Выступаю в роли начинающего сисадмина, базовые навыки есть (был помощником сисадмина в организации на 50компов), а вот практики развертывания сети нет.

Требуется поставить новый сервер в офис, который бы обслуживал 1С на 12-15 человек, ну и распределение инета, ограничение прав доступа и т.д.

Сейчас уже стоит сеть, но как я понял, начальника не устраивает:
1. производительность сервера (хочет с прицелом на будущее)
2. полноправность пользователей, кто че хочет, то и мутит (он особенно про порно намекал).

Какие у меня сейчас мысли:
от провайдера поставить роутер, в нем прописать ограничения по портам на все, что вообще не нужно для офиса (например торрент, игровые серваки и т.д.), от него кабели на сервер и хаб, от которого развесить все по компам.

На сервере настроить AD (планируется Windows 2003 Server или что-то из этого семейства), прописать разрешения пользователям касательно общего доступа, поставить 1С базу данных и сам сервер, там тоже все определить.

Пока не знаю, как с хабом быть, т.к. пока работал тока с роутерами, и не знаю точно, как там распределяются адреса на компы. Это не проблема, узнаю...

Больше вот интерсует вопрос об организации самой сети, пока знакомый сказал, что надо сервер 1С и шлюз в инет на раздельных компах делать (сервер и обычный комп).

Помогите советом или ссылками, сейчас изучаю потихоньку вопрос про AD.
Надеюсь на помощь сисадминов или просто знающих людей

не выйдет

согласен, не мешай мухи с котлетами, 1с и ад на одном компе а шлюз для обеспечения инета на другом в нем уже в зависимости от оси и прог и ограничиваешь доступ в нет.
все садится на один коммутатор в ктором если еще и нужно на его уровне ограничиваешь доступ к инету.

Neckro спасибо.
т.е. так: от провайдера на коммутатор (а почему не роутер?), от него на шлюз-компьютер, и от него (через хаб?) на сервер и пользователей, так?
шлюз лучше делать на линуксе как я понял, но поскольку я в линуксе ни бум-бум (а надо учиться), возможно ли сделать так: поставить на шлюз винду (ХР к примеру), настроить доступ, поставить на другой раздел линукс и время от времени учиться на нем, не сильно мешая работе.

Еще такой вопрос по конфигурации сервера: для 1С на такое кол-во пользователей хватит 2-процессорного Xeon на 2.4ггц, 2гб оперативки, на будущее лучше собрать из 2-ух 2-процессорных процов и поставить 4гб оперативы, этого хватит? на шлюз нужен обычный комп, на него как я понимаю, ничего особенного ставить не надо.
Какие еще моменты стоить учесть?

зачем так сложно?
если от прова идет обычная ланка то втыкаешь в комп шлюз из него через 2 сетевуху идет уже в коммутатор и на конечные компы пользователей.
зачем тебе сюда городить роутер и свой сервер?

где то тут проскакивал специальный дистриб для этих целей пошустри ветку

про 1С ничего не скажу

Понял, толко от коммутатора должно идти на все компы, в т.ч. и на сервер, иначе куда его подключать?


Спасибо, посмотрю. Сейчас подумал, на шлюзе если будет стоять хорошая защита, то на компах пользователей не обязательно ставить на каждый по копии? в этом случае шлюз должен нормально тянуть антивирус и файрвол.

Еще вопрос: если на шлюзе прописываются все права доступа в инет, на нем же ставится прога для контроля за трафиком? (типа LanAgent). в этом случае администрирование самой сети осуществляется через него, а конкретно 1С через сервер? Тогда не понимаю, как Active Directory сюда впихнуть...

Мне кажется АД для 12 компов излишне, шлюза с керио винроут на нем будет достаточно. Ну и сюда же контроль трафа и антивир.
Не претендую на истинность, лишь мысли =)

А работать нормально будет? В общем в этом случае получается по мне лучше, администрирование полностью на шлюзе, а 1С только на сервере...

