IT-инфраструктура для небольшого офиса: полный разбор архитектуры
Меня зовут Семёнов Евгений Сергеевич, и я директор ITFresh. За свои 15 лет в IT я с нуля построил полноценные инфраструктуры для десятков самых разных компаний. Мы работали с проектными бюро и юридическими фирмами, торговыми домами, производственными предприятиями и даже клиниками. Поверьте, для офиса, где трудится 20-50 человек, всегда найдётся свой особенный набор решений. Эти решения кардинально отличаются от того, что мы предлагаем для SOHO-сегмента, где всё обычно крутится в облаке. И тем более это не масштабы крупного корпората с его SCCM, RDS-фермами и SAN-хранилищами. В этом материале я проведу вас по всему циклу: от детальной архитектуры до финального бюджета. Расскажу про конкретные модели оборудования и поделюсь ссылками на лучшие практики, проверенные нами временем.
С чего начинается проектирование
С чего начинается любая IT-инфраструктура? Нет, не с железа. Она начинается с глубоких вопросов к бизнесу.
- Сколько сотрудников у вас сейчас? А как вы видите свою команду через 3 года? Для нас очень важно понимать перспективы роста вашей компании, чтобы заложить правильный фундамент для IT-инфраструктуры.
- Какое программное обеспечение вы используете? Речь про 1С, CRM, системы для документов, почту — всё важно. И где хранятся данные от всего этого ПО? Это основа, без которой невозможно построить надёжную систему.
- Есть ли у вас сотрудники, работающие удалённо? Если да, то, конечно, сразу возникает вопрос о стабильном и безопасном VPN-доступе.
- Вы обрабатываете персональные данные? И если да, то в каком объёме? Это критичный момент, особенно когда мы говорим о соответствии федеральному закону 152-ФЗ.
- Какие из ваших сервисов по-настоящему критичны для бизнеса? Сколько времени компания сможет выдержать, если они вдруг перестанут работать? Мы называем это RTO.
- Какой бюджет вы готовы выделить на разовое развёртывание новой инфраструктуры? И сколько вы планируете тратить ежемесячно на её поддержку? Эти цифры помогут нам предложить оптимальное решение.
Мы в ITFresh знаем это не понаслышке: до 70% всех проблем в IT-инфраструктурах, которые к нам приходят, возникают просто потому, что в начале никто не задал нужные вопросы. Хотите пример? Кто-то сэкономил на ИБП, а полгода спустя — бах! Молния выжгла сервер, где лежала вся финансовая база. Или другой сценарий: не подумали о будущем росте, и вот уже через пару лет 100 сотрудников сидят на одном-единственном гигабитном свитче. И что в итоге? Всё ужасно тормозит.
Базовая архитектура офиса на 30-40 рабочих мест
Для среднего офиса я обычно предлагаю вот такую типовую схему:
- Сервер — один физический, двухсокетный Dell PowerEdge с Xeon Platinum 8280, 128 ГБ RAM, RAID10 SSD на 4 ТБ. На нём Hyper-V и 4-6 виртуалок.
- Виртуалки: DC01 (Active Directory), FS01 (файловый), 1C01 (сервер 1С + SQL), MAIL01 (Exchange или MDaemon), GW01 (Linux шлюз с VPN), MON01 (мониторинг).
- Сетевое: роутер Keenetic Giga или MikroTik, коммутатор Cisco SG350-28P с PoE, 3-4 точки доступа Ubiquiti UniFi.
- Рабочие места: ноутбуки/десктопы с Windows 11 Pro, подключённые к AD. 24-27" мониторы.
- UPS: APC Smart-UPS SRT 3000VA на серверную, отдельные UPS по 500-800ВА на каждое критичное рабочее место.
- Бэкап: Veeam B&R или Windows Server Backup на внешний NAS Synology с репликацией во второй офис или дата-центр МТС.
Сервер: один физический или облако
Свой сервер или облако? Это, пожалуй, самый важный вопрос. Принимая решение, я всегда просчитываю на 3-5 лет вперёд.
| Критерий | Свой сервер | Облако (VK, Яндекс, Selectel) |
|---|---|---|
| Стартовая инвестиция | 600-900 тыс руб | 0 |
| Ежемесячно | 0 (электричество) | 30-60 тыс руб |
| Сумма за 5 лет | 600-900 тыс | 1.8-3.6 млн |
| Интернет-канал | Работает без | Критичен |
| Скорость доступа к 1С | Локальная LAN | Через интернет |
| Персональные данные | На территории РФ, своя ответственность | На территории РФ у российских провайдеров |
Когда у вас совсем небольшой офис, скажем, до 20 человек, и база 1С тоже не огромная, тогда облако иногда действительно выгоднее. А вот если в офисе уже 30+ сотрудников, и они активно гоняют большие документы в 1С, тут уж свой сервер окупится буквально за два-три года.
