[exo]

1) для 20 компьютеров два DHCP излишнее.
2) а почему не сделать TMG НАТ сервером?

я бы рекомендовал другое решение по объединению доменов:
VPN настраивается на аппаратных роутера.
VPN site-to-site между имеющимися сетями.
Настройка доверительных отношений между двух доменов.
Если второй домен новый, то новый контроллер можно ввести в существующий домен. Темы на форуме где-то были.

[fotonboxx]

Цитата exo:

1) для 20 компьютеров два DHCP излишнее.»

А все равно, где он будет? На физ. сервере с TMG или с основным КД?

Цитата exo:

2) а почему не сделать TMG НАТ сервером? »

Я не знал, что он это умеет )). Спасибо, так и сделаю.

Цитата exo:

VPN настраивается на аппаратных роутера. »

Роутеры для бизнеса стоят дорого, да и с Cisco я никогда не сталкивался.
Дешевый роутер придется менять, если офис в очередной раз "уплотнят". У руководства есть такая фишка.

Цитата exo:

VPN site-to-site между имеющимися сетями. »

Это я и пытаюсь сделать, только теперь на TMG.

Цитата exo:

Настройка доверительных отношений между двух доменов. Если второй домен новый, то новый контроллер можно ввести в существующий домен. »

Не совсем понятно выразился. По шагам:
1. Скопировать со старого сервера только содержимое шары (профилей пользователей нет).
2. На новом сервере уже будет домен с таким же символьным именем, как был на старом. Будут созданы те же юзеры и сетевые папки.
3. Старый сервер - в шкаф, новый на его место.

Что увидит пользователь, когда попытается залогиниться? Нуобходимо ли подцеплять компьютер к домену заного (со всемы вытекающими, вроде нового профиля и т.п.)?

[exo]

Цитата fotonboxx:

А все равно, где он будет? На физ. сервере с TMG или с основным КД? »

DHCP не такая тяжёлая служба. Я не помню рекомендаций где её можно совмещать. У меня всегда с КД.

Цитата fotonboxx:

Я не знал, что он это умеет »

одна из основных функций.

Цитата fotonboxx:

Роутеры для бизнеса стоят дорого, »

это смотря что дороже для бизнеса. железка или плюшки, которые она не получает от отсутствия железки, и как следствие простой в работе.

Цитата fotonboxx:

Это я и пытаюсь сделать, только теперь на TMG. »

вроде была тема с этим вопросом. вроде без ответа...

Цитата fotonboxx:

Нуобходимо ли подцеплять компьютер к домену заного (со всемы вытекающими, вроде нового профиля и т.п.)? »

конечно. при переключения компьютера из домена в домен воспользуйтесь программкой User Profile Wizard для "перевода" старого профиля в новый.
Как это делается:
- выводится компьютер из домена
- вводится в новый домен
- логинится новый пользователь
- запускается программа UPW
- в ней указывается что новый профиль ссылается на старый профиль (вроде так)
- программа переписывает все GUID в старом профиле на новый.
- перезагружаетесь и работает.

Учётки из старого АД в новый можно мигрировать с помощью ADMT.

[cameron]

Цитата fotonboxx:

1. Где должен располагаться DHCP-сервер, сколько их должно быть? »

где угодно. в идеале - 2, схема 80/20. на 20 хостов - одного за глаза.
за время дефолтовой аренды, как нибудь, сделаете новый.

Цитата fotonboxx:

2. Нужно ли выносить TMG в отдельный виртуальный сервер или лучше поставить его рядом с тем, что организовывает NAT\VPN? »

это лучше сделать на одном сервере, если уж компания настолько нищая что не может позволить себе БУ циски или новые джуниперы, но может покупать TMG по 1200$ за хост )

Цитата fotonboxx:

3. Какие роли еще нужны серверу с NAT\VPN\TMG для безопасной работы? RADIUS? »

безопасной от чего?

Цитата fotonboxx:

4. При настройке VPN RRAS спрашивает, как назначать IP удаленным клиентам. Что там надо указать, чтобы клиенты из второго офиса получали динамические IP из локальной сети первого офиса (DHCP-сервер будет на другом физическом сервере). »

не нужно получать адреса с DHCP, лучше пул адресов отличный от сети офиса и Site-to-Site VPN средствами TMG

Цитата fotonboxx:

5. По миграции - сейчас в офисе есть домен "ААА". Если на новом сервере создать домен с таким же именем (а старый одновременно пустить на запчасти), то увидят ли юзеры свои любимые рабочие столы с ярлычками? »

лучше и проще поднять второй КД и мигрировать туда. (КД и ТМГ, официально, несовместимы)

Цитата fotonboxx:

З.Ы. Вдогонку - как мне протестировать VPN с виртуальным сервером, если дома у меня нет статического IP? »

использовать приватную домашнуюю сетку как внешнюю для ТМГ, это очевидно

[fotonboxx]

exo, cameron

Спасибо за ответы, пока все понятно.

Решил сделать новый домен и из старой AD ничего не переносить (вбить 20 юзеров - это не долго, тем более половина из них сейчас под учеткой guest ).

Для этого буду создавать тестовую сеть с новыми серверами внутри существующей (как здесь), правильно понимаю, что два DHCP (от нового и старого серверов) вместе не уживутся (диапазоны IP не пересекаются)? Т.е. либо доступ из тестовой сети в инет либо DHCP?