none
Interligar 2 domínios

    Question

  • Seguinte, hoje tenho um AD para toda empresa...a empresa conta com 2 pontos:

     

    Ponto A(escritório da cidade) onde ficam todos os servidores da empresa(firewall+proxy linux, Ad windows, servidores de backup e etc..)

    Ponto B (Empresa na zona rural que fica a 60km de distância)-Esse ponto, só tenho um servidor que é controlador de domínio do AD do ponto A interligado por uma rede wireless nessa distância.Nesse ponto, é onde recebo o link de internet dedicado.Quem joga internet, controla o proxy e etc.. para as máquinas(ponto A e B) é o servidor linux que fica no ponto A.

    Estamos desligando a rede wireless e vai ser instalado outro link dedicado no ponto A.

     

    Então vou colocar outro servidor linux no ponto B para jogar internet somente no ponto.Vou transformar o servidor do ponto B no AD somente para essa rede.

    Com isso vou ter 2 pontos separados com 2 Ads diferentes.

     

    O que preciso:

     

    1)Interligar esses pontos para os usuários do ponto A acessar o TS do ponto B e o inverso também como se fosse uma rede só.

    2)Que os usuários do ponto A acessem os arquivos do servidor do ponto B e o inverso também mas para isso, acho que vou ter que colocar a relação de confiança entre os domínios correto?

    3)Se o link de internet de um dos pontos falhar por exemplo:

    O ponto A ficou sem internet, então preciso que o AD do ponto A continue dando permissões, servindo arquivos e etc.. para as máquinas do ponto A.Eles só não vão ter acesso  ao ponto B mas o Ad continua funcionando normal.A mesma coisa tem que acontecer com o ponto B e quando o link estiver OK nas 2 pontas os ADs voltam a se comunicar e a rede fica interligada normalmente.

    4)Será que uma banda de 512kpbs em cada ponta FULL daria para interligar esses pontos via VPN por exemplo?


    Fernando Galvão
    Thursday, February 10, 2011 1:37 PM

Answers

  • Fernando, vamos lá, por partes...

    Pergunta:

    "Então no caso a relação de confiança que você passo anteiormente ela é usada em quais casos já que os usuários de uma ponta não estão na outra?em caso ela é aplicada?

    Qual o benefício que ela traz?"

    R: Nos artigos vemos alguns exemplos, mas podemos imaginar uma fusão ou incorporação entre duas empresas. Até o momento em que os ambientes sejam totalmente migrados (o que a depender do tamanho das empresas pode demorar muito tempo) os recursos de um domínio precisarão ser acessador por usuários do outro domínio. Nesse caso poderia ser criada uma relação de confiança entre florestas . Ou imagine que duas universidades fecham um acordo para projetos de pesquisa científica, da mesma forma poderia ser criada uma relação de confiança entre florestas para que recursos de um domínio pudesse ser acessado por usuários de outro domínio.

    Pergunta:

    "A solução que você que é ideal seria colocar um DC adicional na outra ponta e replicar o AD?"

    R: Sim! Pelo que entendi do seu ambiente e sua necessidade essa seria, na minha visão, a melhor solução.

    Pergunta:

    "se for essa, no caso do master da ponta A ficar fora do ar(a vpn cair) vou conseguir criar um usuário, alterar uma política, alterar permissões do compartilhamento, acesso as pastas compartilhadas mesmo que o dc adicional seja reiniciado e/ou desligado por uma queda de energia e quando ele voltar os usuários conseguiram logar nas suas pastas compartilhadas e etc...? "

    R: Sim e Não! Se o servidor A que detém as FSMO ficar fora algumas tarefas serão afetadas de imediato, mas outras não.

    Você conseguirá criar objetos porque seu servidor B já recebeu do servidor A (Que detém a FSMO RID Master) um range de IDs para criar objetos. Quando o servidor A voltar esse objeto será replicado para ele.

    Alterar uma política não! Porque para alterar ou criar uma politica o servidor que detém a FSMO de PDC Emulator precisar ser contactado, pois ele é responsável por essa tarefa e é nele que são criadas as políticas. Se conseguir terá problemas de versão da GPO quando o servidor A retornar. Mas já deve apresentar erro ao tentar criar.

    Alterar permissões de compartilhamento sim, desde que seja numa pasta que esteja no servidor B ou em outro servidor nesse site, já que não conseguirá acessar a outra rede.

    Pergunta:

    "quando o master voltar ao ar tudo será replicado para ele?"

