дополнительный домаин контроллер

Модераторы: Trinity admin`s, Free-lance moderator`s

gnome
Advanced member
Сообщения: 106
Зарегистрирован: 26 май 2006, 09:39
Откуда: Баку

дополнительный домаин контроллер

Сообщение gnome » 27 дек 2010, 15:25

на работе есть главный офис и филиалы. в главном офисе работаетдомаин контроллер. и филиалы подключены главному офису по 2 мбит адсл каналам. планирую подключать компютеры в филиалах в домаин в главном офисе. есть одно проблема, это свзяь. очень часто связь между филиалом и главном офисе может оборватся. тогда как пользователи в филиалах смогут логнится в домаин. есть ли какое нибуть решение?

Аватара пользователя
diz
Advanced member
Сообщения: 1189
Зарегистрирован: 12 янв 2009, 12:09
Откуда: Пермь

Re: дополнительный домаин контроллер

Сообщение diz » 27 дек 2010, 19:39

Для этого есть сайты, а так же read-only domain controller.

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: дополнительный домаин контроллер

Сообщение Stranger03 » 27 дек 2010, 20:01

"gnome"
В филиалы поставьте по простенькому серверу, введите их в домен, сделайте контроллерами домена. Тогда при пропадании связи с центральным офисом авторизация будет проходить через эти сервера. Но, при организации такой структуры минимум раз в месяц проводите проверки целостности АД через утилиты dsdiag как минимум. Бекап основного контроллера обязателен.
С уважением Геннадий
ICQ 116164373
eburg@trinitygroup.ru

gnome
Advanced member
Сообщения: 106
Зарегистрирован: 26 май 2006, 09:39
Откуда: Баку

Re: дополнительный домаин контроллер

Сообщение gnome » 28 дек 2010, 08:12

Stranger03 писал(а):"gnome"
В филиалы поставьте по простенькому серверу, введите их в домен, сделайте контроллерами домена. Тогда при пропадании связи с центральным офисом авторизация будет проходить через эти сервера. Но, при организации такой структуры минимум раз в месяц проводите проверки целостности АД через утилиты dsdiag как минимум. Бекап основного контроллера обязателен.
Вы хотите сказать что, надо только поднаять дополнительный домаин контроллер в сушествуешем домене? смысле в втором домене не надо настраивать dns, он просто возмет от основного. если так тогда думаю что, если primary domain controller-у не добратся, тогда secondary domain controller не будеть синхронизовать пользователей, или изменять их настройки. насколько я знаю, secondary domain controller берет все ресурсы от primary domain controller.

gnome
Advanced member
Сообщения: 106
Зарегистрирован: 26 май 2006, 09:39
Откуда: Баку

Re: дополнительный домаин контроллер

Сообщение gnome » 28 дек 2010, 08:14

diz писал(а):Для этого есть сайты, а так же read-only domain controller.
сайты не понадобится, потому что все обекты маршрутировались между собой. то эсть, в сетевой окружении могу увидеть все компютеры и филиалы и главный офис.

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: дополнительный домаин контроллер

Сообщение Stranger03 » 28 дек 2010, 08:21

gnome писал(а):Вы хотите сказать что, надо только поднаять дополнительный домаин контроллер в сушествуешем домене? смысле в втором домене не надо настраивать dns, он просто возмет от основного. если так тогда думаю что, если primary domain controller-у не добратся, тогда secondary domain controller не будеть синхронизовать пользователей, или изменять их настройки. насколько я знаю, secondary domain controller берет все ресурсы от primary domain controller.
Примари и Секондари домен контроллер умер вместе с доменной структурой ВинНТ. Сейчас все контроллеры домена равноправны, но есть понятие держателя ролей. Их всего пять (почитать на сайте МС). Для того, чтобы ваша удаленная сеть не умирала вместе с каналом, надо там поставить серверок, сделать его контроллером домена, поднять там резервный ДНС сервер. А вот ДНС сервер как раз может быть секондари. Для упрощения структуры лесов можно не делать, все в одном.
P.S. кстати такая схема позволит вам в любой момент восстановить работоспособность АД, даже если останется всего один сервер из 10-ти.
С уважением Геннадий
ICQ 116164373
eburg@trinitygroup.ru

Аватара пользователя
diz
Advanced member
Сообщения: 1189
Зарегистрирован: 12 янв 2009, 12:09
Откуда: Пермь

Re: дополнительный домаин контроллер

Сообщение diz » 28 дек 2010, 08:21

Другим способом деления AD являются «сайты», которые являются способом физической (а не логической) группировки на основе подсетей IP. Сайты подразделяются на имеющие подключения по низкоскоростным каналам (например по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например через локальную сеть). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При проектировании Active Directory важно учитывать сетевой трафик, создающийся при синхронизации данных AD между сайтами.
http://ru.wikipedia.org/wiki/Active_Directory

Аватара пользователя
diz
Advanced member
Сообщения: 1189
Зарегистрирован: 12 янв 2009, 12:09
Откуда: Пермь

