Настройка контроллеров домена (AD, W2003)

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Buktop
Junior member
Сообщения: 9
Зарегистрирован: 08 ноя 2006, 01:01

Настройка контроллеров домена (AD, W2003)

Сообщение Buktop » 01 дек 2006, 01:24

Добрый вечер. Не просвятите по следующему вопросу:

Имеем две организации в одном здании. Организации "родственные" (одно руководство). Но при этом с абсолютно различными сферами бизнеса и практически не пересекающимися бизнес процессами. Но сетевое оборудование свое у всех. У одной организации свои сервера, у второй свои. Сеть и интернет общие, часть баз(гаранты всякие) тоже. На данный момент пользователи второй организации просто введены в домен первой. А свой сервак используют как файловый, базы и тд. Но хочется красиво :) Хочется чтобы у нас был свой домен company1.local у них свой (сервер у них есть). При этом хочется чтобы сервер company1 был вторичным контроллером домена второй организации, и наоборот. Ессно имея два разных домена, разных пользователей в доменах и тд. А то к примеру завтра разъедемся по разным офисам, просто развезти оборудование не сможем, придется там шаманить. Как вариант завести всех в один домен, их сервак поставить как вторичник и в случае разъездов просто повысить его до праймари. Но опять таки хочется красиво :) Как это реализуется. Реально ли настроить два равноправных домена, company1.local и company2.local на разных серверах с взаимным резервированием? Соотв-нно и DNS так же развести. И что в данной ситуации делать с DHCP (хотя это то как раз не самое страшное, настроим на втором серваке DHCP и вырубим. Хотя может можно как то и это покрасивее развести?

Где то так :) Если что не сумел объяснить - спрашивайте - уточню.

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: Настройка контроллеров домена (AD, W2003)

Сообщение Stranger03 » 01 дек 2006, 11:11

Лучше не городите огород, а настройте доверительные отношения между доменами.

Алексей Соболев
Advanced member
Сообщения: 97
Зарегистрирован: 09 авг 2006, 12:21
Откуда: Москва
Контактная информация:

Сообщение Алексей Соболев » 10 дек 2006, 16:49

Можно и в одном домене сделать: имея постоянный канал связи (если не локалка, а по xDSL, то разнести контроллеры по разным сайтам - тогда пакеты репликации будет сжиматься) можно завести два контроллера домена (оба, конечно, должны содержать Global Catalog), компы и юзеров разделить по разным organization units и настроить политики, права, адресацию (DHCP) соответственно разным конторам, только админам второй конторы придется давать права на администрирование вашего домена...

При разъезде что вы сделаете: разрывается канал, по которому идет репликация, с помощью NTDSUTIL из каждой сетки удаляется "чужой" контроллер, во второй организации надо будет произвести захват ролей (PDC, Schema Master и все остальные), в первой ничего делать не надо.
В двух новых сетях опять же рекомендую поднять по резервному контроллеру.

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Сообщение Stranger03 » 11 дек 2006, 10:23

Алексей Соболев писал(а):В двух новых сетях опять же рекомендую поднять по резервному контроллеру.
А можно не городить этот огород и обойтись простыми доверительными отношениями. Утилита ntdsutil не для слабонервных.

Алексей Соболев
Advanced member
Сообщения: 97
Зарегистрирован: 09 авг 2006, 12:21
Откуда: Москва
Контактная информация:

Сообщение Алексей Соболев » 11 дек 2006, 10:59

это лучше всего, но "пациент должен знать все варианты лечения" :)

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Сообщение Stranger03 » 11 дек 2006, 11:40

Алексей Соболев писал(а):это лучше всего, но "пациент должен знать все варианты лечения" :)
Возможно, но подумайте вот о чем, вы посоветуете "пациенту" воспользоваться некой софтиной. Если в софтине две кнопки "начать" и "отменить", хорошо. Но если с помощью этой софтины (читать ntdsutil) можно очень легко порушить домен за пару минут, то каких слов в ваш адрес вы только не услышите, :twisted:.
Хотя.... решение все равно на "пациентом". Ему же в конце-то концов работать головой.

Алексей Соболев
Advanced member
Сообщения: 97
Зарегистрирован: 09 авг 2006, 12:21
Откуда: Москва
Контактная информация:

Сообщение Алексей Соболев » 11 дек 2006, 20:14

да, решение не вполне тривиальное, но раз уж такая ситуация уже сложилась (две конторы в одном домене), то из нее можно выйти предложенным вариантом с минимумом телодвижений и при этом:
подразумевается, что человек не юрист, не бухгалтер, не программер, а видозный админ...
подразумевается, что делается бэкап...
подразумевается, что человек сначала прочтет инструкцию, прежде, чем пользоваться опасной утилитой...
но это только подразумевается :)

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Сообщение Stranger03 » 12 дек 2006, 13:28

Алексей Соболев писал(а):да, решение не вполне тривиальное, но
Знаете сколько раз мы предупреждали наших заказчиков, чтобы при возникновании проблем они сначала позвонили нам? А уж потом принимались курочить сервера. Ха, не все так прозаично даже у нас, в центральных городах.

Ответить

Вернуться в «Серверы - ПО, Windows система, приложения.»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 17 гостей