Показать полную графическую версию : AD: какую архитектуру лучше реализовать?
Здравствуйте!
Помогите определиться, как лучше сделать!
Есть 5 офисов и VPN между ними. В двух офисах поднят AD (между собой никак не связаны), в остальных рабочая группа. Один офис является центральным.
Необходимо сделать доступ к файлам и папкам центрального офиса из всех остальных, разграничивая права доступа.
Пользователи частенько переезжают между офисами.
Есть мысль: поставить в центральном офисе контроллер АД, и файл-сервер, в остальных поставить дополнительные контроллеры, которые по совместительству будут файл-серверами.
Вопросы:
0) может есть лучший вариант? Например, подчиненные домены, или лес доменов...
1) при пропадании сети сколько будет жить офис на доп.контроллере?
2) файл-сервер+доп.контроллер на одной машине: не будет ли проблем?
3) какие настройки необходимо произвести, чтобы рабочая станция при логоне нагружала доп.контроллер, а не основной?
4) При выпадании основного контроллера домена как долго все проживет?
Dimas_83
29-06-2006, 14:16
Один домен, 5 сайтов
В каждом сайте по контроллеру домена
Настриваешь репликации, все работает
в АД создаешь 5 OU и более и делай с ними ШО хочешь :)
При выпадении любого из КД все будет работать
Делать надо резервные копии ГК
4 пункт не понял.. на 2* виндах такого уже нет, есть эмулятор для смешанного режима работы
Просто есть КД с ГК, а есть КД без ГК, плюс 5 FSMO между ними можешь распределить
Создал два сайта и две подсетки, связал их друг с другом.
Как заставить рабочую станцию обращаться к тому контроллеру домена, который находится в локалке?
Или система сама это просечь должна?
Dimas_83
29-06-2006, 18:20
не понял опять
так ты пропиши настройки раб станций для конкретной подсети
192,168,0,*
255,255,255,0
192,168,0,1
192,168,0,1
192,168,1,*
255,255,255,0
192,168,1,1
192,168,1,1
и тогда каждая раб.станция будет обращаться к своему серваку
Есть еще такое понятие как глобальный каталог.
По умолчанию он хранится только на первом поднятом контроллере домена.
Тебе нужно во избежании тормоза (упал канал между филиалом и центральным офисом) поставить в свойствах сайта
Enable Universal Group Membership Caching но лучше Global Catalog (в свойствах сервера сайта)
Тогда все будет еще круче!
Dimas_83
Каждая раб.станция видит все подсетки через VPN. Ей не надо указывать конкретно, к какому контроллеру обращаться?
Если локальный контроллер грохнется, она сможет управляться контроллером из другой подсетки?
и ещё...
Объясните тупому
Если у меня рабочая станция находится в подсетке 192.168.1.1, добавлен сайт XX и задана подсеть 192.168.1.0/24, связанная с сайтом ХХ, на рабочую станцию применятся групповые политики сайта ХХ?
или я что-то не догоняю?
Dimas_83
29-06-2006, 22:52
Напиши в ДНС серверах все твои контроллеры, и при выходе из строя одного из них, сеть будет пересылать запросы на другой КД
Групповые политики рекомендую послушать здесь - подробно рассказывается о правилах применения политик от локальной до глобальной http://www.microsoft.com/rus/events/detail.mspx?eventid=1032300950
P.s. можешь проверить кое что, подключи в подсеть комп, но не вводи его в домен и попробуй по netbios имени обратиться к компу из другой подсети... что получится
У меня просто не видит так компы, а видит если прописать полностью имя с суффиксом домена
У компов, которые ввел в домен, все отлично
Забыл рассказать: дождись стабильной репликации, после этого ДНС будет работать стабильно
RaZZoRRo
30-06-2006, 08:56
2 Vasosel
Каждая раб.станция видит все подсетки через VPN. Ей не надо указывать конкретно, к какому контроллеру обращаться?
В процессе входа в систему клиент всегда пробует соединиться с КД расположенным в его сайте.
