none
грамотно админим филиалы RRS feed

  • Общие обсуждения

  • Доброго времени суток коллеги! Просьба высказаться как лучше решить подобную задачу. А именно - объединение филиалов. В каждом филиале, и в головном офисе стоит цыска (все соединены по оптике) на которой поднят вилан с сеткой класса С (10.1.1.0/24, 10.1.2.0/24...10.1.10.0/24), на каждой где-то по 30-100 клиентских машин и по 1-2 серваку (в силу разности по времени закупок под управлением от windows 2003 до 2008 r2, щас работают тока как файловые сервера). Хотелось бы в итоге следующее: чтоб все админилось только с центрального офиса (заведение групп, пользователей и политик), сквозная аутентификация и разграничение доступа на шары по ролям, запасные контроллеры и репликация важных шар.

    В общем дилемма, всю голову сломал: то ли домен с поддоменами то ли обоюдно доверительные отношения (неизвестно где танцов с бубном меньше и глючность), делать сайты или нет, где быстродействие будет выше - просто ntfs шары или на IIS ftp, а может вообще шарепоинт портал! А если еще задуматься над отказоустойчивостью и репликации данных, чтоб все в одном месте не хранить... В общем путь долгий, но в каком направлении начать? Спрашиваю по Вашему личному опыту - к манам не отсылать :)
    16 февраля 2011 г. 16:17

Все ответы

  • к манам и не надо, а вот литературу бы почитать было бы неплохо :)

    плодить поддомены если это одно юрлицо смысла очень мало, только административная нагрузка вырастет. сайты делать желательно если каналы не везде толстые и хочется чтобы клиенты в первую очередь шли к ближайшему серваку. репликация шар понятное дело через dfs: фтп это не наши методы, а шарик немного не дляэтих целей.

    16 февраля 2011 г. 20:34
    Модератор
  • Спасибо за ответ. То есть наш метод это 10 отдельных доменов в доверительных отношениях и шары по DFS на каждом? Помню давненько пытался 2 домена подружить - очень глючная настройка, то работаю то нет :(
    17 февраля 2011 г. 4:38
  • Вопросы:
    Насколько я понимаю в филиале у Вас нет ИТ службы?
    Филиалы находятся в одном часовом поясе?


    17 февраля 2011 г. 10:57
  • Спасибо за ответ. То есть наш метод это 10 отдельных доменов в доверительных отношениях и шары по DFS на каждом? Помню давненько пытался 2 домена подружить - очень глючная настройка, то работаю то нет :(

    вообще то я писал как раз наоборот- нет смысла плодить доменны и поддомены, одного домена на одно юрлицо достаточно в большинстве случаев.
    17 февраля 2011 г. 13:16
    Модератор
  • вообще то я писал как раз наоборот- нет смысла плодить доменны и поддомены, одного домена на одно юрлицо достаточно в большинстве случаев.

    А если разные часовые пояса? ГО проснется, а филиал уже спать ложится. В этом случае возникает необходимость держать дежурную службу в ГО, которая будет оказывать круглосуточную поддержку или содержать ИТ службу в филиале. а при наличии службы ИТ в филиале удобнее поднимать дочерний домен.
    17 февраля 2011 г. 14:06
  • у некоторых компаний офисы по всему миру с одним доменом и никаких проблем с поддержкой других офисов не было. и зачем ит филиала свой домен?
    17 февраля 2011 г. 14:37
    Модератор
  • у некоторых компаний и ИТ своего нет... все на аутсорсе ;)

    По существу.
    Пример: пользователь не может получить доступ к сетевым ресурсам, к примеру в Иркутском филиале, в своем часовом поясе в 9-00. Звонит Вам, вы к примеру в Ростове, в 4 утра Вашего времени. Могу пожелать "сладких снов". А причина может быть с каналом связи (экскаватор магистраль откапал и весь город без внешнего мира). Потом начнутся у вас проблемы с репликами и в итоге проблема с Иркутским филиалом отразится на всем домене.

    По таким причинам я не стал бы рекомендовать один домен нарезанный на сайты. При планировании автору посоветовал бы провести аудит серверного оборудования, каналов связи, стабильность их работы, надежность и квалификацию ИТ сотрудников, электропитание, вентеляция серверных комнат в филиалах. Выпишите все на бумагу, проанализируйте и Вы сами поймете где голова, а где "дочка".


    17 февраля 2011 г. 15:01
  • В филиалах нет ИТ службы, находятся в одном часовом поясе. Я просто вопрос задавал "то/или то" потому и понял, что если не поддомены, то доверительные. Тогда получается по контроллеру домена в каждый филиал и ага! А тяга к делению и приумножению доменов\поддоменов, кстати, во многих манах и рекомендациях есть - уж если не на каждое здание свой так сказать обособленный, то хотя бы для бухгалтерии точно отдельный.
    17 февраля 2011 г. 15:20
  • Да если канал связи хороший, стабильный, дешевый то в таком офисе и контролер не нужен :) пользователи могут авторизоваться в ГО.
    Начните с аудита...
    17 февраля 2011 г. 15:29
  • не знаю откуда такие маны и рекомендации, если домены очень большие (десятки тыс юзеров) то возможно.
    раньше (до появления 2008) рекомендовали отделять в другие домены подразделения с повышенными требованиями по безопасности -тогда политика паролей могла быть только одна, сейчас этого ограничения нет. еще была рекомендация делать корневой пустой домен, а все остальное в дочернем. еще бывают рекомендации делать отдельные леса, в случаях когда есть специфичный софт меняющий схему и это нежелательно для какой то другой части, или в случае когда есть вероятность отделения (продажи) части бизнеса (если в одном лесу то уже не отделишь). в 2000ой были рекомендации разделения на поддомены при медленных каналх из-за не очень оптимальной репликации, с 2003го эта рекомендация стала менее актуальна. короче все зависит от требований, но в большинстве случаев небольших конторок (до 5-10 тыс) одного домена вполне достаточно.

    17 февраля 2011 г. 16:34
    Модератор
  • Спасибо за инфу, учту. Ну один серв в ГО все равно палево оставлять - нужен хотя бы один запасной на случай поломки\апргрейда и так далее - работа 24 часа в сутки. Связь то хорошая дешевая но ... с отключениями :) Потому и думаю по филиалам контроллеры распихать, чтоб когда эл-во как иногда бывает отключат в ГО или у пров-ра "разрывы" начнутся :D , то чтоб каждый филиал мог со своей частью шары хотя бы работать. 
    17 февраля 2011 г. 16:51
  • если в филиалах колво юзерей исчисляется сотнями то контроллеры там нужны по любому - 5-6 человек могут еще посидеть без работы, а 100-200 уже нет, к тому же стоимость сервачка (а тем более виртуалочки) несоизмерима с потерями при простое. мы в филиалы более 50 человек уже ставили по два контроллера, а более 30 чел один физический 1 виртуальный на каком нить с другой ролью (тогда еще не было гиперв), правда каналы были не очень хорошие.

    17 февраля 2011 г. 18:36
    Модератор
  • Вы путаете теплое с мягким. Каким образом нарезка на домены и т.д. решит проблему звонка из Иркутска в 4 утра. В вашем случае один лес - один домен. Далее нарезаете на нужное кол-во сайтов, настраиваете репликацию. Потом решаете административные задачи (кол-во админов, аутсорсеров , тех . поддержки) Более подробно, в цифрах, опишите вашу ситуацию (кол-во пользователей, площадок, каналы между ними).
    MCSE, MCITP:EMA2007
    21 февраля 2011 г. 14:54
  • Количество и каналы я в первом посту примерно описал. В среднем до любой точки из ГО пакет допрыгивает за 6-8 прыжков, время ~ 20-80 ms, трафик неограничен хоть фильмы кидай. Основная проблема так скажем как раз в отсутствии айтишников в филиалах - винду поставить и включить\выключить сервак из розетки или цыску найдется человек но не больше - надо чтоб все админилось в ГО и саппорт круглосуточный от туда же. Я поначалу решил, что один домен будет себя фигово чувствовать, если на каждом контроллере в филиале будет стоять DHCP и DNS на свою сетку местную, и решил их всех нарезать както :)  Сейчас склонился к мысли, что поддомены нужны чисто чтоб скрыть\обособить какие-нибудь подразделения типа бухгалтерии и повысить безопасность, а много деревьев это вообще на случай крупных холдингов и совсем других масштабов :)
    23 февраля 2011 г. 18:05
  • От кого вы таким образом бухгалтерию и прочих то скрываете ? )) Ведь говорят вам один домен - много сайтов, но не верите. Как минимум увеличите кол-во серверов, которые надо администрировать.
    MCSE, MCITP:EMA2007/2010
    28 февраля 2011 г. 8:16