    R: SIM! Esse é o conceito de multi-master, onde todos os DCs são atualizáveis e a alteração pode ser realizada em qualquer um deles. (salvo auelas alterações dependentes de uma FSMO que não disponível como citei)

    "tenho que pensar em todos problemas possíveis pois preciso que as redes fiquem funcionando independente no caso de uma perda de conexão pela VPN"

    Cara funcionar 100% nesse cenário que você apresentou não há como! Se a VPN (que pelo que entendi é a única conexão entre as redes A e B) cair você terá problemas conforme supracitado além de não conseguir acessar recursos dependetes desse link, mas se precisa dos mesmos usuários tanto na rede A quanto na rede B não há outra implementação que atenda sua necessidade.

    Se persistirem dúvidas post para tentarmos lhe ajudar.

    Se lhe foi útil, vote!


    Elmo Baraúna - FSCTP / MCP / MCDST / MCSA / MCT
    Saturday, February 19, 2011 2:29 AM

All replies

  • Fernando, minha dica é você igrar parar 2008 R2 e usar um dos dominios como RODC. Veja o link se pode ajudar sobre todas informações do RODC.

     

    http://technet.microsoft.com/en-us/library/cc771744%28WS.10%29.aspx

    Thursday, February 10, 2011 1:46 PM
  • Infelizmente vou ter inicialmente com o 2003 por questões de custos.
    Fernando Galvão
    Thursday, February 10, 2011 2:06 PM
  • Fernando,

    Não vejo problemas. Como você deseja domínios diferentes não da para implementar o RODC do 2008 como o colega Jose sugeriu. Para isso teria que ser o mesmo domínio.

    1) Para o acesso via TS você terá que criar a relação de confiança entre domínios e conceder as devidas permissões no servidor de TS. Você não falou se os domínios serão da mesma floresta se serão de florestas diferentes.

    2) Correto! Para esse ponto, você também terá que configurar a relação de confiança entre esses domínios.

    Nesse artigo você pode ter uma visão geral sobre os diversos tipos de relação de confiança.

    http://technet.microsoft.com/pt-br/library/cc736874%28WS.10%29.aspx

    3) Sim! Vai funcionar dessa forma!

    4) Essa largura de banda é inicialmente suficiente. Digo inicialmente porque não tenho mensurado, e acredito que será muito dificil mensurar isso, o tamanho e a quantidade de arquivos que os usuários irão acessar na outra rede.

    Qualquer dúvida remanescente post para tentarmos lhe ajudar.

    Se foi útil, vote!

    ________________________________________
    Elmo Baraúna (MCP - MCDST - MCSA - MCT)

    Thursday, February 10, 2011 2:10 PM
  • Certo..vou dar uma lida no artigo.

     

    Mas uma dúvida, quanto a banda...queria usar essa banda somente para interligar os domínio e os usuários não podem usar a internet dessa banda.

     

    Vou fazer um QoS limitando 512k de cada link para Vpn mas isso impossibilita dos usuarios navegaram usando essa banda? porque quero essa banda somente para conexão entre os 2 servers para fazer a relação de domínio.

     

    como cada link vou ter banda sobrando, ai a parti delas os usuários vão poder navegar cada um usando o gateway local.

     

    Topologia mais ou menos:

     

    Ponto A:

     

    link dedicado->linux gateway+proxy+firewakll+Vpn ->servidor windows AD->máquinas clientes

    Ponto B: linux gateway+proxy+firewakll+Vpn->servidor windows A->máquinas clientes.

     

    Para limitar a banda e não deixar gargalo, prefeiro que os usuários não tenham acesso as máquinas dos outros usuário ou impressoras compartilhadas pois a banda de 512k não iria aguentar.Queria somente fazer a relação de confiança, e que o acesso ao TS fosse local...dentro do TS como a rede tem 1000Mbps ai sim eles poderiam abrir pastas, imprimir e etc...

     

    Isso pode ser feito ou partir do momento que fecho uma VPN as 2 redes se tornam uma só e os usuários do ponto A podem acessar compartilhamento das máquinas dos usuários do ponto B? deu para entender? queria centralizar o acesso somente ao TS e que de lá, eles tivessem acesso ao restante da rede com relação de confiança para eu poder ter os mesmos usuários nos 2 pontos.

     

     

     

    Link dedicado->


    Fernando Galvão
    Friday, February 11, 2011 11:50 AM
  • Fernando,

    Se eu endtendi corretamente, você pode fazer dessa forma sim. Mas você terá que acrecentar regras no seu firewall para que somente o endereço IP do servidor que será o servidor de TS tenha acesso a outra rede. Dai a partir do servidor de TS (que estará na outra rede pelo que entendi) os usuários poderão acessar os recursos da outra rede de forma local, transmitindo para os usuários apenas os frames, que não deixa de gerar tráfego, porém menor que uma conexão normal acredito eu. Mas vale avaliar essa solução para não ter surpresas desagradáveis.

