Один домен на несколько филиалов.
 

Здравствуйте, товарищи.

Хочу повествовать Вам свою историю.

Имеется головной офис(ГО), и ряд удалённых филиалов(УФ).

УФ имеют выход в интернет(2Мбит). ГО также 2Мбит. Настроен VPN. Всё замечательно работает.
Но вот захотелось мне развернуть на всю эту сеть один домен Active Directory.
Для меня единственным вариантом оказалась схема с одним контроллером домена в ГО, поскольку в УФ не более 5-7 пользователей, и нет возможности купить контроллер в каждый филиал. К слову, в каждом УФ есть samba сервер(где располагаются папки с документами пользователей).

Всё бы вроде ничего, но что будет при падении канала связи с УФ?
Да, пользователи зайдут в домен по кешированным паролями. Но а как быть с шарами? Например пользовательские папки на филиальном самбе сервере становятся недоступны, при отсутствии связи с PDC.
Как это можно пофиксить?

Думаю без резервных DC на местах это по крайней мере странная затея, ведь при падении канала перестанет работаь аутентификация, т.е. пользователь кроме как на свой компьютер (тут также есть ограничения) больше никуда зайти не сможет... Перестанут работать принтеры, шары и т.д. все где требуется аутентификация.

Я бы сказал вынужденная затея). Но может существует возможность хранить данные аутентификации локально в филиале, на самба сервере?

Я не сталкивался, возможно какие-то пароли можно будет закешировать на стороне клиента.

Вот по теме: http://support.microsoft.com/kb/913485

Я так понимаю, кеширование уже есть. Посколько доступ к шарам остаётся даже после пропадания связи с контролером домена. Но вот если компьютер перезагрузить, то достучаться до шар уже не получится. Возникает вопрос: как же кешировать пароли так, чтобы они сохрагялись и после перезагрузки.

Вообще-то, в Win2008 есть функционал read-only Domain-controller, который без проблем живет на одном компьютере с файл-сервером.
Т.ч. может есть смысл обновить ОС на серверах филиалов?
----
Если ты используешь для доступа доменные учетные записи, то аутентификация на шаре происходит через билеты Kerberos, а они не кэшируются при перезагрузке.
Можно каждому местому пользователю завести на местном сервере локальную учетную запись (или одну на всех); подключить шару диском с отдельными учетными данными и введенные учетные данные сохранить.
Только пропадание связи с контроллером домена очень неприятная штука - при отдельных сетевых операциях (попытках аутентификации и т.п.) интерфейс пользователя может сильно тормозить.

Обновить ОС на филиалах невозможно с финансовой точки зрения(нужно купить порядка 25 лицензий). Попробую создать таких же пользователей на самба сервере.

Если режим доступа для всех сетевых пользователей будет одинаковый, то можно включить учетную запись гостя и пускать на шару всех без аутентификации.

QRS, RODC не совсем поможет, т.к. при пропадании связи возможно он также перестает работать
(это из личного опыта, после отказались от затеи c RODC, установили обычный резервный DC)

Если стоит Samba сервер - то соответственно там что-то из бесплатного...

RODC перестает работать, если он не прокешировал учетные данные пользователей.

>>By default, an RODC does not store user or computer credentials. The exceptions are the computer account of the RODC and a special krbtgt account that each RODC has. You must explicitly allow any other credential caching on an RODC.