none
Филиал без контроллера домена - утопия или реальность? RRS feed

  • Общие обсуждения

  • Хотелось бы узнать об опыте коллег, у которых есть филиал с нестабильной связью и без контроллера домена.

    Есть филиалы по стране, в каждом до 20 пользователей, использующих такие сервисы как:
    - файл-сервер
    - SQL Server (расположенный в каждом филиале)

    Сервера - Windows Server 2003 R2, рабочие станции - Windows XP.

    Контроллеры располагаются в основном офисе, до которого связь может быть неустойчивой (возможны перерывы до суток и более).

    Вопрос в том, как себя поведет инфраструктура филиала в случае недоступности связи до контроллера домена.
    Будет ли возможна авторизация пользователя на файловом сервере?
    Какие еще подводные камни есть у такой структуры?

    В AD Branch Office Guide такой вариант вполне предусматривается, но говорится о возможных проблемах с авторизацией.




    MCP

Все ответы

  • Освежил и пополнил свои знания по Kerberos и пришел к выводу:

    При отсутствии связи с контроллером домена, авторизоваться на файловом сервере клиенту не удастся.
    Эксперимент на виртуальных машинах показывает то же самое.

    Но все-таки очень бы хотелось услышать мнение специалистов, у которых были филиалы без контроллеров домена - какие именно проблемы еще были и как их удавалось (не удавалось) решать.


    MCP
  • Дело вот в чем. Если нет соединения с контроллером домена, но при этом пользователь ранее выполнял вход на рабочую станцию, присоединенную к домену, то он сможет выполнить вход, т.н. кешированный вход (cached logon).
    В принципе, имея TGS-билеты, т.е. успешно доступившись до ресурсов на сервере, клиент сможет доступаться до ресурсов таких серверов некоторое время (по умолчанию - десять часов ). Тут главное, чтобы клиент аутентифицировался Kerberos'ом, а не NTLM.

    В общем, даже если увеличить время жизни TGS до максимума (кажется, максимум - 7 суток) и количество разрешенных кешированных входов "CachedLogonsCount", то это может отложить момент повторной аутентификации, но, как показывает практика, не так надолго, как хотелось бы пользователям. :)

    Очень важно знать, асколько нестабильно соединение с сайтами, в которых присутствуют контроллеры домена, как долго пользователи могут оставаться без связи с контроллерами домена?
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • Дело вот в чем. Если нет соединения с контроллером домена, но при этом пользователь ранее выполнял вход на рабочую станцию, присоединенную к домену, то он сможет выполнить вход, т.н. кешированный вход (cached logon).
    В принципе, имея TGS-билеты, т.е. успешно доступившись до ресурсов на сервере, клиент сможет доступаться до ресурсов таких серверов некоторое время (по умолчанию - десять часов ). Тут главное, чтобы клиент аутентифицировался Kerberos'ом, а не NTLM.

    В общем, даже если увеличить время жизни TGS до максимума (кажется, максимум - 7 суток) и количество разрешенных кешированных входов "CachedLogonsCount", то это может отложить момент повторной аутентификации, но, как показывает практика, не так надолго, как хотелось бы пользователям. :)


    Дмитрий, насколько я понимаю, если пользователь перезагрузит клиентский компьютер, а контроллер домена будет недоступен - то TGS-билетов он не получит.

    Связь с регионами бывает относительно плохой - максимальный простой до 48 часов, хотя в реальной жизни до 2-3 часов гораздо чаще.
    Проблема в том, что доступ к файловому серверу (расположенному в самом регионе) клиентам регионов нужен круглосучно в режиме 24/7/365, и это очень критично. Соответственно, доступ к файловому серверу не должен прерываться в случае пропадания связи.
    MCP
  • А почему не развернуть на файловых серверах контроллеры ? Настраивайте межсайтовую репликацию в нерабочее время. Сервера делайте глобальными каталогами.

    В Windows 2008 появилась новая функция - контроллеры домена только для чтения  (если есть возможность upgrade)

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
  • Если критично, то КД в сайте нужен. Все остальные разговоры "от лукавого"
    Отвечающий
  • А почему не развернуть на файловых серверах контроллеры ? Настраивайте межсайтовую репликацию в нерабочее время. Сервера делайте глобальными каталогами.

