freewood я тоже не понимаю, но все компы в офисе подключаются из розеток и сервера нет. Зачем так делали, я не знаю, может это прихоть арендодателя, чтобы учитывать все соединения и трафик офиса, может это раньше был один офис, но как-то так(

спрошу еще раз админа арендодателя, но вроде дело обстоит так.

Если так то какова надобность в установке контроллера домена/шлюза? Кстати на первый взгляд сделать это не сложно, даже можно сказать легко =)

Чтобы безопасность сети практически целиком ложилась на шлюз, как я предполагаю, вместо того, чтобы на каждом компе, как сейчас, стоял касперский. Например тот же Керио поставить. Чтобы контролироват пользователей, расход трафика. Сейчас офису приходит просто выписка от арендодателей с указанием общего трафика.

И по мне, обслуживать такую сеть проще, т.к. если чт случилось, можно промониторить все с одного компа, а не ка сейчас. Прав я или это несущественно?

Прав или нет зависит от потребностей организации. Если организации надо "что бы эта белая коробка работала и показывала интернет на телевизоре", то и заморачиватся не надо. А если организации важна безопасность и контроль, то действуй =) К тому же если сеть уже лежит, то делается по идее все легко.
Тыкается шлюз в розетку двумя сетевухами, ну а компы уже гонят трафик через шлюз.

Как бы сказать... организации надо, чтобы админ, т.е. я, что-то делал, бегал с песнями по офису, тыкал пальцем в компьютеры и кричал "я знал! интернет существует!". Общими словами это можно описать так. В организации сеть устроено просто фигово, и это лишь одно из решений проблемы, которое может быть. и с этим решением я в первую очередь хочу упростить себе жизнь, как можно реже посещая этот офис и что-то там устраняя, т.е. хочу добиться большей мобильности и легкости обслуживания.

Получим бесконечный гемморой с одноранговой сеткой. К тому же, если будешь поднимать нормальную почту (по МХ) да и во многих других аспектах, поймешь необходимость локального кэширующего DNS сервера с форвардингом внешних запросов на DNS провайдера (можно конечно и без AD поднять DNS). Из опыта рекомендую поднимать ОТДЕЛЬНО AD, DNS, WINS, File Server и все. Т.е. тебе понадобится недорогой десктоп на AMD х2 4000-5000, 2 Гб ОЗУ, 2 HDD гигов по 500 в RAID 1 (винты чеплять на SATA 1\3 или 2\4, отрубить поддержку очереди команд в настройках оборудования - контроллеры SATA). На этом серваке храни весь офисный мусор, БЭКАПЫ 1С, дистрибы и т.п., можно запузырить для 12 ПК перемещаемые профили (тогда лучше винты поставить по 750-1000гб). Если у тебя 1С 8.0 или 8.1 и база SQLная, тогда на этот же сервак можно поставить сервер предприятия 1С (разнести его с сервером БД очень правильное решение), если файл-серверная версия 1С 8.0 или 8.1, тогда сервер предприятия тебе не нужен, но в любом случае для 1с восьмерки 12 юзеров лучше ставить SQL сервер БД и обращаться к нему через сервер предприятия (при правильной настройке SQL очень много геммора снимает), если 1С 7.7 - можно оставить в файл-серверном варианте (правда все зависит от объема БД, количества записей в справочниках, навороченнастью конфы и т.д.).
Теперь интернет-шлюз - канаешь на ru-board, в варезнике качаешь Трафик Инспектор и в соответствии с подробными инструкциями (на сайте производителя) настраиваешь. Для него тоже вполне подойдет обычная дестопная конфа, в дальнейшем на нем можно и почтовый сервак скрутить (для почтовика лучше сразу организовать RAID 1). В результате имеем Firewall, Proxy, SMTP шлюз (не забудь в ТИ для юзеров прописать почтовые адреса), отчет по трафику, гибкие шейперы, возможность разграничения трафика\скорости\сервисов\портов по группам, возможность закрытия контента и много чего еще.
Для 1С если файл-серверные БД - пару WD RAPTOR в RAID0 и пару раз в день (в обед и вечером) бэкап на AD сервер средствами, например, бесплатного cobian с подтиранием не актуальных бэкапов (больше недельных бэкапов держать нецелесообразно). Пользователи будут писчать от восторга. Если SQLная БД - тогда Core Quad 2,66 4-8 Гб ОЗУ, SQL 2000 (не 2005) Enterprise (кажется) со всеми сервис паками, Windows 2003 Enterprise Server x86 в boot.ini прописываешь /3gb /PAE /AWE в настройках SQL ставишь минимальный объем ОЗУ 4 гб и настраиваешь его в соответствии с рекомендациями. В свойствах SQL сервера, пока еще не создал базы, обязательно пропиши дефолтные пути для БД на один HDD, для журнала транзакций на другой HDD (сильно помогает в производительности), бэкап средствами SQL опять же на наш контроллер домена.
Будут вопросы - пиши, ликбеза правда не обещаю.
Добавлено спустя 3 минуты, 26 секунд
Забыл добавить SQL 2000 Standard не работает более чем с двумя гб ОЗУ.
Добавлено спустя 6 минут, 32 секунды
И того имеем 3 "сервера" по цене 1 навороченного сервака, крайне нецелесообразно кучу сервисов и приложений сосредотачивать на одной железяке (пусть даже самой навороченной и дорогой), дробление сервисов на независимые платформы - правильный путь. Если озабочен лицензионной чистотой софта - тебе прямой путь в Open Source (Open Suse Linux 11.0) рулит по полной!!! Даже графический интерфейс для настройки серверных приложений имеется. AD - на SAMBA, интернет шлюз - на SQUID + собственный firewall Suse, 1C 8.1 на postgree SQL (тут конечно потрахаться придется, но все решаемо).

