none
Отказоустойчивое построение доменной структуры офис+филиалы RRS feed

  • Общие обсуждения

  • Доброго времени суток ВСЕМ!
    Идея в конторе долго вынашивалась и наконец-то частично реализовалась в виде покупки 5 серверов для филиалов. Всё казалось легко и просто (в головном офисе локальный домен, типа firma.ru, AD, DNS, DHCP и т.д.) до нынешнего момента, когда встал вопрос: а каким образом настроить всё в филиалах, чтобы централизованное управление через AD было у меня, но и в то же время вся структура была максимально отказоустойчивая! Вместе с напарником пересмотрели кучу литературы по данной теме и никак не можем найти консенсус: моё видение структуры - это в каждом филиале сервер, который является контроллером уже существующего домена фирмы. Т.е. настраиваю везде AD, репликации, каждый филиал будет отдельная OU, и собственно рулю политиками как мне надо "не отходя от кассы". Коллега же напротив предлагает в филиалах на новых серваках поднимать дочерние домены,вида fiflial1.firma.ru, fiflial2.firma.ru и т.д.
    Так вопрос: какая конфигурация удобнее? и главное с меньшими тягостными последствиями при каких-либо форс-мажорах (опять же: каких?).
    Понимаю, возможно последует куча предложений и ссылок почитать там, тут и т.д. - читал, и почитаю ещё обязательно, но просто хотелось бы услышать конкретно на понятном языке мнение тех, кто уже когда-то озадачивался подобной темой и её решал. Каковы "+" и "-" той и другой, а может быть и третьей структуры...?

    2. Тут же второе: эти новые сервера будем использовать и как маршрутизаторы, т.е. на них по 2 сетевых интерфейса. Какие могут возникнуть "грабли" при настройке и функционировании, в связи с тем, что на них же DNS, AD, DHCP филиала?

    P.s. На всех серверах Windows Server 2003 R2 Enterprise Edition SP2, в филиалах своих локалки по 10-15 машин.
    Все филиалы в черте города, удалённость от 800 метров до 15 км, связь устойчивая: оптика 5 МБит...
    7 ноября 2009 г. 11:50

Все ответы

  • В филиалах есть IT-персонал? Требуется ли раздельное администрирование для каждого филиала? Требования на сложность паролей, частоту их смены и.т.п. одинаковые для всей организации?
    Пока я бы предложил единый домен. Сеть у Вас хорошая, пользователей мало. Поэтому чтобы избежать возможных проблем с двумя сетевыми картами на контроллере домена (к тому же одна из них смотрит в интернет) и с точки зрения безопасности думаю, что лучше не ставить контроллеры домена в филиалах, а ограничиться только RRAS. Для отказоустойчивости в центральном офисе желательно установить как минимум два котнроллера домена с серверами DHCP и разделить между ними диапазоны IP-адресов.

    7 ноября 2009 г. 12:24
    Модератор
  • Делайте по-своему, т.е. через юниты. Во-первых, так проще. Намного. Во-вторых, вы получите возможность централизованно управлять всеми филиалами(например, через групповые политики) и при этом на уровне юнитов делегировать необходимые права местным админам. В-третьих, такая структура действительно будет отказоустойчивой, поскольку каждый контроллер будет содержать полную реплику каталога. Если же создавать домены для каждого филиала для отказоустойчивости в каждом домене вам нужно будет как минимум два контроллера.
    Вам нужно будет создать сайты, чтобы пользователи в филиалах регистрировались на своих контроллерах, и все контроллеры сделавть серверами глобального каталога. Сайты можно будет связать одним линком. Можно использовать тот, что создается по умолчанию, только увеличить частоту репликаций, раз уж каналы у вас достаточно быстрые.

    Что касается маршрутизации. Проблемы могут быть связаны с тем, что в DNS для одного контроллера будут регистрироваться несколько ip адресов. А если на внешних интерфейсах будет настроен файрвол, то могут возникнуть проблемы как с репликацией, так и с аутентификацие пользователей. Об этом можно почитать тут.
    7 ноября 2009 г. 12:25
  • Один очень важный момент, который предлагаю учесть:
    Для Windows Server 2003,
    Необходимо обеспечить физическую безопасность всех контроллеров домена.
    Если сделаете в филиале контроллер основного домена фирмы, и потенциальный злоумышленник получит к нему физический доступ - это ставит под угрозу безопасность всего домена.
    Это все для Windows Server 2003. В Windows Server 2008 есть RODC, там требования к физической безопасности могут быть ниже.
    MCP
    7 ноября 2009 г. 17:14
  • Вообще то работа контроллера домена и RRAS на одном сервере возможна (у меня так работало когда было малло машин) но не рекомендуема, если надумаете делать вот http://support.microsoft.com/default.aspx/kb/292822/.

    Я бы рекомендовал в качестве роутера использовать, что то другое.

    Можете попробовать воспользоваться приимуществами виртуализации

    Вариант 1 - Enterprice Editition, если не ошибаюсь поддерживат 1хостовую + 3 виртуальных машин. Ставите контроллер домена виртуальной машиной и поднимаете отдельный сервер как сервер RRAS. Это собирается на Virtual Server.

    Вариант 2- Hyper-V Server 2008 (шаровая, но железо должно поддерживать аппаратную виртуализацию) контроллер загоняем виртуальной машиной, на вторую виртуальную ставите Linux или FreeBSD вот вам и фаер+роутер.

    В таком сценарии мне больше нравится HVS - там просто более гибко настраиваются сетевые интерфейсы.

    Но в этих 2х вариантах есть один минус, с точки зрения отказоустойчивости роутер и КД - на одном железе.
    9 ноября 2009 г. 8:19
  • Тоже согласен с тем, что ставить контроллер в филиале опасно и с тем, что иметь единый домен намного удобнее, как рас этой осенью сводил дочернии домены в один общий.
    Если у вас в филиале не так много народу и стабильный интернет ставить контроллер нет смысла вообще, аутентификация будет без проблем проходить с головного офиса, а выделенные сервера я бы использовал под нечно более полезное, так ка кони маршрутизаторы - почему не установить на них ISA Server, которые будут связывать все офисы vpn конектом?
    9 ноября 2009 г. 13:01