Anasayfa » Forum

Sistem kurulumu ...
 

Sistem kurulumu önerileri  

  RSS
tamer büyüktaş
(@tamerbuyuktas)
Üye

Merhaba Değerli Çözüm Park Yöneticileri/Üyeleri,

Bir sistem kurulumunu tamamlamak üzereyim yanlız şirketin kurulumuna henüz vakit olmasıyla birlikte en iyi senaryoda kurulum için önerilerinize ihtiyacım var bu aşamada , henüz çalışır bir sisteme ihtiyaç duymadığımızdan lisanslamalarıda belirttim değiştirmem gereken kısımları belirtirseniz sevinirim,  gerçek bir senaryoda güvenli sistem için izlememiz gereken yolu bulacağız, öncelikle Site tek başına olacak farklı bir şirket yapısıyla birleştirmeyeceğim 

 

Öncelikle şirkette 150 PC olacak yaklaşık 200 kullanıcı olacak, superonline 50 MB sabit hız internet mevcut, misafir kullanıcılar için Telekomdan ayrı bir net mevcut ayrı kanal ile wifi üzerinden internete çıkış yapıyor , 

Sistemde üç sunucum var

  1. klasik rak server DC olarak mevcut üzerinde lisanslama henüz yapılmadı standart yeterli olur ise lisanslama yapılıp cal satın alınacak
    • DHCP
    • WSUS
  2. diğer sunucular Nod 1 ve Nod 2 olarak tanımlandı, AD üzerinden administrator yetkisi verildi, lenovo yeni nesil gold işlemci serisi server 2016 datacenter mevcurt Cal satı alınacak 64 gb ram var 3 network kart mevcut 10 gb + 2 tane 1 gb, server 2016 datacenter mevcut üzerinde bu network kartlardan ikisi teaming yaparak iki farklı switchlere bağlayacağım bir network kartı heartbeat olarak cross ile ikinci nod a bağlayacağım, üzerinde 4 tane 300 GB ssd mevcut raid 5, ve HyperV/Cşuster ile üzerinde ayrı ayrı
    • Exchange server lisanslama henüz yapılmadı 40 kullanıcı olacak şimdiki görünür kısımda kullanıcı başı yıllık maks 10 gb depolama kullanılır
    • Hastane Otomasyon programı (sql server kullanıyor) 
    • Logo (Henüz satın alma tamamlanmadı birim kendisi alacak)
    • Pacs Server (en çok veri alış verişi burda olacak)
    • Web Server (hastane web sayfası başkası hazırlayacak)
    • File Server (önemli dosyalar olsada nadiren kullanım)
    • fax server & Print server
  3. ortak bir Nas cihazımız var 2x10 GB network kartlı 12x1 TB bunları raid 5 yapmayı düşünüyorum 10 veya 50 kullanmalıyım net olarak bilemedim bu kısımda ayrıca bir bulut sistemide kullanacağız fiyat ve günvelik esaslı olarak önerinize ihtiyacım var ve sadece bu verilerin yedeklenmesi yeterli olurmu, yoksa sanal sunucu kullanmalımıyım (HyperV dosyalarınıda nas'taki share diskte tutacağım)

destek taleplerim

senaryodaki, lisanslamalarda şu anda sadece datacenter iki lisansımız mevcut diğer lisanslamalar alınmadı nelere ihtiyacım olacak lisans olarak HyperV'ler için Win 10 vs yeterli olurmu 

Fizi bir firewall önerisine ihtiyacım var (proxy server olarak kullanılbilecek gerekli anrivirüs yazılımlarını destekleyen iki dış iki iç port olması yeterli ) marka yazmak sorun değil ise ve ek olarak sistem ağını dinlememe izlememe ihtiyaç olurmu, 

User'lartın tamamın da GPO ile tüm masa üstü erişimini internet erişimi run erişimi vs kısıtlayacağız sadece 10 civarında kullanıcı tüm uygulamalara erişecek ki güvenilir yönetim pozisyonundaki kişiler olacak yani sisteme sızmaya çalışmaları mümkün olamayan kişiler klasik avg-nod32 tarzında bir antivirüs uygulaması yeterli olırmı, diğer pcler içinde ekstra güvenlik gerekli olurmu

