Как организовать DHCP в домене по зданию?

Добрый день. Сложилась ситуация, что в большой организации, несколько зданий, около 1000 машин, нет никакой организации от слова СОВСЕМ - локальные администраторы на всех машинах, обслуживание на своих двоих и так далее.

ОС у всех ПК - Win XP (остатки, их мало), WIn7 Prof, Win10 Prof

IP адреса на эту ораву прописываются в ручную.

Сейчас были куплены сервера, по 1 штуке на каждое здание. На них будет разворачиваться Windows Server c AD, DHCP и так далее.

Сетевая инфраструктура имеется в виде: где то умных CISCO, где то к ним идут D-LINK.

Задача - используя сервера на каждое здание, сделать централизованное управление с раздачей адресов по DHCP и удаленному управлению.

Сделать это в одном широковещательном домене на 50-100 машин я понимаю как. Но необходимо:

1) В пределах здания настроить автоматическое получение DHCP на все ПК с резервированием IP-адресов.

2) Иметь возможность разграничить диапазоны согласно кабинетам, группам кабинетов - не все же ПК в здании в одну сеть пихать. При этом сервер DHCP с двумя интерфейсами. Возможно использовать VLAN ?
Маршрутизация между кабинетами (подсетями) нужна не всегда.

3) Иметь возможность удаленного подключения на ПК в домене. Я вижу это так: по звонку логнинимся на сервер, смотрим кабинет-IP в оснастке DHCP и подключаемся по IP.

4) Иметь возможность удаленной установки ОС+ПО. Нужен PXE сервер, и еще кажется был какой то инструмент от Microsoft, который умеет красиво ставить ОС по сети, получая адрес из свободного диапазона.

5) Софт, который выводит на рабочем столе IP и прочее идентификационные данные для опознания ПК, чтоб пользователи могли продиктовать. Тут просто прошу совета - чем пользоваться.

6) Учет трафика пользователей. С учетом HTTPS - чем, и главное на чем - сетевое оборудование или сервер, виртуалка ubuntu или Windows server?

В качестве маршрутизатора этого всего планировалось использовать Windows Server, который дальше уже все пересылает на CISCO L3 коммутаторы здания.

Прошу помощи более опытных коллег, так как сам сети такого масштаба никогда не организовывал - как и что лучше сделать по этим пунктам, какими инструментами ПО ?

Денег на стороннее ПО нет, кроме Windows Server.

Таких зданий несколько, планируем везде все организовать одинаково.

Цель - полный контроль и управление пользовательских ПК удаленно из одной точки.
Самое сложное что я вижу - как раздать DHCP адреса и делить их.

P.S. Подскажите - как можно обезопасить себя от не прописанных в DHCP ПК (допустим Вася принес свой ПК, воткнул в сеть и качает что-то плохое)
  • Вопрос задан
  • 1833 просмотра
Решения вопроса 1
leahch
@leahch
3D специалист. Dолго, Dорого, Dерьмово.
0) читаете про dhcp-snooping и dhcp-relay.
1) настраиваете это все на коммутаторах
2) по возможности раскидываете на подсети и vlan
3) выкидываете в урну коммутаторы, которые это не поддерживают.
4) настраиваете первичный и резервный dhcp серверы с общей базой лис-адресов.
5) ну, далее по вашему списку.
На почитать xgu.ru/wiki/DHCP_snooping
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 5
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
Прошу помощи более опытных коллег, так как сам сети такого масштаба никогда не организовывал - как и что лучше сделать по этим пунктам, какими инструментами ПО
Для начала составить нормальное техзадание, потом смету, после чего приступать к выполнению или нанимать исполнителей.
Если сами не в состоянии составить ТЗ, и смету - надо приглашать специалистов.

как можно обезопасить себя от не прописанных в DHCP ПК (допустим Вася принес свой ПК, воткнул в сеть и качает что-то плохое
Задача DHCP раздавать адреса, и если кто-то подключил компьютер к сети он должен выдать ему адрес. Это нормально.
А вот куда имеет доступ Вася, и что он может качать решается совсем другими инструментами, не имеющими никакого отношения к DHCP

В пределах здания настроить автоматическое получение DHCP на все ПК с резервированием IP-адресов.
Просто включить DHCP и прописать резервирование адресов за конкретным MAC адресом.
Как это сделать - зависит от того на чем это все будет реализовано. Такая функциональность есть даже у домашних роутеров за 800рублей.

Иметь возможность разграничить диапазоны согласно кабинетам, группам кабинетов - не все же ПК в здании в одну сеть пихать.
VLAN вам в помощь.

