Требуется помощь новичку!
 

Добрый день!
Я уже не мало работаю в организации и как у многих это бывает, наступил тот день, когда сеть уже не справляется, в силу своей неправильности.
И так, опишу что имеем:
- Интернет соединение 10Мбит ethernet
- 2 сервера на Windows Server 2008 R2 (один по-мощнее, другой по слабее соответственно)
- 70 рабочих мест на Windows XP Professional SP3

Требуется:
1. Брандмауэр, само-собой
2. Организовать нормальный контроль и учет трафика со сбалансированной скоростью на всех пользователей
3. Политика доступа в интернет
4. Хранение БД 1С
5. Распределение доступа по отделам внутри здания

Так как, в серьезных организациях еще не работал, что такое AD, DC, ISA и т.п. к сожалению пока не знаю. Но это все впереди, нужно выяснить фронт работ, а затем в ходе работы буду разбираться. Хоть и перечитал много теории, нужно переходить к практике(на домашних компах:) ) Возникают несколько вопросов, верно ли я понимаю:
Для начала выложу схемку, а от нее начнем корректировать

- Канал интернет подключается к серверу ISA(1) (Для защиты и создания политик выхода в интернет, контроля активности юзеров, учета трафика)
- На более мощном сервере(2), будет поднят контроллер домена для разграничения прав доступа пользователей, DHCP, (антивирус с Administration kit?)а также хранение БД 1С
- Со второго сервера уже через 2 свича все идет на рабочие станции.
Правильно ли я все понял с распределением мощностей серверов? Ведь от ISA сервер в роли шлюза и будет только лишь перекрывать всякие соц сети и порты торрентов.

Было бы еще лучше, если кто откликнется в icq или skype, для более быстрого и полезного общения. Так как есть много, но маленьких вопросов, в силу неопытности...
Очень надеюсь, что найдется человек с хорошим опытом, который готов помочь новичку!

Думаю, что Windows Essential Business Server будет для Вас идеальным вариантом.

Спасибо за совет! Но к сожалению, не увидел ни одного ответа на свои вопросы и из совета следовательно также возникают вопросы:
С помощью Windows Essential Business Server можно и не ставить раздельные ISA, DC...все нужные элементы и так будут?
Завтра конечно почитаю, но что-то новое Center Essentials...что и для чего)

Вы надеялись получить ответ в одном посте? -) Слишком объемен будет пост.

EBS подразумевает под собой интеграцию тех продуктов на одном оборудовании, которые Майкрософт в случае тех же отдельно взятых продуктов совмещать не рекомендует. Не с таким, конечно, сценарием, но совмещение ролей в EBS есть.

ЕМНИП EBS это 3(4) сервера.
ISA не работает на Windows Server 2008 R2, вам нужен TMG или другие приложения.
один КД это небезопасно.
хотя можно регулярно бэкапить и тогда, в общем-то это допустимое решение.
а первый куда будет подключен? :)
TMG крайне ресурсоёмкое приложение и штаного шейпинга не имеет.

Мной где-то упомянуто, что автору темы нужно будет более трех серверов для реализации внедрения EBS? Вы о роли виртуализации не забывайте, в теорию которой EBS прекрасно вписывается.

Как раз в TMG фильтрация URL и балансировка между двумя провайдеров реализованна штатными механизмами.

как это коррелирует с
?
ну виртуализованный SQL это да, звучит крайне-крайне весело да.

Если на то пошло, MSFT фактически в открытую заявляет, что ISA/TMG - в первую очередь корпоративные браундмауэры, и решения всякого рода квотирования, нарезки канала на группы и прочая фактически отданы на решения партнеров. Если Вы уж советуете на 2008 R2 ставить TMG - не идите наперекор сами себе -)

В чем проблема виртуализованного SQL? -)
Тем более, что в виртуальной среде это поддерживается, и, мало того, есть документ от MSFT по планированию и внедрению БД в виртуальной машине. А принимая во внимание количество рабочих мест в данном сценарии, не думаю, что будут какие-то кардинальные просадки в производительности.