Active Directory: фундамент всего
Если в офисе уже 15 человек, я без вариантов настаиваю на AD. Представьте: без неё любое изменение пароля, добавление принтера или общей папки превращается в рутину, которую приходится делать вручную на каждом ПК. Это же сущий ад!
Что даёт правильно настроенный AD:
- Представьте, как удобно: одна учётная запись для всех сервисов (SSO)! Это значит, что пароль вы меняете в одном месте, и он обновляется везде. Прощайте, десятки разных паролей и головная боль!
- Групповые политики (GPO) — это же настоящая магия для системного администратора! Представьте: настроить 50 машин не часами, а всего за 5 минут. Разве не мечта?
- Разграничение прав на файлы по группам.
- Больше никаких ручных настроек! Мы автоматизируем подключение всех сетевых дисков и принтеров. Сотрудник просто включат компьютер — и всё само собой уже работает. Экономия времени и нервов, правда?
- Полный контроль над вашей IT-инфраструктурой. Мы централизованно управляем антивирусом, системными обновлениями и даже настройками браузеров. Вы точно знаете, что происходит на каждом рабочем месте.
Для максимальной отказоустойчивости мы всегда советуем ставить два контроллера домена. Как их расположить? Один, конечно, на физическом хосте. А второй обязательно делаем в виртуалке, но строго на другом хосте. Или, как вариант, даже на NAS-е, если он, конечно, умеет в виртуализацию.
Сеть: коммутаторы, точки доступа, VLAN
На 30-40 рабочих мест я рекомендую:
- Один мощный управляемый PoE-коммутатор — на 24 или 48 портов. Мы обычно отдаём предпочтение проверенным решениям, таким как Cisco SG350, HP Aruba или MikroTik CRS. Это сердце вашей сети, которое обеспечивает стабильное питание и надёжную связь.
- Представьте себе Wi-Fi, который просто работает — без обрывов и тормозов. Для этого мы устанавливаем 3-4 точки доступа стандарта 802.11ac/ax, объединённые централизованным контроллером. Это может быть Ubiquiti UniFi или Aruba Instant On. Максимум покрытия, минимум забот!
- Для начала мы грамотно сегментировали сеть с помощью VLAN. Зачем? Чтобы всё работало стабильнее и безопаснее! Вот как мы разделили потоки: управление получило VLAN 10, серверы — VLAN 20, а пользователи — VLAN 30. Гости Wi-Fi работают в полностью изолированном VLAN 40. И даже принтеры мы выделили в отдельный сегмент — VLAN 50.
- Какой роутер выбрать? Мы всегда ставим модели с по-настоящему надёжным фаерволом. Для небольших, несложных офисов отлично подходит Keenetic Giga — это проверенное решение. А если у вас серьёзные инженерные задачи, где требуется больше гибкости и мощности, тут уж без вариантов: MikroTik hEX справится на отлично.
- Забудьте о клубках проводов и вечных поисках нужного патч-корда! Мы разворачиваем только структурированные кабельные системы (СКС) по всем правилам. Каждый кабель аккуратно промаркирован, а вся схема детально задокументирована. Порядок должен быть во всём, верно?
Знаете, я всегда тяну кабели с таким запасом, что потом ни разу не приходится жалеть! На каждое рабочее место мы ставим целых четыре розетки: для ПК, для телефона, для принтера и, конечно, одну оставляем про запас. Плюс к этому добавляем ещё две-три точки в переговорки и коридоры. За три года работы по такой схеме я ни разу не пожалел. Наоборот, всегда кажется, что их всё равно мало!
