Я конечно не спорю, вам виднее. Но вопрос безопасности сети меня сейчас волнует в последнюю очередь... Сначала нужно настроить эту самую сеть...
А по поводу встроенного файервола (я так понимаю вы имеете ввиду брандмауэр) или железного решения - не могли бы вы обосновать своё мнение. Мне это интересно для саморазвития...

не могли бы вы обосновать своё мнение. Мне это интересно для саморазвития... »
железные решения гибче в настройке, т.к. имеют много дополнительных функций. проще в обслуживании и не требовательны к ресурсам.
встроенный Firewall (или на немецком Brandmauer) использую с момента его появления в Windows XP SP2. Не жалуюсь ) тьфу-тьфу.

но я хочу вас обратить внимание, что маршрутизировать должны маршрутизаторы, а поддерживать AD должны контроллеры домена.
Это простое разделение ролей, вот почему я рекомендую установить маршрутизатор. Пусть хотя бы домашний за 1500 рублей.

Использую RRAS только когда клиент не в какую не хочет дополнительного оборудования. Хотя финансы позволяют.
Сейчас вот увидел, что в RRAS 2012 поддерживает VPN site-to-site. Может он и в 2008 R2 был, но в описании по установке вроде не упоминался.
Полезная штука для филиалов. Есть в не домашних маршрутизаторах, а может и в домашних.
Сначала нужно настроить эту самую сеть... »
вам потом будет сложнее переделывать на роутер, т.к. потребуется отключение пользователей от сервера во время перенастройки (перезагрузки, к примеру)

Сейчас вот увидел, что в RRAS 2012 поддерживает VPN site-to-site. Может он и в 2008 R2 был, но в описании по установке вроде не упоминался. »

Ну мне VPN для этой конкретной задачи не нужен.

вам потом будет сложнее переделывать на роутер, т.к. потребуется отключение пользователей от сервера во время перенастройки (перезагрузки, к примеру) »

Так сейчас никаких пользователей нет - у студентов каникулы :) Как мне кажется, сейчас и нужно настраивать сеть, а потом до 1 сентября, разбираться с файрволами. Руководство вообще не хочет тратить деньги - ответ всегда один: "Денег нет". Поэтому приходиться собирать на том, что есть. как говорится "чем богаты, тем и рады" :)

а потом до 1 сентября, разбираться с файрволами »
а чего там разбираться? по умолчанию в нормальных фаерволах входящее всё закрыто, исходящее всё открыто.
Создаём правила для разрешения входящего или запрещения исходящего трафика.

вообщем, как и обещал - ipconfig /all:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : win2008DC
Основной DNS-суффикс . . . . . . : b313.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : b313.local

Ethernet adapter Lan:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : TP-LINK 10/100Mbps PCI Network Adapter
Физический адрес. . . . . . . . . : 64-70-02-04-AF-XX
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Inet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Atheros L1 Gigabit Ethernet 10/100/1000Ba
se-T Controller
Физический адрес. . . . . . . . . : 00-1A-92-B6-EF-XX
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.68.13(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.0.68.1
DNS-серверы. . . . . . . . . . . : 193.41.140.XX
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{4ECF036E-6FF7-4384-A7A2-59D8592A65B8}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-XX
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{B58D1ADA-212D-4AAD-9F6D-7F7AD8288909}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-XX
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

мде... я давал статью по настройке контроллера домена (http://www.exonix.ru/?9pdi3vyrjkgv0ootds2uiv4.htm)?
Обратите внимание на ДНС.
там же есть ссылки, как настроить контроллер домена с двумя сетевыми картами.

Из этой статьи понял и сделал следующее:
1) Удалил DNS сервер
2) Установил DNS сервер заново
3) В свойствах DNS сервера в меню Действие выберал команду Свойства.
На вкладке Интерфейсы выберал переключатель только по указанным IP-адресам.
В поле IP-адрес ввёл IP-адрес сетевой карты "LAN" и нажал кнопку Добавить.

Так нужно было?

1) Удалил DNS сервер »
мде.... я не знаю, что будет с доменом если удалить ДНС и установить заново, не было практики.

вообще-то требовалось на первой карте только вместо 127.0.0.1 выставить адрес 192.168.1.1, а вторую сетевую карту исключить из регистрации ДНС.

я не знаю, что будет с доменом если удалить ДНС и установить заново, не было практики »
Ну у меня теперь практика такая уже есть :)

вообще-то требовалось на первой карте только вместо 127.0.0.1 выставить адрес 192.168.1.1 »
Сделал, но если честно - не понял, откуда это нужно было вычитать.

а вторую сетевую карту исключить из регистрации ДНС. »
Вторую в смысле Lan? Если да - тоже сделал, но не помогло....

Я определённо где то косячу с настройками DNS... Никак до меня не доходит, что и куда нужно вписывать...

Сделал, но если честно - не понял, откуда это нужно было вычитать. »
http://www.exonix.ru/resource/image/2008R2/21.png
и комментарий выше к картинке.
Вторую в смысле Lan? Если да - тоже сделал, но не помогло.... »
в смысле WAN. А и не должно помочь. мы пока контроллер домена настраиваем )

Наблюдать за студентами можно с помощью проги NetOp School Teacher. На тот ПК, с которого планируешь наблюдать ставишь серверную часть, на студенческие компы клиентскую. Там много разных фишек, в том числе блокирование инета :)

Понял, спасибо за совет, попробую. :)

Хотел бы выразить огромную благодарность exo, который помог поднять сервер с нуля. Так же, хотел бы поблагодарить Leaves, который посоветовал использовать программу NetOp School - как оказалось, действительно классная вещь.
Ну и конечно. спасибо всем остальным участникам, которые оказались не равнодушны и так же помогали советами.

Сеть настроена, всё работает именно так. как задумывалось...
Задача решена!