Logları aktif olarak anlaşılır şekilde görüntülemem alert oluşturmam ve tüm logları farklı bir yere toparlayabilmem için bir uygulama/çözüm öneriniz varmı

Sunucu yedeklerini oluşturmam için en etkili/gücenli yol hangisidir klasik bir imaj almam yeterlimidir yoksa sürekli update bir backup sistemimi kullanmalıyım program öneriniz bu konuda varmı

hypverV ler için cluster ortamı oluşturdum haricinde bir şey yapmalıyım, hyperV ler üzerinde çalışır şekillerinin geri dönüş noktasınıda oluşturdum export etmelimiyim, backup ve çalışma prensibinde bir öneriniz varmı, 

Pacs alanında ayrı bir network kart kullanmalımıyım yüksek veri sebebiyle, ve en çok hata alınan bu sistemde neler yapmalıyım,

web serveri farklı bir yerde tutmam dahamı iyi olacaktır güvenlik açısından bir sorun teşkil edermi, iis ile hizmet verecek, e fatura vs kullanılmayacak sadece bilgilendirme amaçlı bir web sayfası olacak tasarımcı kendi bünyemizde it olarak sürekli güncelleme yapacak

Nodlar üzerinde gerekli Firewall ayarlarını (uygulama ve port izinleri) yapsam dahi kapalı tutmammı önerilir sorunsuz/etkili iletişim için

Olası mesai dışı sorunlarda RD kullanarak bağlanmayı düşünüyorum bu yol güvenli olurmu ? 

SCCM kullanmalıyım ? Daha önce kullanmadım kullanmam gerekliyse öğrenip kullanacağım 

Yönetim kurulunu dahil ederek bir toplantı odası kurmayı düşünüyoruz iki kişiyi farklı illerden Cam+Ses ile toplantıya dahil etmeyi, bu kısımda Skype yeterlimi farklı bir öneriniz varmı 

son olarak bu senaryoda ADC'yi nerde tutmamı önerirsizin olası bi sorun ile karşılaşmam durumunda DC yedeğim olması için Nod lar üzerinde mi tutmalıyım

Şimdiden teşekkürler, iyi çalışmalar,

Alıntı
Gönderildi : 05/12/2018 20:43
CumhurAltan
(@cumhuraltan)
Üye Forum Yöneticisi

Selamlar ;

 

Bayağı  kapsamlı bir  post  açmışssınız ancak ilk etapta  gözüme  çarpan durum Nas  cihazı ile  Failover bir mimari düşünmeniz ki ( Failover bir  yapı olmadan sadece sanal sunucuları Nas  üzerinde  tutmayı planlıyor olsanız bile ) yorumum  değişmeyecektirBöylesi  kritik  bir  yapı için NAS  cihazları  yeterli olmayacaktır ortamınızda SAN Storage bulunması  gerekir ki ( EMC/HP/Netapp/Huawei) Marka  farketmeksizin Storage'lerin  genel özelliği Dual Controller'a  sahip olmaları ve  Controller'lardan  1'i  arızalansa  bile  sistemin  çalışmaya  devam  etmesidir ( FC ile 16Gbps hız / Cache kapasiteleri / SSD diskler için gecikme  performansları ve  diğer + özelliklere  değinmiyorum bile )  Marka  belirtmemişssiniz  ancak marka  bağımsız  olarak şunu  söyleyebilirim bir NAS cihazının down duruma geçme  ihtimali bahsettiğiniz seviye sunuculardan  ( HP/DELL/IBM/HUWEI ) çok daha YÜKSEK iken bütün yapıyı  NAS  cihazına göre  kurmak  çok büyük bir  hata  olacaktır ki anladığım kadarıyla  bir  Hastane veya  sağlık sektöründesiniz. Özellikle Hastane  iseniz  kullanacağınız Storage  ünitesini  bile yedekleme  üzerinde  yoğunlaşmanız  gerektiğini  düşünüyorum. NAS  cihazları genel olarak lokal yedeklerin  tutulduğu disk  alanı  olarak kullanma  taraftarıyım 10Gb network interfaceleri de  bulunduğu için hızlı bir  şekilde  yedekleme yapabilirsiniz.

Sunucular  üzerindeki 10gb  ethernet ile  sanal  sunucuların networke  erişmelerini  sağlayan External Network olarak  kullanabilirsiniz ortamınızda  kullanacağınız  Backbone  10gb destekli portları  üzerinde  bu Fiziksel Hostları  sonlandırarak  Network  erişim performansını  artırabilirsiniz. Kullanacağınız Storage Hybrit yapıyı  destekleyen bir  storage olabilir PAC  datalarını büyük  boyutlu SAS/SATA  diskler  üzerinde  tutabilir Sanal  Sunucuları SSD ler  üzerinde  tutabilirsiniz. PACS sunucularındaki  dataları 5  yıl gibi saklama  zorunluluğu  vardı  diye  hatırlıyorum veya PACS sistemi  destekliyor  ise  belli  bir  tarihtan önceki dosyaları NAS üzerine de  yedekleyebilirsiniz.

Firewall olarak Fortigate kullanabilirsiniz, bütçe  tarafında  sıkıntılar  var  ise  ve  çok katı web  filtreleme  yapmayacaksanız Failover Cluster  Mimarisinde  sanal olarak Pfsense'de  oldukça  iyi bir  alternatif  olacaktır.

Av  tarafı için Comodo ITSM ( özellikle  teknik destek  tarafı çok iyi ve ransomware saldırıları konusunda oldukça  iddialılar ) veya Kaspersky diyebilirim. ( Bütçe  durumuna  bağlı olarak Symantec veya Mcafee'de  düşünülebilir )

Fiziksel Hostları network'e 10gbps ile  bağlamanız  durumunda  pacs için problem  olmayacağını  düşünüyorum  ancak burada  net  birşey  söyleyebilmek için ortamınızda  bulunan  network  altyapısını ve  pacs  tarafındaki  trafik  durumunu da  net  olarak  bilmek  gerekmekte. Backbone  Switch   ve  network altyapınız  uygun ise  Sunucu  üzerine  ilave 10gb network  kartları eklenebilir ve bu  kartlar  pacs  sunucusu için dedicate  edilebilir.

Yedekleme  için Veeam veya Arcserve  kullanabilirsiniz  yedeklerinizi  kritiklik  durumunuza  göre NAS cihazına  alabilirsiniz Disaster  senaryosu  için'de yurtdışı iyi bir  datacenter'da  dedicated  sunucu ile yapılabilir.  ( Dedicated  sunucu  üzerinde  internet erişimi  kapatılıp sadece  vpn üzerinden  erişim  açılarak veri güvenliğini de  genel olarak  sağlamak da  mümkün )

 

Web Server'ı DMZ networkunda  konumlandırabilirsiniz DMZ networkunden de  local  networkleri  izola  edersiniz böylelikle  web serverınız  içeride  olur  aynı zamanda da  lokal networklere  erişim  olmadığı için  dışarıda  olmuş olur. ( Web server  tarafında  mutlaka IDS/IPS güvenlik  politikalarının uygulanması  gerekir. )

Uygulama ve  port izinlerinden  tam olarak ne  kastetmek  istediğinizi  anlamadım ancak içeride  bir  hizmet  verecekseniz  bu hizmetin portlarını  açmak zorundasınız  zaten ( hizmeti  kullanacak olan  kullanıcıları  sslvpn gibi  bir  yapı ile  doğrulama  şansınız  yok ise  yani  public  bir  hizmet  verecekseniz ) ancak burada  açılan portların  arkasında  hizmet  verecek olan  servisler  için gelecebilecek  saldırılara  karşı doğru bir  yapılandırma burada  önemli olan.

RDP public  olarak  açmak  kesinlikle İNTİHAR  özellikle  son  dönemlerde. Uzak   bağlantı için Fortigate kullancaksanız Fortigate  ile  SSL  vpn altyapısı ile networke  bağlanıp sonrasında  Rdp bağlantısı yapabilirsiniz . Pfsense ise  openvpn veya   başka  bir  Firewall markası olur ise  onun vpn i ile  bağlanırsınız  ama mutlaka VPN ile  bağlanmalısınız bir sabah  geldiğinizde  tüm  dosyalarınız  şifrelenmiş ve bilmem kaçbin  dolar  karşılığı  bitcoin i  şu  cüzdana  gönderin tarzı  bir  mesaj ile  karşılaşırsınız.

SCCM 150 kullannıcılı bir  ortamda  işinizi  oldukça  kolaylaştıracaktır  kullanma  imkanınız  var ise  kesinlikle  KULLANIN.

Hyper-V ile  devam  edecekseniz  Ana  işletim sistemi Core sürümü  olsun mutlaka  veya Hyper-V Server  2016  kurun. Yani Gui ile  Server  2016  kurup  üzerine  Hyper-V  rolü yüklenerek  yapılan Hyper-V  Failover  senaryolarında  genel olarak  şu  durum  yaşanıyor 3-5 ay sonra  Fiziksel Gost  üzerindeki Server  2016 işletim  sisteminde  farklı  farklı  uygulamalar  vb    yüklenmiş bir sürü  ayarlarında  değişiklikler  yapılmış oluyor ( Ancak Vmware  ile  benzeri  bir  proje  yaptgınız  zaman ESXI  üzerine  neredeyse  hiçbirşey  yükleyemiyorsunuz )o yüzden  Fiziksel hostların  olabildiğince  stabil ve  uzun  ömürlü  çalışmalarını  sağlamak için Hyper-V Server 2016 kurulumunu  yapın  veya Server  2016 Dc  CORE  kurulumunu  yapıp  üzerine Hyper-V  yükleyin.

Failover  bir mimari  olacağı için ADC yi fiziksel  hostlar'da tutabilirsiniz.

 

 

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

CevapAlıntı
Gönderildi : 05/12/2018 22:37
Recep YÜKSEL
(@recepyuksel)
Kıdemli Üye Forum Yöneticisi

Merhaba,

NAS'li cluster ortamı ortak disk alanı olarak kullanma konusunda Cumhur bey'in önerilerine aynen katılıyorum. Tecrübe ile sabittir NAS üzerinde bir arıza yaşadığınızda ilgili firmanın teknik servisi ile görüştüğünüzde, kargo ile gönderin biz burada bakalım (başımdan aşağı kaynar sular dökülmüştü) veya yakın zamanda yaşadığım, çok rahat bir şekilde biz raid yapısını değiştirdik yeni versiyonda yeni disk oluşturmak için önce tüm datanızı silip raid yapısını yeniden oluşturacaksınız cümlelerini duyduğunuzda ne demek istediğimi daha iyi anlayacaksınız, ne kadar güzel bir yüksek erişilebilirlik hizmeti verdiklerini göreceksiniz.  

NAS'a karşımıyım? Kesinlikle Hayır, çokta severek kullanıyorum.  

Her cihazın bir kullanım yeri var, sizin ortamınızda bu cihazları bel kemiği noktasına koymanız yanlış olur. 

NAS cihazlarınında HyperV, VMware ortamları için desteği var ama bu ortamlarda kullanıma almak için önerim üst seviye NAS modellerini alıp (onlarda çift kontroller yedekliliği var, zeon cpu lu coktroller kullanılıyor, üzerinde çalışan os bile farklı bu modellerde) kullanmanız, ama bu modelleri alabileceğiniz paralara yukarıda adı geçen storage markalarının FC'li modellerinden alıp kullanabilirsiniz çok rahatlıkla. 

Saygılarımla. 