Грамотно настроенная сетка не создает гемморой. Если я не прав, то почему?
Расписано все шикарно, чувствуется опыт, но в данном случае мне кажется это перебор. Для не совсем уверенного в своих желаниях начальства такая схема будет шоком. Да и для настройки все таки знания незаурядные нужны, особенно что касается 1с+SQL.

Зато эта схема гарантированно масштубируема, требует конечно вдумчивой первоначальной настройки, а настроить одноранговую сетку в принципе невозможно, в связи с особенностями реализации MS функции мастер браузера. Т.е. косяки и перехват функций МБ больными на голову ПК вещь в одноранговой сетке вполне обыденная. Пришла с утра тетя Хая, врубила свой PIII 500Мгц с убитой XP - вот вам и ограничение на количество TCP\IP коннектов и бегает весь офис башку парит админу - почему n-e количество ПК не видит сетевых ресурсов.
Добавлено спустя 2 минуты, 34 секунды
P.S. забыл добавить, что на Suse есть какой то собственный прокси сервер, настраиваемый через yast, но я его никогда не пробовал, да и не уверен что это именно сервер, ща перепроверю.

dvdm за столь расписанный план огромносе спасибо!
Но начальство это реально в шок повергнет, хотя бы из-за стоимости. Сейас речь идет пока о покупке лицензионной ОС Windows Server, нахождения свободного более-менее приличного компа под шлюз и покупке коммутатора, а если пойти по пути, который ты предложил, это затраты на 40-50к.

Если по пунктам, то почтовый сервак не нужен, это отпадает. 1С версии 7.7 вроде, 8 планируется позже. Теперь с самими серваками. будет замечательно, если переход на 8 версию 1С с SQL будет означать покупку нового компа для сервера, сейчас же пока 1С работает на простом компе, даже бекапов не делается, потому что не выделяли деньги на внешний хард. Поэтому сервер 1С можно пока оставить в покое, пусть работает до смены версии.

Что касается компа-шлюза и сервера AD, так ли необходимо размещать их на 2 разных компах? Если на одном, и пробовать поставить тот же Линукс, то по деньгам выйдет то же самое, что купить лицензию windows server, а эффект должен быть лучше.


