Два корневых AD в разных вланах - возможно?
 

Доброго времени суток. Сразу скажу, до этого я ни разу не сталкивался с Active Directory (счастливый человек, как сказал один мой знакомый). Насколько я понял - Active Directory - это средство централизованной авторизации пользователей и управления их правами доступа к каким-либо ресурсам.

Так вот, передо мной есть задача, которая для меня тривиальной не является, мне просто нужно знать - возможно ли осуществить то, что изложу ниже. За любую помощь и подсказки буду очень благодарен.

Есть сеть 192.168.0.0/24, в ней есть свой DHCP, DNS и AD, плюс несколько серверов - в основном SAMBA, всё это под win. Сервер DNS и AD - на одной машине под w2ksp4, которая периодически падает. На ней есть три домена. Задача - максимально отделить пользователей одного из подразделений от всех остальных и перевести их в новый домен (скажем из domen_a.local в domen_b.local, который не будет пересекаться со старыми доменами со старого AD).
Задумка следующая:
1. Поднять отдельный влан, в нём сделать отдельную сеть с другим диапазоном адресов. Скажем, 192.168.10.0/24.
2. Поднять в этом влане свой DHCP, DNS.
3. Поставить на необходимых в новой сети SAMBA серверах по второй сетевой карте, чтобы у них в новой сети был свой IP из диапазона 192.168.10.0/24.
4. Настроить свой контроллер домена в новой сети с новым доменом (domen_b.local) уже на w2k3.
5. Добавить в этот домен сервера SAMBA.

1, 2, 3 - для меня понятно и прозрачно.
Если взять для примера один из серверов с SAMBA, то он получает от DHCP на новый интерфейс IP адрес из нужного диапазона, в моём DNS в файле зоны прописано имя в нужном домене и обращаться к серверу по доменному имени можно легко. Если сделать вид, что первого интерфейса на сервере нет, то можно смело переходить к пунктам 4 и 5. Главный вопрос - может ли быть машина одновременно в двух доменах, которые располагаются на разных серверах AD, не связанных между собой доверительными отношениями? Насколько я понял, права доступа пользователя к той или иной шаре хранятся на сервере AD, и уже AD решает, пускать ли пользователя на шару, но не сойдёт ли с ума SAMBA, находящаяся в разных доменах, не связанных между собой?

Буду рад ссылкам на хорошие статьи и ресурсы, посвящённые AD.

Нет. Домен - это не физическая, а логическая структура.
Можно оставить в том же домене, но создать отдельное подразделение. Можно и другую подсеть, либо VLAN.

не лучшее решение - ничего кроме новых проблем это не даст, лучше поднять роутер (без разницы - железный, на Win или на Nix) и настроить фильтры... AFAIK поднимать роутер на SAMBA не рекомендуется из соображений безопасности.

Если необходимо сохранить доступ к ресурсам в другом домене, то без доверия не обойтись. Как вариант - поднять одностороннее доверие Win2K -> Win2K3, в этом случае пользователи нового домена смогут обращаться к ресурсам старого (при наличии прав), но не наоборот. Между доменами одного леса доверие всегда двустороннее.

В настоящее время контроллер домена находится на w2k, без антивируса, постоянно падает и там очень много мусора в записях, потому что администраторов было семь человек и каждый делал как бог на душу положит, плюс в администраторов добавили кого ни попадя, когда не могли разобраться с правами - в общем, полный кошмар и бардак. Поэтому мы решили выделить отдельную машину под новый контроллер домена и отгородиться ото всех - это раз. Организация разделяется и нашему подразделению нужен отдельный домен - это два. При этом, нужно сохранить доступ пользователям до ряда ресурсов из старой сети. К ряду ресурсов (скажем, FTP), можно легко получить доступ по IP адресу, поскольку авторизация на фтп не завязана с AD, это будет реализовано обычным роутингом в старую сеть и завешиванием всех остальных адресов кроме фтп файрволом, либо на фтп будет добавлена ещё одна сетевая карта и закинута в наш влан.

Не получится, ибо "Организация разделяется и нашему подразделению нужен отдельный домен".

Роутер в старую подсеть скорее всего и так будет поднят, но возникает вопрос - как я попаду на старые ресурсы, если машина в старой сети завязана с AD и пользователей на шары пускает в соответствии с правами доступа, а как выше было сказано, машина не может быть одновременно в двух доменах.

Хм. А если эти два контроллера находятся в разных сетях? Я могу настроить роутинг в обе стороны конечно, но какой тогда смысл в разделении? Разве что завесить всё файрволом меджу сетями.

amel27, Вопрос вдогонку - а если обе машины корневые DC, это возможно?

гы, развесилил - неужели ты думаешь, что сетевая карта любой ОСи широкого профиля (Самба) воткнутая в чужую сеть надежней порта специализированного роутера :). Любой уважающий себя роутер поддерживает пакетную фильтрацию, через которую можно "светить" в чужой сети только конкретные порты (к примеру CIFS). Если между доменами в подсетях установлено доверие, то придется дополнительно открыть трафик между контроллерами этих доменов (Настройка брандмауэра для установления доверительных отношений между доменами)

Не понял вопроса - доверие устанавливается между ДОМЕНАМИ (или лесами), а не "машинами", но права распространяется на все ресурсы в домене (в том числе и на "машинах"). Доверяющий домен может (при желании) предоставлять свои ресурсы доверенному, в этом смысле понимается "направление" доверия.

Нет, не считаю. Конечно лучше сделать роутинг сетей через одну машину и на ней поднять файрвол, но из за того, что не знал по каким портам и какими пакетами (TCP/UDP) идёт это:
то хотел на первое время кинуть машину в оба влана. За ссылку большое спасибо! :) То, что нужно.

Насколько я понял, есть корневые контроллеры домена и есть дочерние или как их назвать. То есть, если у нас домены расположены на разных контроллерах домена, то это нам не помешает, так?

P.S.: По односторонним доверительным отношениям нашёл только это:
http://support.microsoft.com/kb/325874/ru#top
Но это по w2k3 и win nt. Первого числа буду копать живьём.

C 2003 Сервера различия нет. Все контроллеры равноправные, отличаются наличием ролей. Похоже, Вам для начала вообще-бы что-нибудь прочитать по AD.
Например, http://trainers2000.narod.ru/win2003.htm

Windows 2000/2003: Multiple Forests Considerations White Paper
Multiple Forest Considerations in Windows 2000 and Windows Server 2003

monkkey, amel27, большое спасибо. :)

А можно поподробней об этом. У меня задача такая что несколько vlan и контролер домена в отдельном vlan. Как их подружить, чтобы со всех vlanов можно было зайти на контроллер?

___