В организации до 100 компьютеров; 30 из них в головном офисе, остальные - по 10 региональным центрам. Компы разные - от Р2 до Р4: ОС - 98, 2000, ХР.
Все компы соединены простой локалькой (центры - через тарелок канопи), в головном стоит база на Аксессе. Сеть кишит вирусами, работает нестабильно.
Готовится новая база.
Надо "перестроить" сеть на доменную, с Сервером 2003, АД и пр. Работу остановить нелзя (максимум на 1 день).

Какие будут советы и предостережения? На что можно наткнуться/споткнуться?

Планы у меня такие: делаем обход с инвентаризацией во всех офисах, осмотры и т д., готовим дистрибютивы соответствующие и аппаратуру если надо (не везде CD будут работать, и от USB не у всех поддержка будет), потом второй обход - отключаем офис от сети, переустановливаем все (98 ликвидируем, ХР оставляем), ставим касперского триал, подключаем к сети, уходим в другой офис. Параллельно работают 3 группы, успеваем за день.
Потом надо приготовить сервер, заранее создать юзеры, группы, полисы и все такое, поднять сервера и ввести все компы в домен, поставить корпоративный антивир (кстати, насколько правильно решение в пользу касперского? хотя изменить ничего не могу - куплен уже оказывается) и админовские штучки, удалить триалы и т д. Это уже надо сделать незаметно - больше останавливать не дают.
Такие дела. Если у ког есть такой опыт, какие бывали неожиданности?

Могу как альтернативу предложить собрать сервер для начала, на нем поставить АД+RIS. Создать образ винды(с драйверами и автоматической установкой, типа штоб не вводить всякую муть в начале), далее на сервере создать пакеты ПО, которые необходимо поставить на все компы(офис, каспера и тд). Настроить установку этого ПО с помощью групповыйх политик.
Результат - приходит человек к компу, залогинивается на RIS при загрузке по сети, вводит имя машины и идет к следующей машине. ИМХО, КПД обновления парка компов возрастет в разы и можно задействовать меньшее число человеческих ресурсов:)

заранее создать юзеры, группы »
Вот если c группами еще туда-сюда, то пользователей мы потом начали добавлять непосредственно при включении ПК в домен. От имени администратора домена. (Может неопытные были, может что. Win2k server, до сих пор работает) Заморочку от и до не помню, но что были грабли - факт. Настроить установку этого ПО с помощью групповыйх политик. »
Сетку похандрит маленько и отпустит ;)
maxo, продумай политику переподключение принтеров! Ибо грабли те еще. Спорный вопрос включать их в AD или нет. Сетевые НР (у нас их, HP, подавляющее большинство, сетевых и нет)- отдельная песня, но и с ними можно побороться. с Сервером 2003, АД и пр. »
Если будут терминальные подключения, то очень внимательно отнесись к проблеме драйверов для 64х битных систем. (Драйвер принтера придется устанавливать в терминальной сессии, а она 64х битна) залогинивается на RIS »
Если я правильно помню, необходимо на 2003 сервере для ПК прописать какой-то адрес (сейчас точно не вспомню, надо справку читать) при инвентаризации это необходимо учесть. Тогда ПК можно будет управлять и устанавливать ОС по сети. + в нагрузку DHCP сервер и маршурутизацию на узлах связи.
В организации до 100 компьютеров; 30 из них в головном офисе, остальные - по 10 региональным центрам »
Сеть с единым IP пространством? Или же все-таки фрагментирована на подсети с доступом через (прозрачный?!) шлюз?
(вот сердцем чую- бред написал, ну а вдруг бывает)
Я к чему - DHCP запрос дойдет ли до сервера? Ситуацию проверить и уточнить.
насколько правильно решение в пользу касперского? »
50/50. Просто поставь в нагрузку еще чего-нибудь. (двойной брандмауэр, двойной антивир. ) Я не знаю с чем он дружит, надо на форум оф.сайта залезть. Глянь на emsisoft (www.emsisoft.com/) Сразу же пробумать политику доступа приложений в сеть. Оставлять это на усмотрение пользователей нельзя. Т.к. они разрешат все, лишь бы не мешало.

