Условия:
Имеем:
а. Приход инета по оптичке.
б. 2 сервера (в каждом 2 сетевых интерфейса)
в. набор программных продуктов Майкрософт: Win 2008 r2 Enterprise; Forefront TMG; Exchenge serv.
г. Точки доступа wi-fi, для пользования инетом клиентов в общественной зоне (клиенты сторонние, только инет никаких офисных ресурсов)
Задача:
а. Организовать офисную сеть порядка 50 PC, с возможностью контроля трафика.
б. Поднять домен и почтовик, как я понимаю суда же и входят правильная настройка DNS.
в. Также необходимо что бы все это хозяйство работало на DHCP, с учетом того что, будет как бы 2 диапазона (1-офис с доменом и тд., 2-сторонние клиенты которые просто должны иметь выход в инет и не могли навредить первой сети (чтобы даже не подозревали о ней).
Жду любых грамотных советов, в свою очередь как только все заработает оформлю все это в красивую статью и размещу здесь.
P.S. теорию читал, вот теперь собираюсь заняться практикой, есть опыт в малых сетях, а вот с таким хозяйством да еще и с нуля сталкиваюсь в первые (еще будет не меньше 3 серверов со сторонними ПО+цифровая АТС).
Спасибо!

и так начнём:

1) интернет, оптику в сервер сразу не воткнуть - дорого, поэтому там будет конвертер, на выходе получаем Ethernet.
2) Выбор шлюза + трафик:
--- а) железный маршрутизатор, в этом случае учёт трафика будет не особо удобен, ибо не все бюджетные модели поддерживают подобное (NetFlow).
--- б) шлюз на винде (ISA, Tmeter и т.д.) или Юникс (SQUID, NETams и т.д.)
В первом случае настройка будет проще, чем во втором.
3) Контроллер домена + ДНС - тут всё просто, берём и устанавливем. НЕ используем в названии AD домена TLD (типо .ru, .com). + DHCP можно на нём.
4) Почтовый сервер Exchange - ещё проще, берём и устанавливаем, и настраиваем свой почтовый домен (почтовый может различаться с доменом AD, что рекомендует микрософт)
5) ДНС - для интернет домена и соответственно почты - регистрируем к примеру на www.nic.ru, там же покупаем ДНС хостинг, там же настраиваем все записи для сайта и почты. Почему там - надёжность.
6) сторонняя организация - покупаем для неё дешёвый роутер и подключаем в свою сеть.

типа кабы так :)

ИМХО

ок, я вас понял, но есть кое какие но.
во первых набор оборудования и ПО уже есть и собирать придется сугубо из него (про конвертер просто лень было писать но подразумевается что он тоже есть) во вторых контроль трафика сторонней организации вещь тоже не маловажная так что роутер не подходит.
P/S/ сейчас попробую описать как это вижу я и какие у меня появляются вопросы, по конкретней.

nagohok
Неплохо было озвучить конфигурацию серверов.

контроль трафика сторонней организации вещь тоже не маловажная так что роутер не подходит. »
-- б) шлюз на Юникс (SQUID, NETams и т.д.) »
----------

набор оборудования и ПО уже есть и собирать придется сугубо из него »
я вроде не превысил, ну может железо, под шлюз можете поставить хоть простой комп, если ЮНИКС.

Win 2008 r2 Enterprise »
могли бы купить SBS сервер, он объединил бы контроллер домена и почту, а так - желательно разделять.
Т.к. у вас пока 50 машин, то AD + Exchange думаю не особо будет напряжно на одном сервере, раз уж железо больше не купите.

Спс за оперативное реагирование. Постараюсь разъяснить некоторые моменты. ну во первых конвертер конечно есть писать лень было (да и незачем думал), во вторых мы имеем конкретный набор средств для реализации (описаны выше), в третьих метод дешевого роутера для сторонней организации не подходит так-как мониторинг их трафика тоже не мало важен!
PS в следующем мсг попробую объяснить как это вижу я.
PPS Все ниже изложенное мной пока сугубо в теории, по мере воплощения в практику буду дополнять вопросами и замечаниями ну и скринами по возможности)

