Настройка контроллера домена и прокси
 

Всем привет Прошу помощи у профи.
Работаю инженером в небольшой фирме и попутно админом). Недавно появилось потребность перейти с одноранговой сети на доменную и установит прокси для распределения и подсчета интернета.
Есть идея поставить сервер с двумя сетевыми для прокси, но так что бы на внутреннюю сеть работали контроллер домена, DNS,DHCP и т.д.
Возможно ли такая схема. И если возможно то подскажите что поднимать вначале.
Разжевывать не надо нужно знать с чего начинать хотябы. А там сам докапаюсь... (возможно))))

Tayson,
НЕ НАДО ставить контроллер домена и прокси на одну машину (поиск по multihomed DC).

Ничего сложного, ставишь на контроллер домена WinRoute и все готово...

Tayson, если бюджет скромный то можно использовать связку WinRoute+UserGate. Но monkkey прав - лучше разделять задачи на разные машины, хотя бы на VMWare сделать разделение.

Small Business Server - все в одном за приемлемую цену.
С этим продуктом не работал (как комплекс), но отдельно сервер, службы + ИСА сервер (он поддерживает прокси) настраивал. Ничего сложного. Проблем с применением ГП (как пишут многие на форумах) не замечал. Единственный косяк - это SP2 для 2003 сервера... имею ввиду Scalable Networking Pack... дрянь та еще...

Вопрос 1.
На фига козе баян.
Т.е. А зачем Вам домен?
DNS, DHCP сегодня реализован чуть ли ни в каждом свиче (роутере),
стоит 100 баксов - избавляет от гемороя держать какой-нить Win Server за бешенную кучу бабла.
К тому же не надо прописывать пользователей и заниматься прочей белибердой, которой мы, админы, занимаемся с удовольствием от нечего делать. :)
Повышаем свою значимость... :))
Вы же инженер! Зачем Вам это?

Но если уж очень надА, то поставьте...
По отзывам ISO по сравнению с тем же Usergate'ом, Wingate'ом и прочими гейтами сильно тормозит.
Во времена, когда Win2000, был верхом совершенства американской компьютерной мысли, сам MS рекомендовал (опыт тоже потверждал), что иметь контроллер домена и прокси на одном компе не рекомендуется - виснет - ни нормальной производительности по локалке, ни нормального инета.
НО!... На улице уже скоро середина 21-го века - технологии (в смысле производительность ПК)идут вперед. Можно попробовать - вдруг получится!
А так WinXP за 157 американских рублей + роутер за 100-150 тех же единиц - вот и получили суперинтелектуальную систему со всеми необходимыми Вам функциями.

И главное!
Никакой головной боли с лицензированием!!!

Спасибо за советы.

По поводу целесообразности перехода на домен много писать не буду
Здесь все написано очень здорово. Статья классная для начинающих вроде меня "Зачем нужен домен?" http://sysadmin.su/baza_znanij/podny...03_server.html
(Сам я пока столкнулся только с проблемой распределения доступа для сетевых папок. Как сделать доступ к одной папке для 2 компьютеров, а для всех запретить??. После долгих поисков понял что в ХР это не удасться сделать(( Плюс планируется сайт, + почта + уже есть куча принтеров). плюс широкие возможности для управления всеми компьютерами.

По поводу размещения
Посмотрел в инете... действительно не советуют ставить на одну машину Прокси и АД. Прокси поставлю на отд. машину (P-200 пылиться без дела), а контроллер будет внутри сети.

уууууу.... как все запущено то....
Ну что ж, флаг в руки и перо, как говорится, в шляпу...

Читаем:

А по Вашей ссылке находим:
"Если же в вашей сети живёт триста пользователей..."

Хотя триста, конечно, не обязательно... Но созвучно звучит мысль от туда же:
"«У нас же серьёзная компания! Нам просто необходим домен!» А между тем в этой компании, в серьёзности коей я ни мгновения не сомневаюсь, имелось всего десять компьютеров и задачи на них возложены максимально примитивные – печатная машинка и Интернет. "

Делаем вывод: либо условие задачи поставлено не корректно, либо не внимательно читаем...

Плохо искали...

Все это к АД не имеет никакого отношения... Ну, конечно, если не подтягивать искуственно за уши...

не обольщайтесь... в XP не меньше... просто надА внимательно читать умные книжки по эксплуатации для юзеров...