    ________________________________________
    Elmo Baraúna (MCP - MCDST - MCSA - MCT)

     

    Saturday, February 12, 2011 4:20 PM
  • Dei uma pesquisada e descobri  o seguinte:

     

    1)Ao interligar o linux do ponto A ao linux do ponto B via VPN..somente o linux do ponto B terá acesso a toda rede do ponto A.Com isso o AD do ponto B não vai achar a rede do ponto A, logo,  não terei com fazer a relação de confiança entre os dominios.

    2)Pelo o que entendi, preciso incialmente deixar as 2 redes se comunicando por completo para depois limitar o tráfego das outras máquinas deixando somente o TS e para isso, depois de os 2 linux conectados via vpn, será preciso criar rotas para as 2 faixas de ip nos 2 pontos...se fosse por exemplo o windows AD do ponto B(cliente vpn) conectando no windows AD do ponto A(servidor vpn), seria a mesma situação: Somente o windows AD do ponto B teria acesso a rede do ponto A com isso ele até poderia achar e fazer a relação de confiança mas como essa relação será passada para as máquinas cliente do ponbo B visto que elas não tem acesso a rede do ponto A?? então realmente terá que ser criada todas.

    3)depois de criada as rotas, as 2 redes se comunicando então farei a relação de confiança, com isso os usuários do 2 Ads serão os mesmos?Quando for removido um usuário do domínio do ponto B ele será removido do AD do ponto A e vice versa?

    Resumindo, eu quero ter os mesmos usuários, criar políticas(GPO) e que seja replicado tudo isso para os 2 ADs e quando houver algum problema na internet que os pontos fiquem sem comunicação, eles funcionem independente e quando por exemplo eu criar um usuário no ponto B e a rede VPN voltar, a relação de confiança será feita novamente e o usuário criado passará a aparecer nos 2 domínios. 

     


    Fernando Galvão
    Saturday, February 12, 2011 6:33 PM
  • Fernando,

    Nesse caso muda a questão. Para ter o que você citou no resumo você terá UM único domínio com um DC em cada local (site). Dessa forma você conseguirá atingir os objetivos descritos no resumo - "eu quero ter os mesmos usuários, criar políticas(GPO) e que seja replicado tudo isso para os 2 ADs" - Para atender esse objetivo você terá que ter um mesmo dimínio nos dois sites.

    Nos artigos abaixo você poderá ter uma idéia melhor de como montar esse novo DC em outro site.

    Criando um controlador de domínio adicional

    http://technet.microsoft.com/pt-br/library/cc738032%28WS.10%29.aspx

    Serviços e Sites do Active Directory - Visão geral e configuração
    http://technet.microsoft.com/pt-br/library/cc730868%28WS.10%29.aspx

    Replicação do Active Directory
    http://technet.microsoft.com/pt-br/library/cc716453.aspx

    Noções básicas sobre a replicação entre sites
    http://technet.microsoft.com/pt-br/library/cc771251.aspx

    Configure o novo DC (do site remoto) como um servidor de catálogo Global.

    Configurar um controlador de domínio como um servidor de catálogo global
    http://technet.microsoft.com/pt-br/library/cc781329%28WS.10%29.aspx

     

    Caso tenha dúvidas de como criar / configurar esses DC em locais diferentes post para que possamos lhe ajudar.

     

     

     


    Elmo Baraúna - FSCTP / MCP / MCDST / MCSA / MCT
    Monday, February 14, 2011 4:57 PM
  • Tá blz... vou dar uma lida com calma.

     

    Então no caso a relação de confiança que você passo anteiormente ela é usada em quais casos já que os usuários de uma ponta não estão na outra?em caso ela é aplicada?

    Qual o benefício que ela traz?

    A solução que você que é ideal seria colocar um DC adicional na outra ponta e replicar o AD? se for essa, no caso do master da ponta A ficar fora do ar(a vpn cair) vou conseguir criar um usuário, alterar uma política, alterar permissões do compartilhamento, acesso as pastas compartilhadas mesmo que o dc adicional seja reiniciado e/ou desligado por uma queda de energia e quando ele voltar os usuários conseguiram logar nas suas pastas compartilhadas e etc...? e quando o master voltar ao ar tudo será replicado para ele? tenho que pensar em todos problemas possíveis pois preciso que as redes fiquem funcionando independente no caso de uma perda de conexão pela VPN entende? se não me engando quando montei um DC adicional dentro da empresa ele só segurava o AD do master até não ser reiniciado e eu não podia criar usuário e etc...