Ребята железяки вроде совсем неплохие (Dell r210), основная причина почему используем только то что описал - 1. лицензии, 2. как ни странно человеческий фактор в лице гл. инженера.
а теперь все по порядку - как это вижу я.
Описание мат части.
1. Сервер Dell PowerEdge r210 - 2 шт.
2. Ну естественно набор управляемых коммутаторов от HP (так на всякий случай чтобы как с конвертером не вышло)
3. Порядка 50 клиент машин с установленной win 7 pro
ПО + описание к нему и ссылки по его настройке (те что нашел сам, если есть подобные стать но понятней предложенной мной корректируйте дополняйте не стесняйтесь)
1. Win 2008 r2 - тут пока нечего да и не надо добовлять.
2. Forefront TMG - Threat Management Gateway (Forefront TMG, Шлюз управления угрозами). Основным компонентом Forefront TMG является межсетевой экран, который контролирует входящий и исходящий трафик в соответствии с установленными политиками. Этот компонент "достался" по наследству от ISA Server. Среди новинок можно отметить улучшенную поддержку NAT (например, теперь нет проблем в случае, если внешний интерфейс имеет несколько IP-адресов), функцию управления резервными интернет-каналами (ISP Redundancy, только для исходящего трафика), появление в настройках firewall вкладки VoIP, где производится настройка защиты и поддержки VoIP сервиса (VoIP traversal). взято от сюда (также присутствует инструкция по настройке)
3. Exchenge serv - пока тоже все ясно но позже вернемся к регистрации ДНС - для интернет домена и соответственно почты.

оп ссыль забыл для TGM - http://www.xakep.ru/post/51232/default.asp

совсем неплохие (Dell r210) »
по недавним тестам в США ноутбуки очень даже плохие...

2. Forefront TMG - Threat Management Gateway »
если трафик считает - то используйте его.

оп ссыль забыл для »
новые сообщения не обязательны, можете старой "редактировать". Только аккуратно.

Теперь как я вижу реализацию всего этого хозяйства (повторюсь пока только в теории)
1. Ставим win 2008 r2 на один из сервантов (далее именуем GW), подразумеваем что для наших 2-х LAN сетей он и будет шлюз.
2. На него ставим Forefront TMG
3. Вот тут не все однозначно, но думаю на нем же мы подымаем DHCP (возникает вопрос может ли он обслуживать 2 разных диапазона)? Один из которых будет раздаваться сугубо офисным клиентам и доп серверам (думаю назначить каждому маку собственный IP), второй сторонним клиентам (просто задам кол-во IP в диапазоне)- http://system-administrators.info/?p=2167

в стать не ясно можно ли задать 2 разных диапазона. Ах да важное но Lan интерфейса всего 2, первый будет смотреть во внешний мир и иметь настройки данные провайдером, а вот второй отдадим DHCP с двумя диапазонами - будет такое работать???

подымаем DHCP (возникает вопрос может ли он обслуживать 2 разных диапазона)? »
да, но только при условии наличия третьей сетевой карты, ибо две уже заняты - LAN и WAN.
Ну естественно набор управляемых коммутаторов от H »
Если есть функция VLAN то это прекрасно, офис в одном VLAN, доп офис - в другом.

Далее берем второй сервант, с ним проделываем вот такие манипуляции:
1. Ставим win 2008 r2 (далее именуем CD)
2. Добавляем роль контролера домена. руководство - http://www.rususer.com/Windows%20Server%202008/Active_Derictory.php
3. Вот тут на этом пункте тоже есть кое какие непонятки, но как я понял автоматом активируется роль DNS (примерно ясно зачем, но пока туманно, и будет ли резольвится инет на клиентских компах если указать в поле DNS IP айпишник нашего сервака с именем CD)???

1. Сервер Dell PowerEdge r210 - 2 шт. »
У Вас на этом сервере 16 ГБ памяти? Какой объем жестких дисков ??

расскажите немного подробней как грамотно организовать VLANы, основы?

памяти 4гб, HDD raid1 450 гб

1. Ставим win 2008 r2 (далее именуем CD) »
DC ;)
но как я понял автоматом активируется роль DNS »
+1
будет ли резольвится инет на клиентских компах если указать в поле DNS »
конечно, только нужно сделать ОДНУ настройку в ДНС сервере, а именно перенаправлять запросы на ДНС провайдера.