Судя по всему интернет вам тоже не нужен... :)

А вообще разрешите для себя школьный (по возрасту, ~ для 16-и летних) вопрос кем Вы хотите стать:
Хорошим инженером в своей области (надеюсь Вы им уже стали), с продвинутыми познаниями и навыками в околокомпьютерных делах.
Или начинающим сисадмином, с перЕспективой, конечно и безусловно, стать крутым... :)

Удачи!!!

P.S. Лицензию на сервер и соединения с ним в MS купить не забудьте...
Чесссное слово, я бы лучше купил штуки три хороших компа... ну или пару крутых...
Впрочем, может быть речь идет о Мандриве?...
Рекомендую, Вам будет оЧЧень интересно... :)

Стебатся уважаемый я тоже могу, но не хочу тратить время.

По существу написаного хотел бы сказать
1. Расшарить папки в ХР для части юзеров невозможно Или для всех или никому.. (конечно 3 человека могут ошибаться но все мне сказали что такое возможно только в домене, в.тч касается и принтеров)

2. - в той же статье достаточно категорично написано "Если вы содержите веб-сайт на серверах вашей компании и каждый отдел имеет свою почту – вам без АД не обойтись никак." Я может и наивный но я поверил.

3. Это в каких же книжках написано что в ХП можно делать тоже что и в АД. Киньте ссылочку или название....

4. Не совсем понял Если вы про прокси, то если подскажете другой удобный способ учета трафика юзеров то с удовольствием соглашусь.

Вас обманули! Достаточно отключить "простой доступ к файлам" и завести пользователей с теми же именями и паролями, с какими они заходят на свои компы. И всё будет работать. Для каждого пользователя можно будет задавать персональные права.

Такое прокатывает только для локальных пользователей. Для сетевых не помогает Сами то пробовали такое делать???

Конечно. Иначе не писал бы.

Если что-то не понятно - могу объяснить более подробно, как и что делается.
Вкратце:
Если есть 10 компов, на которых работают пользователи с именами user1, user2, ..., user10 - то на том компе, где надо шарить ресурсы, придется завести 10 локальных пользователей с теми же именами и паролями. Ну и если удаленный пользователь поменяет у себя на машине свой пароль - соответственно нужно будет этот пароль поменять и у локального пользователя.


Похоже, все-таки нужно разжевывать, причем начиная с азов :\

Эх... Придется мне потратить своё время.

Одно из первых занятий на курсах системных администраторов при ближайшей церковно-приходской школе.

Действительно наивный. Если есть сайт с парой сотен разделов, в каждый из который установлены свои особые права доступа для каждого отдела/департамента, сайт сделан на SharePoint'e, плюс необходима интеграция с почтой, плюс сама почта поднята на Exchange сервере, тогда действительно AD поможет. То есть речь идет од INTRANET-сайте, особенно когда вся работа всей компании ведется с помощью веб-приложений, опубликованных на Intranet-ресурсах.
Если же у Вас, как Вы пишете, небольшая фирма, то весь сайт будет в основном направлен "наружу", для того чтобы клиенты/заказчики могли бы посмотреть ваш прайс или страничку "контактная информация". Для этого AD абсолютно не требуется. Насчет почты - тоже вопрос спорный. Если в Вашей фирме работает меньше 20-30 человек, и даже если у каждого из них есть свой персональный почтовый ящик, - нет никакой проблемы завести почтовые ящики и пароли к ним вручную (это в том случае, если Вы не хотите размещать почтовые ящики на сервере Вашего провайдера). Поверьте, ОЧЕНЬ много небольших контор предпочитают свои 3-5-10 ящиков держать у провайдера. Гораздо проще, чем поднимать домен ради того, чтобы поднять Exchange для того, чтобы держать на нём 10 ящиков и 2 списка рассылки.

www.google.ru - поиск по фразе "администрирование Windows XP". Там будет очень много интересного. Согласен, что в AD больше настроек, но большинство из тех, которых нет в стандартном XP - связаны как раз с самой AD, доменной структурой и прочими вытекающими из этого вопросами.

Кстати, надеюсь, что говоря "XP" вы подразумеваете Windows XP Professional< а не урезанную Home версию с отключенными сетевыми возможностями.

Wingate/Winroute, Usergate и еще кучу подобного поможет найти всезнающий гугл

Кстати, касательно AD правильно замечено:
И не только на сервер, но и на Exchange (вы сами сказали что хотите почту, связанную с AD) и на ISA Server (опять же сами сказали, что прокси хотите к AD привязать). Плюс пара примочек для Exchange и ISA - ну, например, антивирус и антиспам для exchange, traffic inspector для ISA, и т.д.