RaZZoRRo
В этом-то и вопрос. Как клиент узнает, в каком сайте он находится? По своей подсетке? Или надо где-то явно указывать для каждой машины? Извиняюсь за ламерские вопросы, я никогда с сайтами не сталкивался.
Dimas_83
01-07-2006, 18:49
Все за него(клиента) сделает АД, в АД записана будет архитектура сети после полной репликации
У тебя в сайте указан должен быть КД и подсеть - этого достаточно...
Управление идет с низу вверх, то есть от сервака подсети - до сервака ГК
RaZZoRRo
02-07-2006, 00:53
2 Vasosel
Рабочая станция определяет свое местоположение в сети , сообщая адрес своей подсети первому серверу AD с кот. ей удалось связаться.
Этот сервер с помощью полученных данных от клиента ищет обьект типа "Site" , соответствующий подсети клиента и если данный сервер принадлежит другой подсети , то он сообщает рабочей станции об адресе более близкого к ней сервера.
Один домен, 5 сайтов
В каждом сайте по контроллеру домена
Настриваешь репликации, все работает
в АД создаешь 5 OU и более и делай с ними ШО хочешь
+1
В этом-то и вопрос. Как клиент узнает, в каком сайте он находится? По своей подсетке? Или надо где-то явно указывать для каждой машины? Извиняюсь за ламерские вопросы, я никогда с сайтами не сталкивался.
В идеале и в кратце:
Создаете два домена - корневой и дочерний.
Корневой чито держать роли и права Enterprise admin & Scheme admin
В дочернем все работают. 5 филиалов. 5 подсетей. 5 сайтов, 5 контроллеров одного дочернего домена. Все ДС глобальные каталоги. На всех подня ДНС и СDCHP для клиетских машин.
На клиентской машине адераса ДНС назначаемые дхцп:
первичный - локального контроллера.
вторичный - контроллера, расположеногго в центре структуры. Зона ДНС _msdcs.<имя домена>.<зона> должна быть на всех ДС.
Клиент находит все необходимые ему ресурсы по записям SRV на ДНС серверах.
Итого никаких проблем.
Это как один из вариантов построения данной системы.
Dimas_83
02-07-2006, 10:57
здрасти приехали. у нас уже миллион ГК можно сделать? это как?... хак винды? .. я тоже так хочу :)
xoxmodav
03-07-2006, 11:40
Kazak-S немного не так выразился, контроллеры доменов в сайтах должны содержать копию глобального каталога.
Dimas_83
03-07-2006, 12:07
то есть быть КД с галочкой GC в Directory Sites And Services
Спасибо всем, вопрос по поводу структуры исчерпан.
Попробовал реализовать на простенькой модели, все работает :)
Теперь возникло три вопроса:
1. можно сделать так, чтобы когда юзер логинится, он грузил профиль с локального сервера? (в зависимости от сайта, в котором находится)
Папки "Desktop", "Application Data", "Main Menu" можно перенаправить в сеть групповыми политиками, а с профилем проблемы.
Пока мне удалось решить только так:
user.Profile = %logonserver%\users\%username%\profile
но тогда или профили хранятся на КД, или через DFS наколдовать. А можно как-то ещё сделать? Может в логон скрипте путь к профилю править или ещё как?
2. В случае вырубания локального домена что будет?
Идея реализации следующая: в каждом офисе по 2 файл-сервера, которые реплицируются средствами Windows, а юзеры ходят через DFS. Т.е. если один сервак временно выключить, ничего не произойдет. Именно поэтому есть смысл хранить профили на файл-сервере, а не на КД. А при вырубании локального КД компы будут логиниться?
3. Как автоматически создавать юзеров? (ввести ФИО, логин, пароль, подразделение, должность, а остальные настройки по определенным правилам генерить). Вообще создавал отдельной веткой, но думаю, может здесь кто ответит?
и по ходу возник ещё вопрос:
2а. Что будет, если основной КД временно вырубить? Если ничего не админить (т.е. не подключать домены, не править групповые политики и т.п.), все может работать бесконечно долго?
2б. такой же вопрос о пропадании связи между КД.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.