none
Active Directory - jméno a struktura domény

    Dotaz

  • Dobrý den,
    naše firma je rozdělena do dvou celků. Jedna část se stará o sebe a o pobočky, druhá dělá to samé.
    Problém je, že máme trochu bordel v AD. První část má AD jen kvůli Exchange (počítače tedy nejsou v AD, ale stále ve stařičkém Netware).  Obě firmy/části mají stejně pojmenovanou doménu "firma.local".

    Je tedy rozhodnuto, že se nastolí řád. V první řadě se přejmenují domény a zmigrují služby. Domény se přejmenují na public tld.
    Nyní je otázka, jaké jsou konkrétní doporučení pro pojmenování a pro řešení domén včetně poboček?
    Je totiž zapotřebí nějak rozumně pojmenovat a prpojit následující :

    firma.eu
    - pobocka1
    - pobocka2
    - pobockaX

    firma.com
    - pobocka1
    - pobocka2
    - pobockaX

    Je myslím jasné, že obě firmy budou mít stále svou doménu a mezi nimi se nastaví trust.

    1) jaké je dnes doporučení pro pojmenování domény? Třeba corp.firma.eu ?
    2) jak zajistit propojení s pobočkami, aby se ušetřily CAL licence, ale bylo to i bezpečné (aby všude nebyli všichni uživatelé, aby když bude nějak kompromitována pobočka, tak byla ovlivněna jen ta)?

    Zatím je představa, že každá firma bude mít jednu doménu napříč všemi pobočkami a mezi firmami bude trust.
    Pojmenování domén má být zkratka_mesta_kde_je_domena.firma.eu
    - např. pr.firma.eu (PaRis)
    Pojmenování serverů pak funkce-zkratka_mesta.zkratka_mesta_kde_je_domena.firma.eu
    - např. dc1-pr.pr.firma.eu (DC v PaRis), fs1-ww.pr.firma.eu (file server ve WarszaWa).

    Další z návrhů je nevázat jméno domény na město, kde firma sídlí, ale dát něco universálního, třeba "corp.firma.com" a "corp.firma.eu"

    V tomto případě však někomu přijde rozlišování domény podle tld moc malé na oko.

    Jak to tedy máte řešeni vy?
    Děkuji za jakékoli informace.

    S pozdravem
    Max Devaine

    18. července 2014 15:36

Odpovědi

  • Vidim jeden "problem". Predpokladajme firmu a deset pobocek. Pokud budete chtit v kazdem meste vlastni domenu = 1 forest  firma.eu s 10 domen s mestox.firma.eu = spooouuusta DC.

     A lidi v Parizi se budou hlasit do jine domeny, nez ve Warsave? Prijde mi to pro 200 lidi jako prilis predimenzovany navrh.

    Pokud se omezime na jedinou domenu, pak staci 2 DC pripadne nekam umistit RODC.

    Tj. fyzicke umisteni bych zakomponoval do jmena (pokud na nem trvate).



    21. července 2014 12:45

Všechny reakce

  • 1. Odpoved neni jednoducha a jednoznacna. Nektere potrebne parametry chybi. Jak rozsahla je sit a kolik je uzivatelu?

    2. Nazev domeny v AD nemusi korelovat s verejnou domenou. Co ocekavate od trustu?

    3. Neni uplne jasne, proc se pouziva pro jednu firmu jednou eu a podruhe com. Mate pobocky v Americe a v Evrope? Je to nutne delit?

    4. Budete pracovat s IPv4 nebo s IPv6 (respoektive s obojim)?

    5. Jakym zpusobem se na siti pracuje? Kazdy ma svuj pocitac, nebo se pocitace sdileji, budou na siti mobilni zarizeni a IoT? (Licence)

    M.

    18. července 2014 18:44
    Moderátor
  • Rád info doplním :
    1. jedna část firmy má cca 200 uživatelů, druhá část o něco míň, poboček připadá ke každé cca 10 v průměru po 20 uživatelích

    2. ano, vím, ale tld ".local" nepovažujeme za drobrý nápad a když public doménu, tak tu, kterou máme koupenou, tam už těch možností moc není. Trust mezi doménema chceme kvůli tomu, jelikož někteří uživatelé potřebují přístup na servery druhé firmy, důvěru nyní nejde nastavit, když mají obě domény shodný název.

    3. jsme oddělený, jak z hlediska správy, tak financí, licencí apod., proto tedy dvě firmy/domény, přes to vlak nejede, každá má koupenou svou doménu, tak jsem do příkladu uvedl, že se domény liší akorát v tld, lokace obou firem je v Evropě

    4. Zatím jedeme ipv4 only, ale pár velkých poskytovatelů už nechce dávat veřejné IP a začínají tak být problémy s ipsec tunelama (fungují, ale je těžký monitoring), co jsou za natem, takže ipv6 se blíží

    5. každý má svůj PC, tak cca 5% uživatelů PC sdílí, mobilních zařízení máme hafo (hlavně telefony a ntb). IOT ne. Jedeme Windows Server OEM + CALy, licence máme pokrytý per pobočka, kdyby se všechno hodilo do domény a sečetly se CALy z poboček, tak by se dalo do budoucna celkem ušetřit, ale zase, nesmí kompromitace pobočky ohrozit ostatní, i kdyby to mělo být dražší řřešení


    Díky
    Zdar Max

    18. července 2014 20:41
  • Vidim jeden "problem". Predpokladajme firmu a deset pobocek. Pokud budete chtit v kazdem meste vlastni domenu = 1 forest  firma.eu s 10 domen s mestox.firma.eu = spooouuusta DC.

     A lidi v Parizi se budou hlasit do jine domeny, nez ve Warsave? Prijde mi to pro 200 lidi jako prilis predimenzovany navrh.

    Pokud se omezime na jedinou domenu, pak staci 2 DC pripadne nekam umistit RODC.

    Tj. fyzicke umisteni bych zakomponoval do jmena (pokud na nem trvate).



    21. července 2014 12:45