Продумай backup документов пользователей. А то от форматитрования еще никто не уходил ;), и общее дисковое пространство сервера, подключаемое какой-либо буквой. (Это на будующее) Кстати лучше писать через \\server\share нежели \\IP\share
-------------------
Лучше день потерять, потом за 5 минут долететь отладить, протестировать, потом все настроить. Т.к. придется работать конвеерно, и времени на отладку никто не даст.

Если я правильно помню, необходимо на 2003 сервере для ПК прописать какой-то адрес »
Ты наверно имел в виду што на DHCP сервере нужно указывать 2 дополнительных параметра 066 и 067, один(первый) указывает ip RIS сервера, второй - загружаемый файл. Больше ничево не надо.
Продумай backup документов пользователей »
Да, это реально самая нужная вещь! Сам маялся, пока толком не реализовал эту бяку.
Я к чему - DHCP запрос дойдет ли до сервера? Ситуацию проверить и уточнить. »
Я все таки подозреваю, што сеть маршрутизируемая, а у DHCP есть такая штука как DHCP Relay - поэтому все эти 100 машин загоняй в одну сетку(ну грубо 10,10,0,0) и разделяй на подсети по офисам.
делаем обход с инвентаризацией во всех офисах, осмотры и т д »
Насчет обхода - "больная тема". Ноги админов надо беречь!!! Пусть лучше обход сделает программа, типа checkcfg (http://checkcfg.narod.ru)
Сетку похандрит маленько и отпустит
Ну если канал широкий, то все нармуль будет ;)

Вот, кстати LXA85 затронул тему про принтеры, у меня мысля родилась - пусть они сами подключаются к пользователю! Нафиг самому ходить и подключать? Если этот момент интересен, то у меня есть наработки в этой области, совместно с HLT - последний пост (http://forum.oszone.net/showthread.php?t=94238&highlight=%E0%E2%F2%EE%EC%E0%F2%E8%F7%E5%F1%EA%EE%E5+%EF%EE%E4%EA%EB%FE%F7%E5%ED%E8%E5+%EF%F0%E8%ED% F2%E5%F0%EE%E2)

Одни благодарности, ребята, немножко воспрянул духом, ато только и слышал со всех сторон, что "не сделаешь, будут проблемы и т д".

Теперь если по порядку - начну с обхода. В первую очередь делаем это, с среды по пятницу. Вообще у меня выделяется 3 этапа:

Инвентаризация
Переустановка
Переход на домен

Ноги админов беречь не получится, поскольку надо посмотреть все вживую - и проводку, состояние аккумуляторов в упсах, сидюк может и стоит, но как работает и т д. тут целая поема у меня что надо делать на местах. К тому-же надо с юзерами поговорит, опросники готовлю, вобщем от этого не уйти.
Все это я буду документировать, потом анализировать - что было и как, какие были трудности и неожиданности, какие работы может зря провели, какие - упустили, и все это выложу если совесть не потеряю к тому времени.

Про backup хорошо напомнили. Кстати бэкапит юзеров я делаю с помощью Неро - странно, но это система, где все через не то место, не содает никаких проблем и делает "вкусно" все.

Принт-сервер не делаю пока, тут чуть ли не к каждой машине принтер подключен (кроме головного офиса).

на нем поставить АД+RIS » с этим RIS-ом чую надо разобраться, раньше не встречал. Может кинете ссылку? хоть и я поищу, но лучше если есть наготове испробованная (все мы падки до готовых)))

Создать образ винды » дело в том, что машин редко двух одинаковых встретишь тут. С другой стороны, та поголовная переустановка пройдет раньше чем сервер будет, кажется, и ни о каких ГП речи нет. Есть смысл в таком случае делать Ваш вариант (все-так заманчив очень)?

Сервер, как сказал, пока не маячит, так что все вопросы по АД и т п пока отложени, но готовиться начну как только инвентаризацию закончу.

