam lokalnych technikov na debugovanie otazok typu "Preco nejde tlaciaren ked je vypnuta".

je jasne ze treba zaucit lamy a preskolit administratorov najlepsie bude si asi najat externistu

priklad z ludi ako uid0, ktori vedia o OS ovela viac ako ty, napriek tomu sa na to pozeraju s nadhladom. Argumenty pro a proti. Dik za pochopenie.

Kedysi davno, ked som s kamosmi rozmyslal o firme, tak som hladal tiez rozne enterprise riesenia. To bolo v roku 2004 (linux pouzivam intenzivnejsie na serveroch od 2001). Nasli sme riesenie od SUNu a dalsie od RedHatu, na ktore uz ale teraz neviem najst linky. Nakoniec ale aj tak zvitazila sila command linu. To sa proste prejavi s narastajucim poctom spravovanych serverov a sieti. Switche bez SNMP si dnes uz fakt neviem predstavit a tak isto servery bez SSH a rsync. Ked clovek vie programovat, tak si vie vacsinu veci zautomatizovat. Pripajat sa na nejake graficke rozhranie dnes uz neprichadza v uvahu, to by zabralo radovo viac casu a naviac je vacsia sanca spravit chybu alebo na nieco zabudnut. Skript si clovek moze prejst niekolkokrat pred samotnym odoslanim a taktiez mam nastavene skripty, ktore proste cez rsync dumpnu /etc ku mne na centralny server a az potom vykonaju zmeny. Ak ich do par minut nepotvrdim, tak watchdog zmeny vrati do povodneho stavu. Z Kosic takto dokazem spravovat servery fakt po celom ceskoslovensku bez toho, aby som musel zdvihnut zadok zo stolicky. Aby to nevyzeralo, ze som neomylny, tak aj mne sa parkrat podarilo nejaky server proste odrezat (blbe poradie pravidiel pre iptables), pripadne nejaky preklep, ktory nepovoli INPUT. Ale v poslednom case sa to uz nestava. Clovek si proste casom vybuduje flotilu skriptov a postupov, ktore vie uspesne a bezpecne aplikovat na naozaj obrovske mnozstva serverov. "Serioznu" firmu sme zalozili zaciatkom roka 2006 (z toho casu su aj tie prihody). Odvtedy sme si vybudovalu stalu klientelu, ktora sa postupne rozrasta. A ver mi, ze sme nic nedostali zadarmo.

Zdielanie kontaktov, kalendarov a TODO funguje fajn pomocou IMAP+synckolab. Mam to odskusane u jedneho zakaznika, toto riesenie si velmi chvali. Taktiez aj Samba server namiesto Windows servru.

Vela stastia vsetkym :).

ps.: Klikatka sa daju riesit SH skritami, ktore vie obsluhovat kazdy :). Napisat ich nie je problem...

