[maxo]

Цитата gf100:

Названия доменов (интернетовский и windows) не совпадают. А у тебя могут и совпадать. »

Совпадут

Серверов больше одного не будет. Соответственно и контроллеров (сначала по крайней мере), а вообще желательно конечно. Можно на один сервер поставить два контроллера, но смысла как-то не вижу пока, если увижу - сделаю. Может есть соображения (в случае не-датацентра)?

Цитата gf100:

Подключение станций как раз затянулость на месяц »

Честно говоря не представляю что так долго, повторюсь:

Цитата:

я сам когда переводил сеть из 15 компов, за одну ночь (подчеркиваю, за одну, вернее с 7 вечера до 9 утра) на сервере (206 был, славная машина, кто бы что не говорил) 2003, АД и ексчейндж поставил, шлюз и днс на какой-то развалюхе и все 15 машин утром в домене были (правда потом еще дня 3 раны зализывал, но на работу офиса это не отражалось). И никакие WINS протокол и NetBOIS и прочие заморочки не заморачивали совершенно, и вернулся обратно на предыдущую схему без проблем, когда это понадобилось на одной машине не помню почему, и вообще самое сложное что я от этой мероприятии помню, это было доказать утром юзерам, что пароли проще не допускается системой. Правда, облегчало тогда то, что все машины (те 15) были новые, одинаковые, с одинаковыми хрюнями и сеть мною за 2 дня заново проложена была. Да и дня три на подготовку было

теперь конечно условия другие, но месяц думаю не понадобится. Не пугайте меня

Цитата gf100:

оставляя старый доступ (порезать можно потом) »

Тут не совсем понял - доступ чего к чему?

[madmax24]

Цитата maxo:

Траффик Инспектором не пользовались? »

не, не люблю продукты типа all-in-one. Все должно быть в меру.

[gf100]

Цитата maxo:

доступ чего к чему »

У меня была задача - поднять домен "на горячую", перерывы в работе не допускались. Главное было обеспечить бесперебойный доступ к серверным ресурсам (шарам, базам данных, почте). Т.е. на время перехода на серверах оставались локальные группы и пользователи наравне с доменными.

Цитата maxo:

В организации до 100 компьютеров; 30 из них в головном офисе, остальные - по 10 региональным центрам. »

И это без резервирования домен контроллера?

[kim-aa]

Цитата maxo:

Можно на один сервер поставить два контроллера, но смысла как-то не вижу пока, если увижу - сделаю »

А вы знаете что стандартный DC выполняет до 6 ролей (т.е по сути это 6 процессов-контроллеров)?

Контроллер объектов домена
Контроллер схемы
Контроллер именования доменов
Контроллер относительных идентификаторов
Контроллер-эмулятор PDC
Контроллер инфраструктуры
+
DNS
DHCP

А каталог AD-состоит из трех независимых разделов (т.е. по сути это три базы)?
Раздел именования домена
Раздел именования конфигурации
Раздел именования схемы (индивидуален для каждого леса)
=============================================================
Это я к чему.
Развертывание AD для одного офиса из 100 компьютеров и сети из 10 офисов, по 10 компьютеров в каждом - это РАЗНЫЕ задачи, хотя число Workstation в обоих случаях идентичны.

[gf100]

Да, еще пара моментов, которые отняли некоторое количество времени.
Штатное средство копирования локальных профилей (локального пользователя на доменного) работает с нюансами. Не переносятся почтовые базы и профили подключения оутглюков. После входа доменным пользователем (для создания базового профиля) перед копированием нужного профиля ХР приходится перезагружать.

[maxo]

Цитата madmax24:

не, не люблю продукты типа all-in-one. Все должно быть в меру. »

Аппаратные all-in-one я тоже не люблю (как нож+кусачка+отвертка..., так и принтер+сканер+утюг), но с программными такое не испытываю.

