1

2

3

4

>Я предполагаю, что WAN-портам, обоих маршрутизаторов, прописываются один внешний IP адрес, дальше через VLAN осуществляется подключение двух роутеров к оборудованию провайдера.
Хуйню написал. Настрой, например, пробы IP SLA (у разных вендоров она по разному называется) и при недоступности ресурса заруливай через роут-мапу траффик на резервного ISP.

>>134597845
Я про недоступность самой железки, а не сайта. Оборудование ведь резервируется. Просто, например, у меня есть два роутера, один сломался, как заставить резервному роутеру взять на себя роль первого, или так не делается?
Я так полагаю, что на уровне пакетов никак, только скриптом, что бы второй роутер постоянно проверял доступность первого, и при недоступности, например, больше минуты применил скрипт с настройками уровня:
# ifconfig ethO 1.1.1.2 && ifconfig eth1 192.168.0.1 && route add 1.1.1.1

честно говоря не силен, на данный момент, в цисках

>>134597181 (OP)
Бамп, где виндусовые админы

>>134598315
гугли HSRP, VRRP, GLBP один из них общий а не цисковская проприертарщина.

Сажи спермоблядкам.

>>134598880
эммм, а на чем ты строить LDAP собрался? Ну только не говори, что на lightLDAP, не поверю

>>134598848
Слушай, если ты еще тут, по идее как можно подружить CARP от Ubuntu-server, с той же циской, и заставить их работать как единый маршрутизатор?
Протокол - это набор правил, и рас он един, значит они должны друг друга понимать

>>134597181 (OP)
> Ведь ни один бородатый админ не будет создавать десятки OU с десятками групп и политик?
Бородатый, возможно, и не будет, а вот компетентный - запросто. Желательно, вообще, делать на группу связанный политик свою группу, прости за тавтологию. Легче будет разбираться в них через пару лет. Подразделения создаются сообразно инфраструктуре организации, например, каждое подразделение соответствует отделу.
> Или что бы применить политику к заданному пользователю или группе пользователей, эти пользователи должны быть непосредственно привязаны к OU с политикой
Вот так.
> Как правильно делается переключение между оборудованием на резервный, при отказе основного
Руками провод перетыкаешь, лол.

>>134599856
Именно, один протокол - одни правила, если все будет настроено верно то будет у тебя логика переключения. Как единый, т.е. одновременно, это уже лоад балансинг, прямо вот лоад балансинг из коробки между никсовым гейтвеем и цисковским ты не сделаешь. Поочередно работать - VRRP. НО есть хитрость, ничего не мешает тебе скинуть на виртуальный общий адрес обычных хостов, а нужные железки закидывать на другой гейтвей принудительно.
Условно у тебя 10.10.10.0/24
10.10.10.1 - циска
10.10.10.2 - бубунта
10.10.10.3 - их общий виртуальный адрес
в DHCP ты говоришь что ваш гейтвей - 10.10.10.3 таким образом фейл овер есть, при должной логике переключения стандбай и актив гейтвея, в то же время никто не мешает тебе, зная какой провайдер сейчас основной, своей машине указать другой гейтвей и качать себе цп с торрентами не загружая общий рабочий канал.
По политикам - вот этот правильно написал>>134600051
у меня в домене овердофига ою, правила политик стараюсь не объединять в одни, если только по логике подходят. Да, много, зато можно всегда во всем разобраться и применить что то хоть точечно, хоть глобально, хоть на любую группу логических объектов.
Алсо бородат.

>>134600051
А как реализуется, что при добавлении пользователей в группу, к нему автоматически применяются политики? Только за счет того, что политика изначально никуда не распространяется, кроме как на эту группу?

>делать на группу связанный политик свою группу
Не понял, поясни пожалуйста

>Подразделения создаются сообразно инфраструктуре организации, например, каждое подразделение соответствует отделу.
Это я понимаю, и следовательно на каждое подразделение, или на общую OU надо применять групповые политики?

