Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Название темы: Два корневых AD в разных вланах - возможно?
Показать сообщение отдельно

Новый участник


Сообщения: 32
Благодарности: 0

Профиль | Отправить PM | Цитировать

Цитата monkkey:
Можно оставить в том же домене, но создать отдельное подразделение. Можно и другую подсеть, либо VLAN. »
В настоящее время контроллер домена находится на w2k, без антивируса, постоянно падает и там очень много мусора в записях, потому что администраторов было семь человек и каждый делал как бог на душу положит, плюс в администраторов добавили кого ни попадя, когда не могли разобраться с правами - в общем, полный кошмар и бардак. Поэтому мы решили выделить отдельную машину под новый контроллер домена и отгородиться ото всех - это раз. Организация разделяется и нашему подразделению нужен отдельный домен - это два. При этом, нужно сохранить доступ пользователям до ряда ресурсов из старой сети. К ряду ресурсов (скажем, FTP), можно легко получить доступ по IP адресу, поскольку авторизация на фтп не завязана с AD, это будет реализовано обычным роутингом в старую сеть и завешиванием всех остальных адресов кроме фтп файрволом, либо на фтп будет добавлена ещё одна сетевая карта и закинута в наш влан.

Цитата monkkey:
Можно оставить в том же домене, но создать отдельное подразделение. Можно и другую подсеть, либо VLAN. »
Не получится, ибо "Организация разделяется и нашему подразделению нужен отдельный домен".

Цитата amel27:
не лучшее решение - ничего кроме новых проблем это не даст, лучше поднять роутер (без разницы - железный, на Win или на Nix) и настроить фильтры... AFAIK поднимать роутер на SAMBA не рекомендуется из соображений безопасности. »
Роутер в старую подсеть скорее всего и так будет поднят, но возникает вопрос - как я попаду на старые ресурсы, если машина в старой сети завязана с AD и пользователей на шары пускает в соответствии с правами доступа, а как выше было сказано, машина не может быть одновременно в двух доменах.

Цитата amel27:
Если необходимо сохранить доступ к ресурсам в другом домене, то без доверия не обойтись. Как вариант - поднять одностороннее доверие Win2K -> Win2K3, в этом случае пользователи нового домена смогут обращаться к ресурсам старого (при наличии прав), но не наоборот. Между доменами одного леса доверие всегда двустороннее. »
Хм. А если эти два контроллера находятся в разных сетях? Я могу настроить роутинг в обе стороны конечно, но какой тогда смысл в разделении? Разве что завесить всё файрволом меджу сетями.

amel27, Вопрос вдогонку - а если обе машины корневые DC, это возможно?

Отправлено: 08:47, 30-07-2008 | #4

Название темы: Два корневых AD в разных вланах - возможно?