VLAN (http://ru.wikipedia.org/wiki/VLAN)
один ВЛАН - одна сеть, другой ВЛАН - другая сеть. Друг друга не видят если нет маршрута между ними.
от одной сетевухи DHCP сервера воткнули в порт с ВЛАН 1 - во всех портах с ВЛАН 1 будет раздаваться только ЭТА сеть. С другим DHCP точно также.

+ DHCP можно на нём. » я бы советовал DHCP разворачивать на корневом маршрутизаторе, если конечно он такое умеет. Надежнее будет.
Вообще ИМХО:
1. Ставим корневой маршрутизатор, умеющий бить на vlan и раздавать ip-адреса (функция DHCP-сервера). Это позволит повысить отказоустойчивость ибо чтоб положить сеть полностью - нужно положить корень, что сложнее, чем положить виндовый сервак. Кроме того, unix-подобные системы меньше подвержены вирусам, нежели виндовые.
2. Подключаем необходимое количество коммутаторов (управляемых) и настраиваем разбивку по vlan-ам таким образом, чтоб серваки были в одной подсети, рабочие компы (по необходимости) тоже разбиты по группам и каждая в своем vlan-е. Vlan-ы видят лишь серверный, друг друга не видят, только серверный видит всех и всё. Точки доступа wi-fi загоняем в отдельный vlan и оставляем для него доступным так же серверный vlan (для получения dns).
3. На одном из серверов поднимаем DC, DNS и прочие системные пречендалы, Второй - шлюз для раздачи инета и Exchange. И, собственно, все.
Таким образом мы получаем работоспособную систему и выполняем условие:просто должны иметь выход в инет и не могли навредить первой сети (чтобы даже не подозревали о ней) »
Они будут видеть только сереры, да и то, если они не будут авторизованы в домене, то зайти на них не смогут.
И еще совет такой: лучше не валить на один сервак несколько задач. Как показывает практика это чревато гемороем. Если не хватает железа - применяйте виртуализацию, причем лучше не на виндовой платформе (по той же причине, что и DHCP)

Кстати, попутно вопрос: если им раздавать ДНС провайдера, а не внутренний, будет работать??? Если да - то можно и серваки закрыть для внешних юзеров.

Ок пока понятно что с VLAN мы торопимся, так как как я понял возникла проблема отсутвия поддержки 2-х диапазонов на одном интерфейсе, а как я писал ранее на каждом из двух серверов всего по две ситевухи и нет возможности апгрейда.

на корневом маршрутизаторе, если конечно он такое умеет »
1. Ставим win 2008 r2 на один из сервантов (далее именуем GW), подразумеваем что для наших 2-х LAN сетей он и будет шлюз.
2. На него ставим Forefront TMG »
виндовый шлюз, на винде. я думаю поднять роль DHCP там будет не сложно, другое дело безопасно ли?
Второй - шлюз для раздачи инета »
это уже скорее всего будет не шлюз, а что-то вроде прокси...
причем лучше не на виндовой платформе »
ваши аргументы против ?
Кстати, попутно вопрос: если им раздавать ДНС провайдера, а не внутренний, будет работать??? »
компы друг друга не увидят, т.к. провайдерский о них ничего не знает.

так как как я понял возникла проблема отсутвия поддержки 2-х диапазонов на одном интерфейсе »
через транк, тока можно ли его в винде настроить. не знаю.

и еще господа, Я очень благодарен господину СаркозаН за участие в дискусии но название темы и причины которые я постарался донести ранее не подразумевают использование а) доп оборудования б) стороннего ПО, только то что есть - то есть Майкрософт

памяти 4гб, HDD raid1 450 гб »
Да маловато памяти то, было бы побольше можно было бы поднять несколько виртуальных машин из разделить роли. А Exchange у Вас 2010 версии?

ваши аргументы против ? »
Ну во первых, если поднимать виртуализацию на виндовой платформе, то домашняя ОС будет поедать ресурсы как полноценная рабочая система (по опыту та же варя ест куда меньше). Во вторых - если какой-нибудь кидо валит на бок домашнюю ОС, то гостевые автоматом выходят из строя. Отказоустойчивость, знаете ли :) лично мне достаточно этих доводов, чтоб убедить начальство потратиться на VmWare :)