Всем здравствуйте. Давно знаком с сайтом oszone.net, его разделы по Автоматической установке, твикам, сервисам Windows, образно выражаясь, дочитал практически до дыр.
Но вот с сетевыми службами Windows как-то не заладилось, возникло множество вопросов, поэтому решил обратиться к вам, коллеги. :)
Начнем по порядку.
Я работаю в одном из петербургских колледжей, у нас имеется примерно 40 компьютеров административного штата, и 45 компьютеров в трех компьютерных классах (примерно по 15 компьютеров в аудитории).
Изначально, учебный процесс был построен так:
Сервер на базе Windows 2003 Server, на нем был включен Terminal Services, создано где-то 15 учетных записей (по записи на группу, вида "161-ШМ" и т. д. ..), на каждой из машин запускался rdp, и студенты совместно насиловали бедный сервер, запуская какой-нибудь photoshop. В пики загрузка памяти уже в несколько раз превышала размер физической, во многом благодаря тому, что автоматического завершения сеанса отключенной сессии rdp не происходило.
Я уже год работаю в данном учебном заведении, дошли руки до реорганизации сети, так как данный ужас наблюдать как-то не хочется.
А что хочется:
- сеть с единой базой пользователей, едиными групповыми политиками, параметрами безопасности (причем я хочу создать по учетной записи на каждого студента, это будет несколько сотен);
- возможность работы каждого пользователя со своими документами с любого компьютера сети;
- возможность централизованной доустановки ПО на учебные компьютеры;
- возможность использования интернета на всех ПК;
и немного специфики:
- централизованное обновление времени через ntp;
- автоматическое очищение всех данных кроме указанных папок (есть ли решение поизящнее ShadowUser, через домен?);

Почитал-почитал (http://www.mista.ru/articles1c/active.htm), понял, что мне подойдет технология Active Directory.
В связи с этим просьба помочь разобраться, что, как, и за чем следует.

Я начал процесс с:
- установки Windows Server 2008;
- переразбиения дискового пространства (отдельный диск под систему, отдельный диск под swap и логи домена, отдельный диск под данные);
- установки всех имеющихся на данный момент (29.07.09) обновлений (их больше 40 штук);
- установки статического ip для сервера;
- попытки создания (по всей видимости, неуспешной) DNS-сервера для Active Directory в "ролях" сервера;
- настройки своего сервера как контроллера Active Directory в моем домене.


Какой-то там домен создался, конечно. Назвал его study.local. Я увидел, что единственная на первое время учетная запись "Администратор" стала отображаться как входящая в домен (STUDY\Администратор). Создал тестовую учетную запись в домене. (STUDY\test)
Пошел пробовать на учебном компьютере (Windows XP SP2). Стал вводить в домен (мой компьютер - свойства-сетевая идентификация), выдал такой текст:

Замечание: эта информация предназначена для сетевого администратора. Пожалуйста, сообщите эту информацию вашему сетевому администратору. Для удобства, она уже сохранена в файле "C:\WINXP\debug\dcdiag.txt". При запросе DNS записи ресурса размещения службы (SRV), используемой для выяснения размещения контроллера домена для домена "study.local" произошла ошибка: Произошла ошибка: "DNS-имя не существует." (код ошибки: 0x0000232B RCODE_NAME_ERROR) Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.study.local К возможным причинам ошибки относятся: 1. SRV-запись DNS не зарегистрирована в DNS 2. Одна или несколько зон из указанных ниже не включает делегирования своей дочерней зоне study.local local . (корневая зона) Для получения сведений об исправлении этой ошибки щелкните кнопку "Справка".

Больше времени на работе уже не оставалось, я сохранил это сообщение выше, экспортировал логи службы журналов в формате evtx (который сам теперь и не могу открыть на xp, может вы сможете), и пошел домой, размышляя о том, что же я сделал не так.

DNS - сервер я создал, но я скорее всего его неправильно настроил, так и не разобравшись на практике, что есть зона прямой видимости, и зона обратной видимости.

Небольшое пояснение: интернет мы получаем от другого учреждения со своим доменом (uwc.local).
Роутер автоматически выдавал ip, настройки шлюза (10.20.0.1), dchp (10.20.0.1), dns (10.0.1.10), и вписывал в тот домен.
Настройки того домена мне контролировать неподвластно, но хотелось бы продолжить пользоваться интернетом, будучи уже в своем домене.

Что делать дальше? Куда копать? Хотелось бы услышать советы по всем пунктам моих "пожеланий" и вопросов.

Заранее спасибо! Надеюсь на вашу помощь. Извините за сумбурность мыслей.

В общем так. Несколько нюансов:
1. Я бы порекомендовал поставить 2003 сервер вместо 2008 просто по той причине, что 2003 уже проверен и вам будет проще с ним возиться(нет проблем с IPv6 и прочим).
2. Необходимо установить Active Directory, при вопросе о создании и настройке DNS сервера надо ответить утвердительно. В настройках сетевой платы контроллера домена в качестве DNS сервера надо сразу указать адрес этой машины. Только не 127.0.0.1, а реальный адрес.
3. После установки AD можно вводить клиентов в домен через сетевую идентификацию.
4. Интернет НАСТОЯТЕЛЬНО рекомендуется перенести на другую машину, прокси сервер и контроллер домена на одной машине - ЗЛО :).
Как выполните все действия, обращайтесь :) Могу помочь через ICQ.

