Каким образом поднять новую инфраструктуру с нуля и объединить в одну сеть три корпуса учебного заведения?
Добрый день. Я начинающий системный администратор. Мне поставили серьезную задачу: поднять новую инфраструктуру с нуля и объединить в одну сеть три корпуса учебного заведения. Определим, что корпус A –главный , B и C второстепенные. В главном корпусе сейчас установлен Windows Server 2008 (DC,DHCP,DNS), Windows Server 2008 (TMG 2010), Windows 2003 (Mail,Сайт) и все этот стоит на старом железе. В других корпусах на текущий момент серверов нет. (Новые сервера закуплены по 2 шт. на корпус). Уточнение задачи: Необходимо что бы пользователи одного корпуса могли авторизоваться в других корпусах под одним логином и паролем, а также имели доступ к ресурсам в других корпусах. В данный момент сети между корпусами нет, но она будет сделана по средством VPN или с помощью провайдера. Скорость интернета между корпусами до 100 Мбит.
По моему мнению, процесс создания новой инфраструктуры надо начинать с главного корпуса . Привести порядок сеть, продумать топологию сети, есть возможность настроить VLAN в сети (200+ PC),продумать как будет реализован VPN, поднять новый домен и лес, плавно перенести текущие сервера на новые. Следующий этап это соединение главного корпуса с второстепенным(VPN), поднятия там домена, включить этот домен в существующий новый лес, и настройка доверительных отношений между доменами. Тоже самое с третьем корпусом. НО начальство хочет все сделать наоборот. Первым делом поднять домены и новые леса в корпусе B и C, после перестроить инфраструктуру в главном корпусе ,поднять VPN и как-то соединить все три леса в один. В этом подходе я и сомневаюсь. Можно ли будет без геморроя настроить доверительные отношения между доменами, которые находятся в разных лесах? Какие есть плюсы и минусы в данных подходах? И как это все будет работать? Заранее спасибо за совет!
Дополнение: Спасибо всем за ответы, возможно, я не корректно описал ситуацию, попробую уточнить. Расстояние между корпусами порядком 5-6 км (что-то протянуть не вариант) Придется, скорее всего, соединять через провайдера, скорость интернета для учебных заведений у нас 100 мбит (и скорее всего не увеличат). По поводу начальства, им все надо сделать быстро и качественно. Техническую сторону всей процедуры слабо понимают.
Теперь о трех доменах и общем количестве компов: в главном корпусе у нас 200 ПК, во втором около 120 и в третьем примерно 80. Идея была такова: что бы все авторизации пользователей происходили в корпусах на локальных серверах а не бегали через интернет на главный сервер ( хотя бы кеширование паролей), если например линк между корпусами упал бы, то работа в корпусах не прерывалась. Так же необходима единая авторизация на все корпуса +доступ к данным. (от сюда идея поставить сервера во всех корпусах)
В данный момент в двух корпусах нет инфраструктуры, роутер да и свитчи. Там все с нуля. В главном корпусе с помощью VLAN хотели разделить администрацию от учеников и бухгалтерии + уменьшение широковещательного трафика. Так же в планах организовать Wi-fi по всему главному корпусу для учителей и учеников (отдельный VLAN?)
Администратор, к сожалению, я один на три корпуса и технической помощи ждать не откуда, (зато 2 эникейщика), если приглашать специалистов, то зачем тогда я? (логика начальника) Продолжим, про сервера, по проекту было закуплено 6 новых серверов, которые были распределены не мною на корпуса. Если их можно грамотнее распределить, то подскажите, пожалуйста, как это сделать. Для меня самое важное это стабильность данной системы. (Про резервный DC –это само собой) И все же, на ваш взгляд при данной ситуации лучше в главном корпусе поставить все сервера и отсюда начинать инфраструктуру, или разделить на 3 корпуса серверное оборудование???
Делал тоже самое только в медицине.
Пробивайте прямой линк. Сэкономит кучу нервов. Если на одной территории, то оптика однозначно, даже не сомневайтесь, если в разных районах, то L2 через провайдера.
Про скорость 100мбит забудьте, это прошлый век. Делайте сразу гигабит, так же сэкономит нервы и через три года не придется переделывать.
И, простите, зачем вам три домена на три корпуса? Это бред сивой кобылы. У вас на них разные сайты висят? В каждом корпусе свой системный администратор? Или что? Для чего это нужно?
И еще вопрос, на кой черт два сервера на каждый корпус? Что на этих серверах? Зачем они должны стоять в разных корпусах?
Для 200+ ПК одного домена, более чем достаточно, делаете хозяина инфраструктуры в главном корпусе, DNS, DHCP, там же резервный DC на другом сервере.
Главное - надежная, емкая транспортная инфраструктура, а на ней все остальное гораздо проще и легче делается.
Если по пунктам, то выглядит так (при условии нахождения на одной территории):
1. Одномодовая оптика на 16 волокон от второстепенных к главному корпусу.
2. В главном, оптический гигабитный коммутатор уровня ядра
3. Во второстепенных, гигабитные коммутаторы уровня сети, с оптическим портом
4. В главном ставите все сервера.
5. В главном поднимаете DC, резервный DC, файлсервер и все, что еще вам нужно.
И все, никакого геморроя с лесами и доверием и впн.
Леса нужны когда у вас уже филиалы целые в разных районах и городах, со своими политиками и т.д.
А на 200 компьютеров такое городить - это верх некомпетентности.
Да и гигабит какбы тоже уже... отжил. Надо LAG 2x10Gib. А то захотят какие-нибудь распределенные вычисления устроить и положат гигабит.
Сервера на точках - дело хорошее. На них можно поднять пару резервных DC. Иначе упадет линк до ГЛАВНОГО и привет.
Скажите вашему начальству, что если в вашей сети ведется обработка персональных данных студентов, вы обязаны использовать строго определенные СЗИ с правильными сертификатами ФСТЭК и ФСБ, которые стоят кучу денег.
Saboteur
@saboteur_kiev Куратор тега Компьютерные сети
software engineer
Было бы неплохо позвать не начинающего администратора хотя бы для консультации.
Если корпуса в пределах видимости, зачем впн, если можно просто объединить обычными линками?
Простые работы на территории заведения же можно вести. Можно кинуть даже воздушный гигабит по возможности.
Корпуса не находятся в прямой видимости, по воздуху будет медленно. Я вот и консультируюсь где могу...
Написано
Saboteur
@saboteur_kiev Куратор тега Компьютерные сети
ffic: Почему по воздуху будет медленно?
Воздушка имеется ввиду что кабель внутри периметра института можно ложить поверху, не копая колодцев. А так - да хоть 10гигабитку оптику кидайте. Просто если недалеко, можно дешевый езернет проложить, и без впн обойтись
Поддержу камрада DastiX насчёт отсутствия необходимости в лесах. На вашу структуру хватит одного домена.
Также добавлю, что вы ставите задачу в духе: "Давайте поставим по два сервера, сделаем VLAN и VPN и ещё кучу модных слов!". Плясать нужно от требований, а не от технологий. Вы ставите два сервера. Отлично. Чем они будут заниматься? Какие задачи решать?
Хотите VLAN'ы -- хорошо. Для чего? Что вы планируете с помощью вланов делать? Какую задачу решить?
Тот же вопрос по VPN. У вас ещё физического линка между корпусами нет, и даже неясно, как он будет реализован, а вы уже про VPN думаете.
Простой
Простой
