» Нужны советы - как и на чем построить сеть 130пк

Alukardd

Цитата:

есть такое...
Однако при отсутсвии физических ресурсов я уже 2года сижу только с PDC.

Это частности и скорее исключение из правил, подтверждающее само правило. Потому как восстанавливать/менять домен при отсутствии контроллера - это геморрой ещё тот.

Ruza
Цитата:

восстанавливать/менять домен при отсутствии контроллера - это геморрой ещё тот.

есть такое))) Когда переустанавливал систему с 2k3 на 2k8 напарился с переносом данных AD. (в итоге воспользовался встроенной утилитой csvde)

Alukardd

Цитата:

Когда переустанавливал систему с 2k3 на 2k8

Вопрос к вам, как к сделавшему ЭТО.
Я тоже ожидаю обновления оборудования. Терминальный сервер собираюсь на 2008 переводить. Причина - RemoteApp. До 20 юзеров должны в 1С сидеть. А стОит ли домен на 2008 переводить? У большинства юзеров - ХР, Win7 будет максимум у 10. Перемещаемых профилей нет.

Приветствую всех. Решил все попробовать сначала на виртуалке. Поставил win2k3 на нем поднял dns и ad. Далее установил на другую виртуальную машину freebsd и на нее поставил DHCP. Скажите как должны работать связка? Нужо ли еще что то доустанавливать, чтобы фряха раздавала винде инет? я где то читал что надо еще какой то клиент ставить. Можете помочь с этим вопросом?

ytkaaa Темы по VmWare: Ссылка
Выбирай любую, читай до прояснения, задавай там же вопросы, если что-то конкретно непонятно. Кури соответствующие мануалы до просветления или до посинения. Волшебного слова, чтобы все сразу заработало, никто тебе не скажет.

Тебе нужны рабочие решения за деньги или поковыряться и сделать бесплатно?
Если рабочие - в качестве шлюза лучше взять что-то вроде ideco.
Если поковыряться то ставь linux/freebsd: http://opennet.ru/ -там много How-to
Чтобы настроить и разобраться самому уйдет пару месяцев минимум.

У меня опыта работы с никсами нет поэтому все поднимал на винде. 2 сервера - оба под под 2003 сервером. на одном из них крутятся виртуалки со шлюзом на керио + почтарь на мдаемоне + контроллер домена с ДНС. На втором терминал с пачкой приложений (1С и т.д) Адресация статическая без ДХЦП. Пока сеть состоит лишь из 25 клиентских компов. Аптайм стабильный, перезагрузки выполняю лишь тогда когда делаю какие либо работы сам. При таком количесве юзеров в сети этой конфигурации по производительности вполне хватает

Цитата:

2. Сервер Win2k3 на котором - AD, DNS (Primary Domain Controller)
2.1. Сервер Win2k3 на котором - AD, DNS (Backup Domain Controller)

небольшое замечание: в 2003 домене все контроллеры равноправны, нет primary или backup. Правда есть 5 ролей FSMO, контроллеры с ролями которых в домене присутствуют в единственном экземпляре, и среди них присутсвует роль эмулятора PDC. А глабальный каталог при желании можно хранить на всех контроллерах

Однако богатая у вас школа. Несколько лицензионных Windows серверов, да еще 130 калов к ним.... Под четверть ляма потянуло?

Кстати, как там школьный проект от компании ALtLinux? Такие деньги в него государство вбухало. И кстати, если верить рекламе их поделие должно полностью удовлетворить все ваши потребности. Но вот использовать это кончено мазахизм.

DNS. Вы разобрались что вообще ваш DNS сервер будет делать?
Я бы на него возложил локальную зону с DDNS, и режим форвардинга на специализированный DNS сервер, что бы решить проблему с нежелательным коннектом. И ставить его только на *NIX систему.
Хотя функцию поддержки локальной зоны можно возложить и на Windows, но вместе с DHCP. Так меньше граблей будет, при настройке A&D, особенно если вы впервые ставите A&D.

A&D на *nix системах вообще не возможно поставить. Есть возможность поставить домен, но извращение редкостное, и начинающему обычно не под силу.

И самое главное, вы определитесь, зачем вам A&D нужен. По задачам и решение.
Вот пока нет ответа на этот вопрос, обсуждать остальные просто бессмысленно. Тот же файловый сервер более надежно разместить на *nix системе, но опять же зависит от ответа на предыдущий вопрос.

