none
Active directory planning for branch offices

    Dotaz

  • Helllo,

    at first sorry for my bad english.

    I need to plan server 2008 R2 and active directory setup in our organization. But there is a lot of specificals:

    We have about 12 branch offices. These are very small (about 4 - 40 users) and there is a very short distance between its (about 1-20 kilometers). A few users moving all the time between offices and need working on computers on its. Users have a big profile (from 100MB - 40GB). Every user have main workplace, where need to have store all data in profile. On other offices needn't all data, just local data on office. But I don't wont create a few list of users (in every domain every user) because we have a few centralised servers with mail, web etc. and my future idea is join there server authentication to newly created active directory.

    I don't know if I should setup one "big" domain (for example lan.acme.com) of 12 little domains in one forest (branch1.lan.acme.com, branch2.lan.acme.com..).

    It's very confused I know, so I'm so sorry, but it's very complicated for my specific my ideas i english. So if you have any question, please query me.

     

    sobota 11. června 2011 10:11

Odpovědi

  • - Myslim ze popisovane velikosti spis odpovidaji jedne domene. Rozdelis na OUs
    - z profilu vyjmi co se da pres folder redirection
    - pro maximalne romujici uzivatele je vzdy dobre mit v zaloze terminalovy server
    - DC muze byt VPN server
    - vlastni subnet je vhodny pokud uvazujes o radicich na pobockach - pak to vyuzijes v active directory sites.

     

    VPN ale udelej hardwarovou, pokud jen trochu muzes. Tedy myslim pro pripojeni pobocek, pro road warriors samozrejme potrebujes "dialup" vpn

     

    MP

     

    sobota 11. června 2011 19:44
    Vlastník
  • - V podstate temer vse muze bezet na DC (i TS). Ze to neni doporucene mj,. z bezpecnostniho hlediska neznamena ze to nebude fungovat. Pokud jsi omezen rozpoctem neda se nic delat.

    - Myslim ze GC bude v tvych gigaprofilech naprosto zanedbatelny. RO DC ... muzes/nemusis.

    - policies se nastavuji ZASADNE na OUs, na nic jineho se nastavit nedaji (ok, daji - napr na domenu).

    - zrovna politika hesel je osemetny problem, jeste pred nedavnem byla jedia per domena, nyni (2008R2) se da ale proc?

     

    MP

     

     

     

    neděle 12. června 2011 17:47
    Vlastník
  • pokud dáš jako omezení roaming profilu max do cca 100MB nebo lépe méně tak se to dá, záleží obecně na celkové rychlosti VPN, tzn. rychlosti stažení profilu ze serveru do té konkrétní stanice. u TS je tohle všechno rychlejší.

    u System Center Essentials se hlavně podívej na omezení. nevím jak máš velkou síť, abys nenarazil na nějaké limity, nebo při třeba větší síti tě Essentials jen nebrzdilo při práci.

    System Center není jen o nasazování aplikací. aplikace samotné se navíc dají nasazovat přes GP - pokud máš MSI balíčky.


    michal zobec http://www.michalzobec.cz | http://www.virtualnipc.cz
    pondělí 13. června 2011 19:52

Všechny reakce

  • Mas prostredky na to aby byl v kazde pobocce domenovy radic?

    Profil o velikosti radu GB svedci o tom ze je neco VELMI spatne

     

    MP

    sobota 11. června 2011 11:58
    Vlastník
  • Díky za odpověď, budu teda dál pokračovat česky.

    Stávající stav je právě příšerný. Na každém pracovišti je síť udělaná úplně jinak - někde je server s linuxem a doménou alá samba, někde k tomu ještě linux router, někde je jen jedno z toho, někde není nic a je tam jen nějakej ADSL router, který se stará o fungování sítě, na jednom pracovišti se o to stará dokonce jedno levné malé desktopové Airlive AP, které (protože zásuvky nestačily) je napojeno na 10Mbit (!) Edimax switch. O kabelových rozvodech ani nemluvě..