    Sobre a VPN, se eu criar um server vpn no servidor windows da ponta A ao invés do linux e o cliente no servidor windows na ponta B é feito um túnel e as redes se enxergam por completo(máquinas da ponta A tem acesso as máquinas da ponta B e o inverso também) ou somente a máquina  cliente windows server vai ter acesso a rede toda da ponta B mas a rede da ponta B só vai ter acesso a máquina windows vpn da ponta B? 

    desde já agradeço


    Fernando Galvão
    Tuesday, February 15, 2011 7:19 PM
  • Fernando, vamos lá, por partes...

    Pergunta:

    "Então no caso a relação de confiança que você passo anteiormente ela é usada em quais casos já que os usuários de uma ponta não estão na outra?em caso ela é aplicada?

    Qual o benefício que ela traz?"

    R: Nos artigos vemos alguns exemplos, mas podemos imaginar uma fusão ou incorporação entre duas empresas. Até o momento em que os ambientes sejam totalmente migrados (o que a depender do tamanho das empresas pode demorar muito tempo) os recursos de um domínio precisarão ser acessador por usuários do outro domínio. Nesse caso poderia ser criada uma relação de confiança entre florestas . Ou imagine que duas universidades fecham um acordo para projetos de pesquisa científica, da mesma forma poderia ser criada uma relação de confiança entre florestas para que recursos de um domínio pudesse ser acessado por usuários de outro domínio.

    Pergunta:

    "A solução que você que é ideal seria colocar um DC adicional na outra ponta e replicar o AD?"

    R: Sim! Pelo que entendi do seu ambiente e sua necessidade essa seria, na minha visão, a melhor solução.

    Pergunta:

    "se for essa, no caso do master da ponta A ficar fora do ar(a vpn cair) vou conseguir criar um usuário, alterar uma política, alterar permissões do compartilhamento, acesso as pastas compartilhadas mesmo que o dc adicional seja reiniciado e/ou desligado por uma queda de energia e quando ele voltar os usuários conseguiram logar nas suas pastas compartilhadas e etc...? "

    R: Sim e Não! Se o servidor A que detém as FSMO ficar fora algumas tarefas serão afetadas de imediato, mas outras não.

    Você conseguirá criar objetos porque seu servidor B já recebeu do servidor A (Que detém a FSMO RID Master) um range de IDs para criar objetos. Quando o servidor A voltar esse objeto será replicado para ele.

    Alterar uma política não! Porque para alterar ou criar uma politica o servidor que detém a FSMO de PDC Emulator precisar ser contactado, pois ele é responsável por essa tarefa e é nele que são criadas as políticas. Se conseguir terá problemas de versão da GPO quando o servidor A retornar. Mas já deve apresentar erro ao tentar criar.

    Alterar permissões de compartilhamento sim, desde que seja numa pasta que esteja no servidor B ou em outro servidor nesse site, já que não conseguirá acessar a outra rede.

    Pergunta:

    "quando o master voltar ao ar tudo será replicado para ele?"

    R: SIM! Esse é o conceito de multi-master, onde todos os DCs são atualizáveis e a alteração pode ser realizada em qualquer um deles. (salvo auelas alterações dependentes de uma FSMO que não disponível como citei)

    "tenho que pensar em todos problemas possíveis pois preciso que as redes fiquem funcionando independente no caso de uma perda de conexão pela VPN"

    Cara funcionar 100% nesse cenário que você apresentou não há como! Se a VPN (que pelo que entendi é a única conexão entre as redes A e B) cair você terá problemas conforme supracitado além de não conseguir acessar recursos dependetes desse link, mas se precisa dos mesmos usuários tanto na rede A quanto na rede B não há outra implementação que atenda sua necessidade.

    Se persistirem dúvidas post para tentarmos lhe ajudar.

    Se lhe foi útil, vote!


    Elmo Baraúna - FSCTP / MCP / MCDST / MCSA / MCT
    Saturday, February 19, 2011 2:29 AM
  • é..então ter um dc adicional na ponta B não vai resolver meu problema no caso de falha.

     

    Estou pensando na relação de confiança...Quais recursos os da ponta A teria na ponta B? um usuário da ponta A(dominioA.local) teria acesso a pastas compartilhadas da ponta B(dominioB.local) podendo eu alterar as permissões e etc...?

     

    preciso que os usuários da ponta A acessem compartilhamentos da ponta B e vice-versa  com suas devidas permissões e o restante como GPO não sei se é possível.

     

    Desde já agradeço pela ajuda e paciência.


    Fernando Galvão
    Wednesday, February 23, 2011 10:46 PM