Впрочем, думаю, что в таком тоне конструктива для автора мы не найдем.

cameron
1. Главное, что все стабильно работало)
2. ISA, это я как бы по старинке...понятно, что нужен Forefront TMG
3. Да, читал, что нужно 2 контроллера, один основной, другой резервный...но никто не будет еще серв покупать) придется ручками бекапить. Да и если он хранит информацию о пользователях и правах, то не так часто там будут производиться изменения, как мне кажется
4. А первый, как по схемке нарисовал, последовательно, через 2 сетевые карты с TMG на КД. Нормально? Или как правильнее будет?
5. Сервер на самом деле, не очень слабенький, E8400/2G800 - думаю для 70 юзеров в среднем, справится.

Насчет EBS надо подумать конечно, идея заманчивая, но боюсь так никогда не освою более сложную серверную структуру))

Также назрел еще вопрос, если в настоящий момент, ISP выделил нам 20 IP адресов статических(по 10Мбит на каждом), при реорганизации сети, я думаю они все конечно уже будут не нужны, но на всякий случай, как задействовать хотя бы парочку каналов? Для этого еще маршрутизатор нужен будет дополнительно, который будет 2 канала делить на нужные группы пользователей?

Ребят, помогите скорее определиться с выбором, понедельник нужно сдать материалы по сети, схему, описание, что для чего и как...в общем, отчитаться по полной! В выходные хотел поковыряться с ПО, с которым нужно определиться...

Могу предложить еще один варинт.
TMG с балансировкой каналов поднимается на более слабом сервере и больше не несет никаких ролей.

На втором, более мощном сервере, поднимаете роль виртуализации Hyper-V (если у Вас редакция Standard - можете в виртуальной среде развернуть бесплатно одну ВМ, если Enterprise - четыре), в среде которой разворачиваете контроллер домена и базу данных. Этим Вы разнесете роли на standalone сервере, что бы избежать возможных осложнений.

Вот это уже интересный моментик) О виртуализации много слышал, будет не плохо попробовать и это на практике...
Почитал немного о Hyper-V, т.е. это получается уже встроенная роль в Windows Server 2008? Нашел даже инструкцию по установке, но как понимаю, это пустяк, главное разобраться бы дальше)))
И не очень понял 2 момента, во-первых для чего нужна в данном случае виртуализация? Во-вторых, что такое standalone сервер? Нашел некое понятие, как Изолированный сервер, который не входит в домен, а хранит только собственную базу данных пользователей и самостоятельно обрабатывает запросы пользователей на вход.

Да, одна из ролей Windows Server 2008/2008 R2. Единственное и самое главное условие для ее развертывания - поддержка аппаратной виртуализации оборудованием.

В Вашей конфигурации, при учете того, что Вы от EBS отказываетесь (который позволяет безболезненно совмещать некоторые сервисы), виртуализация позволит как раз разнести разные роли и сервисы вашей сети по нескольким виртуальными машинам, сделав их по факту независимыми друг от друга. Другое дело, что в таком случае они все (виртуальные машины) будут зависимы от надежности и работоспособности хостового (несущего) сервера. При учете того, что у Вас контроллер в предлагаемом мной сценарии будет виртуальным - то хостовый сервер в домен лучше не вводить (т.е. stadalone), т.к. при перезагрузке хост поднимется быстрее, чем контроллер, возможны проблемы с аутентификацией самого хоста.

Да уж, учиться лучше на практике, пока что не все мне дается понять)
Надо подвести небольшое резюме. Что касается ПО, значит требуется:
- 2 системы Windows Server 2008 R2 (кстати, сейчас имеется 16 CAL, соответственно надо еще докупить?)
- ForeFront TMG

И всё? Дальше уже идет дело настройки
1 сервер с TMG, который будет балансировать канал, фильтровать URL.
2 сервер поднимаю Hyper-V и дальше немного путаюсь. Для чего нужна виртуализация, это понятно...2 изолированные системы друг от друга, но вопрос в том, какие роли нужно поднимать на физической системе?
На виртуальной будет контроллер домена (БД разворачивать не надо, т.к. она в DBF, по крайней мере, сейчас ничего не поднимал, кроме DHCP).

По поводу CAL - вопрос задать лучше в разделе лицензирования, хотя, предположу сразу, что их нужно будет по количеству пользователей, обращающихся к серверу 1С в данном случае.

на физическом хосте рекомендую поднимать только роль виртуализации. И уже в виртуальной среде разворачивать все остальные сервисы.

- по предполагаемой схеме развертывания тебе понадобиться 4 лицензии для серверов (1 - TMG, 1 - хост для виртуалок, 2 - для самих виртуалок)
Может стоит посмотреть в сторону VMWare ESXi - как базовая система для виртуалок (сэкономишь одну лицензию :) )

alecsandrb, если хостовая будет редакции Enterprise - 4 лицензии на ВМ будут включены. Так что сомнительная какая-то экономия.

- это как сказать - нужно сравнивать стоимость разных редакций
- я предлагал в качестве хоста ESXi даже не из-за экономии, а из расчета сколько хост машина будет забирать для себя
ресурсов - к сожалению сервер с ролью Hyper-V (даже в Core) требует себе больше ресурсов чем тот же ESXi

коллеги, прежде чем говорить о виртуализации, я бы попросила оборудование указать.
ато конфиг "не самого плохого сервера" на Е8400+2гб - это не сервер вообще, а обычная рабочая станция.
если второй сервер такой же, на каком нибудь бортовом ICH9-10R и SATA дисками то виртуалить будет просто классно.
а у ESX(i) сильно заковыристые требования к дисковым контроллерам.

Денис, по поводу TMG, нашел еще такой продукт, как Bandwidth Splitter, для распределения канала internet. На выходных конечно поковыряю что имеется изначально, надеюсь ничего к ней докупать не придется!
cameron, конфигурацию сервера выложу потом, но там вроде как серьезное именно серверное железо в 1U корпусе, с 2мя SCASI дисками в RAID 1.

Насчет лицензий завтра наверное буду звонить, постараюсь выянить все нюансы, главное мне знать какой список ПО требуется)) Просто 1 лицензия Server Standart уже есть, скорее проще докупить еще одну...

Также вечером постараюсь выложить схему сети. Дело в том, что тянуть все провода в подвал в этом здании накладно, поэтому есть вариант поставить на каждом этаже по свичу, а этажа у нас 3, затем 3 кабеля довести до подвала, где будут располагаться стойка серверная. //мечты о патчпанелях уплывают )

шейпинга нет в TMG, а BSplitter является одним из лучших решений для этого.
SCSI, если именно SCSI, то это уже не серьёзное. тем более два диска.

cameron, значит тоже включу в список ПО!

А почему SCSI интерфейс не серьезный? Я конечно никогда не углублялся в серверное железо, но почему-то считал, что это что-то стоящее...
В любом случае, гадать не буду, как получу его в распоряжение, так отпишусь, что там внутри.

потому что он уже морально и физически устарел. и велика вероятность у вас там стоят процессоры без VT, или материнка не поддерживает.
плюс там, скорее всего, DDR2 в лучшем случае, даже не FBDIMM.

Да, серьезно однако...но чем богаты, тем и рады, как говорится)

Я вот только не могу понять, если не будет VT, то без виртуализации не обойтись? TMG(1) + AD и базы DBF(2)

Если не будет AMD-V/Intel-VT - про виртуализацию, по крайней мере на платформе Hyper-V, можно будет забыть, я уже выше писал про hardware assisted virtualization support - аппаратную поддержку виртуализации.

Это я уже понял, поэтому и задал вопрос на эту тему, система(TMG(1серв) + AD и базы DBF(2серв)) без виртуализации в каком месте не приживется?

Просто для начала придумывать велосипед тоже не хочется, т.к. подстраховки у меня нет...
У знакомого с похожей ситуацией вообще стоит 1 сервер, на котором какая-то программка (не помню название) типа UserGate и всё))
Это я к тому, что если можно обойтись пока без виртуализации, было бы хорошо. Потом когда сеть будет готова, оборудование запущено и настроено, тогда и по экспериментировать можно будет.

В общем, пока что пришел к такой схеме:
http://img39.imageshack.us/img39/7923/60131612.jpg
(как картинка не стал выкладывать, чтобы пост не захламлять)
Жду корректировки, что не так и что с чем не подружится по теории...

Всем спасибо за содействие! Дальше как-нибудь выкручусь...