И нет ни слова о клиентской ОС. Это то же на много влияет. Например если ХРюша отлично вписывается в *nix'овый домен, то завести туда 7ку у вас вряд ли вообще получится, а для клиентов на базе *nix системы домен делается совершенно по другому.

А по удобству администрирования....
Я все через текстовые файлы делаю. Мне так удобней.

Если есть деньги на третий сервер, и на второй лицензионный Windows сервер, то на нем в обязательном порядке поднять вторичный контролер домена.

Всем всем здрасте...Вот пришел на новую работу и сразу столкнулся с задачей, требующей советов более квалифицированных специалистов нежели я (видимо последняя работа в школе сказывается)...
Имею:

(Там где АД там же и DNS,DHCP)

+ новый HP ProLiant DL380 G7 пришел под 1с 8.2 Сервер 64х \ SQL Server 2008 на W2008 x64

Intel® Xeon® E5520 2,26 ГГц
Кэш-память 3-го уровня 8 МБ (1 x 8 МБ)
Чипсет     Intel® 5520
DDR3 Registered (RDIMM)
Стандартная память 6 ГБ (3 x 2 ГБ)
Шина FSB 1066 МГц
144 ГБ (18 x 8 ГБ) для конфигураций с буферизованной памятью
Слоты для памяти     18 слотов DIMM
Контроллер хранилища    Контроллер HP Smart Array P410i/256 МБ

Итого 6 серверов... Всё на винде, Юниксов и прочих штук нет.
Чует моё сердце что судя по картинке, как то нерационально использовались сервера...
Инет идет через железо (Check Point UTM-1 EDGE-X)
Локальная и глобальная сеть разделены...

Посоветуйте, что для чего использовать при моём железе, что вообще можно выкинуть =)

Пожелания: Ко всему прочему, скоростная 1С (возможно терминальный доступ), Отказоустойчивый контроллер домена, WSUS, сайт. Еще бы хотелось услышать совет по поводу использования виртуальных серверов....Слышал, но никогда не сталкивался....То что в вики прочитал понятно, а на практике как это спасает? Спасибо большое за ваши ответы заранее...

Отказоустойчивый контролер домена делается на двух физических машинах.
Одна первичный, вторая вторичный контролер домена. Естественно, на обе DNS и DHCP. При наличии файлового сервера, строится дерево.

Смысл в WSUS есть только при большом количестве разнообразных клиентов. Для мелкой сети в сотню машин, и паре типов клиентов, это уже не нужно, и в легкую заменяется правильно настроенным прокси сервером. Хотя если есть SQL сервер, то можно и поставить.

Для сайта, желательна все же UNIX система. Наружу выпускать его опять же через прокси, или ставить на гейте. Гейт в любом случае делать на юниксе. Проксю на винде поднять можно, но эффективных решений под винду нет. Ставить на гейт windows это ССЗБ.

И потом, зачем тебе локальный сайт? Об этом очень стоит сильно подумать. На 95% уверен, что грамотно ответив на этот вопрос, ты поймешь, что хостинг лучше будет купить. Если желание делать не сайт компании, а аналог "стент газета + доска объявлений" для внутрифирменного использования, то тут вообще по барабану на чем делать и где хостить.

Виртуальные серверы....
Я думаю обычную VMware Workstation или ее аналоги знаешь?
Вот серверы мало от этого отличаются. Грубо говоря на таком сервере нет хостовой оси.

MisHel64

Altlinux загнулся не успев начаться. Нам сначала разослали его - мол теперь все на спо, а потом лицензию ХР продлили до 2014г Соответственно остались на хр (все клиентские машины) и спо само собой отпало на несколько лет.

Но вот для раздачи интернета, я всетаки хочу фрибсд. (дхцп)
Днс-сервер будет работать вместе с АктивДиректори (поэтому скорее всего на Win2k3 - не разберусь с настройкой *nix)

Про AltLinux спросил... Просто сам несколько лет назад все сервера перевел на Alt, (о чем до сих пор жалею). И в списках рассылки регулярно читал о крутости школьного проекта, и его массовом внедрении. Вот и хотелось узнать реальное положение дел. Спасибо.