но тем не менее, если использвать 3 сервера, как будет строиться сеть? от ИСА в здании -> шлюз -> коммутатор -> сервер 1С/сервер AD/пользователи?
Заранее скажу, масштабируемость не нужна вообще, как заверил начальник, то, что сейчас - максимум пользователей.

Да, и если для AD, какая конфа нормальна будет?

В общем сейчас пока задача - обойтись как можно меньшими денежными вливаниями, но с возможностью в будущем довести до ума сервер 1С.

Скорее ИСА -> шлюз -> AD ->... зачем свич если можно задействовать розетки?

Ставь шлюз и АД (как временное решение можно на одной машине), а сервак 1с на отдельной тачке внутри сети... а вот бэкапы все же следует делать.

в смысле как их задействовать? они же связаны с ИСА сервером напрямую, или сделать так, что просто поставить сервер, все компы подключить к сети от розеток, но при этом предоставить полный доступ через ИСУ, но ограничить в правах на сервере?

Как я понимаю, между ИСА и розетками полюбому есть свич, а это уже означает, что компы врубленные в розетку сообщаются между собой не через ИСА, а напрямую. Соответственно можно все компы направить не на ИСА, а на домен, а вот домен уже пустить через ИСА (или через шлюз сначала если он отдельно).

Если хотите все легально, то XP разрешает только 5 клиентских лиценций, и на сколько я знаю к ней доп. лицензии вообще не продаются и AD там нет. Если никогда не имели дел с NIXами , то Ваш выбор 2003 сервер, но придеться докупить лицензий. Вот почитайте http://www.microsoft.com/Rus/Licensing/General/Examples/Default.mspx
Если дейсвительно увеличение клиентских машин не предвидится, то в этом случае достаточно одного сервера. Сервер с двумя сетевухами одна для локалки вторая для инета, на нем же AD и базы 1С. Инет можно раздавать запустив службу ICS, а в качестве фаирвола можно юзать встроенный - это самый дешевый вариант. Если не дешевый вариант, тогда однозначно ISA Server 2006 (46000р) очень качественный фаирвол с подробными логами.

еще вопросы появились, после прочтения некоторых статей.

1. так ли целесообразен комп-шлюз? Можно ли вместо него поставить железный хороший маршрутизатор с возможностью отчетов о трафике и встроенным файрволом? естественно функции теряются многие, но по цене выходит значительно, много ниже
2. поставлю начальство перед выбором - либо виндос сервер, деньги и настройка+доп. софт, либо я пробую ставить линукс, но времени на настройку уйдет намного больше, но весь софт бесплатный. Реально ли настроить линукс на шлюзе, действительно дел с UNIX не имел, но нужно же начинать, а тут отличная возможность. В смысле, что есть ли толковые объяснения по настройке? и мнения тех, кто в таком же положении был, стОит ли оно того?
3. для установки прав пользователей в windows server используется контроллер домена сети, прог, которые вели бы учет трафика по пользователям и разрешали бы доступ в инет, для винды куча. Есть ли какие-нибудь проги для этого (установка прав и доступ в инет) на линуксе? или это то, о чем сказал dvdm, SAMBA?
4. можно ли будет при таком построении сети осуществить удаленный доступ к компам пользователей?
5. один сотрудник попросил поговорить с начальством насчет устаовки wi-fi, т.к. многие приносят ноуты с собой для работы, а розеток для всех не хватает, да и неудобно каждый раз им настраивать профили сети. Реально ли поставить вай-фай на использование всеми компами или это будет очень медленно? У меня дома 3 компа + 1 соседский (предложил использовать за плату мой инет), все по вай-фаю через роутер к инету подключаются, проблем нет. Но там же другой случай, постоянно обмен данными с сервером. будет ли решением подключить сервер 1С ерез кабель, а компы через вай-фай? не представляю, зачем им большая скорость для обмена между собой, а в инете им качать много нельзя)

