Александр

https://www.edx.org/course/introduction-to-linux

Всё очень просто, Bareos и Bacula не лучше и не хуже никаких других программ и решений если вы не рассматриваете различные сценарии утраты, утечки или порчи данных.

Bareos (Bacul'у более упоминать не буду, хотя к ней тоже всё сказанное относится) позволяет защититься при следующих сценариях:

• Взбесившийся драйвер или сервер испортил данные на всех подключенных устройствах
  
• Обиженный жизнью и начальством админ-злоумышленник испортил данные, в том числе резервные копии
  
• В офис пришла собака с милицией, пожарники, пожар, потоп
  
• Всегда хранится одна резервная копия, скажем, недельной давности, но обнаружена порча файла произошедшая месяц назад

А разгадка в чём: если используешь Bareos, то:

• Имей резервных копий сильно больше одной
  
• Имей резервные копии на физически отключенных устройствах
  
• Настрой ротацию физических устройств с резервными копиями
  
• Имей резервные копии далеко от ЦОДа, сервера и офиса, как минимум у начальника в сейфе на загородной даче.
  
• Раз в иногда резервную копию откладывай в архив на длительное хранение
  
• Само собой должно быть ещё шифрование и периодические проверки корректности резервных копий, проведение учений по восстановлению данных, но это универсальные советы для всех способов изготовления резервных копий.
  

Bareos позволяет настроить это относительно легко. Все сохранённые файлы учитываются в базе данных, можно производить поиск и сравнение когда какой файл добавился, изменился, где хранится.

Если есть деньги то Veeam

Bareos работает и жрать не просит, переехали на него с бакулы.
Ну и посмотрите на urbackup, просто и со вкусом, но тоже клиент/сервер.

Хочет работать в етой сфере - пусть привыкает к вакому
Когда станет звездой - купит себе моноблок с тачем за $2-5k

Если ОС на сервере приемнике такая же, то можно все засинкать.
Просто все файлы скопируются на новый сервер, потом только поправить конфиги, там ip, hosts и прочее.

rsync -avP --exclude=dev --exclude=proc --exclude=sys root@src:/* /

Ну или использовать всякие системы для автоматизаций, ansible и прочее, либо все в докеры завернуть и их таскать. Можно вообще через dd диски скопировать, зависит от конкретно вашего случая.

Прошу помощи более опытных коллег, так как сам сети такого масштаба никогда не организовывал - как и что лучше сделать по этим пунктам, какими инструментами ПО

Для начала составить нормальное техзадание, потом смету, после чего приступать к выполнению или нанимать исполнителей.
Если сами не в состоянии составить ТЗ, и смету - надо приглашать специалистов.

как можно обезопасить себя от не прописанных в DHCP ПК (допустим Вася принес свой ПК, воткнул в сеть и качает что-то плохое

Задача DHCP раздавать адреса, и если кто-то подключил компьютер к сети он должен выдать ему адрес. Это нормально.
А вот куда имеет доступ Вася, и что он может качать решается совсем другими инструментами, не имеющими никакого отношения к DHCP

В пределах здания настроить автоматическое получение DHCP на все ПК с резервированием IP-адресов.

Просто включить DHCP и прописать резервирование адресов за конкретным MAC адресом.
Как это сделать - зависит от того на чем это все будет реализовано. Такая функциональность есть даже у домашних роутеров за 800рублей.

Иметь возможность разграничить диапазоны согласно кабинетам, группам кабинетов - не все же ПК в здании в одну сеть пихать.

VLAN вам в помощь.

Иметь возможность удаленного подключения на ПК в домене

RDP

Иметь возможность удаленной установки ОС+ПО. Нужен PXE сервер

PXE это такая программа зашитая компьютер позволяющая загружаться по сети.Сервером она ни в коем случае не является.
Для удаленной установки ОС нужен TFTP сервер.

был какой то инструмент от Microsoft, который умеет красиво ставить ОС по сети

AIK

Софт, который выводит на рабочем столе IP и прочее идентификационные данные для опознания ПК

ПКМ на Мой компьютер - там видно имя компьютера. Зачем вам IP?

Учет трафика пользователей.

Да на чем угодно, софта навалом, нужно выбирать под задачи, необходимо ТЗ. А так без ТЗ - в логах роутера посмотрите.

В качестве маршрутизатора этого всего планировалось использовать Windows Server

Сильно задумано. Не, в Windows конечно же есть службы маршрутизации и они вполне работают, но вот организовать маршрутизатор крупной сети на Windows это конечно нечто - желаем удачи.

Самое сложное что я вижу - как раздать DHCP адреса и делить их.

Вот это как раз сделает любой школьник за полчаса с помощью дешевого SOHO маршрутизатора купленного в ближайшем супермаркете.

Целое ТЗ накатал, размером с добрую простынь)))) Осталось только найти кого то, заплатить, он к вам придет и все организует. Тут на целый большой подряд делов, бесплатно такие вещи не делаются.

Ну иотоп посмотреть процесс потом лсоф глянуть какие файлы используются

Просто снимаете галочку "Использовать основной шлюз в удаленной сети" в свойствах впн соединения. Весь трафик будет ходить как обычно, и просто появится доступ к ip адресу RDP сервера.

Денежка исть?) и сразу в догонку второй вопрос. А нахрена там какой-то софт?). Без стороннего софта админить не получается?)

Давай я сразу даже уточню. Софт такого плана вообще не нужен. Даже при минимальном бюджете в говноконторе. Все решается штатными средствами.

/ip dns -> снимаем галочку allow remote requests

Ценность слов людей равняется нулю. Нужно это понять. Тебя назвали говном)? А чем он отличается от эха что летает в воздухе? Почему ты должен уделять внимание, тратить своё время и усилия на это эхо? Пустоты в наше время много. Она порождает такую же словесную пустоту. Ценность имеют только слова тех кто тебе дорог или ты их уважаешь. Не трать время на таких людей. Всем не докажешь. А жизнь не резиновая.

Veeam неплох )

В случае с gmirror -- нет, расширить RAID не удастся. Нет такого функционала. Только бэкап всех данных, потом разбивка массива в RAID10, потом возврат всех данных из бэкапа.

Можно перейти на ZFS, там можно расширять ZMIRROR, добавляя зеркала.

Microtic вланы и IPSec далеко не все потянут.

Потянут все, но не на всех будет достаточно мощности чтобы тянуть трафик более одного клиента.

2) Какое оборудование поставить в ядро сети?

RB1100AHx2 или более новая модель с аппаратным шифрованием

3) Стоит ли рассматривать покупку БУ оборудования Cisco?

Если работали раньше, если фанат комстроки, если хотите освоить методом "полного погружения" - конечно. БУ циску можно выхватить достаточно дешево.

Систему можно бэкапить встроенными средствами, базы данных - своими, с файлами - надо думать в зависимости от ситуации. Хранить бэкапы или ещё лучше их копии - на Linux-сервере, с подключением только на время копирования - недавно в гости зашел шифровальщик - часть бэкапов на виндовых шарах была потеряна, до потери данных дело не дошло.