1. Да вы знаете, 2003 может она конечно и более проверенная, но по сути, архитектура-то та же, да и не хочется удалять свежепоставленную и обновленную винду, тем более официальную :) А IPv6 я вообще отключил в своем сетевом соединении.
2, 4. Прописал, про указание реального адреса DNS не знал, спасибо. Только вот с самим DNS я думаю, намудрил. Единственные ворота в интернет для нас - это DNS-сервер с ip 10.0.1.10. Откуда мой DNS будет знать, что надо брать таблицы соответствия не напрямую в интернете, а попросить у "коллеги"? :) Как настроить перенаправление на другой DNS? Интернет и так уже на другой машине (не в нашем учреждении), она в другом домене. При этом ip DHCP и по совместительству, "шлюза" , 10.20.0.1, пингуется, а DNS- сервер 10.0.1.10 - нет.
3. Писал уже, вписывал, но не вписываются. Текст ошибки написал.

Дополнительные сведения:
ipconfig /all:


Имя компьютера . . . . . . . . . : srv
Основной DNS-суффикс . . . . . . : study.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : study.local

Ethernet adapter Локальная сеть КВТ:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение с ускорением ввода-вывода Intel(R) PRO/1000 EB #2
Физический адрес. . . . . . . . . : 00-18-F3-F8-A8-DD
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 11.0.0.1(Пробный)
Маска подсети . . . . . . . . . . : 255.255.255.224
Основной шлюз. . . . . . . . . : 0.0.0.0
11.0.0.1
DNS-серверы. . . . . . . . . . . : 11.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен


dcdiag:

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = srv
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\SRV
Запуск проверки: Connectivity
Узел 60b48a91-8e20-4ba7-952e-e38797086405._msdcs.study.local не
удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера
и т. д.
......................... SRV - не пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\SRV
Пропуск всех проверок, поскольку сервер SRV не отвечает на запросы службы
каталога.


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: study
Запуск проверки: CheckSDRefDom
......................... study - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... study - пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: study.local
Запуск проверки: LocatorCheck
......................... study.local - пройдена проверка LocatorCheck
Запуск проверки: Intersite
......................... study.local - пройдена проверка Intersite

1. Я бы порекомендовал поставить 2003 сервер вместо 2008 просто по той причине, что 2003 уже проверен и вам будет проще с ним возиться(нет проблем с IPv6 и прочим). »
Не согласен. Windows Server 2008 - отличная система. Не стоит делать шаг назад.
brz, поищите в Интернет книгу Федора Зубанова "Active Directory: Подход профессионала", она написана очень понятным языком и не потеряла актуальности до сих пор. Поверьте, так будет лучше, Вы приобретете фундаментальные знания по технологии, они пригодятся Вам на всю жизнь. А с конкретными проблемами и вопросами поможем, присоединяюсь к другу Delirium'у. Правда я чаще нахожусь в MSN, адрес есть в профиле, обращайтесь.
Рекомендую также основательно проштудировать следующие разделы TechNet:
http://technet.microsoft.com/ru-ru/library/dd378891(WS.10).aspx
http://technet.microsoft.com/ru-ru/library/cc772973(WS.10).aspx
http://technet.microsoft.com/ru-ru/library/cc780036(WS.10).aspx
Многие ресурсы, к сожалению на английском, но хороший специалист не может не знать этого языка.
Теперь по поводу конкретных вопросов, озвученных выше:
Единственные ворота в интернет для нас - это DNS-сервер с ip 10.0.1.10. Откуда мой DNS будет знать, что надо брать таблицы соответствия не напрямую в интернете, а попросить у "коллеги" »
Это называется пересылка. В свойствах Вашего DNS-сервера, на вкладке "Пересылка (Forwarding)" вы можете указать FQDN или IP-адреса вышестоящих серверов. В этом случае если клиент не смог получить адрес от внутреннего сервера, запрос будет переслан на сервер провайдера. Только на файрволле не забудьте открыть доступ по протоколу DNS Query (53 UDP).
Также настоятельно рекомендую обратить внимание на технологию DHCP. Это позволит Вам централизованно управлять сетевыми настройками клиентов.
Ну и в завершении: для описанных 85 клиентов, если я конечно правильно понял, одного сервера для ролей DC, DNS, DHCP, Application Server, File Server, Proxy и Terminal Server - катастрофически мало. Подумайте над возможностью разнесения ролей.

Не согласен. Windows Server 2008 - отличная система. Не стоит делать шаг назад. »
Согласен, что не стоит, просто я, к своему стыду :o , до сих пор не видел 2008 сервер :lol: :durak: :blush2:

Oleg Krylov, спасибо за рекомендации. Да, вы правы, стоит хотя бы поверхностно ознакомиться с вопросом, а потом уже донимать коллег. Это я хотел не обладая никакими знаниями по AD, полностью настроить его необходимым мне (см. выше) образом за пару дней, чтобы успеть до своего отпуска, наивный :)

И вы знаете, для ознакомления с материалом в интернете я, конечно, нашел книгу Федора Зубанова "Active Directory: Подход профессионала", она везде где я видел, была в ужасном качестве pdf. Поэтому я купил в питерском "Доме книги" пособие Дэна Холме, Нельсона Реста, Даниэля Реста "Настройка Active Directory Windows Server 2008 (экзамен 70-640 MCTS)".

Вот начался мой отпуск, и я поеду на юг с тысячестраничным талмудом, а уж после - дам о себе знать :)

Всем спасибо!