Про DNS. По факту DNS сервер в локальной сети должен выполнять несколько ролей.
1) Ресолвер
2) поддержка внешней зоны (если нужно)
3) Поддержка локального SLD
4) Поддержка локальной зоны с возможностью DDNS

Вот 4ю возможность, можно для начала реализовать на Windows. Но тогда там же придется поднимать и DHCP сервер, для простоты настройки DDNS. Функция DDNS очень нужна именно для A&D. По этому DHCP и DNS (хотя бы для локальной зоны) для начала нужно ставить на Windows.

Кеширующий, DNS сервер, то есть ресловер для локальной сети, а именно он вам и нужен, на UNIX системах поднимается не просто, а очень просто. Так что нечего пугаться.

Выбор BSD системы одобряю полностью, и считаю его самым оптимальным для поставленной задачи.

а если все сделать на одном сервере с вин_2003? Т.е. на нем будет ад, дхцп, днс и контент фильтр - ну это для рспределения всем инета. А второй тоже на вин_2003 для файл_сервера. Ну и третий сервер сделать как первый для отказоустойчивости

Вроде в начале странице есть ответы на все вопросы.
Что-то конкретно не понятно, или как?

просто не могу определится с выбором серверной ос. у меня у знакомого админа, который уже 30лет админит все на win. не переваривает он юниксы...

Цитата:

у меня у знакомого админа, который уже 30лет админит все на win. не переваривает он юниксы...

он просто не умеет их готовить!

ytkaaa
Цитата:

у меня у знакомого админа, который уже 30лет админит все на win

Windows NT 3.1 появился только в 1993 году, так что непонятно, чего он там 12 лет до этого админил. До этого серьезные сетевые решения были только на Unix и NetWare ( не принимая в учет всякие мертворожденные вещи типа Banyan Wines или Artisoft Lantastic).

Цитата:

просто не могу определится с выбором серверной ос.

Сделай ХОТЬ ЧТО-НИБУДЬ!!!
Нельзя ж людЯм месяц мозги клепапть, и ничего не делать!!!

Цитата:

просто не могу определится с выбором серверной ос.

Да вроде все ответы дали. Во первых, похоже у вас есть некое не понимание назначения серверов и серверных ОС. Это не просто крутое железо и некая специально написанная ос с гордым названием СЕРВЕРНАЯ ОС.
Сервер, это не более чем компьютер, и не обязательно с крутой и дорогостоящий начинкой. На котором стоит некая ОС, которая решает некоторые задачи. Вот и плясать надо от постановки задачи.

И наверное стоит перечитать еще раз весь топик. Все советы, все рекомендации вам уже даны.

Доброго времени суток, господа.
Вообщем делаю по такой схеме:

1. Сервер FreeBSD на котором - DHCP, NAT, IPFW
2. Сервер Win2k3 на котором - AD, DNS, DHCP
3. Сервер Win2k3 - файловый.

все поставил,поднял домен на Win2k3. Теперь вот надо завести FreeBSD в домен. Как это сделать? где можно почитать? я гуглил и нигде толком ничего не описано, а если и описано, то настолько заумно, что я разобраться пока что не могу. Вычитал, что нужна samba - так это или не так?

Цитата:

Теперь вот надо завести FreeBSD в домен.

Сразу вопрос: зачем? - для перечисленных ролей
Цитата:

DHCP, NAT, IPFW

этого не требуется. Но если такое навязчивое желание все-таки есть, то для этого надо ставить и настраивать самбу, не забыть еще и про керберос. Если домен нужен для того чтобы организовать аутентификацию пользователей на прокси, используя средства AD, то ИМХО лучше будет использовать LDAP-аутентификацию. По личному опыту скажу что работает более стабильно нежели через winbind, хотя есть свои особенности.

Еще замечание: если в никсах не особо разбираешься, то лучше для ната и фаервола использовать pf, а не ipfw + нечто для НАТА (ядерный, natd, ng-nat и пр). У него синтаксис и логика проще для понимания

О спасибо за ответ, думал уже не ответят... слишком уж я задолбал этой темой все форумчан(
Просто купил книгу по фрибд, читаю, а по моему вопросу мало что есть. Гуглю - тоже мало что нахожу по своему вопросу.

