AD: какую архитектуру лучше реализовать?
 

Здравствуйте!
Помогите определиться, как лучше сделать!
Есть 5 офисов и VPN между ними. В двух офисах поднят AD (между собой никак не связаны), в остальных рабочая группа. Один офис является центральным.
Необходимо сделать доступ к файлам и папкам центрального офиса из всех остальных, разграничивая права доступа.
Пользователи частенько переезжают между офисами.
Есть мысль: поставить в центральном офисе контроллер АД, и файл-сервер, в остальных поставить дополнительные контроллеры, которые по совместительству будут файл-серверами.

Вопросы:
0) может есть лучший вариант? Например, подчиненные домены, или лес доменов...
1) при пропадании сети сколько будет жить офис на доп.контроллере?
2) файл-сервер+доп.контроллер на одной машине: не будет ли проблем?
3) какие настройки необходимо произвести, чтобы рабочая станция при логоне нагружала доп.контроллер, а не основной?
4) При выпадании основного контроллера домена как долго все проживет?

Один домен, 5 сайтов
В каждом сайте по контроллеру домена
Настриваешь репликации, все работает
в АД создаешь 5 OU и более и делай с ними ШО хочешь :)

При выпадении любого из КД все будет работать
Делать надо резервные копии ГК

4 пункт не понял.. на 2* виндах такого уже нет, есть эмулятор для смешанного режима работы
Просто есть КД с ГК, а есть КД без ГК, плюс 5 FSMO между ними можешь распределить

Создал два сайта и две подсетки, связал их друг с другом.

Как заставить рабочую станцию обращаться к тому контроллеру домена, который находится в локалке?
Или система сама это просечь должна?

не понял опять
так ты пропиши настройки раб станций для конкретной подсети

192,168,0,*
255,255,255,0
192,168,0,1
192,168,0,1

192,168,1,*
255,255,255,0
192,168,1,1
192,168,1,1

и тогда каждая раб.станция будет обращаться к своему серваку

Есть еще такое понятие как глобальный каталог.
По умолчанию он хранится только на первом поднятом контроллере домена.
Тебе нужно во избежании тормоза (упал канал между филиалом и центральным офисом) поставить в свойствах сайта
Enable Universal Group Membership Caching но лучше Global Catalog (в свойствах сервера сайта)
Тогда все будет еще круче!

Dimas_83


Каждая раб.станция видит все подсетки через VPN. Ей не надо указывать конкретно, к какому контроллеру обращаться?

Если локальный контроллер грохнется, она сможет управляться контроллером из другой подсетки?

и ещё...

Объясните тупому

Если у меня рабочая станция находится в подсетке 192.168.1.1, добавлен сайт XX и задана подсеть 192.168.1.0/24, связанная с сайтом ХХ, на рабочую станцию применятся групповые политики сайта ХХ?

или я что-то не догоняю?

Напиши в ДНС серверах все твои контроллеры, и при выходе из строя одного из них, сеть будет пересылать запросы на другой КД

Групповые политики рекомендую послушать здесь - подробно рассказывается о правилах применения политик от локальной до глобальной http://www.microsoft.com/rus/events/...tid=1032300950


P.s. можешь проверить кое что, подключи в подсеть комп, но не вводи его в домен и попробуй по netbios имени обратиться к компу из другой подсети... что получится
У меня просто не видит так компы, а видит если прописать полностью имя с суффиксом домена
У компов, которые ввел в домен, все отлично

Забыл рассказать: дождись стабильной репликации, после этого ДНС будет работать стабильно

2 Vasosel

В процессе входа в систему клиент всегда пробует соединиться с КД расположенным в его сайте.

RaZZoRRo

В этом-то и вопрос. Как клиент узнает, в каком сайте он находится? По своей подсетке? Или надо где-то явно указывать для каждой машины? Извиняюсь за ламерские вопросы, я никогда с сайтами не сталкивался.

Все за него(клиента) сделает АД, в АД записана будет архитектура сети после полной репликации
У тебя в сайте указан должен быть КД и подсеть - этого достаточно...
Управление идет с низу вверх, то есть от сервака подсети - до сервака ГК

2 Vasosel

Рабочая станция определяет свое местоположение в сети , сообщая адрес своей подсети первому серверу AD с кот. ей удалось связаться.
Этот сервер с помощью полученных данных от клиента ищет обьект типа "Site" , соответствующий подсети клиента и если данный сервер принадлежит другой подсети , то он сообщает рабочей станции об адресе более близкого к ней сервера.

+1

В идеале и в кратце:
Создаете два домена - корневой и дочерний.
Корневой чито держать роли и права Enterprise admin & Scheme admin
В дочернем все работают. 5 филиалов. 5 подсетей. 5 сайтов, 5 контроллеров одного дочернего домена. Все ДС глобальные каталоги. На всех подня ДНС и СDCHP для клиетских машин.
На клиентской машине адераса ДНС назначаемые дхцп:
первичный - локального контроллера.
вторичный - контроллера, расположеногго в центре структуры. Зона ДНС _msdcs.<имя домена>.<зона> должна быть на всех ДС.
Клиент находит все необходимые ему ресурсы по записям SRV на ДНС серверах.
Итого никаких проблем.

Это как один из вариантов построения данной системы.

здрасти приехали. у нас уже миллион ГК можно сделать? это как?... хак винды? .. я тоже так хочу :)

Kazak-S немного не так выразился, контроллеры доменов в сайтах должны содержать копию глобального каталога.

то есть быть КД с галочкой GC в Directory Sites And Services

Спасибо всем, вопрос по поводу структуры исчерпан.

Попробовал реализовать на простенькой модели, все работает :)

Теперь возникло три вопроса:

1. можно сделать так, чтобы когда юзер логинится, он грузил профиль с локального сервера? (в зависимости от сайта, в котором находится)
Папки "Desktop", "Application Data", "Main Menu" можно перенаправить в сеть групповыми политиками, а с профилем проблемы.
Пока мне удалось решить только так:
user.Profile = %logonserver%\users\%username%\profile
но тогда или профили хранятся на КД, или через DFS наколдовать. А можно как-то ещё сделать? Может в логон скрипте путь к профилю править или ещё как?
2. В случае вырубания локального домена что будет?
Идея реализации следующая: в каждом офисе по 2 файл-сервера, которые реплицируются средствами Windows, а юзеры ходят через DFS. Т.е. если один сервак временно выключить, ничего не произойдет. Именно поэтому есть смысл хранить профили на файл-сервере, а не на КД. А при вырубании локального КД компы будут логиниться?
3. Как автоматически создавать юзеров? (ввести ФИО, логин, пароль, подразделение, должность, а остальные настройки по определенным правилам генерить). Вообще создавал отдельной веткой, но думаю, может здесь кто ответит?
и по ходу возник ещё вопрос:
2а. Что будет, если основной КД временно вырубить? Если ничего не админить (т.е. не подключать домены, не править групповые политики и т.п.), все может работать бесконечно долго?
2б. такой же вопрос о пропадании связи между КД.