Угу, подтверждаю - такая схема будет работать.

Вообще-то я говорил про P-200...
Дело в том, что всякие гейты достаточно требовательны к скорострельности ПК (на сколько я понимаю).
Конкретных требований сказать не могу (может уважаемые Гуру подскажут), но у меня на PIII-550 периодически случаются зависания этого самого гейта, соответственно у юзеров в этот момент инета нет. Можете себе представить что будет на Вашем P-200?

HLT, СпасибА за потраченное время!

Согласен.
А у меня еще есть книжка Руководство пользователя Microsoft Windows, от самого Билла (не к ночи будет помянуто).

Угу, подтверждаю - такая схема будет работать.
Нас уже трое: глубокоуважаемый HLT, плюс wsimons, ну и Ваш скромный слуга...
Думаю продолжать спор на эту тему дальше бессмыслено!

Кстати. Есть еще такая фишка, как "Подключиться от имени пользователя...".
Тада определяешь Login1,Login2,....,Login10 и даже пароли юзверей контролировать не надА:
Потребовался ресурс - набери логин и пароль (я админ, как хочу так и определяю правила доступа к ресурсам).
В этом случае пользователи внутри своих ПК могут жить даже с одним локальным логином и без паролей (что их особенно радует).
Т.е. почти тоже самое, только пароль набирается по мере необходимости ресурсов.

Существенное замечание! Извините, упустил... Мож потому столько проблем? :)

Ой, еще пару крутых ПК насчитали... :)

Ну об этом еще рано - это уже второй класс выше упомянутой школы...
Нам бы пока с сетевым доступом до конца разобраться...

А еще это сэкономит кучу электроэнергии, про резервирование (элетроснабжение, HDD и т.п.) я еще не вспоминаю, а инженеру кучу времени (ведь на то чтоб все это сначала настроить, потом защитить от спама, вирусов и т.д. надА куча времени). Но что самое главное вся почта, которая пришла ночью, утром будет цела, а ваши корреспонденты не получат сообщения, что такого ящика не существует.

Во-во... когда нечего делать какую только хрень не начнешь изучать и изобретать...
Инженерить станет некогда.
Если АД мешает работе, брось ее нахрен работу свою... :)
Пойду лучше возьму пивка и посражаюсь с компом в Age of Empires III.
Тож приколькная штука, особенно на уровне эксперта... Ой о чем-то я... Извините! Это уже другая тема.

Спасибо за ликбез!!! .
С доступом разобрался и настроил. (я все это делал, но не прописывал пароли юзерам( Для наших нужд пока такая схема подходит, хотя немного неудобно бегать по 10 машинам и прописывать уч.записи((
Действительно ошиблись(( в оправдание им можно наверно сказать что они все работают с доменами на своих фирмах ..

Пока почта и сайт отходит на второе место, на первом прокси. А вот потом буду работать над тем, что бы вся почта хранилась в одном месте и каждый юзер мог видеть отправленную почту с других компьютеров. Если посоветуете что то буду очень благодарен))
Согласен что за 2 зайцами бегать не стоит))) Но если есть время ,за работу админа доплачивают, и она вдобавок нравиться, то почему бы и нет :up Лишние знания не помешают)
Еще раз спасибо за уделенное время Str@nnik, HLT

Если действительно все должны видеть всё - два варианта.
1)
Дополнительный почтовый ящик, например, mail_backup
На почтовом сервере настроить копирование всей почты в него
Подключить этот ящик всем пользователям (если по POP3 - то БЕЗ удаления писем с сервера)
2)
прописать на всю исходящую корреспонденцию СС: всем другим пользователям

Но это, имхо, уже другая история...

Ну, это разовое... Один раз можно побегать... А если пользователи везде работают НЕ под встроенной учеткой админа, то на админские аккаунты сразу, пока бегаешь, везде поставить пароль одинаковый, и очень много вопросов в будущем можно будет решать не сходя со своего места - удаленно...

Проблема в основном, что не видно отправленную почту с остальных компьютеров. Надоело выяснять кто отправил писмо какому то пупкину 15 числа прошлого месяца, и что в нем написано)) С входящей проблем нет я так и делаю (хотя дополнительный труд надо на каждом компе настроить почтовую программу(.

Значит нужен почтовый сервер ?? Если поставить на машину с прокси, можно будет настроить его на две сетевухи?? Или на отдельной машине завести внутри сети? или почтовый сервер у провайдера можно так настроить что будет видно исходящую корреспонденцию с каждого компьютера?