    В Windows 2008 появилась новая функция - контроллеры домена только для чтения  (если есть возможность upgrade)

    Это потребует, чтобы в головном офисе основным держателем ролей также был сервер с Windows 2008
    Господа вопрошающие! Не забывайте, пожалуйста, подтверждать решение, предложенной в качестве ответа - может быть, это поможет кому-то еще.
  • А почему не развернуть на файловых серверах контроллеры ? Настраивайте межсайтовую репликацию в нерабочее время. Сервера делайте глобальными каталогами.

    В Windows 2008 появилась новая функция - контроллеры домена только для чтения  (если есть возможность upgrade)

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/

    Это потребует, чтобы в головном офисе основным держателем ролей также был сервер с Windows 2008
    Господа вопрошающие! Не забывайте, пожалуйста, подтверждать решение, предложенной в качестве ответа - может быть, это поможет кому-то еще.

    Зачем цитировать то, что написано в документации, да ещё и не правильно ?

    "Чтобы можно было развернуть контроллер домена только для чтения, хотя бы один доступный для записи контроллер домена в домене должен работать под управлением системы Windows Server 2008. Кроме того, домен и лес должны работать в режиме Windows Server 2003 или более высоком."
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
  • А зачем автору вообще RODC?

    Отвечающий
  • А зачем автору вообще RODC?

    Чтобы при отсутствии связи с головным офисом сотрудники в филиалах могли без проблем пользоваться сетевыми ресурсами.

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
  • RODC - по умолчанию - не аутентифицирует пользователей и хэши паролей на нем не хранятся.
    Автору нужен обычный 2k3 контроллер домена с глобальным каталогом.
    Отвечающий
  • RODC - по умолчанию - не аутентифирует пользователей и хэши паролей на нем не хранятся.
    Автору нужен обычный 2k3 контроллер домена с глобальным каталогом.

    Вы в реальной среде RODC разворачивали или только предполагаете ?


    Если следовать Вашим высказываниям "RODC - по умолчанию - не аутентифирует пользователей и хэши паролей на нем не хранятся", то к примеру зачем использовать Exchange 2007, который по умолчанию письма в интернет не будет отправлять ?

    По остальному уже ответили выше.


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
  • Зачем цитировать то, что написано в документации, да ещё и не правильно ?

    "Чтобы можно было развернуть контроллер домена только для чтения, хотя бы один доступный для записи контроллер домена в домене должен работать под управлением системы Windows Server 2008. Кроме того, домен и лес должны работать в режиме Windows Server 2003 или более высоком."
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
    Точно, я немного лопухнулся.

    Господа вопрошающие! Не забывайте, пожалуйста, подтверждать решение, предложенной в качестве ответа - может быть, это поможет кому-то еще.
  • RODC - по умолчанию - не аутентифирует пользователей и хэши паролей на нем не хранятся.
    Автору нужен обычный 2k3 контроллер домена с глобальным каталогом.

    Вы в реальной среде RODC разворачивали или только предполагаете ?


    Если следовать Вашим высказываниям "RODC - по умолчанию - не аутентифирует пользователей и хэши паролей на нем не хранятся", то к примеру зачем использовать Exchange 2007, который по умолчанию письма в интернет не будет отправлять ?

    По остальному уже ответили выше.


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
    Я в том смысле. Что автор задал простой вопрос. Нужен\ не нужен. А вы советуете - перелопатить
    всю AD, ради сомнительной пользы, в случае автора, от RODC.
    Отвечающий
  • Внесу свои 5 копеек.

    При нестабильно работающем канале, к сожалению, филиал без КД к сожалению, пока утопия....
    У нас организация с большим количеством филиалов - большинство из них работают без КД в них (с центральными КД), однако, каналы у нас стабильно работающие.

    Насколько много у Вас филиалов и пользователей? Может, если вопрос в том, что не хватает "железа", на организацию дополнительных КД посмотреть в сторону "виртуализации" КД в филиалах?
    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение" в правом верхнем углу сообщения.
  • Спасибо за ответы!

    Про RODC я в курсе. Но в данном случае Windows Server 2008 использовать не можем - нет лицензий на 2008, а купить десятки новых Windows Server 2008 бюджет во время кризиса не позволяет.

    Филиалов - порядка 20, от СПБ до Владивостока.

    Разворачивать КД основного (родительского) домена в филиалах тоже нельзя - не обеспечена физическая безопасность (а значит, все учетные записи домена будут под угрозой).

    Так что остается плодить дочерние домены (region1.company.ru)
    MCP