Вообщем как я хочу организовать. У меня есть серввак на Вин2к3 на котором поднят домен и АктивДиректори + ДХЦП. (тут будут пользуны и группы для которых я буду назначать права), а ФриБСД нужен только для расдачи интернета и фильтраиции трафика, но с обязательной аутентификацией в домене (тоже вопрос - обязательно ли заводить в домен, чтобы работать с группами пользунов?). Вот мне кажется чтобы все пользуны из АД получали инет, на ФриБСД надо поднять ДХЦП, НАТ,ПФ (или дхцп необязателен на фряхе?)

Цитата:

обязательно ли заводить в домен, чтобы работать с группами пользунов?

как я уже писал это не обязательное, если в сквиде использовать ldap_auth Пример настройки http://www.opennet.ru/base/net/squid_ldap_ad.txt.html Если же использовать ntlm-авторизацию, то введение в домен обязательно, но из всей самбы нужен будет только winbind.

Если же планируешь выпускать в инет через нат в чистом виде, то авторизацию в AD не прикрутить, во всяком случае я не представляю как это можно сделать


Цитата:

чтобы все пользуны из АД получали инет, на ФриБСД надо поднять ДХЦП

ты вообще представляешь для чего предназначен протокол DHCP? думаю когда разберешься подобный вопрос отпадет сам по себе

дхцп нужен для того чтобы пользуны получали айпи-адреса автоматом, чтобы не бегать по всем компам и не прописывать вручную

все. все меня игнорируют. Оставили на произвол спо и вин2к3

Цитата:

Сделай ХОТЬ ЧТО-НИБУДЬ!!!
Нельзя ж людЯм месяц мозги клепапть, и ничего не делать!!!

точно было сказано. Ты сделай хоть что-нибудь и задавай конкретные вопросы: в духе сделал то и то, выдается такая-то ошибка. А то дальше рассуждений что надо бы все сделать хорошо дело не доходит

Цитата:

все. все меня игнорируют. Оставили на произвол спо и вин2к3

Это не верно. Отсутствие базовых понятий у вас ведет к неправильным вопросам, и не пониманию вами сути вещей. А на не правильно заданный вопрос, не возможно получить ответ.
И еще. Два DHCP сервера при вашем уровне знаний, это такое раскладывание граблей.....


Цитата:

дхцп нужен для того чтобы пользуны получали айпи-адреса автоматом, чтобы не бегать по всем компам и не прописывать вручную

Это не верное представление о роли этого сервера. Да, он это делает, но также делает массу других вещей.

Народ, установил фряху на сервер. начал настраивать и возникли вопросы:

Значит на ФРИбсд два интерфейса:

em1: 192.168.5.22 - внутренняя сеть
em0: 128.0.0.10 - внешняя (получает интернет от роутера с адресом 128.0.0.3)

В файле /usr/src/sys/i386/conf/ GENERIC - пересобрал ядро с опциями:

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=5
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options IPFIREWALL_DEFAULT_TO_ACCEPT

Далее настроил файл rc.conf вот так:

hostname="freebsd.mydomain.ru"
defaultrouter="128.0.0.3"
ifconfig_em0="inet 128.0.0.10 netmask 255.255.255.0"
linux_enable="YES"
sshd_enable="YES"
# Интернет-шлюз
ifconfig_em1="inet 192.168.5.22 netmask 255.255.0.0"
gateway_enable="YES"
natd_enable="YES"
natd_interface="em0"
#natd_flags="-f /etc/redirect.conf"
firewall_enable="YES"
firewall_type="open"
#firewall_script="/etc/firewall.conf"
router_enable="YES"
router="/sbin/routed"
router_flags="-q"

Перезагрузился.

Теперь соседняя машина с адресом 192.168.5.5 не пингуется и пишет - Permission denied
Не работает интернет и пишет - host name lookup failure


Добавлено:
подскажите где напортачил? и вообще - правильно ли я начал настраивать?

ytkaaa
Можешь обяснить зачем тебе нужны:

Цитата:

linux_enable="YES"
....
router_enable="YES"
router="/sbin/routed"
router_flags="-q"

сомневаюсь, что эти опцииу тебя действительно задействованы. Я бы их вообще выкинул из rc.conf, это для начала.


Цитата:

Теперь соседняя машина с адресом 192.168.5.5 не пингуется и пишет - Permission denied
Не работает интернет и пишет - host name lookup failure

покажи вывод ipfw show , мне кажется что все блочит фаервол.

По всей видимости мой совет использовать pf, который ИМХО проще для понимания с нуля нежели ipfw не был услышан