none
Проектирование домена RRS feed

  • Вопрос

  •  

    Есть центральный офис, парк машин порядка 300 шт.

    Есть филиалы около 5шт с парком по 20-100шт машин.

    На данный момент в каждом филиале и в центральном офисе есть свой собственный лес с доменом.

     

    С появлением связи м/у филиалами и центром возникла необходимость связать домены м/у собой.

     

    Есть вопрос, как лучше это сделать?

    Создать доверительные отношения м/у лесами, или создание обшего домена для филиала и центром с последующем выведением каждого филиала в свою организационную единицу?

     

    Поставленные цели - использования общих ресрсов(файловые сервера, принтеры)

     

     

Ответы

  • вопрос решился устновкой параметра RestrictNullSessAccess в 0 на PDC эмуляторах.
     
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
     
     
     
     
    Причем, после возврата RestrictNullSessAccess в 1 - доверительные отношения проверку проходили.
     
     
    16 июля 2008 г. 7:59

Все ответы

  • По-моему доверие проще организовать, это если говорить о быстром решении поставленной задачи. А потом уже можно и в один домен мигрировать и по OU разносить.

    Модератор
  • Согласен. Если требуется только предоставить доступ к ресурсам, то быстрее и надёжнее настроить доверительные отношения.
    Перенос существующих доменов в единый лес займёт массу времени и сил (т.к. структура распределённаяи "сложившаяся"). Причем если говорить о win 2003, то вам придётся фактически заново проектировать сетевую инфраструктуру и задуматься о физической безопасности контроллеров (единого домена!) в филиалах. Это было бы оправданно в случае необходимости централизованного управления.
  •  M.S.D. [mdanshin] написано:

    По-моему доверие проще организовать, это если говорить о быстром решении поставленной задачи. А потом уже можно и в один домен мигрировать и по OU разносить.

    только следует учесть, что между каждым лесом нужно настраивать доверие. Если не ошибаюсь, транзитивные доверия могут быть только между двумя лесами. т.е. если создать доверие между лесом А и Б и доверие Б и В, то лес А не будет автоматом доверять лесу В и между лесами А и В надо будет создать дополнительное доверие. Но это только в случае необходимости доступа между филиалами.

  • http://www.microsoft.com/downloads/details.aspx?FamilyId=9353A4F6-A8A8-40BB-9FA7-3A95C9540112&displaylang=en
    Windows Server 2003 Active Directory Branch Office Guide
    читаем и изучаем
    в кратце-1 домен на головной офис+1 домен на все филиалы
    17 июня 2008 г. 7:12
  •  

    спасибо за информацию,

     

    есть вопрос уже по практической реализации:

     

    не получается создать доверительные отношения м/у лесами, в частности не создается отнощение

    лес А: outgoing и соответственно Лес Б incoming - выдает сообщение The operation failed. The error is: The specified user already exists.
    Хотя закладки Trust в свойствах доменов пустые.

     

    в то же время отнощение лес А: incoming и соответственно Лес Б outgoing нормально создается и работает.

    17 июня 2008 г. 9:30
  • Домены перекрётсно резолвятся?Т.е. А может разрешить имя Б и наоборот?
    Какие функциональные уровни лесов/доменов между которыми настраиваются отношения? Доверительные отношения между лесами возможны только в 2003

    Checklist: Creating a forest trust
    17 июня 2008 г. 9:57
  •  

    >Домены перекрётсно резолвятся?Т.е. А может разрешить имя Б и наоборот?

     

    да

     

    > Какие функциональные уровни лесов/доменов между которыми настраиваются отношения?

     

    Windows 2003

     

     

     

    похоже что проблема в этом http://support.microsoft.com/kb/295335/en-us

    т.к. имя одного из доменов INTERNET

    18 июня 2008 г. 2:58
  • Есть ещё вот такая статья о Single Label Domain (которая постоянно тут проскакивает): http://support.microsoft.com/kb/300684
    18 июня 2008 г. 5:31
  • чуть чуть не точно сообщил название домена.

     

    полное название internet.domainname.ru

    18 июня 2008 г. 5:43
  •  

    переименовал домен в более другое имя.

    теперь двухсторонние отношения создаются, но при проверки исходящей связи выходят такие ошибки

     

    The secure channel (SC) verification on domain controller \\srv.core.domain.ru of domain core.domain.ru to domain core2.domain.ru failed with error: The security database on the server does not have a computer account for this workstation trust relationship.

     

    The secure channel (SC) reset on domain controller \\srv.core.domain.ru of domain core.domain.ru to domain core2.domain.ru failed with error: The security database on the server does not have a computer account for this workstation trust relationship.

     

    The secure channel (SC) verification on domain controller \\rvc.core2.domain.ru of domain core2.domain.ru to domain core.domain.ru failed with error: The specified domain either does not exist or could not be contacted.

     

    The secure channel (SC) reset on domain controller \\rvc.core2.domain.ru of domain core2.domain.ru to domain core.domain.ru failed with error: The specified domain either does not exist or could not be contacted.

    в чем могут быть еще проблемы?
  •  

    А что при этом в логах с той и другой стороны? Скорее всего это продолжение проблемы распознавания имен DNS и NetBIOS.
    14 июля 2008 г. 12:20
    Модератор
  • вопрос решился устновкой параметра RestrictNullSessAccess в 0 на PDC эмуляторах.
     
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
     
     
     
     
    Причем, после возврата RestrictNullSessAccess в 1 - доверительные отношения проверку проходили.
     
     
    16 июля 2008 г. 7:59