    No a mým cílem je toto všechno sjednotit do nějakého společného řešení, abych mohl ty počítače nějak spravovat a aby to nějak rozumně fungovalo.

    Ohledně velikosti profilu je to právě tak, že na stávajících linuxech je všechno na serveru a na lokálních počítačích a při každém přihlášení se data nahrávají ze serveru a při odhlašování se nahrají zase zpátky na server (alespoň tak nějak se to tváří, že to funguje, nechci ztrácet čas tím, že to budu do podrobna zkoumat). Celý profil, tedy včetně dokumentů, plochy, AppData se pokaždé kopíruje, tedy u některých, co mají hodně dat v profilu, trvá přihlášení (ve spojistosti se šíleně tahanými kabely a podivným propojením) třeba i 40 minut.. Což je děs. To je právě jedna z věcí, kterou bych potřeboval změnit. Jinak data jsou často způsobena tím, že prostě mají tolik giga na ploše nebo v dokumentech a taky (jelikož používáme Thunderbird) je několik giga v AppData - Thunderbird tam má svůj profil.

    Uživatelé mají povětšinou svůj PC, avšak není to pravidlem. Někteří používají počítačů víc (respektive pokaždý jiný, různý) a některé počítače jsou používány mnoha uživateli, kteří používají pokaždé ten jeden samý PC. A několik uživatelů, kteří cestují mezi pobočkami a potřebují se přihlašovat na několika místech. Data snad ani mít nemusí. Prostě zmatek nad zmatek.

    No a teď do toho zavést pořádek. Chtěl bych nastavit jednotnou Acitve direcotory a teď nevím, jestli jednu doménu, nebo jeden strom s mnoha doménama, propojit pobočky přes VPN a do toho začlenit přihlašování na linuxové servery (mail, Web, intranet), aby se taky ověřovaly oproti AD. Dále snad zavést produkty ze System Center, kvůli snadnější správě, vzdáleným instalacím atd.

    Ještě dodám, že mezi pobočkami jsou standardní ADSL linky - tedy většinou 10Mbit/768kbit s agregací.

    Takže jsem ve stádiu plánování AD. Je možné na všechny pobočky postupně během třeba 2 let přidat server, kde by běžel windows server a byl součástí sítě. Aktuálně mě zajímají otázky:

    • Jak vytvořit doménu - jen jednu, nebo několik menších? S ohledem na požadovaný stav.
    • Jakým způsobem snížit velikost profilů - prozatím jsem chtěl data v profilech uchovávat na serveru a v registrech či politikách při přihlášení použil Redirect folders, tedy přesměroval složky z lokálu (aby se nic nekopírovalo) rovnou na server
    • jak vyřešit přihlašování na různých pobočkách pro ty uživatele, kteří neustále cestují - co je jim možno nabídnout? (profil, který bude i s datama fungovat na více místech - jak se to pak bude přenášet přes WAN - ustojí to ty linky?)
    • může server, který plní funkci DC na konkrétní pobočce, se zároveň starat o VPN?
    • měly by jednotlivé pobočky mít vlastní podsíť. nebo je možné všechny umístit do jedné podsítě 255.0.0.0 ?

    Díky moc za informace, prohledal jsem mnoho článků, bohužel dost z nich je ještě na starý 2000 server a většinou je v nich řešený buď scénář jednoho geografického pracoviště (tedy 1 doména) nebo několika pracovišť vzdálených stovky km, tedy více domén, ale nehrozí, že uživatelé cestují furt z jednoho místa na jiné...

    Rob

    sobota 11. června 2011 16:50
  • - Myslim ze popisovane velikosti spis odpovidaji jedne domene. Rozdelis na OUs
    - z profilu vyjmi co se da pres folder redirection
    - pro maximalne romujici uzivatele je vzdy dobre mit v zaloze terminalovy server
    - DC muze byt VPN server
    - vlastni subnet je vhodny pokud uvazujes o radicich na pobockach - pak to vyuzijes v active directory sites.

