locked
Infra estrutura dica... RRS feed

  • Pergunta

  • E ai galera,

    é o seguinte.
    Tenho um dominio na matriz, gostaria de saber qual seria a melhor pratica para montar uma infra estrutura em 2 filiais.
    Tenho windows server 2003.
    é melhor colocar um servidor de dominio filho nas filiais ou elevar o nivel funcional do dominio e o sistema para 2008 e
    colocar um RODC em cada filial??? no caso seria 1 matriz e 2 filiais.
    o futuro é só aumentar as filiais... tipo o q seria mais facil para administrar e com pouca dor de cabeça;
    gostaria da sugestao de vcs....

    obrigado
    sábado, 3 de julho de 2010 21:01

Respostas

  • Olá Iêso,

    Antes de sugerir algo, algumas questões:

    Quantos usuários vão fazer logon na rede?
    Existirá um servidor de arquivos em cada filial?
    Haverá políticas de senha diferentes entre as filiais?

    Anyway, recomendo que faça um único domínio, com um controlador de domínio em cada filial. O principal motivo desse(s) DC adicional(is) é garantir que os usuários possam se autenticar mesmo em caso de falha no link entre as filiais, além de agilizar o processo de login.

    Trabalhar com nível funcional Windows Server 2008, o que te garante os seguintes benefícios:
    • Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows Server 2003, além destes:
    • Suporte à Replicação do Sistema de Arquivos Distribuídos para SYSVOL, o que fornece uma replicação mais robusta e detalhada do conteúdo de SYSVOL.
    • Serviços de Criptografia Avançados (AES 128 e 256), suporte ao protocolo de autenticação Kerberos.
    • Últimas Informações de Logon Interativo, que mostram o horário do último logon interativo bem-sucedido de um usuário, a estação de trabalho que o originou e as falhas nas tentativas de logon desde o último logon.
    • Diretivas de senha refinadas, que possibilitam que as diretivas de senha e de bloqueio de conta sejam especificadas para usuários e grupos de segurança globais em um domínio.

    Se você tivesse um único DC, quando o link estivesse down, os usuários conseguiriam fazer logon na máquina, porém, sem ser autenticados pelo DC. Consequentemente, por questões de segurança, os usuários teriam problemas ao acessar pastas da rede que não fossem permitidas para o grupo Todos. Por isso considero o investimento em um novo DC importante.

    Leia todos os subitens do Guia passo a passo para controladores de domínio somente leitura (RODC), caso tenha interesse em implantar: http://technet.microsoft.com/pt-br/library/cc772234(WS.10).aspx. Eu particularmente sugiro que crie DCs adicionais.


    Caso a reposta tenha resolvido seu problema, por favor marque esse post como "Resposta" para que esse Thread se encerre. E se lhe foi útil também marque como "Votar como Útil". Caso não tenha resolvido, sinta-se a vontade para fazer novas perguntas.

    Espero ter ajudado.


    Atenciosamente,

    Caio Vilas Boas
    Microsoft Certified Trainer
    www.caiovilas.com
    - Blog
    • Sugerido como Resposta Caio Vilas domingo, 4 de julho de 2010 04:29
    • Não Sugerido como Resposta Iêso Dias domingo, 4 de julho de 2010 15:59
    • Sugerido como Resposta Caio Vilas domingo, 4 de julho de 2010 16:11
    • Marcado como Resposta Iêso Dias domingo, 4 de julho de 2010 16:14
    domingo, 4 de julho de 2010 04:28
  • Olá Iêso,

    A diferença de um DC adicional para um RODC é que quando o DC Adicional é criado, todo o Active Directory é replicado para ele, enquanto o RODC também recebe todo o Active Directory, exceto as senhas das contas de usuário. Quando um usuário vai fazer logon num site que possui um DC adicional, o processo de logon envolve somente o DC adicional em questão, e a workstation. Quando um usuário vai fazer logon pela primeira vez no domínio num site que possui um RODC, a autenticação será feita pelo DC (o da Matriz), e o RODC vai armazenar em cache a senha daquele usuário, agilizando um futuro processo de logon.

    Com base nisso, cabe a você decidir o que é melhor para sua empresa: Um RODC ou um DC adicional em cada filial.

    Também é interessante pensar numa sincronização dessa storage com outra nas filiais, principalmente se os arquivos acessados das filiais forem grandes. Pense no desempenho dos links, na disponibilidade, etc.

    Como terão uma única política de senha, o ideal ao meu ver é um único domínio mesmo.


    Caso a reposta tenha resolvido seu problema, por favor marque esse post como "Resposta" para que esse Thread se encerre. E se lhe foi útil também marque como "Votar como Útil". Caso não tenha resolvido, sinta-se a vontade para fazer novas perguntas.

    Espero ter ajudado.
    Atenciosamente,

    Caio Vilas Boas
    Microsoft Certified Trainer
    www.caiovilas.com
    - Blog
    • Sugerido como Resposta Caio Vilas domingo, 4 de julho de 2010 16:10
    • Marcado como Resposta Iêso Dias domingo, 4 de julho de 2010 16:13
    domingo, 4 de julho de 2010 16:10

Todas as Respostas

  • Olá Iêso,

    Antes de sugerir algo, algumas questões:

    Quantos usuários vão fazer logon na rede?
    Existirá um servidor de arquivos em cada filial?
    Haverá políticas de senha diferentes entre as filiais?

    Anyway, recomendo que faça um único domínio, com um controlador de domínio em cada filial. O principal motivo desse(s) DC adicional(is) é garantir que os usuários possam se autenticar mesmo em caso de falha no link entre as filiais, além de agilizar o processo de login.

    Trabalhar com nível funcional Windows Server 2008, o que te garante os seguintes benefícios:
    • Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows Server 2003, além destes:
    • Suporte à Replicação do Sistema de Arquivos Distribuídos para SYSVOL, o que fornece uma replicação mais robusta e detalhada do conteúdo de SYSVOL.
    • Serviços de Criptografia Avançados (AES 128 e 256), suporte ao protocolo de autenticação Kerberos.
    • Últimas Informações de Logon Interativo, que mostram o horário do último logon interativo bem-sucedido de um usuário, a estação de trabalho que o originou e as falhas nas tentativas de logon desde o último logon.
    • Diretivas de senha refinadas, que possibilitam que as diretivas de senha e de bloqueio de conta sejam especificadas para usuários e grupos de segurança globais em um domínio.

    Se você tivesse um único DC, quando o link estivesse down, os usuários conseguiriam fazer logon na máquina, porém, sem ser autenticados pelo DC. Consequentemente, por questões de segurança, os usuários teriam problemas ao acessar pastas da rede que não fossem permitidas para o grupo Todos. Por isso considero o investimento em um novo DC importante.

    Leia todos os subitens do Guia passo a passo para controladores de domínio somente leitura (RODC), caso tenha interesse em implantar: http://technet.microsoft.com/pt-br/library/cc772234(WS.10).aspx. Eu particularmente sugiro que crie DCs adicionais.


    Caso a reposta tenha resolvido seu problema, por favor marque esse post como "Resposta" para que esse Thread se encerre. E se lhe foi útil também marque como "Votar como Útil". Caso não tenha resolvido, sinta-se a vontade para fazer novas perguntas.

    Espero ter ajudado.


    Atenciosamente,

    Caio Vilas Boas
    Microsoft Certified Trainer
    www.caiovilas.com
    - Blog
    • Sugerido como Resposta Caio Vilas domingo, 4 de julho de 2010 04:29
    • Não Sugerido como Resposta Iêso Dias domingo, 4 de julho de 2010 15:59
    • Sugerido como Resposta Caio Vilas domingo, 4 de julho de 2010 16:11
    • Marcado como Resposta Iêso Dias domingo, 4 de julho de 2010 16:14
    domingo, 4 de julho de 2010 04:28
  • Entao,

    gostei da resposta agora só qro tirar uma duvida caio,

    respondendo as perguntas:

    Quantos usuários vão fazer logon na rede? cara, a empresa esta crescendo entao hoje deve ser na faixa de uns 150.
    Existirá um servidor de arquivos em cada filial? nao, de inicio o storage está na matriz
    Haverá políticas de senha diferentes entre as filiais? vamos centralizar as politicas de segurança.

    entao, como é o esquema de controladores de dominio da filial, seria o RODC??? como seria.? me da a dica ae...

    valeu esperto a reposta

    domingo, 4 de julho de 2010 16:01
  • Olá Iêso,

    A diferença de um DC adicional para um RODC é que quando o DC Adicional é criado, todo o Active Directory é replicado para ele, enquanto o RODC também recebe todo o Active Directory, exceto as senhas das contas de usuário. Quando um usuário vai fazer logon num site que possui um DC adicional, o processo de logon envolve somente o DC adicional em questão, e a workstation. Quando um usuário vai fazer logon pela primeira vez no domínio num site que possui um RODC, a autenticação será feita pelo DC (o da Matriz), e o RODC vai armazenar em cache a senha daquele usuário, agilizando um futuro processo de logon.

    Com base nisso, cabe a você decidir o que é melhor para sua empresa: Um RODC ou um DC adicional em cada filial.

    Também é interessante pensar numa sincronização dessa storage com outra nas filiais, principalmente se os arquivos acessados das filiais forem grandes. Pense no desempenho dos links, na disponibilidade, etc.

    Como terão uma única política de senha, o ideal ao meu ver é um único domínio mesmo.


    Caso a reposta tenha resolvido seu problema, por favor marque esse post como "Resposta" para que esse Thread se encerre. E se lhe foi útil também marque como "Votar como Útil". Caso não tenha resolvido, sinta-se a vontade para fazer novas perguntas.

    Espero ter ajudado.
    Atenciosamente,

    Caio Vilas Boas
    Microsoft Certified Trainer
    www.caiovilas.com
    - Blog
    • Sugerido como Resposta Caio Vilas domingo, 4 de julho de 2010 16:10
    • Marcado como Resposta Iêso Dias domingo, 4 de julho de 2010 16:13
    domingo, 4 de julho de 2010 16:10
  • Bacana cara, mto obrigado...vou analisar, pq para fazer o RODC tenho q elevar o nivel funcional do dominio! e atualizar o windows server 2003...

    obrigado

    domingo, 4 de julho de 2010 16:13