привет.
не знал как обозвать тему, прошу прощения..
не знал куда написать, вопросы разноплановые, если не туда, переместите, пожалуйста.

что есть на данный момент:

- головной офис (200 компов);
- 4 удаленных офиса(10-80 компов), соединенных с главным оптоволокном.

что нужно:

до сих пор нет домена(!!!), хочется исправить эту досадную ситуацию.
также сделать почту, файл-сервер, веб-сервер, инет-шлюз.

возникает куча вопросов, а именно:

1) делать один домен(оптика-таки) или в каждый офис свой?
2) сколько брать серверов(стоечных) для всего этого хозяйства? по одному на каждую задачу?
3) какие брать сервера для такого количества компов(в общей сумме около 350)?
4) какой нужен софт(из дополнительных), для обеспечения всего этого, я полагаю:
- сами операционки(2к3)
- exchange
- isa
- mssql нужен? без него не обойтись?
что забыл?

для начала все, спасибо заранее.

1. в каждый офис свой » (Лучше создать лес доменов, если есть задачи централизованного управления, да и потом с установкой доверительных отношений не будет проблем.
2.сколько брать серверов »
Желательно по два в каждый домен (для обеспечения надежности).
какие брать сервера »
В качестве домен-контроллеров слишком мощные не нужны; под почту, терминалы и файлы выбирайте самостоятельно исходя из количества пользователей.
- isa »
Если оптика - лучше поставить железячные маршрутизаторы.
mssql нужен »
Для чего?




2.

Для чего? »
думал, для ISA.
(Лучше создать лес доменов, если есть задачи централизованного управления, да и потом с установкой доверительных отношений не будет проблем. »
т.е. один сервер с лесом доменов на все офисы?
а если сделать один домен и разбить все при помощи OU?
Желательно по два в каждый домен (для обеспечения надежности). »
т.е. второй дополнительный сервер к первому контроллеру домена?

т.е. один сервер с лесом доменов на все офисы »
т.е. в каждом офисе по два АД контроллера настроенные на доверительные отношения между собой. Главным будет - в главном офисе.
файл-сервер, веб-сервер »
Для файл сервера и веб советую использовать UNIX + SAMBA, APACHE, имхо сократит лишние расходы (если знаете *никс).
оптика-таки »
ну и что? сети то разные в удалённых...
Если оптика - лучше поставить железячные маршрутизаторы »
вы думаете софтовые не подойдут? У нас оптика приходит на http://www.olencom.net/ устройства, а потом сразу в ИСУ 2004. Я думаю разницы нет. Из железок смотрите D-link DFL-XXXX (я работал с DFL-800 обеспечивает ВПН + IPsec)

а если сделать два контроллера домена(основной и резервный) с одним лесом и одним доменом только в главном офисе, и разбить офисы при помощи OU? чем это грозит?

чем это грозит? »
во-первых трафиком.
во-вторых если главный офис останнется без света, то удалённые пользователи не смогут залогинится на свои компы.
в-третьих (главное):
если есть задачи централизованного управления »
В главном - главное управление ВСЕГО, но при необходимости удалённые офисы админятся сами (если им делегированы соответствующие права).

1. есть требование, чтобы всё находилось в главном офисе, и домен, и файл-сервер, и даже инет, так что трафик, думаю, не главное.
2. проблема, да.
3. делегирование прав на OU.

проблема, имхо, только в электроэнергии.

в догонку.

пример:

1. если сделать в каждый офис по домену и файловому серваку(с репликацией доменов, профилей пользователей и прочего), то при потере связи с главным - по сути, ничего не изменится и работать они будут в штатном режиме, а при последующем восстановлении связи все реплицируется нормально.

2. если сделать один домен и файловый сервер в главном офисе, и сделать репликацию между профилями пользователей филиалов с главным офисом, и связь потеряется, то доступ они будут иметь только локальный, с сохранением их профилей.

оба утверждения верны?

оба утверждения верны »
да.

во-вторых если главный офис останнется без света, то удалённые пользователи не смогут залогинится на свои компы. »
я тут почитал про AD 2003:
Для входа в систему не нужен доступ к глобальному каталогу:
При входе в домен, находящийся в основном режиме Windows 2000 (native-mode), необходимо вступить в контакт с сервером глобального каталога (GC - Global Catalog) для обработки универсального группового членства пользователя. Эта групповая информация требуется для того, чтобы создать лексему доступа пользователя. Для избежания ситуаций, в которых пользовательские входы в систему отклоняются из-за выключенной связи с GC, обычная практика при проектировании Active Directory состоит в размещении глобальных каталогов в тех местах, которые соединены с основной сетью менее надежными сетевыми связями. Теперь контроллеры домена Windows Server 2003 можно сконфигурировать так, чтобы информация универсального группового членства кэшировалась, и пользовательские входы в систему могли быть обработаны без контакта с GC. В результате не требуется, чтобы каждое удаленное место расположения компании имело GC-каталог. Кроме того, при отсутствии GC-каталога на каждом удаленном сайте трафик репликации по сетевым соединениям, связывающим эти сайты, уменьшается.
вот как... кто проверял? теперь я понимаю - залогинется можно, но вот с правами на доступ к ресурсам будут проблемы.

В АД есть понятие кеширования последних логинов. Т.е. даже при отсутсвии домен контроллера пользователь может залогинися на компьютери если до этого он входил но него, и при условии что с этим компьютером работало после него пользователей не больше чем забито в кеше, поумолчанию по мойму 10.
А ресурсы естественно будут не доступны, хотя в w2k3 и есть понятие кеширования сетевых файлов.