>Руками провод перетыкаешь, лол.
Пытаюсь прийти к том, что любой процесс требующий больше двух минут нуждается в оптимизации.

>>134600824
Политика применяется на объект.
Есть у тебя ОУ с названием "жирные бухгалтерши"
В ней ты создаешь 10 учеток, по учетке на каждую жирную бухгалтершу.
Далее ты придумываешь групповую политику, которая дефолтом заменяет десктоп картинку на еду и не дает менять картинку юзеру. Цепляешь правило на ОУ Жирные бхгалтерши и вуаля.
Потом, если ты и ОУ маркетинг перекинешь полнеющую бабу в ОУ жирных бухгалтерш, то после политика будет применена в соответствии с тем, как быстро они у тебя врубаются и все. Ребутаешь комп ( ну или gpupdate /force) и все. Объекты могут быть компы, группы юзеров, сами юзеры и тд.

>>134600737
Ни разу не задумывался, спасибо, а как называется протокол виртуальных адресов?

>>134601230
Так, а если есть
OU-отделы
--OU-жирные бухгалтерши
----бух 1
----бух 2
----бух 3
---- (ГРУППА БУХГАЛТЕРИЯ)
--.........

на OU-жирные бухгалтерши добавляю GPO

Если я добавлю юзера из другой OU в (ГРУППАХ БУХГАЛТЕРИЯ), я так понимаю, он не получит политику, если сам не будет находиться в "OU-жирные бухгалтерши"
верно?

Просто мне интересно, так как видел, что при добавлении юзера в группу к нему применяются политики, а без добавления не применяются.
Или это связано с тем, что сама по себе политика делегирована только на группу (ГРУППА БУХГАЛТЕРИЯ), а остальные члены в OU не получают от неё настройки

>>134601279
https://en.wikipedia.org/wiki/Category:First-hop_redundancy_protocols
Некоторые циско онли, если у тебя не два циско роутера то тебе не подойдут. VRRP умеет хитро работать через два адреса а не три, т.к. один из адресов и становится виртуальным. Есть другие ньюансы.

>>134601690
Для начала по структуре, я отдельно храню группы и юзеров. Т.е.
OU - отделы
-OU - жирные бухгалтерши
-- бухгалтерша N
OU - группы
группа бухгалтерш
группа маркетологов
группа червей-пидоров
Таким образом я могу закидывать правила как на тех, кто в группе именно в группе отдела, так и на всех юзеров отдела, как правило, конечно, состав группы и состав OU с юзерами зеркален но некоторые бенефиты есть.
>Если я добавлю юзера из другой OU в (ГРУППАХ БУХГАЛТЕРИЯ), я так понимаю, он не получит политику, если сам не будет находиться в "OU-жирные бухгалтерши"
верно?
В этом примере, будет, т.к. у тебя группа жирные бухгалтерши находится в одном OU с самими юзерами.
Как раз зависит от, т.е. ты мог бы сделать OU Черви пидоры, при условии отсутствия такого отдела и точечно кидать туда юзеров, при этом в группе они бы оставались хоть бухгалтерши, хоть маркетинг, и к ним применялись бы правила группы. Конечно это дефолтно, способов включить наследование, отключить, раскидывать приоритеты GPO, в зависимости от того что у тебя и как уже.

>>134602375
А если я создам, опять для примера:

company.local
-OU Users
--user1
--user2
--user3
-OU GROUPS
--GROUP1

В GROUP1 включу User1 и User2, и к OU GROUPS добавлю GPO, то User1 и user2 Смогут получить данную политику или нет, так как они находятся в другом OU?

>>134601864
Спасибо, обязательно почитаю на досуге.

Просто есть старенькая Cisco 18xx, и роутер на убунте, хочу попробовать поэкспериментировать и сделать одну заменой второй, при необходимости, при этом без вмешательства.

Поясните за AD
Немного щупал его на ws12, есть ли на линуксе какая-нибудь подобная йоба, плюсы\минусы, по хардкору?