Файловый сервер и документооборот
А что у нас сердце офиса? Конечно же, общие документы. И вот как я предлагаю с ними работать:
# Структура на FS01
D:\Shares\
├── Public\ (все сотрудники, чтение/запись)
├── Departments\
│ ├── Finance\ (только бухгалтерия)
│ ├── Sales\ (только продажи)
│ └── HR\ (только HR)
├── Projects\ (проектные группы по Active Directory)
├── Archive\ (только чтение для всех)
└── Personal\ (личные папки, доступ только владельцу)
# Назначение прав через PowerShell
New-SmbShare -Name "Public" -Path "D:\Shares\Public" `
-FullAccess "CORP\Domain Admins" `
-ChangeAccess "CORP\Domain Users"
icacls "D:\Shares\Public" /inheritance:r
icacls "D:\Shares\Public" /grant:r "CORP\Domain Admins:(OI)(CI)F"
icacls "D:\Shares\Public" /grant:r "CORP\Domain Users:(OI)(CI)M"Чтобы защититься от этих ужасных шифровальщиков-вымогателей (ransomware), мы делаем так: теневые копии (shadow copies) каждые два часа, полный офлайн-бэкап раз в сутки. И обязательно — разграничение прав только по группам в AD, никаких персональных настроек для каждого пользователя!
1С:Предприятие: как правильно развернуть
1С — это, без преувеличения, пульс любого российского офиса. Какие у нас есть варианты?
- Файловая — одна база в общей папке. До 5 пользователей, простые задачи.
- Клиент-сервер — отдельный сервер 1С + SQL Server / PostgreSQL. Для 5-100 пользователей.
- 1С:Fresh / облако — подписка, без локального сервера. Дороже но быстрее стартует.
Если в офисе трудится больше 30 человек, я всегда советую клиент-серверную архитектуру на PostgreSQL. И знаете что? Это совершенно бесплатно, при этом для средних объёмов данных работает ничуть не хуже платного MSSQL. Сервер 1С мы, как правило, держим в отдельной виртуалке, выдавая ей 8 vCPU и 16-32 ГБ RAM. А SQL-часть размещаем тоже на отдельной виртуальной машине, но обязательно с быстрыми SSD-дисками.
Почта и VPN
По почте выбор:
- Яндекс 360 / VK Почта / MailPro — облачные сервисы, 200-400 руб/ящик/мес.
- Свой сервер — MDaemon, Zimbra, Mail-in-a-Box. Нужны компетенции и DKIM/SPF.
- Exchange — классика для крупных, но сложен и дорог.
Когда речь заходит о корпоративной почте для компаний от 15 до 40 сотрудников, я без колебаний рекомендую облачные решения. Это, поверьте, избавляет от кучи головной боли! Ну а для удалёнки, куда без неё в наше время, мы настраиваем VPN. Чаще всего используем OpenVPN или WireGuard, поднятые на Linux-шлюзе, и, конечно же, с клиентскими сертификатами от AD CS.
Мониторинг и резервное копирование
Послушайте, эти два пункта – просто критически важны. Нет мониторинга? О проблеме вы узнаете не от системы, а от возмущённого пользователя. Нет бэкапа? При первой же серьёзной аварии рискуете потерять весь бизнес. Думайте об этом.
- Мониторинг: Zabbix или Prometheus+Grafana. Агенты на всех серверах и важных ПК. Алерты в Telegram дежурному.
- Бэкап: Veeam B&R на NAS Synology 8-bay с RAID6. Репликация во внешнее хранилище (второй офис, дата-центр МТС, ITfreshFTP).
- Правило 3-2-1: 3 копии данных, на 2 разных носителях, 1 копия вне офиса.
- Тестирование восстановления: раз в квартал реально запускаем 1С-базу из бэкапа и проверяем.
Кейс: проектное бюро 35 человек
Представьте себе: июль 2025 года. К нам обращается архитектурная компания из самого центра Москвы, из ЦАО. 35 человек, и каждый день они сталкиваются с гигантскими файлами AutoCAD и Revit — порой до 2 ГБ на один проект! А что было у них с IT? Полнейший хаос! Пять разрозненных серверов, стоящих на обычном десктопном железе. Никаких резервных копий, никакого Active Directory, а общие папки и вовсе раскиданы по рабочим станциям. Ну как тут работать?
За 3 недели мы:
- Нужен мощный сервер? Мы подобрали и собрали настоящего монстра: Dell PowerEdge R760. Внутри у него — процессор Xeon Platinum 8280, 256 ГБ оперативной памяти для любых задач. А дисковая подсистема? Это просто песня: NVMe RAID10 на 8 ТБ, молниеносный. И чтобы вся эта мощь не упиралась в скорость сети, поставили 40G Mellanox на аплинк. Готовы к любым нагрузкам!
- На базе Hyper-V мы развернули целых пять критически важных виртуальных машин. Вот наш список: контроллер домена DC01 — это основа. Для хранения файлов — FS01 с внушительным SMB-шарой на 20 ТБ и Shadow Copies для вашей безопасности. Revit Server работает на PROJ01, а GW01 стал шлюзом с OpenVPN и iptables. И, конечно, мы держим руку на пульсе: для мониторинга у нас MON01 с Prometheus и Grafana. Всё под контролем!
