Роли серверов для организации VPN и миграция домена с 2003
 

Добрый день!

Есть небольшой офис, 20 машин. Будет еще один, на 10-15.

Нужно их объединить в единую ЛВС, с одним доменом.

В первом офисе худо-бедно работает старенький сервер под 2003.

Сейчас собираю два новых, на HyperX 2008 R2 (виртуальные разделены ";").
1. Один из них должен обеспечивать NAT, VPN; Forefront TMG; резервный КД.
2. Второй - КД, DHCP, DNS; файл-сервер; сервер приложений; Exchange.

Пока что обкатываю все это на вируалке у себя дома.

Вопросы сейчас такие:

1. Где должен располагаться DHCP-сервер, сколько их должно быть?
2. Нужно ли выносить TMG в отдельный виртуальный сервер или лучше поставить его рядом с тем, что организовывает NAT\VPN?
3. Какие роли еще нужны серверу с NAT\VPN\TMG для безопасной работы? RADIUS?
4. При настройке VPN RRAS спрашивает, как назначать IP удаленным клиентам. Что там надо указать, чтобы клиенты из второго офиса получали динамические IP из локальной сети первого офиса (DHCP-сервер будет на другом физическом сервере).
5. По миграции - сейчас в офисе есть домен "ААА". Если на новом сервере создать домен с таким же именем (а старый одновременно пустить на запчасти), то увидят ли юзеры свои любимые рабочие столы с ярлычками? =)

Спасибо.

З.Ы. Вдогонку - как мне протестировать VPN с виртуальным сервером, если дома у меня нет статического IP?

1) для 20 компьютеров два DHCP излишнее.
2) а почему не сделать TMG НАТ сервером?

я бы рекомендовал другое решение по объединению доменов:
VPN настраивается на аппаратных роутера.
VPN site-to-site между имеющимися сетями.
Настройка доверительных отношений между двух доменов.
Если второй домен новый, то новый контроллер можно ввести в существующий домен. Темы на форуме где-то были.

А все равно, где он будет? На физ. сервере с TMG или с основным КД?

Я не знал, что он это умеет )). Спасибо, так и сделаю.

Роутеры для бизнеса стоят дорого, да и с Cisco я никогда не сталкивался.
Дешевый роутер придется менять, если офис в очередной раз "уплотнят". У руководства есть такая фишка.

Это я и пытаюсь сделать, только теперь на TMG.

Не совсем понятно выразился. По шагам:
1. Скопировать со старого сервера только содержимое шары (профилей пользователей нет).
2. На новом сервере уже будет домен с таким же символьным именем, как был на старом. Будут созданы те же юзеры и сетевые папки.
3. Старый сервер - в шкаф, новый на его место.

Что увидит пользователь, когда попытается залогиниться? Нуобходимо ли подцеплять компьютер к домену заного (со всемы вытекающими, вроде нового профиля и т.п.)?

DHCP не такая тяжёлая служба. Я не помню рекомендаций где её можно совмещать. У меня всегда с КД.
одна из основных функций.
это смотря что дороже для бизнеса. железка или плюшки, которые она не получает от отсутствия железки, и как следствие простой в работе.
вроде была тема с этим вопросом. вроде без ответа...
конечно. при переключения компьютера из домена в домен воспользуйтесь программкой User Profile Wizard для "перевода" старого профиля в новый.
Как это делается:
- выводится компьютер из домена
- вводится в новый домен
- логинится новый пользователь
- запускается программа UPW
- в ней указывается что новый профиль ссылается на старый профиль (вроде так)
- программа переписывает все GUID в старом профиле на новый.
- перезагружаетесь и работает.

Учётки из старого АД в новый можно мигрировать с помощью ADMT.

где угодно. в идеале - 2, схема 80/20. на 20 хостов - одного за глаза.
за время дефолтовой аренды, как нибудь, сделаете новый.
это лучше сделать на одном сервере, если уж компания настолько нищая что не может позволить себе БУ циски или новые джуниперы, но может покупать TMG по 1200$ за хост =))
безопасной от чего?
не нужно получать адреса с DHCP, лучше пул адресов отличный от сети офиса и Site-to-Site VPN средствами TMG
лучше и проще поднять второй КД и мигрировать туда. (КД и ТМГ, официально, несовместимы)
использовать приватную домашнуюю сетку как внешнюю для ТМГ, это очевидно :)

exo, cameron

Спасибо за ответы, пока все понятно.

Решил сделать новый домен и из старой AD ничего не переносить (вбить 20 юзеров - это не долго, тем более половина из них сейчас под учеткой guest =)).

Для этого буду создавать тестовую сеть с новыми серверами внутри существующей (как здесь), правильно понимаю, что два DHCP (от нового и старого серверов) вместе не уживутся (диапазоны IP не пересекаются)? Т.е. либо доступ из тестовой сети в инет либо DHCP?