Терминальных подключений не будет, 64х битных систем - тем более.

Сеть с единым IP пространством »Сеть - единая, одноранговая, 169.254.1.ХХХ. Плюс альтернативный 192.168.1.ХХХ - это для интернета, не на всех машинах он подается. Так вот был решен этот вопрос :). Но по моему это так и оставлю с определенными изменениями - хоть и выглядит дико, но работает. Ясно, что DHCP отпадает сам с собой, вообще я его не ярый, но так, умеренный противник.
Одну машину тут выделил - интернет пущу через него, завтра (по плану) Траффик инспектор ставлю и разберусь что это дасть.

50/50. Просто поставь в нагрузку еще чего-нибудь. (двойной брандмауэр, двойной антивир. )По моему ТИ и тут поможет, у Вас есть опыт его использования?

Ну если канал широкий, то все нармуль будетда, сеть нормальный, и тарелки работают на ура. Есть правда проблемы, но в основном чисто технические, всех их поправим в пределах инвентаризации, и сеть где надо подправим, так что этап переустановки сеть всретит в хорошем состоянии.

Вот такие вопросы на первом этапе (выделил болдом). Потом вдох, и дальше :)

Может кинете ссылку? »
Бес проблемм: рас (http://www.mednikov.ru/13); два (http://support.microsoft.com/kb/325862/ru); три(для интереса) (http://www.panvasoft.com/rus/blog/147/).
Если никак насчет RIS, но автоматизация привлекает, можно сделать так (http://unattendedxp.com/articles/wxpcd/).
В принципе в 2 словах развертывать RIS просто - установить все по дефолту, залить на сервер образ винды, добавить в DHCP сервер параметры 066 - имя RIS сервера и 067 - путь к файлу загрузки(типа \OSChooser\I386\startrom.com).

Есть смысл в таком случае делать Ваш вариант (все-так заманчив очень)? »
Есть, вот зуб даю, есть смысл - ибо сэкономишь в разы меньше времени на установку.

ибо сэкономишь в разы меньше времени на установку. »Да, но ведь пока нет сервера. Можно конечно на какой-нить поставить как сервер и попробовать, но тут не до проб - нет никакой страховки. Офис нелзя остановить, так что переустановку лучше я сделаю дедовским методом, заодну и практиканты опыту наберутся, а потом буду потихоньку к этим пилотажам подкрадываться, со след. недели.

Ссылки посмотрел, нахожусь в эйфории :)
Поскорее бы закончить инвенту.

Да, если нет полигона для тестов, то лучше идти по протоптаной дороге - как гворится медленно но верно, товарисчи ;)
запасайтесь пивом :)

Я поднимал домен в несколько приемов. Времени ушло примерно месяц. Все упирается в эксплуатируемые задачи. Мне выделили поддомен (контора довольно-таки большая). + интернет подается через проки/шлюз на freebsd. Названия доменов (интернетовский и windows) не совпадают. А у тебя могут и совпадать.
Шаг номер один - поднятие контроллера. Прописываем туда всех пользователей и группы.
Дальше вводим в домен остальные серверы. Если не устанавливать им роль контроллеров домена, то ресурсы будут доступны как по-новому, так и как прежде. Т.е. после ввода серверов в домен формируем доступ к ресурсам уже на уровне домена, оставляя старый доступ (порезать можно потом).
После чего уже можно подключать рабочие станции. Я заранее озаботился тем, чтобы перевести всех на 2000-й и ХР. К моменту поднятия домена 98-й у меня уже не было. Подключение станций как раз затянулость на месяц.
И еще, крайне желательно поставить второй контроллер домена.

ЗЫ. меня было около десятка серверов и немногим больше полсотни станций

Полигон будет, если первые два этапа пройдут гладко. Если сеть поправится, потом даже какие=то промахи простят (или посчитают что так надо))), а если с самого начала напартачить - конечно не то.
потому пока лишнее не беру - сеть все равно мне доделивать, на полпути не оставлю.

