Помогите спланировать AD для удаленного подразделения
 

Добрый день.
Есть центральный офис (около 100 рабочих мест) и удаленное подразделение (около 30 мест). Располагаются в разных концах города. Соединены каналом в 10 Мбит, с временем отклика до 500 мс и иногда более. Канал периодически, несколько раз в месяц, падает на несколько часов.
В центральном офисе поднят домен AD 2008.

Есть желание подключить удаленное подразделение к AD, чтобы использовать преимущества централизованной авторизации как минимум.
Для этого туда будет отправлено несколько серверов, думаю, пара DC и что-то еще по мелочи.

Вопрос в том, как лучше организовать доменную конфигурацию?
Я так понимаю, для общей авторизации нужно настроить либо 2-й домен в том же лесу, либо поддомен этого домена, правильно? И чем эти варианты отличаются?
И для авторизации в пределах леса тогда достаточно будет заходить как домен\юзер, я правильно себе представляю ситуацию?

Распространить тот же единственный офисный домен на удаленное подразделение - не вариант, потому как внутридоменное взаимодействие загнется из-за слабого канала.

Еще есть нюанс: в офисе работает почта: exchange 2010, хотелось бы по возможности организовать в удаленном подразделении отдельные почтовые сервера, чтобы не гонять туда-сюда почтовый трафик по слабому каналу. Я к тому, что в таком случае например поднять RODC для удаленного подразделения - не вариант.

если вы о репликации - то она на диалап модеме отлично работает :)
то есть гонять этот же траффик через тот же поганенький интернет лучше? это крайне странно.

я бы посоветовала простую сайтовую структуру, в рамках одного домена.

Я в общем о том, что в центральном офисе 4 контроллера, которые взаимодействуют между собой и обслуживают кучу всякой инфраструктуры. Ставить точно такие же 5-й и 6-й контроллер в том же домене, переносить их в удаленное подразделение и надеяться, что сервисы сами оптимальным образом будут брать данные с ближайшего контроллера, мне представляется не лучшим решением...
Ну тут я как мыслю: поставить сторадж и cas почты в удаленном подразделении, перенести на него ящики всех тамошних пользователей, а дальше уже они будут работать со своей почтой, не выходя из своей локалки. Разумеется, доставку писем при отправке-получении придется проводить через поганенький канал, но это уже будет разовая процедура для каждого письма.
А можно поподробнее про это? Вы имеете в виду домен AD или DNS? Я именно про AD спрашиваю, к сожалению не сталкивался никогда на практике с чем-то бОльшим, чем 1 домен в 1 лесу и весьма смутно представляю, как оно будет функционировать...

не нужно надеяться, нужно читать документацию о Active Directory, в частности раздел Sites, Services, Subnets.
и чем это принципиально отличается от прогона этого же траффика через VPN?
нужно читать документацию о Active Directory, в частности раздел Sites, Services, Subnets.

Добрый день. Я совершенно согласен с высказанным тут, cameron. Мне кажется что не имеет смысл туда ставить 2 контроллера домена плюс почтовый сервер Exchange 2010, это очень затратно по деньгам имею виду железо + лицензии. Вы все равно не получите той отказоустойчивости и минимизацию трафика, которую хотите достичь, в вашем случае узким местом все равно останется канал. Я бы сделал вот так:
1. Один сервер бы сделал шлюзом, поднял впн и соединил Site-to-Site и выставил бы приоритезацию трафика.
2. На втором сервере установил добавочный контроллер домена основного домена, файловый сервер и DHCP.

Дело в том что я думаю что у вас Active Directory, не часто изменяется поэтому трафик будет копеечный и не заметный, канал не просадит. Есть книжка старенькая Зубанова, подход профессионала, там очень хорошо описано все.

почему не использовать Read Only Domain Controller ?

Топикстартер просто упрямо отказывается верить в возможность нормальной репликации в его случае))

а его что, не нужно реплицировать?