- Мы провели полную модернизацию сетевой инфраструктуры. Сердцем сети стал коммутатор MikroTik CRS328 — это надёжность и производительность! Для бесшовного Wi-Fi мы установили три новейшие точки доступа UniFi U6-Pro, которые обеспечивают покрытие по всей территории. Плюс, естественно, настроили те же 5 VLAN, что и в первом блоке, чтобы трафик был чётко разделён и безопасен.
- Бэкап — это не просто опция, а необходимость! Мы настроили комплексное решение для защиты ваших данных: Veeam делает резервные копии на сетевое хранилище Synology RS1221+. Но это ещё не всё! Для максимальной надёжности и защиты от любых форс-мажоров мы организовали репликацию этих данных прямиком в дата-центр МТС. Ваши данные под двойной защитой, можете спать спокойно!
- Представьте: 12 терабайт ценнейших проектов! Мы аккуратно перенесли этот огромный объём данных со старых серверов на новую инфраструктуру. Самое главное — всё было сделано без потерь, с полным сохранением исходной структуры файлов и папок. Ни одного бита информации не пропало, и никто даже не заметил переезда!
И что вы думаете? Всего за шесть месяцев нашей работы результаты превзошли все ожидания. Аптайм? Мы вывели его на стабильные 99.97%. А среднее время открытия Revit-файла сократилось с мучительных 45 секунд до впечатляющих 8! Вот что значит правильно настроенная 40G-инфраструктура! Еженедельное тестовое восстановление теперь проходит абсолютно без единой ошибки. Да, весь проект стоил 2 850 000 рублей. Но компания при этом получила ощутимую экономию: отказ от штатного администратора в пользу аутсорсинга позволил им сохранять 130 000 рублей каждый месяц. Только представьте, какие это цифры!
Бюджет: что сколько стоит в 2026 году
| Позиция | Стоимость |
|---|---|
| Сервер Dell PowerEdge R660/R760 с Xeon Platinum 8280 | 700 000 - 1 200 000 руб |
| Сетевое оборудование (коммутатор + точки + роутер) | 150 000 - 350 000 руб |
| NAS для бэкапа Synology 8-bay + диски | 150 000 - 250 000 руб |
| UPS APC Smart-UPS SRT 3kVA | 95 000 - 140 000 руб |
| Лицензии Windows Server Standard + CAL | 250 000 - 400 000 руб |
| Лицензии 1С:Предприятие (зависит от редакции) | 200 000 - 600 000 руб |
| Работы «под ключ» | 300 000 - 500 000 руб |
| Ежемесячное обслуживание | 50 000 - 90 000 руб/мес |
Построим IT-инфраструктуру вашего офиса
Проектируем, собираем и поддерживаем IT-инфраструктуру офисов от 15 до 50 рабочих мест. AD, 1С, файловый сервер, VPN, мониторинг, бэкап, сеть. От проектирования до ежемесячной поддержки.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по IT-инфраструктуре
- Сколько стоит построить IT-инфраструктуру офиса на 30 человек?
- Средняя стоимость проекта «под ключ» на 2026 год — 1.5-3.5 млн рублей с учётом сервера, сетевого оборудования, UPS, софта и работ. Ежемесячные расходы на обслуживание — 50-90 тыс. рублей у внешнего подрядчика.
- Нужен ли свой сервер в маленьком офисе?
- Для офисов от 15 человек с 1С, почтой и общими документами свой сервер — оптимально. Облако дороже на горизонте 3+ лет, медленнее при работе с большими файлами и зависит от интернета.
- Что обязательно должно быть в инфраструктуре?
- Active Directory с политиками доступа, файловый сервер с бэкапом, почтовый сервер или корпоративная почта в облаке, VPN для удалёнки, антивирус, мониторинг, UPS на серверную, резервное копирование на внешний носитель.
- Какое сетевое оборудование выбрать?
- Для офиса 20-50 РМ я рекомендую управляемые коммутаторы Cisco SMB или MikroTik, точки доступа Ubiquiti UniFi или Aruba Instant On, роутер Keenetic Giga или MikroTik hEX.
- Выгоднее взять IT-отдел в штат или аутсорсинг?
- До 50-70 рабочих мест аутсорсинг выгоднее: один штатный инженер с зарплатой 120+ тыс. руб/мес плюс налоги обходится в 150-200 тыс. в месяц, аутсорсинг — 50-90 тыс. с тем же уровнем сервиса.