     

    VPN ale udelej hardwarovou, pokud jen trochu muzes. Tedy myslim pro pripojeni pobocek, pro road warriors samozrejme potrebujes "dialup" vpn

     

    MP

     

    sobota 11. června 2011 19:44
    Vlastník
  • - ok, udělám jednu doménu, díky za tip

    - supr, sem rád, že moje řešení s folder redirection je uznávaným řešením této situace a že sem nevymyslel něco nestandardního.

    - terminálový server je dobrý nápad, pak by to fungovalo tak, že by se přihlásí na té "cizí" pobočce na nějakého guesta a přes vzdálenou plochu pak na server té konkrétní pobočky? To by pak vlastně mohly fungovat i tiskárny, na té "cizí" pobočce, kde zrovna sedí, když se na ten terminálový server naínstalují ovladače dobře, že? Teda jestli to řešení chápu dobře. Jinak asi není dobrý nápad, aby ten terminálový server, na který se hlásí byl i zároveň DC, co? (snažím se šeřit, kde se dá, peněz málo:( )

    - jinak ještě, mají všechny ty servery na těch pobočkách být stejný, tedy držet celý Global catalog? Nebo z nich mám udělat RODC?

    - jdou nastavit policies na konkrétní OUs? Jde mi například o pravidla hesel a i pak kvůli vzdáleným instalacím (to možná pak budu dělat přes system center essentials)

    -díky moc za tipy, dost mi to pomohlo.

    R

     

     

    sobota 11. června 2011 19:50
  • - V podstate temer vse muze bezet na DC (i TS). Ze to neni doporucene mj,. z bezpecnostniho hlediska neznamena ze to nebude fungovat. Pokud jsi omezen rozpoctem neda se nic delat.

    - Myslim ze GC bude v tvych gigaprofilech naprosto zanedbatelny. RO DC ... muzes/nemusis.

    - policies se nastavuji ZASADNE na OUs, na nic jineho se nastavit nedaji (ok, daji - napr na domenu).

    - zrovna politika hesel je osemetny problem, jeste pred nedavnem byla jedia per domena, nyni (2008R2) se da ale proc?

     

    MP

     

     

     

    neděle 12. června 2011 17:47
    Vlastník
    • ještě přemýšlím, jestli ten terminal server je vůbec potřeba, protože jestli by tam byla VPN, tak v podstatě budou mít useři ten svůj profil všude, nebo si něco neuvědumuju?
    • Gigaprofily jsem říkal, že mě to štve a že to tak nebude, je to tak, protože to prostě předtím nastavil tak můj předchůdce - linuxák - na tý sambě
    • jj, právě sem myslel na doménu, proto jsem se ptal na ty OU
    • hesla byl jen příklad, nevěděl jsem, že zrovna sem vybral taklhe nešťastně. Hlavně mi jde spíš o ty vzdálené instalace, jednotlivé instalačky se budou na OU lišit

    Rob

    neděle 12. června 2011 17:53
  • VPN s rychlosti pod 100Mbit/s symetricky ... spocitej si jak dlouho se bude tahat dejmetomu 1 GB

    MP

     

    pondělí 13. června 2011 15:18
    Vlastník
  • pokud dáš jako omezení roaming profilu max do cca 100MB nebo lépe méně tak se to dá, záleží obecně na celkové rychlosti VPN, tzn. rychlosti stažení profilu ze serveru do té konkrétní stanice. u TS je tohle všechno rychlejší.

    u System Center Essentials se hlavně podívej na omezení. nevím jak máš velkou síť, abys nenarazil na nějaké limity, nebo při třeba větší síti tě Essentials jen nebrzdilo při práci.

    System Center není jen o nasazování aplikací. aplikace samotné se navíc dají nasazovat přes GP - pokud máš MSI balíčky.


    michal zobec http://www.michalzobec.cz | http://www.virtualnipc.cz
    pondělí 13. června 2011 19:52