Траффик Инспектором не пользовались?

Названия доменов (интернетовский и windows) не совпадают. А у тебя могут и совпадать. »Совпадут

Серверов больше одного не будет. Соответственно и контроллеров (сначала по крайней мере), а вообще желательно конечно. Можно на один сервер поставить два контроллера, но смысла как-то не вижу пока, если увижу - сделаю. Может есть соображения (в случае не-датацентра)?

Подключение станций как раз затянулость на месяц »Честно говоря не представляю что так долго, повторюсь: я сам когда переводил сеть из 15 компов, за одну ночь (подчеркиваю, за одну, вернее с 7 вечера до 9 утра) на сервере (206 был, славная машина, кто бы что не говорил) 2003, АД и ексчейндж поставил, шлюз и днс на какой-то развалюхе и все 15 машин утром в домене были (правда потом еще дня 3 раны зализывал, но на работу офиса это не отражалось). И никакие WINS протокол и NetBOIS и прочие заморочки не заморачивали совершенно, и вернулся обратно на предыдущую схему без проблем, когда это понадобилось на одной машине не помню почему, и вообще самое сложное что я от этой мероприятии помню, это было доказать утром юзерам, что пароли проще не допускается системой.
Правда, облегчало тогда то, что все машины (те 15) были новые, одинаковые, с одинаковыми хрюнями и сеть мною за 2 дня заново проложена была. Да и дня три на подготовку былотеперь конечно условия другие, но месяц думаю не понадобится. Не пугайте меня :)

оставляя старый доступ (порезать можно потом) »
Тут не совсем понял - доступ чего к чему?

Траффик Инспектором не пользовались? »
не, не люблю продукты типа all-in-one. Все должно быть в меру.

доступ чего к чему »У меня была задача - поднять домен "на горячую", перерывы в работе не допускались. Главное было обеспечить бесперебойный доступ к серверным ресурсам (шарам, базам данных, почте). Т.е. на время перехода на серверах оставались локальные группы и пользователи наравне с доменными.В организации до 100 компьютеров; 30 из них в головном офисе, остальные - по 10 региональным центрам. »И это без резервирования домен контроллера?

Можно на один сервер поставить два контроллера, но смысла как-то не вижу пока, если увижу - сделаю »

А вы знаете что стандартный DC выполняет до 6 ролей (т.е по сути это 6 процессов-контроллеров)?

Контроллер объектов домена
Контроллер схемы
Контроллер именования доменов
Контроллер относительных идентификаторов
Контроллер-эмулятор PDC
Контроллер инфраструктуры
+
DNS
DHCP

А каталог AD-состоит из трех независимых разделов (т.е. по сути это три базы)?
Раздел именования домена
Раздел именования конфигурации
Раздел именования схемы (индивидуален для каждого леса)
=============================================================
Это я к чему.
Развертывание AD для одного офиса из 100 компьютеров и сети из 10 офисов, по 10 компьютеров в каждом - это РАЗНЫЕ задачи, хотя число Workstation в обоих случаях идентичны.

Да, еще пара моментов, которые отняли некоторое количество времени.
Штатное средство копирования локальных профилей (локального пользователя на доменного) работает с нюансами. Не переносятся почтовые базы и профили подключения оутглюков. После входа доменным пользователем (для создания базового профиля) перед копированием нужного профиля ХР приходится перезагружать.

не, не люблю продукты типа all-in-one. Все должно быть в меру. »
Аппаратные all-in-one я тоже не люблю (как нож+кусачка+отвертка..., так и принтер+сканер+утюг), но с программными такое не испытываю.

У меня была задача - поднять домен "на горячую", перерывы в работе не допускались. Главное было обеспечить бесперебойный доступ к серверным ресурсам (шарам, базам данных, почте). Т.е. на время перехода на серверах оставались локальные группы и пользователи наравне с доменными. »
У меня задача поскромнее - как сказал выше, работает единственная база на аксессе, пермишны ее-же средствами, и никаких особых профилей и документов, так что трудностей не будет. Единственное что меня напрягало - это как будет вести себя сеть, где часть машин в домене, остальные - локал. Похоже, что и тут не возникали проблемы, нерешаемые по крайней мере. Правильно я понял? Если КД так или иначе разрешит локальному гостью пользоваться серверными ресурсами, то больше мне ничего и не надо. Это было одним из моих основных проблем, потому и очень важно мне это знать от тех, кто это проходил.

