Показать полную графическую версию : Помогите спланировать AD для удаленного подразделения
Добрый день.
Есть центральный офис (около 100 рабочих мест) и удаленное подразделение (около 30 мест). Располагаются в разных концах города. Соединены каналом в 10 Мбит, с временем отклика до 500 мс и иногда более. Канал периодически, несколько раз в месяц, падает на несколько часов.
В центральном офисе поднят домен AD 2008.
Есть желание подключить удаленное подразделение к AD, чтобы использовать преимущества централизованной авторизации как минимум.
Для этого туда будет отправлено несколько серверов, думаю, пара DC и что-то еще по мелочи.
Вопрос в том, как лучше организовать доменную конфигурацию?
Я так понимаю, для общей авторизации нужно настроить либо 2-й домен в том же лесу, либо поддомен этого домена, правильно? И чем эти варианты отличаются?
И для авторизации в пределах леса тогда достаточно будет заходить как домен\юзер, я правильно себе представляю ситуацию?
Распространить тот же единственный офисный домен на удаленное подразделение - не вариант, потому как внутридоменное взаимодействие загнется из-за слабого канала.
Еще есть нюанс: в офисе работает почта: exchange 2010, хотелось бы по возможности организовать в удаленном подразделении отдельные почтовые сервера, чтобы не гонять туда-сюда почтовый трафик по слабому каналу. Я к тому, что в таком случае например поднять RODC для удаленного подразделения - не вариант.
Распространить тот же единственный офисный домен на удаленное подразделение - не вариант, потому как внутридоменное взаимодействие загнется из-за слабого канала. »
если вы о репликации - то она на диалап модеме отлично работает :)
Еще есть нюанс: в офисе работает почта: exchange 2010, хотелось бы по возможности организовать в удаленном подразделении отдельные почтовые сервера, чтобы не гонять туда-сюда почтовый трафик по слабому каналу. Я к тому, что в таком случае например поднять RODC для удаленного подразделения - не вариант. »
то есть гонять этот же траффик через тот же поганенький интернет лучше? это крайне странно.
я бы посоветовала простую сайтовую структуру, в рамках одного домена.
если вы о репликации - то она на диалап модеме отлично работает »
Я в общем о том, что в центральном офисе 4 контроллера, которые взаимодействуют между собой и обслуживают кучу всякой инфраструктуры. Ставить точно такие же 5-й и 6-й контроллер в том же домене, переносить их в удаленное подразделение и надеяться, что сервисы сами оптимальным образом будут брать данные с ближайшего контроллера, мне представляется не лучшим решением...
то есть гонять этот же траффик через тот же поганенький интернет лучше? это крайне странно. »
Ну тут я как мыслю: поставить сторадж и cas почты в удаленном подразделении, перенести на него ящики всех тамошних пользователей, а дальше уже они будут работать со своей почтой, не выходя из своей локалки. Разумеется, доставку писем при отправке-получении придется проводить через поганенький канал, но это уже будет разовая процедура для каждого письма.
я бы посоветовала простую сайтовую структуру, в рамках одного домена. »
А можно поподробнее про это? Вы имеете в виду домен AD или DNS? Я именно про AD спрашиваю, к сожалению не сталкивался никогда на практике с чем-то бОльшим, чем 1 домен в 1 лесу и весьма смутно представляю, как оно будет функционировать...
переносить их в удаленное подразделение и надеяться, что сервисы сами оптимальным образом будут брать данные с ближайшего контроллера, мне представляется не лучшим решением... »
не нужно надеяться, нужно читать документацию о Active Directory, в частности раздел Sites, Services, Subnets.
Ну тут я как мыслю: поставить сторадж и cas почты в удаленном подразделении, перенести на него ящики всех тамошних пользователей, а дальше уже они будут работать со своей почтой, не выходя из своей локалки. Разумеется, доставку писем при отправке-получении придется проводить через поганенький канал, но это уже будет разовая процедура для каждого письма. »
и чем это принципиально отличается от прогона этого же траффика через VPN?
А можно поподробнее про это? Вы имеете в виду домен AD или DNS? Я именно про AD спрашиваю, к сожалению не сталкивался никогда на практике с чем-то бОльшим, чем 1 домен в 1 лесу и весьма смутно представляю, как оно будет функционировать... »
нужно читать документацию о Active Directory, в частности раздел Sites, Services, Subnets.
Slovyanin
09-02-2013, 17:18
Добрый день. Я совершенно согласен с высказанным тут, cameron. Мне кажется что не имеет смысл туда ставить 2 контроллера домена плюс почтовый сервер Exchange 2010, это очень затратно по деньгам имею виду железо + лицензии. Вы все равно не получите той отказоустойчивости и минимизацию трафика, которую хотите достичь, в вашем случае узким местом все равно останется канал. Я бы сделал вот так:
1. Один сервер бы сделал шлюзом, поднял впн и соединил Site-to-Site и выставил бы приоритезацию трафика.
2. На втором сервере установил добавочный контроллер домена основного домена, файловый сервер и DHCP.
Дело в том что я думаю что у вас Active Directory, не часто изменяется поэтому трафик будет копеечный и не заметный, канал не просадит. Есть книжка старенькая Зубанова, подход профессионала, там очень хорошо описано все.
contoso.com
10-02-2013, 17:59
почему не использовать Read Only Domain Controller (http://www.microsoft.com/en-us/download/details.aspx?id=3608) ?
astomper7
10-02-2013, 22:51
почему не использовать Read Only Domain Controller ? »
Топикстартер просто упрямо отказывается верить в возможность нормальной репликации в его случае))
почему не использовать Read Only Domain Controller ? »
а его что, не нужно реплицировать?
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.