Re: дополнительный домаин контроллер

Сообщение diz » 28 дек 2010, 08:26

Stranger03 писал(а):Сейчас все контроллеры домена равноправны, но есть понятие держателя ролей. Их всего пять (почитать на сайте МС).
Мы на собеседовании тех, кто заявляет знание AD просим перечислить FSMO роли. Этот вопрос убивает :o Были случаи, что даже сертифицированные "специалисты" по AD 2003 не понимали, о чем речь.

gnome
Advanced member
Сообщения: 106
Зарегистрирован: 26 май 2006, 09:39
Откуда: Баку

Re: дополнительный домаин контроллер

Сообщение gnome » 28 дек 2010, 08:49

Stranger03 писал(а): Примари и Секондари домен контроллер умер вместе с доменной структурой ВинНТ. Сейчас все контроллеры домена равноправны, но есть понятие держателя ролей. Их всего пять (почитать на сайте МС). Для того, чтобы ваша удаленная сеть не умирала вместе с каналом, надо там поставить серверок, сделать его контроллером домена, поднять там резервный ДНС сервер. А вот ДНС сервер как раз может быть секондари. Для упрощения структуры лесов можно не делать, все в одном.
P.S. кстати такая схема позволит вам в любой момент восстановить работоспособность АД, даже если останется всего один сервер из 10-ти.
Да. именно понятие держателя ролей - это важная часть. в моем случае, план такой:

1. основной домаин контроллер и днс сервер находится в главном офисе.

2. в филиалах поднять домаин контроллер в сушествуешем домене (чтобы если при потери связи с главном офисом там локальные пользователи могли логинится). Но при этом днс сервер только одинь должен быть, который находится в главном офи се. http://msdn.microsoft.com/en-us/library ... s.10).aspx -то этой же доку.

Скажите, таким методом получется?

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: дополнительный домаин контроллер

Сообщение Stranger03 » 28 дек 2010, 09:52

gnome писал(а):Но при этом днс сервер только одинь должен быть, который находится в главном офисе.
резервный ДНС сервер должен быть, ибо:
1. при включении станции идет резолвинг, если днс не доступен, авторизации не будет
2. даже если станция уже включилась, то днс адреса сохраняются в кеше к течении какого-то времени (не помню точно). при потере днс-а с авторизацией на доступ к ресурсам также могут возникнуть серьезные проблемы.
Ну а резервный ДНС не требует безумства настроек и каких-то мегаресурсов.
С уважением Геннадий
ICQ 116164373
eburg@trinitygroup.ru

gnome
Advanced member
Сообщения: 106
Зарегистрирован: 26 май 2006, 09:39
Откуда: Баку

Re: дополнительный домаин контроллер

Сообщение gnome » 28 дек 2010, 09:54

Stranger03 писал(а):
gnome писал(а):Но при этом днс сервер только одинь должен быть, который находится в главном офисе.
резервный ДНС сервер должен быть, ибо:
1. при включении станции идет резолвинг, если днс не доступен, авторизации не будет
2. даже если станция уже включилась, то днс адреса сохраняются в кеше к течении какого-то времени (не помню точно). при потере днс-а с авторизацией на доступ к ресурсам также могут возникнуть серьезные проблемы.
Ну а резервный ДНС не требует безумства настроек и каких-то мегаресурсов.
Ну а резервный ДНС не требует безумства настроек и каких-то мегаресурсов - тогда скажите, как можно настроить такой вариант. документация есть?

просто дело в том что, при отключении филиала от главного офиса, пользователи временно могли логинится в домаин контроллер в филиале, а при востановлении связи прошла синхронизиция изминений

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: дополнительный домаин контроллер

Сообщение Stranger03 » 28 дек 2010, 10:26

С уважением Геннадий
ICQ 116164373
eburg@trinitygroup.ru

gnome
Advanced member
Сообщения: 106
Зарегистрирован: 26 май 2006, 09:39
Откуда: Баку

Re: дополнительный домаин контроллер

Сообщение gnome » 28 дек 2010, 10:28

спасибо за коммерческий совет. но мне не надо книжки покупать а настроить.

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: дополнительный домаин контроллер

Сообщение Stranger03 » 28 дек 2010, 10:33

gnome писал(а):спасибо за коммерческий совет. но мне не надо книжки покупать а настроить.
Если вы сможете настроить без книжек - настраивайте. Если не сможете, купите книжку, почитайте. Нужен ответ - задайте конкретный вопрос.
С уважением Геннадий
ICQ 116164373
eburg@trinitygroup.ru

gnome
Advanced member
Сообщения: 106
Зарегистрирован: 26 май 2006, 09:39
Откуда: Баку

Re: дополнительный домаин контроллер

Сообщение gnome » 28 дек 2010, 10:39

Stranger03 писал(а): Если вы сможете настроить без книжек - настраивайте. Если не сможете, купите книжку, почитайте. Нужен ответ - задайте конкретный вопрос.
конкретно:

При отключении филиала от главного офиса, пользователи там временно могли логинится в домаин контроллер в филиале, а при востановлении связи прошла полная синхронизиция изминений с главном контроллером домена.

это как можно настроить?

Ответить

Вернуться в «Серверы - ПО, Windows система, приложения.»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 13 гостей