Иметь возможность удаленного подключения на ПК в домене
RDP

Иметь возможность удаленной установки ОС+ПО. Нужен PXE сервер
PXE это такая программа зашитая компьютер позволяющая загружаться по сети.Сервером она ни в коем случае не является.
Для удаленной установки ОС нужен TFTP сервер.

был какой то инструмент от Microsoft, который умеет красиво ставить ОС по сети
AIK

Софт, который выводит на рабочем столе IP и прочее идентификационные данные для опознания ПК
ПКМ на Мой компьютер - там видно имя компьютера. Зачем вам IP?

Учет трафика пользователей.
Да на чем угодно, софта навалом, нужно выбирать под задачи, необходимо ТЗ. А так без ТЗ - в логах роутера посмотрите.

В качестве маршрутизатора этого всего планировалось использовать Windows Server
Сильно задумано. Не, в Windows конечно же есть службы маршрутизации и они вполне работают, но вот организовать маршрутизатор крупной сети на Windows это конечно нечто - желаем удачи.

Самое сложное что я вижу - как раздать DHCP адреса и делить их.
Вот это как раз сделает любой школьник за полчаса с помощью дешевого SOHO маршрутизатора купленного в ближайшем супермаркете.
Ответ написан
Keffer
@Keffer
ICANN
Целое ТЗ накатал, размером с добрую простынь)))) Осталось только найти кого то, заплатить, он к вам придет и все организует. Тут на целый большой подряд делов, бесплатно такие вещи не делаются.
Ответ написан
Vlan, intervlan routing, dhcp-relay, dhcp..-snooping... +мониторинг инфраструктуры, серверов - zabbix или аналоги
Ответ написан
Комментировать
@THE_HEDGEHOG
MTCRE, MCSA
Да батенька, подкинули вы задачку.
- Для начала, выкинуть, от слова совсем, все DLINK'и ибо подобная пакость некошерна.
- Сеть резать крупными кусками (по 24й маске, в крайнем случае по 25), покампусно, даже если на этаже/здании 10 человек;
- Прикупить для ядра микрот, в идеале ccr1036, на второй уровень сойдет и crs326 (покупать 1хх-2хх не стоит ибо устарело);
- DHCP полностью возложить на микрот в ядре, аплинк - dhcp сервер. С DNS на Windows Server, нормально "подружится", главное разрешить динамическое обновление;
- про VLAN забыть так как я понял сеть одноранговая;
- удаленное управление организовать лучше всего через Radmin (если денех нет, то в сети куча ломаного, но прикупить десяток лицензий для очистки совести стоит), подключаться по доменному имени, а не по IP;
- PXE - почитайте по WDS (Windows Deployment Services);
- Учет трафика пользователей, а есть ли смысл ? Гораздо легче при наличии нескольких провайдеров настроить очереди и пошаманить с маршрутизацией, Если хочется "закрыть" вконтактики и прочее, почитайте mikrotik layer 7 https, но это лучше делать на отдельной железке, процессор кушает очень хорошо;
- Обезопасить себя от непрописанных в DHCP подключений можно тупо сделав привязку по мак-адресу, но весь смысл от DHCP тогда теряется. А так это слишком большая тема и очень много вариантов решения.

p.s. Неразумная экономия никогда не приводила ни к чему хорошему.
Ответ написан
@Supporting
Я бы рекомендовал нанять подрядчика.
Получится быстрее и, в итоге, дешевле.
Если обладать необходимыми знаниями, то один человек за месяц - два управится (зависит от конкретных задач).
Кроме того, в процессе можно "почерпнуть" недостающие знания, что тоже дорогого стоит.
Ну или следовать советам коллег. Хотя без знаний даже определённое решение выбрать будет сложно, а реализовать его ещё сложнее.
Из практики могу сказать, что 1000 хостов в одном широковещательном домене тоже не проблема (был опыт). Всё зависит от желания и мастерства.
А теперь вопросы:
1. Для какой нужды использовать резервирование?
2. Какая цель разграничения IP по кабинетам?
3. RDP по имени компа или IP, сообщённого пользователем, чем вас не устраивает?
4. Какими объёмами ОС/ПО оперируем? В AD есть возможность удалённой установки ПО, у MS есть служба развёртывания.
5. Bginfo от Марка Русиновича вполне подходит. (это уже и не вопрос вовсе)
6. Для учёта и контроля трафика есть proxy сервера. MS своё решение похерил. Опять же вопросы: какие каналы связи, уровни контроля?
Защитить локальную сеть от сторонних устройств можно используя Radius сервер. Есть штатная роль в MS Server.

В общем итоге: хочешь получить нормально настроенное и рабочее решение - приглашай специалистов. Хочешь сделать всё сам - получай знания.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы