строим корпоративную сеть
 

Цель:
-------
Существует холдинг. Нужно несколько предприятий (10-12) завязать в корпоративную сеть.

Сеть должна выполнять такие функции:
- почта (учетная запись на каждого пользователя домена)
- 1С на SQL-Server
- доступ к файловому серверу
- централизованное обновление ОС и антивирусных баз

На каждом предприятии имеется свой вторичный домен.
Предприятия связываются VPN-ками.
Сервера везде 2000 (никаких линух и фрей нет). Есть CISCO.

Сейчас стоит ISA- , Exchange- и SUS.

Как лучше построить такую сеть (по цели), чтоб мороки и глюков потом меньше было ?
Жду советов и умных мыслей. (желательно побыстрее) :)

Да, как и обычную сеть. Определяете план работ, возможные риски, архитектуру сети, бюджет и т.п. ...и вперед...
Делаем мы холдинги, и поверь, что кроме масштабов и более мощного оборудования ничем больше это особо не отличается от локалки с нескольками доменами.

Megabizon
прикол в том, что сейчас уже несколько подключено - а домен 1, просто в нем по одному контроллеру каждого пред-тия ... путаница между админами с правами
роутеры на 2000 масдае с ИСА 2000 в качестве PFW. ну как-то проблематично это сейчас всё работает .... :(

2 MaxFactor
ну и что вас не устраивает в одном домене? Один домен , один лес
Могу привести цитату из книги глубокоуважаемого мной автора Федорв Зубанова "Active Directory - подход профессионала" :


Преимущества модели с одним лесом
Рассмотренные выше модели построения доменной структуры отно-
сятся к так называемой модели Active Directory с одним лесом доме-
нов, В 99 % случаев следует придерживаться именно этой -модели.
Объяснение данного факта простое; вы получаете максимум выгоды
от использования Active Directory. Ниже перечислены основные пре-
имущества этой модели.
• Как следует из определения, лес характеризуется наличием едино-
го глобального каталога. Это означает, что для создания единой ад-
ресной книги не надо применять никаких дополнительных усилий.
В случае Microsoft Exchange 2000/2003 этот каталог будет взят за
основу. Для других почтовых систем он может быть указан в каче-
стве LDАР-каталога. Любой почтовый клиент, понимающий прото-
кол LDAP, использует существующий ГК в качестве адресной книги.
• Наличие единого глобального каталога также может быть исполь-
зовано и различными серверами приложений Это может стать первым шагом
на пути к созданию единой точки входа в гетерогенную систему
(single sign-on).
ф Одним из важнейших достоинств единого леса является простота
и эффективность отслеживания единой политики безопасности.
Связано это как с организационными, так и с техническими при-
чинами. Так как управление всем лесом выполняется единой ко-
мандой ИТ, то не существует причин, по которым одна и та же
политика была бы внедрена по-разному одними и теми же людь-
ми. С другой стороны, высокий уровень квалификации сотрудни-
ков обеспечивает ее правильное внедрение и поддержание. Техни-
чески единство политик обеспечивается тем. что, невзирая на раз-
ные домены, к ним применяется один и тот же объект групповой
политики, хранимый в Active Directory. Кроме того, неизменность
данного объекта гарантируется возможностью защиты его от не-
санкционированного доступа средствами AD.
• В рамках единой политики безопасности легко реализуется кон-
цепция делегирования полномочий. Делегирование позволяет, с
одной стороны, резко сократить число сотрудников, обладающих
административными полномочиями, а с другой — централизован-
но контролировать зону ответственности каждого из сервисных
администраторов. В такой ситуации лица, не обладающие доста-
точной квалификацией, не смогут получить доступ к функциям,
влияющим на стабильность и безопасность всей системы.
• Наличие единого леса позволяет централизованно внедрить сис-
тему мониторинга, которая будет в реальном масштабе времени
следить за контроллерами доменов и иным оборудованием. При-
чем такая система, как Microsoft Operations Manager (MOM 2000),
позволит не только контролировать состояние обслуживаемых
систем и своевременно сообщать оператору обо всех сбоях, но и
автоматически отрабатывать процедуры по устранению неисправ-
ностей. Одной из особенностей MOM является возможность веде-
ния базы знаний о возникавших проблемах. Такая база позволяет
легко организовать преемственность административного персона-
ла, когда увольнение одного не станет узким местом при разре-
шении проблем. Стоит упомянуть, что MOM имеет специальные
наборы настроек, позволяющих интеллектуально управлять состо-
янием Active Directory. DNS, Windows 2000/2003 и остальных служб.
При необходимости MOM может быть использован для управле-
ния и серверами приложений (SQL, Exchange и пр.), причем не
только на платформе Microsoft.
+ Наличие единого леса Active Directory значительно упрощает про-
цесс внедрения корпоративных стандартов на рабочие места
пользователей. Использование групповых политик в рамках леса
позволяет управлять приложениями, установленными на настоль-
ных и мобильных компьютерах, выполнять своевременное их об-
новление, применять определенные настройки отдельных прило-
жений, регулирующие доступ к ресурсам, централизованно управ-
лять сценариями регистрации и пр. Так, например, групповая по-
литика может для нсех пользователей определить расположение
сервера Software Update Service (SUS) в корпоративной сети пред-
приятия, который используется для распространения всевозмож-
ных исправлений для операционной системы и связанных с ней
приложений.
• Одной из задач, стоящих перед организациями, работа которых не
должна прерываться при любых обстоятельствах , является организация резервного цент-
ра управления. Резерв может быть как «горячим», так и «холодным».
В том случае, когда имеется единый лес Active Directory, инфраструк-
тура каталога может быть спроектирована таким образом, что даже
в случае полного уничтожения центральной части организации вся
оставшаяся часть будет продолжать функционирование без переры-
вов и потери функциональности. Более того, сотрудники централь-
ной части, переехавшие в любое место в структуре предприятия,
смогут незамедлительно приступить к работе, сохранив при этом
доступ ко всем необходимым приложениям.
• Постоянно повышающиеся требования к защите информации
предполагают использование более эффективных средств обеспе-
чения зашиты. Одним из таких средств является внедрение инф-
раструктуры открытых ключей (PKI) на базе сертификатов Х.509
v.3. Внедрение этой инфраструктуры позволит использовать стан-
дартизованные средства шифрования и защиты информации, сер-
тифицированные соответствующими органами Российской Феде-
рации. Так, в частности, и дополнение к встроенным средствам
защиты можно будет использовать цифровые смарт-карты для
идентификации личности на компьютерах руководителей, а так-
же для выполнения критичных административных операций. Кро-
ме того, станет возможно использование электронной цифровой
подписи (ЭЦП) в системах документооборота и почты. Несмотря
на то, что внедрение инфраструктуры PKI возможно и для несколь-
ких лесов, в одном лесу использование системы будет наиболее
прозрачным для пользователей.
• Мобильные пользователи смогут абсолютно безопасно подклю-
чаться к сети предприятия из любой точки для доступа к своей
почте или иным ресурсам. Единый лес обеспечивает для них про-
зрачность доступа, а использование смарт-карт — безопасность.

и это только часть преимуществ!!