Цитата gf100:

У меня была задача - поднять домен "на горячую", перерывы в работе не допускались. Главное было обеспечить бесперебойный доступ к серверным ресурсам (шарам, базам данных, почте). Т.е. на время перехода на серверах оставались локальные группы и пользователи наравне с доменными. »

У меня задача поскромнее - как сказал выше, работает единственная база на аксессе, пермишны ее-же средствами, и никаких особых профилей и документов, так что трудностей не будет. Единственное что меня напрягало - это как будет вести себя сеть, где часть машин в домене, остальные - локал. Похоже, что и тут не возникали проблемы, нерешаемые по крайней мере. Правильно я понял? Если КД так или иначе разрешит локальному гостью пользоваться серверными ресурсами, то больше мне ничего и не надо. Это было одним из моих основных проблем, потому и очень важно мне это знать от тех, кто это проходил.

Цитата gf100:

И это без резервирования домен контроллера? »

Ну для начала да. Второй сервер никто не даст . А на потом я присмотрел машину одну - если удастся ее приголубить, с нее можно будет сделать резервный КД, если нет, пожертвую (частично) собственные ресурсы. А что делать!

Цитата kim-aa:

А вы знаете что стандартный DC выполняет до 6 ролей (т.е по сути это 6 процессов-контроллеров)? »

Замечу, что я говорил, что не вижу смысла делать на одной машине 2 контроллеров домена.

Цитата kim-aa:

Развертывание AD для одного офиса из 100 компьютеров и сети из 10 офисов, по 10 компьютеров в каждом - это РАЗНЫЕ задачи»

Это разные задачи, когда стоят разные задачи. В моем случае организационное и географическое деление на офисы никак не отразятся на архитектуру сети, разве что на ГП-ах.

----------
А теперь, что касается текущего положения дел - этап 1 закончен - инвентаризацию провели. Правда я простудился и все 3 дня кровать "инвентарил", но и участвовал виртуально. С понеделника начну анализировать что там ребята собрали по центрам. Если кому интересно, могу выложить план, порядок работ, формы (их 4, в т ч опрос пользователей), результаты обработки и сделанные выводы, разработанные на их основе требования и рекомендации к предприятию, программу тренингов и субъективную оценку общего эффекта. Все это может быть интересно тем, кто делает ИТ-аутсорсинг, и думаю не только тем.
Ну и о дальнейших делах буду сообщать конечно, Вы мне очень помогли и помогаете, может и это кому-то пригодится.

[kim-aa]

Цитата maxo:

как будет вести себя сеть, где часть машин в домене, остальные - локал. »

Нормально, точнее предсказуемо.
Главное проинструктировать админов сразу.

С одной стороны, желательно, сразу ввести в домен машины содержащие общие ресурсы, дабы на вопрос: "Какой же пароль. к данной шаре, доменный либо локальный?", ответ был только один.

С другой стороны, очень, очень стремно работать с одним контроллером в мультисайтовой среде (многоофисной).
Опять, же трафик вырастет, если не будет локальных DC.
И самое похабное, операции аутентификации не требуют большой полосы пропускания, но достаточно чувствительны к времени задержки, а т. к. сами тикеты kerberos тоже времязависимы, то если сервер предоставляющий ресурсы не может аутентифицировать операцию (именно операцию) на DC, то сообщения об ошибках будут выдаваться самые причудливые.

-------------------------------------------------------------------------------
Собственно эта тема многократно обсосана, что контроллеров должно быть как минимум два на сайт.
В случае применения exchange или инных продуктов backoffice необходимо наличие отдельной пары контроллеров схемы.

Вобще для контроллеров домена необходимы самые дохлые машины, но они должны заниматься только этим и ни чем инным.
Неужель в конторе не найдется двух задрипанных машин с 256МБ памяти и 1000 celeron?

[maxo]

Цитата kim-aa:

Неужель в конторе не найдется двух задрипанных машин с 256МБ памяти и 1000 celeron? »

Найдется, только тут на некоторые политические вопросы упырается, но решаемы все таки наверно будут.

[babki]

Цитата maxo:

Надо "перестроить" сеть на доменную, с Сервером 2003, АД и пр. Работу остановить нелзя (максимум на 1 день). »

за день всяко не поднимешь, очень много подвоных камней и проблем будет возникать, о которых даже ты не догадывался. Как будешь первый раз ставить - обязательно с ними сталкнешься. Самая первая проблема с которой сталкнешься: компьютер не будет видеть домена ну и тд и тп.

[madmax24]

Цитата babki:

Самая первая проблема с которой сталкнешься »

В связи с этим самое первое действие по решению проблемм - www.forum.oszone.net