Александр

Хочет работать в етой сфере - пусть привыкает к вакому
Когда станет звездой - купит себе моноблок с тачем за $2-5k

Если ОС на сервере приемнике такая же, то можно все засинкать.
Просто все файлы скопируются на новый сервер, потом только поправить конфиги, там ip, hosts и прочее.

rsync -avP --exclude=dev --exclude=proc --exclude=sys root@src:/* /

Ну или использовать всякие системы для автоматизаций, ansible и прочее, либо все в докеры завернуть и их таскать. Можно вообще через dd диски скопировать, зависит от конкретно вашего случая.

Прошу помощи более опытных коллег, так как сам сети такого масштаба никогда не организовывал - как и что лучше сделать по этим пунктам, какими инструментами ПО

Для начала составить нормальное техзадание, потом смету, после чего приступать к выполнению или нанимать исполнителей.
Если сами не в состоянии составить ТЗ, и смету - надо приглашать специалистов.

как можно обезопасить себя от не прописанных в DHCP ПК (допустим Вася принес свой ПК, воткнул в сеть и качает что-то плохое

Задача DHCP раздавать адреса, и если кто-то подключил компьютер к сети он должен выдать ему адрес. Это нормально.
А вот куда имеет доступ Вася, и что он может качать решается совсем другими инструментами, не имеющими никакого отношения к DHCP

В пределах здания настроить автоматическое получение DHCP на все ПК с резервированием IP-адресов.

Просто включить DHCP и прописать резервирование адресов за конкретным MAC адресом.
Как это сделать - зависит от того на чем это все будет реализовано. Такая функциональность есть даже у домашних роутеров за 800рублей.

Иметь возможность разграничить диапазоны согласно кабинетам, группам кабинетов - не все же ПК в здании в одну сеть пихать.

VLAN вам в помощь.

Иметь возможность удаленного подключения на ПК в домене

RDP

Иметь возможность удаленной установки ОС+ПО. Нужен PXE сервер

PXE это такая программа зашитая компьютер позволяющая загружаться по сети.Сервером она ни в коем случае не является.
Для удаленной установки ОС нужен TFTP сервер.

был какой то инструмент от Microsoft, который умеет красиво ставить ОС по сети

AIK

Софт, который выводит на рабочем столе IP и прочее идентификационные данные для опознания ПК

ПКМ на Мой компьютер - там видно имя компьютера. Зачем вам IP?

Учет трафика пользователей.

Да на чем угодно, софта навалом, нужно выбирать под задачи, необходимо ТЗ. А так без ТЗ - в логах роутера посмотрите.

В качестве маршрутизатора этого всего планировалось использовать Windows Server

Сильно задумано. Не, в Windows конечно же есть службы маршрутизации и они вполне работают, но вот организовать маршрутизатор крупной сети на Windows это конечно нечто - желаем удачи.

Самое сложное что я вижу - как раздать DHCP адреса и делить их.

Вот это как раз сделает любой школьник за полчаса с помощью дешевого SOHO маршрутизатора купленного в ближайшем супермаркете.

Целое ТЗ накатал, размером с добрую простынь)))) Осталось только найти кого то, заплатить, он к вам придет и все организует. Тут на целый большой подряд делов, бесплатно такие вещи не делаются.

Ну иотоп посмотреть процесс потом лсоф глянуть какие файлы используются

Просто снимаете галочку "Использовать основной шлюз в удаленной сети" в свойствах впн соединения. Весь трафик будет ходить как обычно, и просто появится доступ к ip адресу RDP сервера.

Денежка исть?) и сразу в догонку второй вопрос. А нахрена там какой-то софт?). Без стороннего софта админить не получается?)

Давай я сразу даже уточню. Софт такого плана вообще не нужен. Даже при минимальном бюджете в говноконторе. Все решается штатными средствами.

/ip dns -> снимаем галочку allow remote requests

Ценность слов людей равняется нулю. Нужно это понять. Тебя назвали говном)? А чем он отличается от эха что летает в воздухе? Почему ты должен уделять внимание, тратить своё время и усилия на это эхо? Пустоты в наше время много. Она порождает такую же словесную пустоту. Ценность имеют только слова тех кто тебе дорог или ты их уважаешь. Не трать время на таких людей. Всем не докажешь. А жизнь не резиновая.

Veeam неплох )

В случае с gmirror -- нет, расширить RAID не удастся. Нет такого функционала. Только бэкап всех данных, потом разбивка массива в RAID10, потом возврат всех данных из бэкапа.

Можно перейти на ZFS, там можно расширять ZMIRROR, добавляя зеркала.

Microtic вланы и IPSec далеко не все потянут.

Потянут все, но не на всех будет достаточно мощности чтобы тянуть трафик более одного клиента.

2) Какое оборудование поставить в ядро сети?

RB1100AHx2 или более новая модель с аппаратным шифрованием

3) Стоит ли рассматривать покупку БУ оборудования Cisco?

Если работали раньше, если фанат комстроки, если хотите освоить методом "полного погружения" - конечно. БУ циску можно выхватить достаточно дешево.

Систему можно бэкапить встроенными средствами, базы данных - своими, с файлами - надо думать в зависимости от ситуации. Хранить бэкапы или ещё лучше их копии - на Linux-сервере, с подключением только на время копирования - недавно в гости зашел шифровальщик - часть бэкапов на виндовых шарах была потеряна, до потери данных дело не дошло.

Господа, можно подробней про "легко" для локального админа? Если бук корпоративный - в нем обычно биос/уефи запаролен, загрузка с любых съемных устройств запрещена.

Git идеально подходит для этих целей.
Но для него нужен третий репозиторий, через который вы будете синхронизироваться.
И, возможно, четвёртый репозиторий, где будет храниться последняя рабочая (а не разрабатываемая) версия, котрая гдето выложена.

Берите мануал по git и изучайте.

Есть вариант без дополнительных репозиториев, например, mercurial, или крепкожопо настроенный git. В такий схеме репозитории синхронизируются между собой.
Но при этом автоматичски порождаются дополнительные ветки (головы) в каждом репозитории, которые могут привести к путанице быстрее, чем разобраться со схемой нормальной работы.

На вскидку
1. Selinux
2. ФС в RO.

Но если грамотный root, обойти сможет все :)