************************************************************
Probleminiz çözüldüğünde sonucu burada paylaşırsanız,
sizin ile aynı problemi yaşayanlar için yardım etmiş olursunuz.
Eğer sorununuz çözüldü ise "çözüldü" olarak işaretlerseniz
diğer üyeler için çok büyük kolaylık sağlayacaktır.
************************************************************

CevapAlıntı
Gönderildi : 05/12/2018 23:10
Ferit ERKADAM
(@feriterkadam)
Üye

[quote user="CumhurAltan"]

Selamlar ;

 

Bayağı  kapsamlı bir  post  açmışssınız ancak ilk etapta  gözüme  çarpan durum Nas  cihazı ile  Failover bir mimari düşünmeniz ki ( Failover bir  yapı olmadan sadece sanal sunucuları Nas  üzerinde  tutmayı planlıyor olsanız bile ) yorumum  değişmeyecektirBöylesi  kritik  bir  yapı için NAS  cihazları  yeterli olmayacaktır ortamınızda SAN Storage bulunması  gerekir ki ( EMC/HP/Netapp/Huawei) Marka  farketmeksizin Storage'lerin  genel özelliği Dual Controller'a  sahip olmaları ve  Controller'lardan  1'i  arızalansa  bile  sistemin  çalışmaya  devam  etmesidir ( FC ile 16Gbps hız / Cache kapasiteleri / SSD diskler için gecikme  performansları ve  diğer + özelliklere  değinmiyorum bile )  Marka  belirtmemişssiniz  ancak marka  bağımsız  olarak şunu  söyleyebilirim bir NAS cihazının down duruma geçme  ihtimali bahsettiğiniz seviye sunuculardan  ( HP/DELL/IBM/HUWEI ) çok daha YÜKSEK iken bütün yapıyı  NAS  cihazına göre  kurmak  çok büyük bir  hata  olacaktır ki anladığım kadarıyla  bir  Hastane veya  sağlık sektöründesiniz. Özellikle Hastane  iseniz  kullanacağınız Storage  ünitesini  bile yedekleme  üzerinde  yoğunlaşmanız  gerektiğini  düşünüyorum. NAS  cihazları genel olarak lokal yedeklerin  tutulduğu disk  alanı  olarak kullanma  taraftarıyım 10Gb network interfaceleri de  bulunduğu için hızlı bir  şekilde  yedekleme yapabilirsiniz.

Sunucular  üzerindeki 10gb  ethernet ile  sanal  sunucuların networke  erişmelerini  sağlayan External Network olarak  kullanabilirsiniz ortamınızda  kullanacağınız  Backbone  10gb destekli portları  üzerinde  bu Fiziksel Hostları  sonlandırarak  Network  erişim performansını  artırabilirsiniz. Kullanacağınız Storage Hybrit yapıyı  destekleyen bir  storage olabilir PAC  datalarını büyük  boyutlu SAS/SATA  diskler  üzerinde  tutabilir Sanal  Sunucuları SSD ler  üzerinde  tutabilirsiniz. PACS sunucularındaki  dataları 5  yıl gibi saklama  zorunluluğu  vardı  diye  hatırlıyorum veya PACS sistemi  destekliyor  ise  belli  bir  tarihtan önceki dosyaları NAS üzerine de  yedekleyebilirsiniz.

Firewall olarak Fortigate kullanabilirsiniz, bütçe  tarafında  sıkıntılar  var  ise  ve  çok katı web  filtreleme  yapmayacaksanız Failover Cluster  Mimarisinde  sanal olarak Pfsense'de  oldukça  iyi bir  alternatif  olacaktır.

Av  tarafı için Comodo ITSM ( özellikle  teknik destek  tarafı çok iyi ve ransomware saldırıları konusunda oldukça  iddialılar ) veya Kaspersky diyebilirim. ( Bütçe  durumuna  bağlı olarak Symantec veya Mcafee'de  düşünülebilir )

Fiziksel Hostları network'e 10gbps ile  bağlamanız  durumunda  pacs için problem  olmayacağını  düşünüyorum  ancak burada  net  birşey  söyleyebilmek için ortamınızda  bulunan  network  altyapısını ve  pacs  tarafındaki  trafik  durumunu da  net  olarak  bilmek  gerekmekte. Backbone  Switch   ve  network altyapınız  uygun ise  Sunucu  üzerine  ilave 10gb network  kartları eklenebilir ve bu  kartlar  pacs  sunucusu için dedicate  edilebilir.

