Рестуктуризация сети, помогите советом (Win2003,AD,DHCP,DNS,Web,FTP,File,Print,proxy)

[ldp]

Друзья, приветствую!
Хотелось бы услышать совета, ситуация такая, в связи с объединением филиалов получилось вот что:
Сервер 1
File, AD(50 users),dns, ftp,web,dhcp,print, proxy

Сервер 2
File, AD(20 users),dns, ftp,web,dhcp,print, proxy

Это все дело хочу объединить в следующию конфигурацию
Server1
File, AD (all users), dns, print
Server2
Proxy, dhcp, ftp,web

А теперь вопрос...как это все можно сделать и чтобы пользователи не прекращали работать те плавно и без страшных проблемм объединить домены

Я пока остановился на следующей схеме.
1) на сервере 1 делаю file и мигрирую в эту AD пользователей из домена 2, по политикам им подключаю принтера и сетевые диски, оставляю dhcp и прокси

2) делаю на втором серваке Proxy, dhcp, ftp, web, на первом естественно отключаю прокси и dhcp

3) и вот теперь... домен на серваке 1 ставил не я и давно...и работает он довольно криво... поэтому его тоже надо переставлять.... тут я думаю поднять вирт машину (или взять стац комп какой-нить) и в нее мигрировать все созданные учетки...переставить ад на 1 серваке и в нее обратно все вернуть...

вот такая страшная гусеница... на самом деле я еще не делал никогда миграцию... ит думаю там тоже есть свои подводные камни... подскажите пока с алгоритмом... может както можно оптимизировать

[Fedor Hamov]

А в ручную ввести в AD 20 юзеров не проще? займет все это не так уж и много времени чем заниматься миграцией. А тот сервак переустановить с нуля. Ты бы какую тачку взял, которая из под задницы горе водилы или новую? Ответ очевиден. К тому же не особо рекомендуется нагромождать роли на одном серваке, особенно где AD. Оставь на своем AD и DNS, а остальные можешь запихать в другой. Обычно еще proxy и AD делают на разных машинах (хотя..... ну это уж сам)
*Лучше один день потерять, потом за пять минут долететь*
(м/ф "Крылья, ноги и хвосты")

[ldp]

А в ручную ввести в AD 20 юзеров не проще? займет все это не так уж и много времени чем заниматься миграцией. А тот сервак переустановить с нуля. Ты бы какую тачку взял, которая из под задницы горе водилы или новую? Ответ очевиден. К тому же не особо рекомендуется нагромождать роли на одном серваке, особенно где AD. Оставь на своем AD и DNS, а остальные можешь запихать в другой. Обычно еще proxy и AD делают на разных машинах (хотя..... ну это уж сам)
*Лучше один день потерять, потом за пять минут долететь*
(м/ф "Крылья, ноги и хвосты")

Конечно не проще 20 зверей бегать вручную выносить из старого домена и дабавлять в новый, потому что у них теряются все права, слетают профили, почта, сертификаты и еще куча настроек... тем более там бухи сидят 7 штук со своими программами...

Я разобрался как грамотно сделать мигргацию, сделал ее в новый домен на отдельной тачке, потом сделал миграцию из другого домена, потом устновил на серверном железе АД, ввел в новый домен и сделал репликацию с переносом всех схем. Все работает как часы. Обошлось без вирт машин и прочей загоголины, но конечно не без подводных камней, пришлось 2 раза ночевать на работе...

[Fedor Hamov]

ну эт тебе потфартило (с бубном поди вокруг бегал до окончания процесса миграции)))), что прошло все так идеально. я просто нечто подобное делал при переносе настроек ролей на новый сервак. потом тридцать раз пожалел убитое время. мало того, что dns криво встал, так еще и сигнал начал пропадать по спиральной периодичности. плюнул на все и потратил на все про все 1/2 дня чтобы 50 юзверей завести в домен с нуля. с тех пор даже не интересуюсь как там AD поживает. даже КВМ от него отключил. а у тебя слишком уж геморная ситуация была да еще не известно как он при прежнем хозяине жил.
я смотрю у тебя и до этого было нагромождено в серваке... поди полдня процесс перезагрузки проходил? у меня просто 4 сервака в подчинении есть куда роли распределять. до этого тоже один стоял, вот только ролями его так не загружал... и то, можно было выспаться пока заведется.

