Создание офисной сети на 25-30 машин вопросы.
 

Доброго времени суток, в связи с пропажей системного администратора в неизвестном направлении и волевым назначением начальствав добровольно-принудительном порядке на эту должность меня (как хоть немного понимающего с какой стороны к хабу подходить) возникли вопросы по приведению в порядок (надеюсь с вашей помощью) всего офисно-компьютерного хозяйства.
Что имеется на данный момент:
Сеть из 25 компьютеров под Windows XP Pro получающих итернет напрямую то провайдера через хаб, каждый пользователь имеет администраторские права на своем компьютере.
Сервера в сети полностью отсутствуют.
Начальство так же возжелало иметь собственную почту организации.
Покопав просторы интернета родилась следующая схема (поправьте если что-где лишнее или чего-то не хватает)
2 сервера под управлением Windows 2033 Server:
1) Будет раздавать желающим интернет, почту организации MDaemon, Firewall - Kerio, счетчик израсходованного траффика TMeter.
2) На нем планируется поставить Active Directory, DNS-сервер, DHCP-сервер, файлсервер.
Имеет ли такая схема право на жизнь или стоит что-то в ней изменить?

всё ок. Денег на Windows Server 2003 хватит? или желаете съэкономить?
к примеру, шлюз можно сделать на *nix. Тамже и трафик считать.

Я правильно понимаю суть задачи и попытка её реализовать: из-за того что пожелали получить свою почту теперь стоит два сервера поднять в сети в которой их некогда не было и всё всех устраивало по идеи?
Идея имеет право на существование, только исходя из задачи - её реализация напоминает выстрел из пушки по воробьям, с выбором новых жертв.
Если нужна только почта, для этого можно выделить одну из машин, и не обязательно что б там была серверная ОС, на которой будет крутится интересующая служба.
Если все привязаны к рабочим местам то Active Directory удобен лишь как централизация управления, а пользователям он не очень то будет нужен.

А не должен.
Идея-то имеет право на существование, а вот прежнее (т. е. текущее) положение дел - нет. Сеть на 25 ПК без DC и с раздачей Интернета через хаб - это для сисадминов-мазохистов.

The Elk, мне не нравится идея разместить на шлюзе почту (и вообще что-либо, кроме самого шлюзового софта).

Raistlin, вот почему это закончилось А если назначают человека и он взваливает на себя такие задачи, то это уже может закончится не самостоятельным уходом в неизвестном направлении.
The Elk, стоит абсолютно всё взвесить перед тем как приступать к радикальным изменениям.

Если он до ухода терпел такое хотя бы некоторое время (причём, судя по всему, добровольно, ибо теперь же идёт речь о переменах!), это был странный сисадмин.
Не боги горшки обжигают. Кто из нас начинал иначе? Тем более что, судя по терминам, использованным в вопросе, человек немного поскромничал :)

The Elk, Керио имеет встроенную статистику в Т-метре нет необходимости. это так на всякий случай.) также есть решение от Керио - кериоМаилСервер. он немного попроще, и в настройке тоже. мощ М-даимон тебе врядли понадобиться.

з.ы. а вообще работает - не трогай! вариант с мылом от Admiral, рассмотри внимательно.

Raistlin, windows-домен - не панацея. Дело не в количестве компьютеров, а в задачах.

да на тебя серверов не напасёшься ;)
imho, это лишнее, т.к. почта ходит по инету в открытом виде

у меня вообще есть подозрение, что этот "хаб" - роутер на самом деле ;)

а что на нём написанно?

Еще немного вопросов, чем грозит расположение почтовика на машине-шлюзе?
Пара машин - ноутбуки под Вистой Хоум, как я понял она не поддерживает работу в домене, как нибудь их можно засунуть в сеть с доменом?
По поводу хабов, они действительно только хабы: 16 портовые D-link DES-1016D.
По поводу софта - спасибо за подсказку про комплекта от Kerio, попробуем.

Если будет брешь в одной из служб, вторая окажется под потенциальным ударом.
Не нарушая правила конференции нельзя, а так поиск в помощь.

Почтовый сервер можно разместить на DC, я не думаю, что это будет критично для производительности.

The Elk, ещё очень желательно поднять второй контроллер домена, пусть даже не на выделенной машине, а на одной из пользовательских. Не лучшее решение, но лучше, чем никакое.

Увы еще одну машину машину под сервер не выделят, а на пользовательскую машину ставить , как-то настораживает...
Так что будем жить с тем что есть.

Чем настораживает-то? Если админские права у пользователей отобрать, то проблем не будет. Разве что время непрерывной работы у такого DC будет наверняка скромнее, чем у выделенного, но это не смертельно.

Права-то отобрать можно, но доверить сервак пользователю, что дать облизъяне гранату (пусть и с привареным кольцом).
Ибо в самый нужный момент он будет также в неживом состоянии =).

The Elk, дать пользователю минимальные права, что нужны ему для работы в офисе, а всё хозяйство с соответствующими правами пускай в бекграунде крутится.

А если не поднимать вообще, он будет гарантированно в таком состоянии в любой момент.

Пусть Админ сам работает на Win Server 2003, где и будет второй АД.
Первый АД с почтой можно объеденить. На АД сильной нагрузки не будет при 30 компах.

IMHO, при 30то компах и самой АД не надобно.
Или стоит сразу готовится к новостях со строчками "...уязвимость существует из-за ошибки в функциональности ActiveDirectory..."

Но

Я и при 5 AD бы поднимал. Если не стоит вопрос цены, конечно.