1. Так ли =) Никакой маршрутизатор не даст тебе такой подробной информации которую даст шлюз с настроенным юзергейтом (или хотя бы керио, тоже не дурно)
2. Знаю что самба позволяет юниксам пользоватся расшаренными машинами с виндой (и наоборот), ну и связанным с этим настройка прав и т.д.. На счет же контроля доступа в инет, честно говоря не могу подсказать, но скорее всего то делается банально какой нибудь проксей =)

А действительно ли все так боятся шмона на пиратский софт? =)
Я относительно недавно стал изучать линукс и даже хз что посоветовать. С одной стороны документации в инете куча (на англ.) и неразрешимых проблем практически нет. Но знакомство с линуксом начинать с настройки шлюза наверное все таки немного круто =) Но рискнуть можешь, просто времени у тебя на это уйдет гораздо больше (зато правда получишь драгоценный опыт

Мне кажется чрезмерное усложнение. Компы через кабель, а вайфай как бонус для сотрудников с ноутбуками.

freewood спасибо что помогаешь

Только посмотрел, что у Микрософта есть предложить, нашел вот что: http://www.microsoft.com/rus/Windowsser ... fault.mspx, видимо эта версия идеально подходит под требования, да и стоит дешевле, чем другие. Ожида подвоха, но судя по списку ограничений, для моего случая там ничего больше и не надо. Так ли?

Есть волнение) у нас показушные процессы нормой стали, и под них подпадать ой как не хочется, потому и хочу оградить себя в первую очередь от каких-либо преследований)

а опираясь на свой опыт в настройке линукса, что можешь сказать, за 2 недели при нечастом появлении на работе (раза 2 в неделю, не больше) реально настроить? Глупый вопрос , понимаю, но начальству нужно все точно сказать, а свои силы переоценить боюсь)

пока не могу дозвониться сисадмину от арендодателей, выяснить, где к розетка соединение с ИСА сервером идет. Если идет внизу, у арендодателей, а от розеток кабели все проложены в стенах и к ним доступа нет, сам понимаешь, тянуть провода на 10 компов от коммутатора по всему офису - нелепая затея, мало того что провода будут мешаться, так и не надежно, могут порвать, или еще что.
Но если не серет, в чем усложнение? По параметрам подключение через вафлю не сложнее, чем через кабель.

Да, этой версии хватит.

Если посвящать этому будешь не только два дня в неделю, а и остальное время, то реально и за день =) Но приготовься очень много читать (в т.ч. и по англ), это я к тому, что без помощи коммьюнити какого либо дистрибутива не обойтись.

Так а зачем провода если компы уже к розеткам подключены?

Усложнение если нету готовой сети проложенной. Ну кабель все таки надежнее и быстрее. Но. Если компы не слишком удалены друг от друга, то можно и точку поставить.

Только посмотрел, что сколько стоит, микрософт разрывет мозг(( все версии коробочные продаются на 5 клиентских лицензий, причем я так и не понял, где же докупить лицензии на остальные компы. Более того, нельзя просто взять и поставить определенное кол-во лицензий на доступ к серверу в зависимости от кол-ва подключений, есть только лицензии на пользователя (один ользователь зходит с нескольких компов) и на устройство (с одного устройства заходят несколько пользователей).
Либо я чего-то не догоняю, либо у них система мега неудобная, как купить Microsoft Server, чтобы с ним использоалось 10+пару ПК?


но выход-то от розеток находится на другом этаже, как подсоединить их к коммутатору от шлюза в офисе?
Добавлено спустя 19 минут, 12 секунд
Нашел нормальную тему с лицензированием продуктов от микрософт... это ужас полный, надо же было так придумать... Линукс по цене (бесплатно) и удобству (не надо заботиться о лицензировании) выше в сотни раз.

Хм, может быть я не прав, но видится мне так. Шлюз тыкается в розетки, компы тоже в розетки (свич не нужен), и компы просто направляются через шлюз по IP (ведь они в одной сети все).

а это чем-нибудь чревато? они же в этом случае обращаются к моему серверу через сервер арендодателя, а мне хочется, чтобы только через мой.