[ldp]

ну эт тебе потфартило (с бубном поди вокруг бегал до окончания процесса миграции)))), что прошло все так идеально. я просто нечто подобное делал при переносе настроек ролей на новый сервак. потом тридцать раз пожалел убитое время. мало того, что dns криво встал, так еще и сигнал начал пропадать по спиральной периодичности. плюнул на все и потратил на все про все 1/2 дня чтобы 50 юзверей завести в домен с нуля. с тех пор даже не интересуюсь как там AD поживает. даже КВМ от него отключил. а у тебя слишком уж геморная ситуация была да еще не известно как он при прежнем хозяине жил.
я смотрю у тебя и до этого было нагромождено в серваке... поди полдня процесс перезагрузки проходил? у меня просто 4 сервака в подчинении есть куда роли распределять. до этого тоже один стоял, вот только ролями его так не загружал... и то, можно было выспаться пока заведется.

С бубном бегал, когда не понимал почему днс зоны не работали в обе стороны... а так миграция при правильно настроных отношениях и днс проходили на ура, процесс миграции зверя и его компа проходил за 10 минут максимум, при этом оставались все настроки, все профили, сертификаты и привязки к сиду... так что этот вариант намного лучше.

[Fedor Hamov]

может быть я не прав, но по-моему все гораздо проще.
приехала к нам тетка одна, на время ну и сетка нужна ей чтобы свою базу скинуть, да в инет доступ и к 1с. у меня для этих целей есть резервная запись в АД. я ввожу ее в домен (тетка видимо по многим конторам летает, бо в списке доменов у нее шо у меня клиентов в АД) и настраиваю ей доступ и 1с. на все про все 6 минут (2 минуты моск ей позасорять по поводу что надо, что не надо делать с применением непонятной ей терминологии - типа я тут хозяин, кто нарушает мои правила может и руки лишиться))))))) и все работает. а сидеть ради этих целей 5 часов ждать да еще голову поломать над днс, что то не очень рационально.

[trojanets]

а я бы сделал миграцию политик и пользователей в 3й домен с 2х, потом переставил 1й сервер, увеличил его привилегии до примари, далее делай со вторым что хошь.

Вопрос решается 1й ночью, если конечно все сделано на базе политик, а не настроены например локальные принтеры.

Вопрос 1й ночи, если сервера позволяют, то можно виртуализацию на 2м сервере сделать и начать процесс миграции. Все вопросы на течнете майкрософта можно найти и прочитать.
Тут только 1н вопрос, а ексченж в этой связке где ? MSSQL 2005 express edition тоже должен быть если есть эксченж.
И еще в такой схеме dns нужно делать раздельный для локалки и для внешной сети.

WEB у вас IIS или Apache Win ?
Вообщем вопрос как еще будете расширяться...

Вообще надежно будет только на 4х серверах:
Proxy (Unix/Linux), DNS, DHCP
WEB(Unux/Linux),DNS 2, FTP, MySQL (для WEB), Postfix (пограничный транспорт), Samba+LDAP
AD PDC Win 2003(2008), DNS, Fileserver.
SA Win 2003 + Exchange + MSSQL
Для развертывания дополнительных решений 1С+MS (например 1c или Share point) лучше выделить 5й сервер.

В комплексной задаче на основе сервера сертификации решается SSL при этом из опыта радиус сервер лучше поднимать на *nix.

Вот как-то так...

Добавлено через 6 минут 48 секунд
Да и еще помни, что ISA 2006 не встает на x64, а Exchange 2007 на Win 2008.

[ldp]

Спасибо за коммент.

Я уже все сделал, немного по своему правда.
Делал по следующей схеме:
1) Поднял новый домен на 3 компе
2) Мигрировал туда учетки, группы, политики и прочее из двух доменов.
3) Поднял дополнительный контроллер домена на нормальном серваке, туда все реплицировал и перенес. темповый сервер опустил и убрал.

4) Итого вышло вот что
server 1 = AD, PDC, File, video server, antivirus, DNS
server 2 = Proxy, VPN, DHCP, firewall,
Virtual server на Server 1 = Apache, Ftp, Mysql, dns2

вот как то так.

[this]

считаю, чтобы не прекращать работу пользователей, на отдельной машине к примеру для начала поднимается 1 server, после окончательной настройки всех политик перебитых или перенесенных (как хочешь, но обязательно проверив работоспособность каждого юзверя) ночью переносишь жесть на сервак и ждешь счастья)