Никаких противопоказаний не вижу, должно все работать как часы. Домен на 12 компов - это лишний геморрой, отдача не оправдает усилий.

freewood спасибо!
Еще вопрос появился... пока не знаю, нужен ли почтовый сервер, но если нужен, где его поднимать? На сервере, где будет 1С стоять или на шлюзе можно?

Мне кажется лучше всего на gmail или на yandex =))) Ибо внутренняя почта в сетке на 12 компов будет малоюзабельна. Ну или хостинг оплатить и на нем, что бы все серьезно было, имя компании после собачки и т.п. =)

а какие ОС лучше ставить все же на шлюз и сервер для 1С? можно ли обойтись ХР на шлюзе и Windows 2003 Server для сервера? Или еще варианты?

сложно ли настраивать керио винроут (сейчас читаю про него, но интересны практические отзывы)?

и в итоге должно получиться следующее:
лан от провайдера -> комп-шлюз с 2 сетевухами и керио винроут -> кабель на коммутатор -> соединение с компами пользователей и сервером 1С. Вроде все?

Про 1с ничего не скажу, а на шлюзе ХР достаточно будет.

Хм... ну в принципе нет, т.к. есть руководство на русском, да и интерфейс там дружелюбный, но покопаться придется немного.

Ага.

freewood спасибо огромное

Я бы посоветовал ису и дополнить ее трафик фильтром ....настроить dns и dhsp обоитись без Ad !
Насчет 1-с сервера советую поставить на отдельную машину ибо потом могут возникнуть проблеммы ,а для быстроты работы сразу строить гигабитную сеть ....вот тогда 1-с будет летать и не будеш слышать от юзеров мы висим !!!!.

Что такое ису?

Забыл еще спросить, а как тогда ограничить юзеров в пользовании принтерами, доступе к файлам в сети и т.д.? Это ведь можно сделать с помощью контроллера домена сети, а для этого нужен Windows Server. Выходит, на шлюз лучше ставить именно серверную ОС, чтобы ограничить юзеров и по инету, и по доступу в локалке.
Или есть еще способы, как это сделать?

Microsoft ISA Server
Насчет того, что AD на 12 компов это геморой - сильно не соглашусь. Установка серверной ОС + поднятие PDC (даже с настройкой DHCP и т.д.) времени занимает не так много, зато снимает массу проблем с разграничением прав на сетевые и локальные ресурсы ... ИМХО, конечно ...

Compa спасибо за разъяснение.

Оказалось все много хуже, чем я думал, перестройка сети никому там не нужна. И насколько я понял, в офисе сервера с разграничением прав доступа нет, тем не менее присутствует аутентификация по паролю и логину в домен сети. Может ли это настраиваться через ИСА сервер в другом помещении, который предоставляет интернет офису? Т.е. схема такая - есть здание, туда идет сеть, у тех, кто ей заведует, стоит ИСА сервер, и на нем прописываются все разрешения для доступа юзеров у арендаторов здания, и у самих арендаторов нет средств управления сервером соответственно. Может такое быть?
Добавлено спустя 1 час, 6 минут, 53 секунды
Обстоятельства несколько изменились, и снова вопросы:
1. Хватит ли для нормальной работы компа-шлюза с Windows Server установленной и Kerio Firewall, поднятой AD (пока не знаю как точно будет все строиться) компа с железом типа Селерона 2.8Ггц, 512Мб оперативы? Или примерно что для этого нужно?
2. В случае с компом-шлюзом, на ИСа-сервере нужно прописывать полный доступ этому компу?

Кто может ответить?

Теоритически может, но сомнения терзают, что арендатор будет так заморачиватся.

Ну он уже будет не шлюз, а контроллер домена, так правильнее =) Проца хватит, а вот оперативки бы до гига догнать бы. Ну и я бы наверное рейд1 поставил бы, все таки домен, хотя это уже от финансов зависит и является не обязательным =)

Если ИСА стоит на выходе в инет, то обязательно. Только я вот немного не понимаю систему по которой у вас там сеть построена.