Два корневых AD в разных вланах

monkkey · Отправлено: **12:36, 28-07-2008** | #2

Цитата alive_corpse:

может ли быть машина одновременно в двух доменах »

Нет. Домен - это не физическая, а логическая структура.

Цитата alive_corpse:

максимально отделить пользователей одного из подразделений от всех остальных »

Можно оставить в том же домене, но создать отдельное подразделение. Можно и другую подсеть, либо VLAN.

amel27 · Отправлено: **03:46, 29-07-2008** | #3

Цитата alive_corpse:

Поставить на необходимых в новой сети SAMBA серверах по второй сетевой карте »

не лучшее решение - ничего кроме новых проблем это не даст, лучше поднять роутер (без разницы - железный, на Win или на Nix) и настроить фильтры... AFAIK поднимать роутер на SAMBA не рекомендуется из соображений безопасности.

Цитата alive_corpse:

Задача - максимально отделить пользователей одного из подразделений от всех остальных и перевести их в новый домен »

Если необходимо сохранить доступ к ресурсам в другом домене, то без доверия не обойтись. Как вариант - поднять одностороннее доверие Win2K -> Win2K3, в этом случае пользователи нового домена смогут обращаться к ресурсам старого (при наличии прав), но не наоборот. Между доменами одного леса доверие всегда двустороннее.

alive_corpse · Отправлено: **08:47, 30-07-2008** | #4

Цитата monkkey:

Можно оставить в том же домене, но создать отдельное подразделение. Можно и другую подсеть, либо VLAN. »

В настоящее время контроллер домена находится на w2k, без антивируса, постоянно падает и там очень много мусора в записях, потому что администраторов было семь человек и каждый делал как бог на душу положит, плюс в администраторов добавили кого ни попадя, когда не могли разобраться с правами - в общем, полный кошмар и бардак. Поэтому мы решили выделить отдельную машину под новый контроллер домена и отгородиться ото всех - это раз. Организация разделяется и нашему подразделению нужен отдельный домен - это два. При этом, нужно сохранить доступ пользователям до ряда ресурсов из старой сети. К ряду ресурсов (скажем, FTP), можно легко получить доступ по IP адресу, поскольку авторизация на фтп не завязана с AD, это будет реализовано обычным роутингом в старую сеть и завешиванием всех остальных адресов кроме фтп файрволом, либо на фтп будет добавлена ещё одна сетевая карта и закинута в наш влан.

Цитата monkkey:

Можно оставить в том же домене, но создать отдельное подразделение. Можно и другую подсеть, либо VLAN. »

Не получится, ибо "Организация разделяется и нашему подразделению нужен отдельный домен".

Цитата amel27:

не лучшее решение - ничего кроме новых проблем это не даст, лучше поднять роутер (без разницы - железный, на Win или на Nix) и настроить фильтры... AFAIK поднимать роутер на SAMBA не рекомендуется из соображений безопасности. »

Роутер в старую подсеть скорее всего и так будет поднят, но возникает вопрос - как я попаду на старые ресурсы, если машина в старой сети завязана с AD и пользователей на шары пускает в соответствии с правами доступа, а как выше было сказано, машина не может быть одновременно в двух доменах.

Цитата amel27:

Если необходимо сохранить доступ к ресурсам в другом домене, то без доверия не обойтись. Как вариант - поднять одностороннее доверие Win2K -> Win2K3, в этом случае пользователи нового домена смогут обращаться к ресурсам старого (при наличии прав), но не наоборот. Между доменами одного леса доверие всегда двустороннее. »

Хм. А если эти два контроллера находятся в разных сетях? Я могу настроить роутинг в обе стороны конечно, но какой тогда смысл в разделении? Разве что завесить всё файрволом меджу сетями.

amel27, Вопрос вдогонку - а если обе машины корневые DC, это возможно?

amel27 · Отправлено: **10:59, 30-07-2008** | #5

Цитата alive_corpse:

Я могу настроить роутинг в обе стороны конечно, но какой тогда смысл в разделении? »

гы, развесилил - неужели ты думаешь, что сетевая карта любой ОСи широкого профиля (Самба) воткнутая в чужую сеть надежней порта специализированного роутера

. Любой уважающий себя роутер поддерживает пакетную фильтрацию, через которую можно "светить" в чужой сети только конкретные порты (к примеру CIFS). Если между доменами в подсетях установлено доверие, то придется дополнительно открыть трафик между контроллерами этих доменов (Настройка брандмауэра для установления доверительных отношений между доменами)

Цитата alive_corpse:

а если обе машины корневые DC, это возможно? »

Не понял вопроса - доверие устанавливается между ДОМЕНАМИ (или лесами), а не "машинами", но права распространяется на все ресурсы в домене (в том числе и на "машинах"). Доверяющий домен может (при желании) предоставлять свои ресурсы доверенному, в этом смысле понимается "направление" доверия.

alive_corpse · Отправлено: **14:17, 30-07-2008** | #6

Цитата amel27:

гы, развесилил - неужели ты думаешь, что сетевая карта любой ОСи широкого профиля (Самба) воткнутая в чужую сеть надежней порта специализированного роутера . Любой уважающий себя роутер поддерживает пакетную фильтрацию, через которую можно "светить" в чужой сети только конкретные порты (к примеру CIFS). »

Нет, не считаю. Конечно лучше сделать роутинг сетей через одну машину и на ней поднять файрвол, но из за того, что не знал по каким портам и какими пакетами (TCP/UDP) идёт это:

Цитата amel27:

Если между доменами в подсетях установлено доверие, то придется дополнительно открыть трафик между контроллерами этих доменов (Настройка брандмауэра для установления доверительных отношений между доменами) »

то хотел на первое время кинуть машину в оба влана. За ссылку большое спасибо!

То, что нужно.

Цитата amel27:

Не понял вопроса - доверие устанавливается между ДОМЕНАМИ (или лесами), а не "машинами", но права распространяется на все ресурсы в домене (в том числе и на "машинах"). Доверяющий домен может (при желании) предоставлять свои ресурсы доверенному, в этом смысле понимается "направление" доверия. »

Насколько я понял, есть корневые контроллеры домена и есть дочерние или как их назвать. То есть, если у нас домены расположены на разных контроллерах домена, то это нам не помешает, так?

P.S.: По односторонним доверительным отношениям нашёл только это:
http://support.microsoft.com/kb/325874/ru#top
Но это по w2k3 и win nt. Первого числа буду копать живьём.

monkkey · Отправлено: **15:20, 30-07-2008** | #7

Цитата alive_corpse:

есть корневые контроллеры домена и есть дочерние »

C 2003 Сервера различия нет. Все контроллеры равноправные, отличаются наличием ролей. Похоже, Вам для начала вообще-бы что-нибудь прочитать по AD.
Например, http://trainers2000.narod.ru/win2003.htm

amel27 · Отправлено: **07:08, 31-07-2008** | #8

Цитата alive_corpse:

По односторонним доверительным отношениям нашёл только »

Windows 2000/2003: Multiple Forests Considerations White Paper
Multiple Forest Considerations in Windows 2000 and Windows Server 2003

alive_corpse · Отправлено: **10:44, 31-07-2008** | #9

monkkey, amel27, большое спасибо.

bigluc · Отправлено: **19:26, 24-08-2008** | #10

Цитата monkkey:

Можно оставить в том же домене, но создать отдельное подразделение. Можно и другую подсеть, либо VLAN. »

А можно поподробней об этом. У меня задача такая что несколько vlan и контролер домена в отдельном vlan. Как их подружить, чтобы со всех vlanов можно было зайти на контроллер?