И это без резервирования домен контроллера? »
Ну для начала да. Второй сервер никто не даст :(. А на потом я присмотрел машину одну - если удастся ее приголубить, с нее можно будет сделать резервный КД, если нет, пожертвую (частично) собственные ресурсы. А что делать!

А вы знаете что стандартный DC выполняет до 6 ролей (т.е по сути это 6 процессов-контроллеров)? »Замечу, что я говорил, что не вижу смысла делать на одной машине 2 контроллеров домена.

Развертывание AD для одного офиса из 100 компьютеров и сети из 10 офисов, по 10 компьютеров в каждом - это РАЗНЫЕ задачи»
Это разные задачи, когда стоят разные задачи. В моем случае организационное и географическое деление на офисы никак не отразятся на архитектуру сети, разве что на ГП-ах.

----------
А теперь, что касается текущего положения дел - этап 1 закончен - инвентаризацию провели. Правда я простудился и все 3 дня кровать "инвентарил", но и участвовал виртуально. С понеделника начну анализировать что там ребята собрали по центрам. Если кому интересно, могу выложить план, порядок работ, формы (их 4, в т ч опрос пользователей), результаты обработки и сделанные выводы, разработанные на их основе требования и рекомендации к предприятию, программу тренингов и субъективную оценку общего эффекта. Все это может быть интересно тем, кто делает ИТ-аутсорсинг, и думаю не только тем.
Ну и о дальнейших делах буду сообщать конечно, Вы мне очень помогли и помогаете, может и это кому-то пригодится.

как будет вести себя сеть, где часть машин в домене, остальные - локал. »
Нормально, точнее предсказуемо.
Главное проинструктировать админов сразу.

С одной стороны, желательно, сразу ввести в домен машины содержащие общие ресурсы, дабы на вопрос: "Какой же пароль. к данной шаре, доменный либо локальный?", ответ был только один.

С другой стороны, очень, очень стремно работать с одним контроллером в мультисайтовой среде (многоофисной).
Опять, же трафик вырастет, если не будет локальных DC.
И самое похабное, операции аутентификации не требуют большой полосы пропускания, но достаточно чувствительны к времени задержки, а т. к. сами тикеты kerberos тоже времязависимы, то если сервер предоставляющий ресурсы не может аутентифицировать операцию (именно операцию) на DC, то сообщения об ошибках будут выдаваться самые причудливые.

-------------------------------------------------------------------------------
Собственно эта тема многократно обсосана, что контроллеров должно быть как минимум два на сайт.
В случае применения exchange или инных продуктов backoffice необходимо наличие отдельной пары контроллеров схемы.

Вобще для контроллеров домена необходимы самые дохлые машины, но они должны заниматься только этим и ни чем инным.
Неужель в конторе не найдется двух задрипанных машин с 256МБ памяти и 1000 celeron?

Неужель в конторе не найдется двух задрипанных машин с 256МБ памяти и 1000 celeron? »
Найдется, только тут на некоторые политические вопросы упырается, но решаемы все таки наверно будут.

Надо "перестроить" сеть на доменную, с Сервером 2003, АД и пр. Работу остановить нелзя (максимум на 1 день). »
за день всяко не поднимешь, очень много подвоных камней и проблем будет возникать, о которых даже ты не догадывался. Как будешь первый раз ставить - обязательно с ними сталкнешься. Самая первая проблема с которой сталкнешься: компьютер не будет видеть домена ну и тд и тп.

Самая первая проблема с которой сталкнешься »
В связи с этим самое первое действие по решению проблемм - www.forum.oszone.net :biggrin: