none
Добавление второго КД в филиале RRS feed

  • Вопрос

  • Добрый день!

    1. Основной офис КД на windows server 2008r2.  150 машин
    2. Филиал 30 машин. КД нет, но планируется на windows  server 2016

    Оба КД пока на физике.

    В филиале срочно требуют поднять КД на 2016 сервере. Пока организуем VPN тоннель между офисами.
    Админ там есть приходящий, но будет свой. Пользователям из филиала понадобится доступ к файловому серверу в основном офисе, серверу терминалов и т.п., а также свои локальные ресурсы типа 1с.

    Как правильней поступить?
    1. Сначала все бросать и мигрировать КД в офисе с 2008r2 на 2016 или это можно сделать позже?
    2. Если оставляем пока 2008r2 в офисе, а позже после ввода филиала, мигрируем его на 2016, то не будет ли проблем с изменением режима работы двух КД одновременно?
    3. Добавляем в филиале RODC или обычный DC? Канал возможно будет на первых порах не очень стабильный и надо чтобы в филиале при падении VPN могли свободно авторизоваться в сети. Сколько КД смогут прожить друг без друга максимум чтобы не возникли проблемы с репликацией и прочим?  Не получим ли USN rollback ?
    4. Лучше делать для филиала поддомен вида tochka.firma.local или делать КД в том же домене, но только в другом сайте?
    5. Что мне еще учесть и не забыть? 
    Спасибо!



    10 июня 2020 г. 13:46

Ответы

  • 1. "Миграцию" (точнее, обновление) можно сделать и позже. Но выполнить подготовку леса и домена лучше заранее из основного офиса (командами adprep /forestprep и adprep /domainprep), чтобы не иметь проблем в случае падения канала связи.

    2. "Режим работы КД" (т.е. функциональные уровни домена и леса) меняется только на одном КД и дальше реплицируется на остальные. И, кстати, нет никакой необходимости повышать функциональный уровень, если вы не будете использовать новые возможности.

    2. Судя по тому, что вы написали, RODC (с GC на нем) в филиале вам хватит. Но (чисто из общих соображений) желательно при этом всё же уже иметь полноценный КД на Win2016. Только настройте правильно и обязательно проверьте политику репликации паролей - чтобы пароли всех компьютеров и пользователей филиала среплицировались на RODC. Если это будет сделано, то пользователи внутри филиала без проблем будут работать со своими серверами даже в отсутствии канала.

    Не забудьте вынести DC в филиале в отдельный сайт, содержащий подсети филиала - иначе половина попыток аутентификации пойдет сначала в центр, через VPN (а из центра - соответственно, в филиал).

    Без репликации друг с другом КД в наше время живут по умолчанию 180 дней (при желании срок можно увеличить), после этого репликацию оживить можно - но только вручную, и надо знать, как.

    Если будете ставить RODC, то имейте в виду, что пользователи не смогут на нем, без связи с центром, поменять свои пароли, так что продумайте политику паролей для них.

    USN Rollback при нормальной работе возникнуть не может, если вы не будете восстанавливать один из КД из образа, снятого чем-нибудь вроде Acronis (точнее бывают редкие случаи, когда USN Rollback возникает из за глюка RAID - сам один раз такое видел - но об этом можно не заморачиваться, и вообще - делайте резервное копирование).

    3. КД лучше установить вторым в том же домене. А в случае RODC иначе и не получится.

    4. Всё (но это не точно).


    Слава России!


    • Изменено M.V.V. _ 10 июня 2020 г. 16:08
    • Помечено в качестве ответа Kolosov Andrey 14 июня 2020 г. 19:31
    10 июня 2020 г. 16:07

Все ответы

  • 1. "Миграцию" (точнее, обновление) можно сделать и позже. Но выполнить подготовку леса и домена лучше заранее из основного офиса (командами adprep /forestprep и adprep /domainprep), чтобы не иметь проблем в случае падения канала связи.

    2. "Режим работы КД" (т.е. функциональные уровни домена и леса) меняется только на одном КД и дальше реплицируется на остальные. И, кстати, нет никакой необходимости повышать функциональный уровень, если вы не будете использовать новые возможности.

    2. Судя по тому, что вы написали, RODC (с GC на нем) в филиале вам хватит. Но (чисто из общих соображений) желательно при этом всё же уже иметь полноценный КД на Win2016. Только настройте правильно и обязательно проверьте политику репликации паролей - чтобы пароли всех компьютеров и пользователей филиала среплицировались на RODC. Если это будет сделано, то пользователи внутри филиала без проблем будут работать со своими серверами даже в отсутствии канала.

    Не забудьте вынести DC в филиале в отдельный сайт, содержащий подсети филиала - иначе половина попыток аутентификации пойдет сначала в центр, через VPN (а из центра - соответственно, в филиал).

    Без репликации друг с другом КД в наше время живут по умолчанию 180 дней (при желании срок можно увеличить), после этого репликацию оживить можно - но только вручную, и надо знать, как.

    Если будете ставить RODC, то имейте в виду, что пользователи не смогут на нем, без связи с центром, поменять свои пароли, так что продумайте политику паролей для них.

    USN Rollback при нормальной работе возникнуть не может, если вы не будете восстанавливать один из КД из образа, снятого чем-нибудь вроде Acronis (точнее бывают редкие случаи, когда USN Rollback возникает из за глюка RAID - сам один раз такое видел - но об этом можно не заморачиваться, и вообще - делайте резервное копирование).

    3. КД лучше установить вторым в том же домене. А в случае RODC иначе и не получится.

    4. Всё (но это не точно).


    Слава России!


    • Изменено M.V.V. _ 10 июня 2020 г. 16:08
    • Помечено в качестве ответа Kolosov Andrey 14 июня 2020 г. 19:31
    10 июня 2020 г. 16:07
  • спасибо, рад Вас видеть )

    1. Если я выполню "adprep /forestprep и adprep /domainprep" на 2008 после кого как добавлю филиальный 2016, то 2008 заберет новую схему с него? Верно?

    2. Как вас я понял, RODC в филиале лучше без лишней необходимости не использовать, тем более пока в офисе 2008ой?
    По крайней мере он там будет находится в закрытой серверной и оснований не доверять филиальным админам тоже нет. Да и рулить им по удалёнке я буду сам.

    Когда буду разделять на сайты, есть ли смысл создавать специально для 2008 новый сайт (и переносить его туда) или можно его оставить по умолчанию в Default-First-Site-Name ?

    10 июня 2020 г. 17:54
  • 1. adprep нужно брать берется с дистрибутива новой ОС (2016) - папка support\adprep. Он берет добавления к новой схеме и добавляемые/изменяемые в разделы конфигурации и домена объекты из той же папки.

    Выполнять его можно из-под любой 64-битной версии.

    2. У RODC есть плюсы и есть минусы. Что для вас важнее - это решать вам.

    3. Переносить совсем не обязательно. А вот добавить туда подсети из основного офиса перед созданием второго сайта - это нужно. Если вам не нравится имя сайта по умолчанию, то его можно переименовать.


    Слава России!

    11 июня 2020 г. 10:38