Yedekleme  için Veeam veya Arcserve  kullanabilirsiniz  yedeklerinizi  kritiklik  durumunuza  göre NAS cihazına  alabilirsiniz Disaster  senaryosu  için'de yurtdışı iyi bir  datacenter'da  dedicated  sunucu ile yapılabilir.  ( Dedicated  sunucu  üzerinde  internet erişimi  kapatılıp sadece  vpn üzerinden  erişim  açılarak veri güvenliğini de  genel olarak  sağlamak da  mümkün )

 

Web Server'ı DMZ networkunda  konumlandırabilirsiniz DMZ networkunden de  local  networkleri  izola  edersiniz böylelikle  web serverınız  içeride  olur  aynı zamanda da  lokal networklere  erişim  olmadığı için  dışarıda  olmuş olur. ( Web server  tarafında  mutlaka IDS/IPS güvenlik  politikalarının uygulanması  gerekir. )

Uygulama ve  port izinlerinden  tam olarak ne  kastetmek  istediğinizi  anlamadım ancak içeride  bir  hizmet  verecekseniz  bu hizmetin portlarını  açmak zorundasınız  zaten ( hizmeti  kullanacak olan  kullanıcıları  sslvpn gibi  bir  yapı ile  doğrulama  şansınız  yok ise  yani  public  bir  hizmet  verecekseniz ) ancak burada  açılan portların  arkasında  hizmet  verecek olan  servisler  için gelecebilecek  saldırılara  karşı doğru bir  yapılandırma burada  önemli olan.

RDP public  olarak  açmak  kesinlikle İNTİHAR  özellikle  son  dönemlerde. Uzak   bağlantı için Fortigate kullancaksanız Fortigate  ile  SSL  vpn altyapısı ile networke  bağlanıp sonrasında  Rdp bağlantısı yapabilirsiniz . Pfsense ise  openvpn veya   başka  bir  Firewall markası olur ise  onun vpn i ile  bağlanırsınız  ama mutlaka VPN ile  bağlanmalısınız bir sabah  geldiğinizde  tüm  dosyalarınız  şifrelenmiş ve bilmem kaçbin  dolar  karşılığı  bitcoin i  şu  cüzdana  gönderin tarzı  bir  mesaj ile  karşılaşırsınız.

SCCM 150 kullannıcılı bir  ortamda  işinizi  oldukça  kolaylaştıracaktır  kullanma  imkanınız  var ise  kesinlikle  KULLANIN.

Hyper-V ile  devam  edecekseniz  Ana  işletim sistemi Core sürümü  olsun mutlaka  veya Hyper-V Server  2016  kurun. Yani Gui ile  Server  2016  kurup  üzerine  Hyper-V  rolü yüklenerek  yapılan Hyper-V  Failover  senaryolarında  genel olarak  şu  durum  yaşanıyor 3-5 ay sonra  Fiziksel Gost  üzerindeki Server  2016 işletim  sisteminde  farklı  farklı  uygulamalar  vb    yüklenmiş bir sürü  ayarlarında  değişiklikler  yapılmış oluyor ( Ancak Vmware  ile  benzeri  bir  proje  yaptgınız  zaman ESXI  üzerine  neredeyse  hiçbirşey  yükleyemiyorsunuz )o yüzden  Fiziksel hostların  olabildiğince  stabil ve  uzun  ömürlü  çalışmalarını  sağlamak için Hyper-V Server 2016 kurulumunu  yapın  veya Server  2016 Dc  CORE  kurulumunu  yapıp  üzerine Hyper-V  yükleyin.

Failover  bir mimari  olacağı için ADC yi fiziksel  hostlar'da tutabilirsiniz.

 

 

[/quote]

 

soruyu soran ve yanıt için Cumhur Hocama ve arkadaşa teşekkür ederim

konuyla kısmen alakalı  ,

dell  poweredge R serisinin orta segment sunucusunu tedarik etme aşamasındayım ,

üzerine bütçe ve  proje durumuna göre ESX yada Hyber V kuracağım

 

biostan yapılması gereken  ( max power v.b ) ayarlar var ,  

sanallaştırma ayarları  virtualization ( VTX , VT-d , data execution Prevention ) ne yapılmalıdır ? 

teşekkürler.

 

CevapAlıntı
Gönderildi : 10/12/2018 12:18
Paylaş:

Lütfen Giriş yap yada Kayıt ol