Squid pouzivame len na HTTP (port 80). HTTPS je ponechane napospas osudu. Zial, pocet zamestnancov fakt nemozem prezradit, ale ide o pomerne velku firmu, je to akciova spolocnost. Vo firme sa nikdy pred nasim prichodom zdielany kalendar nevyuzival. Vsetci pouzivali Outlook Express a emaily mali hostovane u firmy, ktora k nim poskytovala POP3 pristup. Ziaden groupware tam proste nebol. Po nasom prichode sme casom prebrali spravu emailov kvoli uz vyssie spominanym problemom a prehodili sme zamestnancov na Thuderbird kvoli lahsej sprave a priznajme si, ovela lepsej podpore IMAP. Zabudol som spomenut, ze velke percento pocitacov vo firme pouziva operacny system Windows 2000 Professional a Microsoft Office 2000 Standard. Tieto programy boli uz pred nasim prichodom zakupene v dostatocnom pocte (nie OEM) a vyuzivaju sa dodnes. Jedine na notebookoch je Windows XP Pro, ktory tam uz bol nainstalovany pri zakupeni. Aj tam sa vsak instaluje Office 2000 (licencii maju zakupenych naozaj hodne). Osobne ani neviem, co za outlook bol v office 2000, nikdy som ho totiz nevidel zapnuty a ani sa neinstaluje (nami pripraveny balicek na deploy ho uz neobsahuje, je tam len Word, Excel a Powerpoint). Navrh na nasadenie groupware prisiel od riaditela, ktory si raz kupil knizku Outlook 2003. Po spocitani nakladov na licencie Office 2003 sa samozrejme nic take velkolepe nekonalo (naozaj islo o zabavnu sumu). Preto sme pristupili k inym groupware rieseniam. Testovali sme na par ludoch viacero rieseni a eGroupWare proste bolo najlepsie. Mne osobne sa az tak zapacilo, ze to vo vnutri nasej firmy vyuzivam dodnes, aj ked postupne to nahradzame vlastnym intranetovym riesenim. eGroupWare ma totiz velmi dobre (podla mna) webove rozhranie a prakticky vsetci zamestnanci maju osobne hostingy na roznych freemailoch s web rozhranim. Problem teda nebol v tom, ze by si ludia nevedeli zvyknut na ovladanie systemu, to zvladli lavou zadnou. Islo skor o to, ze nemali navyky vobec nejaky groupware pouzivat a to bolo jadro problemu. Proste vo firme fungoval roky system zdielanych excelovych tabuliek s rozpisom prac, posielanie tisicov emailov medzi zamestnancami a papierova agenda, ktora sa archivuje. Zvyk je zelezna kosela a neda sa tak lahko nahradit. Nakoniec od toho vedenie upustilo a zostalo sa po starom. Okrem toho maju taktiez vlastne intranetove riesenie, do ktoreho isli velke peniaze (len spomeniem, ze ako alternativa sa zvazoval SAP) a postupne ziskava funkcionalitu groupwaru + uctovnictva a vsetkeho mozneho. Kedze prechod a pridavanie funkcii je postupne a v podstate o kazdom novom tlacitku je skolenie, tak si uzivatelia pomaly zvykaju, ale bude to trvat este roky. Ich intranet je postaveny nad JSP a rozhranie je cez web s AJAXovymi prvkami.

Co sa tyka centralizovanej spravy, co si pod tym predstavujes? Ako som pisal, mame naprogramovanu vlastnu aplikaciu, ktora je uz po roku a pol vyvoja na velmi dobrej urovni. Ona sa stara o kontrolu systemu, tichu instalacia a upgrade programov a taktiez sluzi ako IM zatial medzi klientami a nasimi technikmi, ale postupne to planujeme rozsirit aj na komunikaciu vramci firmy (zaroven je multiplatformova, kedze niektore firmy uz bezia kompletne pod linuxom). A ked sa nieco neda riesit prostrednictvom tejto aplikacie, tak sa proste pripojime cez TightVNC, ale to sa deje zriedka. Na pobocky chodia este dvakrat do tyzdna v presne dohodnute casy nasi zamestnanci a riesia problemy na mieste. Vacsinou ide o spravenie FTP kabla, odoslanie poskodenych veci na reklamaciu a podobne mechanicke veci. Proste tento system fakt funguje. Ked sa podari januarovy prechod na OO.org, tak budem chrochtat blahom :)

Inak, u tohto klienta plati zasada, ze za prideleny pocitac zodpoveda zamestnanec. Ma teda plne admin prava a moze si tam instalovat lubovolne aplikacie, ktore nie su v rozpore so zakonom. Su tam teda povolene vsetky mozne IM, skype a cokolvek. Proste je to vec zamestnancov, co robia na svojich pocitacoch. Mnohi dokonca nemaju pevnu pracovnu dobu, kedze pre zamestnavatela su dolezite vysledky a kym ich vedia dosiahnut, tak nech si kludne citaju cely den bleskovky (su take pripady). Tymto krokom sa dokonca zacali samotni zamestnanci spravat zodpovednejsie a kedze im na kazdom skoleni hucime do hlavy, ze maju pouzivat mozog, tak to ma aj vysledky. V najhorsom pripade zauraduje PartImage nabootovany cez PXE a nasledne roaming profile. Ale uz sa nebudem rozpisovat, lebo to zasa budu traktaty :)

Este pre dokreslenie prikladam cennik sluzieb. Odstranil som vsetky odkazy na nasu spolocnost, aby to nebolo